0  引言

    在电力系统中，随着信息通信技术应用范围越来越大以及数据通信网络规模和覆盖度越来越强，越来越多重要的业务通过数据网通信网来承载，数据通信网在电力通信中的地位越来越重要。同样，随着业务数量的加大以及各类业务内用户数量的激增，对数据通信网的承载能力和安稳性提出了更高的要求，MPLS VPN 技术的出现解决了多种业务并行传递的需求，并且应用了MPLS标签技术在一定程度了降低了路由器设备传递业务流量时对转发性能的压力。所以MPLS VPN技术在各类VPN技术中最符合电力通信多业务、严隔离、高稳定性的要求，目前已经得到了广泛的应用。

    在数据通信网中，基层技术运维人员把数据通信网粗略地形容为计算机通信网络TCP/IP模型的第一层（网络接口层）、第二层（Internet层）、第三层（传输层），如图1所示。

    在这3层中，由上到下，每层负责对业务数据进行各层功能封装的实现，简单理解为，这3层协同实现了业务数据终端到终端之间的传输。在电力数据网的实际情况中，由于网络的多层次，造成了业务信息一方面需要与本网络域设备进行通信，另一方面也需要同其他网络域内的设备进行通信，这就需要有一种能够实现跨域传输的MPLS VPN技术，即MPLS VPN OPTION C技术（此外还存在OPTION A、OPTION B技术，由于OPTION C对关键节点设备的运行压力最小，目前优选OPTION C），通过此项技术完美地解决了业务跨域的需求。本文旨在基于MPLS VPN OPTION C技术的生存性原理，就如何提高MPLS VPN OPTION C体系的冗余性来开展研究，从冗余性配置方面着手提升综合数据网业务传输的稳定，提升重要业务生存能力。

1  MPLS VPN技术原理及跨域OPTION C类别分析

    虚拟专用网络（Virtual Private Network，VPN），其作用是在公用网络上建立专用的网络，并且通过加密等技术实现专用网络信息与公用网络以及其他专用网络的隔离。这个专用网络在文中定义为某个业务，所以VPN是实现在公用网络平台上多种业务交互通信，并且不同业务之间，及业务与公网之间互为不可知状态。目前比较流行的VPN技术有3种：（1）基于MPLS技术的MPLS VPN技术；（2）基于HTTPS的SSL VPN技术；（3）基于IPSec协议的VPN技术。在本文中着重对MPLS VPN技术进行分析。

    MPLS VPN技术的实现方式需要从数据层面和控制层面进行分析和解读。

    数据层面：它是依靠MPLS标签的分配来实现业务流量信息的隔离，即为不同的业务流量分配不同的标签，对端路由器依靠这些标签对不同业务流量进行区分，MPLS标签的大小为4 B。在数据传递时，路由器首先将MP-BGP协议产生的用于区分业务的标签对上层IP数据包进行封装，也就是说在二层以太网帧头和IP头部之间加上了MPLS标签；然后每台设备运行MPLS协议，MPLS协议的作用在于识别这些标签，并根据MPLS内部的标签表进行传递；最终这些数据帧到达对端路由器时，对方路由器的MP-BGP协议根据之前协商出来的标签判断出这些流量分别属于哪些业务。

    如图2所示，MPLS标签的位置分别在二层和三层头部之间，每个标签的大小为4 B，其中label字段为20 bit，上述标签值就被这个字段所定义，由上图可以看出标签的数量可以有多个，下文介绍的MPLS VPN OPTION C跨域则需要携带2~3个标签。

    控制层面：在网络层控制层面可以简单地认为是路由信息的传递，在MPLS VPN中控制信息的传递是依靠BGP协议，但传统的BGP协议只能传递普通公网IPV4路由，RFC2858和RFC4360对BGP进行了扩展，扩展后的BGP协议称之为多协议BGP（MP-BGP），在MP-BGP中新增了MP_REACH_NLRI和MP_UNREACH_NLRI及扩展团体属性RT等，在MP_REACH_NLRI属性中增加了对业务路由标签和RD（路由区分，在MPLS VPN的网络中，私网路由的路由前缀的形式为RD+IPv4地址，这样可以在路由前缀中直接标识该路由的VPN业务信息）等信息的描述，MP_UNREACH_NLRI则可以撤销通过MP_REACH_NLRI发布的业务路由信息，扩展团体属性RT分为Export Target与import Target，通过这两者的配合决定路由信息属于具体哪一个业务VPN。

