政務(wù)專網(wǎng)方案設(shè)計(jì)建議書(doc49頁)

1、政務(wù)專網(wǎng)方案設(shè)計(jì)建議書（doc 49頁）XX省黨政信息網(wǎng)方案技術(shù)建議書 TOC o 1-5 h z HYPERLINK l bookmark0 o Current Document 第一章背景介紹3 HYPERLINK l bookmark2 o Current Document 第二章總體需求分析4 HYPERLINK l bookmark4 o Current Document 2網(wǎng)絡(luò)現(xiàn)狀4 HYPERLINK l bookmark6 o Current Document 22總體目標(biāo)4 HYPERLINK l bookmark8 o Current Document 2.3工程磁及主要建

2、設(shè)內(nèi)容4 HYPERLINK l bookmark10 o Current Document 第三章政務(wù)專網(wǎng)方案設(shè)計(jì)6 HYPERLINK l bookmark12 o Current Document 3.1設(shè)計(jì)思想6 HYPERLINK l bookmark16 o Current Document 3.2政務(wù)專網(wǎng)設(shè)計(jì)原則8 HYPERLINK l bookmark18 o Current Document 3. 3政務(wù)專網(wǎng)建設(shè)目標(biāo)及業(yè)務(wù)應(yīng)用需求分析8 HYPERLINK l bookmark20 o Current Document 3. 3.1基本要求9 HYPERLINK l boo

3、kmark22 o Current Document 3. 3.2 應(yīng)用系統(tǒng)9 HYPERLINK l bookmark24 o Current Document 3.4政務(wù)專網(wǎng)總體網(wǎng)絡(luò)設(shè)計(jì)描述10 HYPERLINK l bookmark26 o Current Document 3.5專網(wǎng)廣域網(wǎng)設(shè)計(jì)13 HYPERLINK l bookmark28 o Current Document 3. 5.1專網(wǎng)廣域網(wǎng)拓?fù)浣Y(jié)構(gòu)設(shè)計(jì)13 HYPERLINK l bookmark32 o Current Document 3. 5. 2專網(wǎng)廣域網(wǎng)組網(wǎng)結(jié)構(gòu)設(shè)計(jì)15 HYPERLINK l bookmark

4、52 o Current Document 3. 6專網(wǎng)城域骨干網(wǎng)互聯(lián)設(shè)計(jì)223. 7專網(wǎng)用戶層網(wǎng)絡(luò)結(jié)構(gòu)設(shè)計(jì)23 HYPERLINK l bookmark54 o Current Document 3. 7.1專網(wǎng)用戶層接入設(shè)計(jì)243.8專網(wǎng)VPN互聯(lián)設(shè)計(jì)24 HYPERLINK l bookmark68 o Current Document 3. 9網(wǎng)絡(luò)管理28 HYPERLINK l bookmark70 o Current Document 3. 9.1 網(wǎng)絡(luò)管理的近要性28 HYPERLINK l bookmark72 o Current Document 3. 9. 2 網(wǎng)絡(luò)篩軟件要

5、求28 HYPERLINK l bookmark74 o Current Document 網(wǎng)絡(luò)設(shè)備要求29 HYPERLINK l bookmark76 o Current Document 3.10.1網(wǎng)絡(luò)硬件設(shè)備技術(shù)要求29 HYPERLINK l bookmark78 o Current Document 網(wǎng)絡(luò)管理軟件要求32路由策略32IP路由規(guī)化33 HYPERLINK l bookmark80 o Current Document IP地址規(guī)化34 HYPERLINK l bookmark82 o Current Document MPLS技術(shù)在XX省政務(wù)網(wǎng)中的應(yīng)用34 HYPE

6、RLINK l bookmark84 o Current Document 帶外網(wǎng)管的實(shí)現(xiàn)38 HYPERLINK l bookmark86 o Current Document 3.13網(wǎng)絡(luò)可靠性設(shè)計(jì)42 HYPERLINK l bookmark88 o Current Document 3.13.1政務(wù)信息網(wǎng)組網(wǎng)結(jié)構(gòu)可靠性設(shè)計(jì)42 HYPERLINK l bookmark90 o Current Document 3.13.2政務(wù)信息網(wǎng)設(shè)備可靠性設(shè)計(jì)選擇43 HYPERLINK l bookmark100 o Current Document 第四章專網(wǎng)對(duì)應(yīng)用系統(tǒng)的支持45 HYPERLI

7、NK l bookmark102 o Current Document QoS 策略45 HYPERLINK l bookmark104 o Current Document 4.1.1主要的QOS服務(wù)模型45 HYPERLINK l bookmark106 o Current Document 4.1.2 QoS策略464.1.3結(jié)合MPLS的QoS保證48VOlP系統(tǒng)支持48 HYPERLINK l bookmark108 o Current Document 4.3電子郵件系統(tǒng)及其他應(yīng)用系統(tǒng)的支持49第一章背景介紹隨著以信息技術(shù)為主要標(biāo)志的科技進(jìn)步日新月異，以數(shù)字化和網(wǎng)絡(luò) 化為主要特征的

8、信息化浪潮正以洶涌之勢(shì)席卷全球，對(duì)人類的未來產(chǎn)生 著難以估量的深刻影響。目前，XX省委.省政府和大部分省直部門均已建成各自內(nèi)部的局域 網(wǎng)，但多數(shù)省直各部門沒有建設(shè)縱向網(wǎng)，省市對(duì)口部門之間信息長(zhǎng)期無 法髙效交流，信息資源共享性差；少數(shù)省直部門使用的電話撥號(hào)與窄帶 聯(lián)網(wǎng)的方式進(jìn)行了省市聯(lián)網(wǎng)，但傳輸速率低，安全保密性差，無法滿足 數(shù)據(jù)業(yè)務(wù)及多媒體傳輸要求。為此，XX省信息化領(lǐng)導(dǎo)工作小組決定建設(shè) XX省政務(wù)信息網(wǎng)縱向網(wǎng)工程，以解決全省政務(wù)部門省市聯(lián)網(wǎng)及信息交換 問題。第二章總體需求分析2網(wǎng)絡(luò)現(xiàn)狀目前，在XX地區(qū)已初步建成省級(jí)核心網(wǎng)及政務(wù)專網(wǎng)，省委、省政府、 省人大及將近IOO個(gè)省直部門，已通過光纜實(shí)現(xiàn)

9、了橫向網(wǎng)絡(luò)互聯(lián).信息 交流和共享，并且在電子政務(wù)專網(wǎng)上通過防火墻與因特網(wǎng)隔離。在XX市區(qū)鋪設(shè)了獨(dú)立的光纜線路約100公里，形成了 4個(gè)一級(jí)節(jié)點(diǎn) （省委大院.省網(wǎng)管中心.省審計(jì)廳、XX大學(xué)）和若干個(gè)二級(jí)節(jié)點(diǎn)；一 級(jí)節(jié)點(diǎn)之間形成了光纜環(huán)路，一級(jí)節(jié)點(diǎn)和二級(jí)節(jié)點(diǎn)之間形成星型聯(lián)接； 一級(jí)節(jié)點(diǎn)或二級(jí)節(jié)點(diǎn)至省直各部門之間鋪設(shè)了 6芯光纜，其中2芯光纖用 于接入核心網(wǎng)，2芯光纖用于接入電子政務(wù)專網(wǎng)，2芯光纖備用。另外還 有部分單位尚未鋪設(shè)光纜，計(jì)劃租用電信運(yùn)營商的現(xiàn)有光芯。2.2總體目標(biāo)省政務(wù)信息網(wǎng)電子政務(wù)應(yīng)用平臺(tái)建設(shè)的主要目標(biāo)是：建立一個(gè)開放的.基于標(biāo)準(zhǔn)的電子政務(wù)統(tǒng)一應(yīng)用平臺(tái)，實(shí)現(xiàn)信息交 換和資源共享，面向

10、公眾提供服務(wù)，增強(qiáng)各部門工作的透明度。分別支 持?jǐn)?shù)據(jù).語音和視頻業(yè)務(wù)，運(yùn)行各部門的業(yè)務(wù)系統(tǒng)，實(shí)現(xiàn)各網(wǎng)間的信息 交換和資源共享，同時(shí)建立完善的信息安全體系和相應(yīng)的備份系統(tǒng)。本期應(yīng)用平臺(tái)的建設(shè)本著先易后難，逐步推進(jìn)、逐步完善的原則： 總體規(guī)劃，統(tǒng)一標(biāo)準(zhǔn)完成信息報(bào)送標(biāo)準(zhǔn)化制定；完成重要業(yè)務(wù)系統(tǒng)數(shù)據(jù)庫指標(biāo)體系的制 定，為下一步實(shí)現(xiàn)異構(gòu)系統(tǒng)的整合奠定基礎(chǔ)。建立健全信息安全保障體系。在應(yīng)用方案的總體設(shè)計(jì)上，全面規(guī)劃信息安全保障系統(tǒng)，實(shí)現(xiàn)一次 登錄，即可訪問全網(wǎng)授權(quán)。解決政務(wù)信息網(wǎng)上信息傳輸?shù)陌踩詥栴}， 通過數(shù)據(jù)加密、權(quán)限管理、CA認(rèn)證等手段防止信息在傳輸過程中被竊 取.篡改、偷看、越權(quán)等問題，同時(shí)應(yīng)防止

