孙琳 徐海峰 南京江浦海军指挥学院浦口分院网络中心 南京科融数据系统有限公司系统集成部
[摘 要]本文主要简述了MPLS VPN技术的工作原理和先进优点,并结合电力数据网的特殊应用,阐述了MPLS VPN 技术应用于电力调度数据网中的优势所在,最后详细阐述了如何在电力这个特殊应用的网络中部署MPLS VPN的接入服务。
[关键词] 电力调度数据网 MPLS VPN 特殊应用
随着经济体制改革的进一步深化及”十一五”的到来,我们国家正发生着日新月异的变化,对电量的需求也年年增加,电荒最近几年也几乎年年出现,这就对提供电能服务的电力行业提出了全新的任务和挑战。但由于种种原因,目前我们国家绝大部分地区级调度数据网还不太健全,对该系统也不够重视,但事实上,调度数据网的重要性是不言而喻的,它可以充分发挥调度自动化系统的各种功能,全国调度电能的合理分配,保证电力正常供应,服务于社会。
电力数据网特点
在调度数据网络中,应用数据类型可分为两大类:
(1)实时业务(监控):
EMS与RTU或变电所自动化系统的实时数据
地/县级调度、县级市/县级调度EMS之间交换的实时数据
电力系统动态测量数据
(2)非实时业务(调度生产直接相关业务)
发电、用电及联络线交换计划、联络线考核
调度票、操作票、检修票等
调度生产运行报表(日报、月报、季报)
电能量计量计费信息
故障录波、保护和安全自动装置有关管理数据
不同类型的数据应用对网络的安全和可靠性有不同的特殊要求,如调度实时业务是对服务质量有特殊要求。而电量计费信息则是对数据的私密性有较高要求,应与其它数据隔离,以达到在整个数据网络中传输数据就像在专用的网络中传输数据一样。
基于以上原因,如果依照我们传统的组网方式,我们将需要建造二套或多套物理完全隔离的网络才能满足电力系统的特殊的高安全、高可靠性的要求,这样的规划设计不但需要花费大量的资金购买所需的网络设备,同时还给我们维护多个网络带来了不便,所以我们需要一种全新的技术来组建一个网络,即能多网合一,又能满足电力系统的多个不同业务的特殊要求,而最近几年新发展的MPLS VPN技术就能够满足电力系统特殊的应用要求。因此,如何部署MPLS VPN网络,建立一个“专用网中的专用网”,将会是一个令众人关注的新的研究领域。
MPLS工作原理及在电力组网中的优点
MPLS的一些主要组成包括Edge LSR (edge label switch router),LSR(label switch router)和标记(label)。
Edge LSR 担负从非MPLS设备接收IP包和向这些设备传递标准IP包的双重任务。它负责开始的包处理和分类,并分配第一个label等。简单的说,Edge LSR 的角色是把非标记包转换成标记的包。
LSR是根据预先计算出的交换表来交换标记包的核心设备。这种设备可以是一台交换机或一台路由器,一台ATM交换机也可以具有MPLS能力,如果它可以交换基于标记的包,该标记在ATM VPI/VCI域中将作为正常的ATM流量被携带。
标记是LSR用于转发包的头。该头格式取决于网络的特点。在路由网络中,标记是单独的32位头。在ATM网络中,LSR只读取标记,而不读网络层的包头。
观察MPLS 如何运作的最简单办法是跟踪一个穿过调度数据网MPLS网络的包。
图1:跟踪数据包过程
第一步:网络自动建立路由选择表,整个调度数据网络上的路由器或交换机使用内部网关协议,如OSPF、EIFGRP或IS-IS。LDP使用表中的路由选择拓扑,在相邻两个设备之间建立标记值。这个操作将在目的端点之间创建LSP或预先配置的指示图。与ATM永久虚拟电路(PVC)不同的是,标记是自动分配的,而永久虚拟电路需要人工分配VPI/VCI。
第二步:一个入局数据包进入边沿LSR,它在LSR经过处理,确定它需要哪一种第三层业务,诸如QoS和带宽管理。根据路由选择和策略的要求,边沿LSR选择并给数据包报头贴上标记,并转发这个数据包。
第三步:核心中的LSR解读每个数据包上的标记,并用表中所列的新标记进行替换。这个操作在核心中的所有中继段上(hops in the core) 重复。
第四步:入口边沿交换机去除标记,解读数据包报头,并转发到它的最终目的地。
MPLS的VPN技术是专门为VPN所设计的,即所谓VPN Aware网络。在这种技术中,采用32位长的VPN标识符嵌入到IP包中,形成一个VPNIP地址。BGP(BorderGatewayProtocol) 路由协议可以对VPN-IP地址进行路由寻址,但转发数据包则要求多协议标签交换技术MPLS (Multi-Protocal Label Switching)。
MPLS VPN在规模化VPN应用中具有得天独厚的优势,其原因就在于它的如下特点:
安全性高。路由信息分发限制和MD5路由认证技术,使用户所依赖的公网成为可以信任的网络。MPLS还同时支持防火墙技术,及高层应用加密。
可管理性。由于其工作机理并不进行协议封装,用网管软件可以得到很好的管理。
