ＭＰＬＳ ＶＰＮ網(wǎng)絡(luò)技術(shù)在氣象通信上的發(fā)展與應(yīng)用

氣象部門(mén)是一個(gè)IT依賴(lài)性比較強(qiáng)的部門(mén)，對(duì)于資料傳輸?shù)臅r(shí)效性要求很高，為了保障資料能夠在要求的時(shí)間內(nèi)完成傳輸，并且保證信息在傳輸過(guò)程中的機(jī)密性、完整性和可用性。MPLS VPN技術(shù)是最佳的解決方案。它不僅會(huì)大大節(jié)省廣域網(wǎng)的建設(shè)和運(yùn)行維護(hù)費(fèi)用，而且擁有成本低、便于管理，開(kāi)銷(xiāo)少、靈活度高，保密性好，性價(jià)比高等優(yōu)點(diǎn)。

1.1 MPLS的簡(jiǎn)介

MPLS（Multiprotocol Label Switch）即多協(xié)議標(biāo)記交換。最初是用來(lái)提高路由器的轉(zhuǎn)發(fā)速度而提出的一個(gè)協(xié)議，但是由于MPLS在流量工程和VPN這一在目前IP網(wǎng)絡(luò)中非常關(guān)鍵的技術(shù)中的表現(xiàn)，MPLS已日益成為擴(kuò)大IP網(wǎng)絡(luò)規(guī)模的重要標(biāo)準(zhǔn)。

MPLS協(xié)議的關(guān)鍵是引入了標(biāo)簽（Label）的概念。它是一種短的易于處理的、不包含拓?fù)湫畔ⅰ⒅痪哂芯植恳饬x的信息內(nèi)容。Label是為了易于處理，通常可以用索引直接引用。只具有局部意義是為了便于分配。在MPLS網(wǎng)絡(luò)中，IP包在進(jìn)入第一個(gè)MPLS設(shè)備時(shí)，MPLS邊緣路由器就用標(biāo)簽封裝起來(lái)。 MPLS邊緣路由器分析IP包的內(nèi)容并且為這些IP包選擇合適的標(biāo)簽，相對(duì)于傳統(tǒng)的IP路由分析，MPLS不僅分析IP包頭中的目的地址信息。它還分析IP包頭中的其他信息，如TOS等。然后所有MPLS網(wǎng)絡(luò)中節(jié)點(diǎn)都是依據(jù)這個(gè)簡(jiǎn)短標(biāo)簽來(lái)作為轉(zhuǎn)發(fā)判決依據(jù)。當(dāng)該IP包最終離開(kāi)MPLS網(wǎng)絡(luò)時(shí)，標(biāo)簽被邊緣路由器分離。

1.2 VPN的簡(jiǎn)介

VPN是Virtual Private Network的縮寫(xiě)，中文譯為虛擬專(zhuān)用網(wǎng)。Virtual Network的含義有兩個(gè)，一是VPN是建立在現(xiàn)有物理網(wǎng)絡(luò)之上，與物理網(wǎng)絡(luò)具體的網(wǎng)絡(luò)結(jié)構(gòu)無(wú)關(guān)，用戶一般無(wú)需關(guān)心物理網(wǎng)絡(luò)和設(shè)備；二是VPN用戶使用VPN時(shí)，看到的是一個(gè)可預(yù)先設(shè)定義的動(dòng)態(tài)的網(wǎng)絡(luò)。Private Network的含義也有兩個(gè)，一是表明VPN建立在所有用戶能到達(dá)的公共網(wǎng)絡(luò)上，特別是Internet，當(dāng)在一個(gè)由專(zhuān)線組成的專(zhuān)網(wǎng)內(nèi)構(gòu)建VPN時(shí)，相對(duì)VPN這也是一個(gè)“公網(wǎng)”；二是VPN將建立專(zhuān)用網(wǎng)絡(luò)或者稱(chēng)為私有網(wǎng)絡(luò)，確保提供安全的網(wǎng)絡(luò)連接，它必須具備幾個(gè)關(guān)鍵功能：認(rèn)證、訪問(wèn)控制、加密和數(shù)據(jù)完整。一個(gè)網(wǎng)絡(luò)連接一般由三個(gè)部分組成：客戶機(jī)、傳輸介質(zhì)和服務(wù)器。VPN也一樣，不同的是VPN連接使用隧道作為傳輸通道，靠的是對(duì)數(shù)據(jù)包的封裝和加密。VPN是一種快速建立廣域連接的互聯(lián)和訪問(wèn)工具，也是一種強(qiáng)化網(wǎng)絡(luò)安全和管理的工具。VPN建立在用戶的物理網(wǎng)絡(luò)之上、融入在用戶的網(wǎng)絡(luò)應(yīng)用系統(tǒng)之中。VPN技術(shù)涵蓋了多個(gè)技術(shù)專(zhuān)業(yè)，不同應(yīng)用領(lǐng)域所適用的技術(shù)和產(chǎn)品有很大差異。VPN技術(shù)是廣域網(wǎng)建設(shè)的最佳解決方案，它不僅會(huì)大大節(jié)省廣域網(wǎng)的建設(shè)和運(yùn)行維護(hù)費(fèi)用，而且擁有成本低、便于管理，開(kāi)銷(xiāo)少、靈活度高，保密性好等優(yōu)點(diǎn)。

