论文部分内容阅读
气象部门是一个IT依赖性比较强的部门,对于资料传输的时效性要求很高,为了保障资料能够在要求的时间内完成传输,并且保证信息在传输过程中的机密性、完整性和可用性。MPLS VPN技术是最佳的解决方案。它不仅会大大节省广域网的建设和运行维护费用,而且拥有成本低、便于管理,开销少、灵活度高,保密性好,性价比高等优点。
1.1 MPLS的简介
MPLS(Multiprotocol Label Switch)即多协议标记交换。最初是用来提高路由器的转发速度而提出的一个协议,但是由于MPLS在流量工程和VPN这一在目前IP网络中非常关键的技术中的表现,MPLS已日益成为扩大IP网络规模的重要标准。
MPLS协议的关键是引入了标签(Label)的概念。它是一种短的易于处理的、不包含拓扑信息、只具有局部意义的信息内容。Label是为了易于处理,通常可以用索引直接引用。只具有局部意义是为了便于分配。在MPLS网络中,IP包在进入第一个MPLS设备时,MPLS边缘路由器就用标签封装起来。 MPLS边缘路由器分析IP包的内容并且为这些IP包选择合适的标签,相对于传统的IP路由分析,MPLS不仅分析IP包头中的目的地址信息。它还分析IP包头中的其他信息,如TOS等。然后所有MPLS网络中节点都是依据这个简短标签来作为转发判决依据。当该IP包最终离开MPLS网络时,标签被边缘路由器分离。
1.2 VPN的简介
VPN是Virtual Private Network的缩写,中文译为虚拟专用网。Virtual Network的含义有两个,一是VPN是建立在现有物理网络之上,与物理网络具体的网络结构无关,用户一般无需关心物理网络和设备;二是VPN用户使用VPN时,看到的是一个可预先设定义的动态的网络。Private Network的含义也有两个,一是表明VPN建立在所有用户能到达的公共网络上,特别是Internet,当在一个由专线组成的专网内构建VPN时,相对VPN这也是一个“公网”;二是VPN将建立专用网络或者称为私有网络,确保提供安全的网络连接,它必须具备几个关键功能:认证、访问控制、加密和数据完整。一个网络连接一般由三个部分组成:客户机、传输介质和服务器。VPN也一样,不同的是VPN连接使用隧道作为传输通道,靠的是对数据包的封装和加密。VPN是一种快速建立广域连接的互联和访问工具,也是一种强化网络安全和管理的工具。VPN建立在用户的物理网络之上、融入在用户的网络应用系统之中。VPN技术涵盖了多个技术专业,不同应用领域所适用的技术和产品有很大差异。VPN技术是广域网建设的最佳解决方案,它不仅会大大节省广域网的建设和运行维护费用,而且拥有成本低、便于管理,开销少、灵活度高,保密性好等优点。
1.3基于MPLS的VPN技术
MPLS VPN是指基于MPLS技术构建的虚拟专用网,即采用MPLS技术,在公共IP网络上构建公用IP专网,实现数据、语音、图像等多业务宽带连接。并结合差别服务、流量工程等相关技术,为用户提供高质量的服务。MPLS VPN能够在提供原有VPN网络所有功能的同时,提供强有力的Qos能力,具有可靠性高、安全性高、扩展能力强、控制策略灵活以及管理能力强大等特点。
MPLS是一种特殊的转发机制,它为进入网络中的IP数据包分配标记,并通过对标记的交换来实现IP数据包的转发。标记作为IP包头在网络中的替代品而存在,在网络内部MPLS在数据包所经过的路径通过交换标记来实现转发;当数据包要退出MPLS网络时,数据包被解开封装,继续按照IP包的路由方式到达目的地。
MPLS的一个重要应用是VPN。根据PE(Provider Edge)设备是否参与VPN路由又细分为二层VPN和三层VPN。 从整体来说,MPLS VPN还处在发展和成型阶段。 其中三层MPLS BGP VPN相对来说比较成熟,三层MPLS BGP VPN实现全国气象通信也是通过BGP的路由协议。各个省局包括直辖市与国家局都有彼此间直接路由访问能力。
2.1 全国气象MPLS VPN网络拓扑
