李銘?zhàn)?/p>

摘要： 為實(shí)現(xiàn)保險(xiǎn)公司各級(jí)機(jī)構(gòu)雙網(wǎng)隔離的要求，本文從MPLS-/VPN原理入手，結(jié)合保險(xiǎn)公司網(wǎng)絡(luò)實(shí)際情況和行業(yè)特點(diǎn)，構(gòu)建了從網(wǎng)絡(luò)核心層、匯聚層最后到接入層的安全傳輸體系。通過系統(tǒng)實(shí)際運(yùn)行驗(yàn)證，MPLS-VPN能夠?qū)⒕W(wǎng)絡(luò)劃分成邏輯上相對(duì)隔離的網(wǎng)絡(luò)，將各個(gè)業(yè)務(wù)系統(tǒng)和子公司之間的隔離，又能夠?qū)⒐拘畔⑼饩W(wǎng)與內(nèi)部信息網(wǎng)絡(luò)機(jī)動(dòng)、有效以及信息系統(tǒng)安全結(jié)合起來，為公司提供高質(zhì)量的網(wǎng)絡(luò)服務(wù)。

關(guān)鍵詞：MPLS-VPN技術(shù)；保險(xiǎn)公司廣域網(wǎng)

中圖分類號(hào)：TP393.01；F842.3 文獻(xiàn)標(biāo)識(shí)碼：A 文章編號(hào)：1672-9129（2017）12-0011-02

Abstract： in order to realize the requirement of double network isolation of insurance companies at all levels， this paper starts with the principle of MPLS-VPN， and combines the actual situation and industry characteristics of insurance companies 'networks， and constructs a safe transmission system from the core layer， convergence layer and finally access layer to the access layer. Through the actual operation of the system， MPLS-VPN can divide the network into logically relatively isolated networks， isolate the various business systems and subsidiaries， and be able to combine the company's information extranet with internal information networks for maneuverability， effectiveness， and information system security. Provide high quality network service for the company.

Key words： MPLS-VPN technology； insurance company wide area network

1 保險(xiǎn)公司業(yè)務(wù)系統(tǒng)MPLS-VPN專網(wǎng)總體方案

本世紀(jì)前十年，大部分保險(xiǎn)公司已將網(wǎng)絡(luò)鋪設(shè)到各級(jí)機(jī)構(gòu)，但因穩(wěn)定性差、網(wǎng)絡(luò)復(fù)雜，迫切的需要一種新的網(wǎng)絡(luò)方案替代。MPLS-VPN網(wǎng)絡(luò)平臺(tái)是全網(wǎng)狀互連，實(shí)現(xiàn)任意兩節(jié)點(diǎn)間的直接通信，而且MPLS-VPN有著極高的安全性與穩(wěn)定性，廣域網(wǎng)傳輸中不存在單點(diǎn)故障，所以近年來國內(nèi)多家保險(xiǎn)公司開始探究MPLS-VPN網(wǎng)絡(luò)平臺(tái)，總公司的主備線、省級(jí)分公司數(shù)據(jù)中心等主線，接至合作方機(jī)房的主線均采用MPLS-VPN線路，各省級(jí)分公司的備線、中心支公司的線路、營銷服務(wù)部的線路和接至合作方機(jī)房的備線亦采用MPLS-VPN線路的方案。

本方案計(jì)劃在網(wǎng)絡(luò)架構(gòu)與技術(shù)基礎(chǔ)不變的情況下，依據(jù)保險(xiǎn)公司的組織結(jié)構(gòu)特點(diǎn)、業(yè)務(wù)特點(diǎn)架設(shè)新的MPLS網(wǎng)絡(luò)方案。

2 總部及數(shù)據(jù)中心接入設(shè)計(jì)

經(jīng)過研究，總部、數(shù)據(jù)中心、大型的營銷中心（比如電銷中心、電話中心）采用雙光纖鏈路冗余連接到總部的核心網(wǎng)絡(luò)。

總部、數(shù)據(jù)中心、大型的營銷中心采用負(fù)載均衡模式提供網(wǎng)絡(luò)高可用性服務(wù)。采用兩條不同運(yùn)營商（電信和聯(lián)通）電路接入合作方的MPLS-VPN骨干平臺(tái)，且接入合作方不同POP點(diǎn)，通過多條等值路由模式的方式提供網(wǎng)絡(luò)負(fù)載均衡的訪問模式。

