吳赟

摘要：本文分析了無錫政務(wù)網(wǎng)的建設(shè)背景和組網(wǎng)需求。提出基于VPN的網(wǎng)絡(luò)構(gòu)建方案，采用MPLSVPN技術(shù)，旨在解決組網(wǎng)需求中的多個(gè)相互獨(dú)立局域網(wǎng)并存，又滿足共享數(shù)據(jù)公開訪問要求。MPLS VPN在政務(wù)網(wǎng)中的應(yīng)用對政務(wù)網(wǎng)的的建設(shè)和發(fā)展起到了促進(jìn)作用。

關(guān)鍵詞：政務(wù)網(wǎng)；VPN；MPLS VPN；數(shù)據(jù)隔離

中圖分類號：TP393 文獻(xiàn)標(biāo)識(shí)碼：A 文章編號：1007-9416（2017）03-0032-01

當(dāng)前，隨著政務(wù)改革不斷深入，各單位頻繁的業(yè)務(wù)互動(dòng)和信息交換對信息化提出了更高的要求。針對各單位的特點(diǎn)和需求構(gòu)建新的政務(wù)網(wǎng)絡(luò)顯得尤為重要。

1 政務(wù)網(wǎng)絡(luò)需求分析

原有政務(wù)網(wǎng)絡(luò)沒有中心點(diǎn)，分布在全市的各單位通過運(yùn)營商實(shí)現(xiàn)互連，所有路由策略無法統(tǒng)一管控，任何網(wǎng)絡(luò)改變只能依賴運(yùn)營商。因此，新建的無錫政務(wù)網(wǎng)在整合的基礎(chǔ)上，還需要提供以下幾種能力：（1）安全隔離。無錫政務(wù)網(wǎng)絡(luò)能夠?qū)崿F(xiàn)和區(qū)縣單位的縱向互訪，不同單位之間不能夠相互訪問。（2）受控互訪。所有跨單位的業(yè)務(wù)服務(wù)器共同組成一個(gè)共享域。各縱向系統(tǒng)能夠主動(dòng)發(fā)起對共享系統(tǒng)的訪問，共享系統(tǒng)不能主動(dòng)訪問縱向系統(tǒng)，從而保證縱向系統(tǒng)的安全。本文基于MPLS VPN技術(shù)，采用訪問控制和策略部署方式構(gòu)建政務(wù)網(wǎng)絡(luò)。

2 MPLS VPN技術(shù)

MPLS VPN技術(shù)由兩個(gè)部分構(gòu)成：1）MPLS（Multi-Protocol Label Switching，多協(xié)議標(biāo)簽交換）。在路由可達(dá)情況下，生成標(biāo)簽轉(zhuǎn)發(fā)通道，數(shù)據(jù)包進(jìn)入網(wǎng)絡(luò)后分配到固定長度的標(biāo)記，交換節(jié)點(diǎn)根據(jù)標(biāo)記進(jìn)行轉(zhuǎn)發(fā)，轉(zhuǎn)發(fā)速度很快。2）VPN（Virtual Private Network，虛擬私有網(wǎng)）在三層設(shè)備（路由器或三層交換機(jī)）上為每個(gè)VPN建立專用的VRF（Virtual Route Forwarding）表。

MPLS VPN的成員包括：P、PE和CE。P負(fù)責(zé)根據(jù)標(biāo)簽轉(zhuǎn)發(fā)數(shù)據(jù)包。PE管理VRF，處理VPN IPv4路由；CE負(fù)責(zé)正常的IP報(bào)文轉(zhuǎn)發(fā)。MPLS VPN直接在IP層將各個(gè)VPN通過專用的VRF進(jìn)行隔離，每個(gè)VRF維護(hù)一套獨(dú)立的路由轉(zhuǎn)發(fā)表，即使不同單位使用相同的IP地址段都不受影響，從而達(dá)到各VPN的安全隔離。如果VPN之間有互訪需求，則可以通過控制VRF間路由的引入來實(shí)現(xiàn)。

3 設(shè)計(jì)和實(shí)現(xiàn)

