1、网络工程规划与设计电子政务网络架构电子政务网络架构网络工程规划与设计2目录目录1 1、电子政务建设概述、电子政务建设概述2 2、网络架构详细分析、网络架构详细分析 3 3、政务网络案例分析、政务网络案例分析网络工程规划与设计3电子政务建设的目标定位电子政务建设的目标定位 G2G G2C G2E G2B网络工程规划与设计4目录目录1 1、电子政务建设概述、电子政务建设概述2 2、网络架构详细分析、网络架构详细分析 广域网架构分析广域网架构分析 城域网架构分析城域网架构分析 局局域网架构分析域网架构分析3 3、政务网络案例分析、政务网络案例分析网络工程规划与设计5广域网建设的关注点广域网建设的关注
2、点网络工程规划与设计6县国土县国土 县林业县林业 县水利县水利 国土局国土局 林业局林业局 水利局水利局 林业厅林业厅 水利厅水利厅 省直省直 省直省直 国土厅国土厅 省直省直 2.5G RPR2.5G RPRGEGE地市州EIN N2M2MN N2M2MCPOSFEFEGEGEFE地市州地市州XX县XX县地市城域网汇聚地市城域网汇聚(PE)(PE)(PE)(PE)(PE)(PE)(P)(P)(P)(P)(P)(P)(P)(P)(P)(P)(P)(P)(P)(P)(P)(P)(PE)(PE)(PE)(PE)(CE)(CE)(CE)(CE)(CE)(CE)(CE)(CE)(CE)(CE)(CE)
3、(CE)(PE)(PE)(PE)(PE)(PE)(PE)(CE)(CE)(CE)(CE)(CE)(CE)(CE)(CE)城域网城域网广域网广域网关注点关注点1 1MPLS VPNMPLS VPN网络工程规划与设计7关注点关注点1 1MPLS VPNMPLS VPN省工商省工商省税务省税务10.0.1.0/2410.0.1.0/2410.0.1.0/2410.0.1.0/24CECEMCE/PMCE/PE EPEPEPEPE政务网政务网地市工商地市工商10.0.2.0/2410.0.2.0/24内部服务器内部服务器地市税务地市税务10.0.2.0/2410.0.2.0/24CECEPEPE内部服
4、务器内部服务器PEPE纵向纵向VPN子接口子接口MCE/PMCE/PE E网络工程规划与设计8PEPEPEPEPEPERTRTIMPORT 100:1IMPORT 100:1EXPORT 200:1EXPORT 200:1RTRTIMPORT 200:1IMPORT 200:1EXPORT 100:1EXPORT 100:1RTRTIMPORT 200:1IMPORT 200:1EXPORT 100:1EXPORT 100:1RTRTIMPORT 200:1IMPORT 200:1EXPORT 100:1EXPORT 100:1HUBHUBSPOKESPOKESPOKESPOKESPOKESP
5、OKEPEPE省厅省厅A A市局市局B B市局市局C C市局市局关注点关注点1 1MPLS VPNMPLS VPN网络工程规划与设计9某部门省厅连接在某部门省厅连接在PE1PE1上上,各地市局分别连接到各地市局分别连接到PE2PE2、PE3PE3上。由于上。由于BGP/MPLS VPNBGP/MPLS VPN是由是由PEPE与与CECE接口的接口的VRFVRF上配置的相应上配置的相应RTRT来决定路由关系的,因此在省厅连接的来决定路由关系的,因此在省厅连接的PE1PE1相应相应VRFVRF上配置上配置RTRT值使该值使该VRFVRF可接收来自可接收来自A A市局、市局、B B市局、市局、C C
6、市局的路由,并将自己的路由发送市局的路由,并将自己的路由发送到到A A市局、市局、B B市局、市局、C C市局。在各市局市局。在各市局PEPE上配置上配置RTRT,使市局只能与省局交换路由而不能,使市局只能与省局交换路由而不能与其他市局直接交换路由。与其他市局直接交换路由。优点:省局集中控制优点:省局集中控制VPNVPN内的通信,可通过路由过滤的方式禁止市局间的直接通信,内的通信,可通过路由过滤的方式禁止市局间的直接通信,保障保障VPNVPN内的可控性和安全性。如在内的可控性和安全性。如在A A局病毒爆发时,可在省厅处通过路由将该市局局病毒爆发时,可在省厅处通过路由将该市局隔离,避免病毒蔓延。
