广域专网的MPLS VPN应用

1 MPLS VPN应用模式分析

1.1 传统MPLS VPN应用模式

当前，大多数的行业专网的MPLS VPN网络设计采用“路由模式”来组建MPLS VPN骨干网络，通过在广域骨干PE设备上给各业务部门部署VPN的方式实现各业务部门独立承载的需求。企业在进行MPLS VPN规划时，一般是以企业的组织架构或者具体业务来进行VPN的划分，即为企业内的部门或者业务建立各自的虚拟专网。

在进行网络建设和规划时，还需要根据企业具体情况，考虑企业园区网、广域骨干网络以及分支机构局域网中的MPLS VPN网络如何对接从而实现端到端的虚拟化；考虑各地分支机构或基层单位的接入方式；考虑企业internet出口的部署方式；考虑企业总部、各地分支机构以及移动办公人员的统一安全策略控制方式等诸多方案细节。在这种组网思路中，可能会用到实现Internet VPN和MPLS VPN骨干进行无缝对接的VPE技术，或者实现基层单位灵活接入的VRF Selection技术，以及消除VPN间互访安全隐患的单向访问控制技术方案，实现各部门业务流量的智能流量调度方案等诸多非常有特色的具体技术方案。这种MPLS VPN的建网模式在电子政务、公安、电力等很多行业专网中已得到大量的部署的应用。

1.2 MPLS VPN应用模式的新变化：

1.2.1 应用模式新变化的驱动力

随着企业规模的扩张，各业务部门按照部门内部业务职能有了进一步的细分。企业组织架构进一步演变，一部分子业务部门随之而产生。因此，各业务部门内部产生了进一步业务隔离的需求。在这种业务演变的初期，企业一般通过给各业务部门划分多个VPN的方式来应对这种新增的业务承载需求。但随着企业信息化程度的深入，业务部门对网络服务要求的精细化程度不断的快速增长。大量新增的MPLS VPN和对应的网络策略不断的在设备上部署，导致网络设备配置的复杂程度成倍增加，网络的扩展性急剧下降。同时为了避免配置出错，网络维护人员越来越谨慎的评估新的业务需求对网络的影响，使得其对业务部门需求的响应周期变得越来越长。

可见，传统的网络建设模式已经不再适合企业业务高速发展的需求，企业需要一种新的建网模式，进一步简化网络逻辑模型，简化网络配置，提升网络的扩展性，以适应当前企业业务发展的需求。与此同时，为了适应各业务部门工作的快速开展，各部门越来越希望对自己的虚拟专网拥有自行规划和维护的权力及便利。这两方面的需求共同促使部分大型企业的广域网络模型出现了新的变化。

1.2.2 MPLS VPN应用新模型

企业网络运维部门和业务部门都希望将部门自有纵向业务的网络规划、建设和维护交给各部门进行自行实施建设，而网络运维部门则负责跨部门的企业横向公共业务（如，视频会议，IP语音，公共资源访问等）的承载和维护，这样势必要求在一张物理网络中融合提供“路由”和“管道”两种业务承载模式。

企业广域骨干网络利用MPLS L2VPN给每个业务部门提供L2通道，连接各部门自有CE设备，构建出各部门的虚拟专网承载部门纵向私有业务。与此同时，利用MPLS L3VPN接入企业横向公共业务。这两种接入方式均在骨干PE设备上同时提供，通过物理接口或逻辑子接口进行区分。具体模型如图4所示。

图4 MPLS VPN应用新模型示意图

1.2.3 新模型下的网络管理界面

企业各部门私有业务和企业公共业务的承载模式不同，因此其管理界面也有所差异。管理模式与图5所示。? 

◆部门纵向私有业务承载

运维部门的管理界面延伸到CE路由器侧。骨干部门需要统一制定CE和PE之间的路由通告方式、各业务部门的VPN部署和维护、以及各部门VPN之间的访问策略等。在一些企业为了方便管理还会进一步对各部门IP地址进行统一的规划分配。各业务部门管理自己的CE设备和局域网络。对一些IT维护实力较弱的部门，运维部门也可能对部门CE路由器和局域网进行统一管理。? 

◆企业公共业务承载 

◆运维部门只需要管理到骨干PE路由器，骨干网络PE设备仅提供一条逻辑或物理的二层链路与给各部门CE设备相连，无需路由的交互。各部门自行规划IP地址，路由协议架构、QoS优先级划分等。 

图5 管理模式示意图