【正文】 通過技術經濟比較，性能價格比較，選擇優(yōu)化的網(wǎng)絡結構 和網(wǎng)絡技術，盡可能利用和保護現(xiàn)有設備和投資，做到從實際出發(fā)，制定經濟、合理的方案，以最小的網(wǎng)絡建設和網(wǎng)絡維護成本建設一個高可用、高安全的電子政務專網(wǎng)平臺。 靳安市 政府 電子政務 內、外 網(wǎng)平臺的設計中充分考慮未來帶寬擴容的需要，從網(wǎng)絡和設備的配置上都保留一 定的擴充余地，便于融入隨著新技術發(fā)展帶來的新功能，滿足 靳安市 政務不斷發(fā)展的業(yè)務需要。 核心層設置兩臺高端路由器 H3C SR8805，采用設備全冗余、線路全備份結構，負責將靳 安市 政務外網(wǎng)接入到省政務外網(wǎng)的骨干，同時為匯聚設備提供接入。 圖 1 靳安市 電子政務網(wǎng)拓撲圖 數(shù)據(jù)中心網(wǎng)絡設計 靳安市 電子政務外網(wǎng)平臺需建立內部數(shù)據(jù)中心和外部數(shù)據(jù)中心，分別 設計 在網(wǎng)絡的不同安全區(qū)域，內部數(shù)據(jù)中心 設計 協(xié)同辦公平臺等內部應用需求，外部數(shù)據(jù)中心 設計 門戶網(wǎng)站等應用需求。兩臺三層交換機上配置 VRRP 熱備份協(xié)議，作為服務器的冗余網(wǎng)關；當一臺交換機出現(xiàn)故障時，虛擬網(wǎng)關可由另外一臺交換機接管。 內部數(shù)據(jù)中心網(wǎng)絡拓撲 如圖 2 所示。為此，在 Inter 出口，我們 設計 兩臺高性能的千兆防火墻，使用主備工作模式，對內分別連接到上網(wǎng)行為管理設備，對外通過負載均衡器和 IPS 連接到電信的兩個 100M 出口。 IP 地址規(guī)劃的好壞， 影響到網(wǎng)絡路由協(xié)議算法的效率，影響到網(wǎng)絡的性能，影響到網(wǎng)絡的擴展，影響到網(wǎng)絡的管理，也必將直接影響到網(wǎng)絡應用的進一步發(fā)展。 2） 連續(xù)性 ： 連續(xù)地址在層次結構網(wǎng)絡中易于進行路徑疊合，大大縮減路由表，提高路由算法的效率。最完美的方式是得出一個 IP 地址公式，以及一些參數(shù)及系數(shù)，通過計算得出每一個需要用到的 IP地址。 4） 各段地址盡可能在各地州用于相同的網(wǎng)絡。 表 2 互連地址分配表 設備 IP 地址 備注 核心路由器 1核心路由器 2 核心路由器 1市政府匯聚交換機 核心路由器 2市政府匯聚交換機 核心路由器 1市委匯聚交換機 核心路由器 2市委匯聚交換機 核心 路由器 1河東匯聚交換機 湖南工業(yè)職業(yè)技術學院 網(wǎng)絡技術專業(yè)教學資源庫 8 核心路由器 2河東匯聚交換機 核心路由器 1出口防火墻 防火墻 1外部數(shù)據(jù)中心 1 防火墻 2外部數(shù)據(jù)中心 2 核心路由器 1內部數(shù)據(jù)中心防火墻 1 核心路由器 2內部數(shù)據(jù)中心防火墻 2 內部數(shù)據(jù)中心防火墻 1交換機 1 內部數(shù)據(jù)中心防火墻 2交換機 2 防火墻－負載均衡 核心路由器 1省政務外網(wǎng) 核心路由器 2省政務外網(wǎng) 預留 用戶地址規(guī)劃 省中心對各地州的 IP 地址做了統(tǒng)一的規(guī)劃和分配， 靳安市 政務外網(wǎng)所分配的地址段為，共 16 個 C 類地址段，內部和外部數(shù)據(jù)中心使用 1 個 C 類 地址段，用戶地址使用后 14 個 C 類地址段，分配原則如下： 內部數(shù)據(jù)中心和外部數(shù)據(jù)中心各分配 128 個地址 內部數(shù)據(jù)中心： 外部數(shù)據(jù)中心： 預留： 橫向 VPN 分配 1 個 C 類地址段，每個匯聚點分配 64 個地址 市政府匯聚點： 市委匯聚點： 河東匯聚點： 預留： 各市直單位縱向 VPN 分配 59 段 IP 地址，原則上為每個市直單位分配 8 個地址。 