7、隔离,避免病毒蔓延。缺点:一是省局成为单点故障,一旦省局连接的缺点:一是省局成为单点故障,一旦省局连接的PE1PE1发生故障,各市局间将不能正常发生故障,各市局间将不能正常通信。二是市局间数据交换集中在省厅所在通信。二是市局间数据交换集中在省厅所在PEPE上,增加了上,增加了PEPE的压力。的压力。由于目前各部门纷纷采用数据大集中的数据交换模式,市局间的数据交换比较少,由于目前各部门纷纷采用数据大集中的数据交换模式,市局间的数据交换比较少,因此比较适合采用该模式。因此比较适合采用该模式。关注点关注点1 1MPLS VPNMPLS VPN网络工程规划与设计10某部门省厅连接在某部门省厅连接在PE
8、1PE1上上,各地市局分别连接到各地市局分别连接到PE2PE2、PE3PE3上。由于上。由于BGP/MPLS BGP/MPLS VPNVPN是由是由PEPE与与CECE接口的接口的VRFVRF上配置的相应上配置的相应RTRT来决定路由关系的,因此在省厅和来决定路由关系的,因此在省厅和各市局连接的各市局连接的PEPE相应相应VRFVRF上配置上配置RTRT值使该值使该VRFVRF可接收来自其余市局的路由,即可接收来自其余市局的路由,即省厅和各市局完全处于对等状态,相互之间完全可以交互路由信息。省厅和各市局完全处于对等状态,相互之间完全可以交互路由信息。优点:无单点故障,无性能瓶颈。优点:无单点故
9、障,无性能瓶颈。缺点:无法做到集中控制,安全性不高。缺点:无法做到集中控制,安全性不高。关注点关注点1 1MPLS VPNMPLS VPN网络工程规划与设计11关注点关注点2 2MPLS VPNMPLS VPN跨域跨域要求要求ASBRASBR设备为每个跨域的设备为每个跨域的VPNVPN分配子接口,因此可以可以实现跨域的流量监管,分配子接口,因此可以可以实现跨域的流量监管,实现对每个实现对每个VPNVPN的计费,但是对的计费,但是对ASBRASBR压力非常大,并且压力非常大,并且PEPE设备需要维护跨域设备需要维护跨域VPNVPN的路由,可管理性和可扩展性较差;的路由,可管理性和可扩展性较差;网
10、络工程规划与设计12关注点关注点2 2MPLS VPNMPLS VPN跨域跨域对对ASBRASBR压力最小,但由于需要建立压力最小,但由于需要建立PEPE间跨域的间跨域的LSPLSP,因此可管理性也比较差。,因此可管理性也比较差。网络工程规划与设计13关注点关注点2 2MPLS VPNMPLS VPN跨域跨域对对ASBRASBR压力也比较大,但可以通过压力也比较大,但可以通过ASBRASBR扩容来解决,没有扩容来解决,没有PEPE设备跨域设备跨域VPNVPN路由维路由维护问题,因此适用范围较广;护问题,因此适用范围较广;网络工程规划与设计14A A省厅网络省厅网络B B省厅网络省厅网络A A市
11、局网络市局网络B B市局网络市局网络CCE ECCE ECCE ECCE EPEPEPEPEP PP PP PP P在IP网络上,为了对不同业务提供不同的服务,主要是利用IP报文头部的TOS域来进行标记。根据TOS域来决定报文的转发行为PE在给报文加Label时,把IP报文携带的IP优先级标记映射到标签的EXP域,这样原来由IP携带的服务类型信息现在由标签携带由于P路由器不会检查内层MPLS标签,所以这个IP报文携带的IP优先级标记也必需映射到外层标签的EXP域。为了支持端到端QOS,每个LSP通过EXP域可以支持多达8种不同等级的业务为了支持端到端QOS,每个LSP通过EXP域可以支持多达8
12、种不同等级的业务PE在去掉报文Label时,把标签的EXP域映射到IP报文携带的IP优先级标记上。这样原来由标签携带的服务类型信息现在由IP优先级标记携带关注点关注点3 3端到端端到端QOSQOS网络工程规划与设计15网络流量监控网络流量监控网络应用分布网络应用分布网络瓶颈分析网络瓶颈分析服务质量监控服务质量监控网络故障分析网络故障分析流量异常告警流量异常告警关注点关注点4 4网络流量统计分析网络流量统计分析网络工程规划与设计16目录目录1 1、电子政务建设概述、电子政务建设概述2 2、网络架构详细分析、网络架构详细分析 广域网架构分析广域网架构分析 城域网架构分析城域网架构分析 局局域网架构
13、分析域网架构分析3 3、政务网络案例分析、政务网络案例分析网络工程规划与设计17城域网建设的关注点城域网建设的关注点网络工程规划与设计18ABCD拥塞1000M1000M1000M关键业务带宽保证(公平算法RPR-fa)带宽共享,为提高带宽利用率,建立公平机带宽共享,为提高带宽利用率,建立公平机制制 公平算法是全局的、基于整个环网级别的公平算法是全局的、基于整个环网级别的 通过监测流量、反压机制实现通过监测流量、反压机制实现 带宽管理可保证高优先级数据和控制无阻塞带宽管理可保证高优先级数据和控制无阻塞 可通过设置节点的权重,实现加权公平可通过设置节点的权重,实现加权公平关注点关注点1 1RPR
