电子政务外网师级网络调整优化探讨.ppt

《电子政务外网师级网络调整优化探讨.ppt》由会员分享，可在线阅读，更多相关《电子政务外网师级网络调整优化探讨.ppt（45页珍藏版）》请在三一文库上搜索。

1、,电子政务外网师级网络调整优化探讨,兵团电子政务外网项目 Xinjiang production and construction corps e-government project,新疆兵团信息技术服务中心 2013-1-1,目录,电子政务外网师级网络整体设计架构 师级网络整体结构改造优化总体思路 广域骨干区调整优化 城域网核心调整优化 互联网区调整优化 数据中心区调整优化,第一部分 总体结构,电子政务外网师级网络整体设计架构,师级电子政务外网的设计框架分为广域骨干网、城域网、数据中心、专网接入、互联网接入5个部分,各师现有实际网络结构图,目前存在的问题,1、互联网访问问题 师局域网互联网

2、接入客户端病毒、P2P下载等问题，互联网服务器区安全问题，团场互联网接入占用出口带宽问题，互联网和专网接入客户端相互干扰问题。 2、广域网带宽占用问题 团级互联网接入占用广域网带宽，各专网带宽分配 3、跨部门资源访问问题 划分专网相互隔离后访问公共资源,总体调整思路,1、将互联网和外网尽量清晰划分出来 建议将师级局域网中互联网接入和专网独立开来，并将师级和团级互联网和外网界面清晰化，以便当互联网出现问题时可以很容易将互联网从外网中独立开来。 2、在互联网区域内加强安全防护 在出口部署带宽管理设备、在网内部署身份认证设备、多出口考虑负载均衡设备等提高互联网访问速度和安全。 3、在广域网进行带宽优

3、化，设置QOS 限制互联网访问带宽，分配各专网带宽 4、加强公用网服务区资源建设 丰富公用网服务区资源建设，丰富外网资源等，允许各专网访问公用服务网 5、提高终端设备复用率 考虑采用身份认证等方式方便用户根据用户名或CA证书等接入不同网络提高终端设备复用率（探讨）,调整后网络总体示意图,第二部分 广域骨干网调整优化,一、广域骨干网总体优化方式,优化师到团广域网访问方式 1、提高广域网带宽（4M-10M、10M-20M等） 2、配置带宽策略（QOS，增加带宽管理设备，带宽防护（利用安全设备等） 3、增加某专网线路，然后利用MPLS VPN策略路由选路,二、广域骨干网QOS带宽管理配置,1、在团级

4、局域网接入口对不同专网进行着色，标示出不同的专网来 2、在团级路由器出口配置带宽管理，指定标示出专网带宽 3、在师级城域网核心路由器局域网接入口对不同专网进行着色，标示出不同的专网 4、在师级广域网路由接口配置带宽管理，指定标示出专网带宽,INTERNET,VPN_caiwu,VPN_xinfang,INTERNET:2M,VPN_caiwu:1M,VPN_xinfang:1M,INTERNET,VPN_caiwu,VPN_xinfang,INTERNET:2M,VPN_caiwu:1M,VPN_xinfang:1M,2.3广域骨干网QOS带宽管理配置举例,一、在师级城域网核心路由器SR661

5、6 (Xs-cyw-hx-sr6616-RT-1) 1建立访问控制列表，指定各VPN流量 acl number 3010 rule 10 permit ip vpn-instance internet acl number 3011 rule 10 permit ip vpn-instance VPN_caiwu acl number 3012 rule 10 permit ip vpn-instance VPN_xinfang,广域骨干网QOS带宽管理配置举例,2设定各专网流量，定义标示 traffic classifier internet operator and if-match ac

6、l 3010 traffic behavior exp1 remark mpls-exp 1 traffic classifier caiwu operator and if-match acl 3011 traffic behavior exp2 remark mpls-exp 2 traffic classifier xinfang operator and if-match acl 3012 traffic behavior exp3 remark mpls-exp 3,广域骨干网QOS带宽管理配置举例,3在入口接口进行着色 qos policy markexp classifier i

7、nternet behavior exp1 classifier caiwu behavior exp2 classifier xinfang behavior exp3 interface GigabitEthernet2/0/1.101 qos apply policy markexp inbound interface GigabitEthernet2/0/1.509 qos apply policy markexp inbound interface GigabitEthernet2/0/1.506 qos apply policy markexp inbound,广域骨干网QOS带宽

