1 / 57

新疆自治区电子政务网络平台建设项目

技术方案. 新疆自治区电子政务网络平台建设项目. 中国电信集团系统集成有限责任公司新疆分公司 2009 年 11 月. 新疆自治区电子政务外网本期工程主要建立网络平台,纵向上联国家电子政务外网管理中心,下联 18 个地市级网管中心,横向联接 26 个区级厅局单位。本次建设的主要内容是将相关网络设备和软件相互连通,构建新疆自治区政务外网网络统一平台、外网综合门户网站、数据交换中心、应用服务系统、信息安全保障体系、外网标准规范等,为电子政务应用和各级用户提供服务。. 序言. 目 录. 网络建设目标 详细设计 技术规范 设备维护. 网络建设目标.

astra-santos
Download Presentation

新疆自治区电子政务网络平台建设项目

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript

  1. 技术方案 新疆自治区电子政务网络平台建设项目 中国电信集团系统集成有限责任公司新疆分公司 2009年11月

  2. 新疆自治区电子政务外网本期工程主要建立网络平台,纵向上联国家电子政务外网管理中心,下联18个地市级网管中心,横向联接26个区级厅局单位。本次建设的主要内容是将相关网络设备和软件相互连通,构建新疆自治区政务外网网络统一平台、外网综合门户网站、数据交换中心、应用服务系统、信息安全保障体系、外网标准规范等,为电子政务应用和各级用户提供服务。 序言

  3. 目 录 • 网络建设目标 • 详细设计 • 技术规范 • 设备维护

  4. 网络建设目标

  5. 新疆自治区电子政务外网工程主要是建设网络基础平台,纵向上联国家电子政务外网管理中心,下联18个地市级网管中心,横向联接26个区级厅局单位。本次建设的主要内容是将相关网络设备和应用平台相互连通,构建新疆自治区政务外网网络统一平台、外网综合门户网站、数据交换中心、应用服务系统、信息安全保障体系、外网标准规范等,为电子政务应用和各级用户提供服务。 网络建设目标

  6. ISP1 RA中心 地市政务 外网 地市政务 外网 DMZ 服务区 地市政务 外网 地市政务 外网 地市政务 外网 乌鲁木齐市 政务外网 国家电子 政务外网 ISP2 R_d018 R_d05 R_d04 R_d02 R_d03 网络建设目标 区政府大院 区发改委、财政、工商、 地税等厅局就近光纤接入 Rcxx. 城域网 区党委大院 其他部门与厅局 Rcyy Rc01 Rc26 R_h3 区级网管中心 R_h2 R_h4 R_h1 R7 IPS1 R5 LB1 100M R8 FW1 IPS1’ LB2 R6 100M FW1’ R1 R2 Rd 155M S1 S2 8M R3 R4 VPN网关 R9 R_d01 广域网 千兆光纤 千兆电 … 155M POS 16M SDH

  7. 政务外网广域骨干网:构建政务外网宽带骨干网,实现与18 个地市级外网互联; 自治区城域网:组建区本级城域网,实现与自治区级26 个部门的互联,支持相关政府部门的专网接入; 政务外网互联网出口:通过链路负载均衡方式实现与两家不同运营商的互联网联接,是新疆自治区政务外网省级唯一的互联网出口; 使用MPLS VPN 技术,可以利用政务外网平台,构建不同业务的专用VPN; 支持远程移动办公接入,能够结合政务外网证书,利用互联网隧道技术,接入政务外网。 网管中心局域网建设,提供域名等应用基础服务,进行网络运行维护的监控、设备配置、故障排查、任务调度等管理; 网络建设目标

  8. 网络建设目标

  9. 详细设计

  10. 实用性,采用成熟技术,按照本标书要求,提出切实可行的系统工程解决方案。实用性,采用成熟技术,按照本标书要求,提出切实可行的系统工程解决方案。 先进性,所提供的技术在近年内具有一定的先进性,并与未来的新技术具有兼容性。 可扩展性,具有升级和扩展能力,提出的系统解决方案应能满足该系统业务发展的需要,方便扩大网络覆盖范围和网络容量;系统中配置的设备应便于维护和扩充,并具有支持多种物理接口的能力;提供的设备和软件具有升级和扩展能力。 开放性,遵循国际标准,支持多种标准网络协议,实现系统间互连。 经济性,系统的配置应充分考虑性能价格比,选择最优的技术方案。 可维护性,提供的系统应具有简单、方便的维护和管理手段及流量统计等功能,并尽量减少维护和管理环节。 可靠性与可用性,系统可用性应≥99.9 %。 系统安全,该网络为与国际互联网逻辑隔离,系统应具有不同级别的安全运行管理措施,如,用户识别、口令、访问控制级别和范围等功能;具有防止非法访问、记录全部登录过程、提供安全日志的功能。 组网原则

