电力调度数据网跨域VPN组网原理浅析

邓春荣

（国网龙岩供电公司，福建 龙岩 361000）

0 引言

电力调度数据网是电力调度生产服务的专用数据网络，是实现各级调度中心之间及调度中心与厂站之间实时生产数据传输和交互的基础设施，具有实时性强、可靠性高等特点[1-2]。电力调度数据网目前采用基于MPLS（Multiprotocol Label Switching，简称 MPLS）和 BGP（Border Gateway Protocol，简称BGP）协议构建的VPN网络，通过标签和隧道技术，实现业务逻辑隔离、互访控制等功能[3-4]。各级电力调度数据网隶属于不同的自治系统AS（Autonomous System，简称AS），边界路由器是承载跨域VPN路由控制和数据转发的核心设备。掌握跨域VPN的相关技术原理对电力调度数据网运维人员至关重要。

本文在分析传统电力调度数据网跨域VPN组网模式的基础上，提出在边界设备ASBR-PE旁挂路由反射器RR（Route Reflector，简称RR）的优化模式，实现边界设备转控分离，减轻核心路由器的负载压力，提高网络运行可靠性。

1 MPLS VPN技术原理

VPN是在传统物理公共网络中通过虚拟的逻辑专用网络，使用户能够基于该专用网络实现通信。该网络不需要端对端的物理链路，跨越了地域限制且可以根据不同的业务划分不同的VPN实例。MPLS基于转发等价类FEC（Forwarding Equivalence Class，简称FEC）标签形成LSP（Label Switched Path，简称LSP），数据转发时利用报文中携带的标签信息进行索引，查找路由下一跳及出口，实现标签报文沿着LSP向目标地址快速转发[5]。

MPLS VPN可理解为将一台大的物理路由器划分为多个相互独立的虚拟小路由器，同时每个小路由器上各自运行着路由进程，不同的路由进程用于不同的业务，以实现业务之间的隔离。

2 电力调度数据网跨域VPN组网模式

2.1 控制平面

传统的跨域VPN通常有3种解决方案。第一种为 VRF to VRF（Virtual Routing Forwarding，简 称VRF）背靠背模式，即OptionA，此方案要求两个AS的边界设备均能够做PE（Provider Edge，简称PE），把邻接的 ASBR（Autonomous System Boundary Router，简称ASBR）看作是CE（Customer Edge，简称CE）设备。OptionA的优点是容易实现、应用简单；缺点是每个跨域VPN需要与一个子接口绑定，且当跨域VPN较多时，每个ASBR设备上的配置工作量较大，扩展性较差。第二种解决方案为MP-EBGP（Multiprotocol External BGP，简称MP-EBGP），即OptionB，此方案在每个AS内部采用MPLS VPN进行数据传递，不同AS之间通过MP-EBGP传递VPN信息及构建标签隧道。与OptionA不同，OptionB在ASBR之间只需要建立一条逻辑链路，节省了链路资源，扩展性较好，现有电力调度数据网采用OptionB组网方式。第三种解决方案为Multihop-EBGP，即OptionC，此方案直接在子站端和主站端PE间通过Multihop-EBGP传递，PE2和PE1之间建立多跳的MP-EBGP连接。由于该方案需要对常规的BGP做扩展，路由的生成较为复杂，在电力调度数据网中应用较少[6]。综上，本文所讨论的跨域VPN组网模式为OptionB。OptionB组网控制平面原理如图1所示。

图1 OptionB组网控制平面原理图

由图1可见，变电站远动业务IPv4（Internet Protocol version 4，简称IPv4）路由属于接入层网络设备PE1的直连路由，PE1将纯IPv4路由转化为VPNv4路由，分配内层入标签V1，再发送给地调汇聚设备ASBR-PE1。ASBR-PE1收到下一跳为PE1且出标签为V1的VPNv4路由。由于ASBR-PE1和ASBRPE2是通过MP-EBGP传递VPN信息，且ASBR-PE1向ASBR-PE2传递路由过程中，下一跳指向ASBRPE1，因此ASBR-PE1分配一个内层入标签V2发送给ASBR-PE2。同理，ASBR-PE2收到下一跳为ASBR-PE1且出标签为V2的VPNv4路由，重新分配一个内层入标签V3并发送给PE2。最终在PE2上学习到下一跳为ASBR-PE2，且出标签为V3的变电站远动业务VPNv4路由。

由于在每个AS内部均运行动态路由协议及MPLS LDP（Multiprotocol Label Switching Label Distribution Protocol，简称MPLS LDP）协议，在AS内部各个路由器之间的loopback地址可以互相学习，公网隧道标签通过MPLS LDP协议自动分发。以AS100内部去往PE1的公网隧道标签为例，首先PE1为自身的loopback地址分配一个入标签T1（显式空标签为3），P1收到下游路由器PE1发来的标签T1，作为自己的出标签，同时分配一个入标签T2并发送给ASBR-PE1，ASBR-PE1将T2作为去往PE1的出标签，如图1所示。

