XX党政城域网实施方案.docx

1、XX党政城域网实施方案XX党政城域网实施方案第1章 工程概况XX市党政城域网是XX市电子政务信息化建设的重要内容，也是今后提高政务工作效率、开展多种增值业务（如VOIP、视讯等功能）的基础。作为全市统一的电子政务城域网平台，XX市党政城域网主要实现市委、市人大、市政府、市政协四大政府机构的高速互联和市、区、县各局委办的综合接入。本次建设系XX电子政务外网，承载业务主要包括各政府部门的地市区县纵向网，以及部门间的行政报文审批、政务信息发布、资源共享平台及语音（IP电话）、视频（会议电视系统）等多种应用，通过VPN技术实现不同业务或部门间的安全隔离和可靠传输。本次网络规划主要按照局委办节点的物理位

2、置划分（每个节点可能包括多个就近的职能部门或机构），需要接入的节点包括市属局委办节点（30个），14个区（县）属局委办（每县平均20个节点），共计310个节点。地市和区县本地节点的接入均采用光纤直趋的方式，以100/1000M速率与本地核心相连；对于地市到区（县）的互连，考虑到地市到区县距离较远，建议采用运营商城域网线路完成区（县）节点用户的汇聚上行，考虑到网上多种业务的顺利开展，地市到区县核心速率不小于10M。本次工程的主要建设内容如下：构建覆盖全市统一的电子政务城域网（外网），包括传输线路、数据网络系统和其它业务应用（如语音、视讯）平台。本次规划设计需要接入的电子政务节点共计310个。根据

3、网络设计思想及其应用需求，鉴于政务网各部门的特殊安全性要求，在总体建设上我们采用业务与网络分层构建、逐层保护的指导原则，利用宽带IP技术，保证网络的互联互通性，提供具有一定QOS的带宽保证，并提供各部门、系统网络间的逻辑隔离(VPN)，保证互访的安全控制。整网数据传输采用光纤直趋与利用地到县传输城域网两种方式相配合，为XX市党政城域网提供高可靠、高安全、高带宽的传输网络平台。对于基于同一传输网络之上的多个不同政府部门之间的业务和数据隔离，我们整网采用MPLS VPN技术实现了业务隔离，并能进行有效的QOS策略实施。所采用的传输及网络设备以及整体网络构架都具有良好性能、高可靠和可扩展性，充分保护

4、用户投资。根据后续网络业务发展的需求，可在现有数据网络平台基础上增加语音、视频功能，从而构建XX市党政城域网三网合一的完整网络平台。第2章 用户需求分析根据用户需求，本次建设主要是实现XX市党政城域网全市范围内的互联互通及信息资源的共享。XX党政城域网络平台总体需求如下：1、 实现相应的市级职能部门与县级的职能部门的纵向互连（例如：市人大和14个县人大实现一个完整的VPN互连网络，与其他职能部门独立开来）。2、 横向连通实现方式为各个市级职能部门（例如：市人大、市委、市科委等）之间只能访问市级公共服务器群，但各市级职能部门之间不能相互直接访问，交互数据由服务器群来处理并转发。3、 各个县级职能

5、部门（例如：县人大、县委、县科委等）之间只能访问各县级公共服务器群（每个县都有一个服务器群），但各县级职能部门之间不能相互直接访问，交互数据由服务器群来处理并转发。4、 市级服务器群和县级服务器群之间可以相互交互数据。5、 网络中还提供IP语音电话业务和视频会议系统，要求通过VPN与数据隔离开来。其中视频业务设涉及到市县两级政府部门。6、 要求实现完备的QOS服务，保证语音、视频及重要数据的质量7、 需要通过网管软件对全网设备进行管理对用户需求的分析，我们可以具体的拿市属职能不能、县属职能部门，以及服务器群能几个部分来详细说明。例如我们现在有以下几个网元部分：市服务器群，市财政局，市卫生局；忻

6、府区服务器群，忻府区财政局，忻府区卫生局；保德县服务器群，保德县财政局，保德县卫生局。他们相互之间网络联通或阻断的对应关系是：1、 市财政局可以分别和忻府区财政局、保德县财政局网络联通。2、 市财政局可以和市服务器群网络联通。3、 市卫生局可以分别和忻府区卫生局，保德县卫生局网络联通。4、 市卫生局可以和市服务器群网络联通。5、 市服务器群可以忻府区县服务器群，保德县服务器群网络相通。6、 忻府区财政局和保德县财政局网络联通。7、 忻府区卫生局可以和保德县卫生局网络联通。8、 忻府区服务器群可以分别和忻府区卫生局，忻府区财政局网络相通。9、 保德县服务器群可以分别和保德县卫生局，保德县财政局网

