許 軍 中國鐵通集團有限公司常州分公司

目前，提供數(shù)據(jù)業(yè)務(wù)的技術(shù)主要有ATM/FR(幀中繼)技術(shù)、租用專線技術(shù)、以MPLS VPN為主的IP VPN（Virtual Private Network，虛擬專用網(wǎng)絡(luò)）技術(shù)以及包括X.25技術(shù)在內(nèi)的其他技術(shù)。據(jù)統(tǒng)計，MPLS VPN以每年27%的發(fā)展速度增長，而其它技術(shù)則發(fā)展相對減緩。基于MPLS（Multi Protocol Label Switching，多協(xié)議標(biāo)簽交換）的虛擬專用網(wǎng)技術(shù)可將現(xiàn)有的IP網(wǎng)分解成邏輯上隔離的網(wǎng)絡(luò)，為用戶提供了質(zhì)量和安全保證，特別是通過MPLS VPN可以為企業(yè)用戶提供語音、數(shù)據(jù)甚至視頻業(yè)務(wù)在內(nèi)的統(tǒng)一通信平臺。MPLS VPN技術(shù)的優(yōu)點已經(jīng)被越來越多的人認識和采用。

1 MPLSVPN原理介紹

MPLS VPN一般采用圖1所示的網(wǎng)絡(luò)結(jié)構(gòu)。其中VPN是由若干不同的site（VPN用戶站點）組成的集合，一個site可以屬于不同的VPN，屬于同一VPN的site具有IP連通性，不同VPN間可以有控制地實現(xiàn)互訪與隔離。

MPLS VPN網(wǎng)絡(luò)主要由CE、PE和P等3部分組成。

CE(Custom Edge Router，用戶網(wǎng)邊緣路由器)設(shè)備：直接與網(wǎng)絡(luò)(圖1中的MPLS骨干網(wǎng)絡(luò))相連，CE可以是路由器或是交換機，也可以是一臺主機。它“感知”不到VPN的存在。

PE(Provider Edge Router，骨干網(wǎng)邊緣路由器)路由器：是MPLS網(wǎng)絡(luò)的邊緣設(shè)備，與用戶的CE直接相連，負責(zé)VPN業(yè)務(wù)接入，處理VPN-IPv4路由，是MPLS三層VPN的主要實現(xiàn)者，對VPN的所有處理都發(fā)生在PE上。

P路由器（Provider Router，骨干網(wǎng)核心路由器)：是MPLS網(wǎng)絡(luò)中的骨干路由，負責(zé)快速轉(zhuǎn)發(fā)數(shù)據(jù)，不與CE直接相連。它只需具備基本的MPLS轉(zhuǎn)發(fā)能力。

整個MPLS VPN體系結(jié)構(gòu)可以分成控制面和數(shù)據(jù)面，控制面定義了LSP（Label Switched Path，P標(biāo)簽交換路由）的建立和VPN路由信息的分發(fā)過程，數(shù)據(jù)面則定義了VPN數(shù)據(jù)的轉(zhuǎn)發(fā)過程。

MPLS為構(gòu)建VPN提供了一種簡單、靈活、高效的隧道機制，即利用MPLS技術(shù)可以在VPN的不同站點之間建立LSP，用來為VPN傳送數(shù)據(jù)分組。

CE與直接相連的PE建立鄰接關(guān)系后，CE把本節(jié)點的VPN路由發(fā)布給入口PE，入口PE路由器利用MP-BGP(Multi Protocol Border Gateway Protocol多協(xié)議邊界網(wǎng)關(guān)協(xié)議)把它從CE學(xué)習(xí)到的路由信息發(fā)布給出口PE，并獲得出口PE學(xué)習(xí)到的CE路由信息。PE之間通過IGP（(Interior Gateway Protocols，內(nèi)部網(wǎng)關(guān)協(xié)議）來保證內(nèi)部的連通性，通過MP-BGP來傳播VPN路由信息，完成VPN路由更新。

當(dāng)屬于某一VPN的CE用戶數(shù)據(jù)進入網(wǎng)絡(luò)時，在CE與PE連接的接口上可以識別出該CE屬于哪一個VPN，同時被打上內(nèi)外兩層標(biāo)簽：外層標(biāo)簽指示從PE到對端PE的一條LSP，VPN報文利用這層標(biāo)簽，可以沿LSP逐級轉(zhuǎn)發(fā)。在出口PE之前的最后一個P路由器上，外層標(biāo)簽被彈出，P路由器將只含有內(nèi)層標(biāo)簽的分組轉(zhuǎn)發(fā)給出口PE路由器，出口PE路由器根據(jù)內(nèi)層標(biāo)簽查找對應(yīng)的輸出接口，在彈出VPN標(biāo)簽后通過該接口將VPN分組發(fā)送給正確的CE路由器，從而實現(xiàn)了整個數(shù)據(jù)轉(zhuǎn)發(fā)過程。

