龍崗區(qū)政務(wù)信息網(wǎng)實施方案

龍崗區(qū)政務(wù)信息網(wǎng)

實施方案深圳市華為技術(shù)有限公司2002年11月TOC\o"1-5"\h\z\o"CurrentDocument"第一章用戶需求分析 4\o"CurrentDocument"1．1項目概述 4\o"CurrentDocument"1．2網(wǎng)絡(luò)現(xiàn)狀分析 4\o"CurrentDocument"1．3龍崗區(qū)政務(wù)信息網(wǎng)的網(wǎng)絡(luò)模型 5\o"CurrentDocument"第二章MPLS-VPN技術(shù)簡介 6\o"CurrentDocument"2．1MPLS基本原理 6\o"CurrentDocument"2．2L3MPLS-VPN實現(xiàn)原理 7\o"CurrentDocument"第三章內(nèi)網(wǎng)拓撲及組網(wǎng)方案 10\o"CurrentDocument"3．1設(shè)備布放及整網(wǎng)結(jié)構(gòu)設(shè)計 10\o"CurrentDocument"3．2內(nèi)網(wǎng)核心層（區(qū)中心節(jié)點）組網(wǎng)方案 11\o"CurrentDocument"3．3內(nèi)網(wǎng)分布層（區(qū)中心各政府辦公大樓節(jié)點）組網(wǎng)方案 12\o"CurrentDocument"3．4內(nèi)網(wǎng)接入層（鎮(zhèn)級節(jié)點）組網(wǎng)方案 13\o"CurrentDocument"第四章外網(wǎng)拓撲及組網(wǎng)方案 15\o"CurrentDocument"4．1設(shè)備布放及整網(wǎng)結(jié)構(gòu)設(shè)計 15\o"CurrentDocument"4．2外網(wǎng)核心層組網(wǎng)方案 16\o"CurrentDocument"4．3外網(wǎng)分布層（匯聚層）組網(wǎng)方案 16\o"CurrentDocument"4．4外網(wǎng)接入層組網(wǎng)方案 18\o"CurrentDocument"第五章設(shè)計實現(xiàn) 19\o"CurrentDocument"5．1網(wǎng)絡(luò)互聯(lián)設(shè)計 19\o"CurrentDocument"5．2網(wǎng)管設(shè)計 19\o"CurrentDocument"5.2.1網(wǎng)管需求 19\o"CurrentDocument"5.2.2具體實現(xiàn) 19\o"CurrentDocument"5．3路由協(xié)議規(guī)劃 20\o"CurrentDocument"5.3.1各P/PE設(shè)備之間運行的路由協(xié)議 20\o"CurrentDocument"PE與CE設(shè)備之間運行的路由協(xié)議 20\o"CurrentDocument"CE設(shè)備以下網(wǎng)絡(luò)運行的路由協(xié)議 21\o"CurrentDocument"5．4VPN規(guī)劃 22\o"CurrentDocument"5.5VRF命名 25\o"CurrentDocument"5．6IP地址分配 25\o"CurrentDocument"5.6.1總的原則 25\o"CurrentDocument"5.6.2內(nèi)網(wǎng)IP地址劃分 26\o"CurrentDocument"5.6.3外網(wǎng)IP地址劃分 26\o"CurrentDocument"5. 7VLANID的分配 26\o"CurrentDocument"5. 8各VRF下RD、Route-target的分配 27\o"CurrentDocument"RD的分配方式 27\o"CurrentDocument"Route-target的分配方式 27\o"CurrentDocument"9實現(xiàn)實例 28\o"CurrentDocument"第六章原有應(yīng)用的平滑遷移方案 45\o"CurrentDocument"1IP地址的遷移 45\o"CurrentDocument"6. 2應(yīng)用的遷移 45\o"CurrentDocument"附錄1 工程實施進度表 46\o"CurrentDocument"附錄2 華為MPLS-VPN解決方案 47第一章用戶需求分析1．1項目概述深圳市龍崗區(qū)政務(wù)信息網(wǎng)是區(qū)電子政務(wù)建設(shè)的一項重點應(yīng)用工程，是龍崗區(qū)重要的信息基礎(chǔ)設(shè)施建設(shè)，其建網(wǎng)目標是以電子政務(wù)為龍頭，帶動龍崗區(qū)國民經(jīng)濟和社會信息化，為區(qū)黨政機關(guān)提供一個高質(zhì)量信息服務(wù)的寬帶網(wǎng)絡(luò)。本次系統(tǒng)建設(shè)旨在建成連接全區(qū)黨政機關(guān)的高速寬帶政務(wù)網(wǎng)絡(luò)系統(tǒng)，提供數(shù)據(jù)、語音、視頻傳輸?shù)慕y(tǒng)一網(wǎng)絡(luò)平臺，全面滿足政府辦公需要；建成區(qū)黨政機關(guān)信息交換中心，實現(xiàn)區(qū)、鎮(zhèn)各黨政機關(guān)間公文信息傳遞、交換、處理的電子化；建成電子政務(wù)認證中心；統(tǒng)一標準建立政府公文電子信息資源庫，實現(xiàn)公文等信息的充分共享和廣泛使用；建立覆蓋全區(qū)的公共信息平臺，在網(wǎng)上提供方便、快捷、透明的“一站式”電子政務(wù)服務(wù)。根據(jù)國家保密部門的有關(guān)規(guī)定，龍崗區(qū)政務(wù)信息網(wǎng)分為內(nèi)網(wǎng)和外網(wǎng)兩個完全物理隔離的網(wǎng)絡(luò)系統(tǒng)。內(nèi)網(wǎng)是龍崗區(qū)黨政機關(guān)政務(wù)應(yīng)用系統(tǒng)運行的網(wǎng)絡(luò)平臺和辦公業(yè)務(wù)系統(tǒng)。外網(wǎng)與因特網(wǎng)互聯(lián)，為社會公眾提供電子化、網(wǎng)絡(luò)化服務(wù)。龍崗區(qū)政務(wù)信息網(wǎng)的內(nèi)、外網(wǎng)分別與深圳市機關(guān)統(tǒng)一網(wǎng)絡(luò)平臺的內(nèi)、外網(wǎng)部分互聯(lián)。1．2網(wǎng)絡(luò)現(xiàn)狀分析深圳市龍崗區(qū)位于深圳市東部，面積844平方公里，人口106萬人，轄平湖、布吉、橫崗、龍崗、坪地、坑梓、坪山、大鵬、葵涌、南澳十鎮(zhèn)。本次政務(wù)信息網(wǎng)建設(shè)將實現(xiàn)對區(qū)中心城范圍內(nèi)黨政機關(guān)共十二棟大樓50多個部門的高速寬帶政務(wù)網(wǎng)絡(luò)互聯(lián)，通過租用電信廣域網(wǎng)鏈路或PSTN/ISDN撥號系統(tǒng)實現(xiàn)與十個鎮(zhèn)的互聯(lián)，并建立辦公業(yè)務(wù)系統(tǒng)。龍崗區(qū)政務(wù)信息網(wǎng)的中心機房位于區(qū)海關(guān)大樓十八樓，面積約350平方米。區(qū)委（府）大樓設(shè)有分機房和五個配線間，其他聯(lián)網(wǎng)政府辦公大樓不同部門有相應(yīng)的機房和配線間。大樓與大樓之間采用單模光纖連接，大樓內(nèi)配線間到骨干節(jié)點采用多模光纖連接。各部門中部分建有局域網(wǎng)和業(yè)務(wù)系統(tǒng)。龍崗政務(wù)信息網(wǎng)建設(shè)既要確保原有的計算機網(wǎng)絡(luò)和應(yīng)用的正常使用，又要保證用戶在今后一段時期內(nèi)辦公、業(yè)務(wù)等應(yīng)用的拓展。目前龍崗區(qū)政府大樓的信息系統(tǒng)分為物理隔離的內(nèi)網(wǎng)和外網(wǎng)，內(nèi)、外網(wǎng)均通過單模光纖與深圳市機關(guān)統(tǒng)一網(wǎng)絡(luò)平臺的內(nèi)、外網(wǎng)部分互聯(lián)。內(nèi)網(wǎng)現(xiàn)有交換機為CiscoCatalyst6509,設(shè)備背板帶寬32G,原配有千兆光纖和百兆RJ45模塊，有空余插槽。外網(wǎng)現(xiàn)有交換機為CiscoCatalyst5509。

1．3龍崗區(qū)政務(wù)信息網(wǎng)的網(wǎng)絡(luò)模型區(qū)黨政機關(guān)各單位橫向上既是區(qū)委區(qū)政府的組成部門，縱向上其業(yè)務(wù)又受市對口單位的行業(yè)指導(dǎo)，并對鎮(zhèn)級對口單位進行業(yè)務(wù)指導(dǎo)。各單位是橫向區(qū)級信息網(wǎng)絡(luò)和縱向行業(yè)信息網(wǎng)絡(luò)的交叉點。對于每個獨立的單位節(jié)點來說，既有橫向部門間的信息交互，又有縱向行業(yè)部門的信息交互?？v向看，各單位用戶經(jīng)授權(quán)能訪問縱向網(wǎng)絡(luò)的相應(yīng)資源；橫向看，各單位用戶經(jīng)授權(quán)能訪問橫向網(wǎng)絡(luò)資源。因此，整個政務(wù)平臺是由多條縱向?qū)＞W(wǎng)、橫向?qū)＞W(wǎng)相聯(lián)結(jié)形成的復(fù)雜結(jié)構(gòu)應(yīng)用模式。圖1.1龍崗區(qū)政務(wù)信息網(wǎng)模型本方案提出了網(wǎng)絡(luò)建設(shè)后的一個網(wǎng)絡(luò)構(gòu)架，該方案充分利用了原有的設(shè)備，保護了用戶已有的投資，同時將在很大程度上提高網(wǎng)絡(luò)的業(yè)務(wù)處理能力，同時兼具良好的可擴展性。

