xx省政务网专网方案设计建议书(编辑修改稿)

xx省政务网专网方案设计建议书(编辑修改稿)内容摘要：

3 2M 间平滑变动。 在省中心与地市之间利用其它运营商的 2M E1 线路备份组网，提高网络的可靠性。 优点： SDH 线路承载 IP 业务效率高，组网结构简单、维护方便，安全性高；覆盖范围广泛、运营商广泛支持，服务好，技术非常成熟，通过电信捆绑信道数，可以根据实际需要选 择带宽，降低线路租用费用，一定程度降低运行费用，且带宽可以平滑升级到 155M。 缺点：点到点连接对中心设备端口要求多，而且一般设备 CPOS接口比较贵，会增加设备投资；运营商开展这个业务需要附加设备，初装费用比较高；实施备份组网需要再拉线路。 专网广域网 IP OVER SDH线路组网方案分析 IP OVER SDH 线路组网方式如下图 49 所示： 图 39 组网说明： 在物理上广域网各节点使用运营商综合传输设备提供的 IP OVER SDH 线路，主要提供 100M 以太网接口。 中 心节点路由设备需要 支持 100M 以太网路由口，通过多条 100M 以太网线路与运营商 SDH 网相连，每个接口与地市节点间点到点对接；下面地市分别采用 1 个100M 以太网路由口与本地运营商 SDH 网相连；节点间实际通信带宽可以通过运营商捆绑的 2M 通道数，在 1 2M－ 48 2M 间平滑变动。 在省中心与地市之间利用其它运营商的 2M E1 线路备份组网，提高网络的可靠性。 优点： IP OVER SDH 线路 ,承载效率高，接口为 100 BaseFX,投资节省，技术成熟，维护方便，组网结构简单，安全性高；通过运营商捆绑 SDH 的信道数 ，可以根据实际需要选择带宽（ 1 2M－ 482M），降低线路租用费用，一定程度降低运行费用，且有效带宽可以平滑升级到 96M，保证将来对带宽的需要。 缺点：点到点连接对中心设备端口要求多，会增加设备投资；运营商支持不是很多，不利于竞争谈判降低线路费用；点到点之间互联不能象 PPP OVER POS 线路提供 PAP/CHAP 认证 ,最终能提供的最高带宽没有 POS 线路高；实施备份组网需要再拉线路。 在充分研究 了目前业界对设计一个广域 网 (WAN) 所采用的各种网络主干技术，并充分考虑到营运网络主干技术发展的主流和趋 势后，建议： 如果从运营成本考虑，物理传输平台可以使用 155M ATM线路，其按照 PVC计费有利于初期流量小时降低运行费用；但其承载效率比较低，对一些业务（如 IP电话）带宽占用会急剧增加，每 BIT承载成本与其它线路比也没有优势，以后扩容将会受到限制，如果以后流量增大，需要更多带宽时， ATM运行成本会比 POS高； 从技术发展前景及传输效率考虑，物理传输平台也可以采用 POS 线路技术 ,其承载效率高，安全性好 ,带宽高 ,可实现线路备份 ,可扩展性强，是运营商发展方向，具有多家运营线路，有利于降低综合成本，所以 建议采用 POS技术 ； 另外，也可以采用 100M 以太接口连接的 IP OVER SDH组网， 设备费用、线路租用费用均会较低，但最终在同一光纤、接口资源上提供的带宽没有 POS 线路的高。 逻辑网络连接上采用最终可向环带链的组网拓扑发展。 在将来的目标网络中建议重要节点如 XX 与九江等地采用环形连接，其余节点采用树型连接的组网方式，这样既可以节省费用，冗余性也得以保障。 可在保证网络的传输性能的情况下，又节省费用。 在本期暂时只考虑省中心节点的冗余设计即上图的 R1 处实际有两个路由器，其他节点按负荷分担原则，连到中心的两个节点。 具体实施可以采用核心高端路由器 R1上的 POS 口连接，这种技术可让 IP 数据包直接在光纤上传输，既大大提高在以 IP 应用为主的网络传输的效率和性能，又不额外添 加光纤终端设备。 第一期工程的实施中， XX 节点作为地市使用 1000M 的以太网接入专网，而其它的地市 R R3 等可以使用 POS 155M 接入； 另外，如果考虑专网流量相对较小， E1 线路捆绑可以降低运行费用，但会增加故障点。 在骨干节点可以采用现代光纤传输技术 POS，可以基于标准的 SDH 设备实现硬件级的环路保护。 