基于MPLSVPN的地區通信數據網絡設計與建設

俞浩

【摘要】 電力通信數據網是電網語音、數據、視頻等多種業務的綜合服務平臺，泰州電力通信數據網絡分為核心層、匯聚層和接入層，其中核心層采用A、B雙平面設計，同時通過應用MPLS VPN，解決了泰州電力通信各業務系統的“私有性”問題，為各業務系統提供了良好的安全機制、QoS機制等，為泰州電力通信語音、數據、高清視頻、MIS等多種業務提供了服務質量優良、可靠性高的網絡平臺。本文介紹了泰州電力通信數據網的設計思路、網絡架構、MPLS VPN部署方案、建設情況，對地區電力通信數據網建設與維護具有一定的參考價值。

【關鍵詞】 電力通信 數據網 MPLS VPN

為適應電網發展的需要，滿足調度通信機構各種生產業務需求，對現有電力通信數據網進行改造，建設一個堅強的通信數據網絡，全面提高網絡可靠性及業務保障能力成為電力通信數據網發展的主要任務。

泰州地區下轄興化、姜堰、泰興、靖江四個縣公司。根據通信十二五規劃，按照分層管理、容災匯聚、環網接入的原則，泰州供電公司于2011年、2012年分別實施了通信數據網一期和二期工程，網絡采用IP over SDH技術機制，在服務上利用靈活的MPLS/VPN技術，初步形成通信數據網核心層雙平面、匯聚層互備用、接入層環保護的網絡結構。一期工程建設5臺核心路由設備，形成地區通信數據網核心B平面，二期工程建設7臺路由設備，形成地區通信數據網核心A平面，同時建設10臺路由設備形成匯聚層和27臺交換設備作為城區通信數據網接入層。目前泰州通信數據網已延伸到縣公司、500KV變電站和城區35KV及以上變電所。通過將業務范圍拓展到廠站一級，滿足了泰州地區電網范圍內語音、數據、視頻等各種生產業務的需求，保障了泰州電力通信業務系統的高度可靠性和安全性。

一、VPN方案選擇

虛擬專用網（VPN）是一種在公共互聯網上建立私有安全通道來保障可靠傳輸的技術，是一條穿過混亂的公用網絡的安全、穩定的隧道。虛擬專用網是對企業內部網的擴展。目前，主流的VPN技術主要有IPsec VPN、SSL VPN和MPLS VPN。

IPSec協議是IETF工作組制定的，定義在IP層的網絡安全協議，IPSec VPN通過建立一條基于網絡的IP層的通道，實現數據加密和認證，從而提供端到端的網絡安全方案。由于IPSec VPN路由配置繁瑣、客戶端需安裝復雜的軟件、不同的終端操作系統需要不同的客戶端軟件，造成其建設成本高、可擴展性差，因此在電力系統信息化的建設中較少采用。

SSL VPN是基于SSL協議結合強加密算法和身份認證技術，建立遠程訪問通道的VPN技術。SSL VPN通過建立一條基于應用的會話層的通道，實現VPN隧道的搭建。由于SSL協議位于TCP/IP和應用層之間，它只能訪問那些支持SSL或Web瀏覽器的資源，其應用范圍主要是電子郵件系統、Web應用程序等，因此并不適合電力系統信息化應用。

MPLS（多協議標簽交換）技術通過在數據包內部引入標簽的機制，將第二層高速交換的能力和第三層靈活選徑的能力結合起來。MPLS VPN通過在網絡路由和交換設備上應用MPLS技術，簡化了核心路由器的路由選擇方式，實現了向不同VPN提供不同服務質量的服務，同時利用VPN路由轉發表（VRF）解決了地址重疊的問題。由于MPLS VPN技術的上述優點，泰州電力通信數據網適宜采用該技術，實現語音、電話、視頻等不同業務數據的安全傳輸。

二、網絡建設方案

2.1 網絡結構設計

根據標準化、開放性、可靠性和易管理型等方面的考慮，泰州電力通信數據網絡按三層結構設計：核心層、匯聚層和接入層。

核心層的功能主要是實現骨干網絡之間的優化傳輸，核心層是所有流量的最終承受者和匯聚者，所以對核心層的設計及網絡設備的要求十分嚴格，目前泰州通信數據網核心層由A、B兩個平面構成：其中B平面為一期工程建設，使用5臺Cisco 7606路由器覆蓋市公司和4個縣公司本部，由市縣光傳輸B網承載；A平面為二期工程建設，使用7臺Cisco 3560 ME路由設備覆蓋市公司和4個縣公司本部及地區2個500kV變電站，由市縣光傳輸A網承載。A、B平面分別采用2張不同的傳輸網，從而確保2個平面的完全互備。核心層內部節點之間使用155M POS鏈路兩兩互聯，其互聯結構如圖1所示。通過核心層的雙平面化設計，提高了數據網絡的可靠性和對業務的保護能力。

