文獻標識碼: A
DOI:10.16157/j.issn.0258-7998.2018.S1.072
0 引言
在電力系統(tǒng)中,隨著信息通信技術應用范圍越來越大以及數(shù)據(jù)通信網絡規(guī)模和覆蓋度越來越強,,越來越多重要的業(yè)務通過數(shù)據(jù)網通信網來承載,,數(shù)據(jù)通信網在電力通信中的地位越來越重要。同樣,,隨著業(yè)務數(shù)量的加大以及各類業(yè)務內用戶數(shù)量的激增,對數(shù)據(jù)通信網的承載能力和安穩(wěn)性提出了更高的要求,,MPLS VPN 技術的出現(xiàn)解決了多種業(yè)務并行傳遞的需求,,并且應用了MPLS標簽技術在一定程度了降低了路由器設備傳遞業(yè)務流量時對轉發(fā)性能的壓力,。所以MPLS VPN技術在各類VPN技術中最符合電力通信多業(yè)務、嚴隔離,、高穩(wěn)定性的要求,,目前已經得到了廣泛的應用。
在數(shù)據(jù)通信網中,,基層技術運維人員把數(shù)據(jù)通信網粗略地形容為計算機通信網絡TCP/IP模型的第一層(網絡接口層),、第二層(Internet層)、第三層(傳輸層),,如圖1所示,。
在這3層中,由上到下,,每層負責對業(yè)務數(shù)據(jù)進行各層功能封裝的實現(xiàn),,簡單理解為,這3層協(xié)同實現(xiàn)了業(yè)務數(shù)據(jù)終端到終端之間的傳輸,。在電力數(shù)據(jù)網的實際情況中,,由于網絡的多層次,造成了業(yè)務信息一方面需要與本網絡域設備進行通信,,另一方面也需要同其他網絡域內的設備進行通信,,這就需要有一種能夠實現(xiàn)跨域傳輸?shù)腗PLS VPN技術,即MPLS VPN OPTION C技術(此外還存在OPTION A,、OPTION B技術,,由于OPTION C對關鍵節(jié)點設備的運行壓力最小,目前優(yōu)選OPTION C),,通過此項技術完美地解決了業(yè)務跨域的需求,。本文旨在基于MPLS VPN OPTION C技術的生存性原理,就如何提高MPLS VPN OPTION C體系的冗余性來開展研究,,從冗余性配置方面著手提升綜合數(shù)據(jù)網業(yè)務傳輸?shù)姆€(wěn)定,,提升重要業(yè)務生存能力。
1 MPLS VPN技術原理及跨域OPTION C類別分析
虛擬專用網絡(Virtual Private Network,,VPN),,其作用是在公用網絡上建立專用的網絡,并且通過加密等技術實現(xiàn)專用網絡信息與公用網絡以及其他專用網絡的隔離,。這個專用網絡在文中定義為某個業(yè)務,,所以VPN是實現(xiàn)在公用網絡平臺上多種業(yè)務交互通信,并且不同業(yè)務之間,,及業(yè)務與公網之間互為不可知狀態(tài),。目前比較流行的VPN技術有3種:(1)基于MPLS技術的MPLS VPN技術;(2)基于HTTPS的SSL VPN技術,;(3)基于IPSec協(xié)議的VPN技術,。在本文中著重對MPLS VPN技術進行分析,。
MPLS VPN技術的實現(xiàn)方式需要從數(shù)據(jù)層面和控制層面進行分析和解讀。
