第二章政务外网网络建设方案
2.1.
2.1.1. 总体设计方案组网原则
按照国家信息中心、XX 省信息中心下发的电子政务外网建设相关技术规范,结合基于对国家电子政务外网项目的理解,在本次网络设计时遵循以下基本建网原则:
1、网络设计标准化
本项目网络设计所采用的组网技术和设备应符合国际标准、
系统的扩展升级及与其他网络系统的互联提供基础。
2、组网技术的先进性和成熟性
本项目网络建设应适应网络自身的发展特点及网络通信技术的更新换代,在网络结构设计、网络配臵、网络管理方式等方面应具有一定的先进性和前瞻性,同时又是成熟、实用的技术,尽量避免技术风险。
3、高度的网络安全性
提供完备的安全防护策略,能防止对网络资源的非法访问,保护网络使用者的合法利益。
4、高度的网络可靠性
网络设计应能有效地避免单点故障(设备、线路),在设备的选择和关键设备互连时,应
另一方面要保证网络能在最短时国家标准和业界标准,为网络提供充分的冗余备份,一方面最大限度地减少故障的可能性,
间内修复。
5、多业务统一网络平台
建设一个开放的网络平台,支持多种业务的同时传输,如支持语音、视频等多媒体业务服务。
6、良好的扩展能力
能够根据未来业务的增长和变化,平滑的扩充和升级现有的网络覆盖范围,
和提高网络的各层次节点的功能,最大程度的减少对网络架构和现有设备的调整。扩大网络容量
7、良好的管理能力
在网络设计中,须建立有效的网络管理解决方案。能够实现监控、监测整个网络的运行情况,合理分配网络资源、动态配臵网络负载、可以迅速确定网络故障等。通过先进的管理策略、管理工具提高网络的运行性能、可靠性,简化网络的维护工作。
8、突出应用,强化服务。
立足我省实际,结合政府职能转变和管理体制改革,
出应用,务求实效。
9、经济性和实用性。
建设原则都以实际需求为出发点,以满足网络应用需求和适应一定时间内的发展规划为原则。紧扣政府业务和社会公众的需求,突
2.1.2. 线路选型
组建网络考虑的技术主要包括网络通信协议的选择和网络通信线路的选择。针对通信线
路,针对XX 市电子政务外网的建设,全网通信线路均采用运营商提供的裸光纤资源,从而保证高速的数据传输性能,以及数据的安全传输的需求。
2.1.3. 技术选型
组建网络考虑的技术主要包括网络通信协议的选择和网络通信线路的选择。针对通信协
议,目前TCP/IP协议已经成为组建互联网和政务网络事实上的标准,因此XX 市电子政务外网网络建设采用TCP/IP协议为网络的基础协议,凭借TCP/IP技术的开放性来提供网络业务的灵活性支持;采用MPLS VPN 技术来支持用户的安全性、QOS 以及SLA ;同时IP 协议有版本4(v4)和版本6(v6)之分。目前绝大多数网络都在使用IPv4,但随着IPv4地址资源的减少,必须
IPv4协议,同时为考虑向IPv6过渡。在一期工程中,参照当前网络设计的主流趋势,应采用
了适应网络向IPv6过渡的发展趋势,在总体方案和某些关键设备上对两种协议的兼容应有所考虑。保证整个网络能够顺利平滑升级至IPv6阶段。
2.1.4. 建设目标
结合XX 省和XX 市实际情况,整合现有资源,推在国家电子政务外网统一规划和指导下,
进电子政务外网建设;以先进适用为技术功能出发点,建设政务外网,使之具备网络传输、综合应用支撑、管理服务和安全保障等功能,为各级政府部门开展电子政务业务应用提供网络支撑和相关应用服务保障;支持重点业务应用系统资源整合,实现跨部门、跨地区的网上业务协作和信息资源共享;满足XX 市各级政务部门行业内部协同办公的需要和面向社会服务的需要,促进政府监管能力和服务水平的提高。
2.1.5. 建设内容
XX 市电子政务外网由负责整个城域网数据高速转发、路由的骨干网络及各级党委、人大、政府、政协、法院、检察院的接入网络组成,主要用于满足各级政府部门社会管理、公众服务等面向社会服务的需要。政务外网被定性为非涉密网络,同政务内网物理隔离,同互联网逻辑隔离。
XX 市电子政务外网的建设内容,可以划分为电子政务外网骨干网络部分、各委办单位接入网部分、数据中心部分、互联网接入区域、上联区域等五个功能模块。
网络骨干区域主要包含XX 市电子政务外网的核心设备以及分布在市政府、金宝花园、光
XX 市电子政务外网的数据高速转发,以及电子政务外网华大厦等的汇聚设备组成,负责整个
59网段的地址路由转发。
各个委办单位接入网主要为各个单位提供线路接入服务,
的私有地址转换为在骨干网上传输的59段专用地址。通过NAT 功能,将委办单位内部
数据中心为整个电子政务外网重要数据的集中存储中心以及整个外网的综合管理中心,
虑到数据安全,数据中心建立一个灾备中心。
互联网接入区域,作为整个XX 市电子政务外网所有用户访问互联网的统一出口,并在出考口区域部署流控设备,对于内部各种应用的带宽进行合理控制;此外在出口区域的DMZ 区域,
建立XX 市政府的统一的对外门户网站,为了保证门户网站的安全,在门户网站服务器前部署网站应用防火墙设备。
上联区域主要提供XX 市电子政务外网到省紧急信息中心的互联互通。
2.2.
