将重叠的用户地址进行地址转换(NAT)为政务外网的临湘段地址进行通信。 ? 考虑到IP地址数量有限,对于各单位访问Internet的公共VPN则由市政府
从私有地址段中进行统一分配,原则上每个单位分配一个C类地址段,由接入设备将这些访问Internet的地址转换(NAT)为政务外网临湘段地址再在政务外网上传播。有特殊需求的单位,适当增加外网IP地址。
2.15 MPLS VPN规划设计 2.15.1 MPLS VPN 构建纵向网络
MPLS(Multiprotocol Label Switching: 多协议标签交换)技术是在开放的通信网上利用定长标签进行数据高速传输和交换的网络新技术。MPLS技术将第二层交换和第三层的路由技术很好地结合起来,以十分简洁、高效的方式完成信息的传送。更为重要的是,MPLS使IP网络能提供传统IP网络不能或很难提供的各种增值服务,例如MPLS所提供的VPN服务、流量工程服务、IP QoS服务等。
在MPLS网上实现的无连接的IP VPN,提供了基于帧中继、ATM PVC的第二层VPN相同安全级别的虚拟专用网,能达到第二层PVC所具有的专有性、安全性和数据传输的高速性,而MPLS VPN的灵活性、扩展性、易管理性和适应性则是当前其他基于PVC或隧道技术的VPN所无法比拟的。MPLS VPN在第三层路由上对各VPN进行了隔离,无需访问控制列表ACL,各VPN之间都是不可见的,骨干网对于客户网络(某个VPN内部)也是不可见的。所以,充分保证了在多个业务系统共用IP骨干网情况下的相互有效隔离。MPLS最初是为服务供应商网络所创立的技术,今天,很多企业或政府机构的网络也需要解决和服务供应商网络类似的需求和问题。大型企业和政府机构的IP骨干网正从过去低带宽、重复分离的物理网络向宽带化、一体化方向发展,一个高效的、智能的、集成的网络是政府网络发展的方向。同样地,岳阳市各区县电子政务外网要能安全、高效地整合各业务专网,同时应对各种公共业务、语音传送、视频服务多业务应用不断增长的需求,这些不同的业务专网和各种应用对于网络的安全性、服务质量要求各不相同,这就要求岳阳市各区县电子政务外网平台必须能够
第 26 页 共 55 页
将它们按照各自的特性和要求正确地传送,提供安全隔离和区别服务。先进、成熟的MPLS/VPN技术是岳阳市各区县电子政务外网横向系统建设的有效解决方案。
对岳阳市各区县电子政务外网而言,需要重点实现两个方面的需求: l.安全隔离:一方面要保证各业务系统逻辑网络的相对独立性,以满足不同业务系统对安全性、服务质量、管理、拓朴结构的要求;
2.受控互访:另一方面,各业务系统之间的流程整合又需要提供相互访问的途径,而且要保证访问的安全性。
MPLS/BGP VPN解决方案可以为岳阳市各区县电子政务外网平台提供一种基于网络、易于管理、扩充性好、安全且具有QoS保障、可在任意节点间连接的VPN。
1.基于网络,易于管理。这种基于网络的VPN可以完全由骨干网络来实现,即网络用户(各应用系统)不用关心VPN是如何构造的,而是在网络平台内完成。
2.路由。需要在各PE节点之间建立IBGP全连接,以交换VPN-IPV4路由。
3.安全性。由于基于MPLS/BGP实现,报文在网络节点构成的MPLS域中采用标签转发的形式进行交换(LSP),因此具有同ATM/FR虚电路相同的安全级别。MPLS BGP VPN方案采用VRF实现VPN之间的路由隔离。通过MPLS LSP隧道将VPN流量完全隔离。
4.QOS。由于基于MPLS/BGP实现,可以利用MPLS COS机制,结合IP QOS机制,从而能够为VPN用户实现端到端的QOS服务。由于各业务系统的VPN流量通过不同的LSP隧道承载,可以方便的针对LSP实现MPLS的区别服务。通过IP TOS和MPLS COS域的映射,可以将边缘网络中定义的IP QOS级别继承到MPLS域中,实现端到端的QOS。
5.扩充性好。由于基于MPLS/BGP实现,因此很容易对网络节点进行扩充,网络可剪裁性好。在增加某个VPN的网点(Site)时,只需要配置该网点连接的PE路由器,不存在N平方问题。增加一项新业务系统时不会影响已有的业务,实现平滑扩展。MPLS VPN业务模型与网络规模及拓扑无关。
第 27 页 共 55 页
岳阳市各区县电子政务外网部署MPLS VPN要考虑以下几点: 可靠性和稳定性
目前MPLS VPN技术主要分成L3 MPLS VPN、L2 MPLS VPN(包括VPLS(虚拟私有局域网服务))两大类。其中L3 MPLS VPN技术发展较早,其核心部分已经标准化(RFC2547,RFC2547bits),由于它的信令控制是通过多协议BGP来实现的,所以通常也叫做MPLS/BGP VPN,或BGP/MPLS VPN。MPLS/BGP VPN技术不仅已经广泛应用于电信运营商和ISP,而且也广泛应用于电力行业,政府行业(包括各省的政务内网和政务外网),金融行业,大型企业等行业用户。其技术和产品都较为成熟,稳定。所以岳阳市各区县电子政务外网宜选用MPLS/BGP VPN作为主流的MPLS VPN技术。
扩展性