采用雙點(diǎn)雙線路連接合作方不同的核心機(jī)房提高網(wǎng)絡(luò)可利用率，避免由于運(yùn)營商單站點(diǎn)故障，造成客戶斷網(wǎng)。

通過對(duì)雙專線啟用BGP動(dòng)態(tài)路由協(xié)議，設(shè)定BGP屬性local preference，通過對(duì)CE路由器maximum-paths 2屬性的調(diào)整，可以實(shí)現(xiàn)雙線路負(fù)載均衡。

充分考慮到保險(xiǎn)公司將使用MCU進(jìn)行視頻會(huì)議，所以方案設(shè)計(jì)通過PBR協(xié)議控制視頻語音流量走單線路，如果此線路斷線會(huì)自動(dòng)切換至另一線路上，所以不會(huì)導(dǎo)致負(fù)載均衡干擾到視頻語音流量。

3 分公司接入設(shè)計(jì)

分公司采用主備模式接入提供網(wǎng)絡(luò)高可用性服務(wù)。采用單鏈路的光纖線路連接到合作方節(jié)點(diǎn)；并通過現(xiàn)有的Internet線路采用IPSec VPN方式接入安全接入網(wǎng)關(guān)，實(shí)現(xiàn)對(duì)光纖專線的備份。

當(dāng)專線出現(xiàn)故障后，由路由器自動(dòng)切換到IPSEC VPN備份鏈路，備份互聯(lián)網(wǎng)帶寬為10M，保證IPsec VPN的傳輸速度。主備線路選用兩家不同運(yùn)營商線路并分別接到兩個(gè)獨(dú)立路由器，避免單點(diǎn)故障。

4 三、四級(jí)機(jī)構(gòu)接入設(shè)計(jì)

各三級(jí)、四級(jí)機(jī)構(gòu)使用互聯(lián)網(wǎng)Internet線路，通過IPsec雙冗余連接到MPLS的環(huán)網(wǎng)中，連接到總部的核心網(wǎng)絡(luò)。

此方案需要選取的合作方在全國需要有多個(gè)IPSEC VPN網(wǎng)關(guān)，并提供IPSEC VPN網(wǎng)關(guān)的冗余備份功能。 所有站點(diǎn)可在雙CE、雙PE/POP的基礎(chǔ)上利用本地互聯(lián)網(wǎng)進(jìn)行IPSEC-VPN備份，IPSEC-PLUS技術(shù)將提供單CE設(shè)備的雙GRE over IPSEC隧道備份鏈路承載方式。

在雙專線的基礎(chǔ)上提供的IPSEC-VPN備份雙隧道，其中一條建議備份到異地IPSEC-VPN網(wǎng)關(guān)，如果因?yàn)樽匀辉驅(qū)е聶C(jī)房無法提供服務(wù)，異地IPSEC-VPN將會(huì)保持客戶流量的正常轉(zhuǎn)發(fā)。

IPSEC VPN鏈路可通過流量管理平臺(tái)查看基于源目的IP地址、基于端口等流量排名。

5 SSL VPN接入設(shè)計(jì)

現(xiàn)在國內(nèi)已有一些合作方SSL安全訪問產(chǎn)品從根本上解決了遠(yuǎn)程訪問問題，可以為企業(yè)的遠(yuǎn)程員工、合作伙伴提供對(duì)內(nèi)網(wǎng)資源的安全遠(yuǎn)程訪問。同時(shí)它又消除了因?yàn)檫h(yuǎn)程用戶客戶端的維護(hù)等帶來的 諸多不便。

合作方構(gòu)造的用戶數(shù)據(jù)網(wǎng)，實(shí)現(xiàn)了移動(dòng)型用戶在任何時(shí)間任何地點(diǎn)，只要通過本地 Internet線路以及個(gè)人電腦，即能與不同地區(qū)、不同接入線路的辦公機(jī)構(gòu)間無縫、安全通信。即針對(duì)于移動(dòng)型的外出辦公人員，因業(yè)務(wù)需要，經(jīng)常往來于不同的異地之間。為完成與總部或辦事處內(nèi)部服務(wù)器的數(shù)據(jù)交互（如：上傳/下載文件、訪問公司內(nèi)部ERP服務(wù)器等），需要短暫的與公司內(nèi)部節(jié)點(diǎn)建立安全、高效、快捷的通信連接。

