问答题
阅读以下关于某电子政务网络平台的叙述,根据要求回答问题。
[说明]
某省准备建立电子政务网络平台,实现全省上下各级部门之间的信息交换和资源共享。遵照《国家信息化领导小组关于推进国家电子政务网络建设的意见》的要求,电子政务网络分为电子政务外网和电子政务内网,该省即将建设的网络平台被定性为“非涉密”的电子政务外网。在第一期工程中,主要建设覆盖省直部门和各地市州的电子政务外网。电子政务外网是办公自动化、行政审批、电子监察等跨部门应用系统的运行网络,还是一个网络承载平台,可以承载各类VPN。例如,在当前的省级外网平台建设中,外网平台就需要承载两个VPN:(1)互连各个部门的国库支付VPN;(2)互连各个部门的视频监控VPN。
[说明]
某省准备建立电子政务网络平台,实现全省上下各级部门之间的信息交换和资源共享。遵照《国家信息化领导小组关于推进国家电子政务网络建设的意见》的要求,电子政务网络分为电子政务外网和电子政务内网,该省即将建设的网络平台被定性为“非涉密”的电子政务外网。在第一期工程中,主要建设覆盖省直部门和各地市州的电子政务外网。电子政务外网是办公自动化、行政审批、电子监察等跨部门应用系统的运行网络,还是一个网络承载平台,可以承载各类VPN。例如,在当前的省级外网平台建设中,外网平台就需要承载两个VPN:(1)互连各个部门的国库支付VPN;(2)互连各个部门的视频监控VPN。
问答题
电子政务外网承载VPN,可以采用L2TP、MPLS
VPN、IPSec三类技术,请对三种技术进行比较,将有关内容填入表1的空白中(备注档不用填)。
| {{B}}表1 VPN技术比较{{/B}} | |||||||||||||||||||||||||||||||||||
| 比较项目 | L2TP | MPLS VPN | IPSec | 对隧道的协议层次进行比较 | |||||||||||||||||||||||||||||||
| 隧道协议层次 | 对隧道的协议层次进行比较 | ||||||||||||||||||||||||||||||||||
| 是否支持数据加密 | |||||||||||||||||||||||||||||||||||
| 设备的要求 | 比较网络核心、边缘设备的协议支持 要求 | ||||||||||||||||||||||||||||||||||
| 是否支持移动VPN客 户端 |
|||||||||||||||||||||||||||||||||||
【正确答案】
| {{B}}表2 主要VPN技术比较{{/B}} | |||||||||||||||||||||||||||||||||||||||||||||||||||||||
| 比较项目 | L2TP | MPLS VPN | IPSec | ||||||||||||||||||||||||||||||||||||||||||||||||||||
| 隧道协议层次 | 第二层 | 介于第二层和第三层之间(或两 层半) |
第三层 | ||||||||||||||||||||||||||||||||||||||||||||||||||||
| 是否支持数据加密 | 不支持 | 不支持 | 支持 | ||||||||||||||||||||||||||||||||||||||||||||||||||||
| 设备的要求 | 只要求边缘设备支持 L2TP |
要求边缘和核心设备都支持 MPLS |
只要求边缘设备支持IPSec | ||||||||||||||||||||||||||||||||||||||||||||||||||||
| 是否支持移动VPN客户端 | 支持 | 不支持 | 支持 | ||||||||||||||||||||||||||||||||||||||||||||||||||||
