跨地市校區間網絡互聯方案討論

龐小龍

中通服咨詢設計研究院有限公司

0 引言

近幾年，隨著各院校招生人數的日益增多，教育規模的不斷擴大，現有教學資源日益緊張，眾多學校啟動了異地新校區的規劃建設。異地辦學對校園網絡的互聯互通提出了新的要求，如何保證跨地市校區間校園網絡的可靠互聯，同時保證各校區間網絡通信的安全性，成為校園網絡規劃的重難點之一。

1 校區間網絡互聯概述

目前，實現跨地市校區間的網絡互聯主要有兩類技術路線，分別是物理專網和虛擬專網。

所謂物理專網，就是高校在各校區間自行敷設光纜，進行物理通信網絡的建設。這種網絡具有非常高的可靠性、安全性和穩定性，但是工程量巨大、造價也非常高。為了節約投資，部分高校采用租用運營商基礎光纖資源的方式來組建物理層面的專有校園網絡。以南京航空航天大學為例，其通過租用運營商物理光纖建立了跨地市的OTN 光傳送校園網絡，校區間構建了跨地市的物理專網，但是其建設投資依然巨大，不具有普遍適用性。

所謂虛擬專網，就是借助運營商提供的專線進行網絡互聯。目前主流的專線技術主要包括IPsec VPN、MPLS VPN 以及SD-WAN 等?？紤]到IPsec VPN 并不能從互聯網服務提供者的視角對流量進行智能調度，也不能優先保證重要服務內容，所以在全程公網傳送時不可避免地會發生延遲波動以及丟包等問題，為此本文不再對IPsec VPN 進行深入討論。

2 基于MPLS VPN 的多校區互聯方案

MPLS VPN 是一種高效且可靠的網絡傳輸技術。一般在數據鏈路層和網絡層之間的以太網交換機和路由器上運行，在出口路由設備上移除標簽，同時將原始IP 數據包轉發至目的地址。由于此種模式無需查看IP 報頭即可傳輸數據，有效提高了網絡的傳輸性能。

考慮到跨地市校區一般位于運營商MPLS 網絡不同的AS域，此種情形下連接VPN 的運營商PE 路由器已經無法直接建立IBGP 鄰居關系，或者與RR 建立鄰居關系，為此需要擴展MPLS VPN 體系框架，采用跨域MPLS BGP VPS 技術實現跨AS 發布路由前綴和標簽信息。

（1）方案一

此種方案是在隸屬于不同AS 域的ASBR 之間通過專用的接口管理不同的VPN 路由。此方案中，不同AS 域的邊界路由器ASBR 直連，ASBR 之間無需運行MPLS 協議以及跨域特殊配置。每個ASBR 作為本自治域的PE 設備，把對端ASBR視為己方的CE 設備，通過EBGP 方式向對端通告路由信息。

如圖1 所示，兩臺ASBR 之間接口互聯，每個接口映射一個VPN，每個ASBR 都把對端域當成CE。相互連接的ASBR 設備接口綁定VRF，并通過EBGP 鄰居關系把VPN 路由轉變成普通的IP 路由，由一個自治域傳遞到另一個自治域，ASBR 之間不需要啟用MPLS 協議。

圖1 方案一多校區網絡對接拓撲圖

本方案由于不同AS 域之間無需運行MPLS 協議，所以配置相對簡單，但是由于ASBR 設備需要管理所有跨域VPN 路由且為之配置相應的接口，所以對設備硬件性能要求較高。此外，因業務而跨多域時，需要每個自治域均支持VPN 業務，從而增加了網絡配置的工作量。

（2）方案二

此方案與方案一思路類似，主要區別在于ASBR 之間通過MP-EBGP 交換其所在AS 域接收的標簽VPN-IP 路由。ASBR 接收域內外的跨域VPN-IP 路由并通告出去。由于PE設備上只保留與本地VPN實例的Target保持匹配的VPN路由，所以在ASBR 上無需進行RT 過濾及創建VPN 實例，也無需綁定相應的接口。

