摘要:针对岸船间采用卫星信道隔离传输多个专网业务的应用需求，基于卫通Modem的接口特性，分析了以太网复分接设备在组网方案、互连接口、易用性和透明转发等方面的特点，提出了基于类VLAN标签的以太网虚拟专线解决方案，对隔离方案、复分接原理、转发流程、数据安全、自身安全和业务QoS保证等关键技术进行了设计，测试和实际应用表明方案具有可行性，经济效果显著，具有较好的推广价值。

关键词:以太网虚拟专线;岸船数据传输;统计复用;卫星通信

0引言

随着以太网技术的广泛应用，航天测量船的业务网络和承载的业务都已实现IP化，针对不同的应用需求分别建立了不同的专网承载相应的业务。船舶在港期间采用光传输设备为各个专网提供独立的传输通道，光传输系统基于SDH或WDM技术来构建，SDH系统采用虚容器(VirtualContainer，VC)隔离不同用户［1－2］，WDM系统则采用独立光波长隔离不同用户［3－4］，2种技术都可以保证不同用户的业务之间隔离性，并满足用户的带宽、丢包率、时延和时延抖动等QoS需要。船舶出海期间，主要依托地球同步轨道卫星实现岸船之间各个业务网络各类数据、视频和话音业务的综合传输，为了满足高速数据传输的需要，卫星通信调制解调器(又称卫通Modem)提供10/100Mbps以太网接口连接用户网络设备，实际通信速率取决于卫星信道的带宽。能否为各个业务网络建立岸船间的以太网虚拟专线(EthernetVirtualPrivateLine，EVPL)，以统计复用的方式充分地利用一条卫星信道资源，降低建站成本，提供资源利用率，成为岸船数据传输系统亟需解决的首要问题。EVPL通常是由SDH，PDH，ATM，MPLS等传送网络提供的共享带宽的端到端以太网业务［5－7］，在卫星通信、微波等无线信道的以太网接口上使用EVPL还没有相应的标准，也没有可以获得的产品。本文提出了一种卫通链路上基于类VLAN标签的EVPL实现方法，基于卫通链路实现了岸船间4条EVPL，试验结果表明该方法满足卫通链路上信道统计复用的需要。

1问题分析

1．1卫通链路复用

航天测量船和岸上业务中心各有多个局域网，通过EVPL经过卫通Modem和卫通链路把各个网络对应连接互通，实现类似VPN的隔离性是组网的理想选择。实现这种EVPL的设备对以太网报文进行复接和分接，可以称为以太网复分接器，又因为主要承载IP业务，也可以称为IP复分接器。以太网复分接设备的用户口和中继口采用以太网口，简化了接口类型，而且使得这些网络好像本地连接一样简单。根据工作原理，该设备需成对使用;考虑到各网络的安全，设备必须保证用户间网络的隔离性。

1．2以太网报文格式

以太网复分接设备的输入和输出都是以太网报文，符合IEEE802．3数据链路层标准定义的以太网帧格式［8］，而以太网是事实上的局域网(LocalAreaNetwork，LAN)标准。航天测量船卫通Modem提供10/100BaseT以太网接口与用户网络的路由器或交换机对接，支持透明和路由2种工作模式，支持标准以太网帧(如图2所示)和VLAN帧(如图3所示)。以太网标准是向后兼容的，不管是哪种速率，以太网的帧格式都要符合图2的格式。以太网帧长度指的是链路层帧长度，在物理层还包括帧前序(7Byte)和帧起始符(1Byte)2个字段，以及帧与帧之间的帧间隙(至少12Byte)。帧结构中长度/类型字段根据值的不同有不同的含义:当字段值＞1500时，这种结构便是ETHER-NET_II帧，属于普通的以太网帧，其值代表该数据帧上层协议的类型(比如IP，IPX等);当字段值≤1500时，其值代表该数据帧的长度，这种类型就是ETHERNET_SNAP帧。目前广泛应用的是ETHERNET_II帧。数据/填充字段则是具体的数据，因为以太网数据帧的最小长度必须不小于64Byte，所以如果数据长度加上帧头后不足64Byte，需要在数据部分增加填充内容。校验字段用来判断该数据帧在传输过程中是否出错。IEEE802．1Q标准对Ethernet_II帧格式进行了扩充，在源MAC字段和长度/类型字段之间加入4Byte的802．1QTag［9］，如图3所示。其中Type字段，兼容原来的长度/类型字段，表示帧类型，长度仍为2Byte，取值为0x8100表示802．1QTag帧。如果不支持802．1Q的设备收到这样的帧，会将其丢弃。PRI字段，表示帧的优先级，长度为3bit，取值范围为0～7，值越大优先级越高，用于指示交换机当阻塞时优先发送优先级高的数据包。CFI字段，表示MAC地址是否是经典格式，长度为1bit，取值为0表示标准格式，取值为1表示非标准格式。在以太网中，CFI的值为0。VID字段，表示该帧所属的VLANID，长度为12bit，取值范围0～4095，其中0，4095保留。

