【正文】 量保證，使Internet真正成為同時(shí)承載數(shù)據(jù)、語音和視頻業(yè)務(wù)的綜合網(wǎng)絡(luò)(Converged Network)。3 IP地址及路由規(guī)劃 自治域“自治域”(Autonomous System，AS)是Internet為便于管理和簡化路由選擇而設(shè)定的，每個(gè)AS賦予唯一的AS號(hào)。 路由協(xié)議及策略 域間路由協(xié)議選擇(EGP)由于政務(wù)網(wǎng)與Internet隔離，本期工程基本不涉及域間路由協(xié)議設(shè)計(jì)。4 QOS策略電子政務(wù)網(wǎng)絡(luò)上承載的是數(shù)據(jù)、語音、視頻等多種綜合業(yè)務(wù)，這些業(yè)務(wù)對(duì)于網(wǎng)絡(luò)的服務(wù)質(zhì)量有不同的要求。在浙江電子政務(wù)網(wǎng)絡(luò)中，建議在接入層中進(jìn)行流分類，并通過VLAN、在省中心核心節(jié)點(diǎn)進(jìn)行帶寬限制(CAR)和擁塞避免(RED)，在所有節(jié)點(diǎn)上基于優(yōu)先級(jí)采用優(yōu)先級(jí)隊(duì)列調(diào)度，實(shí)現(xiàn)擁塞管理。3個(gè)比特，可以區(qū)分8個(gè)類別。 通過CAR，運(yùn)營商可以限制從網(wǎng)絡(luò)邊沿進(jìn)入的各類業(yè)務(wù)的最大流量，控制網(wǎng)絡(luò)整體資源的使用，從而保證網(wǎng)絡(luò)整體的QoS。由于WRED算法的這一局限，在突發(fā)度較高的網(wǎng)絡(luò)中，僅僅使用WRED算法進(jìn)行的流量控制的效果會(huì)不太理想，為此NE80內(nèi)部同時(shí)實(shí)現(xiàn)了先進(jìn)的SARED算法來彌補(bǔ)這一缺陷。具體實(shí)現(xiàn)及技術(shù)如下：（1）數(shù)據(jù)流分類技術(shù)實(shí)現(xiàn)業(yè)務(wù)區(qū)分?jǐn)?shù)據(jù)流分類是將數(shù)據(jù)報(bào)文分為多個(gè)優(yōu)先級(jí)或多個(gè)服務(wù)類，如使用IP報(bào)文頭的TOS字段（Type of service，三個(gè)bit），可以將報(bào)文最多分成六類（另外兩個(gè)值保留為其他用途）。區(qū)別服務(wù)模型使用各種機(jī)制將流區(qū)分為較小的有限數(shù)量的服務(wù)類型，針對(duì)不同的類型使用不同的策略進(jìn)行轉(zhuǎn)發(fā)。網(wǎng)絡(luò)層：保障網(wǎng)絡(luò)路由，網(wǎng)絡(luò)地址等基礎(chǔ)網(wǎng)絡(luò)的安全用戶接入層：確保合法的用戶接入，訪問合法的網(wǎng)絡(luò)范圍，并保障用戶信息的隔離等用戶接入網(wǎng)絡(luò)的安全業(yè)務(wù)層：保證用戶訪問內(nèi)容的合法性與安全性。原有的在應(yīng)用層進(jìn)行用戶鑒權(quán)與訪問控制的方案由于用戶已合法接入網(wǎng)絡(luò)，可以監(jiān)聽到相關(guān)信息，實(shí)施攻擊，所以效果往往不盡如人意。節(jié)點(diǎn)安全策略: 主要保證各個(gè)節(jié)點(diǎn)內(nèi)的設(shè)備不受攻擊，保證服務(wù)不中斷。實(shí)時(shí)監(jiān)控結(jié)點(diǎn)的入口處，確保網(wǎng)絡(luò)免受黑客攻擊。