（中國電信股份有限公司廣州研究院，廣東 廣州 510630）

運營技術(shù)廣角

基于SDN的政企vCPE VPN業(yè)務(wù)研究

扶奉超，王鵬，謝元寶

（中國電信股份有限公司廣州研究院，廣東 廣州 510630）

SDN已成為當(dāng)前的研究熱點。用SDN技術(shù)實現(xiàn)vCPE的主要思想是通用硬件+軟件的方式實現(xiàn)CPE，同時用SDN控制器集中管理vCPE，并提供開放的北向可編程接口。采用此方法，不僅可以為政企客戶提供豐富的增值業(yè)務(wù)，還可以加快政企客戶業(yè)務(wù)部署速度，增強業(yè)務(wù)靈活部署的能力。提出了基于SDN技術(shù)的vCPE模型，并研究采用vCPE后，如何根據(jù)企業(yè)不同的需求實現(xiàn)VPN業(yè)務(wù)的問題。提出了3種適用于vCPE的VPN技術(shù)，即VxLAN VPN、MPLS協(xié)議VPN和IPSec VPN，并從多角度比較了3種方法的優(yōu)劣。此外還提出VxLAN VPN、MPLS VPN和IPSec VPN的融合方案，在保證VPN業(yè)務(wù)高安全性的同時，分別保持VxLAN VPN低成本的優(yōu)勢和MPLS VPN高傳輸速率和QoS保障的優(yōu)勢，從而使得政企客戶能夠根據(jù)自身帶寬、安全性和時延等需求，選購靈活的隨選VPN產(chǎn)品。

vCPE；軟件定義網(wǎng)絡(luò)；虛擬專用網(wǎng)；VxLAN；多協(xié)議標(biāo)簽交換；IPSec

1 引言

運營商一直以來為客戶提供高效可靠的服務(wù)。但隨著業(yè)務(wù)的快速發(fā)展，現(xiàn)有的架構(gòu)越來越難以滿足業(yè)務(wù)快速開通、高效運維、靈活可編程、面向客戶定制等新的需求[1]。SDN（software defined networking，軟件定義網(wǎng)絡(luò)）技術(shù)可以為解決上述問題提供借鑒。SDN針對的是網(wǎng)絡(luò)架構(gòu)問題，其核心思想是將網(wǎng)絡(luò)的控制平面和轉(zhuǎn)發(fā)平面相分離，利用集中化的控制平面對網(wǎng)絡(luò)進行端到端調(diào)度，并開放可編程北向接口[2]。目前，SDN技術(shù)已經(jīng)成為業(yè)內(nèi)研究熱點，國內(nèi)三大運營商正在積極嘗試采用SDN技術(shù)進行網(wǎng)絡(luò)升級和演進，如中國電信集團公司于2016年公布了《CTNet2025重構(gòu)網(wǎng)絡(luò)白皮書》[3]。

作為引進SDN方案的試探，運營商首選在數(shù)據(jù)中心和城域網(wǎng)進行SDN實驗。政企客戶對運營商十分重要，在運營商的收入中占比很大。對客戶來說，VPN（virtual private network，虛擬專用網(wǎng)）可以實現(xiàn)不同分公司之間以及企業(yè)和數(shù)據(jù)中心之間的互聯(lián)互通，是最重要的互聯(lián)網(wǎng)業(yè)務(wù)[4]；對運營商來說，VPN業(yè)務(wù)是政企客戶收益最高的業(yè)務(wù)，必須要十分重視。然而目前政企客戶面臨著VPN業(yè)務(wù)開通緩慢、流程復(fù)雜、費用高以及不能根據(jù)客戶需求提供其他個性化服務(wù)的問題。針對這個問題，本文研究基于SDN的vCPE（virtual customer premise equipment，虛擬用戶駐地設(shè)備）方案。本方案通過用通用x86服務(wù)器+軟件的方式實現(xiàn)CPE（customer premise equipment，用戶駐地設(shè)備），實現(xiàn)CPE的軟/硬件解耦。SDN控制器用OpenFlow、BGP等協(xié)議集中管理vCPE，并提供開放的可編程接口，能夠開發(fā)豐富的增值業(yè)務(wù)，實現(xiàn)用戶網(wǎng)絡(luò)隨選功能（即根據(jù)客戶需求，快速開通相關(guān)業(yè)務(wù)）。采用SDN實現(xiàn)vCPE后，傳統(tǒng)的VPN業(yè)務(wù)實現(xiàn)方式將會受到影響，因此在vCPE網(wǎng)絡(luò)中如何快速地根據(jù)客戶需求開通VPN業(yè)務(wù)是個問題。

