《电子政务网络架构》PPT课件

MCE
10.0.1.0/24
用户侧
公网子接口
纵向VPN子接口
门户网站 160。0。2。1 10。0。1。2
注释:
• 路由多实例设备（MCE）通过多个 子接口上联到PE设备，其中公网子 接口用于其余用户访问门户网站， 纵向VPN子接口用于纵向系统访问， 前置VPN子接口用于访问前置机。 路由多实例完成安全隔离的功能。
门户网站 防火墙可能执行一对一N1A60.0.1.1 T操作
MCE
公网子接口
Internet
CE
PE
PE
政务外网
门户网站 160.0.3.1
PE CE
公网子接口
10.0.1.0/24
对外发布门户网站
公网子接口
PE
注释: • 传统实现方式 • 优势：政府部门访问政务外网不
产生迂回路由 • 劣势：如果采用ISP分配的25地址，
A市局网络
15
关注点4－网络流量统计分析
网络流量监控
网络应用分布
网络瓶颈分析
流量异常告警
网络故障分析
服务质量监控
16
目录
1、电子政务建设概述 2、网络架构详细分析
广域网架构分析 城域网架构分析
局域网架构分析
3、政务网络案例分析
17
城域网建设的关注点
关注点1：核心层采用RPR环网（50ms倒换）保证关键业 务不中断
PE在给报文加Label时，把IP报 文携带的IP优先级标记映射到 标签的EXP域，这样原来由IP携 带的服务类型信息现在由标签 携带
由于P路由器不会检查内层MPL S标签，所以这个IP报文携带的I P优先级标记也必需映射到外层 标签的EXP域。
A省厅网络
CE
P
PE
P
P
CE
B市局网络
P
PE
B省厅网络
故障顺利立即启用Wrap方式的保护
拓扑结构稳定后切换到Stee2ri0ng方式
华为3COM的IP环网综合两种倒换方式的优点，采取两者相结合的方式，先Wrapping后Steering，达到最优的保护性能。
关注点2－MPLS VPN
纵
横向网络：信息共享，跨部门协作
向
网 纵向网络结构
络
：
省政府
横向网络结构
注释:
• 职能部门前置机分别为独立的VP N
• 优势：采集的信息数据在政务外 网上以VPN的方式传递，保障了 数据的安全性，通过RT的灵活控 制，实现不同职能部门前置机的 受控互访
• 集中式和分布式不是对立的，而 是互补的关系
前置VPN子接口
PE
PE
前置VPN子接口
CE
前置机160.0.2.1 /24
PE
SPOK E
B市局
RT IMPORT 100:1 EXPORT 100:1
PE
SPOK E
C市局 10
关注点1－MPLS VPN
某部门省厅连接在PE1上,各地市局分别连接到PE2、PE3上。 由于BGP/MPLS VPN是由PE与CE接口的VRF上配置的相应RT 来决定路由关系的，因此在省厅和各市局连接的PE相应VR F上配置RT值使该VRF可接收来自其余市局的路由，即省厅 和各市局完全处于对等状态，相互之间完全可以交互路由 信息。
3、政务网络案例分析
4
广域网建设的关注点
关注点1： MPLS VPN实现纵向业务系统的隔离
关注点2： MPLS VPN跨域问题的解决
关注点3：端到端的QOS部署，实现关键业务的带宽保障
关注点4：广域网流量统计分析，提供广域网优化科学依 5
据
关注点1－MPLS VPN
省直 (CE)
FE
国土厅 (CE)
Internet
CE PE
Internet vpn子接口
门户网站 160.0.3.1
MCE
Internet vpn子接口
对外发布门户网站
Internet vpn子接口
PE
PE 注释:
政务外网
• 所有对公众提供访问的WEB服务器 放到一个Internet VPN，政务外
网出口防火墙作为CE设备
PE
• 此方式适合门户网站采用ISP分配
优点：无单点故障，无性能瓶颈。
缺点：无法做到集中控制，安全性不高。
11
关注点2－MPLS VPN跨域
要求ASBR设备为每个跨域的VPN分配子接口，因此可以可以实现跨域的流量监管，实现 对每个VPN的计费，但是对ASBR压力非常大，并且PE设备需要维护跨域VPN的路由，12可 管理性和可扩展性较差；
DNS规划复杂
关注点2－MPLS VPN
内部访问Inter
net
工商
内部服务器10.0.1.
