張穎 (河北省聯(lián)通公司承德市分公司 河北承德067000)
近年來(lái),隨著信息技術(shù)發(fā)展與應(yīng)用的逐步深入,各地的電子政務(wù)步入了快速發(fā)展的軌道,但是,不同的管理體制與業(yè)務(wù)分割,導(dǎo)致不少信息系統(tǒng)各自獨(dú)立,處于分散或封閉狀態(tài),難以支持跨系統(tǒng)的應(yīng)用與信息共享。VPN(虛擬專用網(wǎng))是一種運(yùn)載加密或認(rèn)證過(guò)的通信網(wǎng)絡(luò),數(shù)據(jù)在VPN中的傳輸是安全的,其安全性由加密、認(rèn)證等安全技術(shù)來(lái)保證,其傳輸則是通過(guò)開放的、非安全的公用網(wǎng)絡(luò)。VPN技術(shù)以其隧道通信的優(yōu)勢(shì),能夠支持政府部門間信息共享,并提升安全性。傳統(tǒng)的虛擬專用網(wǎng)存在地址沖突、轉(zhuǎn)發(fā)效率低等一系列弱點(diǎn),因而引入MPLS VPN,利用MPLS技術(shù)創(chuàng)建隧道,實(shí)現(xiàn)VPN業(yè)務(wù)具有優(yōu)勢(shì)。本文在分析MPLS VPN理論的基礎(chǔ)上,闡述MPLS VPN在承德市政務(wù)網(wǎng)中的具體應(yīng)用設(shè)計(jì)。
虛擬專用網(wǎng)(VPN)提供了集專網(wǎng)的安全性和公網(wǎng)的經(jīng)濟(jì)、方便性于一體的有效解決方案。無(wú)論是從市場(chǎng)的角度還是從研究的角度,研究VPN的系統(tǒng)構(gòu)建都是非常有意義的。在傳統(tǒng)VPN的基礎(chǔ)上基于MPLS技術(shù)來(lái)實(shí)現(xiàn)業(yè)務(wù),是MPLS VPN的獨(dú)特優(yōu)勢(shì)。在IP或者M(jìn)PLS網(wǎng)絡(luò)中,通過(guò)創(chuàng)建基于MPLS技術(shù)的隧道來(lái)支持第二和第三層的虛擬專用網(wǎng)業(yè)務(wù)。由于獲取了MPLS的傳輸優(yōu)勢(shì),MPLS VPN的轉(zhuǎn)發(fā)效率明顯優(yōu)于諸如IPSec等傳統(tǒng)VPN解決方案。電信運(yùn)營(yíng)商和信息客戶兩方面的業(yè)務(wù)驅(qū)動(dòng),使得IP或者M(jìn)PLS網(wǎng)絡(luò)上提供VPN業(yè)務(wù)獲得了不錯(cuò)的市場(chǎng)前景。首先,電信運(yùn)營(yíng)商能夠以VPN業(yè)務(wù)的推廣來(lái)向客戶提供差異化的電信服務(wù),從而實(shí)現(xiàn)向?qū)S镁W(wǎng)市場(chǎng)滲透,增強(qiáng)業(yè)務(wù)增長(zhǎng)態(tài)勢(shì);其次,能夠借助MPLS VPN,實(shí)現(xiàn)多網(wǎng)合一,并提供更高的擴(kuò)容效率和靈活的帶寬復(fù)用,以維持更低的運(yùn)維成本。對(duì)于行業(yè)客戶或者政府部門,電信運(yùn)營(yíng)商可以結(jié)合MPLS VPN為這些實(shí)體組建私有網(wǎng)絡(luò),同時(shí)又簡(jiǎn)化了網(wǎng)絡(luò)運(yùn)維的復(fù)雜性。
承德市電子政務(wù)建設(shè)的主要任務(wù)之一就是建設(shè)和整合統(tǒng)一的電子政務(wù)平臺(tái)。承德市電子政務(wù)網(wǎng)絡(luò)是典型的內(nèi)網(wǎng)+外網(wǎng)結(jié)構(gòu),內(nèi)網(wǎng)外網(wǎng)間進(jìn)行了嚴(yán)格的物理隔離,而外網(wǎng)與互聯(lián)網(wǎng)也進(jìn)行了嚴(yán)格的邏輯隔離。從網(wǎng)絡(luò)需求上看,MPLS VPN電子政務(wù)網(wǎng)絡(luò)平臺(tái)一方面應(yīng)該能夠支持物理隔離與邏輯隔離,另一方面還應(yīng)該支持不同政務(wù)部門之間以及不同級(jí)別之間的隔離。其需求分析為:①承德市電子政務(wù)網(wǎng)絡(luò)體系結(jié)構(gòu)建設(shè)中,系統(tǒng)所要求的物理與邏輯隔離不能簡(jiǎn)單地基于網(wǎng)關(guān)或防火墻實(shí)現(xiàn),而必須是在電子政務(wù)網(wǎng)絡(luò)中處于不同協(xié)議層之上的所有網(wǎng)元之間實(shí)現(xiàn)的隔離。