电子政务网络架构

1电子政务网络架构华为3Com技术有限公司政府技术部2目录1、电子政务建设概述2、网络架构详细分析3、政务网络案例分析3电子政务公司（法人）政府部门公众（自然人）政府员工电子政务建设的目标定位G2GG2CG2EG2B4目录1、电子政务建设概述2、网络架构详细分析广域网架构分析城域网架构分析局域网架构分析3、政务网络案例分析5广域网建设的关注点关注点1：MPLSVPN实现纵向业务系统的隔离关注点2：MPLSVPN跨域问题的解决关注点4：广域网流量统计分析，提供广域网优化科学依据关注点3：端到端的QOS部署，实现关键业务的带宽保障6县国土县林业县水利国土局林业局水利局林业厅水利厅省直省直国土厅省直2.5GRPRGEGE地市州EIN×2MN×2MCPOSFEFEGEGEFE地市州地市州XX县XX县地市城域网汇聚(PE)(PE)(PE)(P)(P)(P)(P)(P)(P)(P)(P)(PE)(PE)(CE)(CE)(CE)(CE)(CE)(CE)(PE)(PE)(PE)(CE)(CE)(CE)(CE)城域网广域网关注点1－MPLSVPN7关注点1－MPLSVPN省工商省税务10.0.1.0/2410.0.1.0/24CEMCE/PEPEPE政务网地市工商10.0.2.0/24内部服务器地市税务10.0.2.0/24CEPE内部服务器PE纵向VPN子接口MCE/PE8PEPEPERTIMPORT100:1EXPORT200:1RTIMPORT200:1EXPORT100:1RTIMPORT200:1EXPORT100:1RTIMPORT200:1EXPORT100:1HUBSPOKESPOKESPOKEPE省厅A市局B市局C市局关注点1－MPLSVPN9某部门省厅连接在PE1上,各地市局分别连接到PE2、PE3上。由于BGP/MPLSVPN是由PE与CE接口的VRF上配置的相应RT来决定路由关系的，因此在省厅连接的PE1相应VRF上配置RT值使该VRF可接收来自A市局、B市局、C市局的路由，并将自己的路由发送到A市局、B市局、C市局。在各市局PE上配置RT，使市局只能与省局交换路由而不能与其他市局直接交换路由。优点：省局集中控制VPN内的通信，可通过路由过滤的方式禁止市局间的直接通信，保障VPN内的可控性和安全性。如在A局病毒爆发时，可在省厅处通过路由将该市局隔离，避免病毒蔓延。缺点：一是省局成为单点故障，一旦省局连接的PE1发生故障，各市局间将不能正常通信。二是市局间数据交换集中在省厅所在PE上，增加了PE的压力。由于目前各部门纷纷采用数据大集中的数据交换模式，市局间的数据交换比较少，因此比较适合采用该模式。关注点1－MPLSVPN10PEPEPERTIMPORT100:1EXPORT100:1RTIMPORT100:1EXPORT100:1RTIMPORT100:1EXPORT100:1RTIMPORT100:1EXPORT100:1HUBSPOKESPOKESPOKEPE省厅A市局B市局C市局关注点1－MPLSVPN11某部门省厅连接在PE1上,各地市局分别连接到PE2、PE3上。由于BGP/MPLSVPN是由PE与CE接口的VRF上配置的相应RT来决定路由关系的，因此在省厅和各市局连接的PE相应VRF上配置RT值使该VRF可接收来自其余市局的路由，即省厅和各市局完全处于对等状态，相互之间完全可以交互路由信息。优点：无单点故障，无性能瓶颈。缺点：无法做到集中控制，安全性不高。关注点1－MPLSVPN12关注点2－MPLSVPN跨域要求ASBR设备为每个跨域的VPN分配子接口，因此可以可以实现跨域的流量监管，实现对每个VPN的计费，但是对ASBR压力非常大，并且PE设备需要维护跨域VPN的路由，可管理性和可扩展性较差；13关注点2－MPLSVPN跨域对ASBR压力最小，但由于需要建立PE间跨域的LSP，因此可管理性也比较差。