MPLS VPN在智慧工廠中的應用

陳 征

（中通服咨詢設計研究院有限公司，江蘇 南京 210000）

0 引 言

VPN技術，即虛擬專用網，是為了解決IP地址短缺和安全問題而產生的一種隧道技術。MPLS VPN是一種L3VPN的技術，其利用邊界網關協議（Border Gateway Protocol，BGP）在核心網絡上發布VPN路由，并利用多協議標簽交換（Multiprotocol Label Switching，MPLS）技術在核心網絡上轉發VPN報文。

傳統的工廠面臨諸多問題，如設備老舊、資金短缺、技術落后、管理經驗不足等，在如今節奏快、講究性價比的社會大環境下，如何改善工廠經營狀況、如何使工廠重新煥發活力，是當代工廠以及制造業健康、綠色發展的重點與核心。在當今工廠的生產與制造中運用了許多新興技術，如云計算、大數據、物聯網、人工智能等，大大推動了工廠的發展，也促進了眾多工廠的科技創新，在一定程度上提高了工廠的生產制造效率，增加了工廠的利潤。對于一家跨地域的大型生產制造工廠來說，可以通過使用MPLS VPN技術實現各地分公司、分廠的各項生產及經營業務的相互通信與運行，并保證不同業務部門、分公司或分工廠之間生產制造與經營網絡的VPN隔離。

本文闡述了MPLS以及MPLS VPN的一些技術特點，介紹了該技術的實現原理，并提出了一種基于Hub-Spoke架構的工廠生產制造網絡的組網方案，為我國智慧工廠的發展、實現我國的工廠現代化與數字化建設提供了一些經驗與借鑒。

1 MPLS

1.1 MPLS產生的原因

在20世紀90年代中期，隨著網際互連協議（Internet Protocol，IP）技術的迅猛發展，Internet上業務數據量幾何倍速增長。此時，受制于硬件技術的限制，以最長匹配優先為主的路由查詢算法無法滿足日益發展的IP技術所需要的轉發性能，這就成為了限制當時網絡發展的瓶頸。

ATM技術的出現促進了當時的網絡發展情形。ATM技術本身具有諸多的優點，它采用了定長標簽，只需維護標簽表，并且與IP路由技術相比，ATM標簽表的規模小，轉發性能也高。但是ATM協議復雜、部署成本高的缺點，導致了該技術不易被推廣。在這種技術背景下，MPLS技術應運而生。

1.2 MPLS的技術原理

MPLS結合了IP技術與ATM技術各自的優點，因此具有信令簡單和轉發性能高效的特點[1]。MPLS把具有相同源/目IP地址或源/目MAC地址等特征的報文作為一類，稱之為轉發等價類（Forwarding Equivalence Class，FEC），并且使用了標簽標識該FEC。

MPLS報文與IP報文的主要區別就在于增加了MPLS標簽信息字段，MPLS的標簽是一種短而定長、只具有本地意義的標識符，目的就是標識FEC。標簽的結構如圖1所示，主要被分為4個字段，即Label、EXP、S和TTL。其中，Label為標簽的值域，固定20 bit；EXP為 3 bit，可作為 QoS應用；S為 1 bit，是棧底標識，可見MPLS標簽支持多層嵌套；TTL為8 bit，表示MPLS報文在網絡中的“壽命”，其作用在于防環[2]。

圖1 MPLS的標簽封裝結構圖

2 MPLS VPN

前文提到MPLS技術具有高效的轉發性能，但是它無法為用戶提供保密性服務，因此需要引入MPLS VPN技術。

2.1 MPLS VPN的基本模型

如圖2所示，MPLS VPN的基本模型通常由3個部分組成，分別是用戶網絡的邊緣設備（Customer Edge，CE）、運營商網絡的邊緣設備（Provider Edge，PE）和運營商網絡中的骨干設備（Provider，P）。其中，CE設備通常與運營商網絡相連，PE設備通常與CE設備直接相連，而P設備僅與PE設備直接相連[4,5]。在MPLS VPN網絡中，通常對PE設備的性能要求比較高，因為在PE設備上需要處理大量的VPN報文。

