衛星通信以太網虛擬專線設計

前言：本站為你精心整理了衛星通信以太網虛擬專線設計范文，希望能為你的創作提供參考價值，我們的客服老師可以幫助你提供個性化的參考范文，歡迎咨詢。

摘要:針對岸船間采用衛星信道隔離傳輸多個專網業務的應用需求，基于衛通Modem的接口特性，分析了以太網復分接設備在組網方案、互連接口、易用性和透明轉發等方面的特點，提出了基于類VLAN標簽的以太網虛擬專線解決方案，對隔離方案、復分接原理、轉發流程、數據安全、自身安全和業務QoS保證等關鍵技術進行了設計，測試和實際應用表明方案具有可行性，經濟效果顯著，具有較好的推廣價值。

關鍵詞:以太網虛擬專線;岸船數據傳輸;統計復用;衛星通信

0引言

隨著以太網技術的廣泛應用，航天測量船的業務網絡和承載的業務都已實現IP化，針對不同的應用需求分別建立了不同的專網承載相應的業務。船舶在港期間采用光傳輸設備為各個專網提供獨立的傳輸通道，光傳輸系統基于SDH或WDM技術來構建，SDH系統采用虛容器(VirtualContainer，VC)隔離不同用戶［1－2］，WDM系統則采用獨立光波長隔離不同用戶［3－4］，2種技術都可以保證不同用戶的業務之間隔離性，并滿足用戶的帶寬、丟包率、時延和時延抖動等QoS需要。船舶出海期間，主要依托地球同步軌道衛星實現岸船之間各個業務網絡各類數據、視頻和話音業務的綜合傳輸，為了滿足高速數據傳輸的需要，衛星通信調制解調器(又稱衛通Modem)提供10/100Mbps以太網接口連接用戶網絡設備，實際通信速率取決于衛星信道的帶寬。能否為各個業務網絡建立岸船間的以太網虛擬專線(EthernetVirtualPrivateLine，EVPL)，以統計復用的方式充分地利用一條衛星信道資源，降低建站成本，提供資源利用率，成為岸船數據傳輸系統亟需解決的首要問題。EVPL通常是由SDH，PDH，ATM，MPLS等傳送網絡提供的共享帶寬的端到端以太網業務［5－7］，在衛星通信、微波等無線信道的以太網接口上使用EVPL還沒有相應的標準，也沒有可以獲得的產品。本文提出了一種衛通鏈路上基于類VLAN標簽的EVPL實現方法，基于衛通鏈路實現了岸船間4條EVPL，試驗結果表明該方法滿足衛通鏈路上信道統計復用的需要。

1問題分析

1．1衛通鏈路復用

航天測量船和岸上業務中心各有多個局域網，通過EVPL經過衛通Modem和衛通鏈路把各個網絡對應連接互通，實現類似VPN的隔離性是組網的理想選擇。實現這種EVPL的設備對以太網報文進行復接和分接，可以稱為以太網復分接器，又因為主要承載IP業務，也可以稱為IP復分接器。以太網復分接設備的用戶口和中繼口采用以太網口，簡化了接口類型，而且使得這些網絡好像本地連接一樣簡單。根據工作原理，該設備需成對使用;考慮到各網絡的安全，設備必須保證用戶間網絡的隔離性。

1．2以太網報文格式

以太網復分接設備的輸入和輸出都是以太網報文，符合IEEE802．3數據鏈路層標準定義的以太網幀格式［8］，而以太網是事實上的局域網(LocalAreaNetwork，LAN)標準。航天測量船衛通Modem提供10/100BaseT以太網接口與用戶網絡的路由器或交換機對接，支持透明和路由2種工作模式，支持標準以太網幀(如圖2所示)和VLAN幀(如圖3所示)。以太網標準是向后兼容的，不管是哪種速率，以太網的幀格式都要符合圖2的格式。以太網幀長度指的是鏈路層幀長度，在物理層還包括幀前序(7Byte)和幀起始符(1Byte)2個字段，以及幀與幀之間的幀間隙(至少12Byte)。幀結構中長度/類型字段根據值的不同有不同的含義:當字段值＞1500時，這種結構便是ETHER-NET_II幀，屬于普通的以太網幀，其值代表該數據幀上層協議的類型(比如IP，IPX等);當字段值≤1500時，其值代表該數據幀的長度，這種類型就是ETHERNET_SNAP幀。目前廣泛應用的是ETHERNET_II幀。數據/填充字段則是具體的數據，因為以太網數據幀的最小長度必須不小于64Byte，所以如果數據長度加上幀頭后不足64Byte，需要在數據部分增加填充內容。校驗字段用來判斷該數據幀在傳輸過程中是否出錯。IEEE802．1Q標準對Ethernet_II幀格式進行了擴充，在源MAC字段和長度/類型字段之間加入4Byte的802．1QTag［9］，如圖3所示。其中Type字段，兼容原來的長度/類型字段，表示幀類型，長度仍為2Byte，取值為0x8100表示802．1QTag幀。如果不支持802．1Q的設備收到這樣的幀，會將其丟棄。PRI字段，表示幀的優先級，長度為3bit，取值范圍為0～7，值越大優先級越高，用于指示交換機當阻塞時優先發送優先級高的數據包。CFI字段，表示MAC地址是否是經典格式，長度為1bit，取值為0表示標準格式，取值為1表示非標準格式。在以太網中，CFI的值為0。VID字段，表示該幀所屬的VLANID，長度為12bit，取值范圍0～4095，其中0，4095保留。

