電子政務(wù)網(wǎng)絡(luò)架構(gòu)方案

1、1電子政務(wù)網(wǎng)絡(luò)架構(gòu) 華為3Com技術(shù)有限企業(yè)政府技術(shù)部第1頁2目錄1、電子政務(wù)建設(shè)概述2、網(wǎng)絡(luò)架構(gòu)詳細(xì)分析 3、政務(wù)網(wǎng)絡(luò)案例分析第2頁3電子政務(wù)企業(yè)（法人）政府部門公眾（自然人）政府員工電子政務(wù)建設(shè)目標(biāo)定位 G2G G2C G2E G2B第3頁4目錄1、電子政務(wù)建設(shè)概述2、網(wǎng)絡(luò)架構(gòu)詳細(xì)分析 廣域網(wǎng)架構(gòu)分析 城域網(wǎng)架構(gòu)分析 局域網(wǎng)架構(gòu)分析3、政務(wù)網(wǎng)絡(luò)案例分析第4頁5廣域網(wǎng)建設(shè)關(guān)注點(diǎn) 關(guān)注點(diǎn)1： MPLS VPN實(shí)現(xiàn)縱向業(yè)務(wù)系統(tǒng)隔離 關(guān)注點(diǎn)2： MPLS VPN跨域問題處理 關(guān)注點(diǎn)4：廣域網(wǎng)流量統(tǒng)計分析，提供廣域網(wǎng)優(yōu)化科學(xué)依據(jù) 關(guān)注點(diǎn)3：端到端QOS布署，實(shí)現(xiàn)關(guān)鍵業(yè)務(wù)帶寬保障第5頁6縣國土 縣林業(yè)

2、 縣水利 國土局 林業(yè)局 水利局 林業(yè)廳 水利廳 省直 省直 國土廳 省直 2.5G RPRGEGE地市州EIN2MN2MCPOSFEFEGEGEFE地市州地市州XX縣XX縣地市城域網(wǎng)匯聚(PE)(PE)(PE)(P)(P)(P)(P)(P)(P)(P)(P)(PE)(PE)(CE)(CE)(CE)(CE)(CE)(CE)(PE)(PE)(PE)(CE)(CE)(CE)(CE)城域網(wǎng)廣域網(wǎng)關(guān)注點(diǎn)1MPLS VPN第6頁7關(guān)注點(diǎn)1MPLS VPN省工商省稅務(wù)10.0.1.0/2410.0.1.0/24CEMCE/PEPEPE政務(wù)網(wǎng)地市工商10.0.2.0/24內(nèi)部服務(wù)器地市稅務(wù)10.0.2.0/

3、24CEPE內(nèi)部服務(wù)器PE縱向VPN子接口MCE/PE第7頁8PEPEPERTIMPORT 100:1EXPORT 200:1RTIMPORT 200:1EXPORT 100:1RTIMPORT 200:1EXPORT 100:1RTIMPORT 200:1EXPORT 100:1HUBSPOKESPOKESPOKEPE省廳A市局B市局C市局關(guān)注點(diǎn)1MPLS VPN第8頁9某部門省廳連接在PE1上,各地市局分別連接到PE2、PE3上。因?yàn)锽GP/MPLS VPN是由PE與CE接口VRF上配置對應(yīng)RT來決定路由關(guān)系，所以在省廳連接PE1對應(yīng)VRF上配置RT值使該VRF可接收來自A市局、B市局、C

4、市局路由，并將自己路由發(fā)送到A市局、B市局、C市局。在各市局PE上配置RT，使市局只能與省局交換路由而不能與其它市局直接交換路由。優(yōu)點(diǎn)：省局集中控制VPN內(nèi)通信，可經(jīng)過路由過濾方式禁止市局間直接通信，保障VPN內(nèi)可控性和安全性。如在A局病毒暴發(fā)時，可在省廳處經(jīng)過路由將該市局隔離，防止病毒蔓延。缺點(diǎn)：一是省局成為單點(diǎn)故障，一旦省局連接PE1發(fā)生故障，各市局間將不能正常通信。二是市局間數(shù)據(jù)交換集中在省廳所在PE上，增加了PE壓力。因?yàn)楫?dāng)前各部門紛紛采取數(shù)據(jù)大集中數(shù)據(jù)交換模式，市局間數(shù)據(jù)交換比較少，所以比較適合采取該模式。 關(guān)注點(diǎn)1MPLS VPN第9頁10PEPEPERTIMPORT 100:1E

5、XPORT 100:1RTIMPORT 100:1EXPORT 100:1RTIMPORT 100:1EXPORT 100:1RTIMPORT 100:1EXPORT 100:1HUBSPOKESPOKESPOKEPE省廳A市局B市局C市局關(guān)注點(diǎn)1MPLS VPN第10頁11某部門省廳連接在PE1上,各地市局分別連接到PE2、PE3上。因?yàn)锽GP/MPLS VPN是由PE與CE接口VRF上配置對應(yīng)RT來決定路由關(guān)系，所以在省廳和各市局連接PE對應(yīng)VRF上配置RT值使該VRF可接收來自其余市局路由，即省廳和各市局完全處于對等狀態(tài)，相互之間完全能夠交互路由信息。優(yōu)點(diǎn)：無單點(diǎn)故障，無性能瓶頸。缺點(diǎn)：