7、络相通。10、 忻府区服务器群和保德县服务器群网络联通。11、 市卫生局和市财政局之间网络不能互通。12、 市卫生局和市财政局都不能够和保德县服务器群，忻府区服务器群网络联通。13、 市卫生局不能和忻府区财政局、保德县财政局相通。14、 市财政局不能和忻府区卫生局、保德县卫生局相通。15、 忻府区财政局、忻府区卫生局、保德县财政局、保德县卫生局都不能和市服务器群网络联通。16、 以上各单位的VOIP业务都可以互通，但和其他业务隔离。17、 以上各单位的视频业务都可以互通，但和其他业务隔离。18、 以上各单位的网管业务都可以联通，但和其他业务隔离。第3章 网络结构3.1 全网拓扑结构根据XX政府

8、党政城域网设计方案，建设完成的网络结构如图：如上图所示，XX党政城域网络采用分层式结构设计，分为核心层，汇聚层和接入层：核心层网络：市政府信息中心作为整个网络的逻辑中心，为全网提供高速数据和业务交换接入等功能，考虑到核心层网络的高可靠和高性能，本项目最终将采用双机热备（负载均衡）方式设计核心层网络路由和核心交换设备。采用2台Quidway NE40骨干路由器作为核心路由器完成区县节点接入和备份（负载均衡）功能，作为全网数据和业务的核心交换设备。2台华为公司的Quidway S6506R高端多业务路由交换机完成市级单位接入和市政府中心局域网的核心交换功能。为保证14个区县节点的汇聚接入，核心路由

9、器采用双归属方式与核心交换机连接，保证核心网络的高可靠性。区县节点通过运营商传输网络汇聚后通过100M接口与核心路由器高速互连。汇聚层网络：汇聚层设备主要分布在14个区县核心，每个区县我们采用1台Quidway AR46业务中心路由器汇聚各区县局、委、办节点的数据和流量，然后通过运营商传输城域网络接入核心路由器，从而完成区县、地市网络的高速互连。汇聚路由器AR46通过百兆链路下联多业务路由交换机S6503，通过其百兆单模光接口连接每区县的20个局委办节点。14个各区县路由器设备将分为2组，一组上行主链路（FE :10M）接入核心路由器NE40 （1），备份上行链路（E1: 2M或FE :10M

10、）接入核心路由器NE40 （2）；另一组与之相反，上行主链路（FE :10M）接入核心路由器NE40 （2），备份上行链路（E1: 2M或FE :10M）接入核心路由器NE40 （1），从而完成主备冗余和负载均衡双重功能，极大的提高整体网络的可靠、稳定。接入层网络：对于接入层网络的局委办节点，主要分为2部分，一部分是地市节点（32个），另一部分是区县节点（共280个）。3.2 第一阶段网络结构整个XX市党政城域网的建设将总体上分为两个阶段，本阶段将构建以单核心设备的市政府网络中心，接入市政府，市人大，市党委，市政协，以及其他市局机关共16个，7个县的县中心，以及这7个县的下属140个县局机关单

11、位的接入，本阶段工程构建的网络拓扑为：第4章 MPLS-VPN规划4.1 MPLS VPN实例设计根据用户需求分析，我们将XX党政城域网中的各个职能部门以及不同的业务，划分VPN如下：每个机关单位作为单独一个VPN实体存在，例如1、 市人大，市政府，市财政局等划分不同的VPN实体。2、 市服务器群划分单独的VPN实体；3、 各个县服务器群划分为一个统一的VPN实体；4、 每个县的相同的职能部门作为相同的一个VPN实体，比如宁武县财政局和忻府区财政局作为相同的VPN实体存在，宁武县人大和忻府区人大作为相同的VPN实体存在；5、 全网的VOIP作为一个VPN实体对待；6、 全网的网管业务作为一个V

