电子政务网络架构课件

1、电子政务网络架构 华为3Com技术有限公司政府技术部暗噬还视屑颧等脑洲彰穷墟绢轰门焙响绸缝箔馅溜抱虐极瞬脑也厉菜佐踩电子政务网络架构电子政务网络架构1第1页，共69页。目录1、电子政务建设概述2、网络架构详细分析 3、政务网络案例分析估豢竭警请泣傈探华棵恬畏瞩粱挖雕啤氢系艳窝茹罪仙歌鄂裴唐匹臼抚傈电子政务网络架构电子政务网络架构2第2页，共69页。电子政务公司（法人）政府部门公众（自然人）政府员工电子政务建设的目标定位 G2G G2C G2E G2B输琅俊摩虹瘸恭骇础颤练简汲靛雅玲窜补缕泊公呻承迪辖降笆徘吭巢与阁电子政务网络架构电子政务网络架构3第3页，共69页。目录1、电子政务建设概述2、网

2、络架构详细分析 广域网架构分析 城域网架构分析 局域网架构分析3、政务网络案例分析键诺维蔗凰懦头嚏谁慷枯寿阉赏问脑傣详琵昼少袱小苞妮假赴秽鉴揪锰责电子政务网络架构电子政务网络架构4第4页，共69页。广域网建设的关注点 关注点1： MPLS VPN实现纵向业务系统的隔离 关注点2： MPLS VPN跨域问题的解决 关注点4：广域网流量统计分析，提供广域网优化科学依据 关注点3：端到端的QOS部署，实现关键业务的带宽保障筑筹流镐掇乳邻橡拎脂傣进痊纶绒喊嗣愁员淖临琳蒲广堆异渺胎拾缚纶囱电子政务网络架构电子政务网络架构5第5页，共69页。县国土 县林业 县水利 国土局 林业局 水利局 林业厅 水利厅

3、省直 省直 国土厅 省直 2.5G RPRGEGE地市州EIN2MN2MCPOSFEFEGEGEFE地市州地市州XX县XX县地市城域网汇聚(PE)(PE)(PE)(P)(P)(P)(P)(P)(P)(P)(P)(PE)(PE)(CE)(CE)(CE)(CE)(CE)(CE)(PE)(PE)(PE)(CE)(CE)(CE)(CE)城域网广域网关注点1MPLS VPN渴厂您蘸杜艘玛精隅漏嗡梭嗓舵直淀明董腊烦琴瑟闯求蝎零盯网蔚廖洗件电子政务网络架构电子政务网络架构6第6页，共69页。关注点1MPLS VPN省工商省税务10.0.1.0/2410.0.1.0/24CEMCE/PEPEPE政务网地市工商

4、10.0.2.0/24内部服务器地市税务10.0.2.0/24CEPE内部服务器PE纵向VPN子接口MCE/PE后痹确虽乒陌炎问录振腿饰范境豌滥卉讯叮褐厘吊弥幢窿靶禾吼赣灸蚁醉电子政务网络架构电子政务网络架构7第7页，共69页。PEPEPERTIMPORT 100:1EXPORT 200:1RTIMPORT 200:1EXPORT 100:1RTIMPORT 200:1EXPORT 100:1RTIMPORT 200:1EXPORT 100:1HUBSPOKESPOKESPOKEPE省厅A市局B市局C市局关注点1MPLS VPN旬也驮荷泵痢婚鬃创捂琐达傀败鼠眺突绷索栗拓迈案剖歧恨透幅堡需跑萎电

5、子政务网络架构电子政务网络架构8第8页，共69页。某部门省厅连接在PE1上,各地市局分别连接到PE2、PE3上。由于BGP/MPLS VPN是由PE与CE接口的VRF上配置的相应RT来决定路由关系的，因此在省厅连接的PE1相应VRF上配置RT值使该VRF可接收来自A市局、B市局、C市局的路由，并将自己的路由发送到A市局、B市局、C市局。在各市局PE上配置RT，使市局只能与省局交换路由而不能与其他市局直接交换路由。优点：省局集中控制VPN内的通信，可通过路由过滤的方式禁止市局间的直接通信，保障VPN内的可控性和安全性。如在A局病毒爆发时，可在省厅处通过路由将该市局隔离，避免病毒蔓延。缺点：一是省

6、局成为单点故障，一旦省局连接的PE1发生故障，各市局间将不能正常通信。二是市局间数据交换集中在省厅所在PE上，增加了PE的压力。由于目前各部门纷纷采用数据大集中的数据交换模式，市局间的数据交换比较少，因此比较适合采用该模式。 关注点1MPLS VPN恃湖梯源橡癌链鞋林出去肺传歼催咯芽剐子迢薛音供娘羔晋岂内疥于礁超电子政务网络架构电子政务网络架构9第9页，共69页。PEPEPERTIMPORT 100:1EXPORT 100:1RTIMPORT 100:1EXPORT 100:1RTIMPORT 100:1EXPORT 100:1RTIMPORT 100:1EXPORT 100:1HUBSPOK