可扩展性。BGP和MPLS支持极好的网络扩展性。其他的VPN解决方案则由于对CPU的耗费很高,或者连接数太多,在扩展性方面存在不足。QoS保障。MPLS支持数据流的分类、流量控制、掉包控制、拥塞控制等,具备完全的保障QoS的能力。
根据电力应用系统的具体应用及要求,采用了以RFC 2547规定的BGP/MPLS VPN方案实施。BGP/MPLS VPN概念中,把整个网络中的路由器分为三类:CE(用户边缘路由器)、PE(运营商边缘路由器)和P(运营商骨干路由器);其中,PE充当IP VPN接入路由器。由于BGP/MPLS VPN采用PE之间通过扩展后的BGP协议(MP-BGP)来承载VPN成员关系和VPN网络可达性,所以使MPLS VPN网络具有良好的扩展性、灵活性和可靠性。
MPLS VPN的工作过程如下图:
图2: MPLS VPN的工作过程
CE到PE间通过IGP路由或BGP将用户网络中的路由信息通知运营商路由器(PE),在PE上有对应于每个VPN的虚拟路由表(VRF),类似有一台独立的路由器与CE进行连接。
PE之间采用MP-BGP传送VPN内的路由信息以及相应的标记(VPN的标记,以下简称为内层标签),而在PE与P路由器之间则采用传统的IGP协议相互学习路由信息,采用LDP协议进行路由信息与标记(用于MPLS标签转发,以下称为外层标签)的绑定。到此时,CE,PE以及P路由器中基本的网络拓扑以及路由信息已经形成。PE路由器拥有了骨干网络的路由信息以及每一个VPN的路由信息(VRF)。
当属于某一VPN用户端路由器(CE)有数据进入时,在CE与PE连接的接口上可以识别出该CE属于哪一个VPN,进而到该VPN的VRF路由表中去读取下一跳的地址信息,同时,在前传的数据包中打上VPN标记(内层标签)。下一跳地址为与该PE作Peer的PE的地址,为了到达这个目的端的PE,在起始端PE中需读取MPLS骨干网络的路由信息,从而得到下一个P路由器的地址,同时采用LDP在用户前传数据包中打上用于MPLS标签交换的标签(外层标签)。
在MPLS骨干网络中,初始PE之后的P均只读取外层标记的信息来决定下一跳,因此骨干网络中只是简单的标签交换。
在达到目的端PE之前的最后一个P路由器时,将把外层标签去掉,读取内层标记,找到VPN,并送到相关的接口上,进而将数据传送到VPN的目的地址处P路由器即MPLS LSR。它完全依据MPLS的标签来作出转发决定。由于P路由器完全不需要读取原始的数据包信息来作出转发决定,P路由器不需要拥有VPN的路由信息。因此P只需要参与骨干IGP的路由,不需要参加MP-BGP的路由。
MPLS VPN在电力系统中的实现
在电力数据网络中,有某些节点可能部署了对网络的私密性和服务质量有特殊要求的应用,可在这些节点部署MPLS VPN的接入服务。
如下图所示:
图3:MPLS VPN 网络示意图
MPLS用户(应用)的接入方式有很多。由于本网络MPLS VPN的使用者是局内调度系统的内部应用,这些内部应用将可以通过电力调度系统的内部网络以局域网方式接入到各地区调度数据网络。其接入方式如下图所示:
图4:MPLS VPN接入方式示意图
图4中,实时EMS和电量计费需要在地区调度数据网络中传输数据,并且因为安全和性能的特殊要求,必须与其它数据隔离,所以,在网络中,为这2个应用开设了2个MPLS VPN:VPN10和VPN20。2个应用通过交换机的不同VLAN――10和20,接入到网络中。
网络中的路由器,可能是骨干路由器或核心路由器,负责MPLS VPN用户(应用)的接入,即PE路由器。PE路由器与交换机之间以VLAN truck连接。在PE路由器的连接端口上,划分了与各个VLAN对应的子端口,如与VLAN10对应的子端口10,与VLAN20对应的子端口20。实时EMS和电量计费的数据通过交换机的VLAN10和VLAN20和VLAN truck,分别流出到PE路由器上的子端口10和20。由于这两个子端口都配置了MPLS VPN属性,分属于VPN10和VPN20,所以流入的数据就被分别导入到各自的VPN中。然后,PE路由器将根据各自VPN的VRF路由表加入VPN标识符后,再通过MPLS标签转发的方式将数据进行传输。如果使用VPN的应用对网络性能有特殊要求,可以分别在各自的VPN中设置。
这样,实时EMS和电量计费的数据,就可以得到很高的安全性和服务质量,就像是使用专用的网络进行传输一样。
依次类推,我们可以更加细化不同应用,为它们定义不同的VPN。
参考文献:
Mark S. Merkow: Virtual Private Networks For Dummies, Hungry Minds, 2000, Indianapolis, IN. ISBN: 0-7645-0590-4.
Dennis Fowler: Virtual Private Networks: Making the Right Connection, Morgan Kaufmann, 1999, San Francisco, CA. ISBN: 1-55860-575-4.
