【文章內(nèi)容簡(jiǎn)介】 市區(qū)各廳局單位接入，每單位考慮分配4個(gè)公有地址，需要447＝188個(gè)公有IP地址，考慮今后擴(kuò)充申請(qǐng)1個(gè)C類地址；39家次級(jí)單位用戶接入，每單位分配4個(gè)公有地址，需要439＝156個(gè)公有IP地址，考慮今后擴(kuò)充申請(qǐng)1個(gè)C類地址；88家通過(guò)撥號(hào)接入的企業(yè)每家分配1個(gè)公網(wǎng)IP地址。這樣，初步估算本期電子政務(wù)工程總共需要2＋+2+1+1+=7個(gè)C的公網(wǎng)IP地址（如果不考慮今后各地市電子政務(wù)網(wǎng)建設(shè)設(shè)備公有地址只需6個(gè)C類地址），具體地址申請(qǐng)及分配情況需要根據(jù)浙江省政務(wù)IP地址申請(qǐng)實(shí)際情況確定。 IPv6支持目前IPV6技術(shù)以及設(shè)備還遠(yuǎn)不成熟，大規(guī)模商用還需要很長(zhǎng)時(shí)間。本次工程配置的華為NE80/NE40第五代核心路由器基于網(wǎng)絡(luò)處理器體系架構(gòu)，均預(yù)留IPV6處理接口。因此當(dāng)未來(lái)網(wǎng)絡(luò)要求升級(jí)至IPV6網(wǎng)絡(luò)時(shí)均可通過(guò)軟件升級(jí)實(shí)現(xiàn)。而網(wǎng)絡(luò)中其他交換機(jī)可以通過(guò)雙棧等隧道方式支持IPV6。 路由協(xié)議及策略 域間路由協(xié)議選擇(EGP)由于政務(wù)網(wǎng)與Internet隔離，本期工程基本不涉及域間路由協(xié)議設(shè)計(jì)。今后如果涉及與其他省政務(wù)網(wǎng)聯(lián)通，考慮采用成熟的BGP4作為域間路由協(xié)議。因?yàn)橐话銇?lái)講，各省電子政務(wù)網(wǎng)被劃分為不同的AS，省網(wǎng)出口路由器與骨干網(wǎng)之間運(yùn)行EBGP，出口路由器之間運(yùn)行IBGP。BGP作為最成熟的域間路由協(xié)議，具有非常豐富的控制策略，省政府可根據(jù)業(yè)務(wù)類型、帶寬等多種因素控制電子政務(wù)省網(wǎng)與國(guó)家骨干網(wǎng)之間的流量在兩條鏈路上分擔(dān)。 域內(nèi)路由協(xié)議選擇(IGP)域內(nèi)路由協(xié)議（IGP）在數(shù)據(jù)網(wǎng)中起著連通骨干、選徑和自動(dòng)迂回的作用。IGP通過(guò)計(jì)算每條路徑的權(quán)值來(lái)尋找最佳路徑。IGP并不承載外界路由，但所有外界路由在BGP4中都有“下一跳”（nexthop）這個(gè)屬性，IGP通過(guò)對(duì)nexthop的選徑來(lái)控制到外界的數(shù)據(jù)流。 在IGP路由協(xié)議的選擇上，盡量不要采用擴(kuò)展性差的（RIP）和廠家的私有路由協(xié)議（IGRP和EIGRP），盡量采用OSPF或ISIS。對(duì)于OSPF和ISIS的選擇依據(jù)為：基本原理相同（基于鏈路狀態(tài)算法），OSPF用于IP， ISIS用于ISO的CLNP，也支持IP（“集成ISIS”）；ISIS結(jié)構(gòu)嚴(yán)謹(jǐn)，OSPF更加靈活，OSPF協(xié)議是基于接口的，而ISIS路由器只能屬于一個(gè)Area，并且不支持NBMA網(wǎng)絡(luò)；ISIS占用網(wǎng)絡(luò)資源相對(duì)較少，支持網(wǎng)絡(luò)規(guī)模大于OSPF，在網(wǎng)絡(luò)相當(dāng)龐大時(shí)能體現