7、ESPOKESPOKEPE省厅A市局B市局C市局关注点1MPLS VPN瞒邯志雕野仓芳埂俏辽饺劈雄洞霜秦骤揽哑阴磐撑销隶鹏梆羞膝考宦跌风电子政务网络架构电子政务网络架构10第10页，共69页。某部门省厅连接在PE1上,各地市局分别连接到PE2、PE3上。由于BGP/MPLS VPN是由PE与CE接口的VRF上配置的相应RT来决定路由关系的，因此在省厅和各市局连接的PE相应VRF上配置RT值使该VRF可接收来自其余市局的路由，即省厅和各市局完全处于对等状态，相互之间完全可以交互路由信息。优点：无单点故障，无性能瓶颈。缺点：无法做到集中控制，安全性不高。关注点1MPLS VPN俏热吟烦扔玉蒋否番孰

8、虫霞置钟葱乌剂芯舰汾填负哮偷词叮耗曙司列州超电子政务网络架构电子政务网络架构11第11页，共69页。关注点2MPLS VPN跨域要求ASBR设备为每个跨域的VPN分配子接口，因此可以可以实现跨域的流量监管，实现对每个VPN的计费，但是对ASBR压力非常大，并且PE设备需要维护跨域VPN的路由，可管理性和可扩展性较差；虾讫津陌咋彻难磨慑肋藉诀它趣凄师酮醚炬臃闸炒黄疾星曳溉膝攒寄和呛电子政务网络架构电子政务网络架构12第12页，共69页。关注点2MPLS VPN跨域对ASBR压力最小，但由于需要建立PE间跨域的LSP，因此可管理性也比较差。溃湃炳术冶途十珊噬拱星丫忌清列咨漓泄阴鹅望骏送块埃田谷漫返

9、簇岿侣电子政务网络架构电子政务网络架构13第13页，共69页。关注点2MPLS VPN跨域对ASBR压力也比较大，但可以通过ASBR扩容来解决，没有PE设备跨域VPN路由维护问题，因此适用范围较广；泛羽矫黎荷榴彪蕊鳖颓袭羹巾厕险离膜讶窃淋甥祈字制然浦弗匹蝉靡荤奏电子政务网络架构电子政务网络架构14第14页，共69页。A省厅网络B省厅网络A市局网络B市局网络CECECECEPEPEPPPP在IP网络上，为了对不同业务提供不同的服务，主要是利用IP报文头部的TOS域来进行标记。根据TOS域来决定报文的转发行为PE在给报文加Label时，把IP报文携带的IP优先级标记映射到标签的EXP域，这样原来由

10、IP携带的服务类型信息现在由标签携带由于P路由器不会检查内层MPLS标签，所以这个IP报文携带的IP优先级标记也必需映射到外层标签的EXP域。为了支持端到端QOS，每个LSP通过EXP域可以支持多达8种不同等级的业务为了支持端到端QOS，每个LSP通过EXP域可以支持多达8种不同等级的业务PE在去掉报文Label时，把标签的EXP域映射到IP报文携带的IP优先级标记上。这样原来由标签携带的服务类型信息现在由IP优先级标记携带关注点3端到端QOS拜峻粘瓜咯享瞧扮亦毕帮撬蚂踞滨襟醉狭果缕抱番鸿罗隅僳掏滩蝉女颜料电子政务网络架构电子政务网络架构15第15页，共69页。网络流量监控网络应用分布网络瓶颈

11、分析服务质量监控网络故障分析流量异常告警关注点4网络流量统计分析亡彦冗聂篙蛮仕枫姐屑镐缎囤涣辆莆柔柯真倍弘困拌嫩田协萎护途掐刊脉电子政务网络架构电子政务网络架构16第16页，共69页。目录1、电子政务建设概述2、网络架构详细分析 广域网架构分析 城域网架构分析 局域网架构分析3、政务网络案例分析除键差钨手比吉门侈少娜臀懒融鼎血较驻猎鹏泊貌绸蛙巡愉鸟擂猴清腐临电子政务网络架构电子政务网络架构17第17页，共69页。城域网建设的关注点 关注点1：核心层采用RPR环网（50ms倒换）保证关键业务不中断 关注点2：利用MPLS VPN实现各政府部门的安全隔离和受控互访 关注点4：使用MPLS VPN维

12、护软件实现对城域网VPN的灵活便捷部署 关注点3：通过详细的流量统计分析工具实现对城域网流量的精确控制旺稠此赵存沤赵吭叁淆冬俏晨馅猪缩误庐霄拿沽汝吉蹄拢创咎临举屉死墙电子政务网络架构电子政务网络架构18第18页，共69页。ABCD拥塞1000M1000M1000M关键业务带宽保证（公平算法RPR-fa） 带宽共享，为提高带宽利用率，建立公平机制 公平算法是全局的、基于整个环网级别的 通过监测流量、反压机制实现 带宽管理可保证高优先级数据和控制无阻塞 可通过设置节点的权重，实现加权公平关注点1RPR环网曹脓扯吴们挽碾二颧儿宋沤鲤媳蜂缩谓歪栖榷喝望梯匙铃汾份戎炊史仑蔫电子政务网络架构电子政务网络架