1.3基于MPLS的VPN技術(shù)

MPLS VPN是指基于MPLS技術(shù)構(gòu)建的虛擬專(zhuān)用網(wǎng)，即采用MPLS技術(shù)，在公共IP網(wǎng)絡(luò)上構(gòu)建公用IP專(zhuān)網(wǎng)，實(shí)現(xiàn)數(shù)據(jù)、語(yǔ)音、圖像等多業(yè)務(wù)寬帶連接。并結(jié)合差別服務(wù)、流量工程等相關(guān)技術(shù)，為用戶提供高質(zhì)量的服務(wù)。MPLS VPN能夠在提供原有VPN網(wǎng)絡(luò)所有功能的同時(shí)，提供強(qiáng)有力的Qos能力，具有可靠性高、安全性高、擴(kuò)展能力強(qiáng)、控制策略靈活以及管理能力強(qiáng)大等特點(diǎn)。

MPLS是一種特殊的轉(zhuǎn)發(fā)機(jī)制，它為進(jìn)入網(wǎng)絡(luò)中的IP數(shù)據(jù)包分配標(biāo)記，并通過(guò)對(duì)標(biāo)記的交換來(lái)實(shí)現(xiàn)IP數(shù)據(jù)包的轉(zhuǎn)發(fā)。標(biāo)記作為IP包頭在網(wǎng)絡(luò)中的替代品而存在，在網(wǎng)絡(luò)內(nèi)部MPLS在數(shù)據(jù)包所經(jīng)過(guò)的路徑通過(guò)交換標(biāo)記來(lái)實(shí)現(xiàn)轉(zhuǎn)發(fā)；當(dāng)數(shù)據(jù)包要退出MPLS網(wǎng)絡(luò)時(shí)，數(shù)據(jù)包被解開(kāi)封裝，繼續(xù)按照IP包的路由方式到達(dá)目的地。

MPLS的一個(gè)重要應(yīng)用是VPN。根據(jù)PE（Provider Edge）設(shè)備是否參與VPN路由又細(xì)分為二層VPN和三層VPN。 從整體來(lái)說(shuō)，MPLS VPN還處在發(fā)展和成型階段。 其中三層MPLS BGP VPN相對(duì)來(lái)說(shuō)比較成熟，三層MPLS BGP VPN實(shí)現(xiàn)全國(guó)氣象通信也是通過(guò)BGP的路由協(xié)議。各個(gè)省局包括直轄市與國(guó)家局都有彼此間直接路由訪問(wèn)能力。