匯聚層主要完成與核心層、接入層數據的上聯下達，負責將來自接入層的通信業務數據提供至核心層的上行鏈路。為確保匯聚層的可靠運行，泰州通信數據網由10個節點構成：在泰州城區、四個縣公司均設置了二個匯聚點，其中一個點設在公司通信機房，另一個點設在本部和4個縣域內的傳輸第二匯聚點（220KV變電站）。上述節點按地理位置分布在泰州地區5個區域（縣域）內，每個區域內2個節點與同一區域內的核心層A、B二個平面使用155M POS鏈路互聯。匯聚層節點與核心層A、B平面間的互聯結構如圖2所示。匯聚層建設方案既完善了市公司至各個縣公司的網絡架構，又為通信數據網業務范圍拓展到廠站一級留了很大空間。

接入層是直接面向用戶連接或訪問網絡的部分，主要負責接入變電站通信數據采集終端、機房環境監控、通信視頻信號和軟交換IAD終端等設備。目前泰州通信數據網接入層在城區共部署27臺接入層設備，形成了五個接入支環網，各支環均通過城區SDH環網接入匯聚層的“泰州3”和“白馬變”匯聚設備，連接結構如圖3所示，4個縣域內的接入交換機將在后期逐步開展部署。

2.2 AS規劃

在MPLS/VPN的骨干網絡（PE間）需要運行BGP協議來承載各VPN路由信息，傳遞MPLS/VPN的標簽及其它屬性信息。

由于電力通信數據網是電力系統內部網絡，所以在為自治域分配號碼時理論上可以任意選擇，只要不與其它互聯的網絡沖突即可。但是，考慮到今后網絡的發展，應盡可能在私有號碼中選擇自治域號碼。按照江蘇電力通信數據網總體規劃，泰州地區數據網全網對外為一個統一的自治系統，全網使用一個私有AS號：65008。

2.3 路由協議規劃

2.3.1 IGP規劃

目前，用于大規模信息系統規劃的路由協議主要有二種：開放式最短路徑優先協議（OSPF）和中間系統到中間系統路由選擇協議（IS-IS）。OSPF 和 IS-IS 兩種路由協議均是基于鏈路狀態計算的最短路徑路由協議，采用同一種最短路徑算法（Dijkstra），通過泛洪機制（Flooding）使得整個網絡內的所有路由器都生成一致的鏈路狀態數據庫（LSDB）來描述本區域內的網絡拓撲，每臺路由器根據鏈路狀態數據庫用最短路徑算法計算到達目的地的最優路由。

地區電力通信數據網作為一個自治域系統，為確保不同路由協議的網絡內部及網絡之間正常交換數據，必須采用可靠的、擴展性好的內部網關協議（IGP）。IS-IS與OSPF均為網絡互聯常用的IGP，但IS-IS 為國際標準化組織（ISO）推薦的標準路由協議，該協議橫向擴展性好，配置更加簡單、運行更加穩定，支持的網絡規模大于OSPF，在網絡相對龐大時更能體現其協議的優勢。所以泰州地區通信數據網采用 IS-IS作為路由IGP是有一定優勢的。

2.3.2 BGP規劃

泰州電力通信數據網采用MP-BGP承載市級接入網的業務路由，BGP的Router-ID（用于標識路由器）規劃采用路由器的Loopback0地址。

在一個BGP域中，一臺路由器通過IBGP從另一臺路由器學習到的路由信息是不會轉發給下一臺IBGP 路由器的，這是為了避免在AS中產生路由環路。為實現所有路由器均能學習到所有的路由信息，需采用路由反射器的概念，一臺被配置為路由反射器的路由器一旦收到一條路由信息，它就會將這條路由信息傳遞給所有跟它建立客戶關系的路由器，從而消除了對全互聯環境的要求。泰州地區通信數據網將核心層A、B平面內的兩個主節點“泰州1”、“泰州2”設置為路由反射器，A、B平面內的其他節點作為路由反射器的客戶端。

三、IP地址規劃

根據江蘇電力通信數據網IP地址規劃，各地市公司采用80.8.X.X-80.111.X.X共104個B類地址，其中泰州供電公司采用80.56.X.X-80.63.X.X這8個B類地址。為便于通信數據網的實施與管理，總體規劃規則如下：①第一個B段（80.56.X.X）用于網絡設備（管理地址）和互聯地址。②中間6個B段（80.57.X.X～80.62.X.X）用于業務地址。③最后1個B段（80.63.X.X）預留。

