基于MPLSVPN的軌道交通線網(wǎng)承載網(wǎng)研究

黎成 喻文翰

摘 ?要：MPLS VPN作為一種成熟的IP承載網(wǎng)技術(shù)，具備良好的特性，在運(yùn)營商網(wǎng)絡(luò)中廣泛應(yīng)用。文章介紹其基本原理，分析其技術(shù)優(yōu)點(diǎn)。因MPLS VPN自身所具備的特性能與城市軌道交通線網(wǎng)業(yè)務(wù)對網(wǎng)絡(luò)的需求契合，將該技術(shù)引入到軌道交通環(huán)境中，使其與傳統(tǒng)城市軌道網(wǎng)絡(luò)相融合。文章中對MPLS VPN在軌道交通線網(wǎng)中的具體應(yīng)用做了初步研究，其目的是構(gòu)建可靠、安全的軌道交通承載網(wǎng)絡(luò)，滿足軌道交通信息化對網(wǎng)絡(luò)的需求，助力城市軌道交通發(fā)展。

關(guān)鍵詞：MPLS VPN;承載網(wǎng);PE

中圖分類號：TN915.02 ? ? 文獻(xiàn)標(biāo)識碼：A 文章編號：2096-4706（2020）13-0047-04

Abstract：As a mature IP bearer network technology，MPLS VPN has good characteristics and is widely used in ISP networks. The article introduces its basic principles and analyzes its technical advantages. Due to the unique features of MPLS VPN and the requirements of urban rail transit network services for the network，the author introduced it into the rail transit environment to integrate it with the traditional urban rail network. The paper makes a preliminary study on the specific application of MPLS VPN in the rail transit network. Its purpose is to build a reliable and safe rail transit bearer network，meet the needs of rail transit informatization on the network，and help the development of urban rail transit.

Keywords：MPLS VPN;bearer network;PE

0 ?引 ?言

隨著全國各地城市軌道交通加速成網(wǎng)，各軌道交通運(yùn)營公司都在構(gòu)建線網(wǎng)指揮應(yīng)急中心（COCC）。為滿足COCC業(yè)務(wù)系統(tǒng)的運(yùn)行，線網(wǎng)承載網(wǎng)應(yīng)運(yùn)而生，承載網(wǎng)承載線網(wǎng)ISCS、PSCADA、ATS、ACS、CCTV等綜合業(yè)務(wù)。目前各業(yè)務(wù)系統(tǒng)保持網(wǎng)絡(luò)互通，未能較好隔離，存在網(wǎng)絡(luò)資源利用率較低，網(wǎng)絡(luò)擴(kuò)展性較差等缺點(diǎn)。為了更好地服務(wù)于COCC各業(yè)務(wù)系統(tǒng)、在網(wǎng)絡(luò)安全等級保護(hù)2.0大環(huán)境下，有必要建設(shè)基于MPLS VPN的軌道交通線網(wǎng)承載網(wǎng)，有效地將各業(yè)務(wù)融合于同一網(wǎng)絡(luò)，滿足不同業(yè)務(wù)對安全性的要求，以實(shí)現(xiàn)各業(yè)務(wù)數(shù)據(jù)快速安全地交換。

1 ?MPLS VPN的基本原理

MPLS VPN是一種基于MPLS實(shí)現(xiàn)VPN業(yè)務(wù)的技術(shù)，MPLS VPN利用MPLS技術(shù)創(chuàng)建隧道，根據(jù)是否使用BGP的community擴(kuò)展屬性分為二層VPN和三層VPN，通常所說的MPLS VPN技術(shù)使用的是BGP三層VPN業(yè)務(wù)。MPLS VPN通過在隧道中轉(zhuǎn)發(fā)帶有兩層嵌套標(biāo)簽的數(shù)據(jù)分組，以實(shí)現(xiàn)私網(wǎng)數(shù)據(jù)在MPLS網(wǎng)絡(luò)上傳輸。兩層嵌套標(biāo)簽由內(nèi)層標(biāo)簽和外層標(biāo)簽構(gòu)成，其中內(nèi)層標(biāo)簽即VPN標(biāo)簽，用來識別私網(wǎng)用戶信息，外層標(biāo)簽即MPLS標(biāo)簽，用來在MPLS網(wǎng)中轉(zhuǎn)發(fā)私網(wǎng)用戶數(shù)據(jù)報文[1]，通過兩層標(biāo)簽構(gòu)建具有復(fù)用物理通道、業(yè)務(wù)數(shù)據(jù)相對安全隔離、擴(kuò)展性較高的傳輸網(wǎng)絡(luò)。

