基于MPLS VPN构建忻州地税电子政务网
开篇:润墨网以专业的文秘视角,为您筛选了一篇基于MPLS VPN构建忻州地税电子政务网范文,如需获取更多写作素材,在线客服老师一对一协助。欢迎您的阅读与分享!
摘要:本文在简要介绍MPLS VPN技术及特点基础上,讲述了如何在公共网络基础设施上利用MPLS VPN技术构建忻州市地税局电子政务网,有效地将忻州市地税接入全省的地税电子政务系统,实现信息的安全传输。
关键词:地税电子政务 MPLS VPN
随着政府信息化步伐的加快,各地各级政府部门陆续都在进行着电子政务专网的规划设计、建设实施和运行管理。当今政府机关、事业部门管理方式正朝着越来越扁平化的方向发展,同时其内部机构的分布地域也越来越广泛,与其他部门和广大平民百姓的相互关联性越来越紧密、相互影响度越来越强烈,这就使得政府部门迫切需要把原有的各自孤立的局域网互联为一个整体,构筑一个畅通、可靠、安全的网络信息传输的统一平台。
一、MPLS的概念
MPLS(Multiprotocol Label Switching)即多协议标签交换是兼有基于第二层交换的分组转发技术和第三层路由选择技术的优点,利用绑定在IP包中的标签通过网络进行数据包转发的技术。IP包在进入第一个mpls设备时,MPLS边缘路由器就用标签封装起来。MPLS边缘路由器分析IP包的内容并且为这些IP包选择合适的标签,尔后所有MPLS网络中节点都是依据这个简短标签来作为转发判决依据。在随后的转发过程中,数据包的网络层包头将不再被进一步的分析。
二、MPLS vpn 的构件及原理
MPLS VPN包括以下组件:骨干路由器(P)、边缘路由器(PE)、用户边缘路由器(CE)以及站点(Site)。P是核心路由器,作为标签交换路由器(LSR),它根据分组的外层标签对VPN数据进行透明转发,P路由器只维护到PE路由器的路由信息而不维护VPN相关的路由信息。PE作为标签边缘路由器(LER),它们为VPN成员保持着VPN路由,与CE以及连到P的接口对等交换路由。P与PE路由器之间将使用IP路由协议,建立MPLS核心网络中的路径,并且使用标签控制协议(如LDP)实现路由器之间的标记分发。CE使用传统的路由选择方法实现网络连接。CE与PE、PE与PE之间使用BGP协议作为标签控制协议,这其中CE与PE之间属于BGP自治区域之间的会话,即EBGP,PE与PE之间属于BGP自治区域内的会话,即IBGP。Site是用户的一个连通的IP系统,每一个site通过CE与PE相连,site是构成VPN的基本单元。一个VPN是由多个site组成的,一个site也可以同时属于不同的VPN。
每个PE都直接和属于相应VPN的Site相连,这些VPN都直接映射到每个PE的各自的虚拟路由中。通过使用BGP协议PE路由器之间自动的交换特定VPN的MPLS标记,并且自动的在内部VPN站点之间建立MPLS隧道,这些MPLS隧道能够传输一个或多个特定VPN,每个VPN标签交换通道都直接与隧道两端点的站点连接。目前基于MPLS的VPN方案中,以RFC2547中规定的MPLS VPN得到了大多数厂家的支持,如Cisco,Juniper等。数据转发流程如图1所示:
1.CE1接收到发往172.21.1.1的IP数据包,查询路由表,把该IP数据包发送到PE1。
2.PE1从S1口上收到IP数据包后,根据S1所在的VRF,查询对应的CEF表,数据包打上标签6,注意该标签就是通过MP-BGP协议传来的。PE1继续查询全局CEF表,获知要把数据发往172.21.1.1,必须先发送到PE2,而要发送到PE2,则必须打上由P1告知的标签3。所以该IP包被打上了两个标签。
3.P1接收到标签包后,分析顶层的标签,把顶层标签换成4,继续发送到P2。
4.P2和P1一样做同样的操作,由于次末中继弹出机制,P2去掉标签4,直接把只带有一个标签的标签包发送到PE2。
5.PE2收到标签包后,分析标签头,由于该标签6是它本地产生的,而且是本地唯一的,所以PE2很容易查出带有标签6的标签包应该去掉标签,恢复IP包原貌,从S2端口发出。
6.CE2获得IP数据包后,进行路由查找,把数据发送到172.21.1.0/24网段上。
忻州地税电子政务网需要为全市近20个分局建立市/县横向网络,同时为省、市/县部门之间建立两级纵向网络,满足各单位之间资源共享的需要,其逻辑结构是一个复杂的立体架构。
1.主干设计
忻州地税电子政务网络从整体结构上可以分为核心层、汇聚层和接入层三个层次,其中核心层和汇聚层是网络中心主体,也就是政务网的骨干部分。接入层是指市、县各分局终端以上设备,市级骨干网作为全市数据交换平台,包括核心层和汇聚层。骨干网主要使用千兆以太网技术、MPLS VPN技术,组建高速的宽带IP城域网。
