【文章內(nèi)容簡介】 在具體分配地址時(shí)使用以下技術(shù)手段或方法： 1） 采用可變長度的掩碼技術(shù) (VLSM)。 2） 點(diǎn)對點(diǎn)的廣域網(wǎng)線路連接，采用 30 位的地址掩碼 ,最大限度節(jié)約地址資源；針對各個(gè)湖南工業(yè)職業(yè)技術(shù)學(xué)院 網(wǎng)絡(luò)技術(shù)專業(yè)教學(xué)資源庫 7 局域網(wǎng) 的大小，可分別采用 2 2 2 28 位長的掩碼，既節(jié)約地址，又便于以后擴(kuò)充。 3） 局域網(wǎng)、廣域網(wǎng)地址采用不同的地址段，并適當(dāng)留有余地，便于網(wǎng)絡(luò)擴(kuò)充時(shí)能夠使用連續(xù)地址。 4） 各段地址盡可能在各地州用于相同的網(wǎng)絡(luò)。 管理和互連地址規(guī)劃 從省中心分配的 59 地址段中劃分一段作為管理和互連地址段， 靳安市 政務(wù)外網(wǎng)所分配的地址段為 ，共 16 個(gè) C 類地址段，我們使用其中第 1 個(gè) C 類地址段作為管理地址段，第 2 個(gè) C 類地址段作為互連地址段。 管理地址分配 如 表 1 所示。 表 1 管理地址分配表 設(shè)備 端口 ip 地址 備注 核心路由器 1 Loopback0 用于全局路由 Loopback1 用于管理 VPN 核心路由器 2 Loopback0 用于全局路由 Loopback1 用于管理 VPN 市政府匯聚交換機(jī) Loopback0 用于全局路由 Loopback1 用于管理 VPN 市委匯聚交換機(jī) Loopback0 用于全局路由 Loopback1 用于管理 VPN 河?xùn)|匯聚交換機(jī) Loopback0 用于全局路由 Loopback1 用于管理 VPN － 63 預(yù)留 市政府匯聚節(jié)點(diǎn)接入交換機(jī) VLAN2 市委匯聚節(jié)點(diǎn)接入交換機(jī) VLAN2 河?xùn)|匯聚節(jié)點(diǎn)接入交換機(jī) VLAN2 互連地址分配 如 表 2 所示。 表 2 互連地址分配表 設(shè)備 IP 地址 備注 核心路由器 1核心路由器 2 核心路由器 1市政府匯聚交換機(jī) 核心路由器 2市政府匯聚交換機(jī) 核心路由器 1市委匯聚交換機(jī) 核心路由器 2市委匯聚交換機(jī) 核心 路由器 1河?xùn)|匯聚交換機(jī) 湖南工業(yè)職業(yè)技術(shù)學(xué)院 網(wǎng)絡(luò)技術(shù)專業(yè)教學(xué)資源庫 8 核心路由器 2河?xùn)|匯聚交換機(jī) 核心路由器 1出口防火墻 防火墻 1外部數(shù)據(jù)中心 1 防火墻 2外部數(shù)據(jù)中心 2 核心路由器 1內(nèi)部數(shù)據(jù)中心防火墻 1 核心路由器 2內(nèi)部數(shù)據(jù)中心防火墻 2 內(nèi)部數(shù)據(jù)中心防火墻 1交換機(jī) 1 內(nèi)部數(shù)據(jù)中心防火墻 2交換機(jī) 2 防火墻－負(fù)載均衡 核心路由器 1省政務(wù)外網(wǎng) 核心路由器 2省政務(wù)外網(wǎng) 預(yù)留 用戶地址規(guī)劃 省中心對各地州的 IP 地址做了統(tǒng)一的規(guī)劃和分配， 靳安市 政務(wù)外網(wǎng)所分配的地址段為，共 16 個(gè) C 類地址段，內(nèi)部和外部數(shù)據(jù)中心使用 1 個(gè) C 類 地址段，用戶地址使用后 14 個(gè) C 類地址段，分配原則如下： 內(nèi)部數(shù)據(jù)中心和外部數(shù)據(jù)中心各分配 128 個(gè)地址 內(nèi)部數(shù)據(jù)中心： 外部數(shù)據(jù)中心： 預(yù)留： 橫向 VPN 分配 1 個(gè) C 類地址段，每個(gè)匯聚點(diǎn)分配 64 個(gè)地址 市政府匯聚點(diǎn)： 市委匯聚點(diǎn)： 河?xùn)|匯聚點(diǎn)： 預(yù)留： 各市直單位縱向 VPN 分配 59 段 IP 地址，原則上為每個(gè)市直單位分配 8 個(gè)地址。