王聃 郭軍 （天津泰達(dá)有線電視網(wǎng)絡(luò)有限公司 天津300456）

MPLS VPN技術(shù)在泰達(dá)有線電視IP骨干網(wǎng)中的實(shí)現(xiàn)與應(yīng)用

王聃 郭軍 （天津泰達(dá)有線電視網(wǎng)絡(luò)有限公司 天津300456）

由于互聯(lián)網(wǎng)技術(shù)的發(fā)展和客戶對(duì)于網(wǎng)絡(luò)使用的高要求，VPN（虛擬專用網(wǎng)絡(luò)）技術(shù)憑借其高安全性的優(yōu)勢(shì)得到了越來(lái)越多的應(yīng)用。簡(jiǎn)要概述了MPLS VPN技術(shù)的基本原理，并介紹了MPLS VPN技術(shù)在天津泰達(dá)有線電視IP骨干網(wǎng)中的應(yīng)用，展望了MPLS VPN技術(shù)未來(lái)發(fā)展趨勢(shì)。

VPN MPLSIP骨干網(wǎng) 三網(wǎng)融合

0 引言

隨著互聯(lián)網(wǎng)技術(shù)的迅猛發(fā)展，企業(yè)信息化建設(shè)的加快，運(yùn)營(yíng)商IP骨干網(wǎng)絡(luò)承載業(yè)務(wù)的種類和接入方式更趨于多樣化，各業(yè)務(wù)之間互通的靈活性和安全性尤為重要。由此對(duì)于自身網(wǎng)絡(luò)的靈活性、可擴(kuò)展性、高效性及安全性等方面的建設(shè)也提出了更高的要求。

在這種形勢(shì)下，VPN（虛擬專用網(wǎng)絡(luò)）技術(shù)憑借其高安全性的優(yōu)勢(shì)得到了越來(lái)越多的應(yīng)用。傳統(tǒng)的VPN方式主要采用基于專線的組網(wǎng)方式，運(yùn)營(yíng)商采用靜態(tài)的虛電路（Frame Relay、DDN等）為用戶和企業(yè)在公網(wǎng)中建立一條安全穩(wěn)定的隧道，幫助公司分支機(jī)構(gòu)、遠(yuǎn)程用戶以及商業(yè)伙伴與公司內(nèi)網(wǎng)建立可靠的安全連接。這種方式的優(yōu)點(diǎn)是安全且便于管理，運(yùn)營(yíng)商也不用考慮不同用戶采用哪些路由協(xié)議互通和應(yīng)用；但是缺點(diǎn)也很明顯，成本很高，線路資源浪費(fèi)嚴(yán)重，最重要的是網(wǎng)絡(luò)的擴(kuò)展性很低。

MPLS（Multi-Protocol Label Switching，多協(xié)議標(biāo)簽交換）技術(shù)是一種將具有相同轉(zhuǎn)發(fā)處理方式的分組歸為一類的分類轉(zhuǎn)發(fā)技術(shù)。MPLS技術(shù)結(jié)合了IP技術(shù)的靈活性和ATM技術(shù)的安全性，非常適合組建VPN。在這種背景下，基于MPLS的VPN開始替代傳統(tǒng)意義上的VPN技術(shù)。MPLS VPN具有擴(kuò)展性強(qiáng)、安全性高、提供無(wú)連接服務(wù)、地址空間靈活等特點(diǎn)，是目前發(fā)展最為迅速的一種VPN技術(shù)。因此，天津泰達(dá)有線電視網(wǎng)絡(luò)有限公司在IP骨干網(wǎng)建設(shè)中，以MPLS VPN的方式為天津經(jīng)濟(jì)技術(shù)開發(fā)區(qū)內(nèi)的各種企業(yè)提供專網(wǎng)服務(wù)。

1 MPLS VPN技術(shù)原理

MPLS VPN的實(shí)現(xiàn)利用了MPLS標(biāo)簽嵌套的特性，為每一個(gè)IP分組中封裝兩層標(biāo)簽，外部公網(wǎng)標(biāo)簽用于IP分組在LSP上轉(zhuǎn)發(fā)，內(nèi)部私有標(biāo)簽用于區(qū)分IP分組屬于哪個(gè)VPN。如圖1所示：

