【正文】 QoS部署原則在具體的QoS部署方案中，要充分考慮以下原則：a) 簡單性：結(jié)合用戶業(yè)務(wù)及網(wǎng)絡(luò)拓撲，采用最符合用戶需求的、最易實現(xiàn)的QoS解決方案。安全事件追蹤：將網(wǎng)絡(luò)上的事件記入日志。c) 修復(fù)——與第三方服務(wù)器中的補丁服務(wù)器、病毒服務(wù)器等形成聯(lián)動。EAD通過安全客戶端、安全策略服務(wù)器、接入設(shè)備以及病毒庫服務(wù)器、補丁服務(wù)器的相互配合，可以將不符合安全要求的終端限制在“隔離區(qū)” 內(nèi)，防止“危險”終端對網(wǎng)絡(luò)安全的損害，避免“易感”終端受病毒、蠕蟲的攻擊?？梢苑謨蓚€層面進行討論，一、終端和服務(wù)器層面，根據(jù)不同業(yè)務(wù)的需求將終端功能進行劃分，服務(wù)器根據(jù)不同功能部署在不同區(qū)域進行隔離；二、數(shù)據(jù)流層面，不同系統(tǒng)的數(shù)據(jù)流通過路由和物理鏈路進行區(qū)別。此外，通過啟用流量監(jiān)控功能可以實時收集網(wǎng)絡(luò)流量信息，分析網(wǎng)絡(luò)應(yīng)用情況，可以識別分析一百多種協(xié)議，包括P2P等應(yīng)用層協(xié)議。因此，即使在網(wǎng)絡(luò)中已部署了防火墻、IDS等基礎(chǔ)網(wǎng)絡(luò)安全產(chǎn)品，IT部門仍然發(fā)現(xiàn)網(wǎng)絡(luò)的帶寬利用率居高不下、應(yīng)用系統(tǒng)的響應(yīng)速度越來越慢。通過部署防病毒模塊可以在網(wǎng)關(guān)處阻止病毒、木馬等威脅的傳播，保護網(wǎng)絡(luò)內(nèi)部用戶免受侵害。通過集成化的插卡防火墻可以直接部署在數(shù)據(jù)中心核心交換機上，使得內(nèi)部區(qū)域之間互訪控制更加靈活。它可以對整個網(wǎng)絡(luò)進行區(qū)域分割，提供基于IP地址和TCP/IP服務(wù)端口等的訪問控制；對常見的網(wǎng)絡(luò)攻擊，如拒絕服務(wù)攻擊、端口掃描、IP欺騙、IP盜用等進行有效防護；并提供NAT地址轉(zhuǎn)換、流量限制、用戶認證、IP與MAC綁定等安全增強措施。安全區(qū)域劃分原則：省中心高于地市中心、地市中心高于區(qū)縣中心；區(qū)縣中心高于網(wǎng)點；金融業(yè)務(wù)系統(tǒng)高于綜合業(yè)務(wù)系統(tǒng)、綜合業(yè)務(wù)系統(tǒng)高于辦公系統(tǒng)；具體控制措施主要通過，(1)交換機、路由器本身實現(xiàn)的基于VLAN的隔離和訪問控制。目前IP網(wǎng)絡(luò)上數(shù)據(jù)傳送安全的最好解決辦法就是采用IPSec技術(shù)，對數(shù)據(jù)進行加密，一般來說，數(shù)據(jù)加密在網(wǎng)絡(luò)的兩端或主機上完成，中間的網(wǎng)絡(luò)透明傳送。限制不必要的路由交換，將接口置為Passive狀態(tài)。安全設(shè)計廣域網(wǎng)部分的主要功能是設(shè)備互聯(lián)及數(shù)據(jù)傳送，安全關(guān)注的重點是網(wǎng)絡(luò)自身安全及數(shù)據(jù)傳送安全，涉及的網(wǎng)絡(luò)協(xié)議層次主要是IP層以下，安全事件追蹤的重點是網(wǎng)絡(luò)事件記錄。主要存在于郵政網(wǎng)絡(luò)分為綜合業(yè)務(wù)系統(tǒng)、金融業(yè)務(wù)系統(tǒng)、辦公系統(tǒng)、視頻系統(tǒng)；幾個系統(tǒng)之間的如何保證相互數(shù)據(jù)流動的安全控制，以及單一系統(tǒng)內(nèi)部的風(fēng)險規(guī)避。 H3C SecBlade FW采用先進的多核硬件結(jié)構(gòu)，提供無以倫比的萬兆線速安全防護，是業(yè)內(nèi)處理性能最高的防火墻模塊，將網(wǎng)絡(luò)安全防護提升到萬兆安全新階段。 