目前業(yè)內(nèi)的標(biāo)準(zhǔn)化組織、運營商和設(shè)備商正積極開展vCPE研究。在標(biāo)準(zhǔn)化組織方面，最為積極的是 BBF（Broadband Forum）組織，并于2016年6月發(fā)布了vCPE技術(shù)標(biāo)準(zhǔn)[5]，主要規(guī)范了 vCPE技術(shù)要求和管理要求等方面。然而業(yè)內(nèi)研發(fā)進展較為緩慢，大多處于解決方案、探索方案階段。據(jù)筆者所知，現(xiàn)有文獻中還未出現(xiàn)過如何用SDN技術(shù)實現(xiàn)vCPE以及vCPE中如何實現(xiàn)VPN業(yè)務(wù)的相關(guān)研究成果，因此本文具有一定的創(chuàng)新性。

本文主要研究了如何利用SDN技術(shù)實現(xiàn)vCPE的問題以及vCPE中如何實現(xiàn)政企VPN業(yè)務(wù)的問題。并介紹了3種最有應(yīng)用前景的VPN技術(shù)，分別是以VxLAN（virtual extensible localarea network，虛擬擴展局域網(wǎng)）為代表的overlay VPN技術(shù)、IPSec（internet protocol security，Internet協(xié)議安全）VPN技術(shù)和MPLS（multi-protocol label switch，多協(xié)議標(biāo)簽交換）VPN技術(shù)，分析了3種VPN技術(shù)的優(yōu)缺點和成熟度，并簡要討論了VPN技術(shù)的融合方案，綜合不同VPN技術(shù)的優(yōu)勢，為用戶提供安全可靠的VPN業(yè)務(wù)。

2 基于SDN的vCPE模型

圖1 基于SDN的vCPE模型

圖1為基于SDN的vCPE模型。其中，vCPE是放置于政企的接入網(wǎng)關(guān)，可以用x86服務(wù)器的通用硬件+軟件的形式構(gòu)建，也可以采用具備WAN口、WLAN口、以太網(wǎng)口等接口的專用設(shè)備實現(xiàn)。通過虛擬化技術(shù)，可在vCPE上加載不同軟件應(yīng)用，從而可以實現(xiàn)向后兼容、業(yè)務(wù)快速部署和靈活擴展。SDN控制器與vCPE的接口為南向接口。SDN控制器利用OpenFlow、NetConf等南向接口協(xié)議作為轉(zhuǎn)發(fā)控制分離協(xié)議，主要負(fù)責(zé)控制器和vCPE之間的數(shù)據(jù)交互，包括控制器下發(fā)的各種控制信息，如各種流表，也包括vCPE上報的狀態(tài)信息、拓?fù)湫畔?、告警信息等[6]。業(yè)務(wù)編排器負(fù)責(zé)業(yè)務(wù)編排，可以提供服務(wù)在線銷售的服務(wù)。政企客戶可以通過 App客戶端或者 portal（門戶）頁面直接快速訂購一些有特定網(wǎng)絡(luò)帶寬和要求的即時開通服務(wù)。業(yè)務(wù)編排器與SDN控制器的接口為北向接口，一般采用RESTful協(xié)議、NetConf協(xié)議等實現(xiàn)。業(yè)務(wù)編排層通過調(diào)用SDN控制層可以提供VPN服務(wù)、防火墻服務(wù)以及其他增值服務(wù)。提供服務(wù)時，由 SDN控制器內(nèi)部的程序完成業(yè)務(wù)，而業(yè)務(wù)編排層不需要關(guān)心網(wǎng)絡(luò)內(nèi)部到底如何實現(xiàn)此業(yè)務(wù)[2]。

