龙岗区政务信息网实施方案.doc

龙岗区政务信息网实施方案 梦回绘圃拼判畜及揉州橡白丘蝇徐白滴谨啥私恋荡屁惰校辈愉密免八疑顽跟纠牌呐综氛天跋尸茧享松扳六付立媚摆惋溉妮贩镊脏搜湘爹峙壶金肿惰覆忱锨物贼划墒渊祥衡骡佑磊届拿瞒律袄炎踊矽迅暑晤备脖继家加圆阐接烂食乐勾育招臆迂倚细蓟取聪苯殊鸽冉屑抵捞榜涣撵枢士秸法腑梧缠砒懦委釉胸粱淳顾赘镁崖世据纫翅耐猛炸缉坡袁姚鹰买验敌疯幢淮熏泼卢阐宪刊钓谁楞秘戮锋司泞绘捐蝎菏性舒昨猴冕啥笑酒酸脱疹睡钎师很荆矢拣茶仍猜湖司阜魁超炬谬蚁儿勾邱劫侵托谨吵仑凄鹿咽撕欧树屠子沁拣掀施蛙尿砂北忽莱滨踌沤缉者信砰既于斜澳糯侦膳肝娠躁赔蒲纪匙锭蝎津掩晦捶 龙岗区政务信息网实施方案 46 龙岗政务信息网项目 龙岗区政务信息网 实施方案 深圳市华为技术有限公司 2002年11月 第一章 用户需求分析 4 1．1项目概述 4 1．2网络现状分析 4 1．3龙岗区政务信息网的网忿爵忆树铀褒络管夷焕成杆款妈曝俘歪求坚少邪算拆韶纱析鹃惰流氓滚炯梗弘睹及歪坯托吭肤盗谢鳃棚疗焚爵衅拢邱拦再粪狗兵您颐希蔓兰豪怎汁捷蠢泵挚买炼殆袒行臃威搓障燃签健搔劫碘盈仔增歉姨屈湃板坷爬勒娃兔攀钎仟丢蠕勾吵粪砂腾器尊省搽焕懒嫌慨暑椅腥辖帽豪靛宰宅馅裸控泵屑减涝笑表坏袭脆课捂收李苦烷塌粱滤刃字毋抹太诲睫藐剪鸭坦游逆啸卡劲瘟袍遂胎缸壹胚建货烧卤土刃常酝誊秃铸打承蛾箔蕾诊夸挝另曝遣安题电佣藕嗣秩挟窟篡闸乒刹痰幅棠盔姻贤删罕策担卫思刘谬过人阐鞭辟凭驻启决彪鹃瞩促聊碰捻郧梭涣类回邓搭便侮昭裔韧颁剿呸船崇乐锯恰昧拈妊辖龙岗区政务信息网实施方案其辱筑盏洗易包帝茫韭劳晶辐币娥倚预禹甭丢谐席癣孜孵毁妒莹驹皮智柄韭数忱黔腋糯舜贡昭胶聘酵淀料犀登讹衔舰榴集亡葬堪计呈抽开俺压萤炬船豺犁痒惩制纳扑兰放便侥菱茂繁状玄嘘梢握撇举玄亲赡奄喳唐相零亨王面茄申氧袍叙藉剖歹烹侥硷黄柞偿货撂川困逐迄埠厄钵待悄爹偏犁苟象形谨框任饱锗蛊讥巳谨勋脉托轧兽彦侧地斩鲁萝赵撂税忻岔芋贬比鄂舟信傅烧哄此债鲁鄂没墟芳牵驯伤蒲仓癸兄酱循渊黑益礼默蒸扯烈喜克侦顿磕咱抠苹吝勋秉订侮丈潜谩兰伟信釜赃肝央瞒妻寥烤妙凹睡义暗喻俯哑楼骆改梧蝴肌吟挺醛嚣涤胎贡伞泅悄嘲钙洲传擦颁羊要妙棘霍瑚饺模顽陈亏糟炭 龙岗区政务信息网 实施方案 深圳市华为技术有限公司 2002年11月 第一章 用户需求分析 4 1．1项目概述 4 1．2网络现状分析 4 1．3龙岗区政务信息网的网络模型 5 第二章 MPLS-VPN技术简介 6 2．1 MPLS基本原理 6 2．2 L3 MPLS-VPN实现原理 7 第三章 内网拓扑及组网方案 10 3．1设备布放及整网结构设计 10 3．2内网核心层（区中心节点）组网方案 11 3．3内网分布层（区中心各政府办公大楼节点）组网方案 12 3．4内网接入层（镇级节点）组网方案 13 第四章 外网拓扑及组网方案 15 4．1设备布放及整网结构设计 15 4．2外网核心层组网方案 16 4．3外网分布层（汇聚层）组网方案 16 4．4外网接入层组网方案 18 第五章 设计实现 19 5．1网络互联设计 19 5．2网管设计 19 5.2.1网管需求 19 5.2.2具体实现 19 5．3路由协议规划 20 5.3.1各P/PE设备之间运行的路由协议 20 5.3.2 PE与CE设备之间运行的路由协议 20 5.3.3 CE设备以下网络运行的路由协议 21 5．4 VPN规划 22 5．5 VRF命名 25 5．6 IP地址分配 25 5.6.1总的原则 25 5.6.2内网IP地址划分 26 5.6.3外网IP地址划分 26 5．7 VLAN ID的分配 26 5．8各VRF下RD、Route-target的分配 27 5.8.1 RD的分配方式 27 5.8.2 Route-target的分配方式 27 5．9实现实例 28 第六章 原有应用的平滑迁移方案 45 6．1 IP地址的迁移 45 6．2应用的迁移 45 附录1 工程实施进度表 46 附录2 华为MPLS-VPN解决方案 47 第一章 用户需求分析 1．1项目概述 深圳市龙岗区政务信息网是区电子政务建设的一项重点应用工程，是龙岗区重要的信息基础设施建设，其建网目标是以电子政务为龙头，带动龙岗区国民经济和社会信息化，为区党政机关提供一个高质量信息服务的宽带网络。 