電子政務(wù)網(wǎng)絡(luò)架構(gòu)(已排)

電子政務(wù)網(wǎng)絡(luò)架構(gòu)

華為3Com技術(shù)有限公司政府技術(shù)部目錄1、電子政務(wù)建設(shè)概述2、網(wǎng)絡(luò)架構(gòu)詳細(xì)分析3、政務(wù)網(wǎng)絡(luò)案例分析2電子政務(wù)公司（法人）政府部門公眾（自然人）政府員工電子政務(wù)建設(shè)的目標(biāo)定位

G2G

G2C

G2E

G2B3目錄1、電子政務(wù)建設(shè)概述2、網(wǎng)絡(luò)架構(gòu)詳細(xì)分析

廣域網(wǎng)架構(gòu)分析

城域網(wǎng)架構(gòu)分析局域網(wǎng)架構(gòu)分析3、政務(wù)網(wǎng)絡(luò)案例分析4廣域網(wǎng)建設(shè)的關(guān)注點

關(guān)注點1：MPLSVPN實現(xiàn)縱向業(yè)務(wù)系統(tǒng)的隔離

關(guān)注點2：MPLSVPN跨域問題的解決

關(guān)注點4：廣域網(wǎng)流量統(tǒng)計分析，提供廣域網(wǎng)優(yōu)化科學(xué)依據(jù)

關(guān)注點3：端到端的QOS部署，實現(xiàn)關(guān)鍵業(yè)務(wù)的帶寬保障5縣國土縣林業(yè)縣水利國土局林業(yè)局水利局林業(yè)廳水利廳省直省直國土廳省直2.5GRPRGEGE地市州EIN×2MN×2MCPOSFEFEGEGEFE地市州地市州XX縣XX縣地市城域網(wǎng)匯聚(PE)(PE)(PE)(P)(P)(P)(P)(P)(P)(P)(P)(PE)(PE)(CE)(CE)(CE)(CE)(CE)(CE)(PE)(PE)(PE)(CE)(CE)(CE)(CE)城域網(wǎng)廣域網(wǎng)關(guān)注點1－MPLSVPN6關(guān)注點1－MPLSVPN省工商省稅務(wù)10.0.1.0/2410.0.1.0/24CEMCE/PEPEPE政務(wù)網(wǎng)地市工商10.0.2.0/24內(nèi)部服務(wù)器地市稅務(wù)10.0.2.0/24CEPE內(nèi)部服務(wù)器PE縱向VPN子接口MCE/PE7PEPEPERTIMPORT100:1EXPORT200:1RTIMPORT200:1EXPORT100:1RTIMPORT200:1EXPORT100:1RTIMPORT200:1EXPORT100:1HUBSPOKESPOKESPOKEPE省廳A市局B市局C市局關(guān)注點1－MPLSVPN8某部門省廳連接在PE1上,各地市局分別連接到PE2、PE3上。由于BGP/MPLSVPN是由PE與CE接口的VRF上配置的相應(yīng)RT來決定路由關(guān)系的，因此在省廳連接的PE1相應(yīng)VRF上配置RT值使該VRF可接收來自A市局、B市局、C市局的路由，并將自己的路由發(fā)送到A市局、B市局、C市局。在各市局PE上配置RT，使市局只能與省局交換路由而不能與其他市局直接交換路由。優(yōu)點：省局集中控制VPN內(nèi)的通信，可通過路由過濾的方式禁止市局間的直接通信，保障VPN內(nèi)的可控性和安全性。如在A局病毒爆發(fā)時，可在省廳處通過路由將該市局隔離，避免病毒蔓延。缺點：一是省局成為單點故障，一旦省局連接的PE1發(fā)生故障，各市局間將不能正常通信。二是市局間數(shù)據(jù)交換集中在省廳所在PE上，增加了PE的壓力。由于目前各部門紛紛采用數(shù)據(jù)大集中的數(shù)據(jù)交換模式，市局間的數(shù)據(jù)交換比較少，因此比較適合采用該模式。關(guān)注點1－MPLSVPN9某部門省廳連接在PE1上,各地市局分別連接到PE2、PE3上。由于BGP/MPLSVPN是由PE與CE接口的VRF上配置的相應(yīng)RT來決定路由關(guān)系的，因此在省廳和各市局連接的PE相應(yīng)VRF上配置RT值使該VRF可接收來自其余市局的路由，即省廳和各市局完全處于對等狀態(tài)，相互之間完全可以交互路由信息。優(yōu)點：無單點故障，無性能瓶頸。缺點：無法做到集中控制，安全性不高。關(guān)注點1－MPLSVPN10關(guān)注點2－MPLSVPN跨域要求ASBR設(shè)備為每個跨域的VPN分配子接口，因此可以可以實現(xiàn)跨域的流量監(jiān)管，實現(xiàn)對每個VPN的計費，但是對ASBR壓力非常大，并且PE設(shè)備需要維護(hù)跨域VPN的路由，可管理性和可擴(kuò)展性較差；11關(guān)注點2－MPLSVPN跨域?qū)SBR壓力最小，但由于需要建立PE間跨域的LSP，因此可管理性也比較差。12關(guān)注點2－MPLSVPN跨域?qū)SBR壓力也比較大，但可以通過ASBR擴(kuò)容來解決，沒有PE設(shè)備跨域VPN路由維護(hù)問題，因此適用范圍較廣；13A省廳網(wǎng)絡(luò)B省廳網(wǎng)絡(luò)A市局網(wǎng)絡(luò)B市局網(wǎng)絡(luò)CECECECEPEPEPPPP在IP網(wǎng)絡(luò)上，為了對不同業(yè)務(wù)提供不同的服務(wù)，主要是利用IP報文頭部的TOS域來進(jìn)行標(biāo)記。根據(jù)TOS域來決定報文的轉(zhuǎn)發(fā)行為PE在給報文加Label時，把IP報文攜帶的IP優(yōu)先級標(biāo)記映射到標(biāo)簽的EXP域，這樣原來由IP攜帶的服務(wù)類型信息現(xiàn)在由標(biāo)簽攜帶由于P路由器不會檢查內(nèi)層MPLS標(biāo)簽，所以這個IP報文攜帶的IP優(yōu)先級標(biāo)記也必需映射到外層標(biāo)簽的EXP域。為了支持端到端QOS，每個LSP通過EXP域可以支持多達(dá)8種不同等級的業(yè)務(wù)為了支持端到端QOS，每個LSP通過EXP域可以支持多達(dá)8種不同等級的業(yè)務(wù)PE在去掉報文Label時，把標(biāo)簽的EXP域映射到IP報文攜帶的IP優(yōu)先級標(biāo)記上。這樣原來由標(biāo)簽攜帶的服務(wù)類型信息現(xiàn)在由IP優(yōu)先級標(biāo)記攜帶關(guān)注點3－端到端QOS14網(wǎng)絡(luò)流量監(jiān)控網(wǎng)絡(luò)應(yīng)用分布網(wǎng)絡(luò)瓶頸分析服務(wù)質(zhì)量監(jiān)控網(wǎng)絡(luò)故障分析流量異常告警關(guān)注點4－網(wǎng)絡(luò)流量統(tǒng)計分析15目錄1、電子政務(wù)建設(shè)概述2、網(wǎng)絡(luò)架構(gòu)詳細(xì)分析廣域網(wǎng)架構(gòu)分析