6、無法做到集中控制，安全性不高。關(guān)注點(diǎn)1MPLS VPN第11頁12關(guān)注點(diǎn)2MPLS VPN跨域要求ASBR設(shè)備為每個跨域VPN分配子接口，所以能夠能夠?qū)崿F(xiàn)跨域流量監(jiān)管，實(shí)現(xiàn)對每個VPN計費(fèi)，不過對ASBR壓力非常大，而且PE設(shè)備需要維護(hù)跨域VPN路由，可管理性和可擴(kuò)展性較差；第12頁13關(guān)注點(diǎn)2MPLS VPN跨域?qū)SBR壓力最小，但因?yàn)樾枰E間跨域LSP，所以可管理性也比較差。第13頁14關(guān)注點(diǎn)2MPLS VPN跨域?qū)SBR壓力也比較大，但能夠經(jīng)過ASBR擴(kuò)容來處理，沒有PE設(shè)備跨域VPN路由維護(hù)問題，所以適用范圍較廣；第14頁15A省廳網(wǎng)絡(luò)B省廳網(wǎng)絡(luò)A市局網(wǎng)絡(luò)B市局網(wǎng)絡(luò)CECEC

7、ECEPEPEPPPP在IP網(wǎng)絡(luò)上，為了對不一樣業(yè)務(wù)提供不一樣服務(wù)，主要是利用IP報文頭部TOS域來進(jìn)行標(biāo)識。依據(jù)TOS域來決定報文轉(zhuǎn)發(fā)行為PE在給報文加Label時，把IP報文攜帶IP優(yōu)先級標(biāo)識映射到標(biāo)簽EXP域，這么原來由IP攜帶服務(wù)類型信息現(xiàn)在由標(biāo)簽攜帶因?yàn)镻路由器不會檢驗(yàn)內(nèi)層MPLS標(biāo)簽，所以這個IP報文攜帶IP優(yōu)先級標(biāo)識也必需映射到外層標(biāo)簽EXP域。為了支持端到端QOS，每個LSP經(jīng)過EXP域能夠支持多達(dá)8種不一樣等級業(yè)務(wù)為了支持端到端QOS，每個LSP經(jīng)過EXP域能夠支持多達(dá)8種不一樣等級業(yè)務(wù)PE在去掉報文Label時，把標(biāo)簽EXP域映射到IP報文攜帶IP優(yōu)先級標(biāo)識上。這么原來由標(biāo)

8、簽攜帶服務(wù)類型信息現(xiàn)在由IP優(yōu)先級標(biāo)識攜帶關(guān)注點(diǎn)3端到端QOS第15頁16網(wǎng)絡(luò)流量監(jiān)控網(wǎng)絡(luò)應(yīng)用分布網(wǎng)絡(luò)瓶頸分析服務(wù)質(zhì)量監(jiān)控網(wǎng)絡(luò)故障分析流量異常告警關(guān)注點(diǎn)4網(wǎng)絡(luò)流量統(tǒng)計分析第16頁17目錄1、電子政務(wù)建設(shè)概述2、網(wǎng)絡(luò)架構(gòu)詳細(xì)分析 廣域網(wǎng)架構(gòu)分析 城域網(wǎng)架構(gòu)分析 局域網(wǎng)架構(gòu)分析3、政務(wù)網(wǎng)絡(luò)案例分析第17頁18城域網(wǎng)建設(shè)關(guān)注點(diǎn) 關(guān)注點(diǎn)1：關(guān)鍵層采取RPR環(huán)網(wǎng)（50ms倒換）確保關(guān)鍵業(yè)務(wù)不中止 關(guān)注點(diǎn)2：利用MPLS VPN實(shí)現(xiàn)各政府部門安全隔離和受控互訪 關(guān)注點(diǎn)4：使用MPLS VPN維護(hù)軟件實(shí)現(xiàn)對城域網(wǎng)VPN靈活便捷布署 關(guān)注點(diǎn)3：經(jīng)過詳細(xì)流量統(tǒng)計分析工具實(shí)現(xiàn)對城域網(wǎng)流量準(zhǔn)確控制第18頁19ABC

9、D擁塞1000M1000M1000M關(guān)鍵業(yè)務(wù)帶寬確保（公平算法RPR-fa） 帶寬共享，為提升帶寬利用率，建立公平機(jī)制 公平算法是全局、基于整個環(huán)網(wǎng)級別 經(jīng)過監(jiān)測流量、反壓機(jī)制實(shí)現(xiàn) 帶寬管理可確保高優(yōu)先級數(shù)據(jù)和控制無阻塞 可經(jīng)過設(shè)置節(jié)點(diǎn)權(quán)重，實(shí)現(xiàn)加權(quán)公平關(guān)注點(diǎn)1RPR環(huán)網(wǎng)第19頁20華為3COMIP環(huán)網(wǎng)綜合兩種倒換方式優(yōu)點(diǎn)，采取二者相結(jié)合方式，先Wrapping后Steering，到達(dá)最優(yōu)保護(hù)性能。ABCDEFABCDEFABCDEF正常情況下數(shù)據(jù)傳送故障順利馬上啟用Wrap方式保護(hù)拓?fù)浣Y(jié)構(gòu)穩(wěn)定后切換到Steering方式Wrap繞回方式，在故障邊節(jié)點(diǎn)處自動環(huán)回。特點(diǎn)：速度快，基本無數(shù)據(jù)丟失，

