利用統(tǒng)一的計算機網(wǎng)絡同時開展多種增值業(yè)務，是各大銀行應用系統(tǒng)的最新發(fā)展趨勢。將各種傳統(tǒng)業(yè)務從專有系統(tǒng)環(huán)境移植到計算機網(wǎng)絡上來，不僅可通過計算機網(wǎng)絡帶來更佳的靈活性、兼容性，而且還可以大大擴展服務范圍，提高服務質量，降低運營成本。然而同時，網(wǎng)絡資源的集中也帶來了一系列新的問題，如不同業(yè)務系統(tǒng)在同一個網(wǎng)絡上承載，如何有效的實現(xiàn)邏輯上的隔離、實現(xiàn)不同類別業(yè)務的區(qū)別服務等等都是需要仔細設計的環(huán)節(jié)。
　　
　　隨著中國金融系統(tǒng)網(wǎng)絡大集中的逐步實施，網(wǎng)絡業(yè)務橫向集中，網(wǎng)絡架構縱向集中的趨勢日趨深刻，而業(yè)務網(wǎng)絡物理統(tǒng)一，邏輯上要求安全隔離的呼聲也越來越高，如何在統(tǒng)一的網(wǎng)絡平臺上高效、安全而經(jīng)濟的實現(xiàn)新一代金融網(wǎng)絡的需求，成為金融用戶、網(wǎng)絡方案供應商、網(wǎng)絡設備供應商面臨的共同問題。
　　
　　華為技術有限公司致力于提供面向用戶的，可裁剪、可擴展、高效、實施簡便的專業(yè)化金融網(wǎng)絡解決方案，面向上述需求，華為公司推出了基于Quidway 系列網(wǎng)絡產(chǎn)品平臺MPLS和IPSEC技術的一體化VPN解決方案。
　　
　　MPLS VPN 技術概述
　　
　　MPLS（多協(xié)議標簽交換）技術最初是用來提高路由器的轉發(fā)速度而提出的一個協(xié)議。但是由于MPLS在流量工程和VPN這兩項在目前IP網(wǎng)絡中非常關鍵的技術中的表現(xiàn)，MPLS已日益成為擴大IP網(wǎng)絡規(guī)模的重要標準。
　　
　　MPLS協(xié)議的關鍵是引入了標簽（Label ）交換概念。標簽是一種短的，易于處理的，不包含拓撲信息，只具有局部意義的信息內容。
　　
　　基于BGP4的MPLS VPN技術是一種運營級的VPN技術，在網(wǎng)狀網(wǎng)以及需要在同一個IP網(wǎng)絡上承載多個相互獨立的VPN的時候，MPLS VPN表現(xiàn)出強大的擴展性和高性能。
　　
　　基于MPLS的VPN特性必須實現(xiàn)如下功能：LDP（Label Distribution Protocol）標簽分布協(xié)議，是MPLS的信令協(xié)議，用以管理和分配標簽；MPLS轉發(fā)模塊，根據(jù)報文上的標簽和本地映射表進行二、三層間交換；MBGP和BGP擴展，用來傳遞VPN路由和承載VPN屬性、QoS信息、標簽等內容；路由管理的VPN擴展，建立多路由表，用以支持VPN路由。
　　
　　在MPLS VPN網(wǎng)絡中，有必要引入三個概念：
　　
　　CE（Custom Edge）用戶Site中直接與服務提供商相連的邊緣設備，一般是路由器，也可以是交換機或者主機；
　　PE（Provider Edge）骨干網(wǎng)中的邊緣設備，它直接與用戶的CE相連；
　　P 路由器（Provider Router）骨干網(wǎng)中不與CE直接相連的設備。
　　所有的VPN的構建、連接和管理工作都是在PE上進行的。PE位于服務提供商網(wǎng)絡的邊緣，從PE的角度來看，用戶的一個連通的IP 系統(tǒng)被視為一個site ，每一個site通過CE與PE相連，site 是構成VPN的基本單元。 一個VPN是由多個site組成的，一個site 也可以同時屬于不同的VPN。 屬于同一個VPN的兩個site通過服務提供商的公共網(wǎng)絡相連，VPN數(shù)據(jù)在公共網(wǎng)絡上傳播，必須要保證數(shù)據(jù)傳輸?shù)乃接行院桶踩浴?也就是說，從屬于某個VPN的site 發(fā)送出來的報文只能轉發(fā)到同樣屬于這個VPN的site 里去，而不能被轉發(fā)到其他site 中去。同時，任何兩個沒有共同的site 的VPN都可以使用重疊的地址空間，即在用戶的私有網(wǎng)絡中使用自己獨立的地址空間，而不用考慮是否與其他VPN或公網(wǎng)的地址空間沖突，這也是MPLS VPN適合多業(yè)務多用戶網(wǎng)絡使用的主要原因之一。
