网络技术培训系列课程：MPLS技术-5.某市电子政务外网规划与设计

某市电子政务外网规划与设计学习目标了解市级电子政务外网的业务应用与网络架构掌握电子政务外网各种网络参数的规划设计方法掌握电子政务外网MPLS/VPN技术的应用课程内容第一章某市电子政务外网项目背景介绍第二章某市电子政务外网网络参数设计方法第三章某市电子政务外网MPLS/VPN网络设计3第一章某市电子政务外网项目背景介绍项目前期背景介绍某市各级政府单位办公网络现状网络结构:”孤岛”式的办公网络互联网出口:重复投资业务互访:部署较为困难,成本高业务隔离:缺乏严格、有效的隔离措施网络设备缺乏统一管理…第一章某市电子政务外网项目背景介绍某市各级政府单位级别分类市级单位某市公安局、某市统计局、某市地震局等区(县级市)级单位西岗区政府、西岗区公安局、西岗区统计局、瓦房店市政府、瓦房店市公安局第一章某市电子政务外网项目背景介绍某市各级政府单位级别分类存在下级单位的委办局市公安局、市财政局等不存在下级单位的委办局市地震局、市林业局等第一章某市电子政务外网项目背景介绍某市各级政府单位级别分类知名委办局市公安局、市财政局等非知名委办局纠风办、市政府接待办、市发展改革委振兴办、市外办签证处等第一章某市电子政务外网项目背景介绍某市各级政府单位分布简单示意图西岗区西岗区财政局某市公安局某市财政局西岗区政府中山区甘井子区政府甘井子区沙河口区政府沙河口区中山区政府沙河口区公安局某市林业局甘井子区公安局中山区公安局某市政府沙河口区财政局甘井子区财政局第一章某市电子政务外网项目背景介绍某市电子政务外网项目目标新网络平台建设业务隔离与互访的统一管理统一互联网出口统一电子政务外网出口服务器集中托管第一章某市电子政务外网项目背景介绍某市电子政务外网项目建设后的现状拓扑互访区第一章某市电子政务外网项目背景介绍各委办局网络结构MPLS/VPNXGQ_PE_02各委办局CE设备…互联区内联区互访区共享区互联区内联区互访区共享区委办局A委办局B互联区内联区共享区委办局C互联区内联区互访区共享区…委办局D第一章某市电子政务外网项目背景介绍各委办局功能区介绍互联网区各接入委办的互联网区是唯一具有Internet访问权限的区域，由电子政务外网平台统一实现Interne的高速访问和安全控制；该功能区同时可以访问网站中心的互联共享区以及辽宁省电子政务外网以及国家电子政务外网内的资源。内联网区内联网区即纵向访问区，同一委办的各接入单位内联网区及其托管服务器区处于一个VPN中，实现各接入单位的互联互通，并与其他接入单位安全隔离；第一章某市电子政务外网项目背景介绍各委办局功能区介绍互访区互访区即横向访问区，按照不同委办间特殊应用的互访要求，可通过互访区实现不同委办接入单位的横向受控访问；共享区各接入委办的共享区是唯一具有信息中心共享服务器访问权限的区域；课程内容第一章某市电子政务外网项目背景介绍第二章某市电子政务外网网络参数设计方法第三章某市电子政务外网MPLS/VPN网络设计14第二章某市电子政务外网网络参数设计方法委办局IP地址及VLAN设计委办局VRF设计设备命名设备管理地址及互联地址设计第二章某市电子政务外网网络参数设计方法委办局IP地址及VLAN设计地址段从/8中进行分配委办局IP地址分配的参考因素（第2、3个字节的分配）1.行政区域2.物理区域3.委办局名称(编号)4.功能区编号第二章某市电子政务外网网络参数设计方法委办局IP地址及VLAN设计委办局IP地址分配的参考因素行政区域编码-5bits第二章某市电子政务外网网络参数设计方法委办局IP地址及VLAN设计委办局IP地址分配的参考因素委办局编码-8bits每个行政区域内的知名委办局的编号为100以下每个行政区域内的非知名委办局的编号为100-200之间同一机构上下级单位使用相同的编号第二章某市电子政务外网网络参数设计方法委办局IP地址及VLAN设计委办局IP地址分配的参考因素功能区编号-3bits互联区：1内联网区：2互访区：3共享区：4第五区：5第二章某市电子政务外网网络参数设计方法委办局IP地址及VLAN设计委办局各功能区IP地址的设计方法第二章某市电子政务外网网络参数设计方法委办局IP地址及VLAN设计委办局各功能区VLAN编号设计方法采用“接入单位编号+功能区编号”方法进行定义。