10、缺點(diǎn)是浪費(fèi)帶寬。Steering抄近方式，更改拓?fù)洌匦掠嬎懵酚?。特點(diǎn)：速度慢，帶寬利用高，但可能有數(shù)據(jù)丟失。關(guān)注點(diǎn)1RPR環(huán)網(wǎng)第20頁21省政府市政府區(qū)縣政府省工商局市工商局區(qū)縣工商局省勞動廳市勞動局區(qū)縣勞動局縱向網(wǎng)絡(luò)結(jié)構(gòu)橫向網(wǎng)絡(luò)結(jié)構(gòu)橫向網(wǎng)絡(luò)：信息共享，跨部門協(xié)作縱向網(wǎng)絡(luò)：業(yè)務(wù)運(yùn)作，行業(yè)管理與監(jiān)管 政務(wù)網(wǎng) MPLS VPN 關(guān)注點(diǎn)2MPLS VPN第21頁22工商10.0.1.0/24MCE政務(wù)網(wǎng)前置機(jī)160.0.4.1/24稅務(wù)10.0.1.0/24CE前置機(jī)160.0.1.1/24內(nèi)部服務(wù)器10.0.1.1PEPEPE內(nèi)部服務(wù)器10.0.1.1注釋:資源共享區(qū)前置機(jī)為一個共享VPN,其它

11、職能部門前置機(jī)分別為獨(dú)立VPN為確保安全性，前置機(jī)與內(nèi)部服務(wù)經(jīng)過網(wǎng)閘進(jìn)行數(shù)據(jù)交換各業(yè)務(wù)部門數(shù)據(jù)經(jīng)過前置機(jī)上傳到資源共享中心數(shù)據(jù)庫中優(yōu)勢：采集信息數(shù)據(jù)在政務(wù)外網(wǎng)上以VPN方式傳遞，保障了數(shù)據(jù)安全性前置VPN子接口資源共享中心數(shù)據(jù)庫前置機(jī)160.0.2.1/24共享資源網(wǎng)站入口160.0.3.1/24前置VPN子接口公共前置VPN子接口PE關(guān)注點(diǎn)2MPLS VPNFW數(shù)據(jù)庫數(shù)據(jù)庫數(shù)據(jù)庫集中式互訪第22頁23注釋:職能部門前置機(jī)分別為獨(dú)立VPN優(yōu)勢：采集信息數(shù)據(jù)在政務(wù)外網(wǎng)上以VPN方式傳遞，保障了數(shù)據(jù)安全性，經(jīng)過RT靈活控制，實(shí)現(xiàn)不一樣職能部門前置機(jī)受控互訪集中式和分布式不是對立，而是互補(bǔ)關(guān)系工商1

12、0.0.1.0/24政務(wù)網(wǎng)前置機(jī)160.0.2.1/24稅務(wù)10.0.1.0/24CE前置機(jī)160.0.1.1/24工商信用服務(wù)器10.0.1.1PE內(nèi)部服務(wù)器10.0.1.1前置VPN子接口前置VPN子接口PEPE前置機(jī)160.0.3.1/24財政10.0.1.0/24CE內(nèi)部服務(wù)器10.0.1.1前置VPN子接口MCE關(guān)注點(diǎn)2MPLS VPN分布式互訪第23頁24政務(wù)外網(wǎng)工商10.0.1.0/24CE門戶網(wǎng)站160.0.3.1稅務(wù)10.0.1.0/24CE門戶網(wǎng)站160.0.1.1內(nèi)部服務(wù)器10.0.1.1PEPEInternet vpn子接口PEInternetInternet注釋:全部

13、對公眾提供訪問WEB服務(wù)器放到一個Internet VPN，政務(wù)外網(wǎng)出口防火墻作為CE設(shè)備此方式適合門戶網(wǎng)站采取ISP分配地址優(yōu)勢：實(shí)現(xiàn)簡單，一個大VPN DNS規(guī)劃簡單劣勢：政府部門訪問政務(wù)外網(wǎng)門 戶網(wǎng)站產(chǎn)生迂回路由，增加 防火墻負(fù)擔(dān)公眾服務(wù)中心數(shù)據(jù)庫對外公布門戶網(wǎng)站DNSInternet vpn子接口Internet vpn子接口數(shù)據(jù)庫數(shù)據(jù)庫MCEInternet vpn子接口PE防火墻可能執(zhí)行一對一NAT操作關(guān)注點(diǎn)2MPLS VPN公眾訪問1第24頁25政務(wù)外網(wǎng)工商10.0.1.0/24CE門戶網(wǎng)站160.0.3.1稅務(wù)10.0.1.0/24CE門戶網(wǎng)站160.0.1.1內(nèi)部服務(wù)器10.