H3C SecBlade FW能提供外部攻擊防范、內(nèi)網(wǎng)安全、流量監(jiān)控、URL過濾、應(yīng)用層過濾等功能，有效的保證網(wǎng)絡(luò)的安全。 省核心交換機均支持業(yè)界先進的插卡式安全擴展技術(shù) 本次選用的核心交換機S9500支持業(yè)界領(lǐng)先的安全插卡技術(shù)。支持標準和擴展ACL，可以對報文進行過濾，防止網(wǎng)絡(luò)攻擊。（2）設(shè)備自身的安全特性：H3C S9500系列采用“最長匹配、逐包轉(zhuǎn)發(fā)”模式，能夠抵御網(wǎng)絡(luò)病毒的攻擊；支持OSPF、RIPv2 及BGPv4 報文的明文及MD5密文認證；支持IP、VLAN 、MAC和端口等多種組合綁定方式，防范地址盜用；支持廣播報文抑制，有效控制ARP等非法廣播流量對設(shè)備造成沖擊；支持URPF，防止IP地址欺騙；支持報文安全過濾，防止非法侵入和惡意報文攻擊等。 廣域網(wǎng)均要求雙鏈路設(shè)計檢測平面與控制平面、轉(zhuǎn)發(fā)平面相互獨立、互不影響，為用戶提供了電信級的可靠性。 系統(tǒng)可靠性設(shè)計本網(wǎng)絡(luò)系統(tǒng)可靠性從如下兩個方面加以保證：1. 設(shè)備級可靠性其他區(qū)域暫時不考慮，留給以后網(wǎng)絡(luò)擴展使用。l 區(qū)域的劃分劃分原則：首先參考設(shè)備扮演的角色、然后考慮地域及將來網(wǎng)絡(luò)的擴展規(guī)模。c) 路由反射器（RR）本項目中將核心層兩臺核心路由器S8805反射器配置為一個cluster，可以實現(xiàn)兩臺路由反射器的相互備份。對于PE與CE之間的路由協(xié)議類型最普遍應(yīng)用的就是靜態(tài)路由，只要遵循上面提到的IP地址分配原則，各VPN的路由都可以匯聚成一條或者數(shù)目較少的幾條，這時應(yīng)用靜態(tài)路由是最簡單、最高效的，而且網(wǎng)絡(luò)的維護非常方便。各地市CE之間的VPN路由的傳遞、VPN路由標簽的分發(fā)，都是通過骨干區(qū)域MPBGP協(xié)議的擴展屬性實現(xiàn)的。若VPN接入CE設(shè)備采用的是三層交換機，則需要將VPN所對應(yīng)的VLAN透傳到MPLS PE設(shè)備上，由PE設(shè)備實現(xiàn)二層信息終結(jié)并完成VPN封裝，確保不同VPN之間的信息隔離。spoke等不同VPN組網(wǎng)方式。不同路由器通過target 相關(guān)聯(lián)而組成可以互相訪問的集合，由于只有他們內(nèi)部可以互訪，所以我們稱之為VPN，配置里并沒有專門的VPN 的定義。在此次項目中，是一個業(yè)務(wù)系統(tǒng)對應(yīng)于一個VPN，因此VRF的命名只需使用業(yè)務(wù)系統(tǒng)的漢語拼音來標識。省局的核心交換機作為MCE，主要作為數(shù)據(jù)業(yè)務(wù)的VPN匯聚接入；這里直接在省局的核心路由器上部署語音和視頻的VPN，以更好地利用路由器在QoS方面的強大處理能力。具體使用那種路由協(xié)議要根據(jù)情況而定，如當CE以下的網(wǎng)絡(luò)結(jié)構(gòu)比較復(fù)雜，路由條目較多的時候，PE和CE之間需要運行BGP協(xié)議，當然應(yīng)用這種方案對CE的要求也是比較高的。對于骨干層MPLS域，需要某種IGP協(xié)議與MBGP結(jié)合應(yīng)用，其中MBGP主要完成私網(wǎng)路由標簽分配、各私網(wǎng)路由在“公網(wǎng)”傳遞等作用，沒有其他的協(xié)議可以替代。新申請備用電路N*2M電路，安裝到新的骨干網(wǎng)備份設(shè)備上，在省中心開通CPOS口，在市局開通多個個2Mbps進行端口捆綁。在省、市中心直接通過廣域網(wǎng)路由器不同物理以太口下掛各業(yè)務(wù)系統(tǒng)的交換機，作為各自的CE設(shè)備，要求方案中省市局域網(wǎng)核心交換機支持通過Multi－VRF方式擴展VPN。 