湖南工業(yè)職業(yè)技術學院 網(wǎng)絡技術專業(yè)教學資源庫 9 VLAN 規(guī)劃 由于每個單位需要劃分為縱向 VPN、橫向 VPN 和公網(wǎng) VPN，加上管理 VLAN，我們必須為每個單位規(guī)劃 4 個 VLAN，雖然匯聚交換機之間二層是隔離的， VLAN 資源可以重復使用，但是考慮到管理的方便，出了管理 VLAN 和橫向 VLAN 外 ，我們對所有單位的縱向 VLAN 和公網(wǎng) VLAN資源應進行全網(wǎng)統(tǒng)一規(guī)劃，不使用重復的 VLAN 號碼。 對于 靳 安市 政務內網(wǎng)的 IGP 規(guī)劃，有兩種選擇： 第一種模式： 與省政務外網(wǎng)運行同一個 OSPF 進程，采用多區(qū)域（ AREA）模式，省網(wǎng)運行于 AREA 0， 靳安市 政務外網(wǎng)運行于 AREA 731。 路由 設計 如 圖 5 所示。 這樣一來，在 靳安市 電子政務網(wǎng)絡平臺中的設備之間實現(xiàn) VPN 互通時，在 BGP 鄰居方面只可能是形成 IBGP 鄰居。各匯聚設備 S9505 等作為此 RR 的 Client，這些匯聚設備與兩臺 SR88 形成一個 Cluster。 2． VRF規(guī)劃 每個 靳安市 政府職能部門，建立兩個 VPN： 縱向 VPN：規(guī)劃為各職能部門的垂直 部門之間訪問； Inter VPN：規(guī)劃為各職能部門進行 Inter 的訪問 。由于橫向VPN 實現(xiàn)的功能和內部數(shù)據(jù)中心 VPN 的功能類似，也可將橫向 VPN 的路由引入到內部數(shù)據(jù)中心 VPN，將橫向 VPN 的服務器在邏輯上納入到內部數(shù)據(jù)中心。 表 6 河東匯聚點 序號 單位名稱 地 址 VRF 名稱 RD 1 長沙經濟技術開發(fā)區(qū)管理委員會 長沙經開區(qū)三一路 2 號（已建局域網(wǎng)） ASN:6700 ASN:6711 2 市委老干部局 藩后街 52 號 ASN:6800 ASN:6811 3 市中級人民法院 曙光中路 240 號（已建局域網(wǎng)） ASN:6900 ASN:6911 4 市公安局 解放西路（已建局域網(wǎng)） ASN:7000 ASN:7011 5 市司法局 東牌樓尚德街 18 號（已建局域網(wǎng)） ASN:7100 湖南工業(yè)職業(yè)技術學院 網(wǎng)絡技術專業(yè)教學資源庫 14 ASN:7111 6 市廣播電視局 勞動路 237 號（（已建局域網(wǎng)） ASN:7200 ASN:7211 7 市體育局 勞動東路 289 號嘉盛財富 EA7 樓（（已建局域網(wǎng)） ASN:7300 ASN:7311 8 市糧食局 糧貿大樓（五一中路） ASN:7400 ASN:7411 9 市勞動和社會保障局 韭菜園路 231 號（已建局域網(wǎng)） ASN:7500 ASN:7511 10 市國土資源局 晚報大道 150 號（已建局域網(wǎng)） ASN:7600 ASN:7611 11 市交通局 萬家麗路旺旺醫(yī)院旁邊 