海寧市委、市政府要求加快信息化建設(shè)的步伐,政府辦公系統(tǒng)要求無(wú)紙化,政府部門和企業(yè)也紛紛開展了自身的專網(wǎng)建設(shè),基于運(yùn)營(yíng)商主干網(wǎng)絡(luò),利用MPLS技術(shù)組建用戶VPN是極好的組網(wǎng)方案,但在組建用戶專網(wǎng)時(shí)經(jīng)常會(huì)遇到不同的業(yè)務(wù)需求,本文介紹了海寧廣電根據(jù)多年來(lái)的VPN業(yè)務(wù)實(shí)施經(jīng)驗(yàn),總結(jié)并劃分典型用戶網(wǎng)絡(luò)類別,根據(jù)具體分類分別提出規(guī)格化的網(wǎng)絡(luò)配置解決方案,極大地方便了工程人員的施工,縮短了用戶VPN網(wǎng)絡(luò)建設(shè)的周期。
1.MPLS和VPN技術(shù)
MPLS(Multiprotocol Label Switching,多協(xié)議標(biāo)記交換)的提出是為了加快IP轉(zhuǎn)發(fā)速度。眾所周知,IP報(bào)文的傳輸是“盡力而為,逐跳轉(zhuǎn)發(fā)”,而且每次都要查詢路由表,進(jìn)行目的地址的最匹配,速度很慢且不利于用硬件實(shí)現(xiàn)。MPLs中的標(biāo)記(Label)是一個(gè)短的、長(zhǎng)度固定的數(shù)值,由報(bào)文的頭部攜帶,它不包含全局拓?fù)湫畔ⅲ痪哂芯植恳饬x,是一種連接的標(biāo)識(shí)符,在配置MPLS功能的網(wǎng)絡(luò)中數(shù)據(jù)包可以直接根據(jù)標(biāo)記進(jìn)行轉(zhuǎn)發(fā),可以實(shí)現(xiàn)類似二層交換的傳輸速率。MPLS包頭的結(jié)構(gòu)如圖l所示,包含20比特的標(biāo)簽,3個(gè)比特的EXP,現(xiàn)在通常用做Cos(Class of service,業(yè)務(wù)類型),1個(gè)比特的S,用于標(biāo)識(shí)這個(gè)MPLs標(biāo)簽是否為最低層的標(biāo)簽,8個(gè)比特的TTL(Time To Live生存時(shí)間)。
圖1 MPLS標(biāo)簽
在MPLS中,一個(gè)標(biāo)簽標(biāo)識(shí)了一個(gè)轉(zhuǎn)發(fā)等價(jià)類(FEC—Fomording Equivalence class)。一個(gè)轉(zhuǎn)發(fā)等價(jià)類是在網(wǎng)絡(luò)中遵循同樣的轉(zhuǎn)發(fā)路徑的報(bào)文的集合,這些報(bào)文的目的地址甚至可以不同。FE可以是基于源地址、目的地址、源端口、目的端口、協(xié)議類型等信息的任意組合,所以MPLS通過把數(shù)據(jù)流關(guān)聯(lián)到一個(gè)FEC,并將FEC映射到某個(gè)LSP,使得服務(wù)提供商可以用非常精細(xì)的顆粒度來(lái)控制網(wǎng)絡(luò)中的每個(gè)流。這種空前的控制能力使網(wǎng)絡(luò)能夠提供更加有效和可預(yù)測(cè)的服務(wù),大大增強(qiáng)了對(duì)業(yè)務(wù)的可管理性,利用這種特性,可以實(shí)施基于MPLS的VPN業(yè)務(wù)和流量工程業(yè)務(wù)。
同隧道模式實(shí)現(xiàn)的傳統(tǒng)IP VPN不同,MPLS VPN不依靠封裝和加密技術(shù),而是依靠轉(zhuǎn)發(fā)表和數(shù)據(jù)包的標(biāo)記來(lái)創(chuàng)建一個(gè)安全的VPN。RD(Router Distinguisher)和IPv4地址結(jié)合組成全網(wǎng)唯一的VPNv4地址,有效地解決了連接同一PE設(shè)備的不同VPN網(wǎng)中可能出現(xiàn)的地址重疊問題:RT(Route Target)用于路由信息的分發(fā),它分成Import RT和Expoll RT,分別用于路由信息的導(dǎo)入、導(dǎo)出策略。通過RT和各個(gè)VPN各自的路由信息匹配,使單個(gè)VPN的路由信息對(duì)其他VPN用戶是透明的,保證了網(wǎng)絡(luò)的安全性。同時(shí)針對(duì)不同的網(wǎng)絡(luò)結(jié)構(gòu),靈活設(shè)置RT可以動(dòng)態(tài)控制路由信息的傳輸,達(dá)到隔離數(shù)據(jù)、限制訪問的功能。
2.用戶VPN網(wǎng)絡(luò)分類