總體建設(shè)方案本工程的目標是將江西省郵政骨干網(wǎng)改造成為一個統(tǒng)一的傳輸平臺，支持包括郵政業(yè)務(wù)、金融業(yè)務(wù)、OA、語音、視頻在內(nèi)的多個業(yè)務(wù)系統(tǒng)混合傳輸，實現(xiàn)各業(yè)務(wù)系統(tǒng)間的安全隔離并保證各業(yè)務(wù)系統(tǒng)的服務(wù)質(zhì)量。經(jīng)過多年的運行，江西郵政技術(shù)和業(yè)務(wù)情況都發(fā)生了較大的變化，一方面TCP/IP已成為業(yè)界通用的三層網(wǎng)絡(luò)技術(shù)，郵政目前所有的業(yè)務(wù)系統(tǒng)均運行于IP協(xié)議之上，另一方面基于MPLS技術(shù)的IP VPN網(wǎng)絡(luò)已經(jīng)可以在技術(shù)上非常好的解決安全隔離和服務(wù)質(zhì)量保證的需求，二層PVC技術(shù)具有的傳統(tǒng)優(yōu)勢已經(jīng)不存在，而MPLS技術(shù)在提高帶寬利用率和便于管理方面比二層PVC技術(shù)有明顯的優(yōu)勢。在廣域網(wǎng)建設(shè)中，有兩種層次的網(wǎng)絡(luò)建設(shè)模式，一種是建設(shè)以IP協(xié)議為平臺的第三層網(wǎng)絡(luò)，一種是建設(shè)基于Frame Relay或ATM的第二層網(wǎng)絡(luò)平臺。L3 MPLS VPN通過和Internet路由之間配置一些靜態(tài)路由的方式，可以實現(xiàn)VPN的Internet上網(wǎng)服務(wù)，還可以為跨不同地域的、屬于同一個AS但是沒有自己的骨干網(wǎng)的運營商提供VPN互連，即提供“運營商的運營商”模式的VPN網(wǎng)絡(luò)互連。很多采用私有地址的用戶不必再進行地址轉(zhuǎn)換NAT。PECE之間采用靜態(tài)路由的好處是可以減少CE設(shè)備可能會因為管理不善等原因造成對骨干網(wǎng)BGP路由產(chǎn)生震蕩，影響骨干網(wǎng)的穩(wěn)定性；如果采用BGP可以實現(xiàn)動態(tài)的網(wǎng)絡(luò)擴展，網(wǎng)絡(luò)路由信息發(fā)生變化時，不必更改設(shè)備的配置信息。RD時用來標識VPN的成員即Site的。MPLS BGP VPN的框架模型如圖所示： MPLS/BGP VPN網(wǎng)絡(luò)結(jié)構(gòu)圖 如圖所示，基于BGP擴展實現(xiàn)的L3 MPLS VPN所包含的基本組件：PE：Provider Edge Router，骨干網(wǎng)邊緣路由器，存儲VRF（Virtual Routing Forwarding Instance），處理VPNIPv4路由，是MPLS三層VPN的主要實現(xiàn)者；CE：Custom Edge Router，用戶網(wǎng)邊緣路由器，分布用戶網(wǎng)絡(luò)路由；P router： Provider Router，骨干網(wǎng)核心路由器，負責MPLS轉(zhuǎn)發(fā)；VPN用戶站點（site）：是VPN中的一個孤立的IP網(wǎng)絡(luò)，一般來說，不通過骨干網(wǎng)不具有連通性，公司總部、分支機構(gòu)都是site的具體例子。根據(jù)PE（Provider Edge）設(shè)備是否參與VPN路由又細分為二層VPN和三層VPN。由于FEC可以是按照目的地址劃分的，這同傳統(tǒng)的IP轉(zhuǎn)發(fā)相同，也可以是基于源地址、目的地址、源端口、目的端口、協(xié)議類型、CoS、VPN等等信息的任意組合。一個轉(zhuǎn)發(fā)等價類是在網(wǎng)絡(luò)中遵循同樣的轉(zhuǎn)發(fā)路徑的報文的集合，這些報文的目的地址甚至可以不同。