黎成 喻文翰

摘  要：MPLS VPN作为一种成熟的IP承载网技术，具备良好的特性，在运营商网络中广泛应用。文章介绍其基本原理，分析其技术优点。因MPLS VPN自身所具备的特性能与城市轨道交通线网业务对网络的需求契合，将该技术引入到轨道交通环境中，使其与传统城市轨道网络相融合。文章中对MPLS VPN在轨道交通线网中的具体应用做了初步研究，其目的是构建可靠、安全的轨道交通承载网络，满足轨道交通信息化对网络的需求，助力城市轨道交通发展。

关键词：MPLS VPN;承载网;PE

中图分类号：TN915.02     文献标识码：A 文章编号：2096-4706（2020）13-0047-04

Abstract：As a mature IP bearer network technology，MPLS VPN has good characteristics and is widely used in ISP networks. The article introduces its basic principles and analyzes its technical advantages. Due to the unique features of MPLS VPN and the requirements of urban rail transit network services for the network，the author introduced it into the rail transit environment to integrate it with the traditional urban rail network. The paper makes a preliminary study on the specific application of MPLS VPN in the rail transit network. Its purpose is to build a reliable and safe rail transit bearer network，meet the needs of rail transit informatization on the network，and help the development of urban rail transit.

Keywords：MPLS VPN;bearer network;PE

0  引  言

随着全国各地城市轨道交通加速成网，各轨道交通运营公司都在构建线网指挥应急中心（COCC）。为满足COCC业务系统的运行，线网承载网应运而生，承载网承载线网ISCS、PSCADA、ATS、ACS、CCTV等综合业务。目前各业务系统保持网络互通，未能较好隔离，存在网络资源利用率较低，网络扩展性较差等缺点。为了更好地服务于COCC各业务系统、在网络安全等级保护2.0大环境下，有必要建设基于MPLS VPN的轨道交通线网承载网，有效地将各业务融合于同一网络，满足不同业务对安全性的要求，以实现各业务数据快速安全地交换。

1  MPLS VPN的基本原理

MPLS VPN是一种基于MPLS实现VPN业务的技术，MPLS VPN利用MPLS技术创建隧道，根据是否使用BGP的community扩展属性分为二层VPN和三层VPN，通常所说的MPLS VPN技术使用的是BGP三层VPN业务。MPLS VPN通过在隧道中转发带有两层嵌套标签的数据分组，以实现私网数据在MPLS网络上传输。两层嵌套标签由内层标签和外层标签构成，其中内层标签即VPN标签，用来识别私网用户信息，外层标签即MPLS标签，用来在MPLS网中转发私网用户数据报文[1]，通过两层标签构建具有复用物理通道、业务数据相对安全隔离、扩展性较高的传输网络。

MPLS VPN网络存在如下三种类型的网络设备：用户边缘设备（Customer Edge，CE），直接和PE相连;骨干网边缘设备（Provider Edge，PE），负责VPN数据处理和转发，同时和其他PE设备交换VPN路由信息;网络中的骨干设备（Provider，P），不与CE直接相连，P设备只需要具备基本MPLS转发能力，不进行VPN信息维护。在非运营商网络中因网络规模不同可能不存在P，同一设备也可能既是P，又是PE，甚至是CE，典型构成如图1所示。图中，实线代表物理连接，虚线表示数据传递方向。

在控制层面，通过维持PE间的IBPG网络连接，确保PE与PE之间正常通过MP-IBGP协议交互VPN路由信息。PE节点使能LDP协议，通过LDP在MPLS骨干网中形成标签分发路径。

数据转发层面，各业务系统通过CE接入网络。当PE设备收到来自CE发送的业务数据后，PE根据业务数据所属VPN查找与之匹配的虚拟路由转发（Virtual Routing Forwarding，VRF）表，从VRF表中获取内外层标签及转发路径。当VPN分组携带两层标签之后，就在MPLS骨干网中沿着LSP路径被逐级转发。分组外层MPLS标签在到达目的PE之前的最后一个P设备上被剥离，P设备将只含有VPN标签的分组转发给目的PE设备。目的PE根据内层VPN查找PE连接对应CE的端口，PE剥离VPN标签后将分组发送给CE，CE根据本地路由转发分组，从而实现了整个分组转发过程。

2  MPLS VPN的優点

MPLS VPN极大地提高了传统网络管理的灵活性和扩展性，同时满足信息传输安全性、实时性等[2]。在IP网络中的MPLS VPN具有如下优点：

（1）提高网络资源利用率。网络中使用标签交换数据，原则上对于没有互访的不同VPN实例之间可以使用重复的IP，进而提高IP资源的利用率。

（2）提高网络的灵活性。网络中可根据不同的VPN实例，部署不同的访问控制策略，相较于ACL具备集中快速部署的优势，有利于实现增值业务。

（3）提高网络的扩展性。RD中可携带3字节标签，网络中可以容纳的VPN数量很大，后期可根据业务需求新增VPN实例。

（4）提高网络安全性。各VPN实例具备不同的属性使各实例数据转发通道安全隔离，同时可隐藏底层网络拓扑。

3  MPLS VPN在线网承载网中的应用

3.1  物理结构设计

以我公司在成都地铁COCC一期项目中的网络建设为例加以阐述，成都地铁COCC由1个线网控制中心：崔家店COCC，2个区域控制中心：世纪城OCC，新苗OCC组成。整个线网网络总体上按两层架构设计，骨干传输层和设备接入层。骨干传输层和设备接入层构成星型拓扑结构，具体如图2所示。

