在IP城域网中组建VPN的应用

目前大部分城市已经建设了IP宽带城域网，很多城市的城域网已经扩容了两三倍。其流行的建设方式是利用路由器和交换机组成骨干通信网络，然后配置一些宽带接入服务器来端接宽带用户。城域网用户的需求是多方面的，VPN是其中的热点问题之一。

实现VPN的技术有很多。目前，MPLSVPN受到业界的青睐。但是需要注意的是，MPLS VPN还没有完全标准化，各厂商之间的互通还存在一些问题。同时，实现MPLS的成本相对昂贵，很多城市的城域网还没有完全支持MPLS。因此，充分利用现有的宽带接入服务器和虚拟路由域技术来实现VPN是一种切实可行的方法。

一、虚拟路由域技术介绍

大多数远程宽带接入服务器(BRAS)都支持虚拟路由域技术。其主要原理是在一个BRAS上开辟多个路由域。每个路由域都可以独立运行自己的路由协议路由转发IP包，路由域之间互不干扰，就像多个独立的路由器在运行一样。每个BRAS支持的虚拟路由域数量从数百到数千不等，可以很好地满足实际需求。

第二，利用虚拟路由域技术实现VPN

虚拟路由实现VPN实际上是基于BRAS的功能。业界流行的BRAS，如REDBAK、UNISPHERE、SHASTA等都支持虚拟路由域的功能。在实际环境中，应该根据用户的不同情况合理配置路由域。

1.路由域的配置

一般来说，一个VPN用户分配一个虚拟路由域，域名需要明确标识路由域的归属。为了尽可能节省宝贵的路由域资源，可以根据用户的不同情况灵活分配路由域。

如果用户位于BRAS覆盖区域，BRAS上只能分配一个路由域，用户的接入可以采取多种形式，如PPPOE、专线等。

如果用户位于BRAS未覆盖的区域，可以为用户涉及的所有BRAS分配一个路由域，不同BRAS上的域名可以相同。但是，在这种情况下，不同的BRAS需要通过隧道技术进行连接。一般采用BRAS支持的技术，如GRE、IPSEC等。

2.IP地址规划

一般来说，IP地址是私有的，可以由用户自己分配。

3.VPN出口的位置

对于架设VPN的用户，采用的拓扑多为星型结构，即总部为一个集中点，所有用户通过VPN连接到总部。对于希望能够访问公共网络的用户，设置了一个出口。在实际环境中，有两种导出方式:

(1)在BRAS上为连接到总部的机构的VPN域设置出口。这样在BRAS上为该域配置了地址转换功能，用户流量被BRAS转换成公网地址后出去。对于用户来说，这种方式的优点是简单，省去了用户维护，但对于运营商来说并不是一个好的方案。因为:

①这种方法涉及到地址转换，极大地消耗了BRAS的可用资源，会极大地影响BRAS的性能；

②会引起一些不必要的纠纷。用户一旦发现一些网络故障，首先想到的可能是运营商的设备出了问题，运营商将面临更大的维护压力。

(2)用户总部设置两条线路，一条在公网上，另一条连接VPN。地址转换由用户自己完成(通过使用路由器或代理)。对于运营商来说，BRAS仍然完成现有的任务，不再花费宝贵的资源去完成不必要的地址翻译功能。对于用户来说，控制地址更强，可以更好的完成VPN功能。

4.电话拨号用户的接入

对于电话拨号用户来说，通过拨号服务器和BRAS的配合，可以通过L2TP隧道访问VPN。LNS可以配置在BRAS的VPN路由域上，电话拨号服务器配置为LAC，AAA服务器设置在用户总部。当用户想要访问VPN时，拨号服务器与BRASVPN路由域上配置的LNS建立隧道，用户信息通过隧道发送到用户总部的AAASERVER进行认证。通过后，BRAS和AAAserver分配私有地址。这样拨号用户连接到VPN，可以访问VPN的内容，通过VPN出口访问公网。

5.专线用户的接入

一般来说，如果用户的站点通过租用线路接入VPN，运营商的接口有两种方式，一种是直接连接BRAS，这种情况下端口可以直接划入VPN域，但是这种情况浪费了宝贵的BRAS接口，实际中很少使用；另一种方式是连接到运营商接入层的交换机端口。这样就存在一个如何将交换机端口归入BRAS域的问题。在实际操作中，可以采用以下方法:将交换机端口分配给VLAN，然后通过交换机将VLAN发送给BRAS，在BRAS上将VLAN分配给VPN域，在BRAS上配置用户的三层网关地址。这样对于BRAS来说，就好像用户直接连接到BRAS端口，就可以很好的完成VPN功能。

6.PPPoE用户的访问

对于PPPOE用户，用户在用户端运行PPPOE拨号软件，输入固定账号和密码上网。该帐户通常采用用户名@域名的形式。BRAS设备会根据@符号后的域名来区分应该访问哪个路由域，BRAS会分配一个私有地址。这样，PPPOE用户就可以访问VPN了。然而，在实际的网络环境中，这并不能满足VPN的要求。原因是，虽然用户使用了带有VPN域域名后缀的账号，确实访问了VPN的路由域，并且进行了一次成功的VPN访问，但是由于PPPOE技术本质上是一种二层技术，专网用户往往和其他很多用户在同一个PPPOEVLAN，可以在第二层互相通信，无法满足VPN的要求。因此，在实际环境中，经常使用VLAN技术将用户划分到单独的VLAN中，这样VLAN就可以透明地传输到BRAS。这样，结合路由域和VLAN技术，就可以完成PPPOE用户的VPN接入。

PPPOE用户的VPN接入方式表明，其他二层接入技术，如802.1X、DHCP等，也可以采用类似的路由域加VLAN的方式，由于实现方式相同，此处不再赘述。

第三，进一步讨论

本文讨论了利用路由域在IP城域网中实现用户VPN。但是，需要注意的是，为了更好地利用虚拟路由域技术，在网络规划中需要注意一些问题:

虚拟路由域:由于BRAS上支持的虚拟路由域数量有限，为了最大限度地利用资源，应该对虚拟路由域的数量进行更好的规划。同时，在购买设备时，应将路由域的数量或支持的VPN隧道模式作为重要指标；

VLAN:路由域加VLAN的方式，需要VLAN更好的规划，这样组网才能更好；另一方面，要对行业内一些新兴的新技术给予足够的重视，比如嵌套式VLAN。

总之，利用虚拟路由域技术，充分挖掘现有设备的能力，组建VPN，是运营商很好的选择。