0  引言

    在電力系統中，隨著信息通信技術應用范圍越來越大以及數據通信網絡規模和覆蓋度越來越強，越來越多重要的業務通過數據網通信網來承載，數據通信網在電力通信中的地位越來越重要。同樣，隨著業務數量的加大以及各類業務內用戶數量的激增，對數據通信網的承載能力和安穩性提出了更高的要求，MPLS VPN 技術的出現解決了多種業務并行傳遞的需求，并且應用了MPLS標簽技術在一定程度了降低了路由器設備傳遞業務流量時對轉發性能的壓力。所以MPLS VPN技術在各類VPN技術中最符合電力通信多業務、嚴隔離、高穩定性的要求，目前已經得到了廣泛的應用。

    在數據通信網中，基層技術運維人員把數據通信網粗略地形容為計算機通信網絡TCP/IP模型的第一層（網絡接口層）、第二層（Internet層）、第三層（傳輸層），如圖1所示。

    在這3層中，由上到下，每層負責對業務數據進行各層功能封裝的實現，簡單理解為，這3層協同實現了業務數據終端到終端之間的傳輸。在電力數據網的實際情況中，由于網絡的多層次，造成了業務信息一方面需要與本網絡域設備進行通信，另一方面也需要同其他網絡域內的設備進行通信，這就需要有一種能夠實現跨域傳輸的MPLS VPN技術，即MPLS VPN OPTION C技術（此外還存在OPTION A、OPTION B技術，由于OPTION C對關鍵節點設備的運行壓力最小，目前優選OPTION C），通過此項技術完美地解決了業務跨域的需求。本文旨在基于MPLS VPN OPTION C技術的生存性原理，就如何提高MPLS VPN OPTION C體系的冗余性來開展研究，從冗余性配置方面著手提升綜合數據網業務傳輸的穩定，提升重要業務生存能力。

1  MPLS VPN技術原理及跨域OPTION C類別分析

    虛擬專用網絡（Virtual Private Network，VPN），其作用是在公用網絡上建立專用的網絡，并且通過加密等技術實現專用網絡信息與公用網絡以及其他專用網絡的隔離。這個專用網絡在文中定義為某個業務，所以VPN是實現在公用網絡平臺上多種業務交互通信，并且不同業務之間，及業務與公網之間互為不可知狀態。目前比較流行的VPN技術有3種：（1）基于MPLS技術的MPLS VPN技術；（2）基于HTTPS的SSL VPN技術；（3）基于IPSec協議的VPN技術。在本文中著重對MPLS VPN技術進行分析。

    MPLS VPN技術的實現方式需要從數據層面和控制層面進行分析和解讀。

    數據層面：它是依靠MPLS標簽的分配來實現業務流量信息的隔離，即為不同的業務流量分配不同的標簽，對端路由器依靠這些標簽對不同業務流量進行區分，MPLS標簽的大小為4 B。在數據傳遞時，路由器首先將MP-BGP協議產生的用于區分業務的標簽對上層IP數據包進行封裝，也就是說在二層以太網幀頭和IP頭部之間加上了MPLS標簽；然后每臺設備運行MPLS協議，MPLS協議的作用在于識別這些標簽，并根據MPLS內部的標簽表進行傳遞；最終這些數據幀到達對端路由器時，對方路由器的MP-BGP協議根據之前協商出來的標簽判斷出這些流量分別屬于哪些業務。

    如圖2所示，MPLS標簽的位置分別在二層和三層頭部之間，每個標簽的大小為4 B，其中label字段為20 bit，上述標簽值就被這個字段所定義，由上圖可以看出標簽的數量可以有多個，下文介紹的MPLS VPN OPTION C跨域則需要攜帶2~3個標簽。

    控制層面：在網絡層控制層面可以簡單地認為是路由信息的傳遞，在MPLS VPN中控制信息的傳遞是依靠BGP協議，但傳統的BGP協議只能傳遞普通公網IPV4路由，RFC2858和RFC4360對BGP進行了擴展，擴展后的BGP協議稱之為多協議BGP（MP-BGP），在MP-BGP中新增了MP_REACH_NLRI和MP_UNREACH_NLRI及擴展團體屬性RT等，在MP_REACH_NLRI屬性中增加了對業務路由標簽和RD（路由區分，在MPLS VPN的網絡中，私網路由的路由前綴的形式為RD+IPv4地址，這樣可以在路由前綴中直接標識該路由的VPN業務信息）等信息的描述，MP_UNREACH_NLRI則可以撤銷通過MP_REACH_NLRI發布的業務路由信息，擴展團體屬性RT分為Export Target與import Target，通過這兩者的配合決定路由信息屬于具體哪一個業務VPN。

