于紅增，石 湘，劉詠荷，楊小偉

(1.中國電子科技集團(tuán)公司第五十四研究所，河北 石家莊 050081；2.中國衛(wèi)星海上測控部，江蘇 江陰 214431)

0 引言

隨著以太網(wǎng)技術(shù)的廣泛應(yīng)用，航天測量船的業(yè)務(wù)網(wǎng)絡(luò)和承載的業(yè)務(wù)都已實現(xiàn)IP化，針對不同的應(yīng)用需求分別建立了不同的專網(wǎng)承載相應(yīng)的業(yè)務(wù)。船舶在港期間采用光傳輸設(shè)備為各個專網(wǎng)提供獨立的傳輸通道，光傳輸系統(tǒng)基于SDH或WDM技術(shù)來構(gòu)建，SDH系統(tǒng)采用虛容器(Virtual Container，VC)隔離不同用戶[1-2]，WDM系統(tǒng)則采用獨立光波長隔離不同用戶[3-4]，2種技術(shù)都可以保證不同用戶的業(yè)務(wù)之間隔離性，并滿足用戶的帶寬、丟包率、時延和時延抖動等QoS需要。船舶出海期間，主要依托地球同步軌道衛(wèi)星實現(xiàn)岸船之間各個業(yè)務(wù)網(wǎng)絡(luò)各類數(shù)據(jù)、視頻和話音業(yè)務(wù)的綜合傳輸，為了滿足高速數(shù)據(jù)傳輸?shù)男枰l(wèi)星通信調(diào)制解調(diào)器(又稱衛(wèi)通Modem)提供10/100 Mbps以太網(wǎng)接口連接用戶網(wǎng)絡(luò)設(shè)備，實際通信速率取決于衛(wèi)星信道的帶寬。能否為各個業(yè)務(wù)網(wǎng)絡(luò)建立岸船間的以太網(wǎng)虛擬專線(Ethernet Virtual Private Line，EVPL)，以統(tǒng)計復(fù)用的方式充分地利用一條衛(wèi)星信道資源，降低建站成本，提供資源利用率，成為岸船數(shù)據(jù)傳輸系統(tǒng)亟需解決的首要問題。EVPL通常是由SDH，PDH，ATM，MPLS等傳送網(wǎng)絡(luò)提供的共享帶寬的端到端以太網(wǎng)業(yè)務(wù)[5-7]，在衛(wèi)星通信、微波等無線信道的以太網(wǎng)接口上使用EVPL還沒有相應(yīng)的標(biāo)準(zhǔn)，也沒有可以獲得的產(chǎn)品。

本文提出了一種衛(wèi)通鏈路上基于類VLAN標(biāo)簽的EVPL實現(xiàn)方法，基于衛(wèi)通鏈路實現(xiàn)了岸船間4條EVPL，試驗結(jié)果表明該方法滿足衛(wèi)通鏈路上信道統(tǒng)計復(fù)用的需要。

1 問題分析

1.1 衛(wèi)通鏈路復(fù)用

航天測量船和岸上業(yè)務(wù)中心各有多個局域網(wǎng)，通過EVPL經(jīng)過衛(wèi)通Modem和衛(wèi)通鏈路把各個網(wǎng)絡(luò)對應(yīng)連接互通，實現(xiàn)類似VPN的隔離性是組網(wǎng)的理想選擇。實現(xiàn)這種EVPL的設(shè)備對以太網(wǎng)報文進(jìn)行復(fù)接和分接，可以稱為以太網(wǎng)復(fù)分接器，又因為主要承載IP業(yè)務(wù)，也可以稱為IP復(fù)分接器。其工作原理如圖1所示。

圖1 以太網(wǎng)復(fù)分接器應(yīng)用示意Fig.1 Networking diagram of Ethernet multiplexer/demultiplexer

