电子政务网络架构ppt课件

1、1,电子政务网络架构,华为3Com技术有限公司政府技术部,2,目录,1、电子政务建设概述 2、网络架构详细分析 3、政务网络案例分析,3,电子政务,公司（法人,政府部门,公众（自然人,政府员工,电子政务建设的目标定位,G2G,G2C,G2E,G2B,4,目录,1、电子政务建设概述 2、网络架构详细分析 广域网架构分析 城域网架构分析 局域网架构分析 3、政务网络案例分析,5,广域网建设的关注点,6,省直,省直,省直,2.5G RPR,GE,GE,地市州,EI,N2M,N2M,CPOS,FE,FE,GE,GE,FE,地市州,地市州,XX县,XX县,地市城域网汇聚,PE,PE,PE,P,P,P,P

2、,P,P,P,P,PE,PE,CE,CE,CE,CE,CE,CE,PE,PE,PE,CE,CE,CE,CE,城域网,广域网,关注点1MPLS VPN,7,关注点1MPLS VPN,省工商,省税务,10.0.1.0/24,10.0.1.0/24,CE,MCE/PE,PE,PE,政务网,地市工商,10.0.2.0/24,内部服务器,地市税务,10.0.2.0/24,CE,PE,内部服务器,PE,纵向VPN子接口,MCE/PE,8,PE,PE,PE,HUB,SPOKE,SPOKE,SPOKE,PE,省厅,A市局,B市局,C市局,关注点1MPLS VPN,9,某部门省厅连接在PE1上,各地市局分别连接

3、到PE2、PE3上。由于BGP/MPLS VPN是由PE与CE接口的VRF上配置的相应RT来决定路由关系的，因此在省厅连接的PE1相应VRF上配置RT值使该VRF可接收来自A市局、B市局、C市局的路由，并将自己的路由发送到A市局、B市局、C市局。在各市局PE上配置RT，使市局只能与省局交换路由而不能与其他市局直接交换路由。 优点：省局集中控制VPN内的通信，可通过路由过滤的方式禁止市局间的直接通信，保障VPN内的可控性和安全性。如在A局病毒爆发时，可在省厅处通过路由将该市局隔离，避免病毒蔓延。 缺点：一是省局成为单点故障，一旦省局连接的PE1发生故障，各市局间将不能正常通信。二是市局间数据交换

4、集中在省厅所在PE上，增加了PE的压力。 由于目前各部门纷纷采用数据大集中的数据交换模式，市局间的数据交换比较少，因此比较适合采用该模式,关注点1MPLS VPN,10,PE,PE,PE,HUB,SPOKE,SPOKE,SPOKE,PE,省厅,A市局,B市局,C市局,关注点1MPLS VPN,11,某部门省厅连接在PE1上,各地市局分别连接到PE2、PE3上。由于BGP/MPLS VPN是由PE与CE接口的VRF上配置的相应RT来决定路由关系的，因此在省厅和各市局连接的PE相应VRF上配置RT值使该VRF可接收来自其余市局的路由，即省厅和各市局完全处于对等状态，相互之间完全可以交互路由信息。

5、优点：无单点故障，无性能瓶颈。 缺点：无法做到集中控制，安全性不高,关注点1MPLS VPN,12,关注点2MPLS VPN跨域,要求ASBR设备为每个跨域的VPN分配子接口，因此可以可以实现跨域的流量监管，实现对每个VPN的计费，但是对ASBR压力非常大，并且PE设备需要维护跨域VPN的路由，可管理性和可扩展性较差,13,关注点2MPLS VPN跨域,对ASBR压力最小，但由于需要建立PE间跨域的LSP，因此可管理性也比较差,14,关注点2MPLS VPN跨域,对ASBR压力也比较大，但可以通过ASBR扩容来解决，没有PE设备跨域VPN路由维护问题，因此适用范围较广,15,关注点3端到端QO