14、0.1.1PEPE公網(wǎng)子接口防火墻可能執(zhí)行一對一NAT操作PEInternetInternet注釋:傳統(tǒng)實(shí)現(xiàn)方式優(yōu)勢：政府部門訪問政務(wù)外網(wǎng)不 產(chǎn)生迂回路由劣勢：假如采取ISP分配地址， DNS規(guī)劃復(fù)雜公眾服務(wù)中心數(shù)據(jù)庫對外公布門戶網(wǎng)站DNS公網(wǎng)子接口公網(wǎng)子接口數(shù)據(jù)庫數(shù)據(jù)庫MCEPE關(guān)注點(diǎn)2MPLS VPN公眾訪問2第25頁26政務(wù)外網(wǎng)工商10.0.1.0/24CE門戶網(wǎng)站160.0.3.1稅務(wù)10.0.1.0/24CE門戶網(wǎng)站160.0.1.1內(nèi)部服務(wù)器10.0.1.1PE公網(wǎng)子接口防火墻可能執(zhí)行二次NAT操作PEInternetInternet注釋:對于防火墻接入，可采取公網(wǎng)子接口對于MCE

15、/PE接入，可采取VRF全局靜態(tài)路由方式，此方式最大問題是布署問題，也能夠設(shè)置一條全局缺省路由指向連接InternetPE設(shè)備，經(jīng)過這臺PE設(shè)備中轉(zhuǎn)流量假如采取ISP分配地址，DNS設(shè)計復(fù)雜公眾服務(wù)中心數(shù)據(jù)庫對外公布門戶網(wǎng)站DNS公網(wǎng)子接口公網(wǎng)子接口數(shù)據(jù)庫數(shù)據(jù)庫MCEPEPE縱向VPN子接口PE設(shè)備必須執(zhí)行NAT轉(zhuǎn)換防火墻可執(zhí)行NAT轉(zhuǎn)換這時不用PE執(zhí)行NAT操作關(guān)注點(diǎn)2MPLS VPN內(nèi)部訪問Internet第26頁27政務(wù)外網(wǎng)稅務(wù)10.0.1.0/24CE數(shù)據(jù)中心門戶網(wǎng)站托管公眾服務(wù)區(qū)PEPE公網(wǎng)子接口PE注釋:門戶網(wǎng)站分配兩個IP地址，一個為縱向網(wǎng)私有地址，用于加入縱向VPN，進(jìn)行維護(hù)。

16、一個為政務(wù)外網(wǎng)IP地址，用于提供公共服務(wù)，門戶網(wǎng)站主機(jī)兩網(wǎng)卡間不能起路由協(xié)議門戶網(wǎng)站托管門戶網(wǎng)站托管門戶網(wǎng)站托管PEPE縱向VPN子接口防火墻可能執(zhí)行NAT-PT操作Internet私網(wǎng)IP10.0.2.1/28政務(wù)外網(wǎng)IP160.0.1.1/28維護(hù)數(shù)據(jù)流Internet訪問流量關(guān)注點(diǎn)2MPLS VPN托管網(wǎng)站維護(hù)第27頁28政務(wù)外網(wǎng)注釋:路由多實(shí)例設(shè)備（MCE）經(jīng)過多個子接口上聯(lián)到PE設(shè)備，其中公網(wǎng)子接口用于其余用戶訪問門戶網(wǎng)站，縱向VPN子接口用于縱向系統(tǒng)訪問，前置VPN子接口用于訪問前置機(jī)。路由多實(shí)例完成安全隔離功效?？v向用戶訪問公網(wǎng)經(jīng)過縱向VPN子接口，此時需要PE設(shè)備VRF表設(shè)置多

17、條靜態(tài)路由指向公布公眾服務(wù)PE設(shè)備，缺省路由指向Internet網(wǎng)關(guān)PE?？v向用戶訪問政府資源共享業(yè)務(wù)經(jīng)過縱向VPN子接口訪問。前置服務(wù)器和門戶網(wǎng)站各分配兩個IP地址，公有IP用于政務(wù)外網(wǎng)互訪，私有IP為縱向網(wǎng)中地址，用于設(shè)備維護(hù)，前置服務(wù)器和門戶網(wǎng)站兩網(wǎng)卡間不能啟用路由協(xié)議PE完成NAT多實(shí)例操作前置服務(wù)器160。0。1。110。0。1。1門戶網(wǎng)站160。0。2。110。0。1。210.0.1.0/24用戶側(cè)公網(wǎng)子接口前置VPN子接口縱向VPN子接口MCEPE關(guān)注點(diǎn)2MPLS VPN接入方式MCE第28頁29政務(wù)外網(wǎng)注釋:此種方式適合用于用戶側(cè)與政務(wù)外網(wǎng)相連鏈路不支持子接口鏈路。采取HOPE

18、處理方案，政務(wù)外網(wǎng)PE設(shè)備為SPE，用戶側(cè)設(shè)備為UPE。SPE維護(hù)其經(jīng)過UPE連接VPN全部路由，包含當(dāng)?shù)睾瓦h(yuǎn)程Site路由，但SPE不公布遠(yuǎn)程Site路由給UPE，只公布VPN實(shí)例缺省路由或聚合路由給UPE。UPE維護(hù)其直接相連VPN Site路由，但不維護(hù)VPN中其它遠(yuǎn)程Site路由或僅維護(hù)它們聚合路由。UPE為其直接相連Site路由分配內(nèi)層標(biāo)簽，并經(jīng)過MP-BGP隨VPN路由公布此標(biāo)簽給SPE。 NAT操作能夠發(fā)生在SPE設(shè)備，也能夠發(fā)生在UPE設(shè)備。其它與MCE接入方式一致。前置服務(wù)器160。0。1。110。0。1。1門戶網(wǎng)站160。0。2。110。0。1。210.0.1.0/24用戶