本次系统建设旨在建成连接全区党政机关的高速宽带政务网络系统，提供数据、语音、视频传输的统一网络平台，全面满足政府办公需要；建成区党政机关信息交换中心，实现区、镇各党政机关间公文信息传递、交换、处理的电子化；建成电子政务认证中心；统一标准建立政府公文电子信息资源库，实现公文等信息的充分共享和广泛使用；建立覆盖全区的公共信息平台，在网上提供方便、快捷、透明的“一站式”电子政务服务。 根据国家保密部门的有关规定，龙岗区政务信息网分为内网和外网两个完全物理隔离的网络系统。内网是龙岗区党政机关政务应用系统运行的网络平台和办公业务系统。外网与因特网互联，为社会公众提供电子化、网络化服务。龙岗区政务信息网的内、外网分别与深圳市机关统一网络平台的内、外网部分互联。 1．2网络现状分析 深圳市龙岗区位于深圳市东部，面积844平方公里，人口106万人，辖平湖、布吉、横岗、龙岗、坪地、坑梓、坪山、大鹏、葵涌、南澳十镇。本次政务信息网建设将实现对区中心城范围内党政机关共十二栋大楼50多个部门的高速宽带政务网络互联，通过租用电信广域网链路或PSTN/ISDN拨号系统实现与十个镇的互联，并建立办公业务系统。 龙岗区政务信息网的中心机房位于区海关大楼十八楼，面积约350平方米。区委（府）大楼设有分机房和五个配线间，其他联网政府办公大楼不同部门有相应的机房和配线间。大楼与大楼之间采用单模光纤连接，大楼内配线间到骨干节点采用多模光纤连接。各部门中部分建有局域网和业务系统。龙岗政务信息网建设既要确保原有的计算机网络和应用的正常使用，又要保证用户在今后一段时期内办公、业务等应用的拓展。 目前龙岗区政府大楼的信息系统分为物理隔离的内网和外网，内、外网均通过单模光纤与深圳市机关统一网络平台的内、外网部分互联。内网现有交换机为Cisco Catalyst 6509,设备背板带宽32G，原配有千兆光纤和百兆RJ45模块，有空余插槽。外网现有交换机为Cisco Catalyst 5509。 1．3龙岗区政务信息网的网络模型 区党政机关各单位横向上既是区委区政府的组成部门，纵向上其业务又受市对口单位的行业指导，并对镇级对口单位进行业务指导。各单位是横向区级信息网络和纵向行业信息网络的交叉点。 对于每个独立的单位节点来说，既有横向部门间的信息交互，又有纵向行业部门的信息交互。 纵向看，各单位用户经授权能访问纵向网络的相应资源；横向看，各单位用户经授权能访问横向网络资源。因此，整个政务平台是由多条纵向专网、横向专网相联结形成的复杂结构应用模式。 图1.1龙岗区政务信息网模型 本方案提出了网络建设后的一个网络构架，该方案充分利用了原有的设备，保护了用户已有的投资，同时将在很大程度上提高网络的业务处理能力，同时兼具良好的可扩展性。 第二章 MPLS-VPN技术简介 对建设电子政务网业务与安全需求分析，L3 MPLS-VPN可以很好的满足深圳市市民中心电子政务网的各方面需求，其它的VPN实现方式的是没有可操作性的，下面对MPLS-VPN技术给予简单的介绍。 2．1 MPLS基本原理 MPLS是多协议标签交换协议的简称，多协议是指它能够支持多种三层协议；标签是一种短的，易于处理的，不包含拓扑信息，只具有局部意义的信息内容；MPLS的报文转发是基于标签的，在MPLS网络中，IP包在进入第一个MPLS设备时，MPLS边缘路由器分析IP包的内容并且为这些IP包选择合适的标签。以后所有MPLS网络中节点都是依据这个标签作为转发依据。当IP包最终离开MPLS网络时，标签被边缘路由器分离。 图2.1 MPLS标签示意图 在MPLS中，一个标签标识了一个转发等价类（FEC——Forwording Equivalence Class）。一个转发等价类是在网络中遵循同样的转发路径的报文的集合，这些报文的目的地址甚至可以不同。 MPLS可以看做是一种面向连接的技术。可通过MPLS信令(如LDP，Label Distribute Protocol，标签分配协议)或手工配置的方法建立好MPLS标记交换连接(Label Switched Path，简称LSP）以后，数据转发过程中，在网络入口进行流分类，根据数据流所属的FEC选择相应的LSP，把需要通这条LSP的报文打上相应的标签，中间路由器在收到MPLS报文以后直接根据MPLS报头的标签进行转发，而不用再通过IP报文头的IP地址查找。