陳 征
(中通服咨詢設(shè)計(jì)研究院有限公司,江蘇 南京 210000)
VPN技術(shù),即虛擬專用網(wǎng),是為了解決IP地址短缺和安全問題而產(chǎn)生的一種隧道技術(shù)。MPLS VPN是一種L3VPN的技術(shù),其利用邊界網(wǎng)關(guān)協(xié)議(Border Gateway Protocol,BGP)在核心網(wǎng)絡(luò)上發(fā)布VPN路由,并利用多協(xié)議標(biāo)簽交換(Multiprotocol Label Switching,MPLS)技術(shù)在核心網(wǎng)絡(luò)上轉(zhuǎn)發(fā)VPN報文。
傳統(tǒng)的工廠面臨諸多問題,如設(shè)備老舊、資金短缺、技術(shù)落后、管理經(jīng)驗(yàn)不足等,在如今節(jié)奏快、講究性價比的社會大環(huán)境下,如何改善工廠經(jīng)營狀況、如何使工廠重新煥發(fā)活力,是當(dāng)代工廠以及制造業(yè)健康、綠色發(fā)展的重點(diǎn)與核心。在當(dāng)今工廠的生產(chǎn)與制造中運(yùn)用了許多新興技術(shù),如云計(jì)算、大數(shù)據(jù)、物聯(lián)網(wǎng)、人工智能等,大大推動了工廠的發(fā)展,也促進(jìn)了眾多工廠的科技創(chuàng)新,在一定程度上提高了工廠的生產(chǎn)制造效率,增加了工廠的利潤。對于一家跨地域的大型生產(chǎn)制造工廠來說,可以通過使用MPLS VPN技術(shù)實(shí)現(xiàn)各地分公司、分廠的各項(xiàng)生產(chǎn)及經(jīng)營業(yè)務(wù)的相互通信與運(yùn)行,并保證不同業(yè)務(wù)部門、分公司或分工廠之間生產(chǎn)制造與經(jīng)營網(wǎng)絡(luò)的VPN隔離。
本文闡述了MPLS以及MPLS VPN的一些技術(shù)特點(diǎn),介紹了該技術(shù)的實(shí)現(xiàn)原理,并提出了一種基于Hub-Spoke架構(gòu)的工廠生產(chǎn)制造網(wǎng)絡(luò)的組網(wǎng)方案,為我國智慧工廠的發(fā)展、實(shí)現(xiàn)我國的工廠現(xiàn)代化與數(shù)字化建設(shè)提供了一些經(jīng)驗(yàn)與借鑒。
在20世紀(jì)90年代中期,隨著網(wǎng)際互連協(xié)議(Internet Protocol,IP)技術(shù)的迅猛發(fā)展,Internet上業(yè)務(wù)數(shù)據(jù)量幾何倍速增長。此時,受制于硬件技術(shù)的限制,以最長匹配優(yōu)先為主的路由查詢算法無法滿足日益發(fā)展的IP技術(shù)所需要的轉(zhuǎn)發(fā)性能,這就成為了限制當(dāng)時網(wǎng)絡(luò)發(fā)展的瓶頸。
ATM技術(shù)的出現(xiàn)促進(jìn)了當(dāng)時的網(wǎng)絡(luò)發(fā)展情形。ATM技術(shù)本身具有諸多的優(yōu)點(diǎn),它采用了定長標(biāo)簽,只需維護(hù)標(biāo)簽表,并且與IP路由技術(shù)相比,ATM標(biāo)簽表的規(guī)模小,轉(zhuǎn)發(fā)性能也高。但是ATM協(xié)議復(fù)雜、部署成本高的缺點(diǎn),導(dǎo)致了該技術(shù)不易被推廣。在這種技術(shù)背景下,MPLS技術(shù)應(yīng)運(yùn)而生。
MPLS結(jié)合了IP技術(shù)與ATM技術(shù)各自的優(yōu)點(diǎn),因此具有信令簡單和轉(zhuǎn)發(fā)性能高效的特點(diǎn)[1]。MPLS把具有相同源/目IP地址或源/目MAC地址等特征的報文作為一類,稱之為轉(zhuǎn)發(fā)等價類(Forwarding Equivalence Class,F(xiàn)EC),并且使用了標(biāo)簽標(biāo)識該FEC。
