××市電子政務(wù)MPLS-VPN組網(wǎng)方案說明

1、 /9電子政務(wù)網(wǎng)絡(luò)MPLSVPN建設(shè)方案及說明網(wǎng)絡(luò)功能描述各職能部門網(wǎng)絡(luò)安全互通隨著政府信息化工程的實施，政府各部門基本都有了自己的內(nèi)部網(wǎng)，但因為沒有統(tǒng)一的政務(wù)網(wǎng)平臺，相同職能部門的各節(jié)點還基本處于信息孤島狀態(tài)，信息的交互只能通過經(jīng)過Internet的電子郵件方式，辦公自動化等內(nèi)部系統(tǒng)無法連通，給政府辦公帶來了極大的不便。政務(wù)網(wǎng)建成后，可使各職能部門的網(wǎng)絡(luò)互通，方便了信息交流和共享，提高了辦公效率，密切了上級的關(guān)系?；ネê蟮木W(wǎng)絡(luò)受到VPN的保護，保障了內(nèi)部信息的保密、安全。統(tǒng)一的網(wǎng)絡(luò)平臺，避免重復(fù)建設(shè)采用統(tǒng)一的網(wǎng)絡(luò)平臺為所有政府部門服務(wù)，無需每部門單獨建設(shè)城域網(wǎng)，節(jié)省了投資。通過MPLSVPN

2、技術(shù)，實現(xiàn)各部門網(wǎng)絡(luò)邏輯隔離，保證了各部門信息的安全性。通過靈活的策略實現(xiàn)VPN之間的可控訪問，實現(xiàn)協(xié)調(diào)業(yè)務(wù)工作。統(tǒng)一的Internet出口，節(jié)省上網(wǎng)支出采用本方案設(shè)計的政務(wù)網(wǎng)，可實現(xiàn)統(tǒng)一的Innternet出口，結(jié)束了原來每個孤立節(jié)點都要為訪問Internet單獨付費的局面，節(jié)省了上網(wǎng)支出。為政府開源節(jié)流，節(jié)省資金做出了貢獻。采用高帶寬的統(tǒng)一出口，可以提高各部門Internet的訪問質(zhì)量。采用本方案設(shè)計無需每部門甚至每節(jié)點單獨購置防火墻和網(wǎng)絡(luò)安全設(shè)備，同樣節(jié)省了政府開支。統(tǒng)一的對外公共信息平臺，使網(wǎng)上政府的理想得以實現(xiàn)采用該方案設(shè)計的政務(wù)網(wǎng)，實現(xiàn)統(tǒng)一的對外公共信息平臺，掃除了政府各部門共享數(shù)

3、據(jù)資源的技術(shù)障礙，可實現(xiàn)網(wǎng)上政務(wù)一站式辦公，大大提高了政府部門對公眾的服務(wù)能力，并樹立政府部門統(tǒng)一良好的公眾形象。數(shù)據(jù)資源的安全可以集中考慮，通過集中部署防火墻、入侵檢測系統(tǒng)、等保障數(shù)據(jù)安全，增強了數(shù)據(jù)安全保障的可實施性?？赏ㄟ^靈活設(shè)置VPN等功能，可控制政府內(nèi)部人員對公共平臺上敏感數(shù)據(jù)的訪問權(quán)限，進一步保障網(wǎng)上政府實施的安全性。統(tǒng)一的對內(nèi)公共信息平臺，實現(xiàn)各部門間的內(nèi)部交流采用該方案設(shè)計的政務(wù)網(wǎng)，實現(xiàn)統(tǒng)一的對內(nèi)公共信息平臺，使政府各部門間的聯(lián)合辦公，統(tǒng)一的內(nèi)部Emai系統(tǒng)，統(tǒng)一的內(nèi)部信息發(fā)布平臺等功能得以實施，進一步提高政府辦公效率。促進了各部門間和公務(wù)員間的溝通與交流，保障了信息溝通和言論