數(shù)據(jù)層面:它是依靠MPLS標簽的分配來實現(xiàn)業(yè)務流量信息的隔離,,即為不同的業(yè)務流量分配不同的標簽,,對端路由器依靠這些標簽對不同業(yè)務流量進行區(qū)分,MPLS標簽的大小為4 B,。在數(shù)據(jù)傳遞時,,路由器首先將MP-BGP協(xié)議產生的用于區(qū)分業(yè)務的標簽對上層IP數(shù)據(jù)包進行封裝,也就是說在二層以太網幀頭和IP頭部之間加上了MPLS標簽,;然后每臺設備運行MPLS協(xié)議,,MPLS協(xié)議的作用在于識別這些標簽,并根據(jù)MPLS內部的標簽表進行傳遞,;最終這些數(shù)據(jù)幀到達對端路由器時,,對方路由器的MP-BGP協(xié)議根據(jù)之前協(xié)商出來的標簽判斷出這些流量分別屬于哪些業(yè)務。
如圖2所示,,MPLS標簽的位置分別在二層和三層頭部之間,,每個標簽的大小為4 B,其中l(wèi)abel字段為20 bit,,上述標簽值就被這個字段所定義,,由上圖可以看出標簽的數(shù)量可以有多個,下文介紹的MPLS VPN OPTION C跨域則需要攜帶2~3個標簽,。
控制層面:在網絡層控制層面可以簡單地認為是路由信息的傳遞,,在MPLS VPN中控制信息的傳遞是依靠BGP協(xié)議,但傳統(tǒng)的BGP協(xié)議只能傳遞普通公網IPV4路由,,RFC2858和RFC4360對BGP進行了擴展,,擴展后的BGP協(xié)議稱之為多協(xié)議BGP(MP-BGP),在MP-BGP中新增了MP_REACH_NLRI和MP_UNREACH_NLRI及擴展團體屬性RT等,,在MP_REACH_NLRI屬性中增加了對業(yè)務路由標簽和RD(路由區(qū)分,,在MPLS VPN的網絡中,私網路由的路由前綴的形式為RD+IPv4地址,,這樣可以在路由前綴中直接標識該路由的VPN業(yè)務信息)等信息的描述,,MP_UNREACH_NLRI則可以撤銷通過MP_REACH_NLRI發(fā)布的業(yè)務路由信息,擴展團體屬性RT分為Export Target與import Target,,通過這兩者的配合決定路由信息屬于具體哪一個業(yè)務VPN,。
MPLS VPN跨域構建類型共有三大類,分別為OPTION A,、OPTION B,、OPTION C:(1)OPTION A為兩個域邊界設備互相視對方為業(yè)務方,所有對方過來的流量都被認為是業(yè)務流量,需要進行拆包并經過MP-BGP協(xié)議的分析計算,,然后重新進行封裝,,并加上MP-BGP預先分配的業(yè)務標簽信息和MPLS協(xié)議的公網標簽,這個過程耗費了邊界路由器設備大量的計算處理性能,,因而基于MPLS VPN OPTION A實現(xiàn)的網絡中,網絡的邊界設備需要性能比較優(yōu)良的高階路由器,;(2)OPTION B為域邊界路由器之間分別建立MP-BGP鄰居關系,,對方傳遞來的業(yè)務流量只需要進行簡單的分析(如RT值的對比等),來確定本地是否對該業(yè)務路由信息的接收與傳遞,,這個過程對比OPTION A而言,,對邊界設備的性能要求大幅度降低;(3)OPTION C為本域內邊緣業(yè)務接入設備或者域內核心路由器設備(后面簡稱為PE設備)直接與其他域內PE設備建立MP-BGP,,MPLS VPN OPTION C在域內應用LDP協(xié)議構建標簽通道,,在域間應用BGP協(xié)議構建標簽通道,在沿途域中利用LDP協(xié)議或者BGP協(xié)議構建標簽通道,,通過這樣的方式打通了一條本地PE設備到其他域內目標PE設備之間的標簽通道,,業(yè)務流量在這個通道中傳遞,沿途設備只需要對業(yè)務流量2層,、3層之間封裝的標簽信息進行檢查,、再封裝等操作,極大程度減低了沿途路由器的性能壓力,,較OPTION A和OPTION B而言,,它更符合了超大型網絡、業(yè)務密集型網絡的對運行穩(wěn)定性的要求,。
