海寧市委、市政府要求加快信息化建設的步伐，政府辦公系統要求無紙化，政府部門和企業也紛紛開展了自身的專網建設，基于運營商主干網絡，利用MPLS技術組建用戶VPN是極好的組網方案，但在組建用戶專網時經常會遇到不同的業務需求，本文介紹了海寧廣電根據多年來的VPN業務實施經驗，總結并劃分典型用戶網絡類別，根據具體分類分別提出規格化的網絡配置解決方案，極大地方便了工程人員的施工，縮短了用戶VPN網絡建設的周期。

   1.MPLS和VPN技術

    MPLS(Multiprotocol Label Switching，多協議標記交換)的提出是為了加快IP轉發速度。眾所周知，IP報文的傳輸是“盡力而為，逐跳轉發”，而且每次都要查詢路由表，進行目的地址的最匹配，速度很慢且不利于用硬件實現。MPLs中的標記(Label)是一個短的、長度固定的數值，由報文的頭部攜帶，它不包含全局拓撲信息，只具有局部意義，是一種連接的標識符，在配置MPLS功能的網絡中數據包可以直接根據標記進行轉發，可以實現類似二層交換的傳輸速率。MPLS包頭的結構如圖l所示，包含20比特的標簽，3個比特的EXP，現在通常用做Cos(Class of service，業務類型)，1個比特的S，用于標識這個MPLs標簽是否為最低層的標簽，8個比特的TTL(Time To Live生存時間)。

圖1 MPLS標簽

    在MPLS中，一個標簽標識了一個轉發等價類(FEC—Fomording Equivalence class)。一個轉發等價類是在網絡中遵循同樣的轉發路徑的報文的集合，這些報文的目的地址甚至可以不同。FE可以是基于源地址、目的地址、源端口、目的端口、協議類型等信息的任意組合，所以MPLS通過把數據流關聯到一個FEC，并將FEC映射到某個LSP，使得服務提供商可以用非常精細的顆粒度來控制網絡中的每個流。這種空前的控制能力使網絡能夠提供更加有效和可預測的服務，大大增強了對業務的可管理性，利用這種特性，可以實施基于MPLS的VPN業務和流量工程業務。

    同隧道模式實現的傳統IP VPN不同，MPLS VPN不依靠封裝和加密技術，而是依靠轉發表和數據包的標記來創建一個安全的VPN。RD(Router Distinguisher)和IPv4地址結合組成全網唯一的VPNv4地址，有效地解決了連接同一PE設備的不同VPN網中可能出現的地址重疊問題：RT(Route Target)用于路由信息的分發，它分成Import RT和Expoll RT，分別用于路由信息的導入、導出策略。通過RT和各個VPN各自的路由信息匹配，使單個VPN的路由信息對其他VPN用戶是透明的，保證了網絡的安全性。同時針對不同的網絡結構，靈活設置RT可以動態控制路由信息的傳輸，達到隔離數據、限制訪問的功能。

   2.用戶VPN網絡分類

    海寧廣電根據多年的VPN業務實施經驗，將用戶網絡分為簡單型、單點覆蓋型和網格型，并針對具體的網絡類型分析可能存在的用戶需求，給出滿足各類需求的規格化配置和加強網絡安全的指導性實施規范。

    2.1 簡單型

    簡單型網絡如圖2所示，此類網絡拓撲結構簡單，也最常見，是典型的總部一分部，分部一分部之間互聯的用戶類型，配置較簡單，主要存在的業務需求是：1)分部與分部之間可以互相訪問；2)分部與分部之間不能互相訪問。

圖2 簡單型網絡拓撲

    對于1)所要求的完全互聯的業務需求，只需在各PE VRF中將Target屬性做相同的設置就可以了，為了實現2)中的總部與各分公司之間可以互訪，而各分公司之間不能互訪的要求，只需在連接各個分部的PE上配置和連接總部的PE在Import和Export項上均匹配的RT，同時保證各個分部所連PE上的RT不匹配，這樣就可以實現各個分部無法互訪的業務要求，通過對RT各項的靈活配置還可以實現更多的應用需求，如實現部分站點互訪的需求。

    2.2 單點覆蓋型

    單點覆蓋型網絡如圖3所示，這類網絡適合那些基于內部互聯又有少量外部互聯要求的用戶，比如銀行，同一銀行分布在某城市的各個營業點和結算中心都有互聯要求，同時部分節點的某些路由器也要向外聯人銀聯網絡來滿足用戶的取款要求，同時也適合那些為了’方便與供應商、客戶或合作伙伴進行聯系的企業，這些企業中往往存在與其他網絡的互聯節點。