14、RPR环网环网网络工程规划与设计19华为华为3COM3COM的的IPIP环网综合两种倒换方式的优点,采取两者相结合的方式,先环网综合两种倒换方式的优点,采取两者相结合的方式,先WrappingWrapping后后SteeringSteering,达到最优的保护性能。,达到最优的保护性能。ABCDEFABCDEFABCDEF正常情况下数据传送正常情况下数据传送故障顺利立即启用故障顺利立即启用Wrap方式的保护方式的保护拓扑结构稳定后切换到拓扑结构稳定后切换到Steering方式方式WrapWrap绕回方式,在故障边节点绕回方式,在故障边节点处自动环回。处自动环回。特点:速度快,基本无数据丢特点:
15、速度快,基本无数据丢失,缺点是浪费带宽。失,缺点是浪费带宽。SteeringSteering抄近方式,更改拓扑,抄近方式,更改拓扑,重新计算路由。重新计算路由。特点:速度慢,带宽利用高,但特点:速度慢,带宽利用高,但可能有数据丢失。可能有数据丢失。关注点关注点1 1RPRRPR环网环网网络工程规划与设计20省政府省政府市政府市政府区县政府区县政府省工商局省工商局市工商局市工商局区县工商局区县工商局省劳动厅省劳动厅市劳动局市劳动局区县劳动局区县劳动局纵向网络结构纵向网络结构横向网络结构横向网络结构横向网络:信息共享,跨部门协作横向网络:信息共享,跨部门协作纵向网络:业务运作,行业管理与监管纵向网
16、络:业务运作,行业管理与监管 政务网政务网 MPLS VPN MPLS VPN 关注点关注点2 2MPLS VPNMPLS VPN网络工程规划与设计21工商工商10.0.1.0/2410.0.1.0/24MCEMCE政务网政务网前置机前置机160.0.4.1/24160.0.4.1/24税务税务10.0.1.0/2410.0.1.0/24CECE前置机前置机160.0.1.1/24160.0.1.1/24内部服务器内部服务器10.0.1.110.0.1.1PEPEPEPEPEPE内部服务器内部服务器10.0.1.110.0.1.1注释注释:资源共享区前置机为一个共享资源共享区前置机为一个共享V
17、PN,VPN,其它职能部门前置机分别其它职能部门前置机分别为独立的为独立的VPNVPN为保证安全性,前置机与内部为保证安全性,前置机与内部服务通过网闸进行数据交换服务通过网闸进行数据交换各业务部门数据通过前置机上各业务部门数据通过前置机上传到资源共享中心的数据库中传到资源共享中心的数据库中优势:采集的信息数据在政务优势:采集的信息数据在政务外网上以外网上以VPNVPN的方式传递,保的方式传递,保障了数据的安全性障了数据的安全性前置前置VPNVPN子接口子接口资源共享中心资源共享中心数据库数据库前置机前置机160.0.2.1/24160.0.2.1/24共享资源网站入口共享资源网站入口160.0
18、.3.1/24160.0.3.1/24前置前置VPNVPN子接口子接口公共前置公共前置VPNVPN子接子接口口PEPE关注点关注点2 2MPLS VPNMPLS VPNFWFW数据库数据库 数据库数据库 数据库数据库集中式互访集中式互访网络工程规划与设计22注释注释:职能部门前置机分别为独立的职能部门前置机分别为独立的VPNVPN优势:采集的信息数据在政务优势:采集的信息数据在政务外网上以外网上以VPNVPN的方式传递,保障的方式传递,保障了数据的安全性,通过了数据的安全性,通过RTRT的灵的灵活控制,实现不同职能部门前活控制,实现不同职能部门前置机的受控互访置机的受控互访集中式和分布式不是对
19、立的,集中式和分布式不是对立的,而是互补的关系而是互补的关系工商工商10.0.1.0/2410.0.1.0/24政务网政务网前置机前置机160.0.2.1/24160.0.2.1/24税务税务10.0.1.0/2410.0.1.0/24CECE前置机前置机160.0.1.1/24160.0.1.1/24工商信用服务工商信用服务器器10.0.1.110.0.1.1PEPE内部服务器内部服务器10.0.1.110.0.1.1前置前置VPNVPN子接口子接口前置前置VPNVPN子接口子接口PEPEPEPE前置机前置机160.0.3.1/24160.0.3.1/24财政财政10.0.1.0/2410.
