MPLSVPN技術在政務信息網中的架構及應用

中國聯合網絡通信有限公司許昌市分公司 楊繼峰

MPLSVPN技術在政務信息網中的架構及應用

中國聯合網絡通信有限公司許昌市分公司 楊繼峰

隨著網絡經濟的不斷發展，政務信息網對于自身網絡的建設提出了越來越高的要求，主要體現在網絡的靈活性、經濟性、可擴展性等方面。另外，由于政務信息網的建設是搭建在可承載多項應用的綜合數據平臺上，因此，要求網絡具有良好的安全性、可靠性、可擴展性和可管理性。在這樣的背景下，VPN（Virtual Private Network）以其獨有的優勢贏得了越來越多的青睞。VPN是利用公共網絡來構建的虛擬專用網。在所有的VPN技術中，MPLS VPN（MultiprotocolLabelSwitchingVirtual Private Network）是網絡互聯技術的一個突破，因其具有良好的可擴展性和靈活性等特點，常常用于大型網絡的組網方案中。

目前，政務信息網的基本架構一般是通過對省、地（市）、縣三級寬帶接入平臺的集成建設來實現，因此，可通過MPLS VPN技術，構筑一個安全、可靠、先進和穩定的專用寬帶網絡基礎平臺，并且實現以下3個主要目標。

1.為省、地（市）、縣政府辦公廳（室）各級局域網提供到省政務信息網的寬帶接入服務。

2.實現省、地（市）、縣政府辦公廳（室）縱向聯網的要求。縱向聯網是指建設形成各級政府機關系統內部，自上而下的省、地（市）、縣的3級網絡系統，可看作是局域網辦公系統在廣域網上的擴展。

3.實現以省、地（市）、縣三級政府辦公廳為核心，橫向聯結直屬各部門及有關部門的橫向網，實現不同行業系統間的信息共享。

一、MPLS VPN技術在政務網中應用的特點

MPLS VPN是一種基于MPLS技術的虛擬專用網，根據PE（Provider Edge）設備是否參與VPN路由處理，又細分為2層VPN和3層VPN。一般而言，MPLS/BGP VPN（Multiprotocol Label Switching/Border Gateway Protocol Virtual Private Network）指的是3層VPN。采用MPLS/BGP VPN技術可以為政務信息網提供一種基于網絡、易于管理、擴充性好、安全且具有QoS（Quality of Service）保障的VPN。MPLS VPN具有以下特點。

1.基于網絡，易于管理。這種基于網絡的VPN可以完全由骨干網絡來實現，即各級政府部門不用關心VPN是如何構造的，可認為自己擁有獨立的廣域專網，并可按需要規劃部門內部的網絡。這種VPN可以顯著地減少網絡管理的復雜性，特別適合為政府、集團用戶實現網絡互聯。

2.擴充性好。由于基于MPLS/BGP（Multiprotocol Label Switching/Border Gateway Protocol）來實現，因此很容易對網絡節點進行擴充，提高網絡可剪裁性。

3.安全。由于基于MPLS/BGP實現，報文在網絡節點構成的MPLS域中采用了標簽轉發的形式進行交換LSP（Layered Service Provider），因此具有同ATM/FR（Asynchronous Transfer Mode/Frame Relay）相同的安全級別。

4.QoS。由于基于MPLS/BGP實現，可以利用MPLS技術特有 的 CoS（ClassofService）、RSVP（Resource Reservation Protocol）以及流量工程（Traffic Engineering）等機制來處理，因此能夠為用戶實現具有QoS保證的VPN。

用MPLS來實現VPN是一種發展趨勢，VPN的劃分可在PE節點上實現。考慮到在實際運營過程中，政務信息網需要同時支持很多個VPN，MPLS VPN可簡化IP地址的規劃、分配和維護。基于MPLS的標簽轉發路徑的VPN可以單獨構成一個獨立的地址空間，即VPN之間可以重用地址，在分配地址時不必考慮是否會與其他的VPN發生沖突，只需要考慮在本VPN之內不發生沖突即可。當然在考慮VPN與Internet互聯時還需通過NAT（Network Address Translation）等方式來避免與Internet地址產生沖突。

二、MPLS VPN在政務信息網縱向組網中的應用

1.政務信息網MPLS/BGP VPN組網模型。在政務信息網絡中，匯聚層中每個路由器都可作為PE，因而省去了P節點的設置。政府把各級政府、廳、局、委、辦局域網絡的路由器作為CE（Communication Edge）節點。省政府路由器節點、地（市）政府路由器節點都是PE節點。在每個PE節點中，網絡采用向各級政府、廳、局、委、辦用戶提供寬帶，以太網VPN接入端口的方式來開展VPN業務，對用戶來說，VPN是透明的，政府用戶只需提供一個CE設備（雙網口中低端普通路由器）即可。

