【答案解析】本题涉及MPLS技术、MPLS/VPN等领域的内容。
虚拟专用网(Virreal Private Network, VPN)就是利用Internet或其他公共互连网络的基础设施建立专用数据传输通道，将远程的分支机构、移动办公人员等连接起来，实现不同网络的组件和资源之间的相互连接，是通过隧道技术在公共数据网络上虚拟出一条点到点的专线技术。
在虚拟专用网中，任意两个结点之间的连接并没有传统专用网所需的端到端的物理链路，而是利用某种公众网的资源动态组成的。
VPN主要采用4项技术来保证安全，这4项技术分别为隧道技术(Tunneling)、加解密技术(Encryption & Decryption)、密钥管理技术(Key Management)、认证技术(Authentication)。
隧道技术就是利用隧道协议对隧道两端的数据进行封装的技术，利用一种协议来传输另外一种协议的技术，共涉及3种协议，包括：乘客协议、隧道协议和承载协议，隧道协议可以分别是第二层或第三层隧道协议。第二层隧道协议是先把各种网络协议封装到PPP中，再把整个数据包装入隧道协议中；这种双层封装方法形成的数据包靠第二层协议进行传输；第二层隧道协议有L2F、PPTP、L2TP等。第三层隧道协议则借助于网络层协议来进行封装，典型代表是IPSec；IPSec本身不是隧道协议，但由于其提供的认证、加密功能适用于建立VPN环境，它既能提供LAN问VPN，也能提供远程访问型VPN。而MPLS VPN则是一种借助于标签交换技术，利用公用MPLS基础设施实现多个用户网络承载，是一种介于第二层和第三层之间的技术。
L2TP封装的乘客协议是位于第二层的PPP，如下图所示。
[*]
L2TP在数据传输过程中，并没有对数据进行加密。
IPSec只能工作在IP层，要求乘客协议和承载协议都是IP协议，如下图所示。
[*]
IPSec在传输数据过程中，可以对被封装的数据包进行加密和摘要等，以进一步提高数据传输的安全性。
MPLS VPN技术借助于一个公用的MPLS域，在入口边缘路由器为每个包加上MPLS标签，核心路由器根据标签值进行转发，出口边缘路由器再去掉标签，恢复原来的IP包，如图所示。
MPLS标答位于二层和三层之间，其协议封装如下图所示。
[*]

【正确答案】[*]
画图要点：
·接入路由器直接连接电子政务外网。
·防火墙直接连接单位内部网络。
·防火墙与接入路由器直接相连。
·防火墙的DMZ口添置一台DMZ交换机。
·前置服务器与DMZ交换机直接相连。

【答案解析】电子政务网络一般分为电子政务内网和电子政务外网，其中，电子政务外网是一个非涉密性质的网络，可以借助于特定的安全手段，实现普通信息和敏感信息的传递；电子政务外网在实现部门和下级单位接入时，主要采用逻辑隔离方式接入，即指两个网络之间存在着受控的网络协议传递，信息借助于防火墙或者具有过滤功能的路由器实现交换的方式。
逻辑隔离接入方式适用于大多数部门，其内部网络为实现对内部信息与资源实施保护，在受控的情况下与外网进行连接。由于电子政务网络建设主要为政务信息资源目录体系、政务信息资源交换体系、各类电子政务应用系统提供运行和承载环境；在实现部门网络接入的同时，需要为信息和数据的交换提供有效的技术支撑；因此，部门网络借助于防火墙或路由器完成与电子政务外网主干的连接，通过受控的网络协议现信息交换。
传统意义上的部门逻辑接入方式如下图所示。
[*]
为完成各部门网络接入电子政务外网平台，必须配置特定的网络接入设备，这些设备主要包括接入路由器、防火墙、前置服务器、DMZ交换机等。
接入路由器是实现单位接入的关键设备，通过运行路由算法，保持和外网平台的连通性。
前置服务器是完成单位内部网络和外网平台数据交换的关键设备，通过前置数据库、交换中间件等实现数据的交换。
防火墙是完成逻辑隔离的关键设备，其强大的过滤机制、DMZ区域设置等技术，保证了外网平台与单位网络之间的受控信息传递。
DMZ交换机：DMZ交换机用于扩展防火墙的：DMZ区域，实现多台服务器在防火墙DMZ区域的接入。

