電子政務(wù)網(wǎng)絡(luò)架構(gòu)方案

1、1電子政務(wù)網(wǎng)絡(luò)架構(gòu) 華為3Com技術(shù)有限企業(yè)政府技術(shù)部第1頁(yè)2目錄1、電子政務(wù)建設(shè)概述2、網(wǎng)絡(luò)架構(gòu)詳細(xì)分析 3、政務(wù)網(wǎng)絡(luò)案例分析第2頁(yè)3電子政務(wù)企業(yè)（法人）政府部門(mén)公眾（自然人）政府員工電子政務(wù)建設(shè)目標(biāo)定位 G2G G2C G2E G2B第3頁(yè)4目錄1、電子政務(wù)建設(shè)概述2、網(wǎng)絡(luò)架構(gòu)詳細(xì)分析 廣域網(wǎng)架構(gòu)分析 城域網(wǎng)架構(gòu)分析 局域網(wǎng)架構(gòu)分析3、政務(wù)網(wǎng)絡(luò)案例分析第4頁(yè)5廣域網(wǎng)建設(shè)關(guān)注點(diǎn) 關(guān)注點(diǎn)1： MPLS VPN實(shí)現(xiàn)縱向業(yè)務(wù)系統(tǒng)隔離 關(guān)注點(diǎn)2： MPLS VPN跨域問(wèn)題處理 關(guān)注點(diǎn)4：廣域網(wǎng)流量統(tǒng)計(jì)分析，提供廣域網(wǎng)優(yōu)化科學(xué)依據(jù) 關(guān)注點(diǎn)3：端到端QOS布署，實(shí)現(xiàn)關(guān)鍵業(yè)務(wù)帶寬保障第5頁(yè)6縣國(guó)土 縣林業(yè)

2、 縣水利 國(guó)土局 林業(yè)局 水利局 林業(yè)廳 水利廳 省直 省直 國(guó)土廳 省直 2.5G RPRGEGE地市州EIN2MN2MCPOSFEFEGEGEFE地市州地市州XX縣XX縣地市城域網(wǎng)匯聚(PE)(PE)(PE)(P)(P)(P)(P)(P)(P)(P)(P)(PE)(PE)(CE)(CE)(CE)(CE)(CE)(CE)(PE)(PE)(PE)(CE)(CE)(CE)(CE)城域網(wǎng)廣域網(wǎng)關(guān)注點(diǎn)1MPLS VPN第6頁(yè)7關(guān)注點(diǎn)1MPLS VPN省工商省稅務(wù)10.0.1.0/2410.0.1.0/24CEMCE/PEPEPE政務(wù)網(wǎng)地市工商10.0.2.0/24內(nèi)部服務(wù)器地市稅務(wù)10.0.2.0/

3、24CEPE內(nèi)部服務(wù)器PE縱向VPN子接口MCE/PE第7頁(yè)8PEPEPERTIMPORT 100:1EXPORT 200:1RTIMPORT 200:1EXPORT 100:1RTIMPORT 200:1EXPORT 100:1RTIMPORT 200:1EXPORT 100:1HUBSPOKESPOKESPOKEPE省廳A市局B市局C市局關(guān)注點(diǎn)1MPLS VPN第8頁(yè)9某部門(mén)省廳連接在PE1上,各地市局分別連接到PE2、PE3上。因?yàn)锽GP/MPLS VPN是由PE與CE接口VRF上配置對(duì)應(yīng)RT來(lái)決定路由關(guān)系，所以在省廳連接PE1對(duì)應(yīng)VRF上配置RT值使該VRF可接收來(lái)自A市局、B市局、C

4、市局路由，并將自己路由發(fā)送到A市局、B市局、C市局。在各市局PE上配置RT，使市局只能與省局交換路由而不能與其它市局直接交換路由。優(yōu)點(diǎn)：省局集中控制VPN內(nèi)通信，可經(jīng)過(guò)路由過(guò)濾方式禁止市局間直接通信，保障VPN內(nèi)可控性和安全性。如在A局病毒暴發(fā)時(shí)，可在省廳處經(jīng)過(guò)路由將該市局隔離，防止病毒蔓延。缺點(diǎn)：一是省局成為單點(diǎn)故障，一旦省局連接PE1發(fā)生故障，各市局間將不能正常通信。二是市局間數(shù)據(jù)交換集中在省廳所在PE上，增加了PE壓力。因?yàn)楫?dāng)前各部門(mén)紛紛采取數(shù)據(jù)大集中數(shù)據(jù)交換模式，市局間數(shù)據(jù)交換比較少，所以比較適合采取該模式。 關(guān)注點(diǎn)1MPLS VPN第9頁(yè)10PEPEPERTIMPORT 100:1E

5、XPORT 100:1RTIMPORT 100:1EXPORT 100:1RTIMPORT 100:1EXPORT 100:1RTIMPORT 100:1EXPORT 100:1HUBSPOKESPOKESPOKEPE省廳A市局B市局C市局關(guān)注點(diǎn)1MPLS VPN第10頁(yè)11某部門(mén)省廳連接在PE1上,各地市局分別連接到PE2、PE3上。因?yàn)锽GP/MPLS VPN是由PE與CE接口VRF上配置對(duì)應(yīng)RT來(lái)決定路由關(guān)系，所以在省廳和各市局連接PE對(duì)應(yīng)VRF上配置RT值使該VRF可接收來(lái)自其余市局路由，即省廳和各市局完全處于對(duì)等狀態(tài)，相互之間完全能夠交互路由信息。優(yōu)點(diǎn)：無(wú)單點(diǎn)故障，無(wú)性能瓶頸。缺點(diǎn)：