在MPLS VPN中有3種類型的路由器：

①CE（Custom Edge）路由器：是一臺(tái)用戶的接入設(shè)備，為用戶提供到PE路由器的鏈接，不運(yùn)行MPLS協(xié)議。

②PE（Provider Edge Router）路由器：骨干網(wǎng)邊緣路由器，PE路由器負(fù)責(zé)流量分類和標(biāo)簽的映射、移除功能。

③P（Provider Router）路由器：骨干網(wǎng)核心路由器，P路由器根據(jù)IP分組中的外部公網(wǎng)標(biāo)簽對(duì)VPN數(shù)據(jù)進(jìn)行透明轉(zhuǎn)發(fā)。

PE路由器和CE路由器可以通過動(dòng)態(tài)或靜態(tài)路由器協(xié)議交換路由信息，PE路由器維護(hù)公網(wǎng)路由表和多個(gè)VPN私網(wǎng)路由表，對(duì)每一個(gè)VPN路由加上RD和RT屬性。RD用來(lái)區(qū)分不同PE路由器發(fā)送過來(lái)的不同VRF的相同路由，RT用來(lái)實(shí)現(xiàn)不同VRF之間的路由互通。

與傳統(tǒng)的VPN不同，MPLS-VPN采用了路由隔離和地址隔離的方法來(lái)防止攻擊和標(biāo)記欺騙，提供了與ATM/FR VPN相類似的安全保證。MPLSVPN不是依靠傳統(tǒng)的封裝和加密技術(shù)來(lái)創(chuàng)建VPN，而是依靠轉(zhuǎn)發(fā)表和分組的標(biāo)簽。PE路由器所使用的每一個(gè)分組都會(huì)和一個(gè)RD相連。這樣，非法用戶就無(wú)法侵入VPN中，只有當(dāng)用戶在獲取到正確的RD后才能進(jìn)入一個(gè)Intranet或Extranet，從而為用戶提供與幀中繼或ATM相同的安全等級(jí)。

2 天津泰達(dá)有線電視IP骨干網(wǎng)現(xiàn)狀

2.1 系統(tǒng)現(xiàn)狀

經(jīng)過3年左右的建設(shè)，泰達(dá)有線電視網(wǎng)絡(luò)已逐步完善，涵蓋了整個(gè)開發(fā)區(qū)，并實(shí)現(xiàn)了開發(fā)區(qū)和開發(fā)區(qū)西區(qū)、中新生態(tài)城的互聯(lián)，在整個(gè)開發(fā)區(qū)形成了一個(gè)主干1 000 M帶寬的傳輸網(wǎng)絡(luò)體系。整個(gè)骨干網(wǎng)已實(shí)現(xiàn) WWW、DNS、WEBMAIL、FTP、VOD點(diǎn)播系統(tǒng)、BOSS計(jì)費(fèi)系統(tǒng)、辦公自動(dòng)化系統(tǒng)（OA）、用戶上網(wǎng)和企業(yè)VPN接入等網(wǎng)絡(luò)服務(wù)。如圖2所示：

泰達(dá)有線電視數(shù)字網(wǎng)已完成建立在數(shù)字電視及寬帶業(yè)務(wù)平臺(tái)之上的交互數(shù)字電視平臺(tái)，可以提供VOD、IP電話、銀聯(lián)在線繳費(fèi)、信息瀏覽、游戲、電視購(gòu)物、股票等業(yè)務(wù)。同時(shí)，泰達(dá)有線電視將雙向機(jī)頂盒作為接入資源，把互聯(lián)網(wǎng)接入業(yè)務(wù)引入用戶家庭，從而為數(shù)據(jù)業(yè)務(wù)和電視業(yè)務(wù)的組合營(yíng)銷創(chuàng)造更大的發(fā)展空間。泰達(dá)有線電視“三網(wǎng)融合”的整體轉(zhuǎn)換為全國(guó)有線電視行業(yè)向更高層次發(fā)展提供了契機(jī)，為全國(guó)有線電視網(wǎng)絡(luò)的發(fā)展找到了方向，也讓廣電人看到了廣電網(wǎng)絡(luò)在“三網(wǎng)融合”中的發(fā)展前景。