ASN:7700 ASN:7711 12 市委黨校 韶山南路 754 號（已建局域網(wǎng)） ASN:7800 ASN:7811 13 市公路管理局 新建西路 76 號（已建局域網(wǎng)） ASN:7900 ASN:7911 14 市工商行政管理局 南二環(huán)線一段 411 號（火星小學對面）（已建局域網(wǎng)） ASN:8000 ASN:8011 15 市國家稅務局 韶山路 355 號（已建局域網(wǎng)） ASN:8100 ASN:8111 16 市地方稅務局 靳安市 白沙路 1 號（已建局域網(wǎng)） ASN:8200 ASN:8211 17 市藥品監(jiān)督管理局 ASN:8300 ASN:8311 18 市教育局 蔡鍔中路伍家井 37 號（已建局域網(wǎng)） ASN:8500 ASN:8511 19 市政務服務中心 曙光路（已接入） ASN:8600 ASN:8611 20 市民政局 五一中路桐蔭里 51 號（已建局域網(wǎng)） ASN:8700 ASN:8711 21 市財政局 長信大廈 ASN:8800 ASN:8811 22 市環(huán)境保護局 解放東路朝陽路交叉朝陽路 160 號（已建局域網(wǎng)） ASN:8900 ASN:8911 23 市房屋產權管理局 蔡鍔中路五家井 58 號（已建局域網(wǎng)） ASN:9000 ASN:9011 24 市畜牧水產局 曙光中路 85 號（已建局域網(wǎng)） ASN:9100 ASN:9111 25 市物價局 黃興路 63 號（已建局域網(wǎng)） ASN:9200 ASN:9211 26 市民族宗教事務局 白沙路 255 號（已建局域網(wǎng)） ASN:9300 ASN:9311 27 市公用事業(yè)管理局 八一路 149 號 ASN:9400 ASN:9411 28 市水利局 油鋪街 68 號（已建局域網(wǎng)） ASN:9500 ASN:9511 29 市文化局 勞動西路 343 號 ASN:9600 ASN:9611 30 市衛(wèi)生局 韶山南路 161 號 ASN:9700 ASN:9711 31 市人民防空辦公室 正在市政府旁新建辦公樓 ASN:9800 ASN:9811 32 市國資委 城南東路 67 號 ASN:9900 ASN:9911 湖南工業(yè)職業(yè)技術學院 網(wǎng)絡技術專業(yè)教學資源庫 15 33 市園林管理局 八一路 239 號（ 已建局域網(wǎng)） ASN:10000 ASN:10011 34 市知識產權局 靳安市 人民中路 308 號（已建局域網(wǎng)） ASN:10100 ASN:10111 市政府信息中心 點 如表 7 所示。市委匯聚交換機放置在電信托管機房，負責市委、市人大、市政協(xié)、市法院和市檢察院等單位的接入，通過 100M 端口連接到核心路由器；市政府節(jié)點交換機放置在市政府機房，負責院內各機關和單位的就近接入，并通過 100M 端口連接至核心路由器。 市委匯聚三層交換機 S3928 只有 4 個千兆端口，不能滿足市委辦、市人大、市政協(xié)、市檢察院等五大機關的同時千兆接入，因此我們考慮將這 5 家單位改接至新增的匯聚交換機，實現(xiàn)市委匯聚點所有單位之間的高速千兆交換。考慮到實際需求及性價比，我們選用神州數(shù)碼的 DCRS520028 三層交換機作為接入層設備。 接入層交換機：所有接入層交換機使 Trunk 與匯聚層交換機相連。 （ 1） 市委節(jié)點管理地址網(wǎng)段為： 。 