0  引言

    在電力系統(tǒng)中，隨著信息通信技術(shù)應(yīng)用范圍越來越大以及數(shù)據(jù)通信網(wǎng)絡(luò)規(guī)模和覆蓋度越來越強，越來越多重要的業(yè)務(wù)通過數(shù)據(jù)網(wǎng)通信網(wǎng)來承載，數(shù)據(jù)通信網(wǎng)在電力通信中的地位越來越重要。同樣，隨著業(yè)務(wù)數(shù)量的加大以及各類業(yè)務(wù)內(nèi)用戶數(shù)量的激增，對數(shù)據(jù)通信網(wǎng)的承載能力和安穩(wěn)性提出了更高的要求，MPLS VPN 技術(shù)的出現(xiàn)解決了多種業(yè)務(wù)并行傳遞的需求，并且應(yīng)用了MPLS標簽技術(shù)在一定程度了降低了路由器設(shè)備傳遞業(yè)務(wù)流量時對轉(zhuǎn)發(fā)性能的壓力。所以MPLS VPN技術(shù)在各類VPN技術(shù)中最符合電力通信多業(yè)務(wù)、嚴隔離、高穩(wěn)定性的要求，目前已經(jīng)得到了廣泛的應(yīng)用。

    在數(shù)據(jù)通信網(wǎng)中，基層技術(shù)運維人員把數(shù)據(jù)通信網(wǎng)粗略地形容為計算機通信網(wǎng)絡(luò)TCP/IP模型的第一層（網(wǎng)絡(luò)接口層）、第二層（Internet層）、第三層（傳輸層），如圖1所示。

    在這3層中，由上到下，每層負責對業(yè)務(wù)數(shù)據(jù)進行各層功能封裝的實現(xiàn)，簡單理解為，這3層協(xié)同實現(xiàn)了業(yè)務(wù)數(shù)據(jù)終端到終端之間的傳輸。在電力數(shù)據(jù)網(wǎng)的實際情況中，由于網(wǎng)絡(luò)的多層次，造成了業(yè)務(wù)信息一方面需要與本網(wǎng)絡(luò)域設(shè)備進行通信，另一方面也需要同其他網(wǎng)絡(luò)域內(nèi)的設(shè)備進行通信，這就需要有一種能夠?qū)崿F(xiàn)跨域傳輸?shù)腗PLS VPN技術(shù)，即MPLS VPN OPTION C技術(shù)（此外還存在OPTION A、OPTION B技術(shù)，由于OPTION C對關(guān)鍵節(jié)點設(shè)備的運行壓力最小，目前優(yōu)選OPTION C），通過此項技術(shù)完美地解決了業(yè)務(wù)跨域的需求。本文旨在基于MPLS VPN OPTION C技術(shù)的生存性原理，就如何提高MPLS VPN OPTION C體系的冗余性來開展研究，從冗余性配置方面著手提升綜合數(shù)據(jù)網(wǎng)業(yè)務(wù)傳輸?shù)姆€(wěn)定，提升重要業(yè)務(wù)生存能力。

1  MPLS VPN技術(shù)原理及跨域OPTION C類別分析

    虛擬專用網(wǎng)絡(luò)（Virtual Private Network，VPN），其作用是在公用網(wǎng)絡(luò)上建立專用的網(wǎng)絡(luò)，并且通過加密等技術(shù)實現(xiàn)專用網(wǎng)絡(luò)信息與公用網(wǎng)絡(luò)以及其他專用網(wǎng)絡(luò)的隔離。這個專用網(wǎng)絡(luò)在文中定義為某個業(yè)務(wù)，所以VPN是實現(xiàn)在公用網(wǎng)絡(luò)平臺上多種業(yè)務(wù)交互通信，并且不同業(yè)務(wù)之間，及業(yè)務(wù)與公網(wǎng)之間互為不可知狀態(tài)。目前比較流行的VPN技術(shù)有3種：（1）基于MPLS技術(shù)的MPLS VPN技術(shù)；（2）基于HTTPS的SSL VPN技術(shù)；（3）基于IPSec協(xié)議的VPN技術(shù)。在本文中著重對MPLS VPN技術(shù)進行分析。