　　
　　華為公司MPLS/BGP VPN解決方案可以為金融網(wǎng)絡提供一種基于網(wǎng)絡、易于管理、擴充性好、安全且具有QoS保障、可在任意節(jié)點間連接的VPN。
　　
　?。?） 基于網(wǎng)絡，易于管理：這種基于網(wǎng)絡的VPN可以完全由骨干網(wǎng)絡來實現(xiàn)，不同業(yè)務用戶可將VPN的管理完全“托管”給骨干網(wǎng)絡管理機構，即最終業(yè)務網(wǎng)絡用戶完全感覺不到該業(yè)務網(wǎng)與其他業(yè)務網(wǎng)絡的集成（就像使用物理上獨立的一套網(wǎng)絡一樣），不用了解VPN是如何構造和連接的，由骨干網(wǎng)絡管理機構在其網(wǎng)絡內構建完成。MPLS VPN可以顯著地減少運營商和用戶的投資，特別適合于金融企業(yè)用戶集中多業(yè)務網(wǎng)絡實現(xiàn)Intranet、Extranet。
　　
　?。?） 擴充性好：由于基于MPLS/BGP實現(xiàn)，因此很容易對網(wǎng)絡節(jié)點進行擴充，網(wǎng)絡可剪裁性好。
　　
　?。?）安全：由于基于MPLS/BGP實現(xiàn)，報文在網(wǎng)絡節(jié)點構成的MPLS域中采用標簽轉發(fā)的形式進行交換（LSP），因此具有同ATM/FR虛電路相同的安全級別。
　　
　?。?）QOS: 由于基于MPLS/BGP實現(xiàn)，可以利用MPLS技術特有的CoS、RSVP,流量工程等機制，從而能夠為用戶實現(xiàn)有QoS保證的VPN。
　　
　　Quidway MPLS采用虛擬路由表的方法來實現(xiàn)一個路由器上多個VPN的路由表。每一個VPN對應一個或多個VRFs(VPN routing/forwarding instance)。VRF定義連接到PE上的VPN成員(一個site)資格。一個VRF包括一個IP路由表、一個FIB( forwarding information table)表、相關聯(lián)的端口、和一些控制路由的規(guī)則和參數(shù)。
　　
　　一個PE路由器可通過靜態(tài)路由、RIP或BGP從CE處得到某一個IP前綴的路由，該前綴是標準IPv4的前綴。然后，PE通過加上一個8字節(jié)的RD(route distinguisher)將它轉換成為一個VPN-IPv4的前綴，該前綴屬于VPN-IPv4的前綴。通過這種方法，可以使用戶地址唯一，即使用戶使用的是IANA規(guī)定的保留地址。
　　
　　MBGP協(xié)議為VPN的每個VPN-IPv4前綴傳遞NLRI(Network Layer Reachability Information)。BGP實體之間的通信出現(xiàn)在兩個地方，AS內的iBGP和AS間的EBGP，PE-PE和PE-RR(route reflector)之間為iBGP，PE-CE之間為EBGP。
　　
　　Multiprotocol Extensions for BGP-4)來傳遞VPN-IPv4的路由可達性信息，多協(xié)議擴展的BGP采用的方法為限定BGP的peer只能從其它VPN的同伴處得到BGP路由。
　　
　　PE路由器為每一個從CE路由器學到的前綴產(chǎn)生一個label，然后將這個label作為一個BGP Communities屬性附加到BGP更新中傳遞出去。當一個源PE路由器從CE路由器處得到一個IP包，它使用從目標PE路由器學到的label將該IP包發(fā)送出去。當目標PE路由器得到這個labeled IP包后，將label從IP包中去除，作為一個純IP包發(fā)送到CE路由器。
　　
　　1、 第一層label指示到正確的目標PE路由器；
　　
　　2、 第二層label給目標PE路由器指示，到哪一個其連接的site鏈路。
　　
　　
　　圖1.Quidway MPLS VPN解決方案
　　