(xiàn)出優(yōu)勢(shì)；一個(gè)IGP域運(yùn)行的三層交換機(jī)及路由器的數(shù)量一般不會(huì)超過(guò)200臺(tái)，因此從實(shí)際情況來(lái)看，運(yùn)行OSPF和ISIS對(duì)IP城域網(wǎng)/承載網(wǎng)的建設(shè)不會(huì)有差異；對(duì)于網(wǎng)絡(luò)的穩(wěn)定性、可擴(kuò)充性，兩種協(xié)議都能很好地支持；在大型ISP上，ISIS與OSPF二者均獲得普遍應(yīng)用；從MPLS草案及現(xiàn)實(shí)運(yùn)行來(lái)看，如果要運(yùn)行MPLS網(wǎng)絡(luò)的話，OSPF經(jīng)常被選用做內(nèi)部IGP，當(dāng)然ISIS也有，但是MPLS草案中認(rèn)為在MPLS環(huán)境中運(yùn)行OSPF更合適；使用MPLS TE的時(shí)候，采用ISIS擴(kuò)展的較多；綜合考慮，考慮到網(wǎng)絡(luò)的擴(kuò)展，我們建議浙江省電子政務(wù)網(wǎng)絡(luò)IGP路由協(xié)議使用ISIS或OSPF。 路由策略 結(jié)合浙江電子政務(wù)網(wǎng)的實(shí)際情況，我們建議：浙江政務(wù)網(wǎng)網(wǎng)絡(luò)作為一個(gè)獨(dú)立的AS，可以分配保留AS號(hào)。通過(guò)BGP4和其他省及國(guó)家政務(wù)網(wǎng)相連，網(wǎng)內(nèi)IGP采用ISIS或OSPF。 省中心及地市中心核心路由器互連及Loopback地址采用公有IP地址，運(yùn)行靜態(tài)路由以及ISIS/OSPF動(dòng)態(tài)路由協(xié)議。ISIS/OSPF協(xié)議采用多等級(jí)(LEVEL)/區(qū)域（AREA）模式，具有較好的擴(kuò)展性，而且Level/Area內(nèi)的錯(cuò)誤路由不會(huì)影響全網(wǎng)，大大增加了網(wǎng)絡(luò)的可靠性。所有路由器均劃分在ISIS Level2/OSPF AREA0中，目前網(wǎng)絡(luò)規(guī)模較小，建議在省中心內(nèi)采用靜態(tài)路由或者劃分到ISIS Level1/OSPF其他區(qū)域中，今后其他地市電子政務(wù)網(wǎng)建設(shè)建議劃分到ISIS LEVEL1/OSPF Area0以外其他區(qū)域中。各廳局單位IP地址分配盡量連續(xù)，減少配置工作量。同時(shí)配置路由聚合，減少邊緣鏈路波動(dòng)對(duì)核心層路由器的影響；今后還可以考慮采用MPLS BGP VPN實(shí)現(xiàn)政務(wù)網(wǎng)橫向、縱向系統(tǒng)之間的安全隔離，所以在路由方案中應(yīng)考慮對(duì)MPLS VPN業(yè)務(wù)的支持。4 QOS策略電子政務(wù)網(wǎng)絡(luò)上承載的是數(shù)據(jù)、語(yǔ)音、視頻等多種綜合業(yè)務(wù)，這些業(yè)務(wù)對(duì)于網(wǎng)絡(luò)的服務(wù)質(zhì)量有不同的要求。同時(shí)隨著政務(wù)網(wǎng)業(yè)務(wù)發(fā)展，電子政務(wù)網(wǎng)上各不同部門對(duì)網(wǎng)絡(luò)服務(wù)質(zhì)量也可能出現(xiàn)不同要求，為體現(xiàn)差異性服務(wù)，更好的滿足電子政務(wù)業(yè)務(wù)發(fā)展需求，浙江電子政務(wù)網(wǎng)絡(luò)在提供充足帶寬的前提下，還需要實(shí)施端到端的QoS機(jī)制。 