圖中Net_1，Net_2，Net_3，…，Net_n代表船舶和岸上業(yè)務(wù)中心的n個用戶網(wǎng)絡(luò)。以太網(wǎng)復(fù)分接設(shè)備的用戶口和中繼口采用以太網(wǎng)口，簡化了接口類型，而且使得這些網(wǎng)絡(luò)好像本地連接一樣簡單。根據(jù)工作原理，該設(shè)備需成對使用；考慮到各網(wǎng)絡(luò)的安全，設(shè)備必須保證用戶間網(wǎng)絡(luò)的隔離性。

1.2 以太網(wǎng)報文格式

以太網(wǎng)復(fù)分接設(shè)備的輸入和輸出都是以太網(wǎng)報文，符合IEEE 802.3數(shù)據(jù)鏈路層標(biāo)準(zhǔn)定義的以太網(wǎng)幀格式[8]，而以太網(wǎng)是事實上的局域網(wǎng)(Local Area Network，LAN)標(biāo)準(zhǔn)。航天測量船衛(wèi)通Modem提供10/100 BaseT以太網(wǎng)接口與用戶網(wǎng)絡(luò)的路由器或交換機對接，支持透明和路由2種工作模式，支持標(biāo)準(zhǔn)以太網(wǎng)幀(如圖2所示)和VLAN幀(如圖3所示)。以太網(wǎng)標(biāo)準(zhǔn)是向后兼容的，不管是哪種速率，以太網(wǎng)的幀格式都要符合圖2的格式。以太網(wǎng)幀長度指的是鏈路層幀長度，在物理層還包括幀前序(7 Byte)和幀起始符(1 Byte)2個字段，以及幀與幀之間的幀間隙(至少12 Byte)。

圖2 以太網(wǎng)幀的結(jié)構(gòu)
Fig.2 Structure of Ethernet frame

圖3 VLAN幀的結(jié)構(gòu)Fig.3 Structure of VLAN frame

幀結(jié)構(gòu)中長度/類型字段根據(jù)值的不同有不同的含義：當(dāng)字段值>1 500時，這種結(jié)構(gòu)便是ETHERNET_II幀，屬于普通的以太網(wǎng)幀，其值代表該數(shù)據(jù)幀上層協(xié)議的類型(比如IP，IPX等)；當(dāng)字段值≤1 500時，其值代表該數(shù)據(jù)幀的長度，這種類型就是ETHERNET_SNAP幀。目前廣泛應(yīng)用的是ETHERNET_II幀。數(shù)據(jù)/填充字段則是具體的數(shù)據(jù)，因為以太網(wǎng)數(shù)據(jù)幀的最小長度必須不小于64 Byte，所以如果數(shù)據(jù)長度加上幀頭后不足64 Byte，需要在數(shù)據(jù)部分增加填充內(nèi)容。校驗字段用來判斷該數(shù)據(jù)幀在傳輸過程中是否出錯。

IEEE 802.1Q標(biāo)準(zhǔn)對Ethernet_II幀格式進(jìn)行了擴(kuò)充，在源MAC字段和長度/類型字段之間加入4 Byte的802.1Q Tag[9]，如圖3所示。其中Type字段，兼容原來的長度/類型字段，表示幀類型，長度仍為2 Byte，取值為0x8100表示802.1Q Tag幀。如果不支持802.1Q的設(shè)備收到這樣的幀，會將其丟棄。PRI字段，表示幀的優(yōu)先級，長度為3 bit，取值范圍為0～7，值越大優(yōu)先級越高，用于指示交換機當(dāng)阻塞時優(yōu)先發(fā)送優(yōu)先級高的數(shù)據(jù)包。CFI字段，表示MAC地址是否是經(jīng)典格式，長度為1 bit，取值為0表示標(biāo)準(zhǔn)格式，取值為1表示非標(biāo)準(zhǔn)格式。在以太網(wǎng)中，CFI的值為0。VID字段，表示該幀所屬的VLAN ID，長度為12 bit，取值范圍0～4 095，其中0，4 095保留。

