MPLSVPN技術(shù)在政務(wù)信息網(wǎng)中的架構(gòu)及應(yīng)用

中國聯(lián)合網(wǎng)絡(luò)通信有限公司許昌市分公司 楊繼峰

MPLSVPN技術(shù)在政務(wù)信息網(wǎng)中的架構(gòu)及應(yīng)用

中國聯(lián)合網(wǎng)絡(luò)通信有限公司許昌市分公司 楊繼峰

隨著網(wǎng)絡(luò)經(jīng)濟(jì)的不斷發(fā)展，政務(wù)信息網(wǎng)對(duì)于自身網(wǎng)絡(luò)的建設(shè)提出了越來越高的要求，主要體現(xiàn)在網(wǎng)絡(luò)的靈活性、經(jīng)濟(jì)性、可擴(kuò)展性等方面。另外，由于政務(wù)信息網(wǎng)的建設(shè)是搭建在可承載多項(xiàng)應(yīng)用的綜合數(shù)據(jù)平臺(tái)上，因此，要求網(wǎng)絡(luò)具有良好的安全性、可靠性、可擴(kuò)展性和可管理性。在這樣的背景下，VPN（Virtual Private Network）以其獨(dú)有的優(yōu)勢贏得了越來越多的青睞。VPN是利用公共網(wǎng)絡(luò)來構(gòu)建的虛擬專用網(wǎng)。在所有的VPN技術(shù)中，MPLS VPN（MultiprotocolLabelSwitchingVirtual Private Network）是網(wǎng)絡(luò)互聯(lián)技術(shù)的一個(gè)突破，因其具有良好的可擴(kuò)展性和靈活性等特點(diǎn)，常常用于大型網(wǎng)絡(luò)的組網(wǎng)方案中。

目前，政務(wù)信息網(wǎng)的基本架構(gòu)一般是通過對(duì)省、地（市）、縣三級(jí)寬帶接入平臺(tái)的集成建設(shè)來實(shí)現(xiàn)，因此，可通過MPLS VPN技術(shù)，構(gòu)筑一個(gè)安全、可靠、先進(jìn)和穩(wěn)定的專用寬帶網(wǎng)絡(luò)基礎(chǔ)平臺(tái)，并且實(shí)現(xiàn)以下3個(gè)主要目標(biāo)。

1.為省、地（市）、縣政府辦公廳（室）各級(jí)局域網(wǎng)提供到省政務(wù)信息網(wǎng)的寬帶接入服務(wù)。

2.實(shí)現(xiàn)省、地（市）、縣政府辦公廳（室）縱向聯(lián)網(wǎng)的要求?？v向聯(lián)網(wǎng)是指建設(shè)形成各級(jí)政府機(jī)關(guān)系統(tǒng)內(nèi)部，自上而下的省、地（市）、縣的3級(jí)網(wǎng)絡(luò)系統(tǒng)，可看作是局域網(wǎng)辦公系統(tǒng)在廣域網(wǎng)上的擴(kuò)展。

3.實(shí)現(xiàn)以省、地（市）、縣三級(jí)政府辦公廳為核心，橫向聯(lián)結(jié)直屬各部門及有關(guān)部門的橫向網(wǎng)，實(shí)現(xiàn)不同行業(yè)系統(tǒng)間的信息共享。

一、MPLS VPN技術(shù)在政務(wù)網(wǎng)中應(yīng)用的特點(diǎn)

MPLS VPN是一種基于MPLS技術(shù)的虛擬專用網(wǎng)，根據(jù)PE（Provider Edge）設(shè)備是否參與VPN路由處理，又細(xì)分為2層VPN和3層VPN。一般而言，MPLS/BGP VPN（Multiprotocol Label Switching/Border Gateway Protocol Virtual Private Network）指的是3層VPN。采用MPLS/BGP VPN技術(shù)可以為政務(wù)信息網(wǎng)提供一種基于網(wǎng)絡(luò)、易于管理、擴(kuò)充性好、安全且具有QoS（Quality of Service）保障的VPN。MPLS VPN具有以下特點(diǎn)。

1.基于網(wǎng)絡(luò)，易于管理。這種基于網(wǎng)絡(luò)的VPN可以完全由骨干網(wǎng)絡(luò)來實(shí)現(xiàn)，即各級(jí)政府部門不用關(guān)心VPN是如何構(gòu)造的，可認(rèn)為自己擁有獨(dú)立的廣域?qū)＞W(wǎng)，并可按需要規(guī)劃部門內(nèi)部的網(wǎng)絡(luò)。這種VPN可以顯著地減少網(wǎng)絡(luò)管理的復(fù)雜性，特別適合為政府、集團(tuán)用戶實(shí)現(xiàn)網(wǎng)絡(luò)互聯(lián)。

2.擴(kuò)充性好。由于基于MPLS/BGP（Multiprotocol Label Switching/Border Gateway Protocol）來實(shí)現(xiàn)，因此很容易對(duì)網(wǎng)絡(luò)節(jié)點(diǎn)進(jìn)行擴(kuò)充，提高網(wǎng)絡(luò)可剪裁性。

