精選優(yōu)質(zhì)文檔-----傾情為你奉上精選優(yōu)質(zhì)文檔-----傾情為你奉上專心---專注---專業(yè)專心---專注---專業(yè)精選優(yōu)質(zhì)文檔-----傾情為你奉上專心---專注---專業(yè)第二章政務(wù)外網(wǎng)網(wǎng)絡(luò)建設(shè)方案總體設(shè)計方案組網(wǎng)原則按照國家信息中心、XX省信息中心下發(fā)的電子政務(wù)外網(wǎng)建設(shè)相關(guān)技術(shù)規(guī)范，結(jié)合基于對國家電子政務(wù)外網(wǎng)項(xiàng)目的理解，在本次網(wǎng)絡(luò)設(shè)計時遵循以下基本建網(wǎng)原則：1、網(wǎng)絡(luò)設(shè)計標(biāo)準(zhǔn)化本項(xiàng)目網(wǎng)絡(luò)設(shè)計所采用的組網(wǎng)技術(shù)和設(shè)備應(yīng)符合國際標(biāo)準(zhǔn)、國家標(biāo)準(zhǔn)和業(yè)界標(biāo)準(zhǔn)，為網(wǎng)絡(luò)系統(tǒng)的擴(kuò)展升級及與其他網(wǎng)絡(luò)系統(tǒng)的互聯(lián)提供基礎(chǔ)。2、組網(wǎng)技術(shù)的先進(jìn)性和成熟性本項(xiàng)目網(wǎng)絡(luò)建設(shè)應(yīng)適應(yīng)網(wǎng)絡(luò)自身的發(fā)展特點(diǎn)及網(wǎng)絡(luò)通信技術(shù)的更新?lián)Q代，在網(wǎng)絡(luò)結(jié)構(gòu)設(shè)計、網(wǎng)絡(luò)配置、網(wǎng)絡(luò)管理方式等方面應(yīng)具有一定的先進(jìn)性和前瞻性，同時又是成熟、實(shí)用的技術(shù)，盡量避免技術(shù)風(fēng)險。3、高度的網(wǎng)絡(luò)安全性提供完備的安全防護(hù)策略，能防止對網(wǎng)絡(luò)資源的非法訪問，保護(hù)網(wǎng)絡(luò)使用者的合法利益。4、高度的網(wǎng)絡(luò)可靠性網(wǎng)絡(luò)設(shè)計應(yīng)能有效地避免單點(diǎn)故障（設(shè)備、線路），在設(shè)備的選擇和關(guān)鍵設(shè)備互連時，應(yīng)提供充分的冗余備份，一方面最大限度地減少故障的可能性，另一方面要保證網(wǎng)絡(luò)能在最短時間內(nèi)修復(fù)。5、多業(yè)務(wù)統(tǒng)一網(wǎng)絡(luò)平臺建設(shè)一個開放的網(wǎng)絡(luò)平臺，支持多種業(yè)務(wù)的同時傳輸，如支持語音、視頻等多媒體業(yè)務(wù)服務(wù)。6、良好的擴(kuò)展能力能夠根據(jù)未來業(yè)務(wù)的增長和變化，平滑的擴(kuò)充和升級現(xiàn)有的網(wǎng)絡(luò)覆蓋范圍，擴(kuò)大網(wǎng)絡(luò)容量和提高網(wǎng)絡(luò)的各層次節(jié)點(diǎn)的功能，最大程度的減少對網(wǎng)絡(luò)架構(gòu)和現(xiàn)有設(shè)備的調(diào)整。7、良好的管理能力在網(wǎng)絡(luò)設(shè)計中，須建立有效的網(wǎng)絡(luò)管理解決方案。能夠?qū)崿F(xiàn)監(jiān)控、監(jiān)測整個網(wǎng)絡(luò)的運(yùn)行情況，合理分配網(wǎng)絡(luò)資源、動態(tài)配置網(wǎng)絡(luò)負(fù)載、可以迅速確定網(wǎng)絡(luò)故障等。通過先進(jìn)的管理策略、管理工具提高網(wǎng)絡(luò)的運(yùn)行性能、可靠性，簡化網(wǎng)絡(luò)的維護(hù)工作。8、突出應(yīng)用，強(qiáng)化服務(wù)。立足我省實(shí)際，結(jié)合政府職能轉(zhuǎn)變和管理體制改革，緊扣政府業(yè)務(wù)和社會公眾的需求，突出應(yīng)用，務(wù)求實(shí)效。9、經(jīng)濟(jì)性和實(shí)用性。建設(shè)原則都以實(shí)際需求為出發(fā)點(diǎn)，以滿足網(wǎng)絡(luò)應(yīng)用需求和適應(yīng)一定時間內(nèi)的發(fā)展規(guī)劃為原則。線路選型組建網(wǎng)絡(luò)考慮的技術(shù)主要包括網(wǎng)絡(luò)通信協(xié)議的選擇和網(wǎng)絡(luò)通信線路的選擇。針對通信線路，針對XX市電子政務(wù)外網(wǎng)的建設(shè)，全網(wǎng)通信線路均采用運(yùn)營商提供的裸光纖資源，從而保證高速的數(shù)據(jù)傳輸性能，以及數(shù)據(jù)的安全傳輸?shù)男枨?。技術(shù)選型組建網(wǎng)絡(luò)考慮的技術(shù)主要包括網(wǎng)絡(luò)通信協(xié)議的選擇和網(wǎng)絡(luò)通信線路的選擇。針對通信協(xié)議，目前TCP/IP協(xié)議已經(jīng)成為組建互聯(lián)網(wǎng)和政務(wù)網(wǎng)絡(luò)事實(shí)上的標(biāo)準(zhǔn)，因此XX市電子政務(wù)外網(wǎng)網(wǎng)絡(luò)建設(shè)采用TCP/IP協(xié)議為網(wǎng)絡(luò)的基礎(chǔ)協(xié)議，憑借TCP/IP技術(shù)的開放性來提供網(wǎng)絡(luò)業(yè)務(wù)的靈活性支持；采用MPLSVPN技術(shù)來支持用戶的安全性、QOS以及SLA；同時IP協(xié)議有版本4（v4）和版本6（v6）之分。目前絕大多數(shù)網(wǎng)絡(luò)都在使用IPv4，但隨著IPv4地址資源的減少，必須考慮向IPv6過渡。在一期工程中，參照當(dāng)前網(wǎng)絡(luò)設(shè)計的主流趨勢，應(yīng)采用IPv4協(xié)議，同時為了適應(yīng)網(wǎng)絡(luò)向IPv6過渡的發(fā)展趨勢，在總體方案和某些關(guān)鍵設(shè)備上對兩種協(xié)議的兼容應(yīng)有所考慮。保證整個網(wǎng)絡(luò)能夠順利平滑升級至IPv6階段。建設(shè)目標(biāo)在國家電子政務(wù)外網(wǎng)統(tǒng)一規(guī)劃和指導(dǎo)下，結(jié)合XX省和XX市實(shí)際情況，整合現(xiàn)有資源，推進(jìn)電子政務(wù)外網(wǎng)建設(shè)；以先進(jìn)適用為技術(shù)功能出發(fā)點(diǎn)，建設(shè)政務(wù)外網(wǎng)，使之具備網(wǎng)絡(luò)傳輸、綜合應(yīng)用支撐、管理服務(wù)和安全保障等功能，為各級政府部門開展電子政務(wù)業(yè)務(wù)應(yīng)用提供網(wǎng)絡(luò)支撐和相關(guān)應(yīng)用服務(wù)保障；支持重點(diǎn)業(yè)務(wù)應(yīng)用系統(tǒng)資源整合，實(shí)現(xiàn)跨部門、跨地區(qū)的網(wǎng)上業(yè)務(wù)協(xié)作和信息資源共享；滿足XX市各級政務(wù)部門行業(yè)內(nèi)部協(xié)同辦公的需要和面向社會服務(wù)的需要，促進(jìn)政府監(jiān)管能力和服務(wù)水平的提高。建設(shè)內(nèi)容XX市電子政務(wù)外網(wǎng)由負(fù)責(zé)整個城域網(wǎng)數(shù)據(jù)高速轉(zhuǎn)發(fā)、路由的骨干網(wǎng)絡(luò)及各級黨委、人大、政府、政協(xié)、法院、檢察院的接入網(wǎng)絡(luò)組成，主要用于滿足各級政府部門社會管理、公眾服務(wù)等面向社會服務(wù)的需要。政務(wù)外網(wǎng)被定性為非涉密網(wǎng)絡(luò)，同政務(wù)內(nèi)網(wǎng)物理隔離，同互聯(lián)網(wǎng)邏輯隔離。XX市電子政務(wù)外網(wǎng)的建設(shè)內(nèi)容，可以劃分為電子政務(wù)外網(wǎng)骨干網(wǎng)絡(luò)部分、各委辦單位接入網(wǎng)部分、數(shù)據(jù)中心部分、互聯(lián)網(wǎng)接入?yún)^(qū)域、上聯(lián)區(qū)域等五個功能模塊。網(wǎng)絡(luò)骨干區(qū)域主要包含XX市電子政務(wù)外網(wǎng)的核心設(shè)備以及分布在市政府、金寶花園、光華大廈等的匯聚設(shè)備組成，負(fù)責(zé)整個XX市電子政務(wù)外網(wǎng)的數(shù)據(jù)高速轉(zhuǎn)發(fā)，以及電子政務(wù)外網(wǎng)59網(wǎng)段的地址路由轉(zhuǎn)發(fā)。各個委辦單位接入網(wǎng)主要為各個單位提供線路接入服務(wù)，通過NAT功能，將委辦單位內(nèi)部的私有地址轉(zhuǎn)換為在骨干網(wǎng)上傳輸?shù)?9段專用地址。