MPLSVPN電子政務專網論文

時間:2022-03-12 09:43:00

導語:MPLSVPN電子政務專網論文一文來源于網友上傳,不代表本站觀點,若需要原創文章可咨詢客服老師,歡迎參考。

MPLSVPN電子政務專網論文

摘要本文在簡要介紹mplsvpn技術及特點基礎上,講述了如何在公共網絡基礎設施上利用MPLSVPN技術構建合肥市電子政務專網,有效地將合肥市政府各部門的局域網連成一個整體,并實現信息的安全傳輸。

關鍵詞電子政務MPLSVPN

隨著政府信息化步伐的加快,電子政務專網的構建正在全國上下迅速地鋪開,各地各級政府部門陸續都在進行著電子政務專網的規劃設計、建設實施和運行管理。當今政府機關、事業部門管理方式正朝著越來越扁平化的方向發展,同時其內部機構的分布地域也越來越廣泛,與其他部門和廣大平民百姓的相互關聯性越來越緊密、相互影響度越來越強烈,這就使得政府部門迫切需要把原有的各自孤立的局域網互聯為一個整體,為電子政務系統構筑一個暢通、可靠、安全的網絡信息傳輸的統一平臺。本文探索利用MPLSVPN技術在地市和區縣部門之間構建電子政務專網,以確保網絡上數據的安全傳輸。

1MPLS的概念

MPLS(MultiprotocolLabelSwitching)即多協議標簽交換是兼有基于第二層交換的分組轉發技術和第三層路由選擇技術的優點,利用綁定在IP包中的標簽通過網絡進行數據包轉發的技術。IP包在進入第一個MPLS設備時,MPLS邊緣路由器就用標簽封裝起來。MPLS邊緣路由器分析IP包的內容并且為這些IP包選擇合適的標簽,爾后所有MPLS網絡中節點都是依據這個簡短標簽來作為轉發判決依據。在隨后的轉發過程中,數據包的網絡層包頭將不再被進一步的分析。

2MPLSVPN的構件及原理

MPLSVPN包括以下組件:骨干路由器(P)、邊緣路由器(PE)、用戶邊緣路由器(CE)以及站點(Site)。P是核心路由器,作為標簽交換路由器(LSR),它根據分組的外層標簽對VPN數據進行透明轉發,P路由器只維護到PE路由器的路由信息而不維護VPN相關的路由信息。PE作為標簽邊緣路由器(LER),它們為VPN成員保持著VPN路由,與CE以及連到P的接口對等交換路由。P與PE路由器之間將使用IP路由協議,建立MPLS核心網絡中的路徑,并且使用標簽控制協議(如LDP)實現路由器之間的標記分發。CE使用傳統的路由選擇方法實現網絡連接。CE與PE、PE與PE之間使用BGP協議作為標簽控制協議,這其中CE與PE之間屬于BGP自治區域之間的會話,即EBGP,PE與PE之間屬于BGP自治區域內的會話,即IBGP。Site是用戶的一個連通的IP系統,每一個site通過CE與PE相連,site是構成VPN的基本單元。一個VPN是由多個site組成的,一個site也可以同時屬于不同的VPN。

每個PE都直接和屬于相應VPN的Site相連,這些VPN都直接映射到每個PE的各自的虛擬路由中。通過使用BGP協議PE路由器之間自動的交換特定VPN的MPLS標記,并且自動的在內部VPN站點之間建立MPLS隧道,這些MPLS隧道能夠傳輸一個或多個特定VPN,每個VPN標簽交換通道都直接與隧道兩端點的站點連接。目前基于MPLS的VPN方案中,以RFC2547中規定的MPLSVPN得到了大多數廠家的支持,如Cisco,Juniper等。

現在看看如何轉發用戶數據的。

(1)CE1接收到發往172.21.1.1的IP數據包,查詢路由表,把該IP數據包發送到PE1。

(2)PE1從S1口上收到IP數據包后,根據S1所在的VRF,查詢對應的CEF表,數據包打上標簽6,注意該標簽就是通過MP-BGP協議傳來的。PE1繼續查詢全局CEF表,獲知要把數據發往172.21.1.1,必須先發送到PE2,而要發送到PE2,則必須打上由P1告知的標簽3。所以該IP包被打上了兩個標簽。