MPLS報文與IP報文的主要區(qū)別就在于增加了MPLS標(biāo)簽信息字段,MPLS的標(biāo)簽是一種短而定長、只具有本地意義的標(biāo)識符,目的就是標(biāo)識FEC。標(biāo)簽的結(jié)構(gòu)如圖1所示,主要被分為4個字段,即Label、EXP、S和TTL。其中,Label為標(biāo)簽的值域,固定20 bit;EXP為 3 bit,可作為 QoS應(yīng)用;S為 1 bit,是棧底標(biāo)識,可見MPLS標(biāo)簽支持多層嵌套;TTL為8 bit,表示MPLS報文在網(wǎng)絡(luò)中的“壽命”,其作用在于防環(huán)[2]。
圖1 MPLS的標(biāo)簽封裝結(jié)構(gòu)圖
前文提到MPLS技術(shù)具有高效的轉(zhuǎn)發(fā)性能,但是它無法為用戶提供保密性服務(wù),因此需要引入MPLS VPN技術(shù)。
如圖2所示,MPLS VPN的基本模型通常由3個部分組成,分別是用戶網(wǎng)絡(luò)的邊緣設(shè)備(Customer Edge,CE)、運(yùn)營商網(wǎng)絡(luò)的邊緣設(shè)備(Provider Edge,PE)和運(yùn)營商網(wǎng)絡(luò)中的骨干設(shè)備(Provider,P)。其中,CE設(shè)備通常與運(yùn)營商網(wǎng)絡(luò)相連,PE設(shè)備通常與CE設(shè)備直接相連,而P設(shè)備僅與PE設(shè)備直接相連[4,5]。在MPLS VPN網(wǎng)絡(luò)中,通常對PE設(shè)備的性能要求比較高,因?yàn)樵赑E設(shè)備上需要處理大量的VPN報文。
圖2 MPLS VPN基本模型圖
MPLS VPN的這種“對等體”的組網(wǎng)模型,使得服務(wù)提供商想要轉(zhuǎn)發(fā)用戶站點(diǎn)的網(wǎng)絡(luò)數(shù)據(jù)不需要用戶的直接參與,新增用戶站點(diǎn)也僅需修改該站點(diǎn)的邊緣網(wǎng)絡(luò)節(jié)點(diǎn)的網(wǎng)絡(luò)配置,因此與以往傳統(tǒng)的VPN技術(shù)相比,MPLS VPN具有便于管理和易于擴(kuò)展等優(yōu)點(diǎn)。
2.2.1 VPN實(shí)例
傳統(tǒng)的VPN隧道一般建立在公網(wǎng)的PE設(shè)備之間,同一側(cè)的PE設(shè)備可以同時接入多個VPN用戶,因此這些VPN用戶可以共享一個VPN隧道。與此同時,倘若這些VPN用戶配置了相同的私網(wǎng)地址空間,就會導(dǎo)致該P(yáng)E設(shè)備無法準(zhǔn)確區(qū)分這些VPN用戶的數(shù)據(jù)流,即在PE設(shè)備側(cè)出現(xiàn)了地址空間重疊的現(xiàn)象。針對該現(xiàn)象,MPLS VPN使用VPN實(shí)例來解決同一臺PE設(shè)備上的地址空間重疊問題。
支持VPN實(shí)例的路由器可以理解成一臺在邏輯上被劃分成眾多虛擬路由器的設(shè)備,并且相互獨(dú)立、互不可見。這些虛擬的路由器就是VPN實(shí)例,它們擁有獨(dú)立的路由表項(xiàng)、端口、路由協(xié)議等。
2.2.2 MP-BGP
