氣象部門是一個IT依賴性比較強的部門，對于資料傳輸?shù)臅r效性要求很高，為了保障資料能夠在要求的時間內(nèi)完成傳輸，并且保證信息在傳輸過程中的機密性、完整性和可用性。MPLS VPN技術(shù)是最佳的解決方案。它不僅會大大節(jié)省廣域網(wǎng)的建設(shè)和運行維護費用，而且擁有成本低、便于管理，開銷少、靈活度高，保密性好，性價比高等優(yōu)點。

1.1 MPLS的簡介

MPLS（Multiprotocol Label Switch）即多協(xié)議標記交換。最初是用來提高路由器的轉(zhuǎn)發(fā)速度而提出的一個協(xié)議，但是由于MPLS在流量工程和VPN這一在目前IP網(wǎng)絡(luò)中非常關(guān)鍵的技術(shù)中的表現(xiàn)，MPLS已日益成為擴大IP網(wǎng)絡(luò)規(guī)模的重要標準。

MPLS協(xié)議的關(guān)鍵是引入了標簽（Label）的概念。它是一種短的易于處理的、不包含拓撲信息、只具有局部意義的信息內(nèi)容。Label是為了易于處理，通?？梢杂盟饕苯右?。只具有局部意義是為了便于分配。在MPLS網(wǎng)絡(luò)中，IP包在進入第一個MPLS設(shè)備時，MPLS邊緣路由器就用標簽封裝起來。 MPLS邊緣路由器分析IP包的內(nèi)容并且為這些IP包選擇合適的標簽，相對于傳統(tǒng)的IP路由分析，MPLS不僅分析IP包頭中的目的地址信息。它還分析IP包頭中的其他信息，如TOS等。然后所有MPLS網(wǎng)絡(luò)中節(jié)點都是依據(jù)這個簡短標簽來作為轉(zhuǎn)發(fā)判決依據(jù)。當該IP包最終離開MPLS網(wǎng)絡(luò)時，標簽被邊緣路由器分離。

1.2 VPN的簡介

VPN是Virtual Private Network的縮寫，中文譯為虛擬專用網(wǎng)。Virtual Network的含義有兩個，一是VPN是建立在現(xiàn)有物理網(wǎng)絡(luò)之上，與物理網(wǎng)絡(luò)具體的網(wǎng)絡(luò)結(jié)構(gòu)無關(guān)，用戶一般無需關(guān)心物理網(wǎng)絡(luò)和設(shè)備；二是VPN用戶使用VPN時，看到的是一個可預(yù)先設(shè)定義的動態(tài)的網(wǎng)絡(luò)。Private Network的含義也有兩個，一是表明VPN建立在所有用戶能到達的公共網(wǎng)絡(luò)上，特別是Internet，當在一個由專線組成的專網(wǎng)內(nèi)構(gòu)建VPN時，相對VPN這也是一個“公網(wǎng)”；二是VPN將建立專用網(wǎng)絡(luò)或者稱為私有網(wǎng)絡(luò)，確保提供安全的網(wǎng)絡(luò)連接，它必須具備幾個關(guān)鍵功能：認證、訪問控制、加密和數(shù)據(jù)完整。一個網(wǎng)絡(luò)連接一般由三個部分組成：客戶機、傳輸介質(zhì)和服務(wù)器。VPN也一樣，不同的是VPN連接使用隧道作為傳輸通道，靠的是對數(shù)據(jù)包的封裝和加密。VPN是一種快速建立廣域連接的互聯(lián)和訪問工具，也是一種強化網(wǎng)絡(luò)安全和管理的工具。VPN建立在用戶的物理網(wǎng)絡(luò)之上、融入在用戶的網(wǎng)絡(luò)應(yīng)用系統(tǒng)之中。VPN技術(shù)涵蓋了多個技術(shù)專業(yè)，不同應(yīng)用領(lǐng)域所適用的技術(shù)和產(chǎn)品有很大差異。VPN技術(shù)是廣域網(wǎng)建設(shè)的最佳解決方案，它不僅會大大節(jié)省廣域網(wǎng)的建設(shè)和運行維護費用，而且擁有成本低、便于管理，開銷少、靈活度高，保密性好等優(yōu)點。

1.3基于MPLS的VPN技術(shù)

