1、1,電子政務(wù)網(wǎng)絡(luò)架構(gòu),華為3Com技術(shù)有限公司政府技術(shù)部,2,目錄,1、電子政務(wù)建設(shè)概述 2、網(wǎng)絡(luò)架構(gòu)詳細(xì)分析 3、政務(wù)網(wǎng)絡(luò)案例分析,3,電子政務(wù),公司（法人）,政府部門,公眾（自然人）,政府員工,電子政務(wù)建設(shè)的目標(biāo)定位,G2G,G2C,G2E,G2B,4,目錄,1、電子政務(wù)建設(shè)概述 2、網(wǎng)絡(luò)架構(gòu)詳細(xì)分析 廣域網(wǎng)架構(gòu)分析 城域網(wǎng)架構(gòu)分析 局域網(wǎng)架構(gòu)分析 3、政務(wù)網(wǎng)絡(luò)案例分析,5,廣域網(wǎng)建設(shè)的關(guān)注點(diǎn),6,省直,省直,省直,2.5G RPR,GE,GE,地市州,EI,N2M,N2M,CPOS,FE,FE,GE,GE,FE,地市州,地市州,XX縣,XX縣,地市城域網(wǎng)匯聚,(PE),(PE),(PE)

2、,(P),(P),(P),(P),(P),(P),(P),(P),(PE),(PE),(CE),(CE),(CE),(CE),(CE),(CE),(PE),(PE),(PE),(CE),(CE),(CE),(CE),城域網(wǎng),廣域網(wǎng),關(guān)注點(diǎn)1MPLS VPN,7,關(guān)注點(diǎn)1MPLS VPN,省工商,省稅務(wù),10.0.1.0/24,10.0.1.0/24,CE,MCE/PE,PE,PE,政務(wù)網(wǎng),地市工商,10.0.2.0/24,內(nèi)部服務(wù)器,地市稅務(wù),10.0.2.0/24,CE,PE,內(nèi)部服務(wù)器,PE,縱向VPN子接口,MCE/PE,8,PE,PE,PE,HUB,SPOKE,SPOKE,SPOKE,

3、PE,省廳,A市局,B市局,C市局,關(guān)注點(diǎn)1MPLS VPN,9,某部門省廳連接在PE1上,各地市局分別連接到PE2、PE3上。由于BGP/MPLS VPN是由PE與CE接口的VRF上配置的相應(yīng)RT來決定路由關(guān)系的，因此在省廳連接的PE1相應(yīng)VRF上配置RT值使該VRF可接收來自A市局、B市局、C市局的路由，并將自己的路由發(fā)送到A市局、B市局、C市局。在各市局PE上配置RT，使市局只能與省局交換路由而不能與其他市局直接交換路由。 優(yōu)點(diǎn)：省局集中控制VPN內(nèi)的通信，可通過路由過濾的方式禁止市局間的直接通信，保障VPN內(nèi)的可控性和安全性。如在A局病毒爆發(fā)時(shí)，可在省廳處通過路由將該市局隔離，避免病毒

4、蔓延。 缺點(diǎn)：一是省局成為單點(diǎn)故障，一旦省局連接的PE1發(fā)生故障，各市局間將不能正常通信。二是市局間數(shù)據(jù)交換集中在省廳所在PE上，增加了PE的壓力。 由于目前各部門紛紛采用數(shù)據(jù)大集中的數(shù)據(jù)交換模式，市局間的數(shù)據(jù)交換比較少，因此比較適合采用該模式。,關(guān)注點(diǎn)1MPLS VPN,10,PE,PE,PE,HUB,SPOKE,SPOKE,SPOKE,PE,省廳,A市局,B市局,C市局,關(guān)注點(diǎn)1MPLS VPN,11,某部門省廳連接在PE1上,各地市局分別連接到PE2、PE3上。由于BGP/MPLS VPN是由PE與CE接口的VRF上配置的相應(yīng)RT來決定路由關(guān)系的，因此在省廳和各市局連接的PE相應(yīng)VRF上

5、配置RT值使該VRF可接收來自其余市局的路由，即省廳和各市局完全處于對(duì)等狀態(tài)，相互之間完全可以交互路由信息。 優(yōu)點(diǎn)：無單點(diǎn)故障，無性能瓶頸。 缺點(diǎn)：無法做到集中控制，安全性不高。,關(guān)注點(diǎn)1MPLS VPN,12,關(guān)注點(diǎn)2MPLS VPN跨域,要求ASBR設(shè)備為每個(gè)跨域的VPN分配子接口，因此可以可以實(shí)現(xiàn)跨域的流量監(jiān)管，實(shí)現(xiàn)對(duì)每個(gè)VPN的計(jì)費(fèi)，但是對(duì)ASBR壓力非常大，并且PE設(shè)備需要維護(hù)跨域VPN的路由，可管理性和可擴(kuò)展性較差；,13,關(guān)注點(diǎn)2MPLS VPN跨域,對(duì)ASBR壓力最小，但由于需要建立PE間跨域的LSP，因此可管理性也比較差。,14,關(guān)注點(diǎn)2MPLS VPN跨域,對(duì)ASBR壓力也

