电子政务网络架构

PE
PE
政务外网IP 160.0.1.1/28
PE PE
政务外网
Internet访问流量
维护数据流
注释: • CE
公网子接口
纵向VPN子接口
10.0.1.0/24 税务
门户网站分配两个IP地址，一个 为纵向网私有地址，用于加入纵 向VPN，进行维护。一个为政务 外网IP地址，用于提供公共服务， 门户网站主机两网卡间不能起路 由协议 27
PE 注释: • 所有对公众提供访问的WEB服务器 放到一个Internet VPN，政务外 网出口防火墙作为CE设备
• • 此方式适合门户网站采用ISP分配 的地址 优势：实现简单，一个大的VPN DNS规划简单 劣势：政府部门访问政务外网门 户网站产生迂回路由，增加 24 防火墙负担
Internet vpn子接口 门户网站 160.0.3.1 Internet vpn子接口
A省厅网络
CE
P P P
CE P
B市局网络
PE
PE
B省厅网络
CE
CE
A市局网络
为了支持端到端QOS， 每个LSP通过EXP域可 以支持多达8种不同等 级的业务
为了支持端到端QOS， 每个LSP通过EXP域可 以支持多达8种不同等 级的业务
PE在去掉报文Label时，把标 签的EXP域映射到IP报文携带的 IP优先级标记上。这样原来由 标签携带的服务类型信息现在 由IP优先级标记携带

地市州
地市城域网汇聚 N×2M
(CE) (CE)
县国土 县林业
(CE)
林业局 水利局
(PE)

(PE)
XX县
(CE)
县水利
国土局
XX县
6
关注点1－MPLS VPN
省工商
内部服务器
省税务
内部服务器
10.0.1.0/24
10.0.1.0/24
MCE/PE
CE
PE
PE
政务网
PE
纵向VPN子接口
数据库
数据库
数据库
数据库
前置机160.0.1.1/24
MCE
公共前置VPN子接 口
前置机160.0.2.1/24
共享资源网站入口 160.0.3.1/24 资源共享中心
前置VPN子接口
PEPE PE PE
政务网
注释:
•
前置VPN子接口
资源共享区前置机为一个 共享VPN,其它职能部门前 置机分别为独立的VPN
15
关注点4－网络流量统计分析
网络流量监控
网络应用分布
网络瓶颈分析
流量异常告警
网络故障分析
服务质量监控
16
目录
1、电子政务建设概述 2、网络架构详细分析
广域网架构分析
城域网架构分析 局域网架构分析
3、政务网络案例分析
17
城域网建设的关注点