臨時(shí)訪問單位內(nèi)部網(wǎng)的實(shí)施方案：由于所有單位都能夠訪問系統(tǒng)的公共服務(wù)器VPN，每個(gè)單位使用一個(gè)公共的IP地址加入公共服務(wù)器的VPN中，需要提供此功能的單位需要提供一臺(tái)有兩塊網(wǎng)卡的服務(wù)器，一塊網(wǎng)卡在公共服務(wù)器VPN中，根據(jù)不同單位安全性的要求，另一塊網(wǎng)卡在單位內(nèi)部網(wǎng)絡(luò)VPN或系統(tǒng)內(nèi)部服務(wù)器VPN中，在服務(wù)器上運(yùn)行Pptp/IPsec服務(wù)器，當(dāng)用戶在辦公網(wǎng)中其他部門辦事的時(shí)候，可以通過Pptp/IPsec撥號(hào)到該服務(wù)器上，并通過該服務(wù)器訪問本部門內(nèi)部網(wǎng)絡(luò)或服務(wù)器網(wǎng)段。IPSEC隧道相對(duì)L2TP隧道有更高安全性，但對(duì)設(shè)備也有更高要求。如下圖所示，Quidview支持Windows NT/2000、SUN Solaris、HP UX、IBM AIX等多種操作系統(tǒng)平臺(tái)，以適應(yīng)不同級(jí)別用戶、不同網(wǎng)絡(luò)規(guī)模。它和華為公司的數(shù)據(jù)通信設(shè)備產(chǎn)品一起提供全網(wǎng)解決方案，對(duì)數(shù)據(jù)通信設(shè)備的維護(hù)和網(wǎng)絡(luò)管理提供支持，并能夠提供對(duì)電信網(wǎng)OSS運(yùn)營系統(tǒng)的支撐和接口。由于一般路由交換機(jī)并不支持MPLS轉(zhuǎn)發(fā)，而本期工程在省中心只配置了一臺(tái)核心路由器GSR，如果這臺(tái)GSR既充當(dāng)IP轉(zhuǎn)發(fā)核心路由器，又充當(dāng)MPLS VPN P及PE，性能必然受到一定影響，因此建議增加額外PE設(shè)備分擔(dān)省核心路由器處理壓力，而這又增加了額外設(shè)備成本。我們本次應(yīng)標(biāo)選擇的交換機(jī)均具備端口的MAC地址限制功能，即限制某個(gè)端口只允許有某個(gè)固定的MAC地址的機(jī)器進(jìn)入網(wǎng)絡(luò)，因此其他用戶即使接到同一個(gè)物理端口，也無法正常使用。并且可采用HA高可用技術(shù)來達(dá)到計(jì)費(fèi)系統(tǒng)及用戶數(shù)據(jù)庫系統(tǒng)的應(yīng)用相互的切換及備份。為了保護(hù)網(wǎng)絡(luò)建設(shè)的投資和網(wǎng)上應(yīng)用的可靠性，防止未來資源受到損壞，防止網(wǎng)上應(yīng)用受到攻擊產(chǎn)生的直接和間接損失，必須對(duì)全網(wǎng)安全有一個(gè)全面的安全策略。在目前這樣一個(gè)人員高速流動(dòng)的時(shí)代，大部分的泄密均源自內(nèi)網(wǎng)。 華為i3安全體系架構(gòu)面對(duì)當(dāng)前日益復(fù)雜的網(wǎng)絡(luò)環(huán)境，作為全業(yè)務(wù)和可管理網(wǎng)路的倡導(dǎo)者、實(shí)踐者和領(lǐng)先者，華為公司以其長期的網(wǎng)絡(luò)實(shí)踐，先進(jìn)的網(wǎng)絡(luò)理念認(rèn)為在當(dāng)前日益復(fù)雜的網(wǎng)絡(luò)環(huán)境下，需要對(duì)傳統(tǒng)的狹義網(wǎng)絡(luò)安全理念進(jìn)行重大變革，基于對(duì)當(dāng)前網(wǎng)絡(luò)發(fā)展需求的研究，開拓性地提出i3安全解決方案，即時(shí)間、空間、網(wǎng)絡(luò)層次三個(gè)緯度端到端集成安全體系架構(gòu)，給產(chǎn)業(yè)界和用戶一個(gè)完整清晰的網(wǎng)絡(luò)安全導(dǎo)航圖，能夠全面滿足運(yùn)營商、政府、行業(yè)及企業(yè)客戶化安全解決方案的需要。