实施方案
深圳市华为技术有限公司
2002年11月
第一章 用户需求分析
1.1项目概述
深圳市龙岗区政务信息网是区电子政务建设的一项重点应用工程,是龙岗区重要的信息基础设施建设,其建网目标是以电子政务为龙头,带动龙岗区国民经济和社会信息化,为区党政机关提供一个高质量信息服务的宽带网络。汇聚路由器
本次系统建设旨在建成连接全区党政机关的高速宽带政务网络系统,提供数据、语音、视频传输的统一网络平台,全面满足政府办公需要;建成区党政机关信息交换中心,实现区、镇各党政机关间公文信息传递、交换、处理的电子化;建成电子政务认证中心;统一标准建立政府公文电子信息资源库,实现公文等信息的充分共享和广泛使用;建立覆盖全区的公共信息平台,在网上提供方便、快捷、透明的“一站式”电子政务服务。
根据国家保密部门的有关规定,龙岗区政务信息网分为内网和外网两个完全物理隔离的网络系统。内网是龙岗区党政机关政务应用系统运行的网络平台和办公业务系统。外网与因特网互联,为社会公众提供电子化、网络化服务。龙岗区政务信息网的内、外网分别与深圳市机关统一网络平台的内、外网部分互联。
1.2网络现状分析
深圳市龙岗区位于深圳市东部,面积844平方公里,人口106万人,辖平湖、布吉、横岗、龙岗、坪地、坑梓、坪山、大鹏、葵涌、南澳十镇。本次政务信息网建设将实现对区中心城范围内党政机关共十二栋大楼50多个部门的高速宽带政务网络互联,通过租用电信广域网链路或PSTN/ISDN拨号系统实现与十个镇的互联,并建立办公业务系统。
龙岗区政务信息网的中心机房位于区海关大楼十八楼,面积约350平方米。区委(府)大楼设有分机房和五个配线间,其他联网政府办公大楼不同部门有相应的机房和配线间。大楼与大楼之间采用单模光纤连接,大楼内配线间到骨干节点采用多模光纤连接。各部门中部分建有局域网和业务系统。龙岗政务信息网建设既要确保原有的计算机网络和应用的正常使用,又要保证用户在今后一段时期内办公、业务等应用的拓展。
目前龙岗区政府大楼的信息系统分为物理隔离的内网和外网,内、外网均通过单模光纤与深圳市机关统一网络平台的内、外网部分互联。内网现有交换机为Cisco Catalyst 6509,设备背板带宽32G,原配有千兆光纤和百兆RJ45模块,有空余插槽。外网现有交换机为Cisco Catalyst 5509。
1.3龙岗区政务信息网的网络模型
区党政机关各单位横向上既是区委区政府的组成部门,纵向上其业务又受市对口单位的行业指导,并对镇级对口单位进行业务指导。各单位是横向区级信息网络和纵向行业信息网络的交叉点。
对于每个独立的单位节点来说,既有横向部门间的信息交互,又有纵向行业部门的信息交互。
纵向看,各单位用户经授权能访问纵向网络的相应资源;横向看,各单位用户经授权能访问横向网络资源。因此,整个政务平台是由多条纵向专网、横向专网相联结形成的复杂结构应用模式。
图1.1龙岗区政务信息网模型
本方案提出了网络建设后的一个网络构架,该方案充分利用了原有的设备,保护了用户已有的投资,同时将在很大程度上提高网络的业务处理能力,同时兼具良好的可扩展性。
第二章 MPLS-VPN技术简介
对建设电子政务网业务与安全需求分析,L3 MPLS-VPN可以很好的满足深圳市市民中心电子政务网的各方面需求,其它的VPN实现方式的是没有可操作性的,下面对MPLS-VPN技术给予简单的介绍。
2.1 MPLS基本原理
MPLS是多协议标签交换协议的简称,多协议是指它能够支持多种三层协议;标签是一种短的,易于处理的,不包含拓扑信息,只具有局部意义的信息内容;MPLS的报文转发是基于标签的,在MPLS网络中,IP包在进入第一个MPLS设备时,MPLS边缘路由器分析IP包的内容并且为这些IP包选择合适的标签。以后所有MPLS网络中节点都是依据这个标签作为转发依据。当IP包最终离开MPLS网络时,标签被边缘路由器分离。
图2.1 MPLS标签示意图
在MPLS中,一个标签标识了一个转发等价类(FEC——Forwording Equivalence Class)。一个转发等价类是在网络中遵循同样的转发路径的报文的集合,这些报文的目的地址甚至可以不同。
MPLS可以看做是一种面向连接的技术。可通过MPLS信令(如LDP,Label Distribute Proto
col,标签分配协议)或手工配置的方法建立好MPLS标记交换连接(Label Switched Path,简称LSP)以后,数据转发过程中,在网络入口进行流分类,根据数据流所属的FEC选择相应的LSP,把需要通这条LSP的报文打上相应的标签,中间路由器在收到MPLS报文以后直接根据MPLS报头的标签进行转发,而不用再通过IP报文头的IP地址查。在MPLS标记交换路径的出口(或倒数第二跳),弹出MPLS包头,还回原来的IP包(在VPN的时候可能是以太网报文或ATM报文等)。
由于FEC可以是按照目的地址划分的,这同传统的IP转发相同,也可以是基于源地址、目的地址、源端口、目的端口、协议类型、CoS、VPN等等信息的任意组合。而MPLS可以把任何流关联到一个FEC,然后把一个FEC映射到一个LSP,这个LSP可以是为了这种FEC而特殊构造的,这使得服务提供商可以非常精确地控制网络中的每个流。这种空前的控制能力使网络能够提供更加有效和可预测的服务。
根据扩展方式的不同MPLS VPN可以分为BGP扩展实现的MPLS VPN,和LDP扩展实现的VPN。根据PE(Provider Edge)设备是否参与VPN路由又细分为二层VPN和三层VPN。同依赖于IP Tunnel技术实现的传统IP VPN不同,MPLS VPN不依靠封装和加密技术,而是依靠转发表和数据包的标记来创建一个安全的VPN。
2.2 L3 MPLS-VPN实现原理
在L3 MPLS VPN(又称MPLS BGP VPN)的模型中,网络由运营商的骨干网与用户的各个Site组成,所谓VPN就是对site集合的划分,一个VPN就对应一个由若干site组成的集合。但是必须遵循如下规则:两个Site之间只有至少同时属于一个VPN定义的Site集合,才具有IP连通性。MPLS BGP VPN的框架模型如图所示:
图2.2 MPLS/BGP VPN网络结构图
如图所示,基于BGP扩展实现的L3 MPLS VPN所包含的基本组件:
PE:Provider Edge Router,骨干网边缘路由器,存储VRF(Virtual Routing Forwarding Instance),处理VPN-IPv4路由,是MPLS三层VPN的主要实现者;
CE:Custom Edge Router,用户网边缘路由器,分布用户网络路由;
P router: Provider Router,骨干网核心路由器,负责MPLS转发;
VPN用户站点(site):是VPN中的一个孤立的IP网络,一般来说,不通过骨干网不具有连通性,公司总部、分支机构都是site的具体例子。CE路由器通常是VPN Site中的一个路由器或交换设备,Site通过一个单独的物理端口或逻辑端口(通常是VLAN端口)连接到PE设备上;
豫公网安备41160202000603
站长QQ:729038198
关于我们
投诉建议