基于MPLS VPN的业务网迁移实现方式探讨.pdf
《基于MPLS VPN的业务网迁移实现方式探讨.pdf》由会员分享,可在线阅读,更多相关《基于MPLS VPN的业务网迁移实现方式探讨.pdf(6页珍藏版)》请在咨信网上搜索。
1、基础设施与数据管理Infrastructure&Data Management基于MPLSVPN的业务网迁移实现方式探讨聊城市自然资源和规划局聂士展编者按:分析了某政府部门业务网网络迁移的实际需求,设计了基于MPLSVPN方式实现业务网向电子政务外网整合迁移的技术方案,并通过MPLSVPN网络配置实例进行模拟、验证,为部门非涉密业务专网向电子政务外网整合迁移提供了可操作性方案。为满足信息化发展对跨地区、跨部门业务应用、信息共享和业务协同的需求,国家建成了覆盖省、市、县、乡四级行政区的电子政务外网,基本实现了纵向到底、横向到边的网络承载能力。2 0 2 2 年6月,国务院发布关于加强数字政府建设
2、的指导意见,提出整合构建结构合理、智能集约的平台支撑体系,要求各省、各部门统筹建立安全高效的跨网数据传输机制,有序推进非涉密业务专网向电子政务外网整合迁移。作为一种成熟的组网技术,MPLSVPN具有高安全可靠性、高效率、低成本、可扩展性强等特点,为部门非涉密业务专网向电子政务外网整合迁移提供了思路,也是本文探讨的意义所在。网络迁移需求分析某政府部门业务网通过租用运营商专线建设,范围覆盖国家、省、市、县四级,是部门核心业务专网。该网络与互联网(电子政务外网)物理隔离,用于传输非涉密信息。2 0 19 年11月,该部门发布信息化建设总体方案,对业务网进行了明确规划:待国家电子政务内网或部门内网联通
3、之后,对应业务网逐渐取消,业务网上相关应用向内网或电子政务外网迁移。根据国家电子政务外网和该部门业务网网络规划,结合目前网络通信技术和网络资源现状,业务网迁移至政务外网主要有两种实现方式。一是整体并网迁移,即业务网使用国家统一分配的政务外网IP资源,整体迁移整合至政务外网。由于该部门业务网使用A类私网地址建设,且网络承载有国家、省、市、县各层级部门业务管理的重要平台系统,这种迁移方式不仅耗费大量的政务外网IP资源,而且需要各层级部门对网络、计算、存储、安全以及平台系统等软硬件设施进行整体调测,人财物各方面投入和工程量耗费巨大,甚至会影响业务工作的正常开展。二是MPLSVPN方式接入迁移。目前,
4、国家电子政务外网通过运营商MPLS网络承载,业务网可通过MPLSVPN的方式接入政务外网,各层级业务网现有IP配置、本地网络架构总体保持不变,业务平台系统也无需进行调整。按照国家级部门统一规划的MPLSVPN参数,各层级部门只需将业务网边界路由器CE与运营商政务外网PE设备互联,并配投稿信箱2023.963Infrastructure&DataManagement基础设施与数据管理/责任编辑章继刚联,本级业务网私网IP配置保持不变。由于省、市各层级部门需配合运营商完成本级CE-PE调试,国家电子政务外网(ISPMPLS)SPPEISPASBR省电子政务外网(ISPMPLS)ASRASBRISP
5、ASBR市电子政务外网(ISPMPLS)市电子政务外网(ISPMPLS)ISPPEISP/PE市局(CE)市局(CE)图1业务网MPLSVPN方式迁移接入政务外网拓扑图合运营商完成CE-PE调试,由运营商完成业务网在政务外网(城域网/广域网)MPLSVPN的搭建,进而实现业务网至政务外网的接入迁移。通过对上述两种网络迁移方式综合分析可知,采用MPLSVPN的方式实现业务网至电子政务外网的网络迁移,各层级部门只需提供CE设备,并配合运营商完成CE-PE调试,无需对本地网络架构、平台系统和软硬件设施等进行调整,可保证业务网至政务外网网络迁移的平滑过渡,将网络迁移对业务工作的影响降至最低,同时节省人
6、财物资源和维护成本,具有明显优势和可操作性。网络迁移方案设计基于MPLSVPN基本原理和某政府部门业务网网络迁移需求分析,笔者以省-市级业务网为例,设计采用MPLSVPN方式实现业务网迁移至政务外网的实施方案。如图1所示,省级与市级业务网原边界路由器用作CE设备,分别与本级政务外网ISPPE设备互级政务外网分属ISP不同的自治系统AS域,ISP部(CE)MPLS骨干网采用BGP/MPLSVPN方式跨AS域构建VPN隧道,实现省-市级业务网的联通,进而实现业务网至政务外网的网络接入迁移。这一过程中,TSPASBRYSPPE省厅(CE)市电子政务外网(TSPMPLS)ISPPE市局(CE)MPLS
7、公共网络的配置操作由运营商负责完成。1.MPLSVPN路由协议选择结合跨AS域MPLSVPN实现方式,省厅/市局CE通过边界网关协议BGP将本地业务网私网路由信息通告给运营商PE:P E 与ASBR之间采用扩展的BGP协议MP-BGP,在ISPMPLS公网上创建MP-BGP隧道传递VPN私网路由;本AS域内P设备和PE、A S BR 之间采用OSPF协议互联,传递公网路由。2.标签分发与交换过程MPLSVPN网络中,数据报文通过标签交换的方式进行转发,入端PE分析数据包IP头并打上标签,中间P设备使用标签交换,出端PE剥离标签,完成报文转发过程。在标签交换过程中,MPLSLDP协议为公网中的I
