海寧市委、市政府要求加快信息化建設(shè)的步伐，政府辦公系統(tǒng)要求無(wú)紙化，政府部門和企業(yè)也紛紛開展了自身的專網(wǎng)建設(shè)，基于運(yùn)營(yíng)商主干網(wǎng)絡(luò)，利用MPLS技術(shù)組建用戶VPN是極好的組網(wǎng)方案，但在組建用戶專網(wǎng)時(shí)經(jīng)常會(huì)遇到不同的業(yè)務(wù)需求，本文介紹了海寧廣電根據(jù)多年來(lái)的VPN業(yè)務(wù)實(shí)施經(jīng)驗(yàn)，總結(jié)并劃分典型用戶網(wǎng)絡(luò)類別，根據(jù)具體分類分別提出規(guī)格化的網(wǎng)絡(luò)配置解決方案，極大地方便了工程人員的施工，縮短了用戶VPN網(wǎng)絡(luò)建設(shè)的周期。

   1.MPLS和VPN技術(shù)

    MPLS(Multiprotocol Label Switching，多協(xié)議標(biāo)記交換)的提出是為了加快IP轉(zhuǎn)發(fā)速度。眾所周知，IP報(bào)文的傳輸是“盡力而為，逐跳轉(zhuǎn)發(fā)”，而且每次都要查詢路由表，進(jìn)行目的地址的最匹配，速度很慢且不利于用硬件實(shí)現(xiàn)。MPLs中的標(biāo)記(Label)是一個(gè)短的、長(zhǎng)度固定的數(shù)值，由報(bào)文的頭部攜帶，它不包含全局拓?fù)湫畔ⅲ�只具有局部意義，是一種連接的標(biāo)識(shí)符，在配置MPLS功能的網(wǎng)絡(luò)中數(shù)據(jù)包可以直接根據(jù)標(biāo)記進(jìn)行轉(zhuǎn)發(fā)，可以實(shí)現(xiàn)類似二層交換的傳輸速率。MPLS包頭的結(jié)構(gòu)如圖l所示，包含20比特的標(biāo)簽，3個(gè)比特的EXP，現(xiàn)在通常用做Cos(Class of service，業(yè)務(wù)類型)，1個(gè)比特的S，用于標(biāo)識(shí)這個(gè)MPLs標(biāo)簽是否為最低層的標(biāo)簽，8個(gè)比特的TTL(Time To Live生存時(shí)間)。

圖1 MPLS標(biāo)簽

    在MPLS中，一個(gè)標(biāo)簽標(biāo)識(shí)了一個(gè)轉(zhuǎn)發(fā)等價(jià)類(FEC—Fomording Equivalence class)。一個(gè)轉(zhuǎn)發(fā)等價(jià)類是在網(wǎng)絡(luò)中遵循同樣的轉(zhuǎn)發(fā)路徑的報(bào)文的集合，這些報(bào)文的目的地址甚至可以不同。FE可以是基于源地址、目的地址、源端口、目的端口、協(xié)議類型等信息的任意組合，所以MPLS通過把數(shù)據(jù)流關(guān)聯(lián)到一個(gè)FEC，并將FEC映射到某個(gè)LSP，使得服務(wù)提供商可以用非常精細(xì)的顆粒度來(lái)控制網(wǎng)絡(luò)中的每個(gè)流。這種空前的控制能力使網(wǎng)絡(luò)能夠提供更加有效和可預(yù)測(cè)的服務(wù)，大大增強(qiáng)了對(duì)業(yè)務(wù)的可管理性，利用這種特性，可以實(shí)施基于MPLS的VPN業(yè)務(wù)和流量工程業(yè)務(wù)。

