中國聯(lián)合網(wǎng)絡(luò)通信有限公司許昌市分公司 楊繼峰

MPLSVPN技術(shù)在政務(wù)信息網(wǎng)中的架構(gòu)及應(yīng)用

中國聯(lián)合網(wǎng)絡(luò)通信有限公司許昌市分公司 楊繼峰

隨著網(wǎng)絡(luò)經(jīng)濟的不斷發(fā)展，政務(wù)信息網(wǎng)對于自身網(wǎng)絡(luò)的建設(shè)提出了越來越高的要求，主要體現(xiàn)在網(wǎng)絡(luò)的靈活性、經(jīng)濟性、可擴展性等方面。另外，由于政務(wù)信息網(wǎng)的建設(shè)是搭建在可承載多項應(yīng)用的綜合數(shù)據(jù)平臺上，因此，要求網(wǎng)絡(luò)具有良好的安全性、可靠性、可擴展性和可管理性。在這樣的背景下，VPN（Virtual Private Network）以其獨有的優(yōu)勢贏得了越來越多的青睞。VPN是利用公共網(wǎng)絡(luò)來構(gòu)建的虛擬專用網(wǎng)。在所有的VPN技術(shù)中，MPLS VPN（MultiprotocolLabelSwitchingVirtual Private Network）是網(wǎng)絡(luò)互聯(lián)技術(shù)的一個突破，因其具有良好的可擴展性和靈活性等特點，常常用于大型網(wǎng)絡(luò)的組網(wǎng)方案中。

目前，政務(wù)信息網(wǎng)的基本架構(gòu)一般是通過對省、地（市）、縣三級寬帶接入平臺的集成建設(shè)來實現(xiàn)，因此，可通過MPLS VPN技術(shù)，構(gòu)筑一個安全、可靠、先進和穩(wěn)定的專用寬帶網(wǎng)絡(luò)基礎(chǔ)平臺，并且實現(xiàn)以下3個主要目標(biāo)。

1.為省、地（市）、縣政府辦公廳（室）各級局域網(wǎng)提供到省政務(wù)信息網(wǎng)的寬帶接入服務(wù)。

2.實現(xiàn)省、地（市）、縣政府辦公廳（室）縱向聯(lián)網(wǎng)的要求?？v向聯(lián)網(wǎng)是指建設(shè)形成各級政府機關(guān)系統(tǒng)內(nèi)部，自上而下的省、地（市）、縣的3級網(wǎng)絡(luò)系統(tǒng)，可看作是局域網(wǎng)辦公系統(tǒng)在廣域網(wǎng)上的擴展。

3.實現(xiàn)以省、地（市）、縣三級政府辦公廳為核心，橫向聯(lián)結(jié)直屬各部門及有關(guān)部門的橫向網(wǎng)，實現(xiàn)不同行業(yè)系統(tǒng)間的信息共享。

一、MPLS VPN技術(shù)在政務(wù)網(wǎng)中應(yīng)用的特點

MPLS VPN是一種基于MPLS技術(shù)的虛擬專用網(wǎng)，根據(jù)PE（Provider Edge）設(shè)備是否參與VPN路由處理，又細分為2層VPN和3層VPN。一般而言，MPLS/BGP VPN（Multiprotocol Label Switching/Border Gateway Protocol Virtual Private Network）指的是3層VPN。采用MPLS/BGP VPN技術(shù)可以為政務(wù)信息網(wǎng)提供一種基于網(wǎng)絡(luò)、易于管理、擴充性好、安全且具有QoS（Quality of Service）保障的VPN。MPLS VPN具有以下特點。

1.基于網(wǎng)絡(luò)，易于管理。這種基于網(wǎng)絡(luò)的VPN可以完全由骨干網(wǎng)絡(luò)來實現(xiàn)，即各級政府部門不用關(guān)心VPN是如何構(gòu)造的，可認為自己擁有獨立的廣域?qū)＞W(wǎng)，并可按需要規(guī)劃部門內(nèi)部的網(wǎng)絡(luò)。這種VPN可以顯著地減少網(wǎng)絡(luò)管理的復(fù)雜性，特別適合為政府、集團用戶實現(xiàn)網(wǎng)絡(luò)互聯(lián)。

2.擴充性好。由于基于MPLS/BGP（Multiprotocol Label Switching/Border Gateway Protocol）來實現(xiàn)，因此很容易對網(wǎng)絡(luò)節(jié)點進行擴充，提高網(wǎng)絡(luò)可剪裁性。