    MPLS VPN跨域構建類型共有三大類，分別為OPTION A、OPTION B、OPTION C：（1）OPTION A為兩個域邊界設備互相視對方為業務方，所有對方過來的流量都被認為是業務流量，需要進行拆包并經過MP-BGP協議的分析計算，然后重新進行封裝，并加上MP-BGP預先分配的業務標簽信息和MPLS協議的公網標簽，這個過程耗費了邊界路由器設備大量的計算處理性能，因而基于MPLS VPN OPTION A實現的網絡中，網絡的邊界設備需要性能比較優良的高階路由器；（2）OPTION B為域邊界路由器之間分別建立MP-BGP鄰居關系，對方傳遞來的業務流量只需要進行簡單的分析（如RT值的對比等），來確定本地是否對該業務路由信息的接收與傳遞，這個過程對比OPTION A而言，對邊界設備的性能要求大幅度降低；（3）OPTION C為本域內邊緣業務接入設備或者域內核心路由器設備（后面簡稱為PE設備）直接與其他域內PE設備建立MP-BGP，MPLS VPN OPTION C在域內應用LDP協議構建標簽通道，在域間應用BGP協議構建標簽通道，在沿途域中利用LDP協議或者BGP協議構建標簽通道，通過這樣的方式打通了一條本地PE設備到其他域內目標PE設備之間的標簽通道，業務流量在這個通道中傳遞，沿途設備只需要對業務流量2層、3層之間封裝的標簽信息進行檢查、再封裝等操作，極大程度減低了沿途路由器的性能壓力，較OPTION A和OPTION B而言，它更符合了超大型網絡、業務密集型網絡的對運行穩定性的要求。

2  電力數據通信網目前現狀

    目前在電力通信中，電力數據通信網承載了國網大部分的日常行政業務和部分與生產相關的業務，涉及到了27個省級接入網以及數量和范圍龐大的地市接入網。在眾多接入網，就網絡規模而言，早已步入超大型網絡的范圍中，電力數據通信網的需求就是在眾多接入網中需要實現異省之間、同省之間、省與國網總部之間業務的互通。

    MPLS VPN可以實現跨不同區域網絡的進行安全、高速、可靠的數據、語音、圖像多類型業務的通信，并結合差別服務、流量工程等相關技術，將公眾網可靠的性能、良好的擴展性、豐富的功能與專用網的安全、靈活、高效結合在一起。并且MPLS VPN虛電路級的業務安全性保證也滿足了目前電力數據通信網對業務隔離性、安全性的要求。

    目前電力數據通信網應用最廣泛的是OPTION C跨域模式，在部分地區OPTION A、OPTION B也有應用，在OPTION C的眾多實現方式中主要應用的是與業務路由反射器相結合的實現方式，接入網PE設備的業務路由控制信息分別通過骨干網層面的各級VPN路由反射器，進行匯總、過濾、聚合等操作，一步步發送至對端PE設備。這樣一方面縮減了路由表的表項，從而降低了對邊緣業務接入設備的性能壓力，也方便了對業務路由的控制，提升了業務網絡訪問的安全性和靈活性。

    如圖3所示，區域1與區域2分別有業務訪問的需求，區域內路由器的業務路由信息首先發送給在骨干網層面的與自己接入網相對應的二級反射器；二級反射器對路由信息進行匯總、過濾、聚合等操作，對路由信息進行進一步的縮減和梳理，然后將業務路由信息發送至骨干網的一級業務路由反射器；依照之前的流程對業務路由進行進行同樣的處理，然后發送至目標區域對應的二級反射器，經過同樣的操作后將業務路由發送至目標區域的PE設備，在業務路由傳遞的過程中經過了多層層路由反射器的層層梳理過濾，極大地提升了網絡的運維工作人員對網絡的控制能力，進而降低了運維人員的運維壓力。