設(shè)計(jì)原則電子政務(wù)網(wǎng)絡(luò)的QoS設(shè)計(jì)應(yīng)符合下面的原則：l 端到端的解決方案：包括接入層、匯聚層和骨干層而且相互銜接；l 差異性：為不同用戶，不同業(yè)務(wù)提供不同的QoS保證；l 可管理：靈活的帶寬控制，體現(xiàn)QoS的計(jì)費(fèi)策略；l 經(jīng)濟(jì)性：有效利用網(wǎng)絡(luò)資源，包括帶寬、VLAN、端口等；l 高可用性：設(shè)計(jì)備份路徑，采用具備熱備份、熱插拔能力的設(shè)備，并對(duì)關(guān)鍵的網(wǎng)絡(luò)節(jié)點(diǎn)進(jìn)行冗余備份；l 可擴(kuò)展性：采用能夠在帶寬、業(yè)務(wù)種類增加時(shí)平滑擴(kuò)容、升級(jí)的設(shè)備。 體系結(jié)構(gòu)的選擇為了在Internet上提供QoS，IETF提出了許多服務(wù)模型和協(xié)議，其中比較突出的有IntServ (Integrated Services)模型和DiffServ (Differentiated Services)模型。IntServ對(duì)網(wǎng)絡(luò)設(shè)備包括終端要求高，可擴(kuò)展性差，僅適合在小規(guī)模網(wǎng)絡(luò)中使用。DiffServ對(duì)聚合的業(yè)務(wù)類提供QoS保證，可擴(kuò)展性好，便于在大規(guī)模網(wǎng)絡(luò)中使用。IntServ模型要求網(wǎng)絡(luò)中的所有節(jié)點(diǎn)（包括核心節(jié)點(diǎn)）都記錄每個(gè)經(jīng)過(guò)的應(yīng)用流的資源預(yù)留狀態(tài)，需要通過(guò)IP包頭識(shí)別出所有的用戶應(yīng)用流（進(jìn)行MF分類），同時(shí)為每個(gè)經(jīng)過(guò)的應(yīng)用流設(shè)置單獨(dú)的內(nèi)部隊(duì)列以分別進(jìn)行監(jiān)管（Policing）、調(diào)度（Scheduling）、整形（Shaping）等操作。對(duì)于現(xiàn)在大型運(yùn)營(yíng)網(wǎng)絡(luò)中的節(jié)點(diǎn)，這種應(yīng)用流（活動(dòng)的）的數(shù)量非常龐大，會(huì)遠(yuǎn)遠(yuǎn)超出節(jié)點(diǎn)設(shè)備所能夠處理的能力，而且可擴(kuò)展性差，僅適合在小規(guī)模網(wǎng)絡(luò)中使用。 DiffServ模型的基本原理是將網(wǎng)絡(luò)中的流量分成多個(gè)類，每個(gè)類接受不同的處理，尤其是網(wǎng)絡(luò)出現(xiàn)擁塞時(shí)不同的類會(huì)享受不同的優(yōu)先處理，從而得到不同的丟棄率、時(shí)延以及時(shí)延抖動(dòng)。在DiffServ的體系結(jié)構(gòu)下，IETF已經(jīng)定義了EF（Expedite Forwarding）、AF1AF4（Assured Forwarding）、BE（Best Effort）等六種標(biāo)準(zhǔn)PHB（Perhop Behavior）及業(yè)務(wù)。此外，有些廠商實(shí)現(xiàn)了基于TOS的分類服務(wù)（COS），并且這類設(shè)備已經(jīng)應(yīng)用在一些現(xiàn)有的運(yùn)營(yíng)網(wǎng)絡(luò)。COS和DiffServ類似，不過(guò)比DiffServ更簡(jiǎn)單，并且不象DiffServ那樣定義了一組標(biāo)準(zhǔn)的業(yè)務(wù)。