19、側(cè)公網(wǎng)子接口前置VPN子接口縱向VPN子接口SPEUPE接入方式UPE關(guān)注點(diǎn)2MPLS VPN第29頁30政務(wù)外網(wǎng)注釋:防火墻采取子接口方式上聯(lián)到PE設(shè)備用戶側(cè)上行流量理論上能夠訪問任何信息資源下行流量只允許縱向VPN流量經(jīng)過。防火墻可執(zhí)行NAT操作。前置服務(wù)器160。0。1。110。0。1。1門戶網(wǎng)站160。0。2。110。0。1。210.0.1.0/24用戶側(cè)公網(wǎng)子接口前置VPN子接口縱向VPN子接口PECE接入方式防火墻關(guān)注點(diǎn)2MPLS VPN第30頁31網(wǎng)絡(luò)中業(yè)務(wù)，哪些正當(dāng)，哪些是違規(guī)？網(wǎng)絡(luò)中數(shù)據(jù)流，哪些影響了我網(wǎng)絡(luò)運(yùn)行？網(wǎng)絡(luò)流量怎樣，帶寬需不需要擴(kuò)容？鏈路擁塞，誰在消耗帶寬？網(wǎng)絡(luò)環(huán)境

20、日趨成熟，新業(yè)務(wù)不停出現(xiàn)；IT應(yīng)用日益復(fù)雜化；用戶需要統(tǒng)計分析工具來幫助其了解、分析進(jìn)而管理網(wǎng)絡(luò)中流量資源，實(shí)現(xiàn)網(wǎng)絡(luò)優(yōu)化關(guān)注點(diǎn)3流量分析第31頁32網(wǎng)絡(luò)流量監(jiān)控網(wǎng)絡(luò)應(yīng)用分布網(wǎng)絡(luò)瓶頸分析服務(wù)質(zhì)量監(jiān)控網(wǎng)絡(luò)故障分析流量異常告警網(wǎng)絡(luò)可度量、可評定關(guān)注點(diǎn)3NTANTA，Network Traffic Analysis，基于TCPIP協(xié)議四層，針對應(yīng)用服務(wù)流向進(jìn)行分析處理方案，用于對網(wǎng)絡(luò)數(shù)據(jù)信息進(jìn)行綜合分析、挖掘系統(tǒng)。第32頁33關(guān)注點(diǎn)3NTA第33頁34VPN Manager支持MPLS L2/L3 VPN、跨域VPN、HoPE多廠商設(shè)備支持Step by Step業(yè)務(wù)規(guī)劃可調(diào)度業(yè)務(wù)布署網(wǎng)絡(luò)資源、VPN

21、業(yè)務(wù)發(fā)覺可靠業(yè)務(wù)確保VPN配置審計VPN連通性審計圖形化流量監(jiān)控智能業(yè)務(wù)告警分析完善VPN用戶信息管理全網(wǎng)資源統(tǒng)一管理分支機(jī)構(gòu)WEB自助CNM商務(wù)協(xié)議Service Management Layer (SML)Network Management Layer (NML)Element Management Layer (EML)Business Management Layer (BML)MPLS 網(wǎng)絡(luò)關(guān)注點(diǎn)4MPLS VPN管理軟件第34頁35多廠商管理華為3COM設(shè)備Cisco設(shè)備MPLS L2 VPN 管理(VPLS、Martini、Kompella)MPLS L3 VPN 管理支持Ho

22、PE ( 分層PE )支持跨域VPN管理MPLS L2 VPN隧道跨域MPLS L3 VPN第三方廠商設(shè)備關(guān)注點(diǎn)4MPLS VPN管理軟件第35頁36 規(guī)劃 預(yù)覽 調(diào)整向?qū)綐I(yè)務(wù)規(guī)劃圖形化直觀顯示規(guī)劃結(jié)果在原規(guī)劃基礎(chǔ)上方便修改“拷貝創(chuàng)建”功效縮短相同業(yè)務(wù)規(guī)劃時間MPLS VPN業(yè)務(wù)管理Step By Step業(yè)務(wù)規(guī)劃VPN拓?fù)洌篒ntranet、Extranet；Full-mesh、Hub-and-spokePE-CE路由：STATIC、RIP、BGP、OSPFVPN Manager第36頁37端到端業(yè)務(wù)布署CEPEPE手工布署定時任務(wù)布署布署成功后自動審計定時任務(wù)MPLS VPN業(yè)務(wù)管理可調(diào)

23、度業(yè)務(wù)布署手工布署VPN Manager第37頁38MPLS VPN業(yè)務(wù)管理全網(wǎng)VPN視圖 全網(wǎng)全部VPN當(dāng)前狀態(tài)一目了然拓?fù)湟晥D若僅顯示PE-CE或CE-CE連接，則缺乏全局觀，無法知曉當(dāng)前哪個VPN存在問題把每個VPN作為顯示對象，有沒有問題一目了然（包含流量是否超出閾值）這個VPN有問題啦！VPN Manager第38頁39電子政務(wù)城域網(wǎng)（大型城市）10G/2.5G RPR關(guān)鍵層匯聚層GEGEGEGE用戶接入層城域關(guān)鍵路由器城域關(guān)鍵路由器城域關(guān)鍵路由器城域關(guān)鍵路由器匯聚層交換機(jī)PPPPPEPE電子政務(wù)省干省干地市路由器CEMCEPEGEGEFEMCESDHCE匯聚層路由器E1N*E1GE