20、0.1.0/24CECE内部服务器内部服务器10.0.1.110.0.1.1前置前置VPNVPN子接口子接口MCEMCE关注点关注点2 2MPLS VPNMPLS VPN分布式互访分布式互访网络工程规划与设计23政务外网政务外网工商工商10.0.1.0/2410.0.1.0/24CECE门户网站门户网站160.0.3.1税务税务10.0.1.0/2410.0.1.0/24CECE门户网站门户网站160.0.1.1160.0.1.1内部服务器内部服务器10.0.1.110.0.1.1PEPEPEPEInternet vpn子接口子接口PEPEInternetInternet公众服务中心公众服务中
21、心数据库数据库对外发布门户网对外发布门户网站站DNSDNSInternet vpn子接口子接口Internet vpn子接口子接口数据库数据库数据库数据库MCEMCEInternet vpn子接口子接口PEPE防火墙可能防火墙可能执行一对一执行一对一NATNAT操作操作关注点关注点2 2MPLS VPNMPLS VPN公众访问公众访问1网络工程规划与设计24注释注释:所有对公众提供访问的所有对公众提供访问的WEBWEB服务器放到一个服务器放到一个Internet VPNInternet VPN,政务外网出口防火墙作为政务外网出口防火墙作为CECE设备设备此方式适合门户网站采用此方式适合门户网站
22、采用ISPISP分配的地址分配的地址优势:实现简单,一个大的优势:实现简单,一个大的VPNVPN DNS DNS规划简单规划简单劣势:政府部门访问政务外网门劣势:政府部门访问政务外网门 户网站产生迂回路由,增加户网站产生迂回路由,增加 防火墙负担防火墙负担网络工程规划与设计25政务外网政务外网工商工商10.0.1.0/2410.0.1.0/24CECE门户网站门户网站160.0.3.1税务税务10.0.1.0/2410.0.1.0/24CECE门户网站门户网站160.0.1.1160.0.1.1内部服务器内部服务器10.0.1.110.0.1.1PEPEPEPE公网子接口公网子接口防火墙可能执
23、行一对一防火墙可能执行一对一NATNAT操作操作PEPEInternetInternet注释注释:传统实现方式传统实现方式优势:政府部门访问政务外网不优势:政府部门访问政务外网不 产生迂回路由产生迂回路由劣势:如果采用劣势:如果采用ISPISP分配的地址,分配的地址,DNSDNS规划复杂规划复杂公众服务中心公众服务中心数据库数据库对外发布门户网对外发布门户网站站DNSDNS公网子接口公网子接口公网子接口公网子接口数据库数据库数据库数据库MCEMCEPEPE关注点关注点2 2MPLS VPNMPLS VPN公众访问公众访问2网络工程规划与设计26政务外网政务外网工商工商10.0.1.0/2410
24、.0.1.0/24CECE门户网站门户网站160.0.3.1税务税务10.0.1.0/2410.0.1.0/24CECE门户网站门户网站160.0.1.1160.0.1.1内部服务器内部服务器10.0.1.110.0.1.1PEPE公网子接口公网子接口防火墙可能执防火墙可能执行二次行二次NATNAT操作操作PEPEInternetInternet公众服务中心公众服务中心数据库数据库对外发布门户网站对外发布门户网站DNSDNS公网子接口公网子接口公网子接口公网子接口数据库数据库数据库数据库MCEMCEPEPEPEPE纵向纵向VPN子接口子接口PE设备必须执行设备必须执行NAT转换转换防火墙可执行
25、防火墙可执行NAT转换这时转换这时不用不用PE执行执行NAT操作操作关注点关注点2 2MPLS VPNMPLS VPN内部访问内部访问Internet网络工程规划与设计27政务外网政务外网税务税务10.0.1.0/2410.0.1.0/24CECE数据中心数据中心门户网门户网站托管站托管公众服务区公众服务区PEPEPEPE公网子接口公网子接口PEPE注释注释:门户网站分配两个门户网站分配两个IPIP地址,一地址,一个为纵向网私有地址,用于加个为纵向网私有地址,用于加入纵向入纵向VPNVPN,进行维护。一个,进行维护。一个为政务外网为政务外网IPIP地址,用于提供地址,用于提供公共服务,门户网站