【答案解析】虚拟专用网(VPN)技术主要采用隧道技术、加解密技术、密钥管理技术、使用者与设备身份认证技术来保证内部数据通过Internet的安全传输。其中,隧道技术是VPN的基本技术,类似于点对点连接技术,它在公用网建立一条数据通道(隧道),让数据包通过这条隧道传输。它是一种是利用隧道协议对隧道两端的数据进行封装的技术。隧道是由隧道协议形成的,而隧道协议可以分为第二层隧道协议和第三层隧道协议。
第二层隧道协议主要有L2F、PPTP、L2TP等。第二层隧道协议是先将各种网络协议封装到PPP中,再将整个数据包装入隧道协议中。这种双层封装方法形成的数据包靠第二层协议进行传输。利用某种协议来传输另一种协议的技术,共涉及乘客协议、隧道协议和承载协议三种协议。L2TP封装的乘客协议是位于第二层的PPP协议,而承载协议可以是IP、ATM和帧中继等。L2TP在数据封装、数据传输过程中并没有采取对数据进行加密的措施。
L2TP是一种典型的被动式隧道协议,它可从客户端或访问服务器端发起VPN连接,可以随时随地进行访问接入。由L2TPv2构建的VPN网络中,只要求网络边缘设备支持L2TP。它主要由L2TP访问集中器(LAC)和L2TP网络服务器(LNS)两种类型的服务器构成。其中,LAC支持客户端的L2TP,用于发起呼叫、接收呼叫和建立隧道,是一种附属在网络上的具有PPP端系统和L2TPv2协议处理能力的设备。LNS是PPP端系统上用于处理L2TP服务器端部分的软件,是所有隧道的终点,LNS终止所有的PPP流。在传统的PPP连接中,用户拨号连接的终点是LAC,L2TP使得PPP的终点延伸到LNS。由于L2TP通信对中间转发设备没有特殊要求,因此L2TPVPN可以支持移动VPN客户端。
第三层隧道协议是将各种网络协议直接装入隧道协议中,封装形成的数据包依靠第三层协议进行传输,其典型代表是IP安全协议(IPSec)。IPSec是在网络层提供安全的一组协议,主要有两个协议:身份认证头(AH)协议和封装安全负载(ESP)协议。其中,AH协议提供了源身份认证和数据完整性,但是没有提供加密服务。ESP提供了数据完整性、身份认证和数据加密等服务。换而言之,IPSec在传输数据过程中,可以对被封装的数据包进行加密和摘要等操作,以进一步提高数据传输的安全性。
由于IPSec只能工作在网络层,因此其要求乘客协议和承载协议都是IP协议。由IPSec构建的VPN网络中,只要求网络边缘设备支持IPSec。由于IPSec传输模式、隧道模式这两种工作模式对网络传输的中间转发设备都没有特殊要求,因此IPSec VPN可以支持移动VPN客户端,可以随时随地进行访问接入。通常,IPSec VPN需要先安装客户端并完成相关配置之后才能建立通信信道,其连接性还可能会受到网络地址转换(NAT)的影响。IPSecVPN技术本身的特性决定了它一般不适合在结构复杂的网络中应用,这是因为它需要解决穿越防火墙、IP地址冲突等问题。IPSec VPN在部署时,要考虑组织机构的全网拓扑结构、IP地址规划、路由规划等诸多因素。当增添新的IPSec VPN设备时,往往需要修改网络拓扑结构,从而造成IPSec VPN的可扩展性比较差。
多协议标签交换(MPLS)是一种用于快速数据包交换和路由的体系,它为网络数据流量提供了目标、路由、转发和交换等能力。它将IP地址映射为简单的、具有固定长度的标签,用于不同的包转发和包交换技术。基于MPLS的VPN是一种基于网络的新型VPN解决方案,它利用MPLS的标记交换技术在广域网络上为VPN用户提供虚拟连接。MPLS VPN是一种介于第二层和第三层之间的隧道协议。它借助于一个公用的MPLS域,在入口边缘路由器为每个IP包添加MPLS标签,核心路由器根据标签值进行转发,出口边缘路由器再去除MPLS标签,恢复原来的IP包。MPLS标签位于第二层和第三层之间。
