《电子政务外网方案.doc》由会员分享,可在线阅读,更多相关《电子政务外网方案.doc(45页珍藏版)》请在三一办公上搜索。
1、XX省电子政务外网技术建议书目 录第1章项目需求分析51.1XX省电子政务外网平台纵向网络的应用51.2XX省电子政务外网平台横向网络的应用61.3XX省电子政务外网平台其他应用61.4各个部门、地市的接入需求6第2章总体设计原则8第3章网络可靠性设计规划93.1网络结构可靠性设计93.2组网设备可靠性设计建议103.3智能网络管理中心系统11第4章网络规划及总体设计144.1网络结构设计及设备选型144.1.1广域网省核心节点154.1.2广域网地市核心节点154.1.3中心城域网设计154.1.4地市城域网设计164.2网络接入能力设计概述174.2.1与国家电子政务外网平台的连接174.
2、2.2与地市电子政务外网的连接184.2.3横向接入部门的互联互通184.2.4互联网接入设计19第5章MPLS VPN设计205.1MPLS/BGP VPN概述205.2构建XX省电子政务外网MPLS VPN的基本思路215.2.1XX省电子政务外网VPN方面的主要需求215.2.2XX省电子政务外网MPLS VPN的主要特点215.2.3XX省电子政务外网MPLS VPN实施要点225.3MPLS VPN网络基本设计235.3.1MPLS VPN网络逻辑结构235.3.2MPLS VPN路由策略设计要点23第6章IP地址规划建议256.1IP地址分配原则256.2XX省电子政务外网平台IP
3、地址规划要点266.3IP地址分配详细设计266.3.1对于设备Loopback地址的分配266.3.2设备间链路地址的分配276.3.3CE设备网管地址286.3.4IP地址初步划分如下28第7章路由协议设计317.1总体路由规划317.2BGP协议规划327.3IGP协议规划337.4MPLS VPN静态、直联路由规划36第8章智能网络管理系统平台378.1智能管理中心总体建设思想378.2具体实现需求规划388.2.1基础资源管理388.2.2身份与接入管理408.2.3端点安全准入管理418.2.4MPLS VPN管理43第1章 项目需求分析自1993年以来,以三金工程的启动为标志,我
4、国政府信息化建设取得了长足进步,建设了一批管理信息系统,构建了不同规模的网络体系。但由于各部门各自建设自己的专网,在网络建设上盲目投资和重复投资多有发生,存在网络利用水平低、安全隐患大、互联互通少等诸多问题。2002年,中共中央办公厅、国务院办公厅转发了“国家信息化领导小组关于我国电子政务建设指导意见”的通知(中办发200217号文),指出“十五”期间,电子政务建设的主要任务之一就是建设和整合统一的电子政务网络。电子政务网络由政务内网和政务外网构成,两网之间物理隔离,政务外网与互联网之间逻辑隔离。政务外网是政府的业务专网,主要运行政务部门面向社会的专业性服务业务和不需在内网上运行的业务,为政务
5、部门的业务系统提供网络、信息、安全等支撑服务,为社会公众提供政务信息服务。2002年12月,国信办确定国家信息中心作为政务外网的建设单位。2004年11月,政务外网(一期工程)建设工作正式启动。目前国家电子政务外网建设工作取得了阶段性成果。中央级基础网络平台已经基本建成,实现通过专线横向联接国务院16个部委局署,纵向联接32个省、自治区、直辖市、新疆生产建设兵团。部委业务应用试点工作取得突破,监察部纠风业务应用系统已经正式开通,国务院扶贫办的先期业务应用试点也已进入上线运行的最后准备阶段。根据国家外网办公室统一规划和XX省网站建设办公室要求,启动XX省政务外网建设。XX省电子政务外网平台网络系
6、统工程建设的总体规划将完成主要政府部门的横向连接,十七个地市的纵向接入,连通国家外网平台,通过国家、省两级外网平台,连通国家试点16个部委和对应厅局,承载XX省各有关电子政务业务系统。其中包括经济信息中心、省委、省人大、省政协、各个省直部门以及全省17个地市等。XX省电子政务外网平台在纵向上能够实现与国家电子政务外网平台、地市电子政务外网网络平台的连接,在横向上能够方便连接省政府组成部门、直属机构、办事机构、事业单位等省直部门,以及横向连接省委、省人大、省政协及中央在皖单位等。同时,网络必须具备高度的可靠性和稳定性,应具备可伸缩、可管理、可扩展的能力,以应对业务数据的快速增长,满足网络平台平滑
