项目一_任务1_靳安市电子政务网平台设计方案

项目一_任务1_靳安市电子政务网平台设计方案内容摘要：

在具体分配地址时使用以下技术手段或方法： 1） 采用可变长度的掩码技术 (VLSM)。 2） 点对点的广域网线路连接，采用 30 位的地址掩码 ,最大限度节约地址资源；针对各个湖南工业职业技术学院 网络技术专业教学资源库 7 局域网 的大小，可分别采用 2 2 2 28 位长的掩码，既节约地址，又便于以后扩充。 3） 局域网、广域网地址采用不同的地址段，并适当留有余地，便于网络扩充时能够使用连续地址。 4） 各段地址尽可能在各地州用于相同的网络。 管理和互连地址规划 从省中心分配的 59 地址段中划分一段作为管理和互连地址段， 靳安市 政务外网所分配的地址段为 ，共 16 个 C 类地址段，我们使用其中第 1 个 C 类地址段作为管理地址段，第 2 个 C 类地址段作为互连地址段。 管理地址分配 如 表 1 所示。 表 1 管理地址分配表 设备 端口 ip 地址 备注 核心路由器 1 Loopback0 用于全局路由 Loopback1 用于管理 VPN 核心路由器 2 Loopback0 用于全局路由 Loopback1 用于管理 VPN 市政府汇聚交换机 Loopback0 用于全局路由 Loopback1 用于管理 VPN 市委汇聚交换机 Loopback0 用于全局路由 Loopback1 用于管理 VPN 河东汇聚交换机 Loopback0 用于全局路由 Loopback1 用于管理 VPN － 63 预留 市政府汇聚节点接入交换机 VLAN2 市委汇聚节点接入交换机 VLAN2 河东汇聚节点接入交换机 VLAN2 互连地址分配 如 表 2 所示。 表 2 互连地址分配表 设备 IP 地址 备注 核心路由器 1核心路由器 2 核心路由器 1市政府汇聚交换机 核心路由器 2市政府汇聚交换机 核心路由器 1市委汇聚交换机 核心路由器 2市委汇聚交换机 核心 路由器 1河东汇聚交换机 湖南工业职业技术学院 网络技术专业教学资源库 8 核心路由器 2河东汇聚交换机 核心路由器 1出口防火墙 防火墙 1外部数据中心 1 防火墙 2外部数据中心 2 核心路由器 1内部数据中心防火墙 1 核心路由器 2内部数据中心防火墙 2 内部数据中心防火墙 1交换机 1 内部数据中心防火墙 2交换机 2 防火墙－负载均衡 核心路由器 1省政务外网 核心路由器 2省政务外网 预留 用户地址规划 省中心对各地州的 IP 地址做了统一的规划和分配， 靳安市 政务外网所分配的地址段为，共 16 个 C 类地址段，内部和外部数据中心使用 1 个 C 类 地址段，用户地址使用后 14 个 C 类地址段，分配原则如下： 内部数据中心和外部数据中心各分配 128 个地址 内部数据中心： 外部数据中心： 预留： 横向 VPN 分配 1 个 C 类地址段，每个汇聚点分配 64 个地址 市政府汇聚点： 市委汇聚点： 河东汇聚点： 预留： 各市直单位纵向 VPN 分配 59 段 IP 地址，原则上为每个市直单位分配 8 个地址。 纵向 VPN用户使用私网 172地址段，由汇聚交换机将这些 172地址段转换为 59地址后在政务网上传播。 由于初期各个单位对纵向 VPN 的需求不确定，因此我们按汇聚点预分配 59 地址段，一旦某个单位有相应的需求时，再从预分配的地址段中进行地址分配。 市委汇聚点单位纵向 VPN 地址段： 市政府汇聚点单位纵向 VPN 地址段： 河东汇聚点单位纵向 VPN 地址段： 考虑到 IP 地址数量有限，对于各单位访 问 Inter 的的公网 VPN 则由市政府从 10 地址段中进行统一分配，原则上每个单位分配一个 C 类地址段，用户访问 Inter 时，由防火墙对 10 地址段进行地址转换，访问横向 VPN 和内部数据中心时，由汇聚设备将这些 10 地址转换为政务外网 59 段地址后在政务外网上传播。 