基于MPLS VPN构建合肥市电子政务专网 免费.docVIP

基于MPLS VPN构建合肥市电子政务专网 1 MPLS的概念 MPLS（Multiprotocol Label Switching）即多协议标签交换是兼有基于第二层交换的分组转发技术和第三层路由选择技术的优点，利用绑定在IP包中的标签通过网络进行数据包转发的技术。IP包在进入第一个MPLS设备时，MPLS边缘路由器就用标签封装起来。MPLS边缘路由器分析IP包的内容并且为这些IP包选择合适的标签，尔后所有MPLS网络中节点都是依据这个简短标签来作为转发判决依据。在随后的转发过程中，数据包的网络层包头将不再被进一步的分析。 2 MPLS VPN的构件及原理 MPLS VPN 包括以下组件：骨干路由器（P）、边缘路由器（PE）、用户边缘路由器（CE）以及站点（Site）。P是核心路由器，作为标签交换路由器（LSR），它根据分组的外层标签对VPN数据进行透明转发，P路由器只维护到PE路由器的路由信息而不维护VPN相关的路由信息。PE作为标签边缘路由器（LER），它们为VPN成员保持着VPN路由，与CE以及连到P的接口对等交换路由。P与PE路由器之间将使用IP路由协议，建立MPLS核心网络中的路径，并且使用标签控制协议（如LDP）实现路由器之间的标记分发。CE使用传统的路由选择方法实现网络连接。CE与PE、PE与PE之间使用BGP协议作为标签控制协议，这其中CE与PE之间属于BGP自治区域之间的会话，即EBGP，PE与PE之间属于BGP自治区域内的会话，即IBGP。Site是用户的一个连通的IP 系统，每一个site通过CE与PE相连，site 是构成VPN的基本单元。一个VPN是由多个site组成的，一个site 也可以同时属于不同的VPN。 每个PE都直接和属于相应VPN的Site相连，这些VPN都直接映射到每个PE的各自的虚拟路由中。通过使用BGP协议PE路由器之间自动的交换特定VPN的MPLS标记，并且自动的在内部VPN站点之间建立MPLS隧道，这些MPLS隧道能够传输一个或多个特定VPN，每个VPN标签交换通道都直接与隧道两端点的站点连接。目前基于MPLS的VPN方案中，以RFC2547中规定的MPLS VPN得到了大多数厂家的支持，如Cisco，Juniper等。 现在看看如何转发用户数据的。 （1）CE1接收到发往172.21.1.1的IP数据包，查询路由表，把该IP数据包发送到PE1。 （2）PE1从S1口上收到IP数据包后，根据S1所在的VRF，查询对应的CEF表，数据包打上标签6，注意该标签就是通过MP-BGP协议传来的。PE1继续查询全局CEF表，获知要把数据发往172.21.1.1，必须先发送到PE2，而要发送到PE2，则必须打上由P1告知的标签3。所以该IP包被打上了两个标签。 （3）P1接收到标签包后，分析顶层的标签，把顶层标签换成4，继续发送的P2。 （4）P2和P1一样做同样的操作，由于次末中继弹出机制，P2去掉标签4，直接把只带有一个标签的标签包发送到PE2。 （5）PE2收到标签包后，分析标签头，由于该标签6是它本地产生的，而且是本地唯一的，所以PE2很容易查出带有标签8的标签包应该去掉标签，恢复IP包原貌，从S1端口发出。 （6）CE2获得IP数据包后，进行路由查找，把数据发送到172.21.1.0/24网段上。 3 基于MPLS VPN构建合肥市电子政务专网 合肥市电子政务专网需要为全市近200个单位（包括党群口）建立市、区县二级横向网络，同时为省、市、区县三级党政部门建立纵向网络，满足各部门间资源共享的需要，其逻辑结构是一个复杂的立体架构。 3．1 主干设计 合肥电子政务网络从整体结构上可以分为核心层、汇聚层和接入层等三个层次，其中核心层和汇聚层是网络中心主体，也就是政务网的骨干部分，骨干网是指市、区县各职能部门上连设备以上部分，市级骨干网作为全市数据交换平台，由运营商进行管理，是三网合一的骨干网络承载部分，包括核心层和汇聚层。骨干网主要使用千兆以太网技术、MPLS VPN技术，组建高速的宽带IP网。 合肥市电子政务骨干网的市级核心层由4台核心路由交换设备组成环网构成，分别放置于政务文化新区、宿州路电信分局、大钟楼电信分局和五里墩电信机房，是MPLS的PE（P）设备，节点间组成双环网可以提供路由保护及提高可靠性。 电子政务专网基础网络拓扑图 在合肥电子政务专网骨干网中，核心层的4台路由器作为MPLS VPN的PE设备，同时起P的作用，核心层节点处于网络的核心位置，核心层功能主要是完成全网业务的高速交换和路由转发，对网络的可靠性、业务的支持能力和数据的转发性能都有较高的要求，从设备的处理能力考