3.安全。由于基于MPLS/BGP實現(xiàn)，報文在網(wǎng)絡(luò)節(jié)點構(gòu)成的MPLS域中采用了標(biāo)簽轉(zhuǎn)發(fā)的形式進行交換LSP（Layered Service Provider），因此具有同ATM/FR（Asynchronous Transfer Mode/Frame Relay）相同的安全級別。

4.QoS。由于基于MPLS/BGP實現(xiàn)，可以利用MPLS技術(shù)特有 的 CoS（ClassofService）、RSVP（Resource Reservation Protocol）以及流量工程（Traffic Engineering）等機制來處理，因此能夠為用戶實現(xiàn)具有QoS保證的VPN。

用MPLS來實現(xiàn)VPN是一種發(fā)展趨勢，VPN的劃分可在PE節(jié)點上實現(xiàn)。考慮到在實際運營過程中，政務(wù)信息網(wǎng)需要同時支持很多個VPN，MPLS VPN可簡化IP地址的規(guī)劃、分配和維護?；贛PLS的標(biāo)簽轉(zhuǎn)發(fā)路徑的VPN可以單獨構(gòu)成一個獨立的地址空間，即VPN之間可以重用地址，在分配地址時不必考慮是否會與其他的VPN發(fā)生沖突，只需要考慮在本VPN之內(nèi)不發(fā)生沖突即可。當(dāng)然在考慮VPN與Internet互聯(lián)時還需通過NAT（Network Address Translation）等方式來避免與Internet地址產(chǎn)生沖突。

二、MPLS VPN在政務(wù)信息網(wǎng)縱向組網(wǎng)中的應(yīng)用

1.政務(wù)信息網(wǎng)MPLS/BGP VPN組網(wǎng)模型。在政務(wù)信息網(wǎng)絡(luò)中，匯聚層中每個路由器都可作為PE，因而省去了P節(jié)點的設(shè)置。政府把各級政府、廳、局、委、辦局域網(wǎng)絡(luò)的路由器作為CE（Communication Edge）節(jié)點。省政府路由器節(jié)點、地（市）政府路由器節(jié)點都是PE節(jié)點。在每個PE節(jié)點中，網(wǎng)絡(luò)采用向各級政府、廳、局、委、辦用戶提供寬帶，以太網(wǎng)VPN接入端口的方式來開展VPN業(yè)務(wù)，對用戶來說，VPN是透明的，政府用戶只需提供一個CE設(shè)備（雙網(wǎng)口中低端普通路由器）即可。

省、地（市）、縣級的PE間利用傳輸線路進行互聯(lián)。省匯聚層路由器要對省級范圍內(nèi)的流量進行匯聚和轉(zhuǎn)發(fā)，對性能和可靠性的要求非常高，建議選擇高端核心路由器。在地（市）和縣級別的分層匯聚節(jié)點，采用分布式處理體系設(shè)置，分層匯聚路由器可選擇較為高端的路由器。

2.MPLS VPN實現(xiàn)政務(wù)信息網(wǎng)的縱向互聯(lián)。在政務(wù)信息網(wǎng)絡(luò)中，各級政府、廳、局、委、辦用戶在本地分別組建了自己的局域網(wǎng)。由于各用戶IP地址的獨立規(guī)劃，不可能重復(fù)，因此在用戶通過政務(wù)信息網(wǎng)的以太網(wǎng)接口接入時，可將每個用戶劃分到屬于接入網(wǎng)絡(luò)中的一個獨立的 VLAN（Virtual Local Area Network）中，也可利用802.1q VLAN在2層網(wǎng)絡(luò)設(shè)備上將政府的各個用戶之間在本地實現(xiàn)隔離。

各級政府、廳、局、委、辦用戶通過接入網(wǎng)絡(luò)，將各自所屬的VLAN接入到政府信息網(wǎng)的PE設(shè)備中，核心路由器和分層匯聚路由器與接入網(wǎng)絡(luò)相連的以太網(wǎng)接口支持802.1q標(biāo)準(zhǔn)，在這個接口上劃分子接口接入各政府用戶的VLAN。