VLAN 號碼分配： 湖南工業(yè)職業(yè)技術學院 網(wǎng)絡技術專業(yè)教學資源庫 19 管理 VLAN： Vlan2 市委匯聚節(jié)點： 業(yè)務 VLAN： Vlan100－ Vlan199 市政府匯聚節(jié)點： 業(yè)務 VLAN： Vlan200－ Vlan299 河東匯聚節(jié)點： 業(yè)務 VLAN： Vlan300－ Vlan399 湖南工業(yè)職業(yè)技術學院 網(wǎng)絡技術專業(yè)教學資源庫 20 3. 網(wǎng)絡安全 設計 方案 出口防火墻 設計 方案 兩臺天融信 NGFW4000UF 出口防火墻采用主備工作模式，當主防火墻出現(xiàn) 故障或者相連鏈路出現(xiàn)故障時，備防火墻會立即取代主防火墻轉發(fā)流量。 出口防火墻設計 如 圖 8 所示 。另外，由于 SINFOR M5400S 只使用 443 端口傳輸數(shù)據(jù)，因此避免了在防火墻上作過多的 設計 。 由于內部數(shù)據(jù)中心與各市縣單位是處于物理上的隔離，為了實現(xiàn)遠程用戶通過訪問SSLVPN 進入市政務網(wǎng)絡， 能同時訪問到內部數(shù)據(jù)中心與各市縣單位。 3防 DDOS 網(wǎng)關設計 如 圖 10 所示。 設備本身支持千兆光、電口，與防火墻對接采用千兆級電口，與核心路由器對接則采用千兆級光口。 防病毒服務器 設計 在內部數(shù)據(jù)中心。 強大的病毒查殺能力 采用先進的反病毒引擎，對 DOS 病毒、 Windows 病毒、宏病毒、蠕蟲病毒和網(wǎng)頁病毒，以及特洛伊木馬等黑客程序，均可有效攔截和徹底查殺。 快速可定制的安裝 設計 可以根據(jù)管理員的需求定制性采用 WEB 頁面（ ActiveX）安裝、遠程控制安裝、域腳本安裝等方式，在較短的時間內完成網(wǎng)絡內 設計 眾多客戶端的安裝作業(yè)，簡單快速的實現(xiàn)整個網(wǎng)絡反病毒體系的 設計 。通過訪問控制臺對管理中心進行能保障每個納入體系的計算機時刻處于最佳的病毒防護狀態(tài)。 客戶端升級時采用智能遞增的方式更新病毒庫，減少網(wǎng)絡內部升級時的帶寬占用。 更新方式及設置 金山毒霸網(wǎng)絡版的更新能徹底解決管理員更新全網(wǎng) 防病毒系統(tǒng)的困難，確保了整個系統(tǒng)的正常運行，能在第一時間抵御病毒的入侵。 離線升級包：管理員可以在金山毒霸網(wǎng)站上下載離線升級包。 另外，金山毒霸網(wǎng)絡版還具有自修復功能，當網(wǎng)絡版客戶機程序被破壞時，可以自動從管理中心下載正確的文件進行修復。 配置步驟如下： 創(chuàng)建 VLAN 100050，并將 Port 8 都加入 VLAN 100050； 配置 VLAN 100050 虛擬接口地址為 ,配置 Port 1 接口地為； 創(chuàng)建默認路由指向網(wǎng)關： ，創(chuàng)建靜態(tài)路由將內網(wǎng)網(wǎng)段 ； 創(chuàng)建 NHR： Name:DX， IP:； 打開雙向就近性探測功能，將延遲的權重設為最大： 100； 配置使用最小流量的負載均衡算法； 打開 Smart NAT 功能，并選擇使用四層會話表； 創(chuàng)建動態(tài) NAT，在 NHR DX 上 ； 創(chuàng)建靜態(tài) NAT，在 NHR DX 上將防火墻接口地址 映射為 ； 分配設備的內存使： 湖南工業(yè)職業(yè)技術學院 網(wǎng)絡技術專業(yè)教學資源庫 26 IP Forwarding Table ： 256000