《XX市电子政务外网网络建设方案(共41页).doc》由会员分享,可在线阅读,更多相关《XX市电子政务外网网络建设方案(共41页).doc(41页珍藏版)》请在taowenge.com淘文阁网|工程机械CAD图纸|机械工程制图|CAD装配图下载|SolidWorks_CaTia_CAD_UG_PROE_设计图分享下载上搜索。
1、精选优质文档-倾情为你奉上第二章 政务外网网络建设方案2.1. 总体设计方案2.1.1. 组网原则按照国家信息中心、XX省信息中心下发的电子政务外网建设相关技术规范,结合基于对国家电子政务外网项目的理解,在本次网络设计时遵循以下基本建网原则:1、网络设计标准化本项目网络设计所采用的组网技术和设备应符合国际标准、国家标准和业界标准,为网络系统的扩展升级及与其他网络系统的互联提供基础。2、组网技术的先进性和成熟性本项目网络建设应适应网络自身的发展特点及网络通信技术的更新换代,在网络结构设计、网络配置、网络管理方式等方面应具有一定的先进性和前瞻性,同时又是成熟、实用的技术,尽量避免技术风险。 3、高
2、度的网络安全性提供完备的安全防护策略,能防止对网络资源的非法访问,保护网络使用者的合法利益。4、高度的网络可靠性网络设计应能有效地避免单点故障(设备、线路),在设备的选择和关键设备互连时,应提供充分的冗余备份,一方面最大限度地减少故障的可能性,另一方面要保证网络能在最短时间内修复。 5、多业务统一网络平台建设一个开放的网络平台,支持多种业务的同时传输,如支持语音、视频等多媒体业务服务。 6、良好的扩展能力能够根据未来业务的增长和变化,平滑的扩充和升级现有的网络覆盖范围,扩大网络容量和提高网络的各层次节点的功能,最大程度的减少对网络架构和现有设备的调整。7、良好的管理能力在网络设计中,须建立有效
3、的网络管理解决方案。能够实现监控、监测整个网络的运行情况,合理分配网络资源、动态配置网络负载、可以迅速确定网络故障等。通过先进的管理策略、管理工具提高网络的运行性能、可靠性,简化网络的维护工作。8、突出应用,强化服务。立足我省实际,结合政府职能转变和管理体制改革,紧扣政府业务和社会公众的需求,突出应用,务求实效。9、经济性和实用性。建设原则都以实际需求为出发点,以满足网络应用需求和适应一定时间内的发展规划为原则。2.1.2. 线路选型组建网络考虑的技术主要包括网络通信协议的选择和网络通信线路的选择。针对通信线路,针对XX市电子政务外网的建设, 全网通信线路均采用运营商提供的裸光纤资源,从而保证
4、高速的数据传输性能,以及数据的安全传输的需求。2.1.3. 技术选型组建网络考虑的技术主要包括网络通信协议的选择和网络通信线路的选择。针对通信协议,目前TCP/IP协议已经成为组建互联网和政务网络事实上的标准,因此XX市电子政务外网网络建设采用TCP/IP协议为网络的基础协议,凭借TCP/IP技术的开放性来提供网络业务的灵活性支持;采用MPLS VPN技术来支持用户的安全性、QOS以及SLA;同时IP协议有版本4(v4)和版本6(v6)之分。目前绝大多数网络都在使用IPv4,但随着IPv4地址资源的减少,必须考虑向IPv6过渡。在一期工程中,参照当前网络设计的主流趋势,应采用IPv4协议,同时
5、为了适应网络向IPv6过渡的发展趋势,在总体方案和某些关键设备上对两种协议的兼容应有所考虑。保证整个网络能够顺利平滑升级至IPv6阶段。2.1.4. 建设目标在国家电子政务外网统一规划和指导下,结合XX省和XX市实际情况,整合现有资源,推进电子政务外网建设;以先进适用为技术功能出发点,建设政务外网,使之具备网络传输、综合应用支撑、管理服务和安全保障等功能,为各级政府部门开展电子政务业务应用提供网络支撑和相关应用服务保障;支持重点业务应用系统资源整合,实现跨部门、跨地区的网上业务协作和信息资源共享;满足XX市各级政务部门行业内部协同办公的需要和面向社会服务的需要,促进政府监管能力和服务水平的提高
