導(dǎo)語：MPLSVPN電子政務(wù)專網(wǎng)論文一文來源于網(wǎng)友上傳，不代表本站觀點，若需要原創(chuàng)文章可咨詢客服老師，歡迎參考。

摘要本文在簡要介紹mplsvpn技術(shù)及特點基礎(chǔ)上，講述了如何在公共網(wǎng)絡(luò)基礎(chǔ)設(shè)施上利用MPLSVPN技術(shù)構(gòu)建合肥市電子政務(wù)專網(wǎng)，有效地將合肥市政府各部門的局域網(wǎng)連成一個整體，并實現(xiàn)信息的安全傳輸。

關(guān)鍵詞電子政務(wù)MPLSVPN

隨著政府信息化步伐的加快，電子政務(wù)專網(wǎng)的構(gòu)建正在全國上下迅速地鋪開，各地各級政府部門陸續(xù)都在進行著電子政務(wù)專網(wǎng)的規(guī)劃設(shè)計、建設(shè)實施和運行管理。當今政府機關(guān)、事業(yè)部門管理方式正朝著越來越扁平化的方向發(fā)展，同時其內(nèi)部機構(gòu)的分布地域也越來越廣泛，與其他部門和廣大平民百姓的相互關(guān)聯(lián)性越來越緊密、相互影響度越來越強烈，這就使得政府部門迫切需要把原有的各自孤立的局域網(wǎng)互聯(lián)為一個整體，為電子政務(wù)系統(tǒng)構(gòu)筑一個暢通、可靠、安全的網(wǎng)絡(luò)信息傳輸?shù)慕y(tǒng)一平臺。本文探索利用MPLSVPN技術(shù)在地市和區(qū)縣部門之間構(gòu)建電子政務(wù)專網(wǎng)，以確保網(wǎng)絡(luò)上數(shù)據(jù)的安全傳輸。

1MPLS的概念

MPLS（MultiprotocolLabelSwitching）即多協(xié)議標簽交換是兼有基于第二層交換的分組轉(zhuǎn)發(fā)技術(shù)和第三層路由選擇技術(shù)的優(yōu)點，利用綁定在IP包中的標簽通過網(wǎng)絡(luò)進行數(shù)據(jù)包轉(zhuǎn)發(fā)的技術(shù)。IP包在進入第一個MPLS設(shè)備時，MPLS邊緣路由器就用標簽封裝起來。MPLS邊緣路由器分析IP包的內(nèi)容并且為這些IP包選擇合適的標簽，爾后所有MPLS網(wǎng)絡(luò)中節(jié)點都是依據(jù)這個簡短標簽來作為轉(zhuǎn)發(fā)判決依據(jù)。在隨后的轉(zhuǎn)發(fā)過程中，數(shù)據(jù)包的網(wǎng)絡(luò)層包頭將不再被進一步的分析。

2MPLSVPN的構(gòu)件及原理

MPLSVPN包括以下組件：骨干路由器（P）、邊緣路由器（PE）、用戶邊緣路由器（CE）以及站點（Site）。P是核心路由器，作為標簽交換路由器（LSR），它根據(jù)分組的外層標簽對VPN數(shù)據(jù)進行透明轉(zhuǎn)發(fā)，P路由器只維護到PE路由器的路由信息而不維護VPN相關(guān)的路由信息。PE作為標簽邊緣路由器（LER），它們?yōu)閂PN成員保持著VPN路由，與CE以及連到P的接口對等交換路由。P與PE路由器之間將使用IP路由協(xié)議，建立MPLS核心網(wǎng)絡(luò)中的路徑，并且使用標簽控制協(xié)議（如LDP）實現(xiàn)路由器之間的標記分發(fā)。CE使用傳統(tǒng)的路由選擇方法實現(xiàn)網(wǎng)絡(luò)連接。CE與PE、PE與PE之間使用BGP協(xié)議作為標簽控制協(xié)議，這其中CE與PE之間屬于BGP自治區(qū)域之間的會話，即EBGP，PE與PE之間屬于BGP自治區(qū)域內(nèi)的會話，即IBGP。Site是用戶的一個連通的IP系統(tǒng)，每一個site通過CE與PE相連，site是構(gòu)成VPN的基本單元。一個VPN是由多個site組成的，一個site也可以同時屬于不同的VPN。