BGP協(xié)議是一種外部網(wǎng)關(guān)協(xié)議,它基于TCP連接建立鄰居關(guān)系,并且可實(shí)現(xiàn)跨越多臺設(shè)備建立鄰居關(guān)系,直接交互路由信息。此外,BGP可支持TLV架構(gòu),擴(kuò)展性比較強(qiáng)。MPLS VPN在BGP的基礎(chǔ)上進(jìn)行了改進(jìn),新增了MP-REACH-NLRI、MP-UNREACHNLRI這兩個屬性,并對其團(tuán)體屬性進(jìn)行了擴(kuò)展,從而形成了多協(xié)議BGP,即MP-BGP協(xié)議。公網(wǎng)PE設(shè)備之間可以通過MP-BGP協(xié)議來發(fā)布VPN路由。
深海木蛀蟲(蛀木蛤?qū)?,海中的一種雙殼類軟體動物)也是一種以浮森為生的海洋生物,它們接手了淺水區(qū)蛀木水虱和船蛆吃剩下的浮木殘骸,然后迅速將浮木殘骸轉(zhuǎn)化為糞球,轉(zhuǎn)而供養(yǎng)40多種其他深海無脊椎動物,在海床上構(gòu)建了繁榮興旺的海洋生物棲息地,塞德爾將其稱之為“生物多樣性之島”。早在23年前,塞德爾就為漂流木數(shù)量不斷減少,世界海洋中的塑料廢物則越來越多的趨勢而擔(dān)心。
2.2.3 VPN-IPv4地址
盡管VPN實(shí)例將同一臺PE設(shè)備上的地址空間重疊問題解決了,但由于BGP只會選擇一條最優(yōu)的VPN路由發(fā)到對端PE設(shè)備,因此在多條擁有相同地址空間的VPN路由發(fā)往對端PE設(shè)備時,便會出現(xiàn)路由缺失的情況。針對以上現(xiàn)象,MPLS VPN引入了VPN-IPv4地址的概念。
如圖3所示,MPLS VPN使用了路由標(biāo)識符(Route Distinguisher,RD),它具有全局唯一的特性,并與IPv4前綴組合到一起變成了VPN-IPv4地址。PE設(shè)備從CE側(cè)接收到IPv4路由,將其轉(zhuǎn)換為全局唯一的VPN-IPv4路由后,在公網(wǎng)上進(jìn)行發(fā)布。
圖3 VPN-IPv4地址結(jié)構(gòu)圖
2.2.4 VPN Target
VPN Target是BGP的一種擴(kuò)展團(tuán)體屬性,它可以分為Export Target和Import Target兩類。在MPLS VPN網(wǎng)絡(luò)中,通過VPN Target屬性來控制VPN路由信息的發(fā)布和接收。工程師可以合理地設(shè)置VPN Target屬性的值,靈活地對企業(yè)的VPN進(jìn)行訪問控制,從而實(shí)現(xiàn)較為豐富的企業(yè)VPN組網(wǎng)方案。
新一代的工廠生產(chǎn)制造網(wǎng)絡(luò)運(yùn)用了多種新興技術(shù),其IP承載網(wǎng)負(fù)責(zé)多種業(yè)務(wù)網(wǎng)絡(luò)的通信傳輸,包括公司的OA系統(tǒng)、視頻會議系統(tǒng)等綜合業(yè)務(wù)。
在構(gòu)建MPLS VPN網(wǎng)絡(luò)之前需要保證全網(wǎng)路由可通,通常企業(yè)承載網(wǎng)推薦使用開放式最短路徑優(yōu)先(Open Shortest Path First,OSPF)協(xié)議。首先,OSPF支持多種網(wǎng)絡(luò)類型,可以適合于復(fù)雜的工廠生產(chǎn)制造網(wǎng)絡(luò)環(huán)境;其次,OSPF的LSA的種類豐富,可以精確的控制路由信息,并且OSPF支持特殊區(qū)域,可以將一些性能一般或性能較弱的設(shè)備放置在特殊區(qū)域,減輕設(shè)備的性能壓力,也可以節(jié)約組建成本;最后,OSPF可以支持虛鏈路功能,能夠?qū)崿F(xiàn)鏈路的備份和冗余。