6、比較大，但可以通過ASBR擴(kuò)容來解決，沒有PE設(shè)備跨域VPN路由維護(hù)問題，因此適用范圍較廣；,15,關(guān)注點(diǎn)3端到端QOS,16,網(wǎng)絡(luò)流量監(jiān)控,網(wǎng)絡(luò)應(yīng)用分布,網(wǎng)絡(luò)瓶頸分析,服務(wù)質(zhì)量監(jiān)控,網(wǎng)絡(luò)故障分析,流量異常告警,關(guān)注點(diǎn)4網(wǎng)絡(luò)流量統(tǒng)計(jì)分析,17,目錄,1、電子政務(wù)建設(shè)概述 2、網(wǎng)絡(luò)架構(gòu)詳細(xì)分析 廣域網(wǎng)架構(gòu)分析 城域網(wǎng)架構(gòu)分析 局域網(wǎng)架構(gòu)分析 3、政務(wù)網(wǎng)絡(luò)案例分析,18,城域網(wǎng)建設(shè)的關(guān)注點(diǎn),19,A,B,C,D,擁塞,關(guān)鍵業(yè)務(wù)帶寬保證（公平算法RPR-fa）,帶寬共享，為提高帶寬利用率，建立公平機(jī)制 公平算法是全局的、基于整個(gè)環(huán)網(wǎng)級(jí)別的 通過監(jiān)測流量、反壓機(jī)制實(shí)現(xiàn) 帶寬管理可保證高優(yōu)先級(jí)數(shù)據(jù)和控制

7、無阻塞 可通過設(shè)置節(jié)點(diǎn)的權(quán)重，實(shí)現(xiàn)加權(quán)公平,關(guān)注點(diǎn)1RPR環(huán)網(wǎng),20,華為3COM的IP環(huán)網(wǎng)綜合兩種倒換方式的優(yōu)點(diǎn)，采取兩者相結(jié)合的方式，先Wrapping后Steering，達(dá)到最優(yōu)的保護(hù)性能。,A,B,C,D,E,F,A,B,C,D,E,F,A,B,C,D,E,F,正常情況下數(shù)據(jù)傳送,故障順利立即啟用Wrap方式的保護(hù),拓?fù)浣Y(jié)構(gòu)穩(wěn)定后切換到Steering方式,Wrap繞回方式，在故障邊節(jié)點(diǎn)處自動(dòng)環(huán)回。 特點(diǎn)：速度快，基本無數(shù)據(jù)丟失，缺點(diǎn)是浪費(fèi)帶寬。,Steering抄近方式，更改拓?fù)?，重新?jì)算路由。 特點(diǎn)：速度慢，帶寬利用高，但可能有數(shù)據(jù)丟失。,關(guān)注點(diǎn)1RPR環(huán)網(wǎng),21,省政府,市政府,

8、區(qū)縣政府,省工商局,市工商局,區(qū)縣工商局,省勞動(dòng)廳,市勞動(dòng)局,區(qū)縣勞動(dòng)局,縱向網(wǎng)絡(luò)結(jié)構(gòu),橫向網(wǎng)絡(luò)結(jié)構(gòu),橫向網(wǎng)絡(luò)：信息共享，跨部門協(xié)作,縱向網(wǎng)絡(luò)：業(yè)務(wù)運(yùn)作，行業(yè)管理與監(jiān)管,關(guān)注點(diǎn)2MPLS VPN,22,工商,10.0.1.0/24,MCE,政務(wù)網(wǎng),前置機(jī)160.0.4.1/24,稅務(wù),10.0.1.0/24,CE,前置機(jī)160.0.1.1/24,內(nèi)部服務(wù)器10.0.1.1,PE,PE,PE,內(nèi)部服務(wù)器10.0.1.1,注釋: 資源共享區(qū)前置機(jī)為一個(gè)共享VPN,其它職能部門前置機(jī)分別為獨(dú)立的VPN 為保證安全性，前置機(jī)與內(nèi)部服務(wù)通過網(wǎng)閘進(jìn)行數(shù)據(jù)交換 各業(yè)務(wù)部門數(shù)據(jù)通過前置機(jī)上傳到資源共享中心的數(shù)