6、。2.1.5. 建设内容XX市电子政务外网由负责整个城域网数据高速转发、路由的骨干网络及各级党委、人大、政府、政协、法院、检察院的接入网络组成,主要用于满足各级政府部门社会管理、公众服务等面向社会服务的需要。政务外网被定性为非涉密网络,同政务内网物理隔离,同互联网逻辑隔离。XX市电子政务外网的建设内容,可以划分为电子政务外网骨干网络部分、各委办单位接入网部分、数据中心部分、互联网接入区域、上联区域等五个功能模块。网络骨干区域主要包含XX市电子政务外网的核心设备以及分布在市政府、金宝花园、光华大厦等的汇聚设备组成,负责整个XX市电子政务外网的数据高速转发,以及电子政务外网59网段的地址路由转发。
7、各个委办单位接入网主要为各个单位提供线路接入服务,通过NAT功能,将委办单位内部的私有地址转换为在骨干网上传输的59段专用地址。数据中心为整个电子政务外网重要数据的集中存储中心以及整个外网的综合管理中心,考虑到数据安全,数据中心建立一个灾备中心。互联网接入区域,作为整个XX市电子政务外网所有用户访问互联网的统一出口,并在出口区域部署流控设备,对于内部各种应用的带宽进行合理控制;此外在出口区域的DMZ区域,建立XX市政府的统一的对外门户网站,为了保证门户网站的安全,在门户网站服务器前部署网站应用防火墙设备。上联区域主要提供XX市电子政务外网到省紧急信息中心的互联互通。2.2. 项目建设方案2.2
8、.1. 网络业务模型按照国家政务外网统一规划,根据国家政务外网所承载的业务和系统服务的类型不同,在逻辑上,XX市政务外网接入划分为公用网络区、专用网络区和互联网接入区三个功能区域,各个区之间安全逻辑隔离,分别提供政务外网互联互通业务,专用VPN业务和互联网业务。政务外网网络业务模型如下图:1公用网络区:即采用国家政务外网注册地址(59.201.0.0/24-59.201.7.0/24)的网络区域,是国家政务外网的主干道,实现省内各部门、各地区互联互通,为跨地区、跨部门的业务应用提供支撑平台。2专用网络区:是依托国家政务外网基础设施,开辟为有特定需求的部门或业务设置的VPN网络区域,主要满足部门
9、纵向业务的需要,实现不同部门之间的业务隔离,用于满足部门特殊需求。该区域主要采用私有地址,在骨干网上采取标签进行数据传输。3互联网接入区:是各级政务部门通过逻辑隔离手段安全接入互联网的网络区域,满足各级政务部门利用互联网的需要。在互联网接入区,要求采取综合的安全防护措施,对互联网接入提供安全防护。按照国家统一的安全策略,分级接入互联网,提供互联网业务服务。各地政务外网自行出口,采取NAT技术,通过静态路由连接本地互联网。原则上,国家政务外网骨干网不提供互联网业务路由。XX市政务外网构建市级政府单位、委办局的互联网安全接入平台,通过数字证书认证和密码技术,实现各级政务部门移动办公的公务人员利用互
10、联网通道,安全接入国家政务外网,访问指定的业务应用系统和政务外网门户。2.2.2. 网络总体架构XX市电子政务外网总体网络架构采用具备高扩展性的双星型架构。电子政务外网骨干区域包含核心层和汇聚层;核心层采用2台XX网络面向十万兆平台的高性能模块化路由交换机RG S8614设备,作为外网的核心设备;在市政府、金宝花园、光华大厦等六个移动汇聚机房,分别部署2台XX网络面向十万兆平台的高性能模块化路由交换机RG S7806设备,作为外网的汇聚节点;双汇聚设备通过运营商单模裸纤线路,双10G线路上联到两台核心设备;电子政务内网各个政府单位、委办局的接入区域建设,本方案只为需要接入电子政务内网的单位提供
11、1台XX网络模块化路由交换一体化路由设备RSR20-24,接入单位内部网络设计不在该方案设计范围内。接入路由器RSR20-24通过两台千兆光纤分别上联汇聚交换机,从而构成“双核心双汇聚双链路”的高稳定架构,任何一台核心或任何一台汇聚交换机、甚至任何一根光纤中断服务,网络都会始终保持通畅。电子政务外网数据中心为XX市各个政务单位、委办部门提供几种的数据存储,考虑到数据中心涉及到的数据将包含审计、公务员信息、各个区学籍信息等重要数据,因此,建议建立数据灾备中心,为数据提供高速、高安全的数据存储;数据中心、数据灾备中心均采用双10G线路与核心互联。电子政务外网互联网区域主要为外网用户提供互联网访问服