城域網(wǎng)架構(gòu)分析局域網(wǎng)架構(gòu)分析3、政務(wù)網(wǎng)絡(luò)案例分析16城域網(wǎng)建設(shè)的關(guān)注點

關(guān)注點1：核心層采用RPR環(huán)網(wǎng)（50ms倒換）保證關(guān)鍵業(yè)務(wù)不中斷

關(guān)注點2：利用MPLSVPN實現(xiàn)各政府部門的安全隔離和受控互訪

關(guān)注點4：使用MPLSVPN維護(hù)軟件實現(xiàn)對城域網(wǎng)VPN的靈活便捷部署

關(guān)注點3：通過詳細(xì)的流量統(tǒng)計分析工具實現(xiàn)對城域網(wǎng)流量的精確控制17ABCD擁塞1000M1000M1000M關(guān)鍵業(yè)務(wù)帶寬保證（公平算法RPR-fa）帶寬共享，為提高帶寬利用率，建立公平機(jī)制公平算法是全局的、基于整個環(huán)網(wǎng)級別的通過監(jiān)測流量、反壓機(jī)制實現(xiàn)帶寬管理可保證高優(yōu)先級數(shù)據(jù)和控制無阻塞可通過設(shè)置節(jié)點的權(quán)重，實現(xiàn)加權(quán)公平關(guān)注點1－RPR環(huán)網(wǎng)18華為3COM的IP環(huán)網(wǎng)綜合兩種倒換方式的優(yōu)點，采取兩者相結(jié)合的方式，先Wrapping后Steering，達(dá)到最優(yōu)的保護(hù)性能。ABCDEFABCDEFABCDEF正常情況下數(shù)據(jù)傳送故障順利立即啟用Wrap方式的保護(hù)拓?fù)浣Y(jié)構(gòu)穩(wěn)定后切換到Steering方式Wrap繞回方式，在故障邊節(jié)點處自動環(huán)回。特點：速度快，基本無數(shù)據(jù)丟失，缺點是浪費帶寬。Steering抄近方式，更改拓?fù)?，重新計算路由。特點：速度慢，帶寬利用高，但可能有數(shù)據(jù)丟失。關(guān)注點1－RPR環(huán)網(wǎng)19省政府市政府區(qū)縣政府省工商局市工商局區(qū)縣工商局省勞動廳市勞動局區(qū)縣勞動局縱向網(wǎng)絡(luò)結(jié)構(gòu)橫向網(wǎng)絡(luò)結(jié)構(gòu)橫向網(wǎng)絡(luò)：信息共享，跨部門協(xié)作縱向網(wǎng)絡(luò)：業(yè)務(wù)運作，行業(yè)管理與監(jiān)管政務(wù)網(wǎng)MPLSVPN關(guān)注點2－MPLSVPN20工商10.0.1.0/24MCE政務(wù)網(wǎng)前置機(jī)160.0.4.1/24稅務(wù)10.0.1.0/24CE前置機(jī)160.0.1.1/24內(nèi)部服務(wù)器10.0.1.1PEPEPE內(nèi)部服務(wù)器10.0.1.1注釋:資源共享區(qū)前置機(jī)為一個共享VPN,其它職能部門前置機(jī)分別為獨立的VPN為保證安全性，前置機(jī)與內(nèi)部服務(wù)通過網(wǎng)閘進(jìn)行數(shù)據(jù)交換各業(yè)務(wù)部門數(shù)據(jù)通過前置機(jī)上傳到資源共享中心的數(shù)據(jù)庫中優(yōu)勢：采集的信息數(shù)據(jù)在政務(wù)外網(wǎng)上以VPN的方式傳遞，保障了數(shù)據(jù)的安全性前置VPN子接口資源共享中心數(shù)據(jù)庫前置機(jī)160.0.2.1/24共享資源網(wǎng)站入口160.0.3.1/24前置VPN子接口公共前置VPN子接口PE關(guān)注點2－MPLSVPNFW數(shù)據(jù)庫數(shù)據(jù)庫數(shù)據(jù)庫集中式互訪21注釋:職能部門前置機(jī)分別為獨立的VPN優(yōu)勢：采集的信息數(shù)據(jù)在政務(wù)外網(wǎng)上以VPN的方式傳遞，保障了數(shù)據(jù)的安全性，通過RT的靈活控制，實現(xiàn)不同職能部門前置機(jī)的受控互訪集中式和分布式不是對立的，而是互補的關(guān)系工商10.0.1.0/24政務(wù)網(wǎng)前置機(jī)160.0.2.1/24稅務(wù)10.0.1.0/24CE前置機(jī)160.0.1.1/24工商信用服務(wù)器10.0.1.1PE內(nèi)部服務(wù)器10.0.1.1前置VPN子接口前置VPN子接口PEPE前置機(jī)160.0.3.1/24財政10.0.1.0/24CE內(nèi)部服務(wù)器10.0.1.1前置VPN子接口MCE關(guān)注點2－MPLSVPN分布式互訪22政務(wù)外網(wǎng)工商10.0.1.0/24CE門戶網(wǎng)站160.0.3.1稅務(wù)10.0.1.0/24CE門戶網(wǎng)站160.0.1.1內(nèi)部服務(wù)器10.0.1.1PEPEInternetvpn子接口PEInternetInternet公眾服務(wù)中心數(shù)據(jù)庫對外發(fā)布門戶網(wǎng)站DNSInternetvpn子接口Internetvpn子接口數(shù)據(jù)庫數(shù)據(jù)庫MCEInternetvpn子接口PE防火墻可能執(zhí)行一對一NAT操作關(guān)注點2－MPLSVPN公眾訪問123注釋:所有對公眾提供訪問的WEB服務(wù)器放到一個InternetVPN，政務(wù)外網(wǎng)出口防火墻作為CE設(shè)備此方式適合門戶網(wǎng)站采用ISP分配的地址優(yōu)勢：實現(xiàn)簡單，一個大的VPNDNS規(guī)劃簡單劣勢：政府部門訪問政務(wù)外網(wǎng)門戶網(wǎng)站產(chǎn)生迂回路由，增加防火墻負(fù)擔(dān)24政務(wù)外網(wǎng)工商10.0.1.0/24CE門戶網(wǎng)站160.0.3.1稅務(wù)10.0.1.0/24CE門戶網(wǎng)站160.0.1.1內(nèi)部服務(wù)器10.0.1.1PEPE公網(wǎng)子接口防火墻可能執(zhí)行一對一NAT操作PEInternetInternet注釋:傳統(tǒng)實現(xiàn)方式優(yōu)勢：政府部門訪問政務(wù)外網(wǎng)不產(chǎn)生迂回路由劣勢：如果采用ISP分配的地址，

