广域专网的MPLS VPN应用

随着企业业务和规模的高速发展，越来越多的企业需要一种虚拟技术在同一张物理网络上为每一个部门构建自己虚拟专网，简化网络模型和业务复杂度，从而简化网络的维护复杂度。MPLS VPN技术以其动态的隧道建立机制、高效的标签转发方式以及丰富灵活的业务规划和接入能力以及良好的可扩展性脱颖而出，作为最适用的网络虚拟化技术而得到大量广泛的应用。当前，随着部分超大型企业业务的进一步演进，MPLS VPN的部署模式有了新的变化。

MPLS VPN概述

1.1 MPLS VPN 网络架构概述 

图1 MPLS VPN架构模型示意图

MPLS VPN采用了分层架构模型设计。MPLS VPN骨干网络划分为骨干转发层和业务接入层两个层次。简单来说，MPLS VPN模型由三类设备组成，即P、PE和CE，如图1所示。? 

◆P（Provider）路由器：MPLS VPN网络中的骨干路由器。不感知MPLS VPN上承载的具体的用户业务，仅负责高速转发。? 

◆PE（Provider Edge）路由器：MPLS VPN网络中的边缘业务路由器，与用户的CE直接相连。在MPLS网络中，涉及VPN的所有业务策略都在PE设备部署。? 

◆CE（Customer Edge）设备：用户网络边缘设备，有接口直接与MPLS VPN骨干网络相连。CE不需要支持MPLS。? 

◆PE和CE之间可以是L2或L3链路。? 

◆根据网络具体情况，P和PE两种设备角色可能由同一个物理设备实现。

由P设备组成的骨干转发层不感知接入用户的具体业务，仅负责各PE之间基于隧道（LSP或CR-LSP或GRE）的高速转发；由PE设备组成的业务接入层负责接入用户的业务。各类用户接入策略均在业务接入层来实现，如VPN的划分和用户的接入策略、路由通告策略等。

1.2 MPLS VPN 网络的两种业务承载模式

从MPLS VPN骨干网络和其接入业务的私网路由分发方式的角度来看，MPLS VPN有两种业务承载模式，即管道模式和路由模式。对接入业务的用户来讲，这两种模式的区别除了体现在各业务私网路由协议的规划和路由的分发方式上，也体现在其管理模式上。

1.2.1 路由模式 

图2 路由模式架构图? 

◆骨干网PE路由器需要参与用户业务路由在网络中的发布。骨干网络PE设备之间通过MP-BGP来通告用户业务路由。? 

◆用户CE路由器和骨干网PE路由器之间要制定一定的规范，确定用户业务路由发布到骨干网上的方式。一般来说PE和CE间可以通过IGP、BGP或者静态路由进行业务路由的交换。? 

◆骨干网络维护团队的管理界面延伸到CE路由器侧。骨干部门需要统一制定CE和PE之间的路由通告方式，各业务部门的VPN部署和维护，以及各部门VPN之间的访问策略等。在一些企业为了方便管理还会进一步对各部门IP地址进行统一的规划分配。各业务部门管理自己的CE设备和局域网络。对一些IT维护实力较弱的部门，骨干网络维护团队也可能对部门CE路由器和局域网进行统一管理。? 

◆这种模式依托MPLS L3VPN技术实现

1.2.2 管道模式 

图3 管道模式架构图? 

◆MPLS VPN骨干网络不关心也不参与用户在其上承载的具体业务。仅给用户提供透明的二层通道，不参与用户业务路由在网络中的发布。? 

◆各部门可以自行规划、设计、部署、维护其虚拟专网内部的所有业务。包括，路由架构、VPN规划、安全访问策略等。? 

◆骨干网络维护团队的管理只需要管理到骨干PE路由器。骨干网络PE设备仅提供一条逻辑或物理的二层链路与给各部门CE设备相连，无需路由的交互。各部门自行规划IP地址，路由协议架构、QoS优先级划分等。? 

◆这种模式要求各业务部门有较强的IT维护能力。? 

◆这种模式依托MPLS L2VPN技术实现