每個PE都直接和屬于相應(yīng)VPN的Site相連，這些VPN都直接映射到每個PE的各自的虛擬路由中。通過使用BGP協(xié)議PE路由器之間自動的交換特定VPN的MPLS標記，并且自動的在內(nèi)部VPN站點之間建立MPLS隧道，這些MPLS隧道能夠傳輸一個或多個特定VPN，每個VPN標簽交換通道都直接與隧道兩端點的站點連接。目前基于MPLS的VPN方案中，以RFC2547中規(guī)定的MPLSVPN得到了大多數(shù)廠家的支持，如Cisco，Juniper等。

現(xiàn)在看看如何轉(zhuǎn)發(fā)用戶數(shù)據(jù)的。

（1）CE1接收到發(fā)往172.21.1.1的IP數(shù)據(jù)包，查詢路由表，把該IP數(shù)據(jù)包發(fā)送到PE1。

（2）PE1從S1口上收到IP數(shù)據(jù)包后，根據(jù)S1所在的VRF，查詢對應(yīng)的CEF表，數(shù)據(jù)包打上標簽6，注意該標簽就是通過MP-BGP協(xié)議傳來的。PE1繼續(xù)查詢?nèi)諧EF表，獲知要把數(shù)據(jù)發(fā)往172.21.1.1，必須先發(fā)送到PE2，而要發(fā)送到PE2，則必須打上由P1告知的標簽3。所以該IP包被打上了兩個標簽。

（3）P1接收到標簽包后，分析頂層的標簽，把頂層標簽換成4，繼續(xù)發(fā)送的P2。

（4）P2和P1一樣做同樣的操作，由于次末中繼彈出機制，P2去掉標簽4，直接把只帶有一個標簽的標簽包發(fā)送到PE2。

（5）PE2收到標簽包后，分析標簽頭，由于該標簽6是它本地產(chǎn)生的，而且是本地唯一的，所以PE2很容易查出帶有標簽8的標簽包應(yīng)該去掉標簽，恢復(fù)IP包原貌，從S1端口發(fā)出。

（6）CE2獲得IP數(shù)據(jù)包后，進行路由查找，把數(shù)據(jù)發(fā)送到172.21.1.0/24網(wǎng)段上。

3基于MPLSVPN構(gòu)建合肥市電子政務(wù)專網(wǎng)

合肥市電子政務(wù)專網(wǎng)需要為全市近200個單位（包括黨群口）建立市、區(qū)縣二級橫向網(wǎng)絡(luò)，同時為省、市、區(qū)縣三級黨政部門建立縱向網(wǎng)絡(luò)，滿足各部門間資源共享的需要，其邏輯結(jié)構(gòu)是一個復(fù)雜的立體架構(gòu)。

3．1主干設(shè)計

合肥電子政務(wù)網(wǎng)絡(luò)從整體結(jié)構(gòu)上可以分為核心層、匯聚層和接入層等三個層次，其中核心層和匯聚層是網(wǎng)絡(luò)中心主體，也就是政務(wù)網(wǎng)的骨干部分，骨干網(wǎng)是指市、區(qū)縣各職能部門上連設(shè)備以上部分，市級骨干網(wǎng)作為全市數(shù)據(jù)交換平臺，由運營商進行管理，是三網(wǎng)合一的骨干網(wǎng)絡(luò)承載部分，包括核心層和匯聚層。骨干網(wǎng)主要使用千兆以太網(wǎng)技術(shù)、MPLSVPN技術(shù)，組建高速的寬帶IP網(wǎng)。

合肥市電子政務(wù)骨干網(wǎng)的市級核心層由4臺核心路由交換設(shè)備組成環(huán)網(wǎng)構(gòu)成，分別放置于政務(wù)文化新區(qū)、宿州路電信分局、大鐘樓電信分局和五里墩電信機房，是MPLS的PE（P）設(shè)備，節(jié)點間組成雙環(huán)網(wǎng)可以提供路由保護及提高可靠性。