2.2.1. 项目建设方案网络业务模型
在按照国家政务外网统一规划,根据国家政务外网所承载的业务和系统服务的类型不同,
逻辑上,XX 市政务外网接入划分为公用网络区、专用网络区和互联网接入区三个功能区域,
各个区之间安全逻辑隔离,分别提供政务外网互联互通业务,专用VPN 业务和互联网业务。政务外网网络业务模型如下图:
1.公用网络区:即采用国家政务外网注册地址(59.201.0.0/24-59.201.7.0/24)的网络区域,是国家政务外网的主干道,实现省内各部门、各地区互联互通,为跨地区、跨部门的业务应用提供支撑平台。
2.专用网络区:是依托国家政务外网基础设施,开辟为有特定需求的部门或业务设臵的
VPN 网络区域,主要满足部门纵向业务的需要,实现不同部门之间的业务隔离,用于满足部门特殊需求。该区域主要采用私有地址,在骨干网上采取标签进行数据传输。
3.互联网接入区:是各级政务部门通过逻辑隔离手段安全接入互联网的网络区域,满足
各级政务部门利用互联网的需要。在互联网接入区,要求采取综合的安全防护措施,对互联网接入提供安全防护。按照国家统一的安全策略,分级接入互联网,提供互联网业务服务。各地政务外网自行出口,采取NAT 技术,通过静态路由连接本地互联网。原则上,国家政务外网骨干网不提供互联网业务路由。
XX 市政务外网构建市级政府单位、委办局的互联网安全接入平台,通过数字证书认证和
密码技术,实现各级政务部门移动办公的公务人员利用互联网通道,安全接入国家政务外网,访问指定的业务应用系统和政务外网门户。
2.2.2. 网络总体架构
XX 市电子政务外网总体网络架构采用具备高扩展性的双星型架构。
电子政务外网骨干区域包含核心层和汇聚层;核心层采用
高性能模块化路由交换机2台XX 网络面向十万兆平台的RG S8614设备,作为外网的核心设备;在市政府、金宝花园、光华
2台XX 网络面向十万兆平台的高性能模块化路由交换机
10G 线路上大厦等六个移动汇聚机房,分别部署RG S7806设备,作为外网的汇聚节点;双汇聚设备通过运营商单模裸纤线路,双
联到两台核心设备;
电子政务内网各个政府单位、委办局的接入区域建设,本方案只为需要接入电子政务内网的单位提供1台XX 网络模块化路由交换一体化路由设备
在该方案设计范围内。接入路由器RSR20-24,接入单位内部网络设计不RSR20-24通过两台千兆光纤分别上联汇聚交换机,从而构成“双核心——双汇聚——双链路”的高稳定架构,任何一台核心或任何一台汇聚交换机、甚至任何一根光纤中断服务,网络都会始终保持通畅。
电子政务外网数据中心为XX 市各个政务单位、委办部门提供几种的数据存储,考虑到数据中心涉及到的数据将包含审计、公务员信息、各个区学籍信息等重要数据,因此,建议建立
数据灾备中心,为数据提供高速、高安全的数据存储;数据中心、数据灾备中心均采用双
线路与核心互联。
电子政务外网互联网区域主要为外网用户提供互联网访问服务。出口区域部署
络万兆平台的专业流量控制设备10G 2台XX 网WEB RG ACE3000设备,该设备作为外网流量控制、用户日志、重定向功能;部署2台XX 网络万兆专用出口引擎RG NPE60设备,作为各政府单位私有地址到互联网共有地址的NAT 转换设备;部署2台XX 全千兆防火墙RG wall 1600,在出口区域的DMZ 区域,部署外网统一门户网站等服务器,
部署XX 网络全千兆网站防篡改硬件
电子政务外网上联区域,利用为了防止政府网站被恶意篡改的风险,在服务器前端RG W G3000;出口区域设备与核心采用千兆单模光纤互联。XX 省统一下发的路由设备,与省信息中心互联,从而连通XX 市电子政务外网和省级、国家级电子政务外网。
整体网络架构如下图所示:
2.2.3. 网络分层设计
XX 市电子政务外网划分为:外XX 市电子政务外网案按照自顶向下、分层设计的理念,将
网骨干区域、委办单位接入区域、互联网接入区域、数据中心区域、上联区域五个部分,本章节对于电子政务外网的五个主要部分,进行详细介绍。
2.2.3.1. 外网骨干区域
RG S8614和S7806设备作为核心设
1786Mpps/1190Mpps,性能上完全满足骨干区域采用XX 网络面向十万兆平台的路由交换设备备和汇聚设备。核心设备、汇聚设备二三层包转发率为
XX 市电子政务外网的要求。
安全设计上:在核心设备RG S8614A/B上分别配臵高性能防火墙模块1块,利用虚拟防火墙技术,隔离来自于各个汇聚节点的网络攻击,保证电子政务外网的整体安全、稳定,避免某个汇聚节点下出现病毒爆发,影响整个园区网络的安全。
此外,核心/汇聚设备需具备先进的安全体系,集成了硬件的
动下发等先进技术,避免了病毒攻击爆发导致设备CPU 保护技术、安全策略自CPU 利用率过高而导致设备宕机的情况,并
确保电子政务外网骨干区域的的高安根据预定策略,对于发生的安全事件进行相关策略下发,
全、高可靠性。
安全检测
NFPP ,基础网络保护策略
? 基于网络威胁的安全处
理模式
? 自动发现并解决安全攻
击攻击警告检测
自动下发策略隔离
攻击
直观的骨干网络:核心设备RG S8614A/B配臵IPFIX 流量控制板卡,结合XX 关键业务运行管理中心RILL 系统,可直观的将网络内部流量情况进行图形化的呈现,让网络真正的可感知。
2.2.3.2. 委办单位接入区域
XX 市政府单位以及各委办厅局接入方式较为简单,本次外网方案规划,为每个接入单位提供一台RSR20-24,该设备性能为300Kpps 的包转发性能,完全满足一般单位的接入需求;考虑到很多单位已经建成了自己的内部局域网,为了便于接入外网的单位的接入,其内部网络地址不需要重新规划,在出口的路由设备上,进行NAT 地址转换,将各个接入单位的私有地址转换为59段地址。
此外,智能交通信息平台系统也将接入XX 市电子政务外网,对于该套系统的每个接入点,本次方案设计,将每个路由的高清IP 摄像头,作为一个接入单位,通过路由器RSR20-24接入
电子政务外网骨干传输网络。
2.2.3.3. 上联区域
上联区域路由设备为省统一下发设备,该路由设备与核心交换机互连,建议通过在该路
由设备上配臵静态路由即可实现
当然,也可以通过对于市级外网XX 市电子政务外网与省级、国家级电子政务外网的互联互通;OSPF 区域的适当调整,未来,将XX 市电子政务外网作为省政务外网的一个区域接入,实现互连互通。
2.2.3.4. 互联网接入区域
电子政务互联网出口接入区域是整个电子政务外网各个单位用户访问互联网的统一出口。
外网出口设备采用全千兆高性能防火墙
和电子政务外网的内部网络;RG Wall 1600作为出口的安全隔离设备,隔离互联网
