网络工程规划与设计案例教程项目五任务2电子政务逻辑设计（拓扑结构设计与网络链路选型）

0工程五花都县电子政务外网规划与设计任务二电子政务外网拓扑结构设计任务三电子政务外网IP规划任务一电子政务外网网络需求获取任务五

网络中心规划与设计任务四电子政务外网路由与MPLSVPN设计任务六电子政务外网信息系统平安保护设计任务七外网平台应用系统规划与工程预算1引入任务1、电子政务网络总体架构。2、怎样对花都县电子政务外网进行逻辑设计？3、电子政务外网网络链路选择？2国家电子政务外网组织管理体系3物理隔离逻辑隔离政务外网政府网站政务内网涉密网政府公众信息网政务网应该是一个有弹性的城域网和广域网，需要通过统一的业务模型、集中的数据中心、完善的平安体系、标准化的业务流程、集成的信息管理等方面支撑建设。非涉密网电子政务网络逻辑总体架构4电子政务网络逻辑总体架构5省政府市政府区县政府省工商局市工商局区县工商局省劳动厅市劳动局区县劳动局纵向网络结构横向网络结构横向网络：信息共享，跨部门协作纵向网络：各个内部业务运作，本行业管理与监管政务网MPLSVPN实体政务网，虚拟业务网电子政务网络逻辑总体架构6电子政务外网—省纵向广域网地市城域网3地市城域网1622M/N×155M/N×100M155M2MN×2M……NE16/08NE40/16NE40/16NE40/16地市城域网2ATM/POS/cPOS/SDHDDN地市城域N10G/2.5GRPR/POS/GE政务外网省级广域网骨干环网备份链路NE807电子政务外网—市横向城域网县政府S6506S6506MPLSVPNMA5200F骨干核心层二级汇聚层骨干汇聚层二级接入层10G/2.5GRPR/POS/GENE80NE40NE40NE16/08备份线路8电子政务外网—区县城域网核心交换机光纤光纤光纤核心层会聚层……三层交换机S6506/5516/3526三层交换机S6506/5516/3526区节点1S8016/6506NE40/16/08POS/GE区节点NS8016/6506区节点1S8016/6506区节点2S8016/65069电子政务外网—厅局委办园区网厅局委办1GE/FE……市委、政府等大院构建高速、智能的本地园区网接入各单位;电信级高端设备保证网络的高可靠性;多业务设备MA提供对每个以太网端口的认证，保证网络平安.S2000S2000FE/GES2000S8016/6506/5516……MA5200ES3000S2000S2000S2000S8016/6506/5516……MA5200ES3000GE/FE政务网城域网GE/FEDDN/FR/FE/GEDDN/FR/FE/GE厅局委办NNE16EFE/GE区县城域网10政务网城域网厅局委办1R36/26XXVLANVLANVLANS3000S2000S2000S2000/3000S2000厅局委办2厅局委办NR36/26XXFE/GEFE/DDN/FRFEFE各单位构建高速局域网接入各自的终端设备，利用VLAN进行平安隔离FE/DDN/FR电子政务外网—厅局委办园区网11江西电子政府信息网纵向网接入层省中心上饶南昌景德镇省政府办公厅P骨干网PE设备层厅局厅局地市骨干网MPLSVPN省骨干网/11个地市市政府办公厅县级单位PPPPPQuidwayNetEngine80QuidwayNetEngine16EQuidwayNetEngine16EQuidwayNetEngine16EQuidwayS8016QuidwayS5516QuidwayS8016QuidwayS3026QuidwayR江西电子政务信息纵向网涉及省、11个地市；采用MPLSVPN技术实现横向网、纵向网的互联，平安隔离各单位独立规划内部局域网，原来网络应用不受影响。12

