王聃 郭軍 （天津泰達有線電視網(wǎng)絡(luò)有限公司 天津300456）

MPLS VPN技術(shù)在泰達有線電視IP骨干網(wǎng)中的實現(xiàn)與應(yīng)用

王聃 郭軍 （天津泰達有線電視網(wǎng)絡(luò)有限公司 天津300456）

由于互聯(lián)網(wǎng)技術(shù)的發(fā)展和客戶對于網(wǎng)絡(luò)使用的高要求，VPN（虛擬專用網(wǎng)絡(luò)）技術(shù)憑借其高安全性的優(yōu)勢得到了越來越多的應(yīng)用。簡要概述了MPLS VPN技術(shù)的基本原理，并介紹了MPLS VPN技術(shù)在天津泰達有線電視IP骨干網(wǎng)中的應(yīng)用，展望了MPLS VPN技術(shù)未來發(fā)展趨勢。

VPN MPLSIP骨干網(wǎng) 三網(wǎng)融合

0 引言

隨著互聯(lián)網(wǎng)技術(shù)的迅猛發(fā)展，企業(yè)信息化建設(shè)的加快，運營商IP骨干網(wǎng)絡(luò)承載業(yè)務(wù)的種類和接入方式更趨于多樣化，各業(yè)務(wù)之間互通的靈活性和安全性尤為重要。由此對于自身網(wǎng)絡(luò)的靈活性、可擴展性、高效性及安全性等方面的建設(shè)也提出了更高的要求。

在這種形勢下，VPN（虛擬專用網(wǎng)絡(luò)）技術(shù)憑借其高安全性的優(yōu)勢得到了越來越多的應(yīng)用。傳統(tǒng)的VPN方式主要采用基于專線的組網(wǎng)方式，運營商采用靜態(tài)的虛電路（Frame Relay、DDN等）為用戶和企業(yè)在公網(wǎng)中建立一條安全穩(wěn)定的隧道，幫助公司分支機構(gòu)、遠程用戶以及商業(yè)伙伴與公司內(nèi)網(wǎng)建立可靠的安全連接。這種方式的優(yōu)點是安全且便于管理，運營商也不用考慮不同用戶采用哪些路由協(xié)議互通和應(yīng)用；但是缺點也很明顯，成本很高，線路資源浪費嚴(yán)重，最重要的是網(wǎng)絡(luò)的擴展性很低。

MPLS（Multi-Protocol Label Switching，多協(xié)議標(biāo)簽交換）技術(shù)是一種將具有相同轉(zhuǎn)發(fā)處理方式的分組歸為一類的分類轉(zhuǎn)發(fā)技術(shù)。MPLS技術(shù)結(jié)合了IP技術(shù)的靈活性和ATM技術(shù)的安全性，非常適合組建VPN。在這種背景下，基于MPLS的VPN開始替代傳統(tǒng)意義上的VPN技術(shù)。MPLS VPN具有擴展性強、安全性高、提供無連接服務(wù)、地址空間靈活等特點，是目前發(fā)展最為迅速的一種VPN技術(shù)。因此，天津泰達有線電視網(wǎng)絡(luò)有限公司在IP骨干網(wǎng)建設(shè)中，以MPLS VPN的方式為天津經(jīng)濟技術(shù)開發(fā)區(qū)內(nèi)的各種企業(yè)提供專網(wǎng)服務(wù)。

1 MPLS VPN技術(shù)原理

MPLS VPN的實現(xiàn)利用了MPLS標(biāo)簽嵌套的特性，為每一個IP分組中封裝兩層標(biāo)簽，外部公網(wǎng)標(biāo)簽用于IP分組在LSP上轉(zhuǎn)發(fā)，內(nèi)部私有標(biāo)簽用于區(qū)分IP分組屬于哪個VPN。如圖1所示：

在MPLS VPN中有3種類型的路由器：

①CE（Custom Edge）路由器：是一臺用戶的接入設(shè)備，為用戶提供到PE路由器的鏈接，不運行MPLS協(xié)議。

②PE（Provider Edge Router）路由器：骨干網(wǎng)邊緣路由器，PE路由器負(fù)責(zé)流量分類和標(biāo)簽的映射、移除功能。

③P（Provider Router）路由器：骨干網(wǎng)核心路由器，P路由器根據(jù)IP分組中的外部公網(wǎng)標(biāo)簽對VPN數(shù)據(jù)進行透明轉(zhuǎn)發(fā)。

PE路由器和CE路由器可以通過動態(tài)或靜態(tài)路由器協(xié)議交換路由信息，PE路由器維護公網(wǎng)路由表和多個VPN私網(wǎng)路由表，對每一個VPN路由加上RD和RT屬性。RD用來區(qū)分不同PE路由器發(fā)送過來的不同VRF的相同路由，RT用來實現(xiàn)不同VRF之間的路由互通。

