电子政务外网AS域内PE—CE路由设计与实践

摘 要

为适应丰富的业务需要和安全要求，电子政务外网必须实现业务隔离，BGP/MPLS VPN技术很好地满足了外网的需求。本文对基于BGP/MPLS VPN技术的电子政务外网域内PE-CE路由进行设计，并结合示例给出方案的实施关键。

【关键词】电子政务外网 电子政务 MPLS VPN OSPF 路由

电子政务外网做为一个综合性基础支撑平台，所承载的业务既包括政务公共业务又包括政府部门系统纵向业务，同时该平台还是一张与互联网逻辑隔离的网络。丰富的业务需求和不同的安全要求带来隔离的需求。MPLS VPN可将不同的业务流量有效隔离，利用公共的骨干网传输不同VPN内的数据。利用MPLS VPN技术搭建的IP承载网，支持多种协议封装的报文，能够兼容原有网络设备并进行平滑升。基于MPLS 的VPN 应用需要对BGP 进行扩展，使BGP 能够传播VPN 的路由信息。BGP/MPLS IP VPN 是一种基于网络边缘设备PE（Provider Edge）的L3VPN 技术。它使用BGP 在服务提供商骨干网上发布VPN 路由，使用MPLS 在服务提供商骨干网上转发VPN 报文。

1 电子政务外网的整体结构

电子政务外网是一张分层的网络，从国家级网络到省级网络到市县级网络分成不同AS自治域，各级外网纵向互联互通，横向连接各级党委、人大、政府、政协、检察院、法院等政务部门。各级政务外网有逻辑隔离的独立的互联网出口，该出口既是整个省级城域网用户访问互联网的出口，也是省级政务部门面向社会公众服务的通道。

政务外网平台的承载业务主要分为“公共业务”、“专用VPN业务”和“互联网业务”三类。不同种业务之间采用MPLS VPN互相隔离。电子政务外网的分层结构和业务流向图如图1所示：系统纵向业务纵向隔离在系统内部，实现了部门专网的功能；公共业务是所有政务外网部门用户都可以路由到的IP业务；互联网业务只存在于本级电子政务平台中，为本级部门用户提供服务，且业务被隔离在VPN通道内。各级政务外网平台分属不同的AS域，形成类“王”字型结构。

2 自治域内全网总体路由设计

电子政务外网基于BGP/MPLS VPN技术，自治域内的设备被划分成三种角色：CE（Customer Edge）用户边缘设备，可以是路由器，也可以是交换机或主机；PE（Provider Edge）服务商边缘路由器，位于骨干网络；P（Provider）服务商核心路由器，只需要具备基本MPLS 转发能力，不维护VPN 信息。P和PE设备组成了骨干网，运行BGP协议，由于BGP协议本身并不发现路由，需要IGP协议的支撑，因此，在骨干网采用OSPF协议做为IGP协议。同一自治域内骨干网PE之间采用MP-IBGP进行路由发布。

根据实际网络结构和业务需求，CE使用静态路由或OSPF向PE发布标准的IPv4 路由，PE学到CE 的VPN 路由信息后，为这些标准IPv4 路由增加RD 和VPN Target 属性，形成VPN-IPv4 路由，存放到为CE创建的VPN 实例中。

3 域内PE-CE路由设计

CE向PE发布的路由类型可以有多种，其中静态路由具有配置方便，对系统要求低的优点，但缺点是不能自动适应网络拓扑的变化；而动态路由协议有自己的路由算法，能够自动适应网络拓扑的变化，缺点是配置要较复杂，OSPF协议是常用于自治系统AS的动态路由协议。

从电子政务外网的业务模型可以看出，自治域内骨干网连接有多个MPLS VPN的site（站点），接入政务外网的不同政务部门会形成不同的site，在政务外网的网管中心也会划分出不同的功能区，形成多个site。应针对不同site的特点进行路由设计，对于拓扑结构简单并且稳定的政务外网功能区和政务用户局域网，采用静态路由的方式向PE发布路由；对于拓扑结构相对复杂的功能区则采用OSPF协议向PE发布路由。

