摘要：本文阐述了如何利用虚拟化技术、链路可靠性技术、带宽负载均衡技术、安全认证融合技术及可视化运维等方面，破解传统广域网的困境。文中的方案实现了福建邮政广域网多业务承载网的高可靠性、业务带宽智能保障、安全准入控制及易管理运维的目标。

中国邮政集团公司是覆盖全国的大型现代化服务业集团，主要经营信函寄递、包裹快递、邮政金融、邮政物流、电子商务、各类代理等业务。福建省邮政信息网已经形成了覆盖全省范围，规模较大的计算机网络系统，包括省金融中心、省信息中心、8个市中心和2100多个网点。随着集团公司各板块多业务发展，越来越多业务系统上线，原有的广域网对多业务适应性主要存在以下问题。

• 多机构多业务安全隔离，网络扩展难

邮务、金融、速递等业务板块，多监管部门，安全要求不一，均需省-市-网点三级独立组网，网络建设和运行成本大，新增业务板块，扩展网络难度大，部署周期长。

• 广域网链路负载不均衡

在“省-市-网点”的广域网架构采用双设备、双运营商链路可靠性设计模型，通过路由技术实现多链路负载分担，通常导致两条运营商的链路带宽负载不均衡，如何在这么多机构多业务并发处理的时，实现负载均衡及链路带宽资源智能调度？

• 广域网MSTP链路可靠性问题有待解决

广域网MSTP电路不仅电路资费低、且带宽易扩展，MSTP电路路替代SDH电路的优势不言而喻，但是MSTP电路在运行可靠性上不及SDH电路，如何解决MSTP电路面临的自身技术问题？

• 针对不同业务缺少有效的监控管理

广域网上“多机构+多应用”，层级多、种类多，如何实现不同业务的监控？带宽使用情况监控？

• 现有网络的健壮性、自愈性需进一步改进

广域网链路每个节点都采用双设备双链路，如果设备或链路出现异常，策略需要灵活调整，如何实现新需求下网络的健壮性和自愈性？

针对上述问题，福建邮政计划引入新的技术和组网方案，对现网进行改造。省-市-网点三级节点路由器通过虚拟化技术，实现整个骨干网络纵向虚拟化。双运营广域网电路通过链路捆绑技术逻辑成一条链路。通过MPLS VPN技术，分为金融网、邮务网、速递网和监控网等逻辑业务网。通过分层CAR和EAA技术，为业务VPN网和VPN网内每个业务提供智能动态带宽保障，对福建邮政的广域网带来了很大的作用和价值。

• 简化了网络拓扑结构：通过省、地市、网点各级路由器的虚拟化，极大简化了广域网架构，设备维护管理也更加简单方便。
• 让MSTP链路具备了SDH链路的特质：通过子接口拆分、跨设备子接口聚合、CFD联动物理子接口等技术，提升了MSTP链路的可用性。
• 高效的链路带宽利用率：通过内外层标签QoS属性扩展、分层CAR等技术，实现精细化业务分类和带宽保障，同时提升带宽利用率。
• 集中的多实例Portal认证：在PE路由器上实现Porta
• EAD，简化了对网点终端准入的管理。
• 可视化MPLS VPN运维：每个业务的带宽实时可视化和汇总报表，实时观察每个业务的运行情况和网络资源占用情况。

1、 物理网络架构及组网技术改进点

• 设备虚拟化技术简化网络架构

传统的广域网采用动态路由协议（例如OSPF）来规划路由，实现业务数据的分流和线路的互备。通过动态路由协议自身的计算机制来实现路由切换，收敛时间长，而且广域网层级越多，收敛速度就越慢。

采用广域网虚拟化技术IRF2，将两台路由器虚拟化为一台，从根本上消除了路由收敛，每个节点等于只对1台设备规划路由，极大简化设备配置和运维复杂度。同时两个设备通过跨设备、跨运营商的MSTP链路聚合，实现了网络架构上的简单化。每个节点的任何一台物理设备或链路故障，业务都能快速切换。故障切换时间从原来的3-5秒，提升到了30-50ms，极大的加快了业务恢复的时间。

• 端口“先拆分后聚合”的创新应用降低了网络维护难度

网点数量众多，特别对于市级汇聚节点，连接的末梢节点数量众多，MSTP线路可以通过运营商传输设备，将1个端口拆分为多个子接口，为多个分支提供接入，可以极大的简化机房布线、降低网络维护难度。

图1. 金融网点接入汇聚节点的不同方式对比

相比传统方案，如果“先跨设备做链路聚合，再拆分子接口”，那么BFD检测到链路故障后，有可能会因为某一网点的链路故障而影响其他正常网点，本次方案创新实现了“先把物理接口拆分为子接口，再在子接口上做跨设备聚合”，能够有效解决上述问题。任何一个网点的链路故障都不会影响其他网点，而且可以对两条链路进行统一管理、带宽充分利用。

• 基于逻辑子接口的CFD检测功能保证业务的可靠

传统的链路检测技术，例如BFD，只能检测链路的通断，无法检测链路质量。本方案应用了新技术CFD技术，CFD（Connectivity Fault Detection，连通错误检测）是一个多元的链路探测协议，可以实时检测MSTP链路的时延、丢包等链路层健康状态，并可将检测结果与上层协议进行联动，一旦发现链路质量恶化到一定阈值，业务不需要继续走这条恶化的链路，而是CFD技术可以联动使端口协议down，这样流量就能切换到聚合链路的另一条优质链路上，对业务进行高可用保障。