3 基于SDN的政企客戶VPN實現(xiàn)方法

VPN是指虛擬專用網(wǎng)技術(shù)，可以將物理上分布在不同地方的網(wǎng)絡(luò)通過公用骨干網(wǎng)或其他網(wǎng)絡(luò)連接成邏輯上的虛擬子網(wǎng)[4]。具有不同分支的企業(yè)及機構(gòu)有VPN的業(yè)務(wù)需求，以實現(xiàn)總部與分部之間、分部與分部之間的二層訪問。此外，有些企業(yè)也有企業(yè)和IDC（internet data center，互聯(lián)網(wǎng)數(shù)據(jù)中心）間的VPN業(yè)務(wù)需求。對CPE采用SDN技術(shù)會對VPN業(yè)務(wù)的開通方式及實現(xiàn)方式產(chǎn)生影響。基于SDN的vCPE政企VPN業(yè)務(wù)開通流程如下。

首先，客戶在App客戶端或者門戶上申請VPN業(yè)務(wù)，綜合考慮性能和價格，選擇帶寬、時延、分組丟失率、安全性等參數(shù)，下單選中VPN業(yè)務(wù)。業(yè)務(wù)編排器收到VPN業(yè)務(wù)開通請求后，通過北向接口向SDN控制器下發(fā)控制信息。SDN控制器收到VPN開通要求后，配置網(wǎng)絡(luò)等資源，下發(fā)相應(yīng)流表，在vCPE處或者其他網(wǎng)絡(luò)端點建立VPN隧道并控制vCPE的轉(zhuǎn)發(fā)行為，從而實現(xiàn)VPN業(yè)務(wù)。

傳統(tǒng)通過CPE實現(xiàn)VPN業(yè)務(wù)有以下幾種方式，即 MPLS VPN、幀中繼、IPSec VPN等。采用vCPE后，除了用傳統(tǒng)的方式實現(xiàn)VPN外，還可以用以VxLAN為代表的overlay技術(shù)實現(xiàn)。接下來，本文將重點闡述vCPE中實現(xiàn) VPN的 3種主要技術(shù)，即VxLAN VPN、MPLS VPN和IPSec VPN，比較3種技術(shù)的優(yōu)缺點，并結(jié)合3種方案的優(yōu)缺點，提出融合方案。

3.1 VxLAN VPN技術(shù)

VxLAN技術(shù)是一種L2 over UDP的隧道技術(shù)。利用VxLAN技術(shù)可以實現(xiàn)不同物理位置網(wǎng)絡(luò)的大二層連接，同時對現(xiàn)網(wǎng)的改動很小。VxLAN利用 24 bit的 VNID（VxLAN network identifier）區(qū)分不同的用戶和業(yè)務(wù)，約為16 MB，遠(yuǎn)遠(yuǎn)超過VLAN網(wǎng)絡(luò)號僅12 bit的限制。與一般的隧道技術(shù)一樣，VxLAN技術(shù)也需要兩端有隧道的端點。VxLAN中的隧道端點稱為 VTEP(VxLAN tunneling end point，VxLAN隧道終端)[7]。

圖2為VxLAN VPN示意。以企業(yè)A和分公司通信為例，在vCPE收到SDN控制器下發(fā)的控制信息后，VxLAN VPN實現(xiàn)過程如下。

企業(yè)A內(nèi)用戶的以太網(wǎng)數(shù)據(jù)幀在達到VTEP后，首先進行封裝，也就是把 Ethernet數(shù)據(jù)幀（frame）封裝到UDP報文中，然后把用戶的報文送到IP網(wǎng)絡(luò)并在公網(wǎng)進行IP路由和轉(zhuǎn)發(fā)，傳遞到分公司后，在分公司的VTEP進行解封裝操作，并將符合以太網(wǎng)格式要求的用戶數(shù)據(jù)傳到用戶。與普通的IP通信相比，整個過程的實現(xiàn)僅需要在兩端vCPE中增加VTEP功能，而中間的其他網(wǎng)絡(luò)和設(shè)備可以保持不變。

可以看出，利用VxLAN技術(shù)建立VPN隧道的方法比較簡單，對現(xiàn)有基礎(chǔ)網(wǎng)絡(luò)改動較小。VxLAN VPN由于在骨干網(wǎng)上跟普通IP轉(zhuǎn)發(fā)沒什么區(qū)別，僅需要改動vCPE，企業(yè)可以只開通普通的IP互聯(lián)網(wǎng)業(yè)務(wù)，與以往的VPN專線業(yè)務(wù)相比，成本低很多。因此VxLAN VPN是一種成本非常低的VPN，非常適合于價格敏感的小企業(yè)或其他企業(yè)。

