4.MPLS VPN

　MPLS VPN是利用MPLS标记交换实现的VPN，包括第二层、三层VPN技术。其中，基于BGP三层MPLS VPN具备良好的扩展性、标准化程度好、支持QoS功能，适用于对服务质量有较高要求的商业用户。第二层MPLS VPN技术也发展较快，可以在试验的基础上逐步开展业务。

　4.1 MPLS VPN业务现状1.概述目前，中国电信MPLS VPN业务以原169作为承载网，传送层面以ATM网承载为主，核心节点间的中继电路逐步以SDH来承载。国际MPLS VPN业务通过独立的国际出口和其它国际运营商互联。

　目前VPN用户总数73个，用户节点总数约120个，用户总带宽约为108Mb/s.VPN用户均是大客户。合作运营商主要包括中华电信、日本电讯、台湾固网、香港新世界和PCCW等，总带宽超过155Mb/s，其它运营商正在商谈之中。

　4.2. CN2 MPLS VPN承载方案

　4.2.1.MPLS VPN建设相关技术问题

　跨AS域MPLS VPN

　跨AS域MPLS VPN业务需要设置PE-ASBR，在PE-ASBR之间采用MP-eBGP互连、为VPN-IPv4路由分发标签。采用这种方案时，PE-ASBR不需要维护繁多的VRF表，扩展性和可维护性都大大提高。

　这种组网方式适合与国外运营商合作共同开展MPLS VPN业务。此外，如果城域网已经部署MPLS VPN，也采用跨AS域方式开展MPLS VPN业务。

　基于Martini的二层MPLS VPN

　中国电信正在建设CNGI中七个核心节点，考虑到CNGI初期网络规模及流量不是很大，建议这七个核心节点可通过CN2采用基于Martini的二层MPLS VPN方式互连，也可为今后部署二层MPLS VPN积累经验。

　MPLS VPN方案设计

　CN2骨干网边缘节点覆盖到绝大多数城域网，并在全网范围开启MPLS功能。因此使用CN2作为MPLS VPN承载网，可以开展省内（城域网之间）、省间（全国范围）及国际（与国际运营商合作）MPLS VPN业务。

　PE节点的设置

　在CN2边缘节点以部署专用的VPN PE路由器为主，在业务量小的地区CN2边缘路由器兼作VPN PE路由器，尽量减少VPN路由和网络路由之间产生相互影响，增强业务开展的扩展性。

　采用专用的PE路由增加了CN2路由器的数目，并考虑到今后可能新增其它业务路由器，因此在路由设计时考虑对IS-IS进行多区域划分，PE路由器划分到L1区域。

　建议新增PE路由器选型配置上选用高性能CPU的路由引擎卡，内存配置至少为512M，优先考虑配置为1G.

　PE-ASBR节点设置

　与已经开展MPLS VPN的城域网互连、与国际合作运营商互连需要设置PE，这时PE充当PE-ASBR功能，建议单独设置PE-ASBR.建议PE-ASBR路由器选型配置上选用高性能CPU的路由引擎卡，内存配置为1G.

　VPN RR设置

　随着CN2 MPLS VPN业务大规模发展，PE路由器必定会越来越多，为了解决CN2中MP-IBGP的扩展性，需要独立设置VPN路由反射器（VPN RR）。这些VPN RR分别部署在在七大核心节点，分别部署一定数量路由器，这些VPN RR对一定范围PE提供服务。

　4.2.3.MP-BGP的实现

　VRF设计

　PE为每个VPN设定一个虚路由转发表VRF，用来保存VPN用户的路由表，使VPN之间被隔离。建议为VRF使用标准传统命名方式如用户ID和接口名称，一般要求能够反映服务通过者、业务性质、VPN用户的信息。

　PE中VRF数量配置需要综合考虑路由器的能力、用户路由数量以及PE-CE连接所使用的路由协议。以中端路由器为例，VRF控制在200个以内。

　路由区分RD设定

　通过使用全局唯一的RD值来标识VPN，即使不同VPN用户的IPv4地址相同，可使每个MP-BGP上承载的路由都是唯一的。MPLS VPN RD采用的格式为：ASN：<32比特数字>.其中ASN必须为合法AS号码，为保证国际业务开展的延续性，建议CN2采用目前169网的 AS号。此外，对于网状（Full Mesh）拓扑结构，对每个VPN分配相同RD值；对于星形（Spoke and Hub）拓扑结构，建议为每个VPN中每个Sopke站点（Site）分配一个RD值。

　路由目标RT设定

　使用目标路由RT，可用来控制VRF中路由信息的进出，从而达到控制VPN站点（site）间逻辑拓扑的目的。RT格式与RD相同，建议对于网状VPN， VPN的所有站点（site）使用相同的RT，对于星形（hub-and-spoke）VPN，VPN的每个站点使用不同的RT.

　其它考虑

　为尽量提高MPLS VPN中MP-BGP的处理速度，提高可扩展性，建议开展MPLS VPN业务时使用MP-BGP路由刷新（Route Refresh）机制和输出路由过滤（ORF）机制。

　4.2.4.PE与CE间路由实现

　PE 与用户路由器CE之间可运行EBGP、RIPv2、OSPF以及静态路由多种路由协议，CE不需要支持MPLS.建议在PE-CE之间优先使用静态路由，根据用户需求也可使用RIPv2、OSPF、EBGP等动态路由。 MPLS VPN业务接入方案针对不同城域网MPLS VPN部署情况，可以采用不同的业务接入建设方案。

　目前，部分对MPLS VPN业务需求较大的城域网，已经开始建设MPLS VPN城域网，这些城域网已经实施了多种方式接入业务。针对这些城域网，采用跨AS域的MPLS VPN网络互联，即在CN2和城域网边缘设置PE-ASBR路由器，由PE-ASBR路由器进行VPN的路由信息交换，分段实现VPN子网间的的连接。

　对于没有建设城域MPLS VPN网络，位于各城域内的客户VPN子网的CE路由器与CN2骨干网中PE路由器间可通过同城VLAN专线、本地ATM/FR/DDN专线连接，也可采用传输（SDH或MSTP）电路连接，或者通过IP GRE或IPSec隧道连接。

　4.4. MPLS VPN服务质量QoS

　MPLS能够提供不同等级（CoS）的QoS特性，可适应不同类型的大客户要求。对不同的大客户，按照其服务级别要求划分为金、银、铜三级。

　在CN2 PE对IP业务流进行流量分类与控制、设置QoS标记，并映射到MPLS标签的EXP域中，在P路由器中根据EXP域的优先级进行队列调度。

　4.5. MPLS VPN的网管

　为了及时向商业用户提供MPLS VPN服务，需要加强MPLS VPN网管。

　建议在北京设立集中式VPN网络管理中心，集团公司具有管理所有PE的权限，各省具有管理本省域内的PE的监视权限。跨省和国际MPLS VPN业务由集团公司统一受理、统一开通。省内MPLS VPN业务由各省受理。

　为了管理不同厂家的PE设备，建议采用第三方MPLS VPN管理软件。

　MPLS VPN业务网管功能要求方面见网络管理系统部分。