1．3用户隔离

目前网络中最常用的在用户侧和中继侧都能提供以太网接口并提供一定网络隔离性的技术是基于标签(IEEE802．1Q的VLAN标签，IEEE802．1ad的嵌套VLAN标签，或者是MPLS标签)、基于VPN两种方式。由于卫通Modem提供的以太网接口只能处理以太网帧，不能处理MPLS帧和VPN帧，因此以太网复分接器基于类VLAN标签来实现以太网虚拟专线，复用卫通链路并保证用户的隔离性。

1．4透明转发

收发两端的卫通Modem和卫通链路一起构成的以太网通路对用户网络来说只是网线的延伸，可以看作是物理层的传输媒介。而提供以太网接口的路由器或交换机则基于路由技术或交换技术进行以太网报文的转发，本身实现复杂，而且易受网络攻击，因此要求以太网复分接器必须像传输设备那样，对来自用户口或中继口的报文攻击无感，和普通的用户报文一样，仅做透明转发。

2基于类VLAN标签的EVPL设计

通过以上分析可以看出，以太网复分接器设计的难点体现在3个方面:①帧格式的限制，必须与标准以太网帧兼容来实现用户隔离，又要保证不能被路由器交换机等2，3层设备破坏了隔离性。②数据的安全，要能够防止卫通链路上可能的注入攻击，也要防止通过镜像方式偷窥用户数据。③自身的安全，对业务具有透明性，不感知任何以太网帧内承载的任何协议，免受可能的网络攻击。这就要求精心设计帧格式各字段、报文的处理和转发流程。

2．1帧格式设计

实现以太网业务复分接的技术有很多，基于SDH的多业务传送平台(Multi-ServiceTransferPlat-form，MSTP)提供共享VCTRUNK的EVPL技术［10］，使得同一VCTRUNK通道可以提供多条点对点的业务连接，如图4所示。由于MSTP设备以太网业务处理板提供的VCTRUNK通道数有限，采用共享VCTRUNK的方式组网可以实现业务的汇聚和线路带宽共享，各用户以统计复用的方式来获得带宽，特别适用于业务高峰错开的不同用户共享同一条传输链路。另一方面采用VLAN标签(或MPLS标签)保证共享VCTRUNK的多条业务互相隔离。与以太网复分接器实现EVPL的方法类似，采用类VLAN标签标识不同的用户侧物理接口来区分不同的用户业务，达到复接和分接的目的。只不过中继侧的传输通道不是具有硬管道特性的SDH线路，而是具有软管道特性的以太网链路。以太网复分接器在用户口和中继口为了兼容标准以太网接口，帧格式都是Ethernet_II，并在中继口采用类VLAN标签，使修改后的帧携带复分接控制信息，如图5所示。以太网复分接器用户口为标准Ethernet_II帧格式，中继口帧格式在原长度/类型字段前，增加了RelayType字段和Control字段，并在原数据/填充字段之前增加OAM字段，其中RelayType字段固定为0x8100(将以太网帧标识为VLAN帧)，Control字段重新定义了原VLAN帧的PRI字段和VID字段的各个bit用于承载复分接控制信息，其用户接口号域规定了对应的用户侧网口序号，并保持CFI字段为0以与标准VLAN帧兼容。OAM字段长度为(2+n×4)Byte，保证整个帧头部的长度为4Byte的整数倍，实现复接后的以太网帧在中继链路上传输的校验、性能统计等功能。根据实现功能的复杂度，n可以取0或1，中继口的以太网帧相比用户口共增加6Byte或10Byte。通常n取0即可满足使用环境要求。

2．2转发和处理流程设计

用户口报文转发和中继口报文转发是2个对称的流程。设备将各用户接口接收的数据添加Relay-Type，Control，OAM字段，从指定的中继接口发送;在中继接收侧，设备对数据帧校验后，根据Control字段中的用户口号信息将各个数据包发送到指定的用户接口，并将RelayType，Control，OAM字段去掉。