MPLS VPN网络主干为网状结构,所有节点拥有彼此间直接路由访问能力,并在中国气象局业务传输政策允许的范围内实现节点间的互联互通。从而实现了各个省级节点相互之间的通信。各个节点之间采用BGP路由协议实现全网主干的路由连接,提供省级节点和国家级节点之间,或者省级节点和省级节点之间的业务访问能力。在各级节点与本地局域网互联部分,则采用静态路由方式,实现各地业务系统与MPLS VPN网络系统的连接。目前国家级中心网络接入带宽为10Mbps,各省级节点为2Mbps。MPLS VPN通过与本地局域网络互联,实现气象业务系统的网络传输通道,其中国家级中心通过防火墙设备与中国气象局骨干网络连接,各省级节点MPLS VPN接入路由器直接与省内局域网络相连。各级节点BGP路由中仅发布与网络主干互联及本地与业务传输相关的路由信息,为保证动态路由信息发布的正确性,避免由于发布错误路由造成网络传输故障,MPLS VPN网络系统建设中将逐步实施BGP路由信息控制策略。相应的,根据中国气象局规定的省级节点间业务访问政策,允许直接实现网络通信的省级节点间的路由也将通过BGP路由信息控制策略实现。
各个省局与国家局通信是依赖于MPLS VPN技术,数据的传输方式是通过隧道,让数据包通过这条隧道传输。隧道是由隧道协议形成的,分为第二、三层隧道协议。第二层隧道协议是先把各种网络协议封装到PPP中,再把整个数据包装入隧道协议中。这种双层封装方法形成的数据包靠第二层协议进行传输。第二层隧道协议有L2F、PPTP、L2TP等。L2TP协议是目前IETF的标准,由IETF融合PPTP与L2F而形成。第三层隧道协议是把各种网络协议直接装入隧道协议中,形成的数据包依靠第三层协议进行传输。第三层隧道协议有VTP、IPSec等。IPSec(IP Security)是由一组RFC文档组成,定义了一个系统来提供安全协议选择、安全算法,确定服务所使用密钥等服务,从而在IP层提供安全保障。
2.2 国家气象局中心 MPLS VPN网络连接
国家级中心MPLS VPN接入路由器通过防火墙系统与中国气象局骨干网络实现互联。连接在中国气象局骨干网络的各类国家级服务器,通过在防火墙上对其进行地址翻译及开放相应的服务端口授权,通过BGP路由协议实现与省级各个节点之间的网络访问。
3.1 沈阳区域气象中心本地MPLS VPN网络连接
各省级节点通过Cisco 2821网络设备直接与本地局域网建立连接。各省级节点与本地局域网互联时,使用9210通信主机所在的业务网段地址,Cisco 2821与本地局域网互联接口统一为GigabitEthernet 0/1,接口IP地址统一为该节点9210通信网段地址,GigabitEthernet 0/1的IP地址为172.19.1.226,掩码为255.255.255.0。与电信设备的互联的接口GigabitEthernet0/0的IP地址使用一个掩码为/30的地址段,IP地址为10.86.0.66。对端电信设备与其连接的IP地址为10.86.0.65。
Loopback是一个虚拟的网络接口,它的地址被用作BGP网络协议的Router ID,它的IP地址为192.168.200.22,它被作为网络设备的唯一标识,便于管理。
3.2 沈阳区域气象中心本地BGP路由配置
沈阳区域气象中心采用的是动态BGP的路由方式,与其他各个节点成为邻居关系,配置命令:network 10.86.0.66 mask 255.255.255.255,在网络中将与电信互联的接口IP地址宣告加入BGP路由。network 172.19.1.0mask 255.255.255.0,将本地局域网的网段加入BGP路由。neighbor 10.86.0.65 remote-as 4809,指定电信设备作为BGP邻居。这样我们本地的计算机就可以通过BGP的动态路由访问到其他各个省局了。
小结
全国气象宽带网络MPLS VPN系统的开通,将大大改善目前通信网络传输中传输速度慢等制约业务发展的状况,为适应业务技术体制改革的需求,加速国家区域和省市间网络共享平台建设,为今年北京奥运会做好气象服务,提供更为强有力的信息技术支持和保障。
参考文献
[1]VPN技术原理及相关基础知识介绍.
