【文章內容簡介】 在具體分配地址時使用以下技術手段或方法： 1） 采用可變長度的掩碼技術 (VLSM)。 2） 點對點的廣域網線路連接，采用 30 位的地址掩碼 ,最大限度節(jié)約地址資源；針對各個湖南工業(yè)職業(yè)技術學院 網絡技術專業(yè)教學資源庫 7 局域網 的大小，可分別采用 2 2 2 28 位長的掩碼，既節(jié)約地址，又便于以后擴充。 3） 局域網、廣域網地址采用不同的地址段，并適當留有余地，便于網絡擴充時能夠使用連續(xù)地址。 4） 各段地址盡可能在各地州用于相同的網絡。 管理和互連地址規(guī)劃 從省中心分配的 59 地址段中劃分一段作為管理和互連地址段， 靳安市 政務外網所分配的地址段為 ，共 16 個 C 類地址段，我們使用其中第 1 個 C 類地址段作為管理地址段，第 2 個 C 類地址段作為互連地址段。 管理地址分配 如 表 1 所示。 表 1 管理地址分配表 設備 端口 ip 地址 備注 核心路由器 1 Loopback0 用于全局路由 Loopback1 用于管理 VPN 核心路由器 2 Loopback0 用于全局路由 Loopback1 用于管理 VPN 市政府匯聚交換機 Loopback0 用于全局路由 Loopback1 用于管理 VPN 市委匯聚交換機 Loopback0 用于全局路由 Loopback1 用于管理 VPN 河東匯聚交換機 Loopback0 用于全局路由 Loopback1 用于管理 VPN － 63 預留 市政府匯聚節(jié)點接入交換機 VLAN2 市委匯聚節(jié)點接入交換機 VLAN2 河東匯聚節(jié)點接入交換機 VLAN2 互連地址分配 如 表 2 所示。 表 2 互連地址分配表 設備 IP 地址 備注 核心路由器 1核心路由器 2 核心路由器 1市政府匯聚交換機 核心路由器 2市政府匯聚交換機 核心路由器 1市委匯聚交換機 核心路由器 2市委匯聚交換機 核心 路由器 1河東匯聚交換機 湖南工業(yè)職業(yè)技術學院 網絡技術專業(yè)教學資源庫 8 核心路由器 2河東匯聚交換機 核心路由器 1出口防火墻 防火墻 1外部數(shù)據(jù)中心 1 防火墻 2外部數(shù)據(jù)中心 2 核心路由器 1內部數(shù)據(jù)中心防火墻 1 核心路由器 2內部數(shù)據(jù)中心防火墻 2 內部數(shù)據(jù)中心防火墻 1交換機 1 內部數(shù)據(jù)中心防火墻 2交換機 2 防火墻－負載均衡 核心路由器 1省政務外網 核心路由器 2省政務外網 預留 用戶地址規(guī)劃 省中心對各地州的 IP 地址做了統(tǒng)一的規(guī)劃和分配， 靳安市 政務外網所分配的地址段為，共 16 個 C 類地址段，內部和外部數(shù)據(jù)中心使用 1 個 C 類 地址段，用戶地址使用后 14 個 C 類地址段，分配原則如下： 內部數(shù)據(jù)中心和外部數(shù)據(jù)中心各分配 128 個地址 內部數(shù)據(jù)中心： 外部數(shù)據(jù)中心： 預留： 橫向 VPN 分配 1 個 C 類地址段，每個匯聚點分配 64 個地址 市政府匯聚點： 市委匯聚點： 河東匯聚點： 預留： 各市直單位縱向 VPN 分配 59 段 IP 地址，原則上為每個市直單位分配 8 個地址?？v向 VPN用戶使用私網 172地址段，由匯聚交換機將這些 172地址段轉換為 59地址后在政務網上傳播。由于初期各個單位對縱向 VPN 的需求不確定，因此我們按匯聚點預分配 59 地址段，一旦某個單位有相應的需求時，再從預分配的地址段中進行地址分配。 市委匯聚點單位縱向 VPN 地址段： 市政府匯聚點單位縱向 VPN 地址段： 河東匯聚點單位縱向 VPN 地址段： 考慮到 IP 地址數(shù)量有限，對于各單位訪 問 Inter 的的公網 VPN 則由市政府從 10 地址段中進行統(tǒng)一分配，原則上每個單位分配一個 C 類地址段，用戶訪問 Inter 時，由防火墻對 10 地址段進行地址轉換，訪問橫向 VPN 和內部數(shù)據(jù)中心時，由匯聚設備將這些 10 地址轉換為政務外網 59 段地址后在政務外網上傳播。 湖南工業(yè)職業(yè)技術學院 網絡技術專業(yè)教學資源庫 9 VLAN 規(guī)劃 由于每個單位需要劃分為縱向 VPN、橫向 VPN 和公網 VPN，加上管理 VLAN，我們必須為每個單位規(guī)劃 4 個 VLAN，雖然匯聚交換機之間二層是隔離的， VLAN 資源可以重復使用，但是考慮到管理的方便，出了管理 VLAN 和橫向 VLAN 外 ，我們對所有單位的縱向 VLAN 和公網 VLAN資源應進行全網統(tǒng)一規(guī)劃，不使用重復的 VLAN 號碼。 