DNS規(guī)劃復(fù)雜公眾服務(wù)中心數(shù)據(jù)庫對外發(fā)布門戶網(wǎng)站DNS公網(wǎng)子接口公網(wǎng)子接口數(shù)據(jù)庫數(shù)據(jù)庫MCEPE關(guān)注點2－MPLSVPN公眾訪問225政務(wù)外網(wǎng)工商10.0.1.0/24CE門戶網(wǎng)站160.0.3.1稅務(wù)10.0.1.0/24CE門戶網(wǎng)站160.0.1.1內(nèi)部服務(wù)器10.0.1.1PE公網(wǎng)子接口防火墻可能執(zhí)行二次NAT操作PEInternetInternet公眾服務(wù)中心數(shù)據(jù)庫對外發(fā)布門戶網(wǎng)站DNS公網(wǎng)子接口公網(wǎng)子接口數(shù)據(jù)庫數(shù)據(jù)庫MCEPEPE縱向VPN子接口PE設(shè)備必須執(zhí)行NAT轉(zhuǎn)換防火墻可執(zhí)行NAT轉(zhuǎn)換這時不用PE執(zhí)行NAT操作關(guān)注點2－MPLSVPN內(nèi)部訪問Internet26政務(wù)外網(wǎng)稅務(wù)10.0.1.0/24CE數(shù)據(jù)中心門戶網(wǎng)站托管公眾服務(wù)區(qū)PEPE公網(wǎng)子接口PE注釋:門戶網(wǎng)站分配兩個IP地址，一個為縱向網(wǎng)私有地址，用于加入縱向VPN，進(jìn)行維護(hù)。一個為政務(wù)外網(wǎng)IP地址，用于提供公共服務(wù)，門戶網(wǎng)站主機(jī)兩網(wǎng)卡間不能起路由協(xié)議門戶網(wǎng)站托管門戶網(wǎng)站托管門戶網(wǎng)站托管PEPE縱向VPN子接口防火墻可能執(zhí)行NAT-PT操作Internet私網(wǎng)IP10.0.2.1/28政務(wù)外網(wǎng)IP160.0.1.1/28維護(hù)數(shù)據(jù)流Internet訪問流量關(guān)注點2－MPLSVPN托管網(wǎng)站維護(hù)27政務(wù)外網(wǎng)前置服務(wù)器160。0。1。110。0。1。1門戶網(wǎng)站160。0。2。110。0。1。210.0.1.0/24用戶側(cè)公網(wǎng)子接口前置VPN子接口縱向VPN子接口MCEPE關(guān)注點2－MPLSVPN接入方式－MCE28注釋:路由多實例設(shè)備（MCE）通過多個子接口上聯(lián)到PE設(shè)備，其中公網(wǎng)子接口用于其余用戶訪問門戶網(wǎng)站，縱向VPN子接口用于縱向系統(tǒng)訪問，前置VPN子接口用于訪問前置機(jī)。路由多實例完成安全隔離的功能?？v向用戶訪問公網(wǎng)通過縱向VPN子接口，此時需要PE設(shè)備VRF表設(shè)置多條靜態(tài)路由指向發(fā)布公眾服務(wù)的PE設(shè)備，缺省路由指向Internet網(wǎng)關(guān)PE?？v向用戶訪問政府資源共享業(yè)務(wù)通過縱向VPN子接口訪問。前置服務(wù)器和門戶網(wǎng)站各分配兩個IP地址，公有IP用于政務(wù)外網(wǎng)互訪，私有IP為縱向網(wǎng)中地址，用于設(shè)備維護(hù)，前置服務(wù)器和門戶網(wǎng)站兩網(wǎng)卡間不能啟用路由協(xié)議PE完成NAT多實例操作29此種方式適用于用戶側(cè)與政務(wù)外網(wǎng)相連鏈路不支持子接口鏈路。采用HOPE解決方案，政務(wù)外網(wǎng)PE設(shè)備為SPE，用戶側(cè)設(shè)備為UPE。