电子政务外网网络设计方案.ppt

1、新疆自治区电子政务网络平台建设项目技术方案 序言新疆自治区电子政务外网本期工程主要建立网络平台，纵向上联国家电子政务外网管理中心，下联18个地市级网管中心，横向联接26个区级厅局单位。本次建设的主要内容是将相关网络设备和软件相互连通，构建新疆自治区政务外网网络统一平台、外网综合门户网站、数据交换中心、应用服务系统、信息安全保障体系、外网标准规范等，为电子政务应用和各级用户提供服务。目录v网络建设目标v详细设计v技术规范v设备维护网络建设目标网络建设目标新疆自治区电子政务外网工程主要是建设网络基础平台，纵向上联国家电子政务外网管理中心，下联18个地市级网管中心，横向联接26个区级厅局单位。本次建

2、设的主要内容是将相关网络设备和应用平台相互连通，构建新疆自治区政务外网网络统一平台、外网综合门户网站、数据交换中心、应用服务系统、信息安全保障体系、外网标准规范等，为电子政务应用和各级用户提供服务。网络建设目标R3R4区党委大院区政府大院其他部门与厅局国家电子政务外网R_d02地市政务外网R_d03地市政务外网R_d018地市政务外网R_d04地市政务外网R_d05地市政务外网区发改委、财政、工商、地税等厅局就近光纤接入DMZ服务区区级网管中心乌鲁木齐市政务外网ISP1ISP2RA中心VPN网关千兆光纤千兆电155M POS16M SDHR2R1FW1IPS1R9广域网100M100MS1S2

3、RdR_d01R_h1R_h2R_h3R_h4Rc01Rc26Rcxx.Rcyy155M8MLB1LB2R5R6IPS1FW1R7R8城域网v政务外网广域骨干网：构建政务外网宽带骨干网，实现与18个地市级外网互联；v自治区城域网：组建区本级城域网，实现与自治区级26个部门的互联，支持相关政府部门的专网接入；v政务外网互联网出口：通过链路负载均衡方式实现与两家不同运营商的互联网联接，是新疆自治区政务外网省级唯一的互联网出口；v使用MPLSVPN技术，可以利用政务外网平台，构建不同业务的专用VPN；v支持远程移动办公接入，能够结合政务外网证书，利用互联网隧道技术，接入政务外网。v网管中心局域网建设

4、，提供域名等应用基础服务，进行网络运行维护的监控、设备配置、故障排查、任务调度等管理；网络建设目标网络建设目标详细设计组网原则v实用性，采用成熟技术，按照本标书要求，提出切实可行的系统工程解决方案。v先进性，所提供的技术在近年内具有一定的先进性，并与未来的新技术具有兼容性。v可扩展性，具有升级和扩展能力，提出的系统解决方案应能满足该系统业务发展的需要，方便扩大网络覆盖范围和网络容量；系统中配置的设备应便于维护和扩充，并具有支持多种物理接口的能力；提供的设备和软件具有升级和扩展能力。v开放性，遵循国际标准，支持多种标准网络协议，实现系统间互连。v经济性，系统的配置应充分考虑性能价格比，选择最优的

5、技术方案。v可维护性，提供的系统应具有简单、方便的维护和管理手段及流量统计等功能，并尽量减少维护和管理环节。v可靠性与可用性，系统可用性应99.9%。v系统安全，该网络为与国际互联网逻辑隔离，系统应具有不同级别的安全运行管理措施，如，用户识别、口令、访问控制级别和范围等功能；具有防止非法访问、记录全部登录过程、提供安全日志的功能。电子政务外网整体建设R3R4区党委大院区政府大院其他部门与厅局国家电子政务外网R_d02地市政务外网R_d03地市政务外网R_d018地市政务外网R_d04地市政务外网R_d05地市政务外网区发改委、财政、工商、地税等厅局就近光纤接入互联网服务区区级网管中心乌鲁木齐市

