政务解决方案

电子政务 VPN网络解决方案

电子政务VPN网络技术分析

电子政务信息网络纵向网络上连接了包括省政府、省委省人大、省机要局、省厅以及地市、县政府等大量的机密信息点,横向网络中又涉及财政、地税、工商等也涉及国家机密的政府行业部门,业务上涉及行政管理、行政办公、视频会议、IP 电话和互联网的访问等大量的涉及机密的业务;另外电子政务信息网络纵向要能互连,横向要能受控互连,要求电子政务信息网络必须是一个高可靠、高安全性网络;电子政务信息网络建设分两部分,一部分由政府自己组建的,包括各省、地市、县政府局域网,一部分租用运营商的骨干网络,考虑到安全可靠以及横纵向互连等党政信息网的特殊性,目前最适合党政信息网建设的技术为VPN 技术。

利用公共网络来构建的私人专用网络称为虚拟私有网络(Virtual PrivateNetwork) 简称VPN,用于构建VPN 的公共网络包括Internet、 帧中继、ATM等。在公共网络上组建的VPN 象企业现有的私有网络一样提供安全性、可靠性和可管理性等。VPN 虚拟私有网是电子政务信息网络纵向网实现的基础。提供VPN 业务,以满足省地县各级政府、厅、局、委、办纵、横向联网的要求,是电子政务信息网络的一个重要建设目标。

采用VPN 技术来构造电子政务网络有几点好处

1、可以利用VPN 技术的良好的安全特性。VPN 的安全性包含:隧道与加密、数据验证、用户验证、防火墙与攻击检测。

2、可以利用VPN 技术的良好的QOS 特性。VPN 包含:二层和三层的QoS, 具有流分类、流量整形与监管、拥塞管理与带宽分配等功能。

3、可以利用VPN 技术良好的管理性。VPN 管理包括安全管理、设备管理、配置管理访问控制列表管理、QoS 管理等内容。

VPN 技术主要包括:隧道技术、IPSec 、密钥交换技术、防火墙技术、QoS、配置管理等

由于电子政务信息网络以IP 技术为核心,IP-VPN (基于IP 骨干的VPN )包括两种:CPE-BasedVPN( 基于用户驻地设备VPN )和Network-Based VPN (基于网络VPN )。电子政务信息网络中VPN 的功能由运营商网络的边缘设备实现,用户网络设备只需要最传统的网络互联功能无需特殊的VPN 支持功能,因而涉及的是Network-Based VPN Network-Based VPN 又分为:VLL(Virtual LeasedLine 虚拟专线),VPRN (Virtual Priv. Routed Net.虚拟专用路由网络),VPDN(Virt. Priv. Dial Net.虚拟专用拨号网络)和VPLS (Virt. Priv. LAN Seg.虚拟LAN 网段)。

VPRN :Virtual Private Routing Network 虚拟专用路由网络有如下特点:

1、为用户网络提供3 层(网络层)意义上的互联路由功能,目前最主要的是IP 互联功能。

2、随着IP 技术的广泛应用,将来用户网络的最主要形式都是基于IP ,的因此提供IP 互联功能的VPRN 是最有前途,最受重视的VPN。

3、不同VPN 用户的IP 地址空间是互相独立的。即它们的IP 地址可以互相重叠。用户网络的IP地址空间与运营商骨干网络的IP 地址空间也是互相独立的。

4、VPRN 一般来说都是Network-Based ,由运营商网络的PE 设备统一实现。

电子政务网络是基于IP 技术的,涉及纵向横向互连,地址要求可以重复分配,因此电子政务信息网络将采用VPRN ,VPRN 又分为BGP/MPLS VPN( MPLS 上的BGP 扩展VPN )和VR-VPN(Virtual Router based VPN 基于虚拟路由器VPN)下面简要说明一下两者区别:

BGP/MPLS VPN VR-VPN 主要区别是VPN 内部路由通过骨干网扩散的方式不同:

骨干网BGP 协议背负方式 -> Cisco MPLS/BGP 扩展VPN

Virtual Routing 方式;VPN 路由协议报文按通常的数据报文进行透传,VR之间跨越骨网进行路由交互 - VR-VPN

由于VR 模式标准尚处于框架定义阶段;VR 模式设备开销较大,另外VR 方案存在技术难点,主要体现于控制平面的复杂度和转发平面的效率问题,由于控制平面需要独立的转发表、路由表,甚至于独立的路由处理实体开销将远远大于原有的解决方式,对于系统的性能要求比较高;对于VR-VPN 业务的提供过程中的业务管理中的VR 本身拓扑扩散的方式还没有一个很完美的解决方案。而MPLS VPN 克服了上面技术体系的缺点,BGP 扩展模式有比较详细的定义,另外BGP 扩展模式设备开销较小,基于2.5 层的标签,完全解决地址冲突,安全;路由可自由扩散,易于管理扩展性强。

因此影速公司采用MPLS/BGP VPN解决方案实现政务网的纵横向联网需求。从而实现电子政务纵向隔离、共享上网和访问公务服务、共享共享资源区访问。

影速产品为用户提供了全面的VPN 解决方案。使用户能够在保证QOS 和安全的前提下,为用户提供了灵活有弹性的VPN 增值服务。影速产品提供了实现VPN 所需要的下列功能:

1、提供了基于IP/IP, Generic Routing Encapsulation (GRE) tunnels、Layer 2 Tunneling Protocol (L2TP)、 IPSec 的各种IP Tunnel 技术来实现VPN;

2、提供了基于Multiprotocol Label Switching(MPLS)的VPN 实现方式

3、以端到端的QOS 来实现对不同需求的VPN 业务提供分类服务,实现网络层加密和防火墙,保证数据安全。

电子政务 VPN网络解决方案

方案描述

依据现有系统的实际情况,本MPLS-VPN方案由P、PE、CE组成。

各个专业系统VPN(VPN1、VPN2、VPN3等)分别位于不同的平面上,不同平面内的站点一般不相同,即每个VPN有自己的独立空间。其结构为VPN内部感应到的结构,对P网的内部不可知。各站点之间逻辑上采用星状的连接方式。

各个平面相互独立,互相之间不可见。但所有的VPN平面都叠加到底层P网的平面上,各个VPN的接入边界分别与P网的边界部分重合或全部重合。

可以允许某些站点属于两个或两个以上的VPN,这时可认为某个站点出现在两个或两个以上的VPN平面上。

乡镇政府设备采用支持MCE功能的交换机,在CE端就可以隔离来自不同VPN的数据,特别是当几个系统的IP地址属于同一个网段时,普通CE需要为每个VPN单独分配一台才能解决,而MCE则在三层交换机上就可以实现该功能。

方案特点

影速公司MPLS VPN 解决方案可以为电子政务信息网提供一种基于网络、易于管理、扩充性好、安全且具有QoS 保障、可在任意节点间连接的VPN。具体有如下特点。

1、基于网络,易于管理:这种基于网络的VPN 可以完全由骨干网络来实现,集团用户可将VPN 的管理外包给运营商,即网络用户不用关心VPN 是如何构造的,而是由网络运行商在其网络内完成这种VPN 可以显著地减少运营商和用户的投资。

2、扩充性好:由于基于MPLS,实现因此很容易对网络节点进行扩充网络可剪裁性好。

3、高安全性:由于基于MPLS,实现报文在网络节点构成的MPLS 域中采用标签转发的形式进行交换LSP 因此具有同ATM/FR 虚电路相同的安全级别。

4、完整的服务质量保证:由于基于MPLS,实现可以利用MPLS 技术特有的CoS、RSVP流量工程等机制,从而能够为用户实现有QoS保证的VPN。

用MPLS 来实现VPN是趋势。VPN的划分在PE节点上实现考虑到在实际运营过程中,省政务信息网需要同时支持很多个VPN,为了简化IP 地址的规划分配维护,我们推荐利用MPLS 来实现VPN,基于MPLS的标签转发路径的VPN可以单独构成一个独立的地址空间,独自寻址即VPN 之间可以重用地址,在分配地址时不必考虑是否会与其他的VPN 发生冲突,只需要考虑在本VPN之内不冲突即可。当然在考虑VPN 与Internet 互连时还是得通过NAT 等方式以避免与Internet 地址冲突。


ShadowSU