公网出口VPN:为岳阳市各区县政务外网internet出口建立一个VPN,该VPN与各职能部门的internetVPN进行互引,从而实现各职能部门的上internet的需求,同时实现各职能部门internet VPN用户的隔离;
共享资源VPN:为岳阳市各区县政务外网内部数据中心设立的VPN,通过这处VPN与其他部门的路由标签互相引入,实现岳阳市各区县电子政务平台相关资源对所有职能部门的共享。
? RD—router distinguish规划 RD的命名规则统一如下:
使用16bits:32 bits格式,分配规则为 『AS号:VPN类别』。 《湖南省电子政务外网平台规范》对RD值规划如下: VRF名称 维护VRF 数据交换中心VRF 语音、视频 系统保留 RD(ASN代表湖南省电子政务外网自治系统号) ASN:1-10 ASN:11-60 ASN:61-99 ASN:100-999 ASN:1000-1099 接入部门1 (其中ASN:1000用做管理VPN, ASN:1001-1009用做横向VPN, ASN:1010-1099用做纵向VPN) .............. ASN:10000-10099 接入部门100 (其中ASN:10000用做管理VPN, ASN:10001-10009用做横向VPN, ASN:10010-10099用做纵向VPN) 系统保留
? RT—Route-target规划 命名规则如下:
使用16bits:32 bits格式,分配规则为 『AS号:VPN类别』。RT。
ASN:20000以后 第 31 页 共 55 页
由于标准的MPLS/BGP VPN采用对VPN-IPv4路由附带的RT值进行导入Import Target和导出Export Target控制以实现不同VPN之间的访问控制,而且在岳阳市各区县政务网络中存在职能部门的纵向或横向访问, 所以RT值必须全局统一分配。
湖南省电子政务外网工程中采用RT值的格式:16位自治系统号 : 32位用户自定义数字。
RT与VPN相匹配。(ASN代表湖南省电子政务外网自治域系统号) VPN名称 维护VPN 站点 Export RT ASN:1 Import RT ASN:100 ...... ASN:20000 各政府职能部门 ASN:100 ...... ASN:20000 垂直纵向VPN 单位100 单位1 ASN:110-199 ...... ASN:10010-10099 ASN:10010-10099 ASN:110-199 ASN:1 2.15.4 MPLS VPN 业务接入规划
岳阳市各区县电子政务外网平台中的业务包括各政府职能部门的各种应用系统,这些系统一般通过局域网交换机或路由设备将业务接入到汇聚层PE。
根据湖南省电子政务外网的技术规范及岳阳市各区县政府电子政务外网的相关要求,针对各政府职能部门,先规划两个VPN以满足他们现行条件的业务需求,这两个VPN为:
纵向VPN:满足各职能部门省、市、市级的纵向数据访问;
横向VPN:满足部分岳阳市各区县政府职能部门兄弟单位的共享数据访问。
第 32 页 共 55 页
在实现上,这两个VPN,分别对应两个VLAN,通过交换机的TRUNK链路接入汇聚网络设备,在汇聚设备上进行VPN的绑定。
从整个岳阳市各区县电子政务外网平台来看,还需要对一些业务共享资源进行规划,并且对以后应用的扩展进行考虑还要创建如下VPN:
外部数据中心VPN:满足外部共享资源的统一管理。
内部数据中心VPN:满足岳阳市各区县电子政务外网平台中各部门共享资源的管理。
在扩展性考虑方面,我们还必须对VPN资源进行预留,以满足今后业务的发展要求,譬如说可以按业务给VOIP或视频会议等应用规划单独的VPN,以满足电子政务外网平台中语音、视频的业务扩充能力。
第 33 页 共 55 页
3 数据中心设计方案
3.1 外部数据中心设计
外网服器包含: WEB服务器等。
我们主要考虑到的是防范对于非法访问,一般通过防火墙来实现。通过配置了多级防火墙,以隔离网络各个组成部分相互之间的非法访问(合法访问可以通过);对于Internet用户来讲,如果想非法侵入外部数据中心网络,必须突破防火墙的防范。
抗拒绝服务系统通过多种技术手段对DOS/DDOS攻击进行有效的检测,对不同的流量触发不同的保护机制,在提高效率的同时确保准确度,对SYN Flood,UDP Flood,ICMP Flood,IGMP Flood,Fragment Flood,HTTP Proxy Flood,CC Proxy Flood,Connection Exhausted等各种常见的攻击行为均可有效识别,并通过集成的机制实时对这些攻击流量进行处理及阻断,保护服务主机免于攻击所造成的损失,保证岳阳市各区县电子政务外网平台业务应用系统运行的连续性。
外部数据中心也是电子政务外网的主要组成部分,还考虑到如果黑客采取SQL注入、跨站脚本攻击、DDOS攻击、网页挂马、敏感信息泄露、网页篡改等等攻击手段,我们也得采取相应措施应对。所以我们用到网页防篡改系统,将其部署在外部数据中心WEB服务器上,有效防范政府网页被篡改的行为。
网页防篡改系统外部数据中心Web服务器其它应用服务器外部服务器区交换机+入侵防御系统
图3.1 岳阳市各区县电子政务外网外部数据中心设计
第 34 页 共 55 页
3.2 内部数据中心设计
本方案内部服务器包含: OA办公服务器、电子政务应用服务器、数据库服务器、IMC智能管理平台服务器等,应选高性能三层交换机作为服务器汇聚设备来保证对服务器被访问量,满足对服务器所要求的带宽。
本方案在核心交换机与数据中心服务器区部署二台高性能防火墙产品,构成双机热备,以防御来自不同网络区域的攻击,并将各系统有效的安全隔离开来,确保岳阳市各区县电子政务外网平台数据中心的安全。
IPS位于岳阳市各区县电子政务核心交换机与内部数据中心之间,大大提高了对电子政务外网平台的安全性,有效的保障了访问内部数据中心权限的应用。
主存储备存储内部数据中心综合网管软件+网络防病端点准入毒系统控制系统IP交换机IP交换机日志审计系统行政审批等内部服务器区交换机电子监察系统内部服务器区交换机内部数据中心入侵防御系统+防火墙
图3.2 岳阳市各区县电子政务外网内部数据中心设计
第 35 页 共 55 页