湖南工业职业技术学院 网络技术专业教学资源库 9 VLAN 规划 由于每个单位需要划分为纵向 VPN、横向 VPN 和公网 VPN，加上管理 VLAN，我们必须为每个单位规划 4 个 VLAN，虽然汇聚交换机之间二层是隔离的， VLAN 资源可以重复使用，但是考虑到管理的方便，出了管理 VLAN 和横向 VLAN 外 ，我们对所有单位的纵向 VLAN 和公网 VLAN资源应进行全网统一规划，不使用重复的 VLAN 号码。 管理 VLAN： VLAN2 横向 VLAN： VLAN3 纵向 VLAN：从 VLAN 301 开始分配，每个单位 1 个 VLAN 公网 VLAN：从 VLAN 101 开始分配，每个单位 1 个 VLAN 主机名规划 主机名规划 如 表 3 所示。 表 3 主机名规划表 设备 主机名 备注 核心路由器 1 ZWWWC1 核心路由器 2 ZWWWC2 市政府汇聚交换机 ZWWWSZFD1 市委汇聚交换机 ZWWWSWD2 河东汇聚交换机 ZWWWHDD1 市政府汇聚节点接入交换机 参见附件 1 市委汇聚节点接入交换机 参见附件 1 河东汇聚节点接入交换机 参见附件 1 IGP 路由规划 考虑到长沙电子政务外网的网络规模和主备线路需求，尤其从网络结构上来看，在核心层和汇聚层采用动态路由协议，实现主备路由的自动切换应当是比较合理的。 核心层和汇聚层所有 3 层设备都能够很好的支持 TCP/IP 的标准链路状态路由协议 OSPF，因此我们在核心层和汇聚层使用 OSPF 路由协议，实现流量的负载均衡和链路的自动切换。 对于 靳 安市 政务内网的 IGP 规划，有两种选择： 第一种模式： 与省政务外网运行同一个 OSPF 进程，采用多区域（ AREA）模式，省网运行于 AREA 0， 靳安市 政务外网运行于 AREA 731。 第二种模式： 与省政务外网运行不同的 OSPF 进程，且不需任何 OSPF 的注入，即两张网不交换路由信息，省、市之间的路由互通依靠基于 MPLS VPN 的静态路由来完成。 结合 靳安市 政务外网 MPLS VPN 和 BGP 的规划，我们采用第二种模式。 对于互联网接入区、外部数据中心、综合安全管理区、内部数据中心等节点，由于是连接至防火墙等安全设备， 我们使用静态路由实现网络的联通性。 路由 设计 如 图 5 所示。 湖南工业职业技术学院 网络技术专业教学资源库 10 图 5 靳安市 电子政务外网 路由设计 MPLS VPN 规划 1． BGP 连接规划 此处 设计 的 BGP 连接规划主要是指 靳安市 电子政务网络平台内部 基于 MPLS VPN 的 MPBGP的规划。 在 BGP 路由协议中，运行 BGP 路由协议的网络设备可以建立两种邻居关系，一种为 EBGP邻居，另一种为 IBGP 邻居，考虑到整个 MPLS VPN 组网的方式和以后维护上的简单与便利，不建议使用跨域的 MPLS VPN，也就是说在网络中不会存在 EBGP 邻居关系，因此下面我们 在只有 IBGP 的情况下对 BGP 规划进行分析。 由于 靳安市 电子政务网络平台是一个基于 MPBGP 的 MPLS VPN 平台，并且与省电子政务网络之间只有直连路由，不会互相交换普通路由信息，为了使省、市之间的 VRF 互联互通，我们采用静态路由的方式进行联接。 这样一来，在 靳安市 电子政务网络平台中的设备之间实现 VPN 互通时，在 BGP 邻居方面只可能是形成 IBGP 邻居。 按照 BGP 协议的要求， IBGP 邻居必须保证是全连通的，即：任意两台路由器之间都必须配置邻居关系。 如果这样实施会导致 N 平方问题，为了解决这个问题，我们使用路 由反射器技术，减少 IBGP 邻居关系的建立，减轻协议本身对网络资源的占用。 具体规划原则如下： 路由反射器（ RR）： RR 为 靳安市 电子政务平台中的两台核心路由器（ SR88），这两台路由器做为 靳安市 电子政务网络平台中的 RR。 各汇聚设备 S9505 等作为此 RR 的 Client，这些汇聚设备与两台 SR88 形成一个 Cluster。 