    同隧道模式實(shí)現(xiàn)的傳統(tǒng)IP VPN不同，MPLS VPN不依靠封裝和加密技術(shù)，而是依靠轉(zhuǎn)發(fā)表和數(shù)據(jù)包的標(biāo)記來(lái)創(chuàng)建一個(gè)安全的VPN。RD(Router Distinguisher)和IPv4地址結(jié)合組成全網(wǎng)唯一的VPNv4地址，有效地解決了連接同一PE設(shè)備的不同VPN網(wǎng)中可能出現(xiàn)的地址重疊問題：RT(Route Target)用于路由信息的分發(fā)，它分成Import RT和Expoll RT，分別用于路由信息的導(dǎo)入、導(dǎo)出策略。通過RT和各個(gè)VPN各自的路由信息匹配，使單個(gè)VPN的路由信息對(duì)其他VPN用戶是透明的，保證了網(wǎng)絡(luò)的安全性。同時(shí)針對(duì)不同的網(wǎng)絡(luò)結(jié)構(gòu)，靈活設(shè)置RT可以動(dòng)態(tài)控制路由信息的傳輸，達(dá)到隔離數(shù)據(jù)、限制訪問的功能。

   2.用戶VPN網(wǎng)絡(luò)分類

    海寧廣電根據(jù)多年的VPN業(yè)務(wù)實(shí)施經(jīng)驗(yàn)，將用戶網(wǎng)絡(luò)分為簡(jiǎn)單型、單點(diǎn)覆蓋型和網(wǎng)格型，并針對(duì)具體的網(wǎng)絡(luò)類型分析可能存在的用戶需求，給出滿足各類需求的規(guī)格化配置和加強(qiáng)網(wǎng)絡(luò)安全的指導(dǎo)性實(shí)施規(guī)范。

    2.1 簡(jiǎn)單型

    簡(jiǎn)單型網(wǎng)絡(luò)如圖2所示，此類網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)簡(jiǎn)單，也最常見，是典型的總部一分部，分部一分部之間互聯(lián)的用戶類型，配置較簡(jiǎn)單，主要存在的業(yè)務(wù)需求是：1)分部與分部之間可以互相訪問；2)分部與分部之間不能互相訪問。

圖2 簡(jiǎn)單型網(wǎng)絡(luò)拓?fù)?/p>

    對(duì)于1)所要求的完全互聯(lián)的業(yè)務(wù)需求，只需在各PE VRF中將Target屬性做相同的設(shè)置就可以了，為了實(shí)現(xiàn)2)中的總部與各分公司之間可以互訪，而各分公司之間不能互訪的要求，只需在連接各個(gè)分部的PE上配置和連接總部的PE在Import和Export項(xiàng)上均匹配的RT，同時(shí)保證各個(gè)分部所連PE上的RT不匹配，這樣就可以實(shí)現(xiàn)各個(gè)分部無(wú)法互訪的業(yè)務(wù)要求，通過對(duì)RT各項(xiàng)的靈活配置還可以實(shí)現(xiàn)更多的應(yīng)用需求，如實(shí)現(xiàn)部分站點(diǎn)互訪的需求。

    2.2 單點(diǎn)覆蓋型

    單點(diǎn)覆蓋型網(wǎng)絡(luò)如圖3所示，這類網(wǎng)絡(luò)適合那些基于內(nèi)部互聯(lián)又有少量外部互聯(lián)要求的用戶，比如銀行，同一銀行分布在某城市的各個(gè)營(yíng)業(yè)點(diǎn)和結(jié)算中心都有互聯(lián)要求，同時(shí)部分節(jié)點(diǎn)的某些路由器也要向外聯(lián)人銀聯(lián)網(wǎng)絡(luò)來(lái)滿足用戶的取款要求，同時(shí)也適合那些為了’方便與供應(yīng)商、客戶或合作伙伴進(jìn)行聯(lián)系的企業(yè)，這些企業(yè)中往往存在與其他網(wǎng)絡(luò)的互聯(lián)節(jié)點(diǎn)。

