1、n电子政务外网师级网络整体设计架构n师级网络整体结构改造优化总体思路n广域骨干区调整优化n城域网核心调整优化n互联网区调整优化n数据中心区调整优化第一部分总体结构师级电子政务外网的设计框架分为广域骨干网、城域网、数据中心、专网接入、互联网接入5个部分 1、互联网访问问题师局域网互联网接入客户端病毒、P2P下载等问题,互联网服务器区安全问题,团场互联网接入占用出口带宽问题,互联网和专网接入客户端相互干扰问题。 2、广域网带宽占用问题团级互联网接入占用广域网带宽,各专网带宽分配 3、跨部门资源访问问题划分专网相互隔离后访问公共资源 1、将互联网和外网尽量清晰划分出来建议将师级局域网中互联网接入和专
2、网独立开来,并将师级和团级互联网和外网界面清晰化,以便当互联网出现问题时可以很容易将互联网从外网中独立开来。 2、在互联网区域内加强安全防护在出口部署带宽管理设备、在网内部署身份认证设备、多出口考虑负载均衡设备等提高互联网访问速度和安全。 3、在广域网进行带宽优化,设置QOS限制互联网访问带宽,分配各专网带宽 4、加强公用网服务区资源建设丰富公用网服务区资源建设,丰富外网资源等,允许各专网访问公用服务网 5、提高终端设备复用率考虑采用身份认证等方式方便用户根据用户名或CA证书等接入不同网络提高终端设备复用率(探讨)第二部分广域骨干网调整优化优化师到团广域网访问方式1、提高广域网带宽(4M-10
3、M、10M-20M等)2、配置带宽策略(QOS,增加带宽管理设备,带宽防护(利用安全设备等)3、增加某专网线路,然后利用MPLS VPN策略路由选路1、在团级局域网接入口对不同专网进行着色,标示出不同的专网来2、在团级路由器出口配置带宽管理,指定标示出专网带宽3、在师级城域网核心路由器局域网接入口对不同专网进行着色,标示出不同的专网4、在师级广域网路由接口配置带宽管理,指定标示出专网带宽INTERNETVPN_caiwuVPN_xinfangINTERNET:2MVPN_caiwu:1MVPN_xinfang:1MINTERNETVPN_caiwuVPN_xinfangINTERNET:2MV
4、PN_caiwu:1MVPN_xinfang:1M一、在师级城域网核心路由器SR6616 (Xs-cyw-hx-sr6616-RT-1)1建立访问控制列表,指定各VPN流量acl number 3010 rule 10 permit ip vpn-instance internet acl number 3011 rule 10 permit ip vpn-instance VPN_caiwu acl number 3012 rule 10 permit ip vpn-instance VPN_xinfang2设定各专网流量,定义标示 traffic classifier internet o
5、perator and if-match acl 3010 traffic behavior exp1 remark mpls-exp 1 traffic classifier caiwu operator and if-match acl 3011 traffic behavior exp2 remark mpls-exp 2 traffic classifier xinfang operator and if-match acl 3012 traffic behavior exp3 remark mpls-exp 3 3在入口接口进行着色qos policy markexp classif
6、ier internet behavior exp1 classifier caiwu behavior exp2 classifier xinfang behavior exp3interface GigabitEthernet2/0/1.101 qos apply policy markexp inboundinterface GigabitEthernet2/0/1.509 qos apply policy markexp inboundinterface GigabitEthernet2/0/1.506 qos apply policy markexp inbound二、在广域网核心路
7、由器SR6616 (Xs-gyw-hx-sr6616-RT-1)1设定标志为EXP1(INTERNET),设定带宽为最大带宽的20% 设定标志为EXP2(caiwu),设定带宽为最大带宽的10% 设定标志为EXP3(xinfang),设定带宽为最大带宽的10%traffic classifier exp1 operator and if-match mpls-exp 1 traffic behavior ef20% queue ef bandwidth pct 20 traffic classifier exp2 operator and if-match mpls-exp 2 traffic
8、 behavior ef10% queue ef bandwidth pct 10traffic classifier exp3 operator and if-match mpls-exp 3 traffic behavior ef10% queue ef bandwidth pct 10 2在广域网接口设定最大带宽,应用QOS策略qos policy mplsqos classifier exp1 behavior ef20% classifier exp2 behavior ef10% classifier exp3 behavior ef10% interface Ethernet1/
9、2/7.1 qos max-bandwidth 10240 qos apply policy mplsqos outbound interface Ethernet1/2/7.2 qos max-bandwidth 10240 qos apply policy mplsqos outbound三、在团级路由器MSR5040上配置1建立访问控制列表,指定各VPN流量acl number 3010 rule 10 permit ip vpn-instance internet acl number 3011 rule 10 permit ip vpn-instance VPN_caiwu acl
