蘇雪娟，黃 玥，孫 宇

(滁州供電公司科技信息部，安徽滁州 239000)

隨著電力信息化建設的快速發(fā)展，電力企業(yè)信息網(wǎng)絡所承載的業(yè)務系統(tǒng)也越來越多，各個業(yè)務之間的互聯(lián)互通與安全隔離就顯得尤為重要，因此對于整個網(wǎng)絡構(gòu)架的良好性、可靠性以及擴展性都提出了更高的要求。于是VPN技術(shù)在企業(yè)組網(wǎng)中得到越來越多的運用。MPLS由于其良好的網(wǎng)絡拓展性并且支持大規(guī)模層次化的網(wǎng)絡拓撲結(jié)構(gòu)，所以MPLS VPN既可以把現(xiàn)有網(wǎng)絡劃分成邏輯上隔離的網(wǎng)絡，實現(xiàn)各個業(yè)務系統(tǒng)之間的隔離，又可以將功能豐富、性能可靠、擴展性好的企業(yè)信息外網(wǎng)與信息內(nèi)網(wǎng)的靈活、高效、安全結(jié)合起來。

1 MPLSVPN原理

MPLSVPN實際上是一種基于MPLS的IP VPN。MPLS技術(shù)是一種結(jié)合第2層交換和第3層路由功能的交換技術(shù)，即在網(wǎng)絡路由和交換設備上運用MPLS技術(shù)，結(jié)合傳統(tǒng)路由技術(shù)的標記交換實現(xiàn)的IP VPN。它引入了基于標簽的機制，把路由選路和數(shù)據(jù)轉(zhuǎn)發(fā)分開，由標簽通過網(wǎng)絡的路徑來規(guī)定一個分組。采用MPLSVPN技術(shù)可以把現(xiàn)有的網(wǎng)絡劃分為邏輯上隔離的網(wǎng)絡，解決行業(yè)內(nèi)部門之間的互聯(lián)，同時也可以提供新的業(yè)務，如為電視電話視頻系統(tǒng)專門開辟一個VPN，以解決IP網(wǎng)絡地址不足的問題。同時，基于MPLS技術(shù)的VPN還可與QoS保證結(jié)合，因為兩者都是基于標記的技術(shù)，也可以用MPLS VPN為IPv6開展業(yè)務。基于MPLS的VPN適合應用在復雜的網(wǎng)絡環(huán)境中，能夠提供穩(wěn)定并且有彈性的服務質(zhì)量保證［1］。

在MPLSVPN的模型中，網(wǎng)絡由骨干網(wǎng)和用戶的各個SITE組成，所謂VPN就是對SITE集合的劃分，一個VPN就對應一個由若干SITE組成的集合，MPLSVPN主要由 CE、PE 和 P共 3部分組成［2］，如圖1所示。

圖1 MPLSVPN網(wǎng)絡結(jié)構(gòu)示意圖

CE(Customer Edge Router)，網(wǎng)絡邊緣路由器設備，直接與服務提供商網(wǎng)絡相連。PE(Provider Edge Router)，服務提供商邊緣路由器設備，是MPLS三層VPN的主要實現(xiàn)者。P(Provider Router)，服務提供商核心路由器設備，負責MPLS轉(zhuǎn)發(fā)，不與CE直接相連。

PE負責建立LSP連接，對VPN用戶進行管理、同一VPN用戶分支間路由分派;PE間的路由分派通常是用擴展的BGP或LDP協(xié)議實現(xiàn)，支持不同VPN間互通和不同分支間IP地址復用，并且減化了尋址步驟，加快了報文轉(zhuǎn)發(fā)，提高了設備性能。

2 基于MPLS的VPN廣域網(wǎng)設計

企業(yè)中的廣域網(wǎng)需要承載諸多業(yè)務系統(tǒng)，每個系統(tǒng)由于其功能不同，業(yè)務上要相互獨立且在網(wǎng)絡上邏輯分開，并且要求相互之間訪問要在可控、可管理的方式下進行。由于各個業(yè)務系統(tǒng)的終端分布在不同的地理位置，企業(yè)不可能為各個業(yè)務系統(tǒng)單獨建設一個物理網(wǎng)絡，代價高而且不易統(tǒng)一管理。因此，在一個快速發(fā)展的骨干網(wǎng)絡平臺上實現(xiàn)各個業(yè)務系統(tǒng)網(wǎng)絡的有力融合，并保障各個網(wǎng)絡之間的相互獨立和高效安全尤為必要。所以組網(wǎng)方案應方便各個業(yè)務系統(tǒng)的接入和擴展，并要求不對現(xiàn)有業(yè)務系統(tǒng)運行方式作任何改動。