在省中心与地市节点之间 采用其它运营商提供的专用线路（如 2M E1）作为备份，可以进一步提高网络的可靠性， XX 节点采用 FE 光纤接入骨干网核心路由器作为备份。 路由技术上采用 EBGP、 OSPF、 RIP、静态路由协议并加入 MPLS，构成 MPLS VPN 网络。 并划分若干自治区域，便于管理和减少路由发布的数量和规模。 同时每个区域的边界路由器作为 MPLS 网络的 PE 设备，并在上面划分VPN，做到 VPN 间的信息严格隔离。 省、地市的 PE 间互联采用租赁电信 155M POS 电路资源的式进行互联。 县级 PE 与地市之间，由于 POS 骨干网不完全 覆盖到县，因此可利用县与地市间的 E1 传输线路，将县 PE 通过 14 条 E1 线路直接接入到地市 SDH 光传输设备的 E1 接口上，实现互联，同时各条 E1 间可采用路由负载分担。 根据本项目一期建设的实际情况，主干节点只有 1 个节点，主干结点与汇聚节点之间的采用 1000M 光纤以太网。 考虑到网络以后的扩展性，骨干节点的选型应具有平滑的向光纤技术过渡的能力。 必须考虑到将来政务网向县级扩展，地市设备要作为县级扩展的中心接入节点，需要预留将来的扩展插槽及能力，县级网络线路主要 E1 使用及捆绑。 依据上述考虑建议采用华 为公司高可靠、高性能的 Quidway NE 系列路由器组建专网广域骨干网。 建议采用两台 NE80 GSR 作为省中心接入，两台 NE80 之间采用 GE 口通过光纤连接，今后业务量增加可以采用两个 GE口捆绑后再连接，一台 NE80 接入 4 个数据量较大的地市，另一台接入其他地市，省平台的城域网则与两台 NE80 都连接。 Quidway NE80 超过 72 MPPs 的转发能力，提供各种线速端口，支持 POS/ATM/FE/GE 等接口以及 MPLS VPN 等技术。 建议在各地市（包括 XX）采用 NE16E 作为专网地市广域网的互联设 备 ， NE16E 提 供 超 过 Mpps 的 转 发 性 能 、 支 持POS\CPOS\ATM\GE\E1 等接口。 NE 系列路由器使用电信级 VRP 软件，支持 RIP\OSPF\BGP 等标准路由器协议，支持 MPLS VPN，支持热插拔、关键部件冗余等可靠性特性，满足专网的高性能、高带宽、高可靠应用需求。 建议采用一台 NE16E 作为中心节点备份路由器，加插足够的 E1 接口模块，各地市的 NE16E 路由器加插 E1 模块，这样中心备份路由器通过 2M E1 线路与各地市建立备份连接。 XX 市通过 FE 光纤接口与备份路由器连接。 专网网网络结构下图所示： 图 310 专网城域骨干网互联设计 城域网骨干层组网主要使用千兆以太网技术，组建高速的宽带 IP网。 对于有多个骨干节点的 POP 点，如 XX，在骨干节点使用核心路由交换机，节点间组成环网可以提供路由保护及提高可靠性，如图 10所示，一级节点。 而对于只有一个骨干节点的 POP 点（大部分地市城域网、将来的县级城域网）节点使用一台核心交换机，下接多台骨干交换机进行端口收敛，如下图中的一个骨干节点（省政府）组网。 图 311 组网说明： 在城域骨干网，由于网络流量较大、接口较多，作为中心接入设备，高性能 的核心千兆路由交换机是必不可少的；当前可以在节点路由器上配置 MPLS， 划分若干 VPN， 在每个 VPN 包含一个或若干Vlan，将来 核心交换机不仅要支持 VLAN 等特性，还需要将来能扩展支持 MPLS VPN 组网。 核心交换机构成城域骨干核心会聚和交换中心，同时通过 GE光口上连到广域网骨干路由器，设置在省委和省信息中心的汇聚交换机通过 GE 光口互联。 核心汇聚为二级骨干节点及接入层提供 GE 的通道接口。 对于有二级骨干节点的城域网，在二级节点使用中心交换机，通过千兆上行到核心交换机互联，并为接入层提供 100/1000M 以太网口的接入。 专网用户层网络结构设计 专网用户层接入设计 对用户接入层，考虑采用快速以太网接入方式实现对各单位用户的接入服务。 在每个地市，宽带城域网骨干层交换机与广域网路由器之间用千兆以太网连接，而大量快速以太网络接入则分别接到城域网的汇聚点内的交换机上，利用第三层网络交换机实现虚拟网间的通讯隔离和分布式处理。 