[2] IPSec远程访问VPN的安全策略研究.
[3] VPN虚拟专网:技术与解决方案.
1.1 MPLS的简介
MPLS(Multiprotocol Label Switch)即多协议标记交换。最初是用来提高路由器的转发速度而提出的一个协议,但是由于MPLS在流量工程和VPN这一在目前IP网络中非常关键的技术中的表现,MPLS已日益成为扩大IP网络规模的重要标准。
MPLS协议的关键是引入了标签(Label)的概念。它是一种短的易于处理的、不包含拓扑信息、只具有局部意义的信息内容。Label是为了易于处理,通常可以用索引直接引用。只具有局部意义是为了便于分配。在MPLS网络中,IP包在进入第一个MPLS设备时,MPLS边缘路由器就用标签封装起来。 MPLS边缘路由器分析IP包的内容并且为这些IP包选择合适的标签,相对于传统的IP路由分析,MPLS不仅分析IP包头中的目的地址信息。它还分析IP包头中的其他信息,如TOS等。然后所有MPLS网络中节点都是依据这个简短标签来作为转发判决依据。当该IP包最终离开MPLS网络时,标签被边缘路由器分离。
1.2 VPN的简介
VPN是Virtual Private Network的缩写,中文译为虚拟专用网。Virtual Network的含义有两个,一是VPN是建立在现有物理网络之上,与物理网络具体的网络结构无关,用户一般无需关心物理网络和设备;二是VPN用户使用VPN时,看到的是一个可预先设定义的动态的网络。Private Network的含义也有两个,一是表明VPN建立在所有用户能到达的公共网络上,特别是Internet,当在一个由专线组成的专网内构建VPN时,相对VPN这也是一个“公网”;二是VPN将建立专用网络或者称为私有网络,确保提供安全的网络连接,它必须具备几个关键功能:认证、访问控制、加密和数据完整。一个网络连接一般由三个部分组成:客户机、传输介质和服务器。VPN也一样,不同的是VPN连接使用隧道作为传输通道,靠的是对数据包的封装和加密。VPN是一种快速建立广域连接的互联和访问工具,也是一种强化网络安全和管理的工具。VPN建立在用户的物理网络之上、融入在用户的网络应用系统之中。VPN技术涵盖了多个技术专业,不同应用领域所适用的技术和产品有很大差异。VPN技术是广域网建设的最佳解决方案,它不仅会大大节省广域网的建设和运行维护费用,而且拥有成本低、便于管理,开销少、灵活度高,保密性好等优点。
1.3基于MPLS的VPN技术
MPLS VPN是指基于MPLS技术构建的虚拟专用网,即采用MPLS技术,在公共IP网络上构建公用IP专网,实现数据、语音、图像等多业务宽带连接。并结合差别服务、流量工程等相关技术,为用户提供高质量的服务。MPLS VPN能够在提供原有VPN网络所有功能的同时,提供强有力的Qos能力,具有可靠性高、安全性高、扩展能力强、控制策略灵活以及管理能力强大等特点。
MPLS是一种特殊的转发机制,它为进入网络中的IP数据包分配标记,并通过对标记的交换来实现IP数据包的转发。标记作为IP包头在网络中的替代品而存在,在网络内部MPLS在数据包所经过的路径通过交换标记来实现转发;当数据包要退出MPLS网络时,数据包被解开封装,继续按照IP包的路由方式到达目的地。
MPLS的一个重要应用是VPN。根据PE(Provider Edge)设备是否参与VPN路由又细分为二层VPN和三层VPN。 从整体来说,MPLS VPN还处在发展和成型阶段。 其中三层MPLS BGP VPN相对来说比较成熟,三层MPLS BGP VPN实现全国气象通信也是通过BGP的路由协议。各个省局包括直辖市与国家局都有彼此间直接路由访问能力。
2.1 全国气象MPLS VPN网络拓扑
