利用MPLS VPN技術 構建鐵路IP數據承載網

許 軍 中國鐵通集團有限公司常州分公司

目前，提供數據業務的技術主要有ATM/FR(幀中繼)技術、租用專線技術、以MPLS VPN為主的IP VPN（Virtual Private Network，虛擬專用網絡）技術以及包括X.25技術在內的其他技術。據統計，MPLS VPN以每年27%的發展速度增長，而其它技術則發展相對減緩?；贛PLS（Multi Protocol Label Switching，多協議標簽交換）的虛擬專用網技術可將現有的IP網分解成邏輯上隔離的網絡，為用戶提供了質量和安全保證，特別是通過MPLS VPN可以為企業用戶提供語音、數據甚至視頻業務在內的統一通信平臺。MPLS VPN技術的優點已經被越來越多的人認識和采用。

1 MPLSVPN原理介紹

MPLS VPN一般采用圖1所示的網絡結構。其中VPN是由若干不同的site（VPN用戶站點）組成的集合，一個site可以屬于不同的VPN，屬于同一VPN的site具有IP連通性，不同VPN間可以有控制地實現互訪與隔離。

MPLS VPN網絡主要由CE、PE和P等3部分組成。

CE(Custom Edge Router，用戶網邊緣路由器)設備：直接與網絡(圖1中的MPLS骨干網絡)相連，CE可以是路由器或是交換機，也可以是一臺主機。它“感知”不到VPN的存在。

PE(Provider Edge Router，骨干網邊緣路由器)路由器：是MPLS網絡的邊緣設備，與用戶的CE直接相連，負責VPN業務接入，處理VPN-IPv4路由，是MPLS三層VPN的主要實現者，對VPN的所有處理都發生在PE上。

P路由器（Provider Router，骨干網核心路由器)：是MPLS網絡中的骨干路由，負責快速轉發數據，不與CE直接相連。它只需具備基本的MPLS轉發能力。

整個MPLS VPN體系結構可以分成控制面和數據面，控制面定義了LSP（Label Switched Path，P標簽交換路由）的建立和VPN路由信息的分發過程，數據面則定義了VPN數據的轉發過程。

MPLS為構建VPN提供了一種簡單、靈活、高效的隧道機制，即利用MPLS技術可以在VPN的不同站點之間建立LSP，用來為VPN傳送數據分組。

CE與直接相連的PE建立鄰接關系后，CE把本節點的VPN路由發布給入口PE，入口PE路由器利用MP-BGP(Multi Protocol Border Gateway Protocol多協議邊界網關協議)把它從CE學習到的路由信息發布給出口PE，并獲得出口PE學習到的CE路由信息。PE之間通過IGP（(Interior Gateway Protocols，內部網關協議）來保證內部的連通性，通過MP-BGP來傳播VPN路由信息，完成VPN路由更新。

當屬于某一VPN的CE用戶數據進入網絡時，在CE與PE連接的接口上可以識別出該CE屬于哪一個VPN，同時被打上內外兩層標簽：外層標簽指示從PE到對端PE的一條LSP，VPN報文利用這層標簽，可以沿LSP逐級轉發。在出口PE之前的最后一個P路由器上，外層標簽被彈出，P路由器將只含有內層標簽的分組轉發給出口PE路由器，出口PE路由器根據內層標簽查找對應的輸出接口，在彈出VPN標簽后通過該接口將VPN分組發送給正確的CE路由器，從而實現了整個數據轉發過程。

2 MPLS VPN在鐵路信息化中的應用

鐵通為鐵路建設MPLS VPN數據承載網之前，鐵路運輸生產的各項數據業務，如TMIS、CTC/TDCS、客票聯網、辦公局域網等都是各自獨立建設的數據網絡，網絡帶寬很低（基本為2M或n×2M等的連接），設備等級也較低。隨著鐵路信息化的發展，監控、可視電話會議等新網絡應用需求不斷出現，網絡的覆蓋范圍不斷擴大，各接入節點對帶寬的需求也不斷增加，多網并存的弊端越來越顯現出來：

（1）同一接入點有多種接入業務，每種業務必須利用電路分別組網，每張網自成體系，網絡維護的工作量較大。

（2）網絡帶寬需求日益增長，而現有各張網帶寬利用率存在不平衡性，不同應用間占用的網絡資源無法實現共享。

（3）每增加一種業務時需要對網絡結構、路由進行一次規劃，業務的擴展性差。

為了改變現狀，適應鐵路信息化發展的長期需求，中國鐵通采用MPLS VPN技術規劃建設鐵路IP數據網，用來承載現有的多種數據業務。為了保證鐵路專網信息的安全，該網絡單獨組網建設，與公眾互聯網在物理上嚴格隔離。鐵路IP數據網充分利用互聯網技術接口標準、開放、簡單、便于擴容、接入成本低廉等特點為鐵路信息化建設提供服務，為站段到各中間站、車間、班組的辦公聯網、視頻會議、遠程監視、監測等不同業務系統提供統一的承載平臺。