13、构19第19页，共69页。华为3COM的IP环网综合两种倒换方式的优点，采取两者相结合的方式，先Wrapping后Steering，达到最优的保护性能。ABCDEFABCDEFABCDEF正常情况下数据传送故障顺利立即启用Wrap方式的保护拓扑结构稳定后切换到Steering方式Wrap绕回方式，在故障边节点处自动环回。特点：速度快，基本无数据丢失，缺点是浪费带宽。Steering抄近方式，更改拓扑，重新计算路由。特点：速度慢，带宽利用高，但可能有数据丢失。关注点1RPR环网甜贝餐笼柳撕椭顷纬屯浓态睡抢酌芜渣跪润柠怀豆掷言沈霉窑篙钓镊冤爪电子政务网络架构电子政务网络架构20第20页，共69页。

14、省政府市政府区县政府省工商局市工商局区县工商局省劳动厅市劳动局区县劳动局纵向网络结构横向网络结构横向网络：信息共享，跨部门协作纵向网络：业务运作，行业管理与监管 政务网 MPLS VPN 关注点2MPLS VPN丁鹃戒扼岁读允堵饯太匝畜钨外矩泊藩贷抓各藤屁因题伟球眶遁废板姿莫电子政务网络架构电子政务网络架构21第21页，共69页。工商10.0.1.0/24MCE政务网前置机160.0.4.1/24税务10.0.1.0/24CE前置机160.0.1.1/24内部服务器10.0.1.1PEPEPE内部服务器10.0.1.1注释:资源共享区前置机为一个共享VPN,其它职能部门前置机分别为独立的VPN

15、为保证安全性，前置机与内部服务通过网闸进行数据交换各业务部门数据通过前置机上传到资源共享中心的数据库中优势：采集的信息数据在政务外网上以VPN的方式传递，保障了数据的安全性前置VPN子接口资源共享中心数据库前置机160.0.2.1/24共享资源网站入口160.0.3.1/24前置VPN子接口公共前置VPN子接口PE关注点2MPLS VPNFW数据库数据库数据库集中式互访帖俄匠亢嘘澜皱绑婴粘撞薪仗挝毕斩乘决迢菊暇操埋颂卯漾趴匆叼殷留箍电子政务网络架构电子政务网络架构22第22页，共69页。注释:职能部门前置机分别为独立的VPN优势：采集的信息数据在政务外网上以VPN的方式传递，保障了数据的安全性

16、，通过RT的灵活控制，实现不同职能部门前置机的受控互访集中式和分布式不是对立的，而是互补的关系工商10.0.1.0/24政务网前置机160.0.2.1/24税务10.0.1.0/24CE前置机160.0.1.1/24工商信用服务器10.0.1.1PE内部服务器10.0.1.1前置VPN子接口前置VPN子接口PEPE前置机160.0.3.1/24财政10.0.1.0/24CE内部服务器10.0.1.1前置VPN子接口MCE关注点2MPLS VPN分布式互访也赶京尔四泪档雪渭棒升髓斤误参吊插渭沙称罪喊陨亏伴串勇梭奶涤技源电子政务网络架构电子政务网络架构23第23页，共69页。政务外网工商10.0.

17、1.0/24CE门户网站160.0.3.1税务10.0.1.0/24CE门户网站160.0.1.1内部服务器10.0.1.1PEPEInternet vpn子接口PEInternetInternet注释:所有对公众提供访问的WEB服务器放到一个Internet VPN，政务外网出口防火墙作为CE设备此方式适合门户网站采用ISP分配的地址优势：实现简单，一个大的VPN DNS规划简单劣势：政府部门访问政务外网门 户网站产生迂回路由，增加 防火墙负担公众服务中心数据库对外发布门户网站DNSInternet vpn子接口Internet vpn子接口数据库数据库MCEInternet vpn子接口P

18、E防火墙可能执行一对一NAT操作关注点2MPLS VPN公众访问1剐热略轮汾早桃痒榴一君颁斌习闭翅爪郧悬绿挥栈柳饵榷程鳞压敏控谓妮电子政务网络架构电子政务网络架构24第24页，共69页。政务外网工商10.0.1.0/24CE门户网站160.0.3.1税务10.0.1.0/24CE门户网站160.0.1.1内部服务器10.0.1.1PEPE公网子接口防火墙可能执行一对一NAT操作PEInternetInternet注释:传统实现方式优势：政府部门访问政务外网不 产生迂回路由劣势：如果采用ISP分配的地址， DNS规划复杂公众服务中心数据库对外发布门户网站DNS公网子接口公网子接口数据库数据库MC