MPLS VPN网络主干为网状结构,所有节点拥有彼此间直接路由访问能力,并在中国气象局业务传输政策允许的范围内实现节点间的互联互通。从而实现了各个省级节点相互之间的通信。各个节点之间采用BGP路由协议实现全网主干的路由连接,提供省级节点和国家级节点之间,或者省级节点和省级节点之间的业务访问能力。在各级节点与本地局域网互联部分,则采用静态路由方式,实现各地业务系统与MPLS VPN网络系统的连接。目前国家级中心网络接入带宽为10Mbps,各省级节点为2Mbps。MPLS VPN通过与本地局域网络互联,实现气象业务系统的网络传输通道,其中国家级中心通过防火墙设备与中国气象局骨干网络连接,各省级节点MPLS VPN接入路由器直接与省内局域网络相连。各级节点BGP路由中仅发布与网络主干互联及本地与业务传输相关的路由信息,为保证动态路由信息发布的正确性,避免由于发布错误路由造成网络传输故障,MPLS VPN网络系统建设中将逐步实施BGP路由信息控制策略。相应的,根据中国气象局规定的省级节点间业务访问政策,允许直接实现网络通信的省级节点间的路由也将通过BGP路由信息控制策略实现。
各个省局与国家局通信是依赖于MPLS VPN技术,数据的传输方式是通过隧道,让数据包通过这条隧道传输。隧道是由隧道协议形成的,分为第二、三层隧道协议。第二层隧道协议是先把各种网络协议封装到PPP中,再把整个数据包装入隧道协议中。这种双层封装方法形成的数据包靠第二层协议进行传输。第二层隧道协议有L2F、PPTP、L2TP等。L2TP协议是目前IETF的标准,由IETF融合PPTP与L2F而形成。第三层隧道协议是把各种网络协议直接装入隧道协议中,形成的数据包依靠第三层协议进行传输。第三层隧道协议有VTP、IPSec等。IPSec(IP Security)是由一组RFC文档组成,定义了一个系统来提供安全协议选择、安全算法,确定服务所使用密钥等服务,从而在IP层提供安全保障。
2.2 国家气象局中心 MPLS VPN网络连接
国家级中心MPLS VPN接入路由器通过防火墙系统与中国气象局骨干网络实现互联。连接在中国气象局骨干网络的各类国家级服务器,通过在防火墙上对其进行地址翻译及开放相应的服务端口授权,通过BGP路由协议实现与省级各个节点之间的网络访问。
3.1 沈阳区域气象中心本地MPLS VPN网络连接
各省级节点通过Cisco 2821网络设备直接与本地局域网建立连接。各省级节点与本地局域网互联时,使用9210通信主机所在的业务网段地址,Cisco 2821与本地局域网互联接口统一为GigabitEthernet 0/1,接口IP地址统一为该节点9210通信网段地址,GigabitEthernet 0/1的IP地址为172.19.1.226,掩码为255.255.255.0。与电信设备的互联的接口GigabitEthernet0/0的IP地址使用一个掩码为/30的地址段,IP地址为10.86.0.66。对端电信设备与其连接的IP地址为10.86.0.65。
Loopback是一个虚拟的网络接口,它的地址被用作BGP网络协议的Router ID,它的IP地址为192.168.200.22,它被作为网络设备的唯一标识,便于管理。
3.2 沈阳区域气象中心本地BGP路由配置
沈阳区域气象中心采用的是动态BGP的路由方式,与其他各个节点成为邻居关系,配置命令:network 10.86.0.66 mask 255.255.255.255,在网络中将与电信互联的接口IP地址宣告加入BGP路由。network 172.19.1.0mask 255.255.255.0,将本地局域网的网段加入BGP路由。neighbor 10.86.0.65 remote-as 4809,指定电信设备作为BGP邻居。这样我们本地的计算机就可以通过BGP的动态路由访问到其他各个省局了。
小结
全国气象宽带网络MPLS VPN系统的开通,将大大改善目前通信网络传输中传输速度慢等制约业务发展的状况,为适应业务技术体制改革的需求,加速国家区域和省市间网络共享平台建设,为今年北京奥运会做好气象服务,提供更为强有力的信息技术支持和保障。
参考文献
[1]VPN技术原理及相关基础知识介绍.
[2] IPSec远程访问VPN的安全策略研究.
[3] VPN虚拟专网:技术与解决方案.