6、無(wú)法做到集中控制，安全性不高。關(guān)注點(diǎn)1MPLS VPN第11頁(yè)12關(guān)注點(diǎn)2MPLS VPN跨域要求ASBR設(shè)備為每個(gè)跨域VPN分配子接口，所以能夠能夠?qū)崿F(xiàn)跨域流量監(jiān)管，實(shí)現(xiàn)對(duì)每個(gè)VPN計(jì)費(fèi)，不過(guò)對(duì)ASBR壓力非常大，而且PE設(shè)備需要維護(hù)跨域VPN路由，可管理性和可擴(kuò)展性較差；第12頁(yè)13關(guān)注點(diǎn)2MPLS VPN跨域?qū)SBR壓力最小，但因?yàn)樾枰E間跨域LSP，所以可管理性也比較差。第13頁(yè)14關(guān)注點(diǎn)2MPLS VPN跨域?qū)SBR壓力也比較大，但能夠經(jīng)過(guò)ASBR擴(kuò)容來(lái)處理，沒(méi)有PE設(shè)備跨域VPN路由維護(hù)問(wèn)題，所以適用范圍較廣；第14頁(yè)15A省廳網(wǎng)絡(luò)B省廳網(wǎng)絡(luò)A市局網(wǎng)絡(luò)B市局網(wǎng)絡(luò)CECEC

7、ECEPEPEPPPP在IP網(wǎng)絡(luò)上，為了對(duì)不一樣業(yè)務(wù)提供不一樣服務(wù)，主要是利用IP報(bào)文頭部TOS域來(lái)進(jìn)行標(biāo)識(shí)。依據(jù)TOS域來(lái)決定報(bào)文轉(zhuǎn)發(fā)行為PE在給報(bào)文加Label時(shí)，把IP報(bào)文攜帶IP優(yōu)先級(jí)標(biāo)識(shí)映射到標(biāo)簽EXP域，這么原來(lái)由IP攜帶服務(wù)類(lèi)型信息現(xiàn)在由標(biāo)簽攜帶因?yàn)镻路由器不會(huì)檢驗(yàn)內(nèi)層MPLS標(biāo)簽，所以這個(gè)IP報(bào)文攜帶IP優(yōu)先級(jí)標(biāo)識(shí)也必需映射到外層標(biāo)簽EXP域。為了支持端到端QOS，每個(gè)LSP經(jīng)過(guò)EXP域能夠支持多達(dá)8種不一樣等級(jí)業(yè)務(wù)為了支持端到端QOS，每個(gè)LSP經(jīng)過(guò)EXP域能夠支持多達(dá)8種不一樣等級(jí)業(yè)務(wù)PE在去掉報(bào)文Label時(shí)，把標(biāo)簽EXP域映射到IP報(bào)文攜帶IP優(yōu)先級(jí)標(biāo)識(shí)上。這么原來(lái)由標(biāo)

8、簽攜帶服務(wù)類(lèi)型信息現(xiàn)在由IP優(yōu)先級(jí)標(biāo)識(shí)攜帶關(guān)注點(diǎn)3端到端QOS第15頁(yè)16網(wǎng)絡(luò)流量監(jiān)控網(wǎng)絡(luò)應(yīng)用分布網(wǎng)絡(luò)瓶頸分析服務(wù)質(zhì)量監(jiān)控網(wǎng)絡(luò)故障分析流量異常告警關(guān)注點(diǎn)4網(wǎng)絡(luò)流量統(tǒng)計(jì)分析第16頁(yè)17目錄1、電子政務(wù)建設(shè)概述2、網(wǎng)絡(luò)架構(gòu)詳細(xì)分析 廣域網(wǎng)架構(gòu)分析 城域網(wǎng)架構(gòu)分析 局域網(wǎng)架構(gòu)分析3、政務(wù)網(wǎng)絡(luò)案例分析第17頁(yè)18城域網(wǎng)建設(shè)關(guān)注點(diǎn) 關(guān)注點(diǎn)1：關(guān)鍵層采取RPR環(huán)網(wǎng)（50ms倒換）確保關(guān)鍵業(yè)務(wù)不中止 關(guān)注點(diǎn)2：利用MPLS VPN實(shí)現(xiàn)各政府部門(mén)安全隔離和受控互訪 關(guān)注點(diǎn)4：使用MPLS VPN維護(hù)軟件實(shí)現(xiàn)對(duì)城域網(wǎng)VPN靈活便捷布署 關(guān)注點(diǎn)3：經(jīng)過(guò)詳細(xì)流量統(tǒng)計(jì)分析工具實(shí)現(xiàn)對(duì)城域網(wǎng)流量準(zhǔn)確控制第18頁(yè)19ABC

9、D擁塞1000M1000M1000M關(guān)鍵業(yè)務(wù)帶寬確保（公平算法RPR-fa） 帶寬共享，為提升帶寬利用率，建立公平機(jī)制 公平算法是全局、基于整個(gè)環(huán)網(wǎng)級(jí)別 經(jīng)過(guò)監(jiān)測(cè)流量、反壓機(jī)制實(shí)現(xiàn) 帶寬管理可確保高優(yōu)先級(jí)數(shù)據(jù)和控制無(wú)阻塞 可經(jīng)過(guò)設(shè)置節(jié)點(diǎn)權(quán)重，實(shí)現(xiàn)加權(quán)公平關(guān)注點(diǎn)1RPR環(huán)網(wǎng)第19頁(yè)20華為3COMIP環(huán)網(wǎng)綜合兩種倒換方式優(yōu)點(diǎn)，采取二者相結(jié)合方式，先Wrapping后Steering，到達(dá)最優(yōu)保護(hù)性能。ABCDEFABCDEFABCDEF正常情況下數(shù)據(jù)傳送故障順利馬上啟用Wrap方式保護(hù)拓?fù)浣Y(jié)構(gòu)穩(wěn)定后切換到Steering方式Wrap繞回方式，在故障邊節(jié)點(diǎn)處自動(dòng)環(huán)回。特點(diǎn)：速度快，基本無(wú)數(shù)據(jù)丟失，

