電子政務(wù)網(wǎng)絡(luò)架構(gòu)

優(yōu)選電子政務(wù)網(wǎng)絡(luò)架構(gòu)當(dāng)前1頁(yè)，總共68頁(yè)。2目錄1、電子政務(wù)建設(shè)概述2、網(wǎng)絡(luò)架構(gòu)詳細(xì)分析3、政務(wù)網(wǎng)絡(luò)案例分析當(dāng)前2頁(yè)，總共68頁(yè)。3電子政務(wù)公司（法人）政府部門公眾（自然人）政府員工電子政務(wù)建設(shè)的目標(biāo)定位

G2G

G2C

G2E

G2B當(dāng)前3頁(yè)，總共68頁(yè)。4目錄1、電子政務(wù)建設(shè)概述2、網(wǎng)絡(luò)架構(gòu)詳細(xì)分析

廣域網(wǎng)架構(gòu)分析

城域網(wǎng)架構(gòu)分析局域網(wǎng)架構(gòu)分析3、政務(wù)網(wǎng)絡(luò)案例分析當(dāng)前4頁(yè)，總共68頁(yè)。5廣域網(wǎng)建設(shè)的關(guān)注點(diǎn)

關(guān)注點(diǎn)1：MPLSVPN實(shí)現(xiàn)縱向業(yè)務(wù)系統(tǒng)的隔離

關(guān)注點(diǎn)2：MPLSVPN跨域問(wèn)題的解決

關(guān)注點(diǎn)4：廣域網(wǎng)流量統(tǒng)計(jì)分析，提供廣域網(wǎng)優(yōu)化科學(xué)依據(jù)

關(guān)注點(diǎn)3：端到端的QOS部署，實(shí)現(xiàn)關(guān)鍵業(yè)務(wù)的帶寬保障當(dāng)前5頁(yè)，總共68頁(yè)。6縣國(guó)土

縣林業(yè)縣水利國(guó)土局

林業(yè)局水利局林業(yè)廳水利廳省直

省直

國(guó)土廳

省直

2.5GRPRGEGE地市州EIN×2MN×2MCPOSFEFEGEGEFE地市州地市州XX縣XX縣地市城域網(wǎng)匯聚(PE)(PE)(PE)(P)(P)(P)(P)(P)(P)(P)(P)(PE)(PE)(CE)(CE)(CE)(CE)(CE)(CE)(PE)(PE)(PE)(CE)(CE)(CE)(CE)城域網(wǎng)廣域網(wǎng)關(guān)注點(diǎn)1－MPLSVPN當(dāng)前6頁(yè)，總共68頁(yè)。7關(guān)注點(diǎn)1－MPLSVPN省工商省稅務(wù)CEMCE/PEPEPE政務(wù)網(wǎng)地市工商內(nèi)部服務(wù)器地市稅務(wù)CEPE內(nèi)部服務(wù)器PE縱向VPN子接口MCE/PE當(dāng)前7頁(yè)，總共68頁(yè)。8PEPEPERTIMPORT100:1EXPORT200:1RTIMPORT200:1EXPORT100:1RTIMPORT200:1EXPORT100:1RTIMPORT200:1EXPORT100:1HUBSPOKESPOKESPOKEPE省廳A市局B市局C市局關(guān)注點(diǎn)1－MPLSVPN當(dāng)前8頁(yè)，總共68頁(yè)。9某部門省廳連接在PE1上,各地市局分別連接到PE2、PE3上。由于BGP/MPLSVPN是由PE與CE接口的VRF上配置的相應(yīng)RT來(lái)決定路由關(guān)系的，因此在省廳連接的PE1相應(yīng)VRF上配置RT值使該VRF可接收來(lái)自A市局、B市局、C市局的路由，并將自己的路由發(fā)送到A市局、B市局、C市局。在各市局PE上配置RT，使市局只能與省局交換路由而不能與其他市局直接交換路由。優(yōu)點(diǎn)：省局集中控制VPN內(nèi)的通信，可通過(guò)路由過(guò)濾的方式禁止市局間的直接通信，保障VPN內(nèi)的可控性和安全性。如在A局病毒爆發(fā)時(shí)，可在省廳處通過(guò)路由將該市局隔離，避免病毒蔓延。缺點(diǎn)：一是省局成為單點(diǎn)故障，一旦省局連接的PE1發(fā)生故障，各市局間將不能正常通信。二是市局間數(shù)據(jù)交換集中在省廳所在PE上，增加了PE的壓力。由于目前各部門紛紛采用數(shù)據(jù)大集中的數(shù)據(jù)交換模式，市局間的數(shù)據(jù)交換比較少，因此比較適合采用該模式。