6、S,16,网络流量监控,网络应用分布,网络瓶颈分析,服务质量监控,网络故障分析,流量异常告警,关注点4网络流量统计分析,17,目录,1、电子政务建设概述 2、网络架构详细分析 广域网架构分析 城域网架构分析 局域网架构分析 3、政务网络案例分析,18,城域网建设的关注点,19,A,B,C,D,拥塞,关键业务带宽保证（公平算法RPR-fa,带宽共享，为提高带宽利用率，建立公平机制 公平算法是全局的、基于整个环网级别的 通过监测流量、反压机制实现 带宽管理可保证高优先级数据和控制无阻塞 可通过设置节点的权重，实现加权公平,关注点1RPR环网,20,华为3COM的IP环网综合两种倒换方式的优点，采取

7、两者相结合的方式，先Wrapping后Steering，达到最优的保护性能,A,B,C,D,E,F,A,B,C,D,E,F,A,B,C,D,E,F,正常情况下数据传送,故障顺利立即启用Wrap方式的保护,拓扑结构稳定后切换到Steering方式,Wrap绕回方式，在故障边节点处自动环回。 特点：速度快，基本无数据丢失，缺点是浪费带宽,Steering抄近方式，更改拓扑，重新计算路由。 特点：速度慢，带宽利用高，但可能有数据丢失,关注点1RPR环网,21,省政府,市政府,区县政府,省工商局,市工商局,区县工商局,省劳动厅,市劳动局,区县劳动局,纵向网络结构,横向网络结构,横向网络：信息共享，跨部

8、门协作,纵向网络：业务运作，行业管理与监管,关注点2MPLS VPN,22,工商,10.0.1.0/24,MCE,政务网,前置机160.0.4.1/24,税务,10.0.1.0/24,CE,前置机160.0.1.1/24,内部服务器10.0.1.1,PE,PE,PE,内部服务器10.0.1.1,注释: 资源共享区前置机为一个共享VPN,其它职能部门前置机分别为独立的VPN 为保证安全性，前置机与内部服务通过网闸进行数据交换 各业务部门数据通过前置机上传到资源共享中心的数据库中 优势：采集的信息数据在政务外网上以VPN的方式传递，保障了数据的安全性,前置VPN子接口,资源共享中心,数据库,前置机

9、160.0.2.1/24,共享资源网站入口160.0.3.1/24,前置VPN子接口,公共前置VPN子接口,PE,关注点2MPLS VPN,FW,数据库,数据库,数据库,集中式互访,23,注释: 职能部门前置机分别为独立的VPN 优势：采集的信息数据在政务外网上以VPN的方式传递，保障了数据的安全性，通过RT的灵活控制，实现不同职能部门前置机的受控互访 集中式和分布式不是对立的，而是互补的关系,工商,10.0.1.0/24,政务网,前置机160.0.2.1/24,税务,10.0.1.0/24,CE,前置机160.0.1.1/24,工商信用服务器10.0.1.1,PE,内部服务器10.0.1.1

10、,前置VPN子接口,前置VPN子接口,PE,PE,前置机160.0.3.1/24,财政,10.0.1.0/24,CE,内部服务器10.0.1.1,前置VPN子接口,MCE,关注点2MPLS VPN,分布式互访,24,政务外网,工商,10.0.1.0/24,CE,门户网站 160.0.3.1,税务,10.0.1.0/24,CE,门户网站 160.0.1.1,内部服务器10.0.1.1,PE,PE,Internet vpn子接口,PE,Internet,Internet,注释: 所有对公众提供访问的WEB服务器放到一个Internet VPN，政务外网出口防火墙作为CE设备 此方式适合门户网站采用

11、ISP分配的地址 优势：实现简单，一个大的VPN DNS规划简单 劣势：政府部门访问政务外网门 户网站产生迂回路由，增加 防火墙负担,公众服务中心,数据库,对外发布门户网站,DNS,Internet vpn子接口,Internet vpn子接口,数据库,数据库,MCE,Internet vpn子接口,PE,防火墙可能执行一对一NAT操作,关注点2MPLS VPN,公众访问1,25,政务外网,工商,10.0.1.0/24,CE,门户网站 160.0.3.1,税务,10.0.1.0/24,CE,门户网站 160.0.1.1,内部服务器10.0.1.1,PE,PE,公网子接口,防火墙可能执行一对一N

