政务专网方案设计建议书(doc49页)

1、政务专网方案设计建议书（doc 49页）XX省党政信息网方案技术建议书 TOC o 1-5 h z HYPERLINK l bookmark0 o Current Document 第一章背景介绍3 HYPERLINK l bookmark2 o Current Document 第二章总体需求分析4 HYPERLINK l bookmark4 o Current Document 2网络现状4 HYPERLINK l bookmark6 o Current Document 22总体目标4 HYPERLINK l bookmark8 o Current Document 2.3工程磁及主要建

2、设内容4 HYPERLINK l bookmark10 o Current Document 第三章政务专网方案设计6 HYPERLINK l bookmark12 o Current Document 3.1设计思想6 HYPERLINK l bookmark16 o Current Document 3.2政务专网设计原则8 HYPERLINK l bookmark18 o Current Document 3. 3政务专网建设目标及业务应用需求分析8 HYPERLINK l bookmark20 o Current Document 3. 3.1基本要求9 HYPERLINK l boo

3、kmark22 o Current Document 3. 3.2 应用系统9 HYPERLINK l bookmark24 o Current Document 3.4政务专网总体网络设计描述10 HYPERLINK l bookmark26 o Current Document 3.5专网广域网设计13 HYPERLINK l bookmark28 o Current Document 3. 5.1专网广域网拓扑结构设计13 HYPERLINK l bookmark32 o Current Document 3. 5. 2专网广域网组网结构设计15 HYPERLINK l bookmark

4、52 o Current Document 3. 6专网城域骨干网互联设计223. 7专网用户层网络结构设计23 HYPERLINK l bookmark54 o Current Document 3. 7.1专网用户层接入设计243.8专网VPN互联设计24 HYPERLINK l bookmark68 o Current Document 3. 9网络管理28 HYPERLINK l bookmark70 o Current Document 3. 9.1 网络管理的近要性28 HYPERLINK l bookmark72 o Current Document 3. 9. 2 网络篩软件要

5、求28 HYPERLINK l bookmark74 o Current Document 网络设备要求29 HYPERLINK l bookmark76 o Current Document 3.10.1网络硬件设备技术要求29 HYPERLINK l bookmark78 o Current Document 网络管理软件要求32路由策略32IP路由规化33 HYPERLINK l bookmark80 o Current Document IP地址规化34 HYPERLINK l bookmark82 o Current Document MPLS技术在XX省政务网中的应用34 HYPE

6、RLINK l bookmark84 o Current Document 带外网管的实现38 HYPERLINK l bookmark86 o Current Document 3.13网络可靠性设计42 HYPERLINK l bookmark88 o Current Document 3.13.1政务信息网组网结构可靠性设计42 HYPERLINK l bookmark90 o Current Document 3.13.2政务信息网设备可靠性设计选择43 HYPERLINK l bookmark100 o Current Document 第四章专网对应用系统的支持45 HYPERLI

7、NK l bookmark102 o Current Document QoS 策略45 HYPERLINK l bookmark104 o Current Document 4.1.1主要的QOS服务模型45 HYPERLINK l bookmark106 o Current Document 4.1.2 QoS策略464.1.3结合MPLS的QoS保证48VOlP系统支持48 HYPERLINK l bookmark108 o Current Document 4.3电子邮件系统及其他应用系统的支持49第一章背景介绍随着以信息技术为主要标志的科技进步日新月异，以数字化和网络 化为主要特征的

8、信息化浪潮正以汹涌之势席卷全球，对人类的未来产生 着难以估量的深刻影响。目前，XX省委.省政府和大部分省直部门均已建成各自内部的局域 网，但多数省直各部门没有建设纵向网，省市对口部门之间信息长期无 法髙效交流，信息资源共享性差；少数省直部门使用的电话拨号与窄带 联网的方式进行了省市联网，但传输速率低，安全保密性差，无法满足 数据业务及多媒体传输要求。为此，XX省信息化领导工作小组决定建设 XX省政务信息网纵向网工程，以解决全省政务部门省市联网及信息交换 问题。第二章总体需求分析2网络现状目前，在XX地区已初步建成省级核心网及政务专网，省委、省政府、 省人大及将近IOO个省直部门，已通过光缆实现

9、了横向网络互联.信息 交流和共享，并且在电子政务专网上通过防火墙与因特网隔离。在XX市区铺设了独立的光缆线路约100公里，形成了 4个一级节点 （省委大院.省网管中心.省审计厅、XX大学）和若干个二级节点；一 级节点之间形成了光缆环路，一级节点和二级节点之间形成星型联接； 一级节点或二级节点至省直各部门之间铺设了 6芯光缆，其中2芯光纤用 于接入核心网，2芯光纤用于接入电子政务专网，2芯光纤备用。另外还 有部分单位尚未铺设光缆，计划租用电信运营商的现有光芯。2.2总体目标省政务信息网电子政务应用平台建设的主要目标是：建立一个开放的.基于标准的电子政务统一应用平台，实现信息交 换和资源共享，面向

10、公众提供服务，增强各部门工作的透明度。分别支 持数据.语音和视频业务，运行各部门的业务系统，实现各网间的信息 交换和资源共享，同时建立完善的信息安全体系和相应的备份系统。本期应用平台的建设本着先易后难，逐步推进、逐步完善的原则： 总体规划，统一标准完成信息报送标准化制定；完成重要业务系统数据库指标体系的制 定，为下一步实现异构系统的整合奠定基础。建立健全信息安全保障体系。在应用方案的总体设计上，全面规划信息安全保障系统，实现一次 登录，即可访问全网授权。解决政务信息网上信息传输的安全性问题， 通过数据加密、权限管理、CA认证等手段防止信息在传输过程中被窃 取.篡改、偷看、越权等问题，同时应防止

11、冒名和抵赖。建立终端安全 监控系统，防止因开后门而导致全网的安全漏洞的产生。2-3工程概述及主要建设内容XX省政务信息网纵向网分为两个物理网：XX省政务信息网纵向网政务核心网：简称核心网;XX省政务信息网纵向网政务专网：简称政务专网；联接省委、省政府、省人大、省政协和省直各部门的网络平台即为 省级统一网络平台（包括省级核心网网络平台和省级政务专网网络平 台）。联接市委.市政府.市人大.市政协和市直各部门的网络平台即 为市级统一网络平台（包括市级核心网网络平台和市级政务专网网络平 台）。核心网与政务专网之间实行物理隔离，省级核心网络平台与市级 核心网络平台连接，省级政务专网网络平台与市级政务专网

12、网络平台相 联接，形成XX省政务信息网纵向网（物理上为核心网纵向网和政务专网 纵向网）。设区市建设范围：市级网络平台与省级网络平台联网设备.视频会 议设备、IP电话网关设备由省网管中心投资建设。本次工程的主要建设内容如下：1构建省.市专网网络平台，实现省专网网络平台与市专网网络 平台之间的互联互通。2构建省、市政务专网网络平台，实现省政务专网网络平台与市 政务专网网络平台之间的互联互通。3在专网上建设IP电话（VoIP）系统.电子邮件系统。4、在政务专网上建设电子邮件系统.公文交换系统.CA系统-门 户网站系统.IP电话系统、IP TV系统、视频点播系统。5、建设（改建）政务信息网信息发布、信

13、息交换和信息共享应用 平台。第三章政务专网方案设计3.1设计思想政务专网是非涉密网，本方案的总体设计思想是以核心网的应用需 求（详细需求见下文）为指导，力求为XX省党政机关提供一个安全.先 进.灵活，高带宽、高可靠性的多业务涉秘网络平台。使得XX省政务网 能够基于这个平台，实现不同部门机关之间安全高速的数据共享，尽可 能的简化办公流程，提高办公效率；并为今后新的业务发展，迅速推出 相应的新业务打好良好的基础。为保证多种基于宽带的服务和新型IP技 术服务，本方案将从多种业务服务的角度出发，建立多层次的服务业务 平台。政务专网的详细应用需求如下：可以为某一系统提供专用的虚拟通信通道，组建系统纵向的

14、互联网 络，以及提供横向的公共访问通道，如：一为省政府提供与各部门通信的办公虚拟通道一为省直各部门提供与部门内纵向通信的虚拟通道一为IP电话服务提供公共的虚拟通信通道，并保证IP电话的QOS要 求。-WWVV访问服务等具体体现在：1各地市部分：各个厅、局单位可以访问各地市各厅、局公共服务器，访问权限 由各厅、局单位控制。2省中心部分：各省厅单位提供服务器，为其下属单位提供信息服务，而限 制其它厅级单位的访问。某些厅、局单位需要与同系统的厅.局单 位之间组成VPN,提供主机与主机之间的通信。省厅单位有专有工作站用于与省机要局服务器的访问。各厅.局单位能够访问国家对口单位的服务器。 具体实施可以采

15、用核心高端路由器Rl上的POS 口连接，这 种技术可让IP数据包直接在光纤上传输，既大大提高在以 IP应用为主的网络传输的效率和性能，又不额外添加光纤 终端设备。4第一期工程的实施中，XX节点作为地市使用IOOoM的以太网接入专网，而其它的地市R2. R3等可以使用POS 155M接 入；另外，如果考虑专网流量相对较小，El线路捆绑可以降低 运行费用，但会增加故障点。5、在骨干节点可以采用现代光纤传输技术POS,可以基于标 准的SDH设备实现硬件级的环路保护。在省中心与地市节点之间采用其它运营商提供的专用线路（如2ME1）作为备份，可以进一步提高网络的可靠性，XX 节点采用FE光纤接入骨干网核

16、心路由器作为备份。7、路由技术上采用EBGP. OSPF. RIP静态路由协议并加入MPLS,构成MPLS VPN网络。并划分若干自治区域，便于 管理和减少路由发布的数量和规模。同时每个区域的边界 路由器作为MPLS网络的PE设备，并在上面划分VPN,做 到VPN间的信息严格隔离。8 省、地市的PE间互联采用租赁电信155M POS电路资源的 式进行互联。县级PE与地市之间，由于POS骨干网不完全 覆盖到县，因此可利用县与地市间的El传输线路，将县PE 通过14条El线路直接接入到地市SDH光传输设备的El接 口上，实现互联，同时各条EI间可采用路由负载分担。9 根据本项目一期建设的实际情况，

17、主干节点只有1个节点， 主干结点与汇聚节点之间的釆用IoOOM光纤以太网。考虑 到网络以后的扩展性，骨干节点的选型应具有平滑的向光 纤技术过渡的能力。10.必须考虑到将来政务网向县级扩展地市设备要作为县级扩展的中心接入节点需要预留将来的扩展插槽及能力， 县级网络线路主要EI使用及捆绑。依据上述考虑建议采用华为公司高可靠、高性能的QUidWay NE系列 路由器组建专网广域骨干网。建议采用两台NE80 GSR作为省中心接入， 两台NE80之间采用GE口通过光纤连接，今后业务量增加可以采用两个GE 口捆绑后再连接，一台NE80接入4个数据量较大的地市，另一台接入其 他地市，省平台的城域网则与两台N

18、E80都连接。QUidWay NE80超过72 MPPS的转发能力，提供各种线速端口，支持 POS/ATM/FE/GE等接口以及MPLS VPN等技术。建议在各地市（包括XX）采用NE16E作为专网地市广域网的互联设备， NE16E提供超过2. 4 MPPS的转发性能.支持POSCPOSATMGEE1等接口。 NE系列路由器使用电信级VRP软件，支持RIPOSPFBGP等标准路由器协 议，支持MPLSVPN,支持热插拔.关键部件冗余等可靠性特性，满足专 网的高性能.高带宽.高可靠应用需求。建议采用一台NE16E作为中心节点备份路由器，加插足够的EI接口模 块，各地市的NE16E路由器加插El模

19、块，这样中心备份路由器通过2ME1 线路与各地市建立备份连接。XX市通过FE光纤接口与备份路由器连接。 专网网网络结构下图所示政务专网网络结构省委S8016PEA省委期管屮心NESO广域NE16E2ME1/PENEl6ENE16ESS016$5516 审计厅eXElSS016厅融入M POS NE16E/_- 如厅局接入IOOM图 3-103. 6专网城域骨干网互联设计城域网骨干层组网主要使用千兆以太网技术，组建高速的宽带IP网。对于有多个骨干节点的POP点，如XX,在骨干节点使用核心路由交换 机，节点间组成环网可以提供路由保护及提髙可靠性，如图10所示，一 级节点。而对于只有一个骨干节点的P

20、oP点（大部分地市城域网、将来 的县级城域网）节点使用一台核心交换机，下接多台骨干交换机进行端 口收敛，如下图中的一个骨干节点（省政府）组网。3.7.1专网用户层接入设计对用户接入层，考虑采用快速以太网接入方式实现对各单位用户的 接入服务。在每个地市，宽带城域网骨干层交换机与广域网路由器之间用千兆 以太网连接，而大量快速以太网络接入则分别接到城域网的汇聚点内的 交换机上，利用第三层网络交换机实现虚拟网间的通讯隔离和分布式处 理。对于距离超过500的用户，建议采用光电转换期延长以太网用户的 距离，最大可到10公里，实现以太网接入。用户接入层和汇聚层交换机 组成如下图的拓朴结构。接入层交换机每个端

21、口与地市各厅、局单位路由器或安全网关相连 接。为了使不同厅、局单位的网络完全隔开，交换机每个端口须独占一 个Vlan,这样，不同厅、局单位网络在第二层实现了隔离。用户接入层 的交换机需要支持801. IQ协议。城域网接入层组网光纤VIanVIan各厅局各厅局接入交换机Vlan接入交焕机图 3-12 VPNl:内韶公共IP 电诂M专期谏道厂域网Ulan2VIanl审计厅南大OC各厅局VlanlVhn2IVIan3省信息中心VIalI3 I r1 Vlan4Vlar33Vlsn4 I各厅局、HVIail；丨雄 WF P L血厅I、冲冋-灯专网城域网本地访问VPN组网图3-13城域网通过VPN实现横

22、向互通和隔离纵向VPN构建：横向VPN解决了城域网内的互通及安全隔离，在专网 广域网上，则要利用MPLS VPN组网实现各系统间纵向网络的互联，以及 相互之间的安全隔离，如省委内部办公主机地市与省之间的互联、IP电 话系统在省市之间的互联等，如下图所示。下面仍以IP电话系统纵向访 问说明。专网纵向VPN组网设计实现VPNllMR0r24省机关局域网S8016VLADBJLANgJ VPN20.4IPLS 域VRFl:YLANll VRF2:VLANl2 VRF3rLAN13VRFl:YLANI VLAN4 VRF2RLAN2 VRF3fVLAN3VPN2某周CTN2VLAN2192.2210/

23、24VPNIttIR市机关局域网VRn : VLAN21 VRF2: VLAN22县机关网络WNltt向网IXl92.13.10/24市委.VPNI:IP电话纵向互通VPN2:某厅纵向互通图3-14广域网通过VPN实现纵向互通和隔离1、如图所示，在城域网中，不同部门IP电话网关，如在外贸厅IP 电话网关位于VLANl内，在省委IP电话网关则在VLAN4内；这些网关与其 它部门主机相互隔离，确保不被非法访问。2、在VLAN统一的出口处，专网广域网的PE设备，将各IP电话网关 所在的VLAN引入到相应的VPN中，通过广域网实现VPN内的互通。如在省厅IP电话网关属于VLANI,省委IP电话网关在V

24、LAN4,它们 VLAN的出口网关PE处，PE将VLANl. VLAN4的路由信息引入到属于VFNl 的VRFl内，而数据则根据VRFI进行转发路由，这样可以实现VLANl及 VLAN4在本地的横向互通；同理，地市政府的IP电话网关在地市城域网属于VLANll,在地市广 域网骨干节点PE处，PE将VLANlI的路由信息引入到骨干网的VPNI内；在 广域网内通过VPNl的转发表VRFl进行路由.封装和转发，从而实现IP 电话在地市与省之间的纵向互通；3由于VPNl只引入了公共IP电话网关所在的VLAN,因此可与其它 系统，如政府办公网实现横向隔离，保证网络安全；4对于其它具有横向和纵向访问的应用

25、，如能被公共访问的WWW站点等，可被同级不同机构间访问，也可以在跨级（省与地市）间互通， 可以结合利用这两种设置来进行实现；5、对于只需要纵向互联访问的网络（如各系统内部办公网），在各 地的PE处只引入本系统VLAN信息，即可实现系统内全省的互通，并与其 它系统隔离保证安全。从网络安全及管理安全上看，VPN/VLAN的管理都应该由网络中心进 行统一规划，在边缘接入处提供相应的VPN/VLAN的接口。3. 9网络管理3. 9.1 网络管理的重要性对于一个政务网这样的现代城域网络，需要为各个单位用户提供端 到端的话音.数据.图像、多媒体以及其它类型的业务。同时为了提高 设备和网络的投资效率，所有相

26、关业务的承载网和接入网都需要本着资 源共享、业务综合的原则进行统一规划.统一建设。面对上述业务提供中遇到的挑战，如果只依靠釆用先进的技术和硬 件设备是不够的，因为不论多先进的网络，如果缺乏一套专业，完善的 网络管理系统也无法保障能为用户提供髙效.优质的网络服务。利用网络管理系统提供的专业管理功能，政务网的网络管理员需要 实现对本地传输和接入网络从物理链路到上层复杂应用和业务的分层 次集中管理，进而提高网络的可管理性和运行的稳定性，缩短政务网在 提供新业务时的开通周期。通过简化网络管理流程，提高管理员的工作 效率，网络管理系统还将帮助政务网降低网络的运行成本。3. 9. 2网络管理软件要求政务网

27、的网络系统有其自身的显著特点，如网络规模巨大，设备类 型和所提供服务复杂，网络的可用性要求高等等。因此政务网用户对其 网络管理系统也有很高的要求，不但要求能管理网络中的所有设备.服 务，还要符合电信标准并能适应其网络规模，并提供极高的系统和管理 稳定性。针对政务网用户的上述网络管理需求，管理系统在管理特性上具有 下列特点：1 基于公共的管理框架。为便于管理系统各功能模块间进行管理 信息的共享和数据交换，所有管理体系中的其它管理工具和 模块都与之进行隼成，由其作为整个管理系统的支撑平台。2模块化设计。包含了一组提供不同管理功能的管理工具，各管 理工具即可以独立工作也可以通过集成共享管理信息。在网

28、 元设备管理层，通过选择集成在其管理框架上的不同网元设 备模块，网络管理员可以管理网络中的任何网元硬件设备。 在服务和业务管理层，网络管理员可以通过选择不同的管理 模块实现网络容量规划管理、配置管理、故障管理、性能管 理和计费管理等一系列管理功能。这种模块化设计保证了用 户可以根据自己的管理需求构建最符合要求的管理系统，节 省用户的投资。3高系统强壮性。并运行在NT或者UniX管理服务器平台上，管理 软件自身具有良好的系统强壮性，符合政务网用户对管理系 统高可用性的要求。4.优秀的规模可扩展性。管理服务器不但支持单机中央处理模式， 也同时支持多服务器分布式处理模式，并能实现从中央处理 模式向分

29、布式处理模式地平滑过渡。可保证网络管理系统能 适应用户网络规模的増长。5高容错性。管理系统中的管理工員都支持双机主备工作方式， 当主管理服务器岀现故障时，备用管理服努器可以接管主服 努器的管理职能，保障管理系统的不间断运行。6支持多种网络和设备管理标准。在网络层支持SNMPVI管理标 准。7提供安全认证和用户分权的管理机制。管理员首先需要登录才 能使用管理系统对网络进行管理，这样就保证了只有拥有合 法授权的管理员才能使用管理系统。同时可以利用管理系统 的管理员分权机制,定义每一个登录的管理员所拥有的管理 权限，进一步确保每个管理员只能管理他职责范围内网络资 源。网络设备要求政务网网络设备选择要

30、求具有先进性、可扩展性、可管理性等优点。既考虑当前的需求由能为网络将来的扩展做好准备。3.10.1网络硬件设备技术要求全省骨干节点广域网互联：骨干路由器电子政务信息网络专网是电子政务信息网络的基础，也是电子 政务信息网络向各级政府各级部门提供IF VPN服务的平台，骨干 网络设备的性能将大大影响到整个网络的性能。因此，在选用路由 器的时候应该考虑到路由器的处理性能.网络的可靠性、扩展能力 以及网络的安全性等方面。骨干路由器作为高端骨干路由器，应能完全满足电子政务信息 网络高可靠性、高稳定性及高性能等方面的需求。如华为QUidWay NetEngine 80/16E/08E 路 由器。省中心节点

31、高端核心路由器：应采用交换式分布处理体系，对 所有端口能提供线速支持能力，整机处理能力超过72MPPS。设备应 有可靠性的冗余措施，采用双主控.双网络交换单元互为备份；多 电源且电源模块相互备份，所有单板支持在线热插拔功能；特性上 支持MPLS VPN组网，对VPN的支持数量可支持超过200个VPN的处理 及隔离；支持髙可靠性备份技术，包括链路备份、接口备份、路由 备份和设备间备份。建议采用华为公司GSR设备NE80o地市骨干节点高端骨干路由器：应釆用分布式处理体系，整机 处理能力超过2MPPSo特性上支持MPLS VPN组网，对VPN的支持数量 可支持超过100个VPN的处理及隔离，并且不明

32、显降低其它处理板接 口的转发性能（降低量10%）；设备应有可靠性的冗余措施，采用 双主控，两个路由交换单元互为备份；多电源且电源模块相互备份， 所有单板支持在线热插拔功能；软件上支持高可靠性备份技术，包 括链路备份、接口备份、路由备份和设备间备份，建议采用华为公 司高端路由器NE16Eo地市骨干路由器必须考虑将来作为县级网络接入的中心，需要 提供足够的扩展插槽及处理能力，以通过El等线路接入县级网络。广域骨干网备份路由器：另外考虑到为了防止单点故障以及通过线路备份来增加网络 的可靠性，在省网络中心配置1台高可靠路由器作为热备份路由器， 采用华为公司的NE16Eo骨干路由器和备份中心路由器间通过

33、动态 路由协议进行相互路由备份，并同时采用热备份路由技术进行设备 间的热备份。在线路出现故障时自动切换，根据需要可对视频等业 务如果在带宽等限制时，可以通过策略路由等方式不做备份。城域网骨干节点汇聚层：髙端核心路由交换机对于电子政务信息网络专网省级网络的高端核心交换机，应釆 用大容量、模块化.机架式基于硬件2/3/4层的路由交换机，定位 于高速发展的IF城域网骨干汇聚层和企业网络核心的大容量骨干 交换设备，应能提供完善的DiffSerV流交换.QoS保证机制完备 的业务控制.用户管理能力，以及电信级的可靠性和高密度、大容 量交换能力，每端口线速转发，支持可达4k个802lqVLAN并可 扩展支

34、持MPLS VPNO建议采用华为公司QUidWay S8016和S5516。城域网汇聚节点：节点交换机定位于中心平台资源网的连接。釆用全线速二层以太网交换 机，可提供10/1OOM自适应端口和高速通用扩展插槽，可选模块包 括百兆/千兆单模光口模块、百兆/千兆多模光口模块和百兆/千兆 电接口模块，支持8O21Q,以及分级优先级保障功能，用于实现 千兆骨干互联。建议采用华为公司QUidWay S3026F节点交换机。用户接入交换机：定位于对各厅、局网络的IOoM直接接入，并提供上行IoOM的光 口。采用全线速二层以太网交换机，可提供10/1OOM自适应端口和 高速通用扩展插槽，可选模块包括百兆单/

35、多模光口，支持802. IQo 建议采用华为公司QUidWay S3026或S2024工作组接入交换机。具体设备性能指标要求如下表:设备名 称技术参数数量1省骨干踣 由器交换式分布处理路由器”接口插槽数目行”双 网络交换引擎、双主控冗余备份，冗余电源，支 持单板热插拔，包转发率=72 M PPS ,交换背 板=28 G ,提供端口数量：10/10ObaSe-TX二2 , 支持GE、FE、POS. ATM接口 ,支持MPLS VPN ,可 作PEiSgf支持QoS勺台2省中心备 份踣由器模块化结构”接口插槽数目,包转发率=800 KPPS ,提供端口数量:2M El =10,10/100MbaS

36、e-TX =2 ,与省骨干踣由设备之间支 持热路由备份，支持MPLS VPN ,可作CE设备，支 持QoS1台3地市骨干 路由器分布式处理路由器，接口插槽数目=2 ,双踣由 交换引擎，冗余电源，支持单板热插拔，包转发 率二2 M PPS z背板总线带空2 G ,提供端口数 量:2M El =2, GE =1,155M POS =1f 155MATM =1 ；支持GE、POS. CPOS. El 接口 , MPLS VPN , 可作PE设备，具备较强的扩充能力，支持QoS10台4地市中心 备份路由 器模块化结构插槽数目=4 ,包转发率=20 KPPS , 端口数量:10/100MbaSg-TX二

37、2 ,与地市骨干踣由 设备之间支持热路由备份，支持MPLS VPN ,可作 CE设备，支持QoS10台5影心路 由交换机分布式处理结构,接口插槽数目=行”双交换 网板，冗余电源，支持单板热插拔，电信级可靠 性”包转发率=96MPPS ”交换容量=28G,背板 总线带兗=256 G ,提供端口数量：10/10ObaSe-TX=16 , IOOObaSe FX = 4,支持 802. IQ协议，支持MPLSVPN,提供VLAN、TRUNKlNG 功能，支持三层交换，支持QoS5台6地市核心 路由交换机分布式处理结构,接口插槽数目=行”双交换 网板，冗余电源，支持单板热插拔，电信级可靠 性”包转发率

38、=96MPPS ”交换容量=28G,背板 总线带盒=256 G ,提供端口数量：10/1 OObaSe-TX=16 , IOOObaSe - FX = 4,支持 802. IQ协议,支持MPLSVPN,提供VLAN、TRUNKlNG 功能，支持二三层交换，支持QoS11台7地市、省 接入以太 网交换机10/10ObaSe-TX=20,支持802. 1Q1议，提供VLANX TRUNKING功能、支持IoO毗口12台8网管软件基于WindOWS 98/2000/NT平台1套网络管理软件要求1）网络管理软件应是确保全网（包括网管中心、节点机）正常运 行所需的管理.运营.维护等有关的全部软件，并具有

39、中文界面的软件 系统2）软件模块化结构：网络管理软件为模块化结构S安全可靠、具 有容错能力，任何软件模块的维护和更新都不影响其它软件模块。3）故障监视和诊断：软件能及时发现故障并发出告警。4）兼容性及升级5）网络管理平台能够对网络的流量、性能等指标进行数据分析或 图形化显示，得到网络情况的分析报告；6）能够对底层报错进行过滤分析，便于网络管理人员发现真正问 题所在；7）能够根据报错制定相应排错策略，及时处理相关问题。能够在 通用的服务器如WindoWS NT HP-UXS SoIariS等平台上运行。路由策略根据网络现有结构，设计比较适合的路由协议。能够实现优化的网 络路径选择，同时具有路径均

40、衡功能，在网络结构发生变化时数据能够 通过其他路径迂回，保证网络的畅通。IP路由规化当前主要的动态路由协议有RIP OSPFO在工程实施中，选用 OSPF协议，OSPF是基于Link.State的路由协议。在每个HOP上都定义 了一个COST, OSPF认为COST之和最小的路径为最好。XX省政务网以省信息中心为全网的系统中心，全网的11个地市通 过IoOM链路与中心相连。建议XX省政务网内釆用OSPF动态路由协议。OSPF协议采用多区 （AREA）模式，具有较好的扩展性，而且区内的错误路由不会影响全网， 大大增加了网络的可靠性。所有地市的主路由器与省中心路由器都划分 到OSPF的AreaO内

41、，与之相连的下级节点的设备再分别划为不同的 OSPFAreaO这将最大限度地利用OSPF的分区管理优势。XX省政务网OSPF域的划分:序号地区名称区域号0省中心AREAO1XXAREAI2赣州AREA23吉安AREA34九江AREA45上饶AREA56宜春AREA67抚州AREA78萍乡AREA89景德镇AREA910新余AREAlO11鹰潭AREAlI路由汇聚1 各地市到省中心的路由汇聚：在IP地址的规划时已经考虑到路由汇聚，以便可以汇聚成一条路 由信息向其他区域传送。通过对OSPF的适当配置，可以对地市的路 由信息进行汇总。各地市的核心路由器作为区域边界路由器ABR,可 以把进入一个区域的

42、各厅、局单位的多条路由减少到一条路由。例如对赣州在其核心路由器上可进行如下配置，使其汇总成一条 信息：router OSPfnetwork 55 area22各厅、局单位的路由设置建议各厅.局单位采用静态路由设置，政务网高速数据网 络端配置静态路由，并把用户路由信息转化到各地市POP节点的 OSPF域中。这样，可避免客户路由波动对骨干路由造成影响。负载均衡OSPF路由协议可根据两条传输线路，作到流量的负载分担。IP地址规化地市级节点内，各厅.局单位内网所用的IP地址由各厅. 局单位自行分配，例如10000,即非法地址。当各厅.局单位内网主机需要访问市委服务器、机要局服 务器或其它单位内公共服务

43、器时，需要用外网的合法IP地址。外网 的合法地址需要由省计委统一分配。另外，政务网内各网络设备的 IP地址，包括核心层、汇聚层.接入层网络设备的IP地址需要由省 计委统一分配。以下为网络IP地址的分配策略。本次IP地址的分配采用连续的IP网络号，便于网络作路由 汇聚；本次IP地址采用可变长子网掩码（VLSM）来细化子网，以 节约IP资源。IP分配原则：对于每个地市至少要求10个C类地址，地市内各厅.局单 位的IP地址分配再通过掩码进行划分。各地市广域网地址用分配地址段中的最后一个C类地址， 然后用掩码为52进行细分。MPLS技术在XX省政务网中的应用MPLS是网络互联技术上的一个突破。XX省政

44、务网的建设 是搭建可承载多项（包括近两年可预见的）应用的综合数据平台， 同时要求网络具有良好的安全性、可靠性S扩展性和可管理性。基于这样的应用需求，对XX省政务网MPLS的规划及应用 实施方式作出详细说明，并对建设MPLS中涉及到的相关技术作出 描述。节缩略词解释：VPN： VritUaI PriVate network虚拟专网MPLS：多协议标记交换CE： VPN网络中用户端边界路由器PE： VPN网络中核心边界路由器BGP：边界网关路由协议MPLS-VPN 如何工作MPLS是实现VPN方案的技术之一，它使用基于标记的转发模式。 标记（LabeI）指示了路由和业务属性。在VPN的入口处，呼入

45、的数据 包经过处理，然后选择标记并捆绑在数据包上。核心处（IP路由节点） 只根据标记应用于相应业务，并根据标记转发数据包。通常情况下，对 网络设备处理能力造成开销的分析.分类和过滤过程在MPLS VPN中只 在入口处发生一次即可。在出口处，标记被清除，数据包被转发到业务 应用的最后目的地。从以上的解释中可看出，XX省政务网的MPLS实现在给最终用户带 来高可用性和可管理性。在下面部分对技术实现细节加以描述。MPLS术语的解释标记交换路由器（LSR）：核心设备，根据己计算好的交换表，交换 被加上标记的数据包，这个设备可为交换机或路由器。在XX省政务网中， 我们可用省信息中心的核心路由器作为LSR

46、O标签（Label）：是一个数据头，LSR用它来转发数据，头的格式是 由网络性质决定的，在路由器网络，标签是一隔离的、32位的头。在网 络核心，LSR只读标签，不读网络层的数据包头，MPLS具有扩展性的 关键一点是标签仅局限于两个互相通讯的设备。边缘标记交换路由器（边缘LSR）：边缘设备进行数据包初始的处理 分类，加上第一个标签。在XX省政务网络中，我们用各地市的POP节点 路由器作为边缘LSR设备。标记交换路径（LSP）：点到点的路径是根据被分配的所有标签决定 的。一个LSP可是动态的也可以是静态的，动态LSP是通过路由信息自 动生成，静态LSP是被明确提供的。在XX省政务网MPLS中，标记

47、交换 路径是动态生成的。它依赖于动态路由协议OSPF。MPLS VPN工作原理MPLS VPN基于业内公认的IETF建议标准。它为用户提供更为安全 和灵活的业务工作方式。了解MPLS VPN工作原理最简单的方法是看一 个数据怎样在具有MPLS功能的网络中传递fre1 MR.S DuracellStlSxp4第一步：网络可自动生成路由表，因为路由器参与内部网关协议如 OSPF信息交换。LDP使用路由表中的信息去建立相邻设备的标记 值，这个标准创建了 LSP,预先设置了与最终目的地之间的对应关 系，MPLS的标签是自动分配的。第二步：一个数据包进入边缘LSP时，它会被处理，决定需要哪种 第三层的服

48、务，例如QOS和带宽管理。基于路由和策略的需求，边 缘LSR有选择地放入一个标签到数据包头中，然后转发。第三步：位于网络核心的LSR读每一个数据包的标记，并根据交换 表替换一个新的，然后。这个动作将会在所有中心设备中重复。第四步：在出口边缘的LSR,除去标记，读数据包头，将其转发到最终 目的地。对于新加的IP商业服务，MPLS最显著的益处在于能够分 配标签，这有非常特殊的意义，不同的标签可以区分路由信息.应 用类型和服务级别，在下面将会进行讨论（下图）MPLS标签类似于中心设备中预先计算好的交换表，并含 有第三层信息，允许每个交换机自动将每个数据包赋与正确的IP服 务，表是预先计算的，因此没有

49、必要在每一跳都重新处理数据包， 这样MPLS减少了数据转发分析IP包头的时间，因为它使用了标记 交换的机制，标签只受本地局限，因此，用尽标签的可能性几乎没 有，这种特性是实施IP增值服务的基础，让我们通过一个例子进一 步了解数据包是怎样被转发的。f3 MPlS Pauict fOtwSJatI见上图，一个流入的数据包到达边缘LSR时，它将读包 的目的地址的前辍，128.89,下一步，这个边缘LSR査看交换表 中目的地址，加入对应的标签4,然后通过端口 1发出。在中心的 LSR读到这个标记，然后在交换表中查找对应的标签，然后用标 签9取代4,从端口 0转发。在出去的边缘LSR査看标签9,在此除

50、去数据包的标签，从端口 0出去。注意在网络的核心，IP的转发 信息只是用来建立标记交换表，并没有直接参与转发。MPLS VPN的工作过程用户端的路由器（CE）首先通过静态路由或BGP将用户网络中的路由 信息通知提供商路由器（PE）,同时在PE之间采用BGP的EXtenSion传送 VPN-IP的信息以及相应的标记（VPN的标记，以下简称为内层标记），而 在PE与P路由器之间则采用传统的IGP协议相互学习路由信息，采用LDP 协议进行路由信息与标记（骨干网络中的标记，以下称为外层标记）的梆 定。到此时，CE, PE以及P路由器中基本的网络拓扑以及路由信息已经 形成。PE路由器拥有了骨干网络的路由

51、信息以及每一个VPN的路由信息。 当属于某一VPN的CE用户数据进入网络时，在CE与PE连接的接口上可以 识别出该CE属于那一个VPN,进而到该VPN的路由表中去读取下一跳的地 址信息，同时，在前传的数据包中打上VPN标记（内层标记）。这时得到 的下一跳地址为与该PE作Peer的PE的地址为了达到这个目的端的PE, 此时在起始端PE中需读取骨干网络的路由信息，从而得到下一个P路由 器的地址，同时采用LDP在用户前传数据包中打上骨干网络中的标记（外 层标记）。在骨干网络中，初始FE之后的P均只读取外层标记的信息来决定下 一跳，因此骨干网络中只是简单的标记交换。在达到目的端PE之前的最后一个P路由

52、器时，将外层标记去掉，读 取内层标记，找到VPN,并送到相关的接口上，进而将数据传送到VPN 的目的地址处。从以上工作过程可见，MPLS VPN丝毫不改变CE和PE原有的配置， 一旦有新的CE加入到网络时，只需在PE上作简单配置，其余的改动信 息由IGP/BGP自动通知到CE和PEOXX省政务网MPLS全网建设方案在XX省政务网络的建设中，必须结合已运行的网络现状，充分利用 现有设备资源，并在不影响（或最大限度少影响）已运行系统的前提下， 完成全网的MPLS规划，并实现原有系统的平稳接入。对应于MPLS-VPN的建设需求，我们提出建议方案如下：在省信息中心内，将核心路由器作为LSR设备，将各地

53、市POP节点 路由器作为边缘LSR,完成应用的标签分配和交换。在现有应用的情况 下，MPLS将为全网提供快速、可靠的数据包转发。由于下一步的网络建设重点为语音与视频应用在网络中的传送， MPLS将为这两种应用提供平滑的过渡平台。当语音、视频业务增加时， 全网的设置不变，只需在现有网络的基础上增加2个VPN,用于为各厅、 局单位的语音.视频业务提供服务。带外网管的实现对于XX政务网，对组网设备的网管可有带外网管与带内网管两种组 网方式，同带内组网相比，带外组网比带内方式提供更可靠的设备管理 通路，在被管设备故障时，能及时定位网上设备信息，并实时监控。带 外方式竽另外提供设备组网，提供同业务通道无

54、关的维护通道。如图 3 15所示o图315在带外组网，网管中心的可以通过多种方式和被管设备建立联接， 如通过DDN、Ethernet.设备控制口等网络资源对设备进行管理，需要 建设一个网管网。网管网是一个独立的数据网，可采用DDN等组建，为 降低运行费用，也可以釆用PSTN构建，网管网的设备需要单独提供。带外网管通常有两种管理方式：仁 被管理的核心设备提供带外网管以太网口，如高端路由器.高端 以太网交换机等。这种方式下，被管理设备的带外网管以太网口通过普 通的局域网与网管网的交换机相连，从而通过网管网实现与网管中心的 互联，如核心设备通过带外网管口与S3026交换机相连。网管中心通过 综合网管

55、软件，通过SNMP协议可以对这些设备进行监控.配置等操作。2、如被管理设备不能提供独立的带外网管以太口，如汇聚接入的低 端交换机等。这种方式下，被管理的低端交换机控制口（CoNSLE 口）与 一台支持反向TELNET功能的路由器异步口相连，如汇聚层交换机控制口 与QUidWay R2509E/2511E等的异步口相连，路由器通过以太口与网管网 局域网相连，或通过PSTN/DDN与网管网远程互联，网管中心则通过 TELNET方式，对这些设备进行管理。与第一种方式相比，该方式目前主 要是基于命令行方式，但与带内网管相比提供了更高的安全性。对于XX政务网，对核心的高端设备，一般都提供带外网管口，可以

56、 采用第一种方式；对于省平台汇聚层节点的设备，以及不能提供带外网 管口的设备，则可以釆用第二种方式。网管网组网设备省中心采用S3026交换机和R2600系列，地市路由器 则采用2509E/2511E,可采用S3026或S2403F交换机。网管网设备满足以下要求：1.网管网省网管中心路由器：特性指标说明外型尺寸19吋机盒结构标准宽度扩展能力I/O插槽数*2保证网管网的扩展性处理能力背板总线容=1G确保网络的整体性能最 优整机转发能力=80KPPS网络协议支持TCP/1 Pb议族(I PTCPUDP ICMPARP)保证对IP网络的支持路由表项5000135路由协议支持静态路由、RIP、OSPFV

57、 BGP链路层协议PPP/氏 he r netFRX25安全特性支持配置安全对登录用户进行认证不同级别用户有不 同的配置权限；用户认证方式：本地验证、RADIUS验 证协议报文安 全OSPF. RlPV2 的 报文明文认证和MD5密文认证,支 持SNMPV3的加 密和认证网络安全多层ACL包过滤（防火墙）.支持 PAP/CHAP 认证数据安全IPSeCS DES. 3DES网管方式SNMP、Telnet、ConSoIe 口接口类型支持FE： =1个 同异步串口： =2个 异步串口： =8个多种类型的接口的支持 满足采用不同的线路组 网环境要求工作温度：O 60 C 储存温度：-30、60 C

58、相对湿度：5 Z 95%无凝结2、网管网地市节点及汇聚节点网管路由器:特性指标说明外型尺寸4 9吋机盒结构标准宽度处理能力整机转发能力=2KPPS网络协议支持TCP/1P协议族(I PTCPUDP ICMPARP)保证对IP网络的支持路由表项2000项路由协议支持静态路由.RIP、OSPFX BGP链路层协议PPP/Ethe r netFRX25安全特性支持配置安全对登录用户进行认证,不同级别用户有不 同的配登权限；用户认证方式：本地验证、RADIUS验 证协议报文安 全OSPF. RIP v2的报文明文认证和MD5 密文认证，支持SNMPV3的加密和认证网络安全多层ACL包过滤（防火墙）、支

59、持 PAP/CHAP 认证数据安全IPSeCS DESS 3DES网笛业务支持 能力支持反向TELNET网管方式SNMP、TelnetS ColISOIe 口接口类型支持IOBaseT: =1 个 同异步串口： =2个 异步串口： =8个多种类型的接口的支持 满足采用不同的线路组 网环境要求工作温度：0 50 9储存温度：-30 60 9 相对湿度：595%无凝结3网管网交换机要求:特性指标说明外型尺寸19吋机盒结构标准宽度扩展能力I/O插槽数=1处理性能交换背板容*2G接口 2层处理能力任一端口 2层线速转发转发时延支持=32二层组播支持IGMP SnOOPingI GMRP生成树协议802

60、.1旅 STP, RSTPQoS及流控支持802.1 Pv 802. 3X安全特性支持配置安全对登录用户进行认证，不同级别用户 有不同的配置权限；用户认证方式：本地验证、RADIUS 验证CAMS访问管理服务器CAMS可对端口级进 行监控管理网络安全802.1X扩展业务支持端口业务能力支持端口镜徹、端口捆绑扩展带宽网管方式SNMP.群组管理（HGMP）.TelneX Console 口接口类型及数支 持10/100 BaseT: =20 个100 BaSeFX （单模、多模）（=2 个）可離性MTBF30000小时环境要求工作温度：0 60 9储存温度:-30 60 -C 相对湿度：5 95%