導(dǎo)語(yǔ)：MPLSVPN電子政務(wù)專網(wǎng)論文一文來(lái)源于網(wǎng)友上傳，不代表本站觀點(diǎn)，若需要原創(chuàng)文章可咨詢客服老師，歡迎參考。

摘要本文在簡(jiǎn)要介紹mplsvpn技術(shù)及特點(diǎn)基礎(chǔ)上，講述了如何在公共網(wǎng)絡(luò)基礎(chǔ)設(shè)施上利用MPLSVPN技術(shù)構(gòu)建合肥市電子政務(wù)專網(wǎng)，有效地將合肥市政府各部門的局域網(wǎng)連成一個(gè)整體，并實(shí)現(xiàn)信息的安全傳輸。

關(guān)鍵詞電子政務(wù)MPLSVPN

隨著政府信息化步伐的加快，電子政務(wù)專網(wǎng)的構(gòu)建正在全國(guó)上下迅速地鋪開(kāi)，各地各級(jí)政府部門陸續(xù)都在進(jìn)行著電子政務(wù)專網(wǎng)的規(guī)劃設(shè)計(jì)、建設(shè)實(shí)施和運(yùn)行管理。當(dāng)今政府機(jī)關(guān)、事業(yè)部門管理方式正朝著越來(lái)越扁平化的方向發(fā)展，同時(shí)其內(nèi)部機(jī)構(gòu)的分布地域也越來(lái)越廣泛，與其他部門和廣大平民百姓的相互關(guān)聯(lián)性越來(lái)越緊密、相互影響度越來(lái)越強(qiáng)烈，這就使得政府部門迫切需要把原有的各自孤立的局域網(wǎng)互聯(lián)為一個(gè)整體，為電子政務(wù)系統(tǒng)構(gòu)筑一個(gè)暢通、可靠、安全的網(wǎng)絡(luò)信息傳輸?shù)慕y(tǒng)一平臺(tái)。本文探索利用MPLSVPN技術(shù)在地市和區(qū)縣部門之間構(gòu)建電子政務(wù)專網(wǎng)，以確保網(wǎng)絡(luò)上數(shù)據(jù)的安全傳輸。

1MPLS的概念

MPLS（MultiprotocolLabelSwitching）即多協(xié)議標(biāo)簽交換是兼有基于第二層交換的分組轉(zhuǎn)發(fā)技術(shù)和第三層路由選擇技術(shù)的優(yōu)點(diǎn)，利用綁定在IP包中的標(biāo)簽通過(guò)網(wǎng)絡(luò)進(jìn)行數(shù)據(jù)包轉(zhuǎn)發(fā)的技術(shù)。IP包在進(jìn)入第一個(gè)MPLS設(shè)備時(shí)，MPLS邊緣路由器就用標(biāo)簽封裝起來(lái)。MPLS邊緣路由器分析IP包的內(nèi)容并且為這些IP包選擇合適的標(biāo)簽，爾后所有MPLS網(wǎng)絡(luò)中節(jié)點(diǎn)都是依據(jù)這個(gè)簡(jiǎn)短標(biāo)簽來(lái)作為轉(zhuǎn)發(fā)判決依據(jù)。在隨后的轉(zhuǎn)發(fā)過(guò)程中，數(shù)據(jù)包的網(wǎng)絡(luò)層包頭將不再被進(jìn)一步的分析。