8、管理配置举例,二、在广域网核心路由器SR6616 (Xs-gyw-hx-sr6616-RT-1) 1设定标志为EXP1(INTERNET)，设定带宽为最大带宽的20% 设定标志为EXP2(caiwu)，设定带宽为最大带宽的10% 设定标志为EXP3(xinfang)，设定带宽为最大带宽的10% traffic classifier exp1 operator and if-match mpls-exp 1 traffic behavior ef20% queue ef bandwidth pct 20 traffic classifier exp2 operator and if-match

9、mpls-exp 2 traffic behavior ef10% queue ef bandwidth pct 10 traffic classifier exp3 operator and if-match mpls-exp 3 traffic behavior ef10% queue ef bandwidth pct 10,广域骨干网QOS带宽管理配置举例,2在广域网接口设定最大带宽，应用QOS策略 qos policy mplsqos classifier exp1 behavior ef20% classifier exp2 behavior ef10% classifier exp

10、3 behavior ef10% interface Ethernet1/2/7.1 qos max-bandwidth 10240 qos apply policy mplsqos outbound interface Ethernet1/2/7.2 qos max-bandwidth 10240 qos apply policy mplsqos outbound ,广域骨干网QOS带宽管理配置举例,三、在团级路由器MSR5040上配置 1建立访问控制列表，指定各VPN流量 acl number 3010 rule 10 permit ip vpn-instance internet acl

11、 number 3011 rule 10 permit ip vpn-instance VPN_caiwu acl number 3012 rule 10 permit ip vpn-instance VPN_xinfang 2设定各专网流量，定义标示 traffic classifier internet operator and if-match acl 3010 traffic behavior exp1 remark mpls-exp 1 traffic classifier caiwu operator and if-match acl 3011 traffic behavior e

12、xp2 remark mpls-exp 2 traffic classifier xinfang operator and if-match acl 3012 traffic behavior exp3 remark mpls-exp 3,广域骨干网QOS带宽管理配置举例,三、在团级路由器MSR5040上配置 3在入口接口进行着色 qos policy markexp classifier internet behavior exp1 classifier caiwu behavior exp2 classifier xinfang behavior exp3 interface Gigabi

13、tEthernet0/1.101 qos apply policy markexp inbound interface GigabitEthernet0/1.509 qos apply policy markexp inbound interface GigabitEthernet0/1.506 qos apply policy markexp inbound,广域骨干网QOS带宽管理配置举例,四、在团级路由器MSR5040上配置 4设定标志为EXP1(INTERNET)，设定带宽为最大带宽的20%， 设定标志为EXP2(caiwu)，设定带宽为最大带宽的10% 设定标志为EXP3(xinfa

14、ng)，设定带宽为最大带宽的10% traffic classifier exp1 operator and if-match mpls-exp 1 traffic behavior ef20% queue ef bandwidth pct 20 traffic classifier exp2 operator and if-match mpls-exp 2 traffic behavior ef10% queue ef bandwidth pct 10 traffic classifier exp3 operator and if-match mpls-exp 3 traffic behav

15、ior ef10% queue ef bandwidth pct 10,广域骨干网QOS带宽管理配置举例,四、在团级路由器MSR5040上配置 5在广域网接口设定最大带宽，应用QOS策略 qos policy mplsqos classifier exp1 behavior ef20% classifier exp2 behavior ef10% classifier exp3 behavior ef10% interface Ethernet0/0 qos max-bandwidth 10240 qos apply policy mplsqos outbound,三、增加带宽管理设备,1、在

16、团级局域网核心交换机和团级核心路由器之间增加带宽管理或安全防护设备，采用TRUNK透明模式部署，对进入路由器的流量进行带宽控制及安全防护,带宽管理设备,局域网 核心交换机,团级核心路由器,师级广域网 核心路由器,四、团级防火墙改造（近期进行）,1、利用原团场闲置防火墙，在团级局域网核心交换机和团级核心路由器之间采用TRUNK透明模式部署 2、配置步骤如下： (1)将防火墙设置为透明模式，将ETH1（内、团）和ETH2（外、师）设置为TRUNK，分别接入核心交换机和团场路由器MSR 5040 (2)建立允许通过的vlan，包括(internet，各专网的VLAN） (3)设定管理VLAN IP地

