今后所有的乡镇、市直单位将逐步改成通过设立在岳阳市各区县政府网控中心的统一出口来访问互联网资源,为了更好的提高工作效率以及提高整个岳阳市各区县电子政务外网平台网络系统的安全性,需要进行Internet链路出口改造。具体情况如下:
1、岳阳市各区县电子政务外网网络在出口上,需要租用一条100M以上的带宽链路接入Internet;
2、要有对出口流量进行管理的功能; 3、要能实现透明的故障屏蔽;
4、有可扩展性,随着岳阳市各区县电子政务外网网络的进一步扩展,要能保护目前的设备投资;
5.、在互联网出口部署一台路由器,实现网络接入和IP转换;
6、部署一台抗DDOS攻击系统,通过多种技术手段对DOS/DDOS攻击进行有效的检测,保障岳阳市各区县电子政务外网平台应用资源。
7、利用防火墙的访问控制技术,实现内网与互联网、电子政务网的安全隔离,以保障网络可用性;
8、利用流量控制等技术,以提高访问互联网的效率。
Web服务器网页防篡改系统其它应用服务器外部数据中心Internet外部服务器区交换机+入侵防御系统防DDOS系统+防火墙+流量控制系统+上网行为审计系统出口路由器
图2.9 岳阳市各区县电子政务外网互联网接入设计 2.10 核心层设计 在核心层部署2台高性能的三层交换机,核心层设备具有以下功能和性能:
第 21 页 共 55 页
1. 高性能交换
2. 全面的软件支持和高性能网络服务的增强。
高速执行服务质量、安全、压缩和加密等网络服务。
3. 高密度端口提供高密度端口以及广泛的局域网和广域网介质,并允许灵活地进行配置。 4. 公用端口适配器
5. 在电子政务外网的核心层部署上网行为管理、抗DDOS系统等。
主要针对上网用户使用P2P/IM/网游/炒股软件/非法网站访问等各种应用进行监控和管理;全面分析网络应用的流量类型和流量流向趋势,统计网络热点,发掘业务增长点;分析用户行为,统计用户兴趣,为个性化提供依据,并通过开放的平台接口,与第三方业务平台对接,提供高附加值业务,如在用户行为兴趣分析的基础上提供定向WEB广告服务等功能。
根据岳阳市各区县电子政务外网的实际需求情况,同时考虑到今后的发展,核心层三层交换机选择高性能路由交换机,配置双引擎和双电源系统,以满足系统高可靠的要求,每台设备配置多个千兆端口,通过千兆链路与出口路由器连接;配置多个千兆端口,用于与各单位和部门的接入层交换机相连。并通过千兆光纤与市政务外网进行互联。
图2.10 岳阳市各区县电子政务外网核心层设计
第 22 页 共 55 页
2.11 汇聚层设计
4个汇聚点的汇聚:为实现对接入设备的汇聚,提高转发性能,应考虑实际需求及性价比,为各个汇聚点配置高性能三层交换机。上联至核心。
图2.11 岳阳市各区县电子政务外网汇聚层设计
主干网络中,汇聚层是业务流量的汇聚点,同样需要部署高可靠、冗余、可扩展的网络来保障系统不间断运行。
为实现清晰的网络层次,确保城域网的可靠连接,汇聚层使用4台高性能路由交换机,利用双链路以1000M速率连接核心交换机,同时负责各市直单位的接入。
考虑到汇聚交换机的关键位置及作用,汇聚交换机接口要有冗余性。
2.12 接入层设计
部门网络的接入:为实现所有单位用户的接入,考虑到实际需求及性价比,每个接入单位配置一台接入设备。在对内网安全性和可控性考虑,
图2.12 岳阳市各区县电子政务外网接入层(交换机)设计(一)
第 23 页 共 55 页
图2.12 岳阳市各区县电子政务外网接入层(路由器)设计(二)
部门通过千兆单模/多模光接口就近接入汇聚交换机,交换机设备要能够实现各接入单位之间不同的应用通过VLAN二层隔离并以VLAN Trunk方式透传至汇聚交换机。路由器设备要能够实现各接入单位的地址转换。
结合网络情况以及接口要求,本次接入层设备配置应该满足所有单位接入数量的要求。
2.13 IGP路由设计
路由设计,关系到网络的整体性能和功能,是网络设计中的一个重要环节,岳阳市各区县电子政务外网路由设计采用灵活的设计思路,准确选择路由协议,从管理的方便性和技术的先进性两个方面进行规划设计。
根据岳阳市各区县电子政务外网的网络规模和主备线路情况,在核心层和汇聚层采用OSPF路由协议,实现流量的负载均衡和链路的自动切换。
对于互联网接入区和外部数据中心的节点,由于连接至启用三层的防火墙,使用静态路由实现网络的联通性;对于内部数据中心节点,由于是连接是三层防火墙安全设备,使用OSPF路由协议,实现网络的联通性。
2.14 IP地址规划
IP地址的合理规划是网络设计中的重要一环,大型计算机网络必须对IP地址进行统一规划并得到实施。IP地址规划的好坏,影响到网络路由协议算法的效率,影响到网络的性能,影响到网络的扩展,影响到网络的管理,也必将直接影响到网络应用的进一步发展。
第 24 页 共 55 页
2.14.1 IP地址分配原则
IP地址空间分配,要与网络拓扑层次结构相适应,既要有效地利用地址空间,又要体现出网络的可扩展性和灵活性,同时能满足路由协议的要求,以便于网络中的路由汇总和聚类,减少路由器中路由表的长度,减少对路由器CPU、内存的消耗,提高路由算法的效率,加快路由变化的收敛速度,同时还要考虑到网络地址的可管理性。具体分配时要遵循以下原则:
唯一性:一个IP网络中不能有两个主机采用相同的IP地址;
简单性:地址分配应简单易于管理,降低网络扩展的复杂性,简化路由表的款项
连续性:连续地址在层次结构网络中易于进行路径叠合,大大缩减路由表,提高路由算法的效率
可扩展性:地址分配在每一层次上都要留有余量,在网络规模扩展时能保证地址叠合所需的连续性
灵活性:地址分配应具有灵活性,以满足多种路由策略的优化,充分利用地址空间
2.14.2 管理和互联地址规划
从省中心分配给岳阳的地址段中划分一段作为管理和互连地址段。
2.14.3 用户地址规划
省中心对市(市)区的IP地址做了统一的规划和分配,岳阳市各区县电子政务外网所分配的地址段由岳阳市信息化管理局统一分配,用户地址具体分配原则如下:
? 在纵向VPN和横向VPN中为各市直单位分配岳阳市各区县段IP地址,原
则上是先满足网络设备和网络维护管理所需的IP地址段,对各接入单位所需的IP地址分配原则是按需分配,动态管理。
? 在横向VPN的设计中,如果部分单位之间的IP地址段重叠,则由接入设备
第 25 页 共 55 页