如圖2 所示，PE 通過MP-IBGP 將VPN 路由通告給域內的ASBR 或VPN RR（圖中未體現），ASBR 再通過MPEBGP 將VPN 路由通告給對方域的ASBR，再由對方域內的ASBR 將VPN 路由通告給己方域內的PE。

圖2 方案二多校區網絡對接拓撲圖

此方案優勢在于不再對ASBR 之間鏈路數目有所限制，但是由于ASBR 依然要保存和傳遞AS 之間的VPN 路由信息，所以當VPN 路由較多時，ASBR 同樣容易成為故障點。

（3）方案三

上文提到的兩種跨域MPLS VPN 方案中，VPN 路由的維護和發布均依托于ASBR 設備。當有大量的跨域VPN 路由需要通過ASBR 進行通告時，就有可能造成網絡擁塞。為了解決ASBR 的瓶頸問題，業界提出了多跳MP-EBGP 的方案。該方案的主要思路是通過建立多跳的MP-EBGP 會話，在不同自治域的PE 之間直接交互VPN 路由，從而解決需要ASBR 維護和分發VPN 路由而造成的性能瓶頸。

如圖3 所示，ASBR 不再維護VPN 路由，僅維護前往PE的帶標簽路由，并且通過EBGP 通告給對端的AS 域，在跨域的PE 之間建立了一條LSP，從而實現跨域PE 之間通過多跳MP-EBGP 連接并進行VPN 路由通告。當AS 內有RR 時（圖上未體現），PE 與本AS 內的RR 建立VPN 鄰居關系，同時本端RR 與對端RR 建立VPN 鄰居關系，從而實現跨域VPN路由傳遞，此處不再贅述。

圖3 方案三多校區網絡對接拓撲圖

（4）方案四

方案四與方案三基本一致。最主要的區別是：在AS 內，方案三需要VPN LSP、BGP LSP、Tunnel LSP 三層標簽，而在方案四中，僅需兩層標簽即可。

如圖4 所示，此方案中ASBR 同樣不用維護VPN 路由，僅需要維護去往PE 的帶標簽路由，同時通過EBGP 通告給對端的ASBR。對端ASBR 收到帶有BGP 標簽的路由后，會在該域內通過MPLS LDP 為該BGP 標簽路由生成相應的標簽，并在域內LDP 鄰居間傳遞，從而在域內PE 上可以看到對端PE 的LDP LSP。至此，在跨域PE 之間建立了VPN 路由。當AS 內有RR 時（圖上未體現），PE 與本AS 內的RR 建立VPN 鄰居關系，同時本端RR 與對端RR 建立VPN 鄰居關系，從而實現跨域VPN 路由傳遞，與方案三帶RR 的情形類似，不再贅述。

圖4 方案四多校區網絡對接拓撲圖

方案三和方案四較好地緩解了方案一和方案二中ASBR的壓力，VPN 路由在跨域PE 之間直接交換，不再過多依賴ASBR 的網絡性能。不過，由于需要維護端到端的PE 連接，網絡管理成本相對較大，這也是方案三與方案四的主要缺點。

3 基于SD-WAN 技術的多校區互聯方案

SD-WAN 技術的主要理念是通過SDN 技術實現對廣域網絡的智能化管理，在Overlay 層面利用軟件的方式對Underlay層的網絡進行抽象，從而提供優質的虛擬專網服務?；谶\營商的SD-WAN 技術實現，只需要客戶具備互聯網或4G/5G 無線網絡，通過部署終端盒子就能以較低的成本快速構建一張與公眾互聯網相隔離的專網（效果與MPLS VPN 類似），并提供三層組網的服務能力。