與傳統(tǒng)的VPN不同，MPLS-VPN采用了路由隔離和地址隔離的方法來防止攻擊和標(biāo)記欺騙，提供了與ATM/FR VPN相類似的安全保證。MPLSVPN不是依靠傳統(tǒng)的封裝和加密技術(shù)來創(chuàng)建VPN，而是依靠轉(zhuǎn)發(fā)表和分組的標(biāo)簽。PE路由器所使用的每一個分組都會和一個RD相連。這樣，非法用戶就無法侵入VPN中，只有當(dāng)用戶在獲取到正確的RD后才能進入一個Intranet或Extranet，從而為用戶提供與幀中繼或ATM相同的安全等級。

2 天津泰達有線電視IP骨干網(wǎng)現(xiàn)狀

2.1 系統(tǒng)現(xiàn)狀

經(jīng)過3年左右的建設(shè)，泰達有線電視網(wǎng)絡(luò)已逐步完善，涵蓋了整個開發(fā)區(qū)，并實現(xiàn)了開發(fā)區(qū)和開發(fā)區(qū)西區(qū)、中新生態(tài)城的互聯(lián)，在整個開發(fā)區(qū)形成了一個主干1 000 M帶寬的傳輸網(wǎng)絡(luò)體系。整個骨干網(wǎng)已實現(xiàn) WWW、DNS、WEBMAIL、FTP、VOD點播系統(tǒng)、BOSS計費系統(tǒng)、辦公自動化系統(tǒng)（OA）、用戶上網(wǎng)和企業(yè)VPN接入等網(wǎng)絡(luò)服務(wù)。如圖2所示：

泰達有線電視數(shù)字網(wǎng)已完成建立在數(shù)字電視及寬帶業(yè)務(wù)平臺之上的交互數(shù)字電視平臺，可以提供VOD、IP電話、銀聯(lián)在線繳費、信息瀏覽、游戲、電視購物、股票等業(yè)務(wù)。同時，泰達有線電視將雙向機頂盒作為接入資源，把互聯(lián)網(wǎng)接入業(yè)務(wù)引入用戶家庭，從而為數(shù)據(jù)業(yè)務(wù)和電視業(yè)務(wù)的組合營銷創(chuàng)造更大的發(fā)展空間。泰達有線電視“三網(wǎng)融合”的整體轉(zhuǎn)換為全國有線電視行業(yè)向更高層次發(fā)展提供了契機，為全國有線電視網(wǎng)絡(luò)的發(fā)展找到了方向，也讓廣電人看到了廣電網(wǎng)絡(luò)在“三網(wǎng)融合”中的發(fā)展前景。

2.2 IP骨干網(wǎng)構(gòu)成

根據(jù)開發(fā)區(qū)用戶區(qū)域特征，泰達有線電視網(wǎng)絡(luò)有限公司將整個開發(fā)區(qū)分為5個主要節(jié)點：A節(jié)點為主節(jié)點，負(fù)責(zé)Internet接入、VOD系統(tǒng)接入、計費系統(tǒng)接入以及部分個人用戶的接入；B和C兩個節(jié)點主要承載個人用戶，其中大部分為寬帶接入和視頻點播的業(yè)務(wù)；D和E兩個節(jié)點主要承載企業(yè)用戶，基本以數(shù)據(jù)傳輸為主。

各個節(jié)點之間都是使用兩條千兆光纖組成的channel相連，形成一個環(huán)網(wǎng)。由于A、B、C 3個節(jié)點是使用VOD的主要節(jié)點，流量較大，所以A節(jié)點分別與B、C節(jié)點之間有一條萬兆的鏈路相連，提供高效的數(shù)據(jù)轉(zhuǎn)發(fā)。

網(wǎng)絡(luò)拓?fù)淙鐖D3所示。

目前泰達有線電視網(wǎng)絡(luò)有限公司骨干光纖網(wǎng)共配置1個核心前端4個分前端，整網(wǎng)采用OSPF（開發(fā)式最短路徑優(yōu)先）協(xié)議互通，并利用BGP（邊界網(wǎng)關(guān)協(xié)議）在整個核心骨干網(wǎng)傳遞VPN的“私網(wǎng)”路由信息，使用MPLS來轉(zhuǎn)發(fā)VPN業(yè)務(wù)流。

3 MPLSVPN技術(shù)在IP骨干網(wǎng)中的應(yīng)用

泰達有線電視IP骨干網(wǎng)利用MPLS技術(shù)，無縫的繼承了IP技術(shù)的靈活性和二層交換的簡潔性，使得面向無連接的IP網(wǎng)絡(luò)具備了面向連接的屬性，使得全網(wǎng)的數(shù)據(jù)、語音和視頻等應(yīng)用的傳輸全部都在同一個骨干網(wǎng)平臺上通信，實現(xiàn)“三網(wǎng)融合”。

目前，泰達有線電視IP骨干網(wǎng)已經(jīng)承載了許多企業(yè)的VPN業(yè)務(wù)，MPLS VPN技術(shù)給不同業(yè)務(wù)建立了不同的隧道，隔離不同業(yè)務(wù)，提供可靠的虛連接。MPLS-VPN安全性高、成本低、擴展性強、控制策略靈活的特點，使其深受各大企業(yè)推崇。目前泰達有線電視網(wǎng)絡(luò)主要承載了開發(fā)區(qū)社保、開發(fā)區(qū)環(huán)保視頻監(jiān)控和開發(fā)區(qū)技安網(wǎng)視頻監(jiān)控系統(tǒng)等的VPN業(yè)務(wù)。

