MPLS VPN技術在泰達有線電視IP骨干網中的實現與應用

王聃 郭軍 （天津泰達有線電視網絡有限公司 天津300456）

MPLS VPN技術在泰達有線電視IP骨干網中的實現與應用

王聃 郭軍 （天津泰達有線電視網絡有限公司 天津300456）

由于互聯網技術的發展和客戶對于網絡使用的高要求，VPN（虛擬專用網絡）技術憑借其高安全性的優勢得到了越來越多的應用。簡要概述了MPLS VPN技術的基本原理，并介紹了MPLS VPN技術在天津泰達有線電視IP骨干網中的應用，展望了MPLS VPN技術未來發展趨勢。

VPN MPLSIP骨干網 三網融合

0 引言

隨著互聯網技術的迅猛發展，企業信息化建設的加快，運營商IP骨干網絡承載業務的種類和接入方式更趨于多樣化，各業務之間互通的靈活性和安全性尤為重要。由此對于自身網絡的靈活性、可擴展性、高效性及安全性等方面的建設也提出了更高的要求。

在這種形勢下，VPN（虛擬專用網絡）技術憑借其高安全性的優勢得到了越來越多的應用。傳統的VPN方式主要采用基于專線的組網方式，運營商采用靜態的虛電路（Frame Relay、DDN等）為用戶和企業在公網中建立一條安全穩定的隧道，幫助公司分支機構、遠程用戶以及商業伙伴與公司內網建立可靠的安全連接。這種方式的優點是安全且便于管理，運營商也不用考慮不同用戶采用哪些路由協議互通和應用；但是缺點也很明顯，成本很高，線路資源浪費嚴重，最重要的是網絡的擴展性很低。

MPLS（Multi-Protocol Label Switching，多協議標簽交換）技術是一種將具有相同轉發處理方式的分組歸為一類的分類轉發技術。MPLS技術結合了IP技術的靈活性和ATM技術的安全性，非常適合組建VPN。在這種背景下，基于MPLS的VPN開始替代傳統意義上的VPN技術。MPLS VPN具有擴展性強、安全性高、提供無連接服務、地址空間靈活等特點，是目前發展最為迅速的一種VPN技術。因此，天津泰達有線電視網絡有限公司在IP骨干網建設中，以MPLS VPN的方式為天津經濟技術開發區內的各種企業提供專網服務。

1 MPLS VPN技術原理

MPLS VPN的實現利用了MPLS標簽嵌套的特性，為每一個IP分組中封裝兩層標簽，外部公網標簽用于IP分組在LSP上轉發，內部私有標簽用于區分IP分組屬于哪個VPN。如圖1所示：

在MPLS VPN中有3種類型的路由器：

①CE（Custom Edge）路由器：是一臺用戶的接入設備，為用戶提供到PE路由器的鏈接，不運行MPLS協議。

②PE（Provider Edge Router）路由器：骨干網邊緣路由器，PE路由器負責流量分類和標簽的映射、移除功能。

③P（Provider Router）路由器：骨干網核心路由器，P路由器根據IP分組中的外部公網標簽對VPN數據進行透明轉發。

PE路由器和CE路由器可以通過動態或靜態路由器協議交換路由信息，PE路由器維護公網路由表和多個VPN私網路由表，對每一個VPN路由加上RD和RT屬性。RD用來區分不同PE路由器發送過來的不同VRF的相同路由，RT用來實現不同VRF之間的路由互通。

與傳統的VPN不同，MPLS-VPN采用了路由隔離和地址隔離的方法來防止攻擊和標記欺騙，提供了與ATM/FR VPN相類似的安全保證。MPLSVPN不是依靠傳統的封裝和加密技術來創建VPN，而是依靠轉發表和分組的標簽。PE路由器所使用的每一個分組都會和一個RD相連。這樣，非法用戶就無法侵入VPN中，只有當用戶在獲取到正確的RD后才能進入一個Intranet或Extranet，從而為用戶提供與幀中繼或ATM相同的安全等級。

2 天津泰達有線電視IP骨干網現狀

2.1 系統現狀

經過3年左右的建設，泰達有線電視網絡已逐步完善，涵蓋了整個開發區，并實現了開發區和開發區西區、中新生態城的互聯，在整個開發區形成了一個主干1 000 M帶寬的傳輸網絡體系。整個骨干網已實現 WWW、DNS、WEBMAIL、FTP、VOD點播系統、BOSS計費系統、辦公自動化系統（OA）、用戶上網和企業VPN接入等網絡服務。如圖2所示：

泰達有線電視數字網已完成建立在數字電視及寬帶業務平臺之上的交互數字電視平臺，可以提供VOD、IP電話、銀聯在線繳費、信息瀏覽、游戲、電視購物、股票等業務。同時，泰達有線電視將雙向機頂盒作為接入資源，把互聯網接入業務引入用戶家庭，從而為數據業務和電視業務的組合營銷創造更大的發展空間。泰達有線電視“三網融合”的整體轉換為全國有線電視行業向更高層次發展提供了契機，為全國有線電視網絡的發展找到了方向，也讓廣電人看到了廣電網絡在“三網融合”中的發展前景。