2MPLSVPN的構(gòu)件及原理

MPLSVPN包括以下組件：骨干路由器（P）、邊緣路由器（PE）、用戶邊緣路由器（CE）以及站點(diǎn)（Site）。P是核心路由器，作為標(biāo)簽交換路由器（LSR），它根據(jù)分組的外層標(biāo)簽對(duì)VPN數(shù)據(jù)進(jìn)行透明轉(zhuǎn)發(fā)，P路由器只維護(hù)到PE路由器的路由信息而不維護(hù)VPN相關(guān)的路由信息。PE作為標(biāo)簽邊緣路由器（LER），它們?yōu)閂PN成員保持著VPN路由，與CE以及連到P的接口對(duì)等交換路由。P與PE路由器之間將使用IP路由協(xié)議，建立MPLS核心網(wǎng)絡(luò)中的路徑，并且使用標(biāo)簽控制協(xié)議（如LDP）實(shí)現(xiàn)路由器之間的標(biāo)記分發(fā)。CE使用傳統(tǒng)的路由選擇方法實(shí)現(xiàn)網(wǎng)絡(luò)連接。CE與PE、PE與PE之間使用BGP協(xié)議作為標(biāo)簽控制協(xié)議，這其中CE與PE之間屬于BGP自治區(qū)域之間的會(huì)話，即EBGP，PE與PE之間屬于BGP自治區(qū)域內(nèi)的會(huì)話，即IBGP。Site是用戶的一個(gè)連通的IP系統(tǒng)，每一個(gè)site通過(guò)CE與PE相連，site是構(gòu)成VPN的基本單元。一個(gè)VPN是由多個(gè)site組成的，一個(gè)site也可以同時(shí)屬于不同的VPN。

每個(gè)PE都直接和屬于相應(yīng)VPN的Site相連，這些VPN都直接映射到每個(gè)PE的各自的虛擬路由中。通過(guò)使用BGP協(xié)議PE路由器之間自動(dòng)的交換特定VPN的MPLS標(biāo)記，并且自動(dòng)的在內(nèi)部VPN站點(diǎn)之間建立MPLS隧道，這些MPLS隧道能夠傳輸一個(gè)或多個(gè)特定VPN，每個(gè)VPN標(biāo)簽交換通道都直接與隧道兩端點(diǎn)的站點(diǎn)連接。目前基于MPLS的VPN方案中，以RFC2547中規(guī)定的MPLSVPN得到了大多數(shù)廠家的支持，如Cisco，Juniper等。

現(xiàn)在看看如何轉(zhuǎn)發(fā)用戶數(shù)據(jù)的。

（1）CE1接收到發(fā)往172.21.1.1的IP數(shù)據(jù)包，查詢路由表，把該IP數(shù)據(jù)包發(fā)送到PE1。

（2）PE1從S1口上收到IP數(shù)據(jù)包后，根據(jù)S1所在的VRF，查詢對(duì)應(yīng)的CEF表，數(shù)據(jù)包打上標(biāo)簽6，注意該標(biāo)簽就是通過(guò)MP-BGP協(xié)議傳來(lái)的。PE1繼續(xù)查詢?nèi)諧EF表，獲知要把數(shù)據(jù)發(fā)往172.21.1.1，必須先發(fā)送到PE2，而要發(fā)送到PE2，則必須打上由P1告知的標(biāo)簽3。所以該IP包被打上了兩個(gè)標(biāo)簽。

（3）P1接收到標(biāo)簽包后，分析頂層的標(biāo)簽，把頂層標(biāo)簽換成4，繼續(xù)發(fā)送的P2。

（4）P2和P1一樣做同樣的操作，由于次末中繼彈出機(jī)制，P2去掉標(biāo)簽4，直接把只帶有一個(gè)標(biāo)簽的標(biāo)簽包發(fā)送到PE2。

（5）PE2收到標(biāo)簽包后，分析標(biāo)簽頭，由于該標(biāo)簽6是它本地產(chǎn)生的，而且是本地唯一的，所以PE2很容易查出帶有標(biāo)簽8的標(biāo)簽包應(yīng)該去掉標(biāo)簽，恢復(fù)IP包原貌，從S1端口發(fā)出。

（6）CE2獲得IP數(shù)據(jù)包后，進(jìn)行路由查找，把數(shù)據(jù)發(fā)送到172.21.1.0/24網(wǎng)段上。

3基于MPLSVPN構(gòu)建合肥市電子政務(wù)專網(wǎng)

合肥市電子政務(wù)專網(wǎng)需要為全市近200個(gè)單位（包括黨群口）建立市、區(qū)縣二級(jí)橫向網(wǎng)絡(luò)，同時(shí)為省、市、區(qū)縣三級(jí)黨政部門建立縱向網(wǎng)絡(luò)，滿足各部門間資源共享的需要，其邏輯結(jié)構(gòu)是一個(gè)復(fù)雜的立體架構(gòu)。