14关注点2－MPLSVPN跨域对ASBR压力也比较大，但可以通过ASBR扩容来解决，没有PE设备跨域VPN路由维护问题，因此适用范围较广；15A省厅网络B省厅网络A市局网络B市局网络CECECECEPEPEPPPP在IP网络上，为了对不同业务提供不同的服务，主要是利用IP报文头部的TOS域来进行标记。根据TOS域来决定报文的转发行为PE在给报文加Label时，把IP报文携带的IP优先级标记映射到标签的EXP域，这样原来由IP携带的服务类型信息现在由标签携带由于P路由器不会检查内层MPLS标签，所以这个IP报文携带的IP优先级标记也必需映射到外层标签的EXP域。为了支持端到端QOS，每个LSP通过EXP域可以支持多达8种不同等级的业务为了支持端到端QOS，每个LSP通过EXP域可以支持多达8种不同等级的业务PE在去掉报文Label时，把标签的EXP域映射到IP报文携带的IP优先级标记上。这样原来由标签携带的服务类型信息现在由IP优先级标记携带关注点3－端到端QOS16网络流量监控网络应用分布网络瓶颈分析服务质量监控网络故障分析流量异常告警关注点4－网络流量统计分析17目录1、电子政务建设概述2、网络架构详细分析广域网架构分析城域网架构分析局域网架构分析3、政务网络案例分析18城域网建设的关注点关注点1：核心层采用RPR环网（50ms倒换）保证关键业务不中断关注点2：利用MPLSVPN实现各政府部门的安全隔离和受控互访关注点4：使用MPLSVPN维护软件实现对城域网VPN的灵活便捷部署关注点3：通过详细的流量统计分析工具实现对城域网流量的精确控制19ABCD拥塞1000M1000M1000M关键业务带宽保证（公平算法RPR-fa）带宽共享，为提高带宽利用率，建立公平机制公平算法是全局的、基于整个环网级别的通过监测流量、反压机制实现带宽管理可保证高优先级数据和控制无阻塞可通过设置节点的权重，实现加权公平关注点1－RPR环网20华为3COM的IP环网综合两种倒换方式的优点，采取两者相结合的方式，先Wrapping后Steering，达到最优的保护性能。ABCDEFABCDEFABCDEF正常情况下数据传送故障顺利立即启用Wrap方式的保护拓扑结构稳定后切换到Steering方式Wrap绕回方式，在故障边节点处自动环回。特点：速度快，基本无数据丢失，缺点是浪费带宽。Steering抄近方式，更改拓扑，重新计算路由。特点：速度慢，带宽利用高，但可能有数据丢失。关注点1－RPR环网21省政府市政府区县政府省工商局市工商局区县工商局省劳动厅市劳动局区县劳动局纵向网络结构横向网络结构横向网络：信息共享，跨部门协作纵向网络：业务运作，行业管理与监管政务网MPLSVPN关注点2－MPLSVPN22工商10.0.1.0/24MCE政务网前置机160.0.4.1/24税务10.0.1.0/24CE前置机160.0.1.1/24内部服务器10.0.1.1PEPEPE内部服务器10.0.1.1注释:•资源共享区前置机为一个共享VPN,其它职能部门前置机分别为独立的VPN•为保证安全性，前置机与内部服务通过网闸进行数据交换•各业务部门数据通过前置机上传到资源共享中心的数据库中•优势：采集的信息数据在政务外网上以VPN的方式传递，保障了数据的安全性前置VPN子接口资源共享中心数据库前置机160.0.2.1/24共享资源网站入口160.0.3.1/24前置VPN子接口公共前置VPN子接口PE关注点2－MPLSVPNFW数据库数据库数据库集中式互访23注释:•职能部门前置机分别为独立的VPN•优势：采集的信息数据在政务外网上以VPN的方式传递，保障了数据的安全性，通过RT的灵活控制，实现不同职能部门前置机的受控互访•集中式和分布式不是对立的，而是互补的关系工商10.0.1.0/24政务网前置机160.0.2.1/24税务10.0.1.0/24CE前置机160.0.1.1/24工商信用服务器10.