《电子政务外网网络设计方案.ppt》由会员分享,可在线阅读,更多相关《电子政务外网网络设计方案.ppt(56页珍藏版)》请在三一办公上搜索。
1、新疆自治区电子政务网络平台建设项目,技术方案,序言,新疆自治区电子政务外网本期工程主要建立网络平台,纵向上联国家电子政务外网管理中心,下联18个地市级网管中心,横向联接26个区级厅局单位。本次建设的主要内容是将相关网络设备和软件相互连通,构建新疆自治区政务外网网络统一平台、外网综合门户网站、数据交换中心、应用服务系统、信息安全保障体系、外网标准规范等,为电子政务应用和各级用户提供服务。,目 录,网络建设目标详细设计技术规范设备维护,网络建设目标,网络建设目标,新疆自治区电子政务外网工程主要是建设网络基础平台,纵向上联国家电子政务外网管理中心,下联18个地市级网管中心,横向联接26个区级厅局单位
2、。本次建设的主要内容是将相关网络设备和应用平台相互连通,构建新疆自治区政务外网网络统一平台、外网综合门户网站、数据交换中心、应用服务系统、信息安全保障体系、外网标准规范等,为电子政务应用和各级用户提供服务。,网络建设目标,R3,R4,区党委大院,区政府大院,其他部门与厅局,国家电子政务外网,区发改委、财政、工商、地税等厅局就近光纤接入,DMZ服务区,区级网管中心,乌鲁木齐市政务外网,ISP1,ISP2,RA中心,VPN网关,千兆光纤,千兆电,155M POS,16M SDH,R2,R1,FW1,IPS1,R9,广域网,100M,100M,S1S2,Rd,R_d01,R_h1,R_h2,R_h3
3、,R_h4,Rc01,Rc26,Rcxx.,Rcyy,155M,8M,LB1,LB2,R5,R6,IPS1,FW1,R7,R8,城域网,政务外网广域骨干网:构建政务外网宽带骨干网,实现与18 个地市级外网互联;自治区城域网:组建区本级城域网,实现与自治区级26 个部门的互联,支持相关政府部门的专网接入;政务外网互联网出口:通过链路负载均衡方式实现与两家不同运营商的互联网联接,是新疆自治区政务外网省级唯一的互联网出口;使用MPLS VPN 技术,可以利用政务外网平台,构建不同业务的专用VPN;支持远程移动办公接入,能够结合政务外网证书,利用互联网隧道技术,接入政务外网。网管中心局域网建设,提供域
4、名等应用基础服务,进行网络运行维护的监控、设备配置、故障排查、任务调度等管理;,网络建设目标,网络建设目标,详细设计,组网原则,实用性,采用成熟技术,按照本标书要求,提出切实可行的系统工程解决方案。先进性,所提供的技术在近年内具有一定的先进性,并与未来的新技术具有兼容性。可扩展性,具有升级和扩展能力,提出的系统解决方案应能满足该系统业务发展的需要,方便扩大网络覆盖范围和网络容量;系统中配置的设备应便于维护和扩充,并具有支持多种物理接口的能力;提供的设备和软件具有升级和扩展能力。开放性,遵循国际标准,支持多种标准网络协议,实现系统间互连。经济性,系统的配置应充分考虑性能价格比,选择最优的技术方案
5、。可维护性,提供的系统应具有简单、方便的维护和管理手段及流量统计等功能,并尽量减少维护和管理环节。可靠性与可用性,系统可用性应99.9%。系统安全,该网络为与国际互联网逻辑隔离,系统应具有不同级别的安全运行管理措施,如,用户识别、口令、访问控制级别和范围等功能;具有防止非法访问、记录全部登录过程、提供安全日志的功能。,电子政务外网整体建设,R3,R4,区党委大院,区政府大院,其他部门与厅局,国家电子政务外网,区发改委、财政、工商、地税等厅局就近光纤接入,互联网服务区,区级网管中心,乌鲁木齐市政务外网,ISP1,ISP2,RA中心,VPN网关,千兆光纤,千兆电,155M POS,16M SDH,
6、R2,R1,FW1,IPS1,R9,广域网,100M,100M,S1S2,Rd,R_d01,R_h1,R_h2,R_h3,R_h4,Rc01,Rc26,Rcxx.,Rcyy,155M,8M,LB1,LB2,R5,R6,IPS1,FW1,R7,R8,城域网,整体网络结构说明,网络分为广域网区、自治区城域网区、局域网网管中心区、互联网出口区等4个部分。4个区域通过核心层设备R1-R4实现互联。R_h1-R_h4是城域网汇聚层;R7、R8是局域网汇聚层;R_d01-R_d18是广域网汇聚层。局域网区是整个电子政务网应用平台的接入。,广域网建设,广域网建设说明,广域区由广域网核心层和地市级汇聚层组成。