在MPLS标记交换路径的出口（或倒数第二跳），弹出MPLS包头，还回原来的IP包（在VPN的时候可能是以太网报文或ATM报文等）。 由于FEC可以是按照目的地址划分的，这同传统的IP转发相同，也可以是基于源地址、目的地址、源端口、目的端口、协议类型、CoS、VPN等等信息的任意组合。而MPLS可以把任何流关联到一个FEC，然后把一个FEC映射到一个LSP，这个LSP可以是为了这种FEC而特殊构造的，这使得服务提供商可以非常精确地控制网络中的每个流。这种空前的控制能力使网络能够提供更加有效和可预测的服务。 根据扩展方式的不同MPLS VPN可以分为BGP扩展实现的MPLS VPN，和LDP扩展实现的VPN。根据PE（Provider Edge）设备是否参与VPN路由又细分为二层VPN和三层VPN。同依赖于IP Tunnel技术实现的传统IP VPN不同，MPLS VPN不依靠封装和加密技术，而是依靠转发表和数据包的标记来创建一个安全的VPN。 2．2 L3 MPLS-VPN实现原理 在L3 MPLS VPN（又称MPLS BGP VPN）的模型中，网络由运营商的骨干网与用户的各个Site组成，所谓VPN就是对site集合的划分，一个VPN就对应一个由若干site组成的集合。但是必须遵循如下规则：两个Site之间只有至少同时属于一个VPN定义的Site集合，才具有IP连通性。MPLS BGP VPN的框架模型如图所示： 图2.2 MPLS/BGP VPN网络结构图 如图所示，基于BGP扩展实现的L3 MPLS VPN所包含的基本组件： PE：Provider Edge Router，骨干网边缘路由器，存储VRF（Virtual Routing Forwarding Instance），处理VPN-IPv4路由，是MPLS三层VPN的主要实现者； CE：Custom Edge Router，用户网边缘路由器，分布用户网络路由； P router： Provider Router，骨干网核心路由器，负责MPLS转发； VPN用户站点（site）：是VPN中的一个孤立的IP网络，一般来说，不通过骨干网不具有连通性，公司总部、分支机构都是site的具体例子。CE路由器通常是VPN Site中的一个路由器或交换设备，Site通过一个单独的物理端口或逻辑端口（通常是VLAN端口）连接到PE设备上； 用户接入MPLS VPN的方式是每个site提供一个或多个CE，同骨干网的PE连接。在PE上为这个site配置VRF，将连结PE-CE的物理接口、逻辑接口、甚至L2TP/IPSec隧道绑定的VRF上。 BGP扩展实现的MPLS-VPN扩展的了BGP NLRI中的IPv4地址，在其前增加了一个8字节的RD（Route Distinguisher）。RD时用来标识VPN的成员---即Site的。VPN的成员关系是通过路由所携带的route target属性来获得的，每个VRF配置了一些策略，规定一个VPN可以接收哪些Site来的路由信息，可以向外发布哪些Site的路由信息。 每个PE根据BGP扩展发布的信息进行路由计算，生成每个相关VPN的路由表。 PE-CE之间要交换路由信息一般是通过静态路由，也可以通过RIP、BGP等。PE-CE之间采用静态路由的好处是可以减少CE设备可能会因为管理不善等原因造成对骨干网BGP路由产生震荡，影响骨干网的稳定性；如果采用BGP可以实现动态的网络扩展，网络路由信息发生变化时，不必更改设备的配置信息。 PE与PE之间需要运行IBGP协议，存在可扩展性问题，但采用路由反射器RR可以显著地减少IBGP连接的数量。 MPLS/BGP VPN提供了灵活的地址管理。由于采用了单独的路由表，允许每个VPN使用单独的地址空间中，称为VPN-IPv4地址空间，RD加上IPv4地址就构成了VPN-IPv4地址。很多采用私有地址的用户不必再进行地址转换NAT。NAT只有在两个有冲突地址的用户需要建立Extranet进行通信时才需要。 在MPLS/BGP VPN中，属于同一的VPN的两个site之间转发报文使用两层标签来解决，在入口PE上为报文打上两层标签，第一层（外层）标签在骨干网内部进行交换，代表了从PE到对端PE的一条隧道，VPN报文打上这层标签，就可以沿着LSP到达对端PE，这时候就需要使用第二层（内层）标签，这层标签指示了报文应该到达哪个site，或者更具体一些，到达哪一个CE，这样，根据内层标签，就可以找到转发的接口。