企業(yè)移動(dòng)辦公端通過接入SSL匯接中心，建立加密安全隧道，其應(yīng)用系統(tǒng)數(shù)據(jù)流通過加密安全隧道穿過凌網(wǎng)SSL匯接中心，再經(jīng)由合作方骨干網(wǎng)訪問總部及分支機(jī)構(gòu)。

6 IDC 機(jī)房托管服務(wù)接入設(shè)計(jì)

為保證最大化節(jié)約保險(xiǎn)公司的鏈路成本，本次網(wǎng)絡(luò)設(shè)計(jì)中， MPLS-VPN業(yè)務(wù)數(shù)據(jù)中心放在機(jī)房托管。設(shè)備在機(jī)房內(nèi)PE設(shè)備直接對(duì)接，節(jié)約了客戶總部到POP節(jié)點(diǎn)的專線鏈路費(fèi)用，并且鏈路帶寬可實(shí)際按照需求進(jìn)行擴(kuò)容，并且托管機(jī)房提供機(jī)架可提供2路供電，客戶也可通過MPLS-VPN專網(wǎng)和BGP互聯(lián)網(wǎng)接入資源解決南北互聯(lián)互通問題，并且進(jìn)行對(duì)放在托管機(jī)房的設(shè)備遠(yuǎn)程管理，方便企業(yè)的資源管理；

7 MPLS-VPN網(wǎng)絡(luò)Qos/Cos優(yōu)化設(shè)計(jì)

國內(nèi)多家合作方的MPLS-VPN融合通信與信息技術(shù)，可提供多業(yè)務(wù)、可管理的MPLS IP-VPN網(wǎng)絡(luò)產(chǎn)品與服務(wù)，并以優(yōu)化的“一站式”服務(wù)、標(biāo)準(zhǔn)化的SLA將服務(wù)延伸到桌面。在面對(duì)保險(xiǎn)公司網(wǎng)絡(luò)的快速發(fā)展及豐富多樣的應(yīng)用系統(tǒng)，眾多合作方為用戶量身定制了優(yōu)化應(yīng)用系統(tǒng)性能的解決方案，針對(duì)各類網(wǎng)絡(luò)應(yīng)用系統(tǒng)不同的服務(wù)類別CoS（Class of Service）要求、服務(wù)質(zhì)量QoS（Quality of Service）要求，提供區(qū)分級(jí)別的服務(wù)質(zhì)量保證。

IP QoS是使網(wǎng)絡(luò)有效地為特定應(yīng)用提供特定服務(wù)，而不影響其他應(yīng)用功能和性能的能力。保險(xiǎn)公司核心應(yīng)用服務(wù)系統(tǒng)會(huì)在帶寬、時(shí)延、抖動(dòng)及丟包率等網(wǎng)絡(luò)指標(biāo)上有不同等級(jí)的要求，而QoS技術(shù)則相應(yīng)的保障了這些性能指標(biāo)，使應(yīng)用系統(tǒng)運(yùn)行效果達(dá)到最佳。

在CoS/QoS服務(wù)中，可以根據(jù)具體應(yīng)用的不同要求將這些參數(shù)組合起來構(gòu)成不同的服務(wù)等級(jí)。

視頻會(huì)議系統(tǒng)和數(shù)據(jù)系統(tǒng)等重要的信息化應(yīng)用。從IP協(xié)議的角度進(jìn)行技術(shù)分析，IP網(wǎng)絡(luò)數(shù)據(jù)傳輸是一個(gè)盡力傳送（Best-effort）模式，不同應(yīng)用系統(tǒng)所產(chǎn)生的數(shù)據(jù)包長度不同，在先進(jìn)先出（First-in-first-out）的傳輸隊(duì)列里，不同長度的IP包組成的多種業(yè)務(wù)數(shù)據(jù)流相混雜，各系統(tǒng)正常運(yùn)行所需要的帶寬與延時(shí)均難得到保證，直接造成應(yīng)用系統(tǒng)使用性能的下降。

故此，保險(xiǎn)公司應(yīng)用信息系統(tǒng)需要一個(gè)可管理的網(wǎng)絡(luò)傳輸模式，能夠在區(qū)分業(yè)務(wù)系統(tǒng)權(quán)重的前提下提供服務(wù)質(zhì)量控制（QoS），使各類業(yè)務(wù)系統(tǒng)均處于良好的工作狀態(tài)。