7、核心层设立2 台高端路由器H3C SR8812(R3、R4)组成,两者通过GE背靠背互连,实现广域区高可靠连接,并达到负载均衡。除在可靠性和处理能力方面达到运营级要求外,还是一个高交换容量、高处理能力、强管理能力和具有丰富接口的高端P/PE 路由设备。汇聚层使用H3C SR6608(R_d01-R_d18)组成,通过POS155和8M E1分别与R3、R4互联,实现线路备份。,城域网建设,城域网建设说明,区级城域网核心节点设在区级政务外网网管中心,由H3C SR8808路由器R1、R2 组成,两者通过GE使用双通道连接成环,能提供高交换容量、高处理能力、高性能和高可靠性保障的P/PE 路由设备
8、,同时还要提供高密度、高带宽端口的接入能力。两台核心路由器下接4 台汇聚路由器(R_h1-R_h4),下面分别连接各接入单位的外网。汇聚层的路由器分别与两台核心路由器以千兆相联,以保证网络接入的可靠性。接入层由26 个接入路由器H3C MSR 30-20(Rc1 至Rc26)组成,按业务需求和所处位置采用10M/100M/1000M 光纤或8M 的SDH 接入;接入层设备能够提供较高交换容量、较高处理能力、较高性能和高可靠性保障,同时还要提供较多QOS 等业务功能的能力。接入层设备要求能够提供不同性质的网络业务。,局域网建设,局域网建设说明,汇聚层设备分别由R7、R8(SR6608)和SW7、
9、SW8组成。接入层设备由S1-S6组成,完成各种应用系统的接入。,互联网建设,R1,R2,政务外网通过NAT 技术,与互联网进行安全可控连接。为保证互联网出口稳定性,考虑采用由两家互联网服务提供商实现双出口接入,通过光纤与其相连,出口速率为100M。两家运营商分别使用光纤通过R4、R5两个互联网出口路由器接入到电子政务外网中,R4、R5两台路由器以全连接方式与两台负载均衡交换机LB1、LB2互联,两台负载均衡交换机再通过IPS和防火墙连接到城域网核心路由器上。,互联网建设说明,R3,R4,区党委大院,区政府大院,其他部门与厅局,国家电子政务外网,区发改委、财政、工商、地税等厅局就近光纤接入,区
10、级网管中心,乌鲁木齐市政务外网,RA中心,R2,R1,Rd,R_d01,R_h1,R_h2,R_h3,R_h4,Rc01,Rc26,Rcxx.,Rcyy,155M,8M,R7,R8,整网路由协议设计,整体网络由OSPF和BGP两种动态路由协议构成核心层及汇聚层使用OSPF 1路由进程,使核心层设备Loopback接口IP路由可达。核心层使用MP-BGP来使多个MPLS VPN实例互通IBGP使用设备loopback接口IP来建立邻居,以及传送BGP各种消息报文。,整网路由协议设计,广域网路由协议设计,广域网各地州汇聚路由器R_d01-R_d18与核心路由器使用OSPF 1进程和IBGP协议广域
11、网各地州汇聚路由器下联分别使用ospf 1XX-ospf 1XX路由进程地州的路由进程通过MPLS VPN实现与中心网络城域网和局域网互通。,广域网路由协议设计,城域网路由协议设计,城域网路由协议设计,城域网汇聚路由器R_h01-R_h04与核心路由器使用OSPF 1进程和IBGP协议城域网汇聚路由器下联分别使用ospf 1xx-ospf 1xx路由进程城域网的路由进程通过MPLS VPN实现与中心网络局域网和地州广域网互通。,局域网路由协议设计,局域网路由协议设计,局域网汇聚路由器R7、R8与核心路由器使用OSPF 1进程和IBGP协议局域网汇聚路由器下联使用ospf 100路由进程局域网的
12、路由进程通过MPLS VPN实现与中心网络城域网和地州广域网互通。,MPLS VPN 设计,城域网侧:城域网核心设备R1、R2做P设备。城域网汇聚层设备R_hx做PE。城域网接入交换机做CE,接入各厅单位内部网络。广域网侧:(分为两种情况)情况一:地市网络规模较大,地市组建自己的城域网和广域网。地市广域网核心层设备R_dx做P。地市城域网汇聚层设备做PE。地市城域网接入层设备做CE,接入各局单位内部网络。情况二:地市网络规模较小,汇聚层设备接入省广域核心设备。放置在各地市的汇聚路由器R_dx做PE。地市接入层设备做CE,接入各局单位内部网络。局域网侧:汇聚层设备R7、R8做PE汇聚层设备SW7
13、、SW8做CE,MPLS VPN 设计,技术规范,设备命名规范,其格式为:空间地理位置-网络逻辑位置-设备类型-设备编号空间地理位置:即设备放置的地理位置。网络的逻辑位置:即设备在网络中放置的逻辑位置。核心层设备:hx(核心的简拼),接入层设备:jr(接入的简拼);汇聚层设备:hj(汇聚的简拼),负载均衡:lb,管理设备:man,服务器区设备:ser,存储区设备:ipsan,数据:data。设备类型:以设备厂家和设备型号的缩写来命名。设备编号:处于同一位置同类设备的编码顺序,为一位阿拉伯数字表示,按1-9的顺序编号。举例说明:城域网核心路由器:cyw-hx-sr8808-1,IP 地址规划,L