圖2 VxLAN VPN示意

3.2 MPLS VPN技術(shù)

雖然VxLAN VPN實現(xiàn)方式簡單、價格低廉，但并不能

保證Differ-Serv（differentiated service）的QoS（qualityofservice，服務(wù)質(zhì)量），而MPLS能夠和Differ-Serv完美配合，提供QoS功能。因此對價格不敏感，而對服務(wù)質(zhì)量更加敏感的中大型企業(yè)更加適合MPLS VPN[8]。

在MPLS網(wǎng)絡(luò)中，路由器在轉(zhuǎn)發(fā)數(shù)據(jù)分組前，無需像傳統(tǒng)IP轉(zhuǎn)發(fā)一樣，讀取分組頭和IP地址，只需要根據(jù)封裝在IP頭外面的標(biāo)簽進行精確匹配和轉(zhuǎn)發(fā)即可，可以大大提高轉(zhuǎn)發(fā)效率。同時路由器可以對所傳數(shù)據(jù)分組提供QoS分級，從而大幅提高了網(wǎng)絡(luò)服務(wù)品質(zhì)。以企業(yè)A和分公司通信為例，vCPE中MPLS VPN實現(xiàn)過程如下。

業(yè)務(wù)編排器收到客戶MPLS VPN業(yè)務(wù)申請后，通過北向接口下發(fā)控制信息至SDN控制器。接著SDN控制器對vCPE下發(fā)流表信息。此外，SDN控制器還需要與傳統(tǒng)的MPLS管理系統(tǒng)進行對接通信，在 PE處創(chuàng)建 MPLS instance（實例），根據(jù)用戶需求指定 Differ-Serv QoS，在MPLS網(wǎng)絡(luò)內(nèi)創(chuàng)建虛擬鏈路VPN。VPN建立后，MPLS VPN數(shù)據(jù)轉(zhuǎn)發(fā)過程如下。

公司A的vCPE收到用戶私網(wǎng)數(shù)據(jù)或二層數(shù)據(jù)報文后，根據(jù)路由信息將數(shù)據(jù)報文傳遞至PE，PE在數(shù)據(jù)報文打上MPLS標(biāo)簽后，根據(jù)預(yù)先設(shè)定的MPLS路徑，將MPLS數(shù)據(jù)分組傳送至分公司的PE。PE剝離數(shù)據(jù)報文的標(biāo)簽，并將符合要求的私網(wǎng)數(shù)據(jù)或二層數(shù)據(jù)傳遞給目的用戶，從而完成了MPLS VPN通信過程。分公司與公司A的通信也是如此。

可以看出，vCPE采用MPLS VPN具有如下優(yōu)點：首先傳輸速度快，數(shù)據(jù)分組不再需要復(fù)雜的路由或封裝，而是根據(jù)精確匹配的標(biāo)簽值直接在指定的路徑上傳遞；其次，MPLS可以根據(jù)用戶的需求，保障用戶QoS，如為分組丟失敏感型視頻業(yè)務(wù)和時延敏感型的語音業(yè)務(wù)提供保障；最后，MPLS VPN可以利用現(xiàn)有的MPLS網(wǎng)絡(luò)，不需要進行改動，這對于平滑演進SDN相當(dāng)重要。

3.3 IPSec VPN技術(shù)

VxLAN VPN和MPLS VPN有著各自的優(yōu)點，但兩者的安全機制均不完善。IPSec VPN提供了完整的保護機制，包括訪問控制、無連接的完整性認(rèn)證、抗重傳和數(shù)據(jù)保密等，從而有效地保護了數(shù)據(jù)分組的安全[9]。IPSec VPN的實現(xiàn)方式類似于VxLAN。實現(xiàn)流程如下：SDN控制器下發(fā)流表至vCPE。首先vCPE根據(jù)IPSec協(xié)議，對數(shù)據(jù)分組進行認(rèn)證和加密，并在vCPE和對端vCPE處進行數(shù)據(jù)分組封裝和解封裝的操作，然后vCPE將符合要求的私網(wǎng)數(shù)據(jù)或二層數(shù)據(jù)傳送給目的用戶。骨干網(wǎng)絡(luò)進行普通的IP路由和轉(zhuǎn)發(fā)，感知不到隧道的存在。值得注意的是，IPSec VPN由于要進行認(rèn)證、保密協(xié)商等過程，可能存在較大的時延。由于篇幅有限，本文不詳述IPSec VPN。