12、AT操作,PE,Internet,Internet,注释: 传统实现方式 优势：政府部门访问政务外网不 产生迂回路由 劣势：如果采用ISP分配的地址， DNS规划复杂,公众服务中心,数据库,对外发布门户网站,DNS,公网子接口,公网子接口,数据库,数据库,MCE,PE,关注点2MPLS VPN,公众访问2,26,政务外网,工商,10.0.1.0/24,CE,门户网站 160.0.3.1,税务,10.0.1.0/24,CE,门户网站 160.0.1.1,内部服务器10.0.1.1,PE,公网子接口,防火墙可能执行二次NAT操作,PE,Internet,Internet,注释: 对于防火墙接入，可

13、采用公网子接口 对于MCE/PE接入，可采用VRF全局静态路由的方式，此方式的最大问题是部署的问题，也可以设置一条全局缺省路由指向连接Internet的PE设备，通过这台PE设备中转流量 如果采用ISP分配地址，DNS设计复杂,公众服务中心,数据库,对外发布门户网站,DNS,公网子接口,公网子接口,数据库,数据库,MCE,PE,PE,纵向VPN子接口,PE设备必须执行NAT转换,防火墙可执行NAT转换这时不用PE执行NAT操作,关注点2MPLS VPN,内部访问Internet,27,政务外网,税务,10.0.1.0/24,CE,数据中心,门户网站托管,公众服务区,PE,PE,公网子接口,PE

14、,注释: 门户网站分配两个IP地址，一个为纵向网私有地址，用于加入纵向VPN，进行维护。一个为政务外网IP地址，用于提供公共服务，门户网站主机两网卡间不能起路由协议,门户网站托管,门户网站托管,门户网站托管,PE,PE,纵向VPN子接口,防火墙可能执行NAT-PT操作,Internet,私网IP 10.0.2.1/28,政务外网IP 160.0.1.1/28,维护数据流,Internet访问流量,关注点2MPLS VPN,托管网站维护,28,政务外网,注释: 路由多实例设备（MCE）通过多个子接口上联到PE设备，其中公网子接口用于其余用户访问门户网站，纵向VPN子接口用于纵向系统访问，前置VP

15、N子接口用于访问前置机。路由多实例完成安全隔离的功能。 纵向用户访问公网通过纵向VPN子接口，此时需要PE设备VRF表设置多条静态路由指向发布公众服务的PE设备，缺省路由指向Internet网关PE。 纵向用户访问政府资源共享业务通过纵向VPN子接口访问。 前置服务器和门户网站各分配两个IP地址，公有IP用于政务外网互访，私有IP为纵向网中地址，用于设备维护，前置服务器和门户网站两网卡间不能启用路由协议 PE完成NAT多实例操作,前置服务器 160。0。1。1 10。0。1。1,门户网站 160。0。2。1 10。0。1。2,10.0.1.0/24,用户侧,公网子接口,前置VPN子接口,纵向V

16、PN子接口,MCE,PE,关注点2MPLS VPN,接入方式MCE,29,政务外网,注释: 此种方式适用于用户侧与政务外网相连链路不支持子接口链路。 采用HOPE解决方案，政务外网PE设备为SPE，用户侧设备为UPE。 SPE维护其通过UPE连接的VPN所有路由，包括本地和远程Site的路由，但SPE不发布远程Site的路由给UPE，只发布VPN实例的缺省路由或聚合路由给UPE。 UPE维护其直接相连的VPN Site的路由，但不维护VPN中其它远程Site的路由或仅维护它们的聚合路由。UPE为其直接相连的Site的路由分配内层标签，并通过MP-BGP随VPN路由发布此标签给SPE。 NAT操

