电子政务外网方案
电子政务外网构建与实现
学校:湖南理工学院
班级:计算机1104班
姓名:罗立佳
学号:14112400644
指导老师:石炎生
目录
第1章项目需求分析 (5)
1.1XX省电子政务外网平台纵向网络的应用.................................................. 错误!未定义书签。
1.2XX省电子政务外网平台横向网络的应用.................................................. 错误!未定义书签。
1.3XX省电子政务外网平台其他应用.............................................................. 错误!未定义书签。
1.4各个部门、地市的接入需求 ....................................................................... 错误!未定义书签。
第2章总体设计原则 (6)
第3章网络可靠性设计规划 (7)
3.1网络结构可靠性设计 (7)
3.2组网设备可靠性设计建议 (7)
3.3智能网络管理中心系统 (8)
第4章网络规划及总体设计 (11)
4.1网络结构设计及设备选型 (11)
4.1.1广域网省核心节点.............................................................................. 错误!未定义书签。
4.1.2广域网地市核心节点.......................................................................... 错误!未定义书签。
4.1.3中心城域网设计.................................................................................. 错误!未定义书签。
4.1.4地市城域网设计 (12)
4.2网络接入能力设计概述 ............................................................................... 错误!未定义书签。
4.2.1与国家电子政务外网平台的连接...................................................... 错误!未定义书签。
4.2.2与地市电子政务外网的连接.............................................................. 错误!未定义书签。
4.2.3横向接入部门的互联互通.................................................................. 错误!未定义书签。
4.2.4互联网接入设计.................................................................................. 错误!未定义书签。
第5章MPLS VPN设计 (14)
5.1MPLS/BGP VPN概述 (14)
5.2构建XX省电子政务外网MPLS VPN的基本思路 (14)
5.2.1XX省电子政务外网VPN方面的主要需求 (14)
5.2.2XX省电子政务外网MPLS VPN的主要特点 (14)
5.2.3XX省电子政务外网MPLS VPN实施要点 (15)
5.3MPLS VPN网络基本设计 (16)
5.3.1MPLS VPN网络逻辑结构 (16)
5.3.2MPLS VPN路由策略设计要点 (17)
第6章IP地址规划建议 (18)
6.1IP地址分配原则 (18)
6.2XX省电子政务外网平台IP地址规划要点 (19)
6.3IP地址分配详细设计 (19)
6.3.1对于设备Loopback地址的分配 (19)