2.2 转发平面

省级调度主站服务器向变电站远动机发送IP报文给PE2。PE2收到IP报文后，分别封装VPNv4内层标签V3和外层标签T4，发送给P2。P2路由器执行外层标签SWAP动作，将外层标签T4换为T3，发送给ASBR-PE2。由于P2外层标签（显式空标签）次末跳弹出，ASBR-PE2只需要将内层标签V3换为V2发送给ASBR-PE1。ASBR-PE1收到报文后将内层标签V2换为V1，同时封装外层标签T2。P1收到报文后执行外层标签交换，由T2换为T1并次末跳弹出，内层标签保持不变发送给PE1。PE1收到报文后根据内层标签V1查找对应的VPN实例并转化为IPv4报文发送给变电站远动主机。OptionB组网转发平面原理如图2所示。

图2 OptionB组网转发平面原理图

3 优化组网模式

传统OptionB组网方式下，路由控制平面和数据转发平面的流量都必须经过ASBR-PE1和ASBRPE2。当业务VPN路由较多时，ASBR-PE设备负担较重，易影响网络转发可靠性。本文提出电力调度数据网跨域VPN组网时，边界设备ASBR-PE旁挂路由反射器RR，由RR维护VPN路由信息，ASBR-PE设备只负责流量转发，实现边界设备转控分离。优化后的组网模式拓扑图如图3所示。

图3 优化后组网模式拓扑图

每个ASBR-PE设备旁挂一台RR，在每个AS内PE和ASBR-PE设备分别与路由反射器RR建立MPIBGP（Multiprotocol Internal Border Gateway Protocol，简称MP-IBGP）邻居关系。将RR1和RR2配置为反射器，RR1指向PE1和ASBR-PE1，RR2指向ASBRPE2和PE2。同时RR负责接收和控制各厂站PE设备的VPNv4路由，再反射给ASBR-PE1，从而减轻边界设备路由控制平面的资源消耗。

PE1通过RR1把变电站远动业务VPNv4路由反射给ASBR-PE1后，在AS内部通过IBGP（Internal Border Gateway Protocol，简称IBGP）传递路由信息，下一跳保持不变，即ASBR-PE1的下一跳指向PE1。同理，PE2学习该VPNv4路由且下一跳指向ASBRPE2。因此，该优化的组网模式在转发数据时，流量将不经过旁挂路由反射器，数据转发路径如图3中单向箭头所示，即与传统OptionB数据转发路径保持一致。综上，跨域路由的转发由边界设备负责，VPNv4路由控制则由路由反射器负责，从而减轻边界设备负载压力。

4 实验验证

eNSP（Enterprise Network Simulation Platform，简称eNSP）实验拓扑图如图4所示。

图4 eNSP实验拓扑图

4.1 现网设备

以某供电公司地调Ⅰ、Ⅱ平面路由器（ASBR边界设备）为例，如图4中ASBR-PE1和ASBR-PE2设备所示。目前，现场电力调度数据网中地调Ⅰ、Ⅱ平面分别只有一台路由器，无旁挂RR设备。根据实际设备配置，由于采用大量路由策略限制学习的路由条目，每台路由器承载IPv4路由1 500条，VPNv4路由2 500条，设备CPU使用率平均为5%，内存使用率为12%，该路由器的性能基本能满足当前业务量的要求。随着电网不断发展，调度数据网业务量越来越大，该边界设备负载将明显增大，可能会成为数据快速转发和设备运行可靠的瓶颈。

4.2 实验配置

按照图4所示的拓扑，在eNSP中模拟变电站远动业务和省级调度主站的简单网络。其中，PE1、P1、RR1、ASBR-PE1属于AS100，ASBR-PE2、RR2、P2、PE2属于AS200。路由协议方面，PE1、P1、RR1、ASBR-PE1通过OSPF（Open Shortest Path First，简称OSPF）组网，在每个AS内部各设备间实现loopback地址互通；同时，通过MPLS LDP协议，形成AS内部公网隧道标签，PE1和ASBR-PE1分别由RR1建立MP-IBGP，ASBR-PE1和ASBR-PE2之间运行MP-EBGP。PE1和PE2分别绑定vpn-rt实例，模拟变电站远动业务和省级调度主站服务器前置业务。IP地址规划如表1所示，为了简化接口地址和业务地址统一设置为C类掩码24位IP，设备环回地址设置为32位。

表1 IP地址规划表

4.3 实验结果

模拟省级调度主站向变电站远动主机发送ping包，抓包位置如图4所示，抓包过滤ICMP（Internet Control Message Protocol，简称 ICMP）报文且提取MPLS数据包头中label字段分别如表2所示，5个位置均能抓到ICMP数据包，说明数据流量转发时未经过RR，即采用优化后的组网模式其数据转发平面与传统OptionB组网模式一致。同时，边界设备ASBRPE1和ASBR-PE2只存在VPNv4标签交换（本文中入标签和出标签相同均为1027），公网标签在P1和P2转发过程中次末跳弹出，因此在抓包位置2和5中只存在私网标签。综上，采用优化后的组网模式，可实现边界设备转控分离，减轻边界设备的负载，提高转发效率。

表2 抓包结果

5 结语

电力调度数据网采用MPLS VPN技术可逻辑隔离不同区的业务，从而提高网络的安全性。采用旁挂RR的跨域VPN组网方案，可实现边界网络设备转控分离，从而减轻边界路由器的负载，提高网络运行可靠性。SDN（Software Defined Network，简称SDN）也可以实现网络控制平面和转发平面分离。由于各厂商设备的差异性，电力调度数据网SDN部署还需要较长时间，但其是发展趋势。