2 MPLS VPN在鐵路信息化中的應(yīng)用

鐵通為鐵路建設(shè)MPLS VPN數(shù)據(jù)承載網(wǎng)之前，鐵路運輸生產(chǎn)的各項數(shù)據(jù)業(yè)務(wù)，如TMIS、CTC/TDCS、客票聯(lián)網(wǎng)、辦公局域網(wǎng)等都是各自獨立建設(shè)的數(shù)據(jù)網(wǎng)絡(luò)，網(wǎng)絡(luò)帶寬很低（基本為2M或n×2M等的連接），設(shè)備等級也較低。隨著鐵路信息化的發(fā)展，監(jiān)控、可視電話會議等新網(wǎng)絡(luò)應(yīng)用需求不斷出現(xiàn)，網(wǎng)絡(luò)的覆蓋范圍不斷擴大，各接入節(jié)點對帶寬的需求也不斷增加，多網(wǎng)并存的弊端越來越顯現(xiàn)出來：

（1）同一接入點有多種接入業(yè)務(wù)，每種業(yè)務(wù)必須利用電路分別組網(wǎng)，每張網(wǎng)自成體系，網(wǎng)絡(luò)維護的工作量較大。

（2）網(wǎng)絡(luò)帶寬需求日益增長，而現(xiàn)有各張網(wǎng)帶寬利用率存在不平衡性，不同應(yīng)用間占用的網(wǎng)絡(luò)資源無法實現(xiàn)共享。

（3）每增加一種業(yè)務(wù)時需要對網(wǎng)絡(luò)結(jié)構(gòu)、路由進行一次規(guī)劃，業(yè)務(wù)的擴展性差。

為了改變現(xiàn)狀，適應(yīng)鐵路信息化發(fā)展的長期需求，中國鐵通采用MPLS VPN技術(shù)規(guī)劃建設(shè)鐵路IP數(shù)據(jù)網(wǎng)，用來承載現(xiàn)有的多種數(shù)據(jù)業(yè)務(wù)。為了保證鐵路專網(wǎng)信息的安全，該網(wǎng)絡(luò)單獨組網(wǎng)建設(shè)，與公眾互聯(lián)網(wǎng)在物理上嚴格隔離。鐵路IP數(shù)據(jù)網(wǎng)充分利用互聯(lián)網(wǎng)技術(shù)接口標(biāo)準(zhǔn)、開放、簡單、便于擴容、接入成本低廉等特點為鐵路信息化建設(shè)提供服務(wù)，為站段到各中間站、車間、班組的辦公聯(lián)網(wǎng)、視頻會議、遠程監(jiān)視、監(jiān)測等不同業(yè)務(wù)系統(tǒng)提供統(tǒng)一的承載平臺。

由于鐵路管理的特殊性，鐵路的業(yè)務(wù)大部分是在鐵路局管轄內(nèi)開展的，特別是視頻、監(jiān)控等帶寬比較大的業(yè)務(wù)。同時全國各路局所處地區(qū)經(jīng)濟發(fā)展存在不平衡性，因此，鐵路IP數(shù)據(jù)網(wǎng)采取分步建設(shè)的方式，根據(jù)預(yù)先做好全國各鐵路局的地址規(guī)劃和路由規(guī)劃，鐵路局分別進行本區(qū)域內(nèi)網(wǎng)絡(luò)的規(guī)劃和建設(shè)。最終在各鐵路局IP數(shù)據(jù)網(wǎng)的基礎(chǔ)上可以將核心節(jié)點進行互聯(lián)，形成全國的鐵路IP數(shù)據(jù)網(wǎng)。

下面介紹某鐵路局IP數(shù)據(jù)網(wǎng)的建設(shè)情況。

2.1 組網(wǎng)方案

圖2 組網(wǎng)方案圖

鐵路局IP數(shù)據(jù)網(wǎng)分為核心層、匯聚層、接入層三層結(jié)構(gòu)（見圖2）。核心層節(jié)點為路局節(jié)點，匯接本路局業(yè)務(wù)；匯聚層節(jié)點為本路局內(nèi)各辦事處所在節(jié)點，負責(zé)本地區(qū)業(yè)務(wù)的匯聚和轉(zhuǎn)發(fā)；接入層節(jié)點覆蓋本路局內(nèi)各個站點。

核心層和匯聚層每個節(jié)點由兩臺P路由器構(gòu)成，接入層PE設(shè)備雙上聯(lián)至本區(qū)域匯聚路由器。由于鐵路專網(wǎng)的傳輸環(huán)網(wǎng)是沿鐵路光纜進行建設(shè)的，受傳輸資源的限制，有一些PE無法實現(xiàn)對P路由器的星型雙歸保護，因此這些接入節(jié)點采用串形連接，實現(xiàn)路由上的保護。根據(jù)每個節(jié)點的預(yù)測流量選擇傳輸帶寬，數(shù)據(jù)流量大的節(jié)點間考慮以GE鏈路為主，其余節(jié)點以POS155M互連。由于PE設(shè)備間不是采用全連接結(jié)構(gòu)，因此在路局所在數(shù)據(jù)中心設(shè)置一臺IP路由反射器和一臺VPN路由反射器，互為備用。

