网络工程规划与设计课件李健项目四子项目二任务4电子政务外网路由及MPLSVPN设计

网络工程规划与设计,1,项目四 花都县电子政务外网规划与设计,任务一 电子政务外网网络需求获取 任务二 电子政务外网拓扑结构设计 任务三 电子政务外网IP规划 任务四 电子政务外网路由与MPLS VPN设计 任务五 网络中心规划与设计 任务六 信息系统等级保护设计 任务七 外网平台应用系统规划与项目预算,2,1、国家电子政务网IP地址分配原则 2、花都县电子政务外网链路互联地址、纵向横向接入用户地址规划,知识回顾：电子政务外网IP规划,3,引入任务,1、花都县电子政务外网路由规划设计： IGP 路由设计 BGP 路由设计 2、花都县电子政务外网MPLS VPN规划设计。,4,电子政务外网路由与MPLS VPN设计,路由设计： 路由设计，关系到网络的整体性能和功能，是网络设计中的一个重要环节。 靳江市各区县电子政务外网路由与MPLS VPN设计采用灵活的设计思路，准确选择路由协议，从管理的方便性和技术的先进性两个方面进行规划设计： （1）IGP 路由设计 （2）BGP 路由设计,5,电子政务外网路由与MPLS VPN设计,（1）IGP 路由设计 目标： 根据花都县电子政务外网的网络规模和主备线路情况，IGP路由设计中主要是对OSPF路由进行规划，实现流量的负载均衡和链路的自动切换。 骨干核心区通过IGP使全网可达，为部署BGP和MPLS VPN做准备。 同时也为了通告所有网络设备管理IP，方便网管通过IGP访问到所有监管设备。,6,电子政务外网路由与MPLS VPN设计,（1）IGP 路由设计,电子政务外网路由设计,7,电子政务外网路由与MPLS VPN设计,（1）IGP 路由设计 核心交换机分别与上联路由器及两台汇聚交换机建立OSPF邻居关系。所有设备均属于OSPF AREA 0中。在设备上将自己的loopback 0地址及互联地址段发布到OSPF中。 骨干网设计为OSPF区域0，2台城域网核心交换机、4台城域网汇聚交换机、彼此之间互联的接口全部启用OSPF进程，并且将loopback0接口宣告进入OSPF区域0，实现骨干网全网可达。,8,电子政务外网路由与MPLS VPN设计,（1）IGP 路由设计 核心交换机与上联路由器之间的ROUTER-ID 规划,9,电子政务外网路由与MPLS VPN设计,（2）BGP 路由设计 目标： 为了实现MPLS VPN功能，在上联路由、核心交换机以及两台汇聚交换机之间要部署BPG路由协议。 核心四台设备构建出BGP域，自治系统号为64852。核心与4台汇聚建立IBGP邻居关系；上联路由器同样与两台汇聚交换机建立IBGP邻居关系。,10,电子政务外网路由与MPLS VPN设计,BGP路由设计,（2）BGP 路由设计,11,电子政务外网路由与MPLS VPN设计,（2）MPLS VPN设计 1）MPLS VPN在电子政务外网中的作用与应用 MPLS VPN 实现纵向业务系统的隔离 MPLS VPN实现各政府部门的安全隔离和受控互访,12,省直,省直,省直,2.5G RPR,GE,GE,地市州,EI,N×2M,N×2M,CPOS,FE,FE,GE,GE,FE,地市州,地市州,XX县,XX县,地市城域网汇聚,(PE),(PE),(PE),(P),(P),(P),(P),(P),(P),(P),(P),(PE),(PE),(CE),(CE),(CE),(CE),(CE),(CE),(PE),(PE),(PE),(CE),(CE),(CE),(CE),城域网,广域网,MPLS VPN 实现纵向业务系统的隔离,13,省工商,省税务,10.0.1.0/24,10.0.1.0/24,CE,MCE/PE,PE,PE,政务网,地市工商,10.0.2.0/24,内部服务器,地市税务,10.0.2.0/24,CE,PE,内部服务器,PE,纵向VPN子接口,MCE/PE,MPLS VPN 实现纵向业务系统的隔离,14,PE,PE,PE,SPOKE,SPOKE,SPOKE,PE,省厅,A市局,B市局,C市局,MPLS VPN 实现纵向业务系统的隔离,15,MPLS VPN 实现纵向业务系统的隔离,某部门省厅连接在PE1上,各地市局分别连接到PE2、PE3上。