7、升级的要求;1.1 XX省电子政务外网平台纵向网络的应用XX省电子政务外网平台建立后,各个纵向网络将逐步整合到统一的连接通道。外网平台既要满足互联互通,又要保证部门纵向系统的相对独立性和现有纵向网络系统的正常运行,应当提供各个部门高速通达、逻辑专用、安全可靠、方便使用的纵向系统虚拟专用网络,支持至少60个省直部门的MPLS VPN需求,并有足够的扩充能力;1.2 XX省电子政务外网平台横向网络的应用XX省电子政务外网平台建立后,各个联网部门将逐步开展横向电子政务业务。外网平台既要满足互联互通,又要保证相关部门横向业务系统的相对独立性,应当提供各个横向业务高速通达、逻辑专用、安全可靠、方便使用的
8、横向系统虚拟专用网络,支持省直部门的横向MPLS VPN需求;1.3 XX省电子政务外网平台其他应用XX省电子政务外网平台建成后,将实现与国家电子政务外网平台的接入,各联网部门能够通过XX省电子政务外网平台方便访问外网平台内部数据中心、外部数据中心和互联网等公共资源;XX省电子政务外网平台还将为各联网部门提供高速统一的互联网接入。1.4 各个部门、地市的接入需求XX省电子政务外网平台建成后,将满足省政府组成部门、直属机构、办事机构、事业单位等省直部门以及中央在皖单位以及其他部门根据不同要求,以不同带宽、接入方式接入到统一外网平台;XX省电子政务外网平台核心广域网设备配置能一次性满足不同阶段带宽
9、的需求,初期阶段采用南北双155M环网络方式,连接17个地市,17个地市城域汇聚设备也需做相应考虑。本规划总体本着先进性、现实性和经济性相统一的原则进行网络设计,使网络具有高性能、高可靠性、高安全性、高可扩展性、标准化和易管理的特点,能灵活地根据用户的需求提供不同网络业务的服务保证,为XX省电子政务相关业务系统提供统一的、优质的网络基础设施平台。第2章 总体设计原则根据XX省电子政务外网平台现状、需求及网络技术发展的趋势,我们按以下原则设计网络方案:l 高可靠性:具有很高的容错能力,具有抵御外界环境影响和人为操作失误的能力,保证单点故障不影响整个网络的正常运行。l 高性能:具有较高的传输带宽,
10、并在高负荷情况下仍然具有较高的吞吐能力和效率,延迟低。l 支持QoS:能根据业务的要求提供不同等级的服务并保证服务质量,提供拥塞控制,报文分类,流量整形等强大的IP QoS和MPLSQoS功能。l 安全性:具有保证系统安全,防止系统被人为破坏的能力。支持AAA认证、ACL、VPN、NAT、路由验证、CHAP、PAP、CA、MD5、DES、3DES、日志等安全功能。l 扩展性:易于增加新设备、新用户,易于和各种公用网络连接,随系统应用的逐步成熟不断延伸和扩充,充分保护现有投资。l 开放性:符合开放性规范,方便接入不同厂商的设备和网络产品。l 标准化:各种协议和接口符合国际标准(IEEE、IETF
11、等)。l 实用性:具有良好的性能价格比,经济实用,设计方案和设备选型应符合骨干网络信息量大、信息流集中的特点。l 易管理:一个好的网络系统必须是一个易管理的网络系统,本方案中通过配置网管系统软件对整个网络实施高效的管理。第3章 网络可靠性设计规划网络系统是电子政务外网平台建设中的重要基础设施平台,该网络系统的设计实施中必须对网络的可靠性进行详尽的考虑和设计。网络系统的可靠性由两个大部分组成,即承载网络的可靠性和应用系统的可靠性。应用系统的可靠性主要由服务器、存储设备、应用程序、数据库等的可靠性构成,由上层应用保证;承载网络的可靠性则包括网络拓扑组网结构的可靠性及组网设备可靠性。下面对XX电力调
12、度数据网中承载网络的可靠性设计进行说明。XX省电子政务外网承担各种业务应用系统,提供统一的网络平台,其网络可靠性要求很高。网络系统的可靠性主要体现在以下几个方面:1、 网络结构设计保证网络的可靠性;2、选配高可靠性的网络设备;3、完善的网络管理系统确保网络可靠性;4、选配必要的设备和模块备份。3.1 网络结构可靠性设计网络组网结构的可靠性,主要是对网络互联通道的备份考虑和设计,通过备份线路及设备的备份,保证任何时刻、任何节点之间都有可达的路由。1)对于XX省电子政务外网平台网络系统而言,核心层和汇聚层节点之间的链路是网络的主干链路,采用星型拓扑结构。这种结构的可靠性由核心层节点和汇聚层节点间的
