【正文】 業(yè)教學(xué)資源庫(kù) 12 7 市委政策研究室 市委辦公大樓（已接入） ASN:2500 ASN:2511 8 市機(jī)構(gòu)編制委員會(huì)辦公室 市委辦公大樓（已接入） ASN:2600 ASN:2611 9 市直屬機(jī)關(guān)工作委員會(huì) 市委辦公大樓（已接入） ASN:2700 ASN:2711 10 市人民政府臺(tái)灣事務(wù)工作辦公室 市委辦公大樓（已接入） ASN:2800 ASN:2811 11 610 辦公室 市委辦公大樓（已接入） ASN:2900 ASN:2911 12 市接待辦公室 市委辦公大樓 （已接入） ASN:3000 ASN:3011 13 市委黨史研究室 市委辦公大樓（已接入） ASN:3100 ASN:3111 14 市委理論教育講師團(tuán) 市委辦公大樓（已接入） ASN:3200 ASN:3211 15 市新聞出版局（版權(quán)局） 市委辦公大樓（已接入） ASN:3300 ASN:3311 16 市人民政府地方志辦公室 市委辦公大樓（已接入） ASN:3400 ASN:3411 17 市社會(huì)科學(xué)界聯(lián)合會(huì) 市委辦公大樓（已接入） ASN:3500 ASN:3511 市政 府匯聚點(diǎn) 如表 5 所示。 在 BGP 路由協(xié)議中，運(yùn)行 BGP 路由協(xié)議的網(wǎng)絡(luò)設(shè)備可以建立兩種鄰居關(guān)系，一種為 EBGP鄰居，另一種為 IBGP 鄰居，考慮到整個(gè) MPLS VPN 組網(wǎng)的方式和以后維護(hù)上的簡(jiǎn)單與便利，不建議使用跨域的 MPLS VPN，也就是說在網(wǎng)絡(luò)中不會(huì)存在 EBGP 鄰居關(guān)系，因此下面我們 在只有 IBGP 的情況下對(duì) BGP 規(guī)劃進(jìn)行分析。 管理地址分配 如 表 1 所示。 Inter 出口 設(shè)計(jì) 如圖 4 所示。 每個(gè)單位各設(shè)置一臺(tái)三層交換機(jī) H3C S360028TPSI 或者二層交換機(jī) H3C S310026TPSI作為接入層設(shè)備。工程建設(shè)方案要面向未來，技術(shù)必須具有先進(jìn)性和前瞻性，以確保在未來 35年內(nèi)不落后，同時(shí)也要堅(jiān)持實(shí)用的原則，在滿足性能價(jià)格比的前提下，堅(jiān)持選用符合標(biāo)準(zhǔn)的，先進(jìn)成熟的產(chǎn)品和開發(fā)平臺(tái)。 可擴(kuò)充性原則 湖南工業(yè)職業(yè)技術(shù)學(xué)院 網(wǎng)絡(luò)技術(shù)專業(yè)教學(xué)資源庫(kù) 2 考慮到 市政府 電子政務(wù) 內(nèi)、外 網(wǎng)平臺(tái)各種應(yīng)用業(yè)務(wù)的飛速發(fā)展，網(wǎng)絡(luò)承載的信息流量不斷增加。來自政務(wù)外網(wǎng)的數(shù)據(jù)流的訪問控制功能均在防火墻中實(shí)現(xiàn)。這是 IP 地址規(guī)劃中最具技巧型和藝術(shù)性的部分。核心層和匯聚層所有 3 層設(shè)備都能夠很好的支持 TCP/IP 的標(biāo)準(zhǔn)鏈路狀態(tài)路由協(xié)議 OSPF，因此我們?cè)诤诵膶雍蛥R聚層使用 OSPF 路由協(xié)議，實(shí)現(xiàn)流量的負(fù)載均衡和鏈路的自動(dòng)切換。待省政務(wù)外網(wǎng)平臺(tái)進(jìn)行與地市連接統(tǒng)一規(guī)劃完成后，連接方式可以靈活的根據(jù)省網(wǎng)的規(guī)劃進(jìn)行修改。 湖南工業(yè)職業(yè)技術(shù)學(xué)院 網(wǎng)絡(luò)技術(shù)專業(yè)教學(xué)資源庫(kù) 16 圖 6 電子政務(wù)內(nèi)網(wǎng)拓?fù)鋱D 1． 