国家电子政务外网(一期工程)项目新疆节点实施方案
2.配置接口IP地址
interface mpgroup 2/1/4 //配置8M 捆绑接口IP地址 ip address 59.255.198.122 255.255.255.252 undo shutdown //打开接口
interface serial 2/1/0:0 //配置 2M E1 接口IP地址 ip add 59.255.199.122 255.255.255.252
2.2.9 路由及策略技术实施
政务外网核心路由器R9、R10同各省节点路由器采用了OSPF协议作为EGP的承载协议,向全网转发路由。政务外网同时为中央城域网及省政务外网连接节点提供访问互联网的需求。
政务外网广域骨干网IGP路由协议采用OSPF协议,政务外网广域骨干网省节点Rd设备2个上联端口及Loopback端口均配置在Area 0区域中,详细信息如表2-8:
表2-9:Rd设备Ospf配置
设备名 Route-id 发布的接口地址 59.255.198.122/30 Area 0 0 0 接口COST值 备注 1000 E1 8M接口 4000 E1 2M接口 Loopback地址 XJ-Rd1-NE408 59.255.193.124/32 59.255.199.122/30 59.255.193.124/32 政务外网广域骨干网新疆节点路由及策略配置如下: 1.OSPF协议配置 ? 启用OSPF路由进程
ospf 100 //设置OSPF进程,进程号统一为100
? 设置OSPF路由ID
router id 59.255.193.124 //设置OSPF路由ID
interface loopback 0 //配置Loopback接口回环地址 ip address 59.255.193.124 255.255.255.255
16
国家电子政务外网(一期工程)项目新疆节点实施方案
? 在OSPF协议中发布本地网段
Area 0
network 59.255.193.124 0.0.0.0 //发布本地网段
? 配置接口OSPF Cost值
interface mp 2/1/4 //配置8M 捆绑接口Cost值 ospf cost 1000
interface serial 2/1/0:0 //配置 2M E1 接口Cost值 ospf cost 4000
2.路由协议策略配置
为了限制广域网骨干网各省下连省内节点通过该网上互联网。在广域网骨干网各省路由器上实施路由过滤策略,采用IP-Prefix前缀列表技术过滤从核心路由器学习到的缺省路由。具体配置如下:
? 建立IP-Prefix前缀列表,列表命名为DenyDefaultRoute
ip ip-prefix DenyDefaultRoute deny 0.0.0.0/0 greater-equal 32 less-equal 32 //拒绝缺省路由
ip ip-prefix DenyDefaultRoute permit 0.0.0.0/0 greater-equal 0 less-equal 32 //允许其它路由信息
OSPF 100
filter-policy import DenyDefaultRoute import //对接收的全局路由信息进行过滤
3.IBGP协议配置
省政务外网Rd设备同国家广域网骨干核心路由器启用IBGP,在NE40-8配置如下: router bgp 37937 //启用bgp进程 group ibgp internal //建立对等组 group ibgp as-number 37937 //建立对等组AS peer 59.255.192.36 group ibgp
//同R9建立Ibgp邻接
peer 59.255.192.40 group ibgp //同R10建立Ibgp邻接
17
国家电子政务外网(一期工程)项目新疆节点实施方案
2.3 新疆政务外网接入实施及要求
2.3.1 省网接入设计
根据规划,省政务外网采用私有AS与广域骨干网省节点路由器Rd建立EBGP邻接来实现省政务外网接入国家政务外网,BGP进程需要建立在Rd设备与省政务外网上联设备之间。
在本次项目实施中省Rd为下联省政务外网共配置了3类接口供选择使用,即千兆双绞线、百兆双绞线及千兆单模接口。本实施方案中该下联端口的选择是依据前期各省电子政务外网实施核查表的内容制定的,采用千兆双绞线连接。具体使用时各省可根据自身情况调整。
若选择使用千兆单模方式连接,则需要考虑两个光口间是否需要使用光衰耗器以保护光接口工作正常。本次下发千兆单模光口输出功率值为-2至5dbm,输入功率值为-23至-3dbm。
根据接入互联需求,最终确定新疆政务外网采用一台S8512设备与骨干网NE40-8互联,链路为千兆双绞线。
表2-10 : Rd设备下联表
设备名 XJ-Rd1-NE408 省核心设备S8016 线路接口 3/0/1 电路类型 千兆双绞线 千兆双绞线 电路描述 To_ XJ_WW_Ge_01 接口地址/掩码 59.255.203.193/30 备注 至省核心S8512电路 59.255.203.194/30 至Rd电路 省政务外网与国家政务外网互通的网段,由省政务外网接入路由器发布到省节点Rd路由上,并由Rd路由器向全网通告,同时国家政务外网只接收分配到省政务外网的IP地址段内的路由,并且要求以最大聚合的路由来发布。
以上小节描述了省政务外网接入的路由及策略的规划,在广域骨干网Rd路由器及省
政务外网接入路由器上配置实现如下:
1.路由协议配置
路由协议采用BGP,在Rd配置如下:
18
国家电子政务外网(一期工程)项目新疆节点实施方案
router bgp 37937 //启用bgp进程,37937为国家
电子政务外网AS号
group ebgp external //建立对等组
group ebgp as-number 65085 //建立对等组,65385为国家统一分配 peer 59.255.203.194 group ebgp //同省政务外网建立bgp邻接
2.3.2 省网IP地址及域名实施要求
各省可以依照国家信息中心下发的《国家电子政务外网IP地址及域名管理规范》(以下简称规范),作为省政务外网建设中IP地址和域名系统规划的参考。
各省节点可根据本省政务外网建设情况,在利用国家电子政务外网公有IP地址及部署国家政务外网域名系统(***.CEGN.CN)时,参照上述规范和附件《省政务外网接入分类及技术建议》实现互联互通,具体实施由各省政务外网管理单位自行组织。
2.3.3 省网接入设备NAT转换配置要求
各省政务外网在保留原地址不迁移的情况下与国家政务外网互联互通时,需要使用NAT转换技术来实现。
为实现国家电子政务外网全网IP地址及路由统一规划和实施,Rd设备从省政务外网端将只接收由国家统一分配到省里的IP地址段路由。所以在省政务外网接入国家政务外网时,需要采用NAT技术进行省政务外网的地址转换。NAT转换在省政务外网设备上来实现,将有利于省政务外网IP地址自由独立规划。
如果NAT功能在国家下发的Rd设备上实施的话,Rd设备将引入省政务外网所使用的私有地址段路由,这些NAT的配置与维护工作就将国家政务外网完成,并不利于省政务外网自身的建设和扩展与维护,因此也需要在省政务外网设备上实现NAT转换功能。
在进行NAT配置工作时,对于需要向国家政务外网提供服务的服务器,可以采用NAT静态转换的技术,实现1对1的地址翻译;而对于那些需要访问国家电子政务外网的终端设备,则可以采用NAT复用转换的技术来实现地址翻译。具体使用的地址则
19
国家电子政务外网(一期工程)项目新疆节点实施方案
可以参考相关规划并结合省政务外网建设的具体情况来确定。
20