10、number 3012 rule 10 permit ip vpn-instance VPN_xinfang2设定各专网流量,定义标示 traffic classifier internet operator and if-match acl 3010 traffic behavior exp1 remark mpls-exp 1traffic classifier caiwu operator and if-match acl 3011 traffic behavior exp2 remark mpls-exp 2 traffic classifier xinfang operator an
11、d if-match acl 3012 traffic behavior exp3 remark mpls-exp 3三、在团级路由器MSR5040上配置3在入口接口进行着色qos policy markexp classifier internet behavior exp1 classifier caiwu behavior exp2 classifier xinfang behavior exp3interface GigabitEthernet0/1.101 qos apply policy markexp inboundinterface GigabitEthernet0/1.509
12、 qos apply policy markexp inboundinterface GigabitEthernet0/1.506 qos apply policy markexp inbound四、在团级路由器MSR5040上配置4设定标志为EXP1(INTERNET),设定带宽为最大带宽的20%, 设定标志为EXP2(caiwu),设定带宽为最大带宽的10% 设定标志为EXP3(xinfang),设定带宽为最大带宽的10%traffic classifier exp1 operator and if-match mpls-exp 1 traffic behavior ef20% queue
13、 ef bandwidth pct 20 traffic classifier exp2 operator and if-match mpls-exp 2 traffic behavior ef10% queue ef bandwidth pct 10traffic classifier exp3 operator and if-match mpls-exp 3 traffic behavior ef10% queue ef bandwidth pct 10 四、在团级路由器MSR5040上配置5在广域网接口设定最大带宽,应用QOS策略qos policy mplsqos classifier
14、 exp1 behavior ef20% classifier exp2 behavior ef10% classifier exp3 behavior ef10% interface Ethernet0/0 qos max-bandwidth 10240 qos apply policy mplsqos outbound1、在团级局域网核心交换机和团级核心路由器之间增加带宽管理或安全防护设备,采用TRUNK透明模式部署,对进入路由器的流量进行带宽控制及安全防护带宽管理设备局域网核心交换机团级核心路由器师级广域网核心路由器1、利用原团场闲置防火墙,在团级局域网核心交换机和团级核心路由器之间采用
15、TRUNK透明模式部署2、配置步骤如下:(1)将防火墙设置为透明模式,将ETH1(内、团)和ETH2(外、师)设置为TRUNK,分别接入核心交换机和团场路由器MSR 5040(2)建立允许通过的vlan,包括(internet,各专网的VLAN)(3)设定管理VLAN IP地址(data-managerVPN内)(4)允许师部进行管理访问防火墙(5)设定安全策略,默认策略允许ETH1(团)ETH2(师)访问,屏蔽常见病毒端口(4444,69.135等), 禁止ETH2(师)ETH1(团)访问(6)开启防火墙IPS等功能团级防火墙局域网核心交换机团级核心路由器师级广域网核心路由器1、某些专网提供
16、额外专网线路,可以考虑将其专网指定到该线路。2、可采用两种方法实现路由选路方法1:将该增加线路绑定到该专网VPN中,采用ospf进行动态路由学习,由于OSPF的优先级高于BGP,主线路会走增加线路。备用走我们的主线路方法2:采用MPLS TE建立流量工程隧道,指定主线路和备用线路,然后将该VPN引入到隧道中。局域网核心交换机团级核心路由器师级广域网核心路由器VPN1团级路由器MSR5040配置interface GigabitEthernet8/0 ip binding vpn-instance VPN_11 ip address 10.111.1.1 255.255.255.0ospf 60
17、011 vpn-instance VPN_11 import-route bgp type 1 area 0.0.0.0 network 10.111.1.0 0.0.0.255bgp 65445ipv4-family vpn-instance VPN_11 import-route direct import-route ospf 60011师级广域网核心路由器SR6616配置interface GigabitEthernet7/0/1.11 ip binding vpn-instance VPN_11 ip address 10.111.1.2 255.255.255.0ospf 6001
18、1 vpn-instance VPN_11 import-route bgp type 1 area 0.0.0.0 network 10.111.1.0 0.0.0.255bgp 65445ipv4-family vpn-instance VPN_11 import-route direct import-route ospf 60011配置参考mplsmpls templs te cspfInterface g5/1mpls teospfopaque-capability enablearea 0mpls-te enable explicit-path main next hop 3.0.