1.3 用戶隔離

目前網(wǎng)絡(luò)中最常用的在用戶側(cè)和中繼側(cè)都能提供以太網(wǎng)接口并提供一定網(wǎng)絡(luò)隔離性的技術(shù)是基于標(biāo)簽(IEEE 802.1Q的VLAN標(biāo)簽，IEEE 802.1ad的嵌套VLAN標(biāo)簽，或者是MPLS標(biāo)簽)、基于VPN兩種方式。由于衛(wèi)通Modem提供的以太網(wǎng)接口只能處理以太網(wǎng)幀，不能處理MPLS幀和VPN幀，因此以太網(wǎng)復(fù)分接器基于類VLAN標(biāo)簽來實現(xiàn)以太網(wǎng)虛擬專線，復(fù)用衛(wèi)通鏈路并保證用戶的隔離性。

1.4 透明轉(zhuǎn)發(fā)

收發(fā)兩端的衛(wèi)通Modem和衛(wèi)通鏈路一起構(gòu)成的以太網(wǎng)通路對用戶網(wǎng)絡(luò)來說只是網(wǎng)線的延伸，可以看作是物理層的傳輸媒介。而提供以太網(wǎng)接口的路由器或交換機則基于路由技術(shù)或交換技術(shù)進(jìn)行以太網(wǎng)報文的轉(zhuǎn)發(fā)，本身實現(xiàn)復(fù)雜，而且易受網(wǎng)絡(luò)攻擊，因此要求以太網(wǎng)復(fù)分接器必須像傳輸設(shè)備那樣，對來自用戶口或中繼口的報文攻擊無感，和普通的用戶報文一樣，僅做透明轉(zhuǎn)發(fā)。

2 基于類VLAN標(biāo)簽的EVPL設(shè)計

通過以上分析可以看出，以太網(wǎng)復(fù)分接器設(shè)計的難點體現(xiàn)在3個方面：① 幀格式的限制，必須與標(biāo)準(zhǔn)以太網(wǎng)幀兼容來實現(xiàn)用戶隔離，又要保證不能被路由器交換機等2，3層設(shè)備破壞了隔離性。② 數(shù)據(jù)的安全，要能夠防止衛(wèi)通鏈路上可能的注入攻擊，也要防止通過鏡像方式偷窺用戶數(shù)據(jù)。③ 自身的安全，對業(yè)務(wù)具有透明性，不感知任何以太網(wǎng)幀內(nèi)承載的任何協(xié)議，免受可能的網(wǎng)絡(luò)攻擊。這就要求精心設(shè)計幀格式各字段、報文的處理和轉(zhuǎn)發(fā)流程。

2.1 幀格式設(shè)計

實現(xiàn)以太網(wǎng)業(yè)務(wù)復(fù)分接的技術(shù)有很多，基于SDH的多業(yè)務(wù)傳送平臺(Multi-Service Transfer Platform，MSTP)提供共享VCTRUNK的EVPL技術(shù)[10]，使得同一VCTRUNK通道可以提供多條點對點的業(yè)務(wù)連接，如圖4所示。由于MSTP設(shè)備以太網(wǎng)業(yè)務(wù)處理板提供的VCTRUNK通道數(shù)有限，采用共享VCTRUNK的方式組網(wǎng)可以實現(xiàn)業(yè)務(wù)的匯聚和線路帶寬共享，各用戶以統(tǒng)計復(fù)用的方式來獲得帶寬，特別適用于業(yè)務(wù)高峰錯開的不同用戶共享同一條傳輸鏈路。另一方面采用VLAN標(biāo)簽(或MPLS標(biāo)簽)保證共享VCTRUNK的多條業(yè)務(wù)互相隔離。