3.安全。由于基于MPLS/BGP實(shí)現(xiàn)，報(bào)文在網(wǎng)絡(luò)節(jié)點(diǎn)構(gòu)成的MPLS域中采用了標(biāo)簽轉(zhuǎn)發(fā)的形式進(jìn)行交換LSP（Layered Service Provider），因此具有同ATM/FR（Asynchronous Transfer Mode/Frame Relay）相同的安全級(jí)別。

4.QoS。由于基于MPLS/BGP實(shí)現(xiàn)，可以利用MPLS技術(shù)特有 的 CoS（ClassofService）、RSVP（Resource Reservation Protocol）以及流量工程（Traffic Engineering）等機(jī)制來處理，因此能夠?yàn)橛脩魧?shí)現(xiàn)具有QoS保證的VPN。

用MPLS來實(shí)現(xiàn)VPN是一種發(fā)展趨勢，VPN的劃分可在PE節(jié)點(diǎn)上實(shí)現(xiàn)?？紤]到在實(shí)際運(yùn)營過程中，政務(wù)信息網(wǎng)需要同時(shí)支持很多個(gè)VPN，MPLS VPN可簡化IP地址的規(guī)劃、分配和維護(hù)。基于MPLS的標(biāo)簽轉(zhuǎn)發(fā)路徑的VPN可以單獨(dú)構(gòu)成一個(gè)獨(dú)立的地址空間，即VPN之間可以重用地址，在分配地址時(shí)不必考慮是否會(huì)與其他的VPN發(fā)生沖突，只需要考慮在本VPN之內(nèi)不發(fā)生沖突即可。當(dāng)然在考慮VPN與Internet互聯(lián)時(shí)還需通過NAT（Network Address Translation）等方式來避免與Internet地址產(chǎn)生沖突。

二、MPLS VPN在政務(wù)信息網(wǎng)縱向組網(wǎng)中的應(yīng)用

1.政務(wù)信息網(wǎng)MPLS/BGP VPN組網(wǎng)模型。在政務(wù)信息網(wǎng)絡(luò)中，匯聚層中每個(gè)路由器都可作為PE，因而省去了P節(jié)點(diǎn)的設(shè)置。政府把各級(jí)政府、廳、局、委、辦局域網(wǎng)絡(luò)的路由器作為CE（Communication Edge）節(jié)點(diǎn)。省政府路由器節(jié)點(diǎn)、地（市）政府路由器節(jié)點(diǎn)都是PE節(jié)點(diǎn)。在每個(gè)PE節(jié)點(diǎn)中，網(wǎng)絡(luò)采用向各級(jí)政府、廳、局、委、辦用戶提供寬帶，以太網(wǎng)VPN接入端口的方式來開展VPN業(yè)務(wù)，對(duì)用戶來說，VPN是透明的，政府用戶只需提供一個(gè)CE設(shè)備（雙網(wǎng)口中低端普通路由器）即可。

省、地（市）、縣級(jí)的PE間利用傳輸線路進(jìn)行互聯(lián)。省匯聚層路由器要對(duì)省級(jí)范圍內(nèi)的流量進(jìn)行匯聚和轉(zhuǎn)發(fā)，對(duì)性能和可靠性的要求非常高，建議選擇高端核心路由器。在地（市）和縣級(jí)別的分層匯聚節(jié)點(diǎn)，采用分布式處理體系設(shè)置，分層匯聚路由器可選擇較為高端的路由器。

2.MPLS VPN實(shí)現(xiàn)政務(wù)信息網(wǎng)的縱向互聯(lián)。在政務(wù)信息網(wǎng)絡(luò)中，各級(jí)政府、廳、局、委、辦用戶在本地分別組建了自己的局域網(wǎng)。由于各用戶IP地址的獨(dú)立規(guī)劃，不可能重復(fù)，因此在用戶通過政務(wù)信息網(wǎng)的以太網(wǎng)接口接入時(shí)，可將每個(gè)用戶劃分到屬于接入網(wǎng)絡(luò)中的一個(gè)獨(dú)立的 VLAN（Virtual Local Area Network）中，也可利用802.1q VLAN在2層網(wǎng)絡(luò)設(shè)備上將政府的各個(gè)用戶之間在本地實(shí)現(xiàn)隔離。

各級(jí)政府、廳、局、委、辦用戶通過接入網(wǎng)絡(luò)，將各自所屬的VLAN接入到政府信息網(wǎng)的PE設(shè)備中，核心路由器和分層匯聚路由器與接入網(wǎng)絡(luò)相連的以太網(wǎng)接口支持802.1q標(biāo)準(zhǔn)，在這個(gè)接口上劃分子接口接入各政府用戶的VLAN。