17、作可以发生在SPE设备，也可以发生在UPE设备。 其它与MCE接入方式一致,前置服务器 160。0。1。1 10。0。1。1,门户网站 160。0。2。1 10。0。1。2,10.0.1.0/24,用户侧,公网子接口,前置VPN子接口,纵向VPN子接口,SPE,UPE,接入方式UPE,关注点2MPLS VPN,30,政务外网,注释: 防火墙采用子接口的方式上联到PE设备 用户侧上行流量理论上可以访问任何信息资源 下行流量只允许纵向VPN的流量通过。 防火墙可执行NAT操作,前置服务器 160。0。1。1 10。0。1。1,门户网站 160。0。2。1 10。0。1。2,10.0.1.0/24,

18、用户侧,公网子接口,前置VPN子接口,纵向VPN子接口,PE,CE,接入方式防火墙,关注点2MPLS VPN,31,网络中的业务，哪些合法，哪些是违规的？ 网络中的数据流，哪些影响了我的网络运行？ 网络的流量如何，带宽需不需要扩容？ 链路拥塞，谁在消耗带宽,网络环境日趋成熟，新业务不断出现； IT应用日益复杂化,用户需要统计分析工具来帮助其了解、分析进而管理网络中的流量资源，实现网络优化,关注点3流量分析,32,网络流量监控,网络应用分布,网络瓶颈分析,服务质量监控,网络故障分析,流量异常告警,网络可度量、可评估,关注点3NTA,NTA，Network Traffic Analysis，基于T

19、CPIP协议四层的，针对应用服务流向进行分析的解决方案，用于对网络数据信息进行综合分析、挖掘的系统,33,关注点3NTA,34,商务合同,MPLS 网络,关注点4MPLS VPN管理软件,35,MPLS L2 VPN,隧道,跨域,MPLS L3 VPN,第三方厂商设备,关注点4MPLS VPN管理软件,36,规划,预览,调整,MPLS VPN业务管理Step By Step业务规划,37,端到端的 业务部署,CE,PE,PE,定时任务,MPLS VPN业务管理可调度的业务部署,手工部署,38,MPLS VPN业务管理全网VPN视图,这个VPN 有问题啦,39,电子政务城域网（大型城市,10G/

20、2.5G RPR,核心层,汇聚层,GE,GE,GE,GE,用户接入层,城域核心路由器,城域核心路由器,城域核心路由器,城域核心路由器,汇聚层交换机,P,P,P,P,PE,PE,电子政务省干,省干地市路由器,CE,MCE,PE,GE,GE,FE,MCE,SDH,CE,汇聚层路由器,E1,N*E1,GE,FE,FE,CE,CE,40,城域核心路由器主要提供高速数据转发，建议采用10G/2.5G RPR形成环网进行保护,10G/2.5GRPR,NGE,城域核心路由器,10G/2.5GRPR,大型城域网设备选型建议城域核心路由器,功能要求 MPLS VPN & MPLS TE ACL，组播 QoS(I

21、P DiffServ & MPLS DiffServ) IPv6（硬件支持） 可靠性要求 关键部件冗余配置 支持VRRP/HSRP 支持NSF，GR 接口要求 10G/2.5G RPR 2.5G POS GE,41,大型城域网设备选型建议汇聚层设备,汇聚层设备主要提供高密度GE/FE接入或E1接入，承担MPLS PE/MCE功能，PE要求支持NAT多实例,GE,GE,GE,功能要求 MPLS VPN NAT多实例 ACL，组播 QoS(IP DiffServ & MPLS DiffServ) 可靠性要求 关键部件冗余配置 支持VRRP/HSRP 接口要求 GE/FE E1,GE,GE,E1,G

22、E,E1,FE,GE,FE,汇聚交换机做PE,汇聚路由器做PE,汇聚交换机做MCE,42,电子政务城域网（中型城市,GE,GE,GE,城域核心交换机,省干接入,城域核心交换机,汇聚层,地市骨干路由器,电子政务省干,省干地市路由器,核心层,用户接入层,CE,GE,PE,PE,PE,城域汇聚交换机,城域汇聚交换机,城域汇聚交换机,GE,CE,CE,CE,CE,CE,FE,GE,GE,GE,GE,GE,P,P,P/PE,43,中型城域网设备选型建议,GE,GE,GE,功能要求 MPLS VPN NAT多实例 ACL，组播 QoS(IP DiffServ & MPLS DiffServ) 可靠性要求