3.4 3種技術(shù)的優(yōu)缺點及融合方案

綜上所述，3種技術(shù)的優(yōu)缺點見表1。

表1 vCPE中3種VPN技術(shù)對比

由表1可以看出，3種VPN技術(shù)各有優(yōu)缺點，適合的場景也不一樣。MPLS VPN和IPSec VPN比較成熟，已廣泛用于其他場景，僅需要進行較簡單的系統(tǒng)對接和改造就可以實現(xiàn)。而對于VxLAN VPN，雖然短期看來，還未開發(fā)出支持VxLAN技術(shù)的vCPE設(shè)備，但VxLAN技術(shù)應(yīng)用越來越廣泛，目前已有跨IDC（internetdata center，互聯(lián)網(wǎng)數(shù)據(jù)中心）實現(xiàn)互聯(lián)互通的成功經(jīng)驗，vCPE支持VxLAN是趨勢。長遠(yuǎn)來看，此3種技術(shù)均有一定的應(yīng)用價值，成熟度也會逐漸提高。

此外，MPLS VPN和VxLAN VPN安全性不強，可以考慮將IPSec VPN分別與MPLS VPN和VxLAN VPN融合起來，使得VPN功能更強大，性能也更優(yōu)越。IPSec VPN與MPLS VPN和VxLAN VPN的融合操作簡單，只需要在隧道端點處對原有數(shù)據(jù)分組增加相應(yīng) IPSec分組頭即可。VxLAN VPN與IPSec VPN集成起來可以構(gòu)建低成本、高安全性的VPN。MPLS與IPSec集成起來可以構(gòu)建提供Differ-Serv QoS、傳輸速率快，同時安全性高的VPN。由于篇幅有限，本文不再詳述。

4 結(jié)束語

基于SDN的vCPE可以為政企用戶提供各類豐富的增值業(yè)務(wù)，并提供快速開通、靈活擴展業(yè)務(wù)的能力，是vCPE未來發(fā)展的趨勢之一。引入vCPE會影響傳統(tǒng)政企VPN業(yè)務(wù)的實現(xiàn)方式。本文總結(jié)了 3種VPN技術(shù)，即VxLAN VPN、MPLS VPN和IPSec VPN，并分析了3種技術(shù)的優(yōu)缺點、近期和遠(yuǎn)期解決方案的成熟度和適用場景。本文還簡要介紹了VxLAN VPN、MPLS VPN分別與 IPSec VPN的融合方案，可以在保證VPN業(yè)務(wù)高安全性的同時，分別保持VxLAN VPN低成本的優(yōu)勢、MPLS VPN的高傳輸速率和提供豐富QoS的優(yōu)勢。由于vCPE研究領(lǐng)域較新穎，業(yè)內(nèi)與CPE相關(guān)的CPE、SDN控制器和業(yè)務(wù)編排器等產(chǎn)品均較少，驗證vCPE中政企VPN業(yè)務(wù)的性能較為困難。因此本文僅從理論上進行了分析，未來的研究中將進行更多的實驗驗證。

[1] 程偉強,李晨.電信級SDN在運營商網(wǎng)絡(luò)中的應(yīng)用研究[J].電信技術(shù),2016(3):52-55. CHENG W Q,LIC.Research on application of telecom level SDN in carrier network[J].Telecommunications Technology,2016(3): 52-55.

[2]ONF.Carrier grade SDN framework draft[EB/OL].(2016-01-13)[2016-11-01].http://wenku.baidu.com/link?url=_VZeUBc1 GCVZhZbh4jiy2C4oMuV3N8sZ9Pqf5pG3Jrb7JN9sgcxWTjAhM9 Bz1T54KIZmPIdGYHiHoZZOhPCb4Pel8CWe2fT0iy-DmkeBkbq.