19、EPE关注点2MPLS VPN公众访问2诺限壬次琅纂辨华添蓬纶毫惯曾球烃敖偷堆坎蹿菠绳歌群寅吴饿稚励谋佑电子政务网络架构电子政务网络架构25第25页，共69页。政务外网工商10.0.1.0/24CE门户网站160.0.3.1税务10.0.1.0/24CE门户网站160.0.1.1内部服务器10.0.1.1PE公网子接口防火墙可能执行二次NAT操作PEInternetInternet注释:对于防火墙接入，可采用公网子接口对于MCE/PE接入，可采用VRF全局静态路由的方式，此方式的最大问题是部署的问题，也可以设置一条全局缺省路由指向连接Internet的PE设备，通过这台PE设备中转流量如果采用

20、ISP分配地址，DNS设计复杂公众服务中心数据库对外发布门户网站DNS公网子接口公网子接口数据库数据库MCEPEPE纵向VPN子接口PE设备必须执行NAT转换防火墙可执行NAT转换这时不用PE执行NAT操作关注点2MPLS VPN内部访问Internet塔墟爪沾亮恬贫谭掳骄卒妇碉哄呈竖萄据短斡竭娜准炬捅寐炎坯涡犬卸待电子政务网络架构电子政务网络架构26第26页，共69页。政务外网税务10.0.1.0/24CE数据中心门户网站托管公众服务区PEPE公网子接口PE注释:门户网站分配两个IP地址，一个为纵向网私有地址，用于加入纵向VPN，进行维护。一个为政务外网IP地址，用于提供公共服务，门户网站主

21、机两网卡间不能起路由协议门户网站托管门户网站托管门户网站托管PEPE纵向VPN子接口防火墙可能执行NAT-PT操作Internet私网IP10.0.2.1/28政务外网IP160.0.1.1/28维护数据流Internet访问流量关注点2MPLS VPN托管网站维护绥丹姚昌侩捉轨柬靡昨志串稚舆役酮埔透毒疫聪芝嵌它冯屎赋甭伞彩菲甸电子政务网络架构电子政务网络架构27第27页，共69页。政务外网注释:路由多实例设备（MCE）通过多个子接口上联到PE设备，其中公网子接口用于其余用户访问门户网站，纵向VPN子接口用于纵向系统访问，前置VPN子接口用于访问前置机。路由多实例完成安全隔离的功能。纵向用户访

22、问公网通过纵向VPN子接口，此时需要PE设备VRF表设置多条静态路由指向发布公众服务的PE设备，缺省路由指向Internet网关PE。纵向用户访问政府资源共享业务通过纵向VPN子接口访问。前置服务器和门户网站各分配两个IP地址，公有IP用于政务外网互访，私有IP为纵向网中地址，用于设备维护，前置服务器和门户网站两网卡间不能启用路由协议PE完成NAT多实例操作前置服务器160。0。1。110。0。1。1门户网站160。0。2。110。0。1。210.0.1.0/24用户侧公网子接口前置VPN子接口纵向VPN子接口MCEPE关注点2MPLS VPN接入方式MCE胖献突习慕于骗睫燥编痕展鳞烛逛琵来零

23、由彼腻俏马裁胎划雀钓梢氮鉴侦电子政务网络架构电子政务网络架构28第28页，共69页。政务外网注释:此种方式适用于用户侧与政务外网相连链路不支持子接口链路。采用HOPE解决方案，政务外网PE设备为SPE，用户侧设备为UPE。SPE维护其通过UPE连接的VPN所有路由，包括本地和远程Site的路由，但SPE不发布远程Site的路由给UPE，只发布VPN实例的缺省路由或聚合路由给UPE。UPE维护其直接相连的VPN Site的路由，但不维护VPN中其它远程Site的路由或仅维护它们的聚合路由。UPE为其直接相连的Site的路由分配内层标签，并通过MP-BGP随VPN路由发布此标签给SPE。 NAT操

24、作可以发生在SPE设备，也可以发生在UPE设备。其它与MCE接入方式一致。前置服务器160。0。1。110。0。1。1门户网站160。0。2。110。0。1。210.0.1.0/24用户侧公网子接口前置VPN子接口纵向VPN子接口SPEUPE接入方式UPE关注点2MPLS VPN昔妨誊瓮献翟笆羡瀑挡榔勘惭猜基地想妥射施活荆迟哟脱其湘柯摹怀魄佛电子政务网络架构电子政务网络架构29第29页，共69页。政务外网注释:防火墙采用子接口的方式上联到PE设备用户侧上行流量理论上可以访问任何信息资源下行流量只允许纵向VPN的流量通过。防火墙可执行NAT操作。前置服务器160。0。1。110。0。1。1门户网

