基于MPLSVPN技術的政務內網設計

余志勇

【摘 要】政務內網設計應用、整合多項數字城市技術；創新信息實時采集傳輸的手段。本文重點介紹了南通市某區政府基于mpls vpn技術的電子政務外網的設計方案。

【關鍵詞】MPLS VPN；政務外網；安全隔離；PE

1 政務內網使用需求

政務內網的設計根據政府部門的網絡架構，采用基于MPLS+移動網相結合的技術，通過安全通道技術隔離電子政務內外網，使得使用者可以在移動環境下輕松訪問政務內外網，實現PC+移動終端的接入方式的無縫對接，輕松實現移動辦公。

2 系統總體架構

電子政務內網的總體架構是將政務內網應用系統通過運營商GGSN設備與運營商網絡進行連接，移動辦公網絡通過運營商無線網絡進行承載，系統終端設備由運營商根據需求統一進行配置，辦公人員通過手機或IPAD配合定制的上網卡，經過一定的認證、鑒權機制、獲取單位內部網絡IP地址后，接入本單位辦公網絡進行日常備公文的處理。具體網絡架構，如圖1所示。

2.1 數據傳輸系統

數據傳輸系統模塊包括有線和無線兩部分，有線部分通過光纖進行數據傳輸，無線數據傳輸是為辦公人員現場辦公、信息采集而設計。辦公人員通過上網卡撥號后聯通GGSN設備將認證請求和認證信息（手機號碼）送至政務內網提供的指定的認證服務器，由認證服務器來完成認證，認證成功后分發IP地址給客戶端使用。

上網說明：

上網卡用戶通過認證后獲取到IP地址通過聯通IDC機房的路由器做NAT轉發連接互聯網。

2.2 視頻傳輸系統

在電子政務內網平臺，通過以GPRS/WCDMA無線通信網絡為承載，通過車輛GPS和語音設備，實現監控中心對所有車輛的調度管理的智能調度系統。車載視頻監控設備通過WCDMA高速無線網絡，與指揮中心建立專用安全的VPDN連接，實現音視頻信號實時、安全的傳輸。指揮中心根據現場傳回的信息，實現遠程指揮部署。不僅提升了政府管理門的應急指揮能力，更獲得了良好的社會效益。以GPRS/WCDMA無線通信網絡為承載，能通過車輛GPS和語音設備，實現監控中心對所有車輛的調度管理的智能調度系統。

本次網絡設計暫不考慮單獨Internet互聯，所有訪問外網的業務都經過政府電子政務外網出口實現。

本方案采用VPDN專網接入方式。采用本組網方式，各部委辦局可以分別在各自單位組建客戶專用網絡，專用網絡之間可以通過VPDN專線連接。政府單位可以自主給內部設備（交換機、監控設備、定位和WCDMA無線路由器）來分配IP地址。采用本組網方式，各部委辦局專網之間通過防火墻互相隔離，內部網絡和互聯網互相隔離，具備良好的數據安全性，硬件方式的隔離使得電子政務網用戶不會受到來自外部網絡的的攻擊和病毒的入侵，光纖傳輸使網速和帶寬能得到最大限度的保障。

1）無線介入路由器：對于有線無法到達的區域可采用運營商的無線網絡連接無線介入路由器，通過路由器連接監控區域的視頻設備。為了保證無線傳輸的效果，建議采用WCDMS無線路由器設備。

2）政府部門的專業設備（車輛GPS定位設備，數據采集設備）等政府部門專業車輛設備定位、工控設備等公交專用行業設備：公交業務通過WCDMA無線路由器將數據傳輸到數據系統的信號收集設備和網絡的核心層。

3）認證服務器：負責對用戶的用戶名、權限進行認證授權，認證服務器通過對該用戶的用戶名密碼和登錄的網絡域名進行核對驗證。只有驗證通過的用戶才可接入政府內網。

4）GGSN：網絡中繼節點， GGSN通過認證服務器判斷用戶是通過WCDMA/GPRS接入網絡接入到政府內網的VPN用戶，向指定的服務器發起L2TP連接。

5）專線：專線將政府各局辦的網絡通過網絡中繼節點和用戶認證服務器聯連接起來，建議采用運營商的光纖網絡。

6）局域網對接路由器（LNS）：各政府局辦的接入路由器，要和網絡中繼節點建立L2TP隧道，需支持RADIUS協議，L2TP協議等網絡協議。

7）應用平臺：政府內網應用平臺，包括監控、調度平臺、用戶側應用服務器，此服務器與之建立連接后可以高速地與無線終端進行通信。

3 業務流量模型

區電子政務外網需要承載專用業務、共享業務以及互聯網業務三部分業務，各業務流量包括以下三類：

1）各部門專用數據訪問流量；

2）共享數據訪問流量；

3）互聯網發布及對外訪問流量。

4）政務辦公網內部各業務區域流量模型如圖2所示：

政務辦公網數據中心設計分為專用托管區和公共服務區兩部分，專用托管區用于托管各局委辦專用網絡相關系統，保證了專用網絡的獨立性與隔離性；公共服務區用于部署共享業務系統設備，并且允許各單位的終端進行訪問。

3.1 專用網絡業務模型

專用網絡業務只涉及某一居委辦單位內部專用終端訪問，因此不同專用業務流量間相互隔離，專用業務流量與電子政務網其他業務流量相互隔離。同時，為實現多部門協同辦公，及信息共享，專用網絡也需要將部分業務數據同步到公共網絡區。

具體來講，專用網絡業務流量模型如下：

1）專用業務隔離

（1）各委辦局專用業務終端直接訪問數據中心專用服務器，承載網絡相互間需要進行隔離，且與電子政務網其他業務間相互隔離；

（2）部門之間網絡實現邏輯隔離。

2）部分數據實現共享

（1）各部門專用服務器單向訪問前置機，推送共享數據；

（2）前置機部署于前置區內，與公共業務區實現互通；

（3）公共業務區服務器到前置機上獲取共享數據。

3.2 公共網絡業務模型

公共業務主要為電子政務網各單位提供數據共享服務，允許電子政務網內部用戶互訪。

3.3 互聯網業務模型

互聯網業務主要包括：

1）為公眾提供門戶網站信息公開及各類流程查詢服務；

2）為內部各機關用戶提供互聯網訪問。

本次網絡設計不單獨建設互聯網出口，所有互聯網業務采用市電子政務網互聯網出口實現，因此有兩類業務流量需要通過政務網出口：

（1）共享區服務器單向發送數據到DMZ區，提供信息公開及流程查詢服務。DMZ區單向對外部公眾發布信息。

（2）各局委辦互聯網用戶通過互聯網統一出口訪問Internet。

【參考文獻】

[1]W.Richard Stevens.TCP/IP協議詳解卷1：協議[M].北京：機械工業出版社，2000：1-380.

[2]Ivan Pepelnjak，等. MPLS和VPN體系結構[M].北京：人民郵電出版社，2010：3-342.

[責任編輯：王海龍]