中國電信股份有限公司廈門分公司 林 慰

MPLS VPN用戶組網(wǎng)分析及解決方案

中國電信股份有限公司廈門分公司 林 慰

電信目前為客戶提供的MPLS VPN組網(wǎng)解決方案是一種基于PE的L3 VPN技術(shù)，使用BGP協(xié)議在城域網(wǎng)上發(fā)布VPN路由，使用MPLS在城域網(wǎng)上轉(zhuǎn)發(fā)VPN報文，實現(xiàn)用戶組建私網(wǎng)需求。MPLS VPN用戶的網(wǎng)絡(luò)組網(wǎng)模型與實際業(yè)務(wù)配置需求存在互相影響，容易導致部分分支點業(yè)務(wù)需求出現(xiàn)異常。

MPLS VPN；組網(wǎng)；PE；CE；中心點；分支點

一、現(xiàn)狀分析

用戶采用的基本組網(wǎng)模型主要為如下兩種：

1.全網(wǎng)狀模型（any-to-any）

全網(wǎng)狀組網(wǎng)強調(diào)網(wǎng)絡(luò)的互通性，確保VPN所有站點互聯(lián)互通，適合不同部門或分支機構(gòu)有頻繁業(yè)務(wù)來往的企業(yè)組網(wǎng)需要。

2.星型組網(wǎng)（Hub-Spoke）

適合主從架構(gòu)的機構(gòu)組網(wǎng)需要，目前大部分企業(yè)和政府部門屬于這種架構(gòu)，在這種架構(gòu)中，保證分支機構(gòu)和總部直接通性，而防止分支機構(gòu)直接訪問，實現(xiàn)VPN訪問的安全性。

具備一定技術(shù)力量的大型私網(wǎng)組成的客戶，一般采用星型組網(wǎng)的方式，依托電信配合，組建適合自身結(jié)構(gòu)的VPN網(wǎng)型。

二、VPN用戶組網(wǎng)異常分析

某衛(wèi)生系統(tǒng)幾家MPLS VPN組網(wǎng)用戶申訴，分支點訪問其他分支點有要求通過中心點或不通過中心點的問題，影響業(yè)務(wù)使用。經(jīng)進一步調(diào)查研究，發(fā)現(xiàn)此類用戶組網(wǎng)均為星型結(jié)構(gòu)并且中心點配置有默認0.0.0.0的路由發(fā)布，在該種配置情況下即會出現(xiàn)如下兩種情況：

1.始發(fā)、末端分支點電路與中心點在不同PE

當始發(fā)分支點和末端分支點電路均于中心點不在相同PE時，分支點之間可利用中心點所在PE的路由轉(zhuǎn)發(fā)實現(xiàn)直接訪問，而不經(jīng)過中心點用戶內(nèi)網(wǎng)CE設(shè)備。具體如圖1所示（圖示為舉例說明，非實際網(wǎng)絡(luò)配置，下同）：

圖1 始發(fā)、末端分支點電路與中心點在不同PE

（1）A分支點學習不到電信云平臺（分支點）內(nèi)10.200.0.73的路由，但能學習到中心點V000004發(fā)布的默認0.0.0.0路由，下一跳為中心點PE設(shè)備IP。

（2）當A分支點預訪問電信云平臺，客戶端的數(shù)據(jù)IP報文依照學習到的默認路由，轉(zhuǎn)發(fā)到中心點所在的PE設(shè)備。

（3）當數(shù)據(jù)報文正常達到中心點所在的PE設(shè)備，因中心點的VPN電路上有所有分支點的接入路由，所以中心點PE直接基于數(shù)據(jù)報文中的目的IP和標簽，轉(zhuǎn)發(fā)至云平臺的PE。

（4）數(shù)據(jù)報文達到云平臺所在的PE，基于MPLS 標簽，正常尋址到云平臺的VPN網(wǎng)內(nèi)的10.200.0.73設(shè)備，實現(xiàn)了正常訪問。

