该种方式调整工作量较大;第二种方式,可通过在上联区域上通过静态路由的方式,将XX市电子政务外网的路由信息重发布到省电子政务外网,该种方式配臵灵活,对于市电子政务外网的改动最小,因此,建议后期采用该种方式,接入省级电子政务外网。
2.3.4. 域名规划与管理
1、市政务外网分别采用独立的四级域名系统,域名由根域和若干个子域名用“.”连接而成,采用nj.js.cegn.cn作为XX市网根域名,采用njXX.js.cegn.cn作为各市直部委单位的门户网站的根域名,区县不设域名解析,其web业务归入到所属市直单位门户网站,使用市直部门的门户网站进行信息发布。
2、对于政务外网中已建自有网络的,可以暂时采用现有域名,然后逐步过渡到统一的域名规范中。
3、各级网络的子域名由英文字母(大小写等价)、数字(0—9)和连接符(-)组合而成。 4、域名的范围应以4-5段为主,原则上不超过5段。如:“njsj.js.cegn.cn”为电子政务外网XX省XX市审计系统的域名。
5、XX市政务外网管理中心负责统一规划命名市网四级根域名,由省信息中心中心统一解析。即省信息中心对nj.js.cegn.cn根域进行管理,XX市政务外网管理中心分别对本市的njXX.js.cegn.cn根域进行管理,所有单位的四级域名及四级DNS均向对应的政务外网管理中心nj.js.cegn.cn或者XX.js.cegn.cn进行注册。
6、XX市电子政务外网规划命名实例见下表:
各市名称 市属 鼓楼区 审计局 Nj.js.cegn.cn njgl.js.cegn.cn Njsj.js.cegn.cn 三级根域名 2.4. MPLS VPN业务规划
2.4.1. MPLS VPN需求和规划要点
MPLS(Multiprotocol Label Switching: 多协议标签交换)技术是在开放的通信网上利用定长标签进行数据高速传输和交换的网络新技术。MPLS技术将第二层交换和第三层的路由技术很好地结合起来,以十分简洁、高效的方式完成信息的传送。更为重要的是,MPLS使网络能提供传统IP网络不能或很难提供的各种增值服务,例如MPLS所提供的VPN服务、流量工程服务、IP QoS服务等。
在MPLS网上提供和基于帧中继、ATM PVC的第二层VPN相同安全级别的虚拟专用网,能达到第二层PVC所具有的专有性、安全性和数据传输的高速性,而MPLS VPN的灵活性、扩展性、易管理性和适应性则是当前其他基于PVC或隧道技术的VPN所无法比拟的。MPLS VPN在第三层路由上对各VPN进行了隔离,无需访问控制列表ACL,各VPN之间都是不可见的,骨干网对于客户网络(某个VPN内部)也是不可见的。所以,MPLS充分保证了在多个业务系统共用IP骨干网情况下的相互有效隔离。MPLS最初是为服务供应商网络所创立的技术,今天,很多企业或政府机构的网络也需要解决和服务供应商网络类似的需求和问题。政府机构的IP骨干网正从过去低带宽、重复分离的物理网络向宽带化、一体化方向发展,一个高效的、智能的、集成的网络是政府网络发展的方向。同样地,XX市政务外网要能安全、高效地整合各业务专网,同时应对各种公共业务、语音传送、视频服务多业务应用不断增长的需求,就要求XX市政务外网平台必须能够将它们按照各自的特性和要求正确地传送,提供安全隔离和区别服务。先进、成熟的MPLS/VPN技术是XX市电子政务外网纵向系统建设的有效解决方案。
对XX市电子政务外网而言,需要重点实现两个方面的需求:
l、安全隔离:一方面要保证各业务系统逻辑网络的相对独立性,以满足不同业务系统对安全性、服务质量、管理、拓朴结构的要求;
2、受控互访:另一方面,各业务系统之间的流程整合又需要提供相互访问的途径,而且要保证访问的安全性。
XX市电子政务外网部署MPLS VPN要考虑以下几点: 1、可靠性和稳定性
