换机S8614同时兼具路由放射器RR的作用。考虑到数据中心的安全保障,部署两台XX网络千兆入侵检测设备IDS 2000,并配合软件平台,对于网络内的安全事件,进行分析,使数据中心安全事件可感知,为用户提供网络优化的可量化数据依据。数据中心详细拓扑图下图所示:
2.3. 方案详细设计
2.3.1. IP地址规划
1、IP地址分配原则
IP地址的合理规划是网络设计中的重要一环,大型计算机网络必须对IP地址进行统一规划并得到实施。IP地址规划的好坏,影响到网络路由协议算法的效率,影响到网络的性能、网络的扩展和网络的管理。
IP地址空间分配,要与网络拓扑层次结构相适应,既要有效地利用地址空间,又要体现出网络的可扩展性和灵活性,同时能满足路由协议的要求,以便于网络中的路由聚类,减少路由器中路由表的长度,减少对路由器CPU、内存的消耗,提高路由算法的效率,加快路由变化的收敛速度,同时还要考虑到网络地址的可管理性。具体分配时要遵循以下原则:
1)唯一性:一个IP网络中不能有两个主机采用相同的IP地址。
2)连续性:简化路由选择,充分利用地址空间,最大限度地实现地址连续性,并兼顾今后网络发展,便于业务管理,提高网络的总体性能。
3)可扩展性:充分考虑网络未来发展的需求,坚持统一规划、长远考虑、分片分块分配的原则。地址分配在每一层次上都要留有余量,在网络规模扩大时能保证地址空间汇总所需的连续性。
4)规范性:严格按照IP地址分配原则进行IP地址的规划及项目实施。
5)标准化和灵活性:充分利用标准化的无类别域间路由(CIDR)技术和可变长子网掩码(VLSM)技术,合理、高效、充分地使用IP地址空间。
6)层次性:IP地址划分的层次性应体现出网络结构的层次性。
7)可管理性:为便于网络设备的统一管理,分配一段独立的IP地址段做网络互连地址和loopback地址。
2、IP地址分配规划
本次网络设计IP地址分为3类,第一类是电子政务外网全网可路由的59段公网地址,该类地址作用有二:其一,为与省、国家级电子政务外网进行业务的互联互通地址;其二,该段地址在整个电子政务外网互联网接入区域设备NPE 60上,进行二次NAT转换,转换为互联网公网地址,为各个单位提供互联网接入服务;第二类为智能交通信息平台-320系统专用IP地址,该类地址实现各个路口高清IP摄像头数据与各分级数据中心以及市数据中心互联互通使用;第三类为XX市电子政务网上的各个单位市-区/县两级MPLS VPN内部传输的私有地址。
对于第一类地址,目前,国家电子政务外网统一采用国家信息中心从中国电信申请的公网地址段,已申请的地址段59.192.0.0-- 59.255.255.255(/10)作为全网通信用地址,其中XX市电子政务外网分配的地址段为59.201.0.0/24-59.201.7.0/24。
1)XX市IP地址按照市-区的二层体系结构分配。市网地址段包括市信息中心平台地址段和市直厅局系统业务地址段。其中市信息中心平台地址段包括网络设备管理地址、互联地址
和平台地址;区网地址段包括区管理中心平台地址、区直单位系统业务地址。 具体分层结构如下表所示:
地址类型 市网网络设备管理市信息管理平台地地址 市网网络设备59.201.1.0/24 使用1个C类地址 分配IP地址范围 59.201.0.0/24 备份IP地址范围 地址数量 使用1个C类地址 址段 互联地址 平台地 址 市直厅局系统业务地址段 59.201.3.0/24-59.201.4.0/24 备用2个C类地址 使用2个C类地址 59.201.2.0/24 使用1个C类地址 区网地址段 59.201.5.0/24 59.201.6.0/24-59.20备用地址段 1.7.0/24 对于第二类地址-智能交通信息平台-320系统IP地址,建议根据高清IP摄像头的数量,选择10.0.0.0/8、172.16.0.0-172.31.0.0/16、192.168.0.0/24的私有地址,作为该系统的
专用地址;该套地址的分配遵循本章的IP地址分配原则,具体IP地址分配,参照59地址的分配详表,此处不详细列出。
对于第三类地址-MPLS VPN内的私有地址,该部分由各个市-区/县两级纵向单位自行规划,该部分IP地址规划,不在本方案设计范围内。
2.3.2. 外网详细路由设计
对一个大型网络来说,路由协议对网络的稳定高效运行、网络在拓扑变化时的快速收敛、网络带宽的充分有效利用、网络在故障时的快速恢复、网络的灵活扩展具有重要影响;同时对于网络承载业务的控制方面具有重要影响。
路由协议的选择基本遵循以下原则:
1) 管理上层次分明,局部的变动不影响上层路由配臵和全局路由配臵。 2) 技术上应尽量简单、灵活,以提高路由器的处理效率。
3) 能够反映出整个网络的层次结构,并与自治域、各结点子网的IP 地址分配相结合,做到合理的路由聚合,减少路由表的长度,减轻路由更新给网络带来的负荷。
XX市政务外网路由器的管理地址和政务外网内部地址的路由由IGP承载;根据国家政务外网的设计原则,XX市政务外网IGP采用标准协议OSPF。由于XX市政务外网设备数量较多,为了保证整外网的性能,以及区域的管理简洁性,需要对OSPF进行分域规划,考虑到XX市政务外网的实际情况和未来扩容的需要,每个汇聚节点下联单位划分一个子域。每个汇聚节点的2台汇聚设备RG S7806作为区域边界路由器(ABR),完成汇聚层网络到核心层网络的路由交换和汇总。
OSPF的区域概念是基于路由器接口的,因此将XX市政务外网省本级中心的核心设备RGS8614上的所有接口,以及6个汇聚加点的12台汇聚设备RG S7806的上联口划分到一个 AREA 0中。
XX市政务外网本级中心所挂接的各种业务划分到AREA 1中。
各汇聚节点汇聚交换机以下挂的网络划分到非0 区域,区域号码可根据实际情况进行分
配,建议AREA号码分配如下表所示: AREA 描述 XX市电子政务外网骨干0 域 XX市政务外外网本级中1 心 汇聚S7806下联端口与委办单位接入路由RSR 20-24上联端10 市政府汇聚节点 口 汇聚S7806下联端口与委办单位接入路由RSR 20-24上联端20 金宝花园汇聚节点 口 汇聚S7806下联端口与委办单位接入路由RSR 20-24上联端30 光华大厦汇聚节点 口 应天西路综合楼汇聚节40 点 口 汇聚S7806下联端口与委办单位接入路由RSR 20-24上联端50 虎踞路综合楼汇聚节点 口 汇聚S7806下联端口与委办单位接入路由RSR 20-24上联端60 徐庄综合楼汇聚节点 口
汇聚S7806下联端口与委办单位接入路由RSR 20-24上联端外网中心服务器区、本地局域网等 核心RG S8614A/B所有端口,汇聚RG S7806上联端口 备注 2.3.3. 与省政务外网对接设计
XX市电子政务外网内部采用标准的OSPF路由协议,后期与XX省电子政务外网的互联有多种方式可选。第一种方式,可选用OSPF与XX省电子政务外网互联互通,但考虑到省级电子政务外网建设时,IGP协议亦采用OSPF协议,因此需要对于XX市电子政务外网的区域进行适当调整,将XX市电子政务外网作为全省电子政务外网的一个OSPF区域接入省级电子政务外网,