13、设备配置和互连链路的特性决定。本网络的核心层与汇聚层节点之间采用的双链路连接,实现链路冗余,以提高网络的可靠性。2)在XX经济信息中心节点采用双核心高端路由设备的配置,提高网络的可靠性,并可实现负载分担。3)在故障出现的时候,通过传输链路以及动态路由协议等机制,保证网络数据自动迂回切换到其它连通的链路上,保证通信的正常进行。对于流量超过备份线路带宽承载能力时,可采用QoS等措施保证业务网关注的关键业务得到优先传送或者升级带宽。3.2 组网设备可靠性设计建议线路的备份主要解决了网络互通路径的问题,而节点设备的可靠则解决网络的有效运转问题。要保证电子政务网络平台的可靠性,对于核心和汇聚层,必须要选
14、用具备电信级可靠性的网络设备进行组网,才能使网络具有自动恢复能力、降低人工维护工作,达到电信级的可靠运行。设备的高可靠性从硬件、软件、保护机制等几个方面体现:1、广域网以及中心城域网核心设备采用全分布式体系结构:分布式体系结构可以提高组网的物理可靠性,如在城域网环网组网中,每个骨干节点都有多条接口与相邻的节点或本地互联,从路由上提高了可靠性。如果采用集中式体系,则当节点设备出现故障时,这个节点所有接口都会失效,造成节点所带网络的中断;而采用分布式结构时,这些接口可以分别配置到不同的接口处理板上,这样,无论这台设备的管理单元、交换转发单元,还是单一接口出现故障,都可以保证至少有部分路径是连通的,
15、降低网络中断的危险。2、关键部件冗余:采用分布式体系下,对设备的关键部件,如主控管理单元、电源管理等单元等,进行冗余构造配置,保证系统在工作中不会全部失效。3、实时热备份机制:在系统软件及硬件的支持下,关键部件在发生故障能自动启动备份系统,而且主备之间的切换要能够实时热倒换,即运行中即使发生设备故障切换也不会对网络业务造成影响。4、热插拔特性:核心和汇聚层设备的任意单板需要支持热插拔特性,保证系统出现故障需要维护,或系统需要升级扩展时,不需要停机处理,保证网络的724小时不间断运行。5、冗余电源支持:冗余电源负载分担及备份供电可保障系统具有可靠的能量源。6、散热系统:散热系统使设备长时间运行而
16、不至因为温度过高而出现故障。冗余风扇等散热装置可以增加设备的无故障运行时间及减少故障发生。具备这些特性的网络设备是保障数据网高可靠运行的基础,在设计中我们将参照并遵循这些原则,构建高可靠性、高可用性、高可管理性的网络平台。3.3 智能网络管理中心系统在设计网络管理系统时,应全面考虑网络管理的内容,建设网络管理平台、网络设备管理软件模块、网络故障管理模块、网络流量模块、网络故障告警模块。通过网络管理系统多种模块的组合,实现对整网设备和安全性等各个方面进行全面的管理,有效地提高网络的安全可靠性。H3C公司的网络智能管理中心(iMC)产品,基于SOA开放式框架,将网络用户、网络设备和网络业务有机的整
17、合起来,可以有效地解决上述问题的同时实现网络的运营和管理从“网络资源运营”向“信息服务和流程服务”、从“粗放的规模运营和管理”向“精确管理和精益运营”转变。iMC产品以用户为本,灵活分配资源,迅速响应业务目标的变化,保证整个系统结构可以适应业务扩展、业务变更,进而满足业务流程再造的应用需求:1、 通过平台+组件化设计,平台框架实现了资源的统一管理和访问控制,不同业务独立设计,形成可扩展的组件设计模式,提供业务扩展能力;2、 不同功能组件之间实现融合联动,功能组件不再独立支撑业务,而为客户提供更实用的业务支撑;3、 按照客户所需进行组合装配,通过业务流程完成整个网络管理和运维;4、 基于SOA架
18、构设计,实现资源访问层、业务逻辑层和应用表示层分层实现,每一层可以对外提供接口,具备系统集成能力;针对电子政务外网的部署现状,iMC主要功能亮点如下:1、全面的基础网络资源管理iMC可以对全网资源进行统一部署、管理和调配,除了能够有效的对H3C等各种主流厂商的路由器、交换机、安全、无线、语音等传统网络资源进行管理之外,还可以对存储、服务器、PC、UPS等设备类型进行管理,实现了故障、性能、拓扑、配置等管理内容,成为业务融合联动的基础。2、网络资源和用户的统一管理iMC在对网络设备进行管理的基础上,将网络用户一同纳入管理范畴,从网络拓扑图上即可以了解到有哪些用户通过哪些网络设备接入网络,每个用户