    MPLS VPN跨域构建类型共有三大类，分别为OPTION A、OPTION B、OPTION C：（1）OPTION A为两个域边界设备互相视对方为业务方，所有对方过来的流量都被认为是业务流量，需要进行拆包并经过MP-BGP协议的分析计算，然后重新进行封装，并加上MP-BGP预先分配的业务标签信息和MPLS协议的公网标签，这个过程耗费了边界路由器设备大量的计算处理性能，因而基于MPLS VPN OPTION A实现的网络中，网络的边界设备需要性能比较优良的高阶路由器；（2）OPTION B为域边界路由器之间分别建立MP-BGP邻居关系，对方传递来的业务流量只需要进行简单的分析（如RT值的对比等），来确定本地是否对该业务路由信息的接收与传递，这个过程对比OPTION A而言，对边界设备的性能要求大幅度降低；（3）OPTION C为本域内边缘业务接入设备或者域内核心路由器设备（后面简称为PE设备）直接与其他域内PE设备建立MP-BGP，MPLS VPN OPTION C在域内应用LDP协议构建标签通道，在域间应用BGP协议构建标签通道，在沿途域中利用LDP协议或者BGP协议构建标签通道，通过这样的方式打通了一条本地PE设备到其他域内目标PE设备之间的标签通道，业务流量在这个通道中传递，沿途设备只需要对业务流量2层、3层之间封装的标签信息进行检查、再封装等操作，极大程度减低了沿途路由器的性能压力，较OPTION A和OPTION B而言，它更符合了超大型网络、业务密集型网络的对运行稳定性的要求。

2  电力数据通信网目前现状

    目前在电力通信中，电力数据通信网承载了国网大部分的日常行政业务和部分与生产相关的业务，涉及到了27个省级接入网以及数量和范围庞大的地市接入网。在众多接入网，就网络规模而言，早已步入超大型网络的范围中，电力数据通信网的需求就是在众多接入网中需要实现异省之间、同省之间、省与国网总部之间业务的互通。

    MPLS VPN可以实现跨不同区域网络的进行安全、高速、可靠的数据、语音、图像多类型业务的通信，并结合差别服务、流量工程等相关技术，将公众网可靠的性能、良好的扩展性、丰富的功能与专用网的安全、灵活、高效结合在一起。并且MPLS VPN虚电路级的业务安全性保证也满足了目前电力数据通信网对业务隔离性、安全性的要求。

    目前电力数据通信网应用最广泛的是OPTION C跨域模式，在部分地区OPTION A、OPTION B也有应用，在OPTION C的众多实现方式中主要应用的是与业务路由反射器相结合的实现方式，接入网PE设备的业务路由控制信息分别通过骨干网层面的各级VPN路由反射器，进行汇总、过滤、聚合等操作，一步步发送至对端PE设备。这样一方面缩减了路由表的表项，从而降低了对边缘业务接入设备的性能压力，也方便了对业务路由的控制，提升了业务网络访问的安全性和灵活性。

    如图3所示，区域1与区域2分别有业务访问的需求，区域内路由器的业务路由信息首先发送给在骨干网层面的与自己接入网相对应的二级反射器；二级反射器对路由信息进行汇总、过滤、聚合等操作，对路由信息进行进一步的缩减和梳理，然后将业务路由信息发送至骨干网的一级业务路由反射器；依照之前的流程对业务路由进行进行同样的处理，然后发送至目标区域对应的二级反射器，经过同样的操作后将业务路由发送至目标区域的PE设备，在业务路由传递的过程中经过了多层层路由反射器的层层梳理过滤，极大地提升了网络的运维工作人员对网络的控制能力，进而降低了运维人员的运维压力。