　　圖示為一個企業(yè)集團的內部私網(wǎng)，相對于主干網(wǎng)來說所有的site屬于幾個VPN，就可以用幾個RD來標識，圖中假設RD：1010屬于儲蓄業(yè)務用戶，而RD：99和RD：90分別屬于另兩種業(yè)務用戶，假設是OA和清算等等。作為MPLS VPN的最大特點之一，不同的業(yè)務VPN可以使用相同的地址段，這對于結構龐大，地址資源嚴重不足的集團用戶來說，是IP V6以外的另一種可行的地址資源解決方案。
　　
　　對于中心節(jié)點上的共有資源，如DB以及金融的大型機等設施，可以通過三層交換機來實現(xiàn)互聯(lián)，不同的VPN通過PE不同的VLAN 子接口接入三層交換機，通過三層交換機訪問公共資源，返回的數(shù)據(jù)報文通過VLAN信息進入正確的VLAN，從而回到正確的VPN中。如果不同VPN中的地址段重復（沖突），可以在PE的VLAN子接口中設置NAT（地址轉換），將其轉換到企業(yè)網(wǎng)公有地址段中。對于訪問INTERNET等應用，同樣可以采取這種方案。
　　
　　組合解決方案示意如圖2所示：
　　
　　
　　
　　圖2.組合MPLS和IPSEC/GRE的解決方案
　　
　　在我們對不同的網(wǎng)絡層次選擇適用的技術的時候，往往不能回避兼顧這樣幾個方面的問題：
　　1．最大程度保證現(xiàn)有設備的可用和其適用效率；
　　2．網(wǎng)絡的擴展性保證；
　　3．網(wǎng)絡的安全性保證；
　　4．網(wǎng)絡的可管理性保證；
　　
　　與上一部分我們提出的全網(wǎng)MPLS相區(qū)別，在這一部分描述的解決方案中，我們在邊緣網(wǎng)絡更多的選擇現(xiàn)有通用VPN技術，如L2TP、GRE、IPsec等。
　　
　　L2TP、GRE和IPSEC是目前廣泛使用的IP VPN技術。L2TP是一種二層隧道協(xié)議，目前使用已經(jīng)較少，GRE這種三層隧道技術以其廣泛的兼容性和維護的簡單性，獲得了大面積的使用，配合IPSEC提供的安全特性，GRE+IPSEC已經(jīng)成為隧道VPN技術應用的典范。
　　
　　考慮GRE+IPSEC實施方案的一個目的是在實現(xiàn)私有網(wǎng)的同時兼顧網(wǎng)絡的高安全性，正如用戶所顧慮的，在敏感數(shù)據(jù)網(wǎng)，越靠近邊緣往往從制度上保證的安全措施越薄弱，而對于金融業(yè)務網(wǎng)絡，任何數(shù)據(jù)都是至關重要的，所以，我們有必要在使用安全性較低的內聯(lián)網(wǎng)平臺的情況下，充分考慮VPN實施的安全特性。
　　
　　正如圖三顯示的，我們在省行以下的VPN實施主要依靠兩個VPN協(xié)議進行，與上級MPLS VPN的對接實現(xiàn)在PE設備（華為Qudiway NE08/16E/3600設備）上， 圖中的紅色虛線顯示了IPSEC隧道的起止位置。為了解決IPSEC對網(wǎng)絡系統(tǒng)的資源占用問題，對于隧道數(shù)目較多的網(wǎng)絡，可以在PE設備旁邊配置一臺Quidway R3600設備作為IPSEC隧道網(wǎng)關，在R3600上擴展一塊（根據(jù)需要或者是兩塊）華為公司出品的網(wǎng)絡安全處理器模塊，就可以集中、高效的處理來自下級網(wǎng)絡各地市、縣分支處理點建立的IPSEC隧道加解密任務，從而實現(xiàn)安全的VPN接入。
　　
　　在Quidway的VPN實施建議中，加密算法最高可以選擇3DES進行，下端地市、縣的分理處處于IPSEC星型結構的末端，支持此算法不必要使用硬件加密卡。關于IPSEC以及相關技術，可以參考華為公司提供的《網(wǎng)絡安全白皮書》以及《網(wǎng)絡安全解決方案》文檔，相關文檔可以在華為公司數(shù)據(jù)通信網(wǎng)站（http://datacomm.huawei.com）上獲取。
　　
　　在此方案中，GRE隧道開始于接入網(wǎng)上端的第一個路由設備，在局域網(wǎng)中，通過802.1Q VLAN實現(xiàn)各業(yè)務系統(tǒng)的二層隔離。
　　
　　下面我們看一下數(shù)據(jù)流的傳輸流程：
　　在路由器的入端口，網(wǎng)絡操作系統(tǒng)通過IP報文的子網(wǎng)信息或者直接依據(jù)802.1Q TAG進行流的分類，區(qū)別普通OA和支付數(shù)據(jù)報文，支付報文直.