9、據(jù)庫中 優(yōu)勢：采集的信息數(shù)據(jù)在政務(wù)外網(wǎng)上以VPN的方式傳遞，保障了數(shù)據(jù)的安全性,前置VPN子接口,資源共享中心,數(shù)據(jù)庫,前置機(jī)160.0.2.1/24,共享資源網(wǎng)站入口160.0.3.1/24,前置VPN子接口,公共前置VPN子接口,PE,關(guān)注點(diǎn)2MPLS VPN,FW,數(shù)據(jù)庫,數(shù)據(jù)庫,數(shù)據(jù)庫,集中式互訪,23,注釋: 職能部門前置機(jī)分別為獨(dú)立的VPN 優(yōu)勢：采集的信息數(shù)據(jù)在政務(wù)外網(wǎng)上以VPN的方式傳遞，保障了數(shù)據(jù)的安全性，通過RT的靈活控制，實(shí)現(xiàn)不同職能部門前置機(jī)的受控互訪 集中式和分布式不是對(duì)立的，而是互補(bǔ)的關(guān)系,工商,10.0.1.0/24,政務(wù)網(wǎng),前置機(jī)160.0.2.1/24,稅務(wù),

10、10.0.1.0/24,CE,前置機(jī)160.0.1.1/24,工商信用服務(wù)器10.0.1.1,PE,內(nèi)部服務(wù)器10.0.1.1,前置VPN子接口,前置VPN子接口,PE,PE,前置機(jī)160.0.3.1/24,財(cái)政,10.0.1.0/24,CE,內(nèi)部服務(wù)器10.0.1.1,前置VPN子接口,MCE,關(guān)注點(diǎn)2MPLS VPN,分布式互訪,24,政務(wù)外網(wǎng),工商,10.0.1.0/24,CE,門戶網(wǎng)站 160.0.3.1,稅務(wù),10.0.1.0/24,CE,門戶網(wǎng)站 160.0.1.1,內(nèi)部服務(wù)器10.0.1.1,PE,PE,Internet vpn子接口,PE,Internet,Internet,注

11、釋: 所有對(duì)公眾提供訪問的WEB服務(wù)器放到一個(gè)Internet VPN，政務(wù)外網(wǎng)出口防火墻作為CE設(shè)備 此方式適合門戶網(wǎng)站采用ISP分配的地址 優(yōu)勢：實(shí)現(xiàn)簡單，一個(gè)大的VPN DNS規(guī)劃簡單 劣勢：政府部門訪問政務(wù)外網(wǎng)門 戶網(wǎng)站產(chǎn)生迂回路由，增加 防火墻負(fù)擔(dān),公眾服務(wù)中心,數(shù)據(jù)庫,對(duì)外發(fā)布門戶網(wǎng)站,DNS,Internet vpn子接口,Internet vpn子接口,數(shù)據(jù)庫,數(shù)據(jù)庫,MCE,Internet vpn子接口,PE,防火墻可能執(zhí)行一對(duì)一NAT操作,關(guān)注點(diǎn)2MPLS VPN,公眾訪問1,25,政務(wù)外網(wǎng),工商,10.0.1.0/24,CE,門戶網(wǎng)站 160.0.3.1,稅務(wù),10.0

12、.1.0/24,CE,門戶網(wǎng)站 160.0.1.1,內(nèi)部服務(wù)器10.0.1.1,PE,PE,公網(wǎng)子接口,防火墻可能執(zhí)行一對(duì)一NAT操作,PE,Internet,Internet,注釋: 傳統(tǒng)實(shí)現(xiàn)方式 優(yōu)勢：政府部門訪問政務(wù)外網(wǎng)不 產(chǎn)生迂回路由 劣勢：如果采用ISP分配的地址， DNS規(guī)劃復(fù)雜,公眾服務(wù)中心,數(shù)據(jù)庫,對(duì)外發(fā)布門戶網(wǎng)站,DNS,公網(wǎng)子接口,公網(wǎng)子接口,數(shù)據(jù)庫,數(shù)據(jù)庫,MCE,PE,關(guān)注點(diǎn)2MPLS VPN,公眾訪問2,26,政務(wù)外網(wǎng),工商,10.0.1.0/24,CE,門戶網(wǎng)站 160.0.3.1,稅務(wù),10.0.1.0/24,CE,門戶網(wǎng)站 160.0.1.1,內(nèi)部服務(wù)器10.0

