MPLS—VPN技术在保险公司广域网应用的方案研究

李铭皓

摘要： 为实现保险公司各级机构双网隔离的要求，本文从MPLS-/VPN原理入手，结合保险公司网络实际情况和行业特点，构建了从网络核心层、汇聚层最后到接入层的安全传输体系。通过系统实际运行验证，MPLS-VPN能够将网络划分成逻辑上相对隔离的网络，将各个业务系统和子公司之间的隔离，又能够将公司信息外网与内部信息网络机动、有效以及信息系统安全结合起来，为公司提供高质量的网络服务。

关键词：MPLS-VPN技术；保险公司广域网

中图分类号：TP393.01；F842.3 文献标识码：A 文章编号：1672-9129（2017）12-0011-02

Abstract： in order to realize the requirement of double network isolation of insurance companies at all levels， this paper starts with the principle of MPLS-VPN， and combines the actual situation and industry characteristics of insurance companies 'networks， and constructs a safe transmission system from the core layer， convergence layer and finally access layer to the access layer. Through the actual operation of the system， MPLS-VPN can divide the network into logically relatively isolated networks， isolate the various business systems and subsidiaries， and be able to combine the company's information extranet with internal information networks for maneuverability， effectiveness， and information system security. Provide high quality network service for the company.

Key words： MPLS-VPN technology； insurance company wide area network

1 保险公司业务系统MPLS-VPN专网总体方案

本世纪前十年，大部分保险公司已将网络铺设到各级机构，但因稳定性差、网络复杂，迫切的需要一种新的网络方案替代。MPLS-VPN网络平台是全网状互连，实现任意两节点间的直接通信，而且MPLS-VPN有着极高的安全性与稳定性，广域网传输中不存在单点故障，所以近年来国内多家保险公司开始探究MPLS-VPN网络平台，总公司的主备线、省级分公司数据中心等主线，接至合作方机房的主线均采用MPLS-VPN线路，各省级分公司的备线、中心支公司的线路、营销服务部的线路和接至合作方机房的备线亦采用MPLS-VPN线路的方案。

本方案计划在网络架构与技术基础不变的情况下，依据保险公司的组织结构特点、业务特点架设新的MPLS网络方案。

2 总部及数据中心接入设计

经过研究，总部、数据中心、大型的营销中心（比如电销中心、电话中心）采用双光纤链路冗余连接到总部的核心网络。

总部、数据中心、大型的营销中心采用负载均衡模式提供网络高可用性服务。采用两条不同运营商（电信和联通）电路接入合作方的MPLS-VPN骨干平台，且接入合作方不同POP点，通过多条等值路由模式的方式提供網络负载均衡的访问模式。

采用双点双线路连接合作方不同的核心机房提高网络可利用率，避免由于运营商单站点故障，造成客户断网。

通过对双专线启用BGP动态路由协议，设定BGP属性local preference，通过对CE路由器maximum-paths 2属性的调整，可以实现双线路负载均衡。

充分考虑到保险公司将使用MCU进行视频会议，所以方案设计通过PBR协议控制视频语音流量走单线路，如果此线路断线会自动切换至另一线路上，所以不会导致负载均衡干扰到视频语音流量。

3 分公司接入设计

分公司采用主备模式接入提供网络高可用性服务。采用单链路的光纤线路连接到合作方节点；并通过现有的Internet线路采用IPSec VPN方式接入安全接入网关，实现对光纤专线的备份。

当专线出现故障后，由路由器自动切换到IPSEC VPN备份链路，备份互联网带宽为10M，保证IPsec VPN的传输速度。主备线路选用两家不同运营商线路并分别接到两个独立路由器，避免单点故障。

4 三、四级机构接入设计

各三级、四级机构使用互联网Internet线路，通过IPsec双冗余连接到MPLS的环网中，连接到总部的核心网络。

此方案需要选取的合作方在全国需要有多个IPSEC VPN网关，并提供IPSEC VPN网关的冗余备份功能。 所有站点可在双CE、双PE/POP的基础上利用本地互联网进行IPSEC-VPN备份，IPSEC-PLUS技术将提供单CE设备的双GRE over IPSEC隧道备份链路承载方式。