圖4 基于VLAN標(biāo)簽的EVPL組網(wǎng)示意Fig.4 EVPL networking diagram based on VLAN tag

與以太網(wǎng)復(fù)分接器實現(xiàn)EVPL的方法類似，采用類VLAN標(biāo)簽標(biāo)識不同的用戶側(cè)物理接口來區(qū)分不同的用戶業(yè)務(wù)，達(dá)到復(fù)接和分接的目的。只不過中繼側(cè)的傳輸通道不是具有硬管道特性的SDH線路，而是具有軟管道特性的以太網(wǎng)鏈路。

以太網(wǎng)復(fù)分接器在用戶口和中繼口為了兼容標(biāo)準(zhǔn)以太網(wǎng)接口，幀格式都是Ethernet_II，并在中繼口采用類VLAN標(biāo)簽，使修改后的幀攜帶復(fù)分接控制信息，如圖5所示。以太網(wǎng)復(fù)分接器用戶口為標(biāo)準(zhǔn)Ethernet_II幀格式，中繼口幀格式在原長度/類型字段前，增加了RelayType字段和Control字段，并在原數(shù)據(jù)/填充字段之前增加OAM字段，其中RelayType字段固定為0x8100(將以太網(wǎng)幀標(biāo)識為VLAN幀)，Control字段重新定義了原VLAN幀的PRI字段和VID字段的各個bit用于承載復(fù)分接控制信息，其用戶接口號域規(guī)定了對應(yīng)的用戶側(cè)網(wǎng)口序號，并保持CFI字段為0以與標(biāo)準(zhǔn)VLAN幀兼容。

圖5 以太網(wǎng)復(fù)分接器接口的以太網(wǎng)幀結(jié)構(gòu)Fig.5 Ethernet frame structure of Ethernet multiplexer/demultiplexer

OAM字段長度為(2+n×4)Byte，保證整個幀頭部的長度為4 Byte的整數(shù)倍，實現(xiàn)復(fù)接后的以太網(wǎng)幀在中繼鏈路上傳輸?shù)男ｒ?、性能統(tǒng)計等功能。根據(jù)實現(xiàn)功能的復(fù)雜度，n可以取0或1，中繼口的以太網(wǎng)幀相比用戶口共增加6 Byte或10 Byte。通常n取0即可滿足使用環(huán)境要求。

2.2 轉(zhuǎn)發(fā)和處理流程設(shè)計

用戶口報文轉(zhuǎn)發(fā)和中繼口報文轉(zhuǎn)發(fā)是2個對稱的流程。設(shè)備將各用戶接口接收的數(shù)據(jù)添加RelayType，Control，OAM字段，從指定的中繼接口發(fā)送；在中繼接收側(cè)，設(shè)備對數(shù)據(jù)幀校驗后，根據(jù)Control字段中的用戶口號信息將各個數(shù)據(jù)包發(fā)送到指定的用戶接口，并將RelayType，Control，OAM字段去掉。轉(zhuǎn)發(fā)流程如圖6所示。

圖6 以太網(wǎng)復(fù)分接器報文轉(zhuǎn)發(fā)流程Fig.6 Frame forwarding process of Ethernet multiplexer/demultiplexer

2.3 用戶隔離設(shè)計

為保證用戶網(wǎng)絡(luò)的隔離性，采取的主要措施如下：

① 幀格式保證：一方面，Control字段的用戶接口號域是數(shù)據(jù)復(fù)分接的唯一依據(jù)，與用戶口序號值一一對應(yīng)，設(shè)備出廠前進(jìn)行設(shè)置。設(shè)備不基于MAC地址或者IP地址進(jìn)行轉(zhuǎn)發(fā)，而是基于類VLAN標(biāo)簽的用戶接口號進(jìn)行轉(zhuǎn)發(fā)，不會將一個用戶口接收的數(shù)據(jù)傳送到接收端后分接到其他用戶接口。另一方面，為了避免衛(wèi)通信道受到干擾后Control字段被更改而造成接收數(shù)據(jù)被錯發(fā)到其他用戶口，Control字段具備前向糾錯功能。糾錯編碼能夠?qū)涌谔栍驅(qū)崿F(xiàn)1 bit誤碼糾錯和2 bit誤碼檢錯，保證了中繼傳輸過程中的偶發(fā)誤碼不會改變用戶口間的隔離性。