【正确答案】VPN接口配置。 ·在PE上创建VRF。 ·配置RD、RT(export RT和import RT)。 ·将相应的接口加入VPN实例中。 ·进入接口配置模式，配置接口的IP地址。 (2)PE-CE配置。 ·配置PE-CE之间的路由协议。 ·将BGP路由引入PE-CE的路由协议。 ·PE上启用路由协议MP-iBGP，并设置自治区号。 ·建立IPv4 VRF实例的邻居关系，激活并传递VRF路由。 ·在MP-iBGP的IPv4 VRF实例地址簇中引入路由信息。 (3)OSPF配置。 ·在PE和P路由器启用OSPF路由协议用于标签交换。 ·配置路由区域及宣告网络信息。 (4)MPLS配置。 ·在PE和P启用路由器的MPLS LDP标签协议。 ·在网络接口上启用MPLS LDP标签协议。

【答案解析】MPLS最初是用来提高路由器的转发速度而提出的一个协议，MPLS的关键是引入了标签(Label)交换概念；标签是一种短的、易于处理的、不包含拓扑信息、只具有局部意义的信息内容。 在MPLS网络中，IP包在进入第一个MPLS设备时，MPLS边缘路由器分析IP包的内容并且为这些IP包选择合适的标签；以后所有MPLS网络中结点都是依据这个标签作为转发依据；当IP包最终离开MPLS网络时，标签被边缘路由器分离。 MPLS在逻辑上可以分为LER(Label Switching Edge Router)和LSR(Label Switching Router)；其中，LER是MPLS网络同其他网络的边缘设备，它提供流量分类和标签映射、标签移除的功能；而LSR是MPLS网络的核心交换机，它提供标签交换、标签分发的功能。 作为一种高效的IP骨干网技术平台，MPLS为实现VPN提供了一种灵活的并且具有可扩展性的技术基础，并且具有网络配置简单、动态发现相邻结点、直接利用现有路由协议、具有良好的可扩展性等特点。 为支持基于MPLS的VPN特性必须实现如下功能： ·标签分布协议(Label Distribution Protocol, LDP)，是MPLS的信令协议，用以管理和分配标签。 ·MPLS转发模块，根据报文上的标签和本地映射表进行二、三层间交换。 ·MBGP和BGP扩展，用来传递VPN路由和承载VPN属性、QoS信息、标签等内容。 ·路由管理的VPN扩展，建立多路由表，用以支持VPN路由。 在MPLS VPN的连接模型中，网络由运营商的骨干网与用户的各个Site组成，所谓VPN就是对Site集合的划分，一个VPN就对应一个由若干Site组成的集合。而MPLS VPN网络中的路由设备，也相应分为3类： ·CE(Custom Edge)——用户Site中直接与服务提供商相连的边缘设备。 ·PE(Provider Edge)——骨干网中的边缘设备，它直接与用户的CE相连。 ·P路由器(Provider Router)——骨干网中不与CE直接相连的设备。 MPLS VPN的组成原理如下： (1)MPLS VPN的网络构造由服务提供商来完成。在这种网络构造中，由服务提供商向用户提供VPN服务，用户感觉不到公共网络的存在，就好像拥有独立的网络资源一样。 (2)同样，对于服务提供商骨干网络内部的P路由器，也就是不与CE直接相连的路由器而言，也不知道有VPN的存在，仅仅负责骨干网内部的数据传输。但其必须能够支持MPLS协议，并将该协议置为使能状态。 (3)所有VPN的构建、连接和管理工作都是在PE上进行的。PE位于服务提供商网络的边缘，从PE的角度来看，用户的一个连通的IP系统被视为一个Site，每一个Site通过CE与PE相连，Site是构成VPN的基本单元。 (4)一个VPN是由多个Site组成的，一个Site也可以同时属于不同的VPN。属于同一个VPN的两个Site通过服务提供商的公共网络相连，VPN数据在公共网络上传播，必须要保证数据传输的私有性和安全性。也就是说，从属于某个VPN的Site发送出来的报文只能转发到同样属于这个VPN的Site里去，而不能被转发到其他Site中去。 (5)同时，任何两个没有共同的Site的VPN都可以使用重叠的地址空间，即在用户的私有网络中使用自己独立的地址空间，而不用考虑是否与其他、VPN或公网的地址空间冲突。所有这些就都需要依赖于VRF(VPN Routing & Forwaiding Instance)。 关于VPN路由转发实例(VPN Routing ＆ Forwarding Instance)、路由标识(RouteDistinguisher)、多协议BGP(MultiProtocol BGP)、BGP扩展团体属性(ExtendedCommunity)、BGP路由刷新(Route Refresh)的详细技术内容，在本书中不做介绍，请参阅相关技术资料。