數(shù)據(jù)中心為整個電子政務(wù)外網(wǎng)重要數(shù)據(jù)的集中存儲中心以及整個外網(wǎng)的綜合管理中心，考慮到數(shù)據(jù)安全，數(shù)據(jù)中心建立一個災(zāi)備中心?；ヂ?lián)網(wǎng)接入?yún)^(qū)域，作為整個XX市電子政務(wù)外網(wǎng)所有用戶訪問互聯(lián)網(wǎng)的統(tǒng)一出口，并在出口區(qū)域部署流控設(shè)備，對于內(nèi)部各種應(yīng)用的帶寬進(jìn)行合理控制；此外在出口區(qū)域的DMZ區(qū)域，建立XX市政府的統(tǒng)一的對外門戶網(wǎng)站，為了保證門戶網(wǎng)站的安全，在門戶網(wǎng)站服務(wù)器前部署網(wǎng)站應(yīng)用防火墻設(shè)備。上聯(lián)區(qū)域主要提供XX市電子政務(wù)外網(wǎng)到省緊急信息中心的互聯(lián)互通。項(xiàng)目建設(shè)方案網(wǎng)絡(luò)業(yè)務(wù)模型按照國家政務(wù)外網(wǎng)統(tǒng)一規(guī)劃，根據(jù)國家政務(wù)外網(wǎng)所承載的業(yè)務(wù)和系統(tǒng)服務(wù)的類型不同，在邏輯上，XX市政務(wù)外網(wǎng)接入劃分為公用網(wǎng)絡(luò)區(qū)、專用網(wǎng)絡(luò)區(qū)和互聯(lián)網(wǎng)接入?yún)^(qū)三個功能區(qū)域，各個區(qū)之間安全邏輯隔離，分別提供政務(wù)外網(wǎng)互聯(lián)互通業(yè)務(wù)，專用VPN業(yè)務(wù)和互聯(lián)網(wǎng)業(yè)務(wù)。政務(wù)外網(wǎng)網(wǎng)絡(luò)業(yè)務(wù)模型如下圖：1．公用網(wǎng)絡(luò)區(qū)：即采用國家政務(wù)外網(wǎng)注冊地址（/24-/24）的網(wǎng)絡(luò)區(qū)域，是國家政務(wù)外網(wǎng)的主干道，實(shí)現(xiàn)省內(nèi)各部門、各地區(qū)互聯(lián)互通，為跨地區(qū)、跨部門的業(yè)務(wù)應(yīng)用提供支撐平臺。2．專用網(wǎng)絡(luò)區(qū)：是依托國家政務(wù)外網(wǎng)基礎(chǔ)設(shè)施，開辟為有特定需求的部門或業(yè)務(wù)設(shè)置的VPN網(wǎng)絡(luò)區(qū)域，主要滿足部門縱向業(yè)務(wù)的需要，實(shí)現(xiàn)不同部門之間的業(yè)務(wù)隔離，用于滿足部門特殊需求。該區(qū)域主要采用私有地址，在骨干網(wǎng)上采取標(biāo)簽進(jìn)行數(shù)據(jù)傳輸。3．互聯(lián)網(wǎng)接入?yún)^(qū)：是各級政務(wù)部門通過邏輯隔離手段安全接入互聯(lián)網(wǎng)的網(wǎng)絡(luò)區(qū)域，滿足各級政務(wù)部門利用互聯(lián)網(wǎng)的需要。在互聯(lián)網(wǎng)接入?yún)^(qū)，要求采取綜合的安全防護(hù)措施，對互聯(lián)網(wǎng)接入提供安全防護(hù)。按照國家統(tǒng)一的安全策略，分級接入互聯(lián)網(wǎng)，提供互聯(lián)網(wǎng)業(yè)務(wù)服務(wù)。各地政務(wù)外網(wǎng)自行出口，采取NAT技術(shù)，通過靜態(tài)路由連接本地互聯(lián)網(wǎng)。原則上，國家政務(wù)外網(wǎng)骨干網(wǎng)不提供互聯(lián)網(wǎng)業(yè)務(wù)路由。XX市政務(wù)外網(wǎng)構(gòu)建市級政府單位、委辦局的互聯(lián)網(wǎng)安全接入平臺，通過數(shù)字證書認(rèn)證和密碼技術(shù)，實(shí)現(xiàn)各級政務(wù)部門移動辦公的公務(wù)人員利用互聯(lián)網(wǎng)通道，安全接入國家政務(wù)外網(wǎng)，訪問指定的業(yè)務(wù)應(yīng)用系統(tǒng)和政務(wù)外網(wǎng)門戶。網(wǎng)絡(luò)總體架構(gòu)XX市電子政務(wù)外網(wǎng)總體網(wǎng)絡(luò)架構(gòu)采用具備高擴(kuò)展性的雙星型架構(gòu)。電子政務(wù)外網(wǎng)骨干區(qū)域包含核心層和匯聚層；核心層采用2臺XX網(wǎng)絡(luò)面向十萬兆平臺的高性能模塊化路由交換機(jī)RGS8614設(shè)備，作為外網(wǎng)的核心設(shè)備；在市政府、金寶花園、光華大廈等六個移動匯聚機(jī)房，分別部署2臺XX網(wǎng)絡(luò)面向十萬兆平臺的高性能模塊化路由交換機(jī)RGS7806設(shè)備，作為外網(wǎng)的匯聚節(jié)點(diǎn)；雙匯聚設(shè)備通過運(yùn)營商單模裸纖線路，雙10G線路上聯(lián)到兩臺核心設(shè)備；電子政務(wù)內(nèi)網(wǎng)各個政府單位、委辦局的接入?yún)^(qū)域建設(shè)，本方案只為需要接入電子政務(wù)內(nèi)網(wǎng)的單位提供1臺XX網(wǎng)絡(luò)模塊化路由交換一體化路由設(shè)備RSR20-24，接入單位內(nèi)部網(wǎng)絡(luò)設(shè)計不在該方案設(shè)計范圍內(nèi)。接入路由器RSR20-24通過兩臺千兆光纖分別上聯(lián)匯聚交換機(jī)，從而構(gòu)成“雙核心——雙匯聚——雙鏈路”的高穩(wěn)定架構(gòu)，任何一臺核心或任何一臺匯聚交換機(jī)、甚至任何一根光纖中斷服務(wù)，網(wǎng)絡(luò)都會始終保持通暢。電子政務(wù)外網(wǎng)數(shù)據(jù)中心為XX市各個政務(wù)單位、委辦部門提供幾種的數(shù)據(jù)存儲，考慮到數(shù)據(jù)中心涉及到的數(shù)據(jù)將包含審計、公務(wù)員信息、各個區(qū)學(xué)籍信息等重要數(shù)據(jù)，因此，建議建立數(shù)據(jù)災(zāi)備中心，為數(shù)據(jù)提供高速、高安全的數(shù)據(jù)存儲；數(shù)據(jù)中心、數(shù)據(jù)災(zāi)備中心均采用雙10G線路與核心互聯(lián)。電子政務(wù)外網(wǎng)互聯(lián)網(wǎng)區(qū)域主要為外網(wǎng)用戶提供互聯(lián)網(wǎng)訪問服務(wù)。出口區(qū)域部署2臺XX網(wǎng)絡(luò)萬兆平臺的專業(yè)流量控制設(shè)備RGACE3000設(shè)備，該設(shè)備作為外網(wǎng)流量控制、用戶日志、WEB重定向功能；部署2臺XX網(wǎng)絡(luò)萬兆專用出口引擎RGNPE60設(shè)備，作為各政府單位私有地址到互聯(lián)網(wǎng)共有地址的NAT轉(zhuǎn)換設(shè)備；部署2臺XX全千兆防火墻RGwall1600，在出口區(qū)域的DMZ區(qū)域，部署外網(wǎng)統(tǒng)一門戶網(wǎng)站等服務(wù)器，為了防止政府網(wǎng)站被惡意篡改的風(fēng)險，在服務(wù)器前端部署XX網(wǎng)絡(luò)全千兆網(wǎng)站防篡改硬件RGWG3000；出口區(qū)域設(shè)備與核心采用千兆單模光纖互聯(lián)。電子政務(wù)外網(wǎng)上聯(lián)區(qū)域，利用XX省統(tǒng)一下發(fā)的路由設(shè)備，與省信息中心互聯(lián)，從而連通XX市電子政務(wù)外網(wǎng)和省級、國家級電子政務(wù)外網(wǎng)。整體網(wǎng)絡(luò)架構(gòu)如下圖所示：網(wǎng)絡(luò)分層設(shè)計XX市電子政務(wù)外網(wǎng)案按照自頂向下、分層設(shè)計的理念，將XX市電子政務(wù)外網(wǎng)劃分為：外網(wǎng)骨干區(qū)域、委辦單位接入?yún)^(qū)域、互聯(lián)網(wǎng)接入?yún)^(qū)域、數(shù)據(jù)中心區(qū)域、上聯(lián)區(qū)域五個部分，本章節(jié)對于電子政務(wù)外網(wǎng)的五個主要部分，進(jìn)行詳細(xì)介紹。外網(wǎng)骨干區(qū)域骨干區(qū)域采用XX網(wǎng)絡(luò)面向十萬兆平臺的路由交換設(shè)備RGS8614和S7806設(shè)備作為核心設(shè)備和匯聚設(shè)備。核心設(shè)備、匯聚設(shè)備二三層包轉(zhuǎn)發(fā)率為1786Mpps/1190Mpps，性能上完全滿足XX市電子政務(wù)外網(wǎng)的要求。安全設(shè)計上：在核心設(shè)備RGS8614A/B上分別配置高性能防火墻模塊1塊，利用虛擬防火墻技術(shù)，隔離來自于各個匯聚節(jié)點(diǎn)的網(wǎng)絡(luò)攻擊，保證電子政務(wù)外網(wǎng)的整體安全、穩(wěn)定，避免某個匯聚節(jié)點(diǎn)下出現(xiàn)病毒爆發(fā)，影響整個園區(qū)網(wǎng)絡(luò)的安全。