××市电子政务MPLS VPN组网方案说明

电子政务网络MPLSVPN建设方案及说明网络功能描述各职能部门网络安全互通随着政府信息化工程的实施，政府各部门基本都有了自己的内部网，但因为没有统一的政务网平台，相同职能部门的各节点还基本处于信息孤岛状态，信息的交互只能通过经过Internet的电子邮件方式，办公自动化等内部系统无法连通，给政府办公带来了极大的不便。政务网建成后，可使各职能部门的网络互通，方便了信息交流和共享，提高了办公效率，密切了上级的关系。互通后的网络受到VPN的保护，保障了内部信息的保密、安全。统一的网络平台，避免重复建设采用统一的网络平台为所有政府部门服务，无需每部门单独建设城域网，节省了投资。通过MPLSVPN技术，实现各部门网络逻辑隔离，保证了各部门信息的安全性。通过灵活的策略实现VPN之间的可控访问，实现协调业务工作。统一的Internet出口，节省上网支出采用本方案设计的政务网，可实现统一的Innternet出口，结束了原来每个孤立节点都要为访问Internet单独付费的局面，节省了上网支出。为政府开源节流，节省资金做出了贡献。采用高带宽的统一出口，可以提高各部门Internet的访问质量。采用本方案设计无需每部门甚至每节点单独购置防火墙和网络安全设备，同样节省了政府开支。统一的对外公共信息平台，使网上政府的理想得以实现采用该方案设计的政务网，实现统一的对外公共信息平台，扫除了政府各部门共享数据资源的技术障碍，可实现网上政务一站式办公，大大提高了政府部门对公众的服务能力，并树立政府部门统一良好的公众形象。数据资源的安全可以集中考虑，通过集中部署防火墙、入侵检测系统、等保障数据安全，增强了数据安全保障的可实施性。可通过灵活设置VPN等功能，可控制政府内部人员对公共平台上敏感数据的访问权限，进一步保障网上政府实施的安全性。统一的对内公共信息平台，实现各部门间的内部交流采用该方案设计的政务网，实现统一的对内公共信息平台，使政府各部门间的联合办公，统一的内部Emai系统，统一的内部信息发布平台等功能得以实施，进一步提高政府办公效率。促进了各部门间和公务员间的沟通与交流，保障了信息沟通和言论的顺畅。内部信息安全访问，提高了公务员网络访问行为的可管理性通过实施公务员访问网络安全认证机制，确保政务网上数据的安全，通过认证系统的日志功能，可保证Internet访问内容的安全性，并防止公务员在网上发布不正当言论，并可迅速定位责任人，使问题处理有据可查，保护政府的形象。网络平台基本结构网络平台总体采用星型结构，核心、汇聚、接入三层网络架构，网络主干采用万兆骨干网万兆光纤到接入单位，同时实现单位千兆桌面接入。通过本次×××市电子政务外网建设，规范和统一全县各党政机关接入互联网的出口，以保证全县电子政务网络安全性及保密性，同时为了合理利用资源，节约资金，其它各政府单位不再单独接入互联网。具体建设涵盖×××市电子政务外网建设，从而实现与上级单位电子政务平台安全对接。×××市电子政务外网网络基础平台按照“分层分区”的设计思想，以保证网络架构的先进性、高可用性、高可扩展性和易管理性。×××市电子政务外网平台按照三层结构设计分为：核心层、汇聚层、万兆接入层。全市政务部门通过本市网络中心统一出口、统一管理，各接入单位只能通过统一出口访问互联网，提高整个网络的可管理性和安全性。业务隔离与访问控制设计设计概述电子政务网络平台的一个重要应用是数据业务，而且随着政务信息化的深入发展，数据业务将在该平台发挥越来越大的作用,接入政务广域网平台的各单位，既有横向部门间的信息交互，又有纵向行业部门的信息交互，在应用上，各单位用户经授权能访问纵向网络的相应资源；同时各单位用户经授权又能访问横向网络资源。因此，整个平台是由多条纵向专网、横向专网相联接形成的复杂结构。传统的VLAN+ACL的方式实现业务隔离与数据共享有着部署简单、灵活、成本低、易维护等优点，但对于一些复杂的隔离与共享需求却有着比较大的困难。