關(guān)注點(diǎn)1－MPLSVPN當(dāng)前9頁(yè)，總共68頁(yè)。10PEPEPERTIMPORT100:1EXPORT100:1RTIMPORT100:1EXPORT100:1RTIMPORT100:1EXPORT100:1RTIMPORT100:1EXPORT100:1HUBSPOKESPOKESPOKEPE省廳A市局B市局C市局關(guān)注點(diǎn)1－MPLSVPN當(dāng)前10頁(yè)，總共68頁(yè)。11某部門省廳連接在PE1上,各地市局分別連接到PE2、PE3上。由于BGP/MPLSVPN是由PE與CE接口的VRF上配置的相應(yīng)RT來(lái)決定路由關(guān)系的，因此在省廳和各市局連接的PE相應(yīng)VRF上配置RT值使該VRF可接收來(lái)自其余市局的路由，即省廳和各市局完全處于對(duì)等狀態(tài)，相互之間完全可以交互路由信息。優(yōu)點(diǎn)：無(wú)單點(diǎn)故障，無(wú)性能瓶頸。缺點(diǎn)：無(wú)法做到集中控制，安全性不高。關(guān)注點(diǎn)1－MPLSVPN當(dāng)前11頁(yè)，總共68頁(yè)。12關(guān)注點(diǎn)2－MPLSVPN跨域要求ASBR設(shè)備為每個(gè)跨域的VPN分配子接口，因此可以可以實(shí)現(xiàn)跨域的流量監(jiān)管，實(shí)現(xiàn)對(duì)每個(gè)VPN的計(jì)費(fèi)，但是對(duì)ASBR壓力非常大，并且PE設(shè)備需要維護(hù)跨域VPN的路由，可管理性和可擴(kuò)展性較差；當(dāng)前12頁(yè)，總共68頁(yè)。13關(guān)注點(diǎn)2－MPLSVPN跨域?qū)SBR壓力最小，但由于需要建立PE間跨域的LSP，因此可管理性也比較差。當(dāng)前13頁(yè)，總共68頁(yè)。14關(guān)注點(diǎn)2－MPLSVPN跨域?qū)SBR壓力也比較大，但可以通過(guò)ASBR擴(kuò)容來(lái)解決，沒(méi)有PE設(shè)備跨域VPN路由維護(hù)問(wèn)題，因此適用范圍較廣；當(dāng)前14頁(yè)，總共68頁(yè)。15A省廳網(wǎng)絡(luò)B省廳網(wǎng)絡(luò)A市局網(wǎng)絡(luò)B市局網(wǎng)絡(luò)CECECECEPEPEPPPP在IP網(wǎng)絡(luò)上，為了對(duì)不同業(yè)務(wù)提供不同的服務(wù)，主要是利用IP報(bào)文頭部的TOS域來(lái)進(jìn)行標(biāo)記。根據(jù)TOS域來(lái)決定報(bào)文的轉(zhuǎn)發(fā)行為PE在給報(bào)文加Label時(shí)，把IP報(bào)文攜帶的IP優(yōu)先級(jí)標(biāo)記映射到標(biāo)簽的EXP域，這樣原來(lái)由IP攜帶的服務(wù)類型信息現(xiàn)在由標(biāo)簽攜帶由于P路由器不會(huì)檢查內(nèi)層MPLS標(biāo)簽，所以這個(gè)IP報(bào)文攜帶的IP優(yōu)先級(jí)標(biāo)記也必需映射到外層標(biāo)簽的EXP域。為了支持端到端QOS，每個(gè)LSP通過(guò)EXP域可以支持多達(dá)8種不同等級(jí)的業(yè)務(wù)為了支持端到端QOS，每個(gè)LSP通過(guò)EXP域可以支持多達(dá)8種不同等級(jí)的業(yè)務(wù)PE在去掉報(bào)文Label時(shí)，把標(biāo)簽的EXP域映射到IP報(bào)文攜帶的IP優(yōu)先級(jí)標(biāo)記上。這樣原來(lái)由標(biāo)簽攜帶的服務(wù)類型信息現(xiàn)在由IP優(yōu)先級(jí)標(biāo)記攜帶關(guān)注點(diǎn)3－端到端QOS當(dāng)前15頁(yè)，總共68頁(yè)。16網(wǎng)絡(luò)流量監(jiān)控網(wǎng)絡(luò)應(yīng)用分布網(wǎng)絡(luò)瓶頸分析服務(wù)質(zhì)量監(jiān)控網(wǎng)絡(luò)故障分析流量異常告警關(guān)注點(diǎn)4－網(wǎng)絡(luò)流量統(tǒng)計(jì)分析當(dāng)前16頁(yè)，總共68頁(yè)。17目錄1、電子政務(wù)建設(shè)概述2、網(wǎng)絡(luò)架構(gòu)詳細(xì)分析廣域網(wǎng)架構(gòu)分析

城域網(wǎng)架構(gòu)分析局域網(wǎng)架構(gòu)分析3、政務(wù)網(wǎng)絡(luò)案例分析當(dāng)前17頁(yè)，總共68頁(yè)。18城域網(wǎng)建設(shè)的關(guān)注點(diǎn)

關(guān)注點(diǎn)1：核心層采用RPR環(huán)網(wǎng)（50ms倒換）保證關(guān)鍵業(yè)務(wù)不中斷

關(guān)注點(diǎn)2：利用MPLSVPN實(shí)現(xiàn)各政府部門的安全隔離和受控互訪

關(guān)注點(diǎn)4：使用MPLSVPN維護(hù)軟件實(shí)現(xiàn)對(duì)城域網(wǎng)VPN的靈活便捷部署

關(guān)注點(diǎn)3：通過(guò)詳細(xì)的流量統(tǒng)計(jì)分析工具實(shí)現(xiàn)對(duì)城域網(wǎng)流量的精確控制當(dāng)前18頁(yè)，總共68頁(yè)。19ABCD擁塞1000M1000M1000M關(guān)鍵業(yè)務(wù)帶寬保證（公平算法RPR-fa）

帶寬共享，為提高帶寬利用率，建立公平機(jī)制公平算法是全局的、基于整個(gè)環(huán)網(wǎng)級(jí)別的通過(guò)監(jiān)測(cè)流量、反壓機(jī)制實(shí)現(xiàn)帶寬管理可保證高優(yōu)先級(jí)數(shù)據(jù)和控制無(wú)阻塞可通過(guò)設(shè)置節(jié)點(diǎn)的權(quán)重，實(shí)現(xiàn)加權(quán)公平關(guān)注點(diǎn)1－RPR環(huán)網(wǎng)當(dāng)前19頁(yè)，總共68頁(yè)。20華為3COM的IP環(huán)網(wǎng)綜合兩種倒換方式的優(yōu)點(diǎn)，采取兩者相結(jié)合的方式，先Wrapping后Steering，達(dá)到最優(yōu)的保護(hù)性能。ABCDEFABCDEFABCDEF正常情況下數(shù)據(jù)傳送故障順利立即啟用Wrap方式的保護(hù)拓?fù)浣Y(jié)構(gòu)穩(wěn)定后切換到Steering方式Wrap繞回方式，在故障邊節(jié)點(diǎn)處自動(dòng)環(huán)回。特點(diǎn)：速度快，基本無(wú)數(shù)據(jù)丟失，缺點(diǎn)是浪費(fèi)帶寬。Steering抄近方式，更改拓?fù)?，重新?jì)算路由。特點(diǎn)：速度慢，帶寬利用高，但可能有數(shù)據(jù)丟失。關(guān)注點(diǎn)1－RPR環(huán)網(wǎng)當(dāng)前20頁(yè)，總共68頁(yè)。21省政府市政府區(qū)縣政府省工商局市工商局區(qū)縣工商局省勞動(dòng)廳市勞動(dòng)局區(qū)縣勞動(dòng)局縱向網(wǎng)絡(luò)結(jié)構(gòu)橫向網(wǎng)絡(luò)結(jié)構(gòu)橫向網(wǎng)絡(luò)：信息共享，跨部門協(xié)作縱向網(wǎng)絡(luò)：業(yè)務(wù)運(yùn)作，行業(yè)管理與監(jiān)管