第二章MPLS-VPN技術(shù)簡介對建設(shè)電子政務(wù)網(wǎng)業(yè)務(wù)與安全需求分析，L3MPLS-VPN可以很好的滿足深圳市市民中心電子政務(wù)網(wǎng)的各方面需求，其它的VPN實現(xiàn)方式的是沒有可操作性的，下面對MPLS-VPN技術(shù)給予簡單的介紹。2?1MPLS基本原理MPLS是多協(xié)議標簽交換協(xié)議的簡稱，多協(xié)議是指它能夠支持多種三層協(xié)議；標簽是一種短的，易于處理的，不包含拓撲信息，只具有局部意義的信息內(nèi)容；MPLS的報文轉(zhuǎn)發(fā)是基于標簽的，在MPLS網(wǎng)絡(luò)中，IP包在進入第一個MPLS設(shè)備時，MPLS邊緣路由器分析IP包的內(nèi)容并且為這些IP包選擇合適的標簽。以后所有MPLS網(wǎng)絡(luò)中節(jié)點都是依據(jù)這個標簽作為轉(zhuǎn)發(fā)依據(jù)。當IP包最終離開MPLS網(wǎng)絡(luò)時，標簽被邊緣路由器分離。03132比特標簽EXPS03132比特標簽EXPSTTL20 23242層頭部MPLS頭部IP頭部數(shù)據(jù)圖2.1MPLS標簽示意圖在MPLS中，一個標簽標識了一個轉(zhuǎn)發(fā)等價類（FEC ForwordingEquivalenceClass）。一個轉(zhuǎn)發(fā)等價類是在網(wǎng)絡(luò)中遵循同樣的轉(zhuǎn)發(fā)路徑的報文的集合，這些報文的目的地址甚至可以不同。MPLS可以看做是一種面向連接的技術(shù)?？赏ㄟ^MPLS信令（如LDP,LabelDistributeProtocol，標簽分配協(xié)議）或手工配置的方法建立好MPLS標記交換連接（LabelSwitchedPath，簡稱LSP）以后，數(shù)據(jù)轉(zhuǎn)發(fā)過程中，在網(wǎng)絡(luò)入口進行流分類，根據(jù)數(shù)據(jù)流所屬的FEC選擇相應(yīng)的LSP，把需要通這條LSP的報文打上相應(yīng)的標簽，中間路由器在收到MPLS報文以后直接根據(jù)MPLS報頭的標簽進行轉(zhuǎn)發(fā)，而不用再通過IP報文頭的IP地址查找。在MPLS標記交換路徑的出口（或倒數(shù)第二跳），彈出MPLS包頭，還回原來

的IP包(在VPN的時候可能是以太網(wǎng)報文或ATM報文等)。由于FEC可以是按照目的地址劃分的，這同傳統(tǒng)的IP轉(zhuǎn)發(fā)相同，也可以是基于源地址、目的地址、源端口、目的端口、協(xié)議類型、CoS、VPN等等信息的任意組合。而MPLS可以把任何流關(guān)聯(lián)到一個FEC，然后把一個FEC映射到一個LSP，這個LSP可以是為了這種FEC而特殊構(gòu)造的，這使得服務(wù)提供商可以非常精確地控制網(wǎng)絡(luò)中的每個流。這種空前的控制能力使網(wǎng)絡(luò)能夠提供更加有效和可預(yù)測的服務(wù)。根據(jù)擴展方式的不同MPLSVPN可以分為BGP擴展實現(xiàn)的MPLSVPN,和LDP擴展實現(xiàn)的VPN。根據(jù)PE(ProviderEdge)設(shè)備是否參與VPN路由又細分為二層VPN和三層VPN。同依賴于IPTunnel技術(shù)實現(xiàn)的傳統(tǒng)IPVPN不同，MPLSVPN不依靠封裝和加密技術(shù)，而是依靠轉(zhuǎn)發(fā)表和數(shù)據(jù)包的標記來創(chuàng)建一個安全的VPN。2?2L3MPLS-VPN實現(xiàn)原理在L3MPLSVPN(又稱MPLSBGPVPN)的模型中，網(wǎng)絡(luò)由運營商的骨干網(wǎng)與用戶的各個Site組成，所謂VPN就是對site集合的劃分，一個VPN就對應(yīng)一個由若干site組成的集合。但是必須遵循如下規(guī)則：兩個Site之間只有至少同時屬于一個VPN定義的Site集合，才具有IP連通性。MPLSBGPVPN的框架模型如圖所示：VPNB/Site110.2/1610.2/16VPNA/Site2VPNB/Site110.2/1610.2/16cebiplcebipl亠-VPNSCPE層10.1/16PE10.4/16PE10.4/16PE310.3/110.1/16VPNA/Site1VPNB/Site3圖2.2MPLS/BGPVPN網(wǎng)絡(luò)結(jié)構(gòu)圖如圖所示，基于BGP擴展實現(xiàn)的L3MPLSVPN所包含的基本組件：PE：ProviderEdgeRouter，骨干網(wǎng)邊緣路由器，存儲VRF(VirtualRoutingForwardingInstance)，處理VPN-IPv4路由，是MPLS三層VPN的主要實現(xiàn)者；CE：CustomEdgeRouter，用戶網(wǎng)邊緣路由器，分布用戶網(wǎng)絡(luò)路由；

Prouter：ProviderRouter，骨干網(wǎng)核心路由器，負責MPLS轉(zhuǎn)發(fā)；VPN用戶站點（site）：是VPN中的一個孤立的IP網(wǎng)絡(luò)，一般來說，不通過骨干網(wǎng)不具有連通性，公司總部、分支機構(gòu)都是site的具體例子。CE路由器通常是VPNSite中的一個路由器或交換設(shè)備，Site通過一個單獨的物理端口或邏輯端口（通常是VLAN端口）連接到PE設(shè)備上；用戶接入MPLSVPN的方式是每個site提供一個或多個CE,同骨干網(wǎng)的PE連接。在PE上為這個site配置VRF，將連結(jié)PE-CE的物理接口、邏輯接口、甚至L2TP/IPSec隧道綁定的VRF上。BGP擴展實現(xiàn)的MPLS-VPN擴展的了BGPNLRI中的IPv4地址，在其前增加了一個8字節(jié)的RD（RouteDistinguished。RD時用來標識VPN的成員---即Site的。VPN的成員關(guān)系是通過路由所攜帶的routetarget屬性來獲得的，每個VRF配置了一些策略，規(guī)定一個VPN可以接收哪些Site來的路由信息，可以向外發(fā)布哪些Site的路由信息。每個PE根據(jù)BGP擴展發(fā)布的信息進行路由計算，生成每個相關(guān)VPN的路由表。PE-CE之間要交換路由信息一般是通過靜態(tài)路由，也可以通過RIP、BGP等oPE-CE之間采用靜態(tài)路由的好處是可以減少CE設(shè)備可能會因為管理不善等原因造成對骨干網(wǎng)BGP路由產(chǎn)生震蕩，影響骨干網(wǎng)的穩(wěn)定性；如果采用BGP可以實現(xiàn)動態(tài)的網(wǎng)絡(luò)擴展，網(wǎng)絡(luò)路由信息發(fā)生變化時，不必更改設(shè)備的配置信息。PE與PE之間需要運行IBGP協(xié)議，存在可擴展性問題，但采用路由反射器RR可以顯著地減少IBGP連接的數(shù)量。MPLS/BGPVPN提供了靈活的地址管理。由于采用了單獨的路由表，允許每個VPN使用單獨的地址空間中，稱為VPN-IPv4地址空間,RD加上IPv4地址就構(gòu)成了VPN-IPv4地址。很多采用私有地址的用戶不必再進行地址轉(zhuǎn)換NAToNAT只有在兩個有沖突地址的用戶需要建立Extranet進行通信時才需要。在MPLS/BGPVPN中,屬于同一的VPN的兩個site之間轉(zhuǎn)發(fā)報文使用兩層標簽來解決，在入口PE上為報文打上兩層標簽，第一層（外層）標簽在骨干網(wǎng)內(nèi)部進行交換,代表了從PE到對端PE的一條隧道，VPN報文打上這層標簽，就可以沿著LSP到達對端PE，這時候就需要使用第二層（內(nèi)層）標簽，這層標簽指示了報文應(yīng)該到達哪個site，或者更具體一些，到達哪一個CE,這樣，根據(jù)內(nèi)層標簽，就可以找到轉(zhuǎn)發(fā)的接口?？梢哉J為，內(nèi)層標簽代表了通過骨干網(wǎng)相連的兩個CE之間的一個隧道。L3MPLS-VPN通過和Internet路由之間配置一些靜態(tài)路由的方式，可以實現(xiàn)VPN的Internet上網(wǎng)服務(wù)，還可以為跨不同地域的、屬于同一個AS但是沒有自己的骨干網(wǎng)的運營商提供VPN互連，即提供“運營商的運營商”模式的VPN網(wǎng)絡(luò)互連。MPLS/MBGPVPN可以簡化對用戶端設(shè)備的需求和用戶管理、維護Intranet/Extranet的復(fù)雜性，每個CE僅需要維持一個到PE的路由交換協(xié)議，CE間的路由交換、傳輸控制、路由策略由運營商根據(jù)VPN用戶的需求來實施。由于BGP的策略控制能力很強,隨之而來的是VPN用戶路由策略控制的靈活性。第三章內(nèi)網(wǎng)拓撲及組網(wǎng)方案根據(jù)內(nèi)網(wǎng)網(wǎng)絡(luò)設(shè)計思想及其應(yīng)用需求，鑒于涉密網(wǎng)各部門的特殊安全性要求，在總體建設(shè)上采用業(yè)務(wù)與網(wǎng)絡(luò)分層構(gòu)建、逐層保護的指導(dǎo)原則，利用寬帶IP技術(shù)，保證網(wǎng)絡(luò)的互聯(lián)互通性，提供具有一定Qos的帶寬保證，并提供各部門、系統(tǒng)網(wǎng)絡(luò)間的邏輯隔離(VPN)，保證互訪的安全控制；整網(wǎng)采用了MPLS技術(shù)實現(xiàn)了業(yè)務(wù)隔離，并能進行有效的Qos處理。鎮(zhèn)一級的接入路由器到中心城匯聚路由器之間有專門的物理鏈路，即保證了政務(wù)信息在網(wǎng)上的安全性，又保證了很高的傳輸性能。所采用的設(shè)備以及網(wǎng)絡(luò)構(gòu)架都具有良好可擴展性，可以根據(jù)后續(xù)發(fā)展的需求，在不改變現(xiàn)有組網(wǎng)方案的情況下，通過增加語音卡、MCU等語音、視頻設(shè)備，即可提供IP電話，電視會議等業(yè)務(wù)。并且擴展新的VPN業(yè)務(wù)時不需對各鎮(zhèn)到中心城的鏈路及配置進行改動。3．1設(shè)備布放及整網(wǎng)結(jié)構(gòu)設(shè)計龍崗政務(wù)網(wǎng)分三級節(jié)點：區(qū)中心、區(qū)中心各辦公點節(jié)點、縣級節(jié)點。Quid^eivMV核心層S3526R3680ES3526區(qū)L2接入層區(qū)中心城各｛內(nèi)網(wǎng))分布層(匯聚層了R2fi31E016龍崗政務(wù)網(wǎng)分三級節(jié)點：區(qū)中心、區(qū)中心各辦公點節(jié)點、縣級節(jié)點。