IP知识百科 > MUX VPN

什么是MUX VPN？

MUX VPN（Multiplex VPN, 多路复用 VPN）是一种创新的智能云网解决方案，它可以通过多路复用技术实现高效的数据流量传输，减少网络延迟并提高网络吞吐量。随着数字化技术的不断进步，全球数字化发展已经进入加速阶段。在国家战略普遍支持和企业积极主动进行数字化转型的双驱动下，越来越多的企业将业务迁移到云上。然而，现有的运营商2B专线难以满足千行百业数字化转型对专线业务提出的关于灵活控制、安全保障等方面的要求。为解决传统运营商2B专线方案的不足之处，华为创新性地提出了MUX VPN解决方案，可以实现多网快速接入、站点互访、按需可控和增值服务业务链的灵活编排，加速业务创新，向应用感知网络的演进迈出了坚实的一步。

为什么需要MUX VPN？

云网，就是联接云、使能云的网。在国家战略普遍支持和企业积极主动进行数字化转型的双驱动下，越来越多的企业将业务迁移到云网之上。然而，现有的运营商2B专线难以满足云网业务大量部署对专线业务提出的关于灵活控制、安全保障等方面的要求。

首先，当前运营商现有网络中，OTN（OpticalTransportNetwork）、MSTP（Multi-Service Transport Platform）、SPN（Slicing Packet Network）、IPRAN（IP Radio Access Network）等各种类型专线同时存在，各类型专线单一销售无法匹配企业多接入点不同接入条件的场景，而不同类型的专线需要互通时，又往往需要在骨干网进行复杂的业务配置，部署难度很大、复杂度很高。

其次，传统方案中专线互通策略部署也十分复杂，需要通过感知私网路由，配置复杂流分类并规划流策略来实现。且新增一个站点时，都需要修改已有站点的RT（Route-Target）规划，部署起来十分困难且灵活度很差，不能满足实际业务需要。

此外，一直以来运营商的网络安全建设都面临着碎片化、重复投资、无法统一调度、负载不均等问题。云安全建设十分割裂，不同部门之间防护能力参差不齐，缺少整体化的统一云安全建设规划，无法发挥整合优势。且当前大部分云池仍采用物理设备部署，部分安全设备老旧，难以实现统一调度。运营商基于企业租户级的增值业务，在部署时需要在安全设备和网络设备之间为每一个租户分配不同的VLAN子接口，安全设备再根据VLAN子接口来映射资源进行安全服务处理，这样就需要配置大量的子接口，配置复杂而且自动化难度很高。

为解决上述传统运营商2B专线方案的不足之处，华为创新性地提出了MUX VPN 解决方案，可以实现多网快速接入、站点互访、按需可控和增值服务业务链的灵活编排，加速业务创新，向应用感知网络的演进迈出了坚实的一步。

MUX VPN的应用场景

下图为MUX VPN智能云网解决方案的全景展示。

MUX VPN方案全景

网络接入侧：MUX VPN方案，通过在云骨干的网PE设备部署HoVPN分层业务模型，兼容多种接入隧道。
网PE(Provider Edge)设备端：MUX VPN方案，通过为不同接入点的CPE设备进行分组，进行分组策略处理来实现灵活的互通策略控制。
增值业务开通：MUX VPN方案，通过结合SRv6和APN6技术帮助运营商建设安全资源池，为企业用户提供安全增值业务服务。

MUX VPN的关键特征

MUX VPN方案的主要优势体现为：一是可以满足任意场景接入，并且实现互通和隔离的灵活策略控制；二是为业务安全随行提供了有效的解决方案。下面对MUX VPN的关键特征进行详细说明。

MUX VPN 可以满足任意场景接入
智能云网原有方案中的端到端VPN方案，要求网络端到端的设备升级支持SRv6，无法满足多种接入场景的诉求。通过在云骨干的网PE设备部署HoVPN分层业务模型，MUX VPN方案支持CPE接入和网PE接入，兼容多种接入隧道，例如传统的Option A接入、GRE隧道接入、MPLS协议接入和SRv6协议接入等等。

如图所示，不同接入条件的专线接入到网PE后，可以统一转换成SRv6协议接入专线，实现有线、无线以及互联网全场景的任意接入，而无需将网络端到端设备都升级为支持SRv6的设备，部署难度和复杂度大大降低。

MUX VPN将各类专线统一转化为SRv6协议接入专线
MUX VPN可以实现灵活的互通策略控制
MUX VPN方案结合APN6（Application-aware IPv6 Networking，应用感知型IPv6网络）技术，通过为不同接入点的CPE设备进行分组，在网PE设备上对报文进行分组策略处理来实现灵活的互通策略控制。

如图所示，首先在CPE设备上基于VPN业务配置APN组ID，在业务报文封装SRv6隧道之后，继续封装DOH扩展头来携带APN ID。接着报文发送到网PE设备，在网PE设备识别APN ID，并根据APN ID信息确定发送端组ID，通过查私网路由确定目的CPE设备并获取目的组ID，然后使用源组ID和目的组ID匹配组策略，执行互通和隔离动作。最后复制源APN ID封装到下一段隧道中，继续发送至尾节点。随SRv6隧道剥离APN ID。这样就可以通过部署MUX VPN方案实现灵活的互通策略控制。

MUX VPN方案利用分组策略处理实现灵活的互通策略控制
MUX VPN可以实现业务的安全随行
MUX VPN方案通过结合SRv6和APN6技术帮助运营商建设安全资源池，为企业用户提供安全增值业务服务，在满足企业更多诉求的同时提升运营商的收益。

如图所示，MUX VPN方案将SRv6和APN6技术相结合，通过网络控制器进行端到端的SRv6 TE Policy路径编排，将安全资源池的SID编入业务链路径中，通过头端设备携带包含User ID的APN ID信息。安全资源池就可以根据User ID来识别租户，进行相应的安全业务处理，不再需要网络设备和安全设备之间配置大量的子接口，极大地简化了配置，做到了业务随行、自动部署。

MUX VPN方案实现业务的安全随行