6.3.2设备间链路地址的分配 (20)
6.3.3CE设备网管地址 (21)
6.3.4IP地址初步划分如下 (21)
第7章路由协议设计 (24)
7.1总体路由规划 (24)
7.2BGP协议规划 (24)
7.3IGP协议规划 (25)
7.4MPLS VPN静态、直联路由规划 (25)
第8章智能网络管理系统平台 (26)
8.1智能管理中心总体建设思想 (26)
8.2具体实现需求规划 (27)
8.2.1基础资源管理 (27)
8.2.2身份与接入管理 (29)
8.2.3端点安全准入管理 (30)
8.2.4MPLS VPN管理 (32)
第1章项目需求分析
自1993年以来,以三金工程的启动为标志,我国政府信息化建设取得了长足进步,建设了一批管理信息系统,构建了不同规模的网络体系。但由于各部门各自建设自己的专网,在网络建设上盲目投资和重复投资多有发生,存在网络利用水平低、安全隐患大、互联互通少等诸多问题。2002年,中共中央办公厅、国务院办公厅转发了“国家信息化领导小组关于我国电子政务建设指导意见”的通知(中办发[2002]17号文),指出“十五”期间,电子政务建设的主要任务之一就是建设和整合统一的电子政务网络。电子政务网络由政务内网和政务外网构成,两网之间物理隔离,政务外网与互联网之间逻辑隔离。
本规划总体本着先进性、现实性和经济性相统一的原则进行网络设计,使网络具有高性能、高可靠性、高安全性、高可扩展性、标准化和易管理的特点,能灵活地根据用户的需求提供不同网络业务的服务保证,为XX省电子政务相关业务系统提供统一的、优质的网络基础设施平台。
第2章总体设计原则
根据电子政务外网平台现状、需求及网络技术发展的趋势,我们按以下原则设计网络方案:
●高可靠性:具有很高的容错能力,具有抵御外界环境影响和人为操作失误的能力,
保证单点故障不影响整个网络的正常运行。
●高性能:具有较高的传输带宽,并在高负荷情况下仍然具有较高的吞吐能力和效率,
延迟低。
●支持QoS:能根据业务的要求提供不同等级的服务并保证服务质量,提供拥塞控制,
报文分类,流量整形等强大的IP QoS和MPLS QoS功能。
●安全性:具有保证系统安全,防止系统被人为破坏的能力。支持AAA认证、ACL、
VPN、NAT、路由验证、CHAP、PAP、CA、MD5、DES、3DES、日志等安全功能。
●扩展性:易于增加新设备、新用户,易于和各种公用网络连接,随系统应用的逐步
成熟不断延伸和扩充,充分保护现有投资。
●开放性:符合开放性规范,方便接入不同厂商的设备和网络产品。
●标准化:各种协议和接口符合国际标准(IEEE、IETF等)。
●实用性:具有良好的性能价格比,经济实用,设计方案和设备选型应符合骨干网络
信息量大、信息流集中的特点。
●易管理:一个好的网络系统必须是一个易管理的网络系统,本方案中通过配置网管
系统软件对整个网络实施高效的管理。
第3章网络可靠性设计规划
网络系统是电子政务外网平台建设中的重要基础设施平台,该网络系统的设计实施中必须对网络的可靠性进行详尽的考虑和设计。
电子政务外网承担各种业务应用系统,提供统一的网络平台,其网络可靠性要求很高。网络系统的可靠性主要体现在以下几个方面:
1、网络结构设计保证网络的可靠性;
2、选配高可靠性的网络设备;
3、完善的网络管理系统确保网络可靠性;
4、选配必要的设备和模块备份。
3.1网络结构可靠性设计
网络组网结构的可靠性,主要是对网络互联通道的备份考虑和设计,通过备份线路及设备的备份,保证任何时刻、任何节点之间都有可达的路由。
1)对于电子政务外网平台网络系统而言,核心层和汇聚层节点之间的链路是网络的主干链路,采用星型拓扑结构。这种结构的可靠性由核心层节点和汇聚层节点间的设备配置和互连链路的特性决定。本网络的核心层与汇聚层节点之间采用的双链路连接,实现链路冗余,以提高网络的可靠性。
2)在经济信息中心节点采用双核心高端路由设备的配置,提高网络的可靠性,并可实现负载分担。