对于距离超过 500m 的用户，建议采用光电转换期延长以太网用户的距离，最大可到 10 公里，实现以太网接入。 用户接入层和汇聚层交换机组成如下图的拓朴结构。 接入层交换机每个端口 与地市各厅、局单位路由器或安全网关相连接。 为了使不同厅、局单位的网络完全隔开，交换机每个端口须独占一个 Vlan，这样，不同厅、局单位网络在第二层实现了隔离。 用户接入层的交换机需要支持 协议。 图 312 专网 VPN互联设计 根据专网的建设目标，可以为某一系统提供专用的虚拟通信通 道，组建系统纵向的互联网络，以及横向的公共服务访问，如： －为省政府提供与各部门通信的办公虚拟通道 －为省直各部门提供与部门内纵向通信的虚拟通道 －为 IP 电话服务提供公共的虚拟通信通道，并保证 IP 电话的QOS 要求。 － WWW 访问服务等 即在横向上要实现部门间的部分主机及应用的跨部门访问（如WWW 访问、 IP 电话等）；在纵向上实现各系统机要、国办、中办等部门的内部互联。 为实现这些建设目标，保证政务网各系统的安全，必须要为各系统的网络互联提供安全隔离及网络服务质量保证，使用 MPLS VPN 及VLAN 技术是在 IP 网上解决这种安全隔离的最好手段。 城域网横向互访 VPN 构建 ：在专网城域网中，使用 VPN 技术来进行各系统的网络隔离及特殊应用的横向访问互通，保证网络安全，如下图所示，横向互访的有 IP 电话、共享 WWW 访 问等。 以 IP 电话互通访问来说明本地横向 VPN 的组网。 城域网内，对在本地有访问要求的系统及应用，如 IP 电话网关及共享 WWW 访问服务器，在本单位可与其他机器位于不同的 VLAN,实现了本地安全隔离，保证本地其它机器的安全。 在城域网不同的网络节点，这些需要横向互访的主机（ IP 电话网关）设备也分属于不同的 VLAN，如在省委与外贸厅，这些主机是位于不同的 VLAN 的，这样避免了在一个 VLAN 内有太多的主机；当然，如果 VPN 内没有太多的主机，则可以将这些主机在城域网内设置在 1 个 VLAN 内，直接在二层互通，可以提 高网络效率； 如果没有任何路由措施，这些位于不同 VLAN 的主机是不能互通的； 在骨干网 PE 处（核心路由器），利用 MPLS 技术，将这些需要相互访问的主机（ IP 电话网关）的 VLAN，引入到同一个 VPN(VPN1)内进行路由，从而实现在城域网内机要主机对机要服务器的互访。 而其它没有被引入的 VLAN，如图中审计厅 VLAN2 内的主机，不能访问这个 VPN1 的成员的主机。 从而实现了城域网内的跨部门主机访问，又防止对各单位内部不需要横向访问主机的安全性。 图 313 城域网通过 VPN 实现横向互通和隔离 纵向 VPN 构建 ：横向 VPN 解决了城域网内的互通及安全隔离，在专网广域网上，则要利用 MPLS VPN 组网实现各系统间纵向网络的互联，以及相互之间的安全隔离，如省委内部办公主机地市与省之间的互联、 IP 电话系统在省市之间的互联等，如下图所示。 下面仍以IP 电话系统纵向访问说明。 图 314 广域网通过 VPN 实现纵向互通和隔离 如图所示，在城域网中，不同部门 IP 电话网关，如在外贸厅IP 电话网关位于 VLAN1 内，在省委 IP 电话网关则在 VLAN4 内；这些网关与其它部门主机相互隔离，确保不被非法访问。 在 VLAN 统一的出口处，专网广域网的 PE 设备，将各 IP 电话网关所在的 VLAN 引入到相应的 VPN 中，通过广域网实现 VPN 内的互通。 如在省厅 IP 电话网关属于 VLAN1，省委 IP 电话网关在 VLAN4，它们 VLAN 的出口网关 PE 处， PE 将 VLAN VLAN4 的路由信息引入到属于 VPN1 的 VRF1 内，而数据则根据 VRF1 进行转发路由，这样可以实现 VLAN1 及 VLAN4 在本地的横向互通； 同理，地市政府的 IP 电话网关在地市城域网属于 VLAN11,在地市广域网骨干节点 PE 处， PE 将 VLAN11 的路由信息引入到骨干网的VPN1 内；在广域网内通过 VPN1 的转发表 VRF1 进行路由、封装和转发，从而实现 IP 电话在地市与省之间的纵向互通； 由于 VPN1 只引入了公共 IP 电话网关所在的 VLAN，因此。