17、址（data-managerVPN内） (4)允许师部进行管理访问防火墙 (5)设定安全策略，默认策略允许ETH1(团)ETH2（师）访问，屏蔽常见病毒端口（4444,69.135等）， 禁止ETH2（师）ETH1（团）访问 (6)开启防火墙IPS等功能,团级防火墙,局域网 核心交换机,团级核心路由器,师级广域网 核心路由器,五、增加专网线路、配置路由策略选路,1、某些专网提供额外专网线路，可以考虑将其专网指定到该线路。 2、可采用两种方法实现路由选路 方法1：将该增加线路绑定到该专网VPN中，采用ospf进行动态路由学习，由于OSPF的优先级高于BGP，主线路会走增加线路。备用走我们的主线路

18、 方法2：采用MPLS TE建立流量工程隧道，指定主线路和备用线路，然后将该VPN引入到隧道中。,局域网 核心交换机,团级核心路由器,师级广域网 核心路由器,VPN1,5.1、路由选路配置举例方法1,团级路由器MSR5040配置 interface GigabitEthernet8/0 ip binding vpn-instance VPN_11 ip address 10.111.1.1 255.255.255.0 ospf 60011 vpn-instance VPN_11 import-route bgp type 1 area 0.0.0.0 network 10.111.1.0 0.

19、0.0.255 bgp 65445 ipv4-family vpn-instance VPN_11 import-route direct import-route ospf 60011,师级广域网核心路由器SR6616配置 interface GigabitEthernet7/0/1.11 ip binding vpn-instance VPN_11 ip address 10.111.1.2 255.255.255.0 ospf 60011 vpn-instance VPN_11 import-route bgp type 1 area 0.0.0.0 network 10.111.1.0

20、 0.0.0.255 bgp 65445 ipv4-family vpn-instance VPN_11 import-route direct import-route ospf 60011,5.2、路由选路配置举例方法2,配置参考 mpls mpls te mpls te cspf Interface g5/1 mpls te ospf opaque-capability enable area 0 mpls-te enable,explicit-path main next hop 3.0.0.1 next hop 3.3.3.3 interface Tunnel0 ip address

21、 10.0.0.1 255.255.255.252 tunnel-protocol mpls te destination 3.3.3.3 mpls te record-route label,mpls te bandwidth bc0 50000 /指定显式路径 mpls te path explicit-path main mpls te fast-reroute mpls te commit,ip vpn-instance vpn1 route-distinguisher 100:1 vpn-target 100:1 both tnl-policy policy1 tunnel-poli

22、cy policy1 tunnel select-seq cr-lsp load-balance-number 1 interface gigabitethernet 1/0 ip binding vpn-instance vpn1 ip address 192.168.1.1 255.255.255.0,第三部分 城域网调整优化,城域网调整建议,1、师级城域网络将专网和互联网接入分离（布线系统分开）,专网核心交换机,互联网核心交换机,城域网调整建议,2、团级城域网络将专网和互联网接入设备和接口分开,专网核心交换机,互联网核心交换机,团级核心交换机 BD3928,团级互联网 接入交换机 BD2

23、528,师级城域网 核心路由器,团级核心路由器MSR5040,师级广域网 核心路由器,城域网专网接入（师级）,熟悉专网接入方式，便于各部门接入咨询,城域网专网接入（师级）,熟悉专网接入方式，便于各部门接入咨询,接入方式：统计局部门的专网数据中心通过防火墙与兵团电子政务外网数据中心的核心交换机互联。 设备配置：需要配置一台高性能防火墙，至少提供两个千兆接口，一个用于连接兵团外网数据中心核心交换，一端用于连接部门专网数据中心。,数据中心,机关局域网,接入方式：师级机关部门专网位于机关大楼内，将其部门划分到一个VLAN，二层透传到兵团电子政务外网城域网核心路由器，网关落在城域网核心路由器上，并封装到

24、专网VPN中。 设备配置：机关部门专网位于机关大楼内，大楼已部署接入交换机，无需配置额外网络设备。,分散单位,接入方式：专线接入，城域网路由器MSR5040 设备配置：推荐路由器、防火墙（互指路由），交换机也可（网关落到MSR5040上）,接入方式：非专线接入，接入互联网防火墙（东软） 设备配置：防火墙（IPSEC VPN）,接入方式：移动客户端，接入互联网防火墙（东软） 设备配置：软客户端，CA证书（KEY）,城域网专网接入（团级）,熟悉专网接入方式，便于各部门接入咨询,城域网专网接入（团级）,熟悉专网接入方式，便于各部门接入咨询,机关局域网,接入方式：团级机关部门专网位于机关大楼内，将其部