2．3用户隔离设计

为保证用户网络的隔离性，采取的主要措施如下:①帧格式保证:一方面，Control字段的用户接口号域是数据复分接的唯一依据，与用户口序号值一一对应，设备出厂前进行设置。设备不基于MAC地址或者IP地址进行转发，而是基于类VLAN标签的用户接口号进行转发，不会将一个用户口接收的数据传送到接收端后分接到其他用户接口。另一方面，为了避免卫通信道受到干扰后Control字段被更改而造成接收数据被错发到其他用户口，Control字段具备前向纠错功能。纠错编码能够对接口号域实现1bit误码纠错和2bit误码检错，保证了中继传输过程中的偶发误码不会改变用户口间的隔离性。②数据总线隔离:数据转发和帧格式变换由设备CPU完成，设备的每一个以太网接口有独立的PHY芯片，并通过各自独立的数据总线与CPU连接，占有CPU独立的设备号和中断号，保证CPU独立操作每一路以太网接口的数据。③软件设计保证:首先，软件给每个以太网接口分配独立的接收缓冲区、发送缓冲区，以及独立的缓冲区管理结构。CPU在独立的中断进程中按照对应的内存结构进行处理，不会发生越界访问数据的情况。其次，处理过程没有采用流水线，而是串行处理，保证了报文的处理和转发过程是可预期的。用户口数据在驱动层接收后进行复接处理，然后直接送到中继口发送;中继口数据在驱动层接收后进行分接处理，然后直接送到用户口发送。

2．4安全性设计

以太网复分接器通过下列措施保证自身的安全和用户网络的安全:①透明转发:用户口和中继口在收到一个报文后，不做任何链路层及上层协议的处理，仅处理与复分接有关的RelayType，Control，OAM字段，并进行报文的合法性检验，转发机制决定了设备软件不存在可以利用的漏洞，因此被木马、病毒、网络探测报文或攻击报文等攻击时，设备免受其危害，自身是安全的，也保证了用户数据的安全性。②缓冲区保护:发送缓冲区符合标准以太网MTU的要求，中继口还要加上6Byte或10Byte的附加字段，保证发出的以太网帧长度在合理的范围内。接收缓冲区足够长，可以容纳巨帧报文，防止精心构造的攻击帧对设备的攻击。③帧格式保护:OAM字段在中继链路上还可以保证用户数据的安全，防注入攻击和防数据偷窥。当中继链路串接交换机时，OAM字段可保证人为注入的仿冒以太网数据帧和VLAN帧不能通过分接前校验而被丢弃;也可以防止交换机镜像端口上连接网络协议分析软件而泄露用户数据，因为类VLAN帧不符合标准协议无法进行标准协议的解码。

2．5QoS保证措施

以太网复分接器采用如下措施保证各网络业务的QoS:①将用户口区分为低、中、高3种优先级，转发过程基于用户口优先级调度各业务网络的业务。②为各用户口业务流量进行整形，为中继口流量进行限速，防止中继信道拥塞。③支持中、低优先级业务的最低保证带宽。最低保证带宽具有最高的优先级，中继口优先发送最低保证带宽的业务，剩余带宽用来发送正常的各网络业务。④为了适应VoIP传输需要，以太网复分接器进行限速的时间粒度与RTP语音编解码最小周期一致，可以根据系统要求出厂前进行设置，保证各子网业务流量的均匀性，降低对IP语音时延和抖动的影响。

2．6效率分析

效率是一个系统必须考虑的问题，对于以太网虚拟专线这个指标是中继效率，它表示用户口信息速率与中继口信息速率的比，对于以太网口考虑的是物理层(Layer1)速率。采用以太网复分接设备后，终端用户可用带宽是有损失的，帧长度越小信道利用率越低。

3试验验证

根据图1搭建试验测试环境，模拟航天测量船4个业务网络经以太网复分接器与岸上业务中心对应的4个业务网络同时进行信息传输的场景，中间卫通链路用卫通信道模拟器和一对卫通Modem连接进行模拟，不考虑链路时延。测试结果表明，以太网复分接器实现了EVPL，可以满足多个网络共用一条卫通链路并保证网络的隔离性，在QoS保证、有效性方面也达到了预期目的。

4结束语

以太网复分接器提供EVPL能力，对于大型船舶、远海岛屿和海外基地等有多网络接入需求的通信节点有重要价值，可以节约卫星通信地面站的建设成本和通信线路的租用成本，在民用和军用领域都有较好的推广价值。目前，以太网复分接器根据用户需要在一条卫通链路上最多建立4条以太网虚拟专线，实现了链路复用和降低费用的目标。硬件和软件稍做改动就可以成为提供更多的以太网虚拟专线、支持不同接口速率的系列化产品。

作者:于红增 石湘 刘咏荷 杨小伟 单位:中国电子科技集团公司第五十四研究所 中国卫星海上测控部