MPLSVPN技术在政务信息网中的架构及应用

中国联合网络通信有限公司许昌市分公司 杨继峰

MPLSVPN技术在政务信息网中的架构及应用

中国联合网络通信有限公司许昌市分公司 杨继峰

随着网络经济的不断发展，政务信息网对于自身网络的建设提出了越来越高的要求，主要体现在网络的灵活性、经济性、可扩展性等方面。另外，由于政务信息网的建设是搭建在可承载多项应用的综合数据平台上，因此，要求网络具有良好的安全性、可靠性、可扩展性和可管理性。在这样的背景下，VPN（Virtual Private Network）以其独有的优势赢得了越来越多的青睐。VPN是利用公共网络来构建的虚拟专用网。在所有的VPN技术中，MPLS VPN（MultiprotocolLabelSwitchingVirtual Private Network）是网络互联技术的一个突破，因其具有良好的可扩展性和灵活性等特点，常常用于大型网络的组网方案中。

目前，政务信息网的基本架构一般是通过对省、地（市）、县三级宽带接入平台的集成建设来实现，因此，可通过MPLS VPN技术，构筑一个安全、可靠、先进和稳定的专用宽带网络基础平台，并且实现以下3个主要目标。

1.为省、地（市）、县政府办公厅（室）各级局域网提供到省政务信息网的宽带接入服务。

2.实现省、地（市）、县政府办公厅（室）纵向联网的要求。纵向联网是指建设形成各级政府机关系统内部，自上而下的省、地（市）、县的3级网络系统，可看作是局域网办公系统在广域网上的扩展。

3.实现以省、地（市）、县三级政府办公厅为核心，横向联结直属各部门及有关部门的横向网，实现不同行业系统间的信息共享。

一、MPLS VPN技术在政务网中应用的特点

MPLS VPN是一种基于MPLS技术的虚拟专用网，根据PE（Provider Edge）设备是否参与VPN路由处理，又细分为2层VPN和3层VPN。一般而言，MPLS/BGP VPN（Multiprotocol Label Switching/Border Gateway Protocol Virtual Private Network）指的是3层VPN。采用MPLS/BGP VPN技术可以为政务信息网提供一种基于网络、易于管理、扩充性好、安全且具有QoS（Quality of Service）保障的VPN。MPLS VPN具有以下特点。

1.基于网络，易于管理。这种基于网络的VPN可以完全由骨干网络来实现，即各级政府部门不用关心VPN是如何构造的，可认为自己拥有独立的广域专网，并可按需要规划部门内部的网络。这种VPN可以显著地减少网络管理的复杂性，特别适合为政府、集团用户实现网络互联。

2.扩充性好。由于基于MPLS/BGP（Multiprotocol Label Switching/Border Gateway Protocol）来实现，因此很容易对网络节点进行扩充，提高网络可剪裁性。

3.安全。由于基于MPLS/BGP实现，报文在网络节点构成的MPLS域中采用了标签转发的形式进行交换LSP（Layered Service Provider），因此具有同ATM/FR（Asynchronous Transfer Mode/Frame Relay）相同的安全级别。

4.QoS。由于基于MPLS/BGP实现，可以利用MPLS技术特有 的 CoS（ClassofService）、RSVP（Resource Reservation Protocol）以及流量工程（Traffic Engineering）等机制来处理，因此能够为用户实现具有QoS保证的VPN。

用MPLS来实现VPN是一种发展趋势，VPN的划分可在PE节点上实现。考虑到在实际运营过程中，政务信息网需要同时支持很多个VPN，MPLS VPN可简化IP地址的规划、分配和维护。基于MPLS的标签转发路径的VPN可以单独构成一个独立的地址空间，即VPN之间可以重用地址，在分配地址时不必考虑是否会与其他的VPN发生冲突，只需要考虑在本VPN之内不发生冲突即可。当然在考虑VPN与Internet互联时还需通过NAT（Network Address Translation）等方式来避免与Internet地址产生冲突。

二、MPLS VPN在政务信息网纵向组网中的应用

1.政务信息网MPLS/BGP VPN组网模型。在政务信息网络中，汇聚层中每个路由器都可作为PE，因而省去了P节点的设置。政府把各级政府、厅、局、委、办局域网络的路由器作为CE（Communication Edge）节点。省政府路由器节点、地（市）政府路由器节点都是PE节点。在每个PE节点中，网络采用向各级政府、厅、局、委、办用户提供宽带，以太网VPN接入端口的方式来开展VPN业务，对用户来说，VPN是透明的，政府用户只需提供一个CE设备（双网口中低端普通路由器）即可。