湖南工业职业技术学院 网络技术专业教学资源库 11 需要说明的是，这两台 SR88 在 靳安市 电子政务平台内部扮演 P 路由器的角色，而根据省政府信息中心的建议，这两台路由器与长沙汇聚路由器 NE40 连接时暂时采用互为 CE 的连接方式，即它们通过静态路由协议互通 ；可以将 NE40 看作是 SR88 的 CE，同时也可将 SR88 看作是 NE40 的 CE，因此在长沙汇聚路由器 NE40 上并不需要启用 BGP 协议。 另外，由于采用了静态路由，两台 SR88 与 NE40 之间的网络连接不能实现动态备份，当一台 SR88 与 NE40 之间的连接中断后，只能通过手工配置的方式将这台 SR88 上的静态路由添加到另一台 SR88 上。 待省政务外网平台进行与地市连接统一规划完成后，连接方式可以灵活的根据省网的规划进行修改。 2． VRF规划 每个 靳安市 政府职能部门，建立两个 VPN： 纵向 VPN：规划为各职能部门的垂直 部门之间访问； Inter VPN：规划为各职能部门进行 Inter 的访问。 为全网建立一个横向 VPN，规划为各职能部门的兄弟部门之间的访问。 为全网建立一个管理 VPN，规划为网络管理使用，将此 VPN RT 值与内网数据中心 VPN RT值互相注入，可实现第三方网管软件对网络设备和内网数据中心服务器的管理。 在 靳安市 政府信息中心，除上面四个 VPN 外，需要建立如下 VPN： 公网出口 VPN： 为 靳安市 政务网 Inter 出口建立一个 VPN，该 VPN 与各职能部门的Inter VPN 互相引入，从而实 现各职能部门上 Inter 的需求，同时实现各职能部门Inter VPN 用户的隔离； 内部数据中心 VPN： 为 靳安市 政务网内部数据中心设立的 VPN，通过这个 VPN 与其他部门的路由标签互相引入，实现 靳安市 电子政务平台相关资源对所有职能部门的共享。 由于横向VPN 实现的功能和内部数据中心 VPN 的功能类似，也可将横向 VPN 的路由引入到内部数据中心 VPN，将横向 VPN 的服务器在逻辑上纳入到内部数据中心。 3． RT 规划 市委汇聚点 如表 4 所示。 表 4 市委汇聚点 规划表 序号 单位名称 地 址 VRF 名 称 RT 1 中共 靳安市 纪律检查委员会 (市监察局 ) 市委办公大楼（已接入） ASN:1900 ASN:1911 2 市委办公厅 市委办公大楼（已接入） ASN:2020 ASN:2020 3 市委组织部 市委办公大楼（已接入） ASN:2100 ASN:2111 4 市委宣传部 市委办公大楼（已接入） ASN:2200 ASN:2211 5 市委统一战线工作部 市委办公大楼（已接入） ASN:2300 ASN:2311 6 市委政法委员会 (市综治办 ) 市委办公大楼（已接入） ASN:2400 ASN:2411 湖南工业职业技术学院 网络技术专业教学资源库 12 7 市委政策研究室 市委办公大楼（已接入） ASN:2500 ASN:2511 8 市机构编制委员会办公室 市委办公大楼（已接入） ASN:2600 ASN:2611 9 市直属机关工作委员会 市委办公大楼（已接入） ASN:2700 ASN:2711 10 市人民政府台湾事务工作办公室 市委办公大楼（已接入） ASN:2800 ASN:2811 11 610 办公室 市委办公大楼（已接入） ASN:2900 ASN:2911 12 市接待办公室 市委办公大楼 （已接入） ASN:3000 ASN:3011 13 市委党史研究室 市委办公大楼（已接入） ASN:3100 ASN:3111 14 市委理论教育讲师团 市委办公大楼（已接入） ASN:3200 ASN:3211 15 市新闻出版局（版权局） 市委办公大楼（已接入） ASN:3300 ASN:3311 16 市人民政府地方志办公室 市委办公大楼（已接入） ASN:3400 ASN:3411 17 市社会科学界联合会 市委办公大楼（已接入） ASN:3500 ASN:3511 市政 府汇聚点 如表 5 所示。 表 5 市政府汇聚点表 序号 单位名称 地 址 VRF 名称 RT 1 市政府办公厅 市政府办公大楼（已接入） ASN:3600 ASN:36。