11、冒名和抵賴。建立終端安全 監(jiān)控系統(tǒng)，防止因開后門而導(dǎo)致全網(wǎng)的安全漏洞的產(chǎn)生。2-3工程概述及主要建設(shè)內(nèi)容XX省政務(wù)信息網(wǎng)縱向網(wǎng)分為兩個(gè)物理網(wǎng)：XX省政務(wù)信息網(wǎng)縱向網(wǎng)政務(wù)核心網(wǎng)：簡(jiǎn)稱核心網(wǎng);XX省政務(wù)信息網(wǎng)縱向網(wǎng)政務(wù)專網(wǎng)：簡(jiǎn)稱政務(wù)專網(wǎng)；聯(lián)接省委、省政府、省人大、省政協(xié)和省直各部門的網(wǎng)絡(luò)平臺(tái)即為 省級(jí)統(tǒng)一網(wǎng)絡(luò)平臺(tái)（包括省級(jí)核心網(wǎng)網(wǎng)絡(luò)平臺(tái)和省級(jí)政務(wù)專網(wǎng)網(wǎng)絡(luò)平 臺(tái)）。聯(lián)接市委.市政府.市人大.市政協(xié)和市直各部門的網(wǎng)絡(luò)平臺(tái)即 為市級(jí)統(tǒng)一網(wǎng)絡(luò)平臺(tái)（包括市級(jí)核心網(wǎng)網(wǎng)絡(luò)平臺(tái)和市級(jí)政務(wù)專網(wǎng)網(wǎng)絡(luò)平 臺(tái)）。核心網(wǎng)與政務(wù)專網(wǎng)之間實(shí)行物理隔離，省級(jí)核心網(wǎng)絡(luò)平臺(tái)與市級(jí) 核心網(wǎng)絡(luò)平臺(tái)連接，省級(jí)政務(wù)專網(wǎng)網(wǎng)絡(luò)平臺(tái)與市級(jí)政務(wù)專網(wǎng)

12、網(wǎng)絡(luò)平臺(tái)相 聯(lián)接，形成XX省政務(wù)信息網(wǎng)縱向網(wǎng)（物理上為核心網(wǎng)縱向網(wǎng)和政務(wù)專網(wǎng) 縱向網(wǎng)）。設(shè)區(qū)市建設(shè)范圍：市級(jí)網(wǎng)絡(luò)平臺(tái)與省級(jí)網(wǎng)絡(luò)平臺(tái)聯(lián)網(wǎng)設(shè)備.視頻會(huì) 議設(shè)備、IP電話網(wǎng)關(guān)設(shè)備由省網(wǎng)管中心投資建設(shè)。本次工程的主要建設(shè)內(nèi)容如下：1構(gòu)建省.市專網(wǎng)網(wǎng)絡(luò)平臺(tái)，實(shí)現(xiàn)省專網(wǎng)網(wǎng)絡(luò)平臺(tái)與市專網(wǎng)網(wǎng)絡(luò) 平臺(tái)之間的互聯(lián)互通。2構(gòu)建省、市政務(wù)專網(wǎng)網(wǎng)絡(luò)平臺(tái)，實(shí)現(xiàn)省政務(wù)專網(wǎng)網(wǎng)絡(luò)平臺(tái)與市 政務(wù)專網(wǎng)網(wǎng)絡(luò)平臺(tái)之間的互聯(lián)互通。3在專網(wǎng)上建設(shè)IP電話（VoIP）系統(tǒng).電子郵件系統(tǒng)。4、在政務(wù)專網(wǎng)上建設(shè)電子郵件系統(tǒng).公文交換系統(tǒng).CA系統(tǒng)-門 戶網(wǎng)站系統(tǒng).IP電話系統(tǒng)、IP TV系統(tǒng)、視頻點(diǎn)播系統(tǒng)。5、建設(shè)（改建）政務(wù)信息網(wǎng)信息發(fā)布、信

13、息交換和信息共享應(yīng)用 平臺(tái)。第三章政務(wù)專網(wǎng)方案設(shè)計(jì)3.1設(shè)計(jì)思想政務(wù)專網(wǎng)是非涉密網(wǎng)，本方案的總體設(shè)計(jì)思想是以核心網(wǎng)的應(yīng)用需 求（詳細(xì)需求見下文）為指導(dǎo)，力求為XX省黨政機(jī)關(guān)提供一個(gè)安全.先 進(jìn).靈活，高帶寬、高可靠性的多業(yè)務(wù)涉秘網(wǎng)絡(luò)平臺(tái)。使得XX省政務(wù)網(wǎng) 能夠基于這個(gè)平臺(tái)，實(shí)現(xiàn)不同部門機(jī)關(guān)之間安全高速的數(shù)據(jù)共享，盡可 能的簡(jiǎn)化辦公流程，提高辦公效率；并為今后新的業(yè)務(wù)發(fā)展，迅速推出 相應(yīng)的新業(yè)務(wù)打好良好的基礎(chǔ)。為保證多種基于寬帶的服務(wù)和新型IP技 術(shù)服務(wù)，本方案將從多種業(yè)務(wù)服務(wù)的角度出發(fā)，建立多層次的服務(wù)業(yè)務(wù) 平臺(tái)。政務(wù)專網(wǎng)的詳細(xì)應(yīng)用需求如下：可以為某一系統(tǒng)提供專用的虛擬通信通道，組建系統(tǒng)縱向的

14、互聯(lián)網(wǎng) 絡(luò)，以及提供橫向的公共訪問通道，如：一為省政府提供與各部門通信的辦公虛擬通道一為省直各部門提供與部門內(nèi)縱向通信的虛擬通道一為IP電話服務(wù)提供公共的虛擬通信通道，并保證IP電話的QOS要 求。-WWVV訪問服務(wù)等具體體現(xiàn)在：1各地市部分：各個(gè)廳、局單位可以訪問各地市各廳、局公共服務(wù)器，訪問權(quán)限 由各廳、局單位控制。2省中心部分：各省廳單位提供服務(wù)器，為其下屬單位提供信息服務(wù)，而限 制其它廳級(jí)單位的訪問。某些廳、局單位需要與同系統(tǒng)的廳.局單 位之間組成VPN,提供主機(jī)與主機(jī)之間的通信。省廳單位有專有工作站用于與省機(jī)要局服務(wù)器的訪問。各廳.局單位能夠訪問國家對(duì)口單位的服務(wù)器。 具體實(shí)施可以采

15、用核心高端路由器Rl上的POS 口連接，這 種技術(shù)可讓IP數(shù)據(jù)包直接在光纖上傳輸，既大大提高在以 IP應(yīng)用為主的網(wǎng)絡(luò)傳輸?shù)男屎托阅?，又不額外添加光纖 終端設(shè)備。4第一期工程的實(shí)施中，XX節(jié)點(diǎn)作為地市使用IOOoM的以太網(wǎng)接入專網(wǎng)，而其它的地市R2. R3等可以使用POS 155M接 入；另外，如果考慮專網(wǎng)流量相對(duì)較小，El線路捆綁可以降低 運(yùn)行費(fèi)用，但會(huì)增加故障點(diǎn)。5、在骨干節(jié)點(diǎn)可以采用現(xiàn)代光纖傳輸技術(shù)POS,可以基于標(biāo) 準(zhǔn)的SDH設(shè)備實(shí)現(xiàn)硬件級(jí)的環(huán)路保護(hù)。在省中心與地市節(jié)點(diǎn)之間采用其它運(yùn)營商提供的專用線路（如2ME1）作為備份，可以進(jìn)一步提高網(wǎng)絡(luò)的可靠性，XX 節(jié)點(diǎn)采用FE光纖接入骨干網(wǎng)核

16、心路由器作為備份。7、路由技術(shù)上采用EBGP. OSPF. RIP靜態(tài)路由協(xié)議并加入MPLS,構(gòu)成MPLS VPN網(wǎng)絡(luò)。并劃分若干自治區(qū)域，便于 管理和減少路由發(fā)布的數(shù)量和規(guī)模。同時(shí)每個(gè)區(qū)域的邊界 路由器作為MPLS網(wǎng)絡(luò)的PE設(shè)備，并在上面劃分VPN,做 到VPN間的信息嚴(yán)格隔離。8 省、地市的PE間互聯(lián)采用租賃電信155M POS電路資源的 式進(jìn)行互聯(lián)?？h級(jí)PE與地市之間，由于POS骨干網(wǎng)不完全 覆蓋到縣，因此可利用縣與地市間的El傳輸線路，將縣PE 通過14條El線路直接接入到地市SDH光傳輸設(shè)備的El接 口上，實(shí)現(xiàn)互聯(lián)，同時(shí)各條EI間可采用路由負(fù)載分擔(dān)。9 根據(jù)本項(xiàng)目一期建設(shè)的實(shí)際情況，

