基于MPLS VPN技术构建政务网
2017-05-17吴赟
吴赟
摘要:本文分析了无锡政务网的建设背景和组网需求。提出基于VPN的网络构建方案,采用MPLSVPN技术,旨在解决组网需求中的多个相互独立局域网并存,又满足共享数据公开访问要求。MPLS VPN在政务网中的应用对政务网的的建设和发展起到了促进作用。
关键词:政务网;VPN;MPLS VPN;数据隔离
中图分类号:TP393 文献标识码:A 文章编号:1007-9416(2017)03-0032-01
当前,随着政务改革不断深入,各单位频繁的业务互动和信息交换对信息化提出了更高的要求。针对各单位的特点和需求构建新的政务网络显得尤为重要。
1 政务网络需求分析
原有政务网络没有中心点,分布在全市的各单位通过运营商实现互连,所有路由策略无法统一管控,任何网络改变只能依赖运营商。因此,新建的无锡政务网在整合的基础上,还需要提供以下几种能力:(1)安全隔离。无锡政务网络能够实现和区县单位的纵向互访,不同单位之间不能够相互访问。(2)受控互访。所有跨单位的业务服务器共同组成一个共享域。各纵向系统能够主动发起对共享系统的访问,共享系统不能主动访问纵向系统,从而保证纵向系统的安全。本文基于MPLS VPN技术,采用访问控制和策略部署方式构建政务网络。
2 MPLS VPN技术
MPLS VPN技术由两个部分构成:1)MPLS(Multi-Protocol Label Switching,多协议标签交换)。在路由可达情况下,生成标签转发通道,数据包进入网络后分配到固定长度的标记,交换节点根据标记进行转发,转发速度很快。2)VPN(Virtual Private Network,虚拟私有网)在三层设备(路由器或三层交换机)上为每个VPN建立专用的VRF(Virtual Route Forwarding)表。
MPLS VPN的成员包括:P、PE和CE。P负责根据标签转发数据包。PE管理VRF,处理VPN IPv4路由;CE负责正常的IP报文转发。MPLS VPN直接在IP层将各个VPN通过专用的VRF进行隔离,每个VRF维护一套独立的路由转发表,即使不同单位使用相同的IP地址段都不受影响,从而达到各VPN的安全隔离。如果VPN之间有互访需求,则可以通过控制VRF间路由的引入来实现。
3 设计和实现
基于MPLS VPN技术,采用访问控制和策略部署的方式构建政务网络。整个政务网分为三部分,数据中心、园区接入和区县接入。在保证路由可达的前提下,政务网络中配置MPLS,为各个单位在汇聚交换机分配不同的VPN。政务网内各单位和区县各对应单位需要配置相同VPN RD和RT值,满足安全隔离需求。跨单位业务服务器属于共享域,配置特殊的VPN RD和RT值,可以跟其他单位VPN互通,并通过配置ACL策略控制VPN间访问的业务流量,满足受控互访的需求。
分属数据中心核心交换机作为P设备,构建标签转发路径,执行MPLS高速转发,同时因为区县接入直接汇聚到核心交换机,所以核心交换机同时担当PE角色;园区接入设备作为PE,负责接入CE;数据中心汇聚交换机作为PE,负责单位服务器接入。这两台PE会根据VLAN标记分配所属的VPN,并维护各单位VPN信息,与其他PE交互VPN路由,实现纵向、横向VPN隔离和互访;楼道交换机作为CE,连接园区接入设备,为接入用户分配VLAN标记。
MPLS VPN实现安全隔离和共享的情形:A、B为不同的两个单位,C为双方需要访问的共享域;
ip vpn-instance A \表示单位A
route-distinguisher 15400:1
vpn-target 1500:1 10000:1 export-extcommunity
vpn-target 1500:1 10000:2 import-extcommunity
ip vpn-instance B \表示單位B
route-distinguisher 1800:1
vpn-target 1800:1 10000:1 export-extcommunity
vpn-target 1800:1 10000:2 import-extcommunity
ip vpn-instance C \表示区域C
route-distinguisher 100:4
vpn-target 10000:2 export-extcommunity
vpn-target 10000:1 import-extcommunity
单位A和B的VPN配置表示收RT是10000:2的路由,并发送RT是10000:1的路由,因此单位A和B的网络在逻辑上是隔离的,数据无法交互;区域C的VPN配置表示收RT是10000:1的路由,并发送RT是10000:2的路由,因此单位A和B分别能访问区域C的数据。这样就满足了各纵向系统能够主动发起对共享系统的访问,而各纵向系统数据隔离的问题。在区域C的RT中加上10000:1的路由,把需要互访的地址允许转发,其他地址禁止转发,并在共享域C的接口上应用,能够实现受控互访的要求。
4 结语
现今,建立一个技术先进、扩展性强、能覆盖所有功能区域的政务网络是必不可少的。MPLS VPN技术特性符合政务网的设计需要,在此基础上建立能满足政府业务、指挥协调和管理需要的软硬件环境,开发各类信息库和应用系统,极大方便的为各类工作人员提供充分的网络信息服务。
参考文献
[1]佩佩恩雅克. MPLS和VPN体系结构.人民邮电出版社,2010.7.
[2]斯桃枝.路由协议与交换技术.清华大学出版社,2012.11.
[3]谢希仁.计算机网络(第6版).电子工业出版社,2013.6.