C. 隊(duì)列機(jī)制(WeightedFairQueuing)利用隊(duì)列機(jī)制可以對(duì)路由器的輸出端口進(jìn)行擁塞管理，可以利用PQ、CQ、WFQ、CBWFQ等隊(duì)列技術(shù)對(duì)不同等級(jí)的業(yè)務(wù)進(jìn)行不同的處理，包括時(shí)延、丟包率、緩沖區(qū)大小等。在這個(gè)統(tǒng)一的網(wǎng)絡(luò)平臺(tái)上，應(yīng)該保證對(duì)于不同的應(yīng)用數(shù)據(jù)根據(jù)其具體要求提供相應(yīng)的網(wǎng)絡(luò)服務(wù)，并能在因故障導(dǎo)致網(wǎng)絡(luò)資源稀缺時(shí)優(yōu)先保證關(guān)鍵性業(yè)務(wù)數(shù)據(jù)的傳輸。其常用的方法是采用RED/WRED算法，在Buffer的使用率超過一定門限后對(duì)部分級(jí)別較低的報(bào)文進(jìn)行早期丟棄，以避免在擁塞時(shí)直接進(jìn)行末尾丟棄引起著名的TCP全局同步問題，同時(shí)保護(hù)級(jí)別較高的業(yè)務(wù)不受擁塞的影響。通過在ACL中使用上述控制域來配置流分類的規(guī)則，每塊接口處理板最多可以支持5120個(gè)ACL結(jié)點(diǎn)。AF業(yè)務(wù)提供一定程度的確保服務(wù)，分配了帶寬和緩沖區(qū)，協(xié)議定義了4個(gè)服務(wù)級(jí)別，從1到4。DiffServ對(duì)聚合的業(yè)務(wù)類提供QoS保證，可擴(kuò)展性好，便于在大規(guī)模網(wǎng)絡(luò)中使用。ISIS/OSPF協(xié)議采用多等級(jí)(LEVEL)/區(qū)域（AREA）模式，具有較好的擴(kuò)展性，而且Level/Area內(nèi)的錯(cuò)誤路由不會(huì)影響全網(wǎng)，大大增加了網(wǎng)絡(luò)的可靠性。 IPv6支持目前IPV6技術(shù)以及設(shè)備還遠(yuǎn)不成熟，大規(guī)模商用還需要很長時(shí)間。在此基礎(chǔ)上，華為還可提供提供VPN管理、QOS策略管理等業(yè)務(wù)管理功能。NE80/NE408還可通過支持IP/MPLS快速重路由、POS線路的自動(dòng)保護(hù)切換（APS/MSP）、虛擬路由冗余協(xié)議（VRRP），進(jìn)一步增強(qiáng)設(shè)備和網(wǎng)絡(luò)的可靠性。 高度靈活的系統(tǒng)資源配置支持華為專利的彈性資源調(diào)配系統(tǒng)技術(shù)，實(shí)現(xiàn)系統(tǒng)背板、交換引擎帶寬、性能的最優(yōu)分布；華為VRP? ，提供豐富的網(wǎng)絡(luò)特性功能。 靈活的組網(wǎng)能力擁有全套廣域網(wǎng)絡(luò)接口和高密度以太網(wǎng)絡(luò)接口，支持城域網(wǎng)的環(huán)組網(wǎng)技術(shù)，能夠應(yīng)對(duì)各種復(fù)雜組網(wǎng)，滿足IP城域網(wǎng)、骨干網(wǎng)、運(yùn)營支撐網(wǎng)、教育網(wǎng)、政務(wù)網(wǎng)、金融網(wǎng)、企業(yè)網(wǎng)以及各種行業(yè)網(wǎng)的組網(wǎng)需求。 NetEngine 80核心路由器是華為公司自主開發(fā)的高端網(wǎng)絡(luò)產(chǎn)品，廣泛應(yīng)用于IP骨干網(wǎng)、IP城域網(wǎng)骨干層以及各種大型IP網(wǎng)絡(luò)的核心位置。杭州市區(qū)46家廳局級(jí)單位外網(wǎng)用戶接入：采用華為Quidway S3526E中端路由交換機(jī)?？