務(wù)匯接中心起著承上啟下的作用，上連骨干節(jié)點設(shè)備，下接各政府部門的局域網(wǎng)，實現(xiàn)流量的匯聚。這里它主要用于連接一般的市直屬部門、以及一些區(qū)縣一級的直屬部門、區(qū)縣，包括政務(wù)文化新區(qū)、高新開發(fā)區(qū)、經(jīng)濟技術(shù)開發(fā)區(qū)、新站開發(fā)區(qū)等單位及城市信息化的主要信息節(jié)點，我們部署共17個匯聚節(jié)點，其中市區(qū)部署15臺（包括三縣），政務(wù)文化新區(qū)2臺匯聚設(shè)備。每個匯聚節(jié)點都通過雙GE分別就均地上聯(lián)到核心層不同的核心節(jié)點上，消除骨干單點故障。

全網(wǎng)的Internet出口位于核心層，同時與兩家服務(wù)提供高速、安全互聯(lián)，并預(yù)留政府網(wǎng)站接口。同時與省電子政務(wù)網(wǎng)平滑地接入。

在核心層部署一臺高端路由設(shè)備作為電子政務(wù)專網(wǎng)的VPDN網(wǎng)關(guān)（遠程接入服務(wù)器），出口考慮與多家運營商百兆或千兆接入Internet，允許街道、鄉(xiāng)鎮(zhèn)、遠程辦公機關(guān)等超小型單位靈活地通過Internet建立L2TP/IPsecVPN接入專網(wǎng)。

3．2MPLSVPN縱橫互聯(lián)

各級政府部門和直屬機構(gòu)需要實現(xiàn)橫向互聯(lián)同時上下級之間需要實現(xiàn)縱向互聯(lián)，通過MPLSVPN方式可以完全實現(xiàn)橫向和縱向互聯(lián)，橫向可實現(xiàn)市、縣（區(qū)）二級政府的區(qū)域性互連，縱向可實現(xiàn)覆蓋省市縣三級單位的政府或行業(yè)的縱向虛擬網(wǎng)絡(luò)。

具體的實現(xiàn)方式如下：

局域網(wǎng)：不同部門劃分為不同的VLAN。

城域網(wǎng)：完成VLAN到MPLS的標簽之間的映射，完成政府橫向和縱向的虛擬網(wǎng)。下面分別從兩個方面分別說明：

（1）橫向VPN構(gòu)建：

在電子政務(wù)專網(wǎng)中，使用VPN技術(shù)來進行各系統(tǒng)的網(wǎng)絡(luò)隔離及特殊應(yīng)用的橫向訪問互通，保證網(wǎng)絡(luò)安全。專網(wǎng)內(nèi)，對在本地有訪問要求的系統(tǒng)及應(yīng)用，在本單位可與其他機器位于不同的VLAN，實現(xiàn)了本地安全隔離，保證本地其它機器的安全。在專網(wǎng)不同的網(wǎng)絡(luò)節(jié)點，需要橫向互訪的主機設(shè)備分屬于不同VLAN，這樣避免了在一個VLAN內(nèi)有太多的主機。如果VPN內(nèi)沒有太多的主機，則可以將這些主機在城域網(wǎng)內(nèi)設(shè)置在一個VLAN內(nèi)，直接在二層互通，可以提高網(wǎng)絡(luò)效率。

在匯聚層PE處，利用MPLS技術(shù)，將這些需要相互訪問的主機的VLAN，引入到同一個VPN內(nèi)進行路由，從而實現(xiàn)在網(wǎng)內(nèi)主機的互連互通。而其它沒有被引入的VLAN，不能訪問這個VPN的成員的主機。從而實現(xiàn)了專網(wǎng)內(nèi)的跨部門主機訪問，又防止對各單位內(nèi)部不需要橫向訪問主機的安全性。

（2）縱向VPN構(gòu)建：

橫向VPN解決了城域網(wǎng)內(nèi)的互通及安全隔離，在專網(wǎng)廣域網(wǎng)上，則要利用MPLSVPN組網(wǎng)實現(xiàn)各系統(tǒng)間縱向網(wǎng)絡(luò)的互聯(lián)，以及相互之間的安全隔離互聯(lián)等。

在專網(wǎng)中，不同部門主機，位于不同的VLAN中，這些網(wǎng)關(guān)與其它部門主機相互隔離，確保不被非法訪問。在VLAN統(tǒng)一的出口處，政務(wù)專網(wǎng)骨干網(wǎng)的PE設(shè)備，將各主機所在的VLAN引入到相應(yīng)的VPN中，通過骨干網(wǎng)實現(xiàn)VPN內(nèi)的互通。