10、缺點(diǎn)是浪費(fèi)帶寬。Steering抄近方式，更改拓?fù)?，重新?jì)算路由。特點(diǎn)：速度慢，帶寬利用高，但可能有數(shù)據(jù)丟失。關(guān)注點(diǎn)1RPR環(huán)網(wǎng)第20頁(yè)21省政府市政府區(qū)縣政府省工商局市工商局區(qū)縣工商局省勞動(dòng)廳市勞動(dòng)局區(qū)縣勞動(dòng)局縱向網(wǎng)絡(luò)結(jié)構(gòu)橫向網(wǎng)絡(luò)結(jié)構(gòu)橫向網(wǎng)絡(luò)：信息共享，跨部門(mén)協(xié)作縱向網(wǎng)絡(luò)：業(yè)務(wù)運(yùn)作，行業(yè)管理與監(jiān)管 政務(wù)網(wǎng) MPLS VPN 關(guān)注點(diǎn)2MPLS VPN第21頁(yè)22工商10.0.1.0/24MCE政務(wù)網(wǎng)前置機(jī)160.0.4.1/24稅務(wù)10.0.1.0/24CE前置機(jī)160.0.1.1/24內(nèi)部服務(wù)器10.0.1.1PEPEPE內(nèi)部服務(wù)器10.0.1.1注釋:資源共享區(qū)前置機(jī)為一個(gè)共享VPN,其它

11、職能部門(mén)前置機(jī)分別為獨(dú)立VPN為確保安全性，前置機(jī)與內(nèi)部服務(wù)經(jīng)過(guò)網(wǎng)閘進(jìn)行數(shù)據(jù)交換各業(yè)務(wù)部門(mén)數(shù)據(jù)經(jīng)過(guò)前置機(jī)上傳到資源共享中心數(shù)據(jù)庫(kù)中優(yōu)勢(shì)：采集信息數(shù)據(jù)在政務(wù)外網(wǎng)上以VPN方式傳遞，保障了數(shù)據(jù)安全性前置VPN子接口資源共享中心數(shù)據(jù)庫(kù)前置機(jī)160.0.2.1/24共享資源網(wǎng)站入口160.0.3.1/24前置VPN子接口公共前置VPN子接口PE關(guān)注點(diǎn)2MPLS VPNFW數(shù)據(jù)庫(kù)數(shù)據(jù)庫(kù)數(shù)據(jù)庫(kù)集中式互訪第22頁(yè)23注釋:職能部門(mén)前置機(jī)分別為獨(dú)立VPN優(yōu)勢(shì)：采集信息數(shù)據(jù)在政務(wù)外網(wǎng)上以VPN方式傳遞，保障了數(shù)據(jù)安全性，經(jīng)過(guò)RT靈活控制，實(shí)現(xiàn)不一樣職能部門(mén)前置機(jī)受控互訪集中式和分布式不是對(duì)立，而是互補(bǔ)關(guān)系工商1

12、0.0.1.0/24政務(wù)網(wǎng)前置機(jī)160.0.2.1/24稅務(wù)10.0.1.0/24CE前置機(jī)160.0.1.1/24工商信用服務(wù)器10.0.1.1PE內(nèi)部服務(wù)器10.0.1.1前置VPN子接口前置VPN子接口PEPE前置機(jī)160.0.3.1/24財(cái)政10.0.1.0/24CE內(nèi)部服務(wù)器10.0.1.1前置VPN子接口MCE關(guān)注點(diǎn)2MPLS VPN分布式互訪第23頁(yè)24政務(wù)外網(wǎng)工商10.0.1.0/24CE門(mén)戶網(wǎng)站160.0.3.1稅務(wù)10.0.1.0/24CE門(mén)戶網(wǎng)站160.0.1.1內(nèi)部服務(wù)器10.0.1.1PEPEInternet vpn子接口PEInternetInternet注釋:全部

13、對(duì)公眾提供訪問(wèn)WEB服務(wù)器放到一個(gè)Internet VPN，政務(wù)外網(wǎng)出口防火墻作為CE設(shè)備此方式適合門(mén)戶網(wǎng)站采取ISP分配地址優(yōu)勢(shì)：實(shí)現(xiàn)簡(jiǎn)單，一個(gè)大VPN DNS規(guī)劃簡(jiǎn)單劣勢(shì)：政府部門(mén)訪問(wèn)政務(wù)外網(wǎng)門(mén) 戶網(wǎng)站產(chǎn)生迂回路由，增加 防火墻負(fù)擔(dān)公眾服務(wù)中心數(shù)據(jù)庫(kù)對(duì)外公布門(mén)戶網(wǎng)站DNSInternet vpn子接口Internet vpn子接口數(shù)據(jù)庫(kù)數(shù)據(jù)庫(kù)MCEInternet vpn子接口PE防火墻可能執(zhí)行一對(duì)一NAT操作關(guān)注點(diǎn)2MPLS VPN公眾訪問(wèn)1第24頁(yè)25政務(wù)外網(wǎng)工商10.0.1.0/24CE門(mén)戶網(wǎng)站160.0.3.1稅務(wù)10.0.1.0/24CE門(mén)戶網(wǎng)站160.0.1.1內(nèi)部服務(wù)器10.