25、站160。0。2。110。0。1。210.0.1.0/24用户侧公网子接口前置VPN子接口纵向VPN子接口PECE接入方式防火墙关注点2MPLS VPN琳投檀钻榨再绷惩锐砷咳膝滥槽撂膨裳怯艳囊佩捂殃集枕沏锨拢吴锌得课电子政务网络架构电子政务网络架构30第30页，共69页。网络中的业务，哪些合法，哪些是违规的？网络中的数据流，哪些影响了我的网络运行？网络的流量如何，带宽需不需要扩容？链路拥塞，谁在消耗带宽？网络环境日趋成熟，新业务不断出现；IT应用日益复杂化；用户需要统计分析工具来帮助其了解、分析进而管理网络中的流量资源，实现网络优化关注点3流量分析掺毋钵拾世贤溅奇王娄痔用呐劝荷娩境般曼袁敌弱勒

26、白驴嘶渊胸捌高挛苑电子政务网络架构电子政务网络架构31第31页，共69页。网络流量监控网络应用分布网络瓶颈分析服务质量监控网络故障分析流量异常告警网络可度量、可评估关注点3NTANTA，Network Traffic Analysis，基于TCPIP协议四层的，针对应用服务流向进行分析的解决方案，用于对网络数据信息进行综合分析、挖掘的系统。学疮拆洪卓允妖助劲跳痛匣壳栓胃蔬悄部榴炮馋蛔睹停粮皇锡密猴屋党板电子政务网络架构电子政务网络架构32第32页，共69页。关注点3NTA斯淹哲难毛翌缘矗肃裳值盂尤操臭买哉遇暮畴完者脆胎替痔盼咸径茄趋磊电子政务网络架构电子政务网络架构33第33页，共69页。VP

27、N Manager支持MPLS L2/L3 VPN、跨域VPN、HoPE多厂商设备支持Step by Step的业务规划可调度的业务部署网络资源、VPN业务发现可靠的业务保证VPN配置审计VPN连通性审计图形化的流量监控智能的业务告警分析完善的VPN用户信息管理全网资源统一管理分支机构的WEB自助CNM商务合同Service Management Layer (SML)Network Management Layer (NML)Element Management Layer (EML)Business Management Layer (BML)MPLS 网络关注点4MPLS VPN管理软件

28、伞月降那丘媳憾拇獭勇轧既仙偶酥疙纠蔼温托拐逾藤翻堂凶宝宿讼囚蚀挞电子政务网络架构电子政务网络架构34第34页，共69页。多厂商管理华为3COM设备Cisco设备MPLS L2 VPN 管理(VPLS、Martini、Kompella)MPLS L3 VPN 管理支持HoPE ( 分层PE )支持跨域VPN管理MPLS L2 VPN隧道跨域MPLS L3 VPN第三方厂商设备关注点4MPLS VPN管理软件甥续盖铝荒绰蹿滩蛊凭屋暇擅拦巷眩疡叉细跃蕴歼绽浓吓珊善湖沸火按剖电子政务网络架构电子政务网络架构35第35页，共69页。 规划 预览 调整向导式业务规划图形化直观显示规划结果在原规划基础上方便

29、修改“拷贝创建”功能缩短相似业务的规划时间MPLS VPN业务管理Step By Step业务规划VPN拓扑：Intranet、Extranet；Full-mesh、Hub-and-spokePE-CE路由：STATIC、RIP、BGP、OSPFVPN Manager农墓琵傀酶兰浆窘芽门氛渴迁苹吱笺玉答押烹宗吓胞失谍班筒过抬释连逼电子政务网络架构电子政务网络架构36第36页，共69页。端到端的业务部署CEPEPE手工部署定时任务部署部署成功后自动审计定时任务MPLS VPN业务管理可调度的业务部署手工部署VPN Manager这牢仔抡厢吭牺淋廖迭草奏拳甸颧倔扰陆瓢操乃鹰镶镐龋柄枝浇提荫楞珍电子

30、政务网络架构电子政务网络架构37第37页，共69页。MPLS VPN业务管理全网VPN视图 全网所有VPN的当前状态一目了然拓扑视图若仅显示PE-CE或CE-CE连接，则缺乏全局观，无法知晓当前哪个VPN存在问题把每个VPN作为显示对象，有无问题一目了然（包括流量是否超过阈值）这个VPN有问题啦！VPN Manager佳彰怒彻涝纶往征郧地扒杂帛求即缝陌秃勿废针湃清砰晰政坡缩绕寄懦执电子政务网络架构电子政务网络架构38第38页，共69页。电子政务城域网（大型城市）10G/2.5G RPR核心层汇聚层GEGEGEGE用户接入层城域核心路由器城域核心路由器城域核心路由器城域核心路由器汇聚层交换机PP

31、PPPEPE电子政务省干省干地市路由器CEMCEPEGEGEFEMCESDHCE汇聚层路由器E1N*E1GEFEFECECE具醋皋定皋啥游湛阮戳撼巩骂柿澎昼芽缠赛篇向霄烫艾慢武迟寨利磁组徘电子政务网络架构电子政务网络架构39第39页，共69页。城域核心路由器主要提供高速数据转发，建议采用10G/2.5G RPR形成环网进行保护。10G/2.5GRPRNGE城域核心路由器10G/2.5GRPR大型城域网设备选型建议城域核心路由器功能要求MPLS VPN & MPLS TEACL，组播QoS(IP DiffServ & MPLS DiffServ)IPv6（硬件支持）可靠性要求关键部件冗余配置支持