12、务。出口区域部署2台XX网络万兆平台的专业流量控制设备RG ACE3000设备,该设备作为外网流量控制、用户日志、WEB重定向功能;部署2台XX网络万兆专用出口引擎RG NPE60设备,作为各政府单位私有地址到互联网共有地址的NAT转换设备;部署2台XX全千兆防火墙RG wall 1600,在出口区域的DMZ区域,部署外网统一门户网站等服务器,为了防止政府网站被恶意篡改的风险,在服务器前端部署XX网络全千兆网站防篡改硬件RG WG3000;出口区域设备与核心采用千兆单模光纤互联。电子政务外网上联区域,利用XX省统一下发的路由设备,与省信息中心互联,从而连通XX市电子政务外网和省级、国家级电子政
13、务外网。整体网络架构如下图所示:专心-专注-专业2.2.3. 网络分层设计XX市电子政务外网案按照自顶向下、分层设计的理念,将XX市电子政务外网划分为:外网骨干区域、委办单位接入区域、互联网接入区域、数据中心区域、上联区域五个部分,本章节对于电子政务外网的五个主要部分,进行详细介绍。2.2.3.1. 外网骨干区域骨干区域采用XX网络面向十万兆平台的路由交换设备RG S8614和S7806设备作为核心设备和汇聚设备。核心设备、汇聚设备二三层包转发率为1786Mpps/1190Mpps,性能上完全满足XX市电子政务外网的要求。安全设计上:在核心设备RG S8614A/B上分别配置高性能防火墙模块1
14、块,利用虚拟防火墙技术,隔离来自于各个汇聚节点的网络攻击,保证电子政务外网的整体安全、稳定,避免某个汇聚节点下出现病毒爆发,影响整个园区网络的安全。此外,核心/汇聚设备需具备先进的安全体系,集成了硬件的CPU保护技术、安全策略自动下发等先进技术,避免了病毒攻击爆发导致设备CPU利用率过高而导致设备宕机的情况,并根据预定策略,对于发生的安全事件进行相关策略下发,确保电子政务外网骨干区域的的高安全、高可靠性。直观的骨干网络:核心设备RG S8614A/B配置IPFIX流量控制板卡,结合XX关键业务运行管理中心RILL系统,可直观的将网络内部流量情况进行图形化的呈现,让网络真正的可感知。2.2.3.
15、2. 委办单位接入区域XX市政府单位以及各委办厅局接入方式较为简单,本次外网方案规划,为每个接入单位提供一台RSR20-24,该设备性能为300Kpps的包转发性能,完全满足一般单位的接入需求;考虑到很多单位已经建成了自己的内部局域网,为了便于接入外网的单位的接入,其内部网络地址不需要重新规划,在出口的路由设备上,进行NAT地址转换,将各个接入单位的私有地址转换为59段地址。此外,智能交通信息平台系统也将接入XX市电子政务外网,对于该套系统的每个接入点,本次方案设计,将每个路由的高清IP摄像头,作为一个接入单位,通过路由器RSR20-24接入电子政务外网骨干传输网络。2.2.3.3. 上联区域
16、上联区域路由设备为省统一下发设备,该路由设备与核心交换机互连,建议通过在该路由设备上配置静态路由即可实现XX市电子政务外网与省级、国家级电子政务外网的互联互通;当然,也可以通过对于市级外网OSPF区域的适当调整,未来,将XX市电子政务外网作为省政务外网的一个区域接入,实现互连互通。2.2.3.4. 互联网接入区域互联网出口接入区域是整个电子政务外网各个单位用户访问互联网的统一出口。电子政务外网出口设备采用全千兆高性能防火墙RG Wall 1600作为出口的安全隔离设备,隔离互联网和电子政务外网的内部网络;在防火墙的DMZ区域,部署政府统一门户网站,为了保证网站的安全,防止被恶意篡改,门户网站前
17、部署XX网络应用防火墙WG3000。XXWebGuaRD基于对HTTP/HTTPS流量内容的双向检测分析,识别检测各类Web编码、交互技术、URL参数以及表单输入等,为Web应用提供实时、动态的主动性防护。防止网页内容被篡改,防止网站数据库内容泄露,防止口令被突破,防止系统管理员权限被窃取,防止网站被挂马和植入病毒、恶意代码、间谍软件等,防止用户输入信息的泄露,防止账号失窃,防SQL注入,防XSS攻击等。确保Web应用安全的最大化。互联网接入区域采用专用的万兆出口引擎设备RG NPE60,作为59段地址到互联网公网地址的NAT二次转换设备,此外,该设备具备负载均衡功能,可作为互联网接入区的负载