第3章 江西省郵政信息網(wǎng)骨干網(wǎng)改造方案 關(guān)鍵技術(shù)選擇 MPLS技術(shù)介紹1. MPLS基本原理MPLS是多協(xié)議標簽交換協(xié)議的簡稱，多協(xié)議是指它能夠支持多種三層協(xié)議；標簽是一種短的，易于處理的，不包含拓撲信息，只具有局部意義的信息內(nèi)容；MPLS的報文轉(zhuǎn)發(fā)是基于標簽的，在MPLS網(wǎng)絡(luò)中，IP包在進入第一個MPLS設(shè)備時，MPLS邊緣路由器分析IP包的內(nèi)容并且為這些IP包選擇合適的標簽。 可管理性要求建設(shè)統(tǒng)一的網(wǎng)管系統(tǒng)，能夠?qū)φ麄€骨干網(wǎng)內(nèi)多個廠家設(shè)備實現(xiàn)完善的拓撲管理、設(shè)備管理、性能管理和故障管理，可以實時監(jiān)控所有設(shè)備和線路的運行狀況，對全網(wǎng)設(shè)備的運行信息進行實時監(jiān)控，并對故障和性能超限實現(xiàn)實時告警，對設(shè)備運行情況進行查詢和統(tǒng)計，定期生成運行報告。另外在方案中除了基礎(chǔ)網(wǎng)絡(luò)的設(shè)計以外，還應(yīng)當包括安全方案，重點是針對省中心網(wǎng)絡(luò)的安全規(guī)劃。本項目的目標是建設(shè)一個安全、可靠、可管理的省市骨干網(wǎng)絡(luò)平臺，確保改造后網(wǎng)絡(luò)設(shè)備滿足業(yè)務(wù)5年發(fā)展的需要，通信帶寬滿足業(yè)務(wù)3年發(fā)展的需要，主要網(wǎng)絡(luò)設(shè)備和線路有備份保障，核心業(yè)務(wù)具備嚴格的安全防范措施。 視頻會議服務(wù)，簡稱視頻網(wǎng)本工程的目標是將江西省郵政現(xiàn)有的多個業(yè)務(wù)網(wǎng)改造成為一個統(tǒng)一的傳輸平臺，支持包括郵政業(yè)務(wù)、金融業(yè)務(wù)、OA、語音、視頻在內(nèi)的多個業(yè)務(wù)系統(tǒng)混合傳輸，實現(xiàn)各業(yè)務(wù)系統(tǒng)間的安全隔離并保證各業(yè)務(wù)系統(tǒng)的服務(wù)質(zhì)量。 郵政綜合業(yè)務(wù)（郵政營業(yè)、報刊、集郵、物流、內(nèi)部處理、生產(chǎn)管理等郵政基本業(yè)務(wù)及相關(guān)增值業(yè)務(wù)），簡稱綜合網(wǎng)支撐的業(yè)務(wù)種類主要包括： 內(nèi)部IP電話、IP傳真服務(wù)，簡稱語音網(wǎng)骨干網(wǎng)要有較高的可管理性，能對網(wǎng)絡(luò)的運行情況進行實時監(jiān)控、統(tǒng)計分析和配置管理。 高安全性要求改造后的網(wǎng)絡(luò)能夠?qū)崿F(xiàn)現(xiàn)有四大系統(tǒng)（綜合、綠卡、辦公、視頻）網(wǎng)絡(luò)之間可靠的安全隔離，并能提供跨業(yè)系統(tǒng)網(wǎng)絡(luò)的互訪手段，針對跨網(wǎng)訪問提供必要的安全控制手段。 靈活性及可擴展性網(wǎng)絡(luò)系統(tǒng)是一個不斷發(fā)展的系統(tǒng)，網(wǎng)絡(luò)不僅需要保持對以前技術(shù)的兼容性，還必須具有良好的靈活性和可擴展性，能夠根據(jù)用戶網(wǎng)絡(luò)不斷深入發(fā)展的需要，根據(jù)未來業(yè)務(wù)的增長和變化，平滑地擴充和升級現(xiàn)有的網(wǎng)絡(luò)覆蓋范圍、擴大網(wǎng)絡(luò)容量和提高網(wǎng)絡(luò)的各層次節(jié)點的功能，最大程度的減少對網(wǎng)絡(luò)架構(gòu)和現(xiàn)有設(shè)備的調(diào)整。主要針對網(wǎng)絡(luò)設(shè)備和鏈路的管理，對服務(wù)器的管理以網(wǎng)絡(luò)通斷、流量等情況為主，對其詳細運行情況在本次工程中不做要求。 MPLS標簽示意圖在MPLS中，一個標簽標識了一個轉(zhuǎn)發(fā)等價類（FEC——Forwording Equivalence Class）。