2.2 IP骨干網構成

根據開發區用戶區域特征，泰達有線電視網絡有限公司將整個開發區分為5個主要節點：A節點為主節點，負責Internet接入、VOD系統接入、計費系統接入以及部分個人用戶的接入；B和C兩個節點主要承載個人用戶，其中大部分為寬帶接入和視頻點播的業務；D和E兩個節點主要承載企業用戶，基本以數據傳輸為主。

各個節點之間都是使用兩條千兆光纖組成的channel相連，形成一個環網。由于A、B、C 3個節點是使用VOD的主要節點，流量較大，所以A節點分別與B、C節點之間有一條萬兆的鏈路相連，提供高效的數據轉發。

網絡拓撲如圖3所示。

目前泰達有線電視網絡有限公司骨干光纖網共配置1個核心前端4個分前端，整網采用OSPF（開發式最短路徑優先）協議互通，并利用BGP（邊界網關協議）在整個核心骨干網傳遞VPN的“私網”路由信息，使用MPLS來轉發VPN業務流。

3 MPLSVPN技術在IP骨干網中的應用

泰達有線電視IP骨干網利用MPLS技術，無縫的繼承了IP技術的靈活性和二層交換的簡潔性，使得面向無連接的IP網絡具備了面向連接的屬性，使得全網的數據、語音和視頻等應用的傳輸全部都在同一個骨干網平臺上通信，實現“三網融合”。

目前，泰達有線電視IP骨干網已經承載了許多企業的VPN業務，MPLS VPN技術給不同業務建立了不同的隧道，隔離不同業務，提供可靠的虛連接。MPLS-VPN安全性高、成本低、擴展性強、控制策略靈活的特點，使其深受各大企業推崇。目前泰達有線電視網絡主要承載了開發區社保、開發區環保視頻監控和開發區技安網視頻監控系統等的VPN業務。

3.1 社保業務承載

天津市社保在開發區建立社保分部，同時在中新生態城管委會大樓內設置一個辦理相關業務的窗口營業廳，這就需要在天津市社保和開發區社保、開發區社保和中新生態城社保營業廳建立可靠連接。根據實際情況，目前泰達有線電視網到社保已有鋪設完好的光線資源，為節省光線資源，決定接入MPLS-VPN網絡。

天津市社保通過天津市廣電網絡設備作為PE路由器接入泰達有線電視MPLS-VPN網絡，與泰達有線電視網絡中的PE路由器進行互聯，而開發區社保通過自己配置的一臺網絡設備作為CE路由器接入泰達有線電視骨干網中的PE路由器，互聯進入泰達有線MPLS-VPN網絡中。在這項業務中，骨干網與天津市廣電MPLS網互聯是采用兩個MPLS-VPN區域之間的互聯，而與開發區社?；ヂ撝皇呛唵蔚腜E-CE互聯。中新生態城社保營業窗口屬于開發區社保的下屬機構，只需要和開發區社保進行數據業務的連通，不需要和天津市社保有業務上的交換。所以我們在中新生態城社保營業窗口與開發區社保之間采用2層VPN技術通過A節點與B節點接入泰達有線電視MPLS VPN網絡中。

具體拓撲圖如圖4所示：

3.2 應急網業務承載

拓撲圖如圖5所示：

根據應急信息平臺項目建設規劃，開發區公安部門通過區內現有的廣電網絡建設統一的視頻監控系統，觀察全區監控場所狀況，對各有關單位需要進行圖像監控的場所及目標，采用統一部署、統一網絡、分期建設、分散控制的方式，實現各有關單位的監控要求，與應急一起實現網絡連接，并和市局實現通訊對接。

根據開發區公安部門的需求以及目前泰達有線電視IP骨干網現狀，我們以MPLS VPN方式將開發區各處機房網卡口前端通過骨干網各個分前端接入骨干網，最后匯聚到A節點與天津市技防網互連。

4 小結

在向以IPv6為核心技術的第二代互聯網的過渡和發展中，MPLS VPN憑借其靈活的擴展性，將成為IPv4網絡向IPv6網絡過渡的重要技術手段。在這個過渡時期中，泰達有線電視IP骨干網將MPLS VPN技術作為自身業務擴展、節約資源和保持競爭力的重要手段，同時利用IPv6安全性和Qos的特性更好地加強和改善現有MPLS VPN網絡。由于MPLS VPN技術還在不斷發展和進步，筆者認為，MPLS VPN技術要和IP網絡完美結合，還要在未來解決很多問題，如提高MPLS VPN標準化，加強與Qos相結合的安全性，支持多廠商互通性等。相信經過MPLS VPN技術的不斷完善，必將在未來為用戶提供更安全穩定的服務，為運營商帶來更加豐富的業務，并在全國“三網融合”項目中做出突出的貢獻。■

[1]朱斌，徐林.M PLS技術在V PN中的研究與應用[J].計算機與數字工程，2005，33（4）：83-85.

2011-05-04