13、.1.1,PE,公網(wǎng)子接口,防火墻可能執(zhí)行二次NAT操作,PE,Internet,Internet,注釋: 對(duì)于防火墻接入，可采用公網(wǎng)子接口 對(duì)于MCE/PE接入，可采用VRF全局靜態(tài)路由的方式，此方式的最大問題是部署的問題，也可以設(shè)置一條全局缺省路由指向連接Internet的PE設(shè)備，通過這臺(tái)PE設(shè)備中轉(zhuǎn)流量 如果采用ISP分配地址，DNS設(shè)計(jì)復(fù)雜,公眾服務(wù)中心,數(shù)據(jù)庫,對(duì)外發(fā)布門戶網(wǎng)站,DNS,公網(wǎng)子接口,公網(wǎng)子接口,數(shù)據(jù)庫,數(shù)據(jù)庫,MCE,PE,PE,縱向VPN子接口,PE設(shè)備必須執(zhí)行NAT轉(zhuǎn)換,防火墻可執(zhí)行NAT轉(zhuǎn)換這時(shí)不用PE執(zhí)行NAT操作,關(guān)注點(diǎn)2MPLS VPN,內(nèi)部訪問Inte

14、rnet,27,政務(wù)外網(wǎng),稅務(wù),10.0.1.0/24,CE,數(shù)據(jù)中心,門戶網(wǎng)站托管,公眾服務(wù)區(qū),PE,PE,公網(wǎng)子接口,PE,注釋: 門戶網(wǎng)站分配兩個(gè)IP地址，一個(gè)為縱向網(wǎng)私有地址，用于加入縱向VPN，進(jìn)行維護(hù)。一個(gè)為政務(wù)外網(wǎng)IP地址，用于提供公共服務(wù)，門戶網(wǎng)站主機(jī)兩網(wǎng)卡間不能起路由協(xié)議,門戶網(wǎng)站托管,門戶網(wǎng)站托管,門戶網(wǎng)站托管,PE,PE,縱向VPN子接口,防火墻可能執(zhí)行NAT-PT操作,Internet,私網(wǎng)IP 10.0.2.1/28,政務(wù)外網(wǎng)IP 160.0.1.1/28,維護(hù)數(shù)據(jù)流,Internet訪問流量,關(guān)注點(diǎn)2MPLS VPN,托管網(wǎng)站維護(hù),28,政務(wù)外網(wǎng),注釋: 路由多實(shí)例

15、設(shè)備（MCE）通過多個(gè)子接口上聯(lián)到PE設(shè)備，其中公網(wǎng)子接口用于其余用戶訪問門戶網(wǎng)站，縱向VPN子接口用于縱向系統(tǒng)訪問，前置VPN子接口用于訪問前置機(jī)。路由多實(shí)例完成安全隔離的功能。 縱向用戶訪問公網(wǎng)通過縱向VPN子接口，此時(shí)需要PE設(shè)備VRF表設(shè)置多條靜態(tài)路由指向發(fā)布公眾服務(wù)的PE設(shè)備，缺省路由指向Internet網(wǎng)關(guān)PE。 縱向用戶訪問政府資源共享業(yè)務(wù)通過縱向VPN子接口訪問。 前置服務(wù)器和門戶網(wǎng)站各分配兩個(gè)IP地址，公有IP用于政務(wù)外網(wǎng)互訪，私有IP為縱向網(wǎng)中地址，用于設(shè)備維護(hù)，前置服務(wù)器和門戶網(wǎng)站兩網(wǎng)卡間不能啟用路由協(xié)議 PE完成NAT多實(shí)例操作,前置服務(wù)器 160。0。1。1 10。0

16、。1。1,門戶網(wǎng)站 160。0。2。1 10。0。1。2,10.0.1.0/24,用戶側(cè),公網(wǎng)子接口,前置VPN子接口,縱向VPN子接口,MCE,PE,關(guān)注點(diǎn)2MPLS VPN,接入方式MCE,29,政務(wù)外網(wǎng),注釋: 此種方式適用于用戶側(cè)與政務(wù)外網(wǎng)相連鏈路不支持子接口鏈路。 采用HOPE解決方案，政務(wù)外網(wǎng)PE設(shè)備為SPE，用戶側(cè)設(shè)備為UPE。 SPE維護(hù)其通過UPE連接的VPN所有路由，包括本地和遠(yuǎn)程Site的路由，但SPE不發(fā)布遠(yuǎn)程Site的路由給UPE，只發(fā)布VPN實(shí)例的缺省路由或聚合路由給UPE。 UPE維護(hù)其直接相連的VPN Site的路由，但不維護(hù)VPN中其它遠(yuǎn)程Site的路由或僅維