此外，核心/匯聚設(shè)備需具備先進(jìn)的安全體系，集成了硬件的CPU保護(hù)技術(shù)、安全策略自動下發(fā)等先進(jìn)技術(shù)，避免了病毒攻擊爆發(fā)導(dǎo)致設(shè)備CPU利用率過高而導(dǎo)致設(shè)備宕機(jī)的情況，并根據(jù)預(yù)定策略，對于發(fā)生的安全事件進(jìn)行相關(guān)策略下發(fā)，確保電子政務(wù)外網(wǎng)骨干區(qū)域的的高安全、高可靠性。直觀的骨干網(wǎng)絡(luò)：核心設(shè)備RGS8614A/B配置IPFIX流量控制板卡，結(jié)合XX關(guān)鍵業(yè)務(wù)運(yùn)行管理中心RILL系統(tǒng)，可直觀的將網(wǎng)絡(luò)內(nèi)部流量情況進(jìn)行圖形化的呈現(xiàn)，讓網(wǎng)絡(luò)真正的可感知。委辦單位接入?yún)^(qū)域XX市政府單位以及各委辦廳局接入方式較為簡單，本次外網(wǎng)方案規(guī)劃，為每個接入單位提供一臺RSR20-24，該設(shè)備性能為300Kpps的包轉(zhuǎn)發(fā)性能，完全滿足一般單位的接入需求；考慮到很多單位已經(jīng)建成了自己的內(nèi)部局域網(wǎng)，為了便于接入外網(wǎng)的單位的接入，其內(nèi)部網(wǎng)絡(luò)地址不需要重新規(guī)劃，在出口的路由設(shè)備上，進(jìn)行NAT地址轉(zhuǎn)換，將各個接入單位的私有地址轉(zhuǎn)換為59段地址。此外，智能交通信息平臺系統(tǒng)也將接入XX市電子政務(wù)外網(wǎng)，對于該套系統(tǒng)的每個接入點(diǎn)，本次方案設(shè)計，將每個路由的高清IP攝像頭，作為一個接入單位，通過路由器RSR20-24接入電子政務(wù)外網(wǎng)骨干傳輸網(wǎng)絡(luò)。上聯(lián)區(qū)域 上聯(lián)區(qū)域路由設(shè)備為省統(tǒng)一下發(fā)設(shè)備，該路由設(shè)備與核心交換機(jī)互連，建議通過在該路由設(shè)備上配置靜態(tài)路由即可實(shí)現(xiàn)XX市電子政務(wù)外網(wǎng)與省級、國家級電子政務(wù)外網(wǎng)的互聯(lián)互通；當(dāng)然，也可以通過對于市級外網(wǎng)OSPF區(qū)域的適當(dāng)調(diào)整，未來，將XX市電子政務(wù)外網(wǎng)作為省政務(wù)外網(wǎng)的一個區(qū)域接入，實(shí)現(xiàn)互連互通?；ヂ?lián)網(wǎng)接入?yún)^(qū)域互聯(lián)網(wǎng)出口接入?yún)^(qū)域是整個電子政務(wù)外網(wǎng)各個單位用戶訪問互聯(lián)網(wǎng)的統(tǒng)一出口。電子政務(wù)外網(wǎng)出口設(shè)備采用全千兆高性能防火墻RGWall1600作為出口的安全隔離設(shè)備，隔離互聯(lián)網(wǎng)和電子政務(wù)外網(wǎng)的內(nèi)部網(wǎng)絡(luò)；在防火墻的DMZ區(qū)域，部署政府統(tǒng)一門戶網(wǎng)站，為了保證網(wǎng)站的安全，防止被惡意篡改，門戶網(wǎng)站前部署XX網(wǎng)絡(luò)應(yīng)用防火墻WG3000。XXWebGuaRD基于對HTTP/HTTPS流量內(nèi)容的雙向檢測分析，識別檢測各類Web編碼、交互技術(shù)、URL參數(shù)以及表單輸入等，為Web應(yīng)用提供實(shí)時、動態(tài)的主動性防護(hù)。防止網(wǎng)頁內(nèi)容被篡改，防止網(wǎng)站數(shù)據(jù)庫內(nèi)容泄露，防止口令被突破，防止系統(tǒng)管理員權(quán)限被竊取，防止網(wǎng)站被掛馬和植入病毒、惡意代碼、間諜軟件等，防止用戶輸入信息的泄露，防止賬號失竊，防SQL注入，防XSS攻擊等。確保Web應(yīng)用安全的最大化?；ヂ?lián)網(wǎng)接入?yún)^(qū)域采用專用的萬兆出口引擎設(shè)備RGNPE60，作為59段地址到互聯(lián)網(wǎng)公網(wǎng)地址的NAT二次轉(zhuǎn)換設(shè)備，此外，該設(shè)備具備負(fù)載均衡功能，可作為互聯(lián)網(wǎng)接入?yún)^(qū)的負(fù)載均衡設(shè)備。此外，為了提升政務(wù)外網(wǎng)的利用效率，為用戶提供便捷，安全的接入服務(wù)，建議在出口區(qū)域可以部署XX網(wǎng)絡(luò)全千兆高端IPSecＶＰＮ設(shè)備ＲＧＷａｌｌＶ１６００Ｅ，結(jié)合XX網(wǎng)絡(luò)應(yīng)用安全域方案，用戶通過ＶＰＮ接入電子政務(wù)外網(wǎng)后，系統(tǒng)可以根據(jù)遠(yuǎn)程用戶的用戶名、密碼，核實(shí)用戶身份以及用戶訪問權(quán)限，然后對該用戶開放相應(yīng)權(quán)限的資源，而其他資源，不允許其訪問，如該用戶歸屬于審計局，則該用戶遠(yuǎn)程撥入后，是歸屬于審計系統(tǒng)的ＭＰＬＳＶＰＮ網(wǎng)絡(luò)的，只能訪問公共資源和審計系統(tǒng)相關(guān)資源，從而確保遠(yuǎn)程接入的安全性。互聯(lián)網(wǎng)接入?yún)^(qū)域詳細(xì)拓?fù)浣Y(jié)構(gòu)詳見下圖：數(shù)據(jù)中心區(qū)域數(shù)據(jù)中心包含2個部分，一部分為電子政務(wù)外網(wǎng)的綜合管理平臺，一部分為專業(yè)的存儲設(shè)備，對于外網(wǎng)數(shù)據(jù)進(jìn)行集中存儲。電子政務(wù)的綜合管理平臺包含了基于業(yè)務(wù)應(yīng)用系統(tǒng)的RIIL-BMC關(guān)鍵業(yè)務(wù)運(yùn)行管理中心；實(shí)現(xiàn)對網(wǎng)絡(luò)和業(yè)務(wù)應(yīng)用系統(tǒng)的集中智能管理，可以讓有限的IT運(yùn)維人員精力和IT預(yù)算投入到最關(guān)鍵的資源的維護(hù)和保障中，切實(shí)降低復(fù)雜IT環(huán)境的管理難度，更輕松地把握支撐關(guān)鍵業(yè)務(wù)的網(wǎng)絡(luò)和系統(tǒng)的運(yùn)行狀態(tài)，并不斷提升關(guān)鍵業(yè)務(wù)系統(tǒng)的運(yùn)行服務(wù)質(zhì)量水平，提升用戶滿意度。XX網(wǎng)絡(luò)RILL-BMC系統(tǒng)，關(guān)鍵業(yè)務(wù)為單位管理基礎(chǔ)IP資源，圖形化關(guān)聯(lián)業(yè)務(wù)系統(tǒng)及其相關(guān)的資源池，可根據(jù)業(yè)務(wù)資源對象之間的邏輯依賴關(guān)系，生成資源層間依賴視圖；可根據(jù)拓?fù)潢P(guān)聯(lián)和業(yè)務(wù)邏輯關(guān)聯(lián)關(guān)系，進(jìn)行圖形化的事件傳播顯示。此外，電子政務(wù)外網(wǎng)綜合管理平臺還包括日志系統(tǒng)和流量管理系統(tǒng)；日志系統(tǒng)主要利用RGACE3000設(shè)備和RGElog設(shè)備實(shí)現(xiàn)。結(jié)合XX認(rèn)證系統(tǒng)，可實(shí)現(xiàn)定位到“何人、使用何帳號、在那個計入設(shè)備上、訪問了那個具體的URL、訪問的校內(nèi)還是校外資源、訪問具體時間、具體流量、PC的IPMAC等詳細(xì)信息，符合公安部82號令的要求。電子政務(wù)外網(wǎng)綜合管理平臺還具備豐富的流量控制功能，通過在核心設(shè)備RG-S8614上配置流控控制板卡，利用國際流量監(jiān)控標(biāo)準(zhǔn)IPFIX（IPFlowInformationExpoRT）技術(shù)，實(shí)現(xiàn)流量控制功能。IPFIX多業(yè)務(wù)模塊采用高性能的NP平臺，支持萬兆業(yè)務(wù)流量的監(jiān)控。結(jié)合XX流量分析系統(tǒng)，IPFIX技術(shù)可以對對網(wǎng)絡(luò)中的所有流量進(jìn)行統(tǒng)計分析和異常檢測，輸出各種豐富的網(wǎng)絡(luò)流量分析報表，包括：流量使用報表、歷史報表、接口報表、可解析的主機(jī)地址、流量分析、變量顯示等信息，能夠幫助管理員在網(wǎng)絡(luò)異常行為發(fā)生時快速分析出網(wǎng)絡(luò)中存在的問題，為網(wǎng)絡(luò)容量規(guī)劃、網(wǎng)絡(luò)應(yīng)用監(jiān)控以及故障診斷等提供客觀準(zhǔn)確的決策依據(jù)，實(shí)現(xiàn)真正的網(wǎng)絡(luò)流量可視化。