19、0.1 next hop 3.3.3.3interface Tunnel0 ip address 10.0.0.1 255.255.255.252 tunnel-protocol mpls te destination 3.3.3.3 mpls te record-route label mpls te bandwidth bc0 50000 /指定显式路径指定显式路径 mpls te path explicit-path main mpls te fast-reroute mpls te commitip vpn-instance vpn1route-distinguisher 100:1v
20、pn-target 100:1 bothtnl-policy policy1tunnel-policy policy1tunnel select-seq cr-lsp load-balance-number 1interface gigabitethernet 1/0ip binding vpn-instance vpn1ip address 192.168.1.1 255.255.255.0第三部分城域网调整优化1、师级城域网络将专网和互联网接入分离(布线系统分开)专网核心交换机互联网核心交换机2、团级城域网络将专网和互联网接入设备和接口分开专网核心交换机互联网核心交换机团级核心交换机BD3
21、928团级互联网接入交换机BD2528师级城域网核心路由器团级核心路由器MSR5040师级广域网核心路由器熟悉专网接入方式,便于各部门接入咨询熟悉专网接入方式,便于各部门接入咨询接入方式:统计局部门的专网数据中心通过防火墙与兵团电子政务外网数据中心的核心交换机互联。设备配置:需要配置一台高性能防火墙,至少提供两个千兆接口,一个用于连接兵团外网数据中心核心交换,一端用于连接部门专网数据中心。接入方式:师级机关部门专网位于机关大楼内,将其部门划分到一个VLAN,二层透传到兵团电子政务外网城域网核心路由器,网关落在城域网核心路由器上,并封装到专网VPN中。设备配置:机关部门专网位于机关大楼内,大楼已
22、部署接入交换机,无需配置额外网络设备。 接入方式:专线接入,城域网路由器MSR5040设备配置:推荐路由器、防火墙(互指路由),交换机也可(网关落到MSR5040上)接入方式:非专线接入,接入互联网防火墙(东软)设备配置:防火墙(IPSEC VPN)接入方式:移动客户端,接入互联网防火墙(东软)设备配置:软客户端,CA证书(KEY)熟悉专网接入方式,便于各部门接入咨询熟悉专网接入方式,便于各部门接入咨询接入方式:团级机关部门专网位于机关大楼内,将其部门划分到一个VLAN,二层透传到兵团电子政务外网核心路由器,网关落在核心路由器上,并封装到专网VPN中。设备配置:机关部门专网位于机关大楼内,大楼
23、已部署接入交换机,无需配置额外网络设备。(信息点多加交换机) 接入方式:专线接入,BD3928E设备配置:推荐交换机(网关落到团核心MSR5040上)接入方式:非专线接入,接入师互联网防火墙(东软)设备配置:防火墙(IPSEC VPN)接入方式:移动客户端,接入互联网防火墙(东软)设备配置:软客户端,CA证书(KEY)第四部分互联网调整优化1、师级VPN改造(外网、互联网)互联网防火墙互联网服务区核心交换机互联网服务区服务器外网数据中心核心交换机BD8506城域网核心路由器SR6616公用网服务区专网服务区互联网VPN外网VPN2、加强现有安全设备策略配置1、加强出口防火墙安全策略配置,关闭不
24、对外提供服务的端口等2、更新补丁、防病毒软件,防止弱口令等安全隐患3、建立日志服务器,将重要设备日志保存至日志服务器3、增加互联网安全保护设备(IPS,行为管理、带宽管理,终端管理等)序号产品名称描述部署位置解决风险数量1防病毒网关系统用于访问控制、网络边界恶意代码防范、应用层综合防御互联网出口与核心交换区边界结构安全12上网行为管理系统用于访问控制、应用层的控制与审计互联网出口与核心交换区边界行为审计13入侵防御系统用于应用层综合防御互联网服务区边界入侵防范14运维保垒主机系统用于日常运维操作行为审计综合管理区抗抵赖、运维操作审计、防止审计日志被非法删除15统一身份管控系统用于全局业务系统的
25、身份管理、认证管理、权限分配、应用审计综合管理区身份签别、应用安全、应用审计26SOC安全管理平台用于网络设备、服务器设备的统一安全管理,海量日志信息的采集、存储、管理、分析等综合管理区系统建设管理、系统安全运维17数据备份与恢复系统用于主机设备、数据库、应用程序数据备份与恢复综合管理区数据完整性、备份与恢复18终端准入系统用于终端设备的安全准入、补丁更新、资产管理等综合管理区主机安全19网络版防病毒软件用于终端设备的恶意代码防护综合管理区主机安全1建议使用各师部署的IT运维系统,实现运行监控和运维管理第五部分数据中心调整优化1、完善数据中心结构,增强数据中心安全性1、补充完善数据中心结构,增
