城域網(wǎng)是最接近用戶的網(wǎng)絡，它為用戶提供話音、數(shù)據(jù)、圖像、多媒體、IP接入等業(yè)務和各種增值業(yè)務及智能業(yè)務，并與各運營商的長途網(wǎng)互通本市(地)的綜合業(yè)務。作為數(shù)據(jù)骨干網(wǎng)和長途電話網(wǎng)在城域范圍內(nèi)的延伸覆蓋，新一代城域網(wǎng)已不再擔綱著邊緣網(wǎng)絡的角色，它承擔著集團用戶、商用大樓、智能小區(qū)的業(yè)務接入任務和為電路出租任務的用戶提供智能網(wǎng)絡的任務，網(wǎng)絡本身配置智能功能以管理運營商推出各種的IP業(yè)務，并配合其覆蓋面廣、投資量大、接入技術(shù)多樣、接入方式靈活的特點。
　　但是，對于運營商來講，現(xiàn)在最大的問題并不是網(wǎng)絡的改建或者架設，而是他們網(wǎng)絡的收益問題。
　　IP業(yè)務的需求與日俱增，業(yè)務量飛速增長，運營商在收益方面的增長卻強差人意。例如：IP業(yè)務量如果以增加一倍計算，相應的收益可能只是增加了20%左右。因此，運營商面臨的一個亟待解決問題的重點就是如何提高運營效益。
　　過去，用戶寬帶接入的主要方式是DDN、ATM以及FR等，采用這些接入技術(shù)的一個優(yōu)勢就是它們的技術(shù)比較成熟，但是卻亦存在一定的弊端。對于DDN來講，它的一條電路月租費大概在數(shù)千元以上，這對于中小企業(yè)來講是一筆不小的開支，而且在沒有數(shù)據(jù)需要傳遞的時候，該專線就處于閑置狀態(tài)，這對于用戶來講是一種很大的資源浪費。對于ATM，雖然用戶可以在需要的時候再進行帶寬的申請，同時可為用戶提供QoS保證，但是這種技術(shù)的復雜性卻阻礙了它的發(fā)展。因此，運營商需要為用戶提供新的寬帶接入方式，不僅需要減低接入費用，同時亦需要減輕用戶管理的復雜性以吸引更多的用戶。提供新的寬帶接入方式需要新一代的IP邊緣匯聚設備，這些設備在可靠性、可用性、可升級性以及可操作性方面要具有運營商級的標準。在這方面力博通信的SmartEdge800是不錯的一個選擇。
　　在改進寬帶接入方式的同時，運營商更應當致力在他們的城域網(wǎng)上提供更多增值業(yè)務以吸引更多用戶，例如 MPLS-VPN 以及 Multicast Video業(yè)務。由于當前人們對業(yè)務的需求是QoS、私密性、可用性以及可靠性，因此現(xiàn)在用戶提出的新要求是多種業(yè)務類型選擇，如FR、專用IP(PRIVATE IP) 、公用IP(PUBLIC IP) 、多種VPN的選擇、低開銷可管理的業(yè)務、ANY-TO-ANY 業(yè)務及無縫地聚合等。要滿足上面的要求，MPLS是唯一的解決方案。因此在選擇組成網(wǎng)絡的設備的時候，對MPLS的支持是必不可少的一個條件；同時硬件、軟件的可靠性、可用性等都是運營商應該仔細考慮的地方，因為傳統(tǒng)的硬件和軟件建立起來的IP網(wǎng)絡結(jié)構(gòu)已經(jīng)無法滿足用戶的新要求了。
MPLS-VPN技術(shù)在新一代城域網(wǎng)(用戶智能網(wǎng)絡)中的應用
一、MPLS-VPN產(chǎn)生的背景
　　隨著通信行業(yè)不斷發(fā)展，Internet日益成熟壯大起來，對于企業(yè)網(wǎng)的運行模式也有了新的概念。
　　早期企業(yè)網(wǎng)的概念只是局限在某幢大樓內(nèi)的局域網(wǎng)。但是，隨著企業(yè)的不斷發(fā)展，它的分支機構(gòu)可能會分布在全國各地甚至延伸到國外；同時企業(yè)內(nèi)部的信息也從單一的數(shù)據(jù)業(yè)務擴展到語音、視頻與數(shù)據(jù)業(yè)務并存。在這種情況下，如果企業(yè)還是獨立地構(gòu)筑自己的專用網(wǎng)絡，不僅需要大量資金的投入，而且還需要雇用很多建設與維護網(wǎng)絡的人員，這無疑給企業(yè)提出了一個很大的難題。在這種情況下，VPN便應運而生。