匯聚層設(shè)計(jì) （ 1） 市委市政府匯聚點(diǎn) 根據(jù)省委省政府規(guī)劃，市委匯聚交換機(jī) S3928 應(yīng)負(fù)責(zé)市委、市人大、市政協(xié)、市法院和市檢察院等單位的接入，市政府節(jié)點(diǎn)交換機(jī) S3928 負(fù)責(zé)院內(nèi)各機(jī)關(guān)和單位的就近接入，根據(jù)靳安市 委市政府的實(shí)際情況，考慮到市委市政府辦公大樓內(nèi)有 40 多家單位需接入 靳安市 政務(wù)內(nèi)網(wǎng)，而市委匯聚交換機(jī)放置在電信機(jī)房，同時(shí)市委和市政府的 S3928 只有 24 個(gè)百兆端口，4 個(gè)千兆端口，不能滿足市委市政府辦公大樓所有單位的接入和日后 的擴(kuò)展，因此應(yīng)該在市委和市政府各增加 1 臺(tái)三層交換機(jī)連接到 S3928 作為辦公大樓各單位的匯聚。 2． VLAN 規(guī)劃 對(duì)于 VLAN 規(guī)劃，原則上我們規(guī)劃 一個(gè)管理 VLAN，市委、市政府、河?xùn)|三個(gè)節(jié)點(diǎn)為了管理上方便，除了管理 VLAN 之外，三個(gè)節(jié)點(diǎn)的互連 VLAN 編號(hào)不應(yīng)復(fù)用，接入層交換機(jī)上的用戶 VLAN 連續(xù)進(jìn)行分配。 防 DDOS 網(wǎng)關(guān) 設(shè)計(jì) 方案 為了保證外部數(shù)據(jù)中心的服務(wù)器不受到來自互聯(lián)網(wǎng)的 DDOS 攻擊，我們?cè)谕獠繑?shù)據(jù)中心的出口 設(shè)計(jì) 1 臺(tái)綠盟的黑洞 COLLAPSAR6005－ B 抗 DDOS 攻擊設(shè)備， 通過及時(shí)發(fā)現(xiàn)背景流量中湖南工業(yè)職業(yè)技術(shù)學(xué)院 網(wǎng)絡(luò)技術(shù)專業(yè)教學(xué)資源庫(kù) 22 各種類型的攻擊流量，黑洞可以迅速對(duì)攻擊流量進(jìn)行過濾或旁路，保證正常流量的通過 。 實(shí)時(shí)監(jiān)測(cè)病毒入侵 能夠自動(dòng)檢測(cè)、清除來自軟盤、硬盤、光盤、網(wǎng)絡(luò)鄰居、 Inter 及 Email 等各種途徑的病毒，任何文件打開、關(guān)閉、保存、讀、寫、拷貝、移動(dòng)、壓縮和解壓縮等操作都可進(jìn)行實(shí)時(shí)監(jiān)測(cè)。 在線更新：管理中心通過 Inter 從金山毒霸網(wǎng)站上下載在線升級(jí)數(shù)據(jù)，然后自動(dòng)分發(fā)給下面所管理的客戶機(jī)，實(shí)現(xiàn)全網(wǎng)的自動(dòng)升級(jí)。運(yùn)行升級(jí)包之前，先停止管理中心；運(yùn)行升級(jí)包程序，升級(jí)后重新啟動(dòng)管理中心；進(jìn)入控制臺(tái)，選取所有的客戶端，點(diǎn)擊 “ 升級(jí)客戶端 ” 即 可。 可移動(dòng)的 Web 管理平臺(tái) 控制臺(tái)是整個(gè)金山毒霸網(wǎng)絡(luò)版系統(tǒng)設(shè)置、使用和控制的操作平臺(tái)。 圖 10 防 DDOS 網(wǎng)關(guān)設(shè)計(jì) 圖 正常情況下，黑洞連接到主用防火墻，為服務(wù)器提供保護(hù)，由于只有 1 臺(tái)黑洞，因此當(dāng)出口防火墻發(fā)生主備切換后需手工將黑洞設(shè)備改接到另外 1 條鏈路。同時(shí)， 2 臺(tái)核心路由器使用 VRRP技術(shù)為 2 臺(tái)防火墻提供一個(gè)虛擬網(wǎng)關(guān)，當(dāng) 1 臺(tái)核心路由器或者相連的鏈路出現(xiàn)故障，也能保證用戶流量的轉(zhuǎn)發(fā)。 