在MPLS標記交換路徑的出口（或倒數(shù)第二跳），彈出MPLS包頭，還回原來的IP包（在VPN的時候可能是以太網(wǎng)報文或ATM報文等）。根據(jù)擴展方式的不同MPLS VPN可以分為BGP擴展實現(xiàn)的MPLS VPN，和LDP擴展實現(xiàn)的VPN。但是必須遵循如下規(guī)則：兩個Site之間只有至少同時屬于一個VPN定義的Site集合，才具有IP連通性。BGP擴展實現(xiàn)的MPLS VPN擴展的了BGP NLRI中的IPv4地址，在其前增加了一個8字節(jié)的RD（Route Distinguisher）。PECE之間要交換路由信息一般是通過靜態(tài)路由，也可以通過RIP、BGP等。由于采用了單獨的路由表，允許每個VPN使用單獨的地址空間中，稱為VPNIPv4地址空間，RD加上IPv4地址就構(gòu)成了VPNIPv4地址?？梢哉J為，內(nèi)層標簽代表了通過骨干網(wǎng)相連的兩個CE之間的一個隧道。根據(jù)以上江西省郵政骨干網(wǎng)的網(wǎng)絡(luò)現(xiàn)狀和需求分析，江西省郵政骨干網(wǎng)改造主要的需求就是在統(tǒng)一的物理傳輸平臺上實現(xiàn)多業(yè)務(wù)系統(tǒng)的混合傳輸，并保證安全隔離和服務(wù)質(zhì)量。在江西郵政早期骨干網(wǎng)建設(shè)時期，基于IP技術(shù)之上的VPN和QoS技術(shù)發(fā)展還不是非常完善，同時還有相當部分的業(yè)務(wù)系統(tǒng)運行在非IP方式下，采用二層網(wǎng)絡(luò)平臺可以較好的解決各業(yè)務(wù)系統(tǒng)安全隔離和服務(wù)質(zhì)量保證的需求，是當時的技術(shù)發(fā)展水平和業(yè)務(wù)需求條件下較好的解決方案。它可以通過VPN技術(shù)在一個統(tǒng)一的物理傳輸平臺上較好的實現(xiàn)多業(yè)務(wù)系統(tǒng)安全隔離，隔離效果相當于物理PVC隔離，同時可通過QoS技術(shù)來實現(xiàn)針對不同業(yè)務(wù)系統(tǒng)的服務(wù)質(zhì)量保證。省、市均配備兩臺廣域網(wǎng)路由器作為MPLS網(wǎng)絡(luò)的PE設(shè)備，通過租用運營商的SDH電路連接，骨干網(wǎng)不單獨設(shè)置P設(shè)備，通過PE設(shè)備完成為各個業(yè)務(wù)系統(tǒng)的數(shù)據(jù)報文封裝、交換和拆封MPLS標簽。因此，建議初期保持現(xiàn)有骨干網(wǎng)主用2M電路暫時不變，以便于切換。 MPLS VPN設(shè)計 MPLS VPN系統(tǒng)設(shè)計在本次工程中，我們采用MPLS VPN技術(shù)來實現(xiàn)業(yè)務(wù)隔離實現(xiàn)需要。對于PE與CE互聯(lián)，可以采用的路由協(xié)議有靜態(tài)路由、RIP、OSPF和EBGP等多種路由協(xié)議。在廣域網(wǎng)上的路由器全部作為PE，構(gòu)成MPLS VPN的核心域。1. VRF規(guī)劃VRF對應(yīng)一個VPN，一般來說一個VRF的命名可以采用某個業(yè)務(wù)的英文標識或者漢語拼音來標識。即PE設(shè)備上每個VRF表中的所有VPNIPv4路規(guī)劃如下：視頻業(yè)務(wù) ：65400：1數(shù)據(jù)業(yè)務(wù) ：65400：2綜合業(yè)務(wù) ：65400: 3金融業(yè)務(wù) : 65400: 43. 全局RT值規(guī)劃通過配置VRF（路由轉(zhuǎn)發(fā)實例）的target 屬性，可以實現(xiàn)不同業(yè)務(wù)的VPN。通過RT的靈活使用，可以實現(xiàn)intranet，extranet，hubamp。規(guī)劃如下：視頻業(yè)務(wù) ：65400：1數(shù)據(jù)業(yè)務(wù) ：65400：2綜合業(yè)務(wù) ：65400: 3