12、PN实体；7、 全网的视频业务作为一个VPN实体；8、 市服务器群的VPN实体和县服务器群VPN关联；9、 市服务器群VPN实体和所有的市局机关VPN关联；10、 县级职能VPN和县服务器群关联；11、 市局机关VPN和相同职能的县局职能VPN关联；我们可以拿市财政局VPN（A）、市服务器群VPN（B）、县服务器群VPN（C）、宁武县财政局VPN（D）、忻府区财政局VPN（E）来举例说明。各个VPN之间的关联以及隔离关系如下图，图中所示相同颜色作为一个VPN实体，红色箭头表示VPN的关联，不同颜色的VPN之间隔离；从图中我们可以看到，市财政局数据（A）是一个VPN，宁武县财政局数据（D）和忻府

13、区财政局数据（E）是一个VPN,市服务器群（B）是一个VPN，各县服务器群（C）是一个VPN.在实现VPN划分和关联以后就可以做到：1、(A) 和(D)(E)联通；2、(A) 和(B)联通；3、(B) 和(C)联通；4、(D) 和(E)联通；5、(B) 和(D)(E)不能联通；6、(A) 和(C)不能联通；4.2 MPLS VPN技术实现我们考虑在NE40和AR46上起MPLS/VPN，NE40和AR46Z作为全网中的PE设备，各机关单位所使用的AR28和AR18系列路由器作为CE设备使用。县级AR46上按照需要建立多个实例（比如20个机关单位、IP电话业务、视频会议业务、网管，县级服务器群）

14、，每个机关单位作为一个实例要引入27个其他单位的路由（市级单位一个、13个县级单位和县级服务器群），县级服务器群要和280个机关单位做对应。由于AR18作为CE来使用，IP电话业务、视频会议系统和数据作为三个实例都要穿越6503到AR18上。使得县机关的IP电话、视频终端能够和全网的其他终端互通。整个网络的MPLS部署如下：4.2.1 市政府网络中心接入在本网络中，我们可以把市政府，市人大，市党委，市政协，市服务器群都作为市政府网络中心的一部分接入。按照职能不同划分为不同的VPN，利用核心路由器NE40作为PE设备，将核心交换机6506作为CE设备。在NE40上起对应各个单位的VPN实例，和6

15、506互连的百兆以太网端口上封装TRUNDOT1Q协议，为每个VPN实例生成不同的子接口，把这些子接口按照不同的对应关系和VPN实例绑定，在每个MPLS-BGP中引入相对应的直联VPN实例路由；在6506上为每个VPN实例划分一个二层网络隔离的VLAN，每个VLAN可以对应接入一个市机关单位。4.2.2 市局机关单位接入市局机关单位的接入类似于四大班子的VPN接入，连接方式都一样都是通过6506接入，然后把VLAN对应透传到NE40上不同的子接口和VPN实例，不同的是市局机关单位的AR28作为CE设备，在NE40中的MPLS-BGP中需要引入的是对应每个VPN实例的静态路由而不是直联路由。4.

16、2.3 县政府网络中心接入把县政府，县人大，县党委，县政协，县服务器群都作为市政府网络中心的一部分接入。按照职能不同划分为不同的VPN，利用中心路由器AR4640作为PE设备，将核心交换机6503作为CE设备。在AR4640上起对应各个单位的VPN实例，和6503互连的百兆以太网端口上封装TRUNDOT1Q协议，为每个VPN实例生成不同的子接口，把这些子接口按照不同的对应关系和VPN实例绑定，在每个MPLS-BGP中引入相对应的直联VPN实例路由；在6503上为每个VPN实例划分一个网络数据链路层隔离的VLAN，每个VLAN可以对应接入一个市机关单位。4.2.4 县局机关接入县局机关单位的接入

17、类似于四大班子的VPN接入，连接方式都一样都是通过6503接入，每个机关单位对应一个网络数据链路层隔离的VLAN，然后把VLAN对应透传到AR4640上不同的子接口并和VPN实例，不同的是市局机关单位的AR28作为CE设备，在AR4640中的MPLS-BGP中需要引入的是对应每个VPN实例的静态路由而不是直联路由。4.3 MPLS VPN规划说明4.3.1 VRF规则VPN路由和转发实例，是与一个或多个相连的客户站点相关联的路由和转发表，本方案中VRF即相应应用系统相关联的路由和转发表。市局机关VRF定义格式为：S机关单位名称缩写，如市财政局表示为S-czj；市服务器群表示为S-server。

18、县局机关VRF定义格式为：x机关单位名称缩写，如县财政局表示为x-czj；县服务器群表示为x-server。（详见VPN命名规划表）4.3.2 RD（Route Distinguisher）规则RD用于在服务提供商网络中唯一地标识VPN和用户地址空间，使用16 bits：32 bits格式，分配规则为 VLAN号：VPN类别，其中VLAN号为交换机上为不同的单位接入划分的VLAN号，VPN类别统一规定市局机关单位为，县局机关单位为。（详见附件VPN规划表。）4.3.3 Route-Target规则通过配置VRF（路由转发实例）的route target属性，可以实现不同业务的VPN。不同路由器