  11. ISP1 RA中心 互联网 服务区 地市政务 外网 地市政务 外网 地市政务 外网 地市政务 外网 地市政务 外网 乌鲁木齐市 政务外网 国家电子 政务外网 ISP2 R_d018 R_d05 R_d04 R_d02 R_d03 电子政务外网整体建设 区政府大院 区发改委、财政、工商、 地税等厅局就近光纤接入 Rcxx. 城域网 区党委大院 其他部门与厅局 Rcyy Rc01 Rc26 R_h3 区级网管中心 R_h2 R_h4 R_h1 R7 IPS1 R5 LB1 100M R8 FW1 IPS1’ LB2 R6 100M FW1’ R1 R2 Rd 155M S1 S2 8M R3 R4 VPN网关 R9 R_d01 广域网 千兆光纤 千兆电 … 155M POS 16M SDH

  12. 网络分为广域网区、自治区城域网区、局域网网管中心区、互联网出口区等4个部分。网络分为广域网区、自治区城域网区、局域网网管中心区、互联网出口区等4个部分。 4个区域通过核心层设备R1-R4实现互联。 R_h1-R_h4是城域网汇聚层;R7、R8是局域网汇聚层;R_d01-R_d18是广域网汇聚层。 局域网区是整个电子政务网应用平台的接入。 整体网络结构说明

  13. 广域网建设

  14. 广域区由广域网核心层和地市级汇聚层组成。核心层设立2 台高端路由器H3C SR8812 (R3、R4)组成,两者通过GE背靠背互连,实现广域区高可靠连接,并达到负载均衡。除在可靠性和处理能力方面达到运营级要求外,还是一个高交换容量、高处理能力、强管理能力和具有丰富接口的高端P/PE 路由设备。 汇聚层使用H3C SR6608(R_d01-R_d18)组成,通过POS155和8M E1分别与R3、R4互联,实现线路备份。 广域网建设说明

  15. 城域网建设

  16. 区级城域网核心节点设在区级政务外网网管中心,由H3C SR8808路由器R1、R2 组成,两者通过GE使用双通道连接成环,能提供高交换容量、高处理能力、高性能和高可靠性保障的P/PE 路由设备,同时还要提供高密度、高带宽端口的接入能力。 两台核心路由器下接4 台汇聚路由器(R_h1-R_h4),下面分别连接各接入单位的外网。汇聚层的路由器分别与两台核心路由器以千兆相联,以保证网络接入的可靠性。 接入层由26 个接入路由器H3C MSR 30-20 (Rc1 至Rc26)组成,按业务需求和所处位置采用10M/100M/1000M 光纤或8M 的SDH 接入;接入层设备能够提供较高交换容量、较高处理能力、较高性能和高可靠性保障,同时还要提供较多QOS 等业务功能的能力。接入层设备要求能够提供不同性质的网络业务。 城域网建设说明

  17. 局域网建设

  18. 汇聚层设备分别由R7、R8(SR6608)和SW7、SW8组成。汇聚层设备分别由R7、R8(SR6608)和SW7、SW8组成。 接入层设备由S1-S6组成,完成各种应用系统的接入。 局域网建设说明

  19. 互联网建设 R1 R2

  20. 政务外网通过NAT 技术,与互联网进行安全可控连接。为保证互联网出口稳定性,考虑采用由两家互联网服务提供商实现双出口接入,通过光纤与其相连,出口速率为100M。 两家运营商分别使用光纤通过R4、R5两个互联网出口路由器接入到电子政务外网中,R4、R5两台路由器以全连接方式与两台负载均衡交换机LB1、LB2互联,两台负载均衡交换机再通过IPS和防火墙连接到城域网核心路由器上。 互联网建设说明