作為PE設(shè)備，核心路由器和分層匯聚路由器根據(jù)MPLS VPN的配置及策略，將來自不同VLAN，即不同VPN用戶的報文進行VPN的VRF（Virtual Routing Forwarding）路由查找后并且打上內(nèi)、外層MPLS標(biāo)簽進入MPLS核心網(wǎng)，通過MPLS交換外層標(biāo)簽，在倒數(shù)第二跳節(jié)點上彈出外層標(biāo)簽，轉(zhuǎn)發(fā)到相應(yīng)的地（市）PE節(jié)點，并彈出內(nèi)層標(biāo)簽，轉(zhuǎn)發(fā)給用戶CE，從而實現(xiàn)政務(wù)信息網(wǎng)縱向網(wǎng)絡(luò)的互聯(lián)互通。核心路由器或分層匯聚路由器需支持超過在網(wǎng)用戶個數(shù)的VPN的隔離及轉(zhuǎn)發(fā)，以滿足政府信息網(wǎng)VPN的接入需要。

每個唯一的VLAN與唯一的VPN分別對應(yīng)，確定政府下屬部門內(nèi)部的縱向網(wǎng)絡(luò)，利用2層的VLAN及2.5層的MPLS LABEL實現(xiàn)了VPN的隔離，保證政府各部門間網(wǎng)絡(luò)的獨立性及內(nèi)部安全性。

三、MPLS VPN在政務(wù)信息網(wǎng)的橫向互聯(lián)應(yīng)用

根據(jù)政務(wù)信息網(wǎng)的有關(guān)需求，除了滿足可以實現(xiàn)省、地（市）、縣的縱向聯(lián)網(wǎng)外，同時還要滿足以省、地（市）、縣為核心的橫向聯(lián)結(jié)，即直屬各部門及有關(guān)部門的橫向互聯(lián)，實現(xiàn)不同行業(yè)系統(tǒng)間的信息共享。

政府網(wǎng)橫向互聯(lián)的業(yè)務(wù)需求主要通過WWW（World Wide Web）服務(wù)器的公共信息來發(fā)布。在省網(wǎng)絡(luò)中心設(shè)置視頻會議MCU（Multipoint Control Units）實現(xiàn)省政府系統(tǒng)信息網(wǎng)內(nèi)縱向及系統(tǒng)間橫向的多點對多點的桌面視頻會議系統(tǒng)。以及其他一些桌面級訪問。

根據(jù)這些訪問的需求不同，從組網(wǎng)角度可分為全網(wǎng)范圍的服務(wù)器訪問，以及受控的部分桌面訪問。

1.橫向互聯(lián)的基本思想及地址規(guī)劃。政府橫向網(wǎng)的各單位有不同的地址、應(yīng)用等規(guī)劃，但如果需要進行相互的訪問，則首先必須規(guī)定互訪部分網(wǎng)絡(luò)地址應(yīng)該是統(tǒng)一規(guī)劃和設(shè)計的，這樣才能保證地址不沖突。

橫向互聯(lián)訪問設(shè)計的基本思想是橫向互聯(lián)地址統(tǒng)一規(guī)劃，縱向用戶終端和橫向用戶終端劃分為不同VLAN進行安全隔離，2層交換機采用VLAN透傳的方式與雙以太網(wǎng)口的出口路由器相連，出口路由器作為CE，在其上行以太網(wǎng)口上配置兩個以太網(wǎng)子接口與政府核心網(wǎng)的路由器設(shè)備相連，作為PE設(shè)備的路由器則創(chuàng)建兩個VRF與對接子接口相綁定，其中一個VRF用于縱向聯(lián)網(wǎng)VPN；另一個用于橫向聯(lián)網(wǎng)VPN。

橫向聯(lián)網(wǎng)VRF具備與縱向聯(lián)網(wǎng)VRF完全相同的路由目標(biāo)和路由屬性，用于縱向互通，同時還引入了橫向聯(lián)網(wǎng)的路由。使橫向聯(lián)網(wǎng)計算機同時具備了橫向網(wǎng)、縱向網(wǎng)的互訪能力。

在政務(wù)信息網(wǎng)中對于有特殊要求的橫向聯(lián)網(wǎng)計算機，例如財政局與機要局橫向聯(lián)網(wǎng)的計算機，如果要求與財政縱向網(wǎng)計算機完全隔離，只需將橫向VRF中的縱向路由目標(biāo)、路由參數(shù)刪除即可，配置實現(xiàn)非常簡單。

2.橫向互聯(lián)組網(wǎng)的應(yīng)用。政務(wù)信息網(wǎng)中有部分單位具有橫向互訪及內(nèi)部縱向互聯(lián)的需求，如財政局、稅務(wù)局就需要橫向互訪及內(nèi)部縱向互聯(lián)，財政局、稅務(wù)局可以分別通過不同VLAN接入不同的MPLS VPN實現(xiàn)縱向互聯(lián)及相互隔離。

book=115,ebook=115