19、通过route target相关联而组成可以互相访问的集合，也就是说，VPN的成员关系是通过路由所携带的route target属性来获得的。不同CE 通过PE 配置的VRF 里的Target实现互访与隔离，从而组成不同的VPN。本系统中我们规定所有VPN实例都只发布自己的RD，只引入自己VPN的和自己需要关联的VPN的RD。4.3.4 VLAN划分规则在全网的交换机上划分的VLAN要求统一：单位名称VLAN号人大10政府20党委30政协40服务器群50语音200视频300网管400备注：其他局机关单位从101开始，顺序类推（详见VPN规划表。）4.3.5 设备端口连接规则设备名称接口名称接口

20、用途所属VLAN备注NE40-4Ethernet1/1/5县中心互联Ethernet1/1/7Ethernet1/1/7划分为7个子接口分别连接网管、语音、市服务器群、市政府、市卫生局、市财政VPN、与S6506R的互联接口Vlan-trunk20、50、200、400、401S6506REthernet2/0/1互通接口TRUNKEthernet2/0/2与NE40-4上的对应vlan互通20Ethernet2/0/350Ethernet2/0/4200Ethernet2/0/5400AR2831Ethernet0/0与S6506R上的对应vlan互通Trunk:200、400、Ethern

21、et0/1下连s39:语音、网管、数据互联子接口Trunk:200、400、S3928Ethernet1/0/1互通接口TRUNKEthernet1/0/2与AR3928上的对应vlan互通101Ethernet1/0/4与AR3928上的对应vlan互通400AR4640Ethernet0/0/0与NE40-4互联Ethernet1/0/0Ethernet1/0/0划分为多个子接口分别连接网管、语音、县服务器群、TRUNK 200、400、50、20S6503Ethernet1/0/1与AR4640互联TRUNKEthernet1/0/220Ethernet1/0/3与AR4640上的对应V

22、LAN互通50Ethernet1/0/4400Ethernet1/0/5200Ethernet1/0/6Ethernet2/0/350Ethernet2/0/550AR1820Ethernet1/0与S6503上的对应VLAN互通TRUNK: 200、400、Ethernet2/0互通接口TRUNK: 200、400、S2126Ethernet0/1互联接口TRUNK第5章 IP地址规划根据对用户资源的了解，局方目前的IP地址为10.4.0.0，一个B类地址的IP资源。其中10.4.0.0/2410.4.16.0/24已经使用。我们的IP地址规划主要设计到将来目前市局机关单位和14个县区的地址

23、使用，同时兼顾了将来可能的网络扩展需要。详细的规划见IP地址规划表。5.1 Loopback地址分配Loopback地址采用32位掩码（即255.255.255.255）。本系统中只有市核心设备和县中心网络设备使用Loopback地址。我们把10.4.255.0/24整个C类地址作为系统设备的LOOPBACK地址。Loopback地址同时在设备上可以作为Route ID，以及Mpls Lsr-ID使用。5.2 链路地址规划链路地址规划主要设计的全网应用以下链路地址： NE40AR46互连地址 市局机关数据业务互连地址，语音业务互连地址，网管互连地址 县区机关数据业务互连地址，语音业务互连地址，

24、网管互连地址5.3 VPN业务地址规划VPN业务地址的规划我们根据网络系统的IP地址优化需要，设计为地址按照每一种VPN业务可以聚合，这样可以减少路由条目，和在CE设备上的配置量，同时也方便以后系统维护。语音业务：16个C类地址汇聚；视频业务：1个C类地址汇聚；网管业务：16个C类地址汇聚；数据业务：相通职能部门的数据业务按照4个C类地址汇聚。第6章 路由协议路由协议包括IGP的选择和EGP的选择。IGP产生路由，EGP传播路由，在本系统实施中，我们拟定采用BGP4作为MPLS VPN路由协议, OSPF作为内部路由协议。在NE40和AR4640上同时运行OSPF、BGP和MPLS BGP完成