管理 VLAN： VLAN2 橫向 VLAN： VLAN3 縱向 VLAN：從 VLAN 301 開始分配，每個單位 1 個 VLAN 公網 VLAN：從 VLAN 101 開始分配，每個單位 1 個 VLAN 主機名規(guī)劃 主機名規(guī)劃 如 表 3 所示。 表 3 主機名規(guī)劃表 設備 主機名 備注 核心路由器 1 ZWWWC1 核心路由器 2 ZWWWC2 市政府匯聚交換機 ZWWWSZFD1 市委匯聚交換機 ZWWWSWD2 河東匯聚交換機 ZWWWHDD1 市政府匯聚節(jié)點接入交換機 參見附件 1 市委匯聚節(jié)點接入交換機 參見附件 1 河東匯聚節(jié)點接入交換機 參見附件 1 IGP 路由規(guī)劃 考慮到長沙電子政務外網的網絡規(guī)模和主備線路需求，尤其從網絡結構上來看，在核心層和匯聚層采用動態(tài)路由協(xié)議，實現(xiàn)主備路由的自動切換應當是比較合理的。核心層和匯聚層所有 3 層設備都能夠很好的支持 TCP/IP 的標準鏈路狀態(tài)路由協(xié)議 OSPF，因此我們在核心層和匯聚層使用 OSPF 路由協(xié)議，實現(xiàn)流量的負載均衡和鏈路的自動切換。 對于 靳 安市 政務內網的 IGP 規(guī)劃，有兩種選擇： 第一種模式： 與省政務外網運行同一個 OSPF 進程，采用多區(qū)域（ AREA）模式，省網運行于 AREA 0， 靳安市 政務外網運行于 AREA 731。 第二種模式： 與省政務外網運行不同的 OSPF 進程，且不需任何 OSPF 的注入，即兩張網不交換路由信息，省、市之間的路由互通依靠基于 MPLS VPN 的靜態(tài)路由來完成。 結合 靳安市 政務外網 MPLS VPN 和 BGP 的規(guī)劃，我們采用第二種模式。 對于互聯(lián)網接入區(qū)、外部數(shù)據(jù)中心、綜合安全管理區(qū)、內部數(shù)據(jù)中心等節(jié)點，由于是連接至防火墻等安全設備， 我們使用靜態(tài)路由實現(xiàn)網絡的聯(lián)通性。 路由 設計 如 圖 5 所示。 湖南工業(yè)職業(yè)技術學院 網絡技術專業(yè)教學資源庫 10 圖 5 靳安市 電子政務外網 路由設計 MPLS VPN 規(guī)劃 1． BGP 連接規(guī)劃 此處 設計 的 BGP 連接規(guī)劃主要是指 靳安市 電子政務網絡平臺內部 基于 MPLS VPN 的 MPBGP的規(guī)劃。 在 BGP 路由協(xié)議中，運行 BGP 路由協(xié)議的網絡設備可以建立兩種鄰居關系，一種為 EBGP鄰居，另一種為 IBGP 鄰居，考慮到整個 MPLS VPN 組網的方式和以后維護上的簡單與便利，不建議使用跨域的 MPLS VPN，也就是說在網絡中不會存在 EBGP 鄰居關系，因此下面我們 在只有 IBGP 的情況下對 BGP 規(guī)劃進行分析。 由于 靳安市 電子政務網絡平臺是一個基于 MPBGP 的 MPLS VPN 平臺，并且與省電子政務網絡之間只有直連路由，不會互相交換普通路由信息，為了使省、市之間的 VRF 互聯(lián)互通，我們采用靜態(tài)路由的方式進行聯(lián)接。 這樣一來，在 靳安市 電子政務網絡平臺中的設備之間實現(xiàn) VPN 互通時，在 BGP 鄰居方面只可能是形成 IBGP 鄰居。按照 BGP 協(xié)議的要求， IBGP 鄰居必須保證是全連通的，即：任意兩臺路由器之間都必須配置鄰居關系。如果這樣實施會導致 N 平方問題，為了解決這個問題，我們使用路 由反射器技術，減少 IBGP 鄰居關系的建立，減輕協(xié)議本身對網絡資源的占用。具體規(guī)劃原則如下： 路由反射器（ RR）： RR 為 靳安市 電子政務平臺中的兩臺核心路由器（ SR88），這兩臺路由器做為 靳安市 電子政務網絡平臺中的 RR。各匯聚設備 S9505 等作為此 RR 的 Client，這些匯聚設備與兩臺 SR88 形成一個 Cluster。 