2 電力數(shù)據(jù)通信網目前現(xiàn)狀
目前在電力通信中,,電力數(shù)據(jù)通信網承載了國網大部分的日常行政業(yè)務和部分與生產相關的業(yè)務,涉及到了27個省級接入網以及數(shù)量和范圍龐大的地市接入網,。在眾多接入網,,就網絡規(guī)模而言,早已步入超大型網絡的范圍中,,電力數(shù)據(jù)通信網的需求就是在眾多接入網中需要實現(xiàn)異省之間,、同省之間、省與國網總部之間業(yè)務的互通,。
MPLS VPN可以實現(xiàn)跨不同區(qū)域網絡的進行安全,、高速、可靠的數(shù)據(jù),、語音,、圖像多類型業(yè)務的通信,并結合差別服務、流量工程等相關技術,,將公眾網可靠的性能,、良好的擴展性、豐富的功能與專用網的安全,、靈活,、高效結合在一起。并且MPLS VPN虛電路級的業(yè)務安全性保證也滿足了目前電力數(shù)據(jù)通信網對業(yè)務隔離性,、安全性的要求,。
目前電力數(shù)據(jù)通信網應用最廣泛的是OPTION C跨域模式,在部分地區(qū)OPTION A,、OPTION B也有應用,,在OPTION C的眾多實現(xiàn)方式中主要應用的是與業(yè)務路由反射器相結合的實現(xiàn)方式,接入網PE設備的業(yè)務路由控制信息分別通過骨干網層面的各級VPN路由反射器,,進行匯總,、過濾、聚合等操作,,一步步發(fā)送至對端PE設備,。這樣一方面縮減了路由表的表項,從而降低了對邊緣業(yè)務接入設備的性能壓力,,也方便了對業(yè)務路由的控制,,提升了業(yè)務網絡訪問的安全性和靈活性。
如圖3所示,,區(qū)域1與區(qū)域2分別有業(yè)務訪問的需求,,區(qū)域內路由器的業(yè)務路由信息首先發(fā)送給在骨干網層面的與自己接入網相對應的二級反射器;二級反射器對路由信息進行匯總,、過濾,、聚合等操作,對路由信息進行進一步的縮減和梳理,,然后將業(yè)務路由信息發(fā)送至骨干網的一級業(yè)務路由反射器,;依照之前的流程對業(yè)務路由進行進行同樣的處理,然后發(fā)送至目標區(qū)域對應的二級反射器,,經過同樣的操作后將業(yè)務路由發(fā)送至目標區(qū)域的PE設備,,在業(yè)務路由傳遞的過程中經過了多層層路由反射器的層層梳理過濾,極大地提升了網絡的運維工作人員對網絡的控制能力,,進而降低了運維人員的運維壓力,。
3 冗余性分析與應用
本文中的冗余性分析主要是如何在網路出現(xiàn)線路故障和設備故障時,繼續(xù)維持網絡控制層面的穩(wěn)定有序和數(shù)據(jù)傳輸層面的正常運行,。在網絡物理拓撲中網絡的邊界大多依靠雙邊界口字型互聯(lián)的方式,,這種結構在物理拓撲中已經屬于比較穩(wěn)定的拓撲結構,。
在路由信息傳遞的過程中,接入網首先將自己本地業(yè)務路由匯聚于區(qū)域核心設備,,區(qū)域核心設備將全部業(yè)務路由信息傳遞至骨干網路由反射器,。骨干網路由反射器相當于匯總了多個區(qū)域的全部路由,所以路由反射器一方面承擔巨大的路由信息傳遞壓力,,另一方面路由反射器的穩(wěn)定運行對網絡的正常通信起著決定性作用,。所以同等級的路由反射器至少要有主備兩臺,則兩臺路由反射器還必須保證正常的熱備狀態(tài),。還要注意一點就是,,增加一臺路由反射器同樣增加了路由信息的傳遞途徑,很容易出現(xiàn)一條業(yè)務路由經過多臺反射器后被復制為多條路由,,造成故障發(fā)生時很難通過路由追尋故障源頭,增加運維的復雜程度,,所以需要對兩臺業(yè)務路由反射器的主備身份進行嚴格的劃分,。
