目前虛擬路由域技術的應用也是非常廣泛的，這里我們主要介紹虛擬路由域技術簡介，包括介紹利用虛擬路由域技術實現VPN、更進一步地探討虛擬路由域技術等方面。目前，大多數城市都已經建設了IP寬帶城域網，許多城市的城域網還進行了二次或三次擴容。其比較流行的建設方式是利用路由器加交換機組成骨干通信網絡，再配置一些寬帶接入服務器來終結寬帶用戶。而城域網上用戶的需求各種各樣，VPN就是其中的一個熱點問題。實現VPN的技術比較多，目前業界比較看好的是MPLS VPN，但是，應該看到，MPLSVPN還沒有完全標準化，而且各個廠家之間的互通還有一些問題，同時，實現MPLS的造價也比較昂貴，很多城市的城域網還沒有完全支持MPLS，因此，充分利用現有寬帶接入服務器，利用虛擬路由域技術實現VPN是一個比較切合實際和可行的方法。

一 虛擬路由域技術簡介

虛擬路由域技術是大多數遠程寬帶接入服務器(BRAS)都支持的技術，其主要的原理是在一個BRAS上開辟多個路由域，每個路由域可以獨立運行各自路由協議，進行IP包尋徑和轉發，路由域之間互不干擾，就好像是多個獨立的路由器在運行一樣。每個BRAS上支持的虛擬路由域數量從幾百到上千不等，可以很好地滿足實際需要。

二 利用虛擬路由域技術實現VPN

利用虛擬路由方式實現VPN，實際上是基于BRAS的功能，業界比較流行的BRAS如REDBAK、UNISPHERE、SHASTA等都支持虛擬路由域的功能。在實際環境中，應根據用戶的不同情況合理配置路由域。

1. 路由域的配置

一般來說，一個VPN用戶分配一個虛擬路由域，域名需要能明顯標識該路由域的所屬關系。為了盡量節省寶貴的路由域資源，可根據用戶的不同情況靈活分配路由域。如果用戶位于一個BRAS覆蓋區域，那么只在該BRAS上分配一個路由域即可，用戶的接入可以采取多種形式，比如PPPOE、專線等。如果用戶位于不是一個BRAS能覆蓋的區域，則可在凡是用戶涉及的BRAS上都分配一個路由域，不同的BRAS上域名可以一樣。但是，在這種情況下，不同的BRAS之間需要用隧道技術相連。一般采用BRAS能支持的技術，比如GRE和IPSEC等。

2. IP 地址的規劃

IP地址一般使用私有地址，可由用戶自行分配。

3. VPN出口的位置

對于組建VPN的用戶來說，采用的拓撲大多是星型結構，即總部是一個集中點，所有用戶均通過VPN與總部相連，對于要求還可以上公網的用戶，則設置一個上公網的出口。在實際環境中，這樣的出口方式可以有兩種：

總部所連接的BRAS上，為該機構的VPN域設置一個出口。這樣做，也就是在BRAS上為該域配置地址轉換功能，用戶流量由BRAS轉換為公網地址后出去。這種方式對于用戶來說，其優點是比較簡單，免去了用戶維護，但是該方式對于運營商來說，卻不是一個好的方案。因為：

①該方式涉及地址轉換，極大耗費了BRAS的可用資源，會極大影響BRAS的性能;

②會引起一些不必要的糾紛，一旦用戶發現一些網絡故障，可能首先想到的就是運營商的設備出了問題，運營商將會面臨較大的維護壓力。

(2)用戶總部端設置兩條線路，一條上公網，另外一條連接VPN。地址轉換由用戶自行完成(可以通過使用路由器或代理)。對于運營商來說，BRAS仍舊完成既有任務，不再耗費寶貴的資源來完成不必要的地址轉換功能。而對于用戶來講，進行地址控制的力度更強，能夠更好地完成VPN功能。

4. 電話撥號用戶的接入

對于電話撥號用戶接入VPN，可以采用撥號服務器和BRAS配合的方式，通過L2TP隧道來完成�？梢栽谀硞�BRAS的VPN路由域上配置LNS，電話撥號服務器配置為LAC，在用戶總部架設AAA服務器。用戶欲訪問VPN時，通過撥號服務器與配置在BRASVPN路由域上的LNS建立隧道，用戶信息通過隧道送到用戶總部的AAA服務器進行認證，通過后，由BRAS和AAASERVER分配私有地址。這樣，撥號用戶就已經連入VPN中，可以訪問VPN中的內容，并通過VPN出口訪問公網。

5. 專線用戶的接入

一般來說，如果用戶的某個站點是以租用專線方式接入VPN的話，運營商端的接口會有兩種方式，一種是直接接在BRAS上，這種情況下可以將該端口直接劃入VPN域即可，但是這種情況太浪費寶貴的BRAS接口，實際中很少采用;另一種方式是接在運營商的接入層交換機端口上，這種方式就存在如何將該交換機端口劃入BRAS域的問題。實踐中可以采用如下辦法：將該交換機端口劃入某個VLAN，然后一直將該VLAN透過交換機透傳至BRAS，在BRAS上則將該VLAN劃入VPN域，用戶的三層網關地址配置在BRAS上。這樣，對于BRAS來說，就好像該用戶直接接在了BRAS端口上一樣，可以較好地完成VPN功能。

6. PPPOE用戶的接入

對于PPPOE用戶來說，用戶上網是在用戶端運行PPPOE撥號軟件，輸入固定的帳號和密碼上網。BRAS設備會根據@號后的域名，區分應接入哪個路由域，并由BRAS分配私有地址。這樣，PPPOE用戶就可以接入VPN中了。但是，在實際的網絡環境中，這樣做還不能達到VPN的要求。原因是雖然用戶使用了域名后綴為VPN域的帳號，也確實接入了VPN的路由域，進行了成功的VPN訪問，可是因為PPPOE技術本質上是一個二層技術，因此該私網用戶往往和許多其他的用戶在同一個PPPOEVLAN中，在二層上可以互通，達不到VPN的要求。因此，在實際環境中往往采用VLAN技術將該用戶劃入一個單獨的VLAN，使VLAN透傳至BRAS上，這樣，路由域和VLAN技術結合，完成PPPOE用戶的VPN接入。

PPPOE用戶的VPN接入采用的方式說明，其它一些二層接入技術，如802.1X、等實現VPN的接入，也可以采取類似的路由域加VLAN的方式，因實現方式相同，在此不在贅述。

三 更進一步地探討

以上探討了在IP城域網中利用路由域完成用戶VPN的實現方式。但是，應該注意到，為了更好地利用虛擬路由域技術，在網絡規劃中還要注意一些問題：虛擬路由域：因為在一個BRAS上支持的虛擬路由域數目有限，為了使資源利用率最大化，應對虛擬路由域的使用數量做一個較好的規劃，同時，在采購設備時，應把路由域數量或支持的VPN隧道方式做為比較重要的指標;VLAN：在采用路由域加VLAN的方式中，要求VLAN有一個比較好的規劃，這樣才能更好地組網;另外一方面，對于一些業界逐漸出現的新技術，如嵌套VLAN等應給予足夠的關注。總之，充分挖掘現有設備的能力，利用虛擬路由域技術組建VPN，不失為運營商一個較好的選擇。