②物理隔離的實(shí)現(xiàn)應(yīng)該基于數(shù)據(jù)鏈路層,不能只是基于物理層。原因在于廣域網(wǎng)信道按帶寬的租用均是基于電信運(yùn)營(yíng)商的第二層虛鏈路。③當(dāng)前承德市電子政務(wù)的業(yè)務(wù)品種不但包括電子郵件和上網(wǎng)瀏覽等傳統(tǒng)的網(wǎng)絡(luò)傳輸服務(wù),隨著信息技術(shù)的發(fā)展,OA系統(tǒng)、在線視頻點(diǎn)播、移動(dòng)視頻會(huì)議接入以及數(shù)據(jù)挖掘和知識(shí)庫(kù)等增值業(yè)務(wù)逐漸占據(jù)了電子政務(wù)應(yīng)用的主流,這些業(yè)務(wù)均有較高的QOS(國(guó)際上通用的服務(wù)質(zhì)量指標(biāo))要求。
基于MPLS VPN的技術(shù)體系能夠一方面滿足承德市電子政務(wù)網(wǎng)絡(luò)平臺(tái)所需求的整合性和無(wú)邊界的特征,另一方面又能保證足夠的安全性與可擴(kuò)展性。因此,本文在設(shè)計(jì)中,將技術(shù)體系架構(gòu)定位于MPLS VPN。
2.3.1 網(wǎng)絡(luò)整體結(jié)構(gòu)設(shè)計(jì) 圖1所示為本文所設(shè)計(jì)的基于MPLS VPN接入方案:
結(jié)合政府部門電子政務(wù)網(wǎng)的需求,該網(wǎng)絡(luò)拓?fù)溆赏饩W(wǎng)和內(nèi)網(wǎng)組成,而且要求有較高的可靠性和安全性。網(wǎng)絡(luò)整體上可以分為3層,分別是核心層、匯聚層以及接入層。核心網(wǎng)絡(luò)由CISCO7609組成,采用雙機(jī)熱備份的方式以避免突發(fā)安全事故。同時(shí),CISCO7609路由器還承擔(dān)網(wǎng)絡(luò)出口的功能。由4臺(tái)CISCO6503路由器組成網(wǎng)絡(luò)的匯聚層,起到數(shù)據(jù)透?jìng)鞯墓δ堋6信d的16臺(tái)GER共同組成接入層,由于網(wǎng)絡(luò)提供設(shè)備直屬局委以及各個(gè)區(qū)縣政務(wù)網(wǎng)的接入,為了提升節(jié)點(diǎn)接入方便性,所有的用戶均以光纖直連方式完成接入操作。
圖1 基于MPLS VPN接入方案
2.3.2 VLAN的規(guī)劃 承德市的政府網(wǎng)將來(lái)應(yīng)能無(wú)縫地接入省級(jí)政府信息網(wǎng)絡(luò)平臺(tái),所以在IP地址的分配上,采用的是省電子政務(wù)網(wǎng)統(tǒng)一分配的地址,其中為每個(gè)地區(qū)和縣級(jí)部門分配8個(gè)B類地址。IP地址所采用的編碼規(guī)則為a.x.y.0模式,其中“a”表示市級(jí)代碼,x的含義是區(qū)縣編號(hào),Y的含義是行業(yè)編號(hào),,255.255.255.0為其子網(wǎng)掩碼,每個(gè)具體部門分配一個(gè)C類IP地址。
2.3.3 IP地址的規(guī)劃 對(duì)于政務(wù)網(wǎng)來(lái)說(shuō),IP地址的規(guī)劃是很重要的。承德市政務(wù)網(wǎng)規(guī)可以劃分為內(nèi)網(wǎng)與外網(wǎng),由于內(nèi)網(wǎng)用戶往往偏少,且與公網(wǎng)有物理隔絕,因此內(nèi)網(wǎng)的IP地址完全遵循國(guó)家規(guī)定的政務(wù)內(nèi)網(wǎng)地址分配方案。而對(duì)于外網(wǎng)而言,由于已經(jīng)有不少單位和部門擁有自身的政務(wù)網(wǎng)平臺(tái)外網(wǎng),IP地址分配較為混亂,因此必須按照規(guī)定重新進(jìn)行IP地址的統(tǒng)一分配。本文在設(shè)計(jì)中,采用層次化的劃分方式進(jìn)行地址分配,將政務(wù)網(wǎng)IP地址分為L(zhǎng)oopback地址、互聯(lián)地址以及網(wǎng)管地址3種類別。在市級(jí)骨干網(wǎng),以兩個(gè)C類地址來(lái)滿足其需求,而各個(gè)區(qū)縣則采用了可伸縮的分配方案,合理地配置IP地址資源。