MPLS VPN網(wǎng)絡(luò)存在如下三種類型的網(wǎng)絡(luò)設(shè)備：用戶邊緣設(shè)備（Customer Edge，CE），直接和PE相連;骨干網(wǎng)邊緣設(shè)備（Provider Edge，PE），負(fù)責(zé)VPN數(shù)據(jù)處理和轉(zhuǎn)發(fā)，同時和其他PE設(shè)備交換VPN路由信息;網(wǎng)絡(luò)中的骨干設(shè)備（Provider，P），不與CE直接相連，P設(shè)備只需要具備基本MPLS轉(zhuǎn)發(fā)能力，不進(jìn)行VPN信息維護(hù)。在非運(yùn)營商網(wǎng)絡(luò)中因網(wǎng)絡(luò)規(guī)模不同可能不存在P，同一設(shè)備也可能既是P，又是PE，甚至是CE，典型構(gòu)成如圖1所示。圖中，實(shí)線代表物理連接，虛線表示數(shù)據(jù)傳遞方向。

在控制層面，通過維持PE間的IBPG網(wǎng)絡(luò)連接，確保PE與PE之間正常通過MP-IBGP協(xié)議交互VPN路由信息。PE節(jié)點(diǎn)使能LDP協(xié)議，通過LDP在MPLS骨干網(wǎng)中形成標(biāo)簽分發(fā)路徑。

數(shù)據(jù)轉(zhuǎn)發(fā)層面，各業(yè)務(wù)系統(tǒng)通過CE接入網(wǎng)絡(luò)。當(dāng)PE設(shè)備收到來自CE發(fā)送的業(yè)務(wù)數(shù)據(jù)后，PE根據(jù)業(yè)務(wù)數(shù)據(jù)所屬VPN查找與之匹配的虛擬路由轉(zhuǎn)發(fā)（Virtual Routing Forwarding，VRF）表，從VRF表中獲取內(nèi)外層標(biāo)簽及轉(zhuǎn)發(fā)路徑。當(dāng)VPN分組攜帶兩層標(biāo)簽之后，就在MPLS骨干網(wǎng)中沿著LSP路徑被逐級轉(zhuǎn)發(fā)。分組外層MPLS標(biāo)簽在到達(dá)目的PE之前的最后一個P設(shè)備上被剝離，P設(shè)備將只含有VPN標(biāo)簽的分組轉(zhuǎn)發(fā)給目的PE設(shè)備。目的PE根據(jù)內(nèi)層VPN查找PE連接對應(yīng)CE的端口，PE剝離VPN標(biāo)簽后將分組發(fā)送給CE，CE根據(jù)本地路由轉(zhuǎn)發(fā)分組，從而實(shí)現(xiàn)了整個分組轉(zhuǎn)發(fā)過程。

2 ?MPLS VPN的優(yōu)點(diǎn)

MPLS VPN極大地提高了傳統(tǒng)網(wǎng)絡(luò)管理的靈活性和擴(kuò)展性，同時滿足信息傳輸安全性、實(shí)時性等[2]。在IP網(wǎng)絡(luò)中的MPLS VPN具有如下優(yōu)點(diǎn)：

（1）提高網(wǎng)絡(luò)資源利用率。網(wǎng)絡(luò)中使用標(biāo)簽交換數(shù)據(jù)，原則上對于沒有互訪的不同VPN實(shí)例之間可以使用重復(fù)的IP，進(jìn)而提高IP資源的利用率。

（2）提高網(wǎng)絡(luò)的靈活性。網(wǎng)絡(luò)中可根據(jù)不同的VPN實(shí)例，部署不同的訪問控制策略，相較于ACL具備集中快速部署的優(yōu)勢，有利于實(shí)現(xiàn)增值業(yè)務(wù)。

（3）提高網(wǎng)絡(luò)的擴(kuò)展性。RD中可攜帶3字節(jié)標(biāo)簽，網(wǎng)絡(luò)中可以容納的VPN數(shù)量很大，后期可根據(jù)業(yè)務(wù)需求新增VPN實(shí)例。