14、0.1.1PEPE公網(wǎng)子接口防火墻可能執(zhí)行一對(duì)一NAT操作PEInternetInternet注釋:傳統(tǒng)實(shí)現(xiàn)方式優(yōu)勢(shì)：政府部門(mén)訪問(wèn)政務(wù)外網(wǎng)不 產(chǎn)生迂回路由劣勢(shì)：假如采取ISP分配地址， DNS規(guī)劃復(fù)雜公眾服務(wù)中心數(shù)據(jù)庫(kù)對(duì)外公布門(mén)戶網(wǎng)站DNS公網(wǎng)子接口公網(wǎng)子接口數(shù)據(jù)庫(kù)數(shù)據(jù)庫(kù)MCEPE關(guān)注點(diǎn)2MPLS VPN公眾訪問(wèn)2第25頁(yè)26政務(wù)外網(wǎng)工商10.0.1.0/24CE門(mén)戶網(wǎng)站160.0.3.1稅務(wù)10.0.1.0/24CE門(mén)戶網(wǎng)站160.0.1.1內(nèi)部服務(wù)器10.0.1.1PE公網(wǎng)子接口防火墻可能執(zhí)行二次NAT操作PEInternetInternet注釋:對(duì)于防火墻接入，可采取公網(wǎng)子接口對(duì)于MCE

15、/PE接入，可采取VRF全局靜態(tài)路由方式，此方式最大問(wèn)題是布署問(wèn)題，也能夠設(shè)置一條全局缺省路由指向連接InternetPE設(shè)備，經(jīng)過(guò)這臺(tái)PE設(shè)備中轉(zhuǎn)流量假如采取ISP分配地址，DNS設(shè)計(jì)復(fù)雜公眾服務(wù)中心數(shù)據(jù)庫(kù)對(duì)外公布門(mén)戶網(wǎng)站DNS公網(wǎng)子接口公網(wǎng)子接口數(shù)據(jù)庫(kù)數(shù)據(jù)庫(kù)MCEPEPE縱向VPN子接口PE設(shè)備必須執(zhí)行NAT轉(zhuǎn)換防火墻可執(zhí)行NAT轉(zhuǎn)換這時(shí)不用PE執(zhí)行NAT操作關(guān)注點(diǎn)2MPLS VPN內(nèi)部訪問(wèn)Internet第26頁(yè)27政務(wù)外網(wǎng)稅務(wù)10.0.1.0/24CE數(shù)據(jù)中心門(mén)戶網(wǎng)站托管公眾服務(wù)區(qū)PEPE公網(wǎng)子接口PE注釋:門(mén)戶網(wǎng)站分配兩個(gè)IP地址，一個(gè)為縱向網(wǎng)私有地址，用于加入縱向VPN，進(jìn)行維護(hù)。

16、一個(gè)為政務(wù)外網(wǎng)IP地址，用于提供公共服務(wù)，門(mén)戶網(wǎng)站主機(jī)兩網(wǎng)卡間不能起路由協(xié)議門(mén)戶網(wǎng)站托管門(mén)戶網(wǎng)站托管門(mén)戶網(wǎng)站托管PEPE縱向VPN子接口防火墻可能執(zhí)行NAT-PT操作Internet私網(wǎng)IP10.0.2.1/28政務(wù)外網(wǎng)IP160.0.1.1/28維護(hù)數(shù)據(jù)流Internet訪問(wèn)流量關(guān)注點(diǎn)2MPLS VPN托管網(wǎng)站維護(hù)第27頁(yè)28政務(wù)外網(wǎng)注釋:路由多實(shí)例設(shè)備（MCE）經(jīng)過(guò)多個(gè)子接口上聯(lián)到PE設(shè)備，其中公網(wǎng)子接口用于其余用戶訪問(wèn)門(mén)戶網(wǎng)站，縱向VPN子接口用于縱向系統(tǒng)訪問(wèn)，前置VPN子接口用于訪問(wèn)前置機(jī)。路由多實(shí)例完成安全隔離功效?？v向用戶訪問(wèn)公網(wǎng)經(jīng)過(guò)縱向VPN子接口，此時(shí)需要PE設(shè)備VRF表設(shè)置多

17、條靜態(tài)路由指向公布公眾服務(wù)PE設(shè)備，缺省路由指向Internet網(wǎng)關(guān)PE。縱向用戶訪問(wèn)政府資源共享業(yè)務(wù)經(jīng)過(guò)縱向VPN子接口訪問(wèn)。前置服務(wù)器和門(mén)戶網(wǎng)站各分配兩個(gè)IP地址，公有IP用于政務(wù)外網(wǎng)互訪，私有IP為縱向網(wǎng)中地址，用于設(shè)備維護(hù)，前置服務(wù)器和門(mén)戶網(wǎng)站兩網(wǎng)卡間不能啟用路由協(xié)議PE完成NAT多實(shí)例操作前置服務(wù)器160。0。1。110。0。1。1門(mén)戶網(wǎng)站160。0。2。110。0。1。210.0.1.0/24用戶側(cè)公網(wǎng)子接口前置VPN子接口縱向VPN子接口MCEPE關(guān)注點(diǎn)2MPLS VPN接入方式MCE第28頁(yè)29政務(wù)外網(wǎng)注釋:此種方式適合用于用戶側(cè)與政務(wù)外網(wǎng)相連鏈路不支持子接口鏈路。采取HOPE

18、處理方案，政務(wù)外網(wǎng)PE設(shè)備為SPE，用戶側(cè)設(shè)備為UPE。SPE維護(hù)其經(jīng)過(guò)UPE連接VPN全部路由，包含當(dāng)?shù)睾瓦h(yuǎn)程Site路由，但SPE不公布遠(yuǎn)程Site路由給UPE，只公布VPN實(shí)例缺省路由或聚合路由給UPE。UPE維護(hù)其直接相連VPN Site路由，但不維護(hù)VPN中其它遠(yuǎn)程Site路由或僅維護(hù)它們聚合路由。UPE為其直接相連Site路由分配內(nèi)層標(biāo)簽，并經(jīng)過(guò)MP-BGP隨VPN路由公布此標(biāo)簽給SPE。 NAT操作能夠發(fā)生在SPE設(shè)備，也能夠發(fā)生在UPE設(shè)備。其它與MCE接入方式一致。前置服務(wù)器160。0。1。110。0。1。1門(mén)戶網(wǎng)站160。0。2。110。0。1。210.0.1.0/24用戶