18、均衡设备。此外,为了提升政务外网的利用效率,为用户提供便捷,安全的接入服务,建议在出口区域可以部署XX网络全千兆高端IPSec设备,结合XX网络应用安全域方案,用户通过接入电子政务外网后,系统可以根据远程用户的用户名、密码,核实用户身份以及用户访问权限,然后对该用户开放相应权限的资源,而其他资源,不允许其访问,如该用户归属于审计局,则该用户远程拨入后,是归属于审计系统的网络的,只能访问公共资源和审计系统相关资源,从而确保远程接入的安全性。互联网接入区域详细拓扑结构详见下图:2.2.3.5. 数据中心区域数据中心包含2个部分,一部分为电子政务外网的综合管理平台,一部分为专业的存储设备,对于外网数
19、据进行集中存储。电子政务的综合管理平台包含了基于业务应用系统的RIIL-BMC关键业务运行管理中心;实现对网络和业务应用系统的集中智能管理,可以让有限的IT运维人员精力和IT预算投入到最关键的资源的维护和保障中,切实降低复杂IT环境的管理难度,更轻松地把握支撑关键业务的网络和系统的运行状态,并不断提升关键业务系统的运行服务质量水平,提升用户满意度。 XX网络RILL-BMC系统,关键业务为单位管理基础IP资源,图形化关联业务系统及其相关的资源池,可根据业务资源对象之间的逻辑依赖关系,生成资源层间依赖视图;可根据拓扑关联和业务逻辑关联关系,进行图形化的事件传播显示。此外,电子政务外网综合管理平台
20、还包括日志系统和流量管理系统;日志系统主要利用RG ACE3000设备和RG Elog设备实现。结合XX认证系统,可实现定位到“何人、使用何帐号、在那个计入设备上、访问了那个具体的URL、访问的校内还是校外资源、访问具体时间、具体流量、PC的IP MAC等详细信息,符合公安部82号令的要求。电子政务外网综合管理平台还具备丰富的流量控制功能,通过在核心设备RG-S8614上配置流控控制板卡,利用国际流量监控标准IPFIX(IP Flow Information ExpoRT)技术,实现流量控制功能。IPFIX多业务模块采用高性能的NP平台,支持万兆业务流量的监控。 结合XX流量分析系统,IPFI
21、X技术可以对对网络中的所有流量进行统计分析和异常检测,输出各种丰富的网络流量分析报表,包括:流量使用报表、历史报表、接口报表、可解析的主机地址、流量分析、变量显示等信息,能够帮助管理员在网络异常行为发生时快速分析出网络中存在的问题,为网络容量规划、网络应用监控以及故障诊断等提供客观准确的决策依据,实现真正的网络流量可视化。 存储区域部分的存储设备为整个电子政务外网重要数据的集中存储中心,考虑到数据安全,数据中心建立一个灾备中心。存储区域数据传输设备部分,考虑到服务器数量巨大,如采用盒式设备,需要部署多台,不利于管理,且存在性能瓶颈,因此部署高性能模块化路由交换机XX网络RG S7806 两台,
22、提供双10G线路到核心交换机RG S8614,提供高速冗余的物理链路,确保数据中心数据传输的高速、高可靠性。此外,数据中心两台S7806高性能交换机作为MCE设备,将归属不同部门的服务器通过MPLS VPN技术,与各个部委的VPN网络相对应。核心设备作为MPLS VPN的PE设备,核心交换机S8614同时兼具路由放射器RR的作用。考虑到数据中心的安全保障,部署两台XX网络千兆入侵检测设备IDS 2000,并配合软件平台,对于网络内的安全事件,进行分析,使数据中心安全事件可感知,为用户提供网络优化的可量化数据依据。数据中心详细拓扑图下图所示:2.3. 方案详细设计2.3.1. IP地址规划1、I
23、P地址分配原则IP地址的合理规划是网络设计中的重要一环,大型计算机网络必须对地址进行统一规划并得到实施。IP地址规划的好坏,影响到网络路由协议算法的效率,影响到网络的性能、网络的扩展和网络的管理。IP地址空间分配,要与网络拓扑层次结构相适应,既要有效地利用地址空间,又要体现出网络的可扩展性和灵活性,同时能满足路由协议的要求,以便于网络中的路由聚类,减少路由器中路由表的长度,减少对路由器CPU、内存的消耗,提高路由算法的效率,加快路由变化的收敛速度,同时还要考虑到网络地址的可管理性。具体分配时要遵循以下原则:1)唯一性:一个IP网络中不能有两个主机采用相同的IP地址。2)连续性:简化路由选择,充