政務(wù)網(wǎng)MPLSVPN關(guān)注點(diǎn)2－MPLSVPN當(dāng)前21頁(yè)，總共68頁(yè)。22工商MCE政務(wù)網(wǎng)前置機(jī)稅務(wù)CE前置機(jī)內(nèi)部服務(wù)器PEPEPE內(nèi)部服務(wù)器注釋:資源共享區(qū)前置機(jī)為一個(gè)共享VPN,其它職能部門前置機(jī)分別為獨(dú)立的VPN為保證安全性，前置機(jī)與內(nèi)部服務(wù)通過(guò)網(wǎng)閘進(jìn)行數(shù)據(jù)交換各業(yè)務(wù)部門數(shù)據(jù)通過(guò)前置機(jī)上傳到資源共享中心的數(shù)據(jù)庫(kù)中優(yōu)勢(shì)：采集的信息數(shù)據(jù)在政務(wù)外網(wǎng)上以VPN的方式傳遞，保障了數(shù)據(jù)的安全性前置VPN子接口資源共享中心數(shù)據(jù)庫(kù)前置機(jī)共享資源網(wǎng)站入口前置VPN子接口公共前置VPN子接口PE關(guān)注點(diǎn)2－MPLSVPNFW數(shù)據(jù)庫(kù)數(shù)據(jù)庫(kù)數(shù)據(jù)庫(kù)集中式互訪當(dāng)前22頁(yè)，總共68頁(yè)。23注釋:職能部門前置機(jī)分別為獨(dú)立的VPN優(yōu)勢(shì)：采集的信息數(shù)據(jù)在政務(wù)外網(wǎng)上以VPN的方式傳遞，保障了數(shù)據(jù)的安全性，通過(guò)RT的靈活控制，實(shí)現(xiàn)不同職能部門前置機(jī)的受控互訪集中式和分布式不是對(duì)立的，而是互補(bǔ)的關(guān)系工商政務(wù)網(wǎng)前置機(jī)稅務(wù)CE前置機(jī)工商信用服務(wù)器PE內(nèi)部服務(wù)器前置VPN子接口前置VPN子接口PEPE前置機(jī)財(cái)政CE內(nèi)部服務(wù)器前置VPN子接口MCE關(guān)注點(diǎn)2－MPLSVPN分布式互訪當(dāng)前23頁(yè)，總共68頁(yè)。24政務(wù)外網(wǎng)工商CE門戶網(wǎng)站稅務(wù)CE門戶網(wǎng)站內(nèi)部服務(wù)器PEPEInternetvpn子接口PEInternetInternet注釋:所有對(duì)公眾提供訪問(wèn)的WEB服務(wù)器放到一個(gè)InternetVPN，政務(wù)外網(wǎng)出口防火墻作為CE設(shè)備此方式適合門戶網(wǎng)站采用ISP分配的地址優(yōu)勢(shì)：實(shí)現(xiàn)簡(jiǎn)單，一個(gè)大的VPNDNS規(guī)劃簡(jiǎn)單劣勢(shì)：政府部門訪問(wèn)政務(wù)外網(wǎng)門戶網(wǎng)站產(chǎn)生迂回路由，增加防火墻負(fù)擔(dān)公眾服務(wù)中心數(shù)據(jù)庫(kù)對(duì)外發(fā)布門戶網(wǎng)站DNSInternetvpn子接口Internetvpn子接口數(shù)據(jù)庫(kù)數(shù)據(jù)庫(kù)MCEInternetvpn子接口PE防火墻可能執(zhí)行一對(duì)一NAT操作關(guān)注點(diǎn)2－MPLSVPN公眾訪問(wèn)1當(dāng)前24頁(yè)，總共68頁(yè)。25政務(wù)外網(wǎng)工商CE門戶網(wǎng)站稅務(wù)CE門戶網(wǎng)站內(nèi)部服務(wù)器PEPE公網(wǎng)子接口防火墻可能執(zhí)行一對(duì)一NAT操作PEInternetInternet注釋:傳統(tǒng)實(shí)現(xiàn)方式優(yōu)勢(shì)：政府部門訪問(wèn)政務(wù)外網(wǎng)不產(chǎn)生迂回路由劣勢(shì)：如果采用ISP分配的地址，