4、的順暢。內(nèi)部信息安全訪問，提高了公務(wù)員網(wǎng)絡(luò)訪問行為的可管理性通過實施公務(wù)員訪問網(wǎng)絡(luò)安全認證機制，確保政務(wù)網(wǎng)上數(shù)據(jù)的安全，通過認證系統(tǒng)的日志功能，可保證Internet訪問內(nèi)容的安全性，并防止公務(wù)員在網(wǎng)上發(fā)布不正當言論，并可迅速定位責任人，使問題處理有據(jù)可查，保護政府的形象。網(wǎng)絡(luò)平臺基本結(jié)構(gòu)網(wǎng)絡(luò)平臺總體采用星型結(jié)構(gòu)，核心、匯聚、接入三層網(wǎng)絡(luò)架構(gòu)，網(wǎng)絡(luò)主干采用萬兆骨干網(wǎng)萬兆光纖到接入單位，同時實現(xiàn)單位千兆桌面接入。通過本次XXX市電子政務(wù)外網(wǎng)建設(shè)，規(guī)范和統(tǒng)一全縣各黨政機關(guān)接入互聯(lián)網(wǎng)的出口，以保證全縣電子政務(wù)網(wǎng)絡(luò)安全性及保密性，同時為了合理利用資源，節(jié)約資金，其它各政府單位不再單獨接入互聯(lián)網(wǎng)。具體建

5、設(shè)涵蓋XXX市電子政務(wù)外網(wǎng)建設(shè)，從而實現(xiàn)與上級單位電子政務(wù)平臺安全對接。XXX市電子政務(wù)外網(wǎng)網(wǎng)絡(luò)基礎(chǔ)平臺按照“分層分區(qū)”的設(shè)計思想，以保證網(wǎng)絡(luò)架構(gòu)的先進性、高可用性、高可擴展性和易管理性。XXX市電子政務(wù)外網(wǎng)平臺按照三層結(jié)構(gòu)設(shè)計分為：核心層、匯聚層、萬兆接入層。全市政務(wù)部門通過本市網(wǎng)絡(luò)中心統(tǒng)一出口、統(tǒng)一管理，各接入單位只能通過統(tǒng)一出口訪問互聯(lián)網(wǎng)，提高整個網(wǎng)絡(luò)的可管理性和安全性。業(yè)務(wù)隔離與訪問控制設(shè)計設(shè)計概述電子政務(wù)網(wǎng)絡(luò)平臺的一個重要應(yīng)用是數(shù)據(jù)業(yè)務(wù)，而且隨著政務(wù)信息化的深入發(fā)展，數(shù)據(jù)業(yè)務(wù)將在該平臺發(fā)揮越來越大的作用,接入政務(wù)廣域網(wǎng)平臺的各單位，既有橫向部門間的信息交互，又有縱向行業(yè)部門的信息交互

6、，在應(yīng)用上，各單位用戶經(jīng)授權(quán)能訪問縱向網(wǎng)絡(luò)的相應(yīng)資源；同時各單位用戶經(jīng)授權(quán)又能訪問橫向網(wǎng)絡(luò)資源。因此，整個平臺是由多條縱向?qū)＞W(wǎng)、橫向?qū)＞W(wǎng)相聯(lián)接形成的復(fù)雜結(jié)構(gòu)。傳統(tǒng)的VLAN+ACL的方式實現(xiàn)業(yè)務(wù)隔離與數(shù)據(jù)共享有著部署簡單、靈活、成本低、易維護等優(yōu)點，但對于一些復(fù)雜的隔離與共享需求卻有著比較大的困難。而MPLSVPN技術(shù)可以很好的解決該問題，通過將各機關(guān)部門辦公系統(tǒng)劃分為不同的VPN網(wǎng)絡(luò)，實現(xiàn)各部門辦公系統(tǒng)共享同一物理網(wǎng)絡(luò)，但是在邏輯上卻是相互隔離，從而既可以提高政府辦公的自動化程度及效率，又可以保障各部門系統(tǒng)內(nèi)數(shù)據(jù)不被其他人訪問，滿足了政府辦公的安全需求。MPLSVPN技術(shù)作為一項有效的隔離技