存儲區(qū)域部分的存儲設(shè)備為整個電子政務(wù)外網(wǎng)重要數(shù)據(jù)的集中存儲中心，考慮到數(shù)據(jù)安全，數(shù)據(jù)中心建立一個災(zāi)備中心。存儲區(qū)域數(shù)據(jù)傳輸設(shè)備部分，考慮到服務(wù)器數(shù)量巨大，如采用盒式設(shè)備，需要部署多臺，不利于管理，且存在性能瓶頸，因此部署高性能模塊化路由交換機(jī)XX網(wǎng)絡(luò)RGS7806兩臺，提供雙10G線路到核心交換機(jī)RGS8614，提供高速冗余的物理鏈路，確保數(shù)據(jù)中心數(shù)據(jù)傳輸?shù)母咚佟⒏呖煽啃?。此外，?shù)據(jù)中心兩臺S7806高性能交換機(jī)作為MCE設(shè)備，將歸屬不同部門的服務(wù)器通過MPLSVPN技術(shù)，與各個部委的VPN網(wǎng)絡(luò)相對應(yīng)。核心設(shè)備作為MPLSVPN的PE設(shè)備，核心交換機(jī)S8614同時兼具路由放射器RR的作用?？紤]到數(shù)據(jù)中心的安全保障，部署兩臺XX網(wǎng)絡(luò)千兆入侵檢測設(shè)備IDS2000，并配合軟件平臺，對于網(wǎng)絡(luò)內(nèi)的安全事件，進(jìn)行分析，使數(shù)據(jù)中心安全事件可感知，為用戶提供網(wǎng)絡(luò)優(yōu)化的可量化數(shù)據(jù)依據(jù)。數(shù)據(jù)中心詳細(xì)拓?fù)鋱D下圖所示：方案詳細(xì)設(shè)計IP地址規(guī)劃1、IP地址分配原則IP地址的合理規(guī)劃是網(wǎng)絡(luò)設(shè)計中的重要一環(huán)，大型計算機(jī)網(wǎng)絡(luò)必須對ＩＰ地址進(jìn)行統(tǒng)一規(guī)劃并得到實(shí)施。IP地址規(guī)劃的好壞，影響到網(wǎng)絡(luò)路由協(xié)議算法的效率，影響到網(wǎng)絡(luò)的性能、網(wǎng)絡(luò)的擴(kuò)展和網(wǎng)絡(luò)的管理。IP地址空間分配，要與網(wǎng)絡(luò)拓?fù)鋵哟谓Y(jié)構(gòu)相適應(yīng)，既要有效地利用地址空間，又要體現(xiàn)出網(wǎng)絡(luò)的可擴(kuò)展性和靈活性，同時能滿足路由協(xié)議的要求，以便于網(wǎng)絡(luò)中的路由聚類，減少路由器中路由表的長度，減少對路由器CPU、內(nèi)存的消耗，提高路由算法的效率，加快路由變化的收斂速度，同時還要考慮到網(wǎng)絡(luò)地址的可管理性。具體分配時要遵循以下原則：1）唯一性：一個IP網(wǎng)絡(luò)中不能有兩個主機(jī)采用相同的IP地址。2）連續(xù)性：簡化路由選擇，充分利用地址空間，最大限度地實(shí)現(xiàn)地址連續(xù)性，并兼顧今后網(wǎng)絡(luò)發(fā)展，便于業(yè)務(wù)管理，提高網(wǎng)絡(luò)的總體性能。3）可擴(kuò)展性：充分考慮網(wǎng)絡(luò)未來發(fā)展的需求，堅持統(tǒng)一規(guī)劃、長遠(yuǎn)考慮、分片分塊分配的原則。地址分配在每一層次上都要留有余量，在網(wǎng)絡(luò)規(guī)模擴(kuò)大時能保證地址空間匯總所需的連續(xù)性。4）規(guī)范性：嚴(yán)格按照IP地址分配原則進(jìn)行IP地址的規(guī)劃及項(xiàng)目實(shí)施。5）標(biāo)準(zhǔn)化和靈活性：充分利用標(biāo)準(zhǔn)化的無類別域間路由(CIDR）技術(shù)和可變長子網(wǎng)掩碼(VLSM）技術(shù)，合理、高效、充分地使用IP地址空間。6）層次性：IP地址劃分的層次性應(yīng)體現(xiàn)出網(wǎng)絡(luò)結(jié)構(gòu)的層次性。7）可管理性：為便于網(wǎng)絡(luò)設(shè)備的統(tǒng)一管理，分配一段獨(dú)立的IP地址段做網(wǎng)絡(luò)互連地址和loopback地址。2、IP地址分配規(guī)劃本次網(wǎng)絡(luò)設(shè)計IP地址分為3類，第一類是電子政務(wù)外網(wǎng)全網(wǎng)可路由的59段公網(wǎng)地址，該類地址作用有二：其一，為與省、國家級電子政務(wù)外網(wǎng)進(jìn)行業(yè)務(wù)的互聯(lián)互通地址；其二，該段地址在整個電子政務(wù)外網(wǎng)互聯(lián)網(wǎng)接入?yún)^(qū)域設(shè)備NPE60上，進(jìn)行二次NAT轉(zhuǎn)換，轉(zhuǎn)換為互聯(lián)網(wǎng)公網(wǎng)地址，為各個單位提供互聯(lián)網(wǎng)接入服務(wù)；第二類為智能交通信息平臺-320系統(tǒng)專用IP地址，該類地址實(shí)現(xiàn)各個路口高清IP攝像頭數(shù)據(jù)與各分級數(shù)據(jù)中心以及市數(shù)據(jù)中心互聯(lián)互通使用；第三類為XX市電子政務(wù)網(wǎng)上的各個單位市-區(qū)/縣兩級MPLSVPN內(nèi)部傳輸?shù)乃接械刂贰τ诘谝活惖刂?，目前，國家電子政?wù)外網(wǎng)統(tǒng)一采用國家信息中心從中國電信申請的公網(wǎng)地址段，已申請的地址段--55(/10）作為全網(wǎng)通信用地址，其中XX市電子政務(wù)外網(wǎng)分配的地址段為59．201．0．0/24-59．201．7．0/24。1）XX市IP地址按照市－區(qū)的二層體系結(jié)構(gòu)分配。市網(wǎng)地址段包括市信息中心平臺地址段和市直廳局系統(tǒng)業(yè)務(wù)地址段。其中市信息中心平臺地址段包括網(wǎng)絡(luò)設(shè)備管理地址、互聯(lián)地址和平臺地址；區(qū)網(wǎng)地址段包括區(qū)管理中心平臺地址、區(qū)直單位系統(tǒng)業(yè)務(wù)地址。具體分層結(jié)構(gòu)如下表所示：地址類型分配IP地址范圍備份IP地址范圍地址數(shù)量市信息管理平臺地址段市網(wǎng)網(wǎng)絡(luò)設(shè)備管理地址/24使用1個C類地址市網(wǎng)網(wǎng)絡(luò)設(shè)備互聯(lián)地址/24使用1個C類地址平臺地址/24使用1個C類地址市直廳局系統(tǒng)業(yè)務(wù)地址段/24-/24使用2個C類地址區(qū)網(wǎng)地址段/24備用地址段/24-/24備用2個C類地址對于第二類地址-智能交通信息平臺-320系統(tǒng)IP地址，建議根據(jù)高清IP攝像頭的數(shù)量，選擇/8、-/16、/24的私有地址，作為該系統(tǒng)的專用地址；該套地址的分配遵循本章的IP地址分配原則，具體IP地址分配，參照59地址的分配詳表，此處不詳細(xì)列出。對于第三類地址-MPLSVPN內(nèi)的私有地址，該部分由各個市-區(qū)/縣兩級縱向單位自行規(guī)劃，該部分IP地址規(guī)劃，不在本方案設(shè)計范圍內(nèi)。外網(wǎng)詳細(xì)路由設(shè)計對一個大型網(wǎng)絡(luò)來說，路由協(xié)議對網(wǎng)絡(luò)的穩(wěn)定高效運(yùn)行、網(wǎng)絡(luò)在拓?fù)渥兓瘯r的快速收斂、網(wǎng)絡(luò)帶寬的充分有效利用、網(wǎng)絡(luò)在故障時的快速恢復(fù)、網(wǎng)絡(luò)的靈活擴(kuò)展具有重要影響；同時對于網(wǎng)絡(luò)承載業(yè)務(wù)的控制方面具有重要影響。路由協(xié)議的選擇基本遵循以下原則：1）管理上層次分明，局部的變動不影響上層路由配置和全局路由配置。2）技術(shù)上應(yīng)盡量簡單、靈活，以提高路由器的處理效率。3）能夠反映出整個網(wǎng)絡(luò)的層次結(jié)構(gòu)，并與自治域、各結(jié)點(diǎn)子網(wǎng)的IP地址分配相結(jié)合，做到合理的路由聚合，減少路由表的長度，減輕路由更新給網(wǎng)絡(luò)帶來的負(fù)荷。XX市政務(wù)外網(wǎng)路由器的管理地址和政務(wù)外網(wǎng)內(nèi)部地址的路由由IGP承載；根據(jù)國家政務(wù)外網(wǎng)的設(shè)計原則，XX市政務(wù)外網(wǎng)IGP采用標(biāo)準(zhǔn)協(xié)議OSPF。由于XX市政務(wù)外網(wǎng)設(shè)備數(shù)量較多，為了保證整外網(wǎng)的性能，以及區(qū)域的管理簡潔性，需要對OSPF進(jìn)行分域規(guī)劃，考慮到XX市政務(wù)外網(wǎng)的實(shí)際情況和未來擴(kuò)容的需要，每個匯聚節(jié)點(diǎn)下聯(lián)單位劃分一個子域。每個匯聚節(jié)點(diǎn)的2臺匯聚設(shè)備RGS7806作為區(qū)域邊界路由器（ABR），完成匯聚層網(wǎng)絡(luò)到核心層網(wǎng)絡(luò)的路由交換和匯總。