电子政务网络 MPLS VPN 建设方案及说明
网络功能描述
各职能部门网络安全互通
随着政府信息化工程的实施,政府各部门基本都有了自己的内部网,但因为没有统一的政务网平台,相同职能部门的各节点还基本处于信息孤岛状态,信息的交互只能通过经过Internet的电子邮件方式,办公自动化等内部系统无法连通,给政府办公带来了极大的不便。
政务网建成后,可使各职能部门的网络互通,方便了信息交流和共享,提高了办公效率,密切了上级的关系。
互通后的网络受到VPN的保护,保障了内部信息的保密、安全。 统一的网络平台,避免重复建设
采用统一的网络平台为所有政府部门服务,无需每部门单独建设城域网,节省了投资。
通过MPLS VPN技术,实现各部门网络逻辑隔离,保证了各部门信息的安全性。通过灵活的策略实现VPN之间的可控访问,实现协调业务工作。 统一的Internet出口,节省上网支出
采用本方案设计的政务网,可实现统一的Innternet出口,结束了原来每个孤立节点都要为访问Internet单独付费的局面,节省了上网支出。为政府开源节流,节省资金做出了贡献。
采用高带宽的统一出口,可以提高各部门Internet的访问质量。 采用本方案设计无需每部门甚至每节点单独购置防火墙和网络安全设备,同样节省了政府开支。
统一的对外公共信息平台,使网上政府的理想得以实现
采用该方案设计的政务网,实现统一的对外公共信息平台,扫除了政府各部门共享数据资源的技术障碍,可实现网上政务一站式办公,大大提高了政府部门对公众的服务能力,并树立政府部门统一良好的公众形象。
数据资源的安全可以集中考虑,通过集中部署防火墙、入侵检测系统、等保障数据安全,增强了数据安全保障的可实施性。
可通过灵活设置VPN等功能,可控制政府内部人员对公共平台上敏感数据的访问权限,进一步保障网上政府实施的安全性。 统一的对内公共信息平台,实现各部门间的内部交流
采用该方案设计的政务网,实现统一的对内公共信息平台,使政府各部门间的联合办公,统一的内部Emai系统,统一的内部信息发布平台等功能得以实施,进一步提高政府办公效率。
促进了各部门间和公务员间的沟通与交流,保障了信息沟通和言论的顺畅。 内部信息安全访问,提高了公务员网络访问行为的可管理性
通过实施公务员访问网络安全认证机制,确保政务网上数据的安全,通过认证系统的日志功能,可保证Internet访问内容的安全性,并防止公务员在网上发布不正当言论,并可迅速定位责任人,使问题处理有据可查,保护政府的形象。
网络平台基本结构
网络平台总体采用星型结构,核心、汇聚、接入三层网络架构,网络主干采用万兆骨干网万兆光纤到接入单位,同时实现单位千兆桌面接入。
通过本次×××市电子政务外网建设,规范和统一全县各党政机关接入互联网的出口,以保证全县电子政务网络安全性及保密性,同时为了合理利用资源,节约资金,其它各政府单位不再单独接入互联网。具体建设涵盖×××市电子政务外网建设,从而实现与上级单位电子政务平台安全对接。
×××市电子政务外网网络基础平台按照“分层分区”的设计思想,以保证网络架构的先进性、高可用性、高可扩展性和易管理性。×××市电子政务外网平台按照三层结构设计分为:核心层、汇聚层、万兆接入层。全市政务部门通过本市网络中心统一出口、统一管理,各接入单位只能通过统一出口访问互联网,提高整个网络的可管理性和安全性。
业务隔离与访问控制设计
设计概述
电子政务网络平台的一个重要应用是数据业务,而且随着政务信息化的深入发展,数据业务将在该平台发挥越来越大的作用,接入政务广域网平台的各单位,既有横向部门间的信息交互,又有纵向行业部门的信息交互,在应用上,各单位用户经授权能访问纵向网络的相应资源;同时各单位用户经授权又能访问横向网络资源。因此,整个平台是由多条纵向专网、横向专网相联接形成的复杂结构。