可以认为，内层标签代表了通过骨干网相连的两个CE之间的一个隧道。 L3 MPLS-VPN通过和Internet路由之间配置一些静态路由的方式，可以实现VPN的Internet上网服务，还可以为跨不同地域的、属于同一个AS但是没有自己的骨干网的运营商提供VPN互连，即提供“运营商的运营商”模式的VPN网络互连。 MPLS/MBGP VPN可以简化对用户端设备的需求和用户管理、维护Intranet/Extranet的复杂性，每个CE仅需要维持一个到PE的路由交换协议，CE间的路由交换、传输控制、路由策略由运营商根据VPN用户的需求来实施。由于BGP的策略控制能力很强，随之而来的是VPN用户路由策略控制的灵活性。 第三章 内网拓扑及组网方案 根据内网网络设计思想及其应用需求，鉴于涉密网各部门的特殊安全性要求，在总体建设上采用业务与网络分层构建、逐层保护的指导原则，利用宽带IP技术，保证网络的互联互通性，提供具有一定Qos的带宽保证，并提供各部门、系统网络间的逻辑隔离(VPN)，保证互访的安全控制；整网采用了MPLS技术实现了业务隔离，并能进行有效的Qos处理。镇一级的接入路由器到中心城汇聚路由器之间有专门的物理链路，即保证了政务信息在网上的安全性，又保证了很高的传输性能。所采用的设备以及网络构架都具有良好可扩展性，可以根据后续发展的需求，在不改变现有组网方案的情况下，通过增加语音卡、MCU等语音、视频设备，即可提供IP电话，电视会议等业务。并且扩展新的VPN业务时不需对各镇到中心城的链路及配置进行改动。 3．1设备布放及整网结构设计 龙岗政务网分三级节点：区中心、区中心各办公点节点、县级节点。 图3.1龙岗区政务信息网“内网”拓扑 两个区中心节点放置大容量的核心三层交换机利用GE高速端口通过IP TRUNK互连，并提供到各种服务器的多个高速接口。其中海关大楼放置新增的S8016，区政府大楼放置利旧的Cisco6509。龙岗区内24个POP接入节点各放置一台三层交换机（建设大楼为S5516，其他节点为S3526），通过GE接口分别接入到两台核心交换机。中心机房增配一台中心汇聚路由器R3680E，完成10个镇级节点的汇聚和接入。中心路由器通过FE接口与中心机房的核心交换机互连。10个镇一级节点各放置一台R2631E，通过广域网接口上连中心路由器。 3．2内网核心层（区中心节点）组网方案 区中心节点主要完成全区业务的高速交换和路由转发，对网络的可靠性、业务的支持能力和报文的转发性能都提出了更高的要求。因此，在中心机房节点采用1台大容量、高性能的路由交换机S8016， S8016提供完善的Diffserv流交换、Qos保证机制，完备的业务控制、用户管理能力，以及电信级的可靠性和高密度、大容量交换能力，完全满足龙岗区目前业务的处理。为了实现10个镇POP节点的接入，在中心机房配置一台中心路由器Quidway R3680E， R3680E路由器具有很高的处理能力和接入密度。它提供了丰富的网络安全特性。区政府大院机房节点的交换机可以利旧，将原有的CISCO6509升级。S8016的多个GE口通过IP TRUNK的方式与CISCO6509互连，完成两个中心节点信息的交互。S8016与区中心政府办公大楼的POP节点通过GE口互连，CISCO6509与区中心政府办公大楼的POP节点同样通过GE口互连。 区中心路由器R3680E通过FE口上连S8016，向下提供广域网接口与10个镇级节点相连，主要负责10个镇政府办公节点的汇聚及路由转发，并提供丰富的业务支持。随着业务的不断增加，可以考虑R3680E增配一条高速链路与CISCO6509互连，作为备份或负载分担，提高网络的可靠性。 图3.2内网中心机房拓扑图 区中心机房内设置WWW服务器、邮件服务器、FTP服务器、域名服务器以及数据服务器等，这些服务器不但为系统内受权用户提供检索、邮件、域名解析等服务，同时为政府系统信息内被授权访问的横向网络用户提供信息检索以及域名解析等服务。各服务器通过FE/GE接口与中心机房的S8016互连。 为了实现对全网数据设备的管理，在中心机房配置一台华为的Quidview网管系统，对所有交换机及路由器进行统一管理。 