在防火墙的DMZ 区域,部署政府统一门户网站,为了保证网站的安全,防止被恶意篡改,门户网站前部署XX 网络应用防火墙WG3000。XXWebGuaRD 基于对HTTP/HTTPS流量内容的双向检测分析,识别检测各类Web 编码、交互技术、URL 参数以及表单输入等,为Web 应用提供实时、动态的主动性防护。防止网页内容被篡改,防止网站数据库内容泄露,防止口令被突破,防止系统管理员权限被窃取,防止网站被挂马和植入病毒、恶意代码、间谍软件等,防止用户
输入信息的泄露,防止账号失窃,防SQL 注入,防XSS 攻击等。确保Web 应用安全的最大化。
RG N PE60,作为59段地址到互联网公网地互联网接入区域采用专用的万兆出口引擎设备
址的NAT 二次转换设备,此外,该设备具备负载均衡功能,可作为互联网接入区的负载均衡设备。
全路径健康检查,精确判断用户的链路健康状况
路由可用性及链路带宽
锐捷就近性算法,保证出流量的最优化选择,让用户得到最佳的访问体验
确保整个连接的可用性透明Ping 到目标设备
算法1、带宽+时延+负载
内部PC
NPE
200 ms
Link choose=ISP1
250 ms
350 ms
算法2、线路带宽占比
此外,为了提升政务外网的利用效率,为用户提供便捷,安全的接入服务,建议在出口区域可以部署XX 网络全千兆高端IPSec VPN设备RG
Wall
V1600E,结合
XX 网络应用安全域方案,用户通过VPN接入电子政务外网后,系统可以根据远程用户的用户名、密码,核实用户身份以及用户访问权限,然后对该用户开放相应权限的资源,而其他资源,不允许其访问,如该用户归属于审计局,则该用户远程拨入后,是归属于审计系统的MPLS
VPN网络的,只能访问公共资源和审计系统相关资源,从而确保远程接入的安全性。互联网接入区域详细拓扑结构详见下图:
2.2.3.5. 数据中心区域
一部分为专业的存储设
数据中心包含2个部分,一部分为电子政务外网的综合管理平台,备,对于外网数据进行集中存储。
电子政务的综合管理平台包含了基于业务应用系统的实现对网络和业务应用系统的集中智能管理,最关键的资源的维护和保障中,切实降低复杂
RIIL-BMC 关键业务运行管理中心;
可以让有限的IT 运维人员精力和IT 预算投入到IT 环境的管理难度,更轻松地把握支撑关键业
提升用户满意度。
务的网络和系统的运行状态,并不断提升关键业务系统的运行服务质量水平,
XX 网络RILL-BMC 系统,关键业务为单位管理基础关的资源池,可根据业务资源对象之间的逻辑依赖关系,关联和业务逻辑关联关系,进行图形化的事件传播显示。
IP 资源,图形化关联业务系统及其相生成资源层间依赖视图;可根据拓扑
此外,电子政务外网综合管理平台还包括日志系统和流量管理系统;日志系统主要利用RG ACE3000设备和RG Elog 设备实现。结合XX 认证系统,可实现定位到“何人、使用何帐号、在那个计入设备上、访问了那个具体的
URL 、访问的校内还是校外资源、访问具体时间、具体
82号令的要求。
流量、PC 的IP MAC等详细信息,符合公安部
电子政务外网综合管理平台还具备丰富的流量控制功能,通过在核心设备臵流控控制板卡,利用国际流量监控标准
IPFIX (IP Flow Information ExpoRT
RG-S8614上配)技术,实现
流量控制功能。IPFIX 多业务模块采用高性能的NP 平台,支持万兆业务流量的监控。
结合XX 流量分析系统,IPFIX 技术可以对对网络中的所有流量进行统计分析和异常检测,输出各种丰富的网络流量分析报表,包括:流量使用报表、历史报表、接口报表、可解析的主机地址、流量分析、变量显示等信息,能够帮助管理员在网络异常行为发生时快速分析出网络中存在的问题,为网络容量规划、网络应用监控以及故障诊断等提供客观准确的决策依据,现真正的网络流量可视化。
实
存储区域部分的存储设备为整个电子政务外网重要数据的集中存储中心,考虑到数据安全,数据中心建立一个灾备中心。
存储区域数据传输设备部分,考虑到服务器数量巨大,如采用盒式设备,需要部署多台,不利于管理,且存在性能瓶颈,因此部署高性能模块化路由交换机提供双10G 线路到核心交换机的高速、高可靠性。
此外,数据中心两台
S7806高性能交换机作为
MCE 设备,将归属不同部门的服务器通过
MPLS VPN的PE 设备,核心交
XX 网络RG S7806 两台,
RG S8614,提供高速冗余的物理链路,确保数据中心数据传输
MPLS VPN技术,与各个部委的VPN 网络相对应。核心设备作为
换机S8614同时兼具路由放射器RR 的作用。考虑到数据中心的安全保障,部署两台XX 网络千兆入侵检测设备
IDS 2000,并配合软件平台,对于网络内的安全事件,进行分析,使数据中
心安全事件可感知,为用户提供网络优化的可量化数据依据。数据中心详细拓扑图下图所示:
2.3.
2.3.1.
方案详细设计
IP 地址规划
1、IP 地址分配原则
IP 地址的合理规划是网络设计中的重要一环,大型计算机网络必须对IP地址进行统一规划并得到实施。IP 地址规划的好坏,影响到网络路由协议算法的效率,影响到网络的性能、网络的扩展和网络的管理。
IP 地址空间分配,要与网络拓扑层次结构相适应,既要有效地利用地址空间,又要体现出网络的可扩展性和灵活性,同时能满足路由协议的要求,以便于网络中的路由聚类,减少路由器中路由表的长度,减少对路由器
CPU 、内存的消耗,提高路由算法的效率,加快路由变化
的收敛速度,同时还要考虑到网络地址的可管理性。具体分配时要遵循以下原则:
1)唯一性:一个IP 网络中不能有两个主机采用相同的IP 地址。
2)连续性:简化路由选择,充分利用地址空间,最大限度地实现地址连续性,并兼顾今后网络发展,便于业务管理,提高网络的总体性能。
3)可扩展性:充分考虑网络未来发展的需求,坚持统一规划、长远考虑、分片分块分配的原则。地址分配在每一层次上都要留有余量,连续性。
4)规范性:严格按照IP 地址分配原则进行IP 地址的规划及项目实施。5)标准化和灵活性:充分利用标准化的无类别域间路由(VLSM)技术,合理、高效、充分地使用
IP 地址空间。
(CIDR)技术和可变长子网掩码
在网络规模扩大时能保证地址空间汇总所需的
6)层次性:IP 地址划分的层次性应体现出网络结构的层次性。7)可管理性:为便于网络设备的统一管理,分配一段独立的和loopback 地址。
2、IP 地址分配规划
本次网络设计IP 地址分为3类,第一类是电子政务外网全网可路由的
59段公网地址,
IP 地址段做网络互连地址
该类地址作用有二:其一,为与省、国家级电子政务外网进行业务的互联互通地址;其二,该段地址在整个电子政务外网互联网接入区域设备
NPE 60上,进行二次NAT 转换,转换为互联
-320系统专用IP