而MPLSVPN技术可以很好的解决该问题，通过将各机关部门办公系统划分为不同的VPN网络，实现各部门办公系统共享同一物理网络，但是在逻辑上却是相互隔离，从而既可以提高政府办公的自动化程度及效率，又可以保障各部门系统内数据不被其他人访问，满足了政府办公的安全需求。MPLSVPN技术作为一项有效的隔离技术，在灵活性、可扩展性、易开展性等方面具有很强的优势，目前已经成为电子政务网络建设的主要支撑技术之一。我们针对VLAN+ACL以及MPLSVPN两种业务隔离技术的特点，并结合×××市电子政务外网在业务隔离与数据共享上的实际需求，进行以下技术选择：1、对于相对较简单的业务隔离与数据共享需求，都采用VLAN+ACL来实现，从我们的建设经验来考量，这些需求会占到一个较高的比例，这样既可以大大简化网络的部署过程以及运行维护，也可以很好的降低网络建设成本。2、对于部分比较复杂的业务隔离与数据共享需求，我们采用MPLSVPN技术来解决；此次配置的核心交换机、汇聚交换机和接入交换机等设备都对MPLSVPN有较好的支持，所以在设备上我们无需再花额外成本。通过灵活的在需要进行比较复杂的业务隔离与数据共享的部分区域或单位/部门进行MPLSVPN部署，可以达到很好的应用效果。下面我们对具体的MPLSVPN部署方案进行简要说明：MPLS规划MPLSVPN网络构成MPLSVPN中由三部分组成：CE、PE和P：P路由器（ProvideRouter）：供应商路由器。位于MPLS域的内部。可以基于标签交换快速转发MPLS数据流。P路由器接收MPLS报文，交换标签后，输出MPLS报文。PE路由器（ProvideEdgeRouter）：供应商边界路由器。位于MPLS域的边界，用于转换IP报文和MPLS报文。PE路由器接收IP报文，压入MPLS标签后，输出MPLS报文；并且接收MPLS报文，弹出标签之后，输出IP报文。PE路由器上，与其它P路由器或者PE路由器连接的端口被称为“公网端口”，配置公网IP地址；与CE路由器连接的端口被称为“私网端口”，配置私网IP地址。CE路由器（CustomerEdgeRouter）：用户边界路由器。位于用户IP域边界，直接和PE路由器连接，用于汇聚用户数据，并把用户IP域的路由信息转发到PE路由器。CE和PE的划分主要是根据SP与用户的管理范围，CE和PE是两者管理范围的边界。当CE与直接相连的PE建立邻接关系后，CE把本站点的VPN路由发布给PE，并从PE学到远端VPN的路由。CE与PE之间使用BGP/IGP交换路由信息，也可以使用静态路由。PE从CE学到CE本地的VPN路由信息后，通过BGP与其它PE交换VPN路由信息。PE路由器只维护与它直接相连的VPN的路由信息，不维护服务提供商网络中的所有VPN路由。P路由器只维护到PE的路由，不需要了解任何VPN路由信息。当在MPLS骨干网上传输VPN流量时，入口PE做为IngressLSR（LabelSwitchRouter），出口PE做为EgressLSR，P路由器则做为TransitLSR。MPLSVPN组网方案最简单的情况下，一个VPN中的所有用户形成闭合用户群，相互之间能够进行流量转发，VPN中的用户不能与任何本VPN以外的用户通信。对于这种组网，需要为每个VPN分配一个VPNTarget，作为该VPN的ExportTarget和ImportTarget，并且，此VPNTarget不能被其他VPN使用。如下图所示，PE上为VPN1分配的VPNTarget值为100:1，为VPN2分配的VPNTarget值为200:1。VPN1的两个site之间可以互访，VPN2的两个site之间也可以互访，但VPN1和VPN2的site之间不能互访。如果一个VPN用户希望提供部分本VPN的站点资源给非本VPN的用户访问，可以使用下图所示的Extranet组网方案：对于这种组网，如果某个VPN需要访问共享站点，则该VPN的ExportTarget必须包含在共享站点的VPN实例的ImportTarget中，而其ImportTarget必须包含在共享站点VPN实例的ExportTarget中。