0.1.1PE内部服务器10.0.1.1前置VPN子接口前置VPN子接口PEPE前置机160.0.3.1/24财政10.0.1.0/24CE内部服务器10.0.1.1前置VPN子接口MCE关注点2－MPLSVPN分布式互访24政务外网工商10.0.1.0/24CE门户网站160.0.3.1税务10.0.1.0/24CE门户网站160.0.1.1内部服务器10.0.1.1PEPEInternetvpn子接口PEInternet注释:•所有对公众提供访问的WEB服务器放到一个InternetVPN，政务外网出口防火墙作为CE设备•此方式适合门户网站采用ISP分配的地址•优势：实现简单，一个大的VPNDNS规划简单•劣势：政府部门访问政务外网门户网站产生迂回路由，增加防火墙负担公众服务中心数据库对外发布门户网站DNSInternetvpn子接口Internetvpn子接口数据库数据库MCEInternetvpn子接口PE防火墙可能执行一对一NAT操作关注点2－MPLSVPN公众访问125政务外网工商10.0.1.0/24CE门户网站160.0.3.1税务10.0.1.0/24CE门户网站160.0.1.1内部服务器10.0.1.1PEPE公网子接口防火墙可能执行一对一NAT操作PEInternet注释:•传统实现方式•优势：政府部门访问政务外网不产生迂回路由•劣势：如果采用ISP分配的地址，DNS规划复杂公众服务中心数据库对外发布门户网站DNS公网子接口公网子接口数据库数据库MCEPE关注点2－MPLSVPN公众访问226政务外网工商10.0.1.0/24CE门户网站160.0.3.1税务10.0.1.0/24CE门户网站160.0.1.1内部服务器10.0.1.1PE公网子接口防火墙可能执行二次NAT操作PEInternet注释:•对于防火墙接入，可采用公网子接口•对于MCE/PE接入，可采用VRF全局静态路由的方式，此方式的最大问题是部署的问题，也可以设置一条全局缺省路由指向连接Internet的PE设备，通过这台PE设备中转流量•如果采用ISP分配地址，DNS设计复杂公众服务中心数据库对外发布门户网站DNS公网子接口公网子接口数据库数据库MCEPEPE纵向VPN子接口PE设备必须执行NAT转换防火墙可执行NAT转换这时不用PE执行NAT操作关注点2－MPLSVPN内部访问Internet27政务外网税务10.0.1.0/24CE数据中心门户网站托管公众服务区PEPE公网子接口PE注释:•门户网站分配两个IP地址，一个为纵向网私有地址，用于加入纵向VPN，进行维护。一个为政务外网IP地址，用于提供公共服务，门户网站主机两网卡间不能起路由协议门户网站托管门户网站托管门户网站托管PEPE纵向VPN子接口防火墙可能执行NAT-PT操作私网IP10.0.2.1/28政务外网IP160.0.1.1/28维护数据流Internet访问流量关注点2－MPLSVPN托管网站维护28政务外网注释:•路由多实例设备（MCE）通过多个子接口上联到PE设备，其中公网子接口用于其余用户访问门户网站，纵向VPN子接口用于纵向系统访问，前置VPN子接口用于访问前置机。路由多实例完成安全隔离的功能。•纵向用户访问公网通过纵向VPN子接口，此时需要PE设备VRF表设置多条静态路由指向发布公众服务的PE设备，缺省路由指向Internet网关PE。•纵向用户访问政府资源共享业务通过纵向VPN子接口访问。•前置服务器和门户网站各分配两个IP地址，公有IP用于政务外网互访，私有IP为纵向网中地址，用于设备维护，前置服务器和门户网站两网卡间不能启用路由协议•PE完成NAT多实例操作前置服务器160。0。1。110。0。1。1门户网站160。0。2。110。0。1。210.0.1.0/24用户侧公网子接口前置VPN子接口纵向VPN子接口MCEPE关注点2－MPLSVPN接入方式－MCE29政务外网