OSPF的區(qū)域概念是基于路由器接口的，因此將XX市政務(wù)外網(wǎng)省本級中心的核心設(shè)備RGS8614上的所有接口，以及6個匯聚加點(diǎn)的12臺匯聚設(shè)備RGS7806的上聯(lián)口劃分到一個AREA0中。XX市政務(wù)外網(wǎng)本級中心所掛接的各種業(yè)務(wù)劃分到AREA1中。各匯聚節(jié)點(diǎn)匯聚交換機(jī)以下掛的網(wǎng)絡(luò)劃分到非0區(qū)域，區(qū)域號碼可根據(jù)實(shí)際情況進(jìn)行分配，建議AREA號碼分配如下表所示：AREA描述備注0XX市電子政務(wù)外網(wǎng)骨干域核心RGS8614A/B所有端口，匯聚RGS7806上聯(lián)端口1XX市政務(wù)外外網(wǎng)本級中心外網(wǎng)中心服務(wù)器區(qū)、本地局域網(wǎng)等10市政府匯聚節(jié)點(diǎn)匯聚S7806下聯(lián)端口與委辦單位接入路由RSR20-24上聯(lián)端口20金寶花園匯聚節(jié)點(diǎn)匯聚S7806下聯(lián)端口與委辦單位接入路由RSR20-24上聯(lián)端口30光華大廈匯聚節(jié)點(diǎn)匯聚S7806下聯(lián)端口與委辦單位接入路由RSR20-24上聯(lián)端口40應(yīng)天西路綜合樓匯聚節(jié)點(diǎn)匯聚S7806下聯(lián)端口與委辦單位接入路由RSR20-24上聯(lián)端口50虎踞路綜合樓匯聚節(jié)點(diǎn)匯聚S7806下聯(lián)端口與委辦單位接入路由RSR20-24上聯(lián)端口60徐莊綜合樓匯聚節(jié)點(diǎn)匯聚S7806下聯(lián)端口與委辦單位接入路由RSR20-24上聯(lián)端口與省政務(wù)外網(wǎng)對接設(shè)計XX市電子政務(wù)外網(wǎng)內(nèi)部采用標(biāo)準(zhǔn)的OSPF路由協(xié)議，后期與XX省電子政務(wù)外網(wǎng)的互聯(lián)有多種方式可選。第一種方式，可選用OSPF與XX省電子政務(wù)外網(wǎng)互聯(lián)互通，但考慮到省級電子政務(wù)外網(wǎng)建設(shè)時，IGP協(xié)議亦采用OSPF協(xié)議，因此需要對于XX市電子政務(wù)外網(wǎng)的區(qū)域進(jìn)行適當(dāng)調(diào)整，將XX市電子政務(wù)外網(wǎng)作為全省電子政務(wù)外網(wǎng)的一個OSPF區(qū)域接入省級電子政務(wù)外網(wǎng)，該種方式調(diào)整工作量較大；第二種方式，可通過在上聯(lián)區(qū)域上通過靜態(tài)路由的方式，將XX市電子政務(wù)外網(wǎng)的路由信息重發(fā)布到省電子政務(wù)外網(wǎng)，該種方式配置靈活，對于市電子政務(wù)外網(wǎng)的改動最小，因此，建議后期采用該種方式，接入省級電子政務(wù)外網(wǎng)。域名規(guī)劃與管理1、市政務(wù)外網(wǎng)分別采用獨(dú)立的四級域名系統(tǒng)，域名由根域和若干個子域名用“.”連接而成，采用作為XX市網(wǎng)根域名，采用njXX.作為各市直部委單位的門戶網(wǎng)站的根域名，區(qū)縣不設(shè)域名解析，其web業(yè)務(wù)歸入到所屬市直單位門戶網(wǎng)站，使用市直部門的門戶網(wǎng)站進(jìn)行信息發(fā)布。2、對于政務(wù)外網(wǎng)中已建自有網(wǎng)絡(luò)的，可以暫時采用現(xiàn)有域名，然后逐步過渡到統(tǒng)一的域名規(guī)范中。3、各級網(wǎng)絡(luò)的子域名由英文字母（大小寫等價）、數(shù)字（0—9）和連接符（-）組合而成。4、域名的范圍應(yīng)以4-5段為主，原則上不超過5段。如：“”為電子政務(wù)外網(wǎng)XX省XX市審計系統(tǒng)的域名。5、XX市政務(wù)外網(wǎng)管理中心負(fù)責(zé)統(tǒng)一規(guī)劃命名市網(wǎng)四級根域名，由省信息中心中心統(tǒng)一解析。即省信息中心對根域進(jìn)行管理，XX市政務(wù)外網(wǎng)管理中心分別對本市的njXX.根域進(jìn)行管理，所有單位的四級域名及四級DNS均向?qū)?yīng)的政務(wù)外網(wǎng)管理中心或者XX.進(jìn)行注冊。6、XX市電子政務(wù)外網(wǎng)規(guī)劃命名實(shí)例見下表：各市名稱三級根域名市屬N鼓樓區(qū)審計局NMPLSVPN業(yè)務(wù)規(guī)劃MPLSVPN需求和規(guī)劃要點(diǎn)MPLS（MultiprotocolLabelSwitching:多協(xié)議標(biāo)簽交換）技術(shù)是在開放的通信網(wǎng)上利用定長標(biāo)簽進(jìn)行數(shù)據(jù)高速傳輸和交換的網(wǎng)絡(luò)新技術(shù)。MPLS技術(shù)將第二層交換和第三層的路由技術(shù)很好地結(jié)合起來，以十分簡潔、高效的方式完成信息的傳送。更為重要的是，MPLS使網(wǎng)絡(luò)能提供傳統(tǒng)IP網(wǎng)絡(luò)不能或很難提供的各種增值服務(wù)，例如MPLS所提供的VPN服務(wù)、流量工程服務(wù)、IPQoS服務(wù)等。在MPLS網(wǎng)上提供和基于幀中繼、ATMPVC的第二層VPN相同安全級別的虛擬專用網(wǎng)，能達(dá)到第二層PVC所具有的專有性、安全性和數(shù)據(jù)傳輸?shù)母咚傩?，而MPLSVPN的靈活性、擴(kuò)展性、易管理性和適應(yīng)性則是當(dāng)前其他基于PVC或隧道技術(shù)的VPN所無法比擬的。MPLSVPN在第三層路由上對各VPN進(jìn)行了隔離，無需訪問控制列表ACL，各VPN之間都是不可見的，骨干網(wǎng)對于客戶網(wǎng)絡(luò)（某個VPN內(nèi)部）也是不可見的。所以，MPLS充分保證了在多個業(yè)務(wù)系統(tǒng)共用IP骨干網(wǎng)情況下的相互有效隔離。MPLS最初是為服務(wù)供應(yīng)商網(wǎng)絡(luò)所創(chuàng)立的技術(shù)，今天，很多企業(yè)或政府機(jī)構(gòu)的網(wǎng)絡(luò)也需要解決和服務(wù)供應(yīng)商網(wǎng)絡(luò)類似的需求和問題。政府機(jī)構(gòu)的IP骨干網(wǎng)正從過去低帶寬、重復(fù)分離的物理網(wǎng)絡(luò)向?qū)拵Щ?、一體化方向發(fā)展，一個高效的、智能的、集成的網(wǎng)絡(luò)是政府網(wǎng)絡(luò)發(fā)展的方向。同樣地，XX市政務(wù)外網(wǎng)要能安全、高效地整合各業(yè)務(wù)專網(wǎng)，同時應(yīng)對各種公共業(yè)務(wù)、語音傳送、視頻服務(wù)多業(yè)務(wù)應(yīng)用不斷增長的需求，就要求XX市政務(wù)外網(wǎng)平臺必須能夠?qū)⑺鼈儼凑崭髯缘奶匦院鸵笳_地傳送，提供安全隔離和區(qū)別服務(wù)。先進(jìn)、成熟的MPLS/VPN技術(shù)是XX市電子政務(wù)外網(wǎng)縱向系統(tǒng)建設(shè)的有效解決方案。對XX市電子政務(wù)外網(wǎng)而言，需要重點(diǎn)實(shí)現(xiàn)兩個方面的需求：l、安全隔離：一方面要保證各業(yè)務(wù)系統(tǒng)邏輯網(wǎng)絡(luò)的相對獨(dú)立性，以滿足不同業(yè)務(wù)系統(tǒng)對安全性、服務(wù)質(zhì)量、管理、拓樸結(jié)構(gòu)的要求；2、受控互訪：另一方面，各業(yè)務(wù)系統(tǒng)之間的流程整合又需要提供相互訪問的途徑，而且要保證訪問的安全性。XX市電子政務(wù)外網(wǎng)部署MPLSVPN要考慮以下幾點(diǎn)：1、可靠性和穩(wěn)定性目前MPLSVPN技術(shù)主要分成L3MPLSVPN、L2MPLSVPN（包括VPLS（虛擬私有局域網(wǎng)服務(wù)））兩大類。其中L3MPLSVPN技術(shù)發(fā)展較早，其核心部分已經(jīng)標(biāo)準(zhǔn)化,由于它的信令控制是通過多協(xié)議BGP來實(shí)現(xiàn)的，所以通常也叫做MPLS/BGPVPN，或BGP/MPLSVPN。MPLS/BGPVPN技術(shù)不僅已經(jīng)廣泛應(yīng)用于電信運(yùn)營商和ISP，而且也廣泛應(yīng)用于電力行業(yè)，政府行業(yè)（包括各省的政務(wù)內(nèi)網(wǎng)和政務(wù)外網(wǎng)），金融行業(yè)，大型企業(yè)等行業(yè)用戶。其技術(shù)和產(chǎn)品都較為成熟，穩(wěn)定。