孫琳 徐海峰 南京江浦海軍指揮學院浦口分院網絡中心 南京科融數據系統有限公司系統集成部
[摘 要]本文主要簡述了MPLS VPN技術的工作原理和先進優點,并結合電力數據網的特殊應用,闡述了MPLS VPN 技術應用于電力調度數據網中的優勢所在,最后詳細闡述了如何在電力這個特殊應用的網絡中部署MPLS VPN的接入服務。
[關鍵詞] 電力調度數據網 MPLS VPN 特殊應用
隨著經濟體制改革的進一步深化及”十一五”的到來,我們國家正發生著日新月異的變化,對電量的需求也年年增加,電荒最近幾年也幾乎年年出現,這就對提供電能服務的電力行業提出了全新的任務和挑戰。但由于種種原因,目前我們國家絕大部分地區級調度數據網還不太健全,對該系統也不夠重視,但事實上,調度數據網的重要性是不言而喻的,它可以充分發揮調度自動化系統的各種功能,全國調度電能的合理分配,保證電力正常供應,服務于社會。
電力數據網特點
在調度數據網絡中,應用數據類型可分為兩大類:
(1)實時業務(監控):
EMS與RTU或變電所自動化系統的實時數據
地/縣級調度、縣級市/縣級調度EMS之間交換的實時數據
電力系統動態測量數據
(2)非實時業務(調度生產直接相關業務)
發電、用電及聯絡線交換計劃、聯絡線考核
調度票、操作票、檢修票等
調度生產運行報表(日報、月報、季報)
電能量計量計費信息
故障錄波、保護和安全自動裝置有關管理數據
不同類型的數據應用對網絡的安全和可靠性有不同的特殊要求,如調度實時業務是對服務質量有特殊要求。而電量計費信息則是對數據的私密性有較高要求,應與其它數據隔離,以達到在整個數據網絡中傳輸數據就像在專用的網絡中傳輸數據一樣。
基于以上原因,如果依照我們傳統的組網方式,我們將需要建造二套或多套物理完全隔離的網絡才能滿足電力系統的特殊的高安全、高可靠性的要求,這樣的規劃設計不但需要花費大量的資金購買所需的網絡設備,同時還給我們維護多個網絡帶來了不便,所以我們需要一種全新的技術來組建一個網絡,即能多網合一,又能滿足電力系統的多個不同業務的特殊要求,而最近幾年新發展的MPLS VPN技術就能夠滿足電力系統特殊的應用要求。因此,如何部署MPLS VPN網絡,建立一個“專用網中的專用網”,將會是一個令眾人關注的新的研究領域。
MPLS工作原理及在電力組網中的優點
MPLS的一些主要組成包括Edge LSR (edge label switch router),LSR(label switch router)和標記(label)。
Edge LSR 擔負從非MPLS設備接收IP包和向這些設備傳遞標準IP包的雙重任務。它負責開始的包處理和分類,并分配第一個label等。簡單的說,Edge LSR 的角色是把非標記包轉換成標記的包。
LSR是根據預先計算出的交換表來交換標記包的核心設備。這種設備可以是一臺交換機或一臺路由器,一臺ATM交換機也可以具有MPLS能力,如果它可以交換基于標記的包,該標記在ATM VPI/VCI域中將作為正常的ATM流量被攜帶。
標記是LSR用于轉發包的頭。該頭格式取決于網絡的特點。在路由網絡中,標記是單獨的32位頭。在ATM網絡中,LSR只讀取標記,而不讀網絡層的包頭。
觀察MPLS 如何運作的最簡單辦法是跟蹤一個穿過調度數據網MPLS網絡的包。
圖1:跟蹤數據包過程
第一步:網絡自動建立路由選擇表,整個調度數據網絡上的路由器或交換機使用內部網關協議,如OSPF、EIFGRP或IS-IS。LDP使用表中的路由選擇拓撲,在相鄰兩個設備之間建立標記值。這個操作將在目的端點之間創建LSP或預先配置的指示圖。與ATM永久虛擬電路(PVC)不同的是,標記是自動分配的,而永久虛擬電路需要人工分配VPI/VCI。
第二步:一個入局數據包進入邊沿LSR,它在LSR經過處理,確定它需要哪一種第三層業務,諸如QoS和帶寬管理。根據路由選擇和策略的要求,邊沿LSR選擇并給數據包報頭貼上標記,并轉發這個數據包。
第三步:核心中的LSR解讀每個數據包上的標記,并用表中所列的新標記進行替換。這個操作在核心中的所有中繼段上(hops in the core) 重復。
第四步:入口邊沿交換機去除標記,解讀數據包報頭,并轉發到它的最終目的地。
MPLS的VPN技術是專門為VPN所設計的,即所謂VPN Aware網絡。在這種技術中,采用32位長的VPN標識符嵌入到IP包中,形成一個VPNIP地址。BGP(BorderGatewayProtocol) 路由協議可以對VPN-IP地址進行路由尋址,但轉發數據包則要求多協議標簽交換技術MPLS (Multi-Protocal Label Switching)。
MPLS VPN在規模化VPN應用中具有得天獨厚的優勢,其原因就在于它的如下特點:
安全性高。路由信息分發限制和MD5路由認證技術,使用戶所依賴的公網成為可以信任的網絡。MPLS還同時支持防火墻技術,及高層應用加密。
可管理性。由于其工作機理并不進行協議封裝,用網管軟件可以得到很好的管理。
