海寧市委、市政府要求加快信息化建設的步伐，政府辦公系統(tǒng)要求無紙化，政府部門和企業(yè)也紛紛開展了自身的專網(wǎng)建設，基于運營商主干網(wǎng)絡，利用MPLS技術組建用戶VPN是極好的組網(wǎng)方案，但在組建用戶專網(wǎng)時經(jīng)常會遇到不同的業(yè)務需求，本文介紹了海寧廣電根據(jù)多年來的VPN業(yè)務實施經(jīng)驗，總結并劃分典型用戶網(wǎng)絡類別，根據(jù)具體分類分別提出規(guī)格化的網(wǎng)絡配置解決方案，極大地方便了工程人員的施工，縮短了用戶VPN網(wǎng)絡建設的周期。

   1.MPLS和VPN技術

    MPLS(Multiprotocol Label Switching，多協(xié)議標記交換)的提出是為了加快IP轉發(fā)速度。眾所周知，IP報文的傳輸是“盡力而為，逐跳轉發(fā)”，而且每次都要查詢路由表，進行目的地址的最匹配，速度很慢且不利于用硬件實現(xiàn)。MPLs中的標記(Label)是一個短的、長度固定的數(shù)值，由報文的頭部攜帶，它不包含全局拓撲信息，只具有局部意義，是一種連接的標識符，在配置MPLS功能的網(wǎng)絡中數(shù)據(jù)包可以直接根據(jù)標記進行轉發(fā)，可以實現(xiàn)類似二層交換的傳輸速率。MPLS包頭的結構如圖l所示，包含20比特的標簽，3個比特的EXP，現(xiàn)在通常用做Cos(Class of service，業(yè)務類型)，1個比特的S，用于標識這個MPLs標簽是否為最低層的標簽，8個比特的TTL(Time To Live生存時間)。

圖1 MPLS標簽

    在MPLS中，一個標簽標識了一個轉發(fā)等價類(FEC—Fomording Equivalence class)。一個轉發(fā)等價類是在網(wǎng)絡中遵循同樣的轉發(fā)路徑的報文的集合，這些報文的目的地址甚至可以不同。FE可以是基于源地址、目的地址、源端口、目的端口、協(xié)議類型等信息的任意組合，所以MPLS通過把數(shù)據(jù)流關聯(lián)到一個FEC，并將FEC映射到某個LSP，使得服務提供商可以用非常精細的顆粒度來控制網(wǎng)絡中的每個流。這種空前的控制能力使網(wǎng)絡能夠提供更加有效和可預測的服務，大大增強了對業(yè)務的可管理性，利用這種特性，可以實施基于MPLS的VPN業(yè)務和流量工程業(yè)務。

    同隧道模式實現(xiàn)的傳統(tǒng)IP VPN不同，MPLS VPN不依靠封裝和加密技術，而是依靠轉發(fā)表和數(shù)據(jù)包的標記來創(chuàng)建一個安全的VPN。RD(Router Distinguisher)和IPv4地址結合組成全網(wǎng)唯一的VPNv4地址，有效地解決了連接同一PE設備的不同VPN網(wǎng)中可能出現(xiàn)的地址重疊問題：RT(Route Target)用于路由信息的分發(fā)，它分成Import RT和Expoll RT，分別用于路由信息的導入、導出策略。通過RT和各個VPN各自的路由信息匹配，使單個VPN的路由信息對其他VPN用戶是透明的，保證了網(wǎng)絡的安全性。同時針對不同的網(wǎng)絡結構，靈活設置RT可以動態(tài)控制路由信息的傳輸，達到隔離數(shù)據(jù)、限制訪問的功能。

   2.用戶VPN網(wǎng)絡分類

    海寧廣電根據(jù)多年的VPN業(yè)務實施經(jīng)驗，將用戶網(wǎng)絡分為簡單型、單點覆蓋型和網(wǎng)格型，并針對具體的網(wǎng)絡類型分析可能存在的用戶需求，給出滿足各類需求的規(guī)格化配置和加強網(wǎng)絡安全的指導性實施規(guī)范。