省、地（市）、县级的PE间利用传输线路进行互联。省汇聚层路由器要对省级范围内的流量进行汇聚和转发，对性能和可靠性的要求非常高，建议选择高端核心路由器。在地（市）和县级别的分层汇聚节点，采用分布式处理体系设置，分层汇聚路由器可选择较为高端的路由器。

2.MPLS VPN实现政务信息网的纵向互联。在政务信息网络中，各级政府、厅、局、委、办用户在本地分别组建了自己的局域网。由于各用户IP地址的独立规划，不可能重复，因此在用户通过政务信息网的以太网接口接入时，可将每个用户划分到属于接入网络中的一个独立的 VLAN（Virtual Local Area Network）中，也可利用802.1q VLAN在2层网络设备上将政府的各个用户之间在本地实现隔离。

各级政府、厅、局、委、办用户通过接入网络，将各自所属的VLAN接入到政府信息网的PE设备中，核心路由器和分层汇聚路由器与接入网络相连的以太网接口支持802.1q标准，在这个接口上划分子接口接入各政府用户的VLAN。

作为PE设备，核心路由器和分层汇聚路由器根据MPLS VPN的配置及策略，将来自不同VLAN，即不同VPN用户的报文进行VPN的VRF（Virtual Routing Forwarding）路由查找后并且打上内、外层MPLS标签进入MPLS核心网，通过MPLS交换外层标签，在倒数第二跳节点上弹出外层标签，转发到相应的地（市）PE节点，并弹出内层标签，转发给用户CE，从而实现政务信息网纵向网络的互联互通。核心路由器或分层汇聚路由器需支持超过在网用户个数的VPN的隔离及转发，以满足政府信息网VPN的接入需要。

每个唯一的VLAN与唯一的VPN分别对应，确定政府下属部门内部的纵向网络，利用2层的VLAN及2.5层的MPLS LABEL实现了VPN的隔离，保证政府各部门间网络的独立性及内部安全性。

三、MPLS VPN在政务信息网的横向互联应用

根据政务信息网的有关需求，除了满足可以实现省、地（市）、县的纵向联网外，同时还要满足以省、地（市）、县为核心的横向联结，即直属各部门及有关部门的横向互联，实现不同行业系统间的信息共享。

政府网横向互联的业务需求主要通过WWW（World Wide Web）服务器的公共信息来发布。在省网络中心设置视频会议MCU（Multipoint Control Units）实现省政府系统信息网内纵向及系统间横向的多点对多点的桌面视频会议系统。以及其他一些桌面级访问。

根据这些访问的需求不同，从组网角度可分为全网范围的服务器访问，以及受控的部分桌面访问。

1.横向互联的基本思想及地址规划。政府横向网的各单位有不同的地址、应用等规划，但如果需要进行相互的访问，则首先必须规定互访部分网络地址应该是统一规划和设计的，这样才能保证地址不冲突。

横向互联访问设计的基本思想是横向互联地址统一规划，纵向用户终端和横向用户终端划分为不同VLAN进行安全隔离，2层交换机采用VLAN透传的方式与双以太网口的出口路由器相连，出口路由器作为CE，在其上行以太网口上配置两个以太网子接口与政府核心网的路由器设备相连，作为PE设备的路由器则创建两个VRF与对接子接口相绑定，其中一个VRF用于纵向联网VPN；另一个用于横向联网VPN。

横向联网VRF具备与纵向联网VRF完全相同的路由目标和路由属性，用于纵向互通，同时还引入了横向联网的路由。使横向联网计算机同时具备了横向网、纵向网的互访能力。

在政务信息网中对于有特殊要求的横向联网计算机，例如财政局与机要局横向联网的计算机，如果要求与财政纵向网计算机完全隔离，只需将横向VRF中的纵向路由目标、路由参数删除即可，配置实现非常简单。

2.横向互联组网的应用。政务信息网中有部分单位具有横向互访及内部纵向互联的需求，如财政局、税务局就需要横向互访及内部纵向互联，财政局、税务局可以分别通过不同VLAN接入不同的MPLS VPN实现纵向互联及相互隔离。

book=115,ebook=115