4網(wǎng)絡(luò)的安全

合肥市電子政務(wù)專網(wǎng)建立一個專用、公共的網(wǎng)絡(luò)平臺，統(tǒng)一實現(xiàn)縱向網(wǎng)及橫向網(wǎng)的信息交互，達到每個政府部門只需建設(shè)一個局域網(wǎng)絡(luò)，通過一條通信線路，就可以實現(xiàn)縱向及橫向全部通信的需要，非常好地滿足了政府對網(wǎng)絡(luò)的靈活機動性以及any--to--any連接等的廣泛需求。

這個系統(tǒng)的安全性體現(xiàn)在：（1）轉(zhuǎn)發(fā)透明。采用MPLS作為通道機制實現(xiàn)透明分組傳輸，MPLS的標簽交換路徑(LSP)具有與FR和ATM的VC相類似的安全性；（2）路由分離。PE路由器為每一個VPN保持一個分離的路由表（VRF）彼此獨立，與全局路由表獨立。即使有兩個政府部門的縱向網(wǎng)絡(luò)使用相同的地址空間，彼此之間也是完全隔離的。（3）核心隱藏。在MPLS內(nèi)部連接到VPN的接口是BGP，沒有必要透露關(guān)于核心的任何信息給用戶，如果在PE和CE之間使用動態(tài)路由協(xié)議，CE惟一知道的信息是PE路由器的地址，如果在CE和PE之間配置靜態(tài)路由，則可以徹底隱藏MPLS核心。

系統(tǒng)具有相當強的靈活性及可擴展性，MPLS核心采用VPN-IPV4地址路由使得不用更改單位的局域網(wǎng)中的私有IP地址，就能使建設(shè)后的VPN中的地址在MPLSVPN中是獨一無二的。如果要在單位的VPN中增加站點，在大多數(shù)情況下只需把新站點連接到本地的MPLS網(wǎng)絡(luò)骨干節(jié)點PE路由器上。

5結(jié)束語

合肥市電子政務(wù)專網(wǎng)采用了集中力量建設(shè)一個統(tǒng)一的政務(wù)信息網(wǎng)絡(luò)平臺的方式,通過MPLSVPN技術(shù)在這個統(tǒng)一的網(wǎng)絡(luò)平臺上為各個行業(yè)和部門的應(yīng)用系統(tǒng)劃分各自獨立的VPN隧道,這種建設(shè)模式避免了各個行業(yè)和部門各自為政所造成的重復(fù)建設(shè)和資源浪費，同時又保證了各個應(yīng)用系統(tǒng)的保密性、安全性和獨立性，產(chǎn)生了較好的經(jīng)濟和社會效益。平臺為各單位開展各種應(yīng)用提供了良好的網(wǎng)絡(luò)基礎(chǔ)。目前,該平臺連接單位130多個,上網(wǎng)用戶4000多。該平臺還為50多個單位提供網(wǎng)站托管或者建立虛擬主機服務(wù)。合肥市電子政務(wù)專網(wǎng)已投入使用,到目前為止運行穩(wěn)定可靠。隨著接入單位和用戶不斷增加,帶動了市直單位的局域網(wǎng)建設(shè)和應(yīng)用,取得良好的社會效益。下一步,在擴大接入單位的同時,實現(xiàn)與全市所有市級連網(wǎng),并開發(fā)更多應(yīng)用,為各級合肥市黨政部門提供更好的服務(wù)。

電子政務(wù)專網(wǎng)基礎(chǔ)網(wǎng)絡(luò)拓撲圖

在合肥電子政務(wù)專網(wǎng)骨干網(wǎng)中，核心層的4臺路由器作為MPLSVPN的PE設(shè)備，同時起P的作用，核心層節(jié)點處于網(wǎng)絡(luò)的核心位置，核心層功能主要是完成全網(wǎng)業(yè)務(wù)的高速交換和路由轉(zhuǎn)發(fā)，對網(wǎng)絡(luò)的可靠性、業(yè)務(wù)的支持能力和數(shù)據(jù)的轉(zhuǎn)發(fā)性能都有較高的要求，從設(shè)備的處理能力考慮，核心節(jié)點設(shè)備采用“交換式分布處理體系骨干高端三層路由器”，對所有端口提供線速支持能力，之間采用雙GE光纖互聯(lián)，形成環(huán)狀結(jié)構(gòu)。匯聚層節(jié)點作為每個區(qū)域的業(yè)