与IPSec VPN相比,在安全性能方面,MPLS VPN略显劣势。虽然MPLS VPN采用路由隔离、地址隔离等手段防范网络攻击和网络欺骗等,但它所传输的数据是明文的,存在较大的安全漏洞。但是MPLS VPN在支持网络服务质量(QoS)方面具有天然的优势,能够帮助网络服务提供商(ISP)区分出各种业务流量,并准许它们各自拥有不同的优先权。
基于MPLS构建的VPN网络中,要求网络边缘设备(PE)和核心路由设备(P)都支持MPLS。MPLS VPN必须依赖路由协议来准确地传播可达性信息,完成与标记分发等相关工作。由于MPLS协议工作时其传输网络的核心部分需要支持MPLS的核心路由设备(P)的参与,因此MPLS VPN不支持移动VPN客户端。
根据以上分析可知,L2TP、IPSec、MPLS VPN这三类VPN各具特色,互有优缺点。它们在隧道协议层次、是否支持数据加密、网络核心设备和边缘设备的协议支持要求、是否支持移动VPN客户端等方面的异同点见表2。在实践应用中,需要结合具体的用户需求因地制宜地选择使用哪种或哪几种组合的VPN接入方式。
第二层隧道协议主要有L2F、PPTP、L2TP等。第二层隧道协议是先将各种网络协议封装到PPP中,再将整个数据包装入隧道协议中。这种双层封装方法形成的数据包靠第二层协议进行传输。利用某种协议来传输另一种协议的技术,共涉及乘客协议、隧道协议和承载协议三种协议。L2TP封装的乘客协议是位于第二层的PPP协议,而承载协议可以是IP、ATM和帧中继等。L2TP在数据封装、数据传输过程中并没有采取对数据进行加密的措施。
L2TP是一种典型的被动式隧道协议,它可从客户端或访问服务器端发起VPN连接,可以随时随地进行访问接入。由L2TPv2构建的VPN网络中,只要求网络边缘设备支持L2TP。它主要由L2TP访问集中器(LAC)和L2TP网络服务器(LNS)两种类型的服务器构成。其中,LAC支持客户端的L2TP,用于发起呼叫、接收呼叫和建立隧道,是一种附属在网络上的具有PPP端系统和L2TPv2协议处理能力的设备。LNS是PPP端系统上用于处理L2TP服务器端部分的软件,是所有隧道的终点,LNS终止所有的PPP流。在传统的PPP连接中,用户拨号连接的终点是LAC,L2TP使得PPP的终点延伸到LNS。由于L2TP通信对中间转发设备没有特殊要求,因此L2TPVPN可以支持移动VPN客户端。
第三层隧道协议是将各种网络协议直接装入隧道协议中,封装形成的数据包依靠第三层协议进行传输,其典型代表是IP安全协议(IPSec)。IPSec是在网络层提供安全的一组协议,主要有两个协议:身份认证头(AH)协议和封装安全负载(ESP)协议。其中,AH协议提供了源身份认证和数据完整性,但是没有提供加密服务。ESP提供了数据完整性、身份认证和数据加密等服务。换而言之,IPSec在传输数据过程中,可以对被封装的数据包进行加密和摘要等操作,以进一步提高数据传输的安全性。
由于IPSec只能工作在网络层,因此其要求乘客协议和承载协议都是IP协议。由IPSec构建的VPN网络中,只要求网络边缘设备支持IPSec。由于IPSec传输模式、隧道模式这两种工作模式对网络传输的中间转发设备都没有特殊要求,因此IPSec VPN可以支持移动VPN客户端,可以随时随地进行访问接入。通常,IPSec VPN需要先安装客户端并完成相关配置之后才能建立通信信道,其连接性还可能会受到网络地址转换(NAT)的影响。IPSecVPN技术本身的特性决定了它一般不适合在结构复杂的网络中应用,这是因为它需要解决穿越防火墙、IP地址冲突等问题。IPSec VPN在部署时,要考虑组织机构的全网拓扑结构、IP地址规划、路由规划等诸多因素。当增添新的IPSec VPN设备时,往往需要修改网络拓扑结构,从而造成IPSec VPN的可扩展性比较差。