SPE維護(hù)其通過UPE連接的VPN所有路由，包括本地和遠(yuǎn)程Site的路由，但SPE不發(fā)布遠(yuǎn)程Site的路由給UPE，只發(fā)布VPN實例的缺省路由或聚合路由給UPE。UPE維護(hù)其直接相連的VPNSite的路由，但不維護(hù)VPN中其它遠(yuǎn)程Site的路由或僅維護(hù)它們的聚合路由。UPE為其直接相連的Site的路由分配內(nèi)層標(biāo)簽，并通過MP-BGP隨VPN路由發(fā)布此標(biāo)簽給SPE。NAT操作可以發(fā)生在SPE設(shè)備，也可以發(fā)生在UPE設(shè)備。其它與MCE接入方式一致。政務(wù)外網(wǎng)前置服務(wù)器160。0。1。110。0。1。1門戶網(wǎng)站160。0。2。110。0。1。210.0.1.0/24用戶側(cè)公網(wǎng)子接口前置VPN子接口縱向VPN子接口SPEUPE接入方式－UPE關(guān)注點2－MPLSVPN30政務(wù)外網(wǎng)注釋:防火墻采用子接口的方式上聯(lián)到PE設(shè)備用戶側(cè)上行流量理論上可以訪問任何信息資源下行流量只允許縱向VPN的流量通過。防火墻可執(zhí)行NAT操作。前置服務(wù)器160。0。1。110。0。1。1門戶網(wǎng)站160。0。2。110。0。1。210.0.1.0/24用戶側(cè)公網(wǎng)子接口前置VPN子接口縱向VPN子接口PECE接入方式－防火墻關(guān)注點2－MPLSVPN31網(wǎng)絡(luò)中的業(yè)務(wù)，哪些合法，哪些是違規(guī)的？網(wǎng)絡(luò)中的數(shù)據(jù)流，哪些影響了我的網(wǎng)絡(luò)運行？網(wǎng)絡(luò)的流量如何，帶寬需不需要擴(kuò)容？鏈路擁塞，誰在消耗帶寬？網(wǎng)絡(luò)環(huán)境日趨成熟，新業(yè)務(wù)不斷出現(xiàn)；IT應(yīng)用日益復(fù)雜化；用戶需要統(tǒng)計分析工具來幫助其了解、分析進(jìn)而管理網(wǎng)絡(luò)中的流量資源，實現(xiàn)網(wǎng)絡(luò)優(yōu)化關(guān)注點3－流量分析32網(wǎng)絡(luò)流量監(jiān)控網(wǎng)絡(luò)應(yīng)用分布網(wǎng)絡(luò)瓶頸分析服務(wù)質(zhì)量監(jiān)控網(wǎng)絡(luò)故障分析流量異常告警網(wǎng)絡(luò)可度量、可評估關(guān)注點3－NTANTA，NetworkTrafficAnalysis，基于TCPIP協(xié)議四層的，針對應(yīng)用服務(wù)流向進(jìn)行分析的解決方案，用于對網(wǎng)絡(luò)數(shù)據(jù)信息進(jìn)行綜合分析、挖掘的系統(tǒng)。33關(guān)注點3－NTA34支持MPLSL2/L3VPN、跨域VPN、HoPE多廠商設(shè)備支持StepbyStep的業(yè)務(wù)規(guī)劃可調(diào)度的業(yè)務(wù)部署網(wǎng)絡(luò)資源、VPN業(yè)務(wù)發(fā)現(xiàn)可靠的業(yè)務(wù)保證VPN配置審計VPN連通性審計圖形化的流量監(jiān)控智能的業(yè)務(wù)告警分析完善的VPN用戶信息管理全網(wǎng)資源統(tǒng)一管理分支機(jī)構(gòu)的WEB自助CNMVPNManager商務(wù)合同ServiceManagementLayer(SML)NetworkManagementLayer(NML)ElementManagementLayer(EML)BusinessManagementLayer(BML)MPLS網(wǎng)絡(luò)關(guān)注點4－MPLSVPN管理軟件35多廠商管理