26、主机两网公共服务,门户网站主机两网卡间不能起路由协议卡间不能起路由协议门户网门户网站托管站托管门户网门户网站托管站托管门户网门户网站托管站托管PEPEPEPE纵向纵向VPN子接口子接口防火墙可能执行防火墙可能执行NAT-PT操作操作私网私网IP10.0.2.1/28政务外网政务外网IP160.0.1.1/28维护数据流维护数据流Internet访问流量访问流量关注点关注点2 2MPLS VPNMPLS VPN托管网站维护托管网站维护网络工程规划与设计28政务外网政务外网前置服务器前置服务器160160。0 0。1 1。1 11010。0 0。1 1。1 1门户网站门户网站160160。0 0。
27、2 2。1 11010。0 0。1 1。2 210.0.1.0/2410.0.1.0/24用户侧用户侧公网子接口公网子接口前置前置VPN子接口子接口纵向纵向VPN子接口子接口MCEMCEPEPE关注点关注点2 2MPLS VPNMPLS VPN接入方式接入方式MCE网络工程规划与设计29注释注释:路由多实例设备(路由多实例设备(MCEMCE)通过多个子接口上联到)通过多个子接口上联到PEPE设备,其中公网子设备,其中公网子接口用于其余用户访问门户网站,纵向接口用于其余用户访问门户网站,纵向VPNVPN子接口用于纵向系统访问,子接口用于纵向系统访问,前置前置VPNVPN子接口用于访问前置机。路由
28、多实例完成安全隔离的功能。子接口用于访问前置机。路由多实例完成安全隔离的功能。纵向用户访问公网通过纵向纵向用户访问公网通过纵向VPNVPN子接口,此时需要子接口,此时需要PEPE设备设备VRFVRF表设置表设置多条静态路由指向发布公众服务的多条静态路由指向发布公众服务的PEPE设备,缺省路由指向设备,缺省路由指向InternetInternet网网关关PEPE。纵向用户访问政府资源共享业务通过纵向纵向用户访问政府资源共享业务通过纵向VPNVPN子接口访问。子接口访问。前置服务器和门户网站各分配两个前置服务器和门户网站各分配两个IPIP地址,公有地址,公有IPIP用于政务外网互用于政务外网互访,
29、私有访,私有IPIP为纵向网中地址,用于设备维护,前置服务器和门户网站为纵向网中地址,用于设备维护,前置服务器和门户网站两网卡间不能启用路由协议两网卡间不能启用路由协议PEPE完成完成NATNAT多实例操作多实例操作网络工程规划与设计30此种方式适用于用户侧与政务外网相连链此种方式适用于用户侧与政务外网相连链路不支持子接口链路。路不支持子接口链路。采用采用HOPEHOPE解决方案,政务外网解决方案,政务外网PEPE设备为设备为SPESPE,用户侧设备为,用户侧设备为UPEUPE。SPESPE维护其通过维护其通过UPEUPE连接的连接的VPNVPN所有路由,所有路由,包括本地和远程包括本地和远程
30、SiteSite的路由,但的路由,但SPESPE不发不发布远程布远程SiteSite的路由给的路由给UPEUPE,只发布,只发布VPNVPN实例实例的缺省路由或聚合路由给的缺省路由或聚合路由给UPEUPE。UPEUPE维护其直接相连的维护其直接相连的VPN SiteVPN Site的路由,的路由,但不维护但不维护VPNVPN中其它远程中其它远程SiteSite的路由或仅的路由或仅维护它们的聚合路由。维护它们的聚合路由。UPEUPE为其直接相连为其直接相连的的SiteSite的路由分配内层标签,并通过的路由分配内层标签,并通过MP-MP-BGPBGP随随VPNVPN路由发布此标签给路由发布此标签
31、给SPESPE。NATNAT操作可以发生在操作可以发生在SPESPE设备,也可以发设备,也可以发生在生在UPEUPE设备。设备。其它与其它与MCEMCE接入方式一致。接入方式一致。政务外网政务外网前置服务器前置服务器160160。0 0。1 1。1 11010。0 0。1 1。1 1门户网站门户网站160160。0 0。2 2。1 11010。0 0。1 1。2 210.0.1.0/2410.0.1.0/24用户侧用户侧公网子接口公网子接口前置前置VPN子接口子接口纵向纵向VPN子接口子接口SPSPE EUPEUPE接入方式接入方式UPE关注点关注点2 2MPLS VPNMPLS VPN网络工
32、程规划与设计31政务外网政务外网注释注释:防火墙采用子接防火墙采用子接口的方式上联到口的方式上联到PEPE设备设备用户侧上行流量用户侧上行流量理论上可以访问理论上可以访问任何信息资源任何信息资源下行流量只允许下行流量只允许纵向纵向VPNVPN的流量的流量通过。通过。防火墙可执行防火墙可执行NATNAT操作。操作。前置服务器前置服务器160160。0 0。1 1。1 11010。0 0。1 1。1 1门户网站门户网站160160。0 0。2 2。1 11010。0 0。1 1。2 210.0.1.0/2410.0.1.0/24用户侧用户侧公网子接口公网子接口前置前置VPN子接口子接口纵向纵向VP