1．3用戶隔離

目前網絡中最常用的在用戶側和中繼側都能提供以太網接口并提供一定網絡隔離性的技術是基于標簽(IEEE802．1Q的VLAN標簽，IEEE802．1ad的嵌套VLAN標簽，或者是MPLS標簽)、基于VPN兩種方式。由于衛通Modem提供的以太網接口只能處理以太網幀，不能處理MPLS幀和VPN幀，因此以太網復分接器基于類VLAN標簽來實現以太網虛擬專線，復用衛通鏈路并保證用戶的隔離性。

1．4透明轉發

收發兩端的衛通Modem和衛通鏈路一起構成的以太網通路對用戶網絡來說只是網線的延伸，可以看作是物理層的傳輸媒介。而提供以太網接口的路由器或交換機則基于路由技術或交換技術進行以太網報文的轉發，本身實現復雜，而且易受網絡攻擊，因此要求以太網復分接器必須像傳輸設備那樣，對來自用戶口或中繼口的報文攻擊無感，和普通的用戶報文一樣，僅做透明轉發。

2基于類VLAN標簽的EVPL設計

通過以上分析可以看出，以太網復分接器設計的難點體現在3個方面:①幀格式的限制，必須與標準以太網幀兼容來實現用戶隔離，又要保證不能被路由器交換機等2，3層設備破壞了隔離性。②數據的安全，要能夠防止衛通鏈路上可能的注入攻擊，也要防止通過鏡像方式偷窺用戶數據。③自身的安全，對業務具有透明性，不感知任何以太網幀內承載的任何協議，免受可能的網絡攻擊。這就要求精心設計幀格式各字段、報文的處理和轉發流程。

2．1幀格式設計

實現以太網業務復分接的技術有很多，基于SDH的多業務傳送平臺(Multi-ServiceTransferPlat-form，MSTP)提供共享VCTRUNK的EVPL技術［10］，使得同一VCTRUNK通道可以提供多條點對點的業務連接，如圖4所示。由于MSTP設備以太網業務處理板提供的VCTRUNK通道數有限，采用共享VCTRUNK的方式組網可以實現業務的匯聚和線路帶寬共享，各用戶以統計復用的方式來獲得帶寬，特別適用于業務高峰錯開的不同用戶共享同一條傳輸鏈路。另一方面采用VLAN標簽(或MPLS標簽)保證共享VCTRUNK的多條業務互相隔離。與以太網復分接器實現EVPL的方法類似，采用類VLAN標簽標識不同的用戶側物理接口來區分不同的用戶業務，達到復接和分接的目的。只不過中繼側的傳輸通道不是具有硬管道特性的SDH線路，而是具有軟管道特性的以太網鏈路。以太網復分接器在用戶口和中繼口為了兼容標準以太網接口，幀格式都是Ethernet_II，并在中繼口采用類VLAN標簽，使修改后的幀攜帶復分接控制信息，如圖5所示。以太網復分接器用戶口為標準Ethernet_II幀格式，中繼口幀格式在原長度/類型字段前，增加了RelayType字段和Control字段，并在原數據/填充字段之前增加OAM字段，其中RelayType字段固定為0x8100(將以太網幀標識為VLAN幀)，Control字段重新定義了原VLAN幀的PRI字段和VID字段的各個bit用于承載復分接控制信息，其用戶接口號域規定了對應的用戶側網口序號，并保持CFI字段為0以與標準VLAN幀兼容。OAM字段長度為(2+n×4)Byte，保證整個幀頭部的長度為4Byte的整數倍，實現復接后的以太網幀在中繼鏈路上傳輸的校驗、性能統計等功能。根據實現功能的復雜度，n可以取0或1，中繼口的以太網幀相比用戶口共增加6Byte或10Byte。通常n取0即可滿足使用環境要求。

2．2轉發和處理流程設計

用戶口報文轉發和中繼口報文轉發是2個對稱的流程。設備將各用戶接口接收的數據添加Relay-Type，Control，OAM字段，從指定的中繼接口發送;在中繼接收側，設備對數據幀校驗后，根據Control字段中的用戶口號信息將各個數據包發送到指定的用戶接口，并將RelayType，Control，OAM字段去掉。