第二章某市电子政务外网网络参数设计方法委办局VRF设计每个功能区分配一个VRFVRF的设计包含下列内容VRFNameRDRTImport/Export第二章某市电子政务外网网络参数设计方法委办局VRF设计VRFName包含两个信息1.委办局名称采用“行政区缩写_行政区编号_接入单位编号”的方式。2.功能区编号互联区(1)、内联网区(2)、互访区(3)、共享区(4)第二章某市电子政务外网网络参数设计方法委办局VRF设计VRFRD的设计方法第二章某市电子政务外网网络参数设计方法委办局VRF设计VRFRT的设计方法委办局互联区VRFRT设计ExportRouteTarget：65500:10001ImportRouteTarget：65500:10000核心P设备连接的互联网出口VRFRTExportRouteTarget：65500:10000ImportRouteTarget：65500:10001第二章某市电子政务外网网络参数设计方法委办局VRF设计VRFRT的设计方法委办局内联区VRFRT设计ExportRouteTarget：65500:2+委办局编号+2ImportRouteTarget：65500:2+委办局编号+2第二章某市电子政务外网网络参数设计方法委办局VRF设计VRFRT的设计方法委办局互访区VRFRT设计ExportRouteTarget：等于该功能区VRF所对应的RD值ImportRouteTarget：根据实际需求进行配置第二章某市电子政务外网网络参数设计方法委办局VRF设计VRFRT的设计方法委办局共享区VRFRT设计ExportRouteTarget：65500：30001ImportRouteTarget：65500：30000共享服务器区的VRFRT设计ExportRouteTarget：65500：30000ImportRouteTarget：65500：30001第二章某市电子政务外网网络参数设计方法设备命名骨干P设备网站中心核心P设备：WZA_P_01数据中心核心P设备：SJA_P_02骨干PE设备采用“行政区域缩写_PE_行政区域编号”的方式接入CE设备采用“行政区域缩写_CE_CE编号”的方式第二章某市电子政务外网网络参数设计方法设备管理地址及互联地址设计骨干设备管理地址(Loopback地址)核心P设备与汇聚PE设备的Loopback地址从/24中选取-9/32分配给核心P设备00-131/32分配给核心PE设备第二章某市电子政务外网网络参数设计方法设备管理地址及互联地址设计骨干设备管理地址(Loopback地址)第二章某市电子政务外网网络参数设计方法设备管理地址及互联地址设计骨干设备互联地址第二章某市电子政务外网网络参数设计方法设备管理地址及互联地址设计骨干设备互联地址第二章某市电子政务外网网络参数设计方法设备管理地址及互联地址设计PE与CE的互联地址设计互联SVI的VLAN分配方法：将功能区的VLAN号加2000，作为分配给该功能区用于互联的VLAN号第二章某市电子政务外网网络参数设计方法设备管理地址及互联地址设计PE与CE的互联地址设计互联IP地址采取如下分配：从每个PE下面的4个功能区分配的的最后一个C类子网中按照顺序选取，作为PE与CE之间互联IP地址第二章某市电子政务外网网络参数设计方法设备管理地址及互联地址设计接入设备管理地址CE设备及CEX设备的管理VLAN采用VLAN9，网关地址为172.31.xxx.254,该地址在其所连接的PE设备上课程内容第一章某市电子政务外网项目背景介绍第二章某市电子政务外网网络参数设计方法第三章某市电子政务外网MPLS/VPN网络设计37第三章某市电子政务外网MPLS/VPN网络设计某市电子政务外网数据访问需求各委办局互联区的访问需求1.通过统一出口访问Internet及网站中心公众服务器区2.通过独立出口访问Internet3.通过统一出口访问教育网内的资源4.访问数据中心服务器区5.访问省或国家电子政务外网内的公开资源各委办局内联区的访问需求同一委办局上下级单位的纵向互访第三章某市电子政务外网MPLS/VPN网络设计某市电子政务外网数据访问需求各委办局互访区的访问需求根据业务互访需求部分委办局第五区的访问需求与省级委办局的纵向互访对省或国家电子政务外网内的用户提供服务访问第三章某市电子政务外网MPLS/VPN网络设计某市电子政务外网数据访问需求网站中心服务器区(托管各委办局的对公服务器)1.