2.1 全國(guó)氣象MPLS VPN網(wǎng)絡(luò)拓?fù)?/p>

MPLS VPN網(wǎng)絡(luò)主干為網(wǎng)狀結(jié)構(gòu)，所有節(jié)點(diǎn)擁有彼此間直接路由訪問(wèn)能力，并在中國(guó)氣象局業(yè)務(wù)傳輸政策允許的范圍內(nèi)實(shí)現(xiàn)節(jié)點(diǎn)間的互聯(lián)互通。從而實(shí)現(xiàn)了各個(gè)省級(jí)節(jié)點(diǎn)相互之間的通信。各個(gè)節(jié)點(diǎn)之間采用BGP路由協(xié)議實(shí)現(xiàn)全網(wǎng)主干的路由連接，提供省級(jí)節(jié)點(diǎn)和國(guó)家級(jí)節(jié)點(diǎn)之間，或者省級(jí)節(jié)點(diǎn)和省級(jí)節(jié)點(diǎn)之間的業(yè)務(wù)訪問(wèn)能力。在各級(jí)節(jié)點(diǎn)與本地局域網(wǎng)互聯(lián)部分，則采用靜態(tài)路由方式，實(shí)現(xiàn)各地業(yè)務(wù)系統(tǒng)與MPLS VPN網(wǎng)絡(luò)系統(tǒng)的連接。目前國(guó)家級(jí)中心網(wǎng)絡(luò)接入帶寬為10Mbps，各省級(jí)節(jié)點(diǎn)為2Mbps。MPLS VPN通過(guò)與本地局域網(wǎng)絡(luò)互聯(lián)，實(shí)現(xiàn)氣象業(yè)務(wù)系統(tǒng)的網(wǎng)絡(luò)傳輸通道，其中國(guó)家級(jí)中心通過(guò)防火墻設(shè)備與中國(guó)氣象局骨干網(wǎng)絡(luò)連接，各省級(jí)節(jié)點(diǎn)MPLS VPN接入路由器直接與省內(nèi)局域網(wǎng)絡(luò)相連。各級(jí)節(jié)點(diǎn)BGP路由中僅發(fā)布與網(wǎng)絡(luò)主干互聯(lián)及本地與業(yè)務(wù)傳輸相關(guān)的路由信息，為保證動(dòng)態(tài)路由信息發(fā)布的正確性，避免由于發(fā)布錯(cuò)誤路由造成網(wǎng)絡(luò)傳輸故障，MPLS VPN網(wǎng)絡(luò)系統(tǒng)建設(shè)中將逐步實(shí)施BGP路由信息控制策略。相應(yīng)的，根據(jù)中國(guó)氣象局規(guī)定的省級(jí)節(jié)點(diǎn)間業(yè)務(wù)訪問(wèn)政策，允許直接實(shí)現(xiàn)網(wǎng)絡(luò)通信的省級(jí)節(jié)點(diǎn)間的路由也將通過(guò)BGP路由信息控制策略實(shí)現(xiàn)。

各個(gè)省局與國(guó)家局通信是依賴(lài)于MPLS VPN技術(shù)，數(shù)據(jù)的傳輸方式是通過(guò)隧道，讓數(shù)據(jù)包通過(guò)這條隧道傳輸。隧道是由隧道協(xié)議形成的，分為第二、三層隧道協(xié)議。第二層隧道協(xié)議是先把各種網(wǎng)絡(luò)協(xié)議封裝到PPP中，再把整個(gè)數(shù)據(jù)包裝入隧道協(xié)議中。這種雙層封裝方法形成的數(shù)據(jù)包靠第二層協(xié)議進(jìn)行傳輸。第二層隧道協(xié)議有L2F、PPTP、L2TP等。L2TP協(xié)議是目前IETF的標(biāo)準(zhǔn)，由IETF融合PPTP與L2F而形成。第三層隧道協(xié)議是把各種網(wǎng)絡(luò)協(xié)議直接裝入隧道協(xié)議中，形成的數(shù)據(jù)包依靠第三層協(xié)議進(jìn)行傳輸。第三層隧道協(xié)議有VTP、IPSec等。IPSec（IP Security）是由一組RFC文檔組成，定義了一個(gè)系統(tǒng)來(lái)提供安全協(xié)議選擇、安全算法，確定服務(wù)所使用密鑰等服務(wù)，從而在IP層提供安全保障。

