MPLS VPN技術在電力企業(yè)廣域網中的應用

蘇雪娟，黃 玥，孫 宇

(滁州供電公司科技信息部，安徽滁州 239000)

隨著電力信息化建設的快速發(fā)展，電力企業(yè)信息網絡所承載的業(yè)務系統(tǒng)也越來越多，各個業(yè)務之間的互聯(lián)互通與安全隔離就顯得尤為重要，因此對于整個網絡構架的良好性、可靠性以及擴展性都提出了更高的要求。于是VPN技術在企業(yè)組網中得到越來越多的運用。MPLS由于其良好的網絡拓展性并且支持大規(guī)模層次化的網絡拓撲結構，所以MPLS VPN既可以把現(xiàn)有網絡劃分成邏輯上隔離的網絡，實現(xiàn)各個業(yè)務系統(tǒng)之間的隔離，又可以將功能豐富、性能可靠、擴展性好的企業(yè)信息外網與信息內網的靈活、高效、安全結合起來。

1 MPLSVPN原理

MPLSVPN實際上是一種基于MPLS的IP VPN。MPLS技術是一種結合第2層交換和第3層路由功能的交換技術，即在網絡路由和交換設備上運用MPLS技術，結合傳統(tǒng)路由技術的標記交換實現(xiàn)的IP VPN。它引入了基于標簽的機制，把路由選路和數(shù)據(jù)轉發(fā)分開，由標簽通過網絡的路徑來規(guī)定一個分組。采用MPLSVPN技術可以把現(xiàn)有的網絡劃分為邏輯上隔離的網絡，解決行業(yè)內部門之間的互聯(lián)，同時也可以提供新的業(yè)務，如為電視電話視頻系統(tǒng)專門開辟一個VPN，以解決IP網絡地址不足的問題。同時，基于MPLS技術的VPN還可與QoS保證結合，因為兩者都是基于標記的技術，也可以用MPLS VPN為IPv6開展業(yè)務。基于MPLS的VPN適合應用在復雜的網絡環(huán)境中，能夠提供穩(wěn)定并且有彈性的服務質量保證［1］。

在MPLSVPN的模型中，網絡由骨干網和用戶的各個SITE組成，所謂VPN就是對SITE集合的劃分，一個VPN就對應一個由若干SITE組成的集合，MPLSVPN主要由 CE、PE 和 P共 3部分組成［2］，如圖1所示。

圖1 MPLSVPN網絡結構示意圖

CE(Customer Edge Router)，網絡邊緣路由器設備，直接與服務提供商網絡相連。PE(Provider Edge Router)，服務提供商邊緣路由器設備，是MPLS三層VPN的主要實現(xiàn)者。P(Provider Router)，服務提供商核心路由器設備，負責MPLS轉發(fā)，不與CE直接相連。

PE負責建立LSP連接，對VPN用戶進行管理、同一VPN用戶分支間路由分派;PE間的路由分派通常是用擴展的BGP或LDP協(xié)議實現(xiàn)，支持不同VPN間互通和不同分支間IP地址復用，并且減化了尋址步驟，加快了報文轉發(fā)，提高了設備性能。

2 基于MPLS的VPN廣域網設計

企業(yè)中的廣域網需要承載諸多業(yè)務系統(tǒng)，每個系統(tǒng)由于其功能不同，業(yè)務上要相互獨立且在網絡上邏輯分開，并且要求相互之間訪問要在可控、可管理的方式下進行。由于各個業(yè)務系統(tǒng)的終端分布在不同的地理位置，企業(yè)不可能為各個業(yè)務系統(tǒng)單獨建設一個物理網絡，代價高而且不易統(tǒng)一管理。因此，在一個快速發(fā)展的骨干網絡平臺上實現(xiàn)各個業(yè)務系統(tǒng)網絡的有力融合，并保障各個網絡之間的相互獨立和高效安全尤為必要。所以組網方案應方便各個業(yè)務系統(tǒng)的接入和擴展，并要求不對現(xiàn)有業(yè)務系統(tǒng)運行方式作任何改動。

2.1 網絡架構設計

廣域網采用3層結構，分別為:核心層、匯聚層和接入層。P和PE設備采用千兆以太網組網，利用雙鏈路環(huán)網通過接入到PE設備作為CE設備的通信通道。

2.2 路由設計

路由設計分為IGP的設計和EGP的設計，IGP產生路由，EGP傳播路由。采用BGP4作為MPLS VPN路由協(xié)議，OSPF作為內部路由協(xié)議。在匯聚層和接入層上同時運行OSPF、BGP和MPLSBGP完成全局選路和VPN選路。在CE設備上使用靜態(tài)路由完成選路。

2.2.1 BGP路由

文中的廣域網是一個專網，沒有和公網互連的需求，也不會和公網交互BGP路由信息，所以AS號可以自由地分配，為實現(xiàn)統(tǒng)一，將整個網絡系統(tǒng)的BGP路由AS號暫定為65000。為解決AS內各節(jié)點需要IBGP全連接的問題，可以采用P設備作為路由反射器，與PE設備建立IBGP對等關系，保持網絡的擴展性和靈活性。

圖2 路由反射器示意圖

2.2.2 IGP路由

IGP對MPLS標簽的建立有關鍵作用，并且通過全局路由表管理網絡設備。在IGP中，OSPF協(xié)議是應用于大型網絡的鏈路狀態(tài)的路由協(xié)議，因此在廣域網中，為減少路由和網絡帶寬，將P設備和PE設備劃分為OSPF骨干區(qū)域，而CE設備則根據(jù)其具體位置劃分到不同的OSPF非骨干區(qū)域內，從而分散路由處理和減少網絡帶寬。