6、政务外网ISP1ISP2RA中心VPN网关千兆光纤千兆电155M POS16M SDHR2R1FW1IPS1R9广域网100M100MS1S2RdR_d01R_h1R_h2R_h3R_h4Rc01Rc26Rcxx.Rcyy155M8MLB1LB2R5R6IPS1FW1R7R8城域网整体网络结构说明v网络分为广域网区、自治区城域网区、局域网网管中心区、互联网出口区等4个部分。v4个区域通过核心层设备R1-R4实现互联。vR_h1-R_h4是城域网汇聚层；R7、R8是局域网汇聚层；R_d01-R_d18是广域网汇聚层。v局域网区是整个电子政务网应用平台的接入。广域网建设广域网建设说明v广域区由广域

7、网核心层和地市级汇聚层组成。核心层设立2台高端路由器H3CSR8812（R3、R4）组成，两者通过GE背靠背互连，实现广域区高可靠连接，并达到负载均衡。除在可靠性和处理能力方面达到运营级要求外，还是一个高交换容量、高处理能力、强管理能力和具有丰富接口的高端P/PE路由设备。v汇聚层使用H3CSR6608（R_d01-R_d18)组成，通过POS155和8ME1分别与R3、R4互联，实现线路备份。城域网建设城域网建设说明v区级城域网核心节点设在区级政务外网网管中心，由H3CSR8808路由器R1、R2组成，两者通过GE使用双通道连接成环，能提供高交换容量、高处理能力、高性能和高可靠性保障的P/P

8、E路由设备，同时还要提供高密度、高带宽端口的接入能力。v两台核心路由器下接4台汇聚路由器(R_h1-R_h4)，下面分别连接各接入单位的外网。汇聚层的路由器分别与两台核心路由器以千兆相联，以保证网络接入的可靠性。v接入层由26个接入路由器H3CMSR30-20（Rc1至Rc26）组成，按业务需求和所处位置采用10M/100M/1000M光纤或8M的SDH接入；接入层设备能够提供较高交换容量、较高处理能力、较高性能和高可靠性保障，同时还要提供较多QOS等业务功能的能力。接入层设备要求能够提供不同性质的网络业务。局域网建设局域网建设说明v汇聚层设备分别由R7、R8（SR6608)和SW7、SW8组

9、成。v接入层设备由S1-S6组成，完成各种应用系统的接入。互联网建设R1R2v政务外网通过NAT技术，与互联网进行安全可控连接。为保证互联网出口稳定性，考虑采用由两家互联网服务提供商实现双出口接入，通过光纤与其相连，出口速率为100M。v两家运营商分别使用光纤通过R4、R5两个互联网出口路由器接入到电子政务外网中，R4、R5两台路由器以全连接方式与两台负载均衡交换机LB1、LB2互联，两台负载均衡交换机再通过IPS和防火墙连接到城域网核心路由器上。互联网建设说明R3R4区党委大院区政府大院其他部门与厅局国家电子政务外网R_d02地市政务外网R_d03地市政务外网R_d018地市政务外网R_d0

10、4地市政务外网R_d05地市政务外网区发改委、财政、工商、地税等厅局就近光纤接入区级网管中心乌鲁木齐市政务外网RA中心R2R1RdR_d01R_h1R_h2R_h3R_h4Rc01Rc26Rcxx.Rcyy155M8MR7R8整网路由协议设计v整体网络由OSPF和BGP两种动态路由协议构成v核心层及汇聚层使用OSPF1路由进程，使核心层设备Loopback接口IP路由可达。v核心层使用MP-BGP来使多个MPLSVPN实例互通vIBGP使用设备loopback接口IP来建立邻居，以及传送BGP各种消息报文。整网路由协议设计广域网路由协议设计v广域网各地州汇聚路由器R_d01-R_d18与核心路

11、由器使用OSPF1进程和IBGP协议v广域网各地州汇聚路由器下联分别使用ospf1XX-ospf1XX路由进程v地州的路由进程通过MPLSVPN实现与中心网络城域网和局域网互通。广域网路由协议设计城域网路由协议设计城域网路由协议设计v城域网汇聚路由器R_h01-R_h04与核心路由器使用OSPF1进程和IBGP协议v城域网汇聚路由器下联分别使用ospf1xx-ospf1xx路由进程v城域网的路由进程通过MPLSVPN实现与中心网络局域网和地州广域网互通。局域网路由协议设计局域网路由协议设计v局域网汇聚路由器R7、R8与核心路由器使用OSPF1进程和IBGP协议v局域网汇聚路由器下联使用ospf