19、的上网行为和安全状态都可以实时得到监控和审计。iMC可以支持LAN、WAN、WLAN、VPN等方式的用户认证接入,实现接入业务的统一、集中管理;同时支持智能卡、证书等强认证功能,支持多种方式的端点准入控制和基于身份的网络服务,实现用户与资源和业务的融合管理。3、政务外网MPLS VPN管理政务外网的建设随着承载业务的不断增加和对业务的安全性的要求,MPLS VPN成为实现上述功能不可缺少的技术手段。然而,MPLS VPN涉及技术多而复杂,增加了网络运营、部署、监控、维护等方面的难度。H3C公司的管理解决方案“MPLS VPN Manager”是基于H3C智能管理中心开发的,采用业界标准的SOA
20、架构,提供融合的资源管理,重整业务流程,实现MPLS VPN业务整个生命周期(规划、部署、监视、审计、优化、重构)的全流程管理。主要完成如下的功能:l 对MPLS VPN网络业务进行规划、部署以及已有业务的自动还原。l 对MPLS VPN网络资源进行管理,提供对VPN网络的配置优化。l 对MPLS VPN网络性能进行监控和故障关联分析。l 对MPLS VPN网络配置进行变更审计。l 对MPLS VPN网络业务进行端到端的连通性测试。H3C公司的iMC网络管理中心秉承SOA开放式产品架构,实现了网络用户、网络资源和网络业务的统一管理,可以实现网络设备管理、拓扑自动发现、网络流量分析、网络用户管理
21、及其安全审计、ACL管理、VLAN管理、MPLS VPN管理、EPON管理、无线管理等,是网络管理领域的一大飞跃,同时iMC提供开放式接口,使得政务网络的管理在二次开发方面成为可能。第4章 网络规划及总体设计4.1 网络结构设计及设备选型XX省政务外网为南北双环网络架构,建设横向连接省直各厅局的局域网, 纵向连接全省17个地市政务外网的网络平台,该平台主要由以下部分组成:省直城域网:目前一建成省直城域网,实现100M光纤与省直大部分厅局的互联,支持相关政府部门的专网接入。政务外网广域骨干网:构建政务外网广域骨干网,实现省与17个地市的互联。(合肥市通过省直城域网接入)地市政务外网:全省17个市
22、根据自身情况,按照统一标准规范,建设国家政务外网地市节点,实现和政务外网广域骨干网对接。XX省电子政务外网广域网组网图如下:本期工程主要建设城域网和广域网。4.1.1 广域网省核心节点广域网核心层节点设在XX经济信息中心。本方案采用双核心高端万兆路由器方式配置。广域网2台核心路由器之间采用万兆互联,通过155MPOS方式连接南北两个环网核心设备通过城域网核心交换机分别与五个汇聚节点设备连接,通过广域网接入十六个地市网络平台。4.1.2 广域网地市核心节点除合肥市外17个地市采用广域网链路进行接入,接入方式相同,均采用主链路155M接入,可以考虑备用链路接入。建议以155M POS链路作为主链路
23、,以2M4链路作为备份线路(仅规划)。4.1.3 中心城域网设计合肥中心城域网负责合肥市电子政务网用户以及省直机关用户的接入,中心城域网设置双核心高端分布式交换机以及五个区域汇聚中心城域网设计要点:1、中心城域网负责合肥各厅局的专线接入,传输介质为光纤专线2、采用三层网络设计架构,分别为城域网核心层,各区域(5个区域)汇聚层,以及各厅局接入点4.1.4 地市城域网设计十七个地市分别在中心机房采用核心三层交换机以及接入路由器连接已建设完成互联网络。地市城域网设计要点1、电子政务外网仅考虑到延伸到地市核心机房2、分别部署一台核心交换机(PE功能)以及一台接入路由器(NAT以及PE功能),分别对新接
24、入网用户以及已有联网用户的接入3、建议采用OSPF协议4、本地仅完成省政务外网的接入,不考虑互联网访问4.2 网络接入能力设计概述4.2.1 与国家电子政务外网平台的连接XX省电子政务外网建成后将与国家电子政务外网互联互通,确保国家16个试点部委与XX省对应厅局的业务贯通。在组网上,XX省电子政务外网2台核心路由器将分别通过千兆链路连接国家电子政务外网放置在XX省的接入节点华三NE路由器。为了实现XX省电子政务外网与国家电子政务外网的互联互通,两个问题必需解决:一、跨自治域的路由信息交换问题。因为XX省电子政务外网与国家电子政务外网分别处于不同的自治域内,国家电子政务外网放置在XX省的接入节点