省级电子政务外网整体组网13地市电子政务网整体组网14区县级电子政务外网整体组网15广域网与城域网16花都县电子政务外网逻辑设计花都县电子政务外网逻辑设计原那么：按照“分层分区〞的设计思想，以保证网络架构的先进性、高可用性、高可扩展性和易管理性。17花都县电子政务外网逻辑设计网络从层次分为：核心、会聚、接入三个层次按实现功能区块又分为：核心交换区、纵向连接区、横向连接区、应用效劳区、互联网出口区和外部接入区共6个区域。18花都县电子政务外网逻辑设计〔1〕核心交换区设计采用2台高端模块化交换机组成冗余的双核心〔核心交换区是负责整网高速数据交换/转发的中枢，必须具备高性能、高可靠性和高扩展能力〕采用“虚拟交换单元〞〔VSU〕的核心组网模型。192台或多台核心交换机虚拟化成1台设备的技术〔VSU〕花都县电子政务外网逻辑设计〔1〕核心交换区VSU极大提升网络可靠性、简化网络拓扑、减轻后期网络管理维护压力、成倍提升网络整体性能

20花都县电子政务外网逻辑设计〔2〕纵向连接区纵向连接区承担向上连接到省级外网平台、向下连接辖内15个县政府外网的重要功能。骨干路由器通过广域网链路与省外网平台的会聚或核心设备互联通过MSTP广域网链路分别连接到全县辖内15个县政府单位，利用2条千兆链路跨设备聚合的方式与虚拟化〔VSU〕双核心互联。21花都县电子政务外网逻辑设计〔3〕横向连接区横向连接区承担全市范围内100多个委办局单位的会聚和接入功能〔接入线路根据接入点和会聚点的距离灵活选择铜缆〔以太双绞线〕或光纤的方式〕为保障网络的高可靠性和高可扩展性，在城域范围内选择4个适宜的会聚点4个会聚点均分别采用2条光纤，通过千兆速率SFP接口上联至虚拟化双核心交换机〔VSU〕。2条光纤采用IEEE802.3AD协议进行跨设备链路聚合，实现带宽扩展，并提供线路冗余和负载均衡功能22花都县电子政务外网逻辑设计〔4〕应用效劳区应用效劳区主要由有各种效劳器、存储单元硬件设备构成，是承载电子政务外网平台各种应用系统、数据共享与存储、管理员进行IT管理监控和运行维护、平安管理策略下发的重要区域，数据比较集中平均或突发流量相对较大，平安策略复杂。23花都县电子政务外网逻辑设计〔4〕应用效劳区部署1台数据中心专用交换机效劳区数据中心交换机与核心交换机〔虚拟交换单元VSU〕之间采用2条万兆链路捆绑互联。24花都县电子政务外网逻辑设计〔5〕互联网出口区联网出口区是电子政务外网和internet网互联互通的高风险区域大局部的平安事件都发生在这个环节，且承担全市内各接入单位用户internet访问、外部移动用户VPN拨入、门户网站发布等多种功能。互联网出口区平安边界管理出口应用流量的控制上网行为管理多链路负载均衡日志审计与VPN平安重点考虑25花都县电子政务外网逻辑设计〔5〕互联网出口区1台千兆级高性能防火防火墙实现边界安全隔离、DDOS攻击防护和安全策略控制1台千兆级高性能出口引擎设备实现实现极高的数据转发、多出口链路的负载均衡1台千兆级高性能流控设备实现对外网用户上internet的应用流量进行详细控制DMZ区部署1台网页防火墙设备实现对网站实现防黑客、防挂马、防篡改、防病毒等多重应用保护一套日志系统与防火墙、流控、出口引擎等安全设备联动，收集用户上网的相关NAT、URL日志记录，以便进行分析26花都县电子政务外网逻辑设计〔6〕外部接入区外部接入区实际上是一个虚拟区域，指政府人员在外地或在家里通过internet拨VPN的方式接入到外网平台，实现远程移动办公的效果。