12、100路由进程v局域网的路由进程通过MPLSVPN实现与中心网络城域网和地州广域网互通。MPLSVPN设计城域网侧：v城域网核心设备R1、R2做P设备。v城域网汇聚层设备R_hx做PE。城域网接入交换机做CE，接入各厅单位内部网络。广域网侧：（分为两种情况）v情况一：地市网络规模较大，地市组建自己的城域网和广域网。v地市广域网核心层设备R_dx做P。v地市城域网汇聚层设备做PE。v地市城域网接入层设备做CE，接入各局单位内部网络。v情况二：地市网络规模较小，汇聚层设备接入省广域核心设备。v放置在各地市的汇聚路由器R_dx做PE。v地市接入层设备做CE，接入各局单位内部网络。局域网侧：v汇聚层设

13、备R7、R8做PEv汇聚层设备SW7、SW8做CEMPLSVPN设计技术规范设备命名规范其格式为：空间地理位置-网络逻辑位置-设备类型-设备编号v空间地理位置：即设备放置的地理位置。v网络的逻辑位置：即设备在网络中放置的逻辑位置。核心层设备：hx（核心的简拼），接入层设备：jr（接入的简拼）；汇聚层设备：hj（汇聚的简拼），负载均衡:lb,管理设备：man，服务器区设备：ser，存储区设备：ipsan，数据：data。v设备类型：以设备厂家和设备型号的缩写来命名。v设备编号：处于同一位置同类设备的编码顺序，为一位阿拉伯数字表示，按1-9的顺序编号。举例说明：城域网核心路由器：cyw-hx-sr

14、8808-1 IP地址规划LOOPBACK接口规划vLoopback接口号为了便于管理，配置成和OSPF进程号相同。vOspf的router-id配置成相应的Loopback例如：局域网ospf进程号100，那么Loopback接口也配置成100设备互连地址规划业务VLAN规划功能区块子功能区VLAN IDVLAN名称用途网关IP局域网区局域网区应用与数据应用与数据VLAN60059.222.240.254/24安全管理安全管理VLAN70059.222.244.254/24网管中心网管中心VLAN80059.222.248.254/24互互联联网区网区应用服务区应用服务区VLAN60059.

15、222.239.254/24OSPF路由协议规范vOSPF1是BGP协议的IGP，只用于维护BGP的邻居；根据不同区域划分areav局域网区OSPF进程100，area0v广域网区OSPF进程1xx-1xx，area0v城域网区OSPF进程2xx-2xx，area0v互联网区OSPF进程300，area0R3R4区党委大院区政府大院其他部门与厅局国家电子政务外网R_d02地市政务外网R_d03地市政务外网R_d018地市政务外网R_d04地市政务外网R_d05地市政务外网区发改委、财政、工商、地税等厅局就近光纤接入区级网管中心乌鲁木齐市政务外网RA中心R2R1RdR_d01R_h1R_h2R_

16、h3R_h4Rc01Rc26Rcxx.Rcyy155M8MR7R8OSPF区域规划图互联网区城域网区广域网区BGP路由协议规范v全网只使用IBGP协议，R1、R2和R3、R4之间配置路由反射器，已减少BGP邻居的配置。v配置MP-BGP用于承载业务OSPF的MPLSVPN路由。BGP邻居关系R3R4区党委大院区政府大院其他部门与厅局国家电子政务外网R_d02地市政务外网R_d03地市政务外网R_d18地市政务外网R_d04地市政务外网R_d05地市政务外网区发改委、财政、工商、地税等厅局就近光纤接入网管中心局域网乌鲁木齐市政务外网IBGP邻居R2R1广域网汇聚RdR_d01R_h1R_h2R_