24、FEFECECE第39頁40城域關(guān)鍵路由器主要提供高速數(shù)據(jù)轉(zhuǎn)發(fā)，提議采取10G/2.5G RPR形成環(huán)網(wǎng)進(jìn)行保護(hù)。10G/2.5GRPRNGE城域關(guān)鍵路由器10G/2.5GRPR大型城域網(wǎng)設(shè)備選型提議城域關(guān)鍵路由器功效要求MPLS VPN & MPLS TEACL，組播QoS(IP DiffServ & MPLS DiffServ)IPv6（硬件支持）可靠性要求關(guān)鍵部件冗余配置支持VRRP/HSRP支持NSF，GR接口要求10G/2.5G RPR2.5G POSGE第40頁41大型城域網(wǎng)設(shè)備選型提議匯聚層設(shè)備匯聚層設(shè)備主要提供高密度GE/FE接入或E1接入，負(fù)擔(dān)MPLS PE/MCE功效，PE

25、要求支持NAT多實(shí)例。GEGEGE功效要求MPLS VPN NAT多實(shí)例ACL，組播QoS(IP DiffServ & MPLS DiffServ)可靠性要求關(guān)鍵部件冗余配置支持VRRP/HSRP接口要求GE/FEE1GEGEE1GEE1FEGEFE匯聚交換機(jī)做PE匯聚路由器做PE匯聚交換機(jī)做MCE第41頁42電子政務(wù)城域網(wǎng)（中型城市）GEGEGE城域關(guān)鍵交換機(jī)省干接入城域關(guān)鍵交換機(jī)匯聚層地市骨干路由器電子政務(wù)省干省干地市路由器關(guān)鍵層用戶接入層CEGEPEPEPE城域匯聚交換機(jī)城域匯聚交換機(jī)城域匯聚交換機(jī)GECECECECECEFEGEGEGEGEGEPPP/PE第42頁43中型城域網(wǎng)設(shè)備選型

26、提議GEGEGE功效要求MPLS VPN NAT多實(shí)例ACL，組播QoS(IP DiffServ & MPLS DiffServ)可靠性要求關(guān)鍵部件冗余配置支持VRRP/HSRP接口要求GE/FEGEGEGEGEFE城域關(guān)鍵交換機(jī)做P城域匯聚交換機(jī)做PE第43頁44電子政務(wù)城域網(wǎng)（小型城市）FEGE城域關(guān)鍵交換機(jī)省干接入城域關(guān)鍵交換機(jī)用戶接入層地市骨干路由器電子政務(wù)省干省干地市路由器關(guān)鍵層GEGECECECECEPEPEP/PE第44頁45小型城域網(wǎng)設(shè)備選型提議功效要求MPLS VPN NAT多實(shí)例ACL，組播QoS(IP DiffServ & MPLS DiffServ)可靠性要求關(guān)鍵部件冗

27、余配置支持VRRP/HSRP接口要求GE/FEGEGEGEFE城域關(guān)鍵交換機(jī)做PE第45頁46目錄1、電子政務(wù)建設(shè)概述2、網(wǎng)絡(luò)架構(gòu)詳細(xì)分析 廣域網(wǎng)架構(gòu)分析 城域網(wǎng)架構(gòu)分析 局域網(wǎng)架構(gòu)分析3、政務(wù)網(wǎng)絡(luò)案例分析第46頁47局域網(wǎng)建設(shè)關(guān)注點(diǎn) 關(guān)注點(diǎn)1：對局域網(wǎng)用戶進(jìn)行安全認(rèn)證和行為控制 關(guān)注點(diǎn)2：三層交換到桌面確保整網(wǎng)安全性，屏蔽各種二層攻擊 關(guān)注點(diǎn)4：新一代局域網(wǎng)趨勢：萬兆骨干、千兆桌面、WLAN、多業(yè)務(wù)融合 關(guān)注點(diǎn)3：接入層含有良好擴(kuò)展性，能夠隨需而變第47頁48補(bǔ)丁策略防病毒策略用戶身份管理策略應(yīng)用系統(tǒng)使用策略網(wǎng)絡(luò)資源訪問策略其它策略難執(zhí)行！ 用戶不重視 不能及時準(zhǔn)確了 解終端安全情況 有意違

28、反 無法強(qiáng)制執(zhí)行主要原因用戶安全管理策略缺乏有效技術(shù)伎倆實(shí)現(xiàn)終端安全、身份認(rèn)證、資源訪問權(quán)限統(tǒng)一管理！關(guān)注點(diǎn)1用戶接入控制第48頁49端點(diǎn)準(zhǔn)入防御（EAD，Endpoint Admission Defense）處理方案從網(wǎng)絡(luò)接入端點(diǎn)安全控制入手，經(jīng)過安全客戶端、安全策略服務(wù)器、網(wǎng)絡(luò)設(shè)備以及第三方軟件聯(lián)動，對接入網(wǎng)絡(luò)用戶終端強(qiáng)制實(shí)施企業(yè)安全策略。關(guān)注點(diǎn)1用戶接入控制與防病毒軟件聯(lián)動防御隔離防御能力脆弱用戶終端及時更新系統(tǒng)補(bǔ)丁，提升抵抗力提升用戶終端主動防御能力身份認(rèn)證與防御能力認(rèn)證結(jié)合與專業(yè)防病毒系統(tǒng)聯(lián)動多重權(quán)限控制(VLAN/ACL/QoS)各種安全部件聯(lián)動防御用戶安全接入策略統(tǒng)一管理組織級安