  21. RA中心 乌鲁木齐市 政务外网 地市政务 外网 地市政务 外网 国家电子 政务外网 地市政务 外网 地市政务 外网 地市政务 外网 R_d018 R_d05 R_d02 R_d03 R_d04 整网路由协议设计 区政府大院 区发改委、财政、工商、 地税等厅局就近光纤接入 Rcxx. 区党委大院 其他部门与厅局 Rcyy Rc01 Rc26 R_h3 区级网管中心 R_h2 R_h4 R_h1 R7 R8 R1 R2 Rd 155M 8M R3 R4 R_d01 …

  22. 整体网络由OSPF和BGP两种动态路由协议构成 核心层及汇聚层使用OSPF 1路由进程,使核心层设备Loopback接口IP路由可达。 核心层使用MP-BGP来使多个MPLS VPN实例互通 IBGP使用设备loopback接口IP来建立邻居,以及传送BGP各种消息报文。 整网路由协议设计

  23. 广域网路由协议设计

  24. 广域网各地州汇聚路由器R_d01-R_d18与核心路由器使用OSPF 1进程和IBGP协议 广域网各地州汇聚路由器下联分别使用ospf 1XX-ospf 1XX路由进程 地州的路由进程通过MPLS VPN实现与中心网络城域网和局域网互通。 广域网路由协议设计

  25. 城域网路由协议设计

  26. 城域网汇聚路由器R_h01-R_h04与核心路由器使用OSPF 1进程和IBGP协议 城域网汇聚路由器下联分别使用ospf 1xx-ospf 1xx路由进程 城域网的路由进程通过MPLS VPN实现与中心网络局域网和地州广域网互通。 城域网路由协议设计

  27. 局域网路由协议设计

  28. 局域网汇聚路由器R7、R8与核心路由器使用OSPF 1进程和IBGP协议 局域网汇聚路由器下联使用ospf 100路由进程 局域网的路由进程通过MPLS VPN实现与中心网络城域网和地州广域网互通。 局域网路由协议设计

  29. MPLS VPN 设计

  30. 城域网侧: 城域网核心设备R1、R2做P设备。 城域网汇聚层设备R_hx做PE。城域网接入交换机做CE,接入各厅单位内部网络。 广域网侧:(分为两种情况) 情况一:地市网络规模较大,地市组建自己的城域网和广域网。 地市广域网核心层设备R_dx做P。 地市城域网汇聚层设备做PE。 地市城域网接入层设备做CE,接入各局单位内部网络。 情况二:地市网络规模较小,汇聚层设备接入省广域核心设备。 放置在各地市的汇聚路由器R_dx做PE。 地市接入层设备做CE,接入各局单位内部网络。 局域网侧: 汇聚层设备R7、R8做PE 汇聚层设备SW7、SW8做CE MPLS VPN 设计

  31. 技术规范

  32. 其格式为:空间地理位置-网络逻辑位置-设备类型-设备编号其格式为:空间地理位置-网络逻辑位置-设备类型-设备编号 空间地理位置:即设备放置的地理位置。 网络的逻辑位置:即设备在网络中放置的逻辑位置。 核心层设备:hx(核心的简拼),接入层设备:jr (接入的简拼);汇聚层设备:hj(汇聚的简拼),负载均衡: lb,管理设备:man,服务器区设备:ser,存储区设备:ipsan,数据:data。 设备类型:以设备厂家和设备型号的缩写来命名。 设备编号:处于同一位置同类设备的编码顺序,为一位阿拉伯数字表示,按1-9的顺序编号。 举例说明: 城域网核心路由器:cyw-hx-sr8808-1 设备命名规范

  33. IP 地址规划

  34. Loopback接口号为了便于管理,配置成和OSPF进程号相同。Loopback接口号为了便于管理,配置成和OSPF进程号相同。 Ospf的router-id配置成相应的Loopback 例如:局域网ospf进程号100,那么Loopback接口也配置成100 LOOPBACK接口规划

  35. 设备互连地址规划

  36. 业务VLAN规划

  37. OSPF 1是BGP协议的IGP,只用于维护BGP的邻居;根据不同区域划分area 局域网区OSPF进程100,area 0 广域网区OSPF进程1xx-1xx,area 0 城域网区OSPF进程2xx-2xx ,area 0 互联网区OSPF进程300 ,area 0 OSPF路由协议规范