3)在故障出现的时候,通过传输链路以及动态路由协议等机制,保证网络数据自动迂回切换到其它连通的链路上,保证通信的正常进行。对于流量超过备份线路带宽承载能力时,可采用QoS等措施保证业务网关注的关键业务得到优先传送或者升级带宽。
3.2组网设备可靠性设计建议
线路的备份主要解决了网络互通路径的问题,而节点设备的可靠则解决网络的有效运转问题。设备的高可靠性从硬件、软件、保护机制等几个方面体现:
1、广域网以及中心城域网核心设备采用全分布式体系结构:
分布式体系结构可以提高组网的物理可靠性,如在城域网环网组网中,每个骨干节点都有多条接口与相邻的节点或本地互联,从路由上提高了可靠性。
2、关键部件冗余:
采用分布式体系下,对设备的关键部件,如主控管理单元、电源管理等单元等,进行冗余构造配置,保证系统在工作中不会全部失效。
3、实时热备份机制:
在系统软件及硬件的支持下,关键部件在发生故障能自动启动备份系统,而且主备之间的切换要能够实时热倒换,即运行中即使发生设备故障切换也不会对网络业务造成影响。
4、热插拔特性:
核心和汇聚层设备的任意单板需要支持热插拔特性,保证系统出现故障需要维护,或系统需要升级扩展时,不需要停机处理,保证网络的7×24小时不间断运行。
5、冗余电源支持:
冗余电源负载分担及备份供电可保障系统具有可靠的能量源。
6、散热系统:
散热系统使设备长时间运行而不至因为温度过高而出现故障。冗余风扇等散热装置可以增加设备的无故障运行时间及减少故障发生。
具备这些特性的网络设备是保障数据网高可靠运行的基础,在设计中我们将参照并遵循这些原则,构建高可靠性、高可用性、高可管理性的网络平台。
3.3智能网络管理中心系统
在设计网络管理系统时,应全面考虑网络管理的内容,建设网络管理平台、网络设备管理软件模块、网络故障管理模块、网络流量模块、网络故障告警模块。通过网络管理系统多种模块的组合,实现对整网设备和安全性等各个方面进行全面的管理,有效地提高网络的安全可靠性。
针对电子政务外网的部署现状,iMC主要功能亮点如下:
1、全面的基础网络资源管理
iMC可以对全网资源进行统一部署、管理和调配,除了能够有效的对H3C等各种主流厂商的路由器、交换机、安全、无线、语音等传统网络资源进行管理之外,还可以对存储、服务器、PC、UPS等设备类型进行管理,实现了故障、性能、拓扑、配置等管理内容,成为业务融合联动的基础。
2、网络资源和用户的统一管理
iMC在对网络设备进行管理的基础上,将网络用户一同纳入管理范畴,iMC可以支持LAN、WAN、WLAN、VPN等方式的用户认证接入,实现接入业务的统一、集中管理;同时支持智能卡、证书等强认证功能,支持多种方式的端点准入控制和基于身份的网络服务,实现用户与资源和业务的融合管理。
3、政务外网MPLS VPN管理
政务外网的建设随着承载业务的不断增加和对业务的安全性的要求,MPLS VPN成为实现上述功能不可缺少的技术手段。然而,MPLS VPN涉及技术多而复杂,增加了网络运营、部署、监控、维护等方面的难度。
H3C公司的管理解决方案“MPLS VPN Manager”是基于H3C智能管理中心开发的,采用业界标准的SOA架构,提供融合的资源管理,重整业务流程,实现MPLS VPN业务整个生命周期(规划、部署、监视、审计、优化、重构)的全流程管理。主要完成如下的功能:
对MPLS VPN网络业务进行规划、部署以及已有业务的自动还原。
●对MPLS VPN网络资源进行管理,提供对VPN网络的配置优化。
●对MPLS VPN网络性能进行监控和故障关联分析。
●对MPLS VPN网络配置进行变更审计。
●对MPLS VPN网络业务进行端到端的连通性测试。
H3C公司的iMC网络管理中心秉承SOA开放式产品架构,实现了网络用户、网络资源和网络业务的统一管理,可以实现网络设备管理、拓扑自动发现、网络流量分析、网络用户管理及其安全审计、ACL管理、VLAN管理、MPLS VPN管理、EPON管理、无线管理等,是网络管理领域的一大飞跃,同时iMC提供开放式接口,使得政务网络的管理在二次开发方面成为可能。
第4章网络规划及总体设计
4.1网络结构设计及设备选型