晒芾硇栽瓌t：整個(gè)系統(tǒng)的設(shè)備應(yīng)易于管理，易于維護(hù)，操作簡單，易學(xué)，易用，便于進(jìn)行系統(tǒng)配置，在設(shè)備、安全性、數(shù)據(jù)流量、性能等方面得到很好的監(jiān)視和控制，并可以進(jìn)行遠(yuǎn)程管理和故障診斷。開放性和標(biāo)準(zhǔn)化原則：在設(shè)計(jì)時(shí)，要求提供開放性好、標(biāo)準(zhǔn)化程度高的技術(shù)方案；設(shè)備的各種接口滿足開放和標(biāo)準(zhǔn)化原則。省中心用戶接入節(jié)點(diǎn)省中心用戶接入節(jié)點(diǎn)包括多個(gè)部分：省政府大院6幢大樓66家單位外網(wǎng)用戶接入：采用華為Quidway S3526E中端路由交換機(jī)。華為Quidway NE80第五代核心路由器采用交換網(wǎng)+NP處理體系結(jié)構(gòu)， POS接口和GE接口，在所有的接口上實(shí)現(xiàn)IP/MPLS線速轉(zhuǎn)發(fā)，轉(zhuǎn)發(fā)時(shí)延小于30us，單接口板轉(zhuǎn)發(fā)性能達(dá)到6MPPS，完全滿足浙江省政府電子政務(wù)本次工程組網(wǎng)及今后業(yè)務(wù)擴(kuò)容需求。產(chǎn)品特點(diǎn)168。168。 其他產(chǎn)品選擇？？？？？？（請(qǐng)補(bǔ)充） 組網(wǎng)方案特點(diǎn)一、 設(shè)備先進(jìn)性處于業(yè)界領(lǐng)先水平本次組網(wǎng)所選擇的NE80/NE40－8核心路由器采用業(yè)界最高性能的網(wǎng)絡(luò)處理器構(gòu)建，具備業(yè)界其他GSR所不具備的豐富的業(yè)務(wù)特性，并且這些業(yè)務(wù)特性都以線速的處理能力提供，目前代表的是業(yè)界的最高水平；S6506R高端三層交換機(jī)也采用業(yè)界先進(jìn)的SalienceIII ASIC處理引擎，交換容量及端口密度在業(yè)界處于領(lǐng)先水平，特有的彈性資源調(diào)配技術(shù)更可以充分發(fā)揮各業(yè)務(wù)板插槽處理能力。NE80、NE40S6506R、R2631E等產(chǎn)品端口密度高、擴(kuò)容能力強(qiáng)，在不改變網(wǎng)絡(luò)結(jié)構(gòu)的情況下，只增加相應(yīng)的接口模塊就能方便簡單地完成擴(kuò)容。 浙江電子政務(wù)網(wǎng)IP地址分配建議政務(wù)外網(wǎng)所有三層設(shè)備（路由器、交換機(jī)）分配公網(wǎng)IP地址；省政府大院各單位/各廳局單位/省信息中心/其他接入單位的局域網(wǎng)自己規(guī)劃私網(wǎng)地址，在各單位出口利用原有路由器/防火墻分別進(jìn)行NAT，轉(zhuǎn)換為公網(wǎng)地址后接入電子政務(wù)網(wǎng)絡(luò)；部分單位預(yù)留少量IP地址用于公有服務(wù)器。 路由策略 結(jié)合浙江電子政務(wù)網(wǎng)的實(shí)際情況，我們建議：浙江政務(wù)網(wǎng)網(wǎng)絡(luò)作為一個(gè)獨(dú)立的AS，可以分配保留AS號(hào)。在DiffServ的體系結(jié)構(gòu)下，IETF已經(jīng)定義了EF（Expedite Forwarding）、AF1AF4（Assured Forwarding）、BE（Best Effort）等六種標(biāo)準(zhǔn)PHB（Perhop Behavior）及業(yè)務(wù)。其模型如下圖。此外VLAN ID也是參與流分類的重要屬性，只不過是以子接口的形式隱式參與。