作为数字化大学建设的一部分，各个高校纷纷开展了校园一卡通项目建设工作。本文结合了MPLS 技术给出了上海交通大学网络信息中心利用BGP/MPLS VPN技术在校园网中成功部署一卡通业务传输平台的经验，介绍了如何构建一个跨城域、低成本、高安全性、扩展性好、维护和管理简单的校园网一卡通虚拟专用网。

　　BGP/MPLS VPN技术

　　BGP/MPLS VPN是一种基于MPLS技术的IP虚拟专用网络(IP VPN)，该技术是在网络路由和交换设备上应用MPLS技术。沿着预先定义好的标签交换路径(LSP)，MPLS在一组互联的路由器之间提供了高效的可扩展的交换功能，LSPs可以通过静态的方式被预先设置好，也可以由ISPs通过动态的方式建立以更好的提供流量工程。BGP/MPLS VPN还简化了核心路由器的路由选择方式，利用IBGP来分发路由协议。BGP/MPLS VPN在不同的站点之间通过构筑这种虚拟网络结构以提供类似无连接的虚链路服务，通常被LSP用来为全球性的跨国企业提供广域范围的连接服务，当来自不同组织的客户之间共享共同的网络结构的时候，尽管他们共享相同的网络结构(使用同一个MPLS Domain来传输用户的数据)，但是每个VPN内的用户在传输数据的时候是与其他VPN用户完全隔离而互不影响的，因而BGP/MPLS VPN可用于构造宽带的Intranet、Extranet，满足多种灵活的业务需求。

　　PE：(Provider Edge Router)，运营商网络上的边缘路由器，与CE相连，主要负责VPN业务的接入。维护独立的路由表，包括公网路由表和VRF路由表，即某一个VPN网络内的路由信息。通常通过定义一个VRF来描述一个VPN网络，每个VPN使用自己独立的路由表。为每个VRF分别配置一个标识，称为RD。在PE发布VRF中的路由信息时，会在地址前面加上RD，以便接收方PE区分来自不同VRF的路由信息；

　　CE: (Custom Edge Router)，用户边缘路由器，直接与运营商网络相连。PE 和 CE 通过标准的EBGP、OSPF、RIP或者静态路由交换VRF路由信息。PE与CE之间传递的是IPv4路由，PE接收到CE发送的标准IPv4路由后会加上RD(RD为手工配置)，变为一条VPN-IPv4路由(在IPv4地址前加上RD之后，就称为VPN-IPv4地址族)，更改下一跳属性为本PE的Loopback地址，加上私网标签(随机自动生成，无需配置)，再加上Route target属性(RT需手工配置)，而后发给所有的PE邻居，因此PE与PE之间传递的是VPN-IPv4路由；

　　P：(Provider Router)：运营商网络上的核心路由器，主要完成路由和快速转发功能。VPN路由信息可以直接在PE之间传递，所以P路由器中不会包含任何VPN路由信息。PE和P路由器通过运行LDP协议，分配标签，建立标签转发通道；标签栈用于报文转发，外层标签用来指示如何到达BGP下一跳，内层标签表示报文属于哪个VRF。

　　VPN 用户站点：VPN中的一个孤立的IP网络，一般来说，如果不通过骨干网其就不具有连通性。

　　由于原有的BGP协议只支持IPv4路由，为了支持VPN-IPv4路由，需要在路由信息中包含私网MPLS标签，所以在RFC 2858 中BGP增加了两个扩展属性MP_REACH_NLRI和MP_UNREACH_NLRI，使用了这两种属性的BGP称为MP-BGP。

　　在MPLS VPN中，属于同一个VPN的两个用户站点之间转发报文使用两层标记，在入口PE上为报文打上两层标记，外层标记在骨干网内部进行交互，代表了从PE到对端PE的一条隧道。VPN报文打上这层标记，就可以沿着LSP到达对端PE，然后再使用内层标记决定报文应该转发到哪个用户站点上。

　　MPLS VPN应用优势

　　IPSec方案的优点在于提供完整的网络层连接功能，安全级别高，因为数据访问将受到特定的接入设备、软件客户端、用户认证机制和预定义安全规则的限制。但是这种方案应用到一卡通网络中时需要安装支持IPsec的网络设备，并且由于是端到端的，每个连接都需要一条隧道，因此可能存在N*N的设备投资情况；配置每条隧道的工作量较大，管理隧道上的安全策略也比较困难，如果远程使用人员较多，将使网络维护工作量非常繁重；另一方面IPsec VPN协议比较复杂，理解起来需要更多的时间；兼容性不够，现有的各厂家设备IPsec VPN之间可能不兼容，这将造成连接不上的问题；扩展不方便，如果用户VPN网络中新增一个节点，首先需要手工在这个新增结点上建立与所有已存在的N个结点的隧道及相关的路由；其次对于已存在的N个结点，需要在每个结点上都建立一个与新增结点之间的隧道及相关的路由。

　　MPLS VPN较传统使用IPsec VPN的优势在于一方面隧道在PE与PE之间建立，用户不需要自己维护VPN，另一方面把VPN隧道的部署及路由发布变为动态实现，提供一种动态建立的隧道技术，解决了不同VPN共享相同地址空间的问题。