由于鐵路管理的特殊性，鐵路的業務大部分是在鐵路局管轄內開展的，特別是視頻、監控等帶寬比較大的業務。同時全國各路局所處地區經濟發展存在不平衡性，因此，鐵路IP數據網采取分步建設的方式，根據預先做好全國各鐵路局的地址規劃和路由規劃，鐵路局分別進行本區域內網絡的規劃和建設。最終在各鐵路局IP數據網的基礎上可以將核心節點進行互聯，形成全國的鐵路IP數據網。

下面介紹某鐵路局IP數據網的建設情況。

2.1 組網方案

圖2 組網方案圖

鐵路局IP數據網分為核心層、匯聚層、接入層三層結構（見圖2）。核心層節點為路局節點，匯接本路局業務；匯聚層節點為本路局內各辦事處所在節點，負責本地區業務的匯聚和轉發；接入層節點覆蓋本路局內各個站點。

核心層和匯聚層每個節點由兩臺P路由器構成，接入層PE設備雙上聯至本區域匯聚路由器。由于鐵路專網的傳輸環網是沿鐵路光纜進行建設的，受傳輸資源的限制，有一些PE無法實現對P路由器的星型雙歸保護，因此這些接入節點采用串形連接，實現路由上的保護。根據每個節點的預測流量選擇傳輸帶寬，數據流量大的節點間考慮以GE鏈路為主，其余節點以POS155M互連。由于PE設備間不是采用全連接結構，因此在路局所在數據中心設置一臺IP路由反射器和一臺VPN路由反射器，互為備用。

路局IP數據網內所有的P、PE設備都放在一個域內，采用獨立的自治域，自治域內部路由采用IGP與BGP分離方式。由于IS-IS網絡收斂速度快、網絡穩定性好、協議擴展性好、適合大型網絡等特點，采用IS-IS路由協議作為IP數據網的IGP，用于LDP標簽的分發和建立LSP。所有的PE上啟用MP-BGP用來分發用戶的IP和VPN的路由。

在VPN規劃方面，針對不同的數據業務系統劃分了不同的VPN，各VPN利用同一個物理承載網，邏輯上完全獨立分開。

2.2 用戶接入方案

根據鐵路數據業務點多線長的特點，對于具體用戶的接入可以綜合為以下二種情況：

(1)分散的單個業務信息點的接入：可根據業務特點及接入條件，采用傳輸、同軸電纜、XDSL、WLAN等方式接入就近PE或匯聚CE設備。

(2)相對集中的業務信息點的接入：可以采用二層交換機、路由器和三層交換機相結合的方式匯聚數據流量后，就近接入PE設備。出于安全性考慮，PE與匯聚設備之間如果距離較遠，則選擇SDH傳輸進行互聯，利用SDH完善的保護機制對通道進行保護，距離較近的則利用光纜進行互聯。

2.3 與原有網絡相比具有以下優點

2.3.1 擴展性好

當增加新業務系統時不需要建設新的網絡，只需增加一個VPN即可；不需要針對某個業務系統單獨擴容網絡帶寬，只有當IP數據網平臺總帶寬不足時才考慮進行擴容，網絡擴展性較好。

2.3.2 資源利用高

可以根據各業務系統實際的流量分配帶寬，從而合理地使用網絡資源，網絡資源利用率高。

2.3.3 網絡維護管理方便

原有網絡是多個獨立的網絡，且每張網絡存在多個點對點的連接，網絡結構比較復雜，現在多個業務系統只須由一張IP數據網承載，網絡結構更加清晰，通過網絡側參數的調整，很容易實現用戶節點間各種形式的邏輯拓撲。承載網對用戶來說是透明的，用戶只需做好業務網的建設和維護。有效地減少了網絡維護的工作量，提高維護效益。

2.3.4 網絡可靠性高

當網絡出現故障時，會依據IGP路由算法迂回到其它電路上，這一過程完全依靠IGP的收斂自動完成，對用戶完全透明，保證各業務網能正?？煽康剡\作。

3 結束語

鐵路IP數據承載網建設開通以后，已經在該網絡上運行了各站段的多個可視會議系統，按照規劃，還將逐步將其它一些鐵路專用通信系統承載于其上?？梢钥闯?，MPLS VPN非常適合對帶寬需求大、網絡可靠性要求高的業務。不過MPLS VPN技術要想有更大的發展，目前QoS問題還有待進一步提高，安全問題需加強，另外需要進一步提高標準化程度，解決多廠家設備的互通性問題。相信經過MPLS VPN技術的不斷完善和發展，未來必將和IP網絡達到完美結合，為用戶提供更加滿意的服務和更加豐富的業務。