24、分利用地址空间,最大限度地实现地址连续性,并兼顾今后网络发展,便于业务管理,提高网络的总体性能。3)可扩展性:充分考虑网络未来发展的需求,坚持统一规划、长远考虑、分片分块分配的原则。地址分配在每一层次上都要留有余量,在网络规模扩大时能保证地址空间汇总所需的连续性。4)规范性:严格按照IP地址分配原则进行IP地址的规划及项目实施。5)标准化和灵活性:充分利用标准化的无类别域间路由(CIDR)技术和可变长子网掩码(VLSM)技术,合理、高效、充分地使用IP地址空间。6)层次性:IP地址划分的层次性应体现出网络结构的层次性。7)可管理性:为便于网络设备的统一管理,分配一段独立的IP地址段做网络互连地
25、址和loopback地址。2、IP地址分配规划本次网络设计IP地址分为3类,第一类是电子政务外网全网可路由的59段公网地址,该类地址作用有二:其一,为与省、国家级电子政务外网进行业务的互联互通地址;其二,该段地址在整个电子政务外网互联网接入区域设备NPE 60上,进行二次NAT转换,转换为互联网公网地址,为各个单位提供互联网接入服务;第二类为智能交通信息平台-320系统专用IP地址,该类地址实现各个路口高清IP摄像头数据与各分级数据中心以及市数据中心互联互通使用;第三类为XX市电子政务网上的各个单位市-区/县两级MPLS VPN内部传输的私有地址。对于第一类地址,目前,国家电子政务外网统一采用
26、国家信息中心从中国电信申请的公网地址段,已申请的地址段59.192.0.0- 59.255.255.255(/10)作为全网通信用地址,其中XX市电子政务外网分配的地址段为5920100/24-5920170/24。1)XX市IP地址按照市区的二层体系结构分配。市网地址段包括市信息中心平台地址段和市直厅局系统业务地址段。其中市信息中心平台地址段包括网络设备管理地址、互联地址和平台地址;区网地址段包括区管理中心平台地址、区直单位系统业务地址。 具体分层结构如下表所示:地址类型分配IP地址范围备份IP地址范围地址数量市信息管理平台地址段市网网络设备管理地址59.201.0.0/24使用1个C类地址
27、市网网络设备互联地址59.201.1.0/24使用1个C类地址 平台地 址59.201.2.0/24使用1个C类地址 市直厅局系统业务地址段59.201.3.0/24-59.201.4.0/24使用2个C类地址 区网地址段59.201.5.0/24备用地址段59.201.6.0/24-59.201.7.0/24备用2个C类地址对于第二类地址-智能交通信息平台-320系统IP地址,建议根据高清IP摄像头的数量,选择10.0.0.0/8、172.16.0.0-172.31.0.0/16、192.168.0.0/24的私有地址,作为该系统的专用地址;该套地址的分配遵循本章的IP地址分配原则,具体IP
28、地址分配,参照59地址的分配详表,此处不详细列出。对于第三类地址-MPLS VPN内的私有地址,该部分由各个市-区/县两级纵向单位自行规划,该部分IP地址规划,不在本方案设计范围内。2.3.2. 外网详细路由设计对一个大型网络来说,路由协议对网络的稳定高效运行、网络在拓扑变化时的快速收敛、网络带宽的充分有效利用、网络在故障时的快速恢复、网络的灵活扩展具有重要影响;同时对于网络承载业务的控制方面具有重要影响。路由协议的选择基本遵循以下原则:1) 管理上层次分明,局部的变动不影响上层路由配置和全局路由配置。2) 技术上应尽量简单、灵活,以提高路由器的处理效率。3) 能够反映出整个网络的层次结构,并
29、与自治域、各结点子网的IP 地址分配相结合,做到合理的路由聚合,减少路由表的长度,减轻路由更新给网络带来的负荷。XX市政务外网路由器的管理地址和政务外网内部地址的路由由IGP承载;根据国家政务外网的设计原则,XX市政务外网IGP采用标准协议OSPF。由于XX市政务外网设备数量较多,为了保证整外网的性能,以及区域的管理简洁性,需要对OSPF进行分域规划,考虑到XX市政务外网的实际情况和未来扩容的需要,每个汇聚节点下联单位划分一个子域。每个汇聚节点的2台汇聚设备RG S7806作为区域边界路由器(ABR),完成汇聚层网络到核心层网络的路由交换和汇总。OSPF的区域概念是基于路由器接口的,因此将XX