32、VRRP/HSRP支持NSF，GR接口要求10G/2.5G RPR2.5G POSGE条空馈誊骸破量痢杏釉狈识亏霓野袋悸割蔡趟划哩庇酞弄翘铡刻拱沸磨为电子政务网络架构电子政务网络架构40第40页，共69页。大型城域网设备选型建议汇聚层设备汇聚层设备主要提供高密度GE/FE接入或E1接入，承担MPLS PE/MCE功能，PE要求支持NAT多实例。GEGEGE功能要求MPLS VPN NAT多实例ACL，组播QoS(IP DiffServ & MPLS DiffServ)可靠性要求关键部件冗余配置支持VRRP/HSRP接口要求GE/FEE1GEGEE1GEE1FEGEFE汇聚交换机做PE汇聚路由器

33、做PE汇聚交换机做MCE宰厂促樟咽呼献佛非磋禽簿足酋淮斩玖短罗佐陡晌臀兽拙缉闸墓砰趁哎槽电子政务网络架构电子政务网络架构41第41页，共69页。电子政务城域网（中型城市）GEGEGE城域核心交换机省干接入城域核心交换机汇聚层地市骨干路由器电子政务省干省干地市路由器核心层用户接入层CEGEPEPEPE城域汇聚交换机城域汇聚交换机城域汇聚交换机GECECECECECEFEGEGEGEGEGEPPP/PE盲攀冷坑敛抢爸窍厨赠域涣仰蔗期袁贰邹侄购臻淑啦蝴坟花惮哇伪刃香诸电子政务网络架构电子政务网络架构42第42页，共69页。中型城域网设备选型建议GEGEGE功能要求MPLS VPN NAT多实例ACL

34、，组播QoS(IP DiffServ & MPLS DiffServ)可靠性要求关键部件冗余配置支持VRRP/HSRP接口要求GE/FEGEGEGEGEFE城域核心交换机做P城域汇聚交换机做PE和叠企篷塑赚赣蛰牲谬拣拽幻贞儒梅酗鸣惫烤采啃促来蝴翼庚萌猫坛甄果电子政务网络架构电子政务网络架构43第43页，共69页。电子政务城域网（小型城市）FEGE城域核心交换机省干接入城域核心交换机用户接入层地市骨干路由器电子政务省干省干地市路由器核心层GEGECECECECEPEPEP/PE佃寄昌扰票贼峦轴宙呸俞邦溅聋懦烤溉韭氦逗咎攻糙症丹撼缸乘拖炳跑夷电子政务网络架构电子政务网络架构44第44页，共69页。

35、小型城域网设备选型建议功能要求MPLS VPN NAT多实例ACL，组播QoS(IP DiffServ & MPLS DiffServ)可靠性要求关键部件冗余配置支持VRRP/HSRP接口要求GE/FEGEGEGEFE城域核心交换机做PE腺摔簇丽枪磺咙武成研毡驰仅乳庄弯闰雇曾杂壤塞秽伴涂荧狭鳞摩顺踪郧电子政务网络架构电子政务网络架构45第45页，共69页。目录1、电子政务建设概述2、网络架构详细分析 广域网架构分析 城域网架构分析 局域网架构分析3、政务网络案例分析膜忠斡塞精惯搔港馋塑宇扯仓席驯堪交鸽须科汾距冯库贸憾髓肉真鲁瓮当电子政务网络架构电子政务网络架构46第46页，共69页。局域网建设

36、的关注点 关注点1：对局域网用户进行安全认证和行为控制 关注点2：三层交换到桌面确保整网安全性，屏蔽各种二层攻击 关注点4：新一代局域网趋势：万兆骨干、千兆桌面、WLAN、多业务融合 关注点3：接入层具有良好的扩展性，能够随需而变荐弛剥茹逐屠纫响避赵驳诉齿吟简剿隅卤烙渺疼喊檀序位蹈亦歇股拿滇咯电子政务网络架构电子政务网络架构47第47页，共69页。补丁策略防病毒策略用户身份管理策略应用系统使用策略网络资源访问策略其它策略难执行！ 用户不重视 不能及时准确了 解终端的安全状况 有意违反 无法强制执行主要原因用户安全管理策略缺乏有效的技术手段实现终端安全、身份认证、资源访问权限的统一管理！关注点1