33、N子接口子接口PEPECECE接入方式防火墙接入方式防火墙关注点关注点2 2MPLS VPNMPLS VPN网络工程规划与设计32网络中的业务,哪些合法,哪些是违规的?网络中的数据流,哪些影响了我的网络运行?网络的流量如何,带宽需不需要扩容?链路拥塞,谁在消耗带宽?网络环境日趋成熟,新业务不断出现;网络环境日趋成熟,新业务不断出现;IT IT应用日益复杂化;应用日益复杂化;用户需要统计分析工具来帮助其了解、分析进而管理网络用户需要统计分析工具来帮助其了解、分析进而管理网络中的流量资源,实现网络优化中的流量资源,实现网络优化关注点关注点3 3流量分析流量分析网络工程规划与设计33网络流量监控网络
34、流量监控网络应用分布网络应用分布网络瓶颈分析网络瓶颈分析服务质量监控服务质量监控网络故障分析网络故障分析流量异常告警流量异常告警网络可度量、可评估关注点关注点3 3NTANTANTANTA,Network Traffic AnalysisNetwork Traffic Analysis,基于,基于TCPIPTCPIP协议四层的,针对应用服务流向协议四层的,针对应用服务流向进行分析的解决方案,用于对网络数据信息进行综合分析、挖掘的系统。进行分析的解决方案,用于对网络数据信息进行综合分析、挖掘的系统。网络工程规划与设计34关注点关注点3 3NTANTA网络工程规划与设计35&支持MPLS L2/L
35、3 VPN、跨域VPN、HoPE&多厂商设备支持&Step by Step的业务规划&可调度的业务部署&网络资源、VPN业务发现&可靠的业务保证&VPN配置审计&VPN连通性审计&图形化的流量监控&智能的业务告警分析&完善的VPN用户信息管理&全网资源统一管理&分支机构的WEB自助CNMVPN Manager商务合同Service Management Layer(SML)Network Management Layer(NML)Element Management Layer(EML)Business Management Layer(BML)MPLS 网络关注点关注点4 4MPLS VPN
36、MPLS VPN管理软件管理软件网络工程规划与设计36&多厂商管理华为3COM设备Cisco设备&MPLS L2 VPN 管理(VPLS、Martini、Kompella)&MPLS L3 VPN 管理&支持HoPE(分层PE)&支持跨域VPN管理MPLS L2 VPN隧隧道道跨域跨域MPLS L3 VPN第三方第三方厂商设厂商设备备关注点关注点4 4MPLS VPNMPLS VPN管理软件管理软件网络工程规划与设计37 规划规划 预览预览 调整调整&向导式业务规划&图形化直观显示规划结果&在原规划基础上方便修改&“拷贝创建”功能缩短相似业务的规划时间MPLS VPNMPLS VPN业务管理业
37、务管理Step By StepStep By Step业务规划业务规划&VPN拓扑:Intranet、Extranet;Full-mesh、Hub-and-spoke&PE-CE路由:STATIC、RIP、BGP、OSPFVPN Manager网络工程规划与设计38端到端的端到端的业务部署业务部署CEPEPE&手工部署&定时任务部署&部署成功后自动审计定时任务定时任务MPLS VPNMPLS VPN业务管理业务管理可调度的业务部署可调度的业务部署手工部署手工部署VPN Manager网络工程规划与设计39MPLS VPNMPLS VPN业务管理业务管理全网全网VPNVPN视图视图 全网所有全网
38、所有VPN的当前状态一目了然的当前状态一目了然&拓扑视图若仅显示拓扑视图若仅显示PE-CE或或CE-CE连连接,则缺乏全局观,接,则缺乏全局观,无法知晓当前哪个无法知晓当前哪个VPN存在问题存在问题&把每个把每个VPN作为显作为显示对象,有无问题示对象,有无问题一目了然(包括流一目了然(包括流量是否超过阈值)量是否超过阈值)这个这个VPN有问题啦!有问题啦!VPN Manager网络工程规划与设计40电子政务城域网(大型城市)电子政务城域网(大型城市)汇聚层汇聚层10G/2.5G 10G/2.5G RPRRPR核心层核心层G GE EGEGEG GE EGEGE用户接入用户接入层层城域核心路由
