电子政务业务隔离.pptVIP

电子政务业务隔离 基于VLAN的业务隔离 VLAN是在以太网的二层建立数据帧标签（Frame Tag），使不同的标签数据帧通信被隔离。只有通过第三层交换，不同标签数据帧才可通信。在实际中，考虑到MAC地址易篡改和IP易盗用，电子政府分支部门（如县级工商局不同业务科室）多采用基于端口的VLAN。 基于VPN的业务隔离 VPN技术 要能够使得政务网内一个局域网的数据透明的穿过公用网到达另一个局域网，VPN采用了一种称之为隧道的技术。 VPN技术 根据ISO模型，VPN的主要协议如表所示。 VPN类型 （1）Access VPN（远程访问虚拟专网） （2）Intranet VPN（内部虚拟专网） （3）Extranet VPN（扩展内部虚拟专网） 基于HoPE的MPLS VPN结构 * * 基于隧道的VPN网络 表 VPN 的主要协议标准 PPTP/L2F/L2TP IPSec 包过滤 网络层 数据链路层 物理层 SOCKSv5/SSL 会话层代理 会话层 传输层 ? 应用代理 应用层 表示层 安全协议 安全技术 OSI模型 该类型与传统的远程访问网络相对应。在Access VPN方式下，远端用户不需要通过长途电话拨号到政府远程接入端口，而是拨号接入到用户本地的ISP，利用VPN系统在公众网上建立一个从客户端到网关的安全传输通道。 该类型与政府内部的Intranet相对应。在Intranet VPN 方式下，政府两个异地机构的局域网互连不租用专线，而是政府分支机构网络利用VPN特性可以在ChinaNET上组建省、市和县范围内的Intranet VPN。 该类型与政府网和相关企业网、教育网所构成的Extranet相对应。该类型与Intranet VPN没有本质的区别，但由于是不同集团用户的网络相互通信，所以要更多的考虑设备的互连，地址的协调，安全策略的协商等问题。 基于VPN的业务隔离 例如，市工商局下属有2个工商所，工商所与局机关分别相距6.2Km~9.6Km。工商局和下属2个所均建立了办公局域网，通过支持VPN接口的防火墙连接电子政务城域网。工商所分支网络与工商局网络分别建立安全隧道后，工商所分支网络可以与工商局网络安全通信，工商所分支网络之间也可以安全通信。这样大大的减少了隧道的配置条数。 多协议标签交换技术（MPLS，Multi Protocol Label Switching）是在Cisco公司所提出来的Tag Switching技术基础上发展起来的，属于第三层交换技术。 基于MPLS的业务隔离 边缘路由器 交换路由器 交换路径 交换路径 MPLS的工作流程 LSR可以看作是ATM交换机与传统路由器的结合，由控制单元和交换单元组成。LER的作用是分析IP包头，决定相应的传送级别和标签交换路径（LSP）。 网络边缘行为。当IP数据包到达一个LER时，MPLS第一次应用标记 网络核心行为。当一个带有标记的包到达LSR的时候，LSR提取入局标记，同时以它作为索引在标记信息库中查找。 建立标记交换路径。第一种，逐跳寻径（Hop by Hop）路由，第二种，显式路由。 ER-LSP从源端到目的端建立一条直接的端到端的路径。MPLS将显式路由嵌入到限制路由的标记分配协议的信息中，从而建立这条路径。 MPLS VPN框架结构中包括P（P routers）、PE（Provider Edge）、CE（Custom Edge）等设备。 P代表骨干网中不与CE直接相连的路由器，不感知VPN。 PE代表骨干网中的边缘路由器，它直接与用户的CE相连，实施VPN主要功能。 CE代表用户网络中直接与骨干网相连的边缘设备（路由器或防火墙），不感知VPN，只需支持标准的IP功能即可。 三种设备中，真正参与VPN业务部署的只有PE设备，也就是说MPLS VPN业务的智能化和业务压力都集中在PE设备上。 基于MPLS VPN的纵向业务隔离 华为公司在2002年提出的分层PE技术（HoPE，Hierarchy of PE）很好地修补了三层MPLS VPN技术的先天不足，在网络建构成本许可的前提下，享受MPLS VPN的好处。 用户端PE 服务提供端PE 在这种架构中，UPE功能和传统的PE一样，但性能要求要低得多，而SPE要在传统PE的基础上增加功能 . *