一個完整的SD-WAN 網絡架構主要由以下幾部分構成：

（1）智能網關CPE：CPE 作為SD-WAN 網絡部署在客戶側的重要網絡設備，主要負責與POP 點通過網絡組建加密通道，將客戶側需要通過SD-WAN 網絡傳輸組網的流量通過加密通道傳輸至POP 點及SD-WAN 主干網中，并傳輸到SDWAN 網絡對端CPE。

（2）網絡接入點POP：在SD-WAN 網絡中，POP 點作為SD-WAN 組網的重要網絡節點，承擔著與智能網關之間通信，與其他跨域POP 點之間的SD-WAN 主干網通信等重要功能。

（3）SD-WAN 主干網：運營商自建的POP 節點間的骨干網絡。以中國電信為例，基于中國電信的China Net 網絡及CN2-DCI 網絡構成，用戶的SD-WAN 網絡流量在主干網中通過VXLAN 技術進行邏輯隔離。

（4）SDN 控制器：對POP 點進行管理，負責虛擬鏈路的創建開通、釋放、流量調度等。

采用SD-WAN 技術的跨地市校區間互聯互通組網拓撲如圖5 所示：

圖5 SD-WAN 架構下的多校區網絡對接拓撲圖

在該組網架構下，主校區、分校區需要分別部署SDWAN CPE 硬件設備，也可在各校區部署軟件客戶端（需要各節點自行提供獨立服務器或虛機承載軟件客戶端）。CPE 支持串接路由、串接網橋、旁路路由等多種部署方式，同時支持HA 部署，保障設備高可用。CPE 設備可通過互聯網、專線、4G、5G 等多種鏈路接入，也支持Wi-Fi 接入。各CPE 上線后自動與SD-WAN 主干網上最近的POP 點加密連接，POP 點間建立端到端的虛擬隧道，將需要互訪的流量引入隧道進行加密傳輸。此外，網絡運維人員可以通過SD-WAN 可視化平臺清晰查看各個節點的組網狀態，降低運維人員壓力。

4 方案比選

MPLS VPN 采用了2.5 層的標簽方式保障了數據包的可靠傳輸及重要業務的數據流量。此外，MPLS VPN 無需配置額外的硬件設備，用戶只需要把己方CE 設備連接到運營商提供SD-WAN 服務的網絡邊緣設備上即可。

MPLS VPN 的缺點也是明顯的。首先，其使用成本相對較高，這是制約其市場競爭力的主要因素之一。其次，MPLS VPN 開通涉及大量的手動配置，且運營商內部也要走相應的開通流程，網絡業務的開通周期較長，不利于校園業務的快速上線。最后，用戶自主配置的靈活性不高，業務維護管理不便。這些缺點導致了該技術無法大面積推廣。

與MPLS VPN 相比，SD-WAN 的配置相對簡單，CPE 設備接電后可自動或者通過郵件、掃碼等便捷方式獲得相應配置后快速部署并開通業務。SD-WAN 組網在用戶側通常采用互聯網寬帶接入，其鏈路費用通常比物理專線或專網產品便宜。另外，由于SD-WAN 是一種Overlay 層面的網絡技術，其能夠根據實時網絡條件智能尋徑，并且在應用層提供可視化的監控與管理。

MPLS VPN 與SD-WAN 的各個維度比較如表1 所示：

表1 MPLS VPN 與SD-WAN 方案對比

5 結束語

基于SD-WAN 技術的跨地市校區間網絡互聯，可幫助學校節省昂貴的MPLS VPN 帶寬費用。另外，SD-WAN 技術的自動化功能以及可視化的集中監控，降低了跨地市校園網絡部署和管理的復雜性。但是，SD-WAN 并不能完全取代MPLS VPN。對于某些關鍵的業務流量，MPLS VPN 仍是較優的選擇。因此，混合WAN 架構（SD-WAN 和MPLS VPN 協同工作）應當是跨地市校園網建設值得推薦的選擇。