湖南工業(yè)職業(yè)技術學院 網絡技術專業(yè)教學資源庫 11 需要說明的是，這兩臺 SR88 在 靳安市 電子政務平臺內部扮演 P 路由器的角色，而根據(jù)省政府信息中心的建議，這兩臺路由器與長沙匯聚路由器 NE40 連接時暫時采用互為 CE 的連接方式，即它們通過靜態(tài)路由協(xié)議互通 ；可以將 NE40 看作是 SR88 的 CE，同時也可將 SR88 看作是 NE40 的 CE，因此在長沙匯聚路由器 NE40 上并不需要啟用 BGP 協(xié)議。另外，由于采用了靜態(tài)路由，兩臺 SR88 與 NE40 之間的網絡連接不能實現(xiàn)動態(tài)備份，當一臺 SR88 與 NE40 之間的連接中斷后，只能通過手工配置的方式將這臺 SR88 上的靜態(tài)路由添加到另一臺 SR88 上。待省政務外網平臺進行與地市連接統(tǒng)一規(guī)劃完成后，連接方式可以靈活的根據(jù)省網的規(guī)劃進行修改。 2． VRF規(guī)劃 每個 靳安市 政府職能部門，建立兩個 VPN： 縱向 VPN：規(guī)劃為各職能部門的垂直 部門之間訪問； Inter VPN：規(guī)劃為各職能部門進行 Inter 的訪問 。 為全網建立一個橫向 VPN，規(guī)劃為各職能部門的兄弟部門之間的訪問 。 為全網建立一個管理 VPN，規(guī)劃為網絡管理使用，將此 VPN RT 值與內網數(shù)據(jù)中心 VPN RT值互相注入，可實現(xiàn)第三方網管軟件對網絡設備和內網數(shù)據(jù)中心服務器的管理 。 在 靳安市 政府信息中心，除上面四個 VPN 外，需要建立如下 VPN： 公網出口 VPN： 為 靳安市 政務網 Inter 出口建立一個 VPN，該 VPN 與各職能部門的Inter VPN 互相引入，從而實 現(xiàn)各職能部門上 Inter 的需求，同時實現(xiàn)各職能部門Inter VPN 用戶的隔離； 內部數(shù)據(jù)中心 VPN： 為 靳安市 政務網內部數(shù)據(jù)中心設立的 VPN，通過這個 VPN 與其他部門的路由標簽互相引入，實現(xiàn) 靳安市 電子政務平臺相關資源對所有職能部門的共享。由于橫向VPN 實現(xiàn)的功能和內部數(shù)據(jù)中心 VPN 的功能類似，也可將橫向 VPN 的路由引入到內部數(shù)據(jù)中心 VPN，將橫向 VPN 的服務器在邏輯上納入到內部數(shù)據(jù)中心。 3． RT 規(guī)劃 市委匯聚點 如表 4 所示。 表 4 市委匯聚點 規(guī)劃表 序號 單位名稱 地 址 VRF 名 稱 RT 1 中共 靳安市 紀律檢查委員會 (市監(jiān)察局 ) 市委辦公大樓（已接入） ASN:1900 ASN:1911 2 市委辦公廳 市委辦公大樓（已接入） ASN:2020 ASN:2020 3 市委組織部 市委辦公大樓（已接入） ASN:2100 ASN:2111 4 市委宣傳部 市委辦公大樓（已接入） ASN:2200 ASN:2211 5 市委統(tǒng)一戰(zhàn)線工作部 市委辦公大樓（已接入） ASN:2300 ASN:2311 6 市委政法委員會 (市綜治辦 ) 市委辦公大樓（已接入） ASN:2400 ASN:2411 湖南工業(yè)職業(yè)技術學院 網絡技術專業(yè)教學資源庫 12 7 市委政策研究室 市委辦公大樓（已接入） ASN:2500 ASN:2511 8 市機構編制委員會辦公室 市委辦公大樓（已接入） ASN:2600 ASN:2611 9 市直屬機關工作委員會 市委辦公大樓（已接入） ASN:2700 ASN:2711 10 市人民政府臺灣事務工作辦公室 市委辦公大樓（已接入） ASN:2800 ASN:2811 11 610 辦公室 市委辦公大樓（已接入） ASN:2900 ASN:2911 12 市接待辦公室 市委辦公大樓 （已接入） ASN:3000 ASN:3011 13 市委黨史研究室 市委辦公大樓（已接入） ASN:3100 ASN:3111 14 市委理論教育講師團 市委辦公大樓（已接入） ASN:3200 ASN:3211 15 市新聞出版局（版權局） 市委辦公大樓（已接入） ASN:3300 ASN:3311 16 市人民政府地方志辦公室 市委辦公大樓（已接入） ASN:3400 ASN:3411 17 市社會科學界聯(lián)合會 市委辦公大樓（已接入） ASN:3500 ASN:3511 市政 府匯聚點 如表 5 所示。 表 5 市政府匯聚點表 序號 單位名稱 地 址 VRF 名稱 RT 1 市政府辦公廳 市政府辦公大樓（已接入） ASN:3600 ASN:36