縱向 VPN用戶使用私網(wǎng) 172地址段，由匯聚交換機(jī)將這些 172地址段轉(zhuǎn)換為 59地址后在政務(wù)網(wǎng)上傳播。由于初期各個(gè)單位對縱向 VPN 的需求不確定，因此我們按匯聚點(diǎn)預(yù)分配 59 地址段，一旦某個(gè)單位有相應(yīng)的需求時(shí)，再從預(yù)分配的地址段中進(jìn)行地址分配。 市委匯聚點(diǎn)單位縱向 VPN 地址段： 市政府匯聚點(diǎn)單位縱向 VPN 地址段： 河?xùn)|匯聚點(diǎn)單位縱向 VPN 地址段： 考慮到 IP 地址數(shù)量有限，對于各單位訪 問 Inter 的的公網(wǎng) VPN 則由市政府從 10 地址段中進(jìn)行統(tǒng)一分配，原則上每個(gè)單位分配一個(gè) C 類地址段，用戶訪問 Inter 時(shí)，由防火墻對 10 地址段進(jìn)行地址轉(zhuǎn)換，訪問橫向 VPN 和內(nèi)部數(shù)據(jù)中心時(shí)，由匯聚設(shè)備將這些 10 地址轉(zhuǎn)換為政務(wù)外網(wǎng) 59 段地址后在政務(wù)外網(wǎng)上傳播。 湖南工業(yè)職業(yè)技術(shù)學(xué)院 網(wǎng)絡(luò)技術(shù)專業(yè)教學(xué)資源庫 9 VLAN 規(guī)劃 由于每個(gè)單位需要劃分為縱向 VPN、橫向 VPN 和公網(wǎng) VPN，加上管理 VLAN，我們必須為每個(gè)單位規(guī)劃 4 個(gè) VLAN，雖然匯聚交換機(jī)之間二層是隔離的， VLAN 資源可以重復(fù)使用，但是考慮到管理的方便，出了管理 VLAN 和橫向 VLAN 外 ，我們對所有單位的縱向 VLAN 和公網(wǎng) VLAN資源應(yīng)進(jìn)行全網(wǎng)統(tǒng)一規(guī)劃，不使用重復(fù)的 VLAN 號碼。 管理 VLAN： VLAN2 橫向 VLAN： VLAN3 縱向 VLAN：從 VLAN 301 開始分配，每個(gè)單位 1 個(gè) VLAN 公網(wǎng) VLAN：從 VLAN 101 開始分配，每個(gè)單位 1 個(gè) VLAN 主機(jī)名規(guī)劃 主機(jī)名規(guī)劃 如 表 3 所示。 表 3 主機(jī)名規(guī)劃表 設(shè)備 主機(jī)名 備注 核心路由器 1 ZWWWC1 核心路由器 2 ZWWWC2 市政府匯聚交換機(jī) ZWWWSZFD1 市委匯聚交換機(jī) ZWWWSWD2 河?xùn)|匯聚交換機(jī) ZWWWHDD1 市政府匯聚節(jié)點(diǎn)接入交換機(jī) 參見附件 1 市委匯聚節(jié)點(diǎn)接入交換機(jī) 參見附件 1 河?xùn)|匯聚節(jié)點(diǎn)接入交換機(jī) 參見附件 1 IGP 路由規(guī)劃 考慮到長沙電子政務(wù)外網(wǎng)的網(wǎng)絡(luò)規(guī)模和主備線路需求，尤其從網(wǎng)絡(luò)結(jié)構(gòu)上來看，在核心層和匯聚層采用動態(tài)路由協(xié)議，實(shí)現(xiàn)主備路由的自動切換應(yīng)當(dāng)是比較合理的。核心層和匯聚層所有 3 層設(shè)備都能夠很好的支持 TCP/IP 的標(biāo)準(zhǔn)鏈路狀態(tài)路由協(xié)議 OSPF，因此我們在核心層和匯聚層使用 OSPF 路由協(xié)議，實(shí)現(xiàn)流量的負(fù)載均衡和鏈路的自動切換。 對于 靳 安市 政務(wù)內(nèi)網(wǎng)的 IGP 規(guī)劃，有兩種選擇： 第一種模式： 與省政務(wù)外網(wǎng)運(yùn)行同一個(gè) OSPF 進(jìn)程，采用多區(qū)域（ AREA）模式，省網(wǎng)運(yùn)行于 AREA 0， 靳安市 政務(wù)外網(wǎng)運(yùn)行于 AREA 731。 第二種模式： 與省政務(wù)外網(wǎng)運(yùn)行不同的 OSPF 進(jìn)程，且不需任何 OSPF 的注入，即兩張網(wǎng)不交換路由信息，省、市之間的路由互通依靠基于 MPLS VPN 的靜態(tài)路由來完成。 