3.1 社保業(yè)務(wù)承載

天津市社保在開發(fā)區(qū)建立社保分部，同時在中新生態(tài)城管委會大樓內(nèi)設(shè)置一個辦理相關(guān)業(yè)務(wù)的窗口營業(yè)廳，這就需要在天津市社保和開發(fā)區(qū)社保、開發(fā)區(qū)社保和中新生態(tài)城社保營業(yè)廳建立可靠連接。根據(jù)實際情況，目前泰達有線電視網(wǎng)到社保已有鋪設(shè)完好的光線資源，為節(jié)省光線資源，決定接入MPLS-VPN網(wǎng)絡(luò)。

天津市社保通過天津市廣電網(wǎng)絡(luò)設(shè)備作為PE路由器接入泰達有線電視MPLS-VPN網(wǎng)絡(luò)，與泰達有線電視網(wǎng)絡(luò)中的PE路由器進行互聯(lián)，而開發(fā)區(qū)社保通過自己配置的一臺網(wǎng)絡(luò)設(shè)備作為CE路由器接入泰達有線電視骨干網(wǎng)中的PE路由器，互聯(lián)進入泰達有線MPLS-VPN網(wǎng)絡(luò)中。在這項業(yè)務(wù)中，骨干網(wǎng)與天津市廣電MPLS網(wǎng)互聯(lián)是采用兩個MPLS-VPN區(qū)域之間的互聯(lián)，而與開發(fā)區(qū)社?；ヂ?lián)只是簡單的PE-CE互聯(lián)。中新生態(tài)城社保營業(yè)窗口屬于開發(fā)區(qū)社保的下屬機構(gòu)，只需要和開發(fā)區(qū)社保進行數(shù)據(jù)業(yè)務(wù)的連通，不需要和天津市社保有業(yè)務(wù)上的交換。所以我們在中新生態(tài)城社保營業(yè)窗口與開發(fā)區(qū)社保之間采用2層VPN技術(shù)通過A節(jié)點與B節(jié)點接入泰達有線電視MPLS VPN網(wǎng)絡(luò)中。

具體拓?fù)鋱D如圖4所示：

3.2 應(yīng)急網(wǎng)業(yè)務(wù)承載

拓?fù)鋱D如圖5所示：

根據(jù)應(yīng)急信息平臺項目建設(shè)規(guī)劃，開發(fā)區(qū)公安部門通過區(qū)內(nèi)現(xiàn)有的廣電網(wǎng)絡(luò)建設(shè)統(tǒng)一的視頻監(jiān)控系統(tǒng)，觀察全區(qū)監(jiān)控場所狀況，對各有關(guān)單位需要進行圖像監(jiān)控的場所及目標(biāo)，采用統(tǒng)一部署、統(tǒng)一網(wǎng)絡(luò)、分期建設(shè)、分散控制的方式，實現(xiàn)各有關(guān)單位的監(jiān)控要求，與應(yīng)急一起實現(xiàn)網(wǎng)絡(luò)連接，并和市局實現(xiàn)通訊對接。

根據(jù)開發(fā)區(qū)公安部門的需求以及目前泰達有線電視IP骨干網(wǎng)現(xiàn)狀，我們以MPLS VPN方式將開發(fā)區(qū)各處機房網(wǎng)卡口前端通過骨干網(wǎng)各個分前端接入骨干網(wǎng)，最后匯聚到A節(jié)點與天津市技防網(wǎng)互連。

4 小結(jié)

在向以IPv6為核心技術(shù)的第二代互聯(lián)網(wǎng)的過渡和發(fā)展中，MPLS VPN憑借其靈活的擴展性，將成為IPv4網(wǎng)絡(luò)向IPv6網(wǎng)絡(luò)過渡的重要技術(shù)手段。在這個過渡時期中，泰達有線電視IP骨干網(wǎng)將MPLS VPN技術(shù)作為自身業(yè)務(wù)擴展、節(jié)約資源和保持競爭力的重要手段，同時利用IPv6安全性和Qos的特性更好地加強和改善現(xiàn)有MPLS VPN網(wǎng)絡(luò)。由于MPLS VPN技術(shù)還在不斷發(fā)展和進步，筆者認(rèn)為，MPLS VPN技術(shù)要和IP網(wǎng)絡(luò)完美結(jié)合，還要在未來解決很多問題，如提高MPLS VPN標(biāo)準(zhǔn)化，加強與Qos相結(jié)合的安全性，支持多廠商互通性等。相信經(jīng)過MPLS VPN技術(shù)的不斷完善，必將在未來為用戶提供更安全穩(wěn)定的服務(wù)，為運營商帶來更加豐富的業(yè)務(wù)，并在全國“三網(wǎng)融合”項目中做出突出的貢獻。■

[1]朱斌，徐林.M PLS技術(shù)在V PN中的研究與應(yīng)用[J].計算機與數(shù)字工程，2005，33（4）：83-85.

2011-05-04