30、市政务外网省本级中心的核心设备RGS8614上的所有接口,以及6个汇聚加点的12台汇聚设备RG S7806的上联口划分到一个 AREA 0中。XX市政务外网本级中心所挂接的各种业务划分到AREA 1中。各汇聚节点汇聚交换机以下挂的网络划分到非0 区域,区域号码可根据实际情况进行分配,建议AREA号码分配如下表所示:AREA描述备注0XX市电子政务外网骨干域核心RG S8614A/B所有端口,汇聚RG S7806上联端口1XX市政务外外网本级中心外网中心服务器区、本地局域网等10市政府汇聚节点汇聚S7806下联端口与委办单位接入路由RSR 20-24上联端口20金宝花园汇聚节点汇聚S7806下联
31、端口与委办单位接入路由RSR 20-24上联端口30光华大厦汇聚节点汇聚S7806下联端口与委办单位接入路由RSR 20-24上联端口40应天西路综合楼汇聚节点汇聚S7806下联端口与委办单位接入路由RSR 20-24上联端口50虎踞路综合楼汇聚节点汇聚S7806下联端口与委办单位接入路由RSR 20-24上联端口60徐庄综合楼汇聚节点汇聚S7806下联端口与委办单位接入路由RSR 20-24上联端口2.3.3. 与省政务外网对接设计XX市电子政务外网内部采用标准的OSPF路由协议,后期与XX省电子政务外网的互联有多种方式可选。第一种方式,可选用OSPF与XX省电子政务外网互联互通,但考虑到省
32、级电子政务外网建设时,IGP协议亦采用OSPF协议,因此需要对于XX市电子政务外网的区域进行适当调整,将XX市电子政务外网作为全省电子政务外网的一个OSPF区域接入省级电子政务外网,该种方式调整工作量较大;第二种方式,可通过在上联区域上通过静态路由的方式,将XX市电子政务外网的路由信息重发布到省电子政务外网,该种方式配置灵活,对于市电子政务外网的改动最小,因此,建议后期采用该种方式,接入省级电子政务外网。2.3.4. 域名规划与管理1、市政务外网分别采用独立的四级域名系统,域名由根域和若干个子域名用“.”连接而成,采用作为XX市网根域名,采用njXX作为各市直部委单位的门户网站的根域名,区县不
33、设域名解析,其web业务归入到所属市直单位门户网站,使用市直部门的门户网站进行信息发布。2、对于政务外网中已建自有网络的,可以暂时采用现有域名,然后逐步过渡到统一的域名规范中。3、各级网络的子域名由英文字母(大小写等价)、数字(09)和连接符(-)组合而成。4、域名的范围应以4-5段为主,原则上不超过5段。如:“”为电子政务外网XX省XX市审计系统的域名。5、XX市政务外网管理中心负责统一规划命名市网四级根域名,由省信息中心中心统一解析。即省信息中心对根域进行管理,XX市政务外网管理中心分别对本市的njXX根域进行管理,所有单位的四级域名及四级DNS均向对应的政务外网管理中心或者XX进行注册。
34、6、XX市电子政务外网规划命名实例见下表: 各市名称三级根域名市属N鼓楼区审计局N2.4. MPLS VPN业务规划2.4.1. MPLS VPN需求和规划要点MPLS(Multiprotocol Label Switching: 多协议标签交换)技术是在开放的通信网上利用定长标签进行数据高速传输和交换的网络新技术。MPLS技术将第二层交换和第三层的路由技术很好地结合起来,以十分简洁、高效的方式完成信息的传送。更为重要的是,MPLS使网络能提供传统IP网络不能或很难提供的各种增值服务,例如MPLS所提供的VPN服务、流量工程服务、IP QoS服务等。在MPLS网上提供和基于帧中继、ATM PV
35、C的第二层VPN相同安全级别的虚拟专用网,能达到第二层PVC所具有的专有性、安全性和数据传输的高速性,而MPLS VPN的灵活性、扩展性、易管理性和适应性则是当前其他基于PVC或隧道技术的VPN所无法比拟的。MPLS VPN在第三层路由上对各VPN进行了隔离,无需访问控制列表ACL,各VPN之间都是不可见的,骨干网对于客户网络(某个VPN内部)也是不可见的。所以,MPLS充分保证了在多个业务系统共用IP骨干网情况下的相互有效隔离。MPLS最初是为服务供应商网络所创立的技术,今天,很多企业或政府机构的网络也需要解决和服务供应商网络类似的需求和问题。政府机构的IP骨干网正从过去低带宽、重复分离的物