1
10.0.1.0/24
纵向VPN子接口
公众服务中心
数据库 数据库 数据库 DNS
公网子接口
门户网站 160.0.1.1
Internet
CE PE
防火墙可能执行二次NAT 操作
门户网站 160.0.3.1 防火墙可执行NAT转换这 时不用PE执行NAT操作
Internet访问流量
注释: • 门户网站分配两个IP地址，一个
为纵向网私有地址，用于加入纵 向VPN，进行维护。一个为政务 外网IP地址，用于提供公2共7 服务， 门户网站主机两网卡间不能起路 由协议
关注点2－MPLS VPN
接入方式－MC E
政务外网
前置VPN子接口
PE
前置服务器 160。0。1。1 10。0。1。1
MCE
PE设备必须执行NA T转换
PE
政务外网
PE CE
10.0.1.0/24 公网子接口 税务
对外发布门户网站
公网子接口
PE 注释: • 对于防火墙接入，可采用公网子 接口 • 对于MCE/PE接入，可采用VRF全局 静态路由的方式，此方式的最大 问题是部署的问题，也可以设置 一条全局缺省路由指向连接Inter n转et流的量PE设备，通过这台P2E6设备中 • 如果采用ISP分配地址，DNS设计 复杂
省工商局
业
务
运
作
，
市政府
行
政务网 MPLS VPN
市工商局
业
管
理
与
监
管
区县政府
区县工商局
省劳动厅
市劳动局
区县劳动局
21
关注点2－MPLS VPN
集中式互访
内部服务器10.0.1.1 工商 10.0.1.0/24
数据库 数据库 数据库
数据库
前置机160.0.1.1/24
MCE
公共前置VPN子接 口
前置机160.0.2.1/24
的地址
CE
• 优势：实现简单，一个大的VPN
Internet vpn子接口
10.0.1.0/24
DNS规划简单 24 • 劣势：政府部门访问政务外网门
户网站产生迂回路由，增加
税务
防火墙负担
关注点2－MPLS VPN
工商
公众访问2 内部服务器10.0.1. 1
10.0.1.0/24
公众服务中心
数据库 数据库 数据库 DNS
CE
为了支持端到端QOS， 每个LSP通过EXP域可 以支持多达8种不同等 级的业务
为了支持端到端QOS， 每个LSP通过EXP域可 以支持多达8种不同等 级的业务
CE
PE在去掉报文Label时，把标 签的EXP域映射到IP报文携带的 IP优先级标记上。这样原来由 标签携带的服务类型信息现在 由IP优先级标记携带
(PE)
(CE) (CE)
国土局
林业局
水利局
县国土 县林业
县水利
XX县
XX县
6
关注点1－MPLS VPN
省工商
内部服务器
10.0.1.0/24
省税务
内部服务器
10.0.1.0/24
MCE/PE
CE
PE
政务网
PE
纵向VPN子接口
PE PE
MCE/PE
CE
10.0.2.0/24
10.0.2.0/24
7
• 各业务部门数据通过前置机上 传到资源共享中心的数据库中
• 优势：采集的信息数据在政2务2
外网上以VPN的方式传递，保障 了数据的安全性
关注点2－MPLS VPN
分布式互访
工商
工商信用服务器 10.0.1.1
10.0.1.0/24
前置机160.0.1.1 /24
前置VPN子接口
MCE PE
政务网
关注点2－MPLS VPN
托管网站维护
数据中心 公众服务区
门户网 站托管
门户网 站托管
门户网 站托管
门户网 站托管
防火墙可能执行NAT-PT 操作
私网IP 10.0.2.1/28
PE PE
PE
政务外网
PE
维护数据流
纵向VPN子接口
CE 10.0.1.0/24
公网子接口
税务
ห้องสมุดไป่ตู้
PE
政务外网IP 160.0.1.1/28
地市工商
地市税务
关注点1－MPLS VPN
A市局
RT IMPORT 200:1 EXPORT 100:1
PE
SPOK E
HU B
省厅
RT
IMPORT 100:1
PE
EXPORT 200:1
RT IMPORT 200:1 EXPORT 100:1
PE
SPOK E
B市局
RT IMPORT 200:1 EXPORT 100:1
共享资源网站入口16 0.0.3.1/24
资源共享中心
前置VPN子接口 前置VPN子接口
PE
政务网
PE
前置机160.0.4.1/24 内部服务器10.0.1.1