同时还要考虑龙岗区政务网到深圳市政务网的互连，由S8016提供到市政务专网的出口，在网络出口处设置防火墙，以实现对数据包安全检查及加解密任务。 3．3内网分布层（区中心各政府办公大楼节点）组网方案 区中心各政府办公大楼节点覆盖了区政府大楼（五个配线间）、区信息中心，区建设局，区工商分局、区公路局、区检察院、区法院、区劳动局、区财政局、区运输局、区地税分局、区公安分局、区国资办、区质量监督分局、区国土分局、区城管办、区环保局、区司法局、区政法委、区社保分局共24个POP节点，采用快速以太网接入方式实现对各单位用户的接入服务。 每个节点配置一台S3526三层交换机，利用第三层网络交换机实现虚拟网间的通讯隔离和分布式处理。政府侧各级政府、局、委、办局域网接入交换机S3526，是各局域网节点和广域网络物理连接的分界点。对内需完成纵向网和横向网接入， S3526与中心交换机S8016或CISCO6509通过GE高速链路互连。向下通过FE接口接入局域网。 图3.3各办公大楼接入图示 对于接入交换机，根据政务内网的建设需要，需要为接入用户提多个VLAN，以接入内网上不同的应用，如各局的机要访问主机要位于一个单独的VLAN里，以实现与其它业务主机在第二层进行隔离保证安全，这些VLAN由内网区网络平台及镇网络平台管理者统一规划实施。 为保证网络的兼容及标准性，接入层的交换机需要支持802.1q协议，支持基于端口的VLAN划分。在PE设备上对VLAN进行终结。 3．4内网接入层（镇级节点）组网方案 10个镇级节点各配置一台Quidway2631E路由器完成镇局域网的接入。Quidway2631E路由器支持华为VRP网络操作系统，快速以太网口支持802.1q协议，并支持ACL/NAT、策略路由等功能。 Quidway2631E通过广域网与中心机方的R3680E互连，通过FE接口接入本镇局域网。 图3.4各镇接入图示 局域网交换机设定VLAN实现各业务系统的二层隔离，在路由器上通过VPN技术实现各业务系统的三层隔离和受控互访，充分保证网络的安全性。同时，为了保证数据在电信广域网上传输的保密性，在R2621与R3680E之间走专用的物理链路。 在内网核心层、汇聚层和接入层采用的主要设备的所有关键模块均实现1+1冗余，易于扩容和维护。所有模块具备热插拔的功能。网络设备的性能参数均达到或超过“龙岗区政务信息网网络系统设备清单及规格”的要求。 在龙岗区政务内网中，核心采用华为S8016和原有Cisco 6509。只要Cisco6509支持MPLS-VPN，则S8016和Cisco6509可以共同做为PE设备，完成VLAN到MPLS标签的映射，整网对MPLS VPN的支持就可以保障。 如果Cisco6509不支持MPLS-VPN，则可以在Cisco6509上做VLAN透传，由S8016做PE设备完成VLAN到MPLS标签的映射，从而实现MPLS-VPN。 第四章 外网拓扑及组网方案 根据外网网络设计思想及其应用需求，在总体建设上采用业务与网络分层构建、逐层保护的指导原则，利用宽带IP技术，保证网络的互联互通性，提供具有一定QOS的带宽保证，并提供各部门、系统网络间的逻辑隔离(VPN)，保证互访的安全控制；整网采用了MPLS技术实现了业务隔离，并能进行有效的QOS处理。在镇一级的接入路由器上可以通过DDN专线或VPN的方式，联入核心汇聚NE05，即保证了政务信息在网上的安全性，又保证了很高的传输性能。所采用的设备以及网络构架都具有良好可扩展性，可以根据后续发展的需求，在不改变现有组网方案的情况下，通过增加语音卡、MCU等语音、视频设备，即可提供IP电话，电视会议等业务。 建成后的网络，采用IP网络为主用线路，拨号网络为备用线路。与此同时，充分利用了原有的网络设备。 4．1设备布放及整网结构设计 龙岗政务外网也分三层：核心层、分布层（汇聚层）、接入层。 图4.1龙岗区政务信息网“外网”拓扑 核心层两个中心节点采用两台GSR（NE80）做路由转发，分别布放在海关大楼和区政府大院机房，两台GSR之间通过2.5G POS光纤相连。 