張穎 （河北省聯(lián)通公司承德市分公司 河北承德067000）

0 引言

近年來，隨著信息技術發(fā)展與應用的逐步深入，各地的電子政務步入了快速發(fā)展的軌道，但是，不同的管理體制與業(yè)務分割，導致不少信息系統(tǒng)各自獨立，處于分散或封閉狀態(tài)，難以支持跨系統(tǒng)的應用與信息共享。VPN（虛擬專用網(wǎng)）是一種運載加密或認證過的通信網(wǎng)絡，數(shù)據(jù)在VPN中的傳輸是安全的，其安全性由加密、認證等安全技術來保證，其傳輸則是通過開放的、非安全的公用網(wǎng)絡。VPN技術以其隧道通信的優(yōu)勢，能夠支持政府部門間信息共享，并提升安全性。傳統(tǒng)的虛擬專用網(wǎng)存在地址沖突、轉(zhuǎn)發(fā)效率低等一系列弱點，因而引入MPLS VPN，利用MPLS技術創(chuàng)建隧道，實現(xiàn)VPN業(yè)務具有優(yōu)勢。本文在分析MPLS VPN理論的基礎上，闡述MPLS VPN在承德市政務網(wǎng)中的具體應用設計。

1 MPLS VPN的市場價值

虛擬專用網(wǎng)（VPN）提供了集專網(wǎng)的安全性和公網(wǎng)的經(jīng)濟、方便性于一體的有效解決方案。無論是從市場的角度還是從研究的角度，研究VPN的系統(tǒng)構(gòu)建都是非常有意義的。在傳統(tǒng)VPN的基礎上基于MPLS技術來實現(xiàn)業(yè)務，是MPLS VPN的獨特優(yōu)勢。在IP或者MPLS網(wǎng)絡中，通過創(chuàng)建基于MPLS技術的隧道來支持第二和第三層的虛擬專用網(wǎng)業(yè)務。由于獲取了MPLS的傳輸優(yōu)勢，MPLS VPN的轉(zhuǎn)發(fā)效率明顯優(yōu)于諸如IPSec等傳統(tǒng)VPN解決方案。電信運營商和信息客戶兩方面的業(yè)務驅(qū)動，使得IP或者MPLS網(wǎng)絡上提供VPN業(yè)務獲得了不錯的市場前景。首先，電信運營商能夠以VPN業(yè)務的推廣來向客戶提供差異化的電信服務，從而實現(xiàn)向?qū)Ｓ镁W(wǎng)市場滲透，增強業(yè)務增長態(tài)勢；其次，能夠借助MPLS VPN，實現(xiàn)多網(wǎng)合一，并提供更高的擴容效率和靈活的帶寬復用，以維持更低的運維成本。對于行業(yè)客戶或者政府部門，電信運營商可以結(jié)合MPLS VPN為這些實體組建私有網(wǎng)絡，同時又簡化了網(wǎng)絡運維的復雜性。

2 MPLS VPN在政務網(wǎng)中的應用

2.1 承德市電子政務網(wǎng)的需求分析

承德市電子政務建設的主要任務之一就是建設和整合統(tǒng)一的電子政務平臺。承德市電子政務網(wǎng)絡是典型的內(nèi)網(wǎng)+外網(wǎng)結(jié)構(gòu)，內(nèi)網(wǎng)外網(wǎng)間進行了嚴格的物理隔離，而外網(wǎng)與互聯(lián)網(wǎng)也進行了嚴格的邏輯隔離。從網(wǎng)絡需求上看，MPLS VPN電子政務網(wǎng)絡平臺一方面應該能夠支持物理隔離與邏輯隔離，另一方面還應該支持不同政務部門之間以及不同級別之間的隔離。其需求分析為：①承德市電子政務網(wǎng)絡體系結(jié)構(gòu)建設中，系統(tǒng)所要求的物理與邏輯隔離不能簡單地基于網(wǎng)關或防火墻實現(xiàn)，而必須是在電子政務網(wǎng)絡中處于不同協(xié)議層之上的所有網(wǎng)元之間實現(xiàn)的隔離。②物理隔離的實現(xiàn)應該基于數(shù)據(jù)鏈路層，不能只是基于物理層。原因在于廣域網(wǎng)信道按帶寬的租用均是基于電信運營商的第二層虛鏈路。③當前承德市電子政務的業(yè)務品種不但包括電子郵件和上網(wǎng)瀏覽等傳統(tǒng)的網(wǎng)絡傳輸服務，隨著信息技術的發(fā)展，OA系統(tǒng)、在線視頻點播、移動視頻會議接入以及數(shù)據(jù)挖掘和知識庫等增值業(yè)務逐漸占據(jù)了電子政務應用的主流，這些業(yè)務均有較高的QOS（國際上通用的服務質(zhì)量指標）要求。