DNS規(guī)劃復(fù)雜公眾服務(wù)中心數(shù)據(jù)庫(kù)對(duì)外發(fā)布門戶網(wǎng)站DNS公網(wǎng)子接口公網(wǎng)子接口數(shù)據(jù)庫(kù)數(shù)據(jù)庫(kù)MCEPE關(guān)注點(diǎn)2－MPLSVPN公眾訪問(wèn)2當(dāng)前25頁(yè)，總共68頁(yè)。26政務(wù)外網(wǎng)工商CE門戶網(wǎng)站稅務(wù)CE門戶網(wǎng)站內(nèi)部服務(wù)器PE公網(wǎng)子接口防火墻可能執(zhí)行二次NAT操作PEInternetInternet注釋:對(duì)于防火墻接入，可采用公網(wǎng)子接口對(duì)于MCE/PE接入，可采用VRF全局靜態(tài)路由的方式，此方式的最大問(wèn)題是部署的問(wèn)題，也可以設(shè)置一條全局缺省路由指向連接Internet的PE設(shè)備，通過(guò)這臺(tái)PE設(shè)備中轉(zhuǎn)流量如果采用ISP分配地址，DNS設(shè)計(jì)復(fù)雜公眾服務(wù)中心數(shù)據(jù)庫(kù)對(duì)外發(fā)布門戶網(wǎng)站DNS公網(wǎng)子接口公網(wǎng)子接口數(shù)據(jù)庫(kù)數(shù)據(jù)庫(kù)MCEPEPE縱向VPN子接口PE設(shè)備必須執(zhí)行NAT轉(zhuǎn)換防火墻可執(zhí)行NAT轉(zhuǎn)換這時(shí)不用PE執(zhí)行NAT操作關(guān)注點(diǎn)2－MPLSVPN內(nèi)部訪問(wèn)Internet當(dāng)前26頁(yè)，總共68頁(yè)。27政務(wù)外網(wǎng)稅務(wù)CE數(shù)據(jù)中心門戶網(wǎng)站托管公眾服務(wù)區(qū)PEPE公網(wǎng)子接口PE注釋:門戶網(wǎng)站分配兩個(gè)IP地址，一個(gè)為縱向網(wǎng)私有地址，用于加入縱向VPN，進(jìn)行維護(hù)。一個(gè)為政務(wù)外網(wǎng)IP地址，用于提供公共服務(wù)，門戶網(wǎng)站主機(jī)兩網(wǎng)卡間不能起路由協(xié)議門戶網(wǎng)站托管門戶網(wǎng)站托管門戶網(wǎng)站托管PEPE縱向VPN子接口防火墻可能執(zhí)行NAT-PT操作Internet私網(wǎng)IP政務(wù)外網(wǎng)IP維護(hù)數(shù)據(jù)流Internet訪問(wèn)流量關(guān)注點(diǎn)2－MPLSVPN托管網(wǎng)站維護(hù)當(dāng)前27頁(yè)，總共68頁(yè)。28政務(wù)外網(wǎng)注釋:路由多實(shí)例設(shè)備（MCE）通過(guò)多個(gè)子接口上聯(lián)到PE設(shè)備，其中公網(wǎng)子接口用于其余用戶訪問(wèn)門戶網(wǎng)站，縱向VPN子接口用于縱向系統(tǒng)訪問(wèn)，前置VPN子接口用于訪問(wèn)前置機(jī)。路由多實(shí)例完成安全隔離的功能。縱向用戶訪問(wèn)公網(wǎng)通過(guò)縱向VPN子接口，此時(shí)需要PE設(shè)備VRF表設(shè)置多條靜態(tài)路由指向發(fā)布公眾服務(wù)的PE設(shè)備，缺省路由指向Internet網(wǎng)關(guān)PE?？v向用戶訪問(wèn)政府資源共享業(yè)務(wù)通過(guò)縱向VPN子接口訪問(wèn)。前置服務(wù)器和門戶網(wǎng)站各分配兩個(gè)IP地址，公有IP用于政務(wù)外網(wǎng)互訪，私有IP為縱向網(wǎng)中地址，用于設(shè)備維護(hù)，前置服務(wù)器和門戶網(wǎng)站兩網(wǎng)卡間不能啟用路由協(xié)議PE完成NAT多實(shí)例操作前置服務(wù)器160。0。1。110。0。1。1門戶網(wǎng)站160。0。2。110。0。1。2用戶側(cè)公網(wǎng)子接口前置VPN子接口縱向VPN子接口MCEPE關(guān)注點(diǎn)2－MPLSVPN接入方式－MCE當(dāng)前28頁(yè)，總共68頁(yè)。29政務(wù)外網(wǎng)注釋:此種方式適用于用戶側(cè)與政務(wù)外網(wǎng)相連鏈路不支持子接口鏈路。采用HOPE解決方案，政務(wù)外網(wǎng)PE設(shè)備為SPE，用戶側(cè)設(shè)備為UPE。SPE維護(hù)其通過(guò)UPE連接的VPN所有路由，包括本地和遠(yuǎn)程Site的路由，但SPE不發(fā)布遠(yuǎn)程Site的路由給UPE，只發(fā)布VPN實(shí)例的缺省路由或聚合路由給UPE。UPE維護(hù)其直接相連的VPNSite的路由，但不維護(hù)VPN中其它遠(yuǎn)程Site的路由或僅維護(hù)它們的聚合路由。UPE為其直接相連的Site的路由分配內(nèi)層標(biāo)簽，并通過(guò)MP-BGP隨VPN路由發(fā)布此標(biāo)簽給SPE。NAT操作可以發(fā)生在SPE設(shè)備，也可以發(fā)生在UPE設(shè)備。其它與MCE接入方式一致。前置服務(wù)器160。0。1。110。0。1。1門戶網(wǎng)站160。0。2。110。0。1。2用戶側(cè)公網(wǎng)子接口前置VPN子接口縱向VPN子接口SPEUPE接入方式－UPE關(guān)注點(diǎn)2－MPLSVPN當(dāng)前29頁(yè)，總共68頁(yè)。30政務(wù)外網(wǎng)注釋:防火墻采用子接口的方式上聯(lián)到PE設(shè)備用戶側(cè)上行流量理論上可以訪問(wèn)任何信息資源下行流量只允許縱向VPN的流量通過(guò)。防火墻可執(zhí)行NAT操作。前置服務(wù)器160。0。1。110。0。1。1門戶網(wǎng)站160。0。2。110。0。1。2用戶側(cè)公網(wǎng)子接口前置VPN子接口縱向VPN子接口PECE接入方式－防火墻關(guān)注點(diǎn)2－MPLSVPN當(dāng)前30頁(yè)，總共68頁(yè)。31網(wǎng)絡(luò)中的業(yè)務(wù)，哪些合法，哪些是違規(guī)的？網(wǎng)絡(luò)中的數(shù)據(jù)流，哪些影響了我的網(wǎng)絡(luò)運(yùn)行？網(wǎng)絡(luò)的流量如何，帶寬需不需要擴(kuò)容？鏈路擁塞，誰(shuí)在消耗帶寬？網(wǎng)絡(luò)環(huán)境日趨成熟，新業(yè)務(wù)不斷出現(xiàn)；IT應(yīng)用日益復(fù)雜化；用戶需要統(tǒng)計(jì)分析工具來(lái)幫助其了解、分析進(jìn)而管理網(wǎng)絡(luò)中的流量資源，實(shí)現(xiàn)網(wǎng)絡(luò)優(yōu)化關(guān)注點(diǎn)3－流量分析當(dāng)前31頁(yè)，總共68頁(yè)。32網(wǎng)絡(luò)流量監(jiān)控網(wǎng)絡(luò)應(yīng)用分布網(wǎng)絡(luò)瓶頸分析服務(wù)質(zhì)量監(jiān)控網(wǎng)絡(luò)故障分析流量異常告警網(wǎng)絡(luò)可度量、可評(píng)估關(guān)注點(diǎn)3－NTANTA，NetworkTrafficAnalysis，基于TCPIP協(xié)議四層的，針對(duì)應(yīng)用服務(wù)流向進(jìn)行分析的解決方案，用于對(duì)網(wǎng)絡(luò)數(shù)據(jù)信息進(jìn)行綜合分析、挖掘的系統(tǒng)。當(dāng)前32頁(yè)，總共68頁(yè)。33關(guān)注點(diǎn)3－NTA當(dāng)前33頁(yè)，總共68頁(yè)。34VPNManager支持MPLSL2/L3VPN、跨域VPN、HoPE多廠商設(shè)備支持StepbyStep的業(yè)務(wù)規(guī)劃可調(diào)度的業(yè)務(wù)部署網(wǎng)絡(luò)資源、VPN業(yè)務(wù)發(fā)現(xiàn)可靠的業(yè)務(wù)保證VPN配置審計(jì)VPN連通性審計(jì)圖形化的流量監(jiān)控智能的業(yè)務(wù)告警分析完善的VPN用戶信息管理全網(wǎng)資源統(tǒng)一管理分支機(jī)構(gòu)的WEB自助CNM商務(wù)合同ServiceManagementLayer(SML)NetworkManagementLayer(NML)ElementManagementLayer(EML)BusinessManagementLayer(BML)MPLS網(wǎng)絡(luò)關(guān)注點(diǎn)4－MPLSVPN管理軟件當(dāng)前34頁(yè)，總共68頁(yè)。35多廠商管理