17、護(hù)它們的聚合路由。UPE為其直接相連的Site的路由分配內(nèi)層標(biāo)簽，并通過MP-BGP隨VPN路由發(fā)布此標(biāo)簽給SPE。 NAT操作可以發(fā)生在SPE設(shè)備，也可以發(fā)生在UPE設(shè)備。 其它與MCE接入方式一致。,前置服務(wù)器 160。0。1。1 10。0。1。1,門戶網(wǎng)站 160。0。2。1 10。0。1。2,10.0.1.0/24,用戶側(cè),公網(wǎng)子接口,前置VPN子接口,縱向VPN子接口,SPE,UPE,接入方式UPE,關(guān)注點(diǎn)2MPLS VPN,30,政務(wù)外網(wǎng),注釋: 防火墻采用子接口的方式上聯(lián)到PE設(shè)備 用戶側(cè)上行流量理論上可以訪問任何信息資源 下行流量只允許縱向VPN的流量通過。 防火墻可執(zhí)行NAT

18、操作。,前置服務(wù)器 160。0。1。1 10。0。1。1,門戶網(wǎng)站 160。0。2。1 10。0。1。2,10.0.1.0/24,用戶側(cè),公網(wǎng)子接口,前置VPN子接口,縱向VPN子接口,PE,CE,接入方式防火墻,關(guān)注點(diǎn)2MPLS VPN,31,網(wǎng)絡(luò)中的業(yè)務(wù)，哪些合法，哪些是違規(guī)的？ 網(wǎng)絡(luò)中的數(shù)據(jù)流，哪些影響了我的網(wǎng)絡(luò)運(yùn)行？ 網(wǎng)絡(luò)的流量如何，帶寬需不需要擴(kuò)容？ 鏈路擁塞，誰在消耗帶寬？,網(wǎng)絡(luò)環(huán)境日趨成熟，新業(yè)務(wù)不斷出現(xiàn)； IT應(yīng)用日益復(fù)雜化；,用戶需要統(tǒng)計(jì)分析工具來幫助其了解、分析進(jìn)而管理網(wǎng)絡(luò)中的流量資源，實(shí)現(xiàn)網(wǎng)絡(luò)優(yōu)化,關(guān)注點(diǎn)3流量分析,32,網(wǎng)絡(luò)流量監(jiān)控,網(wǎng)絡(luò)應(yīng)用分布,網(wǎng)絡(luò)瓶頸分析,服務(wù)質(zhì)量

19、監(jiān)控,網(wǎng)絡(luò)故障分析,流量異常告警,網(wǎng)絡(luò)可度量、可評(píng)估,關(guān)注點(diǎn)3NTA,NTA，Network Traffic Analysis，基于TCPIP協(xié)議四層的，針對(duì)應(yīng)用服務(wù)流向進(jìn)行分析的解決方案，用于對(duì)網(wǎng)絡(luò)數(shù)據(jù)信息進(jìn)行綜合分析、挖掘的系統(tǒng)。,33,關(guān)注點(diǎn)3NTA,34,商務(wù)合同,MPLS 網(wǎng)絡(luò),關(guān)注點(diǎn)4MPLS VPN管理軟件,35,MPLS L2 VPN,隧道,跨域,MPLS L3 VPN,第三方廠商設(shè)備,關(guān)注點(diǎn)4MPLS VPN管理軟件,36,規(guī)劃,預(yù)覽,調(diào)整,MPLS VPN業(yè)務(wù)管理Step By Step業(yè)務(wù)規(guī)劃,37,端到端的 業(yè)務(wù)部署,CE,PE,PE,定時(shí)任務(wù),MPLS VPN業(yè)務(wù)管理

20、可調(diào)度的業(yè)務(wù)部署,手工部署,38,MPLS VPN業(yè)務(wù)管理全網(wǎng)VPN視圖,這個(gè)VPN 有問題啦！,39,電子政務(wù)城域網(wǎng)（大型城市）,10G/2.5G RPR,核心層,匯聚層,GE,GE,GE,GE,用戶接入層,城域核心路由器,城域核心路由器,城域核心路由器,城域核心路由器,匯聚層交換機(jī),P,P,P,P,PE,PE,電子政務(wù)省干,省干地市路由器,CE,MCE,PE,GE,GE,FE,MCE,SDH,CE,匯聚層路由器,E1,N*E1,GE,FE,FE,CE,CE,40,城域核心路由器主要提供高速數(shù)據(jù)轉(zhuǎn)發(fā)，建議采用10G/2.5G RPR形成環(huán)網(wǎng)進(jìn)行保護(hù)。,10G/2.5GRPR,NGE,城域核心

21、路由器,10G/2.5GRPR,大型城域網(wǎng)設(shè)備選型建議城域核心路由器,功能要求 MPLS VPN & MPLS TE ACL，組播 QoS(IP DiffServ & MPLS DiffServ) IPv6（硬件支持） 可靠性要求 關(guān)鍵部件冗余配置 支持VRRP/HSRP 支持NSF，GR 接口要求 10G/2.5G RPR 2.5G POS GE,41,大型城域網(wǎng)設(shè)備選型建議匯聚層設(shè)備,匯聚層設(shè)備主要提供高密度GE/FE接入或E1接入，承擔(dān)MPLS PE/MCE功能，PE要求支持NAT多實(shí)例。,GE,GE,GE,功能要求 MPLS VPN NAT多實(shí)例 ACL，組播 QoS(IP DiffS