MPLS VPN是指基于MPLS技術(shù)構(gòu)建的虛擬專用網(wǎng)，即采用MPLS技術(shù)，在公共IP網(wǎng)絡(luò)上構(gòu)建公用IP專網(wǎng)，實現(xiàn)數(shù)據(jù)、語音、圖像等多業(yè)務(wù)寬帶連接。并結(jié)合差別服務(wù)、流量工程等相關(guān)技術(shù)，為用戶提供高質(zhì)量的服務(wù)。MPLS VPN能夠在提供原有VPN網(wǎng)絡(luò)所有功能的同時，提供強有力的Qos能力，具有可靠性高、安全性高、擴展能力強、控制策略靈活以及管理能力強大等特點。

MPLS是一種特殊的轉(zhuǎn)發(fā)機制，它為進入網(wǎng)絡(luò)中的IP數(shù)據(jù)包分配標記，并通過對標記的交換來實現(xiàn)IP數(shù)據(jù)包的轉(zhuǎn)發(fā)。標記作為IP包頭在網(wǎng)絡(luò)中的替代品而存在，在網(wǎng)絡(luò)內(nèi)部MPLS在數(shù)據(jù)包所經(jīng)過的路徑通過交換標記來實現(xiàn)轉(zhuǎn)發(fā)；當數(shù)據(jù)包要退出MPLS網(wǎng)絡(luò)時，數(shù)據(jù)包被解開封裝，繼續(xù)按照IP包的路由方式到達目的地。

MPLS的一個重要應(yīng)用是VPN。根據(jù)PE（Provider Edge）設(shè)備是否參與VPN路由又細分為二層VPN和三層VPN。 從整體來說，MPLS VPN還處在發(fā)展和成型階段。 其中三層MPLS BGP VPN相對來說比較成熟，三層MPLS BGP VPN實現(xiàn)全國氣象通信也是通過BGP的路由協(xié)議。各個省局包括直轄市與國家局都有彼此間直接路由訪問能力。

2.1 全國氣象MPLS VPN網(wǎng)絡(luò)拓撲

MPLS VPN網(wǎng)絡(luò)主干為網(wǎng)狀結(jié)構(gòu)，所有節(jié)點擁有彼此間直接路由訪問能力，并在中國氣象局業(yè)務(wù)傳輸政策允許的范圍內(nèi)實現(xiàn)節(jié)點間的互聯(lián)互通。從而實現(xiàn)了各個省級節(jié)點相互之間的通信。各個節(jié)點之間采用BGP路由協(xié)議實現(xiàn)全網(wǎng)主干的路由連接，提供省級節(jié)點和國家級節(jié)點之間，或者省級節(jié)點和省級節(jié)點之間的業(yè)務(wù)訪問能力。在各級節(jié)點與本地局域網(wǎng)互聯(lián)部分，則采用靜態(tài)路由方式，實現(xiàn)各地業(yè)務(wù)系統(tǒng)與MPLS VPN網(wǎng)絡(luò)系統(tǒng)的連接。目前國家級中心網(wǎng)絡(luò)接入帶寬為10Mbps，各省級節(jié)點為2Mbps。MPLS VPN通過與本地局域網(wǎng)絡(luò)互聯(lián)，實現(xiàn)氣象業(yè)務(wù)系統(tǒng)的網(wǎng)絡(luò)傳輸通道，其中國家級中心通過防火墻設(shè)備與中國氣象局骨干網(wǎng)絡(luò)連接，各省級節(jié)點MPLS VPN接入路由器直接與省內(nèi)局域網(wǎng)絡(luò)相連。各級節(jié)點BGP路由中僅發(fā)布與網(wǎng)絡(luò)主干互聯(lián)及本地與業(yè)務(wù)傳輸相關(guān)的路由信息，為保證動態(tài)路由信息發(fā)布的正確性，避免由于發(fā)布錯誤路由造成網(wǎng)絡(luò)傳輸故障，MPLS VPN網(wǎng)絡(luò)系統(tǒng)建設(shè)中將逐步實施BGP路由信息控制策略。相應(yīng)的，根據(jù)中國氣象局規(guī)定的省級節(jié)點間業(yè)務(wù)訪問政策，允許直接實現(xiàn)網(wǎng)絡(luò)通信的省級節(jié)點間的路由也將通過BGP路由信息控制策略實現(xiàn)。