DiffServ對(duì)聚合的業(yè)務(wù)類提供QoS保證，可擴(kuò)展性好，便于在大規(guī)模網(wǎng)絡(luò)中使用。本次工程推薦使用DeffServ機(jī)制實(shí)現(xiàn)QOS。 DiffServ實(shí)現(xiàn)DiffServ域?qū)⒃O(shè)備分為兩類，邊緣設(shè)備和核心設(shè)備，其中邊緣設(shè)備承擔(dān)了較多的工作，如流分類、標(biāo)記、帶寬限制、擁塞管理、擁塞避免、流量整形等。如果由單一設(shè)備全部處理，開(kāi)銷較大，容易形成網(wǎng)絡(luò)瓶頸，因此需要將這些功能分布到不同的設(shè)備上去，如流分類功盡量在邊緣實(shí)現(xiàn)。在浙江電子政務(wù)網(wǎng)絡(luò)中，建議在接入層中進(jìn)行流分類，并通過(guò)VLAN、在省中心核心節(jié)點(diǎn)進(jìn)行帶寬限制(CAR)和擁塞避免(RED)，在所有節(jié)點(diǎn)上基于優(yōu)先級(jí)采用優(yōu)先級(jí)隊(duì)列調(diào)度，實(shí)現(xiàn)擁塞管理。如果在接入層中，通過(guò)在業(yè)務(wù)流經(jīng)的所有二、三層設(shè)備上部署CAR、隊(duì)列機(jī)制，這樣能夠基于VLAN、每個(gè)業(yè)務(wù)的帶寬，實(shí)際上就實(shí)現(xiàn)了一種類似IntServ的機(jī)制，只不過(guò)這時(shí)源還是用戶，而目的不是遠(yuǎn)程用戶，而是匯聚節(jié)點(diǎn)。在匯聚節(jié)點(diǎn)和骨干網(wǎng)中根據(jù)/，可以看作是IntServ同DiffServ的一種結(jié)合。這種機(jī)制為用戶提供了虛擬專線，其QoS可同真正的專線相媲美。Differentiated service是一個(gè)多服務(wù)模型，它可以滿足不同的QoS需求。與Integrated service不同，它不需要信令，即應(yīng)用程序在發(fā)出報(bào)文前，不需要通知路由器。對(duì)Differentiated service，網(wǎng)絡(luò)不需要為每個(gè)流維護(hù)狀態(tài)，它根據(jù)每個(gè)報(bào)文指定的QoS，來(lái)提供特定的服務(wù)?？梢杂貌煌姆椒▉?lái)指定報(bào)文的QoS，如IP包的優(yōu)先級(jí)位（IP Precedence)，報(bào)文的源地址和目的地址等。網(wǎng)絡(luò)通過(guò)這些信息來(lái)進(jìn)行報(bào)文的分類、流量整形、流量監(jiān)管和排隊(duì)。其模型如下圖。區(qū)分服務(wù)QOS模型DiffServ體系中，定義了三種大的業(yè)務(wù)類型，EF(Expedite Forwarding)、AF(Assured Forwarding)和BE(Best Effort)。EF業(yè)務(wù)是一類低時(shí)延、低抖動(dòng)、低丟包率的業(yè)務(wù)，為了達(dá)到這些要求，實(shí)際上要求保證帶寬。AF業(yè)務(wù)提供一定程度的確保服務(wù)，分配了帶寬和緩沖區(qū)，協(xié)議定義了4個(gè)服務(wù)級(jí)別，從1到4。協(xié)議沒(méi)有定它們的順序，但大多數(shù)實(shí)現(xiàn)中，AF4的優(yōu)先級(jí)高，AF1的優(yōu)先級(jí)低。BE沒(méi)有任何QoS保證。為了標(biāo)記這些業(yè)務(wù)類別，在IP層使用了IP頭部的ToS字段，RFC2474定義了ToS字段的前6個(gè)比特，稱為DSCP，可以區(qū)分64個(gè)類別。