虽然电子政务外网平台基于BGP/MPLS VPN技术，但并不是所有业务都运行在VPN通道内，平台中同时存在普通IP业务和VPN业务，某些业务的特殊性要求PE-CE之间的路由设计不再单一，呈现多元性。一个典型的案例就是政务外网平台网管路由的实现。

电子政务外网要实现对本级平台全网设备的网管，就必须实现网管功能区到全网的路由互通。全网路由设计中，骨干网设备使用OSPF实现路由互通，同时某些site在内部也运行OSPF协议。骨干网路由与site内部的路由是互相隔离的，要实现对所有设备的管理，必须保证到不同OSPF域的路由可达。由于网管功能区本身也是一个site，因此网管路由设计的主要目的是实现网管功能区到骨干网区的路由可达，同时还要将网管功能区做为一个MPLS VPN的site实现与其它site的路由互通。互联网功能区使用OSPF向PE发布路由，这里选取互联网功能区做为site2给出路由方案的设计与实施关键。

3.1 方案一：不同CE分别采用静态路由和OSPF路由引入同一VPN实例

如果网管功能区是一个拓扑简单而稳定的site，则可以使用静态路由发布路由。为了同时实现对骨干网和互联网功能区site中设备的网管，网管功能区site需要发布两条路由，一条被引入骨干网IGP协议OSPF中实现路由互通，达到对骨干网设备管理的目的，另一条发布到PE设备绑定的的互联网VPN实例中。同时，互联网功能区site的CE使用OSPF向PE发布路由 ，通过PE被引入同一VPN实例中，实现路由的互通。假设建立的互联网VPN实例名为Internet，拓扑结构如图2所示：

关键配置示例如下：

PE1上配置：

bgp 100

ipv4-family vpn-instance Internet

import-route static 将site1中CE发布的静态路由引入VPN实例的路由表

#

ospf 1

import-route direct

import-route static 将site1中CE发布的静态路由引入骨干网IGP协议路由表中

area 0.0.0.0

#

ip route-static vpn-instance Internet 100.67.1.0 255.255.255.0 100.67.0.1 实现对VPN内设备的网管

ip route-static 100.67.1.0 255.255.255.0 100.67.0.5 实现对骨干网设备的网管

#

PE2上配置：

bgp 100

ipv4-family vpn-instance Internet

import-route ospf 2 将site2互联网出口区的OSPF路由引入VPN实例的路由表

#

ospf 2 vpn-instance Internet

import-route bgp cost 10 引入BGP路由

area 0.0.0.0

network 100.67.0.8 0.0.0.3

#

3.2 方案二：同一CE分别采用静态路由和OSPF路由实现VPN通道内外路由可达

在方案二中，网管功能区分别发布静态路由和OSPF路由实现对VPN内外设备的管理。该方案是在方案一基础上的改进，方案一中site1的CE使用静态路由分别向PE设备发布VPN实例内外的路由。由于site1的主要功能是实现对设备的网管，电子政务外网全网设备众多，使用静态路由需要针对每台设备的loopback地址逐条配置，工作量繁琐，因此，做出如下改进：

（1）site1中CE仍向PE发布两条路由：一条直接与骨干网设备建立邻居关系，利用骨干网的OSPF协议完成路由互通，从而简化CE 的管理和配置；另一条仍使用静态路由进入PE绑定VPN实例的接口，引入到VPN实例的路由表中，达到对骨干网设备管理的目的。site 2配置仍同方案一。

（2）因为需要网管的设备只有Internet VPN实例内外两种，实例外的设备使用OSPF简化了配置，实例内的设备可以使用默认路由，因为CE设备感知不到VPN路由，因此要通过优先级控制两种路由，使OSPF中明细路由优先级高于默认路由静态路由。

