MPLS VPN技术在泰达有线电视IP骨干网中的实现与应用

王聃 郭军 （天津泰达有线电视网络有限公司 天津300456）

MPLS VPN技术在泰达有线电视IP骨干网中的实现与应用

王聃 郭军 （天津泰达有线电视网络有限公司 天津300456）

由于互联网技术的发展和客户对于网络使用的高要求，VPN（虚拟专用网络）技术凭借其高安全性的优势得到了越来越多的应用。简要概述了MPLS VPN技术的基本原理，并介绍了MPLS VPN技术在天津泰达有线电视IP骨干网中的应用，展望了MPLS VPN技术未来发展趋势。

VPN MPLSIP骨干网 三网融合

0 引言

随着互联网技术的迅猛发展，企业信息化建设的加快，运营商IP骨干网络承载业务的种类和接入方式更趋于多样化，各业务之间互通的灵活性和安全性尤为重要。由此对于自身网络的灵活性、可扩展性、高效性及安全性等方面的建设也提出了更高的要求。

在这种形势下，VPN（虚拟专用网络）技术凭借其高安全性的优势得到了越来越多的应用。传统的VPN方式主要采用基于专线的组网方式，运营商采用静态的虚电路（Frame Relay、DDN等）为用户和企业在公网中建立一条安全稳定的隧道，帮助公司分支机构、远程用户以及商业伙伴与公司内网建立可靠的安全连接。这种方式的优点是安全且便于管理，运营商也不用考虑不同用户采用哪些路由协议互通和应用；但是缺点也很明显，成本很高，线路资源浪费严重，最重要的是网络的扩展性很低。

MPLS（Multi-Protocol Label Switching，多协议标签交换）技术是一种将具有相同转发处理方式的分组归为一类的分类转发技术。MPLS技术结合了IP技术的灵活性和ATM技术的安全性，非常适合组建VPN。在这种背景下，基于MPLS的VPN开始替代传统意义上的VPN技术。MPLS VPN具有扩展性强、安全性高、提供无连接服务、地址空间灵活等特点，是目前发展最为迅速的一种VPN技术。因此，天津泰达有线电视网络有限公司在IP骨干网建设中，以MPLS VPN的方式为天津经济技术开发区内的各种企业提供专网服务。

1 MPLS VPN技术原理

MPLS VPN的实现利用了MPLS标签嵌套的特性，为每一个IP分组中封装两层标签，外部公网标签用于IP分组在LSP上转发，内部私有标签用于区分IP分组属于哪个VPN。如图1所示：

在MPLS VPN中有3种类型的路由器：

①CE（Custom Edge）路由器：是一台用户的接入设备，为用户提供到PE路由器的链接，不运行MPLS协议。

②PE（Provider Edge Router）路由器：骨干网边缘路由器，PE路由器负责流量分类和标签的映射、移除功能。

③P（Provider Router）路由器：骨干网核心路由器，P路由器根据IP分组中的外部公网标签对VPN数据进行透明转发。

PE路由器和CE路由器可以通过动态或静态路由器协议交换路由信息，PE路由器维护公网路由表和多个VPN私网路由表，对每一个VPN路由加上RD和RT属性。RD用来区分不同PE路由器发送过来的不同VRF的相同路由，RT用来实现不同VRF之间的路由互通。

与传统的VPN不同，MPLS-VPN采用了路由隔离和地址隔离的方法来防止攻击和标记欺骗，提供了与ATM/FR VPN相类似的安全保证。MPLSVPN不是依靠传统的封装和加密技术来创建VPN，而是依靠转发表和分组的标签。PE路由器所使用的每一个分组都会和一个RD相连。这样，非法用户就无法侵入VPN中，只有当用户在获取到正确的RD后才能进入一个Intranet或Extranet，从而为用户提供与帧中继或ATM相同的安全等级。

2 天津泰达有线电视IP骨干网现状

2.1 系统现状

经过3年左右的建设，泰达有线电视网络已逐步完善，涵盖了整个开发区，并实现了开发区和开发区西区、中新生态城的互联，在整个开发区形成了一个主干1 000 M带宽的传输网络体系。整个骨干网已实现 WWW、DNS、WEBMAIL、FTP、VOD点播系统、BOSS计费系统、办公自动化系统（OA）、用户上网和企业VPN接入等网络服务。如图2所示：

泰达有线电视数字网已完成建立在数字电视及宽带业务平台之上的交互数字电视平台，可以提供VOD、IP电话、银联在线缴费、信息浏览、游戏、电视购物、股票等业务。同时，泰达有线电视将双向机顶盒作为接入资源，把互联网接入业务引入用户家庭，从而为数据业务和电视业务的组合营销创造更大的发展空间。泰达有线电视“三网融合”的整体转换为全国有线电视行业向更高层次发展提供了契机，为全国有线电视网络的发展找到了方向，也让广电人看到了广电网络在“三网融合”中的发展前景。