省、地（市）、縣級的PE間利用傳輸線路進行互聯。省匯聚層路由器要對省級范圍內的流量進行匯聚和轉發，對性能和可靠性的要求非常高，建議選擇高端核心路由器。在地（市）和縣級別的分層匯聚節點，采用分布式處理體系設置，分層匯聚路由器可選擇較為高端的路由器。

2.MPLS VPN實現政務信息網的縱向互聯。在政務信息網絡中，各級政府、廳、局、委、辦用戶在本地分別組建了自己的局域網。由于各用戶IP地址的獨立規劃，不可能重復，因此在用戶通過政務信息網的以太網接口接入時，可將每個用戶劃分到屬于接入網絡中的一個獨立的 VLAN（Virtual Local Area Network）中，也可利用802.1q VLAN在2層網絡設備上將政府的各個用戶之間在本地實現隔離。

各級政府、廳、局、委、辦用戶通過接入網絡，將各自所屬的VLAN接入到政府信息網的PE設備中，核心路由器和分層匯聚路由器與接入網絡相連的以太網接口支持802.1q標準，在這個接口上劃分子接口接入各政府用戶的VLAN。

作為PE設備，核心路由器和分層匯聚路由器根據MPLS VPN的配置及策略，將來自不同VLAN，即不同VPN用戶的報文進行VPN的VRF（Virtual Routing Forwarding）路由查找后并且打上內、外層MPLS標簽進入MPLS核心網，通過MPLS交換外層標簽，在倒數第二跳節點上彈出外層標簽，轉發到相應的地（市）PE節點，并彈出內層標簽，轉發給用戶CE，從而實現政務信息網縱向網絡的互聯互通。核心路由器或分層匯聚路由器需支持超過在網用戶個數的VPN的隔離及轉發，以滿足政府信息網VPN的接入需要。

每個唯一的VLAN與唯一的VPN分別對應，確定政府下屬部門內部的縱向網絡，利用2層的VLAN及2.5層的MPLS LABEL實現了VPN的隔離，保證政府各部門間網絡的獨立性及內部安全性。

三、MPLS VPN在政務信息網的橫向互聯應用

根據政務信息網的有關需求，除了滿足可以實現省、地（市）、縣的縱向聯網外，同時還要滿足以省、地（市）、縣為核心的橫向聯結，即直屬各部門及有關部門的橫向互聯，實現不同行業系統間的信息共享。

政府網橫向互聯的業務需求主要通過WWW（World Wide Web）服務器的公共信息來發布。在省網絡中心設置視頻會議MCU（Multipoint Control Units）實現省政府系統信息網內縱向及系統間橫向的多點對多點的桌面視頻會議系統。以及其他一些桌面級訪問。

根據這些訪問的需求不同，從組網角度可分為全網范圍的服務器訪問，以及受控的部分桌面訪問。

1.橫向互聯的基本思想及地址規劃。政府橫向網的各單位有不同的地址、應用等規劃，但如果需要進行相互的訪問，則首先必須規定互訪部分網絡地址應該是統一規劃和設計的，這樣才能保證地址不沖突。

橫向互聯訪問設計的基本思想是橫向互聯地址統一規劃，縱向用戶終端和橫向用戶終端劃分為不同VLAN進行安全隔離，2層交換機采用VLAN透傳的方式與雙以太網口的出口路由器相連，出口路由器作為CE，在其上行以太網口上配置兩個以太網子接口與政府核心網的路由器設備相連，作為PE設備的路由器則創建兩個VRF與對接子接口相綁定，其中一個VRF用于縱向聯網VPN；另一個用于橫向聯網VPN。

橫向聯網VRF具備與縱向聯網VRF完全相同的路由目標和路由屬性，用于縱向互通，同時還引入了橫向聯網的路由。使橫向聯網計算機同時具備了橫向網、縱向網的互訪能力。

在政務信息網中對于有特殊要求的橫向聯網計算機，例如財政局與機要局橫向聯網的計算機，如果要求與財政縱向網計算機完全隔離，只需將橫向VRF中的縱向路由目標、路由參數刪除即可，配置實現非常簡單。

2.橫向互聯組網的應用。政務信息網中有部分單位具有橫向互訪及內部縱向互聯的需求，如財政局、稅務局就需要橫向互訪及內部縱向互聯，財政局、稅務局可以分別通過不同VLAN接入不同的MPLS VPN實現縱向互聯及相互隔離。

book=115,ebook=115