3．1主干設(shè)計(jì)

合肥電子政務(wù)網(wǎng)絡(luò)從整體結(jié)構(gòu)上可以分為核心層、匯聚層和接入層等三個(gè)層次，其中核心層和匯聚層是網(wǎng)絡(luò)中心主體，也就是政務(wù)網(wǎng)的骨干部分，骨干網(wǎng)是指市、區(qū)縣各職能部門上連設(shè)備以上部分，市級(jí)骨干網(wǎng)作為全市數(shù)據(jù)交換平臺(tái)，由運(yùn)營(yíng)商進(jìn)行管理，是三網(wǎng)合一的骨干網(wǎng)絡(luò)承載部分，包括核心層和匯聚層。骨干網(wǎng)主要使用千兆以太網(wǎng)技術(shù)、MPLSVPN技術(shù)，組建高速的寬帶IP網(wǎng)。

合肥市電子政務(wù)骨干網(wǎng)的市級(jí)核心層由4臺(tái)核心路由交換設(shè)備組成環(huán)網(wǎng)構(gòu)成，分別放置于政務(wù)文化新區(qū)、宿州路電信分局、大鐘樓電信分局和五里墩電信機(jī)房，是MPLS的PE（P）設(shè)備，節(jié)點(diǎn)間組成雙環(huán)網(wǎng)可以提供路由保護(hù)及提高可靠性。

務(wù)匯接中心起著承上啟下的作用，上連骨干節(jié)點(diǎn)設(shè)備，下接各政府部門的局域網(wǎng)，實(shí)現(xiàn)流量的匯聚。這里它主要用于連接一般的市直屬部門、以及一些區(qū)縣一級(jí)的直屬部門、區(qū)縣，包括政務(wù)文化新區(qū)、高新開(kāi)發(fā)區(qū)、經(jīng)濟(jì)技術(shù)開(kāi)發(fā)區(qū)、新站開(kāi)發(fā)區(qū)等單位及城市信息化的主要信息節(jié)點(diǎn)，我們部署共17個(gè)匯聚節(jié)點(diǎn)，其中市區(qū)部署15臺(tái)（包括三縣），政務(wù)文化新區(qū)2臺(tái)匯聚設(shè)備。每個(gè)匯聚節(jié)點(diǎn)都通過(guò)雙GE分別就均地上聯(lián)到核心層不同的核心節(jié)點(diǎn)上，消除骨干單點(diǎn)故障。

全網(wǎng)的Internet出口位于核心層，同時(shí)與兩家服務(wù)提供高速、安全互聯(lián)，并預(yù)留政府網(wǎng)站接口。同時(shí)與省電子政務(wù)網(wǎng)平滑地接入。

在核心層部署一臺(tái)高端路由設(shè)備作為電子政務(wù)專網(wǎng)的VPDN網(wǎng)關(guān)（遠(yuǎn)程接入服務(wù)器），出口考慮與多家運(yùn)營(yíng)商百兆或千兆接入Internet，允許街道、鄉(xiāng)鎮(zhèn)、遠(yuǎn)程辦公機(jī)關(guān)等超小型單位靈活地通過(guò)Internet建立L2TP/IPsecVPN接入專網(wǎng)。

3．2MPLSVPN縱橫互聯(lián)

各級(jí)政府部門和直屬機(jī)構(gòu)需要實(shí)現(xiàn)橫向互聯(lián)同時(shí)上下級(jí)之間需要實(shí)現(xiàn)縱向互聯(lián)，通過(guò)MPLSVPN方式可以完全實(shí)現(xiàn)橫向和縱向互聯(lián)，橫向可實(shí)現(xiàn)市、縣（區(qū)）二級(jí)政府的區(qū)域性互連，縱向可實(shí)現(xiàn)覆蓋省市縣三級(jí)單位的政府或行業(yè)的縱向虛擬網(wǎng)絡(luò)。

