许 军 中国铁通集团有限公司常州分公司

目前，提供数据业务的技术主要有ATM/FR(帧中继)技术、租用专线技术、以MPLS VPN为主的IP VPN（Virtual Private Network，虚拟专用网络）技术以及包括X.25技术在内的其他技术。据统计，MPLS VPN以每年27%的发展速度增长，而其它技术则发展相对减缓。基于MPLS（Multi Protocol Label Switching，多协议标签交换）的虚拟专用网技术可将现有的IP网分解成逻辑上隔离的网络，为用户提供了质量和安全保证，特别是通过MPLS VPN可以为企业用户提供语音、数据甚至视频业务在内的统一通信平台。MPLS VPN技术的优点已经被越来越多的人认识和采用。

1 MPLSVPN原理介绍

MPLS VPN一般采用图1所示的网络结构。其中VPN是由若干不同的site（VPN用户站点）组成的集合，一个site可以属于不同的VPN，属于同一VPN的site具有IP连通性，不同VPN间可以有控制地实现互访与隔离。

MPLS VPN网络主要由CE、PE和P等3部分组成。

CE(Custom Edge Router，用户网边缘路由器)设备：直接与网络(图1中的MPLS骨干网络)相连，CE可以是路由器或是交换机，也可以是一台主机。它“感知”不到VPN的存在。

PE(Provider Edge Router，骨干网边缘路由器)路由器：是MPLS网络的边缘设备，与用户的CE直接相连，负责VPN业务接入，处理VPN-IPv4路由，是MPLS三层VPN的主要实现者，对VPN的所有处理都发生在PE上。

P路由器（Provider Router，骨干网核心路由器)：是MPLS网络中的骨干路由，负责快速转发数据，不与CE直接相连。它只需具备基本的MPLS转发能力。

整个MPLS VPN体系结构可以分成控制面和数据面，控制面定义了LSP（Label Switched Path，P标签交换路由）的建立和VPN路由信息的分发过程，数据面则定义了VPN数据的转发过程。

MPLS为构建VPN提供了一种简单、灵活、高效的隧道机制，即利用MPLS技术可以在VPN的不同站点之间建立LSP，用来为VPN传送数据分组。

CE与直接相连的PE建立邻接关系后，CE把本节点的VPN路由发布给入口PE，入口PE路由器利用MP-BGP(Multi Protocol Border Gateway Protocol多协议边界网关协议)把它从CE学习到的路由信息发布给出口PE，并获得出口PE学习到的CE路由信息。PE之间通过IGP（(Interior Gateway Protocols，内部网关协议）来保证内部的连通性，通过MP-BGP来传播VPN路由信息，完成VPN路由更新。

当属于某一VPN的CE用户数据进入网络时，在CE与PE连接的接口上可以识别出该CE属于哪一个VPN，同时被打上内外两层标签：外层标签指示从PE到对端PE的一条LSP，VPN报文利用这层标签，可以沿LSP逐级转发。在出口PE之前的最后一个P路由器上，外层标签被弹出，P路由器将只含有内层标签的分组转发给出口PE路由器，出口PE路由器根据内层标签查找对应的输出接口，在弹出VPN标签后通过该接口将VPN分组发送给正确的CE路由器，从而实现了整个数据转发过程。

2 MPLS VPN在铁路信息化中的应用

铁通为铁路建设MPLS VPN数据承载网之前，铁路运输生产的各项数据业务，如TMIS、CTC/TDCS、客票联网、办公局域网等都是各自独立建设的数据网络，网络带宽很低（基本为2M或n×2M等的连接），设备等级也较低。随着铁路信息化的发展，监控、可视电话会议等新网络应用需求不断出现，网络的覆盖范围不断扩大，各接入节点对带宽的需求也不断增加，多网并存的弊端越来越显现出来：

（1）同一接入点有多种接入业务，每种业务必须利用电路分别组网，每张网自成体系，网络维护的工作量较大。

（2）网络带宽需求日益增长，而现有各张网带宽利用率存在不平衡性，不同应用间占用的网络资源无法实现共享。

（3）每增加一种业务时需要对网络结构、路由进行一次规划，业务的扩展性差。

为了改变现状，适应铁路信息化发展的长期需求，中国铁通采用MPLS VPN技术规划建设铁路IP数据网，用来承载现有的多种数据业务。为了保证铁路专网信息的安全，该网络单独组网建设，与公众互联网在物理上严格隔离。铁路IP数据网充分利用互联网技术接口标准、开放、简单、便于扩容、接入成本低廉等特点为铁路信息化建设提供服务，为站段到各中间站、车间、班组的办公联网、视频会议、远程监视、监测等不同业务系统提供统一的承载平台。