四、MPLS VPN部署方案

4.1 VPN總體規劃

通信數據網按照各個應用系統劃分VPN，泰州電力通信數據網在設計初期規劃了4類業務，分別為數據業務、視頻業務、行政交換、調度交換，本次規劃為每類業務建立一個VPN，同于預留一個公共VPN。通過MPLS VPN實現各個業務之間的完全隔離，符合國網二次安全防護的要求。隨著電力系統業務的不斷增加，通信數據網可以在不影響現有業務的基礎上快速增加新的VPN業務系統。

4.2 RD定義

RD（Route Distinguisher）用于在一臺路由器上區分不同的VPN。它只具有本地意義，即只要滿足一臺路由器上沒有重復的RD即可。泰州通信數據網RD規劃如表1：

4.3 RT定義

RT（Route Target，路由目標）主要起到VPN間路由策略控制的作用，RT具有全局意義，在通過MP-BGP傳遞VPN路由表時RT作為Community String屬性同路由表一起傳遞，當VPN 路由表到達其它PE后，接收端PE根據自身為每個VPN配置的允許接收RT來匹配接收的路由表所附帶的RT值來判定是接收還是拒絕此路由。泰州通信數據網RT規劃如表2。

4.4 MPLS VPN部署

MPLS VPN是一種融覆蓋VPN的優點（如安全性以及客戶之問的隔離性）以及對等VPN的優點（如簡化了路由選擇）于一身的技術，在MPLS VPN的網絡架構中，有三類路由器：提供商邊緣路由器（PE，Provide Edge router）、提供商路由器（P，Provider router）和用戶邊緣路由器（CE，Customer Edge router）。目前泰州通信數據網核心層、匯聚層節點均配置為PE路由器，接入層節點配置為CE路由器。

MPLS VPN的開通步驟如下：（1）MPLS/VPN開通：在MPLS VPN主干內啟用IS-IS協議，在接入層網絡內啟用OSPF協議，實現全網（MPLS VPN主干內和接入層網絡內）底層路由的連通，從而在每臺路由器上生成路由表。（2）MPLS配置：路由器要為數據包打上標簽，就必須具備改寫數據包報頭的能力，這需要在MPLS VPN主干內的所有設備上開啟CEF（Cisco Express Forwarding）功能。開啟CEF后，還需要在設備的相關接口上啟用LDP協議，啟用LDP協議后，相鄰路由器間可通過發送Hello建立LDP鄰居關系。此時路由器會給其路由表中的每個條目分配一個隨機的標簽（標簽映射），并將生成的標簽分發給其所有LDP鄰居，最終在每臺路由器上生成LIB（Label Information database，標簽信息數據庫）和LFIB（Label forwarding information database，標簽轉發信息數據庫）。（3）配置VRF：包括定義vrf名、配置路由區分符（RD）、配置導入/導出路由策略（RT）以及將路由器接口（或vlan）劃入相應的vrf中。（4）配置多協議BGP：包括BGP基本配置、激活BGP會話和配置BGP通告發送擴展共同體屬性。其中BGP基本配置包括啟動BGP進程、配置BGP對等體、關閉IPv4單播前綴。由于BGP擴展共同體（BGP Extended Community Attribute）定義了特定VRF使用的導入導出策略（RT），因此需要在BGP通告中發送擴展共同體屬性。（5）配置PE-CE鏈路：由于在MPLS VPN主干內運行的是MP-BGP協議，在接入層網絡內運行的是OSPF協議，因此我們還需要在PE路由器上進行BGP路由和OSPF路由的重發布。

五、小結

MPLS VPN很好地解決了泰州電力通信各業務系統的“私有性”問題，為各業務系統提供了良好的QoS機制、安全機制等，為泰州電力通信語音、數據、高清視頻、MIS等多種業務提供了服務質量優良、可靠性高的網絡平臺，同時通過地址空間和路由分離的方式使得各業務系統的安全性大大提高，將數據網絡通道質量提升到一個新的高度。

參 考 文 獻

[1] 王慕維，劉文軍. 河南電力調度數據網雙平面改造優化探討[J]. 電力系統通信， 2012，33（233）：16-18

[2] 李海華. BGP MPLS VPN數據轉發過程分析[J]. 計算機技術與發展，2011，21（6）：4-5

[3] 郎赫. MPLS VPN技術在天津電力綜合業務數據網中的規劃應用[D]. 天津：天津大學電子信息工程學院，2010：33-35