MPLS—VPN技術在保險公司廣域網應用的方案研究

李銘皓

摘要： 為實現保險公司各級機構雙網隔離的要求，本文從MPLS-/VPN原理入手，結合保險公司網絡實際情況和行業特點，構建了從網絡核心層、匯聚層最后到接入層的安全傳輸體系。通過系統實際運行驗證，MPLS-VPN能夠將網絡劃分成邏輯上相對隔離的網絡，將各個業務系統和子公司之間的隔離，又能夠將公司信息外網與內部信息網絡機動、有效以及信息系統安全結合起來，為公司提供高質量的網絡服務。

關鍵詞：MPLS-VPN技術；保險公司廣域網

中圖分類號：TP393.01；F842.3 文獻標識碼：A 文章編號：1672-9129（2017）12-0011-02

Abstract： in order to realize the requirement of double network isolation of insurance companies at all levels， this paper starts with the principle of MPLS-VPN， and combines the actual situation and industry characteristics of insurance companies 'networks， and constructs a safe transmission system from the core layer， convergence layer and finally access layer to the access layer. Through the actual operation of the system， MPLS-VPN can divide the network into logically relatively isolated networks， isolate the various business systems and subsidiaries， and be able to combine the company's information extranet with internal information networks for maneuverability， effectiveness， and information system security. Provide high quality network service for the company.

Key words： MPLS-VPN technology； insurance company wide area network

1 保險公司業務系統MPLS-VPN專網總體方案

本世紀前十年，大部分保險公司已將網絡鋪設到各級機構，但因穩定性差、網絡復雜，迫切的需要一種新的網絡方案替代。MPLS-VPN網絡平臺是全網狀互連，實現任意兩節點間的直接通信，而且MPLS-VPN有著極高的安全性與穩定性，廣域網傳輸中不存在單點故障，所以近年來國內多家保險公司開始探究MPLS-VPN網絡平臺，總公司的主備線、省級分公司數據中心等主線，接至合作方機房的主線均采用MPLS-VPN線路，各省級分公司的備線、中心支公司的線路、營銷服務部的線路和接至合作方機房的備線亦采用MPLS-VPN線路的方案。

本方案計劃在網絡架構與技術基礎不變的情況下，依據保險公司的組織結構特點、業務特點架設新的MPLS網絡方案。

2 總部及數據中心接入設計

經過研究，總部、數據中心、大型的營銷中心（比如電銷中心、電話中心）采用雙光纖鏈路冗余連接到總部的核心網絡。

總部、數據中心、大型的營銷中心采用負載均衡模式提供網絡高可用性服務。采用兩條不同運營商（電信和聯通）電路接入合作方的MPLS-VPN骨干平臺，且接入合作方不同POP點，通過多條等值路由模式的方式提供網絡負載均衡的訪問模式。

采用雙點雙線路連接合作方不同的核心機房提高網絡可利用率，避免由于運營商單站點故障，造成客戶斷網。

通過對雙專線啟用BGP動態路由協議，設定BGP屬性local preference，通過對CE路由器maximum-paths 2屬性的調整，可以實現雙線路負載均衡。

充分考慮到保險公司將使用MCU進行視頻會議，所以方案設計通過PBR協議控制視頻語音流量走單線路，如果此線路斷線會自動切換至另一線路上，所以不會導致負載均衡干擾到視頻語音流量。

3 分公司接入設計

分公司采用主備模式接入提供網絡高可用性服務。采用單鏈路的光纖線路連接到合作方節點；并通過現有的Internet線路采用IPSec VPN方式接入安全接入網關，實現對光纖專線的備份。

當專線出現故障后，由路由器自動切換到IPSEC VPN備份鏈路，備份互聯網帶寬為10M，保證IPsec VPN的傳輸速度。主備線路選用兩家不同運營商線路并分別接到兩個獨立路由器，避免單點故障。

4 三、四級機構接入設計

各三級、四級機構使用互聯網Internet線路，通過IPsec雙冗余連接到MPLS的環網中，連接到總部的核心網絡。

此方案需要選取的合作方在全國需要有多個IPSEC VPN網關，并提供IPSEC VPN網關的冗余備份功能。 所有站點可在雙CE、雙PE/POP的基礎上利用本地互聯網進行IPSEC-VPN備份，IPSEC-PLUS技術將提供單CE設備的雙GRE over IPSEC隧道備份鏈路承載方式。