关注点1：核心层采用RPR环网（50ms倒换）保证关键业务不中断
A F B F
A B F
A B
C E D E D C E D C
正常情况下数据传送
华为3COM的IP环网综合两种倒换方式的优点，采取两者相结合的方式，先Wrapping后Steering，达到最优的保护性能。
故障顺利立即启用Wrap方式的保护
拓扑结构稳定后切换到Steering方式
20
关注点2－MPLS VPN
纵 向 网 络 ： 业 务 运 作 ， 行 业 管 理 与 监 管
横向网络：信息共享，跨部门协作
纵向网络结构
省政府
横向网络结构
省工商局
省劳动厅
市政府
政务网 MPLS VPN
市工商局
市劳动局
区县政府
区县工商局
区县劳动局
21
关注点2－MPLS VPN
集中式互访
内部服务器10.0.1.1
工商 10.0.1.0/24
关注点2－MPLS VPN
接入方式－MCE
政务外网
公网子接口 前置VPN子接口
注释: • 路由多实例设备（MCE）通过多个 子接口上联到PE设备，其中公网子 接口用于其余用户访问门户网站， 纵向VPN子接口用于纵向系统访问， 前置VPN子接口用于访问前置机。 路由多实例完成安全隔离的功能。 纵向用户访问公网通过纵向VPN子 接口，此时需要PE设备VRF表设置 多条静态路由指向发布公众服务的 PE设备，缺省路由指向Internet网 关PE。 纵向用户访问政府资源共享业务通 过纵向VPN子接口访问。 前置服务器和门户网站各分配两个 IP地址，公有IP用于政务外网互访， 私有IP为纵向网中地址，用于设备 维护，前置服务器和门户网站两网 卡间不能启用路由协议 PE完成NAT多实例操作
13
关注点2－MPLS VPN跨域
对ASBR压力也比较大，但可以通过ASBR扩容来解决，没有PE设备跨域VPN路由维 护问题，因此适用范围较广；
14
关注点3－端到端QOS
在IP网络上，为了对不同业务 提供不同的服务，主要是利用 IP报文头部的TOS域来进行标记。 根据TOS域来决定报文的转发 行为 PE在给报文加Label时，把IP报 文携带的IP优先级标记映射到 标签的EXP域，这样原来由IP携 带的服务类型信息现在由标签 携带 由于P路由器不会检查内层 MPLS标签，所以这个IP报文携 带的IP优先级标记也必需映射 到外层标签的EXP域。
PE
PE
PE
政务外网
注释:
• • 传统实现方式 优势：政府部门访问政务外网不 产生迂回路由 • 劣势：如果采用ISP分配的地址，
CE
门户网站 160.0.3.1
公网子接口
10.0.1.0/24
DNS规划复杂 25
关注点2－MPLS VPN
内部访问Internet
工商
内部服务器 10.0.1.1 公众服务中心
PE
SPOKE
RT IMPORT 200:1 EXPORT 100:1
PE PE
SPOKE SPOKE
C市局
B市局
8
关注点1－MPLS VPN
某部门省厅连接在PE1上,各地市局分别连接到PE2、PE3上。由于BGP/MPLS VPN是由PE与 CE接口的VRF上配置的相应RT来决定路由关系的，因此在省厅连接的PE1相应VRF上配置 RT值使该VRF可接收来自A市局、B市局、C市局的路由，并将自己的路由发送到A市局、B 市局、C市局。在各市局PE上配置RT，使市局只能与省局交换路由而不能与其他市局直 接交换路由。 优点：省局集中控制VPN内的通信，可通过路由过滤的方式禁止市局间的直接通信，保 障VPN内的可控性和安全性。如在A局病毒爆发时，可在省厅处通过路由将该市局隔离， 避免病毒蔓延。 缺点：一是省局成为单点故障，一旦省局连接的PE1发生故障，各市局间将不能正常通 信。二是市局间数据交换集中在省厅所在 PE上，增加了PE的压力。 由于目前各部门纷纷采用数据大集中的数据交换模式，市局间的数据交换比较少，因此 比较适合采用该模式。
B C A D 拥塞
带宽共享，为提高带宽利用率，建立公平机制 公平算法是全局的、基于整个环网级别的 通过监测流量、反压机制实现 带宽管理可保证高优先级数据和控制无阻塞 可通过设置节点的权重，实现加权公平
19
关注点1－RPR环网
Wrap绕回方式，在故障边节点处 自动环回。 特点：速度快，基本无数据丢失， 缺点是浪费带宽。 Steering抄近方式，更改拓扑，重 新计算路由。 特点：速度慢，带宽利用高，但可 能有数据丢失。
防火墙可能执行二次NAT 操作 门户网站 160.0.3.1 防火墙可执行NAT转换 这时不用PE执行NAT操 作
CE
公网子接口
10.0.1.0/24
税务
•
关注点2－MPLS VPN
托管网站维护
门户网 站托管
数据中心 公众服务区
门户网 站托管 门户网 站托管 门户网 站托管
PE
防火墙可能执行NAT-PT 操作 私网IP 10.0.2.1/28
11
关注点2－MPLS VPN跨域
要求ASBR设备为每个跨域的VPN分配子接口，因此可以可以实现跨域的流量监管，实现 对每个VPN的计费，但是对ASBR压力非常大，并且PE设备需要维护跨域VPN的路由，可 管理性和可扩展性较差；
12
关注点2－MPLS VPN跨域
对ASBR压力最小，但由于需要建立PE间跨域的LSP，因此可管理性也比较差。
9
关注点1－MPLS VPN
省厅
RT
HUB
IMPORT 100:1
PE
EXPORT 100:1
RT
IMPORT 100:1 EXPORT 100:1 RT IMPORT 100:1 EXPORT 100:1
A市局
PE
SPOKE
RT IMPORT 100:1 EXPORT 100:1
PE PE
SPOKE SPOKE
3、政务网络案例分析
4
广域网建设的关注点