各個省局與國家局通信是依賴于MPLS VPN技術(shù)，數(shù)據(jù)的傳輸方式是通過隧道，讓數(shù)據(jù)包通過這條隧道傳輸。隧道是由隧道協(xié)議形成的，分為第二、三層隧道協(xié)議。第二層隧道協(xié)議是先把各種網(wǎng)絡(luò)協(xié)議封裝到PPP中，再把整個數(shù)據(jù)包裝入隧道協(xié)議中。這種雙層封裝方法形成的數(shù)據(jù)包靠第二層協(xié)議進行傳輸。第二層隧道協(xié)議有L2F、PPTP、L2TP等。L2TP協(xié)議是目前IETF的標準，由IETF融合PPTP與L2F而形成。第三層隧道協(xié)議是把各種網(wǎng)絡(luò)協(xié)議直接裝入隧道協(xié)議中，形成的數(shù)據(jù)包依靠第三層協(xié)議進行傳輸。第三層隧道協(xié)議有VTP、IPSec等。IPSec（IP Security）是由一組RFC文檔組成，定義了一個系統(tǒng)來提供安全協(xié)議選擇、安全算法，確定服務(wù)所使用密鑰等服務(wù)，從而在IP層提供安全保障。

2.2 國家氣象局中心 MPLS VPN網(wǎng)絡(luò)連接

國家級中心MPLS VPN接入路由器通過防火墻系統(tǒng)與中國氣象局骨干網(wǎng)絡(luò)實現(xiàn)互聯(lián)。連接在中國氣象局骨干網(wǎng)絡(luò)的各類國家級服務(wù)器，通過在防火墻上對其進行地址翻譯及開放相應(yīng)的服務(wù)端口授權(quán)，通過BGP路由協(xié)議實現(xiàn)與省級各個節(jié)點之間的網(wǎng)絡(luò)訪問。

3.1 沈陽區(qū)域氣象中心本地MPLS VPN網(wǎng)絡(luò)連接

各省級節(jié)點通過Cisco 2821網(wǎng)絡(luò)設(shè)備直接與本地局域網(wǎng)建立連接。各省級節(jié)點與本地局域網(wǎng)互聯(lián)時，使用9210通信主機所在的業(yè)務(wù)網(wǎng)段地址，Cisco 2821與本地局域網(wǎng)互聯(lián)接口統(tǒng)一為GigabitEthernet 0/1，接口IP地址統(tǒng)一為該節(jié)點9210通信網(wǎng)段地址，GigabitEthernet 0/1的IP地址為172.19.1.226，掩碼為255.255.255.0。與電信設(shè)備的互聯(lián)的接口GigabitEthernet0/0的IP地址使用一個掩碼為/30的地址段，IP地址為10.86.0.66。對端電信設(shè)備與其連接的IP地址為10.86.0.65。

Loopback是一個虛擬的網(wǎng)絡(luò)接口，它的地址被用作BGP網(wǎng)絡(luò)協(xié)議的Router ID，它的IP地址為192.168.200.22，它被作為網(wǎng)絡(luò)設(shè)備的唯一標識，便于管理。

3.2 沈陽區(qū)域氣象中心本地BGP路由配置

沈陽區(qū)域氣象中心采用的是動態(tài)BGP的路由方式，與其他各個節(jié)點成為鄰居關(guān)系，配置命令：network 10.86.0.66 mask 255.255.255.255，在網(wǎng)絡(luò)中將與電信互聯(lián)的接口IP地址宣告加入BGP路由。network 172.19.1.0mask 255.255.255.0，將本地局域網(wǎng)的網(wǎng)段加入BGP路由。neighbor 10.86.0.65 remote-as 4809，指定電信設(shè)備作為BGP鄰居。這樣我們本地的計算機就可以通過BGP的動態(tài)路由訪問到其他各個省局了。

小結(jié)

全國氣象寬帶網(wǎng)絡(luò)MPLS VPN系統(tǒng)的開通，將大大改善目前通信網(wǎng)絡(luò)傳輸中傳輸速度慢等制約業(yè)務(wù)發(fā)展的狀況，為適應(yīng)業(yè)務(wù)技術(shù)體制改革的需求，加速國家區(qū)域和省市間網(wǎng)絡(luò)共享平臺建設(shè)，為今年北京奧運會做好氣象服務(wù)，提供更為強有力的信息技術(shù)支持和保障。

參考文獻

[1]VPN技術(shù)原理及相關(guān)基礎(chǔ)知識介紹.

[2] IPSec遠程訪問VPN的安全策略研究.

[3] VPN虛擬專網(wǎng)：技術(shù)與解決方案.