传统的VLAN+ACL的方式实现业务隔离与数据共享有着部署简单、灵活、成本低、易维护等优点,但对于一些复杂的隔离与共享需求却有着比较大的困难。而MPLS VPN技术可以很好的解决该问题,通过将各机关部门办公系统划分为不同的VPN网络,实现各部门办公系统共享同一物理网络,但是在逻辑上却是相互隔离,从而既可以提高政府办公的自动化程度及效率,又可以保障各部门系统内数据不被其他人访问,满足了政府办公的安全需求。MPLS VPN技术作为一项有效的隔离技术,在灵活性、可扩展性、易开展性等方面具有很强的优势,目前已经成为电子政务网络建设的主要支撑技术之一。
我们针对VLAN+ACL以及MPLS VPN两种业务隔离技术的特点,并结合×××市电子政务外网在业务隔离与数据共享上的实际需求,进行以下技术选择:
1、对于相对较简单的业务隔离与数据共享需求,都采用VLAN+ACL来实现,从我们的建设经验来考量,这些需求会占到一个较高的比例,这样既可以大大简化网络的部署过程以及运行维护,也可以很好的降低网络建设成本。
2、对于部分比较复杂的业务隔离与数据共享需求,我们采用MPLS VPN技术来解决;此次配置的核心交换机、汇聚交换机和接入交换机等设备都对MPLS VPN有较好的支持,所以在设备上我们无需再花额外成本。通过灵活的在需要进行比较复杂的业务隔离与数据共享的部分区域或单位/部门进行MPLS VPN部署,可以达到很好的应用效果。
下面我们对具体的MPLS VPN部署方案进行简要说明: MPLS 规划 MPLS VPN网络构成
MPLS VPN中由三部分组成:CE、PE和P:
P路由器(Provide Router):供应商路由器。位于MPLS域的内部。可以基于标签交换快速转发MPLS数据流。P路由器接收MPLS报文,交换标签后,输出MPLS报文。
PE路由器(Provide Edge Router):供应商边界路由器。位于MPLS域的边界,用于转换IP报文和MPLS报文。PE路由器 接收IP报文,压入MPLS标签后,输出MPLS报文;并且接收MPLS报文,弹出标签之后,输出IP报文。PE路由器上,与其它P路由器或者PE路由器连接的端口被称为“公网端口”,配置公网IP地址;与CE路由器连接的端口被称为“私网端口”,配置私网IP地址。
CE路由器(Customer Edge Router):用户边界路由器。位于用户IP域边界,直接和PE路由器连接,用于汇聚用户数据,并把用户IP域的路由信息转发到PE路由器。
CE和PE的划分主要是根据SP与用户的管理范围,CE和PE是两者管理范围的边界。
当CE与直接相连的PE建立邻接关系后,CE把本站点的VPN路由发布给PE,并从PE学到远端VPN的路由。CE与PE之间使用BGP/IGP交换路由信息,也可以使用静态路由。
PE从CE学到CE本地的VPN路由信息后,通过BGP与其它PE交换VPN路由信息。PE路由器只维护与它直接相连的VPN的路由信息,不维护服务提供商网络中的所有VPN路由。
P路由器只维护到PE的路由,不需要了解任何VPN路由信息。
当在MPLS骨干网上传输VPN流量时,入口PE做为Ingress LSR(Label Switch Router),出口PE做为Egress LSR,P路由器则做为Transit LSR。
MPLS VPN组网方案
最简单的情况下,一个VPN中的所有用户形成闭合用户群,相互之间能够进行流量转发,VPN中的用户不能与任何本VPN以外的用户通信。
对于这种组网,需要为每个VPN分配一个VPN Target,作为该VPN的Export Target和Import Target,并且,此VPN Target不能被其他VPN使用。
如下图所示,PE上为VPN1分配的VPN Target值为100:1,为VPN2分配的VPN Target值为200:1。VPN1的两个site之间可以互访,VPN2的两个site之间也可以互访,但VPN1和VPN2的site之间不能互访。
如果一个VPN用户希望提供部分本VPN的站点资源给非本VPN的用户访问,可以使用下图所示的Extranet组网方案:
××市电子政务MPLS VPN组网方案说明