19、側(cè)公網(wǎng)子接口前置VPN子接口縱向VPN子接口SPEUPE接入方式UPE關(guān)注點(diǎn)2MPLS VPN第29頁(yè)30政務(wù)外網(wǎng)注釋:防火墻采取子接口方式上聯(lián)到PE設(shè)備用戶側(cè)上行流量理論上能夠訪問(wèn)任何信息資源下行流量只允許縱向VPN流量經(jīng)過(guò)。防火墻可執(zhí)行NAT操作。前置服務(wù)器160。0。1。110。0。1。1門(mén)戶網(wǎng)站160。0。2。110。0。1。210.0.1.0/24用戶側(cè)公網(wǎng)子接口前置VPN子接口縱向VPN子接口PECE接入方式防火墻關(guān)注點(diǎn)2MPLS VPN第30頁(yè)31網(wǎng)絡(luò)中業(yè)務(wù)，哪些正當(dāng)，哪些是違規(guī)？網(wǎng)絡(luò)中數(shù)據(jù)流，哪些影響了我網(wǎng)絡(luò)運(yùn)行？網(wǎng)絡(luò)流量怎樣，帶寬需不需要擴(kuò)容？鏈路擁塞，誰(shuí)在消耗帶寬？網(wǎng)絡(luò)環(huán)境

20、日趨成熟，新業(yè)務(wù)不停出現(xiàn)；IT應(yīng)用日益復(fù)雜化；用戶需要統(tǒng)計(jì)分析工具來(lái)幫助其了解、分析進(jìn)而管理網(wǎng)絡(luò)中流量資源，實(shí)現(xiàn)網(wǎng)絡(luò)優(yōu)化關(guān)注點(diǎn)3流量分析第31頁(yè)32網(wǎng)絡(luò)流量監(jiān)控網(wǎng)絡(luò)應(yīng)用分布網(wǎng)絡(luò)瓶頸分析服務(wù)質(zhì)量監(jiān)控網(wǎng)絡(luò)故障分析流量異常告警網(wǎng)絡(luò)可度量、可評(píng)定關(guān)注點(diǎn)3NTANTA，Network Traffic Analysis，基于TCPIP協(xié)議四層，針對(duì)應(yīng)用服務(wù)流向進(jìn)行分析處理方案，用于對(duì)網(wǎng)絡(luò)數(shù)據(jù)信息進(jìn)行綜合分析、挖掘系統(tǒng)。第32頁(yè)33關(guān)注點(diǎn)3NTA第33頁(yè)34VPN Manager支持MPLS L2/L3 VPN、跨域VPN、HoPE多廠商設(shè)備支持Step by Step業(yè)務(wù)規(guī)劃可調(diào)度業(yè)務(wù)布署網(wǎng)絡(luò)資源、VPN

21、業(yè)務(wù)發(fā)覺(jué)可靠業(yè)務(wù)確保VPN配置審計(jì)VPN連通性審計(jì)圖形化流量監(jiān)控智能業(yè)務(wù)告警分析完善VPN用戶信息管理全網(wǎng)資源統(tǒng)一管理分支機(jī)構(gòu)WEB自助CNM商務(wù)協(xié)議Service Management Layer (SML)Network Management Layer (NML)Element Management Layer (EML)Business Management Layer (BML)MPLS 網(wǎng)絡(luò)關(guān)注點(diǎn)4MPLS VPN管理軟件第34頁(yè)35多廠商管理華為3COM設(shè)備Cisco設(shè)備MPLS L2 VPN 管理(VPLS、Martini、Kompella)MPLS L3 VPN 管理支持Ho

22、PE ( 分層PE )支持跨域VPN管理MPLS L2 VPN隧道跨域MPLS L3 VPN第三方廠商設(shè)備關(guān)注點(diǎn)4MPLS VPN管理軟件第35頁(yè)36 規(guī)劃 預(yù)覽 調(diào)整向?qū)綐I(yè)務(wù)規(guī)劃圖形化直觀顯示規(guī)劃結(jié)果在原規(guī)劃基礎(chǔ)上方便修改“拷貝創(chuàng)建”功效縮短相同業(yè)務(wù)規(guī)劃時(shí)間MPLS VPN業(yè)務(wù)管理Step By Step業(yè)務(wù)規(guī)劃VPN拓?fù)洌篒ntranet、Extranet；Full-mesh、Hub-and-spokePE-CE路由：STATIC、RIP、BGP、OSPFVPN Manager第36頁(yè)37端到端業(yè)務(wù)布署CEPEPE手工布署定時(shí)任務(wù)布署布署成功后自動(dòng)審計(jì)定時(shí)任務(wù)MPLS VPN業(yè)務(wù)管理可調(diào)

23、度業(yè)務(wù)布署手工布署VPN Manager第37頁(yè)38MPLS VPN業(yè)務(wù)管理全網(wǎng)VPN視圖 全網(wǎng)全部VPN當(dāng)前狀態(tài)一目了然拓?fù)湟晥D若僅顯示PE-CE或CE-CE連接，則缺乏全局觀，無(wú)法知曉當(dāng)前哪個(gè)VPN存在問(wèn)題把每個(gè)VPN作為顯示對(duì)象，有沒(méi)有問(wèn)題一目了然（包含流量是否超出閾值）這個(gè)VPN有問(wèn)題啦！VPN Manager第38頁(yè)39電子政務(wù)城域網(wǎng)（大型城市）10G/2.5G RPR關(guān)鍵層匯聚層GEGEGEGE用戶接入層城域關(guān)鍵路由器城域關(guān)鍵路由器城域關(guān)鍵路由器城域關(guān)鍵路由器匯聚層交換機(jī)PPPPPEPE電子政務(wù)省干省干地市路由器CEMCEPEGEGEFEMCESDHCE匯聚層路由器E1N*E1GE