17、主干節(jié)點(diǎn)只有1個(gè)節(jié)點(diǎn)， 主干結(jié)點(diǎn)與匯聚節(jié)點(diǎn)之間的釆用IoOOM光纖以太網(wǎng)?？紤] 到網(wǎng)絡(luò)以后的擴(kuò)展性，骨干節(jié)點(diǎn)的選型應(yīng)具有平滑的向光 纖技術(shù)過渡的能力。10.必須考慮到將來政務(wù)網(wǎng)向縣級(jí)擴(kuò)展地市設(shè)備要作為縣級(jí)擴(kuò)展的中心接入節(jié)點(diǎn)需要預(yù)留將來的擴(kuò)展插槽及能力， 縣級(jí)網(wǎng)絡(luò)線路主要EI使用及捆綁。依據(jù)上述考慮建議采用華為公司高可靠、高性能的QUidWay NE系列 路由器組建專網(wǎng)廣域骨干網(wǎng)。建議采用兩臺(tái)NE80 GSR作為省中心接入， 兩臺(tái)NE80之間采用GE口通過光纖連接，今后業(yè)務(wù)量增加可以采用兩個(gè)GE 口捆綁后再連接，一臺(tái)NE80接入4個(gè)數(shù)據(jù)量較大的地市，另一臺(tái)接入其 他地市，省平臺(tái)的城域網(wǎng)則與兩臺(tái)N

18、E80都連接。QUidWay NE80超過72 MPPS的轉(zhuǎn)發(fā)能力，提供各種線速端口，支持 POS/ATM/FE/GE等接口以及MPLS VPN等技術(shù)。建議在各地市（包括XX）采用NE16E作為專網(wǎng)地市廣域網(wǎng)的互聯(lián)設(shè)備， NE16E提供超過2. 4 MPPS的轉(zhuǎn)發(fā)性能.支持POSCPOSATMGEE1等接口。 NE系列路由器使用電信級(jí)VRP軟件，支持RIPOSPFBGP等標(biāo)準(zhǔn)路由器協(xié) 議，支持MPLSVPN,支持熱插拔.關(guān)鍵部件冗余等可靠性特性，滿足專 網(wǎng)的高性能.高帶寬.高可靠應(yīng)用需求。建議采用一臺(tái)NE16E作為中心節(jié)點(diǎn)備份路由器，加插足夠的EI接口模 塊，各地市的NE16E路由器加插El模

19、塊，這樣中心備份路由器通過2ME1 線路與各地市建立備份連接。XX市通過FE光纖接口與備份路由器連接。 專網(wǎng)網(wǎng)網(wǎng)絡(luò)結(jié)構(gòu)下圖所示政務(wù)專網(wǎng)網(wǎng)絡(luò)結(jié)構(gòu)省委S8016PEA省委期管屮心NESO廣域NE16E2ME1/PENEl6ENE16ESS016$5516 審計(jì)廳eXElSS016廳融入M POS NE16E/_- 如廳局接入IOOM圖 3-103. 6專網(wǎng)城域骨干網(wǎng)互聯(lián)設(shè)計(jì)城域網(wǎng)骨干層組網(wǎng)主要使用千兆以太網(wǎng)技術(shù)，組建高速的寬帶IP網(wǎng)。對(duì)于有多個(gè)骨干節(jié)點(diǎn)的POP點(diǎn)，如XX,在骨干節(jié)點(diǎn)使用核心路由交換 機(jī)，節(jié)點(diǎn)間組成環(huán)網(wǎng)可以提供路由保護(hù)及提髙可靠性，如圖10所示，一 級(jí)節(jié)點(diǎn)。而對(duì)于只有一個(gè)骨干節(jié)點(diǎn)的P

20、oP點(diǎn)（大部分地市城域網(wǎng)、將來 的縣級(jí)城域網(wǎng)）節(jié)點(diǎn)使用一臺(tái)核心交換機(jī)，下接多臺(tái)骨干交換機(jī)進(jìn)行端 口收斂，如下圖中的一個(gè)骨干節(jié)點(diǎn)（省政府）組網(wǎng)。3.7.1專網(wǎng)用戶層接入設(shè)計(jì)對(duì)用戶接入層，考慮采用快速以太網(wǎng)接入方式實(shí)現(xiàn)對(duì)各單位用戶的 接入服務(wù)。在每個(gè)地市，寬帶城域網(wǎng)骨干層交換機(jī)與廣域網(wǎng)路由器之間用千兆 以太網(wǎng)連接，而大量快速以太網(wǎng)絡(luò)接入則分別接到城域網(wǎng)的匯聚點(diǎn)內(nèi)的 交換機(jī)上，利用第三層網(wǎng)絡(luò)交換機(jī)實(shí)現(xiàn)虛擬網(wǎng)間的通訊隔離和分布式處 理。對(duì)于距離超過500的用戶，建議采用光電轉(zhuǎn)換期延長(zhǎng)以太網(wǎng)用戶的 距離，最大可到10公里，實(shí)現(xiàn)以太網(wǎng)接入。用戶接入層和匯聚層交換機(jī) 組成如下圖的拓樸結(jié)構(gòu)。接入層交換機(jī)每個(gè)端

21、口與地市各廳、局單位路由器或安全網(wǎng)關(guān)相連 接。為了使不同廳、局單位的網(wǎng)絡(luò)完全隔開，交換機(jī)每個(gè)端口須獨(dú)占一 個(gè)Vlan,這樣，不同廳、局單位網(wǎng)絡(luò)在第二層實(shí)現(xiàn)了隔離。用戶接入層 的交換機(jī)需要支持801. IQ協(xié)議。城域網(wǎng)接入層組網(wǎng)光纖VIanVIan各廳局各廳局接入交換機(jī)Vlan接入交煥機(jī)圖 3-12 VPNl:內(nèi)韶公共IP 電詁M專期諫道廠域網(wǎng)Ulan2VIanl審計(jì)廳南大OC各廳局VlanlVhn2IVIan3省信息中心VIalI3 I r1 Vlan4Vlar33Vlsn4 I各廳局、HVIail；丨雄 WF P L血廳I、沖冋-燈專網(wǎng)城域網(wǎng)本地訪問VPN組網(wǎng)圖3-13城域網(wǎng)通過VPN實(shí)現(xiàn)橫

22、向互通和隔離縱向VPN構(gòu)建：橫向VPN解決了城域網(wǎng)內(nèi)的互通及安全隔離，在專網(wǎng) 廣域網(wǎng)上，則要利用MPLS VPN組網(wǎng)實(shí)現(xiàn)各系統(tǒng)間縱向網(wǎng)絡(luò)的互聯(lián)，以及 相互之間的安全隔離，如省委內(nèi)部辦公主機(jī)地市與省之間的互聯(lián)、IP電 話系統(tǒng)在省市之間的互聯(lián)等，如下圖所示。下面仍以IP電話系統(tǒng)縱向訪 問說明。專網(wǎng)縱向VPN組網(wǎng)設(shè)計(jì)實(shí)現(xiàn)VPNllMR0r24省機(jī)關(guān)局域網(wǎng)S8016VLADBJLANgJ VPN20.4IPLS 域VRFl:YLANll VRF2:VLANl2 VRF3rLAN13VRFl:YLANI VLAN4 VRF2RLAN2 VRF3fVLAN3VPN2某周CTN2VLAN2192.2210/

23、24VPNIttIR市機(jī)關(guān)局域網(wǎng)VRn : VLAN21 VRF2: VLAN22縣機(jī)關(guān)網(wǎng)絡(luò)WNltt向網(wǎng)IXl92.13.10/24市委.VPNI:IP電話縱向互通VPN2:某廳縱向互通圖3-14廣域網(wǎng)通過VPN實(shí)現(xiàn)縱向互通和隔離1、如圖所示，在城域網(wǎng)中，不同部門IP電話網(wǎng)關(guān)，如在外貿(mào)廳IP 電話網(wǎng)關(guān)位于VLANl內(nèi)，在省委IP電話網(wǎng)關(guān)則在VLAN4內(nèi)；這些網(wǎng)關(guān)與其 它部門主機(jī)相互隔離，確保不被非法訪問。2、在VLAN統(tǒng)一的出口處，專網(wǎng)廣域網(wǎng)的PE設(shè)備，將各IP電話網(wǎng)關(guān) 所在的VLAN引入到相應(yīng)的VPN中，通過廣域網(wǎng)實(shí)現(xiàn)VPN內(nèi)的互通。如在省廳IP電話網(wǎng)關(guān)屬于VLANI,省委IP電話網(wǎng)關(guān)在V

24、LAN4,它們 VLAN的出口網(wǎng)關(guān)PE處，PE將VLANl. VLAN4的路由信息引入到屬于VFNl 的VRFl內(nèi)，而數(shù)據(jù)則根據(jù)VRFI進(jìn)行轉(zhuǎn)發(fā)路由，這樣可以實(shí)現(xiàn)VLANl及 VLAN4在本地的橫向互通；同理，地市政府的IP電話網(wǎng)關(guān)在地市城域網(wǎng)屬于VLANll,在地市廣 域網(wǎng)骨干節(jié)點(diǎn)PE處，PE將VLANlI的路由信息引入到骨干網(wǎng)的VPNI內(nèi)；在 廣域網(wǎng)內(nèi)通過VPNl的轉(zhuǎn)發(fā)表VRFl進(jìn)行路由.封裝和轉(zhuǎn)發(fā)，從而實(shí)現(xiàn)IP 電話在地市與省之間的縱向互通；3由于VPNl只引入了公共IP電話網(wǎng)關(guān)所在的VLAN,因此可與其它 系統(tǒng)，如政府辦公網(wǎng)實(shí)現(xiàn)橫向隔離，保證網(wǎng)絡(luò)安全；4對(duì)于其它具有橫向和縱向訪問的應(yīng)用