如圖4所示,左右兩邊拓撲的區(qū)別在于左側拓撲的兩臺PE設備與兩臺二級路由反射器建立了BGP VPNV4全連接關系,,兩臺PE設備匯聚接入網中的業(yè)務路由信息,,然后兩臺PE設備進行路由信息的同步。兩臺PE將業(yè)務路由信息復制為兩份分別發(fā)送至二級VPN反射器RR1和RR2,,設定區(qū)域內PE1為主用路由器,,即PE1傳遞出的業(yè)務路由信息為首選的業(yè)務路由信息,這里可以通過減小PE1的MED值的形式來讓上層設備優(yōu)選PE1的路由,,然后發(fā)送至二級RR(路由反射器)后,,兩臺路由反射器同時都擁有了優(yōu)選的業(yè)務路由信息和不被優(yōu)選的業(yè)務路由信息。這樣對于一級RR來說,,兩臺二級RR發(fā)來的路由信息中都有優(yōu)選的和不被優(yōu)選的路由信息,,造成了二級RR的主備混亂,也造成了主用業(yè)務路由傳遞路徑的混亂,。若如右側拓撲,,區(qū)域內PE1只與二級RR1建立BGP VPNV4關系,PE2只與二級RR2建立BGP VPNV4關系,,這樣一來所有優(yōu)選的路由都通過二級RR1來匯集和反射給上一層RR,,而二級RR2經作為備用路由的存儲者,在二級RR1發(fā)生故障時二級RR2的業(yè)務路由才能被優(yōu)選,,一方面保證了網絡的冗余性能,,另一方面對網絡控制信息的傳遞更加清晰明朗化,各層次設備的主備也明確化,。
如圖5所示,,左上角是正常情況下數(shù)據(jù)流量傳遞路線圖。從左到右、從上至下依次是區(qū)域間主用通道故障時的流量路線圖,,即此時區(qū)域核心PE1無法將業(yè)務路由傳遞至二級RR1,,所有的區(qū)域1內業(yè)務路由都需要通過PE2和二級RR2進行路由信息傳遞,但區(qū)域2未受影響,,優(yōu)選的業(yè)務路由還是通過PE1和二級RR1進行傳遞,,所以業(yè)務流量出現(xiàn)了如圖中所示效果。當二級RR1出現(xiàn)故障時,,區(qū)域1和區(qū)域2的業(yè)務路由信息都只能通過PE2和二級RR2進行傳遞,,所以業(yè)務流量出現(xiàn)了如圖中所示效果。右下圖中,,當二級RR1和區(qū)域1邊界主用通道均發(fā)生故障時,,同樣是區(qū)域1和區(qū)域2的業(yè)務路由信息都只能通過PE2和二級RR2進行傳遞,所以業(yè)務流量效果與上圖相當,。
4 結語
數(shù)據(jù)通信網的堅強穩(wěn)定,,一方面取決于承載數(shù)據(jù)通信網的光纜、電纜,、傳輸設備等的穩(wěn)定運行,,另一方面也取決于路由協(xié)議的選擇和配置。增加網絡的冗余性,,就是要保證網絡的生存能力,,比如在關鍵節(jié)點和線路上增加設備和物理線路的數(shù)量等。對網絡控制信息的梳理更是保證網絡冗余性的必要條件,,一個清晰明確的控制信息邏輯拓撲降低了路由設備進行路由優(yōu)選時的壓力,,也降低了基層運維人員的故障處理的反應時間,更保證了流量路徑的規(guī)范化,。
作者信息:
申 昉,,張陽洋,彭 柏
(國網冀北電力有限公司信息通信分公司,,北京 100053)