(3)P1接收到標簽包后,分析頂層的標簽,把頂層標簽換成4,繼續發送的P2。

(4)P2和P1一樣做同樣的操作,由于次末中繼彈出機制,P2去掉標簽4,直接把只帶有一個標簽的標簽包發送到PE2。

(5)PE2收到標簽包后,分析標簽頭,由于該標簽6是它本地產生的,而且是本地唯一的,所以PE2很容易查出帶有標簽8的標簽包應該去掉標簽,恢復IP包原貌,從S1端口發出。

(6)CE2獲得IP數據包后,進行路由查找,把數據發送到172.21.1.0/24網段上。

3基于MPLSVPN構建合肥市電子政務專網

合肥市電子政務專網需要為全市近200個單位(包括黨群口)建立市、區縣二級橫向網絡,同時為省、市、區縣三級黨政部門建立縱向網絡,滿足各部門間資源共享的需要,其邏輯結構是一個復雜的立體架構。

3.1主干設計

合肥電子政務網絡從整體結構上可以分為核心層、匯聚層和接入層等三個層次,其中核心層和匯聚層是網絡中心主體,也就是政務網的骨干部分,骨干網是指市、區縣各職能部門上連設備以上部分,市級骨干網作為全市數據交換平臺,由運營商進行管理,是三網合一的骨干網絡承載部分,包括核心層和匯聚層。骨干網主要使用千兆以太網技術、MPLSVPN技術,組建高速的寬帶IP網。

合肥市電子政務骨干網的市級核心層由4臺核心路由交換設備組成環網構成,分別放置于政務文化新區、宿州路電信分局、大鐘樓電信分局和五里墩電信機房,是MPLS的PE(P)設備,節點間組成雙環網可以提供路由保護及提高可靠性。

務匯接中心起著承上啟下的作用,上連骨干節點設備,下接各政府部門的局域網,實現流量的匯聚。這里它主要用于連接一般的市直屬部門、以及一些區縣一級的直屬部門、區縣,包括政務文化新區、高新開發區、經濟技術開發區、新站開發區等單位及城市信息化的主要信息節點,我們部署共17個匯聚節點,其中市區部署15臺(包括三縣),政務文化新區2臺匯聚設備。每個匯聚節點都通過雙GE分別就均地上聯到核心層不同的核心節點上,消除骨干單點故障。

全網的Internet出口位于核心層,同時與兩家服務提供高速、安全互聯,并預留政府網站接口。同時與省電子政務網平滑地接入。

在核心層部署一臺高端路由設備作為電子政務專網的VPDN網關(遠程接入服務器),出口考慮與多家運營商百兆或千兆接入Internet,允許街道、鄉鎮、遠程辦公機關等超小型單位靈活地通過Internet建立L2TP/IPsecVPN接入專網。

3.2MPLSVPN縱橫互聯

各級政府部門和直屬機構需要實現橫向互聯同時上下級之間需要實現縱向互聯,通過MPLSVPN方式可以完全實現橫向和縱向互聯,橫向可實現市、縣(區)二級政府的區域性互連,縱向可實現覆蓋省市縣三級單位的政府或行業的縱向虛擬網絡。

具體的實現方式如下:

局域網:不同部門劃分為不同的VLAN。

城域網:完成VLAN到MPLS的標簽之間的映射,完成政府橫向和縱向的虛擬網。下面分別從兩個方面分別說明:

(1)橫向VPN構建:

在電子政務專網中,使用VPN技術來進行各系統的網絡隔離及特殊應用的橫向訪問互通,保證網絡安全。專網內,對在本地有訪問要求的系統及應用,在本單位可與其他機器位于不同的VLAN,實現了本地安全隔離,保證本地其它機器的安全。在專網不同的網絡節點,需要橫向互訪的主機設備分屬于不同VLAN,這樣避免了在一個VLAN內有太多的主機。如果VPN內沒有太多的主機,則可以將這些主機在城域網內設置在一個VLAN內,直接在二層互通,可以提高網絡效率。

