巢湖邮政GPRSVPN网络安全.docVIP

MPLS VPN解决方案是中国移动通信基于自身强大的网络，利用自己的接入网和传输网络资源，采用固线方式、internet方式为巢湖邮政及各分支机构、移动客户端之间提供安全的网络接入，从而实现巢湖邮政多业务安全隔离、移动办公安全接入的解决方案。方式包括MPLS VPN解决方案、IPsec VPN解决方案等。 1 方案示意图 巢湖邮政 2 方案分析 2.1 方案概述 MPLS VPN网存在于业务模型的底层平面，用于巢湖邮政 多业务系统通过一个网络平台，基于MPLS VPN传输，同时提供了各业务的隔离及安全传输，与一个业务系统一套网络的建设方式相比，将极大的节约巢湖邮政 多业务隔离 各个专业系统VPN分别位于不同的平面上，不同平面内的站点一般不相同，即每个VPN有自己的独立空间，业务之间安全隔离，其结构为VPN内部感应到的结构。各站点之间逻辑上可能是任意到任意的连接，或是星状的连接方式。 我们在数据中心、分支机构安装支持MPLS/VPN的路由器，设为PE路由器，形成MPLSVPN骨干网边界。核心P路由器可根据网络的扩展增加或直接PE路由器直连。业务点可采用支持MULTI-VRF的路由器，使之从网络最底层支持业务逻辑隔离和安全传输。 良好的系统扩展性 该网络规划了业务一、业务二级外联业务三个VPN平面，在业务系统需要增加或扩展时，只需在MPLS VPN增加新的VPN平面，不需要对现有业务系统做改动，业务不会对已有业务系统造成影响。 灵活的QOS功能 多业务集中于一套网络系统上，可根据业务需求及业务重要性灵活设置各业务带宽。保证关键业务的传输，为大流量的业务传输提供更大的业务带宽。 IP地址复用 各个专业系统VPN分别位于不同的平面上，业务报文在MPLS VPN网络上的传输依据MPLS交换标签识别，替代传统的依靠IP地址的传输方式，因此在不同的VPN系统内部，可以采用相同的IP地址分配措施，实现IP地址的复用，解决了新增系统后需要对全网进行IP重新规划的弊病，满足业务不断扩展的需求。 2.2 基于骨干网的VPN方式 VPN（Virtual private Network，虚拟专用局域网），在这里指在骨干网络平台上，为不同的业务系统建立各自专有的数据通道传输各系统私有的网络数据。非常适用于巢湖邮政巢湖邮政 所有业务系统网络通过一套网络系统来实现，极大的节约建设投资； 安全特性和单独的物理网络相当，在使用的灵活性上是单独的物理网络无法比拟的； VPN之间可以完全安全隔离，在某一个VPN的业务系统遭到恶意攻击或病毒侵袭时，不会影响其他业务系统的正常工作； 一套骨干网络的负载均衡功能和备份功能可以满足所有业务系统的备份功能和可靠性连接； 在新业务系统添加时，只需要在骨干网络上增加新的VPN隧道，而不需要建设新的物理网络，避免重复投资。 骨干网络上的主要设备可以进行本地/远程的统一管理，只需进行简单的培训就可以完成网络的管理维护工作。极大的节约了维护和管理成本，单个网络系统的维护对技术人员的数量和专业网络技术的要求比多个单独物理网络的要求低，节约了网络管理维护的人员和精力投入。 2.3 基于MPLS-VPN的多业务集成和安全隔离 VPN (Virutal Private Network) 虚拟专用网可认为是：VPN使用与专网相同的策略，在共享的基础设施上实现整个业务的互连。基于VPN运行的专业系统可以象在他们自己的专用网中一样，享受同样的安全性、优先级别、可靠性和可管理性。 这样，巢湖邮政巢湖邮政 MPLS L3 VPN实现了安全的高质量的VPN解决方案，尤其适合于在IP环境下使用，使用MPLS技术建立的VPN能提供完全的可扩展性和高度的灵活性。MPLS利用标记，而不是IP的目标地址传递数据包，类似于邮政编码，其传输效率很高。 3 MPLS VPN的部署 三层MPLS VPN又称BGP/MPLS VPN，主要是利用BGP技术传递VPN标签，通过路由的隔离实现VPN。 3.1 网络结构 BGP/MPLS VPN中，主要包含PE（Provider Edge Device边缘设备）、P（Provider Device 设备）和CE（Customer Edge Device 用户边缘设备）三类设备。 MPLS VPN通过多协议扩展BGP来承载带标签的VPNv4路由信息，每个VRF配置相应策略来规定一个VPN可以接收和发布哪些站点来的或离开的路由信息，PE设备直接通过MBGP发布VPNv4路由信息，生成并维护VPN路由表。 典型的BGP/MPLS VPN的网络拓扑组网如下所示： 如上图所示，黄色区域代表企业A的各分支，绿色区域代表企业B的各分支，内部具有P和PE设备，P设备均负责根据标签对报文进行快速交换；而PE设备除了标签以为，还要负责VPN信