可擴展性。BGP和MPLS支持極好的網絡擴展性。其他的VPN解決方案則由于對CPU的耗費很高,或者連接數太多,在擴展性方面存在不足。QoS保障。MPLS支持數據流的分類、流量控制、掉包控制、擁塞控制等,具備完全的保障QoS的能力。
根據電力應用系統的具體應用及要求,采用了以RFC 2547規定的BGP/MPLS VPN方案實施。BGP/MPLS VPN概念中,把整個網絡中的路由器分為三類:CE(用戶邊緣路由器)、PE(運營商邊緣路由器)和P(運營商骨干路由器);其中,PE充當IP VPN接入路由器。由于BGP/MPLS VPN采用PE之間通過擴展后的BGP協議(MP-BGP)來承載VPN成員關系和VPN網絡可達性,所以使MPLS VPN網絡具有良好的擴展性、靈活性和可靠性。
MPLS VPN的工作過程如下圖:
圖2: MPLS VPN的工作過程
CE到PE間通過IGP路由或BGP將用戶網絡中的路由信息通知運營商路由器(PE),在PE上有對應于每個VPN的虛擬路由表(VRF),類似有一臺獨立的路由器與CE進行連接。
PE之間采用MP-BGP傳送VPN內的路由信息以及相應的標記(VPN的標記,以下簡稱為內層標簽),而在PE與P路由器之間則采用傳統的IGP協議相互學習路由信息,采用LDP協議進行路由信息與標記(用于MPLS標簽轉發,以下稱為外層標簽)的綁定。到此時,CE,PE以及P路由器中基本的網絡拓撲以及路由信息已經形成。PE路由器擁有了骨干網絡的路由信息以及每一個VPN的路由信息(VRF)。
當屬于某一VPN用戶端路由器(CE)有數據進入時,在CE與PE連接的接口上可以識別出該CE屬于哪一個VPN,進而到該VPN的VRF路由表中去讀取下一跳的地址信息,同時,在前傳的數據包中打上VPN標記(內層標簽)。下一跳地址為與該PE作Peer的PE的地址,為了到達這個目的端的PE,在起始端PE中需讀取MPLS骨干網絡的路由信息,從而得到下一個P路由器的地址,同時采用LDP在用戶前傳數據包中打上用于MPLS標簽交換的標簽(外層標簽)。
在MPLS骨干網絡中,初始PE之后的P均只讀取外層標記的信息來決定下一跳,因此骨干網絡中只是簡單的標簽交換。
在達到目的端PE之前的最后一個P路由器時,將把外層標簽去掉,讀取內層標記,找到VPN,并送到相關的接口上,進而將數據傳送到VPN的目的地址處P路由器即MPLS LSR。它完全依據MPLS的標簽來作出轉發決定。由于P路由器完全不需要讀取原始的數據包信息來作出轉發決定,P路由器不需要擁有VPN的路由信息。因此P只需要參與骨干IGP的路由,不需要參加MP-BGP的路由。
MPLS VPN在電力系統中的實現
在電力數據網絡中,有某些節點可能部署了對網絡的私密性和服務質量有特殊要求的應用,可在這些節點部署MPLS VPN的接入服務。
如下圖所示:
圖3:MPLS VPN 網絡示意圖
MPLS用戶(應用)的接入方式有很多。由于本網絡MPLS VPN的使用者是局內調度系統的內部應用,這些內部應用將可以通過電力調度系統的內部網絡以局域網方式接入到各地區調度數據網絡。其接入方式如下圖所示:
圖4:MPLS VPN接入方式示意圖
圖4中,實時EMS和電量計費需要在地區調度數據網絡中傳輸數據,并且因為安全和性能的特殊要求,必須與其它數據隔離,所以,在網絡中,為這2個應用開設了2個MPLS VPN:VPN10和VPN20。2個應用通過交換機的不同VLAN――10和20,接入到網絡中。
網絡中的路由器,可能是骨干路由器或核心路由器,負責MPLS VPN用戶(應用)的接入,即PE路由器。PE路由器與交換機之間以VLAN truck連接。在PE路由器的連接端口上,劃分了與各個VLAN對應的子端口,如與VLAN10對應的子端口10,與VLAN20對應的子端口20。實時EMS和電量計費的數據通過交換機的VLAN10和VLAN20和VLAN truck,分別流出到PE路由器上的子端口10和20。由于這兩個子端口都配置了MPLS VPN屬性,分屬于VPN10和VPN20,所以流入的數據就被分別導入到各自的VPN中。然后,PE路由器將根據各自VPN的VRF路由表加入VPN標識符后,再通過MPLS標簽轉發的方式將數據進行傳輸。如果使用VPN的應用對網絡性能有特殊要求,可以分別在各自的VPN中設置。
這樣,實時EMS和電量計費的數據,就可以得到很高的安全性和服務質量,就像是使用專用的網絡進行傳輸一樣。
依次類推,我們可以更加細化不同應用,為它們定義不同的VPN。
參考文獻:
Mark S. Merkow: Virtual Private Networks For Dummies, Hungry Minds, 2000, Indianapolis, IN. ISBN: 0-7645-0590-4.
Dennis Fowler: Virtual Private Networks: Making the Right Connection, Morgan Kaufmann, 1999, San Francisco, CA. ISBN: 1-55860-575-4.