2.2 IP骨干网构成

根据开发区用户区域特征，泰达有线电视网络有限公司将整个开发区分为5个主要节点：A节点为主节点，负责Internet接入、VOD系统接入、计费系统接入以及部分个人用户的接入；B和C两个节点主要承载个人用户，其中大部分为宽带接入和视频点播的业务；D和E两个节点主要承载企业用户，基本以数据传输为主。

各个节点之间都是使用两条千兆光纤组成的channel相连，形成一个环网。由于A、B、C 3个节点是使用VOD的主要节点，流量较大，所以A节点分别与B、C节点之间有一条万兆的链路相连，提供高效的数据转发。

网络拓扑如图3所示。

目前泰达有线电视网络有限公司骨干光纤网共配置1个核心前端4个分前端，整网采用OSPF（开发式最短路径优先）协议互通，并利用BGP（边界网关协议）在整个核心骨干网传递VPN的“私网”路由信息，使用MPLS来转发VPN业务流。

3 MPLSVPN技术在IP骨干网中的应用

泰达有线电视IP骨干网利用MPLS技术，无缝的继承了IP技术的灵活性和二层交换的简洁性，使得面向无连接的IP网络具备了面向连接的属性，使得全网的数据、语音和视频等应用的传输全部都在同一个骨干网平台上通信，实现“三网融合”。

目前，泰达有线电视IP骨干网已经承载了许多企业的VPN业务，MPLS VPN技术给不同业务建立了不同的隧道，隔离不同业务，提供可靠的虚连接。MPLS-VPN安全性高、成本低、扩展性强、控制策略灵活的特点，使其深受各大企业推崇。目前泰达有线电视网络主要承载了开发区社保、开发区环保视频监控和开发区技安网视频监控系统等的VPN业务。

3.1 社保业务承载

天津市社保在开发区建立社保分部，同时在中新生态城管委会大楼内设置一个办理相关业务的窗口营业厅，这就需要在天津市社保和开发区社保、开发区社保和中新生态城社保营业厅建立可靠连接。根据实际情况，目前泰达有线电视网到社保已有铺设完好的光线资源，为节省光线资源，决定接入MPLS-VPN网络。

天津市社保通过天津市广电网络设备作为PE路由器接入泰达有线电视MPLS-VPN网络，与泰达有线电视网络中的PE路由器进行互联，而开发区社保通过自己配置的一台网络设备作为CE路由器接入泰达有线电视骨干网中的PE路由器，互联进入泰达有线MPLS-VPN网络中。在这项业务中，骨干网与天津市广电MPLS网互联是采用两个MPLS-VPN区域之间的互联，而与开发区社保互联只是简单的PE-CE互联。中新生态城社保营业窗口属于开发区社保的下属机构，只需要和开发区社保进行数据业务的连通，不需要和天津市社保有业务上的交换。所以我们在中新生态城社保营业窗口与开发区社保之间采用2层VPN技术通过A节点与B节点接入泰达有线电视MPLS VPN网络中。

具体拓扑图如图4所示：

3.2 应急网业务承载

拓扑图如图5所示：

根据应急信息平台项目建设规划，开发区公安部门通过区内现有的广电网络建设统一的视频监控系统，观察全区监控场所状况，对各有关单位需要进行图像监控的场所及目标，采用统一部署、统一网络、分期建设、分散控制的方式，实现各有关单位的监控要求，与应急一起实现网络连接，并和市局实现通讯对接。

根据开发区公安部门的需求以及目前泰达有线电视IP骨干网现状，我们以MPLS VPN方式将开发区各处机房网卡口前端通过骨干网各个分前端接入骨干网，最后汇聚到A节点与天津市技防网互连。

4 小结

在向以IPv6为核心技术的第二代互联网的过渡和发展中，MPLS VPN凭借其灵活的扩展性，将成为IPv4网络向IPv6网络过渡的重要技术手段。在这个过渡时期中，泰达有线电视IP骨干网将MPLS VPN技术作为自身业务扩展、节约资源和保持竞争力的重要手段，同时利用IPv6安全性和Qos的特性更好地加强和改善现有MPLS VPN网络。由于MPLS VPN技术还在不断发展和进步，笔者认为，MPLS VPN技术要和IP网络完美结合，还要在未来解决很多问题，如提高MPLS VPN标准化，加强与Qos相结合的安全性，支持多厂商互通性等。相信经过MPLS VPN技术的不断完善，必将在未来为用户提供更安全稳定的服务，为运营商带来更加丰富的业务，并在全国“三网融合”项目中做出突出的贡献。■

[1]朱斌，徐林.M PLS技术在V PN中的研究与应用[J].计算机与数字工程，2005，33（4）：83-85.

2011-05-04