圖2 MPLS VPN基本模型圖

MPLS VPN的這種“對等體”的組網模型，使得服務提供商想要轉發用戶站點的網絡數據不需要用戶的直接參與，新增用戶站點也僅需修改該站點的邊緣網絡節點的網絡配置，因此與以往傳統的VPN技術相比，MPLS VPN具有便于管理和易于擴展等優點。

2.2 MPLS VPN的技術原理

2.2.1 VPN實例

傳統的VPN隧道一般建立在公網的PE設備之間，同一側的PE設備可以同時接入多個VPN用戶，因此這些VPN用戶可以共享一個VPN隧道。與此同時，倘若這些VPN用戶配置了相同的私網地址空間，就會導致該PE設備無法準確區分這些VPN用戶的數據流，即在PE設備側出現了地址空間重疊的現象。針對該現象，MPLS VPN使用VPN實例來解決同一臺PE設備上的地址空間重疊問題。

支持VPN實例的路由器可以理解成一臺在邏輯上被劃分成眾多虛擬路由器的設備，并且相互獨立、互不可見。這些虛擬的路由器就是VPN實例，它們擁有獨立的路由表項、端口、路由協議等。

2.2.2 MP-BGP

BGP協議是一種外部網關協議，它基于TCP連接建立鄰居關系，并且可實現跨越多臺設備建立鄰居關系，直接交互路由信息。此外，BGP可支持TLV架構，擴展性比較強。MPLS VPN在BGP的基礎上進行了改進，新增了MP-REACH-NLRI、MP-UNREACHNLRI這兩個屬性，并對其團體屬性進行了擴展，從而形成了多協議BGP，即MP-BGP協議。公網PE設備之間可以通過MP-BGP協議來發布VPN路由。

深海木蛀蟲（蛀木蛤屬，海中的一種雙殼類軟體動物）也是一種以浮森為生的海洋生物，它們接手了淺水區蛀木水虱和船蛆吃剩下的浮木殘骸，然后迅速將浮木殘骸轉化為糞球，轉而供養40多種其他深海無脊椎動物，在海床上構建了繁榮興旺的海洋生物棲息地，塞德爾將其稱之為“生物多樣性之島”。早在23年前，塞德爾就為漂流木數量不斷減少，世界海洋中的塑料廢物則越來越多的趨勢而擔心。

2.2.3 VPN-IPv4地址

盡管VPN實例將同一臺PE設備上的地址空間重疊問題解決了，但由于BGP只會選擇一條最優的VPN路由發到對端PE設備，因此在多條擁有相同地址空間的VPN路由發往對端PE設備時，便會出現路由缺失的情況。針對以上現象，MPLS VPN引入了VPN-IPv4地址的概念。

如圖3所示，MPLS VPN使用了路由標識符（Route Distinguisher，RD），它具有全局唯一的特性，并與IPv4前綴組合到一起變成了VPN-IPv4地址。PE設備從CE側接收到IPv4路由，將其轉換為全局唯一的VPN-IPv4路由后，在公網上進行發布。

圖3 VPN-IPv4地址結構圖

2.2.4 VPN Target

VPN Target是BGP的一種擴展團體屬性，它可以分為Export Target和Import Target兩類。在MPLS VPN網絡中，通過VPN Target屬性來控制VPN路由信息的發布和接收。工程師可以合理地設置VPN Target屬性的值，靈活地對企業的VPN進行訪問控制，從而實現較為豐富的企業VPN組網方案。