25、，如能被公共訪問的WWW站點(diǎn)等，可被同級(jí)不同機(jī)構(gòu)間訪問，也可以在跨級(jí)（省與地市）間互通， 可以結(jié)合利用這兩種設(shè)置來進(jìn)行實(shí)現(xiàn)；5、對(duì)于只需要縱向互聯(lián)訪問的網(wǎng)絡(luò)（如各系統(tǒng)內(nèi)部辦公網(wǎng)），在各 地的PE處只引入本系統(tǒng)VLAN信息，即可實(shí)現(xiàn)系統(tǒng)內(nèi)全省的互通，并與其 它系統(tǒng)隔離保證安全。從網(wǎng)絡(luò)安全及管理安全上看，VPN/VLAN的管理都應(yīng)該由網(wǎng)絡(luò)中心進(jìn) 行統(tǒng)一規(guī)劃，在邊緣接入處提供相應(yīng)的VPN/VLAN的接口。3. 9網(wǎng)絡(luò)管理3. 9.1 網(wǎng)絡(luò)管理的重要性對(duì)于一個(gè)政務(wù)網(wǎng)這樣的現(xiàn)代城域網(wǎng)絡(luò)，需要為各個(gè)單位用戶提供端 到端的話音.數(shù)據(jù).圖像、多媒體以及其它類型的業(yè)務(wù)。同時(shí)為了提高 設(shè)備和網(wǎng)絡(luò)的投資效率，所有相

26、關(guān)業(yè)務(wù)的承載網(wǎng)和接入網(wǎng)都需要本著資 源共享、業(yè)務(wù)綜合的原則進(jìn)行統(tǒng)一規(guī)劃.統(tǒng)一建設(shè)。面對(duì)上述業(yè)務(wù)提供中遇到的挑戰(zhàn)，如果只依靠釆用先進(jìn)的技術(shù)和硬 件設(shè)備是不夠的，因?yàn)椴徽摱嘞冗M(jìn)的網(wǎng)絡(luò)，如果缺乏一套專業(yè)，完善的 網(wǎng)絡(luò)管理系統(tǒng)也無法保障能為用戶提供髙效.優(yōu)質(zhì)的網(wǎng)絡(luò)服務(wù)。利用網(wǎng)絡(luò)管理系統(tǒng)提供的專業(yè)管理功能，政務(wù)網(wǎng)的網(wǎng)絡(luò)管理員需要 實(shí)現(xiàn)對(duì)本地傳輸和接入網(wǎng)絡(luò)從物理鏈路到上層復(fù)雜應(yīng)用和業(yè)務(wù)的分層 次集中管理，進(jìn)而提高網(wǎng)絡(luò)的可管理性和運(yùn)行的穩(wěn)定性，縮短政務(wù)網(wǎng)在 提供新業(yè)務(wù)時(shí)的開通周期。通過簡(jiǎn)化網(wǎng)絡(luò)管理流程，提高管理員的工作 效率，網(wǎng)絡(luò)管理系統(tǒng)還將幫助政務(wù)網(wǎng)降低網(wǎng)絡(luò)的運(yùn)行成本。3. 9. 2網(wǎng)絡(luò)管理軟件要求政務(wù)網(wǎng)

27、的網(wǎng)絡(luò)系統(tǒng)有其自身的顯著特點(diǎn)，如網(wǎng)絡(luò)規(guī)模巨大，設(shè)備類 型和所提供服務(wù)復(fù)雜，網(wǎng)絡(luò)的可用性要求高等等。因此政務(wù)網(wǎng)用戶對(duì)其 網(wǎng)絡(luò)管理系統(tǒng)也有很高的要求，不但要求能管理網(wǎng)絡(luò)中的所有設(shè)備.服 務(wù)，還要符合電信標(biāo)準(zhǔn)并能適應(yīng)其網(wǎng)絡(luò)規(guī)模，并提供極高的系統(tǒng)和管理 穩(wěn)定性。針對(duì)政務(wù)網(wǎng)用戶的上述網(wǎng)絡(luò)管理需求，管理系統(tǒng)在管理特性上具有 下列特點(diǎn)：1 基于公共的管理框架。為便于管理系統(tǒng)各功能模塊間進(jìn)行管理 信息的共享和數(shù)據(jù)交換，所有管理體系中的其它管理工具和 模塊都與之進(jìn)行隼成，由其作為整個(gè)管理系統(tǒng)的支撐平臺(tái)。2模塊化設(shè)計(jì)。包含了一組提供不同管理功能的管理工具，各管 理工具即可以獨(dú)立工作也可以通過集成共享管理信息。在網(wǎng)

28、 元設(shè)備管理層，通過選擇集成在其管理框架上的不同網(wǎng)元設(shè) 備模塊，網(wǎng)絡(luò)管理員可以管理網(wǎng)絡(luò)中的任何網(wǎng)元硬件設(shè)備。 在服務(wù)和業(yè)務(wù)管理層，網(wǎng)絡(luò)管理員可以通過選擇不同的管理 模塊實(shí)現(xiàn)網(wǎng)絡(luò)容量規(guī)劃管理、配置管理、故障管理、性能管 理和計(jì)費(fèi)管理等一系列管理功能。這種模塊化設(shè)計(jì)保證了用 戶可以根據(jù)自己的管理需求構(gòu)建最符合要求的管理系統(tǒng)，節(jié) 省用戶的投資。3高系統(tǒng)強(qiáng)壯性。并運(yùn)行在NT或者UniX管理服務(wù)器平臺(tái)上，管理 軟件自身具有良好的系統(tǒng)強(qiáng)壯性，符合政務(wù)網(wǎng)用戶對(duì)管理系 統(tǒng)高可用性的要求。4.優(yōu)秀的規(guī)模可擴(kuò)展性。管理服務(wù)器不但支持單機(jī)中央處理模式， 也同時(shí)支持多服務(wù)器分布式處理模式，并能實(shí)現(xiàn)從中央處理 模式向分

29、布式處理模式地平滑過渡?？杀ＷC網(wǎng)絡(luò)管理系統(tǒng)能 適應(yīng)用戶網(wǎng)絡(luò)規(guī)模的増長(zhǎng)。5高容錯(cuò)性。管理系統(tǒng)中的管理工員都支持雙機(jī)主備工作方式， 當(dāng)主管理服務(wù)器岀現(xiàn)故障時(shí)，備用管理服努器可以接管主服 努器的管理職能，保障管理系統(tǒng)的不間斷運(yùn)行。6支持多種網(wǎng)絡(luò)和設(shè)備管理標(biāo)準(zhǔn)。在網(wǎng)絡(luò)層支持SNMPVI管理標(biāo) 準(zhǔn)。7提供安全認(rèn)證和用戶分權(quán)的管理機(jī)制。管理員首先需要登錄才 能使用管理系統(tǒng)對(duì)網(wǎng)絡(luò)進(jìn)行管理，這樣就保證了只有擁有合 法授權(quán)的管理員才能使用管理系統(tǒng)。同時(shí)可以利用管理系統(tǒng) 的管理員分權(quán)機(jī)制,定義每一個(gè)登錄的管理員所擁有的管理 權(quán)限，進(jìn)一步確保每個(gè)管理員只能管理他職責(zé)范圍內(nèi)網(wǎng)絡(luò)資 源。網(wǎng)絡(luò)設(shè)備要求政務(wù)網(wǎng)網(wǎng)絡(luò)設(shè)備選擇要

30、求具有先進(jìn)性、可擴(kuò)展性、可管理性等優(yōu)點(diǎn)。既考慮當(dāng)前的需求由能為網(wǎng)絡(luò)將來的擴(kuò)展做好準(zhǔn)備。3.10.1網(wǎng)絡(luò)硬件設(shè)備技術(shù)要求全省骨干節(jié)點(diǎn)廣域網(wǎng)互聯(lián)：骨干路由器電子政務(wù)信息網(wǎng)絡(luò)專網(wǎng)是電子政務(wù)信息網(wǎng)絡(luò)的基礎(chǔ)，也是電子 政務(wù)信息網(wǎng)絡(luò)向各級(jí)政府各級(jí)部門提供IF VPN服務(wù)的平臺(tái)，骨干 網(wǎng)絡(luò)設(shè)備的性能將大大影響到整個(gè)網(wǎng)絡(luò)的性能。因此，在選用路由 器的時(shí)候應(yīng)該考慮到路由器的處理性能.網(wǎng)絡(luò)的可靠性、擴(kuò)展能力 以及網(wǎng)絡(luò)的安全性等方面。骨干路由器作為高端骨干路由器，應(yīng)能完全滿足電子政務(wù)信息 網(wǎng)絡(luò)高可靠性、高穩(wěn)定性及高性能等方面的需求。如華為QUidWay NetEngine 80/16E/08E 路 由器。省中心節(jié)點(diǎn)