25、路由器是国家电子政务外网的边界路由器,XX省电子政务外网2台核心路由器将做为XX省电子政务外网的边界路由器,故它们之间需要交换不同自治域的路由信息。目前跨自治域的路由协议最为成熟和应用最为广泛的应属EBGP协议,因此我们建议采用EBGP协议在两个自治域系统边界路由器之间交换路由信息;二、VPN跨自治域问题。同样是因为XX省电子政务外网与国家电子政务外网分别处于不同的自治域内,PE设备在不同的自治域内。要实现纵向VPN从国家到省之间的贯通,必需解决VPN跨自治域的问题。目前按照RFC2547bis中提出的跨AS自治域实现MPLS/BGP VPN的解决方案主要有三种:背靠背的VRF到VRF、MP-
26、EBGP、RR间部署多跳的MP-EBGP。推荐采用RR 间部署多跳的MP-EBGP方式。因RR间部署多跳的MP-EBGP方式具有最佳的扩展性,适合于大规模部署跨AS自治域VPN业务。4.2.2 与地市电子政务外网的连接XX省电子政务外网在17个地市分别放置1台接入路由器,此路由器上连广域网地市核心路由器,下联将负责与地市已经建设完成互联网的骨干设备进行互联互通,此接入路由器上配置10/100/1000M自适应电接口和地市电子政务外网骨干设备进行互联。XX省电子政务外网和地市电子政务外网互联互通的主要目的是实现某些部门纵向VPN系统能够从省贯通到市/州甚至到县,实现纵向业务互通。4.2.3 横向
27、接入部门的互联互通各接入部门除有纵向建立VPN业务的需求之外,还需要横向开展某些业务,实现跨部门的资源和信息共享。XX省电子政务外网将提供统一的网络平台,实现各个横向VPN业务的高速通达、逻辑隔离、安全可靠。4.2.4 互联网接入设计原则上互联网各地市分别接入当地ISP,即电子政务广域骨干网不承担互联网流量,中心城域网负责接入省直机关以及合肥市电子政务网用户的互联网统一出口,整体设计拓扑如下:1、中心城域网核心三层交换机通过防火墙直接接入internet互联网2、 可以考虑增加一台出口路由器(互联网出口路由器),完成对59段地址的NAT转换,相应的在中心城域网三层交换机配置相应的路由访问策略3
28、、地市互联网访问采用本地接入方式4、Internet访问外网公共服务器时,防火墙需进行一对一转换,执行静态NAT第5章 MPLS VPN设计5.1 MPLS/BGP VPN概述 MPLS(Multiprotocol Label Switching: 多协议标签交换)技术是在开放的通信网上利用定长标签进行数据高速传输和交换的网络新技术。MPLS技术将第二层交换和第三层的路由技术很好地结合起来,以十分简洁、高效的方式完成信息的传送。更为重要的是,MPLS使IP网络能提供传统IP网络不能或很难提供的各种增值服务,例如MPLS所提供的VPN服务、流量工程服务、IP QoS服务等。在MPLS网上实现的无
29、连接的IP VPN,提供了和基于帧中继、ATM PVC的第二层VPN相同安全级别的虚拟专用网,能达到第二层PVC所具有的专有性、安全性和数据传输的高速性,而MPLS VPN的灵活性、扩展性、易管理性和适应性则是当前其他基于PVC或隧道技术的VPN所无法比拟的。MPLS VPN在第三层路由上对各VPN进行了隔离,无需访问控制列表ACL,各VPN之间都是不可见的,骨干网对于客户网络(某个VPN内部)也是不可见的。所以,充分保证了在多个业务系统共用IP骨干网情况下的相互有效隔离。MPLS最初是为服务供应商网络所创立的技术,今天,很多企业或政府机构的网络也需要解决和服务供应商网络类似的需求和问题。大型
30、企业和政府机构的IP骨干网正从过去低带宽、重复分离的物理网络向宽带化、一体化方向发展,一个高效的、智能的、集成的网络是政府网络发展的方向。同样地,XX省电子政务外网要能安全、高效地整合各业务专网,同时应对各种公共业务、语音传送、视频服务多业务应用不断增长的需求,这些不同的业务专网和各种应用对于网络的安全性、服务质量要求各不相同,这就要求XX省电子政务外网平台必须能够将它们按照各自的特性和要求正确地传送,提供安全隔离和区别服务。先进、成熟的MPLS/VPN技术是XX省电子政务外网纵向系统建设的有效解决方案。5.2 构建XX省电子政务外网MPLS VPN的基本思路5.2.1 XX省电子政务外网VP