    MPLS VPN技術(shù)的實現(xiàn)方式需要從數(shù)據(jù)層面和控制層面進行分析和解讀。

    數(shù)據(jù)層面：它是依靠MPLS標簽的分配來實現(xiàn)業(yè)務(wù)流量信息的隔離，即為不同的業(yè)務(wù)流量分配不同的標簽，對端路由器依靠這些標簽對不同業(yè)務(wù)流量進行區(qū)分，MPLS標簽的大小為4 B。在數(shù)據(jù)傳遞時，路由器首先將MP-BGP協(xié)議產(chǎn)生的用于區(qū)分業(yè)務(wù)的標簽對上層IP數(shù)據(jù)包進行封裝，也就是說在二層以太網(wǎng)幀頭和IP頭部之間加上了MPLS標簽；然后每臺設(shè)備運行MPLS協(xié)議，MPLS協(xié)議的作用在于識別這些標簽，并根據(jù)MPLS內(nèi)部的標簽表進行傳遞；最終這些數(shù)據(jù)幀到達對端路由器時，對方路由器的MP-BGP協(xié)議根據(jù)之前協(xié)商出來的標簽判斷出這些流量分別屬于哪些業(yè)務(wù)。

    如圖2所示，MPLS標簽的位置分別在二層和三層頭部之間，每個標簽的大小為4 B，其中l(wèi)abel字段為20 bit，上述標簽值就被這個字段所定義，由上圖可以看出標簽的數(shù)量可以有多個，下文介紹的MPLS VPN OPTION C跨域則需要攜帶2~3個標簽。

    控制層面：在網(wǎng)絡(luò)層控制層面可以簡單地認為是路由信息的傳遞，在MPLS VPN中控制信息的傳遞是依靠BGP協(xié)議，但傳統(tǒng)的BGP協(xié)議只能傳遞普通公網(wǎng)IPV4路由，RFC2858和RFC4360對BGP進行了擴展，擴展后的BGP協(xié)議稱之為多協(xié)議BGP（MP-BGP），在MP-BGP中新增了MP_REACH_NLRI和MP_UNREACH_NLRI及擴展團體屬性RT等，在MP_REACH_NLRI屬性中增加了對業(yè)務(wù)路由標簽和RD（路由區(qū)分，在MPLS VPN的網(wǎng)絡(luò)中，私網(wǎng)路由的路由前綴的形式為RD+IPv4地址，這樣可以在路由前綴中直接標識該路由的VPN業(yè)務(wù)信息）等信息的描述，MP_UNREACH_NLRI則可以撤銷通過MP_REACH_NLRI發(fā)布的業(yè)務(wù)路由信息，擴展團體屬性RT分為Export Target與import Target，通過這兩者的配合決定路由信息屬于具體哪一個業(yè)務(wù)VPN。

    MPLS VPN跨域構(gòu)建類型共有三大類，分別為OPTION A、OPTION B、OPTION C：（1）OPTION A為兩個域邊界設(shè)備互相視對方為業(yè)務(wù)方，所有對方過來的流量都被認為是業(yè)務(wù)流量，需要進行拆包并經(jīng)過MP-BGP協(xié)議的分析計算，然后重新進行封裝，并加上MP-BGP預(yù)先分配的業(yè)務(wù)標簽信息和MPLS協(xié)議的公網(wǎng)標簽，這個過程耗費了邊界路由器設(shè)備大量的計算處理性能，因而基于MPLS VPN OPTION A實現(xiàn)的網(wǎng)絡(luò)中，網(wǎng)絡(luò)的邊界設(shè)備需要性能比較優(yōu)良的高階路由器；（2）OPTION B為域邊界路由器之間分別建立MP-BGP鄰居關(guān)系，對方傳遞來的業(yè)務(wù)流量只需要進行簡單的分析（如RT值的對比等），來確定本地是否對該業(yè)務(wù)路由信息的接收與傳遞，這個過程對比OPTION A而言，對邊界設(shè)備的性能要求大幅度降低；（3）OPTION C為本域內(nèi)邊緣業(yè)務(wù)接入設(shè)備或者域內(nèi)核心路由器設(shè)備（后面簡稱為PE設(shè)備）直接與其他域內(nèi)PE設(shè)備建立MP-BGP，MPLS VPN OPTION C在域內(nèi)應(yīng)用LDP協(xié)議構(gòu)建標簽通道，在域間應(yīng)用BGP協(xié)議構(gòu)建標簽通道，在沿途域中利用LDP協(xié)議或者BGP協(xié)議構(gòu)建標簽通道，通過這樣的方式打通了一條本地PE設(shè)備到其他域內(nèi)目標PE設(shè)備之間的標簽通道，業(yè)務(wù)流量在這個通道中傳遞，沿途設(shè)備只需要對業(yè)務(wù)流量2層、3層之間封裝的標簽信息進行檢查、再封裝等操作，極大程度減低了沿途路由器的性能壓力，較OPTION A和OPTION B而言，它更符合了超大型網(wǎng)絡(luò)、業(yè)務(wù)密集型網(wǎng)絡(luò)的對運行穩(wěn)定性的要求。