海寧廣電根據(jù)多年的VPN業(yè)務(wù)實(shí)施經(jīng)驗(yàn),將用戶網(wǎng)絡(luò)分為簡(jiǎn)單型、單點(diǎn)覆蓋型和網(wǎng)格型,并針對(duì)具體的網(wǎng)絡(luò)類型分析可能存在的用戶需求,給出滿足各類需求的規(guī)格化配置和加強(qiáng)網(wǎng)絡(luò)安全的指導(dǎo)性實(shí)施規(guī)范。
2.1 簡(jiǎn)單型
簡(jiǎn)單型網(wǎng)絡(luò)如圖2所示,此類網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)簡(jiǎn)單,也最常見,是典型的總部一分部,分部一分部之間互聯(lián)的用戶類型,配置較簡(jiǎn)單,主要存在的業(yè)務(wù)需求是:1)分部與分部之間可以互相訪問;2)分部與分部之間不能互相訪問。
圖2 簡(jiǎn)單型網(wǎng)絡(luò)拓?fù)?/p>
對(duì)于1)所要求的完全互聯(lián)的業(yè)務(wù)需求,只需在各PE VRF中將Target屬性做相同的設(shè)置就可以了,為了實(shí)現(xiàn)2)中的總部與各分公司之間可以互訪,而各分公司之間不能互訪的要求,只需在連接各個(gè)分部的PE上配置和連接總部的PE在Import和Export項(xiàng)上均匹配的RT,同時(shí)保證各個(gè)分部所連PE上的RT不匹配,這樣就可以實(shí)現(xiàn)各個(gè)分部無(wú)法互訪的業(yè)務(wù)要求,通過對(duì)RT各項(xiàng)的靈活配置還可以實(shí)現(xiàn)更多的應(yīng)用需求,如實(shí)現(xiàn)部分站點(diǎn)互訪的需求。
2.2 單點(diǎn)覆蓋型
單點(diǎn)覆蓋型網(wǎng)絡(luò)如圖3所示,這類網(wǎng)絡(luò)適合那些基于內(nèi)部互聯(lián)又有少量外部互聯(lián)要求的用戶,比如銀行,同一銀行分布在某城市的各個(gè)營(yíng)業(yè)點(diǎn)和結(jié)算中心都有互聯(lián)要求,同時(shí)部分節(jié)點(diǎn)的某些路由器也要向外聯(lián)人銀聯(lián)網(wǎng)絡(luò)來(lái)滿足用戶的取款要求,同時(shí)也適合那些為了’方便與供應(yīng)商、客戶或合作伙伴進(jìn)行聯(lián)系的企業(yè),這些企業(yè)中往往存在與其他網(wǎng)絡(luò)的互聯(lián)節(jié)點(diǎn)。
圖3 單點(diǎn)覆蓋型網(wǎng)絡(luò)拓?fù)?/p>
對(duì)于此類網(wǎng)絡(luò)拓?fù)洌绻髽I(yè)之間準(zhǔn)許實(shí)現(xiàn)完全互訪,則通過簡(jiǎn)單地配置Target屬性即可實(shí)現(xiàn),同時(shí)網(wǎng)絡(luò)拓?fù)湟餐嘶癁楹?jiǎn)單型網(wǎng)絡(luò)。實(shí)際上大多數(shù)企業(yè)更傾向于企業(yè)間的受限訪問方案,例如企業(yè)希望合作企業(yè)只能訪問到某些相關(guān)的數(shù)據(jù)庫(kù),此時(shí)我們應(yīng)該采用HUB AND SPOKE的方案來(lái)滿足用戶的這種需求。兩個(gè)SPOKE分別對(duì)應(yīng)兩個(gè)企業(yè)的site。為了實(shí)現(xiàn)受限互通的目的,首先將兩個(gè)site中的路由通過IN接口導(dǎo)入CE設(shè)備的路由器中,CE設(shè)備采用策略路由等路由過濾機(jī)制,當(dāng)然也可以在SPOKE處首先進(jìn)行路由過濾,然后從0UT出口將過濾后的路由發(fā)布到SPOKE上,實(shí)現(xiàn)企業(yè)之間的受限訪問。
2.3網(wǎng)格型(多點(diǎn)覆蓋)
網(wǎng)格型網(wǎng)絡(luò)拓?fù)溥m合那些既有橫向互聯(lián)又有縱向互聯(lián)要求的各個(gè)Site,如圖4所示。電子政務(wù)網(wǎng)是這個(gè)拓?fù)渥钯N切的實(shí)例,以×省政務(wù)信網(wǎng)絡(luò)為例,需要為全省多個(gè)廳局建立省、地(市)、縣3級(jí)縱向網(wǎng)絡(luò),滿足各種省直單位內(nèi)部聯(lián)網(wǎng)需要,同時(shí)為省、地(市)、縣3級(jí)政府部門建立橫向網(wǎng)絡(luò),滿足各政府部門間資源共享的需要,其邏輯結(jié)構(gòu)是一個(gè)復(fù)雜的“格”狀的立體架構(gòu)。
圖4 網(wǎng)格型網(wǎng)絡(luò)拓?fù)?/p>