基于MPLS VPN技術(shù)，采用訪問控制和策略部署的方式構(gòu)建政務(wù)網(wǎng)絡(luò)。整個(gè)政務(wù)網(wǎng)分為三部分，數(shù)據(jù)中心、園區(qū)接入和區(qū)縣接入。在保證路由可達(dá)的前提下，政務(wù)網(wǎng)絡(luò)中配置MPLS，為各個(gè)單位在匯聚交換機(jī)分配不同的VPN。政務(wù)網(wǎng)內(nèi)各單位和區(qū)縣各對應(yīng)單位需要配置相同VPN RD和RT值，滿足安全隔離需求?？鐔挝粯I(yè)務(wù)服務(wù)器屬于共享域，配置特殊的VPN RD和RT值，可以跟其他單位VPN互通，并通過配置ACL策略控制VPN間訪問的業(yè)務(wù)流量，滿足受控互訪的需求。

分屬數(shù)據(jù)中心核心交換機(jī)作為P設(shè)備，構(gòu)建標(biāo)簽轉(zhuǎn)發(fā)路徑，執(zhí)行MPLS高速轉(zhuǎn)發(fā)，同時(shí)因?yàn)閰^(qū)縣接入直接匯聚到核心交換機(jī)，所以核心交換機(jī)同時(shí)擔(dān)當(dāng)PE角色；園區(qū)接入設(shè)備作為PE，負(fù)責(zé)接入CE；數(shù)據(jù)中心匯聚交換機(jī)作為PE，負(fù)責(zé)單位服務(wù)器接入。這兩臺(tái)PE會(huì)根據(jù)VLAN標(biāo)記分配所屬的VPN，并維護(hù)各單位VPN信息，與其他PE交互VPN路由，實(shí)現(xiàn)縱向、橫向VPN隔離和互訪；樓道交換機(jī)作為CE，連接園區(qū)接入設(shè)備，為接入用戶分配VLAN標(biāo)記。

MPLS VPN實(shí)現(xiàn)安全隔離和共享的情形：A、B為不同的兩個(gè)單位，C為雙方需要訪問的共享域；

ip vpn-instance A ＼表示單位A

route-distinguisher 15400：1

vpn-target 1500：1 10000：1 export-extcommunity

vpn-target 1500：1 10000：2 import-extcommunity

ip vpn-instance B ＼表示單位B

route-distinguisher 1800：1

vpn-target 1800：1 10000：1 export-extcommunity

vpn-target 1800：1 10000：2 import-extcommunity

ip vpn-instance C ＼表示區(qū)域C

route-distinguisher 100：4

vpn-target 10000：2 export-extcommunity

vpn-target 10000：1 import-extcommunity

單位A和B的VPN配置表示收RT是10000：2的路由，并發(fā)送RT是10000：1的路由，因此單位A和B的網(wǎng)絡(luò)在邏輯上是隔離的，數(shù)據(jù)無法交互；區(qū)域C的VPN配置表示收RT是10000：1的路由，并發(fā)送RT是10000：2的路由，因此單位A和B分別能訪問區(qū)域C的數(shù)據(jù)。這樣就滿足了各縱向系統(tǒng)能夠主動(dòng)發(fā)起對共享系統(tǒng)的訪問，而各縱向系統(tǒng)數(shù)據(jù)隔離的問題。在區(qū)域C的RT中加上10000：1的路由，把需要互訪的地址允許轉(zhuǎn)發(fā)，其他地址禁止轉(zhuǎn)發(fā)，并在共享域C的接口上應(yīng)用，能夠?qū)崿F(xiàn)受控互訪的要求。

4 結(jié)語

現(xiàn)今，建立一個(gè)技術(shù)先進(jìn)、擴(kuò)展性強(qiáng)、能覆蓋所有功能區(qū)域的政務(wù)網(wǎng)絡(luò)是必不可少的。MPLS VPN技術(shù)特性符合政務(wù)網(wǎng)的設(shè)計(jì)需要，在此基礎(chǔ)上建立能滿足政府業(yè)務(wù)、指揮協(xié)調(diào)和管理需要的軟硬件環(huán)境，開發(fā)各類信息庫和應(yīng)用系統(tǒng)，極大方便的為各類工作人員提供充分的網(wǎng)絡(luò)信息服務(wù)。

參考文獻(xiàn)

[1]佩佩恩雅克. MPLS和VPN體系結(jié)構(gòu).人民郵電出版社，2010.7.

[2]斯桃枝.路由協(xié)議與交換技術(shù).清華大學(xué)出版社，2012.11.

[3]謝希仁.計(jì)算機(jī)網(wǎng)絡(luò)（第6版）.電子工業(yè)出版社，2013.6.