在雙專線的基礎上提供的IPSEC-VPN備份雙隧道，其中一條建議備份到異地IPSEC-VPN網關，如果因為自然原因導致機房無法提供服務，異地IPSEC-VPN將會保持客戶流量的正常轉發。

IPSEC VPN鏈路可通過流量管理平臺查看基于源目的IP地址、基于端口等流量排名。

5 SSL VPN接入設計

現在國內已有一些合作方SSL安全訪問產品從根本上解決了遠程訪問問題，可以為企業的遠程員工、合作伙伴提供對內網資源的安全遠程訪問。同時它又消除了因為遠程用戶客戶端的維護等帶來的 諸多不便。

合作方構造的用戶數據網，實現了移動型用戶在任何時間任何地點，只要通過本地 Internet線路以及個人電腦，即能與不同地區、不同接入線路的辦公機構間無縫、安全通信。即針對于移動型的外出辦公人員，因業務需要，經常往來于不同的異地之間。為完成與總部或辦事處內部服務器的數據交互（如：上傳/下載文件、訪問公司內部ERP服務器等），需要短暫的與公司內部節點建立安全、高效、快捷的通信連接。

企業移動辦公端通過接入SSL匯接中心，建立加密安全隧道，其應用系統數據流通過加密安全隧道穿過凌網SSL匯接中心，再經由合作方骨干網訪問總部及分支機構。

6 IDC 機房托管服務接入設計

為保證最大化節約保險公司的鏈路成本，本次網絡設計中， MPLS-VPN業務數據中心放在機房托管。設備在機房內PE設備直接對接，節約了客戶總部到POP節點的專線鏈路費用，并且鏈路帶寬可實際按照需求進行擴容，并且托管機房提供機架可提供2路供電，客戶也可通過MPLS-VPN專網和BGP互聯網接入資源解決南北互聯互通問題，并且進行對放在托管機房的設備遠程管理，方便企業的資源管理；

7 MPLS-VPN網絡Qos/Cos優化設計

國內多家合作方的MPLS-VPN融合通信與信息技術，可提供多業務、可管理的MPLS IP-VPN網絡產品與服務，并以優化的“一站式”服務、標準化的SLA將服務延伸到桌面。在面對保險公司網絡的快速發展及豐富多樣的應用系統，眾多合作方為用戶量身定制了優化應用系統性能的解決方案，針對各類網絡應用系統不同的服務類別CoS（Class of Service）要求、服務質量QoS（Quality of Service）要求，提供區分級別的服務質量保證。

IP QoS是使網絡有效地為特定應用提供特定服務，而不影響其他應用功能和性能的能力。保險公司核心應用服務系統會在帶寬、時延、抖動及丟包率等網絡指標上有不同等級的要求，而QoS技術則相應的保障了這些性能指標，使應用系統運行效果達到最佳。

在CoS/QoS服務中，可以根據具體應用的不同要求將這些參數組合起來構成不同的服務等級。

視頻會議系統和數據系統等重要的信息化應用。從IP協議的角度進行技術分析，IP網絡數據傳輸是一個盡力傳送（Best-effort）模式，不同應用系統所產生的數據包長度不同，在先進先出（First-in-first-out）的傳輸隊列里，不同長度的IP包組成的多種業務數據流相混雜，各系統正常運行所需要的帶寬與延時均難得到保證，直接造成應用系統使用性能的下降。

故此，保險公司應用信息系統需要一個可管理的網絡傳輸模式，能夠在區分業務系統權重的前提下提供服務質量控制（QoS），使各類業務系統均處于良好的工作狀態。

CoS/QoS服務可提供強大的端到端的IP-QoS解決方案，來有效地、可預見地傳遞企業具有不同服務質量要求的應用系統數據，從而使企業各類應用系統均可得到適合運行環境的、可管理的優質網絡環境，例如語音、視頻和關鍵應用的數據，需要保證帶寬、低延遲、低延遲抖動和低的數據包丟失。而其他一些應用，如OA，Internet訪問則可能占用較大的帶寬，但能容忍一定的延遲和抖動。