所以XX市電子政務(wù)外網(wǎng)宜選用MPLS/BGPVPN作為主流的MPLSVPN技術(shù)。2、擴(kuò)展性由于國家電子政務(wù)外網(wǎng)將每個?。ê笔〖墸┮?guī)劃為單獨(dú)的自治域（AutonomousSystem）。所以，要想實(shí)現(xiàn)各個廳局的垂直縱向網(wǎng)從中央延伸到省、市、縣區(qū)，除省里必需解決VPN跨自治域的問題外，還需要市與省進(jìn)行對接。3、業(yè)務(wù)多樣性XX市電子政務(wù)外網(wǎng)作為一個向政府部門提供網(wǎng)絡(luò)服務(wù)的平臺，不僅要提供基本MPLSVPN業(yè)務(wù)。還要提供多樣化的業(yè)務(wù)種類，以滿足不同政府部門的多樣化要求。比如，有的廳局需要在自己的VPN內(nèi)部根據(jù)自己不同的業(yè)務(wù)部門或者不同的業(yè)務(wù)種類再自行劃分內(nèi)部的VPN，而這種內(nèi)部VPN的劃分和管理應(yīng)該完全屬于這個廳局自己，而不需要對全網(wǎng)VPN規(guī)劃產(chǎn)生影響。所以，這個網(wǎng)絡(luò)需要支持MPLSVPN的層次化能力。4、VPN業(yè)務(wù)的高品質(zhì)保證針對語音、視頻、多媒體通信等實(shí)時性要求比較嚴(yán)格的業(yè)務(wù)，XX市電子政務(wù)外網(wǎng)的VPN服務(wù)能否提供類似專線一樣的服務(wù)質(zhì)量保證也是非常重要的，這就要求在整個網(wǎng)絡(luò)中部署端到端的QOS。5、設(shè)備實(shí)現(xiàn)MPLSVPN的性能考慮前面只是考慮了MPLSVPN部署時的業(yè)務(wù)特性，而在一個實(shí)際的生產(chǎn)網(wǎng)絡(luò)里。設(shè)備實(shí)現(xiàn)MPLSVPN的性能如何至關(guān)重要。6、可維護(hù)性和可管理性對于MPLSVPN的管理首先確定管理界面。在電信運(yùn)營商網(wǎng)絡(luò)，PE和CE是服務(wù)提供商和用戶之間的管理界面，用戶維護(hù)和管理CE設(shè)備，服務(wù)提供商維護(hù)和管理PE設(shè)備。但是在電子政務(wù)外網(wǎng)中，由于行業(yè)的特點(diǎn)，政務(wù)外網(wǎng)服務(wù)提供商不僅要維護(hù)和管理PE設(shè)備，還要維護(hù)和管理CE設(shè)備。如何解決同時對PE和CE設(shè)備的管理是必需考慮的問題。MPLSVPN總體規(guī)劃綜合前面的需求分析，在XX市電子政務(wù)外網(wǎng)的MPLSVPN業(yè)務(wù)將按以下設(shè)計進(jìn)行規(guī)劃。采用MPLSBGPVPN作為實(shí)現(xiàn)基本MPLSVPN業(yè)務(wù)的技術(shù)路線，包括支持各委辦局建立的垂直縱向網(wǎng)絡(luò)（含實(shí)現(xiàn)跨自治域VPN訪問）、各委辦局之間的可控的橫向互通訪問、互聯(lián)網(wǎng)訪問VPN等；采用上層PE的缺省路由下發(fā)到下層PE的技術(shù)實(shí)現(xiàn)VPN路由的層次化；采用VPDN+PE技術(shù)或同等功能效果的技術(shù)滿足移動用戶撥入VPN需求。采用MPE技術(shù)或同等功能效果的MPLSVPN網(wǎng)絡(luò)管理技術(shù)實(shí)現(xiàn)網(wǎng)管中心對全網(wǎng)MPLSVPN業(yè)務(wù)的統(tǒng)一管理。XX市電子政務(wù)外網(wǎng)MPLSVPN總體規(guī)劃如下圖所示：XX市電子政務(wù)外網(wǎng)省網(wǎng)MPLSVPN規(guī)劃拓?fù)鋱DMPLSVPN由三類設(shè)備組成：PE，P（可視實(shí)際組網(wǎng)情況部署）和CE。VPN的劃分和維護(hù)全部在PE設(shè)備上進(jìn)行，P設(shè)備只運(yùn)行IGP協(xié)議、LDP協(xié)議（或RSVP擴(kuò)展）、BGP協(xié)議（可視實(shí)際組網(wǎng)情況部署），不會運(yùn)行MP-BGP協(xié)議，不會感知VPN的存在。CE設(shè)備上負(fù)責(zé)VPN業(yè)務(wù)落地，也不會感知VPN的存在。在XX市MPLSVPN的規(guī)劃中，主要有三類MPLSVPN：1、縱向VPN，主要用于承載部門內(nèi)部的縱向應(yīng)用系統(tǒng)，在滿足省-市-縣的縱向VPN互通之外，還有與國家部委VPN網(wǎng)絡(luò)進(jìn)行對接的需求；2、橫向VPN，主要滿足同級機(jī)構(gòu)跨部門的數(shù)據(jù)訪問需求；3、互聯(lián)網(wǎng)VPN，XX市電子政務(wù)外網(wǎng)為市級各廳局提供統(tǒng)一的互聯(lián)網(wǎng)出口服務(wù)?；ヂ?lián)網(wǎng)作為XX市電子政務(wù)外網(wǎng)中一個特殊的VPN，與政務(wù)外網(wǎng)相隔離。VPN路由設(shè)計1、IGP的實(shí)施XX市政務(wù)外網(wǎng)IGP實(shí)施采用了OSPF，考慮到今后可能新增其它業(yè)務(wù)和區(qū)域，因此在路由設(shè)計時考慮到了對OSPF進(jìn)行多區(qū)域劃分。鑒于PE路由器上會鄰接大量的不同VPN客戶的CE路由器，而且其中相當(dāng)部分會啟用動態(tài)路由，CE的客戶路由的穩(wěn)定性有可能對PE的路由器的路由進(jìn)程的穩(wěn)定性造成影響。VPN路由隔離和穩(wěn)定性可能不象P路由器一樣穩(wěn)定（主要要考慮CE帶來的影響）。為了防止PE路由器的穩(wěn)定性問題對全網(wǎng)IGP路由造成影響，所有PE路由器放在單獨(dú)的政務(wù)外網(wǎng)IGP區(qū)域內(nèi)，即所有的PE都放在OSPF的AREA0區(qū)域內(nèi)。2、PE與CE間路由實(shí)施MPLSVPN的網(wǎng)絡(luò)包含了大量的Rc邊緣路由設(shè)備。所有PE都可以直接接入部委的VPN客戶，通過PE上的多種類型的業(yè)務(wù)接口，如POS、E1、以太網(wǎng)等。在這些業(yè)務(wù)接口上，PE需要同CE（客戶路由器）建立路由鄰接關(guān)系，路由協(xié)議的實(shí)施選擇如下：對于普通的VPN客戶，PE與CE間一般采用靜態(tài)路由即可滿足要求。對于較大的VPN客戶，PE與CE間可啟動動態(tài)路由，以滿足VPN客戶網(wǎng)絡(luò)的變化和發(fā)展的需要，雙方可以通過動態(tài)路由協(xié)議交換彼此的網(wǎng)絡(luò)地址段的變化，而無需網(wǎng)絡(luò)管理人員手工配置路由進(jìn)行調(diào)整。PE需要同CE（客戶路由器）建立路由鄰接關(guān)系時，考慮VPN網(wǎng)絡(luò)安全方面的進(jìn)行實(shí)施內(nèi)容如下：PE只接受本VPN（VRF）內(nèi)的路由網(wǎng)絡(luò)地址段，通過路由策略圖及路由過濾在PE上實(shí)施來控制。3、MP-BGP的實(shí)施命名規(guī)則各機(jī)構(gòu)VPN客戶VRF命名規(guī)則：采用6大機(jī)構(gòu)名稱拼音全稱+分機(jī)構(gòu)拼音全稱，字拼音第一個字母大寫。例如政府中審計機(jī)構(gòu)VPN為ZhengFu_ShenJi。XX市電子政務(wù)外網(wǎng)工程中采用采用如下RD值的格式：16位自治系統(tǒng)號:32位用戶自定義數(shù)字。由于RD與VRF相捆綁，即PE設(shè)備上每個VRF表中的所有VPN-IPv4路由將使用同一個RD值，RD值保證了VPN-IPv4路由在PE設(shè)備上的唯一性，所以必須全局統(tǒng)一分配。VPN客戶RT命名規(guī)則和RD相同。各機(jī)構(gòu)VPN客戶的RD命名規(guī)則采用ASN：nn方式命名。其中管理VPN采用1號，對于InternetVPN，RD命名采用預(yù)留的2號。市政務(wù)外網(wǎng)VPNRD、RT規(guī)劃VPN名稱站點(diǎn)RDExportRTImportRT管理VPNNOCASN:1ASN:1ASN:100．．．．．．ASN:20000各委辦局ASN:100．．．．．．ASN:20000ASN:100．．．．．．ASN:20000ASN:1委辦局VPN委辦局1ASN:110-199ASN:110-199ASN:110-199……委辦局100ASN:10010-10099ASN:10010-10099ASN:10010-10099互聯(lián)網(wǎng)VPN互聯(lián)網(wǎng)ASN:2ASN:2ASN:2PE為每個VPN設(shè)定一個虛路由轉(zhuǎn)發(fā)表VRF，用來保存VPN用戶的路由表，使VPN之間被隔離。為VRF使用標(biāo)準(zhǔn)傳統(tǒng)命名方式如用戶ID和接口名稱，一般反映服務(wù)提供者、業(yè)務(wù)性質(zhì)、VPN用戶的信息。