39、城域核心路由器器城域核心路由城域核心路由器器城域核心路由城域核心路由器器城域核心路由城域核心路由器器汇聚层交换机汇聚层交换机P PP PP PP PP PE EP PE E电子政务省干电子政务省干省干地市路由省干地市路由器器CECEMCMCE EP PE EGEGEGEGEFEFEMCMCE ESDSDH HCECE汇聚层路由器汇聚层路由器E1E1N N*E E1 1GEGEFEFEFEFECECECECE网络工程规划与设计41城域核心路由器主要提供高速数据转发,建议采用城域核心路由器主要提供高速数据转发,建议采用10G/2.5G RPR10G/2.5G RPR形成形成环网进行保护。环网进行保
40、护。10G/2.5GRPRNGE城域核心路由器城域核心路由器10G/2.5GRPR大型城域网设备选型建议大型城域网设备选型建议城域核心路由器城域核心路由器功能要求功能要求MPLS VPN&MPLS TEMPLS VPN&MPLS TEACLACL,组播,组播QoS(IP DiffServ&MPLS DiffServ)QoS(IP DiffServ&MPLS DiffServ)IPv6IPv6(硬件支持)(硬件支持)可靠性要求可靠性要求关键部件冗余配置关键部件冗余配置支持支持VRRP/HSRPVRRP/HSRP支持支持NSFNSF,GRGR接口要求接口要求10G/2.5G RPR10G/2.5G
41、 RPR2.5G POS2.5G POSGEGE网络工程规划与设计42大型城域网设备选型建议大型城域网设备选型建议汇聚层设备汇聚层设备汇聚层设备主要提供高密度汇聚层设备主要提供高密度GE/FEGE/FE接入或接入或E1E1接入,承担接入,承担MPLS PE/MCEMPLS PE/MCE功功能,能,PEPE要求支持要求支持NATNAT多实例。多实例。GEGEGE功能要求功能要求MPLS VPN MPLS VPN NATNAT多实例多实例ACLACL,组播,组播QoS(IP DiffServ&MPLS DiffServ)QoS(IP DiffServ&MPLS DiffServ)可靠性要求可靠性要
42、求关键部件冗余配置关键部件冗余配置支持支持VRRP/HSRPVRRP/HSRP接口要求接口要求GE/FEGE/FEE1E1GEGEE1GEE1FEGEFE汇聚交换机做汇聚交换机做PEPE汇聚路由器做汇聚路由器做PEPE汇聚交换机做汇聚交换机做MCEMCE网络工程规划与设计43电子政务城域网(中型城市)电子政务城域网(中型城市)GEGEGEGEGEGE城域核心交换机城域核心交换机省干接入省干接入城域核心交换机城域核心交换机汇聚层汇聚层地市骨干路由器地市骨干路由器电子政务省干电子政务省干省干地市路由器省干地市路由器核心层核心层用户接入层用户接入层CECEGEGEPEPEPEPEPEPE城域汇聚交换
43、机城域汇聚交换机城域汇聚交换机城域汇聚交换机城域汇聚交换机城域汇聚交换机GEGECECECECECECECECECECEFEFEGEGEGEGEGEGEGEGEGEGEP PP PP/PP/PE E网络工程规划与设计44中型城域网设备选型建议中型城域网设备选型建议GEGEGE功能要求功能要求MPLS VPN MPLS VPN NATNAT多实例多实例ACLACL,组播,组播QoS(IP DiffServ&MPLS DiffServ)QoS(IP DiffServ&MPLS DiffServ)可靠性要求可靠性要求关键部件冗余配置关键部件冗余配置支持支持VRRP/HSRPVRRP/HSRP接口要求
44、接口要求GE/FEGE/FEGEGEGEGEFE城域核心交换机做城域核心交换机做P P城域汇聚交换机做城域汇聚交换机做PEPE网络工程规划与设计45电子政务城域网(小型城市)电子政务城域网(小型城市)FEFEGEGE城域核心交换机城域核心交换机省干接入省干接入城域核心交换机城域核心交换机用户接入层用户接入层地市骨干路由器地市骨干路由器电子政务省干电子政务省干省干地市路由器省干地市路由器核心层核心层GEGEGEGECECECECECECECECEPEPEPEPEP/PP/PE E网络工程规划与设计46小型城域网设备选型建议小型城域网设备选型建议功能要求功能要求MPLS VPN MPLS VPN
