利用MPLS VPN实现VPDN的LNS复用

随着企业对于VPN需求的不断增加，各种各样的VPN技术得到应用。而现有的VPDN技术方案在实际应用上存在着兼容性测试的困难，通过MPLS VPN技术和VPDN技术结合实现LNS网关复用的技术，为已经建立MPLS VPN网络的ISP提供了拓展增值业务的新方法。

VPDN的利弊

传统的VPDN的优点在于，能够充分利用ISP的接入服务器端口资源实现企业网的拨号接入，节省企业拨号接入服务器的投资; 节省电话费（特别是长途电话费）和中继月租费（前提是上网费用比较便宜）；通过由ISP提供集中的用户账号、密码管理系统，可以减轻用户管理账号的负担。

但是，拨号接入过程需要ISP的认证系统、LAC、VPDN二次认证系统和企业的LNS配合，通常3套设备涉及4个厂家、ISP和用户共6方，而ISP需要有效地协调好各方才能顺利完成一个用户的接入。每当有新用户接入时，往往由于采用了新种类的LNS（甚至是因为LNS的新版本软件）需要重新进行配合测试而影响工程进度，往往成为阻碍VPDN业务发展的一个重要障碍。

用户虽然不需要投资自己的拨号接入服务器，但是仍需要投资足够档次的LNS设备并进行日常维护，这些都需要一定的维护成本。

为便于开展业务，减少用户端工作量，ISP通常会考虑设置一套公用的VPDN二次认证系统供多个企业同时使用。同时ISP为了提高竞争力，进一步降低用户成本，因此希望能够对LNS进行复用。

LNS复用思想

LNS基本的复用思想是，采用一台LNS，同时接入两个以上的分属不同用户的拨号访问。它要求两个企业的路由表不重叠，为了避免互相访问对方网络，需要在路由器上增加ACL。为了根据拨号用户的身份分配不同企业的地址，需要Radius服务器配合LNS返回特殊的属性。因此，这种复用方式的条件是非常苛刻的，一旦用户地址有重复，就基本不可行。

设备厂家为了满足ISP的要求，提供了一些能够对LNS复用的产品和技术，比如Cisco的VPN3000、北电的Shasta，以及其他公司的一些宽带接入服务器。它们的特点是能够为不同用户提供独立的路由表，如果各家隔离路由表的技术不一样，相互之间就不能融合。

MPLS VPN技术实现LNS复用

通过MPLS VPN技术和VPDN结合可以实现LNS复用。这个想法主要的优点是解决用户端不同种类路由器配置LNS的复杂性、兼容性以及结合MPLS VPN的灵活性。

复用LNS可以充分发挥LNS的能力，降低企业部署VPDN的成本。例如Cisco的7206路由器可以支持2000个以上的并发l2tp session。如果由ISP提供，完全可以供多个大型企业同时作LNS使用，结合MPLS VPN，可以为企业提供从分支机构互连到移动办公的一整套解决方案。ISP通过设计VPDN＋MPLS VPN网络可以做到很好的冗余性。

由于系统的复杂性基本被限制在ISP一端，用户端的投资、维护成本进一步得到降低。ISP的LAC只需要与自己选定的1～2台LNS （同时也是MPLS PE）进行互通。网络一旦部署完成，就不再需要用户自己提供LNS，只需要将用户接入MPLS VPN网即可。新增加用户不需要LAC和用户LNS进行互通测试，大大降低了ISP的工作量。

1．企业端用户接入

为实现企业端的接入，有两种方案可供选择。一是直接通过二层链路（PVC、VLAN、E1等）将用户端设备（路由器、交换机）接入到我们的MPLS PE上，二是通过GRE Tunnel建立一条从用户的路由器到MPLS PE设备的虚拟隧道。由于存在多个MPLS PE设备，通常建议采用距离用户最近的一台MPLS PE直接接入用户, 或者和用户路由器之间建立GRE Tunnel。

2．用户认证和计费

目前，有的ISP（如江苏联通165网）还提供用户二次认证（VPDN AAA）并提供用户管理界面，但通常还不支持根据用户名返回MPLS VPN相关属性值配置的功能。如果增加此项功能，还需要计费系统厂家进行修改。

3．系统冗余性

　　● NAS系统本身是分布的，具有很好的冗余性。

　　● ISP的Radius系统一般都是双机备份系统，冗余性已经足够。

　　● VHG/PE系统可以全省采用两台，但是由于在VPDN一次认证中，用户LNS的地址只能登记一个，因此可以采用为用户开通两个VPDN域名的方法来提供备份的LNS地址。

　　● 二次认证Radius服务器可以采用两台，两台服务器需要实现配置同步。

　　随着用户对于VPN业务需求的不断增加和MPLS技术的不断发展，ISP将不断推进MPLS VPN业务，利用MPLS VPN技术和VPDN技术复用LNS网关，有着非常广泛的应用前景。