2.2 承德市電子政務網(wǎng)的技術方案選擇

基于MPLS VPN的技術體系能夠一方面滿足承德市電子政務網(wǎng)絡平臺所需求的整合性和無邊界的特征，另一方面又能保證足夠的安全性與可擴展性。因此，本文在設計中，將技術體系架構(gòu)定位于MPLS VPN。

2.3 承德市電子政務網(wǎng)的具體設計

2.3.1 網(wǎng)絡整體結(jié)構(gòu)設計 圖1所示為本文所設計的基于MPLS VPN接入方案：

結(jié)合政府部門電子政務網(wǎng)的需求，該網(wǎng)絡拓撲由外網(wǎng)和內(nèi)網(wǎng)組成，而且要求有較高的可靠性和安全性。網(wǎng)絡整體上可以分為3層，分別是核心層、匯聚層以及接入層。核心網(wǎng)絡由CISCO7609組成，采用雙機熱備份的方式以避免突發(fā)安全事故。同時，CISCO7609路由器還承擔網(wǎng)絡出口的功能。由4臺CISCO6503路由器組成網(wǎng)絡的匯聚層，起到數(shù)據(jù)透傳的功能。而中興的16臺GER共同組成接入層，由于網(wǎng)絡提供設備直屬局委以及各個區(qū)縣政務網(wǎng)的接入，為了提升節(jié)點接入方便性，所有的用戶均以光纖直連方式完成接入操作。

圖1 基于MPLS VPN接入方案

2.3.2 VLAN的規(guī)劃 承德市的政府網(wǎng)將來應能無縫地接入省級政府信息網(wǎng)絡平臺，所以在IP地址的分配上，采用的是省電子政務網(wǎng)統(tǒng)一分配的地址，其中為每個地區(qū)和縣級部門分配8個B類地址。IP地址所采用的編碼規(guī)則為a.x.y.0模式，其中“a”表示市級代碼，x的含義是區(qū)縣編號，Y的含義是行業(yè)編號，，255.255.255.0為其子網(wǎng)掩碼，每個具體部門分配一個C類IP地址。

2.3.3 IP地址的規(guī)劃 對于政務網(wǎng)來說，IP地址的規(guī)劃是很重要的。承德市政務網(wǎng)規(guī)可以劃分為內(nèi)網(wǎng)與外網(wǎng)，由于內(nèi)網(wǎng)用戶往往偏少，且與公網(wǎng)有物理隔絕，因此內(nèi)網(wǎng)的IP地址完全遵循國家規(guī)定的政務內(nèi)網(wǎng)地址分配方案。而對于外網(wǎng)而言，由于已經(jīng)有不少單位和部門擁有自身的政務網(wǎng)平臺外網(wǎng)，IP地址分配較為混亂，因此必須按照規(guī)定重新進行IP地址的統(tǒng)一分配。本文在設計中，采用層次化的劃分方式進行地址分配，將政務網(wǎng)IP地址分為Loopback地址、互聯(lián)地址以及網(wǎng)管地址3種類別。在市級骨干網(wǎng)，以兩個C類地址來滿足其需求，而各個區(qū)縣則采用了可伸縮的分配方案，合理地配置IP地址資源。

