基于MPLSVPN技术的政务内网设计

余志勇

【摘 要】政务内网设计应用、整合多项数字城市技术；创新信息实时采集传输的手段。本文重点介绍了南通市某区政府基于mpls vpn技术的电子政务外网的设计方案。

【关键词】MPLS VPN；政务外网；安全隔离；PE

1 政务内网使用需求

政务内网的设计根据政府部门的网络架构，采用基于MPLS+移动网相结合的技术，通过安全通道技术隔离电子政务内外网，使得使用者可以在移动环境下轻松访问政务内外网，实现PC+移动终端的接入方式的无缝对接，轻松实现移动办公。

2 系统总体架构

电子政务内网的总体架构是将政务内网应用系统通过运营商GGSN设备与运营商网络进行连接，移动办公网络通过运营商无线网络进行承载，系统终端设备由运营商根据需求统一进行配置，办公人员通过手机或IPAD配合定制的上网卡，经过一定的认证、鉴权机制、获取单位内部网络IP地址后，接入本单位办公网络进行日常备公文的处理。具体网络架构，如图1所示。

2.1 数据传输系统

数据传输系统模块包括有线和无线两部分，有线部分通过光纤进行数据传输，无线数据传输是为办公人员现场办公、信息采集而设计。办公人员通过上网卡拨号后联通GGSN设备将认证请求和认证信息（手机号码）送至政务内网提供的指定的认证服务器，由认证服务器来完成认证，认证成功后分发IP地址给客户端使用。

上网说明：

上网卡用户通过认证后获取到IP地址通过联通IDC机房的路由器做NAT转发连接互联网。

2.2 视频传输系统

在电子政务内网平台，通过以GPRS/WCDMA无线通信网络为承载，通过车辆GPS和语音设备，实现监控中心对所有车辆的调度管理的智能调度系统。车载视频监控设备通过WCDMA高速无线网络，与指挥中心建立专用安全的VPDN连接，实现音视频信号实时、安全的传输。指挥中心根据现场传回的信息，实现远程指挥部署。不仅提升了政府管理门的应急指挥能力，更获得了良好的社会效益。以GPRS/WCDMA无线通信网络为承载，能通过车辆GPS和语音设备，实现监控中心对所有车辆的调度管理的智能调度系统。

本次网络设计暂不考虑单独Internet互联，所有访问外网的业务都经过政府电子政务外网出口实现。

本方案采用VPDN专网接入方式。采用本组网方式，各部委办局可以分别在各自单位组建客户专用网络，专用网络之间可以通过VPDN专线连接。政府单位可以自主给内部设备（交换机、监控设备、定位和WCDMA无线路由器）来分配IP地址。采用本组网方式，各部委办局专网之间通过防火墙互相隔离，内部网络和互联网互相隔离，具备良好的数据安全性，硬件方式的隔离使得电子政务网用户不会受到来自外部网络的的攻击和病毒的入侵，光纤传输使网速和带宽能得到最大限度的保障。

1）无线介入路由器：对于有线无法到达的区域可采用运营商的无线网络连接无线介入路由器，通过路由器连接监控区域的视频设备。为了保证无线传输的效果，建议采用WCDMS无线路由器设备。

2）政府部门的专业设备（车辆GPS定位设备，数据采集设备）等政府部门专业车辆设备定位、工控设备等公交专用行业设备：公交业务通过WCDMA无线路由器将数据传输到数据系统的信号收集设备和网络的核心层。

3）认证服务器：负责对用户的用户名、权限进行认证授权，认证服务器通过对该用户的用户名密码和登录的网络域名进行核对验证。只有验证通过的用户才可接入政府内网。

4）GGSN：网络中继节点， GGSN通过认证服务器判断用户是通过WCDMA/GPRS接入网络接入到政府内网的VPN用户，向指定的服务器发起L2TP连接。

5）专线：专线将政府各局办的网络通过网络中继节点和用户认证服务器联连接起来，建议采用运营商的光纤网络。

6）局域网对接路由器（LNS）：各政府局办的接入路由器，要和网络中继节点建立L2TP隧道，需支持RADIUS协议，L2TP协议等网络协议。

7）应用平台：政府内网应用平台，包括监控、调度平台、用户侧应用服务器，此服务器与之建立连接后可以高速地与无线终端进行通信。

3 业务流量模型

区电子政务外网需要承载专用业务、共享业务以及互联网业务三部分业务，各业务流量包括以下三类：

1）各部门专用数据访问流量；

2）共享数据访问流量；

3）互联网发布及对外访问流量。

4）政务办公网内部各业务区域流量模型如图2所示：

政务办公网数据中心设计分为专用托管区和公共服务区两部分，专用托管区用于托管各局委办专用网络相关系统，保证了专用网络的独立性与隔离性；公共服务区用于部署共享业务系统设备，并且允许各单位的终端进行访问。

3.1 专用网络业务模型

专用网络业务只涉及某一居委办单位内部专用终端访问，因此不同专用业务流量间相互隔离，专用业务流量与电子政务网其他业务流量相互隔离。同时，为实现多部门协同办公，及信息共享，专用网络也需要将部分业务数据同步到公共网络区。

具体来讲，专用网络业务流量模型如下：

1）专用业务隔离

（1）各委办局专用业务终端直接访问数据中心专用服务器，承载网络相互间需要进行隔离，且与电子政务网其他业务间相互隔离；

（2）部门之间网络实现逻辑隔离。

2）部分数据实现共享

（1）各部门专用服务器单向访问前置机，推送共享数据；

（2）前置机部署于前置区内，与公共业务区实现互通；

（3）公共业务区服务器到前置机上获取共享数据。

3.2 公共网络业务模型

公共业务主要为电子政务网各单位提供数据共享服务，允许电子政务网内部用户互访。

3.3 互联网业务模型

互联网业务主要包括：

1）为公众提供门户网站信息公开及各类流程查询服务；

2）为内部各机关用户提供互联网访问。

本次网络设计不单独建设互联网出口，所有互联网业务采用市电子政务网互联网出口实现，因此有两类业务流量需要通过政务网出口：

（1）共享区服务器单向发送数据到DMZ区，提供信息公开及流程查询服务。DMZ区单向对外部公众发布信息。

（2）各局委办互联网用户通过互联网统一出口访问Internet。

【参考文献】

[1]W.Richard Stevens.TCP/IP协议详解卷1：协议[M].北京：机械工业出版社，2000：1-380.

[2]Ivan Pepelnjak，等. MPLS和VPN体系结构[M].北京：人民邮电出版社，2010：3-342.

[责任编辑：王海龙]