，3個(gè)比特，可以區(qū)分8個(gè)類別。MPLS ELSP中也使用3個(gè)比特，可以區(qū)分8個(gè)類別。這樣，在全網(wǎng)能夠支持8個(gè)優(yōu)先級(jí)類別。 華為高端數(shù)據(jù)產(chǎn)品QOS實(shí)現(xiàn)機(jī)制華為NE80、NE40均能夠在QOS條件下仍然保持線速的轉(zhuǎn)發(fā)能力，從而為全網(wǎng)實(shí)現(xiàn)QOS創(chuàng)造了不可或缺的條件。NE80，NE40系列路由器是華為公司開(kāi)發(fā)的針對(duì)運(yùn)營(yíng)商網(wǎng)絡(luò)骨干及高性能匯聚應(yīng)用的電信級(jí)設(shè)備，設(shè)計(jì)并實(shí)現(xiàn)了承載包括實(shí)時(shí)業(yè)務(wù)在內(nèi)的綜合業(yè)務(wù)的QoS特性，尤其對(duì)DiffServ提供了基于標(biāo)準(zhǔn)的完善支持，包括流分類、流量監(jiān)管（Policing）、流量整形（Shaping）、隊(duì)列管理、隊(duì)列調(diào)度（Scheduling）等，完整實(shí)現(xiàn)了標(biāo)準(zhǔn)中定義的EF、AF1AFBE等六組PHB及業(yè)務(wù)。流分類NE80，NE40，允許根據(jù)報(bào)文頭中的最多192比特的控制域信息進(jìn)行流分類，具體可以包括下面描述的報(bào)文4層的控制信息域。首先輸入端口號(hào)可以作為重要的分類依據(jù)，它可以單獨(dú)使用，也可以結(jié)合報(bào)文的其他信息對(duì)流分類。二層的重要控制域就是源MAC地址。 設(shè)備允許通過(guò)配置將報(bào)文的源MAC匯聚為MAC地址組，最大允許64源MAC地址組，源MAC地址組可以單獨(dú)或同其他域組合對(duì)用戶流進(jìn)行分類。此外VLAN ID也是參與流分類的重要屬性，只不過(guò)是以子接口的形式隱式參與。三層可以參與分類的控制域包括：源和目的IP地址、TOS/DSCP字節(jié)、Protocol（協(xié)議ID）、分段標(biāo)志、ICMP報(bào)文類型。四層的源和目的端口號(hào)、TCP SYN標(biāo)志也是允許參與流分類的重要信息域。通過(guò)在ACL中使用上述控制域來(lái)配置流分類的規(guī)則，每塊接口處理板最多可以支持5120個(gè)ACL結(jié)點(diǎn)。NE80/NE40在大容量ACL流分類功能使能的情況下仍然能夠保持線速處理的性能?？梢钥闯觯琋E80/NE40系列路由器可以對(duì)用戶報(bào)文的幾乎全部控制域或這些域的組合進(jìn)行流分類，接口上面允許配置數(shù)千個(gè)ACL結(jié)點(diǎn)卻不降低系統(tǒng)轉(zhuǎn)發(fā)處理的性能，當(dāng)用于網(wǎng)絡(luò)的邊沿結(jié)點(diǎn)時(shí)，可以通過(guò)靈活的流分類手段精確地識(shí)別大量進(jìn)入的用戶業(yè)務(wù)流，充分滿足組建大型骨干QoS網(wǎng)絡(luò)時(shí)邊沿結(jié)點(diǎn)的要求。流量監(jiān)管流量監(jiān)管也就是我們通常所說(shuō)的CAR，是流分類之后的動(dòng)作之一。 通過(guò)CAR，運(yùn)營(yíng)商可以限制從網(wǎng)絡(luò)邊沿進(jìn)入的各類業(yè)務(wù)的最大流量，控制網(wǎng)絡(luò)整體資源的使用，從而保證網(wǎng)絡(luò)整體的QoS。