華為3COM設(shè)備

Cisco設(shè)備

……MPLSL2VPN管理(VPLS、Martini、Kompella)MPLSL3VPN管理支持HoPE(分層PE)支持跨域VPN管理MPLSL2VPN隧道跨域MPLSL3VPN第三方廠商設(shè)備關(guān)注點(diǎn)4－MPLSVPN管理軟件當(dāng)前35頁(yè)，總共68頁(yè)。36

規(guī)劃

預(yù)覽

調(diào)整向?qū)綐I(yè)務(wù)規(guī)劃圖形化直觀顯示規(guī)劃結(jié)果在原規(guī)劃基礎(chǔ)上方便修改“拷貝創(chuàng)建”功能縮短相似業(yè)務(wù)的規(guī)劃時(shí)間MPLSVPN業(yè)務(wù)管理－StepByStep業(yè)務(wù)規(guī)劃VPN拓?fù)洌篒ntranet、Extranet；Full-mesh、Hub-and-spokePE-CE路由：STATIC、RIP、BGP、OSPFVPNManager當(dāng)前36頁(yè)，總共68頁(yè)。37端到端的業(yè)務(wù)部署CEPEPE手工部署定時(shí)任務(wù)部署部署成功后自動(dòng)審計(jì)定時(shí)任務(wù)MPLSVPN業(yè)務(wù)管理－可調(diào)度的業(yè)務(wù)部署手工部署VPNManager當(dāng)前37頁(yè)，總共68頁(yè)。38MPLSVPN業(yè)務(wù)管理－全網(wǎng)VPN視圖

