MPLS VPN网络技术构建

随着信息化进程的发展，全球经济一体化不断加快，知识经济的发展令人瞩目。信息技术使企业行动的速度是越来越快，政府的职能是为企业提供一个良好的竞争环境和服务体系，为百姓生活提供便利。建设"电子政务"已成为世界新一轮公共行政管理改革和衡量国家竞争力水平的显著标志之一。

面对扑面而来的信息化大潮，黑龙江省政府敏锐地观察到，在传统经济与新经济转型时期，机遇与挑战并存。竟争在极大程度上集中到政府管理职能与效率方面；政府转变管理职能、转变工作方式，迅速建立起办事高效、运转协调的行政管理体系势在必行。为此，黑龙江省政府明确提出"把政务信息化建设作为推进国民经济和社会信息化的切入点和突破口"的发展战略。而网络平台的建设是一个城市基础设施建设的一部分。

黑龙江省政府认为政务信息网络的结构，功能和运作必须符合省政府的组织形式，工作职能和工作方式。要求省政务信息网络是一个高速宽带网络平台，以适应多媒体信息等不同应用的需要；安全保密是政府信息化建设的核心，无论是思想上还是技术上都要树立起安全屏障；适应政府机关办公业务和辅助领导科学决策的需要；选择合适的伙伴，借鉴国内外大型网络建设先进经验，确保网络具有良好的前瞻性和持续发展性。

黑龙江省立体化政务信息网络模型

黑龙江省政务信息网络需要为全省67个厅局建立省、地(市)、县三级纵向网络，满足各中省直单位内部联网需要；同时为省、13个地（市）、66个县三级政府部门建立横向网络，满足各政府部门间资源共享的需要。其逻辑结构是一个复杂的"格"状的立体架构。如右图所示。

对于每个独立的政府部门节点来说，它既有横向部门间的信息交互，有纵向联网的信息交互。

政府及各直属单位应用系统之间既具有相对的独立性，同时又存在很强的关联性。纵向看，每个政府部门内部的用户均能访问纵向网络的相应资源；横向看，各级政府单位只有部分授权用户能够访问横向网络资源。数据访问关系如下表所示：

面对黑龙江省政务信息网络纵横交错的立体结构，错综复杂的访问关系，种类繁多的业务应用(包括视频会议、IP语音、办公自动化、数据库查询等等)。如何建立一个专用、公共的网络平台，统一实现纵向网及横向网的信息交互，达到每个政府部门只需建设一个局域网络、通过一条通信线路，就可以实现纵向及横向的全部通信需要？

目前大多数政府部门和企业的网络都建立在帧中继或ATM网络基础上，通过虚电路(VC)连接各个网络节点，一般采用星型(Hub and Spoke)、树型或半网状拓扑结构。对于黑龙江政务信息网络的立体交叉拓扑网络来说，如果想在这种模式中实现最佳路由，any-to-any网状结构，这意味着整个网络需要n*(n-1)/2(n为政府单位的数量)条VC。VC数量的剧增将进一步增加网络和路由的复杂性，这种复杂性使得对网络节点的任何变动都会给政府和运营商造成极大的痛苦。同时，正确地设置VC需要了解端到端的业务信息，这使得流量工程也变得更加困难。简单地说，这种模式不具备适应黑龙江政务信息系统大型拓扑结构的良好扩展性和灵活机动性。

思科MPLS VPN打造立体化政务信息网络

CISCO MPLS-VPN技术在单一的基础网络设施之上，为67个厅局和横向政务网络，构造68个虚拟专用网络(VPN)。逻辑结构如右图所示。

在省、13个地市、66个县分别配置一台路由器(PE)，构成MPLS网络骨干。每个单位配置一台路由器(CE)，通过以太城域网汇接到本地MPLS网络骨干节点(PE)。

如右所示，PE和CE路由器之间使用标准的IP转发。通过路由协议，PE能够了解每个VPN的网络拓扑，简化CE间的路由，并轻松实现VPN内any-to-any的数据包转发，对政务网络随时可能调整和添加VPN的灵活机动性具有非常好的适应性。

VPN内部any-to-any路由，还将为数据包分配最佳的转发路径，最大的限度的优化流量。由于PE与本地CE之间是通过以太网络连接，通过合理的VLAN设计，还具有进一步优化本地横向网络流量的能力。

简单的说MPLS-VPN非常好地满足了黑龙江政府信息网络对灵活机动性、和any-to-any连接等的广泛需求。

堪与专线媲美的安全性

寻址空间分离--MPLS核心采用"VPN-IPv4地址"路由，通过在IPv4路由上添加一个路由分辨符(RD)，确保在VPN中独一无二的地址在MPLS核心中同样是独一无二的。因此，每个政府部纵网具有保持自己的寻址方案的灵活性和使用公共或专用地址空间的自由。

路由分离--PE路由器为每一个VPN保持一个分离的路由表(VRF)。这些VRF不仅彼此独立，而且与全局路由表独立。即使有两个政府部门的纵向网络使用相同的地址空间，彼此之间也是完全隔离的。

核心隐藏--在MPLS内部连接到VPN的接口是BGP，没有必要透露关于核心的任何信息给用户，即使是对每个政府单位的CE路由器。如果在PE和CE之间使用动态路由协议，CE唯一知道的信息是PE路由器的地址；如果不需要此信息，可以在PE和CE之间配置静态路由，彻底隐藏MPLS核心，正如我们在黑龙江政府信息网络中所做的。

如右图所示，在使用跟踪工具时，MPLS云在输出时不显示中继段。

综上所述，从一个VPN不可能入侵另一个VPN或者核心，这使得MPLS-VPN具有甚至超越基于帧中继或ATM的全部安全特征。

CISCO IOS建立端到端的QoS

由于政务信息网络业务应用、数据性质的丰富多样，网络数据流量突发是不可避免的，网络必须拥有良好的拥塞控制能力和对不同性质数据流的处理能力，为各级领导和政府部门提供高品质的服务。

CISCO IOS增强的QoS功能为设备提供了按优先级处理业务的智能。在黑龙江政务信息网络中，所有的设备均采用CISCO统一的IOS操作系统，因此QoS已经不仅仅是一种简单的设备特征，而是整个网络端到端体系结构--网络管理人员能够完全控制网络带宽分配、延迟、抖动和数据包丢弃等等。

MPLS核心通过为相应的服务级别专门分配一组标签，显著地减低了QoS的处理工作量，使网络获得更佳的性能。提高效率而不会丢失功能。

此外，CISCO MPLS还提供了一套先进的流量管理机制--资源预留路由选择(RRR)。管理人员能够显式地配置路由，沿特定的路径发送选择的业务，进行拥塞控制和负载均衡。

有限投资创造无限效益

黑龙江政务信息网络以其"网络总体架构统一、信息交互模式统一、信息资源组织体系统一"在全国省际政务电子化建设中开创了先河，是目前国内规模最大，技术最先进的政务信息网络之一。工程完成后将形成以省政府为枢纽，上联国家党政机关和各省(直辖市、自治区)，下联个地(市)、县、乡(镇)各级党政机关，横向连接中省直属单位的政务专用宽带网络系统。实现以"三网一库"为基本架构的全省政务信息系统。形成全省电子政府的雏形。实现全省政府信息资源综合利用与共享。实现提高管理与服务水平、增强竟争力和讲究经济和社会效益的目的。

随着电子信息资源库建设的日渐完备，黑龙江省政务信息网络，将在黑龙江省推进信息化的进程中发挥越来越重要的作用，为全省政治、经济的发展做出巨大贡献。