接入层主要用于各业务系统的接入，为保证链路冗余，崔家店COCC，世纪城OCC和新苗OCC接入层交换机采用链路捆绑技术实现双归属方式接入各核心交换机，接入层交换机只需根据接入层设备的不同业务作VLAN划分，普通网管交换机即可满足该功能需求。核心层承担承载网工作，MPLS VPN工作在该层进行。核心层物理链路上依然采用环网结构运行环网协议，即崔家店COCC线网核心交换机，世纪城OCC核心交换机和新苗OCC核心交换机构建环网运行，以满足地铁设计规范中“环网自愈能力小于50 ms”的要求，环网管理节点设置于崔家店COCC线网核心交换机。为实现核心设备负载均衡及简化网络管理，骨干传输层各节点交换机可选用具备网络功能虚拟化的交换机，虚拟成一台逻辑交换机。

3.2  逻辑结构设计

基于安全和实际运营需求，线网承载网采用MPLS VPN配置Hub & spoke的方式组网，如图3所示，其中Hub-PE是崔家店COCC中心控制设备，中心控制设备负责业务互访的监控和过滤，各业务数据的互访都需通过中心控制设备。崔家店COCC线网核心交换机为Hub-PE，世纪城OCC区域控制中心交换机和新苗OCC区域控制中心交换机为Spoke-PE。Hub-PE分别与Spoke-PE建立邻居关系，Spoke-PE与Spoke-PE之间不建立邻居关系，构建LSP通道，以实现VPN数据传输。VPN_GX表示主平台VPN实例能与其他VPN实例互通;VPN_LSP表示VPN标记交换路径，为VPN实例的分组转发路径;LSP表示标记交换路径，为MPLS分组转发的外部路径。

核心层（MPLS骨干网）是MPLS的主干区域，路由协议使用IGP与BGP相结合的方式，其中IGP使用OSPF协议，主要作用就是通过OSPF的网络发布，以实现崔家店COCC、世纪城OCC和新苗OCC的PE之间邻居可达。核心层设备规模比较小，因此OSPF可以只划分一个区域“AREA 0”，这样网络配置及管理相对比较简单。为方便管理全网网络交换机，需对全网交换机单独分配管理地址，通过OPSF协议发布该地址，同时为保证接入层（CE部分）管理地址可达，还需接入层交换机上配置指向所连PE的默认路由。BGP协议使用IBGP协议，利用IBGP完成VPN私网路由分发，由于是内部网络环境，可以将各PE的AS（自治系统）设计成一致，使之处于同一自治系统。

3.3  VPN实例设计

根据实际业务需求在各PE上创建VPN_GX、VPN_ISCS、VPN_ATS、VPN_CCTV、VPN_PSCADA、VPN_ACS实例，根据VPN实例分配，会在各PE上自动构建相互独立的6个VRF，分别是：主平台VPN路由转发表、综合监控VPN路由转发表、信号VPN路由转发表、视频监控VPN路由转发表、电力监控VPN路由转发表、门禁VPN路由转发表。通过对各个PE上VRF属性的配置，可控制崔家店COCC线网中心与世纪城OCC、新苗OCC区域控制中心之间的路由发布。VRF属性主要由RT Export、RT Import、RD构成，其中RD和VRF存在一一对应关系，RT Export、RT Import实现VPN路由的收发和过滤，各VPN实例属性分配如表1所示。主平台VPN实例的RT Import属性包含其他所有VPN实例的RT Export属性，其他所有VPN实例的RT Import属性与主平台VPN实例的RT Export属性存在交集，实现了崔家店COCC主平台与各业务系统的互访;其他VPN实例中任意一个VPN实例的RT Export属性与剩下VPN实例的RT Import属性不存在交集，因而其他业务系统之间可以做到相互隔离。

4  结  论

本文总体上介绍了MPLS VPN的基本原理，并对MPLS VPN构建轨道交通线网承载网做了粗略的分析，该研究为构建城市轨道交通线网承载网提供了新的思路，助力城市轨道交通信息化发展。

参考文献：

[1] 刘丽娟.MPLS VPN技术及其在校园网建设中的研究 [J].电脑知识与技术，2010，6（4）：831-832.

[2] 韩海雯，張潇元.基于BGP协议的MPLSVPN构建机制分析 [J].计算机工程与设计，2008（5）：1104-1107.

作者简介：黎成（1989—），男，汉族，四川巴中人，工程师，本科，主要研究方向：新一代网络技术研究;喻文翰（1994—），男，汉族，四川成都人，本科，主要研究方向：数据通信网络规划与设计。