36、理网络向宽带化、一体化方向发展,一个高效的、智能的、集成的网络是政府网络发展的方向。同样地,XX市政务外网要能安全、高效地整合各业务专网,同时应对各种公共业务、语音传送、视频服务多业务应用不断增长的需求,就要求XX市政务外网平台必须能够将它们按照各自的特性和要求正确地传送,提供安全隔离和区别服务。先进、成熟的MPLS/VPN技术是XX市电子政务外网纵向系统建设的有效解决方案。对XX市电子政务外网而言,需要重点实现两个方面的需求:l、安全隔离:一方面要保证各业务系统逻辑网络的相对独立性,以满足不同业务系统对安全性、服务质量、管理、拓朴结构的要求;2、受控互访:另一方面,各业务系统之间的流程整合又
37、需要提供相互访问的途径,而且要保证访问的安全性。XX市电子政务外网部署MPLS VPN要考虑以下几点:1、可靠性和稳定性目前MPLS VPN技术主要分成L3 MPLS VPN、L2 MPLS VPN(包括VPLS(虚拟私有局域网服务)两大类。其中L3 MPLS VPN技术发展较早,其核心部分已经标准化,由于它的信令控制是通过多协议BGP来实现的,所以通常也叫做MPLS/BGP VPN,或BGP/MPLS VPN。MPLS/BGP VPN技术不仅已经广泛应用于电信运营商和ISP,而且也广泛应用于电力行业,政府行业(包括各省的政务内网和政务外网),金融行业,大型企业等行业用户。其技术和产品都较为成
38、熟,稳定。所以XX市电子政务外网宜选用MPLS/BGP VPN作为主流的MPLS VPN技术。2、扩展性由于国家电子政务外网将每个省(含副省级)规划为单独的自治域(Autonomous System)。所以,要想实现各个厅局的垂直纵向网从中央延伸到省、市、县区,除省里必需解决VPN跨自治域的问题外,还需要市与省进行对接。3、业务多样性XX市电子政务外网作为一个向政府部门提供网络服务的平台,不仅要提供基本MPLS VPN业务。还要提供多样化的业务种类,以满足不同政府部门的多样化要求。比如,有的厅局需要在自己的VPN内部根据自己不同的业务部门或者不同的业务种类再自行划分内部的VPN,而这种内部VP
39、N的划分和管理应该完全属于这个厅局自己,而不需要对全网VPN规划产生影响。所以,这个网络需要支持MPLS VPN的层次化能力。4、VPN业务的高品质保证针对语音、视频、多媒体通信等实时性要求比较严格的业务,XX市电子政务外网的VPN服务能否提供类似专线一样的服务质量保证也是非常重要的,这就要求在整个网络中部署端到端的QOS。5、设备实现MPLS VPN的性能考虑前面只是考虑了MPLS VPN部署时的业务特性,而在一个实际的生产网络里。设备实现MPLS VPN的性能如何至关重要。6、可维护性和可管理性对于MPLS VPN的管理首先确定管理界面。在电信运营商网络,PE和CE是服务提供商和用户之间的
40、管理界面,用户维护和管理CE设备,服务提供商维护和管理PE设备。但是在电子政务外网中,由于行业的特点,政务外网服务提供商不仅要维护和管理PE设备,还要维护和管理CE设备。如何解决同时对PE和CE设备的管理是必需考虑的问题。2.4.2. MPLS VPN总体规划综合前面的需求分析,在XX市电子政务外网的MPLS VPN业务将按以下设计进行规划。采用MPLS BGP VPN作为实现基本MPLS VPN业务的技术路线,包括支持各委办局建立的垂直纵向网络(含实现跨自治域VPN访问)、各委办局之间的可控的横向互通访问、互联网访问VPN等;l 采用上层PE的缺省路由下发到下层PE的技术实现VPN路由的层次
41、化;l 采用VPDN+PE技术或同等功能效果的技术满足移动用户拨入VPN需求。l 采用MPE技术或同等功能效果的MPLS VPN网络管理技术实现网管中心对全网MPLS VPN业务的统一管理。XX市电子政务外网MPLS VPN总体规划如下图所示: XX市电子政务外网省网MPLS VPN规划拓扑图MPLS VPN由三类设备组成:PE,P(可视实际组网情况部署)和CE。VPN的划分和维护全部在PE设备上进行,P设备只运行IGP协议、LDP协议(或RSVP扩展)、BGP协议(可视实际组网情况部署),不会运行MP-BGP协议,不会感知VPN的存在。CE设备上负责VPN业务落地,也不会感知VPN的存在。在
