MPLS VPN在承德市政務(wù)網(wǎng)中的應(yīng)用設(shè)計(jì)

張穎 （河北省聯(lián)通公司承德市分公司 河北承德067000）

0 引言

近年來，隨著信息技術(shù)發(fā)展與應(yīng)用的逐步深入，各地的電子政務(wù)步入了快速發(fā)展的軌道，但是，不同的管理體制與業(yè)務(wù)分割，導(dǎo)致不少信息系統(tǒng)各自獨(dú)立，處于分散或封閉狀態(tài)，難以支持跨系統(tǒng)的應(yīng)用與信息共享。VPN（虛擬專用網(wǎng)）是一種運(yùn)載加密或認(rèn)證過的通信網(wǎng)絡(luò)，數(shù)據(jù)在VPN中的傳輸是安全的，其安全性由加密、認(rèn)證等安全技術(shù)來保證，其傳輸則是通過開放的、非安全的公用網(wǎng)絡(luò)。VPN技術(shù)以其隧道通信的優(yōu)勢(shì)，能夠支持政府部門間信息共享，并提升安全性。傳統(tǒng)的虛擬專用網(wǎng)存在地址沖突、轉(zhuǎn)發(fā)效率低等一系列弱點(diǎn)，因而引入MPLS VPN，利用MPLS技術(shù)創(chuàng)建隧道，實(shí)現(xiàn)VPN業(yè)務(wù)具有優(yōu)勢(shì)。本文在分析MPLS VPN理論的基礎(chǔ)上，闡述MPLS VPN在承德市政務(wù)網(wǎng)中的具體應(yīng)用設(shè)計(jì)。

1 MPLS VPN的市場(chǎng)價(jià)值

虛擬專用網(wǎng)（VPN）提供了集專網(wǎng)的安全性和公網(wǎng)的經(jīng)濟(jì)、方便性于一體的有效解決方案。無論是從市場(chǎng)的角度還是從研究的角度，研究VPN的系統(tǒng)構(gòu)建都是非常有意義的。在傳統(tǒng)VPN的基礎(chǔ)上基于MPLS技術(shù)來實(shí)現(xiàn)業(yè)務(wù)，是MPLS VPN的獨(dú)特優(yōu)勢(shì)。在IP或者M(jìn)PLS網(wǎng)絡(luò)中，通過創(chuàng)建基于MPLS技術(shù)的隧道來支持第二和第三層的虛擬專用網(wǎng)業(yè)務(wù)。由于獲取了MPLS的傳輸優(yōu)勢(shì)，MPLS VPN的轉(zhuǎn)發(fā)效率明顯優(yōu)于諸如IPSec等傳統(tǒng)VPN解決方案。電信運(yùn)營商和信息客戶兩方面的業(yè)務(wù)驅(qū)動(dòng)，使得IP或者M(jìn)PLS網(wǎng)絡(luò)上提供VPN業(yè)務(wù)獲得了不錯(cuò)的市場(chǎng)前景。首先，電信運(yùn)營商能夠以VPN業(yè)務(wù)的推廣來向客戶提供差異化的電信服務(wù)，從而實(shí)現(xiàn)向?qū)Ｓ镁W(wǎng)市場(chǎng)滲透，增強(qiáng)業(yè)務(wù)增長態(tài)勢(shì)；其次，能夠借助MPLS VPN，實(shí)現(xiàn)多網(wǎng)合一，并提供更高的擴(kuò)容效率和靈活的帶寬復(fù)用，以維持更低的運(yùn)維成本。對(duì)于行業(yè)客戶或者政府部門，電信運(yùn)營商可以結(jié)合MPLS VPN為這些實(shí)體組建私有網(wǎng)絡(luò)，同時(shí)又簡化了網(wǎng)絡(luò)運(yùn)維的復(fù)雜性。