路局IP數(shù)據(jù)網(wǎng)內(nèi)所有的P、PE設(shè)備都放在一個域內(nèi)，采用獨立的自治域，自治域內(nèi)部路由采用IGP與BGP分離方式。由于IS-IS網(wǎng)絡(luò)收斂速度快、網(wǎng)絡(luò)穩(wěn)定性好、協(xié)議擴展性好、適合大型網(wǎng)絡(luò)等特點，采用IS-IS路由協(xié)議作為IP數(shù)據(jù)網(wǎng)的IGP，用于LDP標(biāo)簽的分發(fā)和建立LSP。所有的PE上啟用MP-BGP用來分發(fā)用戶的IP和VPN的路由。

在VPN規(guī)劃方面，針對不同的數(shù)據(jù)業(yè)務(wù)系統(tǒng)劃分了不同的VPN，各VPN利用同一個物理承載網(wǎng)，邏輯上完全獨立分開。

2.2 用戶接入方案

根據(jù)鐵路數(shù)據(jù)業(yè)務(wù)點多線長的特點，對于具體用戶的接入可以綜合為以下二種情況：

(1)分散的單個業(yè)務(wù)信息點的接入：可根據(jù)業(yè)務(wù)特點及接入條件，采用傳輸、同軸電纜、XDSL、WLAN等方式接入就近PE或匯聚CE設(shè)備。

(2)相對集中的業(yè)務(wù)信息點的接入：可以采用二層交換機、路由器和三層交換機相結(jié)合的方式匯聚數(shù)據(jù)流量后，就近接入PE設(shè)備。出于安全性考慮，PE與匯聚設(shè)備之間如果距離較遠，則選擇SDH傳輸進行互聯(lián)，利用SDH完善的保護機制對通道進行保護，距離較近的則利用光纜進行互聯(lián)。

2.3 與原有網(wǎng)絡(luò)相比具有以下優(yōu)點

2.3.1 擴展性好

當(dāng)增加新業(yè)務(wù)系統(tǒng)時不需要建設(shè)新的網(wǎng)絡(luò)，只需增加一個VPN即可；不需要針對某個業(yè)務(wù)系統(tǒng)單獨擴容網(wǎng)絡(luò)帶寬，只有當(dāng)IP數(shù)據(jù)網(wǎng)平臺總帶寬不足時才考慮進行擴容，網(wǎng)絡(luò)擴展性較好。

2.3.2 資源利用高

可以根據(jù)各業(yè)務(wù)系統(tǒng)實際的流量分配帶寬，從而合理地使用網(wǎng)絡(luò)資源，網(wǎng)絡(luò)資源利用率高。

2.3.3 網(wǎng)絡(luò)維護管理方便

原有網(wǎng)絡(luò)是多個獨立的網(wǎng)絡(luò)，且每張網(wǎng)絡(luò)存在多個點對點的連接，網(wǎng)絡(luò)結(jié)構(gòu)比較復(fù)雜，現(xiàn)在多個業(yè)務(wù)系統(tǒng)只須由一張IP數(shù)據(jù)網(wǎng)承載，網(wǎng)絡(luò)結(jié)構(gòu)更加清晰，通過網(wǎng)絡(luò)側(cè)參數(shù)的調(diào)整，很容易實現(xiàn)用戶節(jié)點間各種形式的邏輯拓撲。承載網(wǎng)對用戶來說是透明的，用戶只需做好業(yè)務(wù)網(wǎng)的建設(shè)和維護。有效地減少了網(wǎng)絡(luò)維護的工作量，提高維護效益。

2.3.4 網(wǎng)絡(luò)可靠性高

當(dāng)網(wǎng)絡(luò)出現(xiàn)故障時，會依據(jù)IGP路由算法迂回到其它電路上，這一過程完全依靠IGP的收斂自動完成，對用戶完全透明，保證各業(yè)務(wù)網(wǎng)能正?？煽康剡\作。

3 結(jié)束語

鐵路IP數(shù)據(jù)承載網(wǎng)建設(shè)開通以后，已經(jīng)在該網(wǎng)絡(luò)上運行了各站段的多個可視會議系統(tǒng)，按照規(guī)劃，還將逐步將其它一些鐵路專用通信系統(tǒng)承載于其上?？梢钥闯?，MPLS VPN非常適合對帶寬需求大、網(wǎng)絡(luò)可靠性要求高的業(yè)務(wù)。不過MPLS VPN技術(shù)要想有更大的發(fā)展，目前QoS問題還有待進一步提高，安全問題需加強，另外需要進一步提高標(biāo)準(zhǔn)化程度，解決多廠家設(shè)備的互通性問題。相信經(jīng)過MPLS VPN技術(shù)的不斷完善和發(fā)展，未來必將和IP網(wǎng)絡(luò)達到完美結(jié)合，為用戶提供更加滿意的服務(wù)和更加豐富的業(yè)務(wù)。