25、全局选路，和VPN选路。在各AR28和AR18这些低端设备上使用静态路由完成选路。6.1 BGP路由协议6.1.1 AS号划分BGP的自治系统传统来说应该按照专门机构的分配来使用，但XX党政城域网是一个专网，没有和公网互连的需求，也不会和公网交互BGP路由信息，所以AS号可以自由的分配，我们将整个网络系统的BGP路由AS号暂定为10，具体的根据用户政府部门自己分配的来定制。6.1.2 对等组的规划交换BGP报文的路由器称为对等体（即BGP的neighbor），对等体可以是相连的邻居路由器也可以是通过邻居路由器相连的路由器。一个BGP对等体组是一组共享相同更新策略的BGP对等体，使用BGP对等体

26、组可方便用户配置，不仅使用户不用反复配置每个BGP对等体，也使运行BGP的路由器不用费力地为每个邻居顺序地分析策略。有了对等体组，路由器一旦确定了路由更新，就将同一更新扩散到所有与该路由器属于同一对等体组的邻居中。当用户启动若干配置相同的对等体时，可先创建一对等体组并将其配置好；然后将各对等体组加入到该对等体组中，就可使其获得与此对等体组相同的配置。本设计方案中采用对等体组设置，所有骨干路由器设置为一个对等体组，命名为GROUP 1。6.1.3 路由反射器的规划所有路由器运行在同一个AS中，为了避免在AS内产生选路循环，BGP不通告内部BGP对等体通过其它IBGP对等体得知的路由。因此，在一个

27、AS内保持完整的IBGP闭合网是很重要的，也就是说，AS中的每个BGP路由器必须与AS中所有其它路由器建立BGP对话。这样在某些网络中，由于内部BGP网络非常大（每个路由器有多于100个的内部对话），建立全闭合网开销也很大。所以我们需要把一个内部BGP peer配置成为路由反射器，其他内部peers就不必要全网状相连，只需要和路由反射器建立IBGP会话，仅通过路由反射器学习路由即可。路由反射器作为其它路由器的集中点，其它路由器就称为客户机。客户机与路由反射器对等并与其交换选路信息。路由反射器会依次在客户机之间传递（反射）信息。若在一个AS中的路由器必须与其它路由器建立大量BGP会话（即拥有大量

28、的IBGP对等体），路由反射器将是一种很好的选择。在本系统中可以先采用一级路由反射器设置，核心NE40路由器作为路由反射器，视网络设备的路由协议运行情况,并在以后系统第二阶段建设时候可以在地市增加路由反射器。6.1.4 路由的引入在PE路由器上，BGP的 vpnv4地址族中，按照需要引入静态路由协议和直联路由协议。6.2 ospf路由协议在NE40和AR46上使用OSPF完成互连，只需要划分一个区域，AREA 0。OSPF网络类型设计为点到多点的网络类型。用Loopback地址作为ROUTER ID。6.3 黑洞路由由于我们系统中的VPN业务地址都是按照业务类来汇聚的，而CE设备又是使用静态路

29、由协议，所以为了避免在链路或接口发生故障的时候在网络中产生环路，导致更大范围的网络通讯故障，我们需要在AR28和AR18上设置黑洞路由，在下端接口或链路发生故障时直接丢弃数据报文。第7章 网管系统此次项目中网络管理系统采用集中管理的方式实现，即中心网络管理服务器和中心管理数据库，实现对全网的管理。整个网络中把网管作为单独的VPN业务规划。我们把网管服务器接在市政府网络中心6506上。服务器可以通过网管VPN路由管理到市局和县局的CE设备，同时可以通过全局路由管理NE40和AR4640。第8章 安全策略我们知道在现在的网络中，最大的安全威胁都来自电脑病毒，连网络设备都不能幸免。我们将在每台接入设

30、备上配置防病毒访问控制列表，防止病毒对网络设备的攻击导致的网络系统故障。同时非法用户对网络设备的登入也是网络安全的的很大隐患，我们通过设置网络设备不同级别的用户口令的认证方式来进行控制。8.1 防病毒防控列表1、用于控制Blaster蠕虫的传播rule 1 deny tcp source any destion any destination eq 4444rule 2 deny udp source any destion any destination eq 692、用于控制Blaster蠕虫的扫描和攻击rule 3 deny tcp source any destion any dest

31、ination eq 135rule 4 deny udp source any destion any destination eq 135rule 5 deny tcp source any destion any destination eq 139rule 6 deny udp source any destion any destination eq 139rule 7 deny tcp source any destion any destination eq 445rule 8 deny udp source any destion any destination eq 445rule 9 deny tcp source any destion any destination eq 593rule