由于目前这类需求并不明显，从节约经费的角度考虑，借助防火墙自带的SSLVPN功能解决少量用户的需求。将来根据需要，可考虑部署1台专门的VPN网关设备〔可选〕，实现大批量外部移动用户通过VPN拨入的方式访问县外网平台。27花都县电子政务外网逻辑设计综合考虑各类因素，逻辑设计图如下：28花都县电子政务外网网络链路选型目前城域网主流的组网通信技术主要有：以太网MSTP〔SDH／SONET〕VPN电信骨干传输网目前所采用的主流技术城域以太网主要面向城区用户L2、L3VPN满足用户多种业务隔离需求29花都县电子政务外网网络链路选型目前城域网主流的组网通信技术1、以太网：1〕将基于千兆以太网的平台应用于城市范围，解决了城域网中常面对的严重的瓶颈问题；2〕以太网本钱低廉，即时可用，提供更高的数据传输速率；3〕以太网接入速度的灵活性，可从1Mbps到1Gbps范围内的任意接入；4〕以太网以其“即插即用〞的特性，消除了城域以太网和最终客户信息系统之间的交互工作或协议转换等问题。30花都县电子政务外网网络链路选型目前城域网主流的组网通信技术2、MSTP：1〕MSTP〔Multi-ServiceTransferPlatform——基于SDH的多业务传送平台〕继承了SDH的平安、稳定优势，并在此根底上结合ATM、IP数据处理技术，使专线效劳的种类更加丰富。2〕MSTP专线网络为企业客户提供点对点、点对多点的广域平安互联效劳优势：★2M为颗粒平滑升级，随着业务的开展，容易扩容到到更高带宽；★本钱的优势〔网络设备的本钱，MSTP接入的是以太口，MSTP链路本身的资费，随带宽增加价格涨幅逐渐变小；★使用的便利性(MSTP以太方式直接接入到机房的路由器或者交换机上).31乡镇接入三种组网模型：区县电子政务乡镇接入解决方案32乡镇接入三种组网比较:广域网方案设计的第一要要素不是设备，而是链路。链路成本将占到客户TCO的80%链路引导成功则项目成功一半区县电子政务外网纵向网联通方式选择33花都县电子政务外网网络链路选型基于以上多种因素考虑花都县电子政务外网网络链路选型：城域网：采用以太网技术〔裸光纤方式〕广域网和零散的接入单位：可以采用MSTP方式。以太网MSTP+34乡镇电子政务外网横向互联接入方式选择SDH方式虽然是最传统、平安、可靠的线路解决方案，但是由于难以虚拟出多个接口，为电子政务外网应用提供多实例隔离解决方案，故不推荐在电子政务外网中作为接入使用；MSTP为SDH转换为以太网方式，提供近似于SDH的平安性和效劳质量，作为主推接入方式，但是考虑到很多地方还没有完全覆盖，故可以和租用裸光纤或者ADSLVPN方式结合使用ADSL链路是覆盖面最大的链路，但通常只作为互联网接入使用，需要通过VPN技术转化为专线，结合电子政务外网的多实例需求和平安性需求，建议采用L2TP+IPSec方式，提供多实例的平安接入3535乡镇电子政务外网横向互联〔专线〕由于电子政务外网横向接入需要充分考虑接入单位多套网络和多种业务的情况，故接入线路必须为支持子接口的方式，故专线接入方式，只推荐以太网接口〔MSTP或裸光纤接入〕36架构业务隔离方式特点地址分配问题安全性稳定性可扩展性成本二层交换机VLAN所有用户网关集中在区县核心设备上依赖上层设备低低低低三层交换机MCE交换机支持MVRF功能，提供业务隔离。依赖上层设备高高低高路由器MCE采用路由交换一体机，由路由器提供多业务支持VRF，交换机丰富接入密度。自身提供多实例NAT技术高高高中36深化任务——技能训练1.讲解技能训练任务单12.下发技能训练任务书13.学生按照技能训练任务书1的