29、全策略強(qiáng)制實(shí)施用戶安全狀態(tài)集中審計集中策略實(shí)施與管理事前：用戶身份和防御能力認(rèn)證事中：用戶安全狀態(tài)和行為監(jiān)控事后：用戶安全狀態(tài)和行為審計以用戶為中心全程管理主動防御全方面防御集中策略管理以用戶為中心第49頁50不合格進(jìn)入隔離區(qū)強(qiáng)制修復(fù)隔離區(qū)安全認(rèn)證正當(dāng)用戶非法用戶拒絕入網(wǎng)身份認(rèn)證接入請求你是誰？政務(wù)網(wǎng)絡(luò)動態(tài)授權(quán)合格用戶不一樣用戶享用不一樣網(wǎng)絡(luò)使用權(quán)限你安全嗎？你能夠做什么？你在做什么？行為審計關(guān)注點(diǎn)1用戶接入控制第50頁51個人用戶性能和安全性更高。當(dāng)前局域網(wǎng)大部分均采取私網(wǎng)地址，IP地址資源普通都比較充裕，能夠采取30位掩碼劃分網(wǎng)段，一個用戶一個網(wǎng)段，而且一個網(wǎng)段內(nèi)最多也只能接入一個用戶，全

30、部用戶之間互訪均經(jīng)過三層交換實(shí)現(xiàn)。采取這種三層到桌面方式能夠有效隔離用戶之間二層報文，包含二層廣播報文以及二層攻擊報文，能夠極大提升用戶個人安全。同時，采取一個用戶一個網(wǎng)段、一個網(wǎng)段最多一個用戶策略，能夠徹底杜絕用戶IP地址假冒問題，因?yàn)椴灰粯佣丝诰W(wǎng)段均不相同，即使有些人假冒他人IP地址也無法實(shí)現(xiàn)網(wǎng)絡(luò)接入。網(wǎng)絡(luò)整體性能和安全性提升。經(jīng)過三層到桌面方式，整個網(wǎng)絡(luò)中將不再有二層報文，二層攻擊事件徹底杜絕，設(shè)備與設(shè)備之間級連鏈路上將只有三層報文流通，極大提升了網(wǎng)絡(luò)帶寬利用率與網(wǎng)絡(luò)安全性。關(guān)注點(diǎn)2三層到桌面第51頁52傳統(tǒng)交換網(wǎng)絡(luò)不足冗余是經(jīng)過網(wǎng)絡(luò)規(guī)劃來實(shí)現(xiàn)，難以均衡，屬于被動方式通常每臺設(shè)備都需要一

31、個管理IP地址，設(shè)備眾多，管理不便LACP不能跨設(shè)備早期組網(wǎng)投資較大關(guān)注點(diǎn)3智能彈性架構(gòu)傳統(tǒng)網(wǎng)絡(luò)問題第52頁53IRF介紹關(guān)注點(diǎn)3智能彈性架構(gòu)設(shè)備級可靠服務(wù)器接入設(shè)備IRF數(shù)據(jù)中心 Server Farm 提升網(wǎng)絡(luò)可靠性實(shí)現(xiàn)跨設(shè)備端口捆綁,沒有單點(diǎn)故障IRF設(shè)備對外來看是一個設(shè)備,實(shí)現(xiàn)1:N備份實(shí)現(xiàn)基于IRF路由熱備份環(huán)狀I(lǐng)RF結(jié)構(gòu)含有高度可靠性，任何情況下環(huán)形鏈路被斷開均不影響整個IRF結(jié)構(gòu)正常業(yè)務(wù)處理基于IRF架構(gòu)保障服務(wù)器接入高可靠性第53頁54傳統(tǒng)組網(wǎng)對用戶要求IRF組網(wǎng)對用戶要求可用性多交換機(jī)冗余,且不能很好負(fù)載均衡大大提升了投資成本,投資效率低多臺分布交換機(jī)各自為政,整體備份每臺設(shè)

32、備都物有所值擴(kuò)展性采取機(jī)架式交換機(jī),插卡實(shí)現(xiàn)提前購置槽位和功效按需求增加構(gòu)架交換機(jī)數(shù)量漸進(jìn)發(fā)展,按需購置,為看到需求花錢管理性獨(dú)立式管理每臺設(shè)備,浪費(fèi)資源管理復(fù)雜,增加維護(hù)成本統(tǒng)一式管理簡單易用,易于維護(hù)關(guān)注點(diǎn)3智能彈性架構(gòu)第54頁55關(guān)注點(diǎn)4萬兆骨干、千兆桌面桌面網(wǎng)絡(luò)資源不足已經(jīng)嚴(yán)重滯后了工作效率用戶工作平臺首先是一個網(wǎng)絡(luò)平臺。與工作搭檔、外部客戶、內(nèi)部關(guān)鍵服務(wù)器等大量數(shù)據(jù)、信息交流溝通日益成為工作關(guān)鍵。組播或視頻點(diǎn)播、帶大附件電子郵件、文件傳輸器、按需備份和恢復(fù)、CRM/ERP以及Web和Java工具等各種應(yīng)用都成為吞噬帶寬殺手，千兆位以太網(wǎng)逐步延伸到桌面已經(jīng)成為最迫切需要之一。 需要大容