結(jié)合 靳安市 政務(wù)外網(wǎng) MPLS VPN 和 BGP 的規(guī)劃，我們采用第二種模式。 對于互聯(lián)網(wǎng)接入?yún)^(qū)、外部數(shù)據(jù)中心、綜合安全管理區(qū)、內(nèi)部數(shù)據(jù)中心等節(jié)點(diǎn)，由于是連接至防火墻等安全設(shè)備， 我們使用靜態(tài)路由實(shí)現(xiàn)網(wǎng)絡(luò)的聯(lián)通性。 路由 設(shè)計(jì) 如 圖 5 所示。 湖南工業(yè)職業(yè)技術(shù)學(xué)院 網(wǎng)絡(luò)技術(shù)專業(yè)教學(xué)資源庫 10 圖 5 靳安市 電子政務(wù)外網(wǎng) 路由設(shè)計(jì) MPLS VPN 規(guī)劃 1． BGP 連接規(guī)劃 此處 設(shè)計(jì) 的 BGP 連接規(guī)劃主要是指 靳安市 電子政務(wù)網(wǎng)絡(luò)平臺內(nèi)部 基于 MPLS VPN 的 MPBGP的規(guī)劃。 在 BGP 路由協(xié)議中，運(yùn)行 BGP 路由協(xié)議的網(wǎng)絡(luò)設(shè)備可以建立兩種鄰居關(guān)系，一種為 EBGP鄰居，另一種為 IBGP 鄰居，考慮到整個(gè) MPLS VPN 組網(wǎng)的方式和以后維護(hù)上的簡單與便利，不建議使用跨域的 MPLS VPN，也就是說在網(wǎng)絡(luò)中不會存在 EBGP 鄰居關(guān)系，因此下面我們 在只有 IBGP 的情況下對 BGP 規(guī)劃進(jìn)行分析。 由于 靳安市 電子政務(wù)網(wǎng)絡(luò)平臺是一個(gè)基于 MPBGP 的 MPLS VPN 平臺，并且與省電子政務(wù)網(wǎng)絡(luò)之間只有直連路由，不會互相交換普通路由信息，為了使省、市之間的 VRF 互聯(lián)互通，我們采用靜態(tài)路由的方式進(jìn)行聯(lián)接。 這樣一來，在 靳安市 電子政務(wù)網(wǎng)絡(luò)平臺中的設(shè)備之間實(shí)現(xiàn) VPN 互通時(shí)，在 BGP 鄰居方面只可能是形成 IBGP 鄰居。按照 BGP 協(xié)議的要求， IBGP 鄰居必須保證是全連通的，即：任意兩臺路由器之間都必須配置鄰居關(guān)系。如果這樣實(shí)施會導(dǎo)致 N 平方問題，為了解決這個(gè)問題，我們使用路 由反射器技術(shù)，減少 IBGP 鄰居關(guān)系的建立，減輕協(xié)議本身對網(wǎng)絡(luò)資源的占用。具體規(guī)劃原則如下： 路由反射器（ RR）： RR 為 靳安市 電子政務(wù)平臺中的兩臺核心路由器（ SR88），這兩臺路由器做為 靳安市 電子政務(wù)網(wǎng)絡(luò)平臺中的 RR。各匯聚設(shè)備 S9505 等作為此 RR 的 Client，這些匯聚設(shè)備與兩臺 SR88 形成一個(gè) Cluster。 湖南工業(yè)職業(yè)技術(shù)學(xué)院 網(wǎng)絡(luò)技術(shù)專業(yè)教學(xué)資源庫 11 需要說明的是，這兩臺 SR88 在 靳安市 電子政務(wù)平臺內(nèi)部扮演 P 路由器的角色，而根據(jù)省政府信息中心的建議，這兩臺路由器與長沙匯聚路由器 NE40 連接時(shí)暫時(shí)采用互為 CE 的連接方式，即它們通過靜態(tài)路由協(xié)議互通 ；可以將 NE40 看作是 SR88 的 CE，同時(shí)也可將 SR88 看作是 NE40 的 CE，因此在長沙匯聚路由器 NE40 上并不需要啟用 BGP 協(xié)議。另外，由于采用了靜態(tài)路由，兩臺 SR88 與 NE40 之間的網(wǎng)絡(luò)連接不能實(shí)現(xiàn)動態(tài)備份，當(dāng)一臺 SR88 與 NE40 之間的連接中斷后，只能通過手工配置的方式將這臺 SR88 上的靜態(tài)路由添加到另一臺 SR88 上。待省政務(wù)外網(wǎng)平臺進(jìn)行與地市連接統(tǒng)一規(guī)劃完成后，連接方式可以靈活的根據(jù)省網(wǎng)的規(guī)劃進(jìn)行修改。 