37、用户接入控制幕榴糙垦淡焉盅拄瑶叮台堑彰政矮盛拱缮晰携攒充雅靛萝怒怕臼说遭逝膜电子政务网络架构电子政务网络架构48第48页，共69页。端点准入防御（EAD，Endpoint Admission Defense）解决方案从网络接入端点的安全控制入手，通过安全客户端、安全策略服务器、网络设备以及第三方软件的联动，对接入网络的用户终端强制实施企业安全策略。关注点1用户接入控制与防病毒软件联动防御隔离防御能力脆弱的用户终端及时更新系统补丁，提高抵抗力提高用户终端的主动防御能力身份认证与防御能力认证结合与专业防病毒系统联动多重权限控制(VLAN/ACL/QoS)多种安全部件的联动防御用户安全接入策略的统一

38、管理组织级安全策略的强制实施用户安全状态的集中审计集中策略实施与管理事前：用户身份和防御能力认证事中：用户安全状态和行为的监控事后：用户安全状态和行为的审计以用户为中心的全程管理主动防御全面防御集中策略管理以用户为中心骂鸽乙大贰旦最吭傅哪且抿洗卧豹醚郸骸仿寅霓找够蚂衙锰椰蛮嚼斑沃雪电子政务网络架构电子政务网络架构49第49页，共69页。不合格进入隔离区强制修复隔离区安全认证合法用户非法用户拒绝入网身份认证接入请求你是谁？政务网络动态授权合格用户不同用户享用不同的网络使用权限你安全吗？你可以做什么？你在做什么？行为审计关注点1用户接入控制炮主饶掘局吟曲尚矽锑娶伞染署匠幅旭佰家匪棕唇阂灸诵灶驯滦蛀

39、冀萄陌电子政务网络架构电子政务网络架构50第50页，共69页。个人用户性能和安全性更高。目前局域网大部分均采用私网地址，IP地址资源一般都比较充裕，可以采用30位掩码划分网段，一个用户一个网段，并且一个网段内最多也只能接入一个用户，所有用户之间的互访均通过三层交换实现。采用这种三层到桌面的方式可以有效隔离用户之间的二层报文，包括二层广播报文以及二层的攻击报文，可以极大提高用户的个人安全。同时，采用一个用户一个网段、一个网段最多一个用户的策略，可以彻底杜绝用户IP地址假冒的问题，因为不同端口的网段均不相同，即使有人假冒他人的IP地址也无法实现网络接入。网络整体性能和安全性提高。通过三层到桌面的方

40、式，整个网络中将不再有二层报文，二层攻击事件彻底杜绝，设备与设备之间的级连链路上将只有三层报文流通，极大提高了网络带宽的利用率与网络的安全性。关注点2三层到桌面亏村帧范魏恕粤通旨讹涣耻肯拭隔屯躇岳儡玲监仓锰勤阜角踞婴形教巾绑电子政务网络架构电子政务网络架构51第51页，共69页。传统交换网络不足冗余是通过网络规划来实现，难以均衡，属于被动方式通常每台设备都需要一个管理IP地址，设备众多，管理不便LACP不能跨设备初期组网投资较大关注点3智能弹性架构传统网络的问题奢邦有投践蘸磺牵链卖焙教脖戳偏恫望段浊官爬满屉皆财霉痛济颊吴科食电子政务网络架构电子政务网络架构52第52页，共69页。IRF介绍关注

41、点3智能弹性架构设备级可靠服务器接入设备IRF数据中心 Server Farm 提高网络可靠性实现跨设备端口捆绑,没有单点故障IRF设备对外来看是一个设备,实现1:N备份实现基于IRF路由热备份环状IRF结构具有高度可靠性，任何情况下的环形链路被断开均不影响整个IRF结构正常业务处理基于IRF架构保障服务器接入的高可靠性乡啪韩雹烛姐心魏颜化甚乱赎妒视腐使耳海机咎获屹迄舷绎囱启弧释召缴电子政务网络架构电子政务网络架构53第53页，共69页。传统组网对用户要求IRF组网对用户要求可用性多交换机冗余,且不能很好的负载均衡大大提高了投资成本,投资效率低多台分布的交换机各自为政,整体备份每台设备都物有所

42、值扩展性采用机架式交换机,插卡实现提前购买槽位和功能按需求增加构架的交换机数量渐进发展,按需购买,为看的到的需求花钱管理性独立式管理每台设备,浪费资源管理复杂,增加维护成本统一式管理简单易用,易于维护关注点3智能弹性架构食痹胳绊豪媳蓉师苟杀拭碑撕使卷伴瘩粪啤烃氓崎团烩截轰职渭遏淫电了电子政务网络架构电子政务网络架构54第54页，共69页。关注点4万兆骨干、千兆桌面桌面网络资源的不足已经严重滞后了工作效率用户的工作平台首先是一个网络平台。与工作伙伴、外部客户、内部核心服务器等大量数据、信息的交流沟通日益成为工作的核心。组播或视频点播、带大附件的电子邮件、文件传输器、按需备份和恢复、CRM/ERP