Quid^eivMV核心層S3526R3680ES3526區(qū)L2接入層區(qū)中心城各｛內(nèi)網(wǎng))分布層(匯聚層了R2fi31E016圖3.1龍崗區(qū)政務(wù)信息網(wǎng)“內(nèi)網(wǎng)”拓撲兩個區(qū)中心節(jié)點放置大容量的核心三層交換機利用GE高速端口通過IPTRUNK互連，并提供到各種服務(wù)器的多個高速接口。其中海關(guān)大樓放置新增的S8016，區(qū)政府大樓放置利舊的Cisco6509。龍崗區(qū)內(nèi)24個POP接入節(jié)點各放置一臺三層交換機（建設(shè)大樓為S5516,其他節(jié)點為S3526）,通過GE接口分別接入到兩臺核心交換機。中心機房增配一臺中心匯聚路由器R3680E,完成10個鎮(zhèn)級節(jié)點的匯聚和接入。中心路由器通過FE接口與中心機房的核心交換機互連。10個鎮(zhèn)一級節(jié)點各放置一臺R2631E，通過廣域網(wǎng)接口上連中心路由器。3．2內(nèi)網(wǎng)核心層（區(qū)中心節(jié)點）組網(wǎng)方案區(qū)中心節(jié)點主要完成全區(qū)業(yè)務(wù)的高速交換和路由轉(zhuǎn)發(fā)，對網(wǎng)絡(luò)的可靠性、業(yè)務(wù)的支持能力和報文的轉(zhuǎn)發(fā)性能都提出了更高的要求。因此，在中心機房節(jié)點采用1臺大容量、高性能的路由交換機S8016， S8016提供完善的Diffserv流交換、Qos保證機制，完備的業(yè)務(wù)控制、用戶管理能力，以及電信級的可靠性和高密度、大容量交換能力，完全滿足龍崗區(qū)目前業(yè)務(wù)的處理。為了實現(xiàn)10個鎮(zhèn)POP節(jié)點的接入，在中心機房配置一臺中心路由器QuidwayR3680E， R3680E路由器具有很高的處理能力和接入密度。它提供了豐富的網(wǎng)絡(luò)安全特性。區(qū)政府大院機房節(jié)點的交換機可以利舊，將原有的CISCO6509升級。S8016的多個GE口通過IPTRUNK的方式與CISCO6509互連，完成兩個中心節(jié)點信息的交互oS8016與區(qū)中心政府辦公大樓的POP節(jié)點通過GE口互連,CISCO6509與區(qū)中心政府辦公大樓的POP節(jié)點同樣通過GE口互連。區(qū)中心路由器R3680E通過FE口上連S8016,向下提供廣域網(wǎng)接口與10個鎮(zhèn)級節(jié)點相連，主要負責10個鎮(zhèn)政府辦公節(jié)點的匯聚及路由轉(zhuǎn)發(fā)，并提供豐富的業(yè)務(wù)支持。隨著業(yè)務(wù)的不斷增加，可以考慮R3680E增配一條高速鏈路與CISCO6509互連，作為備份或負載分擔，提高網(wǎng)絡(luò)的可靠性。OiiiVKiT冋営結(jié)點圖3.2內(nèi)網(wǎng)中心機房拓撲圖區(qū)中心機房內(nèi)設(shè)置WWW服務(wù)器、郵件服務(wù)器、FTP服務(wù)器、域名服務(wù)器以及數(shù)據(jù)服務(wù)器等，這些服務(wù)器不但為系統(tǒng)內(nèi)受權(quán)用戶提供檢索、郵件、域名解析等服務(wù)，同時為政府系統(tǒng)信息內(nèi)被授權(quán)訪問的橫向網(wǎng)絡(luò)用戶提供信息檢索以及域名解析等服務(wù)。各服務(wù)器通過FE/GE接口與中心機房的S8016互連。為了實現(xiàn)對全網(wǎng)數(shù)據(jù)設(shè)備的管理，在中心機房配置一臺華為的Quidview網(wǎng)管系統(tǒng)，對所有交換機及路由器進行統(tǒng)一管理。同時還要考慮龍崗區(qū)政務(wù)網(wǎng)到深圳市政務(wù)網(wǎng)的互連，由S8016提供到市政務(wù)專網(wǎng)的出口，在網(wǎng)絡(luò)出口處設(shè)置防火墻，以實現(xiàn)對數(shù)據(jù)包安全檢查及加解密任務(wù)。3．3內(nèi)網(wǎng)分布層（區(qū)中心各政府辦公大樓節(jié)點）組網(wǎng)方案區(qū)中心各政府辦公大樓節(jié)點覆蓋了區(qū)政府大樓（五個配線間）、區(qū)信息中心，區(qū)建設(shè)局，區(qū)工商分局、區(qū)公路局、區(qū)檢察院、區(qū)法院、區(qū)勞動局、區(qū)財政局、區(qū)運輸局、區(qū)地稅分局、區(qū)公安分局、區(qū)國資辦、區(qū)質(zhì)量監(jiān)督分局、區(qū)國土分局、區(qū)城管辦、區(qū)環(huán)保局、區(qū)司法局、區(qū)政法委、區(qū)社保分局共24個POP節(jié)點，采用快速以太網(wǎng)接入方式實現(xiàn)對各單位用戶的接入服務(wù)。每個節(jié)點配置一臺S3526三層交換機，利用第三層網(wǎng)絡(luò)交換機實現(xiàn)虛擬網(wǎng)間的通訊隔離和分布式處理。政府側(cè)各級政府、局、委、辦局域網(wǎng)接入交換機S3526，是各局

域網(wǎng)節(jié)點和廣域網(wǎng)絡(luò)物理連接的分界點。對內(nèi)需完成縱向網(wǎng)和橫向網(wǎng)接入，S3526與中心交換機S8016或CISCO6509通過GE高速鏈路互連。向下通過FE接口接入局域網(wǎng)。圖3.3各辦公大樓接入圖示對于接入交換機，根據(jù)政務(wù)內(nèi)網(wǎng)的建設(shè)需要，需要為接入用戶提多個VLAN,以接入內(nèi)網(wǎng)上不同的應(yīng)用，如各局的機要訪問主機要位于一個單獨的VLAN里，以實現(xiàn)與其它業(yè)務(wù)主機在第二層進行隔離保證安全，這些VLAN由內(nèi)網(wǎng)區(qū)網(wǎng)絡(luò)平臺及鎮(zhèn)網(wǎng)絡(luò)平臺管理者統(tǒng)一規(guī)劃實施。為保證網(wǎng)絡(luò)的兼容及標準性，接入層的交換機需要支持802.1q協(xié)議，支持基于端口的VLAN劃分。在PE設(shè)備上對VLAN進行終結(jié)。3．4內(nèi)網(wǎng)接入層（鎮(zhèn)級節(jié)點）組網(wǎng)方案10個鎮(zhèn)級節(jié)點各配置一臺Quidway2631E路由器完成鎮(zhèn)局域網(wǎng)的接入。Quidway2631E路由器支持華為VRP網(wǎng)絡(luò)操作系統(tǒng)，快速以太網(wǎng)口支持802.1q協(xié)議，并支持ACL/NAT、策略路由等功能。Quidway2631E通過廣域網(wǎng)與中心機方的R3680E互連，通過FE接口接入本鎮(zhèn)局域網(wǎng)。圖3.4各鎮(zhèn)接入圖示局域網(wǎng)交換機設(shè)定VLAN實現(xiàn)各業(yè)務(wù)系統(tǒng)的二層隔離，在路由器上通過VPN技術(shù)實現(xiàn)各業(yè)務(wù)系統(tǒng)的三層隔離和受控互訪，充分保證網(wǎng)絡(luò)的安全性。同時，為了保證數(shù)據(jù)在電信廣域網(wǎng)上傳輸?shù)谋Ｃ苄?，在R2621與R3680E之間走專用的物理鏈路。在內(nèi)網(wǎng)核心層、匯聚層和接入層采用的主要設(shè)備的所有關(guān)鍵模塊均實現(xiàn)1+1冗余，易于擴容和維護。所有模塊具備熱插拔的功能。網(wǎng)絡(luò)設(shè)備的性能參數(shù)均達到或超過“龍崗區(qū)政務(wù)信息網(wǎng)網(wǎng)絡(luò)系統(tǒng)設(shè)備清單及規(guī)格”的要求。在龍崗區(qū)政務(wù)內(nèi)網(wǎng)中，核心采用華為S8016和原有Cisco6509。只要Cisco6509支持MPLS-VPN，貝I」S8016和Cisco6509可以共同做為PE設(shè)備，完成VLAN到MPLS標簽的映射，整網(wǎng)對MPLSVPN的支持就可以保障。如果Cisco6509不支持MPLS-VPN，則可以在Cisco6509上做VLAN透傳，由S8016做PE設(shè)備完成VLAN到MPLS標簽的映射，從而實現(xiàn)MPLS-VPN。第四章外網(wǎng)拓撲及組網(wǎng)方案根據(jù)外網(wǎng)網(wǎng)絡(luò)設(shè)計思想及其應(yīng)用需求，在總體建設(shè)上采用業(yè)務(wù)與網(wǎng)絡(luò)分層構(gòu)建、逐層保護的指導(dǎo)原則，利用寬帶IP技術(shù)，保證網(wǎng)絡(luò)的互聯(lián)互通性，提供具有一定QOS的帶寬保證，并提供各部門、系統(tǒng)網(wǎng)絡(luò)間的邏輯隔離（VPN）,保證互訪的安全控制；整網(wǎng)采用了MPLS技術(shù)實現(xiàn)了業(yè)務(wù)隔離，并能進行有效的QOS處理。在鎮(zhèn)一級的接入路由器上可以通過DDN專線或VPN的方式，聯(lián)入核心匯聚NE05，即保證了政務(wù)信息在網(wǎng)上的安全性，又保證了很高的傳輸性能。所采用的設(shè)備以及網(wǎng)絡(luò)構(gòu)架都具有良好可擴展性，可以根據(jù)后續(xù)發(fā)展的需求，在不改變現(xiàn)有組網(wǎng)方案的情況下，通過增加語音卡、MCU等語音、視頻設(shè)備，即可提供IP電話,電視會議等業(yè)務(wù)。建成后的網(wǎng)絡(luò)，采用IP網(wǎng)絡(luò)為主用線路，撥號網(wǎng)絡(luò)為備用線路。與此同時，充分利用了原有的網(wǎng)絡(luò)設(shè)備。4．1設(shè)備布放及整網(wǎng)結(jié)構(gòu)設(shè)計龍崗政務(wù)外網(wǎng)也分三層：核心層、分布層（匯聚層）、接入層。連hi佢met)6信」QuidViewF5S-NEO$650SUU16S8OI1S3526NE05AtticS3526S3526[/DDN/FKPSTNR3?4DER36仰連hi佢met)6信」QuidViewF5S-NEO$650SUU16S8OI1S3526NE05AtticS3526S3526[/DDN/FKPSTNR3?4DER36仰接入層CAMS?Viewpoini分布層（匯聚層）2.5GPOS靶圖4.1龍崗區(qū)政務(wù)信息網(wǎng)“外網(wǎng)”拓撲