政务外网为南北双环网络架构,建设横向连接省直各厅局的局域网, 纵向连接全省17个地市政务外网的网络平台,该平台主要由以下部分组成:
省直城域网:目前一建成省直城域网,实现100M光纤与省直大部分厅局的互联,支持相关政府部门的专网接入。
政务外网广域骨干网:构建政务外网广域骨干网,实现省与17个地市的互联。(合肥市通过省直城域网接入)
地市政务外网:全省17个市根据自身情况,按照统一标准规范,建设国家政务外网地市节点,实现和政务外网广域骨干网对接。
省电子政务外网广域网组网图如下:
本期工程主要建设城域网和广域网。
4.1.1地市城域网设计
十七个地市分别在中心机房采用核心三层交换机以及接入路由器连接已建设完成互联网络。
地市城域网设计要点
1、电子政务外网仅考虑到延伸到地市核心机房
2、分别部署一台核心交换机(PE功能)以及一台接入路由器(NAT以及PE功能),分别对新接入网用户以及已有联网用户的接入
3、建议采用OSPF协议
4、本地仅完成省政务外网的接入,不考虑互联网访问
1、中心城域网核心三层交换机通过防火墙直接接入internet互联网
2、可以考虑增加一台出口路由器(互联网出口路由器),完成对59段地址的NAT 转换,相应的在中心城域网三层交换机配置相应的路由访问策略
3、地市互联网访问采用本地接入方式
4、Internet访问外网公共服务器时,防火墙需进行一对一转换,执行静态NAT
第5章MPLS VPN设计
5.1MPLS/BGP VPN概述
MPLS(Multiprotocol Label Switching: 多协议标签交换)技术是在开放的通信网上利用定长标签进行数据高速传输和交换的网络新技术。MPLS技术将第二层交换和第三层的路由技术很好地结合起来,以十分简洁、高效的方式完成信息的传送。更为重要的是,MPLS使IP网络能提供传统IP网络不能或很难提供的各种增值服务,例如MPLS所提供的VPN服务、流量工程服务、IP QoS服务等。
5.2构建电子政务外网MPLS VPN的基本思路
5.2.1电子政务外网VPN方面的主要需求
对电子政务外网而言,需要重点实现两个方面的需求:
l.安全隔离:要保证各业务系统逻辑网络的相对独立性,以满足不同业务系统对安全性、服务质量、管理、拓朴结构的要求;
2.受控互访:各业务系统之间的流程整合又需要提供相互访问的途径,而且要保证访问的安全性。
5.2.2电子政务外网MPLS VPN的主要特点
MPLS/BGP VPN解决方案可以为XX省电子政务外网平台提供一种基于网络、易于管理、扩充性好、安全且具有QoS保障、可在任意节点间连接的VPN。
1.基于网络,易于管理。这种基于网络的VPN可以完全由骨干网络来实现,即网络用户(各应用系统)不用关心VPN是如何构造的,而是在网络平台内完成。
2.路由。需要在各PE节点之间建立IBGP全连接,以交换VPN-IPV4路由。
3.安全性。由于基于MPLS/BGP实现,报文在网络节点构成的MPLS域中采用标签转发的形式进行交换(LSP),因此具有同ATM/FR虚电路相同的安全级别。MPLS BGP VPN方案采用VRF实现VPN之间的路由隔离。通过MPLS LSP隧道将VPN流量完全隔离。
4.QOS。由于基于MPLS/BGP实现,可以利用MPLS COS机制,结合IP QOS机制,从而能够为VPN用户实现端到端的QOS服务。由于各业务系统的VPN流量通过不同的LSP隧道承载,可以方便的针对LSP实现MPLS的区别服务。通过IP TOS和MPLS COS域的映射,可以将边缘网络中定义的IP QOS级别继承到MPLS域中,实现端到端的QOS。
5.扩充性好。由于基于MPLS/BGP实现,因此很容易对网络节点进行扩充,网络可剪裁性好。在增加某个VPN的网点(Site)时,只需要配置该网点连接的PE路由器,不存在N平方问题。增加一项新业务系统时不会影响已有的业务,实现平滑扩展。MPLS VPN业务模型与网络规模及拓扑无关。
5.2.3电子政务外网MPLS VPN实施要点
电子政务外网部署MPLS VPN要考虑以下几点:
