MPLS VPN技术在电力企业广域网中的应用

苏雪娟，黄 玥，孙 宇

(滁州供电公司科技信息部，安徽滁州 239000)

随着电力信息化建设的快速发展，电力企业信息网络所承载的业务系统也越来越多，各个业务之间的互联互通与安全隔离就显得尤为重要，因此对于整个网络构架的良好性、可靠性以及扩展性都提出了更高的要求。于是VPN技术在企业组网中得到越来越多的运用。MPLS由于其良好的网络拓展性并且支持大规模层次化的网络拓扑结构，所以MPLS VPN既可以把现有网络划分成逻辑上隔离的网络，实现各个业务系统之间的隔离，又可以将功能丰富、性能可靠、扩展性好的企业信息外网与信息内网的灵活、高效、安全结合起来。

1 MPLSVPN原理

MPLSVPN实际上是一种基于MPLS的IP VPN。MPLS技术是一种结合第2层交换和第3层路由功能的交换技术，即在网络路由和交换设备上运用MPLS技术，结合传统路由技术的标记交换实现的IP VPN。它引入了基于标签的机制，把路由选路和数据转发分开，由标签通过网络的路径来规定一个分组。采用MPLSVPN技术可以把现有的网络划分为逻辑上隔离的网络，解决行业内部门之间的互联，同时也可以提供新的业务，如为电视电话视频系统专门开辟一个VPN，以解决IP网络地址不足的问题。同时，基于MPLS技术的VPN还可与QoS保证结合，因为两者都是基于标记的技术，也可以用MPLS VPN为IPv6开展业务。基于MPLS的VPN适合应用在复杂的网络环境中，能够提供稳定并且有弹性的服务质量保证［1］。

在MPLSVPN的模型中，网络由骨干网和用户的各个SITE组成，所谓VPN就是对SITE集合的划分，一个VPN就对应一个由若干SITE组成的集合，MPLSVPN主要由 CE、PE 和 P共 3部分组成［2］，如图1所示。

图1 MPLSVPN网络结构示意图

CE(Customer Edge Router)，网络边缘路由器设备，直接与服务提供商网络相连。PE(Provider Edge Router)，服务提供商边缘路由器设备，是MPLS三层VPN的主要实现者。P(Provider Router)，服务提供商核心路由器设备，负责MPLS转发，不与CE直接相连。

PE负责建立LSP连接，对VPN用户进行管理、同一VPN用户分支间路由分派;PE间的路由分派通常是用扩展的BGP或LDP协议实现，支持不同VPN间互通和不同分支间IP地址复用，并且减化了寻址步骤，加快了报文转发，提高了设备性能。

2 基于MPLS的VPN广域网设计

企业中的广域网需要承载诸多业务系统，每个系统由于其功能不同，业务上要相互独立且在网络上逻辑分开，并且要求相互之间访问要在可控、可管理的方式下进行。由于各个业务系统的终端分布在不同的地理位置，企业不可能为各个业务系统单独建设一个物理网络，代价高而且不易统一管理。因此，在一个快速发展的骨干网络平台上实现各个业务系统网络的有力融合，并保障各个网络之间的相互独立和高效安全尤为必要。所以组网方案应方便各个业务系统的接入和扩展，并要求不对现有业务系统运行方式作任何改动。

2.1 网络架构设计

广域网采用3层结构，分别为:核心层、汇聚层和接入层。P和PE设备采用千兆以太网组网，利用双链路环网通过接入到PE设备作为CE设备的通信通道。

2.2 路由设计

路由设计分为IGP的设计和EGP的设计，IGP产生路由，EGP传播路由。采用BGP4作为MPLS VPN路由协议，OSPF作为内部路由协议。在汇聚层和接入层上同时运行OSPF、BGP和MPLSBGP完成全局选路和VPN选路。在CE设备上使用静态路由完成选路。

2.2.1 BGP路由

文中的广域网是一个专网，没有和公网互连的需求，也不会和公网交互BGP路由信息，所以AS号可以自由地分配，为实现统一，将整个网络系统的BGP路由AS号暂定为65000。为解决AS内各节点需要IBGP全连接的问题，可以采用P设备作为路由反射器，与PE设备建立IBGP对等关系，保持网络的扩展性和灵活性。

图2 路由反射器示意图

2.2.2 IGP路由

IGP对MPLS标签的建立有关键作用，并且通过全局路由表管理网络设备。在IGP中，OSPF协议是应用于大型网络的链路状态的路由协议，因此在广域网中，为减少路由和网络带宽，将P设备和PE设备划分为OSPF骨干区域，而CE设备则根据其具体位置划分到不同的OSPF非骨干区域内，从而分散路由处理和减少网络带宽。

