如何选择VPN技术方案？

当前IP－VPN 技术主要包括L2TP、GRE、MPLS VPN 等。

1.基于L2TP 的技术解决方案

如图6－7所示，在边缘路由器上为各行业点到点部署L2TP VPN，实现行业间业务安全隔离功能的网络服务平台。

图6－7　采用L2TP VPN 方式部署网络服务平台

L2TP 协议需要以点到点的方式建立Session，如果网络中有N 个节点需要建立L2TP 隧道，则整网的Session 数量就为N×（N－1）／2，单个节点的Session 数量为N－1，我们称之为Full－Mesh 全连接效应。Full－Mesh 全连接至少会导致三个问题：一是加重节点设备的主控CPU 的负担，由于节点设备需要维护大量的Session，随着网络中节点数目的增加，主控CPU 占有率会加速上升；二是降低了网络的带宽利用率，协议报文和数据报文共享IP网络的带宽，L2TP 协议报文的增加必然导致数据报文可利用带宽的降低；三是可扩展性差，网络中每新增一台节点设备，都需要和原网设备相互配置Session，维护工作量大，网络稳定性差。

此外，L2TP 技术无法基于全网对隧道做精细化的带宽管理，如通过类似TE（流量工程）的技术，对L2TP 隧道定义预留带宽，同时对L2TP 隧道进行节点、链路和隧道的可靠性快速保护等。

总体而言，L2TP 在IP 网络中的应用案例较少，L2TP 协议的发展也停滞不前，设备厂商支持L2TP 的热情普遍不高。因此，在进行网络改造时，较少大规模部署L2TP VPN，但可以考虑作为其他VPN 技术的一种应用补充。

2.基于GRE 的技术解决方案

如图6－8所示，网络服务平台在边缘路由器上为各行业点到点部署GRE VPN，实现行业间业务的安全隔离功能。

GRE 面临和L2TP 一样的问题，包括Full－Mesh 全连接效应和精细化隧道带宽管理等。但是与L2TP 相比，GRE 技术发展成熟，各设备厂商把GRE 作为路由器的一项基本功能进行实现，各设备厂商的互联互通也不存在问题。因此，在普通的IP 网络中部署GRE VPN不失为一种较好的选择。

3.基于MPLS VPN 的技术解决方案

如图6－9所示，网络服务平台在边缘路由器上点到多点部署MPLS VPN。

图6－8　采用GRE VPN 方式部署网络服务平台

图6－9　采用MPLS VPN 方式部署网络服务平台

MPLS VPN 分为MPLS L3 VPN 和MPLS L2 VPN 两种，分别承载三层业务和二层业务。

（1）MPLS L3 VPN

MPLS L3 VPN 是服务提供商VPN 解决方案中一种基于服务提供商边缘路由器（provider edge，PE）的三层VPN 技术，它使用BGP 在服务提供商骨干网上发布VPN 路由，使用MPLS 在服务提供商骨干网上转发VPN 报文。

MPLS L3 VPN 模型由三部分组成：用户网络边缘设备（customer edge，CE）、PE 和服务提供商网络中的骨干路由器（provider，P）。(www.xing528.com)

（2）MPLS L2 VPN

MPLS L2 VPN 提供基于多协议标签交换（multiprotocol label switching，MPLS）网络的二层VPN 服务，使运营商可以在统一的MPLS 网络上提供基于不同数据链路层的二层VPN，包括ATM、VLAN、以太网、PPP 等。

简单来说，MPLS L2 VPN 就是在MPLS 网络上透明传输用户二层数据。从用户的角度来看，MPLS 网络是一个二层交换网络，可以在不同节点间建立二层连接。

与MPLS L3 VPN 相比，MPLS L2 VPN 具有以下优点：

①可扩展性强：MPLS L2 VPN 只建立二层连接关系，不引入也不管理用户的路由信息。这大大减轻了PE、甚至整个服务提供商（service provider，SP）网络的负担，使服务提供商能支持更多的VPN 和接入更多的用户。

②可靠性和私网路由的安全性得到保证：由于不引入用户的路由信息，MPLS L2 VPN不能获得和处理用户路由，保证了用户VPN 路由的安全。

③支持包括IP、IPX、SNA 等在内的多种网络层协议。

针对前面两种方案都不能解决的一些问题，MPLS VPN 却有其应对之道。Full－Mesh 全连接效应问题用BGP 的路由反射器方式来解决。精细化带宽管理问题可以通过TE 技术解决，即由MPLS EXP 提供业务的SLA，通过TE FRR（快速重路由）／LSP backup 提供隧道的高可靠性保护。由于组网方式灵活、可扩展性好、OAM 功能完备，MPLS VPN 已经成为VPN 的主流技术，应用非常广泛。

但是，MPLS VPN 对网络设备的功能要求较高，全网设备都必须支持MPLS VPN 功能。早期的IP 专网路由器设备大多不支持MPLS VPN 功能，如果要把这种IP 专网整合成新的IP／MPLS 专网，需要对整网设备进行升级，并重新规划网络拓扑、配置和路由等资源。这种方式的网络整合迁移代价较大，不仅影响现有IP 专网业务，而且成本很高。

4.基于MPLS VPN OVER GRE 的技术方案

如图6－10所示，网络服务平台在边缘路由器上以MPLS VPN OVER GRE 方式点到点部署，实现业务安全隔离功能。

这种方式是把MPLS VPN 报文封装在GRE 报文中传输，MPLS VPN 的PE 设置在用户的出口路由器上，在出口路由器之间建立GRE 隧道。从用户侧看，网络是一个MPLS VPN 网络，提供VPN 安全隔离等关键服务，继承MPLS VPN 组网方式灵活、可扩展性好等优点。而从网络侧看，整张网络只是一个普通IP 网络，网络设备不需要支持MPLS VPN 功能。

采用MPLS VPN OVER GRE 方案，具有下列优点：

①对现有的IP 专网业务不需要做任何修改，各部门之间的业务可以采用原有的IP 互联。如图6－10所示，原有的A 行业的业务在网络拓扑、配置和路由方面不用做任何修改，业务继续采用IP 承载，这样完全可以保证现有业务的稳定性。

图6－10　采用MPLS VPN OVER GRE 方式部署网络服务平台

②原有设备无须更新升级，改造成本较低。图6－10 中，对于新加入的B 行业，网络侧设备之间采用IP 互联，在两个端点之间建立GRE Session，并使能MPLS VPN OVER GRE即可。而MPLS VPN OVER GRE 功能只要求新增的B 行业设备支持，对原来IP 专网的设备没有要求。

③行业之间的业务隔离可以得到有效保证。如图6－10所示，B 行业的私网路由发布和数据转发还是通过MPLS VPN，与A 行业之间是完全逻辑隔离的。

④可扩展性好，便于管理。网络管理员只需要参与端口分配、带宽分配和IP 地址分配等工作，MPLS VPN OVER GRE 的相关配置完全由B 行业内部网络管理员自行维护，管理范围和责任明晰，大大降低了运营管理的复杂性。

综合来看上述四种方案，从技术实现可行性和成本来考虑，对于新建的网络，建议采用MPLS VPN 技术方案；对于在IP 专网基础上向IP 网络服务平台转换的需求，建议采用MPLS VPN OVER GRE 技术方案。