忻州市地税电子政务骨干网的市级核心层由2台核心路由设备组成,均放置于忻州联通新大楼数据机房,是MPLS的P设备,节点间互为主备,可提供路由保护及提高可靠性。基础网络拓扑如图2所示:
在此电子政务骨干网中,核心层的2台路由器作为MPLS VPN的P设备,核心层节点处于网络的核心位置,核心层功能主要是完成全网业务的高速交换和路由转发,对网络的可靠性、业务的支持能力和数据的转发性能都有较高的要求,从设备的处理能力考虑,核心节点设备采用NE80E路由器,对所有端口提供线速支持能力,之间采用10GE光纤互联,互为主备。汇聚层节点作为每个区域的业务汇接中心起着承上启下的作用,上连骨干节点设备,下接各分局的接入设备,实现流量的汇聚。这里它主要用于连接一般的市直分局、以及下属县局等单位的主要信息节点,我们共部署了18个汇聚节点,其中市区部署4台,各县局共14台。每个汇聚节点都通过双GE分别就均地上联到核心层不同的核心节点上,消除骨干单点故障。
全网的Internet出口位于核心层,与山西联通集团骨干网2台cisco12816路由器高速、安全互联,并连接位于太原数据机房的2台P设备,实现与省地税电子政务网的平滑接入。
2.MPLS VPN纵横互联
通过MPLS VPN,可完全实现全省各地税分局的横向和纵向互联。横向可实现市、县区域性互连,纵向可实现覆盖省、市、县三级单位的纵向虚拟网络。
具体实现方式如图3所示:
下面分别从两个方面进行说明:
1.横向VPN构建:
在电子政务专网中,使用VPN技术来进行各系统的网络隔离及特殊应用的横向访问互通,保证网络安全。专网内,对在本地有访问要求的系统及应用,在本单位可与其他机器位于不同的VLAN,实现了本地安全隔离,保证本地其它机器的安全。在专网不同的网络节点,需要横向互访的主机设备分属于不同的网段,互访通过路由寻址。
在汇聚层PE处,利用MPLS技术,将这些需要相互访问的主机的不同网段,引入到同一个VPN内进行路由,从而实现网内的互连互通。而其它没有被引入的网段,不能访问这个VPN的成员,从而实现了专网内的跨部门访问。
2.纵向VPN构建:
在广域网上,则要利用MPLS VPN组网实现各系统间纵向网络的互联,以及相互之间的安全隔离互联等。
在专网中,不同部门位于不同的网段中,与其它部门相互隔离,确保不被非法访问。在电子政务网本地PE设备上,将各单位所在的网段引入到相应的VPN中,通过骨干网P设备实现VPN的跨域互通。
四、网络的安全
忻州地税电子政务网建立一个专用、公共的网络平台,统一实现纵向网及横向网的信息交互,达到每个单位只需通过一条通信线路,就可以实现纵向及横向全部通信的需要,非常好地满足了对网络的灵活机动性以及any --to--any连接等的广泛需求。
这个系统的安全性体现在:转发透明。采用MPLS作为通道机制实现透明分组传输,MPLS的标签交换路径(LSP)具有与FR和ATM的VC相类似的安全性;路由分离。PE路由器为每一个VPN保持一个分离的路由表(VRF)彼此独立,与全局路由表独立。即使有两个政府部门的纵向网络使用相同的地址空间,彼此之间也是完全隔离的。核心隐藏。在MPLS内部跨域的VPN接口是BGP,没有必要透露关于核心的任何信息给用户,如果在PE和CE之间使用动态路由协议,CE惟一知道的信息是PE路由器的地址,如果在CE和PE之间配置静态路由,则可以彻底隐藏MPLS核心。
系统具有相当强的灵活性及可扩展性,MPLS核心采用VPN-IPV4地址。如果要在单位的VPN中增加站点,在大多数情况下只需把新站点连接到本地的MPLS网络骨干节点PE路由器上。
五、结束语
忻州地税电子政务网采用了集中力量建设一个统一的政务信息网络平台的方式, 通过MPLS VPN技术在这个统一的网络平台上为本行业各单位划分了各自的VPN隧道。这种建设模式避免了各单位各自为政所造成的重复建设和资源浪费,同时又保证了各个应用系统的保密性、安全性和独立性,产生了较好的经济和社会效益。平台为各单位开展各种应用提供了良好的网络基础。目前,该平台连接全省地税单位200多个,运行稳定可靠。随着接入单位和用户不断增加,带动了忻州市大客户业务的发展,并取得良好的社会效益。下一步,在扩大接入单位的同时,要更加注重新技术新业务的开发应用,为忻州市各级团体和个人用户提供更好的服务。
参考文献:
[1]Ivan Pepelnjak Jim Guichard.MPLS和VPN体系结构[M].人民邮电出版社. 2004.3.
[2]盖查德(Guichard,J.).MPLS网络设计权威指南[M].人民邮电出版社.2007.1.
[3][美]罗.第二层VPN体系结构[M].人民邮电出版社.2006.8.
[4][美]格茵(Ghein,L.D.).MPLS技术构架[M].人民邮电出版社.2008.1.