3 MPLS VPN在智慧工廠中的應用

3.1 工廠生產制造網絡中IP承載網的基本概述

新一代的工廠生產制造網絡運用了多種新興技術，其IP承載網負責多種業務網絡的通信傳輸，包括公司的OA系統、視頻會議系統等綜合業務。

在構建MPLS VPN網絡之前需要保證全網路由可通，通常企業承載網推薦使用開放式最短路徑優先（Open Shortest Path First，OSPF）協議。首先，OSPF支持多種網絡類型，可以適合于復雜的工廠生產制造網絡環境；其次，OSPF的LSA的種類豐富，可以精確的控制路由信息，并且OSPF支持特殊區域，可以將一些性能一般或性能較弱的設備放置在特殊區域，減輕設備的性能壓力，也可以節約組建成本；最后，OSPF可以支持虛鏈路功能，能夠實現鏈路的備份和冗余。

3.2 MPLS VPN的路由發布過程

VPN路由信息的發布過程主要包含3個部分，即“本地CE到入口PE”部分、“入口PE到出口PE”部分和“出口PE到遠端CE”部分。在“本地CE到入口PE”部分，PE設備與CE設備通過OSPF協議交換路由信息，此時在設備之間交換的是普通的IPv4路由。在“入口PE到出口PE”部分，PE設備從CE設備學到VPN路由信息后，將其存放到VPN實例中，再為這些IPv4路由增加RD值，進而形成VPN-IPv4路由；入口PE設備通過MP-BGP的Update報文把VPN-IPv4路由發布給出口PE設備；出口PE設備收到VPN-IPv4路由后，會先判斷路由的下一跳是否可達，之后再進行路由交叉、隧道迭代以及路由優選，最終將該VPN-IPv4路由加入到VPN實例的路由表中。在“出口PE到遠端CE”部分，也是通過OSPF協議進行路由信息的交換，此時出口PE發送到遠端CE的也是普通的IPv4路由。

3.3 基于Hub-Spoke架構的工廠生產制造網絡組網方案

工廠的生產制造網絡可以采用Hub-Spoke架構的組網方案，將工廠總部的網絡設置為Hub站點，將各生產車間或者各分工廠的網絡設置為Spoke站點。如圖4所示，Hub站點側接入VPN骨干網的設備被稱為Hub-CE；Spoke站點側接入VPN骨干網的設備被稱為Spoke-CE；VPN骨干網側接入Hub站點的設備被稱為Hub-PE；接入Spoke站點的設備被稱為Spoke-PE[6-8]。

圖4 Hub-Spoke組網架構

基于此組網方案，工程師需要合理的設置Hub站點以及Spoke站點的VPN Target屬性值，應確保任何一臺Spoke-PE設備的Import Target屬性值與其他Spoke-PE設備的Export Target屬性值均不相同。此外，在Hub-PE設備上一般需要使用兩個接口或者兩個子接口，其中的一個接口接收來自Spoke-PE設備的路由，而另一個接口向Spoke-PE設備發布路由。

Hub-Spoke架構組建完畢后，若不同的分公司或者分工廠想要相互交換生產制造的相關數據，則需通過Hub-CE設備進行中轉，按照圖4中箭頭指向傳遞數據，從而實現數據互訪及交互。

這樣組網設計的好處在于各生產車間或者各分工廠的網絡數據不能直接交互，而必須通過工廠總部的中心訪問控制設備才能實現數據的交互，這能夠在一定程度上實現數據的保密性，也能增強公司總部對各生產車間或分工廠的網絡數據管控，從而鞏固公司總部的集中控制能力。

4 結 論

MPLS VPN支持地址空間重疊，具有靈活的組網模式，并且便于管理與維護，是當今網絡數據傳輸的一種至關重要的技術。本文通過闡述MPLS以及MPLS VPN的相關技術原理，提出了一種基于Hub-Spoke架構的工廠生產制造網絡的組網方案，在保障數據保密性的同時，也能夠增強工廠總部對各生產車間或分工廠的集中管控，具有很好的參考價值與應用前景。