多协议标签交换(MPLS)是一种用于快速数据包交换和路由的体系,它为网络数据流量提供了目标、路由、转发和交换等能力。它将IP地址映射为简单的、具有固定长度的标签,用于不同的包转发和包交换技术。基于MPLS的VPN是一种基于网络的新型VPN解决方案,它利用MPLS的标记交换技术在广域网络上为VPN用户提供虚拟连接。MPLS VPN是一种介于第二层和第三层之间的隧道协议。它借助于一个公用的MPLS域,在入口边缘路由器为每个IP包添加MPLS标签,核心路由器根据标签值进行转发,出口边缘路由器再去除MPLS标签,恢复原来的IP包。MPLS标签位于第二层和第三层之间。
与IPSec VPN相比,在安全性能方面,MPLS VPN略显劣势。虽然MPLS VPN采用路由隔离、地址隔离等手段防范网络攻击和网络欺骗等,但它所传输的数据是明文的,存在较大的安全漏洞。但是MPLS VPN在支持网络服务质量(QoS)方面具有天然的优势,能够帮助网络服务提供商(ISP)区分出各种业务流量,并准许它们各自拥有不同的优先权。
基于MPLS构建的VPN网络中,要求网络边缘设备(PE)和核心路由设备(P)都支持MPLS。MPLS VPN必须依赖路由协议来准确地传播可达性信息,完成与标记分发等相关工作。由于MPLS协议工作时其传输网络的核心部分需要支持MPLS的核心路由设备(P)的参与,因此MPLS VPN不支持移动VPN客户端。
根据以上分析可知,L2TP、IPSec、MPLS VPN这三类VPN各具特色,互有优缺点。它们在隧道协议层次、是否支持数据加密、网络核心设备和边缘设备的协议支持要求、是否支持移动VPN客户端等方面的异同点见表2。在实践应用中,需要结合具体的用户需求因地制宜地选择使用哪种或哪几种组合的VPN接入方式。
| {{B}}表2 主要VPN技术比较{{/B}} | |||||||||||||||||||||||||||||||||||||||||||||||||||||||
| 比较项目 | L2TP | MPLS VPN | IPSec | ||||||||||||||||||||||||||||||||||||||||||||||||||||
| 隧道协议层次 | 第二层 | 介于第二层和第三层之间(或两 层半) |
第三层 | ||||||||||||||||||||||||||||||||||||||||||||||||||||
| 是否支持数据加密 | 不支持 | 不支持 | 支持 | ||||||||||||||||||||||||||||||||||||||||||||||||||||
| 设备的要求 | 只要求边缘设备支持 L2TP |
要求边缘和核心设备都支持 MPLS |
只要求边缘设备支持IPSec | ||||||||||||||||||||||||||||||||||||||||||||||||||||
| 是否支持移动VPN客户端 | 支持 | 不支持 | 支持 | ||||||||||||||||||||||||||||||||||||||||||||||||||||
问答题
各地市州、各省直部门在接入电子政务外网平台时,需要配置接入路由器、防火墙、前置服务器,请考虑如下连接要求,并添加相应的连接线路或设备,给出接入电子政务外网的设备连接图。
(1)部门网络与电子政务外网之间为逻辑隔离。
(2)部门应用系统主动把数据推送至前置服务器,数据中心在进行数据获取时,不允许进入部门网络。
(3)在调试防火墙的各类过滤规则时,不会对电子政务外网的路由造成影响。
(4)可根据用户负载的需要,随时添置前置服务器。
【正确答案】如图2所示,画图要点:
接入路由器直接连接电子政务外网;
防火墙与接入路由器直接相连;
防火墙直接连接单位内部网络;
防火墙的DMZ口添置一台DMZ交换机;
前置服务器与DMZ交换机直接相连
【答案解析】依题意,该省待建网络项目被定性为“非涉密”性质的电子政务外网。它可以借助于特定的安全手段,实现普通信息和内部敏感信息之间的数据传输与交换。通常,采用逻辑隔离方式将各地市州、各省直部门的内部网络接入到电子政务外网省级平台中。两个网络之间存在着受控的网络协议传递,数据信息借助于防火墙(或者具有过滤功能的路由器等)实现安全的交换。