8、GP路由映射分发生成外层标签,建立标签交换路径(LSP);MP-BG P 协议生成内层标签,指导出端PE将VPN数据转发至正确的VRF中。P设备只处理外层标签的交换,不处理内层标签的交换。3.PE创建与区分VPN实例运营商PE从省厅/市局CE接收业务网IPv4私网路由,创建VPN实例与省厅/市局VPN业务绑定,每个VPN实例对应单独的VPN路由转发表(VRF),并为每个VPN路由分配唯一的路由区分RD值以及路由目标RT值,以解决不同VPN业务私网路由冲突,同时实现不同VPN业务路由的隔离。若 2023.9投稿信箱责任编辑章继刚Infrastructure&DataManagement基础设施与
9、数据管理送慧商loopbacko:AS1e02.2.2.2/32GEOOP1GEO/DO20.0/2.0/30200.30.0/30GE:OVO/1GEOOOloopbacke:1.1.1.1/3220.0|10.0/30100pbacko:3.3.3.3/32GEOOO市局565601172.16/0.8/30IGE00/1SW1GE0VO2GEOVO3Ethenetovo1Ethernetoov1PC1PC2172.16.18.2/24172.16.20.2/24GW:172.16.10.1GW:172.16.20.1图2 基于BGP/MPLSVPN的省-市业务网迁移模拟拓扑图要实现省厅与
10、市局VPN业务互通,RD值设置可以不同,但是入和出方向的RT值需跟对端VPN业务的RT值匹配,否则会影响双方私网路由间的通信。4.跨AS域VPN路由传递由于VPN业务的省厅、市局两端分属运营商MPLS网络不同的AS域,需要通过跨域(Inter-AS)的MPLSVPN,实现AS之间VPN私网路由信息的交互传递。在不同的AS域,ASBR分别与域内PE建立MP-iBGP对等体关系,ASBR之间建立MP-eBGP对等体关系。本端PE通过MP-iBGP将VPN路由通告给域内的ASBR,A S BR 再通过MP-eBGP将VPN路由通告给对端域的ASBR,再由对端域内的ASBR将VPN路由通告给已端域内的
11、PE,完成VPN路由的传递。5.PE与CEVPN路由传递运营商本端PE将VPN路由引入到MP-BGP,将其携带一个RT值并送至远端PE,远端PE设备接收到VPNv4地址族后,根据RT值来判断该VPN路由应送往哪个VPN实例。RT值分为Import(导loopbacke:5.5.5.5/32GEdiOr0P2GE:O/0/120.8-50.6/3020.0150.6/38GEOVO/OGEO/O/1GEO/O1loopbacko:PE1GEODTGEOMOMOASBR120.0.40.8/30ASBR2CE1GE001运营商AS208PE26.6.6.6/32GEOOO10opbacko:4.4
12、.4.4/3220.0170.0/30GEOOAORCE2AS65002GE:001172.17/0.0/30JGEO01SW2GE:OVO2GEOMV3Ethemetoon(Ethenetoror1PC3PC4172.17.30.2/24172.17.40.2/24GW:172.17.30.1GW:172.17.40.1AS域边界VPN路由交换方式的选择与参数配置。MPLSVPN方式网络迁移模拟实例下面利用网络仿真平台工具eNSP,模拟在不改变本地业务网私网配置的前提下,省厅和市局业务网通过跨运营商AS域构建BGP/MPLSVPN隧道,实现互联互通的过程,以验证网络迁移方案的可行性。如图2,
13、AS100、A S 2 0 0 为运营商MPLS骨干网络的不同AS域,ASBR1、A S BR 2 为运营商区域边界路由器,PE1、P E 2 为运营商PE设备。AS65001、A S 6 50 0 2分别为市局和省厅本地业务网区域,通过VPNv4路由穿越运营商网络实现互通,本地对应的出口边界设备CE1、C E 2 分别与运营商PE设备互联。SW1、S W2分别为市局和省厅本地业务网接入设备,设备划分VLAN以区分不同业务。在各AS域内网络设备在完成底层IP配置、域内全网互通的基础上,分析MPLSVPN的主要配置过程,并对模拟结果进行验证。1.配置过程(1)MPLS标签分发运营商MPLS骨干网
14、所有路由器运行MPLS协入)和Export(导出),Export的RT值在VPNv4路由发布时携带,接收端PE比较ExportRT值与自身所有VRF的ImportRT值,匹配则送往相应的VPN路由表,传递给对应的CE设备。通过以上跨运营商AS域构建BGP/MPLSVPN隧道的方式,可实现省-市级业务网经由政务外网完成互联互通。整个实现过程的关键点,一是MPLS公网业务与VPN私网业务以及不同VPN私网业务之间的逻辑隔离;二是MPLS公网不同投稿信箱2023.965Infrastructure&DataManagement基础设施与数据管理/责任编辑章继刚同,但省厅侧入/出方向的RT值须与市局侧
15、出P1dismplsldp sessionLDP Session(s)in PublicNetworkCodes:LAM(Label Advertisement Mode),SsnAge Unit(DDDD:HH:MM)Atxibefore a session means thePeerID1.1.1.1:03.3.3.3:0TorAL:2session(s)Found.PE1dis bgp vpny4 vpn-instance SHIJU peerBGPlocalrouterID:1.1.1.1LocalAsnumber:10oVPN-Instance SHIJU,RouterID 1.1.