42、XX市MPLS VPN的规划中,主要有三类MPLS VPN:1、纵向VPN,主要用于承载部门内部的纵向应用系统,在满足省-市-县的纵向VPN互通之外,还有与国家部委VPN网络进行对接的需求;2、横向VPN,主要满足同级机构跨部门的数据访问需求;3、互联网VPN,XX市电子政务外网为市级各厅局提供统一的互联网出口服务。互联网作为XX市电子政务外网中一个特殊的VPN,与政务外网相隔离。2.4.3. VPN路由设计1、IGP的实施XX市政务外网IGP实施采用了OSPF,考虑到今后可能新增其它业务和区域,因此在路由设计时考虑到了对OSPF进行多区域划分。鉴于PE路由器上会邻接大量的不同VPN客户的CE
43、路由器,而且其中相当部分会启用动态路由,CE的客户路由的稳定性有可能对PE的路由器的路由进程的稳定性造成影响。VPN路由隔离和稳定性可能不象P路由器一样稳定(主要要考虑CE带来的影响)。为了防止PE路由器的稳定性问题对全网IGP路由造成影响,所有PE路由器放在单独的政务外网IGP区域内,即所有的PE都放在OSPF的AREA 0区域内。2、PE与CE间路由实施MPLS VPN的网络包含了大量的Rc边缘路由设备。所有PE 都可以直接接入部委的VPN客户,通过PE上的多种类型的业务接口,如POS、E1、以太网等。在这些业务接口上,PE需要同CE(客户路由器)建立路由邻接关系,路由协议的实施选择如下:
44、对于普通的VPN客户,PE与CE间一般采用静态路由即可满足要求。对于较大的VPN客户,PE与CE间可启动动态路由,以满足VPN客户网络的变化和发展的需要,双方可以通过动态路由协议交换彼此的网络地址段的变化,而无需网络管理人员手工配置路由进行调整。PE需要同CE(客户路由器)建立路由邻接关系时,考虑VPN网络安全方面的进行实施内容如下:PE只接受本VPN(VRF)内的路由网络地址段,通过路由策略图及路由过滤在PE上实施来控制。3、MP-BGP的实施命名规则各机构VPN客户VRF命名规则:采用6大机构名称拼音全称+分机构拼音全称,字拼音第一个字母大写。例如政府中审计机构VPN为 ZhengFu_S
45、henJi。XX市电子政务外网工程中采用采用如下RD值的格式:16位自治系统号:32位用户自定义数字。由于RD与VRF相捆绑,即PE设备上每个VRF表中的所有VPN-IPv4路由将使用同一个RD值,RD值保证了VPN-IPv4路由在PE设备上的唯一性,所以必须全局统一分配。VPN客户RT命名规则和RD相同。各机构VPN客户的RD命名规则采用ASN:nn方式命名。其中管理VPN采用1号,对于Internet VPN,RD命名采用预留的2号。市政务外网VPN RD、RT规划VPN名称站点RDExport RTImport RT管理VPNNOCASN:1ASN:1ASN:100 ASN:20000各
46、委办局ASN:100ASN:20000ASN:100ASN:20000ASN:1委办局VPN委办局1ASN:110-199ASN:110-199ASN:110-199委办局100ASN:10010-10099ASN:10010-10099ASN:10010-10099互联网VPN互联网ASN:2ASN:2ASN:2PE为每个VPN设定一个虚路由转发表VRF,用来保存VPN用户的路由表,使VPN之间被隔离。为VRF使用标准传统命名方式如用户ID和接口名称,一般反映服务提供者、业务性质、VPN用户的信息。PE中VRF数量配置综合考虑到路由器的能力、用户路由数量以及PE-CE连接所使用的路由协议。V
47、RF在单台路由设备上尽量控制更少的数量,按需设置,未使用到的VRF不做预设置。4、MPLS VPN RR路由策略实施XX市电子政务外网平台MPLS VPN技术实现多业务的接入。本规划建议XX市电子政务外网平台部署BGP/MPLS VPN来实现上述VPN业务。VPN的划分原则上按照每个联网部门划分纵向VPN,各个联网部门根据实际需求设置横向VPN,以实现各个联网部门之间的纵向隔离。MP-BGP主要用于传递VPN 路由,IBGP主要用于传递IPv4路由。MP-BGP同样具有N平方问题,为了解决这个问题,也必须使用BGP反射器技术。规划原则与IBGP RR的规划原则一样,如下:路由反射器(RR):2台主干核心层交换机构成一个Cluster。其中主干核心交换机为路由反射器(RR);反射客户机为其余所有与核心交换机直接相连的主干汇聚层设备;PE不收