31、N方面的主要需求对XX省电子政务外网而言,需要重点实现两个方面的需求:l安全隔离:要保证各业务系统逻辑网络的相对独立性,以满足不同业务系统对安全性、服务质量、管理、拓朴结构的要求;2受控互访:各业务系统之间的流程整合又需要提供相互访问的途径,而且要保证访问的安全性。5.2.2 XX省电子政务外网MPLS VPN的主要特点MPLS/BGP VPN解决方案可以为XX省电子政务外网平台提供一种基于网络、易于管理、扩充性好、安全且具有QoS保障、可在任意节点间连接的VPN。1基于网络,易于管理。这种基于网络的VPN可以完全由骨干网络来实现,即网络用户(各应用系统)不用关心VPN是如何构造的,而是在网络
32、平台内完成。2路由。需要在各PE节点之间建立IBGP全连接,以交换VPN-IPV4路由。3安全性。由于基于MPLS/BGP实现,报文在网络节点构成的MPLS域中采用标签转发的形式进行交换(LSP),因此具有同ATM/FR虚电路相同的安全级别。MPLS BGP VPN方案采用VRF实现VPN之间的路由隔离。通过MPLS LSP隧道将VPN流量完全隔离。4QOS。由于基于MPLS/BGP实现,可以利用MPLS COS机制,结合IP QOS机制,从而能够为VPN用户实现端到端的QOS服务。由于各业务系统的VPN流量通过不同的LSP隧道承载,可以方便的针对LSP实现MPLS的区别服务。通过IP TOS
33、和MPLS COS域的映射,可以将边缘网络中定义的IP QOS级别继承到MPLS域中,实现端到端的QOS。5扩充性好。由于基于MPLS/BGP实现,因此很容易对网络节点进行扩充,网络可剪裁性好。在增加某个VPN的网点(Site)时,只需要配置该网点连接的PE路由器,不存在N平方问题。增加一项新业务系统时不会影响已有的业务,实现平滑扩展。MPLS VPN业务模型与网络规模及拓扑无关。5.2.3 XX省电子政务外网MPLS VPN实施要点XX省电子政务外网部署MPLS VPN要考虑以下几点:1、可靠性和稳定性目前MPLS VPN技术主要分成L3 MPLS VPN、L2 MPLS VPN(包括VPL
34、S(虚拟私有局域网服务)两大类。其中L3 MPLS VPN技术发展较早,其核心部分已经标准化(RFC2547,RFC2547bits),由于它的信令控制是通过多协议BGP来实现的,所以通常也叫做MPLS/BGP VPN,或BGP/MPLS VPN。MPLS/BGP VPN技术不仅已经广泛应用于电信运营商和ISP,而且也广泛应用于电力行业,政府行业(包括各省的政务内网和政务外网),金融行业,大型企业等行业用户。其技术和产品都较为成熟,稳定。所以XX省电子政务外网宜选用MPLS/BGP VPN作为主流的MPLS VPN技术。2、扩展性由于国家电子政务外网将每个省(含副省级)规划为单独的自治域(Au
35、tonomous System)。所以,要想实现各个部委的垂直纵向网从中央延伸到省、地市、区县,必需解决VPN跨自治域的问题。4、VPN业务的高QoS保证针对语音、视频、多媒体通信等实时性要求比较严格的业务,XX省电子政务外网的VPN服务能否提供类似专线一样的服务质量保证也是非常重要的,这就要求在整个网络中部署端到端的QOS。5、设备实现MPLS VPN的性能考虑前面只是考虑了MPLS VPN部署时的业务特性,而在一个实际的生产网络里。设备实现MPLS VPN的性能如何至关重要。6、可维护性和可管理性在电子政务外网中,由于行业的特点,政务外网服务提供商不仅要维护和管理PE设备,还要维护和管理C