[3]中國電信.CTNet-2025網(wǎng)絡(luò)架構(gòu)白皮書[R/OL].(2016-07-11)[2016-11-01].http://wenku.baidu.com/link?url=b--YDer0tku JUTHVR7gwBAFHfsB_WUKeplYZ_9e2pMIdGIotYv7f0 wtzwojk-G8lGHEqSaSTrmPg9BHnNmFd5A-b_i1IITclRFgHuov6iD47. China Telecom.CTNet-2025 network architecture white paper [R/OL].(2016-07-11)[2016-11-01].http://wenku.baidu.com/ link?url=b-YDer0tkuJUTHVR7gwBAFHfsB_WUKeplYZ_9e2p MIdGIotYv7f0wtzwojkG8lGHEqSaSTrmPg9BHnNmFd5A-b_i1IIT clRFgHuov6iD47.

[4]蔣東毅,呂述望,羅曉廣.VPN的關(guān)鍵技術(shù)分析[J].計算機工程與應(yīng)用,2003(15):173-177. JIANG D Y,LV S W,LUO X G.Analysis on the key techniques in VPN[J].Computer Engineering and Applications,2003(15): 173-177.

[5]BBF.Network enhanced residential gateway issue 01:TR-317[S]. 2016.

[6] 鄭毅,華一強,何曉峰.SDN的特征、發(fā)展現(xiàn)狀及趨勢[J].電信科學(xué),2013,29(3):84-88. ZHENG Y,HUA Y Q,HE X F.Characteristics,development and future ofSDN[J].Telecommunications Science,2013,29(3):84-88.

[7]WEERASINGHE J,ABEL F.On the cost of tunnel endpoint processing in overlay virtual networks[C]//IEEE/ACM 7th International Conference on Utility and Cloud Computing(UCC), Dec 8-11,2014,London,England.New Jersey:IEEE Press, 2014:756-761.

[8]武威,石晶林,勾學(xué)榮.寬帶MPLS網(wǎng)絡(luò)技術(shù)綜述[J].電信科學(xué),2000,16(9):9-13. WU W,SHIJ L,GOU X R.Overview ofbroadband MPLS network technology[J].Telecommunications Science,2000,16(9):9-13.

[9]朱昌盛,余冬梅,朱昌鋒,等.將IPSec與MPLS技術(shù)結(jié)合構(gòu)建虛擬專用網(wǎng)絡(luò)[J].計算機應(yīng)用研究,2003,20(7):71-74. ZHU C S,YU D M,ZHU C F,etal.Constructing the virtualprivate networks by combining IPSec and MPLS[J].Application Research of Computers,2003,20(7):71-74.

Research on VPN service for government and enterprise custom ers in SDN-based vCPE networks

FU Fengchao,WANG Peng,XIE Yuanbao
Guangzhou Research Institute of China Telecom Co.,Ltd.,Guangzhou 510630,China

SDN technology has been studied widely recently.The main idea of SDN-based vCPE is using custom hardware and software to replace CPE.All vCPEs are managed by the SDN controller in a centralized way and the open programmable north interface can be provided.In this way,not only a wealth of value-added services can be provided for government and enterprise customers,but also the pace of deploying services can be speeded up and the flexibility can be enhanced.A SDN based vCPE model was proposed and the problem of how to realize VPN services for government and enterprise customers in SDN-based vCPE networks according to their own needs was researched.Three VPN technologies of VxLAN VPN,MPLS VPN and IPSec VPN were proposed and they were compared from different perspectives.In addition,fused schemes were proposed to combine the advantages in security,transmission rate and QoS,so that government and enterprise customers can select flexible VPN products according to their own needs in bandwidth,security,delay and others.

vCPE,softwave defined networking,virtual private network,VxLAN,MPLS,IPSec

TP393

：A

10.11959/j.issn.1000-0801.2017053

扶奉超（1991-），女，中國電信股份有限公司廣州研究院數(shù)據(jù)通信工程師，主要從事寬帶接入網(wǎng)技術(shù)的研究工作。

王鵬（1973-），男，中國電信股份有限公司廣州研究院高級工程師，主要從事寬帶接入網(wǎng)技術(shù)的研究工作。

謝元寶（1989-），男，中國電信股份有限公司廣州研究院移動通信工程師，主要從事LTE網(wǎng)絡(luò)關(guān)鍵技術(shù)的研究工作。

2016-11-09；

2017-02-18