33、量帶寬語音、視頻、多媒體等應(yīng)用很得“民心”，網(wǎng)絡(luò)價值正在快速顯現(xiàn)。社會經(jīng)濟(jì)快速發(fā)展，企業(yè)、政府、教育、金融、電力等等各種行業(yè)不停追求辦公、辦事效率優(yōu)化，一樣對高帶寬辦公網(wǎng)有著迫切需求。第55頁56關(guān)注點(diǎn)4萬兆骨干、千兆桌面技術(shù)層面千兆、萬兆以太網(wǎng)技術(shù)已經(jīng)相當(dāng)成熟。大家都希望能夠取得最大帶寬，不過沒有些人希望自己網(wǎng)絡(luò)整天出問題，為了處理網(wǎng)絡(luò)問題絞盡腦汁、疲于奔命。對新技術(shù)穩(wěn)定性擔(dān)憂一度妨礙了千兆、萬兆大規(guī)模應(yīng)用。千兆和萬兆標(biāo)準(zhǔn)已經(jīng)相當(dāng)完善。萬兆以太網(wǎng)就已經(jīng)提出并經(jīng)過IEEE評審公布，而1000BASE-T標(biāo)準(zhǔn)（802.3ab）早在1999年就已經(jīng)公布，而且采取標(biāo)準(zhǔn)第5類（Cat 5）銅線電纜傳送

34、信號，這使得大部分網(wǎng)絡(luò)改造無需重新布線。千兆接口能夠經(jīng)過自適應(yīng)技術(shù)兼容以前10M、100M終端。技術(shù)標(biāo)準(zhǔn)化大大推進(jìn)了千兆、萬兆技術(shù)發(fā)展和應(yīng)用，當(dāng)前，客戶對于千兆甚至萬兆穩(wěn)定性擔(dān)憂正逐步成為過去。第56頁57關(guān)注點(diǎn)4萬兆骨干、千兆桌面價格層面價格大幅下降是實(shí)現(xiàn)“千兆到桌面”前提條件要規(guī)模應(yīng)用就必須在價格上使客戶能夠接收，尤其是在接入側(cè)端口數(shù)量巨大，價格影響不容忽略。千兆網(wǎng)卡大量應(yīng)用。當(dāng)前新PC主板中很多已經(jīng)包含了內(nèi)置千兆網(wǎng)卡。千兆網(wǎng)卡價格已經(jīng)靠近百兆網(wǎng)卡，一些廠商10/100/1000M網(wǎng)卡價格已經(jīng)降低到100元左右。半導(dǎo)體技術(shù)發(fā)展。半導(dǎo)體技術(shù)發(fā)展拉動了“千兆到桌面”發(fā)展。千兆網(wǎng)絡(luò)芯片市場競爭激

35、烈，芯片網(wǎng)端口價格大幅下降，網(wǎng)絡(luò)用戶成為最大獲益者。萬兆價格下滑。當(dāng)前高密度萬兆接口板推出及萬兆端口價格下滑，使萬兆應(yīng)用范圍從關(guān)鍵向邊緣甚至接入層遷移，也極大促進(jìn)了千兆到桌面發(fā)展。第57頁58關(guān)注點(diǎn)4WLAN布署無線局域網(wǎng)，凡是自由空間均可連接網(wǎng)絡(luò)，不受限于線纜和端口位置辦公大樓接待室室外休息室第58頁59關(guān)注點(diǎn)4多業(yè)務(wù)融合政府下屬單位匯接PBX辦公PBX匯接PBX辦公PBX交換機(jī) 路由器交換機(jī) 路由器2ME1155M/622M 網(wǎng)關(guān) 網(wǎng)關(guān)CS MCU會議電視會議電視MCU 可視電話IP電話可視電話IP電話第59頁60成功案例分析公安部新大樓高檢院新大樓知識產(chǎn)權(quán)局新大樓北京高法院新大樓用戶接入

36、控制三層到桌面智能彈性架構(gòu)萬兆主干，千兆桌面關(guān)注點(diǎn)第60頁61Floor12# S6506R1# S6506R4# S6506R6# S6506R3# S6506RFloor82# S6506R1# S6506R4# S6506R6# S6506R3# S6506R網(wǎng)絡(luò)接入層網(wǎng)絡(luò)管理層關(guān)鍵交換機(jī)10GE10GE網(wǎng)管中心網(wǎng)絡(luò)關(guān)鍵層Web/Mail/DNS千兆鏈路公安部新辦公大樓局域網(wǎng)GE2GEGEGEGEGE公安部一級網(wǎng)關(guān)鍵交換機(jī)CAMS認(rèn)證服務(wù)器第61頁62網(wǎng)絡(luò)接入層網(wǎng)絡(luò)管理層S8512S851210GECAMS用戶認(rèn)證平臺網(wǎng)管中心Web/Mail/DNSGE最高人民檢察院新辦公大樓局域網(wǎng)檢察院一級網(wǎng)網(wǎng)絡(luò)關(guān)鍵層2#配線間3#配線間4#配線間5#配線間6#配線間7#配線間8#配線間4*GE10GE2*10GE2*10GE2*10GE4*GE2*GE9#配線間10#配線間11#配線間12#配線間13#配線