网公网地址,为各个单位提供互联网接入服务;第二类为智能交通信息平台地址,该类地址实现各个路口高清
IP 摄像头数据与各分级数据中心以及市数据中心互联互通
使用;第三类为XX 市电子政务网上的各个单位市-区/县两级MPLS VPN内部传输的私有地址。
对于第一类地址,目前,国家电子政务外网统一采用国家信息中心从中国电信申请的公网地址段,已申请的地址段
59.192.0.0--
59.255.255.255(/10)作为全网通信用地址,其中
XX 市电子政务外网分配的地址段为59.201.0.0/24-59.201.7.0/24。
1)XX 市IP 地址按照市-区的二层体系结构分配。市网地址段包括市信息中心平台地址段和市直厅局系统业务地址段。其中市信息中心平台地址段包括网络设备管理地址、
互联地址
和平台地址;区网地址段包括区管理中心平台地址、区直单位系统业务地址。
具体分层结构如下表所示:地址类型
市网网络设备管理
市信息管理平台地址段
地址市网网络设备互联地址平台地址
市直厅局系统业务地址
段区网地址段
59.201.5.0/24 59.201.6.0/24-59.20
备用地址段
1.7.0/24
对于第二类地址-智能交通信息平台-320系统IP 地址,建议根据高清IP 摄像头的数量,选择10.0.0.0/8、172.16.0.0-172.31.0.0/16
、192.168.0.0/24
的私有地址,作为该系统的备用2个C 类地址
59.201.3.0/24-59.201.4.0/24
使用2个C 类地址
59.201.2.0/24
使用1个C 类地址
59.201.1.0/24
使用1个C 类地址
分配IP 地址范围59.201.0.0/24
备份IP 地址范围
地址数量
使用1个C 类地址
专用地址;该套地址的分配遵循本章的分配详表,此处不详细列出。
IP 地址分配原则,具体IP 地址分配,参照59地址的
对于第三类地址-MPLS VPN内的私有地址,该部分由各个市划,该部分IP 地址规划,不在本方案设计范围内。
-区/县两级纵向单位自行规
2.3.2. 外网详细路由设计
对一个大型网络来说,路由协议对网络的稳定高效运行、网络在拓扑变化时的快速收敛、网络带宽的充分有效利用、网络在故障时的快速恢复、网络的灵活扩展具有重要影响;同时对于网络承载业务的控制方面具有重要影响。
路由协议的选择基本遵循以下原则:
1)管理上层次分明,局部的变动不影响上层路由配臵和全局路由配臵。2)技术上应尽量简单、灵活,以提高路由器的处理效率。3)能够反映出整个网络的层次结构,并与自治域、各结点子网的
IP 地址分配相结合,
做到合理的路由聚合,减少路由表的长度,减轻路由更新给网络带来的负荷。
XX 市政务外网路由器的管理地址和政务外网内部地址的路由由
IGP 承载;根据国家政务
外网的设计原则,XX 市政务外网IGP 采用标准协议OSPF 。由于XX 市政务外网设备数量较多,为了保证整外网的性能,以及区域的管理简洁性,需要对OSPF 进行分域规划,考虑到XX 市政务外网的实际情况和未来扩容的需要,
每个汇聚节点下联单位划分一个子域。
每个汇聚节点的
2台汇聚设备RG S7806作为区域边界路由器(ABR ),完成汇聚层网络到核心层网络的路由交换和汇总。
OSPF 的区域概念是基于路由器接口的,因此将
XX 市政务外网省本级中心的核心设备
RGS8614上的所有接口,以及6个汇聚加点的12台汇聚设备RG S7806的上联口划分到一个AREA 0中。
XX 市政务外网本级中心所挂接的各种业务划分到各汇聚节点汇聚交换机以下挂的网络划分到非
AREA 1中。
0 区域,区域号码可根据实际情况进行分
配,建议AREA 号码分配如下表所示:AREA
描述
XX 市电子政务外网骨干0
域
XX 市政务外外网本级中1
心
汇聚S7806下联端口与委办单位接入路由
10
市政府汇聚节点
口
汇聚S7806下联端口与委办单位接入路由
20
金宝花园汇聚节点
口
汇聚S7806下联端口与委办单位接入路由
30
光华大厦汇聚节点
口
应天西路综合楼汇聚节40
点
口
汇聚S7806下联端口与委办单位接入路由
50
虎踞路综合楼汇聚节点
口
汇聚S7806下联端口与委办单位接入路由
60
徐庄综合楼汇聚节点
口
RSR 20-24上联端RSR 20-24上联端
汇聚S7806下联端口与委办单位接入路由
RSR 20-24上联端RSR 20-24上联端RSR 20-24上联端RSR 20-24上联端
外网中心服务器区、本地局域网等
核心RG S8614A/B所有端口,汇聚RG S7806上联端口
备注
2.3.3. 与省政务外网对接设计
OSPF 路由协议,后期与XX 省电子政务外网的互联有
XX 市电子政务外网内部采用标准的
多种方式可选。第一种方式,可选用OSPF 与XX 省电子政务外网互联互通,但考虑到省级电子政务外网建设时,IGP 协议亦采用OSPF 协议,因此需要对于XX 市电子政务外网的区域进行适当调整,将XX 市电子政务外网作为全省电子政务外网的一个
OSPF 区域接入省级电子政务外网,
该种方式调整工作量较大;第二种方式,可通过在上联区域上通过静态路由的方式,将电子政务外网的路由信息重发布到省电子政务外网,
XX 市
该种方式配臵灵活,对于市电子政务外网
的改动最小,因此,建议后期采用该种方式,接入省级电子政务外网。
2.3.4. 域名规划与管理
. ”连接
1、市政务外网分别采用独立的四级域名系统,域名由根域和若干个子域名用“而成,采用nj.js.cegn.cn
作为XX 市网根域名,采用njXX.js.cegn.cn
作为各市直部委单位
使用市
的门户网站的根域名,区县不设域名解析,其web 业务归入到所属市直单位门户网站,直部门的门户网站进行信息发布。
2、对于政务外网中已建自有网络的,可以暂时采用现有域名,然后逐步过渡到统一的域名规范中。
3、各级网络的子域名由英文字母(大小写等价)、数字(0—9)和连接符(-)组合而成。4、域名的范围应以4-5段为主,原则上不超过务外网XX 省XX 市审计系统的域名。
5、XX 市政务外网管理中心负责统一规划命名市网四级根域名,析。即省信息中心对njXX.js.cegn.cn 心nj.js.cegn.cn
nj.js.cegn.cn
由省信息中心中心统一解
5段。如:“njsj.js.cegn.cn
”为电子政
根域进行管理,XX 市政务外网管理中心分别对本市的
DNS 均向对应的政务外网管理中
根域进行管理,所有单位的四级域名及四级或者XX.js.cegn.cn
进行注册。
6、XX 市电子政务外网规划命名实例见下表:
各市名称市属鼓楼区审计局
Nj.js.cegn.cn njgl.js.cegn.cn Njsj.js.cegn.cn
三级根域名
2.4.
2.4.1.