2  電力數(shù)據(jù)通信網(wǎng)目前現(xiàn)狀

    目前在電力通信中，電力數(shù)據(jù)通信網(wǎng)承載了國網(wǎng)大部分的日常行政業(yè)務(wù)和部分與生產(chǎn)相關(guān)的業(yè)務(wù)，涉及到了27個省級接入網(wǎng)以及數(shù)量和范圍龐大的地市接入網(wǎng)。在眾多接入網(wǎng)，就網(wǎng)絡(luò)規(guī)模而言，早已步入超大型網(wǎng)絡(luò)的范圍中，電力數(shù)據(jù)通信網(wǎng)的需求就是在眾多接入網(wǎng)中需要實現(xiàn)異省之間、同省之間、省與國網(wǎng)總部之間業(yè)務(wù)的互通。

    MPLS VPN可以實現(xiàn)跨不同區(qū)域網(wǎng)絡(luò)的進行安全、高速、可靠的數(shù)據(jù)、語音、圖像多類型業(yè)務(wù)的通信，并結(jié)合差別服務(wù)、流量工程等相關(guān)技術(shù)，將公眾網(wǎng)可靠的性能、良好的擴展性、豐富的功能與專用網(wǎng)的安全、靈活、高效結(jié)合在一起。并且MPLS VPN虛電路級的業(yè)務(wù)安全性保證也滿足了目前電力數(shù)據(jù)通信網(wǎng)對業(yè)務(wù)隔離性、安全性的要求。

    目前電力數(shù)據(jù)通信網(wǎng)應(yīng)用最廣泛的是OPTION C跨域模式，在部分地區(qū)OPTION A、OPTION B也有應(yīng)用，在OPTION C的眾多實現(xiàn)方式中主要應(yīng)用的是與業(yè)務(wù)路由反射器相結(jié)合的實現(xiàn)方式，接入網(wǎng)PE設(shè)備的業(yè)務(wù)路由控制信息分別通過骨干網(wǎng)層面的各級VPN路由反射器，進行匯總、過濾、聚合等操作，一步步發(fā)送至對端PE設(shè)備。這樣一方面縮減了路由表的表項，從而降低了對邊緣業(yè)務(wù)接入設(shè)備的性能壓力，也方便了對業(yè)務(wù)路由的控制，提升了業(yè)務(wù)網(wǎng)絡(luò)訪問的安全性和靈活性。

    如圖3所示，區(qū)域1與區(qū)域2分別有業(yè)務(wù)訪問的需求，區(qū)域內(nèi)路由器的業(yè)務(wù)路由信息首先發(fā)送給在骨干網(wǎng)層面的與自己接入網(wǎng)相對應(yīng)的二級反射器；二級反射器對路由信息進行匯總、過濾、聚合等操作，對路由信息進行進一步的縮減和梳理，然后將業(yè)務(wù)路由信息發(fā)送至骨干網(wǎng)的一級業(yè)務(wù)路由反射器；依照之前的流程對業(yè)務(wù)路由進行進行同樣的處理，然后發(fā)送至目標區(qū)域?qū)?yīng)的二級反射器，經(jīng)過同樣的操作后將業(yè)務(wù)路由發(fā)送至目標區(qū)域的PE設(shè)備，在業(yè)務(wù)路由傳遞的過程中經(jīng)過了多層層路由反射器的層層梳理過濾，極大地提升了網(wǎng)絡(luò)的運維工作人員對網(wǎng)絡(luò)的控制能力，進而降低了運維人員的運維壓力。

3  冗余性分析與應(yīng)用

    本文中的冗余性分析主要是如何在網(wǎng)路出現(xiàn)線路故障和設(shè)備故障時，繼續(xù)維持網(wǎng)絡(luò)控制層面的穩(wěn)定有序和數(shù)據(jù)傳輸層面的正常運行。在網(wǎng)絡(luò)物理拓撲中網(wǎng)絡(luò)的邊界大多依靠雙邊界口字型互聯(lián)的方式，這種結(jié)構(gòu)在物理拓撲中已經(jīng)屬于比較穩(wěn)定的拓撲結(jié)構(gòu)。

    在路由信息傳遞的過程中，接入網(wǎng)首先將自己本地業(yè)務(wù)路由匯聚于區(qū)域核心設(shè)備，區(qū)域核心設(shè)備將全部業(yè)務(wù)路由信息傳遞至骨干網(wǎng)路由反射器。骨干網(wǎng)路由反射器相當于匯總了多個區(qū)域的全部路由，所以路由反射器一方面承擔巨大的路由信息傳遞壓力，另一方面路由反射器的穩(wěn)定運行對網(wǎng)絡(luò)的正常通信起著決定性作用。所以同等級的路由反射器至少要有主備兩臺，則兩臺路由反射器還必須保證正常的熱備狀態(tài)。還要注意一點就是，增加一臺路由反射器同樣增加了路由信息的傳遞途徑，很容易出現(xiàn)一條業(yè)務(wù)路由經(jīng)過多臺反射器后被復(fù)制為多條路由，造成故障發(fā)生時很難通過路由追尋故障源頭，增加運維的復(fù)雜程度，所以需要對兩臺業(yè)務(wù)路由反射器的主備身份進行嚴格的劃分。