23、关键部件冗余配置 支持VRRP/HSRP 接口要求 GE/FE,GE,GE,GE,GE,FE,城域核心交换机做P,城域汇聚交换机做PE,44,电子政务城域网（小型城市,FE,GE,城域核心交换机,省干接入,城域核心交换机,用户接入层,地市骨干路由器,电子政务省干,省干地市路由器,核心层,GE,GE,CE,CE,CE,CE,PE,PE,P/PE,45,小型城域网设备选型建议,功能要求 MPLS VPN NAT多实例 ACL，组播 QoS(IP DiffServ & MPLS DiffServ) 可靠性要求 关键部件冗余配置 支持VRRP/HSRP 接口要求 GE/FE,GE,GE,GE,FE,城

24、域核心交换机做PE,46,目录,1、电子政务建设概述 2、网络架构详细分析 广域网架构分析 城域网架构分析 局域网架构分析 3、政务网络案例分析,47,局域网建设的关注点,48,补丁策略 防病毒策略 用户身份管理策略 应用系统使用策略 网络资源访问策略 其它策略,难执行,用户不重视 不能及时准确了 解终端的安全状况 有意违反 无法强制执行,主要原因,用户安全管理策略,缺乏有效的技术手段实现终端安全、身份认证、资源访问权限的 统一管理,关注点1用户接入控制,49,端点准入防御（EAD，Endpoint Admission Defense）解决方案从网络接入端点的安全控制入手，通过安全客户端、安全

25、策略服务器、网络设备以及第三方软件的联动，对接入网络的用户终端强制实施企业安全策略,关注点1用户接入控制,与防病毒软件联动防御 隔离防御能力脆弱的用户终端 及时更新系统补丁，提高抵抗力,提高用户终端的主动防御能力,身份认证与防御能力认证结合 与专业防病毒系统联动 多重权限控制(VLAN/ACL/QoS,多种安全部件的联动防御,用户安全接入策略的统一管理 组织级安全策略的强制实施 用户安全状态的集中审计,集中策略实施与管理,事前：用户身份和防御能力认证 事中：用户安全状态和行为的监控 事后：用户安全状态和行为的审计,以用户为中心的全程管理,主动防御,全面防御,集中策略管理,以用户为中心,50,关

26、注点1用户接入控制,51,个人用户性能和安全性更高。 目前局域网大部分均采用私网地址，IP地址资源一般都比较充裕，可以采用30位掩码划分网段，一个用户一个网段，并且一个网段内最多也只能接入一个用户，所有用户之间的互访均通过三层交换实现。采用这种三层到桌面的方式可以有效隔离用户之间的二层报文，包括二层广播报文以及二层的攻击报文，可以极大提高用户的个人安全。同时，采用一个用户一个网段、一个网段最多一个用户的策略，可以彻底杜绝用户IP地址假冒的问题，因为不同端口的网段均不相同，即使有人假冒他人的IP地址也无法实现网络接入。 网络整体性能和安全性提高。 通过三层到桌面的方式，整个网络中将不再有二层报文

27、，二层攻击事件彻底杜绝，设备与设备之间的级连链路上将只有三层报文流通，极大提高了网络带宽的利用率与网络的安全性,关注点2三层到桌面,52,传统交换网络不足,冗余是通过网络规划来实现，难以均衡，属于被动方式 通常每台设备都需要一个管理IP地址，设备众多，管理不便 LACP不能跨设备 初期组网投资较大,关注点3智能弹性架构,传统网络的问题,53,IRF介绍,关注点3智能弹性架构,设备级可靠服务器接入设备,IRF,数据中心 Server Farm,提高网络可靠性 实现跨设备端口捆绑,没有单点故障 IRF设备对外来看是一个设备,实现1:N备份 实现基于IRF路由热备份 环状IRF结构具有高度可靠性，任