全網(wǎng)所有VPN的當(dāng)前狀態(tài)一目了然拓?fù)湟晥D若僅顯示PE-CE或CE-CE連接，則缺乏全局觀，無(wú)法知曉當(dāng)前哪個(gè)VPN存在問(wèn)題把每個(gè)VPN作為顯示對(duì)象，有無(wú)問(wèn)題一目了然（包括流量是否超過(guò)閾值）這個(gè)VPN有問(wèn)題啦！VPNManager當(dāng)前38頁(yè)，總共68頁(yè)。39電子政務(wù)城域網(wǎng)（大型城市）10G/2.5GRPR核心層匯聚層GEGEGEGE用戶接入層城域核心路由器城域核心路由器城域核心路由器城域核心路由器匯聚層交換機(jī)PPPPPEPE電子政務(wù)省干省干地市路由器CEMCEPEGEGEFEMCESDHCE匯聚層路由器E1N*E1GEFEFECECE當(dāng)前39頁(yè)，總共68頁(yè)。40城域核心路由器主要提供高速數(shù)據(jù)轉(zhuǎn)發(fā)，建議采用10G/2.5GRPR形成環(huán)網(wǎng)進(jìn)行保護(hù)。10G/2.5GRPRN×GE城域核心路由器10G/2.5GRPR大型城域網(wǎng)設(shè)備選型建議－城域核心路由器功能要求MPLSVPN&MPLSTEACL，組播QoS(IPDiffServ&MPLSDiffServ)IPv6（硬件支持）可靠性要求關(guān)鍵部件冗余配置支持VRRP/HSRP支持NSF，GR接口要求10G/2.5GRPR2.5GPOSGE當(dāng)前40頁(yè)，總共68頁(yè)。41大型城域網(wǎng)設(shè)備選型建議－匯聚層設(shè)備匯聚層設(shè)備主要提供高密度GE/FE接入或E1接入，承擔(dān)MPLSPE/MCE功能，PE要求支持NAT多實(shí)例。GEGEGE功能要求MPLSVPNNAT多實(shí)例ACL，組播QoS(IPDiffServ&MPLSDiffServ)可靠性要求關(guān)鍵部件冗余配置支持VRRP/HSRP接口要求GE/FEE1GEGEE1GEE1FEGEFE匯聚交換機(jī)做PE匯聚路由器做PE匯聚交換機(jī)做MCE當(dāng)前41頁(yè)，總共68頁(yè)。42電子政務(wù)城域網(wǎng)（中型城市）GEGEGE城域核心交換機(jī)省干接入城域核心交換機(jī)匯聚層地市骨干路由器電子政務(wù)省干省干地市路由器核心層用戶接入層CEGEPEPEPE城域匯聚交換機(jī)城域匯聚交換機(jī)城域匯聚交換機(jī)GECECECECECEFEGEGEGEGEGEPPP/PE當(dāng)前42頁(yè)，總共68頁(yè)。43中型城域網(wǎng)設(shè)備選型建議GEGEGE功能要求MPLSVPNNAT多實(shí)例ACL，組播QoS(IPDiffServ&MPLSDiffServ)可靠性要求關(guān)鍵部件冗余配置支持VRRP/HSRP接口要求GE/FEGEGEGEGEFE城域核心交換機(jī)做P城域匯聚交換機(jī)做PE當(dāng)前43頁(yè)，總共68頁(yè)。44電子政務(wù)城域網(wǎng)（小型城市）FEGE城域核心交換機(jī)省干接入城域核心交換機(jī)用戶接入層地市骨干路由器電子政務(wù)省干省干地市路由器核心層GEGECECECECEPEPEP/PE當(dāng)前44頁(yè)，總共68頁(yè)。45小型城域網(wǎng)設(shè)備選型建議功能要求MPLSVPNNAT多實(shí)例ACL，組播QoS(IPDiffServ&MPLSDiffServ)可靠性要求關(guān)鍵部件冗余配置支持VRRP/HSRP接口要求GE/FEGEGEGEFE城域核心交換機(jī)做PE當(dāng)前45頁(yè)，總共68頁(yè)。46目錄1、電子政務(wù)建設(shè)概述2、網(wǎng)絡(luò)架構(gòu)詳細(xì)分析廣域網(wǎng)架構(gòu)分析

城域網(wǎng)架構(gòu)分析局域網(wǎng)架構(gòu)分析3、政務(wù)網(wǎng)絡(luò)案例分析當(dāng)前46頁(yè)，總共68頁(yè)。47局域網(wǎng)建設(shè)的關(guān)注點(diǎn)

關(guān)注點(diǎn)1：對(duì)局域網(wǎng)用戶進(jìn)行安全認(rèn)證和行為控制

關(guān)注點(diǎn)2：三層交換到桌面確保整網(wǎng)安全性，屏蔽各種二層攻擊

關(guān)注點(diǎn)4：新一代局域網(wǎng)趨勢(shì)：萬(wàn)兆骨干、千兆桌面、WLAN、多業(yè)務(wù)融合

關(guān)注點(diǎn)3：接入層具有良好的擴(kuò)展性，能夠隨需而變當(dāng)前47頁(yè)，總共68頁(yè)。48補(bǔ)丁策略防病毒策略用戶身份管理策略應(yīng)用系統(tǒng)使用策略網(wǎng)絡(luò)資源訪問(wèn)策略其它策略難執(zhí)行！