圖3 單點(diǎn)覆蓋型網(wǎng)絡(luò)拓?fù)?/p>

    對(duì)于此類網(wǎng)絡(luò)拓?fù)洌�如果企業(yè)之間準(zhǔn)許實(shí)現(xiàn)完全互訪，則通過簡(jiǎn)單地配置Target屬性即可實(shí)現(xiàn)，同時(shí)網(wǎng)絡(luò)拓?fù)湟餐嘶癁楹?jiǎn)單型網(wǎng)絡(luò)。實(shí)際上大多數(shù)企業(yè)更傾向于企業(yè)間的受限訪問方案，例如企業(yè)希望合作企業(yè)只能訪問到某些相關(guān)的數(shù)據(jù)庫(kù)，此時(shí)我們應(yīng)該采用HUB AND SPOKE的方案來(lái)滿足用戶的這種需求。兩個(gè)SPOKE分別對(duì)應(yīng)兩個(gè)企業(yè)的site。為了實(shí)現(xiàn)受限互通的目的，首先將兩個(gè)site中的路由通過IN接口導(dǎo)入CE設(shè)備的路由器中，CE設(shè)備采用策略路由等路由過濾機(jī)制，當(dāng)然也可以在SPOKE處首先進(jìn)行路由過濾，然后從0UT出口將過濾后的路由發(fā)布到SPOKE上，實(shí)現(xiàn)企業(yè)之間的受限訪問。

    2.3網(wǎng)格型(多點(diǎn)覆蓋)

    網(wǎng)格型網(wǎng)絡(luò)拓?fù)溥m合那些既有橫向互聯(lián)又有縱向互聯(lián)要求的各個(gè)Site，如圖4所示。電子政務(wù)網(wǎng)是這個(gè)拓?fù)渥钯N切的實(shí)例，以×省政務(wù)信網(wǎng)絡(luò)為例，需要為全省多個(gè)廳局建立省、地(市)、縣3級(jí)縱向網(wǎng)絡(luò)，滿足各種省直單位內(nèi)部聯(lián)網(wǎng)需要，同時(shí)為省、地(市)、縣3級(jí)政府部門建立橫向網(wǎng)絡(luò)，滿足各政府部門間資源共享的需要，其邏輯結(jié)構(gòu)是一個(gè)復(fù)雜的“格”狀的立體架構(gòu)。

圖4 網(wǎng)格型網(wǎng)絡(luò)拓?fù)?/p>

    下面以電子政務(wù)網(wǎng)為例分析此類網(wǎng)絡(luò)的業(yè)務(wù)需求和各類應(yīng)該采取的安全措施。電子政務(wù)城域網(wǎng)的主要目標(biāo)是：在區(qū)域范圍內(nèi)，建立一個(gè)開放的、基于標(biāo)準(zhǔn)的電子政務(wù)統(tǒng)一應(yīng)用平臺(tái)，實(shí)現(xiàn)政府部門的信息交換和資源共享，面向公眾提供服務(wù)，增強(qiáng)各部門工作的透明度。但是在實(shí)現(xiàn)政府不同部門之間的信息交換和資源共享的同時(shí)，如何保證不同行業(yè)之間特殊的業(yè)務(wù)和信息安全性，是電子政務(wù)城域網(wǎng)建設(shè)不可避免的問題。

    我們采用如下方案：

    1)將各機(jī)關(guān)部門辦公系統(tǒng)劃分為不同的VPN網(wǎng)絡(luò)，實(shí)現(xiàn)各部門辦公系統(tǒng)共享同一物理網(wǎng)絡(luò)，但是在邏輯上卻是相互隔離的。

    2)為一些統(tǒng)一的應(yīng)用如內(nèi)部IP電話、視頻會(huì)議等業(yè)務(wù)劃分單獨(dú)的VPN。

    3)在PE的接人側(cè)，為每個(gè)VPN劃分一個(gè)子接口，比如財(cái)政、地稅兩個(gè)VPN，就對(duì)應(yīng)兩個(gè)子接口，并且VPN相應(yīng)的VRF與子接口進(jìn)行綁定，不同VPN的流量通過不同的子接口接入。

