【文章內(nèi)容簡介】 Ministry區(qū)域就可以單獨(dú)為科技部部署一個名字為TechnicalMinistry的VPN來達(dá)到這個目的。 Background 網(wǎng)絡(luò)Background（后臺）網(wǎng)絡(luò)主要完成網(wǎng)絡(luò)監(jiān)控、管理、維護(hù)的功能，同時提供遠(yuǎn)程辦公的功能。為了保證網(wǎng)絡(luò)安全和GCCN對應(yīng)的用戶能夠?qū)W(wǎng)絡(luò)進(jìn)行管理，GCCN用戶只能使用三層WEB認(rèn)證登錄機(jī)制登錄COP （Centralized Operate Platform）平臺，再由COP平臺提供相應(yīng)的管理權(quán)限來管理數(shù)據(jù)中心。基于政府用戶遠(yuǎn)程辦公的需求，后臺網(wǎng)絡(luò)提供了基于嚴(yán)格安全機(jī)制的遠(yuǎn)程L2TP VPN接入功能。Inter 用戶只能使用RSA 登錄機(jī)制通過登陸L2TP服務(wù)器后再登錄RAAS（Remote Access Application Server）平臺，由RAAS 平臺提供相應(yīng)的辦公權(quán)限。 IBM 服務(wù)器本數(shù)據(jù)中心中有2臺P595 和 2臺Blade Center服務(wù)器，邏輯上它們都被Public Service Zone， Internal Common Zone and Ministry Zone前臺網(wǎng)絡(luò)共享，為數(shù)據(jù)中心提供業(yè)務(wù)支撐。同時這些服務(wù)器的管理模塊接入了后臺管理網(wǎng)絡(luò)，可以在數(shù)據(jù)中心的NOC機(jī)房遠(yuǎn)程管理它們。湖南工業(yè)職業(yè)技術(shù)學(xué)院 網(wǎng)絡(luò)技術(shù)專業(yè)教學(xué)資源庫54 網(wǎng)絡(luò)規(guī)劃設(shè)計(jì) 命名規(guī)則 網(wǎng)絡(luò)節(jié)點(diǎn)命名網(wǎng)絡(luò)節(jié)點(diǎn)指數(shù)據(jù)中心整網(wǎng)中所有的設(shè)備，包含路由器、交換機(jī)、防火墻、服務(wù)器、KVM、安全存儲等，它們的命名規(guī)則如下：站點(diǎn)名稱網(wǎng)絡(luò)層次/區(qū)域名稱設(shè)備名稱和編號網(wǎng)絡(luò)節(jié)點(diǎn)命名要求如表1所示。表 1 網(wǎng)絡(luò)節(jié)點(diǎn)命名表參數(shù) 值 描述 備注站點(diǎn)名稱 GDC 政務(wù)網(wǎng)數(shù)據(jù)中心COR 核心層AGG 匯聚層網(wǎng)絡(luò)層次ACC 接入層這三個網(wǎng)絡(luò)層次主要是為將來在GCCN 擴(kuò)容中可能包含華為設(shè)備的站點(diǎn)服務(wù)的。在數(shù)據(jù)中心，現(xiàn)在只涉及和 GCCN 對接的兩臺 NE80E 路由器。PZ Public Service區(qū)域IZ Internal Common區(qū)域MZ Ministry 區(qū)域BG Background 區(qū)域區(qū)域名稱 SVR 大型服務(wù)器區(qū)域 現(xiàn)在主要是 IBM 的服務(wù)器 P595 和Blade Center。這個區(qū)域在邏輯上將被 PZ/IZ/MZ 三個區(qū)域共享RT001 編號為 001 的路由器設(shè)備名稱和編號FW002 編號為 002 的防火墻SW： 交換機(jī) NIP： NIPLB： 負(fù)載均衡器AV： 防病毒服務(wù)器KS： KVM 交換機(jī)KC： KVM Command CenterDA： Disk ArrayCOP： COP湖南工業(yè)職業(yè)技術(shù)學(xué)院 網(wǎng)絡(luò)技術(shù)專業(yè)教學(xué)資源庫6TM001 編號為 001 的終端 BMC： DMS： Data Management System比如，GDCCORRT001指數(shù)據(jù)中心核心路由器001，也就是和GCCN對接的NE80E 路由器001。GDCIZSW001是指數(shù)據(jù)中心 Internal Common區(qū)域的S8512交換機(jī)001。 端口描述端口描述必須滿足如下原則：A. 能表示出端口的類型B. 能反映出該端口所在板卡的物理槽位C. 能表示出端口所在的設(shè)備和對端的網(wǎng)元設(shè)備基于上述原則，端口描述的規(guī)則定為：[本設(shè)備名稱]端口類型和編號 to [對端設(shè)備名稱]端口類型和編號例如GDC Public Service 區(qū)域中編號為001的S8512 接入交換機(jī)端口GigabitEther1/0/0到NE40的描述為“[GDCPZSW001]GE1/0/0 to [GDCPZRT001]GE1/0/0”。 IP 地址規(guī)劃總體上，使用“”作為整網(wǎng)網(wǎng)段。從 IP地址規(guī)劃我們可以看出，IP地址的規(guī)劃充分考慮了后續(xù)擴(kuò)容的需求。 總體規(guī)劃總體規(guī)劃設(shè)計(jì)如表2所示。表 2 總體規(guī)劃表范圍 GCCN 骨干或 VPN 業(yè)務(wù) 子段由現(xiàn)有的GCCN 分配，與其保持一致GCCN 骨干 IP 承載 Inter VPN Inter Internal VPN Internal Common OMC VPN 管理 Ministry 部委私有需求 湖南工業(yè)職業(yè)技術(shù)學(xué)院 網(wǎng)絡(luò)技術(shù)專業(yè)教學(xué)資源庫7 GCCN 骨干為了和Cisco的GGCN現(xiàn)網(wǎng)保持一致，使用客戶分配的網(wǎng)段來與GCCN骨干網(wǎng)絡(luò)對接，如表3所示。表3 GCCN骨干表范圍 層次 子段 Loopback Inter VPN隸屬于Public Service 區(qū)域，如表4所示。表 4 Inter VPN表站點(diǎn) 范圍 層次 子段數(shù)通（CEPE） 網(wǎng)絡(luò)集成（CE匯聚的設(shè)備）其他 （預(yù)留）Intra VPN 隸屬于Internal Common 區(qū)域，如表5所示。表 5 Intra VPN表站點(diǎn) 范圍 層次 子段數(shù)