由于铁路管理的特殊性，铁路的业务大部分是在铁路局管辖内开展的，特别是视频、监控等带宽比较大的业务。同时全国各路局所处地区经济发展存在不平衡性，因此，铁路IP数据网采取分步建设的方式，根据预先做好全国各铁路局的地址规划和路由规划，铁路局分别进行本区域内网络的规划和建设。最终在各铁路局IP数据网的基础上可以将核心节点进行互联，形成全国的铁路IP数据网。

下面介绍某铁路局IP数据网的建设情况。

2.1 组网方案

图2 组网方案图

铁路局IP数据网分为核心层、汇聚层、接入层三层结构（见图2）。核心层节点为路局节点，汇接本路局业务；汇聚层节点为本路局内各办事处所在节点，负责本地区业务的汇聚和转发；接入层节点覆盖本路局内各个站点。

核心层和汇聚层每个节点由两台P路由器构成，接入层PE设备双上联至本区域汇聚路由器。由于铁路专网的传输环网是沿铁路光缆进行建设的，受传输资源的限制，有一些PE无法实现对P路由器的星型双归保护，因此这些接入节点采用串形连接，实现路由上的保护。根据每个节点的预测流量选择传输带宽，数据流量大的节点间考虑以GE链路为主，其余节点以POS155M互连。由于PE设备间不是采用全连接结构，因此在路局所在数据中心设置一台IP路由反射器和一台VPN路由反射器，互为备用。

路局IP数据网内所有的P、PE设备都放在一个域内，采用独立的自治域，自治域内部路由采用IGP与BGP分离方式。由于IS-IS网络收敛速度快、网络稳定性好、协议扩展性好、适合大型网络等特点，采用IS-IS路由协议作为IP数据网的IGP，用于LDP标签的分发和建立LSP。所有的PE上启用MP-BGP用来分发用户的IP和VPN的路由。

在VPN规划方面，针对不同的数据业务系统划分了不同的VPN，各VPN利用同一个物理承载网，逻辑上完全独立分开。

2.2 用户接入方案

根据铁路数据业务点多线长的特点，对于具体用户的接入可以综合为以下二种情况：

(1)分散的单个业务信息点的接入：可根据业务特点及接入条件，采用传输、同轴电缆、XDSL、WLAN等方式接入就近PE或汇聚CE设备。

(2)相对集中的业务信息点的接入：可以采用二层交换机、路由器和三层交换机相结合的方式汇聚数据流量后，就近接入PE设备。出于安全性考虑，PE与汇聚设备之间如果距离较远，则选择SDH传输进行互联，利用SDH完善的保护机制对通道进行保护，距离较近的则利用光缆进行互联。

2.3 与原有网络相比具有以下优点

2.3.1 扩展性好

当增加新业务系统时不需要建设新的网络，只需增加一个VPN即可；不需要针对某个业务系统单独扩容网络带宽，只有当IP数据网平台总带宽不足时才考虑进行扩容，网络扩展性较好。

2.3.2 资源利用高

可以根据各业务系统实际的流量分配带宽，从而合理地使用网络资源，网络资源利用率高。

2.3.3 网络维护管理方便

原有网络是多个独立的网络，且每张网络存在多个点对点的连接，网络结构比较复杂，现在多个业务系统只须由一张IP数据网承载，网络结构更加清晰，通过网络侧参数的调整，很容易实现用户节点间各种形式的逻辑拓扑。承载网对用户来说是透明的，用户只需做好业务网的建设和维护。有效地减少了网络维护的工作量，提高维护效益。

2.3.4 网络可靠性高

当网络出现故障时，会依据IGP路由算法迂回到其它电路上，这一过程完全依靠IGP的收敛自动完成，对用户完全透明，保证各业务网能正常可靠地运作。

3 结束语

铁路IP数据承载网建设开通以后，已经在该网络上运行了各站段的多个可视会议系统，按照规划，还将逐步将其它一些铁路专用通信系统承载于其上。可以看出，MPLS VPN非常适合对带宽需求大、网络可靠性要求高的业务。不过MPLS VPN技术要想有更大的发展，目前QoS问题还有待进一步提高，安全问题需加强，另外需要进一步提高标准化程度，解决多厂家设备的互通性问题。相信经过MPLS VPN技术的不断完善和发展，未来必将和IP网络达到完美结合，为用户提供更加满意的服务和更加丰富的业务。