華為3COM設(shè)備

Cisco設(shè)備

……MPLSL2VPN管理(VPLS、Martini、Kompella)MPLSL3VPN管理支持HoPE(分層PE)支持跨域VPN管理MPLSL2VPN隧道跨域MPLSL3VPN第三方廠商設(shè)備關(guān)注點4－MPLSVPN管理軟件36規(guī)劃預(yù)覽調(diào)整向?qū)綐I(yè)務(wù)規(guī)劃圖形化直觀顯示規(guī)劃結(jié)果在原規(guī)劃基礎(chǔ)上方便修改“拷貝創(chuàng)建”功能縮短相似業(yè)務(wù)的規(guī)劃時間MPLSVPN業(yè)務(wù)管理－StepByStep業(yè)務(wù)規(guī)劃VPN拓?fù)洌篒ntranet、Extranet；Full-mesh、Hub-and-spokePE-CE路由：STATIC、RIP、BGP、OSPFVPNManager37端到端的業(yè)務(wù)部署CEPEPE手工部署定時任務(wù)部署部署成功后自動審計定時任務(wù)MPLSVPN業(yè)務(wù)管理－可調(diào)度的業(yè)務(wù)部署手工部署VPNManager38MPLSVPN業(yè)務(wù)管理－全網(wǎng)VPN視圖全網(wǎng)所有VPN的當(dāng)前狀態(tài)一目了然拓?fù)湟晥D若僅顯示PE-CE或CE-CE連接，則缺乏全局觀，無法知曉當(dāng)前哪個VPN存在問題把每個VPN作為顯示對象，有無問題一目了然（包括流量是否超過閾值）這個VPN有問題啦！VPNManager39電子政務(wù)城域網(wǎng)（大型城市）匯聚層10G/2.5GRPR核心層GEGEGEGE用戶接入層城域核心路由器城域核心路由器城域核心路由器城域核心路由器匯聚層交換機(jī)PPPPPEPE電子政務(wù)省干省干地市路由器CEMCEPEGEGEFEMCESDHCE匯聚層路由器E1N*E1GEFEFECECE40城域核心路由器主要提供高速數(shù)據(jù)轉(zhuǎn)發(fā)，建議采用10G/2.5GRPR形成環(huán)網(wǎng)進(jìn)行保護(hù)。10G/2.5GRPRN×GE城域核心路由器10G/2.5GRPR大型城域網(wǎng)設(shè)備選型建議－城域核心路由器功能要求MPLSVPN&MPLSTEACL，組播QoS(IP