MPLS VPN业务规划
MPLS VPN需求和规划要点
Label Switching:
多协议标签交换)技术是在开放的通信网上利
MPLS 技术将第二层交换和第三层的路由
MPLS 使网
MPLS (Multiprotocol
用定长标签进行数据高速传输和交换的网络新技术。
技术很好地结合起来,以十分简洁、高效的方式完成信息的传送。更为重要的是,络能提供传统IP 网络不能或很难提供的各种增值服务,程服务、IP QoS服务等。
例如MPLS 所提供的VPN 服务、流量工
在MPLS 网上提供和基于帧中继、ATM PVC的第二层VPN 相同安全级别的虚拟专用网,能达到第二层PVC 所具有的专有性、安全性和数据传输的高速性,而性、易管理性和适应性则是当前其他基于
MPLS VPN的灵活性、扩展
PVC 或隧道技术的VPN 所无法比拟的。MPLS VPN在
ACL ,各VPN 之间都是不可见的,骨干
第三层路由上对各VPN 进行了隔离,无需访问控制列表网对于客户网络(某个
VPN 内部)也是不可见的。所以,MPLS 充分保证了在多个业务系统共
用IP 骨干网情况下的相互有效隔离。MPLS 最初是为服务供应商网络所创立的技术,今天,很多企业或政府机构的网络也需要解决和服务供应商网络类似的需求和问题。政府机构的
IP 骨
干网正从过去低带宽、重复分离的物理网络向宽带化、一体化方向发展,一个高效的、智能的、集成的网络是政府网络发展的方向。同样地,
XX 市政务外网要能安全、高效地整合各业务专
XX 市
网,同时应对各种公共业务、语音传送、视频服务多业务应用不断增长的需求,就要求政务外网平台必须能够将它们按照各自的特性和要求正确地传送,提供安全隔离和区别服务。先进、成熟的MPLS/VPN技术是XX 市电子政务外网纵向系统建设的有效解决方案。
对XX 市电子政务外网而言,需要重点实现两个方面的需求:
l 、安全隔离:一方面要保证各业务系统逻辑网络的相对独立性,以满足不同业务系统对安全性、服务质量、管理、拓朴结构的要求;
2、受控互访:另一方面,各业务系统之间的流程整合又需要提供相互访问的途径,而且要保证访问的安全性。
XX 市电子政务外网部署MPLS VPN要考虑以下几点:1、可靠性和稳定性
目前MPLS VPN技术主要分成L3 MPLS VPN、L2 MPLS VPN(包括VPLS (虚拟私有局域网服务))两大类。其中L3 MPLS VPN 技术发展较早,其核心部分已经标准化是通过多协议BGP 来实现的,所以通常也叫做技术不仅已经广泛应用于电信运营商和
, 由于它的信令控制
MPLS/BGP VPN ,或BGP/MPLS VPN 。MPLS/BGP VPN
ISP ,而且也广泛应用于电力行业,政府行业(包括各
省的政务内网和政务外网),金融行业,大型企业等行业用户。其技术和产品都较为成熟,稳定。所以XX 市电子政务外网宜选用MPLS/BGP VPN作为主流的MPLS VPN技术。
2、扩展性
由于国家电子政务外网将每个省(含副省级)规划为单独的自治域(Autonomous S ystem )。所以,要想实现各个厅局的垂直纵向网从中央延伸到省、市、县区,除省里必需解决治域的问题外,还需要市与省进行对接。
3、业务多样性
XX 市电子政务外网作为一个向政府部门提供网络服务的平台,不仅要提供基本
MPLS VPN VPN 跨自
业务。还要提供多样化的业务种类,以满足不同政府部门的多样化要求。比如,有的厅局需要在自己的VPN 内部根据自己不同的业务部门或者不同的业务种类再自行划分内部的种内部VPN 的划分和管理应该完全属于这个厅局自己,以,这个网络需要支持
MPLS VPN的层次化能力。
VPN ,而这
而不需要对全网VPN 规划产生影响。所
4、VPN 业务的高品质保证
针对语音、视频、多媒体通信等实时性要求比较严格的业务,服务能否提供类似专线一样的服务质量保证也是非常重要的,端的QOS 。
5、设备实现MPLS VPN的性能考虑前面只是考虑了
MPLS VPN部署时的业务特性,而在一个实际的生产网络里。设备实现
XX 市电子政务外网的VPN
这就要求在整个网络中部署端到
MPLS VPN的性能如何至关重要。
6、可维护性和可管理性
对于MPLS VPN的管理首先确定管理界面。在电信运营商网络,
PE 和CE 是服务提供商和
PE 设备。但是在电子PE 设备,还要维护和
用户之间的管理界面,用户维护和管理CE 设备,服务提供商维护和管理政务外网中,由于行业的特点,政务外网服务提供商不仅要维护和管理管理CE 设备。如何解决同时对PE 和CE 设备的管理是必需考虑的问题。
2.4.2. MPLS VPN总体规划
XX 市电子政务外网的MPLS VPN业务将按以下设计进行规划。
综合前面的需求分析,在
采用MPLS BGP VPN作为实现基本MPLS VPN业务的技术路线,包括支持各委办局建立的垂直纵向网络(含实现跨自治域VPN 等;
采用上层PE 的缺省路由下发到下层
PE 的技术实现VPN 路由的层次化;
VPN 需求。
MPLS VPN
VPN 访问)、各委办局之间的可控的横向互通访问、互联网访问
采用VPDN+PE技术或同等功能效果的技术满足移动用户拨入采用MPE 技术或同等功能效果的业务的统一管理。
XX 市电子政务外网MPLS VPN总体规划如下图所示:
MPLS VPN 网络管理技术实现网管中心对全网
XX 市电子政务外网省网MPLS VPN规划拓扑图
MPLS VPN 由三类设备组成:PE ,P (可视实际组网情况部署)和
CE 。VPN 的划分和维护全
部在PE 设备上进行,P 设备只运行IGP 协议、LDP 协议(或RSVP 扩展)、BGP 协议(可视实际组网情况部署),不会运行MP-BGP 协议,不会感知VPN 的存在。CE 设备上负责VPN 业务落地,也不会感知VPN 的存在。
在XX 市MPLS VPN的规划中,主要有三类MPLS VPN:
1、纵向VPN ,主要用于承载部门内部的纵向应用系统,在满足省通之外,还有与国家部委
VPN 网络进行对接的需求;
-市-县的纵向VPN 互
2、横向VPN ,主要满足同级机构跨部门的数据访问需求;
3、互联网VPN ,XX 市电子政务外网为市级各厅局提供统一的互联网出口服务。作为XX 市电子政务外网中一个特殊的
VPN ,与政务外网相隔离。
互联网
2.4.3. VPN 路由设计
1、IGP 的实施
XX 市政务外网IGP 实施采用了OSPF ,考虑到今后可能新增其它业务和区域,因此在路由设计时考虑到了对OSPF 进行多区域划分。
鉴于PE 路由器上会邻接大量的不同路由,CE 的客户路由的稳定性有可能对隔离和稳定性可能不象
VPN 客户的CE 路由器,而且其中相当部分会启用动态PE 的路由器的路由进程的稳定性造成影响。
VPN 路由
P 路由器一样稳定(主要要考虑CE 带来的影响)。为了防止PE 路由器
IGP 区域内,即
的稳定性问题对全网IGP 路由造成影响,所有PE 路由器放在单独的政务外网所有的PE 都放在OSPF 的AREA 0区域内。
2、PE 与CE 间路由实施MPLS VPN的网络包含了大量的
Rc 边缘路由设备。所有PE 都可以直接接入部委的
POS 、E1、以太网等。在这些业务接口上,
VPN 客PE 需要
户,通过PE 上的多种类型的业务接口,如
同CE (客户路由器)建立路由邻接关系,路由协议的实施选择如下:
对于普通的VPN 客户,PE 与CE 间一般采用静态路由即可满足要求。对于较大的VPN 客户,PE 与CE 间可启动动态路由,以满足需要,双方可以通过动态路由协议交换彼此的网络地址段的变化,臵路由进行调整。
PE 需要同CE (客户路由器)建立路由邻接关系时,考虑容如下:
PE 只接受本VPN (VRF )内的路由网络地址段,通过路由策略图及路由过滤在控制。
3、MP-BGP 的实施命名规则
各机构VPN 客户VRF 命名规则:采用6大机构名称拼音全称+分机构拼音全称,字拼音第一个字母大写。例如政府中审计机构
VPN 为 ZhengFu_ShenJi。
RD 值的格式:16位自治系统号:32位用户自定义
PE 上实施来
VPN 网络安全方面的进行实施内VPN 客户网络的变化和发展的而无需网络管理人员手工配
XX 市电子政务外网工程中采用采用如下
数字。由于RD 与VRF 相捆绑,即PE 设备上每个VRF 表中的所有VPN-IPv4路由将使用同一个RD 值,RD 值保证了VPN-IPv4路由在PE 设备上的唯一性,所以必须全局统一分配。RT 命名规则和RD 相同。
各机构VPN 客户的RD 命名规则采用ASN :nn 方式命名。其中管理Internet VPN,RD 命名采用预留的2号。
市政务外网VPN RD、RT 规划
VPN 名称
站点NOC
RD ASN:1
Export RT ASN:1
Import RT ASN:100 ......
管理VPN
各委办局
ASN:100 ......ASN:20000
委办局1
委办局VPN 互联网VPN
PE 为每个VPN 设定一个虚路由转发表VRF ,用来保存VPN 用户的路由表,使VPN 之间被隔离。为VRF 使用标准传统命名方式如用户VPN 用户的信息。
PE 中VRF 数量配臵综合考虑到路由器的能力、用户路由数量以及由协议。VRF 在单台路由设备上尽量控制更少的数量,
4、MPLS VPN RR路由策略实施
PE-CE 连接所使用的路
ID 和接口名称,一般反映服务提供者、业务性质、
……
ASN:110-199
……
ASN:100 ......ASN:20000 ASN:110-199
……
ASN:110-199
……ASN:20000 ASN:1 VPN 采用1号,对于
VPN 客户
委办局100 ASN:10010-10099 ASN:10010-10099 ASN:10010-10099 互联网
ASN:2
ASN:2
ASN:2
按需设臵,未使用到的VRF 不做预设臵。
XX 市电子政务外网平台MPLS VPN技术实现多业务的接入。本规划建议XX 市电子政务外
网平台部署BGP/MPLS VPN来实现上述VPN 业务。
VPN 的划分原则上按照每个联网部门划分纵向VPN ,以实现各个联网部门之间的纵向隔离。
MP-BGP 主要用于传递VPN 路由,IBGP 主要用于传递IPv4路由。MP-BGP 同样具有N 平方问题,为了解决这个问题,也必须使用BGP 反射器技术。规划原则与IBGP R R 的规划原则一样,如下:
路由反射器(RR ):
2台主干核心层交换机构成一个
Cluster 。其中主干核心交换机为路由反射器(
RR );反射
VPN ,各个联网部门根据实际需求设臵横向
客户机为其余所有与核心交换机直接相连的主干汇聚层设备;
PE 不收全部VPN 的路由。通过BGP 的ORF 属性,可以使PE 路由器告诉RR 其需求的VPN 路由目标(Route Target),使RR 只传递PE 上相关的VPN 路由,节约PE 的BGP 路由处理能力。
使PE 上能够灵活地删减开放的数量发生变化时,能够及时地向
VPN 。通过BGP 的Refresh 属性,可以使PE 在配臵的VPN
RR 请求BGP 路由的刷新,使全网的VPN 路由保持更新。
2.4.4. 纵向MPLS VPN网络设计
VPN 设
纵向VPN 是指行业系统内部(例如国土、林业、环保等)的虚拟专网。市网的纵向计必须支持与省、国家
MPLS VPN的对接,从而实现国家-省-市-县(区)四级VPN 的贯通。
MPLS VPN,委办局接入端采用VLAN 方式与普通
纵向VPN 设计的基本思路为:骨干网采用
政务外网业务隔离;由省通过MP-EBGP 方式实现国家、省网两个不同AS 自治域间部委纵向MPLS VPN 的对接。
城域网主干核心交换机、主干汇聚交换机作为
PE 设备,MPLS VPN在这些设备上终结。
MCE 设备。
接入委办局使用路由交换一体机作为委办局接入的
2.4.5. 横向MPLS VPN设计
VPN 互访目前主要指数据交换中心和各委办局前臵接入设
XX 市电子政务外网平台的横向
备之间的可控互访,组网示意图如下:
XX 市电子政务外网省网横向VPN 示意图
将需要横向互访的数据交换中心设臵为一个公共访问的EXPORT AS:2),接收所有委办局的前臵接入设备有委办局的前臵接入设备
VPN 并只导出自己的VPN (例:
VPN (例:IMPORT AS:101至AS:6001)。而所
VPN 将只接受公共访问的VPN (例:IMPORT AS:2),并导出自己的VPN
(例:EXPORT AS:101或AS:6001)。
为了部署前臵接入设备
VPN ,需要在每个委办局的CE 设备和城域网的PE 设备之间增加一
个VRF 接口,这个VRF 接口可以是物理接口,也可以是子接口。所有前臵接入设备VPN 和数据交换中心VPN 内的IPv4地址必须保证唯一性,需统一规划。如果各委办局的内部网络需要访问自己的前臵接入设备,可以在每个委办局的
CE 设备上部署针对前臵接入设备的
NAT 。
这样就实现了各委办局的前臵接入设备横向访问的数据交换中心服务器,而各委办局的前
臵接入设备缺省是不能互访的。但是这种不能互访是受控的,在需要互访的时候,仅修改各委办局的前臵接入设备VPN 的导入策略即可。
2.4.6. 互联网VPN 设计
MPLS VPN。对于委办VPN 的服务。互联网
在XX 市省网城域网设计中,互联网为政务外网平台中的一个特殊的局用户来说,市政务外网在提供普通政务外网的服务外,还提供互联网
VPN 提供互联网接入服务,与其他业务逻辑隔离,委办局用户主机可通过该从而节省各自租用运营商访问互联网的专线费用。
VPN 访问互联网,
2.5.
2.5.1. QoS 方案QoS 概述
IP 网络是一种“尽力而为”由于最初IP 协议设计时采用的逐跳的包转发模式,传统的
的服务模型,如果一段网络发生拥塞,后续的IP 包就可能被丢弃了,无法保证一些对时延、
QOS 的概念。
QoS 就是网络单抖动等要求比较高的应用的服务质量。为了解决这个问题,引入了IP QoS的研究目标是有效地为用户提供端到端的服务质量控制或保证。
元(例如,应用程序,主机或路由器)能够在一定级别上确保它的业务流和服务要求得到满足。QoS 并没有创造带宽,只是根据应用程序的需求以及网络状况来管理带宽。
参数,主要包括:
业务可用性:用户到Internet 业务之间连接的可靠性。IP QoS有一套性能
传输延迟:指两个参照点之间发送和接收数据包的时间间隔。
可变延迟:也称为延迟抖动(Jitter
间的时间差异。
吞吐量:网络中发送数据包的速率, 可用平均速率或峰值速率表示。),指在同一条路由上发送的一组数据流中数据包之
丢包率:在网络中传输数据包时丢弃数据包的最高比率。数据包丢失一般是由网络拥塞引起的。
网络的可用性通过可靠性和快速收敛实现, 而其他目标在高性能的网络中主要通过提供充分的带宽实现, 如在网络轻载(利用率小于50%)的情况下, 服务质量非常稳定。
在以轻载为目标设计的网络中
提高带宽利用率
容量规划误差大,提高安全安全系数
避免Dos 、异常流量的影响
网络出现故障时的拥塞
前两个目标有些矛盾,为了提高利用率就要提高平均的利用率和降低容量规划时预留带, 采用QoS 机制的原因在于:
宽的倍数,而这会降低安全系数。因此需要DiffServ ,可以给不同QoS 要求类型的预留不同的倍数的带宽。
2.5.2. IP QoS的差分服务和集成服务
1.集成服务
Inte-serv 的实现目前主要是通过RSVP 信令协议。Inteserv 模式要求在IP 网络中为每
IP 网络中的Flow 数量巨大,交换机
CPU 性能和内存,以目前路由器的性能个Flow 提供独立的QoS ,包括时延、丢包等参数。由于需要为每个Flow 维护一个状态表,就需要耗费极大的
来讲是不现实的,而且随着IP 网络流量和用户的增加,交换机需要处理的Flow 数量将随之增加,也会带来扩展性问题。因此目前在
方案。
2.差分服务
提高IP 网络的服务质量,通常有两种实现方法,一是在全网络或网络瓶颈处实施QoS 技IP 网络中普遍没有采用基于Inter-serv 模式的QoS 术,一是增加网络中各交换节点的交换容量。根据国家外网以及其业务的特点,对部署、省属大客户也可以在骨干网或城域网边缘有计划实施QoS ,保证这类大客户的服务质量。
目前,IETF 推荐的实施IP QoS的模型是基于RFC 2475的差分服务(Differentiated Services ,简称DiffServ )结构。它采用IP 报头中的TOS 字节中的六位来区分不同等级的报,这六位称DSCP ;剩下的两位是显式拥塞标志(
制,避免丢包(目前针对IP ECN ),在两边终端的TCP 层面进行拥塞控ECN 字段的应用还没有得到普及)。
IP QoS的网络设备的行为,也就是对一序列IP 数RFC 2475同时还定义了网络中要实施
据报要采取的一系列动作,包括:分类(Classifier )、条件判断(Conditioner )和队列(Queues )。而在实际的运营网络上,分类和条件判断通常是相结合的,简称标记,它的作用是将不同的数据分类并打上标记,下一级设备往往可以利用上一级设备的标记,
中,通常是在与用户直接连接的设备上进行标记,因此,在一个运营商的网络也称边缘标记。队列是实现等级服务的基本
整个网络才能达到预设的等级手段,网络中的每一台设备都必须支持相同的队列算法和方式,
服务。需要指出的是,IP QoS的实施是针对数据包本身,它需要对双向的出站数据和入站数据都进行处理,是属于数据转发平台的功能。
在网络上全程实施IP QoS,主要的工作包括:定义服务等级;在所有边缘设备上实施边缘标记;所有的网络设备实施相同的队列算法和方式;
参数和计划网络升级。
首先是定义服务等级。在理论上说,最多可以定义64种服务等级。目前IETF 也只是定对所有服务等级进行监控,以改善网络义了其中22种服务等级,包括8种传统服务等级,12种确定转发(AF )服务等级,1种快速转发(EF )服务等级和1种缺省(BE )服务等级。对于常规的互联网业务来说,在开始实施IP QoS的第一阶段,一般先提供3种服务等级:针对低延迟数据的多媒体等级,针对商业用户较为优先的商用等级和缺省等级。随着业务的开展,可以逐渐增加更多的等级。例如,将多媒体等级细分为低带宽的话音等级和高带宽的图象等级;
银、铜等多种服务等级。
定义了服务等级后,就可以将不同用户的数据归入不同的服务等级,或者将一个用户中
不同特性的数据归入不同的服务等级,这个就是边缘标记。边缘标记对入站数据和出站数据都
QPPB ;对出站数据将商用等级根据需要细分为白金、金、可以实施。对入站数据实施标记一般有三种方式:本地定义、用户提供和
实施标记一般是根据服务合约采用本地重臵。
本地定义:采用(子)端口或访问控制列表(ACL )的方式将用户数据进行分类,根
ACL 的话,据服务合约的规定划分到不同的等级并打上标记,或干脆本地丢弃。采用
还可以通过扩展的ACL 来指定某些协议特性的数据,例如所有
包。
用户提供:对于可以信赖的用户,可以允许其先将数据分类并打上标记,
对这些标记进行分类,根据服务合约的规定划分到不同的等级。Voice over IP 的数据运营商通过用户数据的标记可以采用802.1p 、IP Precedence或DSCP ,运营商可以重臵用户数据的标记。对国家外
网的骨干网来说,各地省网和城域网可以采用这种方式。
QPPB :QoS Policy Propagation via BGP,通过BGP 传递QoS 规则。BGP 路由协议在
Community ,边缘路由器可以根据传递路由信息的同时,也传递路由信息的属性
Community 属性设臵QoS Group,并将数据包据此分类,根据服务合约的规定划分到
不同的等级。这种方式尤其适合在Internet 网关上对返回的商用等级数据包进行标
QoS 的大规模实施。记。它通过BGP 动态更新,无须网管人员手工配臵,方便
对网络边缘的设备来说,除了基于以上各种方式来进行分类和标记,还需要对用户数据
根据服务合约来进行速率限制。对违规的数据包进行降级服务,甚至丢弃。这是等级服务的关键。
进行了边缘标记以后,网络中的其它网络设备就可以根据等级标记进行队列处理。一般
来说,一个等级的数据共用一个队列,当然因为产品定位的原因也可以将多个等级的数据共用一个队列。队列调度算法决定了不同队列数据的实际服务效果,修正的轮盘算法(
Deficit Round Robin,简称 MDRR)最适合处理多种队列的情形。Modified MDRR 首先保证低延迟队列
这样,的服务优先于其它队列;在其它队列中,每一个队列可以依次轮流得到定义的服务份额。
每一种队列都可以得到它应得的服务。在网络出现拥塞的时候,队列内的数据溢出就会强制丢
以体现不同等级服务的差别,加权随机早期侦测包。而丢包策略可以在溢出前有选择地丢包,
(Weighted Random Early DiscaRD,简称 WRED)最适合基于TCP 的IP 应用。WRED 监测队列深度,在拥塞发生前通过丢弃特定的报文来警告TCP 发送方降低发送速率,以达到事先降低流
WRED 可以对同一等级的不同标记速以防止网络同时拥塞然后流量急速下降这样的浪涌现象。
的数据流赋予不同加权值,其结果是低优先级的流速度降低的幅度大于高优先级的流。因此,对网络设备来说,在所有的端口上都要实施低延迟队列、
用户的端口。MDRR 和WRED ,包括在边缘设备上对
2.5.3. QoS 设计方案
1.QoS 实施目标
政务外网以链路轻载方式为主、以区分服务(DiffServ) 、快速路由收敛和快速重路由(FRR)等技术为辅实现QoS 保证。高带宽设计满足绝大部分情况下业务流量突发的要求;快速路由收敛和快速重路由(FRR)等技术保证政务外网的可用性和稳定性;区分服务(DiffServ)提
从而供不同等级的服务;满足高等级业务的突发,确保高等级的业务不受低等级业务的影响;
将不同业务放在同一网络上承载,降低相互之间的影响。本文针对DiffServ 提供不同等级的服务质量保证进行设计。
政务外网QoS 的实施以如下目标为原则:
为高等级业务提供的网络性能指标总体上优于低等级的网络性能指标。
合理给予不同的业务类型不同的资源预留倍数。
业务带宽保证:各队列所配臵的带宽要得到保证。绝对优先队列优先使用带宽,
保证其带宽,但该队列应该有最高带宽限制。
速率限制:可以对出方向和入方向的业务流量分别进行限制。
避免Dos/Worm 冲击。
如果资源的预留不能满足网络出现故障时的需要或未来需要提高资源利用率,可以考虑
在资源紧张的地方部署Diffserv TE。
2.业务特征
分析政务外网上主要业务的业务特征,如下表所示:
网络业务及其特征表
类
业务业务特征
别
network 对丢包、时延非常敏感;带宽需求低
路由 & 管理
control
Voice, 对时延、抖动非常敏感;带宽需求低;需要可预
语音、信令等
signaling 计的时延和丢包率
streaming 对时延、抖动较敏感;带宽需求高;需要可预计
视频
video 的时延和丢包率
适合重要VPN 用户, 低丢包、高优先级、3倍带宽
Data 金牌VPN 业务
保证优先
适合次重要VPN 用户, 低丢包、较高优先级、2倍
银牌VPN 业务
带宽保证
铜牌VPN 业务
普通上网业务适合普通VPN 用户,低丢包、1.5倍带宽保证尽力而为(Best effoRT)转发
3.业务等级设计
政府外网按照8个QoS 业务等级设计,初期使用6个,其中5个对外提供业务,1个内部使用,2个预留。语音业务、视频采用最高等级的QoS 保证,确保中继链路的畅通;政府外网提供的基于MPLS 技术二/三层VPN 业务,支持金、银、铜三个等级;普通上网业务属于最低级别。
根据多媒体通信网的设计标准,和长期网络设计的经验,结合政务外网实际情况,建议政务外网业务等级设计如下,将预留的两个标记并入缺省等级转发:
外网业务等级表
各指标说明如下:
本指标参考了ITU-T 的建议,结合端到端的指标分解提出的面向多媒体通信网络端到端性能指标。考虑到低带宽负载情况下,各等级业务性能差异不大,并且难以精确定量分析,此处仅对最高和最低的业务指标进行定义。
50%负载指平均带宽利用率50%,相当于无故障情况。100%负载指带宽利用率100%
。相当于一个局向发生故障的情况(所有流量集中到剩下的一个局向)
平均单向时延是所有PE 对单向时延的平均值。最大单向时延是所有PE 对单向时延中的最大值。流量为泊松模式,即带有瞬间突发,存在拥塞的概率。测试包长取
混合包。
结合以上业务特征和业务等级的设计,政务外网各项业务所属的等级如下表所示:
业务等级对应表
业务等级
路由和网管
关键保障业务
金牌VPN 业务
银牌VPN 业务
铜牌VPN 业务
缺省业务标记7 6 4 2 1 0 业务特征对丢包、时延非常敏感;带宽需求低;视频、语音应用,低延时、低抖动、低丢包、绝对优先级、3倍带宽保证适合重要适合次重要适合普通VPN 用户, 低丢包、高优先级、VPN 用户,低丢包、3倍带宽保证2倍带宽保证IMIX VPN 用户, 低丢包、较高优先级、1.5倍带宽保证普通上网业务,尽力而为转发
注意:
各种业务放在哪个等级开展最终由业务部门确定,此处仅给出建议。
业务的等级划分并不限制用户仅使用某一等级的业务,用户可以通过接入多条链路或对用户内部不同业务流量进行划分来获得不同等级的服务。
2.6.
2.6.1.
序号
1 政务外网主要设备部署政务外网主要设备产品型号主干核心交换机产品响应配置XXRG-S8614 IPv4/v6路由交换机. 双引擎,双电源,万兆口10个,千兆口24个,1块流量监控
模块,1块防火墙模块,1块MPLS 模块
XXRG-S7806 IPv4/v6路由交换机,双引擎,双
电源,万兆口4个,千兆口64个
XXRG-RSR20-24模块化路由器,6个业务槽,
包转发率300Kpps ,双电源,2个千兆口(光电
复用口),24个交换口数量2 2 主干汇聚交换机12 3 接入路由器234
4
5 服务器汇聚交换机管理中心接入交换机XXRG-S7806 IPv4/v6路由交换机,双引擎,双电源,万兆口2个,千兆口80个XXRG-S5750-24SFP/12GT IPv4盒式路由交换
机.24个千兆光口,12个光电复用端口
XXRG-IDS2000,千兆IDS 入侵检测系统,2个
千兆RJ45接口和4个SFP 插槽模块,支持4路
千兆监听
XXRG-ACE3000高端千兆应用控制引擎,
6Gbps 处理能力,4个千兆SFP 光口,2个千兆
电口+1个千兆管理接口+1个千兆HA 接口(电
口内置Bypass 功能,光口支持Bypass 功能)
XXRG-NPE60固化2个万兆SFP+接口,固化8
个光电复用GE 口,4G 内存,内置风扇,2个
冗余电源,1个Console 口,
XXRG-WALL1600E 千兆高端防火墙安全网关,
提供4GE+4SFP,提供1个模块化插槽;电口支
持Bypass 功能,配置冗余电源,自带
IPsec/SSL VPN隧道
XXRG-WG3000,高端千兆应用保护系统,10个2 2 6 数据中心入侵防御系统2 7 流量控制设备2 8 互联网出口负载均衡2 9 网站托管区千兆防火墙2
10 WEB 应用防火墙3Gbps 处理能力,固化6个GE 口+4个SFP 口;
提供2个模块化插槽
XXRG-S5750-24SFP/12GT IPv4盒式路由交换
机.24个千兆光口,12个光电复用端口2 11 网站群汇聚交换机2
2.6.2. 主干核心交换机
2.6.3. A 类主干汇聚交换机
2.6.4. B 类主干汇聚交换机
2.6.5. 接入路由器/服务器汇聚交换机
2.6.6. 互联网出口流量控制设备
2.6.7. 互联网出口负载均衡
2.6.8. WEB 应用防火墙