（4）提高網(wǎng)絡(luò)安全性。各VPN實(shí)例具備不同的屬性使各實(shí)例數(shù)據(jù)轉(zhuǎn)發(fā)通道安全隔離，同時可隱藏底層網(wǎng)絡(luò)拓?fù)洹?/p>

3 ?MPLS VPN在線網(wǎng)承載網(wǎng)中的應(yīng)用

3.1 ?物理結(jié)構(gòu)設(shè)計(jì)

以我公司在成都地鐵COCC一期項(xiàng)目中的網(wǎng)絡(luò)建設(shè)為例加以闡述，成都地鐵COCC由1個線網(wǎng)控制中心：崔家店COCC，2個區(qū)域控制中心：世紀(jì)城OCC，新苗OCC組成。整個線網(wǎng)網(wǎng)絡(luò)總體上按兩層架構(gòu)設(shè)計(jì)，骨干傳輸層和設(shè)備接入層。骨干傳輸層和設(shè)備接入層構(gòu)成星型拓?fù)浣Y(jié)構(gòu)，具體如圖2所示。

接入層主要用于各業(yè)務(wù)系統(tǒng)的接入，為保證鏈路冗余，崔家店COCC，世紀(jì)城OCC和新苗OCC接入層交換機(jī)采用鏈路捆綁技術(shù)實(shí)現(xiàn)雙歸屬方式接入各核心交換機(jī)，接入層交換機(jī)只需根據(jù)接入層設(shè)備的不同業(yè)務(wù)作VLAN劃分，普通網(wǎng)管交換機(jī)即可滿足該功能需求。核心層承擔(dān)承載網(wǎng)工作，MPLS VPN工作在該層進(jìn)行。核心層物理鏈路上依然采用環(huán)網(wǎng)結(jié)構(gòu)運(yùn)行環(huán)網(wǎng)協(xié)議，即崔家店COCC線網(wǎng)核心交換機(jī)，世紀(jì)城OCC核心交換機(jī)和新苗OCC核心交換機(jī)構(gòu)建環(huán)網(wǎng)運(yùn)行，以滿足地鐵設(shè)計(jì)規(guī)范中“環(huán)網(wǎng)自愈能力小于50 ms”的要求，環(huán)網(wǎng)管理節(jié)點(diǎn)設(shè)置于崔家店COCC線網(wǎng)核心交換機(jī)。為實(shí)現(xiàn)核心設(shè)備負(fù)載均衡及簡化網(wǎng)絡(luò)管理，骨干傳輸層各節(jié)點(diǎn)交換機(jī)可選用具備網(wǎng)絡(luò)功能虛擬化的交換機(jī)，虛擬成一臺邏輯交換機(jī)。

3.2 ?邏輯結(jié)構(gòu)設(shè)計(jì)

基于安全和實(shí)際運(yùn)營需求，線網(wǎng)承載網(wǎng)采用MPLS VPN配置Hub & spoke的方式組網(wǎng)，如圖3所示，其中Hub-PE是崔家店COCC中心控制設(shè)備，中心控制設(shè)備負(fù)責(zé)業(yè)務(wù)互訪的監(jiān)控和過濾，各業(yè)務(wù)數(shù)據(jù)的互訪都需通過中心控制設(shè)備。崔家店COCC線網(wǎng)核心交換機(jī)為Hub-PE，世紀(jì)城OCC區(qū)域控制中心交換機(jī)和新苗OCC區(qū)域控制中心交換機(jī)為Spoke-PE。Hub-PE分別與Spoke-PE建立鄰居關(guān)系，Spoke-PE與Spoke-PE之間不建立鄰居關(guān)系，構(gòu)建LSP通道，以實(shí)現(xiàn)VPN數(shù)據(jù)傳輸。VPN_GX表示主平臺VPN實(shí)例能與其他VPN實(shí)例互通;VPN_LSP表示VPN標(biāo)記交換路徑，為VPN實(shí)例的分組轉(zhuǎn)發(fā)路徑;LSP表示標(biāo)記交換路徑，為MPLS分組轉(zhuǎn)發(fā)的外部路徑。