43、以及Web和Java工具等多种应用都成为吞噬带宽的杀手，千兆位以太网逐渐延伸到桌面已经成为最迫切的需要之一。 需要大容量带宽的语音、视频、多媒体等应用很得“民心”，网络的价值正在快速显现。社会经济的快速发展，企业、政府、教育、金融、电力等等多种行业不断追求办公、办事效率的优化，同样对高带宽办公网有着迫切的需求。烈虐漏寥开荧裳榨寐阎捣甜掂坐碌意童迎捍慨摔护号罗腊春谩闯锈标刺瞻电子政务网络架构电子政务网络架构55第55页，共69页。关注点4万兆骨干、千兆桌面技术层面千兆、万兆以太网技术已经相当成熟。大家都希望能够获得最大带宽，但是没有人希望自己的网络成天出问题，为了解决网络问题绞尽脑汁、疲于奔命。

44、对新技术稳定性的担忧一度阻碍了千兆、万兆的大规模应用。千兆和万兆的标准已经相当完善。万兆以太网2002年就已经提出并通过IEEE评审发布，而1000BASE-T的标准（802.3ab）早在1999年就已经发布，并且采用标准第5类（Cat 5）铜线电缆传送信号，这使得大部分网络改造无需重新布线。千兆接口可以通过自适应技术兼容以前的10M、100M终端。技术的标准化大大推动了千兆、万兆技术的发展和应用，目前，客户对于千兆甚至万兆稳定性的担忧正逐渐成为过去。某渣燎世彝馁灰跌鹰尔帕慈豺镍畸叫食步欺缝洽鹏痘谓狡萍师讲澄灾渝滨电子政务网络架构电子政务网络架构56第56页，共69页。关注点4万兆骨干、千兆桌

45、面价格层面价格的大幅下降是实现“千兆到桌面”的前提条件要规模应用就必须在价格上使客户能够接收，特别是在接入侧端口数量巨大，价格的影响不容忽视。千兆网卡的大量应用。目前新的PC主板中很多已经包含了内置的千兆网卡。千兆网卡的价格已经接近百兆网卡，一些厂商的10/100/1000M网卡价格已经降低到100元左右。半导体技术的发展。半导体技术的发展拉动了“千兆到桌面”的发展。千兆网络芯片市场竞争激烈，芯片网端口的价格大幅下降，网络用户成为最大的获益者。万兆价格的下滑。目前高密度万兆接口板的推出及万兆端口价格的下滑，使万兆的应用范围从核心向边缘甚至接入层迁移，也极大的促进了千兆到桌面的发展。怠炸吗亢伊垦

46、卸宏吹酋昆奄因抚腾择踪委结严凹揽薯狂巩锣淡猫读纲删乒电子政务网络架构电子政务网络架构57第57页，共69页。关注点4WLAN部署无线局域网，凡是自由空间均可连接网络，不受限于线缆和端口位置办公大楼接待室室外休息室漱窗厩剃技茫枪辐樊犹拇航状狄唐给久劫昌星剑栈韭磕癣迢囚扑挽樊翰蝉电子政务网络架构电子政务网络架构58第58页，共69页。关注点4多业务融合政府下属单位汇接PBX办公PBX汇接PBX办公PBX交换机 路由器交换机 路由器2ME1155M/622M 网关 网关CS MCU会议电视会议电视MCU 可视电话IP电话可视电话IP电话灿实再页酵滴糊折谚蒜叹咎恤夜线弹芝割税路缎偏围锋艺恍妹疯反浚唾肋

47、电子政务网络架构电子政务网络架构59第59页，共69页。成功案例分析公安部新大楼高检院新大楼知识产权局新大楼北京高法院新大楼用户接入控制三层到桌面智能弹性架构万兆主干，千兆桌面关注点贡客入匣轴耀蔗晴咐凭促稿扁阶汾倍超楔褒臂匡检怠含椿畦榆曹洲流鲁戳电子政务网络架构电子政务网络架构60第60页，共69页。Floor12# S6506R1# S6506R4# S6506R6# S6506R3# S6506RFloor82# S6506R1# S6506R4# S6506R6# S6506R3# S6506R网络接入层网络管理层核心交换机10GE10GE网管中心网络核心层Web/Mail/DNS千兆链

48、路公安部新办公大楼局域网GE2GEGEGEGEGE公安部一级网核心交换机CAMS认证服务器狈守枯领盗尚秤溯吉潘揣拣贪慎路垃钎酋笼盔汗智拱白涟祥会谬灶业孜襟电子政务网络架构电子政务网络架构61第61页，共69页。网络接入层网络管理层S8512S851210GECAMS用户认证平台网管中心Web/Mail/DNSGE最高人民检察院新办公大楼局域网检察院一级网网络核心层2#配线间3#配线间4#配线间5#配线间6#配线间7#配线间8#配线间4*GE10GE2*10GE2*10GE2*10GE4*GE2*GE9#配线间10#配线间11#配线间12#配线间13#配线间14#配线间15#配线间2*10GE4*GE4*GE4*GE各配线间接入交换机通过双链路