2 MPLS VPN在政務(wù)網(wǎng)中的應(yīng)用

2.1 承德市電子政務(wù)網(wǎng)的需求分析

承德市電子政務(wù)建設(shè)的主要任務(wù)之一就是建設(shè)和整合統(tǒng)一的電子政務(wù)平臺(tái)。承德市電子政務(wù)網(wǎng)絡(luò)是典型的內(nèi)網(wǎng)+外網(wǎng)結(jié)構(gòu)，內(nèi)網(wǎng)外網(wǎng)間進(jìn)行了嚴(yán)格的物理隔離，而外網(wǎng)與互聯(lián)網(wǎng)也進(jìn)行了嚴(yán)格的邏輯隔離。從網(wǎng)絡(luò)需求上看，MPLS VPN電子政務(wù)網(wǎng)絡(luò)平臺(tái)一方面應(yīng)該能夠支持物理隔離與邏輯隔離，另一方面還應(yīng)該支持不同政務(wù)部門之間以及不同級(jí)別之間的隔離。其需求分析為：①承德市電子政務(wù)網(wǎng)絡(luò)體系結(jié)構(gòu)建設(shè)中，系統(tǒng)所要求的物理與邏輯隔離不能簡單地基于網(wǎng)關(guān)或防火墻實(shí)現(xiàn)，而必須是在電子政務(wù)網(wǎng)絡(luò)中處于不同協(xié)議層之上的所有網(wǎng)元之間實(shí)現(xiàn)的隔離。②物理隔離的實(shí)現(xiàn)應(yīng)該基于數(shù)據(jù)鏈路層，不能只是基于物理層。原因在于廣域網(wǎng)信道按帶寬的租用均是基于電信運(yùn)營商的第二層虛鏈路。③當(dāng)前承德市電子政務(wù)的業(yè)務(wù)品種不但包括電子郵件和上網(wǎng)瀏覽等傳統(tǒng)的網(wǎng)絡(luò)傳輸服務(wù)，隨著信息技術(shù)的發(fā)展，OA系統(tǒng)、在線視頻點(diǎn)播、移動(dòng)視頻會(huì)議接入以及數(shù)據(jù)挖掘和知識(shí)庫等增值業(yè)務(wù)逐漸占據(jù)了電子政務(wù)應(yīng)用的主流，這些業(yè)務(wù)均有較高的QOS（國際上通用的服務(wù)質(zhì)量指標(biāo)）要求。

2.2 承德市電子政務(wù)網(wǎng)的技術(shù)方案選擇

基于MPLS VPN的技術(shù)體系能夠一方面滿足承德市電子政務(wù)網(wǎng)絡(luò)平臺(tái)所需求的整合性和無邊界的特征，另一方面又能保證足夠的安全性與可擴(kuò)展性。因此，本文在設(shè)計(jì)中，將技術(shù)體系架構(gòu)定位于MPLS VPN。

2.3 承德市電子政務(wù)網(wǎng)的具體設(shè)計(jì)

2.3.1 網(wǎng)絡(luò)整體結(jié)構(gòu)設(shè)計(jì) 圖1所示為本文所設(shè)計(jì)的基于MPLS VPN接入方案：

結(jié)合政府部門電子政務(wù)網(wǎng)的需求，該網(wǎng)絡(luò)拓?fù)溆赏饩W(wǎng)和內(nèi)網(wǎng)組成，而且要求有較高的可靠性和安全性。網(wǎng)絡(luò)整體上可以分為3層，分別是核心層、匯聚層以及接入層。核心網(wǎng)絡(luò)由CISCO7609組成，采用雙機(jī)熱備份的方式以避免突發(fā)安全事故。同時(shí)，CISCO7609路由器還承擔(dān)網(wǎng)絡(luò)出口的功能。由4臺(tái)CISCO6503路由器組成網(wǎng)絡(luò)的匯聚層，起到數(shù)據(jù)透?jìng)鞯墓δ堋６信d的16臺(tái)GER共同組成接入層，由于網(wǎng)絡(luò)提供設(shè)備直屬局委以及各個(gè)區(qū)縣政務(wù)網(wǎng)的接入，為了提升節(jié)點(diǎn)接入方便性，所有的用戶均以光纖直連方式完成接入操作。

圖1 基于MPLS VPN接入方案

2.3.2 VLAN的規(guī)劃 承德市的政府網(wǎng)將來應(yīng)能無縫地接入省級(jí)政府信息網(wǎng)絡(luò)平臺(tái)，所以在IP地址的分配上，采用的是省電子政務(wù)網(wǎng)統(tǒng)一分配的地址，其中為每個(gè)地區(qū)和縣級(jí)部門分配8個(gè)B類地址。IP地址所采用的編碼規(guī)則為a.x.y.0模式，其中“a”表示市級(jí)代碼，x的含義是區(qū)縣編號(hào)，Y的含義是行業(yè)編號(hào)，，255.255.255.0為其子網(wǎng)掩碼，每個(gè)具體部門分配一個(gè)C類IP地址。

2.3.3 IP地址的規(guī)劃 對(duì)于政務(wù)網(wǎng)來說，IP地址的規(guī)劃是很重要的。承德市政務(wù)網(wǎng)規(guī)可以劃分為內(nèi)網(wǎng)與外網(wǎng)，由于內(nèi)網(wǎng)用戶往往偏少，且與公網(wǎng)有物理隔絕，因此內(nèi)網(wǎng)的IP地址完全遵循國家規(guī)定的政務(wù)內(nèi)網(wǎng)地址分配方案。而對(duì)于外網(wǎng)而言，由于已經(jīng)有不少單位和部門擁有自身的政務(wù)網(wǎng)平臺(tái)外網(wǎng)，IP地址分配較為混亂，因此必須按照規(guī)定重新進(jìn)行IP地址的統(tǒng)一分配。本文在設(shè)計(jì)中，采用層次化的劃分方式進(jìn)行地址分配，將政務(wù)網(wǎng)IP地址分為Loopback地址、互聯(lián)地址以及網(wǎng)管地址3種類別。在市級(jí)骨干網(wǎng)，以兩個(gè)C類地址來滿足其需求，而各個(gè)區(qū)縣則采用了可伸縮的分配方案，合理地配置IP地址資源。