PE中VRF數(shù)量配置綜合考慮到路由器的能力、用戶路由數(shù)量以及PE-CE連接所使用的路由協(xié)議。VRF在單臺路由設(shè)備上盡量控制更少的數(shù)量，按需設(shè)置，未使用到的VRF不做預(yù)設(shè)置。4、MPLSVPNRR路由策略實(shí)施XX市電子政務(wù)外網(wǎng)平臺MPLSVPN技術(shù)實(shí)現(xiàn)多業(yè)務(wù)的接入。本規(guī)劃建議XX市電子政務(wù)外網(wǎng)平臺部署B(yǎng)GP/MPLSVPN來實(shí)現(xiàn)上述VPN業(yè)務(wù)。VPN的劃分原則上按照每個聯(lián)網(wǎng)部門劃分縱向VPN，各個聯(lián)網(wǎng)部門根據(jù)實(shí)際需求設(shè)置橫向VPN，以實(shí)現(xiàn)各個聯(lián)網(wǎng)部門之間的縱向隔離。MP-BGP主要用于傳遞VPN路由，IBGP主要用于傳遞IPv4路由。MP-BGP同樣具有N平方問題，為了解決這個問題，也必須使用BGP反射器技術(shù)。規(guī)劃原則與IBGPRR的規(guī)劃原則一樣，如下：路由反射器（RR）：2臺主干核心層交換機(jī)構(gòu)成一個Cluster。其中主干核心交換機(jī)為路由反射器（RR）；反射客戶機(jī)為其余所有與核心交換機(jī)直接相連的主干匯聚層設(shè)備；PE不收全部VPN的路由。通過BGP的ORF屬性，可以使PE路由器告訴RR其需求的VPN路由目標(biāo)（RouteTarget），使RR只傳遞PE上相關(guān)的VPN路由，節(jié)約PE的BGP路由處理能力。使PE上能夠靈活地刪減開放的VPN。通過BGP的Refresh屬性，可以使PE在配置的VPN數(shù)量發(fā)生變化時，能夠及時地向RR請求BGP路由的刷新，使全網(wǎng)的VPN路由保持更新。縱向MPLSVPN網(wǎng)絡(luò)設(shè)計縱向VPN是指行業(yè)系統(tǒng)內(nèi)部（例如國土、林業(yè)、環(huán)保等）的虛擬專網(wǎng)。市網(wǎng)的縱向VPN設(shè)計必須支持與省、國家MPLSVPN的對接，從而實(shí)現(xiàn)國家-省-市-縣（區(qū)）四級VPN的貫通?？v向VPN設(shè)計的基本思路為：骨干網(wǎng)采用MPLSVPN，委辦局接入端采用VLAN方式與普通政務(wù)外網(wǎng)業(yè)務(wù)隔離；由省通過MP-EBGP方式實(shí)現(xiàn)國家、省網(wǎng)兩個不同AS自治域間部委縱向MPLSVPN的對接。城域網(wǎng)主干核心交換機(jī)、主干匯聚交換機(jī)作為PE設(shè)備，MPLSVPN在這些設(shè)備上終結(jié)。接入委辦局使用路由交換一體機(jī)作為委辦局接入的MCE設(shè)備。橫向MPLSVPN設(shè)計XX市電子政務(wù)外網(wǎng)平臺的橫向VPN互訪目前主要指數(shù)據(jù)交換中心和各委辦局前置接入設(shè)備之間的可控互訪，組網(wǎng)示意圖如下：XX市電子政務(wù)外網(wǎng)省網(wǎng)橫向VPN示意圖將需要橫向互訪的數(shù)據(jù)交換中心設(shè)置為一個公共訪問的VPN并只導(dǎo)出自己的VPN（例：EXPORTAS:2），接收所有委辦局的前置接入設(shè)備VPN（例：IMPORTAS:101至AS:6001）。而所有委辦局的前置接入設(shè)備VPN將只接受公共訪問的VPN（例：IMPORTAS:2），并導(dǎo)出自己的VPN（例：EXPORTAS:101或AS:6001）。為了部署前置接入設(shè)備VPN，需要在每個委辦局的CE設(shè)備和城域網(wǎng)的PE設(shè)備之間增加一個VRF接口，這個VRF接口可以是物理接口，也可以是子接口。所有前置接入設(shè)備VPN和數(shù)據(jù)交換中心VPN內(nèi)的IPv4地址必須保證唯一性，需統(tǒng)一規(guī)劃。如果各委辦局的內(nèi)部網(wǎng)絡(luò)需要訪問自己的前置接入設(shè)備，可以在每個委辦局的CE設(shè)備上部署針對前置接入設(shè)備的NAT。這樣就實(shí)現(xiàn)了各委辦局的前置接入設(shè)備橫向訪問的數(shù)據(jù)交換中心服務(wù)器，而各委辦局的前置接入設(shè)備缺省是不能互訪的。但是這種不能互訪是受控的，在需要互訪的時候，僅修改各委辦局的前置接入設(shè)備VPN的導(dǎo)入策略即可?；ヂ?lián)網(wǎng)VPN設(shè)計在XX市省網(wǎng)城域網(wǎng)設(shè)計中，互聯(lián)網(wǎng)為政務(wù)外網(wǎng)平臺中的一個特殊的MPLSVPN。對于委辦局用戶來說，市政務(wù)外網(wǎng)在提供普通政務(wù)外網(wǎng)的服務(wù)外，還提供互聯(lián)網(wǎng)VPN的服務(wù)?；ヂ?lián)網(wǎng)VPN提供互聯(lián)網(wǎng)接入服務(wù)，與其他業(yè)務(wù)邏輯隔離，委辦局用戶主機(jī)可通過該VPN訪問互聯(lián)網(wǎng)，從而節(jié)省各自租用運(yùn)營商訪問互聯(lián)網(wǎng)的專線費(fèi)用。

QoS方案QoS概述由于最初IP協(xié)議設(shè)計時采用的逐跳的包轉(zhuǎn)發(fā)模式，傳統(tǒng)的IP網(wǎng)絡(luò)是一種“盡力而為”的服務(wù)模型，如果一段網(wǎng)絡(luò)發(fā)生擁塞，后續(xù)的IP包就可能被丟棄了，無法保證一些對時延、抖動等要求比較高的應(yīng)用的服務(wù)質(zhì)量。為了解決這個問題，引入了QOS的概念。IPQoS的研究目標(biāo)是有效地為用戶提供端到端的服務(wù)質(zhì)量控制或保證。QoS就是網(wǎng)絡(luò)單元（例如，應(yīng)用程序，主機(jī)或路由器）能夠在一定級別上確保它的業(yè)務(wù)流和服務(wù)要求得到滿足。QoS并沒有創(chuàng)造帶寬，只是根據(jù)應(yīng)用程序的需求以及網(wǎng)絡(luò)狀況來管理帶寬。IPQoS有一套性能參數(shù)，主要包括：業(yè)務(wù)可用性：用戶到Internet業(yè)務(wù)之間連接的可靠性。傳輸延遲：指兩個參照點(diǎn)之間發(fā)送和接收數(shù)據(jù)包的時間間隔?？勺冄舆t：也稱為延遲抖動（Jitter），指在同一條路由上發(fā)送的一組數(shù)據(jù)流中數(shù)據(jù)包之間的時間差異。吞吐量：網(wǎng)絡(luò)中發(fā)送數(shù)據(jù)包的速率,可用平均速率或峰值速率表示。丟包率：在網(wǎng)絡(luò)中傳輸數(shù)據(jù)包時丟棄數(shù)據(jù)包的最高比率。數(shù)據(jù)包丟失一般是由網(wǎng)絡(luò)擁塞引起的。網(wǎng)絡(luò)的可用性通過可靠性和快速收斂實(shí)現(xiàn),而其他目標(biāo)在高性能的網(wǎng)絡(luò)中主要通過提供充分的帶寬實(shí)現(xiàn),如在網(wǎng)絡(luò)輕載(利用率小于50%)的情況下,服務(wù)質(zhì)量非常穩(wěn)定。在以輕載為目標(biāo)設(shè)計的網(wǎng)絡(luò)中,采用QoS機(jī)制的原因在于:提高帶寬利用率容量規(guī)劃誤差大，提高安全安全系數(shù)避免Dos、異常流量的影響網(wǎng)絡(luò)出現(xiàn)故障時的擁塞前兩個目標(biāo)有些矛盾，為了提高利用率就要提高平均的利用率和降低容量規(guī)劃時預(yù)留帶寬的倍數(shù)，而這會降低安全系數(shù)。因此需要DiffServ，可以給不同QoS要求類型的預(yù)留不同的倍數(shù)的帶寬。IPQoS的差分服務(wù)和集成服務(wù)1．集成服務(wù)Inte-serv的實(shí)現(xiàn)目前主要是通過RSVP信令協(xié)議。Inteserv模式要求在IP網(wǎng)絡(luò)中為每個Flow提供獨(dú)立的QoS，包括時延、丟包等參數(shù)。由于IP網(wǎng)絡(luò)中的Flow數(shù)量巨大，交換機(jī)需要為每個Flow維護(hù)一個狀態(tài)表，就需要耗費(fèi)極大的CPU性能和內(nèi)存，以目前路由器的性能來講是不現(xiàn)實(shí)的，而且隨著IP網(wǎng)絡(luò)流量和用戶的增加，交換機(jī)需要處理的Flow數(shù)量將隨之增加，也會帶來擴(kuò)展性問題。因此目前在IP網(wǎng)絡(luò)中普遍沒有采用基于Inter-serv模式的QoS方案。2．差分服務(wù)提高IP網(wǎng)絡(luò)的服務(wù)質(zhì)量，通常有兩種實(shí)現(xiàn)方法，一是在全網(wǎng)絡(luò)或網(wǎng)絡(luò)瓶頸處實(shí)施QoS技術(shù)，一是增加網(wǎng)絡(luò)中各交換節(jié)點(diǎn)的交換容量。