核心層兩個中心節(jié)點采用兩臺GSR（NE80）做路由轉(zhuǎn)發(fā)，分別布放在海關(guān)大樓和區(qū)政府大院機房，兩臺GSR之間通過2.5GPOS光纖相連。匯聚層兩臺大容量的核心三層交換機通過GE高速端口完成各區(qū)級單位的匯聚，同時雙歸屬到核心的NE80，保證整個核心層的可靠性，避免單點故障；一臺大容量的三層交換機提供服務(wù)器群的多個高速接入；一臺高端路由器（NE05）與市政府機關(guān)外網(wǎng)高速相連，實現(xiàn)Internet接入；一臺高端路由器（NE05）提供十個鎮(zhèn)的高速接入；一臺大容量撥號服務(wù)器（A8010）提供分散用戶的PSTN撥號接入，同時為每個鎮(zhèn)做撥號備份，以增強可靠性；一臺大容量三層交換機實現(xiàn)服務(wù)器群匯聚后與出口高端路由器相連，對外提供多種業(yè)務(wù)服務(wù)。接入層的區(qū)各局級單位節(jié)點采用三層交換機（S3526）實現(xiàn)高速接入，鎮(zhèn)級節(jié)點通過模塊化路由器（R3640E）匯聚到中心高端路由器（NE05）,實現(xiàn)與區(qū)中心節(jié)點的高速接入，同時接入PSTN做相應(yīng)的備份，以增強網(wǎng)絡(luò)可靠性。4．2外網(wǎng)核心層組網(wǎng)方案核心層兩中心節(jié)點主要完成全區(qū)業(yè)務(wù)的高速交換和路由轉(zhuǎn)發(fā)，對網(wǎng)絡(luò)的可靠性、業(yè)務(wù)的支持能力和報文的轉(zhuǎn)發(fā)性能都提出了更高的要求。因此，在核心層中心兩個核心節(jié)點（海關(guān)大樓信息中心機房和區(qū)政府大院機房）采用2臺NE80GSR核心路由器進行高速路由轉(zhuǎn)發(fā)，QuidwayNE80核心路由器具有96Mpps的轉(zhuǎn)發(fā)能力，提供各種線速端口，支持POS/ATM/FE/GE等接口以及MPLS-VPN等技術(shù)。核心層"NESO NE80兩核心節(jié)點間通過核心層"NESO NE80多個局級單位/.一—丄 ?多個局級.一—丄 ?多個局級：單位POP區(qū)政府犬外劇疲 2.5GPOS信息松SLW圖4.2“外網(wǎng)”核心層網(wǎng)絡(luò)拓撲4．3外網(wǎng)分布層（匯聚層）組網(wǎng)方案匯聚層2臺大容量、高性能的路由交換機S8016通過GE高速端口完成各區(qū)級單位的匯聚，并且雙歸屬到核心的兩臺NE80，保證整個網(wǎng)絡(luò)的可靠性。S8016提供完善的Diffserv流交換、QOS保證機制，完備的業(yè)務(wù)控制、用戶管理能力，以及電信級的可靠性和高密度、大容量交換能力，完全滿足龍崗區(qū)目前業(yè)務(wù)的處理，并可滿足今后幾年的業(yè)務(wù)需求。區(qū)中心機房內(nèi)設(shè)置WWW服務(wù)器、郵件服務(wù)器、FTP服務(wù)器、域名服務(wù)器以及數(shù)據(jù)服務(wù)器，各服務(wù)器通過FE/GE接口匯聚到1臺大容量、高性能的路由交換機S8016上，不僅實現(xiàn)為系統(tǒng)內(nèi)授權(quán)用戶提供檢索、郵件、域名解析等服務(wù)，同時為政府系統(tǒng)信息內(nèi)被授權(quán)訪問的橫向網(wǎng)絡(luò)用戶提供信息檢索以及域名解析等服務(wù)。這些服務(wù)器同時通過防火墻經(jīng)大容量三層交換機S6506匯聚后連接出口路由器NE05,對外提供多種服務(wù)，并且完成與市政府各專網(wǎng)的平滑連接。其中，QuidwayS6506三層以太網(wǎng)交換機是華為公司采用當今最先進的ASIC技術(shù)自主開發(fā)的一款大容量、模塊化的二/三層線速以太網(wǎng)交換產(chǎn)品。匯聚層同時還使用兩臺華為高端路由器QuidwayNE05實現(xiàn)廣域網(wǎng)接入，其中一臺NE05與深圳市政府機關(guān)外網(wǎng)高速相連，實現(xiàn)Internet接入；另一臺NE05提供10個鎮(zhèn)的高速VPN/DDN/FR接入；QuidwayNE05路由器使用華為公司擁有完全自主知識產(chǎn)權(quán)的網(wǎng)絡(luò)操作系統(tǒng)VRP平臺，采用全分布式體系結(jié)構(gòu)，遵循電信設(shè)備標準，具有電信級可靠性，高性能，高密度，具有豐富的業(yè)務(wù)支持能力和很高的報文處理性能。一臺大容量撥號服務(wù)器A8010提供分散用戶的PSTN撥號接入，同時為每個鎮(zhèn)做撥號備份，以增強可靠性。另外，各局域網(wǎng)內(nèi)在網(wǎng)絡(luò)出口處均設(shè)置防火墻或加密機，以實現(xiàn)對數(shù)據(jù)包安全檢查及加解密任務(wù)。市帥1區(qū)各題單位101傾靈帶點分發(fā)層（匯聚層〉搖號用戶S65M*市帥1區(qū)各題單位101傾靈帶點分發(fā)層（匯聚層〉搖號用戶S65M*I區(qū)各題單位S8016NE05核心層圖4.3“外網(wǎng)”分布層網(wǎng)絡(luò)拓撲4．4外網(wǎng)接入層組網(wǎng)方案接入層主要是解決各區(qū)局級單位的接入和各鎮(zhèn)的遠端接入。在接入層，有幾個局級單位（如國土局、環(huán)保局等）通過建設(shè)局接入，在建設(shè)局采用QuidwayS5516千兆路由交換機。QuidwayS5516千兆路由交換機是華為公司面向IP城域網(wǎng)的匯聚層和大型企業(yè)或園區(qū)網(wǎng)的匯聚層推出的盒式高密度可堆疊二/三層全線速以太網(wǎng)交換機產(chǎn)品。通過提供高密度的GE端口，為IP城域網(wǎng)或者園區(qū)網(wǎng)提供GE接口的匯聚和收斂功能。QuidwayS5516是基于華為公司的VRP（通用路由平臺）網(wǎng)絡(luò)操作系統(tǒng)，提供完善的路由協(xié)議和多播協(xié)議，VLAN控制，Qos保證等機制，提供完善的業(yè)務(wù)控制和用戶管理能力，是園區(qū)網(wǎng)中心和IP城域網(wǎng)匯聚層的理想產(chǎn)品。而其它各局級單位采用華為公司S3526三層交換機進行接入。各鎮(zhèn)統(tǒng)一通過華為公司R3640E模塊化路由器進行遠程高速接入，QuidwayR3600系列路由器是華為技術(shù)有限公司自主開發(fā)的面向企業(yè)級網(wǎng)絡(luò)的產(chǎn)品。QuidwayR3600系列路由器采用模塊化結(jié)構(gòu)，和R2600系列相比，Quidway?R3600系列路由器具有更高的處理能力和更大的接入密度。Quidway?R3600系列路由器既適合于在中小型企業(yè)網(wǎng)在外網(wǎng)核心層、匯聚層和接入層采用的主要設(shè)備的所有關(guān)鍵模塊均實現(xiàn)1+1冗余，易于擴容和維護。所有模塊具備熱插拔的功能。網(wǎng)絡(luò)設(shè)備的性能參數(shù)均達到或超過“龍崗區(qū)政務(wù)信息網(wǎng)網(wǎng)絡(luò)系統(tǒng)設(shè)備清單及規(guī)格”的要求。第五章設(shè)計實現(xiàn)整個龍崗區(qū)政務(wù)信息網(wǎng)分為物理上完全隔離的“內(nèi)網(wǎng)”和“外網(wǎng)”，兩個網(wǎng)絡(luò)的整體拓撲基本一致。物理設(shè)備上，“外網(wǎng)”的設(shè)備要比“內(nèi)網(wǎng)”多，針對MPLS-VPN的模型來說，“外網(wǎng)”比“內(nèi)網(wǎng)”增加了兩臺“P設(shè)備”（NE80）,和三臺“PE設(shè)備”（IDC系統(tǒng)S8016、外聯(lián)市政府機關(guān)的NE05、區(qū)政府大院NE80下掛的S8016）。所以“內(nèi)網(wǎng)”在互聯(lián)、路由協(xié)議、IP地址劃分等方面可以在“外網(wǎng)”的基礎(chǔ)上進行適當?shù)膭h減，我們在本章“設(shè)計實現(xiàn)”中，所有內(nèi)容都以“外網(wǎng)”為網(wǎng)絡(luò)模型進行分析，具體實施過程中，“內(nèi)網(wǎng)”實施方案只需要在此基礎(chǔ)上刪減多出的部分就可以了。5．1網(wǎng)絡(luò)互聯(lián)設(shè)計各路由器之間，通過互聯(lián)接口上配置統(tǒng)一分配的IP地址進行三層互通；路由器與三層交換機之間，通過在路由器的一個物理Ethernet口上配置多個子接口，與三層交換機的trunk口相連，不同的Ethernet子接口與三層交換機的不同的Vlan三層邏輯接口互通；對于三層交換機之間，一般通過trunk相連，每個Vlan對應(yīng)的三層邏輯接口統(tǒng)一配置在核心的S8016之上，連接到各辦公大樓的S3526之上的各服務(wù)器及用戶主機的網(wǎng)管統(tǒng)一設(shè)置為S8016的三層邏輯接口地址，在S8016上終結(jié)Vlan信息。5．2網(wǎng)管設(shè)計網(wǎng)管需求通過帶內(nèi)網(wǎng)管，對全網(wǎng)的骨干交換機NE16、匯聚交換機S8016、接入交換機S3026等實現(xiàn)統(tǒng)一網(wǎng)管。具體實現(xiàn)被管理的設(shè)備地址可以根據(jù)地址規(guī)劃，劃分出一段非公網(wǎng)地址，如172.16.1.x/24。網(wǎng)管工作站直接連接到S8016上,盡量將網(wǎng)管工作站設(shè)置在可靠性高、靠近網(wǎng)絡(luò)核心的位置，這樣可以避免網(wǎng)管工作站在網(wǎng)絡(luò)的邊緣等位置，因設(shè)備或線路故障造成無法管理網(wǎng)絡(luò)。