MPLS VPN相关的规划

　　1.20位MPLS标签的可用范围是16至1048575，目前校园网IPv4路由少于1000，为了便于维护，可为每个LSR划定分发的标签范围：i×10000至i×10000+9999，其中i为MPLS网络中LSR的设备编号。目前LSR数量有20台左右，i从1开始依次编号。

　　2.每个VPN即为一个VLAN，应该使各校区相同业务VPN的vid值都相同。因为VPN可能会与普通业务共用CE，应按校园网VLAN规划方案统一对vid进行规划，避免冲突。

　　3.为每个VRF定义名字，采用业务名称的拼音字母或英文的缩写。例如，一卡通为YiKaTong。

　　4.RD采用ASN+k：vid的格式，其中ASN是MP-iBGP的AS号，即64512，如一卡通的vid是18，那么RD值就为64512：18，这时k=0。若CE双宿主连接两台PE，在路由反射器环境中，仍有两条路由到CE，可设置两个RD，对应k=0和1，即两个RD分别是64512：18和64513：18。

　　5.RT也采用RD的格式，其值设置与对应VRF的RD相同。VPN路由导入和导出操作分别对应Export和Import属性，如果将Export和Import属性值设置为一样，使相同VPN可互访；如果不同VPN互访，就要设置包含其他VPN的Import属性值。

　　多业务网络的部署

　　当MPLS VPN骨干网络配置完成后，不管是原来的普通业务还是新设的专网业务，都会运行在MPLS VPN骨干网之上，只不过在PE上普通业务使用全局路由，而专网业务使用各自的VRF路由。在不改变校园网原来物理拓扑的环境下实施多业务网络的架构如图3所示。当然，这样的部署要求在楼栋汇聚层上的CE设备能够区分和隔离全局路由和VRF，这要求设备需支持Multi-VRFCE功能。目前一般三层交换机的静态路由会支持该功能，如锐捷RG-S5750、H3CS5800等，都可作为CE设备。部署时可以配置CE的子接口（或trunk链路）上联PE若干个VRF三层接口，并通过trunk链路下联接入层设备，将VPN的VRF与VLAN关联起来。

　　网管VPN需要访问所有的专网业务VPN以及普通业务，设置该VRF可以与全局路由互通，以用于监管校园网日常运行。为了便于控制，网管VPN站点设置在数据中心站点内，以便通过NAT让其他VPN访问数据中心的业务，如DNS，甚至访问校外可信站点。

　　基于三层MPLS VPN构建多业务校园网，实现相同VPN用户可以互相通信，不同VPN用户相互隔离，利用网管VPN站点监控所有专网业务和校园网普通业务，其他VPN站点只能通过单一安全节点，利用NAT技术有控制地访问校园网其他业务，以至访问指定的可信Internet目标主机。该方案部署简单可行，具有较高的可扩展性，在实现资源整合与网络虚拟化方面是一次有益的尝试。

　　（作者单位为中山大学网络与信息技术中心）