MPLS VPN网建设方案探讨

    VPN业务是目前在IP网开展的一项重要业务，由于该业务主要面向政府、教育、企业等集团用户，因此该业务能带来更多更稳定地收入，对提高网络的运营收益有着重要的意义。随着南京电信用户的发展、宽带网规模的扩大，要求被提供运营商级别的VPN业务服务的用户越来越多。如何立足于现有的宽带网基础平台，发挥已有设备的业务潜力并将已有的宽带业务用户带入新的VPN网络，是本次建设方案探讨的主要目的。

    一、宽带IP城域网结构和使用设备

    目前，南京宽带城域网以千兆以太网为基础构筑，采用分层汇接式的组织结构，网络拓扑结构以星形为主。宽带城域网拓扑如图1所示。

图1宽带城域网拓扑图

    图1中，核心层核心汇接设备（MSR）采用Cisco系列7609路由器；汇聚层区域接入设备（LSR）采用Cisco系列6509路由器；接入层小区网设备（ZAN）采用Cisco系列2948路由器和为公司Ma5200宽带接入设备；LAN（局域网）方式接入地区的楼宇网设备（BAN）采用华为公司S2403F交换机，通过5类线接入用户；其他地区采用ADSL多业务接入设备DSLAM（数字用户线接入多路复用器），可通过电话线接入用户，以实现用户的宽带上网。

    为简单起见，图1中仅给出一个核心的拓扑图，实际上南京宽带IP城域网含有四个MSR，分别负责各区域接入，四个MSR之间形成交叉互连，分流区间业务。

    上面简要介绍了宽带IP城域网核心层、汇聚层和接入层的结构和设备，如何在现有网络上建设MPLSVPN网络，开展VPN业务，下面将详细讨论。

    MPLSVPN包括2大类：基于RFC2547，采用BGP协议的MPLSVPN；基于虚拟路由器，采用IGP协议的VPN。目前广泛使用的是基于RFC2547的MPLSVPN。

    根据MPLS系统实现的功能目标，系统可分为三个功能模块。

    1．MPLS核心层次P

    负责在核心其他P或PE角色的MPLS路由器间交换LDP（标签分配协议），标签TAG的寻址和重新填写以及流量工程寻找最佳的资源路径。

    2．MPLS接入层次PE

    负责与CE进行VRF虚拟路由表的路由寻找，与负责在核心其他P或PE角色的MPLS路由器间交换LDP协议。

    3．MPLS用户层CE

    生成用户方的VRF路由表，与PE进行VRF的路由统一寻找，将VPN用户接入MPLS主干。

    二、模型设计

    1．MPLSVPN连接模型之一

图2MPLSVPN连接模型1

    对图2进行一些说明：

    （1）PE路由器，运营商边缘路由器(边缘LSR/LER)，使用MPLS与PE相连，使用普通IP技术和CE（用户边缘路由器）相连；

    （2）IPv4地址在同一个VPN为唯一，在不同VPN之间可以互相重叠；

    （3）PE路由器之间通过MP-iBGP互连，传递各个VPN内部路由信息；

    （4）在PE路由器内通过VRF（VPNroutingandforwarding）隔离VPN路由与数据。

    2．M

    PLSVPN连接模型之二

图3MPLSVPN连接模型2

    对图3也同样进行一些说明：

    （1）PE和CE路由器之间可以通过静态、OSPF、RIPv2、EBGP交换路由信息；

    （2）CE路由器使用标准的路由软件；

    （3）PE路由器必须维护多个分离的路由表；

    （4）全局路由表包括所有的PE路由，通过VPN骨干（即ISP）IGP生成；

    （5）如果不同的CE使用相同的路由信息，则与相连的端口使用相同的VRF；

    （6）由CE收到的路由放入相应的VRF；

    （7）通过使用VRF，不同VPN可以使用相同的地址空间。

    3．M

    4、PLSVPN数据转发模型

图4M

    PLSVPN数据转发模型

    （1）在全局路由表内,PE路由器存储了IGP路由和与其相关的标签，该标签通过LDP/TDP分发；

    （2）在VRF内,PE路由器存储了VPN路由和与其相关标签，该标签通过MP-BGP分发；

    （3）MPLSVPN使用两级标签转发数据，外部标签为由IGP产生，对应远端PE地址，该PE地址为MP-BGP内VPN路由的下一跳，内部标签对应VPN路由，用于区分不同VRF。

    三、建设方案

    考虑到各方面因素，本方案以南京电信宽带城域网中四个PE为核心，达到基本覆盖全南京市各个城区和郊县为目的。该方案具有技术先进、大容量、高带宽、接入方式灵活等特点，完全可以作为政府和企业网上办公的公用网络。

    1、

    1．PE点的选择

    目前，网上LSR共有26台Catalyst6509交换机，分为大容量节点和中容量节点两类。大容量节点每台配置2块交换引擎模块，1块SFM模块，3块16端口GE模块，剩余3个空槽位；中容量节点每台配置2块交换引擎模块，1块SFM模块，1块16端口GE模块，剩余5个空槽位。

    通过Catalsyt6509开展MPLSVPN业务，必须使用OSM模块，目前共有4块4端口GEOSM模块，为了不对网络核心设备产生影响，选择4台LSR作为试验网设备，每台LSR设备安装1块OSM模块。作为试验设备的LSR应该具备一定的用户接入需求、光路资源丰富等条件，以方便调配光路由，接入用户。综合多方面的因素，最终选择PE1、PE2、PE3、PE4共4个节点作为试验节点。