1、通過NE80的CONSOLE口為NE80配置設(shè)備的IP地址，網(wǎng)管工作站直接連接在NE80的一個端口上，將網(wǎng)管工作站網(wǎng)關(guān)的地址指向NE82、 將被管理的S8016、S3526、網(wǎng)管工作站設(shè)備劃分在同一個VLAN中（如Vlan50）,這樣交換機與網(wǎng)管工作站可以互通，能夠?qū)崿F(xiàn)對所有交換機的網(wǎng)管，并且其他設(shè)備無法直接訪問網(wǎng)管設(shè)備；3、 在本地NE80、NE05上為網(wǎng)管單獨開通一個子接口，對應(yīng)網(wǎng)管Vlan以及IP地址網(wǎng)段，網(wǎng)管工作站也能夠訪問到本地的NE80、NE05等網(wǎng)絡(luò)設(shè)備。5.2.3安全考慮1、 利用ACL過濾所有來自非網(wǎng)管工作站網(wǎng)段的SNMP報文，保證只有網(wǎng)管工作站可以與被管設(shè)備之間交互SNMP報文；2、 所有被管設(shè)備設(shè)置用戶名、口令以及權(quán)限，實現(xiàn)嚴格的授權(quán)管理。各設(shè)備的網(wǎng)管相關(guān)配置命令，請參閱各設(shè)備用戶手冊。5．3路由協(xié)議規(guī)劃網(wǎng)絡(luò)中的路由協(xié)議可以分為三個層面：各P/PE設(shè)備之間運行的路由協(xié)議；PE與CE設(shè)備之間運行的路由協(xié)議；CE設(shè)備以下的網(wǎng)絡(luò)中運行的路由協(xié)議。5?3?1各P/PE設(shè)備之間運行的路由協(xié)議該層面的路由協(xié)議中，負責在各PE設(shè)備之間傳遞VPNv4路由信息（各“私網(wǎng)”路由信息）的MP-BGP是不可替代的，在MP-BGP當中有VPNv4地址族和針對每個VRF的IPv4地址族。其中各VRF對應(yīng)的IPv4地址族的作用是負責收集本PE所連接的所有該VRF對應(yīng)的site的“私網(wǎng)”路由信息；VPNv4地址族表述的是各PE設(shè)備之間的BGP鄰居關(guān)系，主要負責在各PE設(shè)備之間傳遞、同步所有的私網(wǎng)路由信息。運行BGP的AS號需要向市政府IT部分申請。在該層面中，除MP-BGP之外，還需要運行一種IGP協(xié)議，負責各P/PE設(shè)備之間BGP鄰居的TCP連接可達性。在龍崗區(qū)政務(wù)信息網(wǎng)中，我們應(yīng)用OSPF協(xié)議，并且所有的設(shè)備統(tǒng)一運行在一個骨干區(qū)域——Area0當中。采用OSPF協(xié)議，網(wǎng)絡(luò)的適應(yīng)性好，并且統(tǒng)一運行在Area0中，有利于今后網(wǎng)絡(luò)的擴展。5.3.2PE與CE設(shè)備之間運行的路由協(xié)議根據(jù)龍崗區(qū)政務(wù)信息網(wǎng)的現(xiàn)狀，對于PE與CE設(shè)備之間的路由協(xié)議應(yīng)用可以分為兩種類型：S3526之下沒有三層匯聚設(shè)備；S3526之下有三層匯聚設(shè)備。對于沒有三層匯聚設(shè)備的單位，S8016的三層邏輯接口就是下掛各服務(wù)器和用戶主機的網(wǎng)關(guān)，S3526并沒有啟動三層轉(zhuǎn)發(fā)功能，只作為二層LanSwitch使用。這種情況下,PE對于該VRF只有直聯(lián)路由信息，所以，CE實際是一個純二層網(wǎng)絡(luò)，不需要與PE運行路由協(xié)議。對于有三層匯聚設(shè)備的單位，PE與CE設(shè)備之間運行的路由協(xié)議可以選擇靜態(tài)路由或者BGP。靜態(tài)路由比較適用于CE以下網(wǎng)絡(luò)路由條目較少，網(wǎng)絡(luò)比較簡單的情況，優(yōu)點是配置簡單，但是對網(wǎng)絡(luò)變化的適應(yīng)性較差，網(wǎng)絡(luò)信息（IP地址空間、網(wǎng)絡(luò)拓撲等）變化后，需要手工調(diào)整配置，適應(yīng)新的網(wǎng)絡(luò)情況。BGP協(xié)議適用于CE以下網(wǎng)絡(luò)路由條目較多，網(wǎng)絡(luò)比較復(fù)雜簡單的情況，他能夠自動適應(yīng)網(wǎng)絡(luò)的各種變化，但是協(xié)議的配置比靜態(tài)路由復(fù)雜，對網(wǎng)絡(luò)維護人員有一定的要求。對于這兩種方式，各單位可以根據(jù)實際情況任意選取。如果運行BGP，建議CE應(yīng)用的私有AS號如下表所示，并且在PE設(shè)備的相應(yīng)IPv4地址族中應(yīng)用“neighbourxxx.xxx.xxx.xxxremove-private-as”命令將私有AS號去處，避免該路由在傳播出區(qū)之后由于攜帶不標準的私有AS號導(dǎo)致的路由信息丟失：平湖65001布吉65002橫崗65003龍崗65004坪地65005坑梓65006坪山65007大鵬65008葵涌65009南澳650105.3.3CE設(shè)備以下網(wǎng)絡(luò)運行的路由協(xié)議對于S3526以下沒有三層匯聚設(shè)備的單位，S3526以下屬于多級交換的結(jié)構(gòu)，不涉及路由協(xié)議問題;對于S3526以下有三層匯聚設(shè)備的單位，我們建議單位內(nèi)部運行OSPF。如果三層設(shè)備在10臺以下，也只運行在一個骨干Area0中即可。除以上路由協(xié)議應(yīng)用以外，如果S3526以下有三層匯聚設(shè)備，還要考慮到，CE通過各種方式從PE獲得的路由信息如何擴散到CE以下的網(wǎng)絡(luò)當中。對于PE于CE設(shè)備之間運行靜態(tài)路由的，可以在OSPF中應(yīng)用“redistrabutestatic”命令將靜態(tài)路由發(fā)布；對于PE于CE設(shè)備之間運行BGP的，我們不能簡單的應(yīng)用在OSPF中引入BGP路由的方式，這樣會給CE以下的網(wǎng)絡(luò)造成很大的負擔。正確的方式是，將由PE學習到的路由進行聚合，在S3526上配置相應(yīng)的黑洞路由，在將這些聚合的黑洞路由（表現(xiàn)形式為靜態(tài)路由的下一跳為NULL0接口）在OSPF中應(yīng)用“redistrabutestatic”命令發(fā)布。5?4VPN規(guī)劃龍崗區(qū)政務(wù)信息網(wǎng)建成后，要求達到以下效果：區(qū)黨政機關(guān)各單位橫向上既是區(qū)委區(qū)政府的組成部門縱，向上其業(yè)務(wù)又受市對口單位的行業(yè)指導(dǎo)，并對鎮(zhèn)級對口單位進行業(yè)務(wù)指導(dǎo)。各單位是橫向區(qū)級信息網(wǎng)絡(luò)和縱向行業(yè)信息網(wǎng)絡(luò)的交叉點。對于每個獨立的單位節(jié)點來說，既有橫向部門間的信息交互，又有縱向行業(yè)部門的信息交互。縱向看，各單位用戶經(jīng)授權(quán)能訪問縱向網(wǎng)絡(luò)的相應(yīng)資源橫；向看，各單位用戶經(jīng)授權(quán)能訪問橫向網(wǎng)絡(luò)資源。因此，整個政務(wù)平臺是由多條縱向?qū)＞W(wǎng)、橫向?qū)＞W(wǎng)相聯(lián)結(jié)形成的復(fù)雜結(jié)構(gòu)應(yīng)用模式。根據(jù)以上描述分析網(wǎng)絡(luò)業(yè)務(wù)模型，整個內(nèi)網(wǎng)大概可以分為兩個層面的業(yè)務(wù)：公共辦公系統(tǒng)；各單位專有辦公系統(tǒng)。VPN1R368DE/DDN,R2t31ER2C31E接入層E政區(qū)中心城各政府辦去本分布層〔匯題VPN1R368DE/DDN,R2t31ER2C31E接入層E政區(qū)中心城各政府辦去本分布層〔匯題；〔內(nèi)剛圖5.1內(nèi)網(wǎng)橫向VPN邏輯圖其中的公共辦公系統(tǒng)可以分為“服務(wù)器群”和“用戶主機群”。其中的“服務(wù)器群”是開放性比較高的，基本可以被整個內(nèi)網(wǎng)的所有其他“服務(wù)器”和“用戶主機”訪問。而“用戶主機群”的權(quán)限較低，只可以訪問公共辦公系統(tǒng)的“服務(wù)器”。各單位專有辦公系統(tǒng)中包含的設(shè)備，需要劃分的級別較多：“系統(tǒng)內(nèi)部服務(wù)器群”、“單位內(nèi)部業(yè)務(wù)服務(wù)器群”、“機要用戶主機群”、“普通用戶主機群”。其中“系統(tǒng)內(nèi)部服務(wù)器群”可以被本系統(tǒng)內(nèi)部所有的“機要用戶主機群”和“普通用戶主機群”訪問，但是不能被其他系統(tǒng)的“普通用戶主機群”訪問。比如公檢法系統(tǒng)中檢察院的一臺系統(tǒng)服務(wù)器A,可以被檢察院本單位的所有用戶主機訪問，同時也可以被公安和法院的所有用戶主機訪問，但是不能被其他系統(tǒng)（如：地稅局）的“普通用戶主機”訪問?！皢挝粌?nèi)部辦公服務(wù)器群”可以被本單位的全部用戶主機訪問，能否被本系統(tǒng)其他單位和其他系統(tǒng)的用戶主機訪問可以靈活調(diào)整。比如檢察院的一臺公文、業(yè)務(wù)處理系統(tǒng)的服務(wù)器B，一定要被檢察院的所有用戶主機訪問，而是否能被公安、法院的用戶主機和其他系統(tǒng)（如：地稅局）的用戶主機訪問要求不像服務(wù)器A要求那樣嚴格。考慮到整個網(wǎng)絡(luò)的維護方便，我們建議各單位的辦公用服務(wù)器，只對本單位的人員開放即可，不必對本系統(tǒng)其他單位或者其他系統(tǒng)的用戶開放，如果各單位或者各系統(tǒng)工作人員之間需要傳遞公文的話，可以通過公共辦公系統(tǒng)來完成。分布層（匯MjgyS1S380EVPN/EmR2?31FR2631E接入層層分布層（匯MjgyS1S380EVPN/EmR2?31FR2631E接入層層 VPN2jQuHUjewHIf圖5.2內(nèi)網(wǎng)縱向VPN邏輯圖“機要用戶主機群”的權(quán)限相對來說是比較大的，除了能訪問本單位的所有服務(wù)器以外，還能訪問本系統(tǒng)內(nèi)的其他單位系統(tǒng)服務(wù)器和其他系統(tǒng)的系統(tǒng)服務(wù)器，而能否訪問系統(tǒng)內(nèi)其他單位和其他系統(tǒng)的公文、業(yè)務(wù)處理系統(tǒng)的服務(wù)器可以靈活調(diào)整，當然這些用戶主機是可以訪問公共辦公系統(tǒng)“服務(wù)器群”的。“普通用戶主機群”的權(quán)限要小一些，他們能夠訪問本系統(tǒng)的所有系統(tǒng)服務(wù)器，但是不能訪問其他系統(tǒng)的系統(tǒng)服務(wù)器，這也是與“機要用戶主機群”的主要差別。以上的VPN劃分對于“內(nèi)網(wǎng)”來說是比較適用的，但是對于“外網(wǎng)”來說，開放性更高，同時可以增加一個普遍開放的“服務(wù)器群”和“主機群”。這個服務(wù)器群可以被“所有”用戶訪問，如政府對民眾開放的“電子公告牌”、“政府公共網(wǎng)站”等。而“主機群”則是所有設(shè)備中權(quán)限最低的，只能用于查看公共信息，如安置在各公共場所的查詢系統(tǒng)、電子閱讀終端等。NE8VPN1NEOSES6$8016S8016分布層（VC3RJ6）A￡C10區(qū)各PSTN接AJS核心層NE8VPN1NEOSES6$8016S8016分布層（VC3RJ6）A￡C10區(qū)各PSTN接AJS核心層S3S36區(qū)各局級Quil砸eIR莊圖5.3外網(wǎng)橫向VPN邏輯圖