25、门划分到一个VLAN，二层透传到兵团电子政务外网核心路由器，网关落在核心路由器上，并封装到专网VPN中。 设备配置：机关部门专网位于机关大楼内，大楼已部署接入交换机，无需配置额外网络设备。（信息点多加交换机）,分散单位,接入方式：专线接入，BD3928E 设备配置：推荐交换机（网关落到团核心MSR5040上）,接入方式：非专线接入，接入师互联网防火墙（东软） 设备配置：防火墙（IPSEC VPN）,接入方式：移动客户端，接入互联网防火墙（东软） 设备配置：软客户端，CA证书（KEY）,第四部分 互联网调整优化,互联网调整,1、师级VPN改造（外网、互联网）,互联网防火墙,互联网服务区 核心交换

26、机,互联网服务区 服务器,外网数据中心 核心交换机 BD8506,城域网核心路由器 SR6616,公用网服务区,专网服务区,互联网VPN,外网VPN,互联网调整,2、加强现有安全设备策略配置,1、加强出口防火墙安全策略配置，关闭不对外提供服务的端口等,2、更新补丁、防病毒软件，防止弱口令等安全隐患,3、建立日志服务器，将重要设备日志保存至日志服务器,互联网增加安全设备示意图,3、增加互联网安全保护设备（IPS，行为管理、带宽管理，终端管理等）,安全设备推荐部署,IT运维系统,建议使用各师部署的IT运维系统，实现运行监控和运维管理,完善身份认证系统和单点登录,第五部分 数据中心调整优化,数据中心

27、调整优化,1、完善数据中心结构，增强数据中心安全性,1、补充完善数据中心结构，增加公用服务区交换机，部署公用网服务区防火墙 2、要求各专网接入均需部署防火墙等安全设备,数据中心调整优化,2、共享数据服务区的重点建设（各专网均能访问）,城域网核心路由器SR6616上配置 acl number 3000 rule 5 permit ip vpn-instance intranet destination 59.0.0.0 0.255.255.255 rule 12 permit ip vpn-instance jianshehuanbaoju destination 59.0.0.0 0.255.

28、255.255 rule 14 permit ip vpn-instance VPN_tongji destination 59.0.0.0 0.255.255.255 rule 15 permit ip vpn-instance VPN_guotu destination 59.0.0.0 0.255.255.255 rule 16 permit ip vpn-instance VPN_xinfang destination 59.0.0.0 0.255.255.255 rule 17 permit ip vpn-instance VPN_shenji destination 59.0.0.

29、0 0.255.255.255 rule 19 permit ip vpn-instance VPN_caiwu destination 59.0.0.0 0.255.255.255 nat address-group 0 59.223.X.1 59.223.X.1 interface GigabitEthernet2/2/6.600 nat outbound 3000 address-group 0 vpn-instance data-manager interface GigabitEthernet2/2/6.601 nat outbound 3000 address-group 0 vp

30、n-instance data-manager interface GigabitEthernet2/2/7 nat outbound 3000 address-group 0 vpn-instance data-manager,数据中心调整优化,城域网核心路由器SR6616上配置 ip route-static vpn-instance VPN_tongji 59.0.0.0 255.0.0.0 NULL0 ip route-static vpn-instance VPN_guotu 59.0.0.0 255.0.0.0 NULL0 ip route-static vpn-instance

31、VPN_xinfang 59.0.0.0 255.0.0.0 NULL0 ip route-static vpn-instance VPN_shenji 59.0.0.0 255.0.0.0 NULL0 ip route-static vpn-instance VPN_caiwu 59.0.0.0 255.0.0.0 NULL0 ip vpn-instance VPN_xinfang vpn-target 64100:10 64000:10 import-extcommunity ip vpn-instance VPN_shenji vpn-target 64100:10 64000:10 i

32、mport-extcommunity ip vpn-instance VPN_caiwu vpn-target 64100:10 64000:10 import-extcommunity ip vpn-instance VPN_guotu vpn-target 64100:10 64000:10 import-extcommunity,数据中心调整优化,城域网核心路由器SR6616上配置 bgp 65445 ipv4-family vpn-instance VPN_xinfang import-route direct import-route static # ipv4-family vpn-instance VPN_caiwu import-route direct import-route static # ipv4-family vpn-instance VPN_tongji import-route direct import-route static,谢谢！,