如上述連接完成后，市委市政府的兩臺(tái) S3928 的作用僅僅只是連接新增匯聚三層交換機(jī)與核心 NE40，成為網(wǎng)絡(luò)中的一個(gè)故障點(diǎn)，因此可以與省委省政府協(xié)商將兩臺(tái)新增匯聚交換機(jī)直接連接至 NE40。 為全網(wǎng)建立一個(gè)橫向 VPN，規(guī)劃為各職能部門的兄弟部門之間的訪問 。 第二種模式： 與省政務(wù)外網(wǎng)運(yùn)行不同的 OSPF 進(jìn)程，且不需任何 OSPF 的注入，即兩張網(wǎng)不交換路由信息，省、市之間的路由互通依靠基于 MPLS VPN 的靜態(tài)路由來完成。 地址分配方法 參照以上分配原則和具體規(guī)定，我們?cè)诰唧w分配地址時(shí)使用以下技術(shù)手段或方法： 1） 采用可變長(zhǎng)度的掩碼技術(shù) (VLSM)。 圖 2 內(nèi)部 數(shù)據(jù)中心 拓?fù)鋱D 外部數(shù)據(jù)中心 外部數(shù)據(jù)中心同樣采用 2 臺(tái)三層交換機(jī)作為服務(wù)器設(shè)備的接入，同時(shí)由于外部數(shù)據(jù)中心是為公眾提供服務(wù)，勢(shì)必會(huì)有部分業(yè)務(wù)暴露在互聯(lián)網(wǎng)上，因此我們考慮將外部數(shù)據(jù)中心連接到 Inter 出口防火墻的 DMZ 區(qū)，同時(shí)配置一臺(tái)抗 DDOS 設(shè)備保證服務(wù)器的安全。 標(biāo)準(zhǔn)及規(guī)范 國(guó)家、省市有關(guān)信息化的政策法規(guī)和技術(shù)規(guī)范，是電子政務(wù)建設(shè)順利實(shí)施和健康運(yùn)行的重要保證。 為達(dá)到以上目標(biāo)，本次網(wǎng)絡(luò)建設(shè)的主要原則是： 先進(jìn)性、實(shí)用性原則 從較高的 起點(diǎn)對(duì)網(wǎng)絡(luò)建設(shè)進(jìn)行規(guī)劃，充分采用先進(jìn)成熟的網(wǎng)絡(luò)技術(shù)，滿足 靳安市 電子政務(wù)平臺(tái)各種業(yè)務(wù)實(shí)時(shí)數(shù)據(jù)、非實(shí)時(shí)數(shù)據(jù)傳輸需要。 核心層設(shè)置兩臺(tái)高端路由器 H3C SR8805，采用設(shè)備全冗余、線路全備份結(jié)構(gòu)，負(fù)責(zé)將靳 安市 政務(wù)外網(wǎng)接入到省政務(wù)外網(wǎng)的骨干，同時(shí)為匯聚設(shè)備提供接入。為此，在 Inter 出口，我們 設(shè)計(jì) 兩臺(tái)高性能的千兆防火墻，使用主備工作模式，對(duì)內(nèi)分別連接到上網(wǎng)行為管理設(shè)備，對(duì)外通過負(fù)載均衡器和 IPS 連接到電信的兩個(gè) 100M 出口。 4） 各段地址盡可能在各地州用于相同的網(wǎng)絡(luò)。 路由 設(shè)計(jì) 如 圖 5 所示。由于橫向VPN 實(shí)現(xiàn)的功能和內(nèi)部數(shù)據(jù)中心 VPN 的功能類似，也可將橫向 VPN 的路由引入到內(nèi)部數(shù)據(jù)中心 VPN，將橫向 VPN 的服務(wù)器在邏輯上納入到內(nèi)部數(shù)據(jù)中心?？紤]到實(shí)際需求及性價(jià)比，我們選用神州數(shù)碼的 DCRS520028 三層交換機(jī)作為接入層設(shè)備。 出口防火墻設(shè)計(jì) 如 圖 8 所示 。 設(shè)備本身支持千兆光、電口，與防火墻對(duì)接采用千兆級(jí)電口，與核心路由器對(duì)接則采用千兆級(jí)光口。通過訪問控制臺(tái)對(duì)管理中心進(jìn)行能保障每個(gè)納入體系的計(jì)算機(jī)時(shí)刻處于最佳的病毒防護(hù)狀態(tài)。 