BE8iNEO呂ES8016分布層（匯Mfi）區(qū)"&^簸MDNjPSTNR3644)接AS326BE8iNEO呂ES8016分布層（匯Mfi）區(qū)"&^簸MDNjPSTNR3644)接AS326單位現(xiàn)Qutniev.lHE\：'VPN2J1核心層V^S3526S8016圖5.4外網(wǎng)縱向VPN邏輯圖5?5VRF命名VRF名字長度不能超過20個字符，其中需要表示出地域、單位、主機或服務(wù)器類型。建議命名法如下：中心城的公安局系統(tǒng)服務(wù)器：server_sys_ga_zxc中心城的水利局辦公服務(wù)器：server_oa_sl_zxc布吉鎮(zhèn)的地稅局機要用戶主機：user_import_ds_bj平湖鎮(zhèn)的法院普通用戶主機：user_normal_fy_ph個別單位名稱及主機或服務(wù)器類型不符合以上原則的，實施時由工程實施人員與各單位網(wǎng)絡(luò)負責人員共同商定，但是要有文字記錄，便于今后的維護和網(wǎng)絡(luò)擴展。5?6IP地址分配5.6.1總的原則整個網(wǎng)絡(luò)的IP地址分為兩個部分：設(shè)備互聯(lián)及Loopback地址（內(nèi)網(wǎng)平臺的地址）;各VPN使用的地址（內(nèi)網(wǎng)的內(nèi)部地址）。對于各VPN使用的地址，首先以業(yè)務(wù)（部門）劃分為大的網(wǎng)段，每種業(yè)務(wù)占用連續(xù)的、可聚合的一段IP地址空間；各業(yè)務(wù)內(nèi)部再以地域進行更細致的劃分。5.6.2內(nèi)網(wǎng)IP地址劃分對于各設(shè)備的Loopback地址，內(nèi)網(wǎng)的所有設(shè)備進行統(tǒng)一分配，各設(shè)備均使用32位掩碼的主機地址。核心層兩臺高性能三層交換機和R3680E、各鎮(zhèn)R2631E網(wǎng)絡(luò)邏輯結(jié)構(gòu)上屬于P/PE設(shè)備，單獨分配；區(qū)中心城黨政機關(guān)各單位的S5516、S3526在網(wǎng)絡(luò)邏輯結(jié)構(gòu)上屬于CE設(shè)備，也單獨分配。設(shè)備互聯(lián)地址統(tǒng)一采用30位掩碼的格式。S8016、Cisco6509、R3680E、R2631E屬于MPLS-VPN的“公網(wǎng)”組成部分，各設(shè)備間只需要一對互聯(lián)地址；核心三層交換機與S5516、S3526之間，根據(jù)VPN劃分的不同，需要不同的數(shù)目的互聯(lián)地址對，這部分互聯(lián)地址與“公網(wǎng)”設(shè)備的互聯(lián)地址分開，進行單獨的分配。一般情況下，S3526與核心S8016通過二層trunk口相連，不涉及互聯(lián)地址問題，但考慮到網(wǎng)絡(luò)的可擴展性，為S8016與S3526之間預(yù)留一端互聯(lián)地址空間。各VPN使用的地址，首先以業(yè)務(wù)為劃分原則對于每一項業(yè)務(wù)使用連續(xù)的、可聚合的一端地址空間，改業(yè)務(wù)內(nèi)部再以地域為原則進行更細致的劃分。比如：地稅部門首先分配到了連續(xù)的4個C類地址空間192.168.0.0?55，其中區(qū)中心城地稅大樓使用其中的前2個C,剩下的2個C分配到各鎮(zhèn)，各鎮(zhèn)根據(jù)設(shè)備數(shù)目情況使用其中的1/4個C或者1/8個C。各VPN使用的地址段分配到單位后，各單位根據(jù)實際情況，劃分為“機要用戶主機”部分和“普通用戶主機”部分，并且相同性質(zhì)的主機連接在S3526的同一個Vlan當中。這樣，“機要”與“非機要”之間互通，通過S8016在三層控制，便于整個網(wǎng)絡(luò)的互通性控制。5.6.3外網(wǎng)IP地址劃分外網(wǎng)ip地址的網(wǎng)段在與內(nèi)網(wǎng)網(wǎng)絡(luò)結(jié)構(gòu)相同的部分，應(yīng)用完全相同的ip地址網(wǎng)段，互聯(lián)地址方面，由于外網(wǎng)與內(nèi)網(wǎng)在核心層結(jié)構(gòu)上相差較大，采用同樣的互聯(lián)地址不太可能，所以在互聯(lián)地址及Loopback地址方面，根據(jù)具體的網(wǎng)絡(luò)結(jié)構(gòu)進行重新分配。5?7VLANID的分配VLAN-ID的分配方式采用“單位編號+分類編號”的編址方式，全區(qū)的單位按照公安、水利、地稅、團委等大的范圍來分不會超過40個,而我們的全線設(shè)備支持的Vian個數(shù)至少是4096個；各單位內(nèi)部根據(jù)“機要服務(wù)器”、“機要用戶”、“非機要用戶”等方式來劃分，總數(shù)不會超過10個，考慮到網(wǎng)絡(luò)的可擴展性，我們應(yīng)用2位編碼來表示單位內(nèi)部的Vian。根據(jù)以上分析單位編號和分類編號各取2位，共同組成所應(yīng)用Vian的ID值，如：水利局的編號為8,其中的中心城“機要服務(wù)器”分為第1類，那么中心城水利局的“機要服務(wù)器”應(yīng)用的VianID為：801；水利局的編號為8，其中的布吉鎮(zhèn)“普通用戶主機”分為第20類，那么布吉水利局的“普通用戶主機”應(yīng)用的VianID為：820；地稅局的編號為20，其中的平湖鎮(zhèn)“普通用戶主機”分為第16類，那么平湖地稅局的“普通用戶主機”應(yīng)用的VianID為：2016；單位編號如果小于“10”，VianID中單位編號的第一個“0”可以省略，但是分類編號的第一個“0”是不能省略的。5?8各VRF下RD、Route-target的分配RD的分配方式RD的分配原則與VianID是類似的，采用“AS號：單位編號+分類編號”的方式，其中的“AS號”為向市政府IT中心申請的合法AS號，“單位編號+分類編號”的描述方式與VianID完全相同。Route-target的分配方式Route-target的分配方式為各VRF在Route-targetexport中，只發(fā)布自身RD代表的值；而Route-targetimport中，配置所有需要與本VRF互通的其他VRF的RD值。例如：中心城的公安局“系統(tǒng)服務(wù)器群”，對應(yīng)編號為601；中心城的公安局“機要用戶主機群”，對應(yīng)編號為606；布吉公安局“普通用戶主機群”，對應(yīng)編號為612；現(xiàn)在要求，中心城“系統(tǒng)服務(wù)器群”與中心城“機要用戶主機群”、布吉“普通用戶主機群”之間都要互通，但是中心城“機要用戶主機群”與布吉“普通用戶主機群”之間不能互通。那么，對應(yīng)的VRF配值如下（假設(shè)申請到的AS號為100）：中心城公安局“系統(tǒng)服務(wù)器群”對應(yīng)VRF配置：vrfserver_sys_ga_zxcrd100:601route-targetexport100:601route-targetimport100:606route-targetimport100:612中心城公安局“機要用戶主機群”對應(yīng)VRF配置：vrfuser_import_ga_zxcrd100:606route-targetexport100:606route-targetimport100:601布吉公安局“普通用戶主機群”對應(yīng)VRF配置：vrfuser_normal_ga_bjrd100:612route-targetexport100:612route-targetimport100:6015．9實現(xiàn)實例龍崗區(qū)政務(wù)信息網(wǎng)的內(nèi)部系統(tǒng)較多，其間的互訪需求也比較復(fù)雜?，F(xiàn)在給出一個系統(tǒng)模型，代表龍崗區(qū)政務(wù)信息網(wǎng)的業(yè)務(wù)模型的一部分，給出這個模型的具體實現(xiàn)需求和實現(xiàn)方式。具體實施時，任何系統(tǒng)間的業(yè)務(wù)需求都可以仿照此模型實現(xiàn)。系統(tǒng)實現(xiàn)前提：“公網(wǎng)”鏈路聯(lián)調(diào)完畢，包括互聯(lián)鏈路，P/PE設(shè)備之間的LDP鄰居正常建立，可以為各業(yè)務(wù)專網(wǎng)提供公共的傳輸平臺。