3  冗余性分析與應用

    本文中的冗余性分析主要是如何在網路出現線路故障和設備故障時，繼續維持網絡控制層面的穩定有序和數據傳輸層面的正常運行。在網絡物理拓撲中網絡的邊界大多依靠雙邊界口字型互聯的方式，這種結構在物理拓撲中已經屬于比較穩定的拓撲結構。

    在路由信息傳遞的過程中，接入網首先將自己本地業務路由匯聚于區域核心設備，區域核心設備將全部業務路由信息傳遞至骨干網路由反射器。骨干網路由反射器相當于匯總了多個區域的全部路由，所以路由反射器一方面承擔巨大的路由信息傳遞壓力，另一方面路由反射器的穩定運行對網絡的正常通信起著決定性作用。所以同等級的路由反射器至少要有主備兩臺，則兩臺路由反射器還必須保證正常的熱備狀態。還要注意一點就是，增加一臺路由反射器同樣增加了路由信息的傳遞途徑，很容易出現一條業務路由經過多臺反射器后被復制為多條路由，造成故障發生時很難通過路由追尋故障源頭，增加運維的復雜程度，所以需要對兩臺業務路由反射器的主備身份進行嚴格的劃分。

    如圖4所示，左右兩邊拓撲的區別在于左側拓撲的兩臺PE設備與兩臺二級路由反射器建立了BGP VPNV4全連接關系，兩臺PE設備匯聚接入網中的業務路由信息，然后兩臺PE設備進行路由信息的同步。兩臺PE將業務路由信息復制為兩份分別發送至二級VPN反射器RR1和RR2，設定區域內PE1為主用路由器，即PE1傳遞出的業務路由信息為首選的業務路由信息，這里可以通過減小PE1的MED值的形式來讓上層設備優選PE1的路由，然后發送至二級RR（路由反射器）后，兩臺路由反射器同時都擁有了優選的業務路由信息和不被優選的業務路由信息。這樣對于一級RR來說，兩臺二級RR發來的路由信息中都有優選的和不被優選的路由信息，造成了二級RR的主備混亂，也造成了主用業務路由傳遞路徑的混亂。若如右側拓撲，區域內PE1只與二級RR1建立BGP VPNV4關系，PE2只與二級RR2建立BGP VPNV4關系，這樣一來所有優選的路由都通過二級RR1來匯集和反射給上一層RR，而二級RR2經作為備用路由的存儲者，在二級RR1發生故障時二級RR2的業務路由才能被優選，一方面保證了網絡的冗余性能，另一方面對網絡控制信息的傳遞更加清晰明朗化，各層次設備的主備也明確化。

    如圖5所示，左上角是正常情況下數據流量傳遞路線圖。從左到右、從上至下依次是區域間主用通道故障時的流量路線圖，即此時區域核心PE1無法將業務路由傳遞至二級RR1，所有的區域1內業務路由都需要通過PE2和二級RR2進行路由信息傳遞，但區域2未受影響，優選的業務路由還是通過PE1和二級RR1進行傳遞，所以業務流量出現了如圖中所示效果。當二級RR1出現故障時，區域1和區域2的業務路由信息都只能通過PE2和二級RR2進行傳遞，所以業務流量出現了如圖中所示效果。右下圖中，當二級RR1和區域1邊界主用通道均發生故障時，同樣是區域1和區域2的業務路由信息都只能通過PE2和二級RR2進行傳遞，所以業務流量效果與上圖相當。

4  結語

    數據通信網的堅強穩定，一方面取決于承載數據通信網的光纜、電纜、傳輸設備等的穩定運行，另一方面也取決于路由協議的選擇和配置。增加網絡的冗余性，就是要保證網絡的生存能力，比如在關鍵節點和線路上增加設備和物理線路的數量等。對網絡控制信息的梳理更是保證網絡冗余性的必要條件，一個清晰明確的控制信息邏輯拓撲降低了路由設備進行路由優選時的壓力，也降低了基層運維人員的故障處理的反應時間，更保證了流量路徑的規范化。

作者信息:

申  昉，張陽洋，彭  柏

（國網冀北電力有限公司信息通信分公司，北京 100053）