《電子技術應用》
您所在的位置:首頁 > 通信與網(wǎng)絡 > 設計應用 > 基于MPLS VPN OPTION C的網(wǎng)絡跨域冗余性研究
基于MPLS VPN OPTION C的網(wǎng)絡跨域冗余性研究
2018智能電網(wǎng)增刊
申 昉,張陽洋,彭 柏
國網(wǎng)冀北電力有限公司信息通信分公司,北京 100053
摘要: MPLS VPN技術是解決現(xiàn)階段數(shù)據(jù)通信網(wǎng)多業(yè)務、嚴隔離、高穩(wěn)定性的技術之一,目前此項技術已經(jīng)在電力系統(tǒng)中得到廣泛應用,由于電力系統(tǒng)的組織機構等特性決定了電力系統(tǒng)數(shù)據(jù)通信網(wǎng)絡架構的龐大。在電力數(shù)據(jù)通信網(wǎng)中,總部骨干級、省網(wǎng)接入級、地市接入級等多級網(wǎng)絡體系并存,在當前局面下MPLS VPN OPTION C跨域技術構建了國網(wǎng)數(shù)據(jù)通信網(wǎng)多級業(yè)務網(wǎng)絡體系之間信息互通的橋梁。提升MPLS VPN OPTION C的網(wǎng)絡跨域的冗余性和維護MPLS VPN OPTION C架構體系的穩(wěn)定是保障各類電力數(shù)據(jù)網(wǎng)業(yè)務平穩(wěn)運行的前提條件,更是日常數(shù)據(jù)網(wǎng)通信網(wǎng)運維保障工作的重中之重。
中圖分類號: TM73
文獻標識碼: A
DOI:10.16157/j.issn.0258-7998.2018.S1.072
Abstract:
Key words :

0  引言

    在電力系統(tǒng)中,隨著信息通信技術應用范圍越來越大以及數(shù)據(jù)通信網(wǎng)絡規(guī)模和覆蓋度越來越強,越來越多重要的業(yè)務通過數(shù)據(jù)網(wǎng)通信網(wǎng)來承載,數(shù)據(jù)通信網(wǎng)在電力通信中的地位越來越重要。同樣,隨著業(yè)務數(shù)量的加大以及各類業(yè)務內(nèi)用戶數(shù)量的激增,對數(shù)據(jù)通信網(wǎng)的承載能力和安穩(wěn)性提出了更高的要求,MPLS VPN 技術的出現(xiàn)解決了多種業(yè)務并行傳遞的需求,并且應用了MPLS標簽技術在一定程度了降低了路由器設備傳遞業(yè)務流量時對轉發(fā)性能的壓力。所以MPLS VPN技術在各類VPN技術中最符合電力通信多業(yè)務、嚴隔離、高穩(wěn)定性的要求,目前已經(jīng)得到了廣泛的應用。

    在數(shù)據(jù)通信網(wǎng)中,基層技術運維人員把數(shù)據(jù)通信網(wǎng)粗略地形容為計算機通信網(wǎng)絡TCP/IP模型的第一層(網(wǎng)絡接口層)、第二層(Internet層)、第三層(傳輸層),如圖1所示。

sf-t1.gif

    在這3層中,由上到下,每層負責對業(yè)務數(shù)據(jù)進行各層功能封裝的實現(xiàn),簡單理解為,這3層協(xié)同實現(xiàn)了業(yè)務數(shù)據(jù)終端到終端之間的傳輸。在電力數(shù)據(jù)網(wǎng)的實際情況中,由于網(wǎng)絡的多層次,造成了業(yè)務信息一方面需要與本網(wǎng)絡域設備進行通信,另一方面也需要同其他網(wǎng)絡域內(nèi)的設備進行通信,這就需要有一種能夠實現(xiàn)跨域傳輸?shù)腗PLS VPN技術,即MPLS VPN OPTION C技術(此外還存在OPTION A、OPTION B技術,由于OPTION C對關鍵節(jié)點設備的運行壓力最小,目前優(yōu)選OPTION C),通過此項技術完美地解決了業(yè)務跨域的需求。本文旨在基于MPLS VPN OPTION C技術的生存性原理,就如何提高MPLS VPN OPTION C體系的冗余性來開展研究,從冗余性配置方面著手提升綜合數(shù)據(jù)網(wǎng)業(yè)務傳輸?shù)姆€(wěn)定,提升重要業(yè)務生存能力。