  38. RA中心 乌鲁木齐市 政务外网 地市政务 外网 国家电子 政务外网 地市政务 外网 地市政务 外网 地市政务 外网 地市政务 外网 R_d018 R_d05 R_d04 R_d02 R_d03 OSPF区域规划图 城域网区 区政府大院 区发改委、财政、工商、 地税等厅局就近光纤接入 Rcxx. 区党委大院 其他部门与厅局 Rcyy Rc01 Rc26 R_h3 区级网管中心 R_h2 R_h4 R_h1 R7 R8 互联网区 R1 R2 Rd 155M 8M R3 R4 R_d01 广域网区 …

  39. 全网只使用IBGP协议,R1、R2和R3、R4之间配置路由反射器,已减少BGP邻居的配置。全网只使用IBGP协议,R1、R2和R3、R4之间配置路由反射器,已减少BGP邻居的配置。 配置MP-BGP用于承载业务OSPF的MPLS VPN路由。 BGP路由协议规范

  40. 地市政务 外网 地市政务 外网 地市政务 外网 地市政务 外网 地市政务 外网 BGP邻居关系 城域网汇聚层 区政府大院 区发改委、财政、工商、 地税等厅局就近光纤接入 Rcxx. 区党委大院 其他部门与厅局 Rcyy Rc01 Rc26 R_h3 R_h2 R_h4 网管中心局域网 R_h1 R7 R8 R1 R2 IBGP邻居 Rd 155M 国家电子 政务外网 BGP路由反射器 8M R3 R4 R_d01 乌鲁木齐市 政务外网 广域网汇聚 R_d18 R_d02 R_d05 R_d03 R_d04 …

  41. MPLS VPN 规划

  42. MPLS VPN 规划

  43. MPLS VPN 规划

  44. 设备硬件冗余 1、管理引擎的冗余,对重要的核心设备,保证双引擎冗余。 2、电源的冗余,所有支持双电源的设备均采用两路电源。 3、双设备冗余,重要的核心设备,保证两台设备主备冗余。 冗余备份规范

  45. 二层链路冗余 1、三层交换机之间的互联链路,则负责转发整网在非稳定状态下的大部分冗余流量,对可靠性的要求也很高。因此三层交换机之间的互联链路二层设计为双链路冗余,使用协议IEEE802.3AB+IEEE802.1Q;三层互联使用SVI。 2、接入交换机之间二层设计为双联路冗余+Trunk,即IEEE802.3AB+IEEE802.1Q,三层使用SVI来维护OSPF neibour。 冗余备份规范

  46. 生成树冗余 局域网区接入交换机均启用生成树MSTP功能。 生成树采用主备根的方式,对生成树的根进行冗余,以第一台汇聚交换机作为生成树的主根,优先级定为0;第二台交换机做为备根 ,优先级定为8192。 冗余备份规范

  47. 冗余备份规范 • VRRP冗余 为保证服务器和PC接入到子功能区的网络后,能实现三层网关的冗余,在接入交换机上须启用VRRP协议。并将各个VRRP组的Master均活在第一台交换机上。

  48. MSR3020、SR6608的维护

  49. MSR3020、SR6608的维护 MSR3020、SR6608 配置一个接口 Interface serial 2/1/0:0 encapsulation ppp 封装协议 ip add 1.1.1.1 255.255.255.0 配置IP S6506 配置一个接口 VLAN 100 创建一个VLAN Interface Ethernet 2/0/0 Port access vlan 100 划到一个VLAN中 Interface Vlan 100 创建三层接口 ip add 1.1.1.1 255.255.255.0 配置IP

  50. MSR3020、SR6608的维护 display ip interface brief 查看所有端口物理和链路状态 display interface serial 2/0/0 查看一个接口的详细状态 display ospf peer 查看ospf邻居建立情况 display ospf routing 查看ospf拓扑表 display bgp peer 查看bgp邻居建立情况 display bgp routing 查看bgp拓扑表 display ip routing 查看路由表 display ip routing protocol ospf 只查看ospf路由表 display ip routing protocol bgp 只查看bgp路由表

More Related