31、高端核心路由器：應(yīng)采用交換式分布處理體系，對(duì) 所有端口能提供線速支持能力，整機(jī)處理能力超過72MPPS。設(shè)備應(yīng) 有可靠性的冗余措施，采用雙主控.雙網(wǎng)絡(luò)交換單元互為備份；多 電源且電源模塊相互備份，所有單板支持在線熱插拔功能；特性上 支持MPLS VPN組網(wǎng)，對(duì)VPN的支持?jǐn)?shù)量可支持超過200個(gè)VPN的處理 及隔離；支持髙可靠性備份技術(shù)，包括鏈路備份、接口備份、路由 備份和設(shè)備間備份。建議采用華為公司GSR設(shè)備NE80o地市骨干節(jié)點(diǎn)高端骨干路由器：應(yīng)釆用分布式處理體系，整機(jī) 處理能力超過2MPPSo特性上支持MPLS VPN組網(wǎng)，對(duì)VPN的支持?jǐn)?shù)量 可支持超過100個(gè)VPN的處理及隔離，并且不明

32、顯降低其它處理板接 口的轉(zhuǎn)發(fā)性能（降低量10%）；設(shè)備應(yīng)有可靠性的冗余措施，采用 雙主控，兩個(gè)路由交換單元互為備份；多電源且電源模塊相互備份， 所有單板支持在線熱插拔功能；軟件上支持高可靠性備份技術(shù)，包 括鏈路備份、接口備份、路由備份和設(shè)備間備份，建議采用華為公 司高端路由器NE16Eo地市骨干路由器必須考慮將來作為縣級(jí)網(wǎng)絡(luò)接入的中心，需要 提供足夠的擴(kuò)展插槽及處理能力，以通過El等線路接入縣級(jí)網(wǎng)絡(luò)。廣域骨干網(wǎng)備份路由器：另外考慮到為了防止單點(diǎn)故障以及通過線路備份來增加網(wǎng)絡(luò) 的可靠性，在省網(wǎng)絡(luò)中心配置1臺(tái)高可靠路由器作為熱備份路由器， 采用華為公司的NE16Eo骨干路由器和備份中心路由器間通過

33、動(dòng)態(tài) 路由協(xié)議進(jìn)行相互路由備份，并同時(shí)采用熱備份路由技術(shù)進(jìn)行設(shè)備 間的熱備份。在線路出現(xiàn)故障時(shí)自動(dòng)切換，根據(jù)需要可對(duì)視頻等業(yè) 務(wù)如果在帶寬等限制時(shí)，可以通過策略路由等方式不做備份。城域網(wǎng)骨干節(jié)點(diǎn)匯聚層：髙端核心路由交換機(jī)對(duì)于電子政務(wù)信息網(wǎng)絡(luò)專網(wǎng)省級(jí)網(wǎng)絡(luò)的高端核心交換機(jī)，應(yīng)釆 用大容量、模塊化.機(jī)架式基于硬件2/3/4層的路由交換機(jī)，定位 于高速發(fā)展的IF城域網(wǎng)骨干匯聚層和企業(yè)網(wǎng)絡(luò)核心的大容量骨干 交換設(shè)備，應(yīng)能提供完善的DiffSerV流交換.QoS保證機(jī)制完備 的業(yè)務(wù)控制.用戶管理能力，以及電信級(jí)的可靠性和高密度、大容 量交換能力，每端口線速轉(zhuǎn)發(fā)，支持可達(dá)4k個(gè)802lqVLAN并可 擴(kuò)展支

34、持MPLS VPNO建議采用華為公司QUidWay S8016和S5516。城域網(wǎng)匯聚節(jié)點(diǎn)：節(jié)點(diǎn)交換機(jī)定位于中心平臺(tái)資源網(wǎng)的連接。釆用全線速二層以太網(wǎng)交換 機(jī)，可提供10/1OOM自適應(yīng)端口和高速通用擴(kuò)展插槽，可選模塊包 括百兆/千兆單模光口模塊、百兆/千兆多模光口模塊和百兆/千兆 電接口模塊，支持8O21Q,以及分級(jí)優(yōu)先級(jí)保障功能，用于實(shí)現(xiàn) 千兆骨干互聯(lián)。建議采用華為公司QUidWay S3026F節(jié)點(diǎn)交換機(jī)。用戶接入交換機(jī)：定位于對(duì)各廳、局網(wǎng)絡(luò)的IOoM直接接入，并提供上行IoOM的光 口。采用全線速二層以太網(wǎng)交換機(jī)，可提供10/1OOM自適應(yīng)端口和 高速通用擴(kuò)展插槽，可選模塊包括百兆單/

35、多模光口，支持802. IQo 建議采用華為公司QUidWay S3026或S2024工作組接入交換機(jī)。具體設(shè)備性能指標(biāo)要求如下表:設(shè)備名 稱技術(shù)參數(shù)數(shù)量1省骨干踣 由器交換式分布處理路由器”接口插槽數(shù)目行”雙 網(wǎng)絡(luò)交換引擎、雙主控冗余備份，冗余電源，支 持單板熱插拔，包轉(zhuǎn)發(fā)率=72 M PPS ,交換背 板=28 G ,提供端口數(shù)量：10/10ObaSe-TX二2 , 支持GE、FE、POS. ATM接口 ,支持MPLS VPN ,可 作PEiSgf支持QoS勺臺(tái)2省中心備 份踣由器模塊化結(jié)構(gòu)”接口插槽數(shù)目,包轉(zhuǎn)發(fā)率=800 KPPS ,提供端口數(shù)量:2M El =10,10/100MbaS

36、e-TX =2 ,與省骨干踣由設(shè)備之間支 持熱路由備份，支持MPLS VPN ,可作CE設(shè)備，支 持QoS1臺(tái)3地市骨干 路由器分布式處理路由器，接口插槽數(shù)目=2 ,雙踣由 交換引擎，冗余電源，支持單板熱插拔，包轉(zhuǎn)發(fā) 率二2 M PPS z背板總線帶空2 G ,提供端口數(shù) 量:2M El =2, GE =1,155M POS =1f 155MATM =1 ；支持GE、POS. CPOS. El 接口 , MPLS VPN , 可作PE設(shè)備，具備較強(qiáng)的擴(kuò)充能力，支持QoS10臺(tái)4地市中心 備份路由 器模塊化結(jié)構(gòu)插槽數(shù)目=4 ,包轉(zhuǎn)發(fā)率=20 KPPS , 端口數(shù)量:10/100MbaSg-TX二

37、2 ,與地市骨干踣由 設(shè)備之間支持熱路由備份，支持MPLS VPN ,可作 CE設(shè)備，支持QoS10臺(tái)5影心路 由交換機(jī)分布式處理結(jié)構(gòu),接口插槽數(shù)目=行”雙交換 網(wǎng)板，冗余電源，支持單板熱插拔，電信級(jí)可靠 性”包轉(zhuǎn)發(fā)率=96MPPS ”交換容量=28G,背板 總線帶兗=256 G ,提供端口數(shù)量：10/10ObaSe-TX=16 , IOOObaSe FX = 4,支持 802. IQ協(xié)議，支持MPLSVPN,提供VLAN、TRUNKlNG 功能，支持三層交換，支持QoS5臺(tái)6地市核心 路由交換機(jī)分布式處理結(jié)構(gòu),接口插槽數(shù)目=行”雙交換 網(wǎng)板，冗余電源，支持單板熱插拔，電信級(jí)可靠 性”包轉(zhuǎn)發(fā)率

38、=96MPPS ”交換容量=28G,背板 總線帶盒=256 G ,提供端口數(shù)量：10/1 OObaSe-TX=16 , IOOObaSe - FX = 4,支持 802. IQ協(xié)議,支持MPLSVPN,提供VLAN、TRUNKlNG 功能，支持二三層交換，支持QoS11臺(tái)7地市、省 接入以太 網(wǎng)交換機(jī)10/10ObaSe-TX=20,支持802. 1Q1議，提供VLANX TRUNKING功能、支持IoO毗口12臺(tái)8網(wǎng)管軟件基于WindOWS 98/2000/NT平臺(tái)1套網(wǎng)絡(luò)管理軟件要求1）網(wǎng)絡(luò)管理軟件應(yīng)是確保全網(wǎng)（包括網(wǎng)管中心、節(jié)點(diǎn)機(jī)）正常運(yùn) 行所需的管理.運(yùn)營.維護(hù)等有關(guān)的全部軟件，并具有

39、中文界面的軟件 系統(tǒng)2）軟件模塊化結(jié)構(gòu)：網(wǎng)絡(luò)管理軟件為模塊化結(jié)構(gòu)S安全可靠、具 有容錯(cuò)能力，任何軟件模塊的維護(hù)和更新都不影響其它軟件模塊。3）故障監(jiān)視和診斷：軟件能及時(shí)發(fā)現(xiàn)故障并發(fā)出告警。4）兼容性及升級(jí)5）網(wǎng)絡(luò)管理平臺(tái)能夠?qū)W(wǎng)絡(luò)的流量、性能等指標(biāo)進(jìn)行數(shù)據(jù)分析或 圖形化顯示，得到網(wǎng)絡(luò)情況的分析報(bào)告；6）能夠?qū)Φ讓訄?bào)錯(cuò)進(jìn)行過濾分析，便于網(wǎng)絡(luò)管理人員發(fā)現(xiàn)真正問 題所在；7）能夠根據(jù)報(bào)錯(cuò)制定相應(yīng)排錯(cuò)策略，及時(shí)處理相關(guān)問題。能夠在 通用的服務(wù)器如WindoWS NT HP-UXS SoIariS等平臺(tái)上運(yùn)行。路由策略根據(jù)網(wǎng)絡(luò)現(xiàn)有結(jié)構(gòu)，設(shè)計(jì)比較適合的路由協(xié)議。能夠?qū)崿F(xiàn)優(yōu)化的網(wǎng) 絡(luò)路徑選擇，同時(shí)具有路徑均