1  MPLS VPN技術原理及跨域OPTION C類別分析

    虛擬專用網(wǎng)絡(Virtual Private Network,VPN),其作用是在公用網(wǎng)絡上建立專用的網(wǎng)絡,并且通過加密等技術實現(xiàn)專用網(wǎng)絡信息與公用網(wǎng)絡以及其他專用網(wǎng)絡的隔離。這個專用網(wǎng)絡在文中定義為某個業(yè)務,所以VPN是實現(xiàn)在公用網(wǎng)絡平臺上多種業(yè)務交互通信,并且不同業(yè)務之間,及業(yè)務與公網(wǎng)之間互為不可知狀態(tài)。目前比較流行的VPN技術有3種:(1)基于MPLS技術的MPLS VPN技術;(2)基于HTTPS的SSL VPN技術;(3)基于IPSec協(xié)議的VPN技術。在本文中著重對MPLS VPN技術進行分析。

    MPLS VPN技術的實現(xiàn)方式需要從數(shù)據(jù)層面和控制層面進行分析和解讀。

    數(shù)據(jù)層面:它是依靠MPLS標簽的分配來實現(xiàn)業(yè)務流量信息的隔離,即為不同的業(yè)務流量分配不同的標簽,對端路由器依靠這些標簽對不同業(yè)務流量進行區(qū)分,MPLS標簽的大小為4 B。在數(shù)據(jù)傳遞時,路由器首先將MP-BGP協(xié)議產(chǎn)生的用于區(qū)分業(yè)務的標簽對上層IP數(shù)據(jù)包進行封裝,也就是說在二層以太網(wǎng)幀頭和IP頭部之間加上了MPLS標簽;然后每臺設備運行MPLS協(xié)議,MPLS協(xié)議的作用在于識別這些標簽,并根據(jù)MPLS內(nèi)部的標簽表進行傳遞;最終這些數(shù)據(jù)幀到達對端路由器時,對方路由器的MP-BGP協(xié)議根據(jù)之前協(xié)商出來的標簽判斷出這些流量分別屬于哪些業(yè)務。

    如圖2所示,MPLS標簽的位置分別在二層和三層頭部之間,每個標簽的大小為4 B,其中l(wèi)abel字段為20 bit,上述標簽值就被這個字段所定義,由上圖可以看出標簽的數(shù)量可以有多個,下文介紹的MPLS VPN OPTION C跨域則需要攜帶2~3個標簽。

sf-t2.gif

    控制層面:在網(wǎng)絡層控制層面可以簡單地認為是路由信息的傳遞,在MPLS VPN中控制信息的傳遞是依靠BGP協(xié)議,但傳統(tǒng)的BGP協(xié)議只能傳遞普通公網(wǎng)IPV4路由,RFC2858和RFC4360對BGP進行了擴展,擴展后的BGP協(xié)議稱之為多協(xié)議BGP(MP-BGP),在MP-BGP中新增了MP_REACH_NLRI和MP_UNREACH_NLRI及擴展團體屬性RT等,在MP_REACH_NLRI屬性中增加了對業(yè)務路由標簽和RD(路由區(qū)分,在MPLS VPN的網(wǎng)絡中,私網(wǎng)路由的路由前綴的形式為RD+IPv4地址,這樣可以在路由前綴中直接標識該路由的VPN業(yè)務信息)等信息的描述,MP_UNREACH_NLRI則可以撤銷通過MP_REACH_NLRI發(fā)布的業(yè)務路由信息,擴展團體屬性RT分為Export Target與import Target,通過這兩者的配合決定路由信息屬于具體哪一個業(yè)務VPN。

    MPLS VPN跨域構建類型共有三大類,分別為OPTION A、OPTION B、OPTION C:(1)OPTION A為兩個域邊界設備互相視對方為業(yè)務方,所有對方過來的流量都被認為是業(yè)務流量,需要進行拆包并經(jīng)過MP-BGP協(xié)議的分析計算,然后重新進行封裝,并加上MP-BGP預先分配的業(yè)務標簽信息和MPLS協(xié)議的公網(wǎng)標簽,這個過程耗費了邊界路由器設備大量的計算處理性能,因而基于MPLS VPN OPTION A實現(xiàn)的網(wǎng)絡中,網(wǎng)絡的邊界設備需要性能比較優(yōu)良的高階路由器;(2)OPTION B為域邊界路由器之間分別建立MP-BGP鄰居關系,對方傳遞來的業(yè)務流量只需要進行簡單的分析(如RT值的對比等),來確定本地是否對該業(yè)務路由信息的接收與傳遞,這個過程對比OPTION A而言,對邊界設備的性能要求大幅度降低;(3)OPTION C為本域內(nèi)邊緣業(yè)務接入設備或者域內(nèi)核心路由器設備(后面簡稱為PE設備)直接與其他域內(nèi)PE設備建立MP-BGP,MPLS VPN OPTION C在域內(nèi)應用LDP協(xié)議構建標簽通道,在域間應用BGP協(xié)議構建標簽通道,在沿途域中利用LDP協(xié)議或者BGP協(xié)議構建標簽通道,通過這樣的方式打通了一條本地PE設備到其他域內(nèi)目標PE設備之間的標簽通道,業(yè)務流量在這個通道中傳遞,沿途設備只需要對業(yè)務流量2層、3層之間封裝的標簽信息進行檢查、再封裝等操作,極大程度減低了沿途路由器的性能壓力,較OPTION A和OPTION B而言,它更符合了超大型網(wǎng)絡、業(yè)務密集型網(wǎng)絡的對運行穩(wěn)定性的要求。