2.1 網(wǎng)絡架構(gòu)設計

廣域網(wǎng)采用3層結(jié)構(gòu)，分別為:核心層、匯聚層和接入層。P和PE設備采用千兆以太網(wǎng)組網(wǎng)，利用雙鏈路環(huán)網(wǎng)通過接入到PE設備作為CE設備的通信通道。

2.2 路由設計

路由設計分為IGP的設計和EGP的設計，IGP產(chǎn)生路由，EGP傳播路由。采用BGP4作為MPLS VPN路由協(xié)議，OSPF作為內(nèi)部路由協(xié)議。在匯聚層和接入層上同時運行OSPF、BGP和MPLSBGP完成全局選路和VPN選路。在CE設備上使用靜態(tài)路由完成選路。

2.2.1 BGP路由

文中的廣域網(wǎng)是一個專網(wǎng)，沒有和公網(wǎng)互連的需求，也不會和公網(wǎng)交互BGP路由信息，所以AS號可以自由地分配，為實現(xiàn)統(tǒng)一，將整個網(wǎng)絡系統(tǒng)的BGP路由AS號暫定為65000。為解決AS內(nèi)各節(jié)點需要IBGP全連接的問題，可以采用P設備作為路由反射器，與PE設備建立IBGP對等關(guān)系，保持網(wǎng)絡的擴展性和靈活性。

圖2 路由反射器示意圖

2.2.2 IGP路由

IGP對MPLS標簽的建立有關(guān)鍵作用，并且通過全局路由表管理網(wǎng)絡設備。在IGP中，OSPF協(xié)議是應用于大型網(wǎng)絡的鏈路狀態(tài)的路由協(xié)議，因此在廣域網(wǎng)中，為減少路由和網(wǎng)絡帶寬，將P設備和PE設備劃分為OSPF骨干區(qū)域，而CE設備則根據(jù)其具體位置劃分到不同的OSPF非骨干區(qū)域內(nèi)，從而分散路由處理和減少網(wǎng)絡帶寬。

2.2.3 PE設備和CE設備間的路由

對于MPLSVPN，每個VPN都相當于一個專網(wǎng)，專網(wǎng)內(nèi)的路由是通過PE設備與CE設備之間的路由實現(xiàn)的。采用OSPF協(xié)議，并針對不同的業(yè)務VPN，啟用不同OSPF進程號。為減少CE設備的路由條目，PE設備學習CE設備所有路由條目的同時，由PE設備通過OSPF強制生成一條默認路由傳遞給CE設備，不將通過BGP學到的路由重新發(fā)布給CE設備，這樣在CE設備上將只有默認路由和直連路由條目，大幅減少了路由條目的數(shù)量［3］。

2.2.4 PE設備和CE設備間的互聯(lián)

CE設備采用支持VRF功能的3層交換機，可以為VPN內(nèi)路由和全局路由提供各自獨立的路由表，以達到各個VPN間邏輯隔離的目的。PE設備和CE設備間的互聯(lián)，需考慮將VPN內(nèi)路由和全局路由如何分別發(fā)布到PE設備上?？梢栽赑E設備和CE設備上為VPN內(nèi)路由和全局路由劃分各自互聯(lián)VLAN，并將PE設備與CE設備互聯(lián)的接口設置為TRUNK口。然后在CE設備上為各個VPN劃分出業(yè)務VLAN，且將CE設備上的同一組互聯(lián)VLAN與業(yè)務VLAN放在同一個VRF內(nèi)，這樣PE設備便可以通過互聯(lián)VLAN學習到CE設備上業(yè)務VLAN的路由條目。