由于BGP/MPLS VPN是由PE与CE接口的VRF上配置的相应RT来决定路由关系的，因此在省厅连接的PE1相应VRF上配置RT值使该VRF可接收来自A市局、B市局、C市局的路由，并将自己的路由发送到A市局、B市局、C市局。在各市局PE上配置RT，使市局只能与省局交换路由而不能与其他市局直接交换路由。 优点： 省局集中控制VPN内的通信，可通过路由过滤的方式禁止市局间的直接通信，保障VPN内的可控性和安全性。如在A局病毒爆发时，可在省厅处通过路由将该市局隔离，避免病毒蔓延。 缺点： 一是省局成为单点故障，一旦省局连接的PE1发生故障，各市局间将不能正常通信。二是市局间数据交换集中在省厅所在PE上，增加了PE的压力。 由于目前各部门纷纷采用数据大集中的数据交换模式，市局间的数据交换比较少，因此比较适合采用该模式。,16,PE,PE,PE,SPOKE,SPOKE,SPOKE,PE,省厅,A市局,B市局,C市局,MPLS VPN 实现纵向业务系统的隔离,17,MPLS VPN 实现纵向业务系统的隔离,某部门省厅连接在PE1上,各地市局分别连接到PE2、PE3上。由于BGP/MPLS VPN是由PE与CE接口的VRF上配置的相应RT来决定路由关系的，因此在省厅和各市局连接的PE相应VRF上配置RT值使该VRF可接收来自其余市局的路由，即省厅和各市局完全处于对等状态，相互之间完全可以交互路由信息。 优点：无单点故障，无性能瓶颈。 缺点：无法做到集中控制，安全性不高。,18,省政府,市政府,区县政府,省工商局,市工商局,区县工商局,省劳动厅,市劳动局,区县劳动局,纵向网络结构,横向网络结构,横向网络：信息共享，跨部门协作,纵向网络：业务运作，行业管理与监管,MPLS VPN实现政府部门安全隔离和受控互访,19,工商,10.0.1.0/24,MCE,政务网,前置机160.0.4.1/24,税务,10.0.1.0/24,CE,前置机160.0.1.1/24,内部服务器10.0.1.1,PE,PE,PE,内部服务器10.0.1.1,注释: 1.资源共享区前置机为一个共享VPN 其它职能部门前置机分别为独立VPN 2.为保证安全性，前置机与内部服 务通过网闸进行数据交换 3.各业务部门数据通过前置机上传 到资源共享中心的数据库中 优势：采集的信息数据在政务外网上以VPN的方式传递，保障了数据的安全性,前置VPN子接口,资源共享中心,数据库,前置机160.0.2.1/24,共享资源网站入口160.0.3.1/24,前置VPN子接口,公共前置VPN子接口,PE,FW,数据库,数据库,数据库,集中式互访,MPLS VPN实现政府部门安全隔离和受控互访,20,注释: 职能部门前置机分别为独立的VPN 优势：采集的信息数据在政务外网上以VPN的方式传递，保障了数据的安全性，通过RT的灵活控制，实现不同职能部门前置机的受控互访 集中式和分布式不是对立的，而是互补的关系,工商,10.0.1.0/24,政务网,前置机160.0.2.1/24,税务,10.0.1.0/24,CE,前置机160.0.1.1/24,工商信用服务器10.0.1.1,PE,内部服务器10.0.1.1,前置VPN子接口,前置VPN子接口,PE,PE,前置机160.0.3.1/24,财政,10.0.1.0/24,CE,内部服务器10.0.1.1,前置VPN子接口,MCE,分布式互访,MPLS