电子政务外网AS域内PE―CE路由设计和实践.docVIP

电子政务外网AS域内PE―CE路由设计和实践 　　摘 要 　　为适应丰富的业务需要和安全要求，电子政务外网必须实现业务隔离，BGP/MPLS VPN技术很好地满足了外网的需求。本文对基于BGP/MPLS VPN技术的电子政务外网域内PE-CE路由进行设计，并结合示例给出方案的实施关键。 　　【关键词】电子政务外网 电子政务 MPLS VPN OSPF 路由 　　电子政务外网做为一个综合性基础支撑平台，所承载的业务既包括政务公共业务又包括政府部门系统纵向业务，同时该平台还是一张与互联网逻辑隔离的网络。丰富的业务需求和不同的安全要求带来隔离的需求。MPLS VPN可将不同的业务流量有效隔离，利用公共的骨干网传输不同VPN内的数据。利用MPLS VPN技术搭建的IP承载网，支持多种协议封装的报文，能够兼容原有网络设备并进行平滑升。基于MPLS 的VPN 应用需要对BGP 进行扩展，使BGP 能够传播VPN 的路由信息。BGP/MPLS IP VPN 是一种基于网络边缘设备PE（Provider Edge）的L3VPN 技术。它使用BGP 在服务提供商骨干网上发布VPN 路由，使用MPLS 在服务提供商骨干网上转发VPN 报文。 　　1 电子政务外网的整体结构 　　电子政务外网是一张分层的网络，从国家级网络到省级网络到市县级网络分成不同AS自治域，各级外网纵向互联互通，横向连接各级党委、人大、政府、政协、检察院、法院等政务部门。各级政务外网有逻辑隔离的独立的互联网出口，该出口既是整个省级城域网用户访问互联网的出口，也是省级政务部门面向社会公众服务的通道。 　　政务外网平台的承载业务主要分为“公共业务”、“专用VPN业务”和“互联网业务”三类。不同种业务之间采用MPLS VPN互相隔离。电子政务外网的分层结构和业务流向图如图1所示：系统纵向业务纵向隔离在系统内部，实现了部门专网的功能；公共业务是所有政务外网部门用户都可以路由到的IP业务；互联网业务只存在于本级电子政务平台中，为本级部门用户提供服务，且业务被隔离在VPN通道内。各级政务外网平台分属不同的AS域，形成类“王”字型结构。 　　2 自治域内全网总体路由设计 　　电子政务外网基于BGP/MPLS VPN技术，自治域内的设备被划分成三种角色：CE（Customer Edge）用户边缘设备，可以是路由器，也可以是交换机或主机；PE（Provider Edge）服务商边缘路由器，位于骨干网络；P（Provider）服务商核心路由器，只需要具备基本MPLS 转发能力，不维护VPN 信息。P和PE设备组成了骨干网，运行BGP协议，由于BGP协议本身并不发现路由，需要IGP协议的支撑，因此，在骨干网采用OSPF协议做为IGP协议。同一自治域内骨干网PE之间采用MP-IBGP进行路由发布。 　　根据实际网络结构和业务需求，CE使用静态路由或OSPF向PE发布标准的IPv4 路由，PE学到CE 的VPN 路由信息后，为这些标准IPv4 路由增加RD 和VPN Target 属性，形成VPN-IPv4 路由，存放到为CE创建的VPN 实例中。 　　3 域内PE-CE路由设计 　　CE向PE发布的路由类型可以有多种，其中静态路由具有配置方便，对系统要求低的优点，但缺点是不能自动适应网络拓扑的变化；而动态路由协议有自己的路由算法，能够自动适应网络拓扑的变化，缺点是配置要较复杂，OSPF协议是常用于自治系统AS的动态路由协议。 　　从电子政务外网的业务模型可以看出，自治域内骨干网连接有多个MPLS VPN的site（站点），接入政务外网的不同政务部门会形成不同的site，在政务外网的网管中心也会划分出不同的功能区，形成多个site。应针对不同site的特点进行路由设计，对于拓扑结构简单并且稳定的政务外网功能区和政务用户局域网，采用静态路由的方式向PE发布路由；对于拓扑结构相对复杂的功能区则采用OSPF协议向PE发布路由。 　　虽然电子政务外网平台基于BGP/MPLS VPN技术，但并不是所有业务都运行在VPN通道内，平台中同时存在普通IP业务和VPN业务，某些业务的特殊性要求PE-CE之间的路由设计不再单一，呈现多元性。一个典型的案例就是政务外网平台网管路由的实现。 　　电子政务外网要实现对本级平台全网设备的网管，就必须实现网管功能区到全网的路由互通。全网路由设计中，骨干网设备使用OSPF实现路由互通，同时某些site在内部也运行OSPF协议。骨干网路由与site内部的路由是互相隔离的，要实现对所有设备的管理，必须保证到不同OSPF域的路由可达。由于网管功能区本身也是一个site，因此网管路由设计的主要目的是实现网管功能区到骨干网区的路由可达，同时还要将网管功能区做为一个