    如圖4所示，左右兩邊拓撲的區(qū)別在于左側(cè)拓撲的兩臺PE設(shè)備與兩臺二級路由反射器建立了BGP VPNV4全連接關(guān)系，兩臺PE設(shè)備匯聚接入網(wǎng)中的業(yè)務(wù)路由信息，然后兩臺PE設(shè)備進行路由信息的同步。兩臺PE將業(yè)務(wù)路由信息復(fù)制為兩份分別發(fā)送至二級VPN反射器RR1和RR2，設(shè)定區(qū)域內(nèi)PE1為主用路由器，即PE1傳遞出的業(yè)務(wù)路由信息為首選的業(yè)務(wù)路由信息，這里可以通過減小PE1的MED值的形式來讓上層設(shè)備優(yōu)選PE1的路由，然后發(fā)送至二級RR（路由反射器）后，兩臺路由反射器同時都擁有了優(yōu)選的業(yè)務(wù)路由信息和不被優(yōu)選的業(yè)務(wù)路由信息。這樣對于一級RR來說，兩臺二級RR發(fā)來的路由信息中都有優(yōu)選的和不被優(yōu)選的路由信息，造成了二級RR的主備混亂，也造成了主用業(yè)務(wù)路由傳遞路徑的混亂。若如右側(cè)拓撲，區(qū)域內(nèi)PE1只與二級RR1建立BGP VPNV4關(guān)系，PE2只與二級RR2建立BGP VPNV4關(guān)系，這樣一來所有優(yōu)選的路由都通過二級RR1來匯集和反射給上一層RR，而二級RR2經(jīng)作為備用路由的存儲者，在二級RR1發(fā)生故障時二級RR2的業(yè)務(wù)路由才能被優(yōu)選，一方面保證了網(wǎng)絡(luò)的冗余性能，另一方面對網(wǎng)絡(luò)控制信息的傳遞更加清晰明朗化，各層次設(shè)備的主備也明確化。

    如圖5所示，左上角是正常情況下數(shù)據(jù)流量傳遞路線圖。從左到右、從上至下依次是區(qū)域間主用通道故障時的流量路線圖，即此時區(qū)域核心PE1無法將業(yè)務(wù)路由傳遞至二級RR1，所有的區(qū)域1內(nèi)業(yè)務(wù)路由都需要通過PE2和二級RR2進行路由信息傳遞，但區(qū)域2未受影響，優(yōu)選的業(yè)務(wù)路由還是通過PE1和二級RR1進行傳遞，所以業(yè)務(wù)流量出現(xiàn)了如圖中所示效果。當二級RR1出現(xiàn)故障時，區(qū)域1和區(qū)域2的業(yè)務(wù)路由信息都只能通過PE2和二級RR2進行傳遞，所以業(yè)務(wù)流量出現(xiàn)了如圖中所示效果。右下圖中，當二級RR1和區(qū)域1邊界主用通道均發(fā)生故障時，同樣是區(qū)域1和區(qū)域2的業(yè)務(wù)路由信息都只能通過PE2和二級RR2進行傳遞，所以業(yè)務(wù)流量效果與上圖相當。

4  結(jié)語

    數(shù)據(jù)通信網(wǎng)的堅強穩(wěn)定，一方面取決于承載數(shù)據(jù)通信網(wǎng)的光纜、電纜、傳輸設(shè)備等的穩(wěn)定運行，另一方面也取決于路由協(xié)議的選擇和配置。增加網(wǎng)絡(luò)的冗余性，就是要保證網(wǎng)絡(luò)的生存能力，比如在關(guān)鍵節(jié)點和線路上增加設(shè)備和物理線路的數(shù)量等。對網(wǎng)絡(luò)控制信息的梳理更是保證網(wǎng)絡(luò)冗余性的必要條件，一個清晰明確的控制信息邏輯拓撲降低了路由設(shè)備進行路由優(yōu)選時的壓力，也降低了基層運維人員的故障處理的反應(yīng)時間，更保證了流量路徑的規(guī)范化。

作者信息:

申  昉，張陽洋，彭  柏

（國網(wǎng)冀北電力有限公司信息通信分公司，北京 100053）