对民众提供网站等业务2.各委办局对服务器进行管理数据中心服务器区提供对电子政务外网内（包括省、国家）的用户提供服务提供服务器资源供某市电子政务外网内各委办局互联区访问第三章某市电子政务外网MPLS/VPN网络设计某市电子政务外网数据访问需求第三章某市电子政务外网MPLS/VPN网络设计基本设计骨干IGP协议设计MP-BGP对等体设计PE-CE间路由协议设计优化设计多出口设计网站中心服务器区设计省电子政务外网出口设计VRF内隔离需求设计委办局冗余接入设计骨干网拓扑设计第三章某市电子政务外网MPLS/VPN网络设计骨干IGP设计采用OSPF1.保证所有P/PE设备的Loopback地址能够通告出去并通过OSPF路由可达2.用来保证BGP、LDP的邻居关系建立，承载BGP会话、LDP会话以及发布CE设备管理网段路由3.为了加快OSPF邻接关系的形成，将骨干网络中接口的OSPF网络类型统一修改为point-to-point第三章某市电子政务外网MPLS/VPN网络设计MP-BGP对等体设计每台PE设备分别与两台核心P设备建立MP-IBGP邻居关系核心P设备将所有PE设备配置为反射器的客户端数据中心核心2网站中心核心1RR2Cluster-id=loopback0地址RR1Cluster-id=loopback0地址第三章某市电子政务外网MPLS/VPN网络设计PE-CE间路由协议设计PE-CE间使用静态路由协议电子政务外网MPLS/VPN网络默认路由静态回指路由将相应的VRF的静态路由重发布MP-BGP中,再传递给MPLS/VPN网络中其他MP-BGP对等体.VRF接口第三章某市电子政务外网MPLS/VPN网络设计PE-CE间路由协议设计PE-CE间使用静态路由协议第三章某市电子政务外网MPLS/VPN网络设计多出口设计多出口现状描述统一出口区第三章某市电子政务外网MPLS/VPN网络设计多出口设计多出口现状描述统一出口区流量第三章某市电子政务外网MPLS/VPN网络设计多出口设计多出口现状描述独立出口的流量第三章某市电子政务外网MPLS/VPN网络设计多出口设计详细策略设计第三章某市电子政务外网MPLS/VPN网络设计多出口设计潜在风险分析:线路级单点故障WZA_P_01与NPE50，NPE50与出口防火墙之间只存在一条链路设备级单点故障NPE50结构单点故障SJA_P_02没有连接出口设备第三章某市电子政务外网MPLS/VPN网络设计多出口设计网络结构优化目标拓扑:第三章某市电子政务外网MPLS/VPN网络设计多出口设计网络结构优化目标拓扑:第三章某市电子政务外网MPLS/VPN网络设计多出口设计网络结构优化设计:1.控制委办局互联区VRF访问Internet的流量的路由策略第三章某市电子政务外网MPLS/VPN网络设计多出口设计网络结构优化设计:2.控制从Internet返回委办局互联区VRF流量的路由策略第三章某市电子政务外网MPLS/VPN网络设计网站中心服务器区设计现状描述第三章某市电子政务外网MPLS/VPN网络设计网站中心服务器区设计潜在风险分析设备级单点故障核心交换机更改配置风险缺乏接入层安全优化功能部署第三章某市电子政务外网MPLS/VPN网络设计网站中心服务器区设计网络结构优化目标拓扑第三章某市电子政务外网MPLS/VPN网络设计省电子政务外网出口设计现状描述第三章某市电子政务外网MPLS/VPN网络设计省电子政务外网出口设计现状描述第三章某市电子政务外网MPLS/VPN网络设计省电子政务外网出口设计潜在风险分析结构单点故障出口线路出口接入交换机出口防火墙出口PEPE负载过大第三章某市电子政务外网MPLS/VPN网络设计省电子政务外网出口设计网络结构优化目标拓扑第三章某市电子政务外网MPLS/VPN网络设计省电子政务外网出口设计网络优化详细设计市审计局与省审计局纵向互访设计第三章某市电子政务外网MPLS/VPN网络设计省电子政务外网出口设计网络优化详细设计市委办局对省或国家外网访问第三章某市电子政务外网MPLS/VPN网络设计VRF内隔离需求设计应用描述第三章某市电子政务外网MPLS/VPN网络设计VRF内隔离需求设计应用描述第三章