方案拓扑结构如图3：

关键配置如下：

PE1上配置：

bgp 100

ipv4-family vpn-instance Internet

import-route static 将site1中CE发布的静态路由引入VPN实例的路由表

#

ospf 1

import-route direct

area 0.0.0.0

network 100.67.0.4 0.0.0.3 将site1中CE加入骨干网IGP协议邻居中

#

ip route-static vpn-instance Internet 100.67.1.0 255.255.255.0 100.67.0.1 实现对VPN内设备的网管

#

CE1上配置：

ospf 1

import-route direct

area 0.0.0.0

network 100.67.0.4 0.0.0.3 将site1中CE加入骨干网IGP协议邻居中，实现管理功能

#

ip route-static 0.0.0.0 0.0.0.0 100.67.0.6 track 1 preference 150 静态路由发布到VPN实例中，并使用优先级控制路由。

#

PE2上配置同方案一。

3.3 方案三：不同CE分别采用OSPF协议实现同一VPN实例内路由可达

如果网管功能区拓扑结构较复杂，则可以在site1内部网络运行OSPF协议。CE与PE互联地址仍需要利用子口配两对地址，一对使用静态路由发布到骨干网OSPF协议中，达到对骨干网设备管理的目的；另一对属于site1内部网络运行的OSPF，并将该OSPF发布到PE设备绑定的的互联网VPN实例中，实现路由的互通，达到对互联网功能区site中设备的管理目的。拓扑结构如图4所示。

在该方案中要特别注意以下两点：

（1）在同一VPN 的两个OSPF进程必须配置相同的域ID，以保证路由发布的正确性。

（2）在MPLS VPN环境中PE-CE之间OSPF不同于传统的OSPF，此时MPLS VPN骨干网形成了超级骨干区域，扮演了传统OSPF的骨干区域的角色。当PE下联的每个site中只有一个area区域时，PE路由器扮演ABR的角色，将type3 LSA通告给CE路由器，CE路由器可以属于area0或其他area区域；但是如果一个site拥有多个area区域，PE路由器就必须在area0中，因为扮演了ABR，如果不在area0中，就需要在PE上创建virtual-link来确保PE和area0的连接。

关键配置示例如下：

PE1上配置：

bgp 100

ipv4-family vpn-instance Internet

import-route ospf 3 将site1网管功能区的OSPF3路由引入VPN实例的路由表

#

ospf 3 vpn-instance Internet

domain-id 2注意同一VPN实例中OSPF的域id要一致

import-route bgp 引入BGP路由

area 0.0.0.0

network 100.67.0.0 0.0.0.3

#

ospf 1

import-route direct 将与CE直连的地址引入骨干网

area 0.0.0.0

#

ip route-static 100.67.1.0 255.255.255.0 100.67.0.5 指向site1实现对骨干网的网管

#

PE2上配置：

bgp 100

ipv4-family vpn-instance Internet

import-route ospf 2 将site2互联网出口区的OSPF路由引入VPN实例的路由表

#

ospf 2 vpn-instance Internet

domain-id 2 注意同一VPN实例中OSPF的域id要一致

import-route bgp 引入BGP路由

area 0.0.0.0

network 100.67.0.4 0.0.0.3

#

4 总结

基于MPLSVPN的电子政务网络具有组网灵活、扩展方便、安全可靠等优势。BGP/MPLS VPN技术需要IGP协议的支撑才能实现路由功能，使承载网呈现多种路由协议共存的局面，同时，PE-CE互联的方式也有多种，在复杂网络环境和特殊业务需求情况下，会出现PE-CE互联路由与其它路由共存的局面，合理分析，整体规划，才能使电子政务外网更好地发挥网络承载功能。

参考文献

[1]刘婷.MPLS VPN在IP承载网中的应用及安全策略研究[D].杭州：杭州电子科技大学，2011.

[2]王柱.MPLS网络故障恢复技术的应用研究[J].长沙通信职业技术学院学报，2007（01）.

作者简介

杨俊芳（1974-），女，山西省太原市人。工程硕士。现为山西省经济信息中心高级工程师。主要从事电子政务建设、电子政务运维管理工作。

作者单位

山西省经济信息中心 山西省太原市 030002