2．3用戶隔離設計

為保證用戶網絡的隔離性，采取的主要措施如下:①幀格式保證:一方面，Control字段的用戶接口號域是數據復分接的唯一依據，與用戶口序號值一一對應，設備出廠前進行設置。設備不基于MAC地址或者IP地址進行轉發，而是基于類VLAN標簽的用戶接口號進行轉發，不會將一個用戶口接收的數據傳送到接收端后分接到其他用戶接口。另一方面，為了避免衛通信道受到干擾后Control字段被更改而造成接收數據被錯發到其他用戶口，Control字段具備前向糾錯功能。糾錯編碼能夠對接口號域實現1bit誤碼糾錯和2bit誤碼檢錯，保證了中繼傳輸過程中的偶發誤碼不會改變用戶口間的隔離性。②數據總線隔離:數據轉發和幀格式變換由設備CPU完成，設備的每一個以太網接口有獨立的PHY芯片，并通過各自獨立的數據總線與CPU連接，占有CPU獨立的設備號和中斷號，保證CPU獨立操作每一路以太網接口的數據。③軟件設計保證:首先，軟件給每個以太網接口分配獨立的接收緩沖區、發送緩沖區，以及獨立的緩沖區管理結構。CPU在獨立的中斷進程中按照對應的內存結構進行處理，不會發生越界訪問數據的情況。其次，處理過程沒有采用流水線，而是串行處理，保證了報文的處理和轉發過程是可預期的。用戶口數據在驅動層接收后進行復接處理，然后直接送到中繼口發送;中繼口數據在驅動層接收后進行分接處理，然后直接送到用戶口發送。

2．4安全性設計

以太網復分接器通過下列措施保證自身的安全和用戶網絡的安全:①透明轉發:用戶口和中繼口在收到一個報文后，不做任何鏈路層及上層協議的處理，僅處理與復分接有關的RelayType，Control，OAM字段，并進行報文的合法性檢驗，轉發機制決定了設備軟件不存在可以利用的漏洞，因此被木馬、病毒、網絡探測報文或攻擊報文等攻擊時，設備免受其危害，自身是安全的，也保證了用戶數據的安全性。②緩沖區保護:發送緩沖區符合標準以太網MTU的要求，中繼口還要加上6Byte或10Byte的附加字段，保證發出的以太網幀長度在合理的范圍內。接收緩沖區足夠長，可以容納巨幀報文，防止精心構造的攻擊幀對設備的攻擊。③幀格式保護:OAM字段在中繼鏈路上還可以保證用戶數據的安全，防注入攻擊和防數據偷窺。當中繼鏈路串接交換機時，OAM字段可保證人為注入的仿冒以太網數據幀和VLAN幀不能通過分接前校驗而被丟棄;也可以防止交換機鏡像端口上連接網絡協議分析軟件而泄露用戶數據，因為類VLAN幀不符合標準協議無法進行標準協議的解碼。

2．5QoS保證措施

以太網復分接器采用如下措施保證各網絡業務的QoS:①將用戶口區分為低、中、高3種優先級，轉發過程基于用戶口優先級調度各業務網絡的業務。②為各用戶口業務流量進行整形，為中繼口流量進行限速，防止中繼信道擁塞。③支持中、低優先級業務的最低保證帶寬。最低保證帶寬具有最高的優先級，中繼口優先發送最低保證帶寬的業務，剩余帶寬用來發送正常的各網絡業務。④為了適應VoIP傳輸需要，以太網復分接器進行限速的時間粒度與RTP語音編解碼最小周期一致，可以根據系統要求出廠前進行設置，保證各子網業務流量的均勻性，降低對IP語音時延和抖動的影響。

2．6效率分析

效率是一個系統必須考慮的問題，對于以太網虛擬專線這個指標是中繼效率，它表示用戶口信息速率與中繼口信息速率的比，對于以太網口考慮的是物理層(Layer1)速率。采用以太網復分接設備后，終端用戶可用帶寬是有損失的，幀長度越小信道利用率越低。

3試驗驗證

根據圖1搭建試驗測試環境，模擬航天測量船4個業務網絡經以太網復分接器與岸上業務中心對應的4個業務網絡同時進行信息傳輸的場景，中間衛通鏈路用衛通信道模擬器和一對衛通Modem連接進行模擬，不考慮鏈路時延。測試結果表明，以太網復分接器實現了EVPL，可以滿足多個網絡共用一條衛通鏈路并保證網絡的隔離性，在QoS保證、有效性方面也達到了預期目的。

4結束語

以太網復分接器提供EVPL能力，對于大型船舶、遠海島嶼和海外基地等有多網絡接入需求的通信節點有重要價值，可以節約衛星通信地面站的建設成本和通信線路的租用成本，在民用和軍用領域都有較好的推廣價值。目前，以太網復分接器根據用戶需要在一條衛通鏈路上最多建立4條以太網虛擬專線，實現了鏈路復用和降低費用的目標。硬件和軟件稍做改動就可以成為提供更多的以太網虛擬專線、支持不同接口速率的系列化產品。

作者:于紅增 石湘 劉詠荷 楊小偉 單位:中國電子科技集團公司第五十四研究所 中國衛星海上測控部