在匯聚層PE處,利用MPLS技術,將這些需要相互訪問的主機的VLAN,引入到同一個VPN內進行路由,從而實現在網內主機的互連互通。而其它沒有被引入的VLAN,不能訪問這個VPN的成員的主機。從而實現了專網內的跨部門主機訪問,又防止對各單位內部不需要橫向訪問主機的安全性。

(2)縱向VPN構建:

橫向VPN解決了城域網內的互通及安全隔離,在專網廣域網上,則要利用MPLSVPN組網實現各系統間縱向網絡的互聯,以及相互之間的安全隔離互聯等。

在專網中,不同部門主機,位于不同的VLAN中,這些網關與其它部門主機相互隔離,確保不被非法訪問。在VLAN統一的出口處,政務專網骨干網的PE設備,將各主機所在的VLAN引入到相應的VPN中,通過骨干網實現VPN內的互通。

4網絡的安全

合肥市電子政務專網建立一個專用、公共的網絡平臺,統一實現縱向網及橫向網的信息交互,達到每個政府部門只需建設一個局域網絡,通過一條通信線路,就可以實現縱向及橫向全部通信的需要,非常好地滿足了政府對網絡的靈活機動性以及any--to--any連接等的廣泛需求。

這個系統的安全性體現在:(1)轉發透明。采用MPLS作為通道機制實現透明分組傳輸,MPLS的標簽交換路徑(LSP)具有與FR和ATM的VC相類似的安全性;(2)路由分離。PE路由器為每一個VPN保持一個分離的路由表(VRF)彼此獨立,與全局路由表獨立。即使有兩個政府部門的縱向網絡使用相同的地址空間,彼此之間也是完全隔離的。(3)核心隱藏。在MPLS內部連接到VPN的接口是BGP,沒有必要透露關于核心的任何信息給用戶,如果在PE和CE之間使用動態路由協議,CE惟一知道的信息是PE路由器的地址,如果在CE和PE之間配置靜態路由,則可以徹底隱藏MPLS核心。

系統具有相當強的靈活性及可擴展性,MPLS核心采用VPN-IPV4地址路由使得不用更改單位的局域網中的私有IP地址,就能使建設后的VPN中的地址在MPLSVPN中是獨一無二的。如果要在單位的VPN中增加站點,在大多數情況下只需把新站點連接到本地的MPLS網絡骨干節點PE路由器上。

5結束語

合肥市電子政務專網采用了集中力量建設一個統一的政務信息網絡平臺的方式,通過MPLSVPN技術在這個統一的網絡平臺上為各個行業和部門的應用系統劃分各自獨立的VPN隧道,這種建設模式避免了各個行業和部門各自為政所造成的重復建設和資源浪費,同時又保證了各個應用系統的保密性、安全性和獨立性,產生了較好的經濟和社會效益。平臺為各單位開展各種應用提供了良好的網絡基礎。目前,該平臺連接單位130多個,上網用戶4000多。該平臺還為50多個單位提供網站托管或者建立虛擬主機服務。合肥市電子政務專網已投入使用,到目前為止運行穩定可靠。隨著接入單位和用戶不斷增加,帶動了市直單位的局域網建設和應用,取得良好的社會效益。下一步,在擴大接入單位的同時,實現與全市所有市級連網,并開發更多應用,為各級合肥市黨政部門提供更好的服務。

電子政務專網基礎網絡拓撲圖

在合肥電子政務專網骨干網中,核心層的4臺路由器作為MPLSVPN的PE設備,同時起P的作用,核心層節點處于網絡的核心位置,核心層功能主要是完成全網業務的高速交換和路由轉發,對網絡的可靠性、業務的支持能力和數據的轉發性能都有較高的要求,從設備的處理能力考慮,核心節點設備采用“交換式分布處理體系骨干高端三層路由器”,對所有端口提供線速支持能力,之間采用雙GE光纖互聯,形成環狀結構。匯聚層節點作為每個區域的業