22、erv & MPLS DiffServ) 可靠性要求 關(guān)鍵部件冗余配置 支持VRRP/HSRP 接口要求 GE/FE E1,GE,GE,E1,GE,E1,FE,GE,FE,匯聚交換機(jī)做PE,匯聚路由器做PE,匯聚交換機(jī)做MCE,42,電子政務(wù)城域網(wǎng)（中型城市）,GE,GE,GE,城域核心交換機(jī),省干接入,城域核心交換機(jī),匯聚層,地市骨干路由器,電子政務(wù)省干,省干地市路由器,核心層,用戶接入層,CE,GE,PE,PE,PE,城域匯聚交換機(jī),城域匯聚交換機(jī),城域匯聚交換機(jī),GE,CE,CE,CE,CE,CE,FE,GE,GE,GE,GE,GE,P,P,P/PE,43,中型城域網(wǎng)設(shè)備選型建議,GE,

23、GE,GE,功能要求 MPLS VPN NAT多實(shí)例 ACL，組播 QoS(IP DiffServ & MPLS DiffServ) 可靠性要求 關(guān)鍵部件冗余配置 支持VRRP/HSRP 接口要求 GE/FE,GE,GE,GE,GE,FE,城域核心交換機(jī)做P,城域匯聚交換機(jī)做PE,44,電子政務(wù)城域網(wǎng)（小型城市）,FE,GE,城域核心交換機(jī),省干接入,城域核心交換機(jī),用戶接入層,地市骨干路由器,電子政務(wù)省干,省干地市路由器,核心層,GE,GE,CE,CE,CE,CE,PE,PE,P/PE,45,小型城域網(wǎng)設(shè)備選型建議,功能要求 MPLS VPN NAT多實(shí)例 ACL，組播 QoS(IP Dif

24、fServ & MPLS DiffServ) 可靠性要求 關(guān)鍵部件冗余配置 支持VRRP/HSRP 接口要求 GE/FE,GE,GE,GE,FE,城域核心交換機(jī)做PE,46,目錄,1、電子政務(wù)建設(shè)概述 2、網(wǎng)絡(luò)架構(gòu)詳細(xì)分析 廣域網(wǎng)架構(gòu)分析 城域網(wǎng)架構(gòu)分析 局域網(wǎng)架構(gòu)分析 3、政務(wù)網(wǎng)絡(luò)案例分析,47,局域網(wǎng)建設(shè)的關(guān)注點(diǎn),48,補(bǔ)丁策略 防病毒策略 用戶身份管理策略 應(yīng)用系統(tǒng)使用策略 網(wǎng)絡(luò)資源訪問策略 其它策略,難執(zhí)行！,用戶不重視 不能及時(shí)準(zhǔn)確了 解終端的安全狀況 有意違反 無法強(qiáng)制執(zhí)行,主要原因,用戶安全管理策略,缺乏有效的技術(shù)手段實(shí)現(xiàn)終端安全、身份認(rèn)證、資源訪問權(quán)限的 統(tǒng)一管理！,關(guān)注點(diǎn)1用

25、戶接入控制,49,端點(diǎn)準(zhǔn)入防御（EAD，Endpoint Admission Defense）解決方案從網(wǎng)絡(luò)接入端點(diǎn)的安全控制入手，通過安全客戶端、安全策略服務(wù)器、網(wǎng)絡(luò)設(shè)備以及第三方軟件的聯(lián)動(dòng)，對(duì)接入網(wǎng)絡(luò)的用戶終端強(qiáng)制實(shí)施企業(yè)安全策略。,關(guān)注點(diǎn)1用戶接入控制,與防病毒軟件聯(lián)動(dòng)防御 隔離防御能力脆弱的用戶終端 及時(shí)更新系統(tǒng)補(bǔ)丁，提高抵抗力,提高用戶終端的主動(dòng)防御能力,身份認(rèn)證與防御能力認(rèn)證結(jié)合 與專業(yè)防病毒系統(tǒng)聯(lián)動(dòng) 多重權(quán)限控制(VLAN/ACL/QoS),多種安全部件的聯(lián)動(dòng)防御,用戶安全接入策略的統(tǒng)一管理 組織級(jí)安全策略的強(qiáng)制實(shí)施 用戶安全狀態(tài)的集中審計(jì),集中策略實(shí)施與管理,事前：用戶身份和防