用戶不重視不能及時(shí)準(zhǔn)確了

解終端的安全狀況有意違反無(wú)法強(qiáng)制執(zhí)行主要原因用戶安全管理策略缺乏有效的技術(shù)手段實(shí)現(xiàn)終端安全、身份認(rèn)證、資源訪問(wèn)權(quán)限的統(tǒng)一管理！關(guān)注點(diǎn)1－用戶接入控制當(dāng)前48頁(yè)，總共68頁(yè)。49端點(diǎn)準(zhǔn)入防御（EAD，EndpointAdmissionDefense）解決方案從網(wǎng)絡(luò)接入端點(diǎn)的安全控制入手，通過(guò)安全客戶端、安全策略服務(wù)器、網(wǎng)絡(luò)設(shè)備以及第三方軟件的聯(lián)動(dòng)，對(duì)接入網(wǎng)絡(luò)的用戶終端強(qiáng)制實(shí)施企業(yè)安全策略。關(guān)注點(diǎn)1－用戶接入控制與防病毒軟件聯(lián)動(dòng)防御隔離防御能力脆弱的用戶終端及時(shí)更新系統(tǒng)補(bǔ)丁，提高抵抗力提高用戶終端的主動(dòng)防御能力身份認(rèn)證與防御能力認(rèn)證結(jié)合與專業(yè)防病毒系統(tǒng)聯(lián)動(dòng)多重權(quán)限控制(VLAN/ACL/QoS)多種安全部件的聯(lián)動(dòng)防御用戶安全接入策略的統(tǒng)一管理組織級(jí)安全策略的強(qiáng)制實(shí)施用戶安全狀態(tài)的集中審計(jì)集中策略實(shí)施與管理事前：用戶身份和防御能力認(rèn)證事中：用戶安全狀態(tài)和行為的監(jiān)控事后：用戶安全狀態(tài)和行為的審計(jì)以用戶為中心的全程管理主動(dòng)防御全面防御集中策略管理以用戶為中心當(dāng)前49頁(yè)，總共68頁(yè)。50不合格進(jìn)入隔離區(qū)強(qiáng)制修復(fù)隔離區(qū)安全認(rèn)證合法用戶非法用戶拒絕入網(wǎng)身份認(rèn)證接入請(qǐng)求你是誰(shuí)？政務(wù)網(wǎng)絡(luò)動(dòng)態(tài)授權(quán)合格用戶不同用戶享用不同的網(wǎng)絡(luò)使用權(quán)限你安全嗎？你可以做什么？你在做什么？行為審計(jì)關(guān)注點(diǎn)1－用戶接入控制當(dāng)前50頁(yè)，總共68頁(yè)。51個(gè)人用戶性能和安全性更高。目前局域網(wǎng)大部分均采用私網(wǎng)地址，IP地址資源一般都比較充裕，可以采用30位掩碼劃分網(wǎng)段，一個(gè)用戶一個(gè)網(wǎng)段，并且一個(gè)網(wǎng)段內(nèi)最多也只能接入一個(gè)用戶，所有用戶之間的互訪均通過(guò)三層交換實(shí)現(xiàn)。采用這種三層到桌面的方式可以有效隔離用戶之間的二層報(bào)文，包括二層廣播報(bào)文以及二層的攻擊報(bào)文，可以極大提高用戶的個(gè)人安全。同時(shí)，采用一個(gè)用戶一個(gè)網(wǎng)段、一個(gè)網(wǎng)段最多一個(gè)用戶的策略，可以徹底杜絕用戶IP地址假冒的問(wèn)題，因?yàn)椴煌丝诘木W(wǎng)段均不相同，即使有人假冒他人的IP地址也無(wú)法實(shí)現(xiàn)網(wǎng)絡(luò)接入。網(wǎng)絡(luò)整體性能和安全性提高。通過(guò)三層到桌面的方式，整個(gè)網(wǎng)絡(luò)中將不再有二層報(bào)文，二層攻擊事件徹底杜絕，設(shè)備與設(shè)備之間的級(jí)連鏈路上將只有三層報(bào)文流通，極大提高了網(wǎng)絡(luò)帶寬的利用率與網(wǎng)絡(luò)的安全性。關(guān)注點(diǎn)2－三層到桌面當(dāng)前51頁(yè)，總共68頁(yè)。52傳統(tǒng)交換網(wǎng)絡(luò)不足冗余是通過(guò)網(wǎng)絡(luò)規(guī)劃來(lái)實(shí)現(xiàn)，難以均衡，屬于被動(dòng)方式通常每臺(tái)設(shè)備都需要一個(gè)管理IP地址，設(shè)備眾多，管理不便LACP不能跨設(shè)備初期組網(wǎng)投資較大關(guān)注點(diǎn)3－智能彈性架構(gòu)傳統(tǒng)網(wǎng)絡(luò)的問(wèn)題當(dāng)前52頁(yè)，總共68頁(yè)。53IRF介紹關(guān)注點(diǎn)3－智能彈性架構(gòu)設(shè)備級(jí)可靠－服務(wù)器接入設(shè)備IRF數(shù)據(jù)中心ServerFarm

提高網(wǎng)絡(luò)可靠性實(shí)現(xiàn)跨設(shè)備端口捆綁,沒(méi)有單點(diǎn)故障IRF設(shè)備對(duì)外來(lái)看是一個(gè)設(shè)備,實(shí)現(xiàn)1:N備份實(shí)現(xiàn)基于IRF路由熱備份環(huán)狀I(lǐng)RF結(jié)構(gòu)具有高度可靠性，任何情況下的環(huán)形鏈路被斷開均不影響整個(gè)IRF結(jié)構(gòu)正常業(yè)務(wù)處理基于IRF架構(gòu)保障服務(wù)器接入的高可靠性當(dāng)前53頁(yè)，總共68頁(yè)。54