另外，金山毒霸網(wǎng)絡(luò)版還具有自修復(fù)功能，當(dāng)網(wǎng)絡(luò)版客戶機(jī)程序被破壞時(shí)，可以自動(dòng)從管理中心下載正確的文件進(jìn)行修復(fù)。 更新方式及設(shè)置 金山毒霸網(wǎng)絡(luò)版的更新能徹底解決管理員更新全網(wǎng) 防病毒系統(tǒng)的困難，確保了整個(gè)系統(tǒng)的正常運(yùn)行，能在第一時(shí)間抵御病毒的入侵。 強(qiáng)大的病毒查殺能力 采用先進(jìn)的反病毒引擎，對(duì) DOS 病毒、 Windows 病毒、宏病毒、蠕蟲病毒和網(wǎng)頁病毒，以及特洛伊木馬等黑客程序，均可有效攔截和徹底查殺。 由于內(nèi)部數(shù)據(jù)中心與各市縣單位是處于物理上的隔離，為了實(shí)現(xiàn)遠(yuǎn)程用戶通過訪問SSLVPN 進(jìn)入市政務(wù)網(wǎng)絡(luò)， 能同時(shí)訪問到內(nèi)部數(shù)據(jù)中心與各市縣單位。 （ 1） 市委節(jié)點(diǎn)管理地址網(wǎng)段為： 。市委匯聚交換機(jī)放置在電信托管機(jī)房，負(fù)責(zé)市委、市人大、市政協(xié)、市法院和市檢察院等單位的接入，通過 100M 端口連接到核心路由器；市政府節(jié)點(diǎn)交換機(jī)放置在市政府機(jī)房，負(fù)責(zé)院內(nèi)各機(jī)關(guān)和單位的就近接入，并通過 100M 端口連接至核心路由器。各匯聚設(shè)備 S9505 等作為此 RR 的 Client，這些匯聚設(shè)備與兩臺(tái) SR88 形成一個(gè) Cluster。 湖南工業(yè)職業(yè)技術(shù)學(xué)院 網(wǎng)絡(luò)技術(shù)專業(yè)教學(xué)資源庫(kù) 9 VLAN 規(guī)劃 由于每個(gè)單位需要?jiǎng)澐譃榭v向 VPN、橫向 VPN 和公網(wǎng) VPN，加上管理 VLAN，我們必須為每個(gè)單位規(guī)劃 4 個(gè) VLAN，雖然匯聚交換機(jī)之間二層是隔離的， VLAN 資源可以重復(fù)使用，但是考慮到管理的方便，出了管理 VLAN 和橫向 VLAN 外 ，我們對(duì)所有單位的縱向 VLAN 和公網(wǎng) VLAN資源應(yīng)進(jìn)行全網(wǎng)統(tǒng)一規(guī)劃，不使用重復(fù)的 VLAN 號(hào)碼。 2） 連續(xù)性 ： 連續(xù)地址在層次結(jié)構(gòu)網(wǎng)絡(luò)中易于進(jìn)行路徑疊合，大大縮減路由表，提高路由算法的效率。兩臺(tái)三層交換機(jī)上配置 VRRP 熱備份協(xié)議，作為服務(wù)器的冗余網(wǎng)關(guān)；當(dāng)一臺(tái)交換機(jī)出現(xiàn)故障時(shí)，虛擬網(wǎng)關(guān)可由另外一臺(tái)交換機(jī)接管。 經(jīng)濟(jì)性原則 通過技術(shù)經(jīng)濟(jì)比較，性能價(jià)格比較，選擇優(yōu)化的網(wǎng)絡(luò)結(jié)構(gòu) 和網(wǎng)絡(luò)技術(shù)，盡可能利用和保護(hù)現(xiàn)有設(shè)備和投資，做到從實(shí)際出發(fā)，制定經(jīng)濟(jì)、合理的方案，以最小的網(wǎng)絡(luò)建設(shè)和網(wǎng)絡(luò)維護(hù)成本建設(shè)一個(gè)高可用、高安全的電子政務(wù)專網(wǎng)平臺(tái)。 成熟 性 和發(fā)展性的結(jié)合 工程建設(shè)應(yīng)首先采用符合目前業(yè)界計(jì)算機(jī)及應(yīng)用系統(tǒng)發(fā)展趨勢(shì)的主流技術(shù)，技術(shù)先進(jìn)并趨于成熟的，被公眾認(rèn)可的優(yōu)質(zhì)產(chǎn)品。 