海宁市委、市政府要求加快信息化建设的步伐,政府办公系统要求无纸化,政府部门和企业也纷纷开展了自身的专网建设,基于运营商主干网络,利用MPLS技术组建用户VPN是极好的组网方案,但在组建用户专网时经常会遇到不同的业务需求,本文介绍了海宁广电根据多年来的VPN业务实施经验,总结并划分典型用户网络类别,根据具体分类分别提出规格化的网络配置解决方案,极大地方便了工程人员的施工,缩短了用户VPN网络建设的周期。
1.MPLS和VPN技术
MPLS(Multiprotocol Label Switching,多协议标记交换)的提出是为了加快IP转发速度。众所周知,IP报文的传输是“尽力而为,逐跳转发”,而且每次都要查询路由表,进行目的地址的最匹配,速度很慢且不利于用硬件实现。MPLs中的标记(Label)是一个短的、长度固定的数值,由报文的头部携带,它不包含全局拓扑信息,只具有局部意义,是一种连接的标识符,在配置MPLS功能的网络中数据包可以直接根据标记进行转发,可以实现类似二层交换的传输速率。MPLS包头的结构如图l所示,包含20比特的标签,3个比特的EXP,现在通常用做Cos(Class of service,业务类型),1个比特的S,用于标识这个MPLs标签是否为最低层的标签,8个比特的TTL(Time To Live生存时间)。
图1 MPLS标签
在MPLS中,一个标签标识了一个转发等价类(FEC—Fomording Equivalence class)。一个转发等价类是在网络中遵循同样的转发路径的报文的集合,这些报文的目的地址甚至可以不同。FE可以是基于源地址、目的地址、源端口、目的端口、协议类型等信息的任意组合,所以MPLS通过把数据流关联到一个FEC,并将FEC映射到某个LSP,使得服务提供商可以用非常精细的颗粒度来控制网络中的每个流。这种空前的控制能力使网络能够提供更加有效和可预测的服务,大大增强了对业务的可管理性,利用这种特性,可以实施基于MPLS的VPN业务和流量工程业务。
同隧道模式实现的传统IP VPN不同,MPLS VPN不依靠封装和加密技术,而是依靠转发表和数据包的标记来创建一个安全的VPN。RD(Router Distinguisher)和IPv4地址结合组成全网唯一的VPNv4地址,有效地解决了连接同一PE设备的不同VPN网中可能出现的地址重叠问题:RT(Route Target)用于路由信息的分发,它分成Import RT和Expoll RT,分别用于路由信息的导入、导出策略。通过RT和各个VPN各自的路由信息匹配,使单个VPN的路由信息对其他VPN用户是透明的,保证了网络的安全性。同时针对不同的网络结构,灵活设置RT可以动态控制路由信息的传输,达到隔离数据、限制访问的功能。
2.用户VPN网络分类
海宁广电根据多年的VPN业务实施经验,将用户网络分为简单型、单点覆盖型和网格型,并针对具体的网络类型分析可能存在的用户需求,给出满足各类需求的规格化配置和加强网络安全的指导性实施规范。
2.1 简单型
简单型网络如图2所示,此类网络拓扑结构简单,也最常见,是典型的总部一分部,分部一分部之间互联的用户类型,配置较简单,主要存在的业务需求是:1)分部与分部之间可以互相访问;2)分部与分部之间不能互相访问。
图2 简单型网络拓扑
对于1)所要求的完全互联的业务需求,只需在各PE VRF中将Target属性做相同的设置就可以了,为了实现2)中的总部与各分公司之间可以互访,而各分公司之间不能互访的要求,只需在连接各个分部的PE上配置和连接总部的PE在Import和Export项上均匹配的RT,同时保证各个分部所连PE上的RT不匹配,这样就可以实现各个分部无法互访的业务要求,通过对RT各项的灵活配置还可以实现更多的应用需求,如实现部分站点互访的需求。
2.2 单点覆盖型
单点覆盖型网络如图3所示,这类网络适合那些基于内部互联又有少量外部互联要求的用户,比如银行,同一银行分布在某城市的各个营业点和结算中心都有互联要求,同时部分节点的某些路由器也要向外联人银联网络来满足用户的取款要求,同时也适合那些为了’方便与供应商、客户或合作伙伴进行联系的企业,这些企业中往往存在与其他网络的互联节点。