傳統(tǒng)組網(wǎng)對(duì)用戶要求IRF組網(wǎng)對(duì)用戶要求可用性多交換機(jī)冗余,且不能很好的負(fù)載均衡大大提高了投資成本,投資效率低多臺(tái)分布的交換機(jī)各自為政,整體備份每臺(tái)設(shè)備都物有所值擴(kuò)展性采用機(jī)架式交換機(jī),插卡實(shí)現(xiàn)提前購(gòu)買槽位和功能按需求增加構(gòu)架的交換機(jī)數(shù)量漸進(jìn)發(fā)展,按需購(gòu)買,為看的到的需求花錢管理性獨(dú)立式管理每臺(tái)設(shè)備,浪費(fèi)資源管理復(fù)雜,增加維護(hù)成本統(tǒng)一式管理簡(jiǎn)單易用,易于維護(hù)關(guān)注點(diǎn)3－智能彈性架構(gòu)當(dāng)前54頁(yè)，總共68頁(yè)。55關(guān)注點(diǎn)4－萬(wàn)兆骨干、千兆桌面桌面網(wǎng)絡(luò)資源的不足已經(jīng)嚴(yán)重滯后了工作效率用戶的工作平臺(tái)首先是一個(gè)網(wǎng)絡(luò)平臺(tái)。與工作伙伴、外部客戶、內(nèi)部核心服務(wù)器等大量數(shù)據(jù)、信息的交流溝通日益成為工作的核心。組播或視頻點(diǎn)播、帶大附件的電子郵件、文件傳輸器、按需備份和恢復(fù)、CRM/ERP以及Web和Java工具等多種應(yīng)用都成為吞噬帶寬的"殺手"，千兆位以太網(wǎng)逐漸延伸到桌面已經(jīng)成為最迫切的需要之一。需要大容量帶寬的語(yǔ)音、視頻、多媒體等應(yīng)用很得“民心”，網(wǎng)絡(luò)的價(jià)值正在快速顯現(xiàn)。社會(huì)經(jīng)濟(jì)的快速發(fā)展，企業(yè)、政府、教育、金融、電力等等多種行業(yè)不斷追求辦公、辦事效率的優(yōu)化，同樣對(duì)高帶寬辦公網(wǎng)有著迫切的需求。當(dāng)前55頁(yè)，總共68頁(yè)。56關(guān)注點(diǎn)4－萬(wàn)兆骨干、千兆桌面技術(shù)層面千兆、萬(wàn)兆以太網(wǎng)技術(shù)已經(jīng)相當(dāng)成熟。大家都希望能夠獲得最大帶寬，但是沒(méi)有人希望自己的網(wǎng)絡(luò)成天出問(wèn)題，為了解決網(wǎng)絡(luò)問(wèn)題絞盡腦汁、疲于奔命。對(duì)新技術(shù)穩(wěn)定性的擔(dān)憂一度阻礙了千兆、萬(wàn)兆的大規(guī)模應(yīng)用。千兆和萬(wàn)兆的標(biāo)準(zhǔn)已經(jīng)相當(dāng)完善。萬(wàn)兆以太網(wǎng)2002年就已經(jīng)提出并通過(guò)IEEE評(píng)審發(fā)布，而1000BASE-T的標(biāo)準(zhǔn)（802.3ab）早在1999年就已經(jīng)發(fā)布，并且采用標(biāo)準(zhǔn)第5類（Cat5）銅線電纜傳送信號(hào)，這使得大部分網(wǎng)絡(luò)改造無(wú)需重新布線。千兆接口可以通過(guò)自適應(yīng)技術(shù)兼容以前的10M、100M終端。技術(shù)的標(biāo)準(zhǔn)化大大推動(dòng)了千兆、萬(wàn)兆技術(shù)的發(fā)展和應(yīng)用，目前，客戶對(duì)于千兆甚至萬(wàn)兆穩(wěn)定性的擔(dān)憂正逐漸成為過(guò)去。當(dāng)前56頁(yè)，總共68頁(yè)。57關(guān)注點(diǎn)4－萬(wàn)兆骨干、千兆桌面價(jià)格層面價(jià)格的大幅下降是實(shí)現(xiàn)“千兆到桌面”的前提條件要規(guī)模應(yīng)用就必須在價(jià)格上使客戶能夠接收，特別是在接入側(cè)端口數(shù)量巨大，價(jià)格的影響不容忽視。千兆網(wǎng)卡的大量應(yīng)用。目前新的PC主板中很多已經(jīng)包含了內(nèi)置的千兆網(wǎng)卡。千兆網(wǎng)卡的價(jià)格已經(jīng)接近百兆網(wǎng)卡，一些廠商的10/100/1000M網(wǎng)卡價(jià)格已經(jīng)降低到100元左右。半導(dǎo)體技術(shù)的發(fā)展。半導(dǎo)體技術(shù)的發(fā)展拉動(dòng)了“千兆到桌面”的發(fā)展。

千兆網(wǎng)絡(luò)芯片市場(chǎng)競(jìng)爭(zhēng)激烈，芯片網(wǎng)端口的價(jià)格大幅下降，網(wǎng)絡(luò)用戶成為最大的獲益者。萬(wàn)兆價(jià)格的下滑。目前高密度萬(wàn)兆接口板的推出及萬(wàn)兆端口價(jià)格的下滑，使萬(wàn)兆的應(yīng)用范圍從核心向邊緣甚至接入層遷移，也極大的促進(jìn)了千兆到桌面的發(fā)展。當(dāng)前57頁(yè)，總共68頁(yè)。58關(guān)注點(diǎn)4－WLAN部署無(wú)線局域網(wǎng)，凡是自由空間均可連接網(wǎng)絡(luò)，不受限于線纜和端口位置辦公大樓接待室室外休息室當(dāng)前58頁(yè)，總共68頁(yè)。59關(guān)注點(diǎn)4－多業(yè)務(wù)融合政府下屬單位匯接PBX辦公PBX匯接PBX辦公PBX交換機(jī)路由器交換機(jī)路由器2ME1155M/622M

網(wǎng)關(guān)

網(wǎng)關(guān)CS

③

①M(fèi)CU會(huì)議電視會(huì)議電視MCU

②可視電話IP電話可視電話IP電話當(dāng)前59頁(yè)，總共68頁(yè)。60成功案例分析公安部新大樓高檢院新大樓知識(shí)產(chǎn)權(quán)局新大樓北京高法院新大樓用戶接入控制三層到桌面智能彈性架構(gòu)萬(wàn)兆主干，千兆桌面關(guān)注點(diǎn)當(dāng)前60頁(yè)，總共68頁(yè)。61Floor12#S6506R1#S6506R4#S6506R6#S6506R3#S6506RFloor82#S6506R1#S6506R4#S6506R6#S6506R3#S6506R網(wǎng)絡(luò)接入層網(wǎng)絡(luò)管理層…………核心交換機(jī)10GE10GE網(wǎng)管中心網(wǎng)絡(luò)核心層Web/Mail/DNS千兆鏈路公安部新辦公大樓局域網(wǎng)GE2GEGEGEGEGE公安部一級(jí)網(wǎng)核心交換機(jī)CAMS認(rèn)證服務(wù)器當(dāng)前61頁(yè)，總共68頁(yè)。62網(wǎng)絡(luò)接入層網(wǎng)絡(luò)管理層S8512S851210GECAMS用戶認(rèn)證平臺(tái)網(wǎng)管中心Web/Mail/DNSGE最高人民檢察院新辦公大樓局域網(wǎng)檢察院一級(jí)網(wǎng)網(wǎng)絡(luò)核心層2#配線間3#配線間4#配線間5#配線間6#配線間7#配線間8#配線間4*GE10GE2*10GE2*10GE2*10GE4*GE2*GE9#配線間10#配線間11#配線間12#配線間13#配線間14#配線間15#配線間2*10GE4