VPN路由信息的發(fā)布過程主要包含3個部分,即“本地CE到入口PE”部分、“入口PE到出口PE”部分和“出口PE到遠(yuǎn)端CE”部分。在“本地CE到入口PE”部分,PE設(shè)備與CE設(shè)備通過OSPF協(xié)議交換路由信息,此時在設(shè)備之間交換的是普通的IPv4路由。在“入口PE到出口PE”部分,PE設(shè)備從CE設(shè)備學(xué)到VPN路由信息后,將其存放到VPN實(shí)例中,再為這些IPv4路由增加RD值,進(jìn)而形成VPN-IPv4路由;入口PE設(shè)備通過MP-BGP的Update報文把VPN-IPv4路由發(fā)布給出口PE設(shè)備;出口PE設(shè)備收到VPN-IPv4路由后,會先判斷路由的下一跳是否可達(dá),之后再進(jìn)行路由交叉、隧道迭代以及路由優(yōu)選,最終將該VPN-IPv4路由加入到VPN實(shí)例的路由表中。在“出口PE到遠(yuǎn)端CE”部分,也是通過OSPF協(xié)議進(jìn)行路由信息的交換,此時出口PE發(fā)送到遠(yuǎn)端CE的也是普通的IPv4路由。
工廠的生產(chǎn)制造網(wǎng)絡(luò)可以采用Hub-Spoke架構(gòu)的組網(wǎng)方案,將工廠總部的網(wǎng)絡(luò)設(shè)置為Hub站點(diǎn),將各生產(chǎn)車間或者各分工廠的網(wǎng)絡(luò)設(shè)置為Spoke站點(diǎn)。如圖4所示,Hub站點(diǎn)側(cè)接入VPN骨干網(wǎng)的設(shè)備被稱為Hub-CE;Spoke站點(diǎn)側(cè)接入VPN骨干網(wǎng)的設(shè)備被稱為Spoke-CE;VPN骨干網(wǎng)側(cè)接入Hub站點(diǎn)的設(shè)備被稱為Hub-PE;接入Spoke站點(diǎn)的設(shè)備被稱為Spoke-PE[6-8]。
圖4 Hub-Spoke組網(wǎng)架構(gòu)
基于此組網(wǎng)方案,工程師需要合理的設(shè)置Hub站點(diǎn)以及Spoke站點(diǎn)的VPN Target屬性值,應(yīng)確保任何一臺Spoke-PE設(shè)備的Import Target屬性值與其他Spoke-PE設(shè)備的Export Target屬性值均不相同。此外,在Hub-PE設(shè)備上一般需要使用兩個接口或者兩個子接口,其中的一個接口接收來自Spoke-PE設(shè)備的路由,而另一個接口向Spoke-PE設(shè)備發(fā)布路由。
Hub-Spoke架構(gòu)組建完畢后,若不同的分公司或者分工廠想要相互交換生產(chǎn)制造的相關(guān)數(shù)據(jù),則需通過Hub-CE設(shè)備進(jìn)行中轉(zhuǎn),按照圖4中箭頭指向傳遞數(shù)據(jù),從而實(shí)現(xiàn)數(shù)據(jù)互訪及交互。
這樣組網(wǎng)設(shè)計(jì)的好處在于各生產(chǎn)車間或者各分工廠的網(wǎng)絡(luò)數(shù)據(jù)不能直接交互,而必須通過工廠總部的中心訪問控制設(shè)備才能實(shí)現(xiàn)數(shù)據(jù)的交互,這能夠在一定程度上實(shí)現(xiàn)數(shù)據(jù)的保密性,也能增強(qiáng)公司總部對各生產(chǎn)車間或分工廠的網(wǎng)絡(luò)數(shù)據(jù)管控,從而鞏固公司總部的集中控制能力。
MPLS VPN支持地址空間重疊,具有靈活的組網(wǎng)模式,并且便于管理與維護(hù),是當(dāng)今網(wǎng)絡(luò)數(shù)據(jù)傳輸?shù)囊环N至關(guān)重要的技術(shù)。本文通過闡述MPLS以及MPLS VPN的相關(guān)技術(shù)原理,提出了一種基于Hub-Spoke架構(gòu)的工廠生產(chǎn)制造網(wǎng)絡(luò)的組網(wǎng)方案,在保障數(shù)據(jù)保密性的同時,也能夠增強(qiáng)工廠總部對各生產(chǎn)車間或分工廠的集中管控,具有很好的參考價值與應(yīng)用前景。