　　VPN是建立在運營商網(wǎng)絡邏輯上的一種專用網(wǎng)絡。它通過對網(wǎng)絡數(shù)據(jù)進行封裝和加密，為用戶提供安全的端到端通信，從而利用公網(wǎng)構(gòu)筑專網(wǎng)。
*從邏輯上看，該網(wǎng)絡在物理上是獨立的網(wǎng)絡，但實際上，它們在物理上并不獨立，而是同享一些網(wǎng)絡資源；
*該網(wǎng)絡享有私密性，也就是說，VPN具有獨立的路由功能以及獨立的地址空間。
　　采用VPN的目的就是為用戶提供更高的靈活性、更高的效率以及管理的簡單性。目前既有2層VPN，也有3層VPN。早期的VPN是構(gòu)筑在2層技術(shù)的基礎上的(如FR或者ATM)。這些技術(shù)可以提供安全的隧道，從而防止DoS(拒絕服務)以及闖入攻擊，同時它們還可以提供地址與路由的分離技術(shù)，但是2層技術(shù)構(gòu)筑的VPN有著諸多缺點：它們的可擴展性不佳，而且通過2層VPN技術(shù)也很難提供流量工程，為了解決這些問題，全新的MPLS-VPN 終于出現(xiàn)。
二、MPLS-VPN簡介
　　MPLS以及MPLS-VPN是唯一一個能夠滿足新一代專用網(wǎng)絡業(yè)務的解決方案的技術(shù)。它具有如下的優(yōu)點：
*滿足了企業(yè)網(wǎng)內(nèi)部應用的IP靈活性；
*提供了如FR/ATM一樣的私密性；
*與多種業(yè)務類別之間的強大的SLAs；
*低開銷可管理的業(yè)務。
　　正如前面所講的，為了解決VPN的擴展性問題，人們提出了BGP MPLS-VPN的概念，它是采用3層技術(shù)構(gòu)筑的VPN，它是用BGP協(xié)議在MPLS核心交換路由信息。采用3層技術(shù)構(gòu)筑的VPN具有采用2層技術(shù)構(gòu)筑的VPN的所有安全特性，同時也增加了可擴展性。這個技術(shù)的一個關(guān)鍵部分就是采用BGP以及它的一些擴展特性，也就是所謂的BGP/MPLS VPN 。對于不同的VPN用戶，它們的路由轉(zhuǎn)發(fā)信息是完全分離的。BGP在MPLS核心上通過LDP來轉(zhuǎn)發(fā)這些路由信息。
　　在VPN模型中，VPN站點與運營商的骨干網(wǎng)相連。用戶端的路由器被稱做用戶邊緣(CE)路由器，運營商網(wǎng)絡中第一跳的路由器是運營商邊緣(PE)路由器，而網(wǎng)絡中間節(jié)點的路由器被稱做運營商(P)路由器。
　　用戶邊緣路由器只與運營商邊緣路由器相連，而不與VPN中的其它節(jié)點直接相連，運營商邊緣路由器只接收并保持與其直接相連路由器的有關(guān)VPN的路由信息，所以用戶在管理自己的VPN時會發(fā)現(xiàn)使用MPLS模式時路由配置非常簡單。他們可以把運營商的骨干網(wǎng)當作他們到所有地點的缺省路由來使用，而不需要與非常復雜的、包括了大量2層PVC或3層路由表的網(wǎng)絡打交道。
三、MPLS-VPN的優(yōu)點
　　MPLS能識別不同應用的數(shù)據(jù)包，這保證了QoS的實現(xiàn)，而且實現(xiàn)方法比IP隧道和基于VC的網(wǎng)絡簡單。因為在IP網(wǎng)絡上建設VPN需要隧道或加密，而基于VC網(wǎng)絡(如ATM和幀中繼)建立的VPN是點對點的，需要為每個CPE進行單獨的配置。另外因為在這種網(wǎng)絡上，IP數(shù)據(jù)包的傳輸是在VC通道內(nèi)進行的，所以整個VPN并不知道通信的內(nèi)容和種類。這種方式下，智能化和有策略配置的邊緣設備便可帶給每個通信最大的VC帶寬。這種方式是以連接為中心的，不具備可擴展性，這與IP的商業(yè)應用產(chǎn)生了矛盾，因為IP的商業(yè)應用是圍繞無連接的TCP/IP協(xié)議的。VPN還應當能識別通信的類型，從而將通信根據(jù)應用分類。而且VPN應當對VPN的整個網(wǎng)絡有所了解，這樣運營商可以將不同用戶和服務分組到Intranet VPN或Extranet VPN 。