2.2 IP骨干網(wǎng)構(gòu)成

根據(jù)開發(fā)區(qū)用戶區(qū)域特征，泰達(dá)有線電視網(wǎng)絡(luò)有限公司將整個(gè)開發(fā)區(qū)分為5個(gè)主要節(jié)點(diǎn)：A節(jié)點(diǎn)為主節(jié)點(diǎn)，負(fù)責(zé)Internet接入、VOD系統(tǒng)接入、計(jì)費(fèi)系統(tǒng)接入以及部分個(gè)人用戶的接入；B和C兩個(gè)節(jié)點(diǎn)主要承載個(gè)人用戶，其中大部分為寬帶接入和視頻點(diǎn)播的業(yè)務(wù)；D和E兩個(gè)節(jié)點(diǎn)主要承載企業(yè)用戶，基本以數(shù)據(jù)傳輸為主。

各個(gè)節(jié)點(diǎn)之間都是使用兩條千兆光纖組成的channel相連，形成一個(gè)環(huán)網(wǎng)。由于A、B、C 3個(gè)節(jié)點(diǎn)是使用VOD的主要節(jié)點(diǎn)，流量較大，所以A節(jié)點(diǎn)分別與B、C節(jié)點(diǎn)之間有一條萬(wàn)兆的鏈路相連，提供高效的數(shù)據(jù)轉(zhuǎn)發(fā)。

網(wǎng)絡(luò)拓?fù)淙鐖D3所示。

目前泰達(dá)有線電視網(wǎng)絡(luò)有限公司骨干光纖網(wǎng)共配置1個(gè)核心前端4個(gè)分前端，整網(wǎng)采用OSPF（開發(fā)式最短路徑優(yōu)先）協(xié)議互通，并利用BGP（邊界網(wǎng)關(guān)協(xié)議）在整個(gè)核心骨干網(wǎng)傳遞VPN的“私網(wǎng)”路由信息，使用MPLS來(lái)轉(zhuǎn)發(fā)VPN業(yè)務(wù)流。

3 MPLSVPN技術(shù)在IP骨干網(wǎng)中的應(yīng)用

泰達(dá)有線電視IP骨干網(wǎng)利用MPLS技術(shù)，無(wú)縫的繼承了IP技術(shù)的靈活性和二層交換的簡(jiǎn)潔性，使得面向無(wú)連接的IP網(wǎng)絡(luò)具備了面向連接的屬性，使得全網(wǎng)的數(shù)據(jù)、語(yǔ)音和視頻等應(yīng)用的傳輸全部都在同一個(gè)骨干網(wǎng)平臺(tái)上通信，實(shí)現(xiàn)“三網(wǎng)融合”。

目前，泰達(dá)有線電視IP骨干網(wǎng)已經(jīng)承載了許多企業(yè)的VPN業(yè)務(wù)，MPLS VPN技術(shù)給不同業(yè)務(wù)建立了不同的隧道，隔離不同業(yè)務(wù)，提供可靠的虛連接。MPLS-VPN安全性高、成本低、擴(kuò)展性強(qiáng)、控制策略靈活的特點(diǎn)，使其深受各大企業(yè)推崇。目前泰達(dá)有線電視網(wǎng)絡(luò)主要承載了開發(fā)區(qū)社保、開發(fā)區(qū)環(huán)保視頻監(jiān)控和開發(fā)區(qū)技安網(wǎng)視頻監(jiān)控系統(tǒng)等的VPN業(yè)務(wù)。

3.1 社保業(yè)務(wù)承載

天津市社保在開發(fā)區(qū)建立社保分部，同時(shí)在中新生態(tài)城管委會(huì)大樓內(nèi)設(shè)置一個(gè)辦理相關(guān)業(yè)務(wù)的窗口營(yíng)業(yè)廳，這就需要在天津市社保和開發(fā)區(qū)社保、開發(fā)區(qū)社保和中新生態(tài)城社保營(yíng)業(yè)廳建立可靠連接。根據(jù)實(shí)際情況，目前泰達(dá)有線電視網(wǎng)到社保已有鋪設(shè)完好的光線資源，為節(jié)省光線資源，決定接入MPLS-VPN網(wǎng)絡(luò)。