26、御能力認(rèn)證 事中：用戶安全狀態(tài)和行為的監(jiān)控 事后：用戶安全狀態(tài)和行為的審計(jì),以用戶為中心的全程管理,主動(dòng)防御,全面防御,集中策略管理,以用戶為中心,50,關(guān)注點(diǎn)1用戶接入控制,51,個(gè)人用戶性能和安全性更高。 目前局域網(wǎng)大部分均采用私網(wǎng)地址，IP地址資源一般都比較充裕，可以采用30位掩碼劃分網(wǎng)段，一個(gè)用戶一個(gè)網(wǎng)段，并且一個(gè)網(wǎng)段內(nèi)最多也只能接入一個(gè)用戶，所有用戶之間的互訪均通過三層交換實(shí)現(xiàn)。采用這種三層到桌面的方式可以有效隔離用戶之間的二層報(bào)文，包括二層廣播報(bào)文以及二層的攻擊報(bào)文，可以極大提高用戶的個(gè)人安全。同時(shí)，采用一個(gè)用戶一個(gè)網(wǎng)段、一個(gè)網(wǎng)段最多一個(gè)用戶的策略，可以徹底杜絕用戶IP地址假冒的問

27、題，因?yàn)椴煌丝诘木W(wǎng)段均不相同，即使有人假冒他人的IP地址也無法實(shí)現(xiàn)網(wǎng)絡(luò)接入。 網(wǎng)絡(luò)整體性能和安全性提高。 通過三層到桌面的方式，整個(gè)網(wǎng)絡(luò)中將不再有二層報(bào)文，二層攻擊事件徹底杜絕，設(shè)備與設(shè)備之間的級(jí)連鏈路上將只有三層報(bào)文流通，極大提高了網(wǎng)絡(luò)帶寬的利用率與網(wǎng)絡(luò)的安全性。,關(guān)注點(diǎn)2三層到桌面,52,傳統(tǒng)交換網(wǎng)絡(luò)不足,冗余是通過網(wǎng)絡(luò)規(guī)劃來實(shí)現(xiàn)，難以均衡，屬于被動(dòng)方式 通常每臺(tái)設(shè)備都需要一個(gè)管理IP地址，設(shè)備眾多，管理不便 LACP不能跨設(shè)備 初期組網(wǎng)投資較大,關(guān)注點(diǎn)3智能彈性架構(gòu),傳統(tǒng)網(wǎng)絡(luò)的問題,53,IRF介紹,關(guān)注點(diǎn)3智能彈性架構(gòu),設(shè)備級(jí)可靠服務(wù)器接入設(shè)備,IRF,數(shù)據(jù)中心 Server Far

28、m,提高網(wǎng)絡(luò)可靠性 實(shí)現(xiàn)跨設(shè)備端口捆綁,沒有單點(diǎn)故障 IRF設(shè)備對(duì)外來看是一個(gè)設(shè)備,實(shí)現(xiàn)1:N備份 實(shí)現(xiàn)基于IRF路由熱備份 環(huán)狀I(lǐng)RF結(jié)構(gòu)具有高度可靠性，任何情況下的環(huán)形鏈路被斷開均不影響整個(gè)IRF結(jié)構(gòu)正常業(yè)務(wù)處理,基于IRF架構(gòu)保障服務(wù)器接入的高可靠性,54,關(guān)注點(diǎn)3智能彈性架構(gòu),55,關(guān)注點(diǎn)4萬兆骨干、千兆桌面,桌面網(wǎng)絡(luò)資源的不足已經(jīng)嚴(yán)重滯后了工作效率 用戶的工作平臺(tái)首先是一個(gè)網(wǎng)絡(luò)平臺(tái)。與工作伙伴、外部客戶、內(nèi)部核心服務(wù)器等大量數(shù)據(jù)、信息的交流溝通日益成為工作的核心。 組播或視頻點(diǎn)播、帶大附件的電子郵件、文件傳輸器、按需備份和恢復(fù)、CRM/ERP以及Web和Java工具等多種應(yīng)用都成為吞

29、噬帶寬的殺手，千兆位以太網(wǎng)逐漸延伸到桌面已經(jīng)成為最迫切的需要之一。 需要大容量帶寬的語音、視頻、多媒體等應(yīng)用很得“民心”，網(wǎng)絡(luò)的價(jià)值正在快速顯現(xiàn)。 社會(huì)經(jīng)濟(jì)的快速發(fā)展，企業(yè)、政府、教育、金融、電力等等多種行業(yè)不斷追求辦公、辦事效率的優(yōu)化，同樣對(duì)高帶寬辦公網(wǎng)有著迫切的需求。,56,關(guān)注點(diǎn)4萬兆骨干、千兆桌面,技術(shù)層面 千兆、萬兆以太網(wǎng)技術(shù)已經(jīng)相當(dāng)成熟。 大家都希望能夠獲得最大帶寬，但是沒有人希望自己的網(wǎng)絡(luò)成天出問題，為了解決網(wǎng)絡(luò)問題絞盡腦汁、疲于奔命。對(duì)新技術(shù)穩(wěn)定性的擔(dān)憂一度阻礙了千兆、萬兆的大規(guī)模應(yīng)用。 千兆和萬兆的標(biāo)準(zhǔn)已經(jīng)相當(dāng)完善。 萬兆以太網(wǎng)2002年就已經(jīng)提出并通過IEEE評(píng)審發(fā)布，而1