　　MPLS可以將不同VPN的通信完全隔離，使得無關(guān)用戶的通信不會混雜其中，從而提高了安全性。這是在不必使用隧道和加密的前提下就能完成的。MPLS根據(jù)服務類型來區(qū)分的傳輸方法和完全的QoS策略把運營商原來面向傳輸?shù)姆�務模型轉(zhuǎn)變成為面向服務的模型�；�于MPLS的VPN提供了邏輯上最大的安全性，網(wǎng)絡的安全性是由BGP、IP地址方案、可選的IPSec加密三方面結(jié)合而成的。
　　MPLS-VPN不僅滿足VPN用戶對安全性的要求，還減少了網(wǎng)絡方和用戶方的工作量，可以建立任意的連接，且具有很好的網(wǎng)絡可擴展性。VPN用戶可以延用原有的專用地址，不需要作任何修改，在骨干網(wǎng)絡采用 VPN - ID ，可以保持全網(wǎng)的唯一性。 MPLS VPN還易于提供增值業(yè)務，如不同的COS等。
　　MPLS VPN 適用于對服務質(zhì)量、服務等級劃分以及網(wǎng)絡資源的利用率、網(wǎng)絡的可靠性有較高要求的VPN業(yè)務。用戶邊緣(CE)路由器可以只是一臺IP路由器，它不必支持任何VPN的特定路由協(xié)議或信令。運營商邊緣(PE)路由器實際上就是MPLS中的邊緣標記交換路由器(LER) ，它需要能夠支持BGP協(xié)議、一種或幾種IGP路由協(xié)議以及MPLS協(xié)議，另外，它需要能夠執(zhí)行IP包檢查，協(xié)議轉(zhuǎn)換等功能。一組共享相同路由信息的站點就構(gòu)成了VPN，一個站點可以同時位于不同的幾個VPN之中。
　　VPN的出現(xiàn)給用戶帶來一系列好處，同時也使運營商能夠在充分利用現(xiàn)有網(wǎng)絡結(jié)構(gòu)的情況下，盡可能地為用戶提供更多的新IP業(yè)務，從而吸引更多的用戶，以降低開銷并增加利潤。這些特點要求運營商在選擇路由器的時候，要考慮路由器支持VPN的能力。
用于新一代城域網(wǎng)的典型路由器
　　在路由器產(chǎn)品中，力博通信的SmartEdge800是比較出色的一種新產(chǎn)品，它具備多樣的智能特點以滿足運營商建立新一代城域網(wǎng)(用戶智能網(wǎng)絡)的需求：(1)運營商級的硬件，具有高可用性；(2)高容量以及高端口密度從而可以適應IP業(yè)務快速增長的需求；(3)從最底層構(gòu)筑IP協(xié)議以適應現(xiàn)在以及未來城域網(wǎng)的需求；(4)穩(wěn)定的軟件基礎；(5)模塊化的軟件設計以增強可靠性；(6)將路由和轉(zhuǎn)發(fā)功能分開從而提高系統(tǒng)和網(wǎng)絡的穩(wěn)定性以及可用性；(7)在控制協(xié)議出現(xiàn)故障的時候，可以進行無中斷轉(zhuǎn)發(fā)；(8)采用分布式轉(zhuǎn)發(fā)以提高性能；(9)可編程轉(zhuǎn)發(fā)，簡化操作，方便地增加新業(yè)務；(11)對轉(zhuǎn)發(fā)和路由功能同時進行擴展，從而保證平臺的穩(wěn)定性；(12)可擴展的路由協(xié)議；(13)完整的擁有最新特性的路由協(xié)議集；(14)轉(zhuǎn)發(fā)路徑的靈活性和模塊化可以快速部署新的特性。
除此之外，它還有兩大主要的特色值得關(guān)注：
一、支持虛擬路由器
　　每一個虛擬路由器都可以看成是一個完整的路由器，它具有一個傳統(tǒng)路由器應該具有的一切功能，例如路由表、路由協(xié)議、認證以及IP地址空間等。虛擬路由器支持一個傳統(tǒng)路由器應該支持的一切網(wǎng)絡業(yè)務例如DNS、 Telnet 、Traceroute 、 Syslog等。通過虛擬路由器，運營商可以在一個路由器上提供不同種類的業(yè)務從而無需通過增加新設備來增加新業(yè)務。這在很大程度上為運營商節(jié)約了成本。一臺SmartEdge800可以支持2000個以上的虛擬路由器。