17、h3R_h4Rc01Rc26Rcxx.Rcyy155M8MR7R8城域网汇聚层BGP路由反射器MPLSVPN规划厅局名称RDExport RTImport RTOSPF进程自治区信息中心Xinxizhongxin100:10100:201001自治区人民政府办公厅Zhengfu101:10101:201012扶贫办Fupin102:10102:201023应急办Yinji103:10103:201034自治区党委办公厅Dangwei104:10104:201045机要局jiyao105:10105:201056监察厅jiancha106:10106:201067发改委fagaiwei107:1

18、0107:201078财政厅caizheng108:10108:201089工商行政管理局gongshang109:10109:2010910文化厅jiaohua110:10110:2011011安全生产监督管理局anquanshengchan111:10111:2011112建设厅jianshe112:10112:2011213国土资源厅guotuziyuan113:10113:2011314总工会zonggonghui114:10114:2011415人大办公厅renda115:10115:20115MPLSVPN规划16审计厅shengji116:10116:2011617新闻局xinw

19、en117:10117:2011718粮食局liangshi118:10118:2011819政协办公厅zhengxie119:10119:2011920计生委jishengwei120:10120:2012021农业厅nongye121:10121:2012122民族事务委员会mingzu122:10122:2012223煤矿安全监察局meikuang123:10123:2012324图书馆tushuguan124:10124:2012425知识产权局zhishichanquan125:10125:2012526技术监督局jishujiandu126:10126:2012627环境保护厅hu

20、anjingbaohu127:10127:20127MPLSVPN规划区域名称RDExport RTImport RTOSPF进程1自治区网管中心DATA SERVER64000:201002自治区互联网区Internet64000:1064000:303003国家电子政务外网ZhengFu65160:1065160:20无冗余备份规范v设备硬件冗余1、管理引擎的冗余，对重要的核心设备，保证双引擎冗余。2、电源的冗余，所有支持双电源的设备均采用两路电源。3、双设备冗余，重要的核心设备，保证两台设备主备冗余。冗余备份规范二层链路冗余v1、三层交换机之间的互联链路，则负责转发整网在非稳定状态下的大

21、部分冗余流量，对可靠性的要求也很高。因此三层交换机之间的互联链路二层设计为双链路冗余，使用协议IEEE802.3AB+IEEE802.1Q；三层互联使用SVI。v2、接入交换机之间二层设计为双联路冗余+Trunk，即IEEE802.3AB+IEEE802.1Q，三层使用SVI来维护OSPFneibour。冗余备份规范v生成树冗余局域网区接入交换机均启用生成树MSTP功能。生成树采用主备根的方式，对生成树的根进行冗余，以第一台汇聚交换机作为生成树的主根，优先级定为0；第二台交换机做为备根，优先级定为8192。冗余备份规范vVRRP冗余为保证服务器和PC接入到子功能区的网络后，能实现三层网关的冗余

22、，在接入交换机上须启用VRRP协议。并将各个VRRP组的Master均活在第一台交换机上。子功能区子功能区VRRP GROUP局局域域网网区区应用与数据应用与数据1050安全管理安全管理1050网管中心网管中心1050互互联联网网区区应用服务区应用服务区1050 MSR3020、SR6608的维护 MSR3020、SR6608的维护MSR3020、SR6608 配置一个接口Interface serial 2/1/0:0 encapsulation ppp 封装协议 ip add 1.1.1.1 255.255.255.0 配置IP S6506 配置一个接口VLAN 100 创建一个VLANI

23、nterface Ethernet 2/0/0 Port access vlan 100 划到一个VLAN中Interface Vlan 100 创建三层接口 ip add 1.1.1.1 255.255.255.0 配置IPMSR3020、SR6608的维护display ip interface brief 查看所有端口物理和链路状态display interface serial 2/0/0 查看一个接口的详细状态display ospf peer 查看ospf邻居建立情况display ospf routing 查看ospf拓扑表display bgp peer 查看bgp邻居建立情况display bgp routing 查看bgp拓扑表display ip routing 查看路由表display ip routing protocol ospf 只查看ospf路由表display ip routing protocol bgp 只查看bgp路由表NE80E、SR6608、S6506的维护NE80E、SR6608、S6506的维护NE80E、SR6608、S6506的维护NE80E、SR6608、S6506的维护NE80E、SR6608、S6506的维护NE80E、SR6608、S6506的维护谢谢！