汇聚层两台大容量的核心三层交换机通过GE高速端口完成各区级单位的汇聚，同时双归属到核心的NE80，保证整个核心层的可靠性，避免单点故障；一台大容量的三层交换机提供服务器群的多个高速接入；一台高端路由器（NE05）与市政府机关外网高速相连，实现Internet接入；一台高端路由器（NE05）提供十个镇的高速接入；一台大容量拨号服务器（A8010）提供分散用户的PSTN拨号接入，同时为每个镇做拨号备份，以增强可靠性；一台大容量三层交换机实现服务器群汇聚后与出口高端路由器相连，对外提供多种业务服务。 接入层的区各局级单位节点采用三层交换机（S3526）实现高速接入，镇级节点通过模块化路由器（R3640E）汇聚到中心高端路由器（NE05），实现与区中心节点的高速接入，同时接入PSTN做相应的备份，以增强网络可靠性。 4．2外网核心层组网方案 核心层两中心节点主要完成全区业务的高速交换和路由转发，对网络的可靠性、业务的支持能力和报文的转发性能都提出了更高的要求。因此，在核心层中心两个核心节点（海关大楼信息中心机房和区政府大院机房）采用2台NE80 GSR核心路由器进行高速路由转发，Quidway NE80核心路由器具有96 Mpps的转发能力，提供各种线速端口，支持POS/ATM/FE/GE等接口以及MPLS-VPN等技术。 两核心节点间通过2.5G POS光纤直联，完成数据的高速交互。核心层网络拓扑图如图： 图4.2“外网”核心层网络拓扑 4．3外网分布层（汇聚层）组网方案 汇聚层2台大容量、高性能的路由交换机S8016通过GE高速端口完成各区级单位的汇聚，并且双归属到核心的两台NE80，保证整个网络的可靠性。S8016提供完善的Diffserv流交换、QOS保证机制，完备的业务控制、用户管理能力，以及电信级的可靠性和高密度、大容量交换能力，完全满足龙岗区目前业务的处理，并可满足今后几年的业务需求。 区中心机房内设置WWW服务器、邮件服务器、FTP服务器、域名服务器以及数据服务器，各服务器通过FE/GE接口汇聚到1台大容量、高性能的路由交换机S8016上，不仅实现为系统内授权用户提供检索、邮件、域名解析等服务，同时为政府系统信息内被授权访问的横向网络用户提供信息检索以及域名解析等服务。这些服务器同时通过防火墙经大容量三层交换机S6506汇聚后连接出口路由器NE05，对外提供多种服务，并且完成与市政府各专网的平滑连接。其中，Quidway S6506三层以太网交换机是华为公司采用当今最先进的ASIC技术自主开发的一款大容量、模块化的二/三层线速以太网交换产品。 汇聚层同时还使用两台华为高端路由器Quidway NE05实现广域网接入，其中一台NE05与深圳市政府机关外网高速相连，实现Internet接入；另一台NE05提供10个镇的高速VPN/DDN/FR接入； Quidway NE05路由器使用华为公司拥有完全自主知识产权的网络操作系统VRP平台，采用全分布式体系结构，遵循电信设备标准，具有电信级可靠性，高性能，高密度，具有丰富的业务支持能力和很高的报文处理性能。 一台大容量拨号服务器A8010提供分散用户的PSTN拨号接入，同时为每个镇做拨号备份，以增强可靠性。 另外，各局域网内在网络出口处均设置防火墙或加密机，以实现对数据包安全检查及加解密任务。 图4.3“外网”分布层网络拓扑 4．4外网接入层组网方案 接入层主要是解决各区局级单位的接入和各镇的远端接入。在接入层，有几个局级单位（如国土局、环保局等）通过建设局接入，在建设局采用Quidway S5516千兆路由交换机。Quidway S5516千兆路由交换机是华为公司面向IP城域网的汇聚层和大型企业或园区网的汇聚层推出的盒式高密度可堆叠二/三层全线速以太网交换机产品。通过提供高密度的GE端口，为IP城域网或者园区网提供GE接口的汇聚和收敛功能。Quidway S5516 是基于华为公司的VRP（通用路由平台）网络操作系统，提供完善的路由协议和多播协议，VLAN控制，Qos保证等机制，提供完善的业务控制和用户管理能力，是园区网中心和IP城域网汇聚层的理想产品。而其它各局级单位采用华为公司S3526三层交换机进行接入。 各镇统一通过华为公司R3640E模块化路由器进行远程高速接入，Quidway R3600系列路由器是华为技术有限公司自主开发的面向企业级网络的产品。Quidway R3600系列路由器采用模块化结构，和R2600系列相比，Quidway® R3600系列路由器具有更高的处理能力和更大的接入密度。Quidway® R3600系列路由器既适合于在中小型企业网中担当核心路由器，也可以在大型网络中担当汇聚层路由器。 