40、衡功能，在網(wǎng)絡(luò)結(jié)構(gòu)發(fā)生變化時(shí)數(shù)據(jù)能夠 通過其他路徑迂回，保證網(wǎng)絡(luò)的暢通。IP路由規(guī)化當(dāng)前主要的動(dòng)態(tài)路由協(xié)議有RIP OSPFO在工程實(shí)施中，選用 OSPF協(xié)議，OSPF是基于Link.State的路由協(xié)議。在每個(gè)HOP上都定義 了一個(gè)COST, OSPF認(rèn)為COST之和最小的路徑為最好。XX省政務(wù)網(wǎng)以省信息中心為全網(wǎng)的系統(tǒng)中心，全網(wǎng)的11個(gè)地市通 過IoOM鏈路與中心相連。建議XX省政務(wù)網(wǎng)內(nèi)釆用OSPF動(dòng)態(tài)路由協(xié)議。OSPF協(xié)議采用多區(qū) （AREA）模式，具有較好的擴(kuò)展性，而且區(qū)內(nèi)的錯(cuò)誤路由不會(huì)影響全網(wǎng)， 大大增加了網(wǎng)絡(luò)的可靠性。所有地市的主路由器與省中心路由器都劃分 到OSPF的AreaO內(nèi)

41、，與之相連的下級(jí)節(jié)點(diǎn)的設(shè)備再分別劃為不同的 OSPFAreaO這將最大限度地利用OSPF的分區(qū)管理優(yōu)勢(shì)。XX省政務(wù)網(wǎng)OSPF域的劃分:序號(hào)地區(qū)名稱區(qū)域號(hào)0省中心AREAO1XXAREAI2贛州AREA23吉安AREA34九江AREA45上饒AREA56宜春AREA67撫州AREA78萍鄉(xiāng)AREA89景德鎮(zhèn)AREA910新余AREAlO11鷹潭AREAlI路由匯聚1 各地市到省中心的路由匯聚：在IP地址的規(guī)劃時(shí)已經(jīng)考慮到路由匯聚，以便可以匯聚成一條路 由信息向其他區(qū)域傳送。通過對(duì)OSPF的適當(dāng)配置，可以對(duì)地市的路 由信息進(jìn)行匯總。各地市的核心路由器作為區(qū)域邊界路由器ABR,可 以把進(jìn)入一個(gè)區(qū)域的

42、各廳、局單位的多條路由減少到一條路由。例如對(duì)贛州在其核心路由器上可進(jìn)行如下配置，使其匯總成一條 信息：router OSPfnetwork 55 area22各廳、局單位的路由設(shè)置建議各廳.局單位采用靜態(tài)路由設(shè)置，政務(wù)網(wǎng)高速數(shù)據(jù)網(wǎng) 絡(luò)端配置靜態(tài)路由，并把用戶路由信息轉(zhuǎn)化到各地市POP節(jié)點(diǎn)的 OSPF域中。這樣，可避免客戶路由波動(dòng)對(duì)骨干路由造成影響。負(fù)載均衡OSPF路由協(xié)議可根據(jù)兩條傳輸線路，作到流量的負(fù)載分擔(dān)。IP地址規(guī)化地市級(jí)節(jié)點(diǎn)內(nèi)，各廳.局單位內(nèi)網(wǎng)所用的IP地址由各廳. 局單位自行分配，例如10000,即非法地址。當(dāng)各廳.局單位內(nèi)網(wǎng)主機(jī)需要訪問市委服務(wù)器、機(jī)要局服 務(wù)器或其它單位內(nèi)公共服務(wù)

43、器時(shí)，需要用外網(wǎng)的合法IP地址。外網(wǎng) 的合法地址需要由省計(jì)委統(tǒng)一分配。另外，政務(wù)網(wǎng)內(nèi)各網(wǎng)絡(luò)設(shè)備的 IP地址，包括核心層、匯聚層.接入層網(wǎng)絡(luò)設(shè)備的IP地址需要由省 計(jì)委統(tǒng)一分配。以下為網(wǎng)絡(luò)IP地址的分配策略。本次IP地址的分配采用連續(xù)的IP網(wǎng)絡(luò)號(hào)，便于網(wǎng)絡(luò)作路由 匯聚；本次IP地址采用可變長(zhǎng)子網(wǎng)掩碼（VLSM）來細(xì)化子網(wǎng)，以 節(jié)約IP資源。IP分配原則：對(duì)于每個(gè)地市至少要求10個(gè)C類地址，地市內(nèi)各廳.局單 位的IP地址分配再通過掩碼進(jìn)行劃分。各地市廣域網(wǎng)地址用分配地址段中的最后一個(gè)C類地址， 然后用掩碼為52進(jìn)行細(xì)分。MPLS技術(shù)在XX省政務(wù)網(wǎng)中的應(yīng)用MPLS是網(wǎng)絡(luò)互聯(lián)技術(shù)上的一個(gè)突破。XX省政

44、務(wù)網(wǎng)的建設(shè) 是搭建可承載多項(xiàng)（包括近兩年可預(yù)見的）應(yīng)用的綜合數(shù)據(jù)平臺(tái)， 同時(shí)要求網(wǎng)絡(luò)具有良好的安全性、可靠性S擴(kuò)展性和可管理性?；谶@樣的應(yīng)用需求，對(duì)XX省政務(wù)網(wǎng)MPLS的規(guī)劃及應(yīng)用 實(shí)施方式作出詳細(xì)說明，并對(duì)建設(shè)MPLS中涉及到的相關(guān)技術(shù)作出 描述。節(jié)縮略詞解釋：VPN： VritUaI PriVate network虛擬專網(wǎng)MPLS：多協(xié)議標(biāo)記交換CE： VPN網(wǎng)絡(luò)中用戶端邊界路由器PE： VPN網(wǎng)絡(luò)中核心邊界路由器BGP：邊界網(wǎng)關(guān)路由協(xié)議MPLS-VPN 如何工作MPLS是實(shí)現(xiàn)VPN方案的技術(shù)之一，它使用基于標(biāo)記的轉(zhuǎn)發(fā)模式。 標(biāo)記（LabeI）指示了路由和業(yè)務(wù)屬性。在VPN的入口處，呼入

45、的數(shù)據(jù) 包經(jīng)過處理，然后選擇標(biāo)記并捆綁在數(shù)據(jù)包上。核心處（IP路由節(jié)點(diǎn)） 只根據(jù)標(biāo)記應(yīng)用于相應(yīng)業(yè)務(wù)，并根據(jù)標(biāo)記轉(zhuǎn)發(fā)數(shù)據(jù)包。通常情況下，對(duì) 網(wǎng)絡(luò)設(shè)備處理能力造成開銷的分析.分類和過濾過程在MPLS VPN中只 在入口處發(fā)生一次即可。在出口處，標(biāo)記被清除，數(shù)據(jù)包被轉(zhuǎn)發(fā)到業(yè)務(wù) 應(yīng)用的最后目的地。從以上的解釋中可看出，XX省政務(wù)網(wǎng)的MPLS實(shí)現(xiàn)在給最終用戶帶 來高可用性和可管理性。在下面部分對(duì)技術(shù)實(shí)現(xiàn)細(xì)節(jié)加以描述。MPLS術(shù)語的解釋標(biāo)記交換路由器（LSR）：核心設(shè)備，根據(jù)己計(jì)算好的交換表，交換 被加上標(biāo)記的數(shù)據(jù)包，這個(gè)設(shè)備可為交換機(jī)或路由器。在XX省政務(wù)網(wǎng)中， 我們可用省信息中心的核心路由器作為L(zhǎng)SR

46、O標(biāo)簽（Label）：是一個(gè)數(shù)據(jù)頭，LSR用它來轉(zhuǎn)發(fā)數(shù)據(jù)，頭的格式是 由網(wǎng)絡(luò)性質(zhì)決定的，在路由器網(wǎng)絡(luò)，標(biāo)簽是一隔離的、32位的頭。在網(wǎng) 絡(luò)核心，LSR只讀標(biāo)簽，不讀網(wǎng)絡(luò)層的數(shù)據(jù)包頭，MPLS具有擴(kuò)展性的 關(guān)鍵一點(diǎn)是標(biāo)簽僅局限于兩個(gè)互相通訊的設(shè)備。邊緣標(biāo)記交換路由器（邊緣LSR）：邊緣設(shè)備進(jìn)行數(shù)據(jù)包初始的處理 分類，加上第一個(gè)標(biāo)簽。在XX省政務(wù)網(wǎng)絡(luò)中，我們用各地市的POP節(jié)點(diǎn) 路由器作為邊緣LSR設(shè)備。標(biāo)記交換路徑（LSP）：點(diǎn)到點(diǎn)的路徑是根據(jù)被分配的所有標(biāo)簽決定 的。一個(gè)LSP可是動(dòng)態(tài)的也可以是靜態(tài)的，動(dòng)態(tài)LSP是通過路由信息自 動(dòng)生成，靜態(tài)LSP是被明確提供的。在XX省政務(wù)網(wǎng)MPLS中，標(biāo)記