內(nèi)部數(shù)據(jù)中心 合理規(guī)劃 數(shù)據(jù)中心 網(wǎng)絡(luò)，保障各種類型設(shè)備之間網(wǎng)絡(luò)通信暢通 是 關(guān)系數(shù)據(jù)中心整體性能湖南工業(yè)職業(yè)技術(shù)學(xué)院 網(wǎng)絡(luò)技術(shù)專業(yè)教學(xué)資源庫(kù) 4 的重要因素。如果要看一個(gè)網(wǎng)絡(luò)的規(guī)劃質(zhì)量、如果要看一個(gè)網(wǎng)絡(luò)設(shè)計(jì)師的技術(shù)水準(zhǔn)，直接看他的 IP 地址規(guī) 劃好了?？v向 VPN用戶使用私網(wǎng) 172地址段，由匯聚交換機(jī)將這些 172地址段轉(zhuǎn)換為 59地址后在政務(wù)網(wǎng)上傳播。按照 BGP 協(xié)議的要求， IBGP 鄰居必須保證是全連通的，即：任意兩臺(tái)路由器之間都必須配置鄰居關(guān)系。 表 7 市政府信息 中心 點(diǎn) 序號(hào) 單位名稱 地 址 VRF 名稱 RD 市政府信息中心 ASN: 100 ASN: 111 全局 VPN 如表 8 所示。 核心路由器：將河?xùn)|節(jié)點(diǎn)單位用戶地址指向河?xùn)|新增匯聚交換機(jī)。使用標(biāo)準(zhǔn)的 SSL 協(xié)議和標(biāo)準(zhǔn)的瀏覽器可以輕易的穿越防火墻，使得移動(dòng)用戶幾乎在任何網(wǎng)絡(luò)環(huán)境下都可以方便的接入到 VPN 網(wǎng)絡(luò)，避免了網(wǎng)絡(luò)兼容性的麻煩。 可擴(kuò)展的分級(jí)管理架構(gòu) 金山毒霸網(wǎng)絡(luò)版通過管理中心來集中管理數(shù)據(jù)，以實(shí)現(xiàn)對(duì)多個(gè)系統(tǒng)中心、升級(jí)服務(wù)器及其他特殊防毒節(jié)點(diǎn)的集中管理。提供湖南工業(yè)職業(yè)技術(shù)學(xué)院 網(wǎng)絡(luò)技術(shù)專業(yè)教學(xué)資源庫(kù) 24 升級(jí)回滾功能，保障在網(wǎng)絡(luò)或者計(jì)算機(jī)出現(xiàn)升級(jí)異常的時(shí)候，反病毒終端能正常的運(yùn)行。 圖 11 負(fù)載均衡設(shè)備設(shè)計(jì) 圖 如圖 11 所示，將 LP1000 的 Port 8 端口加入 VLAN 100050，用于下接防火墻；而 Port 1 和 Port 2 采用三層端口，直接配置 ISP1 和 ISP2 分配的地址，分別連接 ISP1 鏈路和 ISP2 鏈路。合理 設(shè)計(jì) 升 級(jí)服務(wù)器可以大大減輕網(wǎng)絡(luò)帶寬壓力，最大程度優(yōu)化網(wǎng)絡(luò)性能。 防病毒軟件 設(shè)計(jì) 方案 靳安市 政務(wù)網(wǎng)平臺(tái)采用的是 金山毒霸網(wǎng)絡(luò)版 防病毒軟件， 金山 毒霸網(wǎng)絡(luò)版采用了業(yè)界主湖南工業(yè)職業(yè)技術(shù)學(xué)院 網(wǎng)絡(luò)技術(shù)專業(yè)教學(xué)資源庫(kù) 23 流的 B/S 開發(fā)模式，由控制臺(tái)、系統(tǒng)中心、升級(jí)服務(wù)器、服務(wù)器端和客戶機(jī)端五個(gè)相互關(guān)聯(lián)的子系統(tǒng)組成了防病毒體系，有效的攔截和清除目前泛濫的各種網(wǎng)絡(luò)病毒。 設(shè)計(jì) 在綜合安全管理區(qū)， SSL VPN 實(shí)現(xiàn)原理如下圖所示：通過互聯(lián)網(wǎng)，遠(yuǎn)程用戶 不需要安裝客戶端程序 ，就可湖南工業(yè)職業(yè)技術(shù)學(xué)院 網(wǎng)絡(luò)技術(shù)專業(yè)教學(xué)資源庫(kù) 21 以隨時(shí)隨地從任何瀏覽器上安全的接入到內(nèi)部網(wǎng)絡(luò)，安全地訪問應(yīng)用程序，中間的連接是啟用了