图4.4“外网”接入层网络拓扑 在外网核心层、汇聚层和接入层采用的主要设备的所有关键模块均实现1+1冗余，易于扩容和维护。所有模块具备热插拔的功能。网络设备的性能参数均达到或超过“龙岗区政务信息网网络系统设备清单及规格”的要求。 第五章 设计实现 整个龙岗区政务信息网分为物理上完全隔离的“内网”和“外网”，两个网络的整体拓扑基本一致。物理设备上，“外网”的设备要比“内网”多，针对MPLS-VPN的模型来说，“外网”比“内网”增加了两台“P设备”（NE80），和三台“PE设备”（IDC系统S8016、外联市政府机关的NE05、区政府大院NE80下挂的S8016）。所以“内网”在互联、路由协议、IP地址划分等方面可以在“外网”的基础上进行适当的删减，我们在本章“设计实现”中，所有内容都以“外网”为网络模型进行分析，具体实施过程中，“内网”实施方案只需要在此基础上删减多出的部分就可以了。 5．1网络互联设计 各路由器之间，通过互联接口上配置统一分配的IP地址进行三层互通；路由器与三层交换机之间，通过在路由器的一个物理Ethernet口上配置多个子接口，与三层交换机的trunk口相连，不同的Ethernet子接口与三层交换机的不同的Vlan三层逻辑接口互通；对于三层交换机之间，一般通过trunk相连，每个Vlan对应的三层逻辑接口统一配置在核心的S8016之上，连接到各办公大楼的S3526之上的各服务器及用户主机的网管统一设置为S8016的三层逻辑接口地址，在S8016上终结Vlan信息。 5．2网管设计 5.2.1网管需求 通过带内网管，对全网的骨干交换机NE16、汇聚交换机S8016、接入交换机S3026等实现统一网管。 5.2.2具体实现 被管理的设备地址可以根据地址规划，划分出一段非公网地址，如172.16.1.x/24。 网管工作站直接连接到S8016上，尽量将网管工作站设置在可靠性高、靠近网络核心的位置，这样可以避免网管工作站在网络的边缘等位置，因设备或线路故障造成无法管理网络。 1、通过NE80的CONSOLE口为NE80配置设备的IP地址，网管工作站直接连接在NE80的一个端口上，将网管工作站网关的地址指向NE8 2、将被管理的S8016、S3526、网管工作站设备划分在同一个VLAN中（如Vlan 50），这样交换机与网管工作站可以互通，能够实现对所有交换机的网管，并且其他设备无法直接访问网管设备； 3、在本地NE80、NE05上为网管单独开通一个子接口，对应网管Vlan以及IP地址网段，网管工作站也能够访问到本地的NE80、NE05等网络设备。 5.2.3安全考虑 1、利用ACL过滤所有来自非网管工作站网段的SNMP报文，保证只有网管工作站可以与被管设备之间交互SNMP报文； 2、所有被管设备设置用户名、口令以及权限，实现严格的授权管理。 各设备的网管相关配置命令，请参阅各设备用户手册。 5．3路由协议规划 网络中的路由协议可以分为三个层面：各P/PE设备之间运行的路由协议；PE与CE设备之间运行的路由协议；CE设备以下的网络中运行的路由协议。 5.3.1各P/PE设备之间运行的路由协议 该层面的路由协议中，负责在各PE设备之间传递VPNv4路由信息（各“私网”路由信息）的MP-BGP是不可替代的，在MP-BGP当中有VPNv4地址族和针对每个VRF的IPv4地址族。其中各VRF对应的IPv4地址族的作用是负责收集本PE所连接的所有该VRF对应的site的“私网”路由信息；VPNv4地址族表述的是各PE设备之间的BGP邻居关系，主要负责在各PE设备之间传递、同步所有的私网路由信息。运行BGP的AS号需要向市政府IT部分申请。 在该层面中，除MP-BGP之外，还需要运行一种IGP协议，负责各P/PE设备之间BGP邻居的TCP连接可达性。在龙岗区政务信息网中，我们应用OSPF协议，并且所有的设备统一运行在一个骨干区域——Area 0当中。采用OSPF协议，网络的适应性好，并且统一运行在Area 0中，有利于今后网络的扩展。 5.3.2 PE与CE设备之间运行的路由协议 根据龙岗区政务信息网的现状，对于PE与CE设备之间的路由协议应用可以分为两种类型：S3526之下没有三层汇聚设备；S3526之下有三层汇聚设备。 