2． VRF規(guī)劃 每個(gè) 靳安市 政府職能部門，建立兩個(gè) VPN： 縱向 VPN：規(guī)劃為各職能部門的垂直 部門之間訪問； Inter VPN：規(guī)劃為各職能部門進(jìn)行 Inter 的訪問 。 為全網(wǎng)建立一個(gè)橫向 VPN，規(guī)劃為各職能部門的兄弟部門之間的訪問 。 為全網(wǎng)建立一個(gè)管理 VPN，規(guī)劃為網(wǎng)絡(luò)管理使用，將此 VPN RT 值與內(nèi)網(wǎng)數(shù)據(jù)中心 VPN RT值互相注入，可實(shí)現(xiàn)第三方網(wǎng)管軟件對網(wǎng)絡(luò)設(shè)備和內(nèi)網(wǎng)數(shù)據(jù)中心服務(wù)器的管理 。 在 靳安市 政府信息中心，除上面四個(gè) VPN 外，需要建立如下 VPN： 公網(wǎng)出口 VPN： 為 靳安市 政務(wù)網(wǎng) Inter 出口建立一個(gè) VPN，該 VPN 與各職能部門的Inter VPN 互相引入，從而實(shí) 現(xiàn)各職能部門上 Inter 的需求，同時(shí)實(shí)現(xiàn)各職能部門Inter VPN 用戶的隔離； 內(nèi)部數(shù)據(jù)中心 VPN： 為 靳安市 政務(wù)網(wǎng)內(nèi)部數(shù)據(jù)中心設(shè)立的 VPN，通過這個(gè) VPN 與其他部門的路由標(biāo)簽互相引入，實(shí)現(xiàn) 靳安市 電子政務(wù)平臺相關(guān)資源對所有職能部門的共享。由于橫向VPN 實(shí)現(xiàn)的功能和內(nèi)部數(shù)據(jù)中心 VPN 的功能類似，也可將橫向 VPN 的路由引入到內(nèi)部數(shù)據(jù)中心 VPN，將橫向 VPN 的服務(wù)器在邏輯上納入到內(nèi)部數(shù)據(jù)中心。 3． RT 規(guī)劃 市委匯聚點(diǎn) 如表 4 所示。 表 4 市委匯聚點(diǎn) 規(guī)劃表 序號 單位名稱 地 址 VRF 名 稱 RT 1 中共 靳安市 紀(jì)律檢查委員會 (市監(jiān)察局 ) 市委辦公大樓（已接入） ASN:1900 ASN:1911 2 市委辦公廳 市委辦公大樓（已接入） ASN:2020 ASN:2020 3 市委組織部 市委辦公大樓（已接入） ASN:2100 ASN:2111 4 市委宣傳部 市委辦公大樓（已接入） ASN:2200 ASN:2211 5 市委統(tǒng)一戰(zhàn)線工作部 市委辦公大樓（已接入） ASN:2300 ASN:2311 6 市委政法委員會 (市綜治辦 ) 市委辦公大樓（已接入） ASN:2400 ASN:2411 湖南工業(yè)職業(yè)技術(shù)學(xué)院 網(wǎng)絡(luò)技術(shù)專業(yè)教學(xué)資源庫 12 7 市委政策研究室 市委辦公大樓（已接入） ASN:2500 ASN:2511 8 市機(jī)構(gòu)編制委員會辦公室 市委辦公大樓（已接入） ASN:2600 ASN:2611 9 市直屬機(jī)關(guān)工作委員會 市委辦公大樓（已接入） ASN:2700 ASN:2711 10 市人民政府臺灣事務(wù)工作辦公室 市委辦公大樓（已接入） ASN:2800 ASN:2811 11 610 辦公室 市委辦公大樓（已接入） ASN:2900 ASN:2911 12 市接待辦公室 市委辦公大樓 （已接入） ASN:3000 ASN:3011 13 市委黨史研究室 市委辦公大樓（已接入） ASN:3100 ASN:3111 14 市委理論教育講師團(tuán) 市委辦公大樓（已接入） ASN:3200 ASN:3211 15 市新聞出版局（版權(quán)局） 市委辦公大樓（已接入） ASN:3300 ASN:3311 16 市人民政府地方志辦公室 市委辦公大樓（已接入） ASN:3400 ASN:3411 17 市社會科學(xué)界聯(lián)合會 市委辦公大樓（已接入） ASN:3500 ASN:3511 市政 府匯聚點(diǎn) 如表 5 所示。 表 5 市政府匯聚點(diǎn)表 序號 單位名稱 地 址 VRF 名稱 RT 1 市政府辦公廳 市政府辦公大樓（已接入） ASN:3600 ASN:36