圖3 單點覆蓋型網絡拓撲

    對于此類網絡拓撲，如果企業之間準許實現完全互訪，則通過簡單地配置Target屬性即可實現，同時網絡拓撲也退化為簡單型網絡。實際上大多數企業更傾向于企業間的受限訪問方案，例如企業希望合作企業只能訪問到某些相關的數據庫，此時我們應該采用HUB AND SPOKE的方案來滿足用戶的這種需求。兩個SPOKE分別對應兩個企業的site。為了實現受限互通的目的，首先將兩個site中的路由通過IN接口導入CE設備的路由器中，CE設備采用策略路由等路由過濾機制，當然也可以在SPOKE處首先進行路由過濾，然后從0UT出口將過濾后的路由發布到SPOKE上，實現企業之間的受限訪問。

    2.3網格型(多點覆蓋)

    網格型網絡拓撲適合那些既有橫向互聯又有縱向互聯要求的各個Site，如圖4所示。電子政務網是這個拓撲最貼切的實例，以×省政務信網絡為例，需要為全省多個廳局建立省、地(市)、縣3級縱向網絡，滿足各種省直單位內部聯網需要，同時為省、地(市)、縣3級政府部門建立橫向網絡，滿足各政府部門間資源共享的需要，其邏輯結構是一個復雜的“格”狀的立體架構。

圖4 網格型網絡拓撲

    下面以電子政務網為例分析此類網絡的業務需求和各類應該采取的安全措施。電子政務城域網的主要目標是：在區域范圍內，建立一個開放的、基于標準的電子政務統一應用平臺，實現政府部門的信息交換和資源共享，面向公眾提供服務，增強各部門工作的透明度。但是在實現政府不同部門之間的信息交換和資源共享的同時，如何保證不同行業之間特殊的業務和信息安全性，是電子政務城域網建設不可避免的問題。

    我們采用如下方案：

    1)將各機關部門辦公系統劃分為不同的VPN網絡，實現各部門辦公系統共享同一物理網絡，但是在邏輯上卻是相互隔離的。

    2)為一些統一的應用如內部IP電話、視頻會議等業務劃分單獨的VPN。

    3)在PE的接人側，為每個VPN劃分一個子接口，比如財政、地稅兩個VPN，就對應兩個子接口，并且VPN相應的VRF與子接口進行綁定，不同VPN的流量通過不同的子接口接入。

    4)為了保證各系統辦公數據的全程安全，僅僅在MPLS網絡上進行VPN隔離是不夠的，還必須在接入端以下對不同部門的數據進行隔離。在條件允許的情況下，不同的部門局域網通過不同的CE路由器接入MPLS網絡中，這些部門在接人側隔離。但是在很多情況下，不同政府機關網絡可能使用同一網絡，甚至在同一局域網中，這種情況在接入側可以通過VLAN對這些部門進行隔離，不同部門的主機在不同的VLAN中，數據從2層進行隔離。

   3.結束語

    海寧廣電采用MPLS—VPN網絡綜合解決方案開發虛擬專網VPN接入產品，經歷了3年多的應用和發展，已經成為性價比高、簡便、可靠、成熟的組網接人產品，利用海寧廣電寬帶城域網VPN骨干平臺，已經承建了政務外網、財稅專網、社保專網等多個政府和企業專網。在專網的建設過程中，我們引入了分類概念，將用戶的網絡拓撲分為簡單型、單點覆蓋型、網格型，并針對每個類型給出了相關路由配和實施時的安全保障措施，這些基本模塊的構建極大地方便了網絡規劃人員和工程施工人員的項目部署，使相關人員對MPLS VPN專網的構建簡化為對號入座、按圖索驥式的建設部署，大大減少了網絡規劃一建設一交付的時間，也有利于業務的順利開展及后期網絡維護和監控工作的展開，同時模塊化的配置也方便進行網絡故障的定位和排除。

核心關注：拓步ERP系統平臺是覆蓋了眾多的業務領域、行業應用，蘊涵了豐富的ERP管理思想，集成了ERP軟件業務管理理念，功能涉及供應鏈、成本、制造、CRM、HR等眾多業務領域的管理，全面涵蓋了企業關注ERP管理系統的核心領域，是眾多中小企業信息化建設首選的ERP管理軟件信賴品牌。

轉載請注明出處：拓步ERP資訊網http://www.vmgcyvh.cn/

本文標題：MPLS VPN業務分類實施解決方案

本文網址：http://www.vmgcyvh.cn/html/consultation/10839411414.html