　　支持虛擬路由器對于VPN業(yè)務來講是一個非常理想的特性。任何接口例如專線、ATM、FR或者以太網(wǎng)口都可以和一個機箱內(nèi)的任何一個虛擬路由器綁定，這個特性對于運營商來講非常重要，他們可以非常靈活地為VPN用戶分配接口資源。
　　SmartEdge800的虛擬路由器除了支持BGP MPLS/VPN以外，還支持GREVPN ，它可以通過GRE隧道在PE路由器之間建立VPN，該隧道對于網(wǎng)絡的其它部分來講是透明的。通過 GREVPN ，運營商不需要將他們的核心設備轉(zhuǎn)換成支持MPLS的設備或者建立MP-BGP會話，而且也不需要建立BGP路由反射器以及調(diào)整現(xiàn)存的路由配置或是策略。這樣，運營商就可以在短期內(nèi)提供一種VPN解決方案。
　　如果運營商想最終轉(zhuǎn)移到MPLS網(wǎng)絡， GREVPN 可以做為VPN策略的第一步。另外，在網(wǎng)絡向MPLS演進的過程中，運營商可以提供GRE VPN 。提供MPLSVPN最簡單的方法就是創(chuàng)建一個單獨的虛擬路由器用于BGP/MPLS VPN 業(yè)務，在時機成熟的時候，運營商可以很容易地將用戶轉(zhuǎn)移到新的VPN上。
　　其他廠家路由器中的BGP/MPLS VPN 是通過PE路由器中的VPN VRF(路由與轉(zhuǎn)發(fā)表)來維護一個站點上的轉(zhuǎn)發(fā)信息。VRF可在PE路由器上生成一個專用轉(zhuǎn)發(fā)信息表，但是它不能給終端用戶提供任何可見度以用于VPN的監(jiān)控，甚至也無法驗證到一個VRF的連接性。
　　而SmartEdge800中的虛擬路由器是通過BGP/MPLS VPN 來保證用戶的可見度。每一個PE路由器都能為每一個VPN配置一個虛擬路由器，VPN連接的站點可以聚合到它們專用的虛擬路由器上。這樣，虛擬路由器最終取代了VRF。
二、支持虛擬接口
　　SmartEdge800另一個非常具有競爭力的特性是它支持虛擬接口。通過虛擬接口，運營商只需要一條配置命令就可以將用戶在虛擬路由器之間進行轉(zhuǎn)換。
　　在傳統(tǒng)的路由器中，接口是物理上的概念，許多特性例如業(yè)務策略以及過濾等都是針對物理接口來實施的，當用戶需要轉(zhuǎn)到新的端口的時候，必須對新的端口進行策略以及過濾等方面的再設置，這種轉(zhuǎn)換工作不僅復雜而且容易出錯。
　　而SmartEdge800將物理接口和虛擬接口嚴格區(qū)分開來，虛擬接口只存在于虛擬路由器中，而物理線路是指物理的通信通道，通過該通道進行數(shù)據(jù)包的發(fā)送與接收，只有將線路與接口綁定以后，流量才可以在線路上進行傳送。在SmartEdge800中，綁定是指將一條特定的線路與一個特性的接口聯(lián)系在一起，也就是說將線路綁定到該接口上。
　　在SmartEdge800中，所有的客戶明確特性都與接口發(fā)生關(guān)系而不是與線路發(fā)生關(guān)系。這樣，當用戶需要轉(zhuǎn)到新的線路上的時候，只需要通過一條配置命令將新的線路與接口進行綁定，同時刪除以前的綁定關(guān)系，轉(zhuǎn)移工作就完成了，非常的簡單。如果用戶想要在不同的虛擬路由器之間進行轉(zhuǎn)移也同樣簡單：只需將用戶線路與不同的虛擬路由器中的接口進行綁定就可以了。
　　綜上所述，我們可以看出，對于既要提供新的IP業(yè)務又要節(jié)約開銷的運營商來講，SmartEdge800是一個很好的選擇，它可以讓運營商在城域網(wǎng)激烈的競爭中占據(jù)有利地位。

中國通信網(wǎng)(www.c114.net)—通信產(chǎn)業(yè)報