作為PE設(shè)備，核心路由器和分層匯聚路由器根據(jù)MPLS VPN的配置及策略，將來自不同VLAN，即不同VPN用戶的報(bào)文進(jìn)行VPN的VRF（Virtual Routing Forwarding）路由查找后并且打上內(nèi)、外層MPLS標(biāo)簽進(jìn)入MPLS核心網(wǎng)，通過MPLS交換外層標(biāo)簽，在倒數(shù)第二跳節(jié)點(diǎn)上彈出外層標(biāo)簽，轉(zhuǎn)發(fā)到相應(yīng)的地（市）PE節(jié)點(diǎn)，并彈出內(nèi)層標(biāo)簽，轉(zhuǎn)發(fā)給用戶CE，從而實(shí)現(xiàn)政務(wù)信息網(wǎng)縱向網(wǎng)絡(luò)的互聯(lián)互通。核心路由器或分層匯聚路由器需支持超過在網(wǎng)用戶個(gè)數(shù)的VPN的隔離及轉(zhuǎn)發(fā)，以滿足政府信息網(wǎng)VPN的接入需要。

每個(gè)唯一的VLAN與唯一的VPN分別對(duì)應(yīng)，確定政府下屬部門內(nèi)部的縱向網(wǎng)絡(luò)，利用2層的VLAN及2.5層的MPLS LABEL實(shí)現(xiàn)了VPN的隔離，保證政府各部門間網(wǎng)絡(luò)的獨(dú)立性及內(nèi)部安全性。

三、MPLS VPN在政務(wù)信息網(wǎng)的橫向互聯(lián)應(yīng)用

根據(jù)政務(wù)信息網(wǎng)的有關(guān)需求，除了滿足可以實(shí)現(xiàn)省、地（市）、縣的縱向聯(lián)網(wǎng)外，同時(shí)還要滿足以省、地（市）、縣為核心的橫向聯(lián)結(jié)，即直屬各部門及有關(guān)部門的橫向互聯(lián)，實(shí)現(xiàn)不同行業(yè)系統(tǒng)間的信息共享。

政府網(wǎng)橫向互聯(lián)的業(yè)務(wù)需求主要通過WWW（World Wide Web）服務(wù)器的公共信息來發(fā)布。在省網(wǎng)絡(luò)中心設(shè)置視頻會(huì)議MCU（Multipoint Control Units）實(shí)現(xiàn)省政府系統(tǒng)信息網(wǎng)內(nèi)縱向及系統(tǒng)間橫向的多點(diǎn)對(duì)多點(diǎn)的桌面視頻會(huì)議系統(tǒng)。以及其他一些桌面級(jí)訪問。

根據(jù)這些訪問的需求不同，從組網(wǎng)角度可分為全網(wǎng)范圍的服務(wù)器訪問，以及受控的部分桌面訪問。

1.橫向互聯(lián)的基本思想及地址規(guī)劃。政府橫向網(wǎng)的各單位有不同的地址、應(yīng)用等規(guī)劃，但如果需要進(jìn)行相互的訪問，則首先必須規(guī)定互訪部分網(wǎng)絡(luò)地址應(yīng)該是統(tǒng)一規(guī)劃和設(shè)計(jì)的，這樣才能保證地址不沖突。

橫向互聯(lián)訪問設(shè)計(jì)的基本思想是橫向互聯(lián)地址統(tǒng)一規(guī)劃，縱向用戶終端和橫向用戶終端劃分為不同VLAN進(jìn)行安全隔離，2層交換機(jī)采用VLAN透傳的方式與雙以太網(wǎng)口的出口路由器相連，出口路由器作為CE，在其上行以太網(wǎng)口上配置兩個(gè)以太網(wǎng)子接口與政府核心網(wǎng)的路由器設(shè)備相連，作為PE設(shè)備的路由器則創(chuàng)建兩個(gè)VRF與對(duì)接子接口相綁定，其中一個(gè)VRF用于縱向聯(lián)網(wǎng)VPN；另一個(gè)用于橫向聯(lián)網(wǎng)VPN。

橫向聯(lián)網(wǎng)VRF具備與縱向聯(lián)網(wǎng)VRF完全相同的路由目標(biāo)和路由屬性，用于縱向互通，同時(shí)還引入了橫向聯(lián)網(wǎng)的路由。使橫向聯(lián)網(wǎng)計(jì)算機(jī)同時(shí)具備了橫向網(wǎng)、縱向網(wǎng)的互訪能力。

在政務(wù)信息網(wǎng)中對(duì)于有特殊要求的橫向聯(lián)網(wǎng)計(jì)算機(jī)，例如財(cái)政局與機(jī)要局橫向聯(lián)網(wǎng)的計(jì)算機(jī)，如果要求與財(cái)政縱向網(wǎng)計(jì)算機(jī)完全隔離，只需將橫向VRF中的縱向路由目標(biāo)、路由參數(shù)刪除即可，配置實(shí)現(xiàn)非常簡單。

2.橫向互聯(lián)組網(wǎng)的應(yīng)用。政務(wù)信息網(wǎng)中有部分單位具有橫向互訪及內(nèi)部縱向互聯(lián)的需求，如財(cái)政局、稅務(wù)局就需要橫向互訪及內(nèi)部縱向互聯(lián)，財(cái)政局、稅務(wù)局可以分別通過不同VLAN接入不同的MPLS VPN實(shí)現(xiàn)縱向互聯(lián)及相互隔離。

book=115,ebook=115