　　因此BGP/MPLS VPN在一卡通虚拟专网建设中具有以下显著的优势：

　　1. 从地址空间上考虑：各VPN业务可以拥有独立的地址空间，即不同VPN甚至可以重叠使用地址空间；
　　2. 从安全性上考虑：对用户进行认证授权，进行安全管理，确保数据安全；
　　3. 灵活的组网功能上考虑：可以支持多隧道/用户，每个节点可同时属于多个VPN；
　　4. 从支持跨域的VPN考虑：各VPN节点可属于不同ISP；从规模可扩展性上考虑：可以很灵活地增加新节点；
　　5. 从应用业务扩展上考虑：可以引入RSVP-TE来方便地支持话音，视频等业务。

　　BGP/MPLS VPN本身的这些优点，使得它更适合于应用到类似一卡通这样的需要虚拟私有网的业务当中。

　　一卡通网络传输平台建设

　　上海交通大学校园网是一个跨城域范围的网络，通过万兆以太网连接分散在市区不同位置的各校区。在建设一卡通专网IP传输平台的建设过程中，考虑到各种方案具体的情况，从部署简单、安全高效、经济实用的角度出发，决定采用BGP/MPLS VPN技术。具体配置过程如下：

　　1. BGP/MPLS VPN网络内部需要CE、PE和P路由器。在我们一卡通专网内，处于设计简单考虑，将没有P路由器；CE在实际中也将简化为若干台一卡通的PCs或者直连一卡通用户如POS机的二层网络。

　　2. 在每一台PE(即8台核心设备)上为一卡通网络定义用户vlan，如下：
　　vlan 133 name ecard-mpls-vpn
　　#并增加相应物理端口
　　router-interface ve 133
　　#定义路由端口

　　3. 在每一台PE(即8台核心设备)上为该vlan定义VPN，如下
　　ip vrf ecard
　　#定义一个VPN，名字叫ecard
　　rd 115:9
　　#115:9用来在校园网内标识ecard这个MPLS VPN网络
　　route-target export 115:9
　　#该VPN可以发送标识为115:9的VPN路由
　　route-target import 115:9
　　#该VPN可以接收标识为115:9的VPN路由

　　4. 在每一台PE(即8台核心设备)上为该vlan启动vrf转发，如下
　　interface ve 133
　　ip vrf forwarding ecard
　　#使得该端口参与到ecard这个VPN网络的路由中
　　ip address 10.10.2.1/24

　　5. 由于BGP/MPLS VPN需要通过MP-BGP传播VPN的路由信息，因此在每一台PE(即8台核心设备)上需要配置IBGP互联，如下：
　　router bgp local-as 115 #IBGP网络的自治域系统号码 neighbor 202.120.4.1 remote-as 115 #和另外7个核心设备建立全连接的BGP邻居关系；
　　neighbor 202.120.4.1 update-source loopback 1
　　neighbor 202.120.5.30 remote-as 115
　　neighbor 202.120.5.30 update-source loopback 1

　　6. 在VPN内部指定并激活参与BGP的邻居：
　　address-family vpnv4 unicast
　　neighbor 202.120.4.1 activate
　　neighbor 202.120.4.1 send-community extended
　　……
　　neighbor 202.120.5.30 activate
　　neighbor 202.120.5.30 send-community extended

　　7. 将当前核心设备上面ecard的子网分发到VPN网络中去，使得其他PE路由器可以识别另外7个核心设备上的ecard的子网。
　　address-family ipv4 unicast vrf ecard
　　redistribute connected

　　8. 在指定的端口上启动MPLS，并使用LDP来建立MPLS PATH，以使用标签交换，如：
　　router mpls
　　mpls-interface e5/1
　　ldp-enable

　　9. 最后在某台核心设备上看到的整个ecard网络的路由如表1。
　　telnet@Rm1-MH-0504#sh ip route vrf ecard
　　Total number of IP routes: 8
　　Type Codes - B:BGP D:Connected I:ISIS S:Static R:RIP O:OSPF; Cost - Dist/Metric

　　至此，基于BGP/MPLS VPN的一卡通网络传输平台配置完成，并正常工作。随着未来节点的增加，还可以很方便的在每个VPN内部使用RIP/OSPF等动态路由协议，这就大大提高了一卡通网络的可扩展性。

　　利用上述平台，还可以构建基于点到点Ethernet/VLAN 的MPLS Virtual Leased Line和基于CE之间连接的传输二层frame的MPLS Virtual Private LAN Services。

　　经过将近一年使用，上海交通大学的一卡通网络一直运行正常，IP网络故障率极低，证明BGP/MPLS VPN非常适合作为在高校中开展类似财务专网、一卡通专网、安保视频监控专网等多业务应用的网络平台。作为全国较早在一卡通网络建设中引入BGP/MPLS VPN技术的高校，上海交通大学网络信息中心在这方面积累了实践经验，做了有益的探索。

　　来源：《中国教育网络》2008年7月刊