2、 构建多个逻辑隔离的VPN区分不同的业务

为多机构多业务提供相对独立的网络，实现多机构、不同业务的带宽保障，以满足集团公司新增业务、扩容带宽等需求。为了实现每个业务板块提供一个逻辑独立的网络，采用MPLS VPN技术成为了一个比较理想的选择，不同的业务板块可以划分在不同的VPN中相互隔离。而传统MPLS技术存在问题，本次方案中做了下面的创新改进。

• MPLS 组网下实现多条链路的流量负载分担

MPLS VPN技术的标签转发机制，导致两条聚合的广域网链路一条负载80%，一条负载20%，出现了流量负载不均衡的问题。本次方案可以实现将MPLS报文拆解，基于IP五元组的hash，使hash更精细，业务可以分流到两条链路上，使每条链路的负载都接近50%，既实现端到端的隔离保护，又提升了链路利用率。

• MPLS 组网下多业务识别问题

如何面对MPLS VPN组网下的QoS规划需要充分考虑。传统的MPLS VPN组网下的QoS，只能实现外层标签映射到QoS的EXP值，由于EXP值只有3个比特位，所以最多只能实现8种业务流量的匹配，从长远考虑，福建邮政的“多机构+多业务”的业务分类不止8个，因此需要对相关技术做扩展才能支持更多的业务总类。

图2. MPLS网络中可以通过内外层标签来区分不同机构和业务

通过扩展技术，将MPLS内、外层标签都可以分别映射到QoS，将MPLS VPN组网下的QoS扩展为8x8=64种规划，可规划7个VPN网和64个业务QoS带宽保障，极大提升网络扩展灵活性。

3、 广域网链路资源规划和带宽保障

QoS规划是广域网规划的重点，在多业务保障规划中，会出现带宽无法被充分利用的问题。本方案的分层CAR和EAA技术，能够很好地解决了带宽资源规划和保障问题。

• 分层CAR实现业务带宽保障

传统的QoS技术，只有1级的处理机制，由于需要为不同业务设置了保障带宽，会导致“某一类业务由于流量未达到保障带宽，有空闲带宽但是其他业务又无法借用”的难题，会导致浪费。

图3. 传统CAR和分层CAR的技术对比

分层CAR技术，将传统的QoS技术的一级扩展为多级，非常吻合福建邮政的多机构多应用的组织和业务架构，使QoS设计变得灵活，可以实现了以下效果：

• 每个业务部门（比如速递、邮务、金融等属于不同VPN）设置保障带宽，保障带宽属于绝对保障，即使没用完也要预留；
• VPN内部的不同业务可以设置保障带宽，如果保障带宽有空闲，其他业务可以借用；
• 可以设置带宽共享资源池，所有VPN都可调用，关键业务具有绝对高优先级。
• 嵌入式自动化架构EAA部署实现策略智能变更

网络使用中难以避免出现设备故障、链路中断等问题，当外部环境发生变化的时候，相关策略是否可以自动调整，是网络高可用设计的一个重要保证。

图4. EAA技术可以实现故障时配置策略的自动调整

当设备或链路出现故障的时候，嵌入式自动化技术EAA可以捕获到并自动调整QoS策略，使得新的策略可以满足新的环境。例如出现单链路故障的时候，EAA可以自动调整QoS策略，使得QoS策略的保障带宽等减半，当链路恢复的时候，QoS策略又会自动恢复到原来状态；例如当上午是金融业务比较忙、下午是快递业务比较忙，可以通过EAA实现QoS策略的按照不同时间段，执行不同的QoS策略。

4、 广域网安全性

福建邮政全网已部署EAD终端准入认证系统，在新型多业务广域网组网方案中，路由器可以实现全部集中认证（汇聚路由器做认证）、全部分布（认证点在网点）、部分集中+部分分布（部分网点在汇聚做认证，部分网点在网点设备做认证）等多种部署方式，并且可同时支持Portal、802.1x和MAC等认证方式，满足多样化组网认证需求

5、 可视化运维管理

如何实现网络建成之后的维护，是网络易用性的关键点。

传统的广域网只能对不同的业务机构进行管理，无法管理到机构内部的业务应用。iMC MVM（智能管理中心 MPLS VPN管理中心组件）可以实现“省—地市”“地市—网点”每个环节广域网上带宽的使用情况的精细监控，可以为管理员提供L1级别（邮政下属各个分支机构），以及细化的L2级别（每个分支机构内部，还有不同的业务）的带宽实时可视化、汇总报表等，以便实时观察网络健康、为网络扩容提供规划依据。

图5. IMC MVM平台可以管理广域网每个节点的业务带宽使用情况

结束语

福建省邮政信息网网络改造项目，周密而大胆地引入了创新的技术，实现了多业务安全隔离、多业务带宽智能保障、链路可靠性的保障、带宽利用效率的提升、跨广域业务的管理监控，将广域网打造成一个简单、高效、智能和安全的网络，更面向业务的可持续发展。