VPN实现政府部门安全隔离和受控互访,21,政务外网,工商,10.0.1.0/24,CE,门户网站 160.0.3.1,税务,10.0.1.0/24,CE,门户网站 160.0.1.1,内部服务器10.0.1.1,PE,PE,Internet vpn子接口,PE,Internet,Internet,公众服务中心,数据库,对外发布门户网站,DNS,Internet vpn子接口,Internet vpn子接口,数据库,数据库,MCE,Internet vpn子接口,PE,防火墙可能执行一对一NAT操作,公众访问1,MPLS VPN实现政府部门安全隔离和受控互访,注释: 1.所有对公众提供访问的WEB服务器放 到一个Internet VPN，政务外网出口 防火墙作为CE设备，此方式适合门户 网站采用ISP分配的地址 2.优势：实现简单，一个大的VPN DNS规划简单 3.劣势：政府部门访问政务外网门户网站产生迂回路由，增加防火墙负担,22,政务外网,工商,10.0.1.0/24,CE,门户网站 160.0.3.1,税务,10.0.1.0/24,CE,门户网站 160.0.1.1,内部服务器10.0.1.1,PE,PE,公网子接口,防火墙可能执行一对一NAT操作,PE,Internet,Internet,注释: 1.传统实现方式 2.优势：政府部门访问政务外网不 产生迂回路由 3.劣势：如果采用ISP分配的地址， DNS规划复杂,公众服务中心,数据库,对外发布门户网站,DNS,公网子接口,公网子接口,数据库,数据库,MCE,PE,公众访问2,MPLS VPN实现政府部门安全隔离和受控互访,23,政务外网,工商,10.0.1.0/24,CE,门户网站 160.0.3.1,税务,10.0.1.0/24,CE,门户网站 160.0.1.1,内部服务器10.0.1.1,PE,公网子接口,防火墙可能执行二次NAT操作,PE,Internet,Internet,注释: 1.对于防火墙接入，可采用公网子接口; 2.对于MCE/PE接入，可采用VRF全局静态 路由的方式，此方式的最大问题是部 署的问题，也可以设置一条全局缺省 路由指向连接Internet的PE设备，通 过这台PE设备中转流量; 3.如果采用ISP分配地址，DNS设计复杂.,公众服务中心,数据库,对外发布门户网站,DNS,公网子接口,公网子接口,数据库,数据库,MCE,PE,PE,纵向VPN子接口,PE设备必须执行NAT转换,防火墙可执行NAT转换这时不用PE执行NAT操作,内部访问Internet,MPLS VPN实现政府部门安全隔离和受控互访,24,政务外网,税务,10.0.1.0/24,CE,数据中心,门户网站托管,公众服务区,PE,PE,公网子接口,PE,注释: 门户网站分配两个IP地址，一个为纵向网私有地址，用于加入纵向VPN，进行维护。一个为政务外网IP地址，用于提供公共服务，门户网站主机两网卡间不能起路由协议,门户网站托管,门户网站托管,门户网站托管,PE,PE,纵向VPN子接口,防火墙可能执行NAT-PT操作,Internet,私网IP 10.0.2.1/28,政务外网IP 160.0.1.1/28,维护数据流,Internet访问流量,托管网站维护,MPLS VPN实现政府部门安全隔离和受控互访,25,政务外网,注释: 1.路由多实例设备（MCE）通过多个子接口上联到PE设备，其中公网子接口用于其余用户访问门户网站，纵向VPN子接口用于纵向系统访问，前置VPN子接口用于访问前置机。路由多实例完成安全隔离的功能。 2.纵向用户访问公网通过纵向VPN子接口，此时需要PE设备VRF表设置多条