2.2 國(guó)家氣象局中心 MPLS VPN網(wǎng)絡(luò)連接

國(guó)家級(jí)中心MPLS VPN接入路由器通過(guò)防火墻系統(tǒng)與中國(guó)氣象局骨干網(wǎng)絡(luò)實(shí)現(xiàn)互聯(lián)。連接在中國(guó)氣象局骨干網(wǎng)絡(luò)的各類(lèi)國(guó)家級(jí)服務(wù)器，通過(guò)在防火墻上對(duì)其進(jìn)行地址翻譯及開(kāi)放相應(yīng)的服務(wù)端口授權(quán)，通過(guò)BGP路由協(xié)議實(shí)現(xiàn)與省級(jí)各個(gè)節(jié)點(diǎn)之間的網(wǎng)絡(luò)訪問(wèn)。

3.1 沈陽(yáng)區(qū)域氣象中心本地MPLS VPN網(wǎng)絡(luò)連接

各省級(jí)節(jié)點(diǎn)通過(guò)Cisco 2821網(wǎng)絡(luò)設(shè)備直接與本地局域網(wǎng)建立連接。各省級(jí)節(jié)點(diǎn)與本地局域網(wǎng)互聯(lián)時(shí)，使用9210通信主機(jī)所在的業(yè)務(wù)網(wǎng)段地址，Cisco 2821與本地局域網(wǎng)互聯(lián)接口統(tǒng)一為GigabitEthernet 0/1，接口IP地址統(tǒng)一為該節(jié)點(diǎn)9210通信網(wǎng)段地址，GigabitEthernet 0/1的IP地址為172.19.1.226，掩碼為255.255.255.0。與電信設(shè)備的互聯(lián)的接口GigabitEthernet0/0的IP地址使用一個(gè)掩碼為/30的地址段，IP地址為10.86.0.66。對(duì)端電信設(shè)備與其連接的IP地址為10.86.0.65。

Loopback是一個(gè)虛擬的網(wǎng)絡(luò)接口，它的地址被用作BGP網(wǎng)絡(luò)協(xié)議的Router ID，它的IP地址為192.168.200.22，它被作為網(wǎng)絡(luò)設(shè)備的唯一標(biāo)識(shí)，便于管理。

3.2 沈陽(yáng)區(qū)域氣象中心本地BGP路由配置

沈陽(yáng)區(qū)域氣象中心采用的是動(dòng)態(tài)BGP的路由方式，與其他各個(gè)節(jié)點(diǎn)成為鄰居關(guān)系，配置命令：network 10.86.0.66 mask 255.255.255.255，在網(wǎng)絡(luò)中將與電信互聯(lián)的接口IP地址宣告加入BGP路由。network 172.19.1.0mask 255.255.255.0，將本地局域網(wǎng)的網(wǎng)段加入BGP路由。neighbor 10.86.0.65 remote-as 4809，指定電信設(shè)備作為BGP鄰居。這樣我們本地的計(jì)算機(jī)就可以通過(guò)BGP的動(dòng)態(tài)路由訪問(wèn)到其他各個(gè)省局了。

小結(jié)

全國(guó)氣象寬帶網(wǎng)絡(luò)MPLS VPN系統(tǒng)的開(kāi)通，將大大改善目前通信網(wǎng)絡(luò)傳輸中傳輸速度慢等制約業(yè)務(wù)發(fā)展的狀況，為適應(yīng)業(yè)務(wù)技術(shù)體制改革的需求，加速?lài)?guó)家區(qū)域和省市間網(wǎng)絡(luò)共享平臺(tái)建設(shè)，為今年北京奧運(yùn)會(huì)做好氣象服務(wù)，提供更為強(qiáng)有力的信息技術(shù)支持和保障。

參考文獻(xiàn)

[1]VPN技術(shù)原理及相關(guān)基礎(chǔ)知識(shí)介紹.

[2] IPSec遠(yuǎn)程訪問(wèn)VPN的安全策略研究.

[3] VPN虛擬專(zhuān)網(wǎng)：技術(shù)與解決方案.