NE80/NE40完全支持RFC定義的標(biāo)準(zhǔn)的DSCP DS CODE，還支持現(xiàn)在有些網(wǎng)上可能使用的COS。上述算法在完成隊(duì)列調(diào)度的同時(shí)，也通過帶寬分配和保證實(shí)現(xiàn)了流量整形。A. 接入速率承諾(CAR)在數(shù)據(jù)流的進(jìn)口處配置，使用令牌桶技術(shù)，根據(jù)路由器的出口帶寬對(duì)進(jìn)入的數(shù)據(jù)流量加以限制，超過承諾速率的數(shù)據(jù)將被丟棄或標(biāo)以最低的優(yōu)先級(jí)，避免數(shù)據(jù)在路由器內(nèi)擁塞。隨著業(yè)務(wù)與網(wǎng)絡(luò)的集成關(guān)系越來越緊密，網(wǎng)絡(luò)安全在IP網(wǎng)絡(luò)的發(fā)展中居于越來越顯著的地位，對(duì)于IP業(yè)務(wù)的發(fā)展起著非常關(guān)鍵的基礎(chǔ)作用?？臻g(外網(wǎng)、內(nèi)網(wǎng))端到端安全理念以往的安全體系側(cè)重在外網(wǎng)防范上下工夫，而對(duì)內(nèi)網(wǎng)安全考慮很少。華為Quidway S系列交換機(jī)，不僅可以針對(duì)特定的IP地址、網(wǎng)段進(jìn)行包過濾，還可以基于四層以上的信息來進(jìn)行相應(yīng)的包過濾，通過華為公司獨(dú)具特色的Quidway MA5200 EAS設(shè)備甚至可以做到針對(duì)特定用戶的包過濾，從而大大增強(qiáng)整個(gè)網(wǎng)絡(luò)的安全性。數(shù)據(jù)安全措施：關(guān)鍵數(shù)據(jù)采用身份認(rèn)證與授權(quán)，通過訪問權(quán)限限制，加密保存，加密傳輸，同時(shí)網(wǎng)絡(luò)和系統(tǒng)中各種重要數(shù)據(jù)進(jìn)行及時(shí)有效的備份。因此，我們解決辦法是用防火墻來隔離公共服務(wù)器，或用NAT地址轉(zhuǎn)換來實(shí)現(xiàn)。特定情況下可能存在為一些業(yè)務(wù)系統(tǒng)（如VoIP/視訊等）以及一些政府部門之間共享資源建立虛擬專用通道需求，這時(shí)需要考慮VPN設(shè)計(jì)。Quidview具有強(qiáng)大的管理功能，為用戶提供路由器設(shè)備管理、交換機(jī)設(shè)備管理、集群管理、堆疊管理、視頻設(shè)備管理、設(shè)備日志與告警和RMON等功能，同時(shí)還提供了EasyConfig、NSCamp。Quidview支持多種操作系統(tǒng)和網(wǎng)管平臺(tái)示意圖Quidview網(wǎng)管系統(tǒng)可以幫助用戶實(shí)現(xiàn)如下目標(biāo)：1. 提高網(wǎng)絡(luò)運(yùn)行的可靠性；2. 保障網(wǎng)絡(luò)運(yùn)營的服務(wù)質(zhì)量；3. 合理規(guī)劃和調(diào)配網(wǎng)絡(luò)資源；4. 預(yù)測和檢測網(wǎng)絡(luò)故障；5. 集中式管理分布廣泛的網(wǎng)絡(luò)節(jié)點(diǎn)；6. 設(shè)備性能統(tǒng)計(jì)和分析；7. 網(wǎng)絡(luò)流量統(tǒng)計(jì)和計(jì)費(fèi)?？梢詫⑹≈行暮诵墓?jié)點(diǎn)作為MPLS VPN P設(shè)備，各地市核心節(jié)點(diǎn)作為MPLS VPN PE，同時(shí)在省中心增加額外的MPLS VPN PE設(shè)備（如華為NE40或S8016）,滿足大規(guī)模VPN業(yè)務(wù)開展需求。同一單位，分布在不同地方的應(yīng)用安全實(shí)施方案：將不同辦公地方的IP子網(wǎng)/VLAN都劃入單位內(nèi)部網(wǎng)絡(luò) VPN，可實(shí)現(xiàn)安全需求。 