    2.1 簡單型

    簡單型網(wǎng)絡如圖2所示，此類網(wǎng)絡拓撲結構簡單，也最常見，是典型的總部一分部，分部一分部之間互聯(lián)的用戶類型，配置較簡單，主要存在的業(yè)務需求是：1)分部與分部之間可以互相訪問；2)分部與分部之間不能互相訪問。

圖2 簡單型網(wǎng)絡拓撲

    對于1)所要求的完全互聯(lián)的業(yè)務需求，只需在各PE VRF中將Target屬性做相同的設置就可以了，為了實現(xiàn)2)中的總部與各分公司之間可以互訪，而各分公司之間不能互訪的要求，只需在連接各個分部的PE上配置和連接總部的PE在Import和Export項上均匹配的RT，同時保證各個分部所連PE上的RT不匹配，這樣就可以實現(xiàn)各個分部無法互訪的業(yè)務要求，通過對RT各項的靈活配置還可以實現(xiàn)更多的應用需求，如實現(xiàn)部分站點互訪的需求。

    2.2 單點覆蓋型

    單點覆蓋型網(wǎng)絡如圖3所示，這類網(wǎng)絡適合那些基于內部互聯(lián)又有少量外部互聯(lián)要求的用戶，比如銀行，同一銀行分布在某城市的各個營業(yè)點和結算中心都有互聯(lián)要求，同時部分節(jié)點的某些路由器也要向外聯(lián)人銀聯(lián)網(wǎng)絡來滿足用戶的取款要求，同時也適合那些為了’方便與供應商、客戶或合作伙伴進行聯(lián)系的企業(yè)，這些企業(yè)中往往存在與其他網(wǎng)絡的互聯(lián)節(jié)點。

圖3 單點覆蓋型網(wǎng)絡拓撲

    對于此類網(wǎng)絡拓撲，如果企業(yè)之間準許實現(xiàn)完全互訪，則通過簡單地配置Target屬性即可實現(xiàn)，同時網(wǎng)絡拓撲也退化為簡單型網(wǎng)絡。實際上大多數(shù)企業(yè)更傾向于企業(yè)間的受限訪問方案，例如企業(yè)希望合作企業(yè)只能訪問到某些相關的數(shù)據(jù)庫，此時我們應該采用HUB AND SPOKE的方案來滿足用戶的這種需求。兩個SPOKE分別對應兩個企業(yè)的site。為了實現(xiàn)受限互通的目的，首先將兩個site中的路由通過IN接口導入CE設備的路由器中，CE設備采用策略路由等路由過濾機制，當然也可以在SPOKE處首先進行路由過濾，然后從0UT出口將過濾后的路由發(fā)布到SPOKE上，實現(xiàn)企業(yè)之間的受限訪問。

    2.3網(wǎng)格型(多點覆蓋)

    網(wǎng)格型網(wǎng)絡拓撲適合那些既有橫向互聯(lián)又有縱向互聯(lián)要求的各個Site，如圖4所示。電子政務網(wǎng)是這個拓撲最貼切的實例，以×省政務信網(wǎng)絡為例，需要為全省多個廳局建立省、地(市)、縣3級縱向網(wǎng)絡，滿足各種省直單位內部聯(lián)網(wǎng)需要，同時為省、地(市)、縣3級政府部門建立橫向網(wǎng)絡，滿足各政府部門間資源共享的需要，其邏輯結構是一個復雜的“格”狀的立體架構。