在星型VPN組網(wǎng)內(nèi)，當配置了中心點的默認路由發(fā)布，在其他PE設(shè)備上的同VPN網(wǎng)分支點電路，均能通過學到的中心點默認路由，數(shù)據(jù)報文送達中心點所在PE設(shè)備后，直接選路到達其他分支點的網(wǎng)絡(luò)。如此配置失去了原星型組網(wǎng)中心點安全管控、分支點無法互訪的目的。

2.始發(fā)分支點電路與中心點在相同PE

當始發(fā)分支點與中心點電路在相同PE時，分支點利用學習到的默認路由訪問其他分支點，但因?qū)W到的默認路由下一條是明確的中心點電路接入端口，因此必須經(jīng)過中心點用戶內(nèi)網(wǎng)CE設(shè)備來實現(xiàn)訪問目的。具體如圖2所示。

圖2 始發(fā)分支點電路與中心點在相同PE

圖3 混雜型組網(wǎng)

（1）B分支點學習不到電信云平臺（分支點）內(nèi)10.200.0.73的路由，但能學習到中心點V000004發(fā)布的默認0.0.0.0路由，下一跳為PE設(shè)備上中心點電路的接入端口和用戶CE配置IP。

（2）當B分支點預訪問電信的云平臺，客戶端數(shù)據(jù)報文依照學習到的默認路由，在PE設(shè)備上直接轉(zhuǎn)發(fā)到中心點電路的CE設(shè)備上。

（3）如果中心點VPN內(nèi)網(wǎng)內(nèi)可放通相關(guān)路由訪問，則存在之后的步驟；如中心點VPN內(nèi)網(wǎng)配有安全設(shè)置，則數(shù)據(jù)報文被丟棄或不轉(zhuǎn)發(fā)。

（4）數(shù)據(jù)報文經(jīng)過中心點VPN的CE設(shè)備后，回到中心點所在PE設(shè)備，中心點PE設(shè)備上擁有所有分支點的明細路由，直接基于數(shù)據(jù)報文中的目的IP和標簽，轉(zhuǎn)發(fā)至云平臺的PE。

（5）數(shù)據(jù)報文達到云平臺所在的PE，基于MPLS 標簽和IP報文，正常尋址到云平臺的VPN網(wǎng)內(nèi)的10.200.0.73設(shè)備，實現(xiàn)了正常訪問。

在星型VPN組網(wǎng)內(nèi)，當配置了中心點的默認路由發(fā)布，相同PE設(shè)備上VPN網(wǎng)內(nèi)分支點電路可利用中心點發(fā)布的默認路由，實現(xiàn)訪問其他分支點目的。但數(shù)據(jù)報文必須經(jīng)過中心點VPN的CE設(shè)備轉(zhuǎn)發(fā)，方能實現(xiàn)星型組網(wǎng)需求。

三、解決方案

針對以上的網(wǎng)絡(luò)分析，建議用戶明確業(yè)務(wù)需求，確定組網(wǎng)類型。筆者依據(jù)不同的需求，提供如下組網(wǎng)方案：

1.全網(wǎng)狀模型

改成此網(wǎng)絡(luò)結(jié)構(gòu)，每個分支點可互相訪問，無處不可達。

2.星型組網(wǎng)

維持原有VPN網(wǎng)的配置，取消中心點的默認路由發(fā)布，還原原有星型網(wǎng)結(jié)構(gòu)；為解決分支點互訪的需求，可通過中心點內(nèi)網(wǎng)進行NAT轉(zhuǎn)換的方式實現(xiàn)。例如：分支點A訪問中心點的IP，經(jīng)過中心點轉(zhuǎn)換后指向訪問分支點B。

3.混雜型組網(wǎng)（Hub and Spoke），如圖3所示

該方案適用于：

（1）網(wǎng)絡(luò)形狀為星型組網(wǎng)。

（2）中心點發(fā)布默認路由，可方便實現(xiàn)進行分支點的訪問規(guī)劃及路由部署。

（3）分支點網(wǎng)絡(luò)應(yīng)用，流量一定需通過中心點網(wǎng)絡(luò)進行安全過濾。