图3 单点覆盖型网络拓扑
对于此类网络拓扑,如果企业之间准许实现完全互访,则通过简单地配置Target属性即可实现,同时网络拓扑也退化为简单型网络。实际上大多数企业更倾向于企业间的受限访问方案,例如企业希望合作企业只能访问到某些相关的数据库,此时我们应该采用HUB AND SPOKE的方案来满足用户的这种需求。两个SPOKE分别对应两个企业的site。为了实现受限互通的目的,首先将两个site中的路由通过IN接口导入CE设备的路由器中,CE设备采用策略路由等路由过滤机制,当然也可以在SPOKE处首先进行路由过滤,然后从0UT出口将过滤后的路由发布到SPOKE上,实现企业之间的受限访问。
2.3网格型(多点覆盖)
网格型网络拓扑适合那些既有横向互联又有纵向互联要求的各个Site,如图4所示。电子政务网是这个拓扑最贴切的实例,以×省政务信网络为例,需要为全省多个厅局建立省、地(市)、县3级纵向网络,满足各种省直单位内部联网需要,同时为省、地(市)、县3级政府部门建立横向网络,满足各政府部门间资源共享的需要,其逻辑结构是一个复杂的“格”状的立体架构。
图4 网格型网络拓扑
下面以电子政务网为例分析此类网络的业务需求和各类应该采取的安全措施。电子政务城域网的主要目标是:在区域范围内,建立一个开放的、基于标准的电子政务统一应用平台,实现政府部门的信息交换和资源共享,面向公众提供服务,增强各部门工作的透明度。但是在实现政府不同部门之间的信息交换和资源共享的同时,如何保证不同行业之间特殊的业务和信息安全性,是电子政务城域网建设不可避免的问题。
我们采用如下方案:
1)将各机关部门办公系统划分为不同的VPN网络,实现各部门办公系统共享同一物理网络,但是在逻辑上却是相互隔离的。
2)为一些统一的应用如内部IP电话、视频会议等业务划分单独的VPN。
3)在PE的接人侧,为每个VPN划分一个子接口,比如财政、地税两个VPN,就对应两个子接口,并且VPN相应的VRF与子接口进行绑定,不同VPN的流量通过不同的子接口接入。
4)为了保证各系统办公数据的全程安全,仅仅在MPLS网络上进行VPN隔离是不够的,还必须在接入端以下对不同部门的数据进行隔离。在条件允许的情况下,不同的部门局域网通过不同的CE路由器接入MPLS网络中,这些部门在接人侧隔离。但是在很多情况下,不同政府机关网络可能使用同一网络,甚至在同一局域网中,这种情况在接入侧可以通过VLAN对这些部门进行隔离,不同部门的主机在不同的VLAN中,数据从2层进行隔离。
3.结束语
海宁广电采用MPLS—VPN网络综合解决方案开发虚拟专网VPN接入产品,经历了3年多的应用和发展,已经成为性价比高、简便、可靠、成熟的组网接人产品,利用海宁广电宽带城域网VPN骨干平台,已经承建了政务外网、财税专网、社保专网等多个政府和企业专网。在专网的建设过程中,我们引入了分类概念,将用户的网络拓扑分为简单型、单点覆盖型、网格型,并针对每个类型给出了相关路由配和实施时的安全保障措施,这些基本模块的构建极大地方便了网络规划人员和工程施工人员的项目部署,使相关人员对MPLS VPN专网的构建简化为对号入座、按图索骥式的建设部署,大大减少了网络规划一建设一交付的时间,也有利于业务的顺利开展及后期网络维护和监控工作的展开,同时模块化的配置也方便进行网络故障的定位和排除。
核心关注:拓步ERP系统平台是覆盖了众多的业务领域、行业应用,蕴涵了丰富的ERP管理思想,集成了ERP软件业务管理理念,功能涉及供应链、成本、制造、CRM、HR等众多业务领域的管理,全面涵盖了企业关注ERP管理系统的核心领域,是众多中小企业信息化建设首选的ERP管理软件信赖品牌。
转载请注明出处:拓步ERP资讯网http://www.toberp.com/
本文标题:MPLS VPN业务分类实施解决方案
本文网址:http://www.toberp.com/html/consultation/10839411414.html
相关文章