（這部分的具體實現(xiàn)方式，可以參考“附錄2華為MPLS-VPN解決方案”）業(yè)務(wù)模型包含內(nèi)容：本模型包含三個業(yè)務(wù)系統(tǒng)：公共辦公系統(tǒng)、公檢法系統(tǒng)、工商稅務(wù)系統(tǒng)；公檢法系統(tǒng)內(nèi)部有：公安局、檢察院、法院三個單位；工商稅務(wù)系統(tǒng)內(nèi)部有：工商局、稅務(wù)局兩個單位；每個單位在中心城和下屬的一個鎮(zhèn)（暫定：平湖鎮(zhèn)）中都有辦公地點，分別為：中心城辦公大樓、平湖鎮(zhèn)辦公大樓；在中心城辦公大樓中有：系統(tǒng)服務(wù)器群、單位內(nèi)部辦公服務(wù)器群、機要用戶主機群、普通用戶主機群四種類型的群體；平湖鎮(zhèn)辦公大樓中有：機要用戶主機群、普通用戶主機群兩種類型的群體，沒有服務(wù)器群；公共辦公系統(tǒng)設(shè)置在中心城，內(nèi)部有：公共辦公服務(wù)器群、公共辦公主機群兩種類型的群體；互訪要求及需求分析：首先各單位內(nèi)部，系統(tǒng)服務(wù)器需要對本系統(tǒng)所有用戶，包括“機要用戶主機群”、“普通用戶主機群”開放的同時，還需要對其他系統(tǒng)的“機要用戶主機群開放”，本單位內(nèi)部“普通用戶主機群”是不能訪問“機要用戶主機群”的。本單位的單位內(nèi)部辦公服務(wù)器群只對本單位的所有用戶，包括“機要用戶主機群”、“普通用戶主機群”開放，對系統(tǒng)內(nèi)部其他單位及其他系統(tǒng)不必開放。各鎮(zhèn)的辦公大樓內(nèi)的工作人員，與中心城的工作人員權(quán)限相同，只是所處的地理位置不同。為了簡化配置，便于理解，將各鎮(zhèn)的“機要用戶主機群”、“普通用戶主機群”對應(yīng)的VRF的RD、Route-target屬性設(shè)置成與中心城相同的。公共辦公系統(tǒng)的服務(wù)器群可以與其他業(yè)務(wù)系統(tǒng)的所有服務(wù)器群互通，同時也可以被其他業(yè)務(wù)系統(tǒng)的所有用戶訪問。用作各系統(tǒng)間傳遞公文應(yīng)用，同時也用作與市政府相應(yīng)部門傳遞公文。公共辦公系統(tǒng)的辦公主機群權(quán)限最低，只能訪問公共辦公系統(tǒng)的服務(wù)器群，估計在實際組網(wǎng)過程中，這部分主機的數(shù)目不會太多，再次體現(xiàn)主要是考慮到網(wǎng)路業(yè)務(wù)結(jié)構(gòu)的完整性。根據(jù)以上分析，各單位的不同不同類型群體互訪情況如下：中心城公安辦公大樓“系統(tǒng)服務(wù)器群”（601）：與本系統(tǒng)所有用戶群、其他系統(tǒng)機要用戶群、本單位內(nèi)部辦公服務(wù)器群、本系統(tǒng)系統(tǒng)服務(wù)器群（包括本身）、公共辦公系統(tǒng)服務(wù)器群互通（611、612、711、712、811、812、1611、1811、602、701、801、4001）中心城公安辦公大樓“內(nèi)部辦公服務(wù)器群”（602）：與本單位所有用戶群、本單位系統(tǒng)服務(wù)器群、公共辦公系統(tǒng)服務(wù)器群互通（611、612、601、4001）中心城公安辦公大樓“機要用戶主機群”（611）：與本系統(tǒng)所有機要用戶群（包括本身）、本單位內(nèi)部辦公服務(wù)器群、本系統(tǒng)系統(tǒng)服務(wù)器群、其他系統(tǒng)系統(tǒng)服務(wù)器群、公共辦公系統(tǒng)服務(wù)器群互通（711、811、602、601、701、801、1601、1801、4001）中心城公安辦公大樓“普通用戶主機群”（612）：與本單位所有普通用戶群（本身）、本單位內(nèi)部辦公服務(wù)器群、本系統(tǒng)系統(tǒng)服務(wù)器群、公共辦公系統(tǒng)服務(wù)器群互通（602、601、701、801、4001）平湖鎮(zhèn)公安辦公大樓“機要用戶主機群”（611）：與本系統(tǒng)所有機要用戶群（包括本身）、本單位內(nèi)部辦公服務(wù)器群、本系統(tǒng)系統(tǒng)服務(wù)器群、其他系統(tǒng)系統(tǒng)服務(wù)器群、公共辦公系統(tǒng)服務(wù)器群互通（711、811、602、601、701、801、1601、1801、4001）平湖鎮(zhèn)公安辦公大樓“普通用戶主機群”（612）：與本單位所有普通用戶群（本身）、本單位內(nèi)部辦公服務(wù)器群、本系統(tǒng)系統(tǒng)服務(wù)器群、公共辦公系統(tǒng)服務(wù)器群互通（602、601、701、801、4001）中心城檢察院辦公大樓“系統(tǒng)服務(wù)器群”（701）：與本系統(tǒng)所有用戶群、其他系統(tǒng)機要用戶群、本單位內(nèi)部辦公服務(wù)器群、本系統(tǒng)系統(tǒng)服務(wù)器群（包括本身）、公共辦公系統(tǒng)服務(wù)器群互通（611、612、711、712、811、8121611、1811、702、601、801、4001）中心城檢察院辦公大樓“內(nèi)部辦公服務(wù)器群”（702）：與本單位所有用戶群、本單位系統(tǒng)服務(wù)器群、公共辦公系統(tǒng)服務(wù)器群互通（711、712、701、4001）中心城檢察院辦公大樓“機要用戶主機群”（711）：與本系統(tǒng)所有機要用戶群（包括本身）、本單位內(nèi)部辦公服務(wù)器群、本系統(tǒng)系統(tǒng)服務(wù)器群、其他系統(tǒng)系統(tǒng)服務(wù)器群、公共辦公系統(tǒng)服務(wù)器群互通（611、811、702、601、701、801、1601、1801、4001）中心城檢察院辦公大樓“普通用戶主機群”（712）：與本單位所有普通用戶群（本身）、本單位內(nèi)部辦公服務(wù)器群、本系統(tǒng)系統(tǒng)服務(wù)器群、公共辦公系統(tǒng)服務(wù)器群互通（702、601、701、801、4001）平湖鎮(zhèn)檢察院辦公大樓“機要用戶主機群”（711）：與本系統(tǒng)所有機要用戶群（包括本身）、本單位內(nèi)部辦公服務(wù)器群、本系統(tǒng)系統(tǒng)服務(wù)器群、其他系統(tǒng)系統(tǒng)服務(wù)器群、公共辦公系統(tǒng)服務(wù)器群互通（611、811、702、601、701、801、1601、1801、4001）平湖鎮(zhèn)檢察院辦公大樓“普通用戶主機群”（712）：與本單位所有普通用戶群（本身）、本單位內(nèi)部辦公服務(wù)器群、本系統(tǒng)系統(tǒng)服務(wù)器群、公共辦公系統(tǒng)服務(wù)器群互通（702、601、701、801、4001）中心城法院辦公大樓“系統(tǒng)服務(wù)器群”（801）：與本系統(tǒng)所有用戶群、其他系統(tǒng)機要用戶群、本單位內(nèi)部辦公服務(wù)器群、本系統(tǒng)系統(tǒng)服務(wù)器群（包括本身）、公共辦公系統(tǒng)服務(wù)器群互通（611、612、711、712、811、8121611、1811、802、601、701、4001）中心城法院辦公大樓“內(nèi)部辦公服務(wù)器群”（802）：與本單位所有用戶群、本單位系統(tǒng)服務(wù)器群、公共辦公系統(tǒng)服務(wù)器群互通（811、812、801、4001）中心城法院辦公大樓“機要用戶主機群”（811）：與本系統(tǒng)所有機要用戶群（包括本身）、本單位內(nèi)部辦公服務(wù)器群、本系統(tǒng)系統(tǒng)服務(wù)器群、其他系統(tǒng)系統(tǒng)服務(wù)器群、公共辦公系統(tǒng)服務(wù)器群互通（611、711、802、601、701、801、1601、1801、4001）中心城法院辦公大樓“普通用戶主機群”（812）：與本單位所有普通用戶群（本身）、本單位內(nèi)部辦公服務(wù)器群、本系統(tǒng)系統(tǒng)服務(wù)器群、公共辦公系統(tǒng)服務(wù)器群互通（802、601、701、801、4001）平湖鎮(zhèn)法院辦公大樓“機要用戶主機群”（811）：與本系統(tǒng)所有機要用戶群（包括本身）、本單位內(nèi)部辦公服務(wù)器群、本系統(tǒng)系統(tǒng)服務(wù)器群、其他系統(tǒng)系統(tǒng)服務(wù)器群、公共辦公系統(tǒng)服務(wù)器群互通（611、711、802、601、701、801、1601、1801、4001）平湖鎮(zhèn)法院辦公大樓“普通用戶主機群”（812）：與本單位所有普通用戶群（本身）、本單位內(nèi)部辦公服務(wù)器群、本系統(tǒng)系統(tǒng)服務(wù)器群、公共辦公系統(tǒng)服務(wù)器群互通（802、601、701、801、4001）中心城工商局辦公大樓“系統(tǒng)服務(wù)器群”（1601）：與本系統(tǒng)所有用戶群、其他系統(tǒng)機要用戶群、本單位內(nèi)部辦公服務(wù)器群、本系統(tǒng)系統(tǒng)服務(wù)器群（包括本身）、公共辦公系統(tǒng)服務(wù)器群互通（1611、1612、1811、1812、611、711、811、1602、1801、4001）中心城工商局辦公大樓“內(nèi)部辦公服務(wù)器群”（1602）：與本單位所有用戶群、本單位系統(tǒng)服務(wù)器群、公共辦公系統(tǒng)服務(wù)器群互通（1611、1612、1601、4001）中心城工商局辦公大樓“機要用戶主機群”（1611）：與本系統(tǒng)所有機要用戶群（包括本身）、本單位內(nèi)部辦公服務(wù)器群、本系統(tǒng)系統(tǒng)服務(wù)器群、其他系統(tǒng)系統(tǒng)服務(wù)器群、公共辦公系統(tǒng)服務(wù)器群互通（1811、1602、1601、1801、601、701、801、4001）中心城工商局辦公大樓“普通用戶主機群”（1612）：與本單位所有普通用戶群（本身）、本單位內(nèi)部辦公服務(wù)器群、本系統(tǒng)系統(tǒng)服務(wù)器群、公共辦公系統(tǒng)服務(wù)器群互通（1602、1601、1801、4001）平湖鎮(zhèn)工商局辦公大樓“機要用戶主機群”（1611）：與本系統(tǒng)所有機要用戶群（包括本身）、本單位內(nèi)部辦公服務(wù)器群、本系統(tǒng)系統(tǒng)服務(wù)器群、其他系統(tǒng)系統(tǒng)服務(wù)器群、公共辦公系統(tǒng)服務(wù)器群互通（1811、1602、1601、1801、601、701、801、4001）平湖鎮(zhèn)工商局辦公大樓“普通用戶主機群”（1612）：與本單位所有普通用戶群（本身）、本單位內(nèi)部辦公服務(wù)器群、本系統(tǒng)系統(tǒng)服務(wù)器群、公共辦公系統(tǒng)服務(wù)器群互通（1602、1601、1801、4001）中心城稅務(wù)局辦公大樓“系統(tǒng)服務(wù)器群”（1801）：與本系統(tǒng)所有用戶群、其他系統(tǒng)機要用戶群、本單位內(nèi)部辦公服務(wù)器群、本系統(tǒng)系統(tǒng)服務(wù)器群（包括本身）、公共辦公系統(tǒng)服務(wù)器群互通（1611、1612、1811、1812、611、711、811、1802、1601、4001）中心城稅務(wù)局辦公大樓“內(nèi)部辦公服務(wù)器群”（1802）：與本單位所有用戶群、本單位系統(tǒng)服務(wù)器群、公共辦公系統(tǒng)服務(wù)器群互通（1811、1812、1801、4001）中心城稅務(wù)局辦公大樓“機要用戶主機群”（1811）：與本系統(tǒng)所有機要用戶群（包括本身）、本單位內(nèi)部辦公服務(wù)器群、本系統(tǒng)系統(tǒng)服務(wù)器群、其他系統(tǒng)系統(tǒng)服務(wù)器群、公共辦公系統(tǒng)服務(wù)器群互通（1611、1802、1601、1801601、701、801、4001）中心城稅務(wù)局辦公大樓“普通用戶主機群”（1812）：與本單位所有普通用戶群（本身）、本單位內(nèi)部辦公服務(wù)器群、本系統(tǒng)系統(tǒng)服務(wù)器群、公共辦公系統(tǒng)服務(wù)器群互通（1802、1601、1801、4001）平湖鎮(zhèn)稅務(wù)局辦公大樓“機要用戶主機群”（1811）：與本系統(tǒng)所有機要用戶群（包括本身）、本單位內(nèi)部辦公服務(wù)器群、本系統(tǒng)系統(tǒng)服務(wù)器群、其他系統(tǒng)系統(tǒng)服務(wù)器群、公共辦公系統(tǒng)服務(wù)器群互通（1611、1802、1601、1801601、701、801、4001）平湖鎮(zhèn)稅務(wù)局辦公大樓“普通用戶主機群”（1812）：與本單位所有普通用戶群（本身）、本單位內(nèi)部辦公服務(wù)器群、本系統(tǒng)系統(tǒng)服務(wù)器群、公共辦公系統(tǒng)服務(wù)器群互通（1802、1601、1801、4001）中心城“公共辦公系統(tǒng)服務(wù)器群”（4001）：與所有服務(wù)器群和用戶群相通（601、602、701、702、801、802、1601、1602、1801、1802、611、612、711、712、811、812、1611、1612、1811、1812、4002）；中心城“公共辦公系統(tǒng)主機群”（4002）：只與公共辦公系統(tǒng)服務(wù)器群相通（4001）；如果考慮各S3526以下只有二層交換機或者直接連接主機的話，只需要對外發(fā)布直聯(lián)路由信息即可，那么對應(yīng)各節(jié)點的PE設(shè)備上，全局VRF、MBGP的配置如下：中心城PE（S8016）配置：vrfserver_sys_ga_zxcrd100:601route-targetexport100:601route-targetimport100:611route-targetimport100:612route-targetimport100:711route-targetimport100:712route-targetimport100:811route-targetimport100:812route-targetimport100:1611route-targetimport100:1811route-targetimport100:602route-targetimport100:701route-targetimport100:801route-targetimport100:4001!vrfserver_oa_ga_zxcrd100:602route-targetexport100:602route-targetimport100:611route-targetimport100:612route-targetimport100:601route-targetimport100:4001!vrfuser_import_ga_zxcrd100:611route-targetexport100:611route-targetimport100:711route-targetimport100:811route-targetimport100:602route-targetimport100:601route-targetimport100:701route-targetimport100:801route-targetimport100:1601route-targetimport100:1801route-targetimport100:4001!vrfuser_normal_ga_zxcrd100:612route-targetexport100:612route-targetimport100:602route-targetimport100:601route-targetimport100:701route-targetimport100:801route-targetimport100:4001!!vrfserver_sys_jcy_zxcrd100:701route-targetexport100:701route-targetimport100:611route-targetimport100:612route-targetimport100:711route-targetimport100:712route-targetimport100:811route-targetimport100:812route-targetimport100:1611route-targetimport100:1811route-targetimport100:702route-targetimport100:601route-targetimport100:801route-targetimport100:4001!vrfserver_oa_jcy_zxcrd100:702route-targetexport100:702route-targetimport100:711route-targetimport100:712route-targetimport100:701route-targetimport100:4001!vrfuser_import_jcy_zxcrd100:711route-targetexport100:711route-targetimport100:611route-targetimport100:811route-targetimport100:702route-targetimport100:601route-targetimport100:701route-targetimport100:801route-targetimport100:1601route-targetimport100:1801route-targetimport100:4001!vrfuser_normal_jcy_zxcrd100:712route-targetexport100:712route-targetimport100:702route-targetimport100:601route-targetimport100:701route-targetimport100:801route-targetimport100:4001!!vrfserver_sys_fy_zxcrd100:801route-targetexport100:801route-targetimport100:611route-targetimport100:612route-targetimport100:711route-targetimport100:712route-targetimport100:811route-targetimport100:812route-targetimport100:1611route-targetimport100:1811route-targetimport100:802route-targetimport100:601route-targetimport100:701route-targetimport100:4001!vrfserver_oa_fy_zxcrd100:802route-targetexport100:802route-targetimport100:811route-targetimport100:812route-targetimport100:801route-targetimport100:4001!vrfuser_import_fy_zxcrd100:811route-targetexport100:811route-targetimport100:611route-targetimport100:711route-targetimport100:802route-targetimport100:601route-targetimport100:701route-targetimport100:801route-targetimport100:1601route-targetimport100:1801route-targetimport100:4001!vrfuser_normal_fy_zxcrd100:812route-targetexport100:812route-targetimport100:802route-targetimport100:601route-targetimport100:701route-targetimport100:801route-targetimport100:4001!!vrfserver_sys_gsj_zxc