3  冗余性分析与应用

    本文中的冗余性分析主要是如何在网路出现线路故障和设备故障时，继续维持网络控制层面的稳定有序和数据传输层面的正常运行。在网络物理拓扑中网络的边界大多依靠双边界口字型互联的方式，这种结构在物理拓扑中已经属于比较稳定的拓扑结构。

    在路由信息传递的过程中，接入网首先将自己本地业务路由汇聚于区域核心设备，区域核心设备将全部业务路由信息传递至骨干网路由反射器。骨干网路由反射器相当于汇总了多个区域的全部路由，所以路由反射器一方面承担巨大的路由信息传递压力，另一方面路由反射器的稳定运行对网络的正常通信起着决定性作用。所以同等级的路由反射器至少要有主备两台，则两台路由反射器还必须保证正常的热备状态。还要注意一点就是，增加一台路由反射器同样增加了路由信息的传递途径，很容易出现一条业务路由经过多台反射器后被复制为多条路由，造成故障发生时很难通过路由追寻故障源头，增加运维的复杂程度，所以需要对两台业务路由反射器的主备身份进行严格的划分。

    如图4所示，左右两边拓扑的区别在于左侧拓扑的两台PE设备与两台二级路由反射器建立了BGP VPNV4全连接关系，两台PE设备汇聚接入网中的业务路由信息，然后两台PE设备进行路由信息的同步。两台PE将业务路由信息复制为两份分别发送至二级VPN反射器RR1和RR2，设定区域内PE1为主用路由器，即PE1传递出的业务路由信息为首选的业务路由信息，这里可以通过减小PE1的MED值的形式来让上层设备优选PE1的路由，然后发送至二级RR（路由反射器）后，两台路由反射器同时都拥有了优选的业务路由信息和不被优选的业务路由信息。这样对于一级RR来说，两台二级RR发来的路由信息中都有优选的和不被优选的路由信息，造成了二级RR的主备混乱，也造成了主用业务路由传递路径的混乱。若如右侧拓扑，区域内PE1只与二级RR1建立BGP VPNV4关系，PE2只与二级RR2建立BGP VPNV4关系，这样一来所有优选的路由都通过二级RR1来汇集和反射给上一层RR，而二级RR2经作为备用路由的存储者，在二级RR1发生故障时二级RR2的业务路由才能被优选，一方面保证了网络的冗余性能，另一方面对网络控制信息的传递更加清晰明朗化，各层次设备的主备也明确化。

    如图5所示，左上角是正常情况下数据流量传递路线图。从左到右、从上至下依次是区域间主用通道故障时的流量路线图，即此时区域核心PE1无法将业务路由传递至二级RR1，所有的区域1内业务路由都需要通过PE2和二级RR2进行路由信息传递，但区域2未受影响，优选的业务路由还是通过PE1和二级RR1进行传递，所以业务流量出现了如图中所示效果。当二级RR1出现故障时，区域1和区域2的业务路由信息都只能通过PE2和二级RR2进行传递，所以业务流量出现了如图中所示效果。右下图中，当二级RR1和区域1边界主用通道均发生故障时，同样是区域1和区域2的业务路由信息都只能通过PE2和二级RR2进行传递，所以业务流量效果与上图相当。

4  结语

    数据通信网的坚强稳定，一方面取决于承载数据通信网的光缆、电缆、传输设备等的稳定运行，另一方面也取决于路由协议的选择和配置。增加网络的冗余性，就是要保证网络的生存能力，比如在关键节点和线路上增加设备和物理线路的数量等。对网络控制信息的梳理更是保证网络冗余性的必要条件，一个清晰明确的控制信息逻辑拓扑降低了路由设备进行路由优选时的压力，也降低了基层运维人员的故障处理的反应时间，更保证了流量路径的规范化。

作者信息:

申  昉，张阳洋，彭  柏

（国网冀北电力有限公司信息通信分公司，北京 100053）