7、術(shù)，在靈活性、可擴展性、易開展性等方面具有很強的優(yōu)勢，目前已經(jīng)成為電子政務(wù)網(wǎng)絡(luò)建設(shè)的主要支撐技術(shù)之一。我們針對VLAN+ACL以及MPLSVPN兩種業(yè)務(wù)隔離技術(shù)的特點，并結(jié)合XXX市電子政務(wù)外網(wǎng)在業(yè)務(wù)隔離與數(shù)據(jù)共享上的實際需求，進行以下技術(shù)選擇：1、對于相對較簡單的業(yè)務(wù)隔離與數(shù)據(jù)共享需求，都采用VLAN+ACL來實現(xiàn)，從我們的建設(shè)經(jīng)驗來考量，這些需求會占到一個較高的比例，這樣既可以大大簡化網(wǎng)絡(luò)的部署過程以及運行維護，也可以很好的降低網(wǎng)絡(luò)建設(shè)成本。2、對于部分比較復(fù)雜的業(yè)務(wù)隔離與數(shù)據(jù)共享需求，我們采用MPLSVPN技術(shù)來解決；此次配置的核心交換機、匯聚交換機和接入交換機等設(shè)備都對MPLSVPN有

8、較好的支持，所以在設(shè)備上我們無需再花額外成本。通過靈活的在需要進行比較復(fù)雜的業(yè)務(wù)隔離與數(shù)據(jù)共享的部分區(qū)域或單位/部門進行MPLSVPN部署，可以達到很好的應(yīng)用效果。下面我們對具體的MPLSVPN部署方案進行簡要說明：MPLS規(guī)劃MPLSVPN網(wǎng)絡(luò)構(gòu)成MPLSVPN中由三部分組成：CE、PE和P：P路由器(ProvideRouter)：供應(yīng)商路由器。位于MPLS域的內(nèi)部?？梢曰跇撕灲粨Q快速轉(zhuǎn)發(fā)MPLS數(shù)據(jù)流。P路由器接收MPLS報文，交換標簽后，輸出MPLS報文。PE路由器(ProvideEdgeRouter)：供應(yīng)商邊界路由器。位于MPLS域的邊界，用于轉(zhuǎn)換IP報文和MPLS報文PE路由器接

9、收IP報文，壓入MPLS標簽后，輸出MPLS報文；并且接收MPLS報文，彈出標簽之后，輸出IP報文PE路由器上，與其它P路由器或者PE路由器連接的端口被稱為“公網(wǎng)端口”，配置公網(wǎng)IP地址；與CE路由器連接的端口被稱為“私網(wǎng)端口”，配置私網(wǎng)IP地址。CE路由器(CustomerEdgeRouter)：用戶邊界路由器。位于用戶IP域邊界，直接和PE路由器連接，用于匯聚用戶數(shù)據(jù)，并把用戶IP域的路由信息轉(zhuǎn)發(fā)到PE路由器。CE和PE的劃分主要是根據(jù)SP與用戶的管理范圍，CE和PE是兩者管理范圍的邊界。當CE與直接相連的PE建立鄰接關(guān)系后,CE把本站點的VPN路由發(fā)布給PE，并從PE學(xué)到遠端VPN的路由

10、。CE與PE之間使用BGP/IGP交換路由信息，也可以使用靜態(tài)路由。PE從CE學(xué)到CE本地的VPN路由信息后，通過BGP與其它PE交換VPN路由信息。PE路由器只維護與它直接相連的VPN的路由信息，不維護服務(wù)提供商網(wǎng)絡(luò)中的所有VPN路由。P路由器只維護到PE的路由，不需要了解任何VPN路由信息。當在MPLS骨干網(wǎng)上傳輸VPN流量時，入口PE做為IngressLSR(LabelSwitchRouter),出口PE做為EgressLSR，P路由器則做為TransitLSR。MPLSVPN組網(wǎng)方案最簡單的情況下，一個VPN中的所有用戶形成閉合用戶群，相互之間能夠進行流量轉(zhuǎn)發(fā)，VPN中的用戶不能與任何

11、本VPN以外的用戶通信。對于這種組網(wǎng)，需要為每個VPN分配一個VPNTarget,作為該VPN的ExportTarget和ImportTarget,并且，此VPNTarget不能被其他VPN使用。如下圖所示，PE上為VPN1分配的VPNTarget值為100:1,為VPN2分配的VPNTarget值為200:1。VPN1的兩個site之間可以互訪，VPN2的兩個site之間也可以互訪，但VPN1和VPN2的site之間不能互訪。CECEfsite3sPPBlmport:2:1CEExpcirt:21rI_r*VPN2VPN2VPN1VPN1許MTImpc比十VExportWVPN2：Irmpc