系統(tǒng)內(nèi)部服務(wù)器的安全方案系統(tǒng)內(nèi)部服務(wù)器安全要求：1）允許和本系統(tǒng)內(nèi)部其他同一系統(tǒng)單位的服務(wù)器通信2）允許本單位和本系統(tǒng)內(nèi)其他單位的授權(quán)用戶訪問3）不允許其他用戶訪問系統(tǒng)內(nèi)部服務(wù)器安全實(shí)施方案：同一系統(tǒng)內(nèi)部服務(wù)器在同一個(gè)VPN中。網(wǎng)絡(luò)安全措施網(wǎng)絡(luò)安全措施：全網(wǎng)從骨干拓?fù)浣Y(jié)構(gòu)到連接鏈路均應(yīng)考慮路由的備份，采用分層的拓?fù)浣Y(jié)構(gòu)，支持動(dòng)態(tài)迂回路由。隨著網(wǎng)絡(luò)上應(yīng)用的進(jìn)一步增多，隨著網(wǎng)絡(luò)進(jìn)一步深入人們的生活，入侵與反入侵、盜用與反盜用的斗爭也必將升級(jí)。事后跟蹤：通過對(duì)用戶上網(wǎng)端口、時(shí)間、訪問地的記錄，全面提供用戶上網(wǎng)的追溯能力，從而為后期的分析提供第一手的資料。外網(wǎng)上可以使用兩種方式支持CoS：在MPLS的頭部中承載優(yōu)先級(jí)信息，外網(wǎng)中的每個(gè)LSR在出接口上根據(jù)這些信息采用不同的隊(duì)列處理具有不同優(yōu)先級(jí)的流。B. 根據(jù)通訊協(xié)議對(duì)數(shù)據(jù)流進(jìn)行分類，例如NETBIOS、IPX、IP等。對(duì)于時(shí)延要求嚴(yán)格的實(shí)時(shí)業(yè)務(wù)等，NE80/NE40可以利用內(nèi)部特有的低時(shí)延調(diào)度算法滿足業(yè)務(wù)要求；對(duì)于帶寬要求的業(yè)務(wù)，NE80/NE40的帶寬保證算法可以實(shí)現(xiàn)嚴(yán)格的帶寬保證。DSCP標(biāo)記/重標(biāo)記標(biāo)記/重標(biāo)記是是流分類之后的動(dòng)作之一。 華為高端數(shù)據(jù)產(chǎn)品QOS實(shí)現(xiàn)機(jī)制華為NE80、NE40均能夠在QOS條件下仍然保持線速的轉(zhuǎn)發(fā)能力，從而為全網(wǎng)實(shí)現(xiàn)QOS創(chuàng)造了不可或缺的條件。這種機(jī)制為用戶提供了虛擬專線，其QoS可同真正的專線相媲美。 體系結(jié)構(gòu)的選擇為了在Internet上提供QoS，IETF提出了許多服務(wù)模型和協(xié)議，其中比較突出的有IntServ (Integrated Services)模型和DiffServ (Differentiated Services)模型。BGP作為最成熟的域間路由協(xié)議，具有非常豐富的控制策略，省政府可根據(jù)業(yè)務(wù)類型、帶寬等多種因素控制電子政務(wù)省網(wǎng)與國家骨干網(wǎng)之間的流量在兩條鏈路上分擔(dān)。建議浙江電子政務(wù)網(wǎng)劃為一個(gè)自治域，并采用保留的自治域號(hào)。對(duì)重要的路由協(xié)議（OSPF，ISIS，RIP、OSPF等）也提供多種驗(yàn)證方法（明文驗(yàn)證、MDHMACMD5）。168。 Quidway S6500系列以太網(wǎng)交換機(jī)是面向IP城域網(wǎng)、大型企業(yè)網(wǎng)及園區(qū)網(wǎng)用戶的系列大容量、高密度、模塊化的二/三層線速以太網(wǎng)交換產(chǎn)品，主要可作為企業(yè)的核心交換機(jī)或城域網(wǎng)區(qū)域匯聚層交換機(jī)。168。核心層設(shè)