技术方案
在数字城市城域网的核心层,设置两个核心节点,由两台高端路由交换机组成,放置在XX公司数据中心机房。核心高端路由交换机与数据中心的公用信息平台相连,提供到服务器群组的高速访问通道。此外,核心节点路由器还通过两个物理方向提供到互联网的访问出口。
在汇聚层,为了便于各类业务进行汇聚在XX城市市区、XX区、XX区、XX设置5个汇聚节点(其中XX城市市区2个),每个节点配置2台高端万兆三层路由交换机。汇聚节点与核心节点间构成双星型网络拓扑结构。10台汇聚交换机各端口均开启路由功能,同节点两台设备之间千兆链路互联,保证网络的高带宽及链路冗余;
同时整个网络由防火墙、IPS组成安全防护基础,应用层采用多重防护和防篡改等应用技术提升信息中心数据安全。IP城域网核心层和汇聚层网络拓扑图如下图所示。
在骨干区域内,在节点路由器上配置MPLS,划分若干VPN,在每个VPN
21
技术方案 包含一个或若干VLAN。不同业务使用不同VPN,保证业务网络的隔离,同时是设立公共VPN,部署网管及杀毒等公共服务;针对整网中不同业务部署QOS,以保证重点业务得到重点保障。
图6-24 IP城域网核心和汇聚层网络拓扑结构网
在城域网的接入层,采用快速以太网接入方式实现对各单位局域网的接入服务。具体接入技术可以采用MSTP、光纤直连、EPON等实现方式。接入层交换机每个端口与各单位路由器或安全网关相连接。为了使不同单位的网络完全隔开,交换机每个端口独占一个VLAN。这样,不同厅、局单位网络在第二层实现了隔离。同时整个网络由防火墙、IPS组成安全防护基础,应用层采用多重防护和防篡改等应用技术提升信息中心数据安全。
IP城域网安全措施:
节点设备安全:IP城域网核心层和汇聚层所有设备均采用双主控、双电源,对关键板卡进行保护,保证设备本身的安全性。核心层设置两个节点,汇聚层每个区域采用双设备,避免单点设备故障。
链路安全:骨干设备和汇聚设备之间采用口字形连接,保证骨干链路的冗余和安全性;对于XX、XX等区的长距离IP链路承载在传输网络上,环形网为IP链路提供自动保护倒换,提供链路安全可靠性。
22
技术方案
网络安全边界保护:在网络边缘路由器所有接入接口上采用ACL封闭所有对骨干路由器管理和链路地址的访问,形成封闭的MPLS-VPN骨干网络。
设备自身保护:在路由器上设置ACL,控制非法访问,如Telnet、SNMP等。
配置操作安全保护:采用RADIUS协议实现用户管理员的认证、授权和审计(AAA);通过syslog实现配置修改等安全关键信息的审计。
路由安全:在边缘路由器接口上使用 MD5加密认证。在没有BGP的路由器接口上封闭BGP使用的TCP=179端口。
带宽资源安全:采用QoS策略保证高等级业务的传送安全,保证带宽。 数字城市城域网与外网(互联网)隔离:在外网出口安装防火墙设备,防止各类病毒及攻击,对内网造成破坏。
4.4.5 VPN解决方案
根据数字城市城域承载网的建设目标,可以为某一系统提供专用的虚拟通信通道,组建系统纵向的互联网络,以及横向的公共服务访问,如:
? 为市政府提供与各部门通信的办公虚拟通道 ? 为市直各部门提供与部门内纵向通信的虚拟通道 ? WWW访问服务
即在横向上要实现部门间的部分主机及应用的跨部门访问;在纵向上实现各系统机要等部门的内部互联。
为了实现这些建设目标,保证政务网各系统的安全,必须要为了各系统的网络互联提供安全隔离及网络服务质量保证,对网络平台而言,技术上需要重点实现以下两个方面:
1、安全隔离:一方面要保证各业务系统逻辑网络的相对独立性,以满足不同业务系统对安全性、服务质量、管理、拓扑结构的要求;
2、受控互访:另一方面,各业务系统之间的流程整合又需要提供相互访问的途径,而且要保证访问的安全性。
MPLS/BGP VPN解决方案可以为外网平台提供一种基于网络、易于管理、扩充性好、安全且具有QoS保障、可在任意节点间连接的VPN。
23
技术方案
MPLS VPN由三类设备组成:PE、P和CE。核心节点的两台路由器担当P设备的角色,汇聚节点路由交换机担当PE设备,在每个委办局部署一台接入路由器,担当CE设备的角色。
垂直纵向VPN组网方案
垂直纵向VPN网络设计是指通过部署标准的MPLS/BGP VPN将位于市中心、各区的属于同一委办局的各个单位连接在一个逻辑专线网络中。所有MPLS VPN业务是由部署在城域网的PE设备来完成。各区县节点的接入路由器交换机做PE设备。网络实现入下图所示:
B委办局A委办局市D委办局C委办局D委办局A委办局B委办局A委办局C委办局
图6-25垂直纵向 MPLS VPN示意图
横向互访VPN组网方案
为达到横向受控数据互访,在公用信息存储中心部署两台支持MPLS/BGP VPN的核心交换机,作为PE设备,双归上连到城域网核心路由器。各委办局的横向互通是指放置于各委办局的前置服务器中的数据通过公用信息存储中心进行横向数据互访。
24
技术方案
B委办局A委办局市
图6-26 横向 MPLS VPN示意图
4.4.6 网络层设备选型
Quidway? S9312核心路由交换机是由华为公司自主开发的新一代高性能核心路由交换机产品,提供大容量、高密度、模块化的二到四层线速转发性能,具有强大的IP路由性能,同时支持分布式的MPLS线速转发、完善的QoS保障、有效的安全管理机制和电信级的高可靠设计,满足高端用户对多业务、高可靠、大容量、模块化的需求,可广泛应用于构建IP城域网、大型园区网的网络骨干、交换核心和汇聚中心。
本次方案配置的国产华为公司Quidway S9312可以达到2T的交换容量、4.8Tbps的背板容量和1080MPPS的包转发率,完全可以满足容量,可以达到槽位数10个,冗余的交换引擎。
按照招标要求,本次配置了双引擎、一块万兆板、四块千兆业务办,同时配置了一块华为公司最新推出的的LE0MFSUA高性能增强灵活业务模块,可以实现MPLS VPN和网络流量分析等功能,详细的配置清单如下:
25