12、2:1VPN1：Import:1:1基本的、酊組碗迭方案4如果一個VPN用戶希望提供部分本VPN的站點資源給非本VPN的用戶訪問,可以使用下圖所示的Extranet組網(wǎng)方案:VPN1CEPE3PE2JCEJit組網(wǎng)冇案qVPN1:ftnport:1:1,2:1VFN1:Import:1:1iVPN2:lmport:2:1Export:.txLiciri對于這種組網(wǎng)，如果某個VPN需要訪問共享站點，則該VPN的ExportTarget必須包含在共享站點的VPN實例的ImportTarget中，而其ImportTarget必須包含在共享站點VPN實例的ExportTarget中。在上圖中，VPN1

13、的site3能夠被VPN1和VPN2訪問：PE3能夠接受PE1和PE2發(fā)布的VPNTPv4路由；PE3發(fā)布的VPN-IPv4路由能夠為PE1和PE2接受；基于以上兩點,VPN1的site1和site3之間能夠互訪，VPN2的site2和VPN1的site3之間能夠互訪；PE3不把從PE1接收的VPN-IPv4路由發(fā)布給PE2，也不把從PE2接收的VPN-IPv4路由發(fā)布給PE1(IBGP鄰居學(xué)來的條目是不會再發(fā)送給別的IBGP鄰居)，因此，VPN1的site1和VPN2的site2之間不能互訪。MPLSVPN組網(wǎng)示例我們根據(jù)以上MPLSVPN的組網(wǎng)方案，針對XXX市電子政務(wù)外網(wǎng)平臺的橫向VPN

14、互訪需求，即目前主要是內(nèi)部數(shù)據(jù)交換中心和各單位局域網(wǎng)之間的可控互訪，進行組網(wǎng)示例如下圖所示：ImportASMSSKportAK.201JmportASN：2exportASM:301V:政務(wù)外網(wǎng)阿用vp堿氣一、!丿impcilexportASN：101ImportASNdOlA5N：201將需要橫向互訪的數(shù)據(jù)交換中心設(shè)置為一個公共訪問的VPN并只導(dǎo)出自己的VPN(EXPORT64965:2),接收所有單位的交換機VPN(IMPORT64965:101至65000:6001)。而所有單位的交換機VPN將只接受公共訪問的VPN(IMPORT64965:2)，并導(dǎo)出自己的VPN(EXPORT649

15、65:101或64965:6001)。為了部署前置交換機VPN，需要在每個廳局的CE設(shè)備和縣級城域網(wǎng)的PE設(shè)備之間增加一個VRF接口，這個VRF接口可以是物理接口，也可以是子接口。所有前置交換機VPN和數(shù)據(jù)交換中心VPN內(nèi)的IPv4地址必須保證唯一性，需統(tǒng)一規(guī)劃。如果各單位的內(nèi)部網(wǎng)絡(luò)需要訪問自己的前置交換機，可以在每個單位的CE設(shè)備上部署針對前置交換機的NAT。這樣就實現(xiàn)了各單位的前置交換機橫向訪問的數(shù)據(jù)交換中心服務(wù)器，而各單位的前置交換機缺省是不能互訪的。但是這種不能互訪是受控的，在需要互訪的時候，僅修改各單位的前置交換機VPN的導(dǎo)入策略即可。MPLSVPNRD&RT規(guī)劃RD（RouteDi

16、stinguisher）用來唯一標識VRF，每個VRF，也就是每個VPNSITE唯一對應(yīng)一個RD。RD建議使用16bits：32bits的形式，即“ASN：VPN編號”ASN：即AS號，全網(wǎng)統(tǒng)一使用65500；VPN編號：共6位數(shù)字，使用“行政區(qū)域（1025）+委辦（001255）+功能區(qū)（14）”的劃分方式唯一定義；RT的結(jié)構(gòu)于RD基本相同，為了便于維護和管理，我們建議與RD相同的格式，使用16bits：32bits形式，也即“ASN：VPN編號”RT（RouteTarget）解決了不同VPN之間的互訪和隔離，它的本質(zhì)就是BGP的community屬性。不同VRF間通過配置配置關(guān)聯(lián)的RT而組