16、l.1:Total numberofpeers:1PeerfRcV20.0.10.15议,通过标签分发协议(LDP)分发公网标签,即VPN报文的外层标签,为VPN报文转发建立标签交换路径(LSP)。在运营商AS100、A S 2 0 0 域内设备全局和互联物理接口下开启MPLS和LDP协议,ASBR设备之间互联接口只需开启MPLS协议。PE1的配置如下:PE1mpls Isr-id1.1.1.1/LSRID标识设备身份mplsl全局使能MPLS协议mplsldpIl全局使能LDP协议#interfaceGigabitEthernet0/0/1mpls1I物理接口下使能MPLS协议mplsldp
17、I/物理接口下使能LDP协议#其他路由器及其物理接口的配置与PE1类似。如图3所示,P1与PE1、A S BR 1成功建立标签会话。(2)P E 创建与绑定VPN实例运营商MPLS骨干网的两台PE设备上分别创建省厅/市局VPN实例,将VPN实例与PE-CE互联物理接口的PE端绑定,并为每个VPN实例设置RD值和RT值。两端VPN实例的RD值可以不session isbeing deleted.StatusL.AMSsnRoleSsnAgeOperationalDOActive0000:00:42operational DUPassive0000:00:42图3设备P1LDP会话表Peers i
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 基于MPLS VPN的业务网迁移实现方式探讨 基于 MPLS VPN 业务 迁移 实现 方式 探讨
1、咨信平台为文档C2C交易模式,即用户上传的文档直接被用户下载,收益归上传人(含作者)所有;本站仅是提供信息存储空间和展示预览,仅对用户上传内容的表现方式做保护处理,对上载内容不做任何修改或编辑。所展示的作品文档包括内容和图片全部来源于网络用户和作者上传投稿,我们不确定上传用户享有完全著作权,根据《信息网络传播权保护条例》,如果侵犯了您的版权、权益或隐私,请联系我们,核实后会尽快下架及时删除,并可随时和客服了解处理情况,尊重保护知识产权我们共同努力。
2、文档的总页数、文档格式和文档大小以系统显示为准(内容中显示的页数不一定正确),网站客服只以系统显示的页数、文件格式、文档大小作为仲裁依据,平台无法对文档的真实性、完整性、权威性、准确性、专业性及其观点立场做任何保证或承诺,下载前须认真查看,确认无误后再购买,务必慎重购买;若有违法违纪将进行移交司法处理,若涉侵权平台将进行基本处罚并下架。
3、本站所有内容均由用户上传,付费前请自行鉴别,如您付费,意味着您已接受本站规则且自行承担风险,本站不进行额外附加服务,虚拟产品一经售出概不退款(未进行购买下载可退充值款),文档一经付费(服务费)、不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。
4、如你看到网页展示的文档有www.zixin.com.cn水印,是因预览和防盗链等技术需要对页面进行转换压缩成图而已,我们并不对上传的文档进行任何编辑或修改,文档下载后都不会有水印标识(原文档上传前个别存留的除外),下载后原文更清晰;试题试卷类文档,如果标题没有明确说明有答案则都视为没有答案,请知晓;PPT和DOC文档可被视为“模板”,允许上传人保留章节、目录结构的情况下删减部份的内容;PDF文档不管是原文档转换或图片扫描而得,本站不作要求视为允许,下载前自行私信或留言给上传者【自信****多点】。
5、本文档所展示的图片、画像、字体、音乐的版权可能需版权方额外授权,请谨慎使用;网站提供的党政主题相关内容(国旗、国徽、党徽--等)目的在于配合国家政策宣传,仅限个人学习分享使用,禁止用于任何广告和商用目的。
6、文档遇到问题,请及时私信或留言给本站上传会员【自信****多点】,需本站解决可联系【 微信客服】、【 QQ客服】,若有其他问题请点击或扫码反馈【 服务填表】;文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“【 版权申诉】”(推荐),意见反馈和侵权处理邮箱:1219186828@qq.com;也可以拔打客服电话:4008-655-100;投诉/维权电话:4009-655-100。