24、FEFECECE第39頁(yè)40城域關(guān)鍵路由器主要提供高速數(shù)據(jù)轉(zhuǎn)發(fā)，提議采取10G/2.5G RPR形成環(huán)網(wǎng)進(jìn)行保護(hù)。10G/2.5GRPRNGE城域關(guān)鍵路由器10G/2.5GRPR大型城域網(wǎng)設(shè)備選型提議城域關(guān)鍵路由器功效要求MPLS VPN & MPLS TEACL，組播QoS(IP DiffServ & MPLS DiffServ)IPv6（硬件支持）可靠性要求關(guān)鍵部件冗余配置支持VRRP/HSRP支持NSF，GR接口要求10G/2.5G RPR2.5G POSGE第40頁(yè)41大型城域網(wǎng)設(shè)備選型提議匯聚層設(shè)備匯聚層設(shè)備主要提供高密度GE/FE接入或E1接入，負(fù)擔(dān)MPLS PE/MCE功效，PE

25、要求支持NAT多實(shí)例。GEGEGE功效要求MPLS VPN NAT多實(shí)例ACL，組播QoS(IP DiffServ & MPLS DiffServ)可靠性要求關(guān)鍵部件冗余配置支持VRRP/HSRP接口要求GE/FEE1GEGEE1GEE1FEGEFE匯聚交換機(jī)做PE匯聚路由器做PE匯聚交換機(jī)做MCE第41頁(yè)42電子政務(wù)城域網(wǎng)（中型城市）GEGEGE城域關(guān)鍵交換機(jī)省干接入城域關(guān)鍵交換機(jī)匯聚層地市骨干路由器電子政務(wù)省干省干地市路由器關(guān)鍵層用戶接入層CEGEPEPEPE城域匯聚交換機(jī)城域匯聚交換機(jī)城域匯聚交換機(jī)GECECECECECEFEGEGEGEGEGEPPP/PE第42頁(yè)43中型城域網(wǎng)設(shè)備選型

26、提議GEGEGE功效要求MPLS VPN NAT多實(shí)例ACL，組播QoS(IP DiffServ & MPLS DiffServ)可靠性要求關(guān)鍵部件冗余配置支持VRRP/HSRP接口要求GE/FEGEGEGEGEFE城域關(guān)鍵交換機(jī)做P城域匯聚交換機(jī)做PE第43頁(yè)44電子政務(wù)城域網(wǎng)（小型城市）FEGE城域關(guān)鍵交換機(jī)省干接入城域關(guān)鍵交換機(jī)用戶接入層地市骨干路由器電子政務(wù)省干省干地市路由器關(guān)鍵層GEGECECECECEPEPEP/PE第44頁(yè)45小型城域網(wǎng)設(shè)備選型提議功效要求MPLS VPN NAT多實(shí)例ACL，組播QoS(IP DiffServ & MPLS DiffServ)可靠性要求關(guān)鍵部件冗

27、余配置支持VRRP/HSRP接口要求GE/FEGEGEGEFE城域關(guān)鍵交換機(jī)做PE第45頁(yè)46目錄1、電子政務(wù)建設(shè)概述2、網(wǎng)絡(luò)架構(gòu)詳細(xì)分析 廣域網(wǎng)架構(gòu)分析 城域網(wǎng)架構(gòu)分析 局域網(wǎng)架構(gòu)分析3、政務(wù)網(wǎng)絡(luò)案例分析第46頁(yè)47局域網(wǎng)建設(shè)關(guān)注點(diǎn) 關(guān)注點(diǎn)1：對(duì)局域網(wǎng)用戶進(jìn)行安全認(rèn)證和行為控制 關(guān)注點(diǎn)2：三層交換到桌面確保整網(wǎng)安全性，屏蔽各種二層攻擊 關(guān)注點(diǎn)4：新一代局域網(wǎng)趨勢(shì)：萬(wàn)兆骨干、千兆桌面、WLAN、多業(yè)務(wù)融合 關(guān)注點(diǎn)3：接入層含有良好擴(kuò)展性，能夠隨需而變第47頁(yè)48補(bǔ)丁策略防病毒策略用戶身份管理策略應(yīng)用系統(tǒng)使用策略網(wǎng)絡(luò)資源訪問(wèn)策略其它策略難執(zhí)行！ 用戶不重視 不能及時(shí)準(zhǔn)確了 解終端安全情況 有意違

28、反 無(wú)法強(qiáng)制執(zhí)行主要原因用戶安全管理策略缺乏有效技術(shù)伎倆實(shí)現(xiàn)終端安全、身份認(rèn)證、資源訪問(wèn)權(quán)限統(tǒng)一管理！關(guān)注點(diǎn)1用戶接入控制第48頁(yè)49端點(diǎn)準(zhǔn)入防御（EAD，Endpoint Admission Defense）處理方案從網(wǎng)絡(luò)接入端點(diǎn)安全控制入手，經(jīng)過(guò)安全客戶端、安全策略服務(wù)器、網(wǎng)絡(luò)設(shè)備以及第三方軟件聯(lián)動(dòng)，對(duì)接入網(wǎng)絡(luò)用戶終端強(qiáng)制實(shí)施企業(yè)安全策略。關(guān)注點(diǎn)1用戶接入控制與防病毒軟件聯(lián)動(dòng)防御隔離防御能力脆弱用戶終端及時(shí)更新系統(tǒng)補(bǔ)丁，提升抵抗力提升用戶終端主動(dòng)防御能力身份認(rèn)證與防御能力認(rèn)證結(jié)合與專(zhuān)業(yè)防病毒系統(tǒng)聯(lián)動(dòng)多重權(quán)限控制(VLAN/ACL/QoS)各種安全部件聯(lián)動(dòng)防御用戶安全接入策略統(tǒng)一管理組織級(jí)安