47、交換 路徑是動(dòng)態(tài)生成的。它依賴于動(dòng)態(tài)路由協(xié)議OSPF。MPLS VPN工作原理MPLS VPN基于業(yè)內(nèi)公認(rèn)的IETF建議標(biāo)準(zhǔn)。它為用戶提供更為安全 和靈活的業(yè)務(wù)工作方式。了解MPLS VPN工作原理最簡(jiǎn)單的方法是看一 個(gè)數(shù)據(jù)怎樣在具有MPLS功能的網(wǎng)絡(luò)中傳遞fre1 MR.S DuracellStlSxp4第一步：網(wǎng)絡(luò)可自動(dòng)生成路由表，因?yàn)槁酚善鲄⑴c內(nèi)部網(wǎng)關(guān)協(xié)議如 OSPF信息交換。LDP使用路由表中的信息去建立相鄰設(shè)備的標(biāo)記 值，這個(gè)標(biāo)準(zhǔn)創(chuàng)建了 LSP,預(yù)先設(shè)置了與最終目的地之間的對(duì)應(yīng)關(guān) 系，MPLS的標(biāo)簽是自動(dòng)分配的。第二步：一個(gè)數(shù)據(jù)包進(jìn)入邊緣LSP時(shí)，它會(huì)被處理，決定需要哪種 第三層的服

48、務(wù)，例如QOS和帶寬管理?；诼酚珊筒呗缘男枨?，邊 緣LSR有選擇地放入一個(gè)標(biāo)簽到數(shù)據(jù)包頭中，然后轉(zhuǎn)發(fā)。第三步：位于網(wǎng)絡(luò)核心的LSR讀每一個(gè)數(shù)據(jù)包的標(biāo)記，并根據(jù)交換 表替換一個(gè)新的，然后。這個(gè)動(dòng)作將會(huì)在所有中心設(shè)備中重復(fù)。第四步：在出口邊緣的LSR,除去標(biāo)記，讀數(shù)據(jù)包頭，將其轉(zhuǎn)發(fā)到最終 目的地。對(duì)于新加的IP商業(yè)服務(wù)，MPLS最顯著的益處在于能夠分 配標(biāo)簽，這有非常特殊的意義，不同的標(biāo)簽可以區(qū)分路由信息.應(yīng) 用類型和服務(wù)級(jí)別，在下面將會(huì)進(jìn)行討論（下圖）MPLS標(biāo)簽類似于中心設(shè)備中預(yù)先計(jì)算好的交換表，并含 有第三層信息，允許每個(gè)交換機(jī)自動(dòng)將每個(gè)數(shù)據(jù)包賦與正確的IP服 務(wù)，表是預(yù)先計(jì)算的，因此沒有

49、必要在每一跳都重新處理數(shù)據(jù)包， 這樣MPLS減少了數(shù)據(jù)轉(zhuǎn)發(fā)分析IP包頭的時(shí)間，因?yàn)樗褂昧藰?biāo)記 交換的機(jī)制，標(biāo)簽只受本地局限，因此，用盡標(biāo)簽的可能性幾乎沒 有，這種特性是實(shí)施IP增值服務(wù)的基礎(chǔ)，讓我們通過一個(gè)例子進(jìn)一 步了解數(shù)據(jù)包是怎樣被轉(zhuǎn)發(fā)的。f3 MPlS Pauict fOtwSJatI見上圖，一個(gè)流入的數(shù)據(jù)包到達(dá)邊緣LSR時(shí)，它將讀包 的目的地址的前輟，128.89,下一步，這個(gè)邊緣LSR査看交換表 中目的地址，加入對(duì)應(yīng)的標(biāo)簽4,然后通過端口 1發(fā)出。在中心的 LSR讀到這個(gè)標(biāo)記，然后在交換表中查找對(duì)應(yīng)的標(biāo)簽，然后用標(biāo) 簽9取代4,從端口 0轉(zhuǎn)發(fā)。在出去的邊緣LSR査看標(biāo)簽9,在此除

50、去數(shù)據(jù)包的標(biāo)簽，從端口 0出去。注意在網(wǎng)絡(luò)的核心，IP的轉(zhuǎn)發(fā) 信息只是用來建立標(biāo)記交換表，并沒有直接參與轉(zhuǎn)發(fā)。MPLS VPN的工作過程用戶端的路由器（CE）首先通過靜態(tài)路由或BGP將用戶網(wǎng)絡(luò)中的路由 信息通知提供商路由器（PE）,同時(shí)在PE之間采用BGP的EXtenSion傳送 VPN-IP的信息以及相應(yīng)的標(biāo)記（VPN的標(biāo)記，以下簡(jiǎn)稱為內(nèi)層標(biāo)記），而 在PE與P路由器之間則采用傳統(tǒng)的IGP協(xié)議相互學(xué)習(xí)路由信息，采用LDP 協(xié)議進(jìn)行路由信息與標(biāo)記（骨干網(wǎng)絡(luò)中的標(biāo)記，以下稱為外層標(biāo)記）的梆 定。到此時(shí)，CE, PE以及P路由器中基本的網(wǎng)絡(luò)拓?fù)湟约奥酚尚畔⒁呀?jīng) 形成。PE路由器擁有了骨干網(wǎng)絡(luò)的路由

51、信息以及每一個(gè)VPN的路由信息。 當(dāng)屬于某一VPN的CE用戶數(shù)據(jù)進(jìn)入網(wǎng)絡(luò)時(shí)，在CE與PE連接的接口上可以 識(shí)別出該CE屬于那一個(gè)VPN,進(jìn)而到該VPN的路由表中去讀取下一跳的地 址信息，同時(shí)，在前傳的數(shù)據(jù)包中打上VPN標(biāo)記（內(nèi)層標(biāo)記）。這時(shí)得到 的下一跳地址為與該P(yáng)E作Peer的PE的地址為了達(dá)到這個(gè)目的端的PE, 此時(shí)在起始端PE中需讀取骨干網(wǎng)絡(luò)的路由信息，從而得到下一個(gè)P路由 器的地址，同時(shí)采用LDP在用戶前傳數(shù)據(jù)包中打上骨干網(wǎng)絡(luò)中的標(biāo)記（外 層標(biāo)記）。在骨干網(wǎng)絡(luò)中，初始FE之后的P均只讀取外層標(biāo)記的信息來決定下 一跳，因此骨干網(wǎng)絡(luò)中只是簡(jiǎn)單的標(biāo)記交換。在達(dá)到目的端PE之前的最后一個(gè)P路由

52、器時(shí)，將外層標(biāo)記去掉，讀 取內(nèi)層標(biāo)記，找到VPN,并送到相關(guān)的接口上，進(jìn)而將數(shù)據(jù)傳送到VPN 的目的地址處。從以上工作過程可見，MPLS VPN絲毫不改變CE和PE原有的配置， 一旦有新的CE加入到網(wǎng)絡(luò)時(shí)，只需在PE上作簡(jiǎn)單配置，其余的改動(dòng)信 息由IGP/BGP自動(dòng)通知到CE和PEOXX省政務(wù)網(wǎng)MPLS全網(wǎng)建設(shè)方案在XX省政務(wù)網(wǎng)絡(luò)的建設(shè)中，必須結(jié)合已運(yùn)行的網(wǎng)絡(luò)現(xiàn)狀，充分利用 現(xiàn)有設(shè)備資源，并在不影響（或最大限度少影響）已運(yùn)行系統(tǒng)的前提下， 完成全網(wǎng)的MPLS規(guī)劃，并實(shí)現(xiàn)原有系統(tǒng)的平穩(wěn)接入。對(duì)應(yīng)于MPLS-VPN的建設(shè)需求，我們提出建議方案如下：在省信息中心內(nèi)，將核心路由器作為L(zhǎng)SR設(shè)備，將各地

53、市POP節(jié)點(diǎn) 路由器作為邊緣LSR,完成應(yīng)用的標(biāo)簽分配和交換。在現(xiàn)有應(yīng)用的情況 下，MPLS將為全網(wǎng)提供快速、可靠的數(shù)據(jù)包轉(zhuǎn)發(fā)。由于下一步的網(wǎng)絡(luò)建設(shè)重點(diǎn)為語音與視頻應(yīng)用在網(wǎng)絡(luò)中的傳送， MPLS將為這兩種應(yīng)用提供平滑的過渡平臺(tái)。當(dāng)語音、視頻業(yè)務(wù)增加時(shí)， 全網(wǎng)的設(shè)置不變，只需在現(xiàn)有網(wǎng)絡(luò)的基礎(chǔ)上增加2個(gè)VPN,用于為各廳、 局單位的語音.視頻業(yè)務(wù)提供服務(wù)。帶外網(wǎng)管的實(shí)現(xiàn)對(duì)于XX政務(wù)網(wǎng)，對(duì)組網(wǎng)設(shè)備的網(wǎng)管可有帶外網(wǎng)管與帶內(nèi)網(wǎng)管兩種組 網(wǎng)方式，同帶內(nèi)組網(wǎng)相比，帶外組網(wǎng)比帶內(nèi)方式提供更可靠的設(shè)備管理 通路，在被管設(shè)備故障時(shí)，能及時(shí)定位網(wǎng)上設(shè)備信息，并實(shí)時(shí)監(jiān)控。帶 外方式竽另外提供設(shè)備組網(wǎng)，提供同業(yè)務(wù)通道無