根據(jù)國家外網(wǎng)以及其業(yè)務(wù)的特點(diǎn)，對部署、省屬大客戶也可以在骨干網(wǎng)或城域網(wǎng)邊緣有計劃實(shí)施QoS，保證這類大客戶的服務(wù)質(zhì)量。目前，IETF推薦的實(shí)施IPQoS的模型是基于RFC2475的差分服務(wù)（DifferentiatedServices，簡稱DiffServ）結(jié)構(gòu)。它采用IP報頭中的TOS字節(jié)中的六位來區(qū)分不同等級的IP報，這六位稱DSCP；剩下的兩位是顯式擁塞標(biāo)志（ECN），在兩邊終端的TCP層面進(jìn)行擁塞控制，避免丟包（目前針對ECN字段的應(yīng)用還沒有得到普及）。RFC2475同時還定義了網(wǎng)絡(luò)中要實(shí)施IPQoS的網(wǎng)絡(luò)設(shè)備的行為，也就是對一序列IP數(shù)據(jù)報要采取的一系列動作，包括：分類（Classifier）、條件判斷（Conditioner）和隊(duì)列（Queues）。而在實(shí)際的運(yùn)營網(wǎng)絡(luò)上，分類和條件判斷通常是相結(jié)合的，簡稱標(biāo)記，它的作用是將不同的數(shù)據(jù)分類并打上標(biāo)記，下一級設(shè)備往往可以利用上一級設(shè)備的標(biāo)記，因此，在一個運(yùn)營商的網(wǎng)絡(luò)中，通常是在與用戶直接連接的設(shè)備上進(jìn)行標(biāo)記，也稱邊緣標(biāo)記。隊(duì)列是實(shí)現(xiàn)等級服務(wù)的基本手段，網(wǎng)絡(luò)中的每一臺設(shè)備都必須支持相同的隊(duì)列算法和方式，整個網(wǎng)絡(luò)才能達(dá)到預(yù)設(shè)的等級服務(wù)。需要指出的是，IPQoS的實(shí)施是針對數(shù)據(jù)包本身，它需要對雙向的出站數(shù)據(jù)和入站數(shù)據(jù)都進(jìn)行處理，是屬于數(shù)據(jù)轉(zhuǎn)發(fā)平臺的功能。在網(wǎng)絡(luò)上全程實(shí)施IPQoS，主要的工作包括：定義服務(wù)等級；在所有邊緣設(shè)備上實(shí)施邊緣標(biāo)記；所有的網(wǎng)絡(luò)設(shè)備實(shí)施相同的隊(duì)列算法和方式；對所有服務(wù)等級進(jìn)行監(jiān)控，以改善網(wǎng)絡(luò)參數(shù)和計劃網(wǎng)絡(luò)升級。首先是定義服務(wù)等級。在理論上說，最多可以定義64種服務(wù)等級。目前IETF也只是定義了其中22種服務(wù)等級，包括8種傳統(tǒng)服務(wù)等級，12種確定轉(zhuǎn)發(fā)（AF）服務(wù)等級，1種快速轉(zhuǎn)發(fā)（EF）服務(wù)等級和1種缺省（BE）服務(wù)等級。對于常規(guī)的互聯(lián)網(wǎng)業(yè)務(wù)來說，在開始實(shí)施IPQoS的第一階段，一般先提供3種服務(wù)等級：針對低延遲數(shù)據(jù)的多媒體等級，針對商業(yè)用戶較為優(yōu)先的商用等級和缺省等級。隨著業(yè)務(wù)的開展，可以逐漸增加更多的等級。例如，將多媒體等級細(xì)分為低帶寬的話音等級和高帶寬的圖象等級；將商用等級根據(jù)需要細(xì)分為白金、金、銀、銅等多種服務(wù)等級。定義了服務(wù)等級后，就可以將不同用戶的數(shù)據(jù)歸入不同的服務(wù)等級，或者將一個用戶中不同特性的數(shù)據(jù)歸入不同的服務(wù)等級，這個就是邊緣標(biāo)記。邊緣標(biāo)記對入站數(shù)據(jù)和出站數(shù)據(jù)都可以實(shí)施。對入站數(shù)據(jù)實(shí)施標(biāo)記一般有三種方式：本地定義、用戶提供和QPPB；對出站數(shù)據(jù)實(shí)施標(biāo)記一般是根據(jù)服務(wù)合約采用本地重置。本地定義：采用（子）端口或訪問控制列表（ACL）的方式將用戶數(shù)據(jù)進(jìn)行分類，根據(jù)服務(wù)合約的規(guī)定劃分到不同的等級并打上標(biāo)記，或干脆本地丟棄。采用ACL的話，還可以通過擴(kuò)展的ACL來指定某些協(xié)議特性的數(shù)據(jù)，例如所有VoiceoverIP的數(shù)據(jù)包。用戶提供：對于可以信賴的用戶，可以允許其先將數(shù)據(jù)分類并打上標(biāo)記，運(yùn)營商通過對這些標(biāo)記進(jìn)行分類，根據(jù)服務(wù)合約的規(guī)定劃分到不同的等級。用戶數(shù)據(jù)的標(biāo)記可以采用802.1p、IPPrecedence或DSCP，運(yùn)營商可以重置用戶數(shù)據(jù)的標(biāo)記。對國家外網(wǎng)的骨干網(wǎng)來說，各地省網(wǎng)和城域網(wǎng)可以采用這種方式。QPPB：QoSPolicyPropagationviaBGP，通過BGP傳遞QoS規(guī)則。BGP路由協(xié)議在傳遞路由信息的同時，也傳遞路由信息的屬性Community，邊緣路由器可以根據(jù)Community屬性設(shè)置QoSGroup，并將數(shù)據(jù)包據(jù)此分類，根據(jù)服務(wù)合約的規(guī)定劃分到不同的等級。這種方式尤其適合在Internet網(wǎng)關(guān)上對返回的商用等級數(shù)據(jù)包進(jìn)行標(biāo)記。它通過BGP動態(tài)更新，無須網(wǎng)管人員手工配置，方便QoS的大規(guī)模實(shí)施。對網(wǎng)絡(luò)邊緣的設(shè)備來說，除了基于以上各種方式來進(jìn)行分類和標(biāo)記，還需要對用戶數(shù)據(jù)根據(jù)服務(wù)合約來進(jìn)行速率限制。對違規(guī)的數(shù)據(jù)包進(jìn)行降級服務(wù)，甚至丟棄。這是等級服務(wù)的關(guān)鍵。進(jìn)行了邊緣標(biāo)記以后，網(wǎng)絡(luò)中的其它網(wǎng)絡(luò)設(shè)備就可以根據(jù)等級標(biāo)記進(jìn)行隊(duì)列處理。一般來說，一個等級的數(shù)據(jù)共用一個隊(duì)列，當(dāng)然因?yàn)楫a(chǎn)品定位的原因也可以將多個等級的數(shù)據(jù)共用一個隊(duì)列。隊(duì)列調(diào)度算法決定了不同隊(duì)列數(shù)據(jù)的實(shí)際服務(wù)效果，修正的輪盤算法（ModifiedDeficitRoundRobin，簡稱MDRR）最適合處理多種隊(duì)列的情形。MDRR首先保證低延遲隊(duì)列的服務(wù)優(yōu)先于其它隊(duì)列；在其它隊(duì)列中，每一個隊(duì)列可以依次輪流得到定義的服務(wù)份額。這樣，每一種隊(duì)列都可以得到它應(yīng)得的服務(wù)。在網(wǎng)絡(luò)出現(xiàn)擁塞的時候，隊(duì)列內(nèi)的數(shù)據(jù)溢出就會強(qiáng)制丟包。而丟包策略可以在溢出前有選擇地丟包，以體現(xiàn)不同等級服務(wù)的差別，加權(quán)隨機(jī)早期偵測（WeightedRandomEarlyDiscaRD，簡稱WRED）最適合基于TCP的IP應(yīng)用。WRED監(jiān)測隊(duì)列深度，在擁塞發(fā)生前通過丟棄特定的報文來警告TCP發(fā)送方降低發(fā)送速率，以達(dá)到事先降低流速以防止網(wǎng)絡(luò)同時擁塞然后流量急速下降這樣的浪涌現(xiàn)象。WRED可以對同一等級的不同標(biāo)記的數(shù)據(jù)流賦予不同加權(quán)值，其結(jié)果是低優(yōu)先級的流速度降低的幅度大于高優(yōu)先級的流。因此，對網(wǎng)絡(luò)設(shè)備來說，在所有的端口上都要實(shí)施低延遲隊(duì)列、MDRR和WRED，包括在邊緣設(shè)備上對用戶的端口。QoS設(shè)計方案1．QoS實(shí)施目標(biāo)政務(wù)外網(wǎng)以鏈路輕載方式為主、以區(qū)分服務(wù)(DiffServ)、快速路由收斂和快速重路由(FRR)等技術(shù)為輔實(shí)現(xiàn)QoS保證。高帶寬設(shè)計滿足絕大部分情況下業(yè)務(wù)流量突發(fā)的要求；快速路由收斂和快速重路由(FRR)等技術(shù)保證政務(wù)外網(wǎng)的可用性和穩(wěn)定性；區(qū)分服務(wù)(DiffServ)提供不同等級的服務(wù)；滿足高等級業(yè)務(wù)的突發(fā)，確保高等級的業(yè)務(wù)不受低等級業(yè)務(wù)的影響；從而將不同業(yè)務(wù)放在同一網(wǎng)絡(luò)上承載，降低相互之間的影響。本文針對DiffS