FW CE 10.0.1.0/24
税务
PEPE
注释:
• 资源共享区前置机为一个 共享VPN,其它职能部门前 置机分别为独立的VPN
• 为保证安全性，前置机与内部 服务通过网闸进行数据交换
优点：省局集中控制VPN内的通信，可通过路由过滤的方式禁止市局间的直接通信，保 障VPN内的可控性和安全性。如在A局病毒爆发时，可在省厅处通过路由将该市局隔离， 避免病毒蔓延。
缺点：一是省局成为单点故障，一旦省局连接的PE1发生故障，各市局间将不能正常通 信。二是市局间数据交换集中在省厅所在PE上，增加了PE的压力。
关注点2：利用MPLS VPN实现各政府部门的安全隔离和 受控互访
关注点3：通过详细的流量统计分析工具实现对城域网流 量的精确控制
关注点4：使用MPLS
VPN维护软件实现对城域网VPN的 18
灵活便捷部署
关注点1－RPR环网
关键业务带宽保证（
公平算法RPR-fa）
1000M
带宽共享，为提高带宽利用率，建立公平机制 公平算法是全局的、基于整个环网级别的 通过监测流量、反压机制实现 带宽管理可保证高优先级数据和控制无阻塞 可通过设置节点的权重，实现加权公平
关注点2－MPLS VPN跨域
对ASBR压力最小，但由于需要建立PE间跨域的LSP，因此可管理性也比较差。 13
关注点2－MPLS VPN跨域
对ASBR压力也比较大，但可以通过ASBR扩容来解决，没有PE设备跨域VPN路由维 14 护问题，因此适用范围较广；
关注点3－端到端QOS
在IP网络上，为了对不同业务 提供不同的服务，主要是利用I P报文头部的TOS域来进行标记。 根据TOS域来决定报文的转发 行为
电子政务网络架构
华为3Com技术有限公司政府技术部
1
目录
1、电子政务建设概述 2、网络架构详细分析 3、政务网络案例分析
2
电子政务建设的目标定位
G2C
G2G
公众（自然人）
政府部门
电子政务
政府员工
G2B
公司（法人）
G2E 3
目录
1、电子政务建设概述 2、网络架构详细分析
广域网架构分析 城域网架构分析 局域网架构分析
1000M B
A
1000M
C 拥塞
D
19
关注点1－RPR环网
A
F
B
C E
D
Wrap绕回方式，在故障边节点处 自动环回。
特点：速度快，基本无数据丢失， 缺点是浪费带宽。
Steering抄近方式，更改拓扑，重 新计算路由。
特点：速度慢，带宽利用高，但可 能有数据丢失。
A B
F
E
C
D
A B
F
E
C
D
正常情况下数据传送
10.0.1.0/24
CE 10.0.1.0/24
前置机160.0.3.1 /24
内部服务器10.0. 1.1
税务
财政
内部服务器10.0. 1.1
23
关注点2－MPLS VPN
公众访问1 工商 内部服务器10.0.1. 1
10.0.1.0/24
公众服务中心
数据库 数据库 数据库 DNS
门户网站 防火墙可能执行一对一N1A60.0.1.1 T操作
PE
SPOK E
C市局 8
关注点1－MPLS VPN
某部门省厅连接在PE1上,各地市局分别连接到PE2、PE3上。由于BGP/MPLS VPN是由PE与 CE接口的VRF上配置的相应RT来决定路由关系的，因此在省厅连接的PE1相应VRF上配置R T值使该VRF可接收来自A市局、B市局、C市局的路由，并将自己的路由发送到A市局、B 市局、C市局。在各市局PE上配置RT，使市局只能与省局交换路由而不能与其他市局直 接交换路由。
由于目前各部门纷纷采用数据大集中的数据交换模式，市局间的数据交换比较少，因此 比较适合采用该模式。
9
关注点1－MPLS VPN
A市局
RT IMPORT 100:1 EXPORT 100:1
PE
SPOK E
省厅
HU PE B
RT IMPORT 100:1 EXPORT 100:1
RT IMPORT 100:1 EXPORT 100:1
GE
(PE)
城域网
(P)
广域网
省直 FE
(CE)
林业厅 (CE)
GE (PE)
水利厅
省直
(CE)
(CE)
FE
GE
(PE)
(P)
2.5G RPR
(P)
GE
(P)
(P)
CPOS
EI
地市州 (PE) N×2M
(P) (PE)
地市州
(P) (PE)
地市城域网汇聚
(P) 地市州
N×2M
(CE)
(CE)
(PE)