2.3.4 網(wǎng)絡(luò)路由協(xié)議的設(shè)計(jì) 在承德市政務(wù)網(wǎng)絡(luò)平臺(tái)中,使用路由協(xié)議一共3種,如圖2所示:
圖2 網(wǎng)絡(luò)路由的設(shè)計(jì)
由圖可知,在整體上運(yùn)行的是OSP路由F協(xié)議,在網(wǎng)絡(luò)接入層到網(wǎng)絡(luò)匯聚層再到網(wǎng)絡(luò)核心層之間,運(yùn)行的是LDP協(xié)議,而在最里層則使用MP-BGP協(xié)議。
2.3.5 VPN的設(shè)計(jì) 承德市政務(wù)網(wǎng)工程平臺(tái)設(shè)備,包括擔(dān)任外網(wǎng)匯聚功能的交換機(jī)、區(qū)縣部門的接入路由器等,均啟用MPLS模式。在具體的設(shè)計(jì)中,為保證隔離每一種業(yè)務(wù)之間的設(shè)備去獲取對(duì)方的路由信息,規(guī)劃20類屬性的類VPN,通過(guò)對(duì)Route-Target屬性的合理配置,使得只有相同的業(yè)務(wù)才能夠?qū)崿F(xiàn)相互訪問(wèn)。
2.3.6 MBGP的具體設(shè)計(jì) 實(shí)現(xiàn)VPN的重要前提即為MP-BGP路由系統(tǒng)。在承德市政務(wù)網(wǎng)工程設(shè)計(jì)中,更新VPN-instance與VPN的關(guān)聯(lián)關(guān)系由外網(wǎng)匯聚核心交換機(jī)來(lái)實(shí)現(xiàn)。為避免VPN之外的數(shù)據(jù)進(jìn)入,同時(shí)防止數(shù)據(jù)泄漏出VPN,在屬于PE的VPN-instance上均部署了獨(dú)立的標(biāo)簽轉(zhuǎn)發(fā)表和路由表,以便對(duì)報(bào)文轉(zhuǎn)發(fā)信息進(jìn)行存儲(chǔ),同時(shí),通過(guò)使用BGP來(lái)發(fā)布PE路由器間VPN的路由。匯聚交換機(jī)與市級(jí)直屬機(jī)構(gòu)之間的關(guān)系為PE-P。
外網(wǎng)匯聚核心設(shè)備與市直屬VPN路由發(fā)布的模式為:通過(guò)將VPN綁定到市直屬接入路由器上的子接口,通過(guò)子接口所歸屬的OSPF,向外網(wǎng)匯聚核心設(shè)備的MP-BGP發(fā)布VPN的路由;N通過(guò)VPN的RD屬性把來(lái)自外部訪問(wèn)市直屬網(wǎng)絡(luò)的VP進(jìn)行VPN的路由轉(zhuǎn)發(fā),從而實(shí)現(xiàn)VPN流量的正確走向。
2.3.7 MPLSVPN的實(shí)現(xiàn) 圖3為承德市電子政務(wù)網(wǎng)關(guān)于MPLSVPN部分的示意圖:
圖3 承德市電子政務(wù)網(wǎng)關(guān)于MPLSVPN部分的示意圖
圖中,CISCO的7609路由器是網(wǎng)絡(luò)的核心模塊,匯聚層的4臺(tái)思科公司的6503網(wǎng)絡(luò)交換機(jī)主要功能是數(shù)據(jù)的透明傳輸,在整個(gè)政務(wù)網(wǎng)絡(luò)中,路由協(xié)議均采用OSPF協(xié)議;而在網(wǎng)絡(luò)的PE-P-P模塊之間,則以LDP協(xié)議進(jìn)行溝通。
基于MPLS VPN的信息系統(tǒng)網(wǎng)絡(luò)應(yīng)用解決方案,能夠提供完善的電子政務(wù)網(wǎng)絡(luò)解決方案,同時(shí)具備廣泛覆蓋和擴(kuò)展的優(yōu)勢(shì),因此充分發(fā)揮了網(wǎng)絡(luò)的潛力,使得建網(wǎng)成本得到了最大限度的降低?;贛PLS VPN的承德市政務(wù)網(wǎng)解決方案對(duì)于其他類似的網(wǎng)絡(luò)構(gòu)建有著很好的參考價(jià)值?!?/p>
[1]彭暉.新型的骨干網(wǎng)路由平臺(tái):MPLS[M].北京:人民郵電出版社,2011.
[2]Eric Osborne,Ajay Simha.基于 MPLS的流量工程[M].北京:人民郵電出版社,2010.
[3]肖慧.MPLS技術(shù)實(shí)現(xiàn)流量工程及服務(wù)質(zhì)量等問(wèn)題的研究[D].廣東工業(yè)大學(xué),2010.
[4]石晶林,丁煒.MPLS寬帶網(wǎng)絡(luò)互聯(lián)技術(shù)[M].北京:人民郵電出版社,2011.