29、全策略強(qiáng)制實(shí)施用戶安全狀態(tài)集中審計(jì)集中策略實(shí)施與管理事前：用戶身份和防御能力認(rèn)證事中：用戶安全狀態(tài)和行為監(jiān)控事后：用戶安全狀態(tài)和行為審計(jì)以用戶為中心全程管理主動(dòng)防御全方面防御集中策略管理以用戶為中心第49頁(yè)50不合格進(jìn)入隔離區(qū)強(qiáng)制修復(fù)隔離區(qū)安全認(rèn)證正當(dāng)用戶非法用戶拒絕入網(wǎng)身份認(rèn)證接入請(qǐng)求你是誰(shuí)？政務(wù)網(wǎng)絡(luò)動(dòng)態(tài)授權(quán)合格用戶不一樣用戶享用不一樣網(wǎng)絡(luò)使用權(quán)限你安全嗎？你能夠做什么？你在做什么？行為審計(jì)關(guān)注點(diǎn)1用戶接入控制第50頁(yè)51個(gè)人用戶性能和安全性更高。當(dāng)前局域網(wǎng)大部分均采取私網(wǎng)地址，IP地址資源普通都比較充裕，能夠采取30位掩碼劃分網(wǎng)段，一個(gè)用戶一個(gè)網(wǎng)段，而且一個(gè)網(wǎng)段內(nèi)最多也只能接入一個(gè)用戶，全

30、部用戶之間互訪均經(jīng)過(guò)三層交換實(shí)現(xiàn)。采取這種三層到桌面方式能夠有效隔離用戶之間二層報(bào)文，包含二層廣播報(bào)文以及二層攻擊報(bào)文，能夠極大提升用戶個(gè)人安全。同時(shí)，采取一個(gè)用戶一個(gè)網(wǎng)段、一個(gè)網(wǎng)段最多一個(gè)用戶策略，能夠徹底杜絕用戶IP地址假冒問(wèn)題，因?yàn)椴灰粯佣丝诰W(wǎng)段均不相同，即使有些人假冒他人IP地址也無(wú)法實(shí)現(xiàn)網(wǎng)絡(luò)接入。網(wǎng)絡(luò)整體性能和安全性提升。經(jīng)過(guò)三層到桌面方式，整個(gè)網(wǎng)絡(luò)中將不再有二層報(bào)文，二層攻擊事件徹底杜絕，設(shè)備與設(shè)備之間級(jí)連鏈路上將只有三層報(bào)文流通，極大提升了網(wǎng)絡(luò)帶寬利用率與網(wǎng)絡(luò)安全性。關(guān)注點(diǎn)2三層到桌面第51頁(yè)52傳統(tǒng)交換網(wǎng)絡(luò)不足冗余是經(jīng)過(guò)網(wǎng)絡(luò)規(guī)劃來(lái)實(shí)現(xiàn)，難以均衡，屬于被動(dòng)方式通常每臺(tái)設(shè)備都需要一

31、個(gè)管理IP地址，設(shè)備眾多，管理不便LACP不能跨設(shè)備早期組網(wǎng)投資較大關(guān)注點(diǎn)3智能彈性架構(gòu)傳統(tǒng)網(wǎng)絡(luò)問(wèn)題第52頁(yè)53IRF介紹關(guān)注點(diǎn)3智能彈性架構(gòu)設(shè)備級(jí)可靠服務(wù)器接入設(shè)備IRF數(shù)據(jù)中心 Server Farm 提升網(wǎng)絡(luò)可靠性實(shí)現(xiàn)跨設(shè)備端口捆綁,沒(méi)有單點(diǎn)故障IRF設(shè)備對(duì)外來(lái)看是一個(gè)設(shè)備,實(shí)現(xiàn)1:N備份實(shí)現(xiàn)基于IRF路由熱備份環(huán)狀I(lǐng)RF結(jié)構(gòu)含有高度可靠性，任何情況下環(huán)形鏈路被斷開(kāi)均不影響整個(gè)IRF結(jié)構(gòu)正常業(yè)務(wù)處理基于IRF架構(gòu)保障服務(wù)器接入高可靠性第53頁(yè)54傳統(tǒng)組網(wǎng)對(duì)用戶要求IRF組網(wǎng)對(duì)用戶要求可用性多交換機(jī)冗余,且不能很好負(fù)載均衡大大提升了投資成本,投資效率低多臺(tái)分布交換機(jī)各自為政,整體備份每臺(tái)設(shè)

32、備都物有所值擴(kuò)展性采取機(jī)架式交換機(jī),插卡實(shí)現(xiàn)提前購(gòu)置槽位和功效按需求增加構(gòu)架交換機(jī)數(shù)量漸進(jìn)發(fā)展,按需購(gòu)置,為看到需求花錢(qián)管理性獨(dú)立式管理每臺(tái)設(shè)備,浪費(fèi)資源管理復(fù)雜,增加維護(hù)成本統(tǒng)一式管理簡(jiǎn)單易用,易于維護(hù)關(guān)注點(diǎn)3智能彈性架構(gòu)第54頁(yè)55關(guān)注點(diǎn)4萬(wàn)兆骨干、千兆桌面桌面網(wǎng)絡(luò)資源不足已經(jīng)嚴(yán)重滯后了工作效率用戶工作平臺(tái)首先是一個(gè)網(wǎng)絡(luò)平臺(tái)。與工作搭檔、外部客戶、內(nèi)部關(guān)鍵服務(wù)器等大量數(shù)據(jù)、信息交流溝通日益成為工作關(guān)鍵。組播或視頻點(diǎn)播、帶大附件電子郵件、文件傳輸器、按需備份和恢復(fù)、CRM/ERP以及Web和Java工具等各種應(yīng)用都成為吞噬帶寬殺手，千兆位以太網(wǎng)逐步延伸到桌面已經(jīng)成為最迫切需要之一。 需要大容