2.2.3 PE设备和CE设备间的路由

对于MPLSVPN，每个VPN都相当于一个专网，专网内的路由是通过PE设备与CE设备之间的路由实现的。采用OSPF协议，并针对不同的业务VPN，启用不同OSPF进程号。为减少CE设备的路由条目，PE设备学习CE设备所有路由条目的同时，由PE设备通过OSPF强制生成一条默认路由传递给CE设备，不将通过BGP学到的路由重新发布给CE设备，这样在CE设备上将只有默认路由和直连路由条目，大幅减少了路由条目的数量［3］。

2.2.4 PE设备和CE设备间的互联

CE设备采用支持VRF功能的3层交换机，可以为VPN内路由和全局路由提供各自独立的路由表，以达到各个VPN间逻辑隔离的目的。PE设备和CE设备间的互联，需考虑将VPN内路由和全局路由如何分别发布到PE设备上。可以在PE设备和CE设备上为VPN内路由和全局路由划分各自互联VLAN，并将PE设备与CE设备互联的接口设置为TRUNK口。然后在CE设备上为各个VPN划分出业务VLAN，且将CE设备上的同一组互联VLAN与业务VLAN放在同一个VRF内，这样PE设备便可以通过互联VLAN学习到CE设备上业务VLAN的路由条目。

3 MPLSVPN在广域网中的实际应用

3.1 滁州供电广域网概况

滁州供电公司广域网网络规划主要按照物理位置进行划分，包括6个县级供电公司，24个变电站、3个集控站以及住宅小区，采用环网组网方式，变电站和县公司节点的接入均采用光纤接入的方式，以100/1 000 Mbit·s－1的速率相连。变电站和县公司新上设备作为全网中的PE设备，各县公司核心设备作为CE设备使用。县公司和变电站同时需要建立2个VPN实例［4］，如图3和图4所示。

3.2 MSLP VPN在广域网中的应用

滁州供电公司网络承载有营销收费、生产PMS、OA办公、IP电话等多种业务，这些业务系统分属不同的部门维护和管理。为满足企业业务支撑网络整体长期发展的需要，采用MPLS VPN技术对现有网络进行了改造升级。建立统一的MPLS骨干网络来承载公司所有内部业务，不同的业务系统通过划分VPN来实现互访与逻辑隔离。在市县公司都部署相应的PE设备，各县公司核心设备作为CE设备使用［5－6］。

在VPN规划上，针对不同的业务系统划分不同的VPN。通过在PE上设置合理的RT对VPN间的互访与隔离实现了有效控制，相同的VPN间可以互相访问。

在网络的控制层面，把所有的P设备和PE设备都放在一个域内启用OSPF协议，用于LDP标签分发和建立LSP。所有的PE设备也放在一个域内启用MBGP，用于VPN路由的发布和处理。

由于采用基于MPLS的VPN技术组网，因此对于原来各业务系统的IP地址规划和各CE设备以下网络不需要做任何的改动。在MPLS骨干网络建设完成后，只需调整各系统的CE设备就可以实现各业务系统的平滑入网。

4 结束语

MPLSVPN技术为电力企业的信息化建设提供了新的方向和技术支持。文中根据MPLSVPN技术的特点，探讨了其在信息网络中的实际应用，总结了改造后的MPLS的VPN网络有以下特点:(1)安全措施部署简单，各业务系统之间可以进行可控的互访和安全隔离。(2)统一骨干网络承载各个业务系统，网络结构清晰明了，维护简单。(3)可以根据各业务系统实际的流量分配带宽，网络资源利用率高。(4)网络扩展性好，当新增业务系统时，只需增加一个VPN，不需要针对某个业务系统单独扩容网络带宽。

［1］GUICHARD J.MPLS网络设计权威指南［M］.陈武，译.北京:人民邮电出版社，2007.

［2］陈雪非，黄河，李蓬.MPL8 VPN关键技术研究［J］.计算机工程与设计，2007，28(13):3138 －3150.

［3］EL MGHAZLI.L3VPN operations and management framework［S］.USA:Stander of RFC4176，2005.

［4］韩波，沈富可，刘莉.BGP/MPLSVPN在NS－2中的实现［J］.计算机应用，2006，26(4):980 －982.

［5］赖蔚蔚.组播在电力MPLS/VPN城域网中的应用［J］.电子科技，2007，20(5):45 －48.

［6］程彪，徐学洲.MPLS/BGP VPN中组播的实现研究［J］.电子科技，2007，20(3):53 －57.