14、OOPBACK接口规划,Loopback接口号为了便于管理,配置成和OSPF进程号相同。Ospf的router-id配置成相应的Loopback 例如:局域网ospf进程号100,那么Loopback接口也配置成100,设备互连地址规划,业务VLAN规划,OSPF路由协议规范,OSPF 1是BGP协议的IGP,只用于维护BGP的邻居;根据不同区域划分area局域网区OSPF进程100,area 0广域网区OSPF进程1xx-1xx,area 0城域网区OSPF进程2xx-2xx,area 0互联网区OSPF进程300,area 0,R3,R4,区党委大院,区政府大院,其他部门与厅局,国家电子政
15、务外网,区发改委、财政、工商、地税等厅局就近光纤接入,区级网管中心,乌鲁木齐市政务外网,RA中心,R2,R1,Rd,R_d01,R_h1,R_h2,R_h3,R_h4,Rc01,Rc26,Rcxx.,Rcyy,155M,8M,R7,R8,OSPF区域规划图,互联网区,城域网区,广域网区,BGP路由协议规范,全网只使用IBGP协议,R1、R2和R3、R4之间配置路由反射器,已减少BGP邻居的配置。配置MP-BGP用于承载业务OSPF的MPLS VPN路由。,BGP邻居关系,R3,R4,区党委大院,区政府大院,其他部门与厅局,国家电子政务外网,R_d02,地市政务外网,R_d03,地市政务外网,R
16、_d18,地市政务外网,R_d04,地市政务外网,R_d05,地市政务外网,区发改委、财政、工商、地税等厅局就近光纤接入,网管中心局域网,乌鲁木齐市政务外网,IBGP邻居,R2,R1,广域网汇聚,Rd,R_d01,R_h1,R_h2,R_h3,R_h4,Rc01,Rc26,Rcxx.,Rcyy,155M,8M,R7,R8,城域网汇聚层,BGP路由反射器,MPLS VPN 规划,MPLS VPN 规划,MPLS VPN 规划,冗余备份规范,设备硬件冗余 1、管理引擎的冗余,对重要的核心设备,保证双引擎冗余。2、电源的冗余,所有支持双电源的设备均采用两路电源。3、双设备冗余,重要的核心设备,保证两
17、台设备主备冗余。,冗余备份规范,二层链路冗余1、三层交换机之间的互联链路,则负责转发整网在非稳定状态下的大部分冗余流量,对可靠性的要求也很高。因此三层交换机之间的互联链路二层设计为双链路冗余,使用协议IEEE802.3AB+IEEE802.1Q;三层互联使用SVI。2、接入交换机之间二层设计为双联路冗余+Trunk,即IEEE802.3AB+IEEE802.1Q,三层使用SVI来维护OSPF neibour。,冗余备份规范,生成树冗余 局域网区接入交换机均启用生成树MSTP功能。生成树采用主备根的方式,对生成树的根进行冗余,以第一台汇聚交换机作为生成树的主根,优先级定为0;第二台交换机做为备根
18、,优先级定为8192。,冗余备份规范,VRRP冗余 为保证服务器和PC接入到子功能区的网络后,能实现三层网关的冗余,在接入交换机上须启用VRRP协议。并将各个VRRP组的Master均活在第一台交换机上。,MSR3020、SR6608的维护,MSR3020、SR6608的维护,MSR3020、SR6608 配置一个接口Interface serial 2/1/0:0 encapsulation ppp 封装协议 ip add 1.1.1.1 255.255.255.0 配置IP S6506 配置一个接口VLAN 100 创建一个VLANInterface Ethernet 2/0/0 Port
19、 access vlan 100 划到一个VLAN中Interface Vlan 100 创建三层接口 ip add 1.1.1.1 255.255.255.0 配置IP,MSR3020、SR6608的维护,display ip interface brief 查看所有端口物理和链路状态display interface serial 2/0/0 查看一个接口的详细状态display ospf peer 查看ospf邻居建立情况display ospf routing 查看ospf拓扑表display bgp peer 查看bgp邻居建立情况display bgp routing 查看bgp拓扑表display ip routing 查看路由表display ip routing protocol ospf 只查看ospf路由表display ip routing protocol bgp 只查看bgp路由表,NE80E、SR6608、S6506的维护,NE80E、SR6608、S6506的维护,NE80E、SR6608、S6506的维护,NE80E、SR6608、S6506的维护,NE80E、SR6608、S6506的维护,谢 谢!,