    4)為了保證各系統(tǒng)辦公數(shù)據(jù)的全程安全，僅僅在MPLS網(wǎng)絡(luò)上進(jìn)行VPN隔離是不夠的，還必須在接入端以下對(duì)不同部門的數(shù)據(jù)進(jìn)行隔離。在條件允許的情況下，不同的部門局域網(wǎng)通過不同的CE路由器接入MPLS網(wǎng)絡(luò)中，這些部門在接人側(cè)隔離。但是在很多情況下，不同政府機(jī)關(guān)網(wǎng)絡(luò)可能使用同一網(wǎng)絡(luò)，甚至在同一局域網(wǎng)中，這種情況在接入側(cè)可以通過VLAN對(duì)這些部門進(jìn)行隔離，不同部門的主機(jī)在不同的VLAN中，數(shù)據(jù)從2層進(jìn)行隔離。

   3.結(jié)束語(yǔ)

    海寧廣電采用MPLS—VPN網(wǎng)絡(luò)綜合解決方案開發(fā)虛擬專網(wǎng)VPN接入產(chǎn)品，經(jīng)歷了3年多的應(yīng)用和發(fā)展，已經(jīng)成為性價(jià)比高、簡(jiǎn)便、可靠、成熟的組網(wǎng)接人產(chǎn)品，利用海寧廣電寬帶城域網(wǎng)VPN骨干平臺(tái)，已經(jīng)承建了政務(wù)外網(wǎng)、財(cái)稅專網(wǎng)、社保專網(wǎng)等多個(gè)政府和企業(yè)專網(wǎng)。在專網(wǎng)的建設(shè)過程中，我們引入了分類概念，將用戶的網(wǎng)絡(luò)拓?fù)浞譃楹?jiǎn)單型、單點(diǎn)覆蓋型、網(wǎng)格型，并針對(duì)每個(gè)類型給出了相關(guān)路由配和實(shí)施時(shí)的安全保障措施，這些基本模塊的構(gòu)建極大地方便了網(wǎng)絡(luò)規(guī)劃人員和工程施工人員的項(xiàng)目部署，使相關(guān)人員對(duì)MPLS VPN專網(wǎng)的構(gòu)建簡(jiǎn)化為對(duì)號(hào)入座、按圖索驥式的建設(shè)部署，大大減少了網(wǎng)絡(luò)規(guī)劃一建設(shè)一交付的時(shí)間，也有利于業(yè)務(wù)的順利開展及后期網(wǎng)絡(luò)維護(hù)和監(jiān)控工作的展開，同時(shí)模塊化的配置也方便進(jìn)行網(wǎng)絡(luò)故障的定位和排除。

核心關(guān)注：拓步ERP系統(tǒng)平臺(tái)是覆蓋了眾多的業(yè)務(wù)領(lǐng)域、行業(yè)應(yīng)用，蘊(yùn)涵了豐富的ERP管理思想，集成了ERP軟件業(yè)務(wù)管理理念，功能涉及供應(yīng)鏈、成本、制造、CRM、HR等眾多業(yè)務(wù)領(lǐng)域的管理，全面涵蓋了企業(yè)關(guān)注ERP管理系統(tǒng)的核心領(lǐng)域，是眾多中小企業(yè)信息化建設(shè)首選的ERP管理軟件信賴品牌。

轉(zhuǎn)載請(qǐng)注明出處：拓步ERP資訊網(wǎng)http://www.guhuozai8.cn/

本文標(biāo)題：MPLS VPN業(yè)務(wù)分類實(shí)施解決方案

本文網(wǎng)址：http://www.guhuozai8.cn/html/consultation/10839411414.html