核心層（MPLS骨干網(wǎng)）是MPLS的主干區(qū)域，路由協(xié)議使用IGP與BGP相結(jié)合的方式，其中IGP使用OSPF協(xié)議，主要作用就是通過OSPF的網(wǎng)絡(luò)發(fā)布，以實(shí)現(xiàn)崔家店COCC、世紀(jì)城OCC和新苗OCC的PE之間鄰居可達(dá)。核心層設(shè)備規(guī)模比較小，因此OSPF可以只劃分一個區(qū)域“AREA 0”，這樣網(wǎng)絡(luò)配置及管理相對比較簡單。為方便管理全網(wǎng)網(wǎng)絡(luò)交換機(jī)，需對全網(wǎng)交換機(jī)單獨(dú)分配管理地址，通過OPSF協(xié)議發(fā)布該地址，同時為保證接入層（CE部分）管理地址可達(dá)，還需接入層交換機(jī)上配置指向所連PE的默認(rèn)路由。BGP協(xié)議使用IBGP協(xié)議，利用IBGP完成VPN私網(wǎng)路由分發(fā)，由于是內(nèi)部網(wǎng)絡(luò)環(huán)境，可以將各PE的AS（自治系統(tǒng)）設(shè)計(jì)成一致，使之處于同一自治系統(tǒng)。

3.3 ?VPN實(shí)例設(shè)計(jì)

根據(jù)實(shí)際業(yè)務(wù)需求在各PE上創(chuàng)建VPN_GX、VPN_ISCS、VPN_ATS、VPN_CCTV、VPN_PSCADA、VPN_ACS實(shí)例，根據(jù)VPN實(shí)例分配，會在各PE上自動構(gòu)建相互獨(dú)立的6個VRF，分別是：主平臺VPN路由轉(zhuǎn)發(fā)表、綜合監(jiān)控VPN路由轉(zhuǎn)發(fā)表、信號VPN路由轉(zhuǎn)發(fā)表、視頻監(jiān)控VPN路由轉(zhuǎn)發(fā)表、電力監(jiān)控VPN路由轉(zhuǎn)發(fā)表、門禁VPN路由轉(zhuǎn)發(fā)表。通過對各個PE上VRF屬性的配置，可控制崔家店COCC線網(wǎng)中心與世紀(jì)城OCC、新苗OCC區(qū)域控制中心之間的路由發(fā)布。VRF屬性主要由RT Export、RT Import、RD構(gòu)成，其中RD和VRF存在一一對應(yīng)關(guān)系，RT Export、RT Import實(shí)現(xiàn)VPN路由的收發(fā)和過濾，各VPN實(shí)例屬性分配如表1所示。主平臺VPN實(shí)例的RT Import屬性包含其他所有VPN實(shí)例的RT Export屬性，其他所有VPN實(shí)例的RT Import屬性與主平臺VPN實(shí)例的RT Export屬性存在交集，實(shí)現(xiàn)了崔家店COCC主平臺與各業(yè)務(wù)系統(tǒng)的互訪;其他VPN實(shí)例中任意一個VPN實(shí)例的RT Export屬性與剩下VPN實(shí)例的RT Import屬性不存在交集，因而其他業(yè)務(wù)系統(tǒng)之間可以做到相互隔離。

4 ?結(jié) ?論

本文總體上介紹了MPLS VPN的基本原理，并對MPLS VPN構(gòu)建軌道交通線網(wǎng)承載網(wǎng)做了粗略的分析，該研究為構(gòu)建城市軌道交通線網(wǎng)承載網(wǎng)提供了新的思路，助力城市軌道交通信息化發(fā)展。

參考文獻(xiàn)：

[1] 劉麗娟.MPLS VPN技術(shù)及其在校園網(wǎng)建設(shè)中的研究 [J].電腦知識與技術(shù)，2010，6（4）：831-832.

[2] 韓海雯，張瀟元.基于BGP協(xié)議的MPLSVPN構(gòu)建機(jī)制分析 [J].計(jì)算機(jī)工程與設(shè)計(jì)，2008（5）：1104-1107.

作者簡介：黎成（1989—），男，漢族，四川巴中人，工程師，本科，主要研究方向：新一代網(wǎng)絡(luò)技術(shù)研究;喻文翰（1994—），男，漢族，四川成都人，本科，主要研究方向：數(shù)據(jù)通信網(wǎng)絡(luò)規(guī)劃與設(shè)計(jì)。