CoS/QoS服務(wù)可提供強(qiáng)大的端到端的IP-QoS解決方案，來有效地、可預(yù)見地傳遞企業(yè)具有不同服務(wù)質(zhì)量要求的應(yīng)用系統(tǒng)數(shù)據(jù)，從而使企業(yè)各類應(yīng)用系統(tǒng)均可得到適合運(yùn)行環(huán)境的、可管理的優(yōu)質(zhì)網(wǎng)絡(luò)環(huán)境，例如語音、視頻和關(guān)鍵應(yīng)用的數(shù)據(jù)，需要保證帶寬、低延遲、低延遲抖動(dòng)和低的數(shù)據(jù)包丟失。而其他一些應(yīng)用，如OA，Internet訪問則可能占用較大的帶寬，但能容忍一定的延遲和抖動(dòng)。

8 接入設(shè)備

網(wǎng)絡(luò)的性能和功能很大程度由設(shè)備來實(shí)現(xiàn)，正確地選擇設(shè)備是網(wǎng)絡(luò)設(shè)計(jì)的重要一步。選擇高性能、高可靠性和完全支持標(biāo)準(zhǔn)的網(wǎng)絡(luò)設(shè)備是網(wǎng)絡(luò)項(xiàng)目建設(shè)成功的關(guān)鍵。因此，所選的設(shè)備應(yīng)是：

1）國際的主流網(wǎng)絡(luò)體系結(jié)構(gòu)的主流新產(chǎn)品，在實(shí)際工程中得到廣泛的應(yīng)用。

2）符合國際標(biāo)準(zhǔn)，特別是能夠與其他廠商的網(wǎng)絡(luò)設(shè)備互聯(lián)，適應(yīng)多廠商、多協(xié)議和互操作性的需求。

3）具有良好的可靠性和安全性。

4）具有良好的可擴(kuò)展性。

5）具有良好的性能價(jià)格比。

9 網(wǎng)絡(luò)方案特點(diǎn)優(yōu)勢

1）MPLS-VPN網(wǎng)絡(luò)平臺(tái)是一個(gè)一點(diǎn)接入、多點(diǎn)訪問的網(wǎng)狀網(wǎng)平臺(tái)，網(wǎng)絡(luò)的傳輸能力、接入節(jié)點(diǎn)容量能力均有MPLS-VPN骨干網(wǎng)絡(luò)來保障，隨著企業(yè)業(yè)務(wù)的不斷發(fā)展，可在任一地點(diǎn)提出接入的擴(kuò)展要求；

2）MPLS-VPN網(wǎng)絡(luò)平臺(tái)是全網(wǎng)狀互連，實(shí)現(xiàn)任意兩節(jié)點(diǎn)間的直接通信，而且MPLS-VPN有著極高的安全性與穩(wěn)定性，廣域網(wǎng)傳輸中不存在單點(diǎn)故障，保證企業(yè)的網(wǎng)絡(luò)安全性；

3）按需設(shè)定使用帶寬，企業(yè)可監(jiān)管到每條線路的VPN帶寬使用情況，可根據(jù)企業(yè)各節(jié)點(diǎn)實(shí)際的網(wǎng)絡(luò)流量，方便的進(jìn)行VPN帶寬的增減，在保證質(zhì)量、安全、滿足應(yīng)用的前提下節(jié)省部分運(yùn)營支出，提高整個(gè)網(wǎng)絡(luò)的性價(jià)比；

4）基于這個(gè)網(wǎng)絡(luò)平臺(tái)，除了可以實(shí)現(xiàn)保險(xiǎn)公司關(guān)鍵業(yè)務(wù)數(shù)據(jù)傳輸外，還可支持IP電話系統(tǒng)及高清視頻會(huì)議系統(tǒng)的運(yùn)行。采用MPLS-VPN技術(shù)，可以提供關(guān)鍵數(shù)據(jù)、語音、視頻等對(duì)時(shí)延敏感數(shù)據(jù)的QOS保證，確保以上數(shù)據(jù)比普通數(shù)據(jù)具有較高的優(yōu)先級(jí)；對(duì)不同應(yīng)用設(shè)定不同的優(yōu)先級(jí)別，提供不同的QOS/COS服務(wù)；