2.3.4 網(wǎng)絡路由協(xié)議的設計 在承德市政務網(wǎng)絡平臺中，使用路由協(xié)議一共3種，如圖2所示：

圖2 網(wǎng)絡路由的設計

由圖可知，在整體上運行的是OSP路由F協(xié)議，在網(wǎng)絡接入層到網(wǎng)絡匯聚層再到網(wǎng)絡核心層之間，運行的是LDP協(xié)議，而在最里層則使用MP-BGP協(xié)議。

2.3.5 VPN的設計 承德市政務網(wǎng)工程平臺設備，包括擔任外網(wǎng)匯聚功能的交換機、區(qū)縣部門的接入路由器等，均啟用MPLS模式。在具體的設計中，為保證隔離每一種業(yè)務之間的設備去獲取對方的路由信息，規(guī)劃20類屬性的類VPN，通過對Route-Target屬性的合理配置，使得只有相同的業(yè)務才能夠?qū)崿F(xiàn)相互訪問。

2.3.6 MBGP的具體設計 實現(xiàn)VPN的重要前提即為MP-BGP路由系統(tǒng)。在承德市政務網(wǎng)工程設計中，更新VPN-instance與VPN的關聯(lián)關系由外網(wǎng)匯聚核心交換機來實現(xiàn)。為避免VPN之外的數(shù)據(jù)進入，同時防止數(shù)據(jù)泄漏出VPN，在屬于PE的VPN-instance上均部署了獨立的標簽轉(zhuǎn)發(fā)表和路由表，以便對報文轉(zhuǎn)發(fā)信息進行存儲，同時，通過使用BGP來發(fā)布PE路由器間VPN的路由。匯聚交換機與市級直屬機構(gòu)之間的關系為PE-P。

外網(wǎng)匯聚核心設備與市直屬VPN路由發(fā)布的模式為：通過將VPN綁定到市直屬接入路由器上的子接口，通過子接口所歸屬的OSPF，向外網(wǎng)匯聚核心設備的MP-BGP發(fā)布VPN的路由；N通過VPN的RD屬性把來自外部訪問市直屬網(wǎng)絡的VP進行VPN的路由轉(zhuǎn)發(fā)，從而實現(xiàn)VPN流量的正確走向。

2.3.7 MPLSVPN的實現(xiàn) 圖3為承德市電子政務網(wǎng)關于MPLSVPN部分的示意圖：

圖3 承德市電子政務網(wǎng)關于MPLSVPN部分的示意圖

圖中，CISCO的7609路由器是網(wǎng)絡的核心模塊，匯聚層的4臺思科公司的6503網(wǎng)絡交換機主要功能是數(shù)據(jù)的透明傳輸，在整個政務網(wǎng)絡中，路由協(xié)議均采用OSPF協(xié)議；而在網(wǎng)絡的PE-P-P模塊之間，則以LDP協(xié)議進行溝通。

3 結(jié)語

基于MPLS VPN的信息系統(tǒng)網(wǎng)絡應用解決方案，能夠提供完善的電子政務網(wǎng)絡解決方案，同時具備廣泛覆蓋和擴展的優(yōu)勢，因此充分發(fā)揮了網(wǎng)絡的潛力，使得建網(wǎng)成本得到了最大限度的降低?；贛PLS VPN的承德市政務網(wǎng)解決方案對于其他類似的網(wǎng)絡構(gòu)建有著很好的參考價值?！?/p>

[1]彭暉.新型的骨干網(wǎng)路由平臺:MPLS[M].北京:人民郵電出版社，2011.

[2]Eric Osborne，Ajay Simha.基于 MPLS的流量工程[M].北京:人民郵電出版社，2010.

[3]肖慧.MPLS技術實現(xiàn)流量工程及服務質(zhì)量等問題的研究[D].廣東工業(yè)大學，2010.

[4]石晶林，丁煒.MPLS寬帶網(wǎng)絡互聯(lián)技術[M].北京:人民郵電出版社，2011.