② 數(shù)據(jù)總線隔離：數(shù)據(jù)轉(zhuǎn)發(fā)和幀格式變換由設(shè)備CPU完成，設(shè)備的每一個以太網(wǎng)接口有獨立的PHY芯片，并通過各自獨立的數(shù)據(jù)總線與CPU連接，占有CPU獨立的設(shè)備號和中斷號，保證CPU獨立操作每一路以太網(wǎng)接口的數(shù)據(jù)。

③ 軟件設(shè)計保證：首先，軟件給每個以太網(wǎng)接口分配獨立的接收緩沖區(qū)、發(fā)送緩沖區(qū)，以及獨立的緩沖區(qū)管理結(jié)構(gòu)。CPU在獨立的中斷進(jìn)程中按照對應(yīng)的內(nèi)存結(jié)構(gòu)進(jìn)行處理，不會發(fā)生越界訪問數(shù)據(jù)的情況。其次，處理過程沒有采用流水線，而是串行處理，保證了報文的處理和轉(zhuǎn)發(fā)過程是可預(yù)期的。用戶口數(shù)據(jù)在驅(qū)動層接收后進(jìn)行復(fù)接處理，然后直接送到中繼口發(fā)送；中繼口數(shù)據(jù)在驅(qū)動層接收后進(jìn)行分接處理，然后直接送到用戶口發(fā)送。

2.4 安全性設(shè)計

以太網(wǎng)復(fù)分接器通過下列措施保證自身的安全和用戶網(wǎng)絡(luò)的安全：

① 透明轉(zhuǎn)發(fā)：用戶口和中繼口在收到一個報文后，不做任何鏈路層及上層協(xié)議的處理，僅處理與復(fù)分接有關(guān)的RelayType，Control，OAM字段，并進(jìn)行報文的合法性檢驗，轉(zhuǎn)發(fā)機制決定了設(shè)備軟件不存在可以利用的漏洞，因此被木馬、病毒、網(wǎng)絡(luò)探測報文或攻擊報文等攻擊時，設(shè)備免受其危害，自身是安全的，也保證了用戶數(shù)據(jù)的安全性。

② 緩沖區(qū)保護(hù)：發(fā)送緩沖區(qū)符合標(biāo)準(zhǔn)以太網(wǎng)MTU的要求，中繼口還要加上6 Byte或10 Byte的附加字段，保證發(fā)出的以太網(wǎng)幀長度在合理的范圍內(nèi)。接收緩沖區(qū)足夠長，可以容納巨幀報文，防止精心構(gòu)造的攻擊幀對設(shè)備的攻擊。

③ 幀格式保護(hù)：OAM字段在中繼鏈路上還可以保證用戶數(shù)據(jù)的安全，防注入攻擊和防數(shù)據(jù)偷窺。當(dāng)中繼鏈路串接交換機時，OAM字段可保證人為注入的仿冒以太網(wǎng)數(shù)據(jù)幀和VLAN幀不能通過分接前校驗而被丟棄；也可以防止交換機鏡像端口上連接網(wǎng)絡(luò)協(xié)議分析軟件而泄露用戶數(shù)據(jù)，因為類VLAN幀不符合標(biāo)準(zhǔn)協(xié)議無法進(jìn)行標(biāo)準(zhǔn)協(xié)議的解碼。

2.5 QoS保證措施

以太網(wǎng)復(fù)分接器采用如下措施保證各網(wǎng)絡(luò)業(yè)務(wù)的QoS：

① 將用戶口區(qū)分為低、中、高3種優(yōu)先級，轉(zhuǎn)發(fā)過程基于用戶口優(yōu)先級調(diào)度各業(yè)務(wù)網(wǎng)絡(luò)的業(yè)務(wù)。