5）專業(yè)的網(wǎng)絡(luò)管理服務(wù)平臺(tái)，主動(dòng)式監(jiān)控企業(yè)信息化網(wǎng)絡(luò)的使用狀況，保證線路的通信質(zhì)量。除了普通的網(wǎng)絡(luò)運(yùn)維外，將根據(jù)保險(xiǎn)公司的網(wǎng)絡(luò)情況和發(fā)展戰(zhàn)略，有預(yù)見地提供相關(guān)方案，對(duì)網(wǎng)絡(luò)的未來規(guī)劃有相當(dāng)?shù)慕ㄔO(shè)性；

6）可根據(jù)保險(xiǎn)公司各地分部所在的地理位置及所需線路類型，幫助選擇最滿足其需求及提供最高性價(jià)比的本地線路接入商；并且網(wǎng)絡(luò)出現(xiàn)故障時(shí)由各運(yùn)營商間協(xié)調(diào)處理，免去了企業(yè)與多家運(yùn)營商打交道的繁瑣，且排障時(shí)間更短，效率更高；

7）MPLS-VPN供應(yīng)商可以向企業(yè)用戶提供專業(yè)的網(wǎng)絡(luò)管理服務(wù)，可為企業(yè)提供跨運(yùn)營商的全程全網(wǎng)、全天候的專業(yè)網(wǎng)管。主動(dòng)式網(wǎng)絡(luò)故障管理、網(wǎng)絡(luò)優(yōu)化、每月網(wǎng)管報(bào)告、及服務(wù)質(zhì)量保證承諾等均與國際電信服務(wù)相接軌；

8） MPLS-VPN供應(yīng)商“一站式”服務(wù)：包括一站式業(yè)務(wù)受理、一站式技術(shù)咨詢、一站式工程實(shí)施、一站式收費(fèi)、一站式故障申告、一站式故障處理。MPLS-VPN供應(yīng)商服務(wù)可以簡化了服務(wù)流程，便于快速、優(yōu)質(zhì)、高效的提供服務(wù)，保證企業(yè)VPN網(wǎng)絡(luò)平臺(tái)的全程連通性、網(wǎng)絡(luò)可靠性和穩(wěn)定性；

9）本方案整合網(wǎng)絡(luò)資源能力、先進(jìn)的網(wǎng)絡(luò)管理能力，確保了為企業(yè)MPLS-VPN網(wǎng)絡(luò)平臺(tái)提供高品質(zhì)的SLA服務(wù)承諾，全力保證企業(yè)的高質(zhì)量通信需求，提供包括網(wǎng)絡(luò)可用率、丟包率、雙向時(shí)延等在內(nèi)的網(wǎng)絡(luò)品質(zhì)承諾，為企業(yè)提供電信級(jí)服務(wù)保證。

當(dāng)然，MPLS-VPN供應(yīng)商可以在MPLS-VPN網(wǎng)絡(luò)基礎(chǔ)平臺(tái)的同時(shí)，還可以為企業(yè)提供了IDC托管、云主機(jī)、云存儲(chǔ)以及云視頻等增值服務(wù)，最大限度的滿足客戶的需求，為保險(xiǎn)公司打造一個(gè)統(tǒng)一通信的網(wǎng)絡(luò)平臺(tái)。

參考文獻(xiàn)：

[1] 王晨. MPLS VPN技術(shù)在重慶電力信息通信網(wǎng)絡(luò)優(yōu)化中的應(yīng)用研究[D]. 重慶大學(xué)，2014.

[2] 馮平，袁亮. 精確識(shí)別MPLS L2VPN QoS方法[J]. 通信技術(shù)，2015，（3）.doi：10.3969/j.issn.1002-0802.2015.03.018.

[3] 陳小輝，高燕，劉漢燁. L2TPV3的研究與實(shí)現(xiàn)[J]. 電子設(shè)計(jì)工程，2013，（17）.doi：10.3969/j.issn.1674-6236.2013.17.050.

[4] 陳志宏. MPLS-VPN技術(shù)在電力調(diào)度數(shù)據(jù)網(wǎng)中的應(yīng)用分析[J]. 通訊世界，2017，（9）.doi：10.3969/j.issn.1006-4222.2017.09.143.