2.3.4 網(wǎng)絡(luò)路由協(xié)議的設(shè)計(jì) 在承德市政務(wù)網(wǎng)絡(luò)平臺(tái)中，使用路由協(xié)議一共3種，如圖2所示：

圖2 網(wǎng)絡(luò)路由的設(shè)計(jì)

由圖可知，在整體上運(yùn)行的是OSP路由F協(xié)議，在網(wǎng)絡(luò)接入層到網(wǎng)絡(luò)匯聚層再到網(wǎng)絡(luò)核心層之間，運(yùn)行的是LDP協(xié)議，而在最里層則使用MP-BGP協(xié)議。

2.3.5 VPN的設(shè)計(jì) 承德市政務(wù)網(wǎng)工程平臺(tái)設(shè)備，包括擔(dān)任外網(wǎng)匯聚功能的交換機(jī)、區(qū)縣部門的接入路由器等，均啟用MPLS模式。在具體的設(shè)計(jì)中，為保證隔離每一種業(yè)務(wù)之間的設(shè)備去獲取對(duì)方的路由信息，規(guī)劃20類屬性的類VPN，通過對(duì)Route-Target屬性的合理配置，使得只有相同的業(yè)務(wù)才能夠?qū)崿F(xiàn)相互訪問。

2.3.6 MBGP的具體設(shè)計(jì) 實(shí)現(xiàn)VPN的重要前提即為MP-BGP路由系統(tǒng)。在承德市政務(wù)網(wǎng)工程設(shè)計(jì)中，更新VPN-instance與VPN的關(guān)聯(lián)關(guān)系由外網(wǎng)匯聚核心交換機(jī)來實(shí)現(xiàn)。為避免VPN之外的數(shù)據(jù)進(jìn)入，同時(shí)防止數(shù)據(jù)泄漏出VPN，在屬于PE的VPN-instance上均部署了獨(dú)立的標(biāo)簽轉(zhuǎn)發(fā)表和路由表，以便對(duì)報(bào)文轉(zhuǎn)發(fā)信息進(jìn)行存儲(chǔ)，同時(shí)，通過使用BGP來發(fā)布PE路由器間VPN的路由。匯聚交換機(jī)與市級(jí)直屬機(jī)構(gòu)之間的關(guān)系為PE-P。

外網(wǎng)匯聚核心設(shè)備與市直屬VPN路由發(fā)布的模式為：通過將VPN綁定到市直屬接入路由器上的子接口，通過子接口所歸屬的OSPF，向外網(wǎng)匯聚核心設(shè)備的MP-BGP發(fā)布VPN的路由；N通過VPN的RD屬性把來自外部訪問市直屬網(wǎng)絡(luò)的VP進(jìn)行VPN的路由轉(zhuǎn)發(fā)，從而實(shí)現(xiàn)VPN流量的正確走向。

2.3.7 MPLSVPN的實(shí)現(xiàn) 圖3為承德市電子政務(wù)網(wǎng)關(guān)于MPLSVPN部分的示意圖：

圖3 承德市電子政務(wù)網(wǎng)關(guān)于MPLSVPN部分的示意圖

圖中，CISCO的7609路由器是網(wǎng)絡(luò)的核心模塊，匯聚層的4臺(tái)思科公司的6503網(wǎng)絡(luò)交換機(jī)主要功能是數(shù)據(jù)的透明傳輸，在整個(gè)政務(wù)網(wǎng)絡(luò)中，路由協(xié)議均采用OSPF協(xié)議；而在網(wǎng)絡(luò)的PE-P-P模塊之間，則以LDP協(xié)議進(jìn)行溝通。

3 結(jié)語

基于MPLS VPN的信息系統(tǒng)網(wǎng)絡(luò)應(yīng)用解決方案，能夠提供完善的電子政務(wù)網(wǎng)絡(luò)解決方案，同時(shí)具備廣泛覆蓋和擴(kuò)展的優(yōu)勢(shì)，因此充分發(fā)揮了網(wǎng)絡(luò)的潛力，使得建網(wǎng)成本得到了最大限度的降低。基于MPLS VPN的承德市政務(wù)網(wǎng)解決方案對(duì)于其他類似的網(wǎng)絡(luò)構(gòu)建有著很好的參考價(jià)值。■

[1]彭暉.新型的骨干網(wǎng)路由平臺(tái):MPLS[M].北京:人民郵電出版社，2011.

[2]Eric Osborne，Ajay Simha.基于 MPLS的流量工程[M].北京:人民郵電出版社，2010.

[3]肖慧.MPLS技術(shù)實(shí)現(xiàn)流量工程及服務(wù)質(zhì)量等問題的研究[D].廣東工業(yè)大學(xué)，2010.

[4]石晶林，丁煒.MPLS寬帶網(wǎng)絡(luò)互聯(lián)技術(shù)[M].北京:人民郵電出版社，2011.