DiffServ&MPLSDiffServ)IPv6（硬件支持）可靠性要求關(guān)鍵部件冗余配置支持VRRP/HSRP支持NSF，GR接口要求10G/2.5GRPR2.5GPOSGE41大型城域網(wǎng)設(shè)備選型建議－匯聚層設(shè)備匯聚層設(shè)備主要提供高密度GE/FE接入或E1接入，承擔(dān)MPLSPE/MCE功能，PE要求支持NAT多實例。GEGEGE功能要求MPLSVPNNAT多實例ACL，組播QoS(IP

DiffServ&MPLSDiffServ)可靠性要求關(guān)鍵部件冗余配置支持VRRP/HSRP接口要求GE/FEE1GEGEE1GEE1FEGEFE匯聚交換機(jī)做PE匯聚路由器做PE匯聚交換機(jī)做MCE42電子政務(wù)城域網(wǎng)（中型城市）GEGEGE城域核心交換機(jī)省干接入城域核心交換機(jī)匯聚層地市骨干路由器電子政務(wù)省干省干地市路由器核心層用戶接入層CEGEPEPEPE城域匯聚交換機(jī)城域匯聚交換機(jī)城域匯聚交換機(jī)GECECECECECEFEGEGEGEGEGEPPP/PE43中型城域網(wǎng)設(shè)備選型建議GEGEGE功能要求MPLSVPNNAT多實例ACL，組播QoS(IP

DiffServ&MPLSDiffServ)可靠性要求關(guān)鍵部件冗余配置支持VRRP/HSRP接口要求GE/FEGEGEGEGEFE城域核心交換機(jī)做P城域匯聚交換機(jī)做PE44電子政務(wù)城域網(wǎng)（小型城市）FEGE城域核心交換機(jī)省干接入城域核心交換機(jī)用戶接入層地市骨干路由器電子政務(wù)省干省干地市路由器核心層GEGECECECECEPEPEP/PE45小型城域網(wǎng)設(shè)備選型建議功能要求MPLSVPNNAT多實例ACL，組播QoS(IP

DiffServ&MPLSDiffServ)可靠性要求關(guān)鍵部件冗余配置支持VRRP/HSRP接口要求GE/FEGEGEGEFE城域核心交換機(jī)做PE46目錄1、電子政務(wù)建設(shè)概述2、網(wǎng)絡(luò)架構(gòu)詳細(xì)分析廣域網(wǎng)架構(gòu)分析

城域網(wǎng)架構(gòu)分析局域網(wǎng)架構(gòu)分析3、政務(wù)網(wǎng)絡(luò)案例分析47局域網(wǎng)建設(shè)的關(guān)注點

關(guān)注點1：對局域網(wǎng)用戶進(jìn)行安全認(rèn)證和行為控制

關(guān)注點2：三層交換到桌面確保整網(wǎng)安全性，屏蔽各種二層攻擊

關(guān)注點4：新一代局域網(wǎng)趨勢：萬兆骨干、千兆桌面、WLAN、多業(yè)務(wù)融合

關(guān)注點3：接入層具有良好的擴(kuò)展性，能夠隨需而變48補丁策略防病毒策略用戶身份管理策略應(yīng)用系統(tǒng)使用策略網(wǎng)絡(luò)資源訪問策略其它策略難執(zhí)行！用戶不重視不能及時準(zhǔn)確了