8 接入設備

網絡的性能和功能很大程度由設備來實現，正確地選擇設備是網絡設計的重要一步。選擇高性能、高可靠性和完全支持標準的網絡設備是網絡項目建設成功的關鍵。因此，所選的設備應是：

1）國際的主流網絡體系結構的主流新產品，在實際工程中得到廣泛的應用。

2）符合國際標準，特別是能夠與其他廠商的網絡設備互聯，適應多廠商、多協議和互操作性的需求。

3）具有良好的可靠性和安全性。

4）具有良好的可擴展性。

5）具有良好的性能價格比。

9 網絡方案特點優勢

1）MPLS-VPN網絡平臺是一個一點接入、多點訪問的網狀網平臺，網絡的傳輸能力、接入節點容量能力均有MPLS-VPN骨干網絡來保障，隨著企業業務的不斷發展，可在任一地點提出接入的擴展要求；

2）MPLS-VPN網絡平臺是全網狀互連，實現任意兩節點間的直接通信，而且MPLS-VPN有著極高的安全性與穩定性，廣域網傳輸中不存在單點故障，保證企業的網絡安全性；

3）按需設定使用帶寬，企業可監管到每條線路的VPN帶寬使用情況，可根據企業各節點實際的網絡流量，方便的進行VPN帶寬的增減，在保證質量、安全、滿足應用的前提下節省部分運營支出，提高整個網絡的性價比；

4）基于這個網絡平臺，除了可以實現保險公司關鍵業務數據傳輸外，還可支持IP電話系統及高清視頻會議系統的運行。采用MPLS-VPN技術，可以提供關鍵數據、語音、視頻等對時延敏感數據的QOS保證，確保以上數據比普通數據具有較高的優先級；對不同應用設定不同的優先級別，提供不同的QOS/COS服務；

5）專業的網絡管理服務平臺，主動式監控企業信息化網絡的使用狀況，保證線路的通信質量。除了普通的網絡運維外，將根據保險公司的網絡情況和發展戰略，有預見地提供相關方案，對網絡的未來規劃有相當的建設性；

6）可根據保險公司各地分部所在的地理位置及所需線路類型，幫助選擇最滿足其需求及提供最高性價比的本地線路接入商；并且網絡出現故障時由各運營商間協調處理，免去了企業與多家運營商打交道的繁瑣，且排障時間更短，效率更高；

7）MPLS-VPN供應商可以向企業用戶提供專業的網絡管理服務，可為企業提供跨運營商的全程全網、全天候的專業網管。主動式網絡故障管理、網絡優化、每月網管報告、及服務質量保證承諾等均與國際電信服務相接軌；

8） MPLS-VPN供應商“一站式”服務：包括一站式業務受理、一站式技術咨詢、一站式工程實施、一站式收費、一站式故障申告、一站式故障處理。MPLS-VPN供應商服務可以簡化了服務流程，便于快速、優質、高效的提供服務，保證企業VPN網絡平臺的全程連通性、網絡可靠性和穩定性；

9）本方案整合網絡資源能力、先進的網絡管理能力，確保了為企業MPLS-VPN網絡平臺提供高品質的SLA服務承諾，全力保證企業的高質量通信需求，提供包括網絡可用率、丟包率、雙向時延等在內的網絡品質承諾，為企業提供電信級服務保證。

當然，MPLS-VPN供應商可以在MPLS-VPN網絡基礎平臺的同時，還可以為企業提供了IDC托管、云主機、云存儲以及云視頻等增值服務，最大限度的滿足客戶的需求，為保險公司打造一個統一通信的網絡平臺。

參考文獻：

[1] 王晨. MPLS VPN技術在重慶電力信息通信網絡優化中的應用研究[D]. 重慶大學，2014.

[2] 馮平，袁亮. 精確識別MPLS L2VPN QoS方法[J]. 通信技術，2015，（3）.doi：10.3969/j.issn.1002-0802.2015.03.018.

[3] 陳小輝，高燕，劉漢燁. L2TPV3的研究與實現[J]. 電子設計工程，2013，（17）.doi：10.3969/j.issn.1674-6236.2013.17.050.

[4] 陳志宏. MPLS-VPN技術在電力調度數據網中的應用分析[J]. 通訊世界，2017，（9）.doi：10.3969/j.issn.1006-4222.2017.09.143.