由于省电子政务外网将每个省(含副省级)规划为单独的自治域
(Autonomous System)。所以,要想实现各个部委的垂直纵向网从中央延伸到省、地市、区市,必需解决VPN跨自治域的问题。
业务多样性
岳阳市各区县电子政务外网作为一个向政府部门提供网络服务的平台,不仅要提供基本MPLS VPN业务。还要提供多样化的业务种类,以满足不同政府部门的多样化要求。比如,有的厅局需要在自己的VPN内部根据自己不同的业务部门或者不同的业务种类再自行划分内部的VPN,而这种内部VPN的划分和管理应该完全属于这个厅局自己,而不需要对全网VPN规划产生影响。所以,这个网络需要支持MPLS VPN的层次化能力。
VPN业务的高品质保证
针对语音、视频、多媒体通信等实时性要求比较严格的业务,岳阳市各区县电子政务外网的VPN服务能否提供类似专线一样的服务质量保证也是非常重要的,这就要求在整个网络中部署端到端的QOS。
设备实现MPLS VPN的性能考虑
前面只是考虑了MPLS VPN部署时的业务特性,而在一个实际的生产网络里。设备实现MPLS VPN的性能如何至关重要。
可维护性和可管理性
第 28 页 共 55 页
对于MPLS VPN的管理首先确定管理界面。在电信运营商网络,PE和CE是服务提供商和用户之间的管理界面,用户维护和管理CE设备,服务提供商维护和管理PE设备。但是在电子政务外网中,由于行业的特点,政务外网服务提供商不仅要维护和管理PE设备,还要维护和管理CE设备。如何解决同时对PE和CE设备的管理是必需考虑的问题。
其次是MPLS VPN的业务管理,主要包括以下几个方面:
同时支持MPLS L2/L3 VPN 可以同时管理BGP/MPLS VPN(RFC 2547bis)、MPLS L2 VPN(VPLS、Martini、Kompella),能够实现 “多种VPN业务,单点集中运维”。
能够提供多厂商设备MPLS VPN业务共同管理的功能。
能够使用图形化、向导化的方式,帮助管理员快速完成VPN业务规划,并可直观的进行“业务预览”,即在业务尚未部署到设备之前,就可在业务管理系统中看到业务实施后的效果(如VPN拓扑结构、VPN内各站点间逻辑连接关系),避免业务规划过程中人为的错误。
能够提供可调度(定时或用户触发)的业务部署能力,自动生成不同厂商设备的指令,并下发设备,在网络中形成实际运行的MPLS VPN业务;对于已部署业务,可进行拆除;降低业务部署复杂度,提高VPN业务发放响应速度。
能够自动发现已有网络中的设备、接口、逻辑接口等资源。
能够提供多种有效的业务监控手段,从而保证VPN业务质量:VPN配置审计、VPN连通性审计、端到端的网络性能(时延、丢包、抖动)监控、图形化的流量/带宽利用率监控、智能的业务告警分析,帮助管理员快速排障、及时了解业务状况。
VPN客户可以通过WEB浏览器,在被授权的范围内管理其租用VPN的运行状况:修改查看客户基本信息、查看业务租用情况、查看流量/告警统计报表。
能够提供北向接口,可接入其他BSS /OSS系统或告警/性能等ISV专有系统(如Micromuse的NetCool),为运营商规划运营支撑系统时提供VPN业务的管理接口。
能够维护VPN客户的各种信息,并提供丰富的客户业务租用报表、资源租用报表、性能数据报表、流量数据报表和故障数据报表等。
第 29 页 共 55 页
能够定时自动生成各种报表,包括:网络资源占用报表、业务租用报表、VPN流量/接口带宽利用率报表(可按日周月年查看)、告警报表、客户报表、连通性审计报表、性能报表(平均/最大/最小丢包、时延等指标)等(格式包括HTML、EXCEL等)。
能够提供灵活的用户分权策略(可按照对象+操作给用户授权),方便运营商按照个管理员实际业务职责来分权;提供简便易用的数据库备份工具,简化系统管理员数据备份的工作;提供Watchman异地双机备份组件,保证系统的高可用性;提供详尽的用户操作日志记录、任务操作日志记录,便于事后跟踪。
能够提供丰富的网络拓扑显示视图:网络视图(PE-CE之间的连接关系)、客户视图(CE-CE之间连接管理)、VPN视图(每个VPN显示为一个节点)功能,并提供放大、缩小、定位节点、鸟瞰图、节点搜索、多选等操作;并可按照客户、VPN过滤、AS、VPN类型等过滤显示;对于VPN内节点数目较大、之间的逻辑链接过多提供更细节的过滤显示功能;拓扑能够反映业务实际运行状态。
2.15.2 MP-BGP RR规划设计
MP-BGP主要用于传递VPN 路由, BGP路由协议规划中的IBGP主要用于传递IPV4路由。由于所有岳阳市各区县电子政务外网平台设备处于一个AS中,MP-IGP同样存在IBGP的全连接要求,同样具有N平方问题,为了解决这个问题,必须使用BGP反射器技术。
2.15.3 MPLS VPN 资源规划
? VRF规划
岳阳市各区县政府职能部门,建立两个基本VPN: 纵向VPN:规划为各职能部门的垂直部门之间访问; 横向VPN;规划为各职能部门的兄弟部门之间的访问;
2、在岳阳市各区县政府网控中心,除上面两个VPN外,需要建立如下VPN:
第 30 页 共 55 页