② 為各用戶口業(yè)務(wù)流量進(jìn)行整形，為中繼口流量進(jìn)行限速，防止中繼信道擁塞。

③ 支持中、低優(yōu)先級業(yè)務(wù)的最低保證帶寬。最低保證帶寬具有最高的優(yōu)先級，中繼口優(yōu)先發(fā)送最低保證帶寬的業(yè)務(wù)，剩余帶寬用來發(fā)送正常的各網(wǎng)絡(luò)業(yè)務(wù)。

④ 為了適應(yīng)VoIP傳輸需要，以太網(wǎng)復(fù)分接器進(jìn)行限速的時間粒度與RTP語音編解碼最小周期一致，可以根據(jù)系統(tǒng)要求出廠前進(jìn)行設(shè)置，保證各子網(wǎng)業(yè)務(wù)流量的均勻性，降低對IP語音時延和抖動的影響。

2.6 效率分析

效率是一個系統(tǒng)必須考慮的問題，對于以太網(wǎng)虛擬專線這個指標(biāo)是中繼效率，它表示用戶口信息速率與中繼口信息速率的比，對于以太網(wǎng)口考慮的是物理層(Layer1)速率。

設(shè)用戶口以太網(wǎng)幀長度為LENByte，則中繼口幀長度為(LEN+6)Byte；串接以太網(wǎng)復(fù)分接器時端到端Layer1吞吐量為WByte/s，此時中繼口的流量為W0Byte/s。由于傳輸過程無丟包，因此穿過中繼口和用戶口的以太網(wǎng)幀數(shù)相等，即：中繼口幀數(shù)=用戶口幀數(shù)，

可以計算出不同幀長下的中繼效率，如表1所示。

表1 不同以太網(wǎng)幀長的中繼效率
Tab.1 Relay efficiency of different Ethernet frame length

序號用戶口幀長度/Byte中繼口幀長度/Byte中繼效率/%1647093.33212813496.10325626297.87451251898.8851 0241 03099.4361 5181 52499.61

由表1可以看出，采用以太網(wǎng)復(fù)分接設(shè)備后，終端用戶可用帶寬是有損失的，幀長度越小信道利用率越低。

3 試驗驗證

根據(jù)圖1搭建試驗測試環(huán)境，模擬航天測量船4個業(yè)務(wù)網(wǎng)絡(luò)經(jīng)以太網(wǎng)復(fù)分接器與岸上業(yè)務(wù)中心對應(yīng)的4個業(yè)務(wù)網(wǎng)絡(luò)同時進(jìn)行信息傳輸?shù)膱鼍?，中間衛(wèi)通鏈路用衛(wèi)通信道模擬器和一對衛(wèi)通Modem連接進(jìn)行模擬，不考慮鏈路時延。測試結(jié)果表明，以太網(wǎng)復(fù)分接器實現(xiàn)了EVPL，可以滿足多個網(wǎng)絡(luò)共用一條衛(wèi)通鏈路并保證網(wǎng)絡(luò)的隔離性，在QoS保證、有效性方面也達(dá)到了預(yù)期目的。

4 結(jié)束語

以太網(wǎng)復(fù)分接器提供EVPL能力，對于大型船舶、遠(yuǎn)海島嶼和海外基地等有多網(wǎng)絡(luò)接入需求的通信節(jié)點有重要價值，可以節(jié)約衛(wèi)星通信地面站的建設(shè)成本和通信線路的租用成本，在民用和軍用領(lǐng)域都有較好的推廣價值。

目前，以太網(wǎng)復(fù)分接器根據(jù)用戶需要在一條衛(wèi)通鏈路上最多建立4條以太網(wǎng)虛擬專線，實現(xiàn)了鏈路復(fù)用和降低費用的目標(biāo)。硬件和軟件稍做改動就可以成為提供更多的以太網(wǎng)虛擬專線、支持不同接口速率的系列化產(chǎn)品。