1、可靠性和稳定性
目前MPLS VPN技术主要分成L3 MPLS VPN、L2 MPLS VPN(包括VPLS(虚拟私有局域网服务))两大类。其中L3 MPLS VPN技术发展较早,其核心部分已经标准化(RFC2547,RFC2547bits),由于它的信令控制是通过多协议BGP来实现的,所以通常也叫做MPLS/BGP VPN,或BGP/MPLS VPN。MPLS/BGP VPN技术不仅已经广泛应用于电信运营商和ISP,而且也广泛应用于电力行业,政府行业(包括各省的政务内网和政务外网),金融行业,大型企业等行业用户。其技术和产品都较为成熟,稳定。所以XX 省电子政务外网宜选用MPLS/BGP VPN作为主流的MPLS VPN技术。
2、扩展性
由于国家电子政务外网将每个省(含副省级)规划为单独的自治域(Autonomous System)。所以,要想实现各个部委的垂直纵向网从中央延伸到省、地市、区县,必需解决VPN跨自治域的问题。
4、VPN业务的高QoS保证
针对语音、视频、多媒体通信等实时性要求比较严格的业务,XX省电子政务外网的VPN服务能否提供类似专线一样的服务质量保证也是非常重要的,这就要求在整个网络中部署端到端的QOS。
5、设备实现MPLS VPN的性能考虑
前面只是考虑了MPLS VPN部署时的业务特性,而在一个实际的生产网络里。设备实现MPLS VPN的性能如何至关重要。
6、可维护性和可管理性
在电子政务外网中,由于行业的特点,政务外网服务提供商不仅要维护和管理PE 设备,还要维护和管理CE设备。如何解决同时对PE和CE设备的管理是必需考虑的问题。
对MPLS VPN的业务管理是日常管理中的重要内容。
5.3MPLS VPN网络基本设计
5.3.1MPLS VPN网络逻辑结构
纵向VPN是指行业系统内部(例如国土、林业、环保等)从省到市到县的虚拟专网。纵向VPN的CE、PE、P设备的分布如下(如图所示):
5.3.2MPLS VPN路由策略设计要点
1、全网部署3层BGP/MPLS VPN,负责纵向行业网之间的互联
2、省核心出口同国家骨干网之间采用MP-EBGP方式进行跨域,完成各纵向网同国家部委的互通(目前仅规划,国家骨干网尚未开启MPLS VPN)
3、省核心两台高端路由器配置为RR(路由反射器),负责PE之间的IBGP peer的建立,解决组网带来的full mesh问题
4、各联网部门之间的横向访问可以采用RT的导入以及导出进行灵活的互访(本工程不考虑NAT-VRF,原因地址为信息中心统一规划的59网段,因此不会出现地址重叠
的情况
第6章IP地址规划建议
6.1IP地址分配原则
IP地址规划对于网络系统设计与配置、应用效率、可维护性和可扩展性等方面都有很大影响,因此合理的IP地址分配是网络设计的重要目标之一。IP地址分配有如下原则:
●唯一性:一个IP网络中不能有两个主机采用相同的IP地址。
●连续性:简化路由选择,充分利用地址空间,最大限度地实现地址连续性,并
兼顾今后网络发展,便于业务管理。连续地址在层次结构网络中易于进行路由
汇总(也称路由总结),大大缩减路由表,提高路由算法的效率。充分利用CIDR
(无类域间路由)技术,减少路由表大小,加快路由收敛速度,同时减少网络
中传播的路由公告信息,降低网络中用于传播路由信息的开销,避免局部网络
故障引起整个网络上的路由算法进行再计算,提高网络的总体性能。
●可扩展性:充分考虑网络未来发展的需求,坚持统一规划、长远考虑、分片分
块分配的原则。地址分配在每一层次上都要留有余量,在网络规模扩大时能保
证地址空间汇总所需的连续性。
●规范性:严格按照IP地址分配原则进行IP地址的规划及项目实施。
●标准化和灵活性:充分利用标准化的无类别域间路由(CIDR)技术和可变长子网
掩码(VLSM)技术,合理、高效、充分地使用IP地址空间。
●层次性:IP地址划分的层次性应体现出网络结构的层次性。
●可管理性:为便于网络设备的统一管理,分配一段独立的IP地址段做网络互连
地址和loopback地址。