36、E设备。如何解决同时对PE和CE设备的管理是必需考虑的问题。对MPLS VPN的业务管理是日常管理中的重要内容。5.3 MPLS VPN网络基本设计5.3.1 MPLS VPN网络逻辑结构纵向VPN是指行业系统内部(例如国土、林业、环保等)从省到市到县的虚拟专网。纵向VPN的CE、PE、P设备的分布如下(如图所示):5.3.2 MPLS VPN路由策略设计要点1、全网部署3层BGP/MPLS VPN,负责纵向行业网之间的互联2、 省核心出口同国家骨干网之间采用MP-EBGP方式进行跨域,完成各纵向网同国家部委的互通(目前仅规划,国家骨干网尚未开启MPLS VPN)3、省核心两台高端路由器配置为
37、RR(路由反射器),负责PE之间的IBGP peer的建立,解决组网带来的full mesh问题4、各联网部门之间的横向访问可以采用RT的导入以及导出进行灵活的互访(本工程不考虑NAT-VRF,原因地址为信息中心统一规划的59网段,因此不会出现地址重叠的情况第6章 IP地址规划建议6.1 IP地址分配原则IP地址规划对于网络系统设计与配置、应用效率、可维护性和可扩展性等方面都有很大影响,因此合理的IP地址分配是网络设计的重要目标之一。IP地址分配有如下原则:l 唯一性:一个IP网络中不能有两个主机采用相同的IP地址。l 连续性:简化路由选择,充分利用地址空间,最大限度地实现地址连续性,并兼顾今
38、后网络发展,便于业务管理。连续地址在层次结构网络中易于进行路由汇总(也称路由总结),大大缩减路由表,提高路由算法的效率。充分利用CIDR(无类域间路由)技术,减少路由表大小,加快路由收敛速度,同时减少网络中传播的路由公告信息,降低网络中用于传播路由信息的开销,避免局部网络故障引起整个网络上的路由算法进行再计算,提高网络的总体性能。l 可扩展性:充分考虑网络未来发展的需求,坚持统一规划、长远考虑、分片分块分配的原则。地址分配在每一层次上都要留有余量,在网络规模扩大时能保证地址空间汇总所需的连续性。l 规范性:严格按照IP地址分配原则进行IP地址的规划及项目实施。l 标准化和灵活性:充分利用标准化
39、的无类别域间路由(CIDR)技术和可变长子网掩码(VLSM)技术,合理、高效、充分地使用IP地址空间。l 层次性:IP地址划分的层次性应体现出网络结构的层次性。l 可管理性:为便于网络设备的统一管理,分配一段独立的IP地址段做网络互连地址和loopback地址。6.2 XX省电子政务外网平台IP地址规划要点本工程须分配的的IP地址类主要含设备标识地址、链路地址、广域网边界地址、网管地址、业务地址等。IP地址空间为国家分配给XX省政务网的B类地址段。下面结合XX省电子政务外网平台的业务和网络结构就该地址段给出网络的地址编码的建议。通过对XX省电子政务外网平台IP地址空间进行分配,实现最佳的网络内
40、地址分配,从而达到最佳的业务流量分布。为了节省IP地址,网络系统的编址方案将利用CIDR和VLSM技术。IP地址分配工作要点如下:l 合理分配路由器、交换机的Loopback地址和管理地址;l 合理分配广域网链路互连地址:包括核心层和汇聚层路由器广域互联链路、接入和汇聚互联链路地址;l 合理分配广域和局域互连地址(PE和CE的链路地址),根据VPN划分的数量来确定,链路的数量基本和每个PE上连接VPN的数量一致。PE和CE的链路地址应根据VPN统一规划,每个VPN一段地址,方便管理;l 为了节省广域网网络带宽和节点处理资源,网络IP地址的分配须有效控制,把IP地址的分配和路由的规划一起考虑,便
41、于地址更有效的汇聚;l 以路由协议的拓扑结构为IP地址规划参考的第一要素,即:按照协议的区域划分来规划IP地址段,保证在每个区域内的互联IP地址都可以聚合;l 网管地址统一规划,便于VPN地址的管理;l 充分考虑IP地址的预留问题,以保证网络的可扩充性。6.3 IP地址分配详细设计6.3.1 对于设备Loopback地址的分配各路由器的Loopback地址是一个重要的地址,在不同的方面都需要它的参与,这主要包括了以下的几种情况:l 路由器的Loopback地址,是保证内部路由协议的正常运行的重要条件;路由器的Loopback地址,是建立iBGP会话的主要参数的选择。l 选择Loopback地址
42、作为iBGP会话建立的基础,对于会话的稳定性能够提供很好的支持。l 路由器的Loopback地址是MPLS协议分发标签的重要参照地址。综合这些方面,各路由器的Loopback地址,对于整个网络的正常运行,有着至关重要的作用,因而对于各个路由器的Loopback地址的分配和管理,应当采取统一的专有地址空间。通过为所有的路由器分配一个专有的地址空间,能够更为有效地进行路由器的路由配置和管理,以及方便今后的运行维护和故障定位。Loopback地址分配采用32位掩码的原则。具体分配方法如下:XX省电子政务外网平台工程建设的总体规模包括:省经济信息中心及下属五个城域网汇聚节点、十七个地市、一期工程中联网
43、单位等,将来核心、汇聚、接入层路由器共数百台路由设备,同时考虑到网上还有很多交换机和其他相关设备,还需要为这些交换机等其他设备的划分管理地址空间。6.3.2 设备间链路地址的分配路由器(交换机)间链路的IP地址,从业务的相关性上,他们一般不具有全局的功能,而只是提供完成两个路由器之间的连接。因而从这个角度上讲,这部分的地址空间的分配应当考虑以下的方面:l 尽可能以分层次的方式为他们分配地址。l 由于链路地址空间不具有全局性,因而并不需要在全网范围内为每个链路保持精确路由。而采取分层次的地址分配方式,能够将链路地址逐级汇总,从而使得这些地址在各路由器的路由表中占有较少的空间。以降低对路由器的要求
44、,并保证路由器的处理效率。l 提供足够的预留空间,以满足今后新增链路的需要。采用上面的分层次的链路地址分配结构,能够保证路由处理的高效性。而在实施的过程中,应当考虑到在根据业务需要新增链路的时候,这种分层次的结构尽量不会被打破。那么,就需要在初期分配的时候,考虑到不远的将来可能进行的扩容,从而进行相应的预留。互连链路地址采用30位掩码的分配方式。6.3.3 CE设备网管地址网管系统需要管理CE设备,但由于CE的上联PE的链路地址对全网并不是公开的,因此要单独在CE与PE的链路划分一个子网网段。6.3.4 IP地址初步划分如下目前,国家电子政务网统一采用中国电信地址,已申请的地址59.192.0
45、.0- 59.255.255.255(/10)作为全网通信用地址,其中XX省分配的地址段为5920300/16。全省IP地址按照省地市区县的三层体系结构分配。省网地址包括省信息中心平台地址段,省厅局系统业务地址段。其中省信息中心平台地址段包括网络设备管理地址,互联地址和平台地址;地市地址网段分为地市管理中心平台地址,地市系统业务地址段和区县地址。具体分层结构如下表所示:地址类型分配IP地址范围备份IP地址范围地址数量省信息管理平台地址段省网络设备管理地址59.203.0.0/24使用1个C类地址省网网络设备互联地址59.203.1.0/2459.203.2.0/24使用1个C类地址,备份1个C
46、类地址平台地址59.203.3.0/2459.203.6.0/2459.203.7.0/2459.203.10.0/24使用4个C类地址,备份4个C类地址省厅/局系统业务地址段59.203.11.0/2459.203.20.0/2459.203.21.0/2459.203.30.0/24使用10个C类地址(每个厅局16个IP),备份10个 C类地址地市地址段(已包含区县地址段)59.203.31.0/2459.203.132.0/2459.203.133.0/2459.203.234.0/24每个地市6个C,备份6个 C类地址,17个地市共分配204个C类地址应急地址段59.203.235.0
47、/2459.203.254.0/24无共有20个C类地址应急5920300/16的地址总容量为256个C类地址段,考虑到业务信息量的飞速增长,本次IP地址划分在省厅采用1:1的分配方式,也就是使用地址数量备份地址数量1:1的分配方式,其中省经济信息管理中心平台地址段共分配4个C类地址段,同时保留4个C类地址段作为业务发展预留。省厅局系统每个厅局16个IP,共分配10个C类地址,同时预留10个C类地址段。在各地市地址分配中,每个地市6个C,备份6个 C,共分配204个C类地址段,是划分给各个地市自身业务使用。应急地址段有20个C类地址段的地址容量,主要为全省地市数量增加做好预留。由于各地市区县数量差别比较大,各个地市地址网段的具体分配原则上由各个地市的信息管理中心自行处理,地址结构可以参考省网地址的分配方式。第7章 路由协议设计7.1 总体路由规划目前国家骨干网络已经建设完成,本地已经设置一台接入路由器NE40,国家骨干网采用