28、何情况下的环形链路被断开均不影响整个IRF结构正常业务处理,基于IRF架构保障服务器接入的高可靠性,54,关注点3智能弹性架构,55,关注点4万兆骨干、千兆桌面,桌面网络资源的不足已经严重滞后了工作效率 用户的工作平台首先是一个网络平台。与工作伙伴、外部客户、内部核心服务器等大量数据、信息的交流沟通日益成为工作的核心。 组播或视频点播、带大附件的电子邮件、文件传输器、按需备份和恢复、CRM/ERP以及Web和Java工具等多种应用都成为吞噬带宽的杀手，千兆位以太网逐渐延伸到桌面已经成为最迫切的需要之一。 需要大容量带宽的语音、视频、多媒体等应用很得“民心”，网络的价值正在快速显现。 社会经济的

29、快速发展，企业、政府、教育、金融、电力等等多种行业不断追求办公、办事效率的优化，同样对高带宽办公网有着迫切的需求,56,关注点4万兆骨干、千兆桌面,技术层面 千兆、万兆以太网技术已经相当成熟。 大家都希望能够获得最大带宽，但是没有人希望自己的网络成天出问题，为了解决网络问题绞尽脑汁、疲于奔命。对新技术稳定性的担忧一度阻碍了千兆、万兆的大规模应用。 千兆和万兆的标准已经相当完善。 万兆以太网2002年就已经提出并通过IEEE评审发布，而1000BASE-T的标准（802.3ab）早在1999年就已经发布，并且采用标准第5类（Cat 5）铜线电缆传送信号，这使得大部分网络改造无需重新布线。千兆接口

30、可以通过自适应技术兼容以前的10M、100M终端。技术的标准化大大推动了千兆、万兆技术的发展和应用，目前，客户对于千兆甚至万兆稳定性的担忧正逐渐成为过去,57,关注点4万兆骨干、千兆桌面,价格层面 价格的大幅下降是实现“千兆到桌面”的前提条件 要规模应用就必须在价格上使客户能够接收，特别是在接入侧端口数量巨大，价格的影响不容忽视。 千兆网卡的大量应用。 目前新的PC主板中很多已经包含了内置的千兆网卡。千兆网卡的价格已经接近百兆网卡，一些厂商的10/100/1000M网卡价格已经降低到100元左右。 半导体技术的发展。 半导体技术的发展拉动了“千兆到桌面”的发展。千兆网络芯片市场竞争激烈，芯片网

31、端口的价格大幅下降，网络用户成为最大的获益者。 万兆价格的下滑。 目前高密度万兆接口板的推出及万兆端口价格的下滑，使万兆的应用范围从核心向边缘甚至接入层迁移，也极大的促进了千兆到桌面的发展,58,关注点4WLAN,部署无线局域网，凡是自由空间均可连接网络，不受限于线缆和端口位置,办公大楼,接待室,室外,休息室,59,关注点4多业务融合,政 府 下 属 单 位,汇接PBX,办公PBX,交换机 路由器,交换机 路由器,2ME1,155M/622M,网关,网关,CS,MCU,会议电视,会议电视,MCU,可视电话,IP电话,可视电话,IP电话,60,成功案例分析,公安部新大楼 高检院新大楼 知识产权局

32、新大楼 北京高法院新大楼,用户接入控制 三层到桌面 智能弹性架构 万兆主干，千兆桌面,关注点,61,Floor1,2# S6506R,1# S6506R,4# S6506R,6# S6506R,3# S6506R,Floor8,2# S6506R,1# S6506R,4# S6506R,6# S6506R,3# S6506R,网络接入层,网络管理层,核心交换机,10GE,10GE,网管中心,网络核心层,Web/Mail/DNS,千兆链路,公安部新办公大楼局域网,GE,2GE,GE,GE,GE,GE,公安部一级网,核心交换机,CAMS认证服务器,62,网络接入层,网络管理层,S8512,S8512,10GE,CAMS用户认证平台,网管中心,Web/Mail/DNS,GE,最高人民检察院新办公大楼局域网,检察院一级网,网络核心层,2#配线间,3#配线间,4#配线间,5