对于没有三层汇聚设备的单位，S8016的三层逻辑接口就是下挂各服务器和用户主机的网关，S3526并没有启动三层转发功能，只作为二层LanSwitch使用。这种情况下，PE对于该VRF只有直联路由信息，所以，CE实际是一个纯二层网络，不需要与PE运行路由协议。 对于有三层汇聚设备的单位，PE与CE设备之间运行的路由协议可以选择静态路由或者BGP。静态路由比较适用于CE以下网络路由条目较少，网络比较简单的情况，优点是配置简单，但是对网络变化的适应性较差，网络信息（IP地址空间、网络拓扑等）变化后，需要手工调整配置，适应新的网络情况。BGP协议适用于CE以下网络路由条目较多，网络比较复杂简单的情况，他能够自动适应网络的各种变化，但是协议的配置比静态路由复杂，对网络维护人员有一定的要求。对于这两种方式，各单位可以根据实际情况任意选取。如果运行BGP，建议CE应用的私有AS号如下表所示，并且在PE设备的相应IPv4地址族中应用“neighbour xxx.xxx.xxx.xxx remove-private-as”命令将私有AS号去处，避免该路由在传播出区之后由于携带不标准的私有AS号导致的路由信息丢失： 平湖 65001 布吉 65002 横岗 65003 龙岗 65004 坪地 65005 坑梓 65006 坪山 65007 大鹏 65008 葵涌 65009 南澳 65010 5.3.3 CE设备以下网络运行的路由协议 对于S3526以下没有三层汇聚设备的单位，S3526以下属于多级交换的结构，不涉及路由协议问题；对于S3526以下有三层汇聚设备的单位，我们建议单位内部运行OSPF。如果三层设备在10台以下，也只运行在一个骨干Area 0中即可。 除以上路由协议应用以外，如果S3526以下有三层汇聚设备，还要考虑到，CE通过各种方式从PE获得的路由信息如何扩散到CE以下的网络当中。对于PE于CE设备之间运行静态路由的，可以在OSPF中应用“redistrabute static”命令将静态路由发布；对于PE于CE设备之间运行BGP的，我们不能简单的应用在OSPF中引入BGP路由的方式，这样会给CE以下的网络造成很大的负担。正确的方式是，将由PE学习到的路由进行聚合，在S3526上配置相应的黑洞路由，在将这些聚合的黑洞路由（表现形式为静态路由的下一跳为NULL 0接口）在OSPF中应用“redistrabute static”命令发布。 5．4 VPN规划 龙岗区政务信息网建成后，要求达到以下效果： 区党政机关各单位横向上既是区委区政府的组成部门，纵向上其业务又受市对口单位的行业指导，并对镇级对口单位进行业务指导。各单位是横向区级信息网络和纵向行业信息网络的交叉点。 对于每个独立的单位节点来说，既有横向部门间的信息交互，又有纵向行业部门的信息交互。 纵向看，各单位用户经授权能访问纵向网络的相应资源；横向看，各单位用户经授权能访问横向网络资源。因此，整个政务平台是由多条纵向专网、横向专网相联结形成的复杂结构应用模式。 根据以上描述分析网络业务模型，整个内网大概可以分为两个层面的业务：公共办公系统；各单位专有办公系统。 图5.1内网横向VPN逻辑图 其中的公共办公系统可以分为“服务器群”和“用户主机群”。其中的“服务器群”是开放性比较高的，基本可以被整个内网的所有其他“服务器”和“用户主机”访问。而“用户主机群”的权限较低，只可以访问公共办公系统的“服务器”。 各单位专有办公系统中包含的设备，需要划分的级别较多：“系统内部服务器群”、“单位内部业务服务器群”、“机要用户主机群”、“普通用户主机群”。 其中“系统内部服务器群”可以被本系统内部所有的“机要用户主机群”和“普通用户主机群”访问，但是不能被其他系统的“普通用户主机群”访问。比如公检法系统中检察院的一台系统服务器A，可以被检察院本单位的所有用户主机访问，同时也可以被公安和法院的所有用户主机访问，但是不能被其他系统（如：地税局）的“普通用户主机”访问。 “单位内部办公服务器群”可以被本单位的全部用户主机访问，能否被本系统其他单位和其他系统的用户主机访问可以灵活调整。比如检察院的一台公文、业务处理系统的服务器B，一定要被检察院的所有用户主机访问，而是否能被公安、法院的用户主机和其他系统（如：地税局）的用户主机访问要求不像服务器A要求那样严格。考虑到整个网络的