6.2电子政务外网平台IP地址规划要点
本工程须分配的的IP地址类主要含设备标识地址、链路地址、广域网边界地址、网管地址、业务地址等。IP地址空间为国家分配给XX省政务网的B类地址段。
下面结合XX省电子政务外网平台的业务和网络结构就该地址段给出网络的地址编码的建议。
通过对XX省电子政务外网平台IP地址空间进行分配,实现最佳的网络内地址分配,从而达到最佳的业务流量分布。
为了节省IP地址,网络系统的编址方案将利用CIDR和VLSM技术。
IP地址分配工作要点如下:
●合理分配路由器、交换机的Loopback地址和管理地址;
●合理分配广域网链路互连地址:包括核心层和汇聚层路由器广域互联链
路、接入和汇聚互联链路地址;
●合理分配广域和局域互连地址(PE和CE的链路地址),根据VPN划分
的数量来确定,链路的数量基本和每个PE上连接VPN的数量一致。PE
和CE的链路地址应根据VPN统一规划,每个VPN一段地址,方便管理;
●为了节省广域网网络带宽和节点处理资源,网络IP地址的分配须有效控
制,把IP地址的分配和路由的规划一起考虑,便于地址更有效的汇聚;
●以路由协议的拓扑结构为IP地址规划参考的第一要素,即:按照协议的
区域划分来规划IP地址段,保证在每个区域内的互联IP地址都可以聚合;
●网管地址统一规划,便于VPN地址的管理;
●充分考虑IP地址的预留问题,以保证网络的可扩充性。
6.3IP地址分配详细设计
6.3.1对于设备Loopback地址的分配
各路由器的Loopback地址是一个重要的地址,在不同的方面都需要它的参与,这主要包括了以下的几种情况:
●路由器的Loopback地址,是保证内部路由协议的正常运行的重要条件;路
由器的Loopback地址,是建立iBGP会话的主要参数的选择。
●选择Loopback地址作为iBGP会话建立的基础,对于会话的稳定性能够提
供很好的支持。
●路由器的Loopback地址是MPLS协议分发标签的重要参照地址。
综合这些方面,各路由器的Loopback地址,对于整个网络的正常运行,有着至关重要的作用,因而对于各个路由器的Loopback地址的分配和管理,应当采取统一的专有地址空间。通过为所有的路由器分配一个专有的地址空间,能够更为有效地进行路由器的路由配置和管理,以及方便今后的运行维护和故障定位。
6.3.2设备间链路地址的分配
路由器(交换机)间链路的IP地址,从业务的相关性上,他们一般不具有全局的功能,而只是提供完成两个路由器之间的连接。因而从这个角度上讲,这部分的地址空间的分配应当考虑以下的方面:
●尽可能以分层次的方式为他们分配地址。
●由于链路地址空间不具有全局性,因而并不需要在全网范围内为每个链路保持
精确路由。而采取分层次的地址分配方式,能够将链路地址逐级汇总,从而使
得这些地址在各路由器的路由表中占有较少的空间。以降低对路由器的要求,
并保证路由器的处理效率。
●提供足够的预留空间,以满足今后新增链路的需要。
采用上面的分层次的链路地址分配结构,能够保证路由处理的高效性。而在实施的过程中,应当考虑到在根据业务需要新增链路的时候,这种分层次的结构尽量不会被打破。那么,就需要在初期分配的时候,考虑到不远的将来可能进行的扩容,从而进行相应的预留。
互连链路地址采用30位掩码的分配方式。
6.3.3CE设备网管地址
网管系统需要管理CE设备,但由于CE的上联PE的链路地址对全网并不是公开的,因此要单独在CE与PE的链路划分一个子网网段。
6.3.4IP地址初步划分如下
目前,国家电子政务网统一采用中国电信地址,已申请的地址59.192.0.0-- 59.255.255.255(/10))作为全网通信用地址,其中XX省分配的地址段为59.203.0.0/16。
全省IP地址按照省-地市-区县的三层体系结构分配。省网地址包括省信息中心平台地址段,省厅局系统业务地址段。其中省信息中心平台地址段包括网络设备管理地址,互联地址和平台地址;地市地址网段分为地市管理中心平台地址,地市系统业务地址段和区县地址。具体分层结构如下表所示: