云网融合系统解决方案

1、云网融合系统解决方案云网融合系统解决方案V1.0云网融合系统解决方案V1.0 目录TOC o 1-5 h z1概述22设计依据23设计原则2 HYPERLINK l bookmark2 o Current Document 4用户需求分析3 HYPERLINK l bookmark4 o Current Document 5设计方案4 HYPERLINK l bookmark6 o Current Document 5.1方案概述4 HYPERLINK l bookmark8 o Current Document 5.2网络设计4 HYPERLINK l bookmark10 o Curren

2、t Document 5.2.1传输网络设计方案5 HYPERLINK l bookmark12 o Current Document 5.2.2数据网络设计方案（高可靠、高安全MPLSVPN解决方案）55.2.3网络拓扑图：5 HYPERLINK l bookmark14 o Current Document 5.2.4VPN技术选型依据6 HYPERLINK l bookmark16 o Current Document MPLSVPN方案设计7 HYPERLINK l bookmark18 o Current Document VPN设计7 HYPERLINK l bookmark24

3、o Current Document 5.3.2MPLSVPN技术介绍95.4路由策略及IP地址规划12 HYPERLINK l bookmark36 o Current Document 5.4.1路由策略12 HYPERLINK l bookmark38 o Current Document 5.4.2IP地址规划13 HYPERLINK l bookmark44 o Current Document QOS策略14 HYPERLINK l bookmark54 o Current Document 网络可靠性设计14组网结构可靠性设计15设备可靠性设计选择15 HYPERLINK l b

4、ookmark62 o Current Document 网络安全设计16承载网网络安全概述16网络建设安全的具体建议17防火墙对各服器群的保护18防火墙对核心内部不同安全区域的保护18防火墙对网络边界的保护195.7.6完整的地址转换195.7.7建立完整、动态的安全防护体系19 HYPERLINK l bookmark68 o Current Document 5.7.8VPN系统概述20 HYPERLINK l bookmark70 o Current Document 5.7.9防火墙附带VPN功能205.7.10防火墙系统中的VPN作用215.7.11网络版杀毒软件设计21 HYPE

5、RLINK l bookmark72 o Current Document 5.8网络设备选型22核心路由设备22核心交换设备27 HYPERLINK l bookmark102 o Current Document 28个接入级设备291概述云网融合系统的建设目标是要利用各种先进、成熟的网络技术和通信技术，采用统一的网络协议（TCP/IP）,建设一个可实现各种综合网络应用的高速计算机网络系统。BMW各下属单位通过广域网络连接起来，通过可靠的、高速的和可管理的网络环境，为本单位用户提供广泛的数据资源共享、丰富便捷的网络应用，网络服务，BMW计算机网络系统是整个BMW信息化系统工程的重要组成部分

6、，是以广域网络、局域网为基础的现代化的网络系统，其中包括了网络和将来的应用系统建设。系统将为各接入单位提供应有的信息资源。并可以陆续将云上0A、各种应用系统、综合信息系统等系统进行有机的结合，有效实现内部办公自动化、多应用业务管理系统的运行以及信息化业务管理等功能。同时实现INTERNET接入，建立与外部信息资源的互通。通过设计和建设，我们将提供一个安全、方便、舒适、通讯快捷的云智能化工作环境。2设计依据中华人民共和国安全部计算机网络安全条例ITU-T国际电联联盟-电信标准委员会IEEE802.3以太网标准EIA/TIA568A、569、606、607及570A标准3设计原则我们将在设计BMW

7、全网网络系统计算机网络系统方案时仔细考虑以上各项因素，选择性价比最好的网络产品，以最高的性能价格比制订出最符合实际需求和满足BMW发展需要的方案。计算机网络系统应具有如下的特点：高效性、先进性在设计过程中，选用国际上技术先进、智能化的网络设备，服务器产品及其完善的应用软件系统，保证信息系统的通信速度，满足使用方的工作需要及日后系统扩展、升级的需要。可靠性、稳定性务必保证技术的成熟性，选用的网络设备必须具备较高的可靠性。高可扩充性随着技术的发展及应用水平的不断提高，设计方案能方便的进行升级、扩充，保护用户投资。安全性具备较强的过滤能力、预防能力，防止网上黑客进入系统，非法查询信息，破坏信息数据，

8、以保证整个系统的安全运行。开放性良好的兼容性，可与新技术保持同步。可管理、可维护性管理功能强大，易于管理，易于维护。实用性满足多种用户信息服务需求，具备较高的性价比，可为多种应用系统提供强大的支持平台。4用户需求分析BMW网络是信息化建设的重要内容，也是今后提高工作效率、开展多种业务（如数据、OA、VOIP、视讯等功能）的基础。本次建设系网络内网，承载业务主要包括各部门的局区县纵向网，以及部门间的行政报文审批、政务信息发布、资源共享平台及语音（IP电话）、视频（会议电视系统）等多种应用，通过VPN技术实现不同业务或部门间的安全隔离和可靠传输。综上所述，本次工程的主要建设内容如下：构建覆盖全网统

9、一的内部网络，包括传输线路、数据网络系统和其它业务应用（如数据、调度指挥、VOIP、视讯等功能）平台。注：每个节点可能包含各个部门办公机构等。为了保证此网络最大程度的服务于各部门信息化工作和提高服务水平，网络必须满足以下功能：各部门机构接入：必须满足目前和将来网络发展的要求，将全网各级机构等节点接入统一的信息网络平台。政务资源系统：政务城域网必须提供丰富的政务资源平台，在完备的安全体系架构下，充分实现资源的共享。安全体系架构：首先要保证内部不同业务部门之间数据、流量的安全隔离传输，如采用VPN技术；其次要保证网络与internet外部网络的安全隔离和网络入侵的有效防范。对外信息交流和数据交换：

10、网络利用它既可以从外部(Internet、Cernet)获取各种教学信息和资源，也可以通过城域网向外部公众发布政务信息、通告等。多业务支持能力：随着网络功能的不断完善，不仅将在市中心节点、市直机关部署IP电话业务，而且在区县节点也要全面建设IP话音系统，以便节省大量的日常话费支出；同时，将来还要全面开展视频会议、VOD等视频业务，利用多媒体手段丰富BMW局网络的管理等功能，因此，网络一定要有良好的多业务支持和扩充能力。先进的管理手段：为保证网络的稳定和可持续性发展，先进、集中的管理手段非常重要，一方面是城域网全网网络设备的集中管理和监控等，另一方面是应用服务系统的管理，如报文审批等。5设计方案

11、5.1方案概述根据网络设计思想及其应用需求，鉴于网络各部门的特殊安全性要求，在总体建设上我们采用业务与网络分层构建、逐层保护的指导原则，利用宽带IP技术，保证网络的互联互通性，提供具有一定QOS的带宽保证，并提供各部门、系统网络间的逻辑隔离(VPN),保证互访的安全控制。整网数据传输采用专线方式互联，为网络提供高可靠、高安全、高带宽的传输网络平台。对于基于同一传输网络之上的多个不同政府部门之间的业务和数据隔离，我们整网采用MPLSVPN技术实现了业务隔离，并能进行有效的QOS策略实施。所采用的传输及网络设备以及整体网络构架都具有良好性能、高可靠和可扩展性，充分保护用户投资。根据后续网络业务发展

12、的需求，可在现有数据网络平台基础上增加语音、视频功能，从而构建网络多网合一的完整网络平台。5.2网络设计根据以上对网络建设原则和需求的分析，我们分传输网络和数据网络两部分来进行建设方案和思路的阐述，下面将就两部分方案内容做详细介绍。5.2.1传输网络设计方案对于本次传输网络方案设计，按照网络的功能和特性要求，我们采用分层设计的方式，按照总部到28个接入点的广域网分别规划和设计。根据BMW信息系统的功能和特性要求和各类传输平台的分析，可以使用专线网络作为承载平台。到运营商的广域网建设中，我们建议使用155M带宽的链路，并支持后续的平滑升级，28个节点到运营商的广域网建设中，我们建议使用至少2M的

13、带宽链路，并支持后续的平滑升级，充分满足用户目前和将来多业务开展所需要的骨干带宽，保证BMW局网络的高性能。522数据网络设计方案（高可靠、高安全MPLSVPN解决方案）根据用户需求，本次建设主要是实现网络全网范围内59家单位的互联互通及信息资源的共享。5.2.3网络拓扑图：如上图所示，网络采用分层式结构设计，分为核心层和接入层网络，具体介绍如下：核心层网络：作为整个网络的逻辑中心，为全网提供高速数据和业务交换接入等功能，考虑到核心层网络的高可靠和高性能，我们建议采用单核心双主控的方式设计核心层网络路由设备。本次网络设计中，我们采用两台高端多业务路由交换机作为全网数据和业务的核心交换设备，核心

14、交换设备采用双核心方式设计，通过虚拟化技术，来简化网络结构，提升网络核心处理能力。我们选用的骨干路由器采用分布式处理结构，支持IPv4和IPv6双协议栈，支持高性能的MPLSVPN特性，为全网的业务隔离和安全提供了强有力的保障。为保证本次建设网络的安全性，我们在、与28个接入点部署网络安全防火墙和IPS,保证内部用户正常访问网络的同时，防范其他的安全威胁和攻击。数据中心网络：根据实际应用需求，以及当前数据中心建设，我们建议本次在组件数据中心是，选用专用的数据中心级别的路由交换机，根据目前情况，该交换机和核心交换机合并为同一台设备，后续可以根据业务扩展需要，在进行分离，以保证当前投资。核心交换机

15、和接入层交换机均使用IRF2技术实现虚拟化，提升网络性能，简化网络结构。同时使用万兆链路保证数据中心的链路带宽，解决该区域数据带宽瓶颈问题。接入层网络：对于28个接入层网络节点，通过部署一台性能中等路由器来连接到BMW局。考虑到基层技术力量的薄弱性，该设备需要简单，容易部署、支持通过中心直接下发配置来简化基层网络的维护工作。5.2.4VPN技术选型依据在网络建设中，不同的业务将在同一张物理网络之上承载，出于安全性的考虑，必须采用相应的技术手段进行安全隔离，而不同部门之间的部分资源又需要进行受控互访进行共享，所以隔离和互访是建设中的必然需求。目前业界主要的隔离与互访技术主要包括MPLSVPN、传

16、统的VLAN+ACL、IPTUNNELVPN技术，ACL+VLAN方式可以实现隔离、受控互访，部门之间的隔离采用VLAN方式，受控互访采用ACL进行控制，但每增加一个新的VLAN或是业务系统都要对以前所有业务系统的配置进行修改，可扩展性和维护性较差。在灵活性、QOS等方面，VPN方式也明显优于ACL+VLAN，所以建议在BMW局网络中采用VPN技术。当然VPN技术又主要分为IPTunnelVPN和MPLSVPN技术，IPTunnelVPN同样是每增加一个节点，都需要修改原有的N个节点的配置。所以，采用IPTunnelVPN组建的VPN也存在严重的可扩展性问题，当网络规模扩大时，隧道的建立及维护

17、难度急剧增大，相应的，对设备的性能压力也急剧增大。如果考虑VPN之间的互通，这复杂度更大,所以，IPTunnelVPN只适合于组建规模有限，拓扑简单的VPN。MPLSVPN是采用自动建立LSP（标签转发隧道）实现VPN报文在公网中的转发，采用MP-BGP协议实现VPN私网路由信息的扩散。从而大大减少了单个节点的配置工作量，MPLSVPN便于维护。同时，不同于IPTunnelVPN中VPN的隔离依靠手工配置实现，由于采用了动态协议实现VPN隧道(即LSP)的建立及VPN私网路由的扩散，在增加新的节点时，不需要对原有节点的配置进行修改。所以，相对于其他VPN技术，采用MPLS技术组建的VPN具有更

18、好的可维护性及可扩展性，MPLSVPN更适合于组建较大规模的复杂的VPN网络，MPLSVPN的这些优点已经是它成为BMW局网络上IPVPN的主流技术。所以在BMW局网络的规划过程中，结合网络可扩展、维护等方面的考虑，建议采用MPLSVPN技术实现在一个平台之上，承载多个系统业务，并实现安全隔离。5.3MPLSVPN方案设计在技术选型分析中，已经明确MPLSVPN技术相对其他技术有着不可比拟的优势，确定了MPLSVPN技术可有效的实现网络业务需求、安全控制、端到端QoS等。当前MPLSBGPVPN是目前应用较为成熟的一种MPLSVPN技术，目前各主流厂商互通性较好，商用实例较多。二层MPLSVP

19、N标准还不成熟，虽然各厂商都提出了相应的技术，但是都还不能完全实现互通，所以本次建设将采用MPLSBGPVPN。5.3.1VPN设计根据建设目标，是可以为某一系统提供专用的虚拟通信通道，组建系统横向、纵向的互联网络。将来还可以为视频会议服务提供公共的虚拟通信通道，保证视频会议的带宽要求。1、VPN划分策略：为每个业务系统划分一个VPN,如将数据业务系统划分为VPN1,特殊业务系统划分为VPN2。这样，不同的系统在骨干网通过VPN相互隔离。为一些单独的应用划分VPN,例如，可以为视频(或语音)业务专门划分一个VPN3，该VPN3相比其它对实时性要求不高的VPN(如VPN1,VPN2),具有更高的

20、队列优先级和带宽策略，从而保证了视频业务在骨干网络上的传输的服务质量(QOS),用不同的QOS策略与VPN技术结合，可以最大程度的保证全网业务的顺利开展和区别业务、区别不同服务质量。2、MPLSVPN部署：CE总部PE通过MPLSVPN隔离不同的业务路由器以VLAN方式接入到MPLSVPN中，实现隔离部门2支持802.1P到MPLSCOS的映射，保证QOSPECEXX接入点送营商网宰,4/IPLSVPNVPN1业务1VPN1业务2XX接入点XX接入点核心路由器设备作为MPLSVPN网络的PE设备，接入交换机作为CE设备，共同构成MPLS域。在MPLS域内（包括地市节点及区中心节点），通过OSP

21、F作为内部路由协议，保证MPLS域内各路由节点的连通性，采用MP-BGP作为MPLSVPN的信令，传播各VPN的私网路由信息。在PE的接入侧，为每个VPN划分一个子接口，对于不同部门属于不同VPN就对应几个子接口，并且VPN相应的VRF与子接口进行绑定，不同VPN的流量通过不同的子接口接入。3、MPLSVPN解决方案带来的优势：a）基于网络，易于管理：这种基于网络的VPN可以完全由骨干网络来实现，即网络用户不用关心VPN是如何构造的，而是目前构建的网络平台内完成，对最终用户透明。b）IP地址规划：不同VPN的IP地址可以相互重叠，使地址分配更加灵活。c）安全：由于基于MPLS/BGP实现，报文

22、在网络节点构成的MPLS域中采用标签转发的形式进行交换（LSP），因此具有同ATM/FR虚电路相同的安全级别；MPLSBGPVPN方案采用VRF实现VPN之间的路由隔离;通过MPLSLSP隧道将VPN流量完全隔离。d）QOS:由于基于MPLS/BGP实现，可以利用MPLS技术特有的CoS、RSVP,流量工程等机制，从而能够为用户实现有QoS保证的VPN。e）扩充性好：由于基于MPLS/BGP实现，因此很容易对网络节点进行扩充，网络可剪裁性好。在增加某个VPN的一个接入节点时，只需要配置该节点连接的PE路由器，不存在N平方问题。增加一项新业务系统时不会影响已有的业务，实现平滑扩展。MPLSVPN

23、业务模型与网络规模及拓扑无关。5.3.2MPLSVPN技术介绍1、MPLS实现原理一个标签（label）是一个短的、长度固定的数值，由报文的头部携带，它不包含拓扑信息，只具有局部意义。它同ATM的VPI/VCI以及FrameRelay的DLCI类似，是一种连接的标识符。MPLS包头的结构如下图所示，包含20比特的标签，3个比特的EXP，现在通常用做CoS，1个比特的S,用于标识这个MPLS标签是否是最低层的标签，和8个比特的TTL-TimeToLive。020232431标签EXPSTTL32比特X一一一2层头部MPLS头部IP头部数据图3-3-1MPLS标签如果2层协议具有标签域，如ATM的

24、VPI/VCI和FrameRelay的DLCI，标签封装在这些域中，如果不支持，标签封装在2层和IP层之间的一个薄层中。这样，标签能够被任意的链路层所支持。MPLS可以承载的报文通常是IP包（当然也可以改进直接承载以太包、ATM的AAL5包、甚至ATM信元等，这在MPLSVPN中有详述）。可以承载MPLS的二层协议可以是PPP、以太网、ATM和帧中继等。对于PPP或以太网二层封装，MPLS包头结构如上图所示，但是对于ATM或帧中继，MPLS则直接采用分别采用VPI/VCI或DLCI做为转发的标签。在MPLS中，一个标签标识了一个转发等价类（FECForwordingEquivalenceCla

25、ss）。一个转发等价类是在网络中遵循同样的转发路径的报文的集合，这些报文的目的地址甚至可以不同。MPLS可以看做是一种面向连接的技术。可通过MPLS信令（如LDP,LabelDistributeProtocol,标签分配协议）或手工配置的方法建立好MPLS标记交换连接（LabelSwitchedPath，简称LSP）以后，数据转发过程中，在网络入口进行流分类，根据数据流所属的FEC选择相应的LSP，把需要通这条LSP的报文打上相应的标签，中间路由器在收到MPLS报文以后直接根据MPLS报头的标签进行转发，而不用再通过IP报文头的IP地址查找。在MPLS标记交换路径的出口（或倒数第二跳），弹出M

26、PLS包头，还回原来的IP包（在VPN的时候可能是以太网报文或ATM报文等）。由于FEC可以是按照目的地址划分的，这同传统的IP转发相同，也可以是基于源地址、目的地址、源端口、目的端口、协议类型、CoS、VPN等等信息的任意组合。而MPLS可以把任何流关联到一个FEC，然后把一个FEC映射到一个LSP，这个LSP可以是为了这种FEC而特殊构造的，这使得服务提供商可以非常精确地控制网络中的每个流。这种空前的控制能力使网络能够提供更加有效和可预测的服务根据扩展方式的不同MPLSVPN可以分为BGP扩展实现的MPLSVPN,和LDP扩展实现的VPN。根据PE（ProviderEdge）设备是否参与V

27、PN路由又细分为二层VPN和三层VPN。同依赖于IPTunnel技术实现的传统IPVPN不同，MPLSVPN不依靠封装和加密技术，而是依靠转发表和数据包的标记来创建一个安全的VPN。2、L3MPLSVPN实现原理在L3MPLSVPN（又称MPLSBGPVPN）的模型中，网络由运营商的骨干网与用户的各个Site组成，所谓VPN就是对site集合的划分，一个VPN就对应一个由若干site组成的集合。但是必须遵循如下规则：两个Site之间只有至少同时属于一个VPN定义的Site集合，才具有IP连通性。MPLSBGPVPN的框架模型如下图所示：如图所示，基于BGP扩展实现的L3MPLSVPN所包含的基

28、本组件：PE:ProviderEdgeRouter，骨干网边缘路由器，存储VRF（VirtualRoutingForwardingInstance），处理VPN-IPv4路由，是MPLS三层VPN的主要实现者。CE：CustomEdgeRouter，用户网边缘路由器，分布用户网络路由。Prouter：ProviderRouter，骨干网核心路由器，负责MPLS转发。VPN用户站点（site）：是VPN中的一个孤立的IP网络，一般来说，不通过骨干网不具有连通性，公司总部、分支机构都是site的具体例子。CE路由器通常是VPNSite中的一个路由器或交换设备，Site通过一个单独的物理端口或逻辑端

29、口（通常是VLAN端口）连接到PE设备上。用户接入MPLSVPN的方式是每个site提供一个或多个CE，同骨干网的PE连接。在PE上为这个site配置VRF，将连结PE-CE的物理接口、逻辑接口、甚至L2TP/IPSec隧道绑定的VRF上，但不可以是多跳的3层连接。BGP扩展实现的MPLSVPN扩展的了BGPNLRI中的IPv4地址，在其前增加了一个8字节的RD（RouteDistinguished。RD时用来标识VPN的成员即Site的。VPN的成员关系是通过路由所携带的routetarget属性来获得的，每个VRF配置了一些策略，规定一个VPN可以接收哪些Site来的路由信息，可以向外发布

30、哪些Site的路由信息。每个PE根据BGP扩展发布的信息进行路由计算，生成每个相关VPN的路由表。PE-CE之间要交换路由信息一般是通过静态路由，也可以通过RIP、OSPF、BGP、IS-IS等。PE-CE之间采用静态路由的好处是可以减少CE设备可能会因为管理不善等原因造成对骨干网BGP路由产生震荡，影响骨干网的稳定性。PE与PE之间需要运行iBGP协议，存在可扩展性问题，但采用路由反射器RR可以显著地减少IBGP连接的数量。MPLS/BGPVPN提供了灵活的地址管理。由于采用了单独的路由表，允许每个VPN使用单独的地址空间中，称为VPN-IPv4地址空间，RD加上IPv4地址就构成了VPN-

31、IPv4地址。很多采用私有地址的用户不必再进行地址转换NAT。NAT只有在两个有冲突地址的用户需要建立Extranet进行通信时才需要。在MPLS/BGPVPN中，属于同一的VPN的两个site之间转发报文使用两层标签来解决，在入口PE上为报文打上两层标签，第一层（外层）标签在骨干网内部进行交换，代表了从PE到对端PE的一条隧道，VPN报文打上这层标签，就可以沿着LSP到达对端PE，这时候就需要使用第二层（内层）标签，这层标签指示了报文应该到达哪个site，或者更具体一些，到达哪一个CE，这样，根据内层标签，就可以找到转发的接口。可以认为，内层标签代表了通过骨干网相连的两个CE之间的一个隧道。

32、L3MPLSVPN通过和Internet路由之间配置一些静态路由的方式，可以实现VPN的Internet上网服务，还可以为跨不同地域的、属于同一个AS但是没有自己的骨干网的运营商提供VPN互连，即提供“运营商的运营商”模式的VPN网络互连。MPLS/MBGPVPN可以简化对用户端设备的需求和用户管理、维护Intranet/Extranet的复杂性，每个CE仅需要维持一个到PE的路由交换协议，CE间的路由交换、传输控制、路由策略由运营商根据VPN用户的需求来实施。由于BGP的策略控制能力很强，随之而来的是VPN用户路由策略控制的灵活性。5.4路由策略及IP地址规划5.4.1路由策略根据网络现有结

33、构，设计比较适合的路由协议。能够实现优化的网络路径选择，同时具有路径均衡功能，在网络结构发生变化时数据能够通过其他路径迂回，保证网络的畅通。当前主要的动态路由协议有RIP、IGRP、EIGRP以及OSPF。在工程实施中，选用OSPF协议，OSPF是基于Link_State的路由协议。在每个HOP上都定义了一个COST,OSPF认为COST之和最小的路径为最好。建议本网络内采用OSPF动态路由协议配合静态路由方式。OSPF协议采用多区(AREA)模式，具有较好的扩展性，而且AREA内的错误路由不会影响全网，大大增加了网络的可靠性。建议各接入节点采用静态路由设置，避免客户路由波动对骨干路由造成影响

34、。网络设备规模不是很大，建议划分在一个AREA内，将来接入节点设备增多的时候，建议每个站点划分一个AREA。5.4.2IP地址规划ip地址规划原贝g连续性IP地址分配要尽量分配连续的IP地址空间；相同的业务和功能尽量分配连续的ip地址空间，有利于路由聚合以及安全控制；可扩充性IP地址分配处理要考虑到连续外，又要能做到具有可扩充性.，并为将来的网络扩展预留一定的地址空间;IP地址的分配必须采用VLSM技术，保证IP地址的利用率；采用CIDR技术，可减小路由器路由表的大小，加快路由器路由的收敛速度，也可以减小网络中广播的路由信息的大小。4在公有地址有保证的前提下，尽量使用公有地址，主要包括设备lo

35、opback地址、设备间互连地址。IP地址规划方案鉴于本网络IP地址的资源情况，以及对于各单位原有纵向业务系统的对外IP地址分配须予以保留，并且考虑到以后公网IP地址资源的申请情况，提出从公网地址向公私网IP地址混合应用的规划方案，本网络除了对外提供服务的服务器、还有内部用户对外上网或其他访问Internet的业务需求，因此可采用公私网混合编址方式进行本次网络IP地址规划，同时在外网出口做NAT进行网络地址的转换。5.5QOS策略1、全网采用DiffServ模型2、主要按照业务类型确定优先级，相应的把视讯、语音等对实时性要求较高的业务打上高的优先级，保证其在网络传送中处于最先传送的有利地位。具

36、体建议：在网络QOS规划中，建议在接入层中进行流分类和限流，并采用WRED技术避免拥塞。在接入层交换机进行流分类，根据不同的IP子网、IP地址或TCP/UDP端口号，区分出不同的业务，然后根据每种业务的重要性的不同设置不同的IpPrecedence或者802.1P优先级。例如：实时IP语音业务:IpPrecedence=7VPN业务：IpPrecedence=5政府电子公文、电子邮寄等业务:IPPrecedence=3电子差旅管理、绩效考核管理等业务:IPPrecedences在市、区县中心的核心设备把IPTOS映射到MPLSCOS中，并配置LLQ进行队列调度。例如：IpPrecedence=

37、7的IP语音业务，映射到MPLS标签中，EXP=7，采用PriorityQueue队列进行调度，保证绝对优先。IpPrecedence=5的VPN业务，映射到MPLS标签中，EXP=5,采用BQ队列进行调度，把不同的业务放置在不同的队列内，例如：视讯业务放置在BQ1内，VPN1放置在BQ2内，VPN2放置在BQ3内，保证其传送的最低带宽，也就是说即使网络发生拥塞，网络也必须能够保证视讯、VPN业务的最低带宽。IpPrecedence=3或1的为服务质量要求不高的业务，把它放置到WFQ队列，这类业务流可以根据其优先级的不同，按比例分配带宽。5.6网络可靠性设计网络的安全运行，对信息网网络的可靠性

38、提出了很高的要求。特别随着政府各部门的信息化、数字化办公，可以说一旦网络/服务器等中断，将会使整个办公陷于瘫痪，引起严重的后果。因此在本网络的设计实施中必须对网络的可靠性进行详尽的考虑和设计。网络系统的可靠性由两个大部分组成，即承载网络的可靠性和应用系统的可靠性。应用系统的可靠性主要由服务器、存储设备、应用程序、数据库等的可靠性构成，在其它系统建议中说明；承载网络的可靠性则包括网络拓扑组网结构的可靠性及组网设备可靠性。组网结构可靠性设计网络组网结构的可靠性：1）核心交换机节点采用双机热备、双归属方式，采用主、备份两条线路极大提高网络的可靠性。2）在故障出现的时候，通过动态路由协议等机制，保证网

39、络数据自动迂回切换到连通的线路上，保证通信的正常进行。设备可靠性设计选择线路的备份主要解决了网络互通路径的问题，而节点设备的可靠则解决网络的有效运转。要保证BMW局网络平台的可靠性，必须要选用具备电信级可靠性的网络设备进行组网，才能使网络具有自动恢复能力、降低人工维护工作，达到准电信的可靠运行。本次方案中的核心、汇聚设备的高可靠性从硬件、软件、保护机制等几个方面体现：采用分布式体系结构：分布式体系结构是提高可靠性的基础，与集中式体系设备相比较，分布式体系设备除性能可以通过插入更多的接口处理板提高整体性能外，更为关键的是将管理、路由转发、接口处理等功能分配在不同的部件上，协同工作，分布式体系可以

40、分散故障风险、隔离故障、提供冗余配置，提高系统的自动恢复能力；如管理部件故障，只需要更换这部分板件，不影响其他功能。关键部件冗余：采用分布式体系下，对设备的关键部件，如主控管理单元、交换转发单元等，进行冗余构造配置，保证系统在工作中不会全部失效。实时热备份机制：在系统软件及硬件的支持下，关键部件在发生故障能自动启动备份系统，而且主备之间的切换要能够实时热倒换，即运行中即使发生设备故障切换也不会对网络业务造成影响。热插拔特性：设备任意单板需要支持热插拔特性，保证系统出现故障需要维护，或系统需要升级扩展时，不需要停机处理，保证网络的7X24小时不间断运行。冗余电源支持：冗余电源负载分担及备份供电可

41、保障系统具有可靠的能量源。散热系统：散热系统使设备长时间运行而不至因为系统升温过高出现故障，冗余风扇等散热装置可以增加设备的运行时间及减少故障发生。本次方案中的核心节点设备均具备以上特征，可以保障本网络的高可靠性和稳定性。5.7网络安全设计5.7.1承载网网络安全概述由于构成TCP/IP协议本身缺乏安全性，网络安全成为必须面对的一个实际问题。网络上存在着各种类型的攻击方式，包括：窃听报文攻击者使用报文获取设备，从传输的数据流中获取数据并进行分析，以获取用户名/口令或者是敏感的数据信息。通过Internet的数据传输，存在时间上的延迟，更存在地理位置上的跨越，要避免数据不受窃听，基本是不可能的。

42、IP地址欺骗攻击者通过改变自己的IP地址来伪装成内部网用户或可信任的外部网络用户，发送特定的报文以扰乱正常的网络数据传输，或者是伪造一些可接受的路由报文（如发送ICMP的特定报文）来更改路由信息，以窃取信息。源路由攻击一一报文发送方通过在IP报文的Option域中指定该报文的路由，使报文有可能被发往一些受保护的网络。端口扫描一通过探测防火墙在侦听的端口，来发现系统的漏洞；或者事先知道路由器软件的某个版本存在漏洞，通过查询特定端口，判断是否存在该漏洞。然后利用这些漏洞对路由器进行攻击，使得路由器整个DOWN掉或无法正常运行。拒绝服务攻击一一攻击者的目的是阻止合法用户对资源的访问。比如通过发送大量

43、报文使得网络带宽资源被消耗。Mellisa宏病毒所达到的效果就是拒绝服务攻击。最近拒绝服务攻击又有了新的发展，出现了分布式拒绝服务攻击，DistributedDenialOfService，简称DDOS。许多大型网站都曾被黑客用DDOS方式攻击而造成很大的损失。应用层攻击一一有多种形式，包括探测应用软件的漏洞、“特洛依木马”等。基于网络优化方案必须强调访问权限的控制。具体如下：单位内部工作人员安全要求：1）能访问本系统内部的服务器；2）能访问公共系统的服务器3）能访问单位内部OA、业务处理系统的服务器；4）不允许其他用户访问公共服务器网段安全要求：1）允许其他网段访问本网络中的服务器；2）允许

44、本网段访问其他网段5.7.2网络建设安全的具体建议BMW对内提供上网服务保持与外界的联系的同时，也是办公人员在Internet中查找相关资料以及办公使用。本次建设的重点是信息网的出入口和内部服务器区边界。为了便于集中管理，新建一个安全管理区，部署各安全产品的管理中心。通过部署防火墙，并根据不同安全要求设定相应的安全规则，实现实时的访问控制、身份认证、日志审计、黑客防范等目的，在保护内部网络安全的前提下，提供内外网络通讯，阻止来自其它安全域的非法用户对本安全域的入侵和破坏行为。通过部署网络防病毒软件，实现全省级联，集中监控，以及实现对全网络防病毒系统的统一管理与病毒查杀、计算机病毒传播；并生产相

45、关报表，建立病毒爆发预警及预测，保进一步提升用户网络的安全防护能力，确保XX用户信息化应用安全畅通。通过防火墙可以有效地监控非信任端接口和内部网之间的活动，形成保护内部网络的安全边界，保证内部网络和重要子网的安全。在网络中我们设计了1台防火墙，安全区边界部署一台防火墙。如下图所示：安全管理区:全骨理中心网络版防裤中心不信仃区域必区F1f+VP边界接入区域内初区域图0-1防火墙部署示意图在防火墙上通过设置安全策略增加对服务器的保护，同时必要时还可以启用防火墙的NAT功能隐藏网络拓扑结构，使用日志来对非法访问进行监控，使用防火墙与入侵检测联动功能形成动态、自适应的安全防护平台。下面将从几个方面介绍

46、防火墙在信息网的设计5.7.3防火墙对各服器群的保护在服务器相对集中的区域，如内网服务器区、DMZ区域，这些区域运行中重要服务器是需要着重保护的地方。通过在应用服务器区前方部署防火墙，配置合理的安全策略可以审核对服务器的访问，过滤非法的的访问请求、隐藏服务器相关信息。5.7.4防火墙对核心内部不同安全区域的保护对于核心内部不同安全区域部分，在实施策略时，也可以配置防火墙工作与透明模式下，并设置只允许各安全区域间只能访问业务所需的特定服务器和网络服务。也可以在防火墙上配置NAT或MAP策略，能够更好地隐藏内部网络地址结构等信息，从而更好地保护核心内部安全区域间的系统安全。防火墙对网络边界的保护对

47、于信息网的边界而言，单独地网络系统都是一个独立的网络安全区域，因此在网络边界处部署高性能防火墙系统，制定安全的访问策略，不仅可以有效地保护内部网络中的系统和数据安全，还可以防止各网络之间有意无意地探测和攻击行为。完整的地址转换网络卫士系列防火墙拥有强大的地址转换能力。网络卫士系列防火墙同时支持正向、反向地址转换，能为用户提供完整的地址转换解决方案。正向地址转换用于使用私有IP地址的内部网用户通过防火墙访问公众网中的地址时对源地址进行转换。网络卫士系列防火墙支持依据源或目的地址指定转换地址的静态NAT方式和从地址缓冲池中随机选取转换地址的动态NAT方式，可以满足绝大多数网络环境的需求。对公众网来

48、说，访问全部是来自于防火墙转换后的地址，并不认为是来自内部网的某个地址，这样能够有效的隐藏内部网络的拓扑结构等信息。同时内部网用户共享使用这些转换地址，自身使用私有IP地址就可以正常访问公众网，有效的解决了公有IP地址不足的问题。内部网用户对公众网提供访问服务（如Web、FTP服务等）的服务器如果是私有IP地址，或者想隐藏服务器的真实IP地址，都可以使用网络卫士系列防火墙的反向地址转换来对目的地址进行转换。公众网访问防火墙的反向转换地址，由内部网使用保留IP地址的服务器提供服务，同样既可以解决公有IP地址不足的问题，又能有效地隐藏内部服务器信息，对服务器进行保护。网络卫士系列防火墙提供端口映射

49、和IP映射两种反向地址转换方式，端口映射安全性更高、更节省公有IP地址，IP映射则更为灵活方便。建立完整、动态的安全防护体系在防火墙上除了通过设置安全策略来增加对服务器或内部网的保护以外，同时还可以启用防火墙日志服务器记录功能来记录所有的访问情况，对非法访问进行监控；还可以使用防火墙与将要实施的入侵检测系统之间的实时联动功能，形成动态、完整的、安全的防护体系。VPN系统概述在经济全球化的今天，在开展业务的，移动办公人员也随之剧增。在这样的背景下，这些出差移动办公人员与学校都可能经过互联网建立连接通道以进行信息传送，以及学们在校外维护安全维护Intranet。虚拟专用网是校园网网在因特网等公共网

50、络上的延伸，通过一个私有的通道在公共网络上创建一个安全的私有连接。虚拟专用网通过安全的数据通道将远程用户与校园网连接起来，构成一个虚拟专用网。在该网中的主机将不会觉察到公共网络的存在，仿佛所有的主机都处于一个独立的专有网络之中。公共网络仿佛是只由本网络在独占使用，而事实上并非如此，所以称之虚拟专用。之所以采用虚拟专用网是因为VPN有以下几方面优点：安全传输降低成本容易扩展完全控制主动权全方位的安全保护高的性价比使用和管理方便投资保护虚拟专用网VPN采用了一种称之为隧道的技术。隧道技术的基本过程是在源内部网与公用网的接口处将内部网发送的数据（可以是ISO七层模型中的数据链路层或网络层数据）作为负

51、载封装在一种可以在公用网上传输的数据格式中，在目的内部网与公用网的接口处将公用网的数据解封装后，取出负载即源内网发送的数据向目的内网传输。由于封装与解封装只在两个接口处由设备按照隧道协议配置进行，内网中的其他设备将不会觉察到这一过程，对与内部网用户来说这一切都是透明的。但提供了网络数据在不安全公网中安全传输的能力。防火墙附带VPN功能防火墙的VPN功能部署如下图所示：中廃出芹用户Y1)出遼用八5.7.10防火墙系统中的VPN作用通过部署VPN系统，在解决安全传输的前提下，主要为校内员工及学生提供以下服务：通信保密性策略：VPN在传输数据包之前将其加密.以保证数据的保密性，防止数据在通过互联网传

52、输过程中被窃听，造成信息泄露；通信完整性策略：VPN在目的地要验证数据包，以保证该数据包任传输过程中没有被修改或替换，防止数据在通过互联网传输过程中被篡改，造成信息失真，对业务带来破坏；通信身份认证策略：VPN端要验证所有受IPSec保护的数据包，特别是验证远程访问者的身份，确保只有那些合法用户才能建立远程连接，进行访问；抗重放策略：VPN防止了数据包被捕捉并重新投放到网上，即目的地会拒绝老的或重复的数据包，它通过报文的序列号实现。集中管理策略：对于远程用户，通过VPN集中管理器统一分发证书，这样能够很好地保持证书在网络中的唯一性，确保远程建立隧道时身份鉴别的有效性，防止非法的建立隧道并发起访

53、问。5.7.11网络版杀毒软件设计在传输中心专网上部署统一的网络防病毒软件，实现全省级联，集中监控，以及实现对全网络防病毒系统的统一管理与病毒查杀、计算机病毒传播；并生产相关报表，建立病毒爆发预警及预测，保进一步提升用户网络的安全防护能力，确保用户信息化应用安全畅通。本方案设计采用的是金山企业终端防护优化系统V8.0,为用户营造整体防病毒体系,该方案整体防毒的五点基本思想如下：1）、整体防毒体系是全方位、多层次的。在XX用户的方案中，金山企业终端防护优化系统V8.0防毒技术体现了对多种系统平台、多种应用系统的全面支持,保证斩断病毒传播的各种渠道，实现病毒的全面防范。2）、清毒技术是关键。金山企

54、业终端防护优化系统V8.0最新的云安全引擎技术在各个安全节点上高效、彻底地消除各种已知、未知病毒的威胁，使得病毒在安全节点上就得到有效的控制，而不会通过各种渠道进入用户内部，对内部网络资源和系统资源造成消耗和破坏。3）、防患于未然是管理的本质。金山企业终端防护优化系统率先引入“边界防御”概念，结合金山自身的“铠甲防御”、“移动设备5D实时防御”等技术，做到防患于未然，将病毒威胁拦截在系统边界。此外，在本方案中，金山企业终端防护优化系统V8.0强大的管理体现在实现跨多网络的集中管理系统，它保证了整个防毒产品可以从管理系统中及时得到更新，同时向管理人员提供web管理方式，使得管理员可以在任何时间、

55、任何地点通过浏览器对整个防毒系统进行管理，使整个系统形成一个有机的整体，保证各个安全节点在高效的指挥下对病毒进行有效的防御。4）、服务是整体防毒系统中的“灵魂”。服务的质量直接影响到防病毒系统建立起来之后，整个系统能否对病毒进行有效的防范。它不但要求安全厂商能及时地提供服务，还取决于安全厂商的技术实力。这需要厂商拥有的全球化的防毒研发体系为基础，同时也要求厂商具有深厚应用系统平台的研发实力，这样才能做到不管是系统使用中出现的问题，还是发现可疑的新病毒，都能进行快速的分析和方案提供。金山安全作为中国最优秀的软件及服务公司，可以全面满足XX用户的服务要求。5.8网络设备选型5.8.1核心路由设备为

56、保证核心网络的高稳定性，考可靠性，我们采用RUISEE公司的SR6600系列高端路 云网融合系统解决方案V1.0由器，其特征为：业界领先的开发理念路由器基于业界领先紧凑型设计理念，在2U高设备上不仅集成高密度高速端口，支持FIP-20和FIP-10灵活接口设计，还实现了可插拔冗余电源和模块、风扇可插拔功能，在保证设备高可靠性、网络配置灵活性的同时确保业务模块的兼容性，最大限度保护用户投资。灵活丰富的接口设计路由器凭借灵活接口平台设计具备强大的扩展能力。FIP-10可同时支持4个多功能接口模块（MIM）,FIP-20可以同时支持2个高速接口模块（HIM）或2个多功能接口模块（MIM）,并支持HI

57、M和MIM接口模块之间混插。路由器支持万兆、千兆、百兆以太网接口，支持POSOC-48/OC-12/OC-3、cPOSOC-3（通道化至E3/T3或E1/T1）、ATMOC-3、E3/T3、E1/T1、Serial等广域网接口。丰富的接口类型使得路由器既可作为广域网的汇聚接入，又可作为局域网的接入，一机多能，满足扁平化组网需求，减少网络层次，保护用户投资。在文件系统方面，提供了种类丰富的存储介质，支持外置CF卡和USB，除了满足用户日益增长的存储容量需求外，还为用户提供了灵活的存储方式，方便了用户采用不同的接口进行文件管理。强大的路由处理能力路由器支持大容量路由转发表项，同时支持丰富的路由策略

58、和强大的策略路由功能，可对网络流量进行灵活的控制和调度，满足行业和运营商用户不同业务特性要求。此外，还全面支持基于IPv4/IPv6静态路由和动态路由协议，如：RIP/RIPng、OSPF/OSPFv3、IS-IS/IS-ISv6、BGP/BGP4+等。专业的路由网关云网融合系统解决方案V1.0 随着公网IP地址资源的耗尽以及园区网络用户规模的激增，用户对网络出口路由设备NAT性能要求的逐步提高。凭借其先进的多核高性能处理技术，提供专门的内核处理NAT转发。当并发200万NAT连接时，256字节以及IMIX互联网混合报文的NAT转发性能超过lOGbps。上述强大的NAT转发性能可充分满足各种超

59、大型园区网出口设备性能要求，以及用户对未来网络的扩容需求。与此同时，越来越多的企业希望利用公共网络组建VPN，连接地理位置不同的多个分支机构。路由器支持全面的L2TP、IPSec以及GRE隧道技术，在硬件上支持独立的硬件加密内核，在不增加用户投资的前提下可提供8GbpsIPSec数据加密处理能力,6000条IPSec隧道、18000条L2TP隧道、4000条GRE隧道，高性能的加密能力以及超大的隧道容量可以满足各种大型加密网关的要求，保证用户数据在广域网的传输安全。此外，传统VPN技术在灵活性和可维护性上还存在着不足，例如企业分支机构通常采用动态地址接入公共网络，通信一方无法事先知道对端公网地

60、址，以及全连接时配置的问题等等。RUISEE针对上述用户业务需求，提供专业DVPN（DynamicVirtualPrivateNetwork，动态虚拟专用网络）解决方案：通过VAM（VPNAddressManagement，VPN地址管理）协议收集、维护和分发动态变化的公网地址等信息，解决无法事先获得通信对端公网地址的问题。DVPN可以在企业网各分支机构使用动态地址接入公网的情况下，在各分支机构间建立VPN。在组网的灵活性以及维护工作量精简都有大幅提高，此外还提供很多丰富的特性，例如：DVPN报文的NAT穿越、安全认证、IPSec的报文加密以及多VPN域等等。业务带宽的智能管理广域网上承载着企