在上图中，VPN1的site3能够被VPN1和VPN2访问：PE3能够接受PE1和PE2发布的VPN-IPv4路由；PE3发布的VPN-IPv4路由能够为PE1和PE2接受；基于以上两点，VPN1的site1和site3之间能够互访，VPN2的site2和VPN1的site3之间能够互访；PE3不把从PE1接收的VPN-IPv4路由发布给PE2，也不把从PE2接收的VPN-IPv4路由发布给PE1（IBGP邻居学来的条目是不会再发送给别的IBGP邻居），因此，VPN1的site1和VPN2的site2之间不能互访。MPLSVPN组网示例我们根据以上MPLSVPN的组网方案，针对×××市电子政务外网平台的横向VPN互访需求，即目前主要是内部数据交换中心和各单位局域网之间的可控互访，进行组网示例如下图所示：将需要横向互访的数据交换中心设置为一个公共访问的VPN并只导出自己的VPN（EXPORT64965:2），接收所有单位的交换机VPN（IMPORT64965:101至65000:6001）。而所有单位的交换机VPN将只接受公共访问的VPN（IMPORT64965:2），并导出自己的VPN（EXPORT64965:101或64965:6001）。为了部署前置交换机VPN，需要在每个厅局的CE设备和县级城域网的PE设备之间增加一个VRF接口，这个VRF接口可以是物理接口，也可以是子接口。所有前置交换机VPN和数据交换中心VPN内的IPv4地址必须保证唯一性，需统一规划。如果各单位的内部网络需要访问自己的前置交换机，可以在每个单位的CE设备上部署针对前置交换机的NAT。这样就实现了各单位的前置交换机横向访问的数据交换中心服务器，而各单位的前置交换机缺省是不能互访的。但是这种不能互访是受控的，在需要互访的时候，仅修改各单位的前置交换机VPN的导入策略即可。MPLSVPNRD&RT规划RD（RouteDistinguisher）用来唯一标识VRF，每个VRF，也就是每个VPNSITE唯一对应一个RD。RD建议使用16bits：32bits的形式，即“ASN：VPN编号”。ASN：即AS号，全网统一使用65500；VPN编号：共6位数字，使用“行政区域（10~25）+委办（001~255）+功能区（1~4）”的划分方式唯一定义；RT的结构于RD基本相同，为了便于维护和管理，我们建议与RD相同的格式，使用16bits：32bits形式，也即“ASN：VPN编号”。RT（RouteTarget）解决了不同VPN之间的互访和隔离，它的本质就是BGP的community属性。不同VRF间通过配置配置关联的RT而组成可以互相访问的集合，我们称之为VPN，配置里并没有专门的VPN的定义。也就是说，VPN的成员关系是通过路由所携带的RT属性来获得的。不同CE通过PE配置的VRF里的RT实现互访与隔离，从而组成不同的VPN。通过RT的灵活使用，可以实现intranet，extranet，hub&spoke等不同VPN组网方式。在实际组网中，对于具有相同互访隔离要求的一组VRF，可通过配置相同的RT来简化配置和维护量。互联网统一出口设计为保障政务外网与互联网的逻辑隔离，在互联网出口部署安全设备对互联网访问进行防护。为实现互联网接入部分的安全，一般采用以下一代防火墙为主，多种技术手段结合的方法，在×××市互联网接入部分，将在互联网出口处部署下一代防火墙。对于统一互联网出口，做为整个电子政务外网进入互联网的出口，同时承担着两方面的作用：一是电子政务外网内所有用户访问互联网的出口；二是为公众提供访问政府信息的入口，同时也是可信用户通过互联网访问政务外网的唯一通道。通过统一出口、统一管理，各接入部门只能通过统一出口访问互联网，以提高整个网络的安全性。针对大量用户同时访问互联网时，NAT地址转化的问题，多核安