45、NATNAT多实例多实例ACLACL,组播,组播QoS(IP DiffServ&MPLS DiffServ)QoS(IP DiffServ&MPLS DiffServ)可靠性要求可靠性要求关键部件冗余配置关键部件冗余配置支持支持VRRP/HSRPVRRP/HSRP接口要求接口要求GE/FEGE/FEGEGEGEFE城域核心交换机做城域核心交换机做PEPE网络工程规划与设计47目录目录1 1、电子政务建设概述、电子政务建设概述2 2、网络架构详细分析、网络架构详细分析 广域网架构分析广域网架构分析 城域网架构分析城域网架构分析 局局域网架构分析域网架构分析3 3、政务网络案例分析、政务网络案例分
46、析网络工程规划与设计48局域网建设的关注点局域网建设的关注点网络工程规划与设计49n补丁策略n防病毒策略n用户身份管理策略n应用系统使用策略n网络资源访问策略n其它策略n 用户不重视n 不能及时准确了 解终端的安全状况n 有意违反n 无法强制执行主要原因用户安全管理策略缺乏有效的技术手段实现终端安全、身份认证、资源访问权限的统一管理!关注点关注点1 1用户接入控制用户接入控制网络工程规划与设计50n端点准入防御端点准入防御(EAD,Endpoint Admission Defense)解决方案从网络接入端点的安全控制入手,通过安全客户端、安全策略服务器、网络设备以及第三方软件的联动,对接入网络
47、的用户终端强制实施企业安全策略。关注点关注点1 1用户接入控制用户接入控制与防病毒软件联动防御隔离防御能力脆弱的用户终端及时更新系统补丁,提高抵抗力提高用户终端的主动防御能力身份认证与防御能力认证结合与专业防病毒系统联动多重权限控制(VLAN/ACL/QoS)多种安全部件的联动防御用户安全接入策略的统一管理组织级安全策略的强制实施用户安全状态的集中审计集中策略实施与管理事前:用户身份和防御能力认证事中:用户安全状态和行为的监控事后:用户安全状态和行为的审计以用户为中心的全程管理主动防御主动防御全面防御全面防御集中策略管理集中策略管理以用户为中心以用户为中心网络工程规划与设计51个人用户性能和安
48、全性更高。个人用户性能和安全性更高。目前局域网大部分均采用私网地址,目前局域网大部分均采用私网地址,IPIP地址资源一般都比较充裕,可以采用地址资源一般都比较充裕,可以采用3030位掩位掩码划分网段,一个用户一个网段,并且一个网段内最多也只能接入一个用户,所有码划分网段,一个用户一个网段,并且一个网段内最多也只能接入一个用户,所有用户之间的互访均通过三层交换实现。采用这种三层到桌面的方式可以有效隔离用用户之间的互访均通过三层交换实现。采用这种三层到桌面的方式可以有效隔离用户之间的二层报文,包括二层广播报文以及二层的攻击报文,可以极大提高用户的户之间的二层报文,包括二层广播报文以及二层的攻击报文
49、,可以极大提高用户的个人安全。同时,采用一个用户一个网段、一个网段最多一个用户的策略,可以彻个人安全。同时,采用一个用户一个网段、一个网段最多一个用户的策略,可以彻底杜绝用户底杜绝用户IPIP地址假冒的问题,因为不同端口的网段均不相同,即使有人假冒他人的地址假冒的问题,因为不同端口的网段均不相同,即使有人假冒他人的IPIP地址也无法实现网络接入。地址也无法实现网络接入。网络整体性能和安全性提高。网络整体性能和安全性提高。通过三层到桌面的方式,整个网络中将不再有二层报文,二层攻击事件彻底杜绝,通过三层到桌面的方式,整个网络中将不再有二层报文,二层攻击事件彻底杜绝,设备与设备之间的级连链路上将只有
50、三层报文流通,极大提高了网络带宽的利用率设备与设备之间的级连链路上将只有三层报文流通,极大提高了网络带宽的利用率与网络的安全性。与网络的安全性。关注点关注点2 2三层到桌面三层到桌面网络工程规划与设计52传统交换网络不足冗余是通过网络规划来实现,难以均衡,属于被动方式通常每台设备都需要一个管理IP地址,设备众多,管理不便LACP不能跨设备初期组网投资较大关注点关注点3 3智能弹性架构智能弹性架构传统网络的问题传统网络的问题网络工程规划与设计53IRF介绍关注点关注点3 3智能弹性架构智能弹性架构设备级可靠服务器接入设备设备级可靠服务器接入设备IRF数据中心数据中心 Server Farm 提高
侵权处理QQ:3464097650--上传资料QQ:3464097650
【声明】本站为“文档C2C交易模式”,即用户上传的文档直接卖给(下载)用户,本站只是网络空间服务平台,本站所有原创文档下载所得归上传人所有,如您发现上传作品侵犯了您的版权,请立刻联系我们并提供证据,我们将在3个工作日内予以改正。