MPLS VPN技术在福建省政务信息网应用.docVIP

MPLS VPN技术在福建省政务信息网应用 　　摘要:在基于MPLS VPN技术原理的基础上，描述2007年福建省政务信息网MPLS VPN项目组网过程；通过福建省政务信息网视频会议系统作为MPLS VPN网的一个实例应用，结合在项目中从验证、测试到实施直至最终建成的过程中遇到的问题总结经验；分析今后MPLS VPN开展应用实例的前景以及应当注意的问题。 　　关键词：MPLS VPN 多标签交换 QoS 政务信息网 电子政务 　　 　　福建省政务信息网从2002年1月建成并投入使用，由省－市－县（市、区）纵向网、省直机关横向接入网、设区市横向接入网和县（市、区）横向接入网构成，形成了“王”字型的网络结构。随着电子政务的深入，在此网络平台上承载的应用也随之增加。由于缺乏有效的流量控制和网络管理手段，网络经常会发生阻塞，无法对服务质量（Quality of Service，QoS）提供保证。许多应用对于目前的IP技术（如语音和视频）等显得力不从心，而多协议标签交换技术（MultiProtocol Label Switching，MPLS）有望解决这一问题。 　　 　　一、MPLS VPN概述 　　 　　MPLS是由思科（Cisco）标记交换演变而来的Internet工程任务组（Internet Engineering Task Force，IETF）标准协议，是一种标记转发的典范。标记表示路径和服务的属性，在入口的边缘、流入的数据包被处理做上标记，位于核心的设备仅仅读这些标记，赋予适当的服务，然后根据标记转发这些数据包，对这些数据包的分析、分类和过滤只在进入边缘设备时发生一次。经过出口的边缘设备时，标记被移去，数据包转发到最终目的地。 　　MPLS基于Cisco标记交换技术，为传送增值的IP服务奠定基础。MPLS这种基于标签的传送机制不仅简化了在一个复杂网络中IP数据的路由，而且提供了颇具扩展性的IP增值业务。Cisco的MPLS与Cisco IOS软件、以及成为公开标准的VSI结合在一起，可作为实现用户IP服务的基础。网络管理人员现在可解决三个最具挑战性的IP服务： 　　⑴应用面向非连接的IP VPN，与帧中继具有相同的必威体育官网网址性，无需隧道技术或加密。 　　⑵在一个IP VPN里支持多级别服务，为每个用户提供专用的业务策略。 　　⑶通过可管理的IP服务来满足各种用户的需求。 　　 　　二、福建???务信息网MPLS VPN的部署与开展 　　 　　对福建政务信息网络平台而言，技术上需要重点实现的也是两个方面：一是安全隔离，保证各业务系统逻辑网络的相对独立性，以满足不同业务系统对安全性、服务质量、管理、拓扑结构的要求；二是受控互访，为各业务系统之间的流程整合提供互相访问的途径，而且保证访问的安全性。 　　⒈总体方案 　　为满足以上的业务需求，MPLS VPN的部署是在省、9个设区市、84个县(市、区)分别配置一台服务商边缘（Provider Edge，PE）路由器，构成MPLS网络骨干。每个单位通过以太城域网汇接到本地MPLS网络骨干节点（PE）。其具体部署如下（参见图1）： 　　⑴省核心GSR 12008作为P（Provider）节点，用于交换各地市的MPLS报文； 　　 　　⑵各设区市的接入路由器C7507、C3661作为PE节点；作为PE用于设区市、县(市、区)各业务系统的VPN接入； 　　⑶县(市、区)核心设备C3640支持MPLS VPN，作为PE，使县(市、区)的VPN用户可以就近接入到VPN中，避免大量VPN接入到市级PE设备造成负担； 　　⑷省级核心GSR 12008与各设区市、县(市、区)的接入路由器PE节点构成MPLS域，IGP采用OSPF，同时还要运行MP-IBGP协议(用来传递VPN内部路由及VPN属性等信息)；各VPN的Site与PE之间，可采用静态路由配置，或运行动态路由协议，如OSPF、EBGP等；各政府系统的分支机构可作为其VPN的一个Site。由于MPLS BGP VPN可为VPN的每一个Site提供一个单独的VRF，因此采用MPLS BGP VPN技术可以做到应用系统的隔离。 　　⑸CE（Customer Edge，用户边缘设备）的接入：在局域网通过VLAN实现各业务系统的二层隔离，同时业务系统与PE之间也可以通过VLAN进行连接，在PE的接入侧，为每个VPN划分一个子接口，将VPN相应的VRF与子接口进行绑定，不同VPN的流量通过不同的子接口接入。 　　⑹为各业务系统提供受控互访的能力：对于一些业务系统，如政府系统与党委系统存在合作关系，类似于Extranet的需求。如果业务系统间准许实现安全互访则只需要通过简单的配置target属性即可满足。实际