天津市社保通過天津市廣電網(wǎng)絡(luò)設(shè)備作為PE路由器接入泰達(dá)有線電視MPLS-VPN網(wǎng)絡(luò)，與泰達(dá)有線電視網(wǎng)絡(luò)中的PE路由器進(jìn)行互聯(lián)，而開發(fā)區(qū)社保通過自己配置的一臺(tái)網(wǎng)絡(luò)設(shè)備作為CE路由器接入泰達(dá)有線電視骨干網(wǎng)中的PE路由器，互聯(lián)進(jìn)入泰達(dá)有線MPLS-VPN網(wǎng)絡(luò)中。在這項(xiàng)業(yè)務(wù)中，骨干網(wǎng)與天津市廣電MPLS網(wǎng)互聯(lián)是采用兩個(gè)MPLS-VPN區(qū)域之間的互聯(lián)，而與開發(fā)區(qū)社?；ヂ?lián)只是簡(jiǎn)單的PE-CE互聯(lián)。中新生態(tài)城社保營(yíng)業(yè)窗口屬于開發(fā)區(qū)社保的下屬機(jī)構(gòu)，只需要和開發(fā)區(qū)社保進(jìn)行數(shù)據(jù)業(yè)務(wù)的連通，不需要和天津市社保有業(yè)務(wù)上的交換。所以我們?cè)谥行律鷳B(tài)城社保營(yíng)業(yè)窗口與開發(fā)區(qū)社保之間采用2層VPN技術(shù)通過A節(jié)點(diǎn)與B節(jié)點(diǎn)接入泰達(dá)有線電視MPLS VPN網(wǎng)絡(luò)中。

具體拓?fù)鋱D如圖4所示：

3.2 應(yīng)急網(wǎng)業(yè)務(wù)承載

拓?fù)鋱D如圖5所示：

根據(jù)應(yīng)急信息平臺(tái)項(xiàng)目建設(shè)規(guī)劃，開發(fā)區(qū)公安部門通過區(qū)內(nèi)現(xiàn)有的廣電網(wǎng)絡(luò)建設(shè)統(tǒng)一的視頻監(jiān)控系統(tǒng)，觀察全區(qū)監(jiān)控場(chǎng)所狀況，對(duì)各有關(guān)單位需要進(jìn)行圖像監(jiān)控的場(chǎng)所及目標(biāo)，采用統(tǒng)一部署、統(tǒng)一網(wǎng)絡(luò)、分期建設(shè)、分散控制的方式，實(shí)現(xiàn)各有關(guān)單位的監(jiān)控要求，與應(yīng)急一起實(shí)現(xiàn)網(wǎng)絡(luò)連接，并和市局實(shí)現(xiàn)通訊對(duì)接。

根據(jù)開發(fā)區(qū)公安部門的需求以及目前泰達(dá)有線電視IP骨干網(wǎng)現(xiàn)狀，我們以MPLS VPN方式將開發(fā)區(qū)各處機(jī)房網(wǎng)卡口前端通過骨干網(wǎng)各個(gè)分前端接入骨干網(wǎng)，最后匯聚到A節(jié)點(diǎn)與天津市技防網(wǎng)互連。

4 小結(jié)

在向以IPv6為核心技術(shù)的第二代互聯(lián)網(wǎng)的過渡和發(fā)展中，MPLS VPN憑借其靈活的擴(kuò)展性，將成為IPv4網(wǎng)絡(luò)向IPv6網(wǎng)絡(luò)過渡的重要技術(shù)手段。在這個(gè)過渡時(shí)期中，泰達(dá)有線電視IP骨干網(wǎng)將MPLS VPN技術(shù)作為自身業(yè)務(wù)擴(kuò)展、節(jié)約資源和保持競(jìng)爭(zhēng)力的重要手段，同時(shí)利用IPv6安全性和Qos的特性更好地加強(qiáng)和改善現(xiàn)有MPLS VPN網(wǎng)絡(luò)。由于MPLS VPN技術(shù)還在不斷發(fā)展和進(jìn)步，筆者認(rèn)為，MPLS VPN技術(shù)要和IP網(wǎng)絡(luò)完美結(jié)合，還要在未來(lái)解決很多問題，如提高M(jìn)PLS VPN標(biāo)準(zhǔn)化，加強(qiáng)與Qos相結(jié)合的安全性，支持多廠商互通性等。相信經(jīng)過MPLS VPN技術(shù)的不斷完善，必將在未來(lái)為用戶提供更安全穩(wěn)定的服務(wù)，為運(yùn)營(yíng)商帶來(lái)更加豐富的業(yè)務(wù)，并在全國(guó)“三網(wǎng)融合”項(xiàng)目中做出突出的貢獻(xiàn)?！?/p>

[1]朱斌，徐林.M PLS技術(shù)在V PN中的研究與應(yīng)用[J].計(jì)算機(jī)與數(shù)字工程，2005，33（4）：83-85.

2011-05-04