2  電力數(shù)據(jù)通信網(wǎng)目前現(xiàn)狀

    目前在電力通信中,電力數(shù)據(jù)通信網(wǎng)承載了國網(wǎng)大部分的日常行政業(yè)務和部分與生產(chǎn)相關的業(yè)務,涉及到了27個省級接入網(wǎng)以及數(shù)量和范圍龐大的地市接入網(wǎng)。在眾多接入網(wǎng),就網(wǎng)絡規(guī)模而言,早已步入超大型網(wǎng)絡的范圍中,電力數(shù)據(jù)通信網(wǎng)的需求就是在眾多接入網(wǎng)中需要實現(xiàn)異省之間、同省之間、省與國網(wǎng)總部之間業(yè)務的互通。

    MPLS VPN可以實現(xiàn)跨不同區(qū)域網(wǎng)絡的進行安全、高速、可靠的數(shù)據(jù)、語音、圖像多類型業(yè)務的通信,并結合差別服務、流量工程等相關技術,將公眾網(wǎng)可靠的性能、良好的擴展性、豐富的功能與專用網(wǎng)的安全、靈活、高效結合在一起。并且MPLS VPN虛電路級的業(yè)務安全性保證也滿足了目前電力數(shù)據(jù)通信網(wǎng)對業(yè)務隔離性、安全性的要求。

    目前電力數(shù)據(jù)通信網(wǎng)應用最廣泛的是OPTION C跨域模式,在部分地區(qū)OPTION A、OPTION B也有應用,在OPTION C的眾多實現(xiàn)方式中主要應用的是與業(yè)務路由反射器相結合的實現(xiàn)方式,接入網(wǎng)PE設備的業(yè)務路由控制信息分別通過骨干網(wǎng)層面的各級VPN路由反射器,進行匯總、過濾、聚合等操作,一步步發(fā)送至對端PE設備。這樣一方面縮減了路由表的表項,從而降低了對邊緣業(yè)務接入設備的性能壓力,也方便了對業(yè)務路由的控制,提升了業(yè)務網(wǎng)絡訪問的安全性和靈活性。

    如圖3所示,區(qū)域1與區(qū)域2分別有業(yè)務訪問的需求,區(qū)域內(nèi)路由器的業(yè)務路由信息首先發(fā)送給在骨干網(wǎng)層面的與自己接入網(wǎng)相對應的二級反射器;二級反射器對路由信息進行匯總、過濾、聚合等操作,對路由信息進行進一步的縮減和梳理,然后將業(yè)務路由信息發(fā)送至骨干網(wǎng)的一級業(yè)務路由反射器;依照之前的流程對業(yè)務路由進行進行同樣的處理,然后發(fā)送至目標區(qū)域對應的二級反射器,經(jīng)過同樣的操作后將業(yè)務路由發(fā)送至目標區(qū)域的PE設備,在業(yè)務路由傳遞的過程中經(jīng)過了多層層路由反射器的層層梳理過濾,極大地提升了網(wǎng)絡的運維工作人員對網(wǎng)絡的控制能力,進而降低了運維人員的運維壓力。

sf-t3.gif

3  冗余性分析與應用

    本文中的冗余性分析主要是如何在網(wǎng)路出現(xiàn)線路故障和設備故障時,繼續(xù)維持網(wǎng)絡控制層面的穩(wěn)定有序和數(shù)據(jù)傳輸層面的正常運行。在網(wǎng)絡物理拓撲中網(wǎng)絡的邊界大多依靠雙邊界口字型互聯(lián)的方式,這種結構在物理拓撲中已經(jīng)屬于比較穩(wěn)定的拓撲結構。