本问题题干中已给出了“接入路由器”、“防火墙”、“前置服务器”3种设备,并允许根据设计需求而“添加相应的连接线路或设备”。防火墙是一种用来加强网络之间访问控制、防止外部网络用户以非法手段通过外部网络进入内部受控网络、访问内部网络资源,保护内部网络操作环境的特殊网络互连设备。通常,实现两个网络之间的逻辑隔离主要采用防火墙等设备,它能够完成与电子政务外网主干的连接,并通过受控的网络协议实现对内部信息与资源的保护。据此,对于试题要求的连接要求(1),可以先考虑将防火墙的外网口连接至电子政务外网省级平台,内网口连接至各接入单位内部网络。
前置服务器是完成单位内部网络和外网平台数据交换的关键设备,通过前置数据库、交换中问件等实现数据的交换。它是不同网络之间数据传输的唯一通道,能够进一步加强各个网络系统之间信息交互的安全性。而防火墙的DMZ区也称为非军事区,它是为了解决安装防火墙后外部网络不能访问内部网络服务器的问题,而设立的一个非安全系统与安全系统之间的缓冲区。它是内网服务器的一个代理区域,用于替代内网服务器供外网用户访问,使得内网服务器不直接暴露给外网用户。据此,对于试题要求的连接要求(2),可以考虑将前置服务器部署在防火墙的DMZ区,使得处在内网口的部门应用系统能够“主动把数据推送至前置服务器”(因为内网口可以访问DMZ口);而处在外网口的省级数据中心可以从前置服务器获取相关数据(因为外网口可以访问DMZ口),但不能进入各接入单位的内部网络(因为外网口和DMZ口都不能直接访问内网口)。
通常,接入路由器是一种位于各接入单位网络的外围(边缘)的网络互连设备,主要完成路由的边界计算,保持与外网平台的连通性。考虑到连接要求(3)的相关需求,需要考虑将接入路由器部署在电子政务外网省级平台与防火墙之间,即部署在防火墙之前。若部署在防火墙之后,则在调试防火墙的各类过滤规则时,还需要考虑到这些过滤规则是否会对电子政务外网的路由造成影响。
交换机是一种常见的多端口网络互连设备。考虑到连接要求(4)的“可根据用户负载的需要,随时添置前置服务器”相关需求,可以考虑在防火墙的DMZ口部署一台交换机,从而扩展防火墙的DMZ区域,实现多台前置服务器在防火墙DMZ区域的接入需求。
综上所述,各地市州、各省直部门接入电子政务外网的设备连接示意图见图2。
本问题题干中已给出了“接入路由器”、“防火墙”、“前置服务器”3种设备,并允许根据设计需求而“添加相应的连接线路或设备”。防火墙是一种用来加强网络之间访问控制、防止外部网络用户以非法手段通过外部网络进入内部受控网络、访问内部网络资源,保护内部网络操作环境的特殊网络互连设备。通常,实现两个网络之间的逻辑隔离主要采用防火墙等设备,它能够完成与电子政务外网主干的连接,并通过受控的网络协议实现对内部信息与资源的保护。据此,对于试题要求的连接要求(1),可以先考虑将防火墙的外网口连接至电子政务外网省级平台,内网口连接至各接入单位内部网络。
前置服务器是完成单位内部网络和外网平台数据交换的关键设备,通过前置数据库、交换中问件等实现数据的交换。它是不同网络之间数据传输的唯一通道,能够进一步加强各个网络系统之间信息交互的安全性。而防火墙的DMZ区也称为非军事区,它是为了解决安装防火墙后外部网络不能访问内部网络服务器的问题,而设立的一个非安全系统与安全系统之间的缓冲区。它是内网服务器的一个代理区域,用于替代内网服务器供外网用户访问,使得内网服务器不直接暴露给外网用户。据此,对于试题要求的连接要求(2),可以考虑将前置服务器部署在防火墙的DMZ区,使得处在内网口的部门应用系统能够“主动把数据推送至前置服务器”(因为内网口可以访问DMZ口);而处在外网口的省级数据中心可以从前置服务器获取相关数据(因为外网口可以访问DMZ口),但不能进入各接入单位的内部网络(因为外网口和DMZ口都不能直接访问内网口)。