在双专线的基础上提供的IPSEC-VPN备份双隧道，其中一条建议备份到异地IPSEC-VPN网关，如果因为自然原因导致机房无法提供服务，异地IPSEC-VPN将会保持客户流量的正常转发。

IPSEC VPN链路可通过流量管理平台查看基于源目的IP地址、基于端口等流量排名。

5 SSL VPN接入设计

现在国内已有一些合作方SSL安全访问产品从根本上解决了远程访问问题，可以为企业的远程员工、合作伙伴提供对内网资源的安全远程访问。同时它又消除了因为远程用户客户端的维护等带来的 诸多不便。

合作方构造的用户数据网，实现了移动型用户在任何时间任何地点，只要通过本地 Internet线路以及个人电脑，即能与不同地区、不同接入线路的办公机构间无缝、安全通信。即针对于移动型的外出办公人员，因业务需要，经常往来于不同的异地之间。为完成与总部或办事处内部服务器的数据交互（如：上传/下载文件、访问公司内部ERP服务器等），需要短暂的与公司内部节点建立安全、高效、快捷的通信连接。

企业移动办公端通过接入SSL汇接中心，建立加密安全隧道，其应用系统数据流通过加密安全隧道穿过凌网SSL汇接中心，再经由合作方骨干网访问总部及分支机构。

6 IDC 机房托管服务接入设计

为保证最大化节约保险公司的链路成本，本次网络设计中， MPLS-VPN业务数据中心放在机房托管。设备在机房内PE设备直接对接，节约了客户总部到POP节点的专线链路费用，并且链路带宽可实际按照需求进行扩容，并且托管机房提供机架可提供2路供电，客户也可通过MPLS-VPN专网和BGP互联网接入资源解决南北互联互通问题，并且进行对放在托管机房的设备远程管理，方便企业的资源管理；

7 MPLS-VPN网络Qos/Cos优化设计

国内多家合作方的MPLS-VPN融合通信与信息技术，可提供多业务、可管理的MPLS IP-VPN网络产品与服务，并以优化的“一站式”服务、标准化的SLA将服务延伸到桌面。在面对保险公司网络的快速发展及丰富多样的应用系统，众多合作方为用户量身定制了优化应用系统性能的解决方案，针对各类网络应用系统不同的服务类别CoS（Class of Service）要求、服务质量QoS（Quality of Service）要求，提供区分级别的服务质量保证。

IP QoS是使网络有效地为特定应用提供特定服務，而不影响其他应用功能和性能的能力。保险公司核心应用服务系统会在带宽、时延、抖动及丢包率等网络指标上有不同等级的要求，而QoS技术则相应的保障了这些性能指标，使应用系统运行效果达到最佳。

在CoS/QoS服务中，可以根据具体应用的不同要求将这些参数组合起来构成不同的服务等级。

视频会议系统和数据系统等重要的信息化应用。从IP协议的角度进行技术分析，IP网络数据传输是一个尽力传送（Best-effort）模式，不同应用系统所产生的数据包长度不同，在先进先出（First-in-first-out）的传输队列里，不同长度的IP包组成的多种业务数据流相混杂，各系统正常运行所需要的带宽与延时均难得到保证，直接造成应用系统使用性能的下降。

故此，保险公司应用信息系统需要一个可管理的网络传输模式，能够在区分业务系统权重的前提下提供服务质量控制（QoS），使各类业务系统均处于良好的工作状态。

CoS/QoS服务可提供强大的端到端的IP-QoS解决方案，来有效地、可预见地传递企业具有不同服务质量要求的应用系统数据，从而使企业各类应用系统均可得到适合运行环境的、可管理的优质网络环境，例如语音、视频和关键应用的数据，需要保证带宽、低延迟、低延迟抖动和低的数据包丢失。而其他一些应用，如OA，Internet访问则可能占用较大的带宽，但能容忍一定的延迟和抖动。