具體的實(shí)現(xiàn)方式如下：

局域網(wǎng)：不同部門劃分為不同的VLAN。

城域網(wǎng)：完成VLAN到MPLS的標(biāo)簽之間的映射，完成政府橫向和縱向的虛擬網(wǎng)。下面分別從兩個(gè)方面分別說(shuō)明：

（1）橫向VPN構(gòu)建：

在電子政務(wù)專網(wǎng)中，使用VPN技術(shù)來(lái)進(jìn)行各系統(tǒng)的網(wǎng)絡(luò)隔離及特殊應(yīng)用的橫向訪問(wèn)互通，保證網(wǎng)絡(luò)安全。專網(wǎng)內(nèi)，對(duì)在本地有訪問(wèn)要求的系統(tǒng)及應(yīng)用，在本單位可與其他機(jī)器位于不同的VLAN，實(shí)現(xiàn)了本地安全隔離，保證本地其它機(jī)器的安全。在專網(wǎng)不同的網(wǎng)絡(luò)節(jié)點(diǎn)，需要橫向互訪的主機(jī)設(shè)備分屬于不同VLAN，這樣避免了在一個(gè)VLAN內(nèi)有太多的主機(jī)。如果VPN內(nèi)沒(méi)有太多的主機(jī)，則可以將這些主機(jī)在城域網(wǎng)內(nèi)設(shè)置在一個(gè)VLAN內(nèi)，直接在二層互通，可以提高網(wǎng)絡(luò)效率。

在匯聚層PE處，利用MPLS技術(shù)，將這些需要相互訪問(wèn)的主機(jī)的VLAN，引入到同一個(gè)VPN內(nèi)進(jìn)行路由，從而實(shí)現(xiàn)在網(wǎng)內(nèi)主機(jī)的互連互通。而其它沒(méi)有被引入的VLAN，不能訪問(wèn)這個(gè)VPN的成員的主機(jī)。從而實(shí)現(xiàn)了專網(wǎng)內(nèi)的跨部門主機(jī)訪問(wèn)，又防止對(duì)各單位內(nèi)部不需要橫向訪問(wèn)主機(jī)的安全性。

（2）縱向VPN構(gòu)建：

橫向VPN解決了城域網(wǎng)內(nèi)的互通及安全隔離，在專網(wǎng)廣域網(wǎng)上，則要利用MPLSVPN組網(wǎng)實(shí)現(xiàn)各系統(tǒng)間縱向網(wǎng)絡(luò)的互聯(lián)，以及相互之間的安全隔離互聯(lián)等。

在專網(wǎng)中，不同部門主機(jī)，位于不同的VLAN中，這些網(wǎng)關(guān)與其它部門主機(jī)相互隔離，確保不被非法訪問(wèn)。在VLAN統(tǒng)一的出口處，政務(wù)專網(wǎng)骨干網(wǎng)的PE設(shè)備，將各主機(jī)所在的VLAN引入到相應(yīng)的VPN中，通過(guò)骨干網(wǎng)實(shí)現(xiàn)VPN內(nèi)的互通。

4網(wǎng)絡(luò)的安全

合肥市電子政務(wù)專網(wǎng)建立一個(gè)專用、公共的網(wǎng)絡(luò)平臺(tái)，統(tǒng)一實(shí)現(xiàn)縱向網(wǎng)及橫向網(wǎng)的信息交互，達(dá)到每個(gè)政府部門只需建設(shè)一個(gè)局域網(wǎng)絡(luò)，通過(guò)一條通信線路，就可以實(shí)現(xiàn)縱向及橫向全部通信的需要，非常好地滿足了政府對(duì)網(wǎng)絡(luò)的靈活機(jī)動(dòng)性以及any--to--any連接等的廣泛需求。