通常,接入路由器是一种位于各接入单位网络的外围(边缘)的网络互连设备,主要完成路由的边界计算,保持与外网平台的连通性。考虑到连接要求(3)的相关需求,需要考虑将接入路由器部署在电子政务外网省级平台与防火墙之间,即部署在防火墙之前。若部署在防火墙之后,则在调试防火墙的各类过滤规则时,还需要考虑到这些过滤规则是否会对电子政务外网的路由造成影响。
交换机是一种常见的多端口网络互连设备。考虑到连接要求(4)的“可根据用户负载的需要,随时添置前置服务器”相关需求,可以考虑在防火墙的DMZ口部署一台交换机,从而扩展防火墙的DMZ区域,实现多台前置服务器在防火墙DMZ区域的接入需求。
综上所述,各地市州、各省直部门接入电子政务外网的设备连接示意图见图2。
[*]
图2 各单位连接电子政务外网的示意图
问答题
如图1所示,采用MPLS
VPN技术,省级电子政务外网平台承载了两个VPN,分别为国库支付VPN和视频监控VPN。请从以下方面描述电子政务外网PE路由器上的MPLSVPN配置内容。
(1)VPN接口配置。
(2)PE-CE配置。
(3)OSPF配置。
(4)MPLS配置。
(1)VPN接口配置。
(2)PE-CE配置。
(3)OSPF配置。
(4)MPLS配置。
【正确答案】(1)VPN接口配置:①将相应的接口加入VPN实例中;②进入接口配置模式,配置接口的IP地址等。
(2)PE-CE配置:①启用边界网关路由协议(BGP),并设置自治区号;②在BGP的IPv4 VRF实例地址簇中引入路由信息;③建立IPv4 VRF实例的邻居关系,激活并传递VRF路由;④在BGP中引入直连路由等。
(3)OSPF配置:①启用OSPF路由协议;②配置路由区域及网络地址信息等。
(4)MPLS配置:①配置MPLS的LSR ID标识;②启用路由器的MPLS LDP标签协议;③在网络接口上启用MPLS LDP标签协议等
【答案解析】基于MPLS的VPN网络中,路由设备主要由CE、PE和P等3部分组成。其中,CE(用户网络边缘路由器)设备用于发布用户网络路由。PE(骨干网边缘路由器)设备与用户的CE直接相连,负责VPN业务接入,存储VRF(虚拟路由转发实例)表,处理VPN-IPv4路由,是MPLS三层VPN的主要实现者。P(骨干网核心路由器)负责快速转发MPLS数据,不与CE直接相连的路由设备。在图1所示网络拓扑中,主要标识了PE和P两种路由设备。其中,PE路由器上与MPLS VPN相关的主要配置内容如下(但不限于)。
VRF配置:①定义并且配置VRF实例;②定义并且配置路由区分符(RD);③定义路由目标(RT),并且配置导入导出策略等。
VPN接口配置:①将相应的接口加入VPN实例中;②进入接口配置模式,配置各个接口的IP地址等。
PE-CE配置:①启用边界网关路由协议(BGP),并设置自治区号;②在BGP的IPv4 VRF实例地址簇中引入路由信息;③建立IPV4 VRF实例的邻居关系,激活并传递VRF路由;④在BGP中引入直连路由等。
PE-PE配置:①启用边界网关路由协议(BGP),并设置自治区号;②引入OSPF路由,并配置相应的metric值;③配置VPNV4 iBGP路由,使得在PE之间传播MBGP VPN路由;④建立邻居;⑤激活邻居等。
OSPF配置:①启用OSPF路由协议;②配置路由区域及网络地址信息等。
MPLS配置:①配置MPLS的LSR ID标识:②启用路由器的MPLS LDP标签协议;③在网络接口上启用MPLS LDP标签协议等。
P路由器上与MPLS VPN相关的主要配置内容如下(但不限于)。
VPN接口配置:进入接口配置模式,配置各个接口的IP地址等。
OSPF配置:①启用OSPF路由协议;②配置路由区域及网络地址信息等。
MPLS配置:①配置MPLS的LSR ID标识;②启用路由器的MPLS LDP标签协议;③在网络接口上启用MPLS LDP标签协议等。