54、關(guān)的維護(hù)通道。如圖 3 15所示o圖315在帶外組網(wǎng)，網(wǎng)管中心的可以通過多種方式和被管設(shè)備建立聯(lián)接， 如通過DDN、Ethernet.設(shè)備控制口等網(wǎng)絡(luò)資源對(duì)設(shè)備進(jìn)行管理，需要 建設(shè)一個(gè)網(wǎng)管網(wǎng)。網(wǎng)管網(wǎng)是一個(gè)獨(dú)立的數(shù)據(jù)網(wǎng)，可采用DDN等組建，為 降低運(yùn)行費(fèi)用，也可以釆用PSTN構(gòu)建，網(wǎng)管網(wǎng)的設(shè)備需要單獨(dú)提供。帶外網(wǎng)管通常有兩種管理方式：仁 被管理的核心設(shè)備提供帶外網(wǎng)管以太網(wǎng)口，如高端路由器.高端 以太網(wǎng)交換機(jī)等。這種方式下，被管理設(shè)備的帶外網(wǎng)管以太網(wǎng)口通過普 通的局域網(wǎng)與網(wǎng)管網(wǎng)的交換機(jī)相連，從而通過網(wǎng)管網(wǎng)實(shí)現(xiàn)與網(wǎng)管中心的 互聯(lián)，如核心設(shè)備通過帶外網(wǎng)管口與S3026交換機(jī)相連。網(wǎng)管中心通過 綜合網(wǎng)管

55、軟件，通過SNMP協(xié)議可以對(duì)這些設(shè)備進(jìn)行監(jiān)控.配置等操作。2、如被管理設(shè)備不能提供獨(dú)立的帶外網(wǎng)管以太口，如匯聚接入的低 端交換機(jī)等。這種方式下，被管理的低端交換機(jī)控制口（CoNSLE 口）與 一臺(tái)支持反向TELNET功能的路由器異步口相連，如匯聚層交換機(jī)控制口 與QUidWay R2509E/2511E等的異步口相連，路由器通過以太口與網(wǎng)管網(wǎng) 局域網(wǎng)相連，或通過PSTN/DDN與網(wǎng)管網(wǎng)遠(yuǎn)程互聯(lián)，網(wǎng)管中心則通過 TELNET方式，對(duì)這些設(shè)備進(jìn)行管理。與第一種方式相比，該方式目前主 要是基于命令行方式，但與帶內(nèi)網(wǎng)管相比提供了更高的安全性。對(duì)于XX政務(wù)網(wǎng)，對(duì)核心的高端設(shè)備，一般都提供帶外網(wǎng)管口，可以

56、 采用第一種方式；對(duì)于省平臺(tái)匯聚層節(jié)點(diǎn)的設(shè)備，以及不能提供帶外網(wǎng) 管口的設(shè)備，則可以釆用第二種方式。網(wǎng)管網(wǎng)組網(wǎng)設(shè)備省中心采用S3026交換機(jī)和R2600系列，地市路由器 則采用2509E/2511E,可采用S3026或S2403F交換機(jī)。網(wǎng)管網(wǎng)設(shè)備滿足以下要求：1.網(wǎng)管網(wǎng)省網(wǎng)管中心路由器：特性指標(biāo)說明外型尺寸19吋機(jī)盒結(jié)構(gòu)標(biāo)準(zhǔn)寬度擴(kuò)展能力I/O插槽數(shù)*2保證網(wǎng)管網(wǎng)的擴(kuò)展性處理能力背板總線容=1G確保網(wǎng)絡(luò)的整體性能最 優(yōu)整機(jī)轉(zhuǎn)發(fā)能力=80KPPS網(wǎng)絡(luò)協(xié)議支持TCP/1 Pb議族(I PTCPUDP ICMPARP)保證對(duì)IP網(wǎng)絡(luò)的支持路由表項(xiàng)5000135路由協(xié)議支持靜態(tài)路由、RIP、OSPFV

57、 BGP鏈路層協(xié)議PPP/氏 he r netFRX25安全特性支持配置安全對(duì)登錄用戶進(jìn)行認(rèn)證不同級(jí)別用戶有不 同的配置權(quán)限；用戶認(rèn)證方式：本地驗(yàn)證、RADIUS驗(yàn) 證協(xié)議報(bào)文安 全OSPF. RlPV2 的 報(bào)文明文認(rèn)證和MD5密文認(rèn)證,支 持SNMPV3的加 密和認(rèn)證網(wǎng)絡(luò)安全多層ACL包過濾（防火墻）.支持 PAP/CHAP 認(rèn)證數(shù)據(jù)安全I(xiàn)PSeCS DES. 3DES網(wǎng)管方式SNMP、Telnet、ConSoIe 口接口類型支持FE： =1個(gè) 同異步串口： =2個(gè) 異步串口： =8個(gè)多種類型的接口的支持 滿足采用不同的線路組 網(wǎng)環(huán)境要求工作溫度：O 60 C 儲(chǔ)存溫度：-30、60 C

58、相對(duì)濕度：5 Z 95%無凝結(jié)2、網(wǎng)管網(wǎng)地市節(jié)點(diǎn)及匯聚節(jié)點(diǎn)網(wǎng)管路由器:特性指標(biāo)說明外型尺寸4 9吋機(jī)盒結(jié)構(gòu)標(biāo)準(zhǔn)寬度處理能力整機(jī)轉(zhuǎn)發(fā)能力=2KPPS網(wǎng)絡(luò)協(xié)議支持TCP/1P協(xié)議族(I PTCPUDP ICMPARP)保證對(duì)IP網(wǎng)絡(luò)的支持路由表項(xiàng)2000項(xiàng)路由協(xié)議支持靜態(tài)路由.RIP、OSPFX BGP鏈路層協(xié)議PPP/Ethe r netFRX25安全特性支持配置安全對(duì)登錄用戶進(jìn)行認(rèn)證,不同級(jí)別用戶有不 同的配登權(quán)限；用戶認(rèn)證方式：本地驗(yàn)證、RADIUS驗(yàn) 證協(xié)議報(bào)文安 全OSPF. RIP v2的報(bào)文明文認(rèn)證和MD5 密文認(rèn)證，支持SNMPV3的加密和認(rèn)證網(wǎng)絡(luò)安全多層ACL包過濾（防火墻）、支

59、持 PAP/CHAP 認(rèn)證數(shù)據(jù)安全I(xiàn)PSeCS DESS 3DES網(wǎng)笛業(yè)務(wù)支持 能力支持反向TELNET網(wǎng)管方式SNMP、TelnetS ColISOIe 口接口類型支持IOBaseT: =1 個(gè) 同異步串口： =2個(gè) 異步串口： =8個(gè)多種類型的接口的支持 滿足采用不同的線路組 網(wǎng)環(huán)境要求工作溫度：0 50 9儲(chǔ)存溫度：-30 60 9 相對(duì)濕度：595%無凝結(jié)3網(wǎng)管網(wǎng)交換機(jī)要求:特性指標(biāo)說明外型尺寸19吋機(jī)盒結(jié)構(gòu)標(biāo)準(zhǔn)寬度擴(kuò)展能力I/O插槽數(shù)=1處理性能交換背板容*2G接口 2層處理能力任一端口 2層線速轉(zhuǎn)發(fā)轉(zhuǎn)發(fā)時(shí)延支持=32二層組播支持IGMP SnOOPingI GMRP生成樹協(xié)議802

60、.1旅 STP, RSTPQoS及流控支持802.1 Pv 802. 3X安全特性支持配置安全對(duì)登錄用戶進(jìn)行認(rèn)證，不同級(jí)別用戶 有不同的配置權(quán)限；用戶認(rèn)證方式：本地驗(yàn)證、RADIUS 驗(yàn)證CAMS訪問管理服務(wù)器CAMS可對(duì)端口級(jí)進(jìn) 行監(jiān)控管理網(wǎng)絡(luò)安全802.1X擴(kuò)展業(yè)務(wù)支持端口業(yè)務(wù)能力支持端口鏡徹、端口捆綁擴(kuò)展帶寬網(wǎng)管方式SNMP.群組管理（HGMP）.TelneX Console 口接口類型及數(shù)支 持10/100 BaseT: =20 個(gè)100 BaSeFX （單模、多模）（=2 個(gè)）可離性MTBF30000小時(shí)環(huán)境要求工作溫度：0 60 9儲(chǔ)存溫度:-30 60 -C 相對(duì)濕度：5 95%