這個(gè)系統(tǒng)的安全性體現(xiàn)在：（1）轉(zhuǎn)發(fā)透明。采用MPLS作為通道機(jī)制實(shí)現(xiàn)透明分組傳輸，MPLS的標(biāo)簽交換路徑(LSP)具有與FR和ATM的VC相類似的安全性；（2）路由分離。PE路由器為每一個(gè)VPN保持一個(gè)分離的路由表（VRF）彼此獨(dú)立，與全局路由表獨(dú)立。即使有兩個(gè)政府部門的縱向網(wǎng)絡(luò)使用相同的地址空間，彼此之間也是完全隔離的。（3）核心隱藏。在MPLS內(nèi)部連接到VPN的接口是BGP，沒(méi)有必要透露關(guān)于核心的任何信息給用戶，如果在PE和CE之間使用動(dòng)態(tài)路由協(xié)議，CE惟一知道的信息是PE路由器的地址，如果在CE和PE之間配置靜態(tài)路由，則可以徹底隱藏MPLS核心。

系統(tǒng)具有相當(dāng)強(qiáng)的靈活性及可擴(kuò)展性，MPLS核心采用VPN-IPV4地址路由使得不用更改單位的局域網(wǎng)中的私有IP地址，就能使建設(shè)后的VPN中的地址在MPLSVPN中是獨(dú)一無(wú)二的。如果要在單位的VPN中增加站點(diǎn)，在大多數(shù)情況下只需把新站點(diǎn)連接到本地的MPLS網(wǎng)絡(luò)骨干節(jié)點(diǎn)PE路由器上。

5結(jié)束語(yǔ)

合肥市電子政務(wù)專網(wǎng)采用了集中力量建設(shè)一個(gè)統(tǒng)一的政務(wù)信息網(wǎng)絡(luò)平臺(tái)的方式,通過(guò)MPLSVPN技術(shù)在這個(gè)統(tǒng)一的網(wǎng)絡(luò)平臺(tái)上為各個(gè)行業(yè)和部門的應(yīng)用系統(tǒng)劃分各自獨(dú)立的VPN隧道,這種建設(shè)模式避免了各個(gè)行業(yè)和部門各自為政所造成的重復(fù)建設(shè)和資源浪費(fèi)，同時(shí)又保證了各個(gè)應(yīng)用系統(tǒng)的保密性、安全性和獨(dú)立性，產(chǎn)生了較好的經(jīng)濟(jì)和社會(huì)效益。平臺(tái)為各單位開(kāi)展各種應(yīng)用提供了良好的網(wǎng)絡(luò)基礎(chǔ)。目前,該平臺(tái)連接單位130多個(gè),上網(wǎng)用戶4000多。該平臺(tái)還為50多個(gè)單位提供網(wǎng)站托管或者建立虛擬主機(jī)服務(wù)。合肥市電子政務(wù)專網(wǎng)已投入使用,到目前為止運(yùn)行穩(wěn)定可靠。隨著接入單位和用戶不斷增加,帶動(dòng)了市直單位的局域網(wǎng)建設(shè)和應(yīng)用,取得良好的社會(huì)效益。下一步,在擴(kuò)大接入單位的同時(shí),實(shí)現(xiàn)與全市所有市級(jí)連網(wǎng),并開(kāi)發(fā)更多應(yīng)用,為各級(jí)合肥市黨政部門提供更好的服務(wù)。

電子政務(wù)專網(wǎng)基礎(chǔ)網(wǎng)絡(luò)拓?fù)鋱D

在合肥電子政務(wù)專網(wǎng)骨干網(wǎng)中，核心層的4臺(tái)路由器作為MPLSVPN的PE設(shè)備，同時(shí)起P的作用，核心層節(jié)點(diǎn)處于網(wǎng)絡(luò)的核心位置，核心層功能主要是完成全網(wǎng)業(yè)務(wù)的高速交換和路由轉(zhuǎn)發(fā)，對(duì)網(wǎng)絡(luò)的可靠性、業(yè)務(wù)的支持能力和數(shù)據(jù)的轉(zhuǎn)發(fā)性能都有較高的要求，從設(shè)備的處理能力考慮，核心節(jié)點(diǎn)設(shè)備采用“交換式分布處理體系骨干高端三層路由器”，對(duì)所有端口提供線速支持能力，之間采用雙GE光纖互聯(lián)，形成環(huán)狀結(jié)構(gòu)。匯聚層節(jié)點(diǎn)作為每個(gè)區(qū)域的業(yè)