33、量帶寬語(yǔ)音、視頻、多媒體等應(yīng)用很得“民心”，網(wǎng)絡(luò)價(jià)值正在快速顯現(xiàn)。社會(huì)經(jīng)濟(jì)快速發(fā)展，企業(yè)、政府、教育、金融、電力等等各種行業(yè)不停追求辦公、辦事效率優(yōu)化，一樣對(duì)高帶寬辦公網(wǎng)有著迫切需求。第55頁(yè)56關(guān)注點(diǎn)4萬(wàn)兆骨干、千兆桌面技術(shù)層面千兆、萬(wàn)兆以太網(wǎng)技術(shù)已經(jīng)相當(dāng)成熟。大家都希望能夠取得最大帶寬，不過(guò)沒(méi)有些人希望自己網(wǎng)絡(luò)整天出問(wèn)題，為了處理網(wǎng)絡(luò)問(wèn)題絞盡腦汁、疲于奔命。對(duì)新技術(shù)穩(wěn)定性擔(dān)憂一度妨礙了千兆、萬(wàn)兆大規(guī)模應(yīng)用。千兆和萬(wàn)兆標(biāo)準(zhǔn)已經(jīng)相當(dāng)完善。萬(wàn)兆以太網(wǎng)就已經(jīng)提出并經(jīng)過(guò)IEEE評(píng)審公布，而1000BASE-T標(biāo)準(zhǔn)（802.3ab）早在1999年就已經(jīng)公布，而且采取標(biāo)準(zhǔn)第5類(lèi)（Cat 5）銅線電纜傳送

34、信號(hào)，這使得大部分網(wǎng)絡(luò)改造無(wú)需重新布線。千兆接口能夠經(jīng)過(guò)自適應(yīng)技術(shù)兼容以前10M、100M終端。技術(shù)標(biāo)準(zhǔn)化大大推進(jìn)了千兆、萬(wàn)兆技術(shù)發(fā)展和應(yīng)用，當(dāng)前，客戶對(duì)于千兆甚至萬(wàn)兆穩(wěn)定性擔(dān)憂正逐步成為過(guò)去。第56頁(yè)57關(guān)注點(diǎn)4萬(wàn)兆骨干、千兆桌面價(jià)格層面價(jià)格大幅下降是實(shí)現(xiàn)“千兆到桌面”前提條件要規(guī)模應(yīng)用就必須在價(jià)格上使客戶能夠接收，尤其是在接入側(cè)端口數(shù)量巨大，價(jià)格影響不容忽略。千兆網(wǎng)卡大量應(yīng)用。當(dāng)前新PC主板中很多已經(jīng)包含了內(nèi)置千兆網(wǎng)卡。千兆網(wǎng)卡價(jià)格已經(jīng)靠近百兆網(wǎng)卡，一些廠商10/100/1000M網(wǎng)卡價(jià)格已經(jīng)降低到100元左右。半導(dǎo)體技術(shù)發(fā)展。半導(dǎo)體技術(shù)發(fā)展拉動(dòng)了“千兆到桌面”發(fā)展。千兆網(wǎng)絡(luò)芯片市場(chǎng)競(jìng)爭(zhēng)激

35、烈，芯片網(wǎng)端口價(jià)格大幅下降，網(wǎng)絡(luò)用戶成為最大獲益者。萬(wàn)兆價(jià)格下滑。當(dāng)前高密度萬(wàn)兆接口板推出及萬(wàn)兆端口價(jià)格下滑，使萬(wàn)兆應(yīng)用范圍從關(guān)鍵向邊緣甚至接入層遷移，也極大促進(jìn)了千兆到桌面發(fā)展。第57頁(yè)58關(guān)注點(diǎn)4WLAN布署無(wú)線局域網(wǎng)，凡是自由空間均可連接網(wǎng)絡(luò)，不受限于線纜和端口位置辦公大樓接待室室外休息室第58頁(yè)59關(guān)注點(diǎn)4多業(yè)務(wù)融合政府下屬單位匯接PBX辦公PBX匯接PBX辦公PBX交換機(jī) 路由器交換機(jī) 路由器2ME1155M/622M 網(wǎng)關(guān) 網(wǎng)關(guān)CS MCU會(huì)議電視會(huì)議電視MCU 可視電話IP電話可視電話IP電話第59頁(yè)60成功案例分析公安部新大樓高檢院新大樓知識(shí)產(chǎn)權(quán)局新大樓北京高法院新大樓用戶接入

36、控制三層到桌面智能彈性架構(gòu)萬(wàn)兆主干，千兆桌面關(guān)注點(diǎn)第60頁(yè)61Floor12# S6506R1# S6506R4# S6506R6# S6506R3# S6506RFloor82# S6506R1# S6506R4# S6506R6# S6506R3# S6506R網(wǎng)絡(luò)接入層網(wǎng)絡(luò)管理層關(guān)鍵交換機(jī)10GE10GE網(wǎng)管中心網(wǎng)絡(luò)關(guān)鍵層Web/Mail/DNS千兆鏈路公安部新辦公大樓局域網(wǎng)GE2GEGEGEGEGE公安部一級(jí)網(wǎng)關(guān)鍵交換機(jī)CAMS認(rèn)證服務(wù)器第61頁(yè)62網(wǎng)絡(luò)接入層網(wǎng)絡(luò)管理層S8512S851210GECAMS用戶認(rèn)證平臺(tái)網(wǎng)管中心Web/Mail/DNSGE最高人民檢察院新辦公大樓局域網(wǎng)檢察院一級(jí)網(wǎng)網(wǎng)絡(luò)關(guān)鍵層2#配線間3#配線間4#配線間5#配線間6#配線間7#配線間8#配線間4*GE10GE2*10GE2*10GE2*10GE4*GE2*GE9#配線間10#配線間11#配線間12#配線間13#配線