解終端的安全狀況有意違反無法強(qiáng)制執(zhí)行主要原因用戶安全管理策略缺乏有效的技術(shù)手段實現(xiàn)終端安全、身份認(rèn)證、資源訪問權(quán)限的統(tǒng)一管理！關(guān)注點1－用戶接入控制49端點準(zhǔn)入防御（EAD，EndpointAdmissionDefense）解決方案從網(wǎng)絡(luò)接入端點的安全控制入手，通過安全客戶端、安全策略服務(wù)器、網(wǎng)絡(luò)設(shè)備以及第三方軟件的聯(lián)動，對接入網(wǎng)絡(luò)的用戶終端強(qiáng)制實施企業(yè)安全策略。關(guān)注點1－用戶接入控制與防病毒軟件聯(lián)動防御隔離防御能力脆弱的用戶終端及時更新系統(tǒng)補丁，提高抵抗力提高用戶終端的主動防御能力身份認(rèn)證與防御能力認(rèn)證結(jié)合與專業(yè)防病毒系統(tǒng)聯(lián)動多重權(quán)限控制(VLAN/ACL/QoS)多種安全部件的聯(lián)動防御用戶安全接入策略的統(tǒng)一管理組織級安全策略的強(qiáng)制實施用戶安全狀態(tài)的集中審計集中策略實施與管理事前：用戶身份和防御能力認(rèn)證事中：用戶安全狀態(tài)和行為的監(jiān)控事后：用戶安全狀態(tài)和行為的審計以用戶為中心的全程管理主動防御全面防御集中策略管理以用戶為中心50個人用戶性能和安全性更高。目前局域網(wǎng)大部分均采用私網(wǎng)地址，IP地址資源一般都比較充裕，可以采用30位掩碼劃分網(wǎng)段，一個用戶一個網(wǎng)段，并且一個網(wǎng)段內(nèi)最多也只能接入一個用戶，所有用戶之間的互訪均通過三層交換實現(xiàn)。采用這種三層到桌面的方式可以有效隔離用戶之間的二層報文，包括二層廣播報文以及二層的攻擊報文，可以極大提高用戶的個人安全。同時，采用一個用戶一個網(wǎng)段、一個網(wǎng)段最多一個用戶的策略，可以徹底杜絕用戶IP地址假冒的問題，因為不同端口的網(wǎng)段均不相同，即使有人假冒他人的IP地址也無法實現(xiàn)網(wǎng)絡(luò)接入。網(wǎng)絡(luò)整體性能和安全性提高。通過三層到桌面的方式，整個網(wǎng)絡(luò)中將不再有二層報文，二層攻擊事件徹底杜絕，設(shè)備與設(shè)備之間的級連鏈路上將只有三層報文流通，極大提高了網(wǎng)絡(luò)帶寬的利用率與網(wǎng)絡(luò)的安全性。關(guān)注點2－三層到桌面51傳統(tǒng)交換網(wǎng)絡(luò)不足冗余是通過網(wǎng)絡(luò)規(guī)劃來實現(xiàn)，難以均衡，屬于被動方式通常每臺設(shè)備都需要一個管理IP地址，設(shè)備眾多，管理不便LACP不能跨設(shè)備初期組網(wǎng)投資較大關(guān)注點3－智能彈性架構(gòu)傳統(tǒng)網(wǎng)絡(luò)的問題52IRF介紹關(guān)注點3－智能彈性架構(gòu)設(shè)備級可靠－服務(wù)器接入設(shè)備IRF數(shù)據(jù)中心ServerFarm提高網(wǎng)絡(luò)可靠性實現(xiàn)跨設(shè)備端口捆綁,沒有單點故障IRF設(shè)備對外來看是一個設(shè)備,實現(xiàn)1:N備份實現(xiàn)基于IRF路由熱備份環(huán)狀I(lǐng)RF結(jié)構(gòu)具有高度可靠性，任何情況下的環(huán)形鏈路被斷開均不影響整個IRF結(jié)構(gòu)正常業(yè)務(wù)處理基于IRF架構(gòu)保障服務(wù)器接入的高可靠性53