目前MPLS VPN技术主要分成L3 MPLS VPN、L2 MPLS VPN(包括VPLS(虚拟私有局域网服务))两大类。其中L3 MPLS VPN技术发展较早,其核心部分已经标准化,由于它的信令控制是通过多协议BGP来实现的,所以通常也叫做MPLS/BGP VPN,或BGP/MPLS VPN。MPLS/BGP VPN技术不仅已经广泛应用于电信运营商和ISP,而且也广泛应用于电力行业,政府行业(包括各省的政务内网和政务外网),金融行业,大型企业等行业用户。其技术和产品都较为成熟,稳定。所以XX市电子政务外网宜选用MPLS/BGP VPN作为主流的MPLS VPN技术。
2、扩展性
由于国家电子政务外网将每个省(含副省级)规划为单独的自治域(Autonomous System)。所以,要想实现各个厅局的垂直纵向网从中央延伸到省、市、县区,除省里必需解决VPN跨自治域的问题外,还需要市与省进行对接。
3、业务多样性
XX市电子政务外网作为一个向政府部门提供网络服务的平台,不仅要提供基本MPLS VPN业务。还要提供多样化的业务种类,以满足不同政府部门的多样化要求。比如,有的厅局需要在自己的VPN内部根据自己不同的业务部门或者不同的业务种类再自行划分内部的VPN,而这种内部VPN的划分和管理应该完全属于这个厅局自己,而不需要对全网VPN规划产生影响。所以,这个网络需要支持MPLS VPN的层次化能力。
4、VPN业务的高品质保证
针对语音、视频、多媒体通信等实时性要求比较严格的业务,XX市电子政务外网的VPN服务能否提供类似专线一样的服务质量保证也是非常重要的,这就要求在整个网络中部署端到端的QOS。
5、设备实现MPLS VPN的性能考虑
前面只是考虑了MPLS VPN部署时的业务特性,而在一个实际的生产网络里。设备实现
MPLS VPN的性能如何至关重要。
6、可维护性和可管理性
对于MPLS VPN的管理首先确定管理界面。在电信运营商网络,PE和CE是服务提供商和用户之间的管理界面,用户维护和管理CE设备,服务提供商维护和管理PE设备。但是在电子政务外网中,由于行业的特点,政务外网服务提供商不仅要维护和管理PE设备,还要维护和管理CE设备。如何解决同时对PE和CE设备的管理是必需考虑的问题。
2.4.2. MPLS VPN总体规划
综合前面的需求分析,在XX市电子政务外网的MPLS VPN业务将按以下设计进行规划。 采用MPLS BGP VPN作为实现基本MPLS VPN业务的技术路线,包括支持各委办局建立的垂直纵向网络(含实现跨自治域VPN访问)、各委办局之间的可控的横向互通访问、互联网访问VPN等;
? 采用上层PE的缺省路由下发到下层PE的技术实现VPN路由的层次化; ? 采用VPDN+PE技术或同等功能效果的技术满足移动用户拨入VPN需求。
? 采用MPE技术或同等功能效果的MPLS VPN网络管理技术实现网管中心对全网MPLS VPN
业务的统一管理。
XX市电子政务外网MPLS VPN总体规划如下图所示:
XX市电子政务外网省网MPLS VPN规划拓扑图
MPLS VPN由三类设备组成:PE,P(可视实际组网情况部署)和CE。VPN的划分和维护全部在PE设备上进行,P设备只运行IGP协议、LDP协议(或RSVP扩展)、BGP协议(可视实际组网情况部署),不会运行MP-BGP协议,不会感知VPN的存在。CE设备上负责VPN业务落地,也不会感知VPN的存在。
在XX市MPLS VPN的规划中,主要有三类MPLS VPN:
1、纵向VPN,主要用于承载部门内部的纵向应用系统,在满足省-市-县的纵向VPN互通之外,还有与国家部委VPN网络进行对接的需求; 2、横向VPN,主要满足同级机构跨部门的数据访问需求;
3、互联网VPN,XX市电子政务外网为市级各厅局提供统一的互联网出口服务。互联网作为XX市电子政务外网中一个特殊的VPN,与政务外网相隔离。
2.4.3. VPN路由设计