2.2.3 PE設備和CE設備間的路由

對于MPLSVPN，每個VPN都相當于一個專網，專網內的路由是通過PE設備與CE設備之間的路由實現(xiàn)的。采用OSPF協(xié)議，并針對不同的業(yè)務VPN，啟用不同OSPF進程號。為減少CE設備的路由條目，PE設備學習CE設備所有路由條目的同時，由PE設備通過OSPF強制生成一條默認路由傳遞給CE設備，不將通過BGP學到的路由重新發(fā)布給CE設備，這樣在CE設備上將只有默認路由和直連路由條目，大幅減少了路由條目的數(shù)量［3］。

2.2.4 PE設備和CE設備間的互聯(lián)

CE設備采用支持VRF功能的3層交換機，可以為VPN內路由和全局路由提供各自獨立的路由表，以達到各個VPN間邏輯隔離的目的。PE設備和CE設備間的互聯(lián)，需考慮將VPN內路由和全局路由如何分別發(fā)布到PE設備上。可以在PE設備和CE設備上為VPN內路由和全局路由劃分各自互聯(lián)VLAN，并將PE設備與CE設備互聯(lián)的接口設置為TRUNK口。然后在CE設備上為各個VPN劃分出業(yè)務VLAN，且將CE設備上的同一組互聯(lián)VLAN與業(yè)務VLAN放在同一個VRF內，這樣PE設備便可以通過互聯(lián)VLAN學習到CE設備上業(yè)務VLAN的路由條目。

3 MPLSVPN在廣域網中的實際應用

3.1 滁州供電廣域網概況

滁州供電公司廣域網網絡規(guī)劃主要按照物理位置進行劃分，包括6個縣級供電公司，24個變電站、3個集控站以及住宅小區(qū)，采用環(huán)網組網方式，變電站和縣公司節(jié)點的接入均采用光纖接入的方式，以100/1 000 Mbit·s－1的速率相連。變電站和縣公司新上設備作為全網中的PE設備，各縣公司核心設備作為CE設備使用。縣公司和變電站同時需要建立2個VPN實例［4］，如圖3和圖4所示。

3.2 MSLP VPN在廣域網中的應用

滁州供電公司網絡承載有營銷收費、生產PMS、OA辦公、IP電話等多種業(yè)務，這些業(yè)務系統(tǒng)分屬不同的部門維護和管理。為滿足企業(yè)業(yè)務支撐網絡整體長期發(fā)展的需要，采用MPLS VPN技術對現(xiàn)有網絡進行了改造升級。建立統(tǒng)一的MPLS骨干網絡來承載公司所有內部業(yè)務，不同的業(yè)務系統(tǒng)通過劃分VPN來實現(xiàn)互訪與邏輯隔離。在市縣公司都部署相應的PE設備，各縣公司核心設備作為CE設備使用［5－6］。

在VPN規(guī)劃上，針對不同的業(yè)務系統(tǒng)劃分不同的VPN。通過在PE上設置合理的RT對VPN間的互訪與隔離實現(xiàn)了有效控制，相同的VPN間可以互相訪問。

在網絡的控制層面，把所有的P設備和PE設備都放在一個域內啟用OSPF協(xié)議，用于LDP標簽分發(fā)和建立LSP。所有的PE設備也放在一個域內啟用MBGP，用于VPN路由的發(fā)布和處理。

由于采用基于MPLS的VPN技術組網，因此對于原來各業(yè)務系統(tǒng)的IP地址規(guī)劃和各CE設備以下網絡不需要做任何的改動。在MPLS骨干網絡建設完成后，只需調整各系統(tǒng)的CE設備就可以實現(xiàn)各業(yè)務系統(tǒng)的平滑入網。

4 結束語

MPLSVPN技術為電力企業(yè)的信息化建設提供了新的方向和技術支持。文中根據(jù)MPLSVPN技術的特點，探討了其在信息網絡中的實際應用，總結了改造后的MPLS的VPN網絡有以下特點:(1)安全措施部署簡單，各業(yè)務系統(tǒng)之間可以進行可控的互訪和安全隔離。(2)統(tǒng)一骨干網絡承載各個業(yè)務系統(tǒng)，網絡結構清晰明了，維護簡單。(3)可以根據(jù)各業(yè)務系統(tǒng)實際的流量分配帶寬，網絡資源利用率高。(4)網絡擴展性好，當新增業(yè)務系統(tǒng)時，只需增加一個VPN，不需要針對某個業(yè)務系統(tǒng)單獨擴容網絡帶寬。

［1］GUICHARD J.MPLS網絡設計權威指南［M］.陳武，譯.北京:人民郵電出版社，2007.

［2］陳雪非，黃河，李蓬.MPL8 VPN關鍵技術研究［J］.計算機工程與設計，2007，28(13):3138 －3150.

［3］EL MGHAZLI.L3VPN operations and management framework［S］.USA:Stander of RFC4176，2005.

［4］韓波，沈富可，劉莉.BGP/MPLSVPN在NS－2中的實現(xiàn)［J］.計算機應用，2006，26(4):980 －982.

［5］賴蔚蔚.組播在電力MPLS/VPN城域網中的應用［J］.電子科技，2007，20(5):45 －48.

［6］程彪，徐學洲.MPLS/BGP VPN中組播的實現(xiàn)研究［J］.電子科技，2007，20(3):53 －57.