30、000BASE-T的標(biāo)準(zhǔn)（802.3ab）早在1999年就已經(jīng)發(fā)布，并且采用標(biāo)準(zhǔn)第5類（Cat 5）銅線電纜傳送信號(hào)，這使得大部分網(wǎng)絡(luò)改造無需重新布線。千兆接口可以通過自適應(yīng)技術(shù)兼容以前的10M、100M終端。技術(shù)的標(biāo)準(zhǔn)化大大推動(dòng)了千兆、萬兆技術(shù)的發(fā)展和應(yīng)用，目前，客戶對(duì)于千兆甚至萬兆穩(wěn)定性的擔(dān)憂正逐漸成為過去。,57,關(guān)注點(diǎn)4萬兆骨干、千兆桌面,價(jià)格層面 價(jià)格的大幅下降是實(shí)現(xiàn)“千兆到桌面”的前提條件 要規(guī)模應(yīng)用就必須在價(jià)格上使客戶能夠接收，特別是在接入側(cè)端口數(shù)量巨大，價(jià)格的影響不容忽視。 千兆網(wǎng)卡的大量應(yīng)用。 目前新的PC主板中很多已經(jīng)包含了內(nèi)置的千兆網(wǎng)卡。千兆網(wǎng)卡的價(jià)格已經(jīng)接近百兆網(wǎng)卡，一

31、些廠商的10/100/1000M網(wǎng)卡價(jià)格已經(jīng)降低到100元左右。 半導(dǎo)體技術(shù)的發(fā)展。 半導(dǎo)體技術(shù)的發(fā)展拉動(dòng)了“千兆到桌面”的發(fā)展。千兆網(wǎng)絡(luò)芯片市場競爭激烈，芯片網(wǎng)端口的價(jià)格大幅下降，網(wǎng)絡(luò)用戶成為最大的獲益者。 萬兆價(jià)格的下滑。 目前高密度萬兆接口板的推出及萬兆端口價(jià)格的下滑，使萬兆的應(yīng)用范圍從核心向邊緣甚至接入層遷移，也極大的促進(jìn)了千兆到桌面的發(fā)展。,58,關(guān)注點(diǎn)4WLAN,部署無線局域網(wǎng)，凡是自由空間均可連接網(wǎng)絡(luò)，不受限于線纜和端口位置,辦公大樓,接待室,室外,休息室,59,關(guān)注點(diǎn)4多業(yè)務(wù)融合,政 府 下 屬 單 位,匯接PBX,辦公PBX,交換機(jī) 路由器,交換機(jī) 路由器,2ME1,155M

32、/622M,網(wǎng)關(guān),網(wǎng)關(guān),CS,MCU,會(huì)議電視,會(huì)議電視,MCU,可視電話,IP電話,可視電話,IP電話,60,成功案例分析,公安部新大樓 高檢院新大樓 知識(shí)產(chǎn)權(quán)局新大樓 北京高法院新大樓,用戶接入控制 三層到桌面 智能彈性架構(gòu) 萬兆主干，千兆桌面,關(guān)注點(diǎn),61,Floor1,2# S6506R,1# S6506R,4# S6506R,6# S6506R,3# S6506R,Floor8,2# S6506R,1# S6506R,4# S6506R,6# S6506R,3# S6506R,網(wǎng)絡(luò)接入層,網(wǎng)絡(luò)管理層,核心交換機(jī),10GE,10GE,網(wǎng)管中心,網(wǎng)絡(luò)核心層,Web/Mail/DNS,千兆鏈路,公安部新辦公大樓局域網(wǎng),GE,2GE,GE,GE,GE,GE,公安部一級(jí)網(wǎng),核心交換機(jī),CAMS認(rèn)證服務(wù)器,62,網(wǎng)絡(luò)接入層,網(wǎng)絡(luò)管理層,S8512,S8512,10GE,CAMS用戶認(rèn)證平臺(tái),網(wǎng)管中心,Web/Mail/DNS,GE,最高人民檢察院新辦公大樓局域網(wǎng),檢察院一級(jí)網(wǎng),網(wǎng)絡(luò)核心層,2#配線間,3#配線間,4#配