26、加公用服务区交换机,部署公用网服务区防火墙、补充完善数据中心结构,增加公用服务区交换机,部署公用网服务区防火墙2、要求各专网接入均需部署防火墙等安全设备、要求各专网接入均需部署防火墙等安全设备2、共享数据服务区的重点建设(各专网均能访问)城域网核心路由器SR6616上配置acl number 3000 rule 5 permit ip vpn-instance intranet destination 59.0.0.0 0.255.255.255 rule 12 permit ip vpn-instance jianshehuanbaoju destination 59.0.0.0 0.255
27、.255.255 rule 14 permit ip vpn-instance VPN_tongji destination 59.0.0.0 0.255.255.255 rule 15 permit ip vpn-instance VPN_guotu destination 59.0.0.0 0.255.255.255 rule 16 permit ip vpn-instance VPN_xinfang destination 59.0.0.0 0.255.255.255 rule 17 permit ip vpn-instance VPN_shenji destination 59.0.0
28、.0 0.255.255.255 rule 19 permit ip vpn-instance VPN_caiwu destination 59.0.0.0 0.255.255.255nat address-group 0 59.223.X.1 59.223.X.1interface GigabitEthernet2/2/6.600nat outbound 3000 address-group 0 vpn-instance data-managerinterface GigabitEthernet2/2/6.601nat outbound 3000 address-group 0 vpn-in
29、stance data-managerinterface GigabitEthernet2/2/7nat outbound 3000 address-group 0 vpn-instance data-manager城域网核心路由器SR6616上配置ip route-static vpn-instance VPN_tongji 59.0.0.0 255.0.0.0 NULL0ip route-static vpn-instance VPN_guotu 59.0.0.0 255.0.0.0 NULL0ip route-static vpn-instance VPN_xinfang 59.0.0.
30、0 255.0.0.0 NULL0ip route-static vpn-instance VPN_shenji 59.0.0.0 255.0.0.0 NULL0ip route-static vpn-instance VPN_caiwu 59.0.0.0 255.0.0.0 NULL0ip vpn-instance VPN_xinfangvpn-target 64100:10 64000:10 import-extcommunityip vpn-instance VPN_shenjivpn-target 64100:10 64000:10 import-extcommunityip vpn-
31、instance VPN_caiwuvpn-target 64100:10 64000:10 import-extcommunityip vpn-instance VPN_guotuvpn-target 64100:10 64000:10 import-extcommunity城域网核心路由器SR6616上配置bgp 65445ipv4-family vpn-instance VPN_xinfang import-route direct import-route static # ipv4-family vpn-instance VPN_caiwu import-route direct import-route static # ipv4-family vpn-instance VPN_tongji import-route direct import-route static