17、成可以互相訪問的集合，我們稱之為VPN，配置里并沒有專門的VPN的定義。也就是說，VPN的成員關(guān)系是通過路由所攜帶的RT屬性來獲得的。不同CE通過PE配置的VRF里的RT實現(xiàn)互訪與隔離，從而組成不同的VPN。通過RT的靈活使用，可以實現(xiàn)intranet,extranet,hub&spoke等不同VPN組網(wǎng)方式。在實際組網(wǎng)中，對于具有相同互訪隔離要求的一組VRF，可通過配置相同的RT來簡化配置和維護量?；ヂ?lián)網(wǎng)統(tǒng)一出口設(shè)計為保障政務(wù)外網(wǎng)與互聯(lián)網(wǎng)的邏輯隔離，在互聯(lián)網(wǎng)出口部署安全設(shè)備對互聯(lián)網(wǎng)訪問進行防護。為實現(xiàn)互聯(lián)網(wǎng)接入部分的安全，一般采用以下一代防火墻為主，多種技術(shù)手段結(jié)合的方法，在XXX市互聯(lián)網(wǎng)接

18、入部分，將在互聯(lián)網(wǎng)出口處部署下一代防火墻。對于統(tǒng)一互聯(lián)網(wǎng)出口，做為整個電子政務(wù)外網(wǎng)進入互聯(lián)網(wǎng)的出口，同時承擔著兩方面的作用：一是電子政務(wù)外網(wǎng)內(nèi)所有用戶訪問互聯(lián)網(wǎng)的出口；二是為公眾提供訪問政府信息的入口，同時也是可信用戶通過互聯(lián)網(wǎng)訪問政務(wù)外網(wǎng)的唯一通道。通過統(tǒng)一出口、統(tǒng)一管理，各接入部門只能通過統(tǒng)一出口訪問互聯(lián)網(wǎng)，以提高整個網(wǎng)絡(luò)的安全性。針對大量用戶同時訪問互聯(lián)網(wǎng)時，NAT地址轉(zhuǎn)化的問題，多核安全網(wǎng)關(guān)設(shè)備將提供硬件優(yōu)化的NAT轉(zhuǎn)換功能。XXX市電子政務(wù)外網(wǎng)平臺平臺城域網(wǎng)承擔全市統(tǒng)一門戶網(wǎng)站入口訪問和全部鄉(xiāng)鎮(zhèn)、市直單位的INTERNET出口訪問，流量非常大，線路安全要求高，為了更好的提高工作效率以

19、及提高整個XXX市電子政務(wù)外網(wǎng)平臺網(wǎng)絡(luò)系統(tǒng)的安全性，需要進行Internet鏈路出口改造。具體情況如下：今后所有的鄉(xiāng)鎮(zhèn)、區(qū)直單位將逐步改成通過設(shè)立在XXX市政府網(wǎng)控中心的統(tǒng)一出口來訪問互聯(lián)網(wǎng)資源，為了更好的提高工作效率以及提高整個XXX市電子政務(wù)外網(wǎng)平臺網(wǎng)絡(luò)系統(tǒng)的安全性，需要進行Internet鏈路出口改造。具體情況如下：1、全市電子政務(wù)外網(wǎng)網(wǎng)絡(luò)在出口上，建議租賃多條鏈路（多條數(shù)據(jù)鏈路冗余，實現(xiàn)鏈路）2、要有對出口流量進行管理的功能；3、要能實現(xiàn)透明的故障屏蔽；4、有可擴展性，隨著XXX市電子政務(wù)外網(wǎng)網(wǎng)絡(luò)的進一步擴展，要能保護目前的設(shè)備投資；5、部署一臺硬件認證網(wǎng)關(guān)對全網(wǎng)用戶上網(wǎng)進行實名制認證。保障合理合法的使用XXX市電子政務(wù)外網(wǎng)平臺應(yīng)用資源。6、在互聯(lián)網(wǎng)出口部署1臺下一代防火墻，實現(xiàn)網(wǎng)絡(luò)接入和