下面以電子政務(wù)網(wǎng)為例分析此類網(wǎng)絡(luò)的業(yè)務(wù)需求和各類應(yīng)該采取的安全措施。電子政務(wù)城域網(wǎng)的主要目標(biāo)是:在區(qū)域范圍內(nèi),建立一個(gè)開放的、基于標(biāo)準(zhǔn)的電子政務(wù)統(tǒng)一應(yīng)用平臺(tái),實(shí)現(xiàn)政府部門的信息交換和資源共享,面向公眾提供服務(wù),增強(qiáng)各部門工作的透明度。但是在實(shí)現(xiàn)政府不同部門之間的信息交換和資源共享的同時(shí),如何保證不同行業(yè)之間特殊的業(yè)務(wù)和信息安全性,是電子政務(wù)城域網(wǎng)建設(shè)不可避免的問題。
我們采用如下方案:
1)將各機(jī)關(guān)部門辦公系統(tǒng)劃分為不同的VPN網(wǎng)絡(luò),實(shí)現(xiàn)各部門辦公系統(tǒng)共享同一物理網(wǎng)絡(luò),但是在邏輯上卻是相互隔離的。
2)為一些統(tǒng)一的應(yīng)用如內(nèi)部IP電話、視頻會(huì)議等業(yè)務(wù)劃分單獨(dú)的VPN。
3)在PE的接人側(cè),為每個(gè)VPN劃分一個(gè)子接口,比如財(cái)政、地稅兩個(gè)VPN,就對(duì)應(yīng)兩個(gè)子接口,并且VPN相應(yīng)的VRF與子接口進(jìn)行綁定,不同VPN的流量通過不同的子接口接入。
4)為了保證各系統(tǒng)辦公數(shù)據(jù)的全程安全,僅僅在MPLS網(wǎng)絡(luò)上進(jìn)行VPN隔離是不夠的,還必須在接入端以下對(duì)不同部門的數(shù)據(jù)進(jìn)行隔離。在條件允許的情況下,不同的部門局域網(wǎng)通過不同的CE路由器接入MPLS網(wǎng)絡(luò)中,這些部門在接人側(cè)隔離。但是在很多情況下,不同政府機(jī)關(guān)網(wǎng)絡(luò)可能使用同一網(wǎng)絡(luò),甚至在同一局域網(wǎng)中,這種情況在接入側(cè)可以通過VLAN對(duì)這些部門進(jìn)行隔離,不同部門的主機(jī)在不同的VLAN中,數(shù)據(jù)從2層進(jìn)行隔離。
3.結(jié)束語(yǔ)
海寧廣電采用MPLS—VPN網(wǎng)絡(luò)綜合解決方案開發(fā)虛擬專網(wǎng)VPN接入產(chǎn)品,經(jīng)歷了3年多的應(yīng)用和發(fā)展,已經(jīng)成為性價(jià)比高、簡(jiǎn)便、可靠、成熟的組網(wǎng)接人產(chǎn)品,利用海寧廣電寬帶城域網(wǎng)VPN骨干平臺(tái),已經(jīng)承建了政務(wù)外網(wǎng)、財(cái)稅專網(wǎng)、社保專網(wǎng)等多個(gè)政府和企業(yè)專網(wǎng)。在專網(wǎng)的建設(shè)過程中,我們引入了分類概念,將用戶的網(wǎng)絡(luò)拓?fù)浞譃楹?jiǎn)單型、單點(diǎn)覆蓋型、網(wǎng)格型,并針對(duì)每個(gè)類型給出了相關(guān)路由配和實(shí)施時(shí)的安全保障措施,這些基本模塊的構(gòu)建極大地方便了網(wǎng)絡(luò)規(guī)劃人員和工程施工人員的項(xiàng)目部署,使相關(guān)人員對(duì)MPLS VPN專網(wǎng)的構(gòu)建簡(jiǎn)化為對(duì)號(hào)入座、按圖索驥式的建設(shè)部署,大大減少了網(wǎng)絡(luò)規(guī)劃一建設(shè)一交付的時(shí)間,也有利于業(yè)務(wù)的順利開展及后期網(wǎng)絡(luò)維護(hù)和監(jiān)控工作的展開,同時(shí)模塊化的配置也方便進(jìn)行網(wǎng)絡(luò)故障的定位和排除。
核心關(guān)注:拓步ERP系統(tǒng)平臺(tái)是覆蓋了眾多的業(yè)務(wù)領(lǐng)域、行業(yè)應(yīng)用,蘊(yùn)涵了豐富的ERP管理思想,集成了ERP軟件業(yè)務(wù)管理理念,功能涉及供應(yīng)鏈、成本、制造、CRM、HR等眾多業(yè)務(wù)領(lǐng)域的管理,全面涵蓋了企業(yè)關(guān)注ERP管理系統(tǒng)的核心領(lǐng)域,是眾多中小企業(yè)信息化建設(shè)首選的ERP管理軟件信賴品牌。
轉(zhuǎn)載請(qǐng)注明出處:拓步ERP資訊網(wǎng)http://www.guhuozai8.cn/
本文標(biāo)題:MPLS VPN業(yè)務(wù)分類實(shí)施解決方案
本文網(wǎng)址:http://www.guhuozai8.cn/html/consultation/10839411414.html