关注点1： MPLS VPN实现纵向业务系统的隔离

关注点2： MPLS VPN跨域问题的解决

关注点3：端到端的QOS部署，实现关键业务的带宽保障

关注点4：广域网流量统计分析，提供广域网优化科学依据
5
关注点1－MPLS VPN
省直 国土厅


关注点2：利用MPLS VPN实现各政府部门的安全隔离和受控互访

关注点3：通过详细的流量统计分析工具实现对城域网流量的精确控制

关注点4：使用MPLS VPN维护软件实现对城域网VPN的灵活便捷部署
18
关注点1－RPR环网
关键业务带宽保证
（公平算法RPR-fa）
1000M 1000M 1000M
C市局
B市局
10
关注点1－MPLS VPN
某部门省厅连接在PE1上,各地市局分别连接到PE2、PE3上。由于BGP/MPLS VPN是由PE与CE接口的VRF上配置的相应RT来决定路由关系的，因此在省厅和 各市局连接的PE相应VRF上配置RT值使该VRF可接收来自其余市局的路由，即 省厅和各市局完全处于对等状态，相互之间完全可以交互路由信息。 优点：无单点故障，无性能瓶颈。 缺点：无法做到集中控制，安全性不高。
10.0.1.0/24 税务
•
关注点2－MPLS VPN
工商
公众访问2
内部服务器 10.0.1.1 公众服务中心
数据库 数据库 数据库 DNS
10.0.1.0/24 MCE
公网子接口 防火墙可能执行一对一 NAT操作 门户网站 160.0.1.1 对外发布门户网站
公网子接口
CE
Internet
PE
PE MCE/PE CE
10.0.2.0/24 地市工商
10.0.2.0/24 地市税务
7
关注点1－MPLS VPN
省厅
RT
HUB
IMPORT 100:1
PE
EXPORT 200:1
RT
IMPORT 200:1 EXPORT 100:1 RT IMPORT 200:1 EXPORT 100:1
A市局
电子政务网络架构
华为3Com技术有限公司政府技术部
1
目录
1、电子政务建设概述 2、网络架构详细分析 3、政务网络案例分析
2
电子政务建设的目标定位
G2C G2G
公众（自然人）
电子政务
政府部门
政府员工
G2B
公司（法人）
G2E
3
目录
1、Biblioteka Baidu子政务建设概述 2、网络架构详细分析
广域网架构分析
城域网架构分析 局域网架构分析
公众访问1
内部服务器 10.0.1.1
工商
公众服务中心
数据库 数据库 数据库 DNS
10.0.1.0/24 MCE
Internet vpn子接口 防火墙可能执行一对一 NAT操作 门户网站 160.0.1.1 对外发布门户网站
Internet vpn子接口
CE
Internet
PE PE PE CE
政务外网
分布式互访
工商信用服务器 10.0.1.1
注释:
工商 10.0.1.0/24
• •
职能部门前置机分别为独立的 VPN 优势：采集的信息数据在政务外 网上以VPN的方式传递，保障了 数据的安全性，通过RT的灵活控 制，实现不同职能部门前置机的 受控互访
前置机 160.0.1.1/24
前置VPN子接口
MCE
为保证安全性，前置机与内部 服务通过网闸进行数据交换 各业务部门数据通过前置机上 传到资源共享中心的数据库中 优势：采集的信息数据在政务 外网上以VPN的方式传递，保障 了数据的安全性 22
前置机160.0.4.1/24
FW CE 10.0.1.0/24
• • •
内部服务器10.0.1.1
税务
关注点2－MPLS VPN
省直
林业厅
水利厅
省直
(CE)
(CE)
GE FE
(CE)

(CE)
GE FE
(CE)

(CE)
FE
GE
(PE)
(PE) (P)
(PE)
城域网 广域网
(P)
2.5G RPR
GE
(P)
(P)
(P)
CPOS 地市州
EI
(P) (PE)
地市州
(P) (PE)
(P)

(PE)
N×2M
PE
•
集中式和分布式不是对立的，而 是互补的关系
政务网
前置VPN子接口
PE CE CE
PE
前置VPN子接口
前置机 160.0.2.1/24 内部服务器 10.0.1.1
10.0.1.0/24 税务
前置机 160.0.3.1/24
10.0.1.0/24 财政
内部服务器 10.0.1.1
23
关注点2－MPLS VPN
数据库 数据库 数据库 DNS 纵向VPN子接口
10.0.1.0/24 MCE
公网子接口 门户网站 160.0.1.1
PE设备必须执行 NAT转换 对外发布门户网站 公网子接口
CE
Internet
PE PE PE
PE 注释:
政务外网
• •
对于防火墙接入，可采用公网子 接口 对于MCE/PE接入，可采用VRF全局 静态路由的方式，此方式的最大 问题是部署的问题，也可以设置 一条全局缺省路由指向连接 Internet的PE设备，通过这台PE 设备中转流量 如果采用ISP分配地址，DNS设计 26 复杂