宁夏电力公司MPLS VPN的应用与改进的研究

摘 要:根据国家电网公司对电力企业双网隔离的要求，宁夏电力公司在全区部署了MPLS VPN，从而实现了INTERNET业务与办公业务的隔离，为SG-ERP等业务业务的安全高效开展打下坚实基础。并以此为基础构建了宁夏电力公司从网络设备层、系统层到应用层的系统安全和科学的安全管理体系。本文主要阐述原IP网络的改造以及MPLS VPN的具体部署应用以及安全问题的研究等方面的内容。

关键词:MPLS VPN 网络平台 业务隔离 安全策略

1 引言

电力IP广域网作为宁夏电力公司各个运维、管理业务的承载网络，所有地区城域信息网上的业务基本以IP协议作为承载，因此地区广域网的建设将以IP技术为核心，具体涉及到了VLAN、网络服务质量（QoS）、网络路由收敛及自愈等的多项技术，来综合保障各个地市IP广域网络的高效、稳定、可靠的运行。再此基础上对各地局的原设备进行调整和部署MPLS VPN，全面实现宁夏电力公司的双网隔离规划。

2 网络设计及透传节点的改进

在宁夏电力公司信息网中，有多种业务及应用，考虑到要使这些业务进行隔离保障安全，采用了VLAN/VPN技术。VPN技术包括普通的L2TP、GRE、IPSec，以及MPLS VPN等，从VPN技术的发展、VPN性能的支持、QOS能力等方面考虑，采用VLAN/MPLS VPN，这不仅能为当前的服务提供很好的安全隔离和QOS保障，而且符合技术发展的趋势。

（1）网络拓扑

作为一个大型的IP网络，合理划分网络层次结构是大型网络稳定、高效运行的保证。为减少网络各部分的相关性，便于网络的实施及管理。目前宁夏电力的网络结构依据通讯光网络构建，为网状架构，没有合理划分层次，以后应逐步升级改造。目前整个信息广域网大部分设备都支持MPLS VPN，但也有部分设备不支持。本文对部分原有不支持MPLS VPN的设备的透传技术进行升级研究。

（2）不支持MPLS的原有交换机在MPLS网络中的部署方案

图1中B点和F点为现有不支持MPLS的三层交换机，其余三层交换机均作为支持MPLS的P/PE设备。

（2.1）不支持MPLS的B点和F点MPLS部署技术原理

MPLS技术在OSI网络参考模型中，介于二层与三层之间，通常称为2.5层。在MPLS报文转发中，不需要处理三层的报文报头，只处理MPLS报头；反之，VPN业务数据流若需要三层路由转发，则必须把2.5层的MPLS报头解封装，显然组网中的B点和F点不具备这个功能－不支持MPLS。如果B点和F点针对VPN只运行二层VLAN协议的话，那么数据流转发只涉及到二层以太网帧头，不会去处理上层MPLS协议报头。

（2.2）MPLS VPN私网路由与公网路由关系

要构建一张MPLS VPN网络，它所依赖的基础就是IGP内部网关路由，即常规的路由，如：静态路由、OSPF等IGP路由。BGP边界网关路由协议通过引入IGP路由建立iBGP对等体邻居，并生成BGP路由。MPLS VPN私网路由信息是通过BGP路由扩展团体属性NLRI来携带的，NLRI增加了地址族的描述，以及私网label和RD，也就是说MPLS VPN是构建在BGP之上的。但是这时的BGP非常规使用的BGP，而是经过适应MPLS VPN网络改造的BGP，即MP-BGP。

（2.3）不支持MPLS的B点和F点MPLS原部署方式

B点和F点针对MPLS做二层VLAN透传，组网图图2：

B点和F点针对MPLS划分一个VLAN，并透传给两端的P/PE交换机，A和D、E和G通过此VLAN建立标签交换路径LSP和MPLS转发路径。B点和F点针对其上的办公用户单独划分一个VLAN，透传给直连的PE交换机，那么VPN用户的网关只能放在PE设备上，而不能放在本地。

目前这种运行方式优点是实现简单，B点和F点改动较小，只需要针对VPN用户和MPSL转发路径划分一个单独VLAN。但对于整个网络部署多个VPN业务，以及以后网络架构的调整（如调整自治系统等）带来不确定因素，难于升级。

（2.4）不支持MPLS的B点和F点的改进构想

F点做MPLS跨域VRF-to-VRF组网，组网图图3：

根据F点位置将整个网络分成两个自治区域，ABCDE点均属于自治域AS 100，GH点均属于自治域AS 200，F点针对VPN办公业务VPN透传VLAN。E和F点根据办公业务VPN创建相应VRF。

VRF-to-VRF方式就是相互把对方自治域的PE看成自己的CE。这种解决方案在跨域MPSL技术中是最简单的，没有在“AS内部的MPLS-VPN”上作任何扩展，完全应用已有技术实现。ASBR对等体间，通过划分子接口方式，每个子接口分别绑定一个VRF，保证域间传播路由的私有性。ASBR对等体间，只运行普通BGP，不运行LDP，交互IPV4路由。每个PE-ASBR路由器都把对方PE-ASBR路由器当做CE路由器看待。

考虑到现网中，使用了BGP/MPLS VPN技术对Internet业务进行隔离。为了使iBGP形成全连接，以传播VPNv4私网路由。但由于目前宁夏电力公司广域网是个扁平的网络结构，网络节点数目过多，可以将整网的自治系统划分为两个，上述的技术也可以得到应用。

3 结语

从国内各大行业和单位的VPN部署的情况来看，利用BGP/MPLS VPN技术实现网络安全性的最大化，还是一个趋势。而这是种基于节点和硬件的VPN，由于种种客观原因导致的不能做到全网设备支持MPLS。而且一个健壮的网络，随着节点的增加与拓扑的变化，将会给网络维护、业务传输、路由收敛等工作带来很大的困难。针对上述问题，本文介绍的重新构建自治系统的技术，将对电力企业信息网络的安全运行以及VPN业务应用起到推动作用。

参考文献

[1] 陈雪非,黄河,李蓬. MPLS VPN关键技术研究.计算机工程与设计，2007年13期.

[2] EI Mghazli.L3VPN Operations and Management Framework [S].RFC4176,2005.

[3] 韩波，沈富可.BGP/MPLS VPN在NS-2中的实现.计算机应用，2006；(26)4：980～982.