傳統(tǒng)組網(wǎng)對用戶要求IRF組網(wǎng)對用戶要求可用性多交換機(jī)冗余,且不能很好的負(fù)載均衡大大提高了投資成本,投資效率低多臺分布的交換機(jī)各自為政,整體備份每臺設(shè)備都物有所值擴(kuò)展性采用機(jī)架式交換機(jī),插卡實現(xiàn)提前購買槽位和功能按需求增加構(gòu)架的交換機(jī)數(shù)量漸進(jìn)發(fā)展,按需購買,為看的到的需求花錢管理性獨立式管理每臺設(shè)備,浪費資源管理復(fù)雜,增加維護(hù)成本統(tǒng)一式管理簡單易用,易于維護(hù)關(guān)注點3－智能彈性架構(gòu)54關(guān)注點4－萬兆骨干、千兆桌面桌面網(wǎng)絡(luò)資源的不足已經(jīng)嚴(yán)重滯后了工作效率用戶的工作平臺首先是一個網(wǎng)絡(luò)平臺。與工作伙伴、外部客戶、內(nèi)部核心服務(wù)器等大量數(shù)據(jù)、信息的交流溝通日益成為工作的核心。組播或視頻點播、帶大附件的電子郵件、文件傳輸器、按需備份和恢復(fù)、CRM/ERP以及Web和Java工具等多種應(yīng)用都成為吞噬帶寬的"殺手"，千兆位以太網(wǎng)逐漸延伸到桌面已經(jīng)成為最迫切的需要之一。需要大容量帶寬的語音、視頻、多媒體等應(yīng)用很得“民心”，網(wǎng)絡(luò)的價值正在快速顯現(xiàn)。社會經(jīng)濟(jì)的快速發(fā)展，企業(yè)、政府、教育、金融、電力等等多種行業(yè)不斷追求辦公、辦事效率的優(yōu)化，同樣對高帶寬辦公網(wǎng)有著迫切的需求。55關(guān)注點4－萬兆骨干、千兆桌面技術(shù)層面千兆、萬兆以太網(wǎng)技術(shù)已經(jīng)相當(dāng)成熟。大家都希望能夠獲得最大帶寬，但是沒有人希望自己的網(wǎng)絡(luò)成天出問題，為了解決網(wǎng)絡(luò)問題絞盡腦汁、疲于奔命。對新技術(shù)穩(wěn)定性的擔(dān)憂一度阻礙了千兆、萬兆的大規(guī)模應(yīng)用。千兆和萬兆的標(biāo)準(zhǔn)已經(jīng)相當(dāng)完善。萬兆以太網(wǎng)2002年就已經(jīng)提出并通過IEEE評審發(fā)布，而1000BASE-T的標(biāo)準(zhǔn)（802.3ab）早在1999年就已經(jīng)發(fā)布，并且采用標(biāo)準(zhǔn)第5類（Cat5）銅線電纜傳送信號，這使得大部分網(wǎng)絡(luò)改造無需重新布線。千兆接口可以通過自適應(yīng)技術(shù)兼容以前的10M、100M終端。技術(shù)的標(biāo)準(zhǔn)化大大推動了千兆、萬兆技術(shù)的發(fā)展和應(yīng)用，目前，客戶對于千兆甚至萬兆穩(wěn)定性的擔(dān)憂正逐漸成為過去。56關(guān)注點4－萬兆骨干、千兆桌面價格層面價格的大幅下降是實現(xiàn)“千兆到桌面”的前提條件要規(guī)模應(yīng)用就必須在價格上使客戶能夠接收，特別是在接入側(cè)端口數(shù)量巨大，價格的影響不容忽視。千兆網(wǎng)卡的大量應(yīng)用。目前新的PC主板中很多已經(jīng)包含了內(nèi)置的千兆網(wǎng)卡。千兆網(wǎng)卡的價格已經(jīng)接近百兆網(wǎng)卡，一些廠商的10/100/1000M網(wǎng)卡價格已經(jīng)降低到100元左右。半導(dǎo)體技術(shù)的發(fā)展。半導(dǎo)體技術(shù)的發(fā)展拉動了“千兆到桌面”的發(fā)展。

千兆網(wǎng)絡(luò)芯片市場競爭激烈，芯片網(wǎng)端口的價格大幅下降，網(wǎng)絡(luò)用戶成為最大的獲益者。萬兆價格的下滑。目前高密度萬兆接口板的推出及萬兆端口價格的下滑，使萬兆的應(yīng)用范圍從核心向邊緣甚至接入層遷移，也極大的促進(jìn)了千兆到桌面的發(fā)展。57關(guān)注點4－WLAN部署無線局域網(wǎng)，凡是自由空間均可連接網(wǎng)絡(luò)，不受限于線纜和端口位置辦公大樓接待室室外休息室58關(guān)注點4－多業(yè)務(wù)融合政府下屬單位匯接PBX辦公PBX匯接PBX辦公PBX交換機(jī)路由器交換機(jī)路由器2ME1155M/622M網(wǎng)關(guān)網(wǎng)關(guān)CS

③

①MCU會議電視會議電視MCU

②可視電話IP電話可視電話IP電話59成功案例分析公安部新大樓高檢院新大樓知識產(chǎn)權(quán)局新大樓北京高法院新大樓用戶接入控制三層到桌面智能彈性架構(gòu)萬兆主干，千兆桌面關(guān)注點60公安部新辦公大樓局域網(wǎng)公安部一級網(wǎng)網(wǎng)管中心Web/Mail/DNS網(wǎng)絡(luò)管理層核心交換機(jī)10GE10GE網(wǎng)絡(luò)核心層千兆鏈路GEGEGE核心交換機(jī)CAMS認(rèn)證服務(wù)器Floor12#S6506R1#S6506R4#S6506R6#S6506R3#S6506RFloor82#S6506R1#S6506R4#S6506R6#S6506R3#S6506R網(wǎng)絡(luò)接入層…………2GEGEGE61最高人民檢察院新辦公大樓局域網(wǎng)網(wǎng)絡(luò)接入層網(wǎng)絡(luò)管理層S8512S851210GECAMS用戶認(rèn)證平臺網(wǎng)管中心Web/Mail/DNSGE檢察院一級網(wǎng)網(wǎng)絡(luò)核心層2#配線間3#配線間4#配線間5#配線間6#配線間7#配線間8#配線間4*GE10GE2*10GE2*10GE2*10GE4*GE2*GE9#配線間10#配線間11#配線間12#配線間13#配線間14#配線間15#配線間2*10GE4*GE