8 接入设备

网络的性能和功能很大程度由设备来实现，正确地选择设备是网络设计的重要一步。选择高性能、高可靠性和完全支持标准的网络设备是网络项目建设成功的关键。因此，所选的设备应是：

1）国际的主流网络体系结构的主流新产品，在实际工程中得到广泛的应用。

2）符合国际标准，特别是能够与其他厂商的网络设备互联，适应多厂商、多协议和互操作性的需求。

3）具有良好的可靠性和安全性。

4）具有良好的可扩展性。

5）具有良好的性能价格比。

9 网络方案特点优势

1）MPLS-VPN网络平台是一个一点接入、多点访问的网状网平台，网络的传输能力、接入节点容量能力均有MPLS-VPN骨干网络来保障，随着企业业务的不断发展，可在任一地点提出接入的扩展要求；

2）MPLS-VPN网络平台是全网状互连，实现任意两节点间的直接通信，而且MPLS-VPN有着极高的安全性与稳定性，广域网传输中不存在单点故障，保证企业的网络安全性；

3）按需设定使用带宽，企业可监管到每条线路的VPN带宽使用情况，可根据企业各节点实际的网络流量，方便的进行VPN带宽的增减，在保证质量、安全、满足应用的前提下节省部分运营支出，提高整个网络的性价比；

4）基于这个网络平台，除了可以实现保险公司关键业务数据传输外，还可支持IP电话系统及高清视频会议系统的运行。采用MPLS-VPN技术，可以提供关键数据、语音、视频等对时延敏感数据的QOS保证，确保以上数据比普通数据具有较高的优先级；对不同应用设定不同的优先级别，提供不同的QOS/COS服务；

5）专业的网络管理服务平台，主动式监控企业信息化网络的使用状况，保证线路的通信质量。除了普通的网络运维外，将根据保险公司的网络情况和发展战略，有预见地提供相关方案，对网络的未来规划有相当的建设性；

6）可根据保险公司各地分部所在的地理位置及所需线路类型，帮助选择最满足其需求及提供最高性价比的本地线路接入商；并且网络出现故障时由各运营商间协调处理，免去了企业与多家运营商打交道的繁琐，且排障时间更短，效率更高；

7）MPLS-VPN供应商可以向企业用户提供专业的网络管理服务，可为企业提供跨运营商的全程全网、全天候的专业网管。主动式网络故障管理、网络优化、每月网管报告、及服务质量保证承诺等均与国际电信服务相接轨；

8） MPLS-VPN供应商“一站式”服务：包括一站式业务受理、一站式技术咨询、一站式工程实施、一站式收费、一站式故障申告、一站式故障处理。MPLS-VPN供应商服务可以简化了服务流程，便于快速、优质、高效的提供服务，保证企业VPN网络平台的全程连通性、网络可靠性和稳定性；

9）本方案整合网络资源能力、先进的网络管理能力，确保了为企业MPLS-VPN网络平台提供高品质的SLA服务承诺，全力保证企业的高质量通信需求，提供包括网络可用率、丢包率、双向时延等在内的网络品质承诺，为企业提供电信级服务保证。

当然，MPLS-VPN供应商可以在MPLS-VPN网络基础平台的同时，还可以为企业提供了IDC托管、云主机、云存储以及云视频等增值服务，最大限度的满足客户的需求，为保险公司打造一个统一通信的网络平台。

参考文献：

[1] 王晨. MPLS VPN技术在重庆电力信息通信网络优化中的应用研究[D]. 重庆大学，2014.

[2] 冯平，袁亮. 精确识别MPLS L2VPN QoS方法[J]. 通信技术，2015，（3）.doi：10.3969/j.issn.1002-0802.2015.03.018.

[3] 陈小辉，高燕，刘汉烨. L2TPV3的研究与实现[J]. 电子设计工程，2013，（17）.doi：10.3969/j.issn.1674-6236.2013.17.050.

[4] 陈志宏. MPLS-VPN技术在电力调度数据网中的应用分析[J]. 通讯世界，2017，（9）.doi：10.3969/j.issn.1006-4222.2017.09.143.