圖4 網(wǎng)格型網(wǎng)絡拓撲

    下面以電子政務網(wǎng)為例分析此類網(wǎng)絡的業(yè)務需求和各類應該采取的安全措施。電子政務城域網(wǎng)的主要目標是：在區(qū)域范圍內，建立一個開放的、基于標準的電子政務統(tǒng)一應用平臺，實現(xiàn)政府部門的信息交換和資源共享，面向公眾提供服務，增強各部門工作的透明度。但是在實現(xiàn)政府不同部門之間的信息交換和資源共享的同時，如何保證不同行業(yè)之間特殊的業(yè)務和信息安全性，是電子政務城域網(wǎng)建設不可避免的問題。

    我們采用如下方案：

    1)將各機關部門辦公系統(tǒng)劃分為不同的VPN網(wǎng)絡，實現(xiàn)各部門辦公系統(tǒng)共享同一物理網(wǎng)絡，但是在邏輯上卻是相互隔離的。

    2)為一些統(tǒng)一的應用如內部IP電話、視頻會議等業(yè)務劃分單獨的VPN。

    3)在PE的接人側，為每個VPN劃分一個子接口，比如財政、地稅兩個VPN，就對應兩個子接口，并且VPN相應的VRF與子接口進行綁定，不同VPN的流量通過不同的子接口接入。

    4)為了保證各系統(tǒng)辦公數(shù)據(jù)的全程安全，僅僅在MPLS網(wǎng)絡上進行VPN隔離是不夠的，還必須在接入端以下對不同部門的數(shù)據(jù)進行隔離。在條件允許的情況下，不同的部門局域網(wǎng)通過不同的CE路由器接入MPLS網(wǎng)絡中，這些部門在接人側隔離。但是在很多情況下，不同政府機關網(wǎng)絡可能使用同一網(wǎng)絡，甚至在同一局域網(wǎng)中，這種情況在接入側可以通過VLAN對這些部門進行隔離，不同部門的主機在不同的VLAN中，數(shù)據(jù)從2層進行隔離。

   3.結束語

    海寧廣電采用MPLS—VPN網(wǎng)絡綜合解決方案開發(fā)虛擬專網(wǎng)VPN接入產品，經(jīng)歷了3年多的應用和發(fā)展，已經(jīng)成為性價比高、簡便、可靠、成熟的組網(wǎng)接人產品，利用海寧廣電寬帶城域網(wǎng)VPN骨干平臺，已經(jīng)承建了政務外網(wǎng)、財稅專網(wǎng)、社保專網(wǎng)等多個政府和企業(yè)專網(wǎng)。在專網(wǎng)的建設過程中，我們引入了分類概念，將用戶的網(wǎng)絡拓撲分為簡單型、單點覆蓋型、網(wǎng)格型，并針對每個類型給出了相關路由配和實施時的安全保障措施，這些基本模塊的構建極大地方便了網(wǎng)絡規(guī)劃人員和工程施工人員的項目部署，使相關人員對MPLS VPN專網(wǎng)的構建簡化為對號入座、按圖索驥式的建設部署，大大減少了網(wǎng)絡規(guī)劃一建設一交付的時間，也有利于業(yè)務的順利開展及后期網(wǎng)絡維護和監(jiān)控工作的展開，同時模塊化的配置也方便進行網(wǎng)絡故障的定位和排除。

核心關注：拓步ERP系統(tǒng)平臺是覆蓋了眾多的業(yè)務領域、行業(yè)應用，蘊涵了豐富的ERP管理思想，集成了ERP軟件業(yè)務管理理念，功能涉及供應鏈、成本、制造、CRM、HR等眾多業(yè)務領域的管理，全面涵蓋了企業(yè)關注ERP管理系統(tǒng)的核心領域，是眾多中小企業(yè)信息化建設首選的ERP管理軟件信賴品牌。

轉載請注明出處：拓步ERP資訊網(wǎng)http://www.ezxoed.cn/

本文標題：MPLS VPN業(yè)務分類實施解決方案

本文網(wǎng)址：http://www.ezxoed.cn/html/consultation/10839411414.html