3 MPLSVPN在廣域網(wǎng)中的實際應用

3.1 滁州供電廣域網(wǎng)概況

滁州供電公司廣域網(wǎng)網(wǎng)絡規(guī)劃主要按照物理位置進行劃分，包括6個縣級供電公司，24個變電站、3個集控站以及住宅小區(qū)，采用環(huán)網(wǎng)組網(wǎng)方式，變電站和縣公司節(jié)點的接入均采用光纖接入的方式，以100/1 000 Mbit·s－1的速率相連。變電站和縣公司新上設備作為全網(wǎng)中的PE設備，各縣公司核心設備作為CE設備使用?？h公司和變電站同時需要建立2個VPN實例［4］，如圖3和圖4所示。

3.2 MSLP VPN在廣域網(wǎng)中的應用

滁州供電公司網(wǎng)絡承載有營銷收費、生產(chǎn)PMS、OA辦公、IP電話等多種業(yè)務，這些業(yè)務系統(tǒng)分屬不同的部門維護和管理。為滿足企業(yè)業(yè)務支撐網(wǎng)絡整體長期發(fā)展的需要，采用MPLS VPN技術(shù)對現(xiàn)有網(wǎng)絡進行了改造升級。建立統(tǒng)一的MPLS骨干網(wǎng)絡來承載公司所有內(nèi)部業(yè)務，不同的業(yè)務系統(tǒng)通過劃分VPN來實現(xiàn)互訪與邏輯隔離。在市縣公司都部署相應的PE設備，各縣公司核心設備作為CE設備使用［5－6］。

在VPN規(guī)劃上，針對不同的業(yè)務系統(tǒng)劃分不同的VPN。通過在PE上設置合理的RT對VPN間的互訪與隔離實現(xiàn)了有效控制，相同的VPN間可以互相訪問。

在網(wǎng)絡的控制層面，把所有的P設備和PE設備都放在一個域內(nèi)啟用OSPF協(xié)議，用于LDP標簽分發(fā)和建立LSP。所有的PE設備也放在一個域內(nèi)啟用MBGP，用于VPN路由的發(fā)布和處理。

由于采用基于MPLS的VPN技術(shù)組網(wǎng)，因此對于原來各業(yè)務系統(tǒng)的IP地址規(guī)劃和各CE設備以下網(wǎng)絡不需要做任何的改動。在MPLS骨干網(wǎng)絡建設完成后，只需調(diào)整各系統(tǒng)的CE設備就可以實現(xiàn)各業(yè)務系統(tǒng)的平滑入網(wǎng)。

4 結(jié)束語

MPLSVPN技術(shù)為電力企業(yè)的信息化建設提供了新的方向和技術(shù)支持。文中根據(jù)MPLSVPN技術(shù)的特點，探討了其在信息網(wǎng)絡中的實際應用，總結(jié)了改造后的MPLS的VPN網(wǎng)絡有以下特點:(1)安全措施部署簡單，各業(yè)務系統(tǒng)之間可以進行可控的互訪和安全隔離。(2)統(tǒng)一骨干網(wǎng)絡承載各個業(yè)務系統(tǒng)，網(wǎng)絡結(jié)構(gòu)清晰明了，維護簡單。(3)可以根據(jù)各業(yè)務系統(tǒng)實際的流量分配帶寬，網(wǎng)絡資源利用率高。(4)網(wǎng)絡擴展性好，當新增業(yè)務系統(tǒng)時，只需增加一個VPN，不需要針對某個業(yè)務系統(tǒng)單獨擴容網(wǎng)絡帶寬。

［1］GUICHARD J.MPLS網(wǎng)絡設計權(quán)威指南［M］.陳武，譯.北京:人民郵電出版社，2007.

［2］陳雪非，黃河，李蓬.MPL8 VPN關(guān)鍵技術(shù)研究［J］.計算機工程與設計，2007，28(13):3138 －3150.

［3］EL MGHAZLI.L3VPN operations and management framework［S］.USA:Stander of RFC4176，2005.

［4］韓波，沈富可，劉莉.BGP/MPLSVPN在NS－2中的實現(xiàn)［J］.計算機應用，2006，26(4):980 －982.

［5］賴蔚蔚.組播在電力MPLS/VPN城域網(wǎng)中的應用［J］.電子科技，2007，20(5):45 －48.

［6］程彪，徐學洲.MPLS/BGP VPN中組播的實現(xiàn)研究［J］.電子科技，2007，20(3):53 －57.