    在路由信息傳遞的過程中,接入網(wǎng)首先將自己本地業(yè)務路由匯聚于區(qū)域核心設備,區(qū)域核心設備將全部業(yè)務路由信息傳遞至骨干網(wǎng)路由反射器。骨干網(wǎng)路由反射器相當于匯總了多個區(qū)域的全部路由,所以路由反射器一方面承擔巨大的路由信息傳遞壓力,另一方面路由反射器的穩(wěn)定運行對網(wǎng)絡的正常通信起著決定性作用。所以同等級的路由反射器至少要有主備兩臺,則兩臺路由反射器還必須保證正常的熱備狀態(tài)。還要注意一點就是,增加一臺路由反射器同樣增加了路由信息的傳遞途徑,很容易出現(xiàn)一條業(yè)務路由經(jīng)過多臺反射器后被復制為多條路由,造成故障發(fā)生時很難通過路由追尋故障源頭,增加運維的復雜程度,所以需要對兩臺業(yè)務路由反射器的主備身份進行嚴格的劃分。

    如圖4所示,左右兩邊拓撲的區(qū)別在于左側拓撲的兩臺PE設備與兩臺二級路由反射器建立了BGP VPNV4全連接關系,兩臺PE設備匯聚接入網(wǎng)中的業(yè)務路由信息,然后兩臺PE設備進行路由信息的同步。兩臺PE將業(yè)務路由信息復制為兩份分別發(fā)送至二級VPN反射器RR1和RR2,設定區(qū)域內(nèi)PE1為主用路由器,即PE1傳遞出的業(yè)務路由信息為首選的業(yè)務路由信息,這里可以通過減小PE1的MED值的形式來讓上層設備優(yōu)選PE1的路由,然后發(fā)送至二級RR(路由反射器)后,兩臺路由反射器同時都擁有了優(yōu)選的業(yè)務路由信息和不被優(yōu)選的業(yè)務路由信息。這樣對于一級RR來說,兩臺二級RR發(fā)來的路由信息中都有優(yōu)選的和不被優(yōu)選的路由信息,造成了二級RR的主備混亂,也造成了主用業(yè)務路由傳遞路徑的混亂。若如右側拓撲,區(qū)域內(nèi)PE1只與二級RR1建立BGP VPNV4關系,PE2只與二級RR2建立BGP VPNV4關系,這樣一來所有優(yōu)選的路由都通過二級RR1來匯集和反射給上一層RR,而二級RR2經(jīng)作為備用路由的存儲者,在二級RR1發(fā)生故障時二級RR2的業(yè)務路由才能被優(yōu)選,一方面保證了網(wǎng)絡的冗余性能,另一方面對網(wǎng)絡控制信息的傳遞更加清晰明朗化,各層次設備的主備也明確化。

sf-t4.gif

    如圖5所示,左上角是正常情況下數(shù)據(jù)流量傳遞路線圖。從左到右、從上至下依次是區(qū)域間主用通道故障時的流量路線圖,即此時區(qū)域核心PE1無法將業(yè)務路由傳遞至二級RR1,所有的區(qū)域1內(nèi)業(yè)務路由都需要通過PE2和二級RR2進行路由信息傳遞,但區(qū)域2未受影響,優(yōu)選的業(yè)務路由還是通過PE1和二級RR1進行傳遞,所以業(yè)務流量出現(xiàn)了如圖中所示效果。當二級RR1出現(xiàn)故障時,區(qū)域1和區(qū)域2的業(yè)務路由信息都只能通過PE2和二級RR2進行傳遞,所以業(yè)務流量出現(xiàn)了如圖中所示效果。右下圖中,當二級RR1和區(qū)域1邊界主用通道均發(fā)生故障時,同樣是區(qū)域1和區(qū)域2的業(yè)務路由信息都只能通過PE2和二級RR2進行傳遞,所以業(yè)務流量效果與上圖相當。

sf-t5.gif

4  結語

    數(shù)據(jù)通信網(wǎng)的堅強穩(wěn)定,一方面取決于承載數(shù)據(jù)通信網(wǎng)的光纜、電纜、傳輸設備等的穩(wěn)定運行,另一方面也取決于路由協(xié)議的選擇和配置。增加網(wǎng)絡的冗余性,就是要保證網(wǎng)絡的生存能力,比如在關鍵節(jié)點和線路上增加設備和物理線路的數(shù)量等。對網(wǎng)絡控制信息的梳理更是保證網(wǎng)絡冗余性的必要條件,一個清晰明確的控制信息邏輯拓撲降低了路由設備進行路由優(yōu)選時的壓力,也降低了基層運維人員的故障處理的反應時間,更保證了流量路徑的規(guī)范化。



作者信息:

申  昉,張陽洋,彭  柏

(國網(wǎng)冀北電力有限公司信息通信分公司,北京 100053)

此內(nèi)容為AET網(wǎng)站原創(chuàng),未經(jīng)授權禁止轉載。