    2．MPLS-VPN网络连接

    为了连接更多的设备，用户接入设备仍然连接到普通以太网端口，同时使用1个普通以太网端口连接到OSM端口，在接入用户设备的以太网端口和连接OSM模块的以太网端口之间采用二层桥接方式实现二层连接。

    为了满足各个用户的就近接入，可以采用接入层设备MA5200将MPLSVPN用户透传到LSR的方法，对于没有OSM模块的LSR，可以在该LSR与具有OSM模块的LSR之间增设光纤连接，将其MPLSVPN用户透传到OSM模块的方法来解决。

    3．VLAN用户接入方式

    用户接入方式无论是FTTX+LAN接入还是XDSL接入均是将用户VLAN透传至PE。

    4．VLAN规划

    Catalyst6509交换机目前支持1000个VLAN。每个LSR的1－100号VLAN用于LSR和ZAN的互联，VLAN101－1000给VPN用户用，每个LSR预分配100个VPNVLAN,剩余VLAN机动分配 。最新的12.1(13)E可支持4096个VLAN（802.1Q的最大值）。

    5．VPN用户IP地址分配

    用户可以自己分配地址，也可以由局方分配。

    6．MPLSPE配置

    该配置是指四个PE的配置，包括以下几个方面：

    （1）MPLSPE地址分配。包括Loopback1地址和相互之间的互连地址分配、用户地址分配等；

    （2）ISIS编码规则的确定。用49.0001.xxxx.xxxx.xxxx.00表示，其中xxxx.xxxx.xxxx为loopback1地址；

    （3）RD（路由区分符）规则的确定。可以使用AS号（16bit）＋自定义号码（32bit）的方式。AS号就用南京BIP的BGPAS号64512。自定义号码可以从100开始；

    （4）PE配置包括配置loopback地址，启动MPLS；配VRF，PE-CE路由；配MBGP，PE-PE路由等。

    7．未作为PE的LSR和作为PE的LSR连接

    通过重新申请光路由来连接PE的LSR和非PE的LSR，将非PE的LSR的信息通过2层透传到PE的LSR中再做处理。

    8．PE和CE的路由选择

    PE和CE之间的路由采用普通路由的方式来联系。路由方式可采用包括OSPF，RIPv2，EBGP和静态路由等在内的路由方式。

    四、方案实现

    为讨论方便，以某政府VPN网部分用户为例。

    1．MPLSVPN组网图

图5 MPLS VPN组网图

    图中，MPLSVPNPE点有四个，它们均含有OSM摸块。

    PE1点通过7/10下联玄武大厦MA5200，玄武大厦MA5200通过0/1和0/2口下挂两台2403F交换机，每台交换机各下挂一个信息点，兰园点的vlan号为102，信息中心点的vlan号为101。

    后宰门LSR通过8/4下挂后宰门MA5200，后宰门MA5200通过1/3下挂2403F交换机，交换机下有一个信息点后宰门，vlan号为301。

    该图主要实现某政府网中兰园、信息中心和后宰门三个点的VPN。

    2．地址分配

    3．ISIS编码规则

    用49.0001.xxxx.xxxx.xxxx.00表示，其中xxxx.xxxx.xxxx为loopback 1地址

    PE1：49.0001.0100.0200.1001.00

    PE2：49.0001.0100.0200.1002.00

    PE4：49.0001.0100.0200.1003.00

    PE3：49.0001.0100.0200.1004.00

    4．RD规则

    可以使用AS号（16bit）＋自定义号码（32bit）的方式。AS号就用南京BIP的BGPAS号64512。自定义号码可以从100开始。这样，某政府的vrfrd号就是64512:101。

    5．PE1点的配置

    配置loopback接口、启动MPLS；配MBGP，PE－PE路由。

    以在PE1普通GE口7/10下联5200上信息中心点和兰园点开通某政府VPN网为例，其中信息中心在鼓楼5200下0/2口2403F的第24口，VLAN号为101；兰园在鼓楼5200下0/1口2403F的第24口，VLAN号为102。

    6．玄武大厦MA5200的配置

    兰园点VLAN号为102的透传；信息中心点VLAN号为101的透传。

    7．2403F交换机的配置

    在5200上先进入2403配置模式，用setport和set vlan 命令设置VLAN及包含的端口。兰园点所对应的2403F交换机24口VLAN号配为102。信息中心点所对应的2403F交换机24口VLAN号配为101。

    8．PE4点的配置

    配置loopback接口、启动MPLS；配MBGP，PE－PE路由。

    以在后宰门LSR普通GE口8/4下联5200上后宰门点开通某政府VPN网为例，其中后宰门点在后宰门MA5200下1/3口2403F的第24口，VLAN号为301；由于后宰门LSR不具备开通MPLSVPN的条件，重新打开一条光路将后宰门LSR的9/1和PE4的9/2口连接，通过二层透传的方式来开通MPLS。配置项为：PE4配VRF，PE－CE路由；PE4验证VPN的配置；PE4的9/2口配置；后宰门LSR9/1口的二层配置；将后宰门6509和5200的互联接口配成TRUNK等。

    9．后宰门MA5200的配置

    后宰门点VLAN号为301的透传。

    10．2403F交换机的配置

    在5200上先进入2403配置模式，用setport和set vlan 命令设置VLAN及包含的端口。后宰门点所对应的2403F交换机24口VLAN号配为301。