運(yùn)營(yíng)商合用之間都簽有服務(wù)水平協(xié)議（SLA） ，其中包含每種業(yè)務(wù)流的承諾速率、峰值速率、承諾突發(fā)流量、峰值突發(fā)流量等流量參數(shù)，對(duì)超出SLA約定的流量報(bào)文可指定給予pass（通過(guò)）、drop（直接丟棄）或markdown（降級(jí)）等處理，此處降級(jí)是指提高丟棄的可能性（標(biāo)記為丟棄優(yōu)先級(jí)降低），降級(jí)報(bào)文在網(wǎng)絡(luò)擁塞時(shí)將被優(yōu)先丟棄，從而保證在SLA約定范圍之內(nèi)的報(bào)文享受到SLA預(yù)定的服務(wù)。NE80/NE40支持每個(gè)接口處理板最多對(duì)1024個(gè)業(yè)務(wù)流的流量監(jiān)管（CAR），實(shí)現(xiàn)了RFC定義的四種標(biāo)準(zhǔn)流量監(jiān)管算法（Color aware single rate three color 、Color aware two rate three color、Color blind single rate three color 、Color blind two rate three color），由于內(nèi)部采用硬件協(xié)處理器來(lái)實(shí)現(xiàn)CAR的有關(guān)操作，因此對(duì)轉(zhuǎn)發(fā)性能沒(méi)有負(fù)面影響。DSCP標(biāo)記/重標(biāo)記標(biāo)記/重標(biāo)記是是流分類之后的動(dòng)作之一。所謂標(biāo)記就是根據(jù)SLA以及流分類的結(jié)果對(duì)業(yè)務(wù)流打上類別標(biāo)記。目前RFC定義了六類標(biāo)準(zhǔn)業(yè)務(wù)即：EF、AF1AFBE，并且通過(guò)定義各類業(yè)務(wù)的PHB （Perhop Behavior）明確了這六類業(yè)務(wù)的服務(wù)實(shí)現(xiàn)要求，即設(shè)備處理各類業(yè)務(wù)的具體實(shí)現(xiàn)要求。從業(yè)務(wù)的外在表現(xiàn)看，基本上可認(rèn)為EF流要求低時(shí)延、低抖動(dòng)、低丟包率，對(duì)應(yīng)于實(shí)際應(yīng)用中的Video、語(yǔ)音、會(huì)議電視等實(shí)時(shí)業(yè)務(wù)；AF流要求較低的延遲、 低丟包率、 高可靠性，對(duì)應(yīng)于數(shù)據(jù)可靠性要求高的業(yè)務(wù)如電子商務(wù)、企業(yè)VPN等；對(duì)BE流則不保證最低信息速率和時(shí)延，對(duì)應(yīng)于傳統(tǒng)Internet業(yè)務(wù)。在某些情況下需要重標(biāo)記DSCP。例如在Ingress點(diǎn)業(yè)務(wù)流量進(jìn)入以前已經(jīng)有了DSCP標(biāo)記（如上游域是DSCP域的情形，或者用戶自己進(jìn)行了DSCP的標(biāo)記），但是根據(jù)SLA，又需要對(duì)DSCP進(jìn)行重新標(biāo)記。NE80/NE40完全支持RFC定義的標(biāo)準(zhǔn)的DSCP DS CODE，還支持現(xiàn)在有些網(wǎng)上可能使用的COS。COS是以TOS的前三比特作為業(yè)務(wù)區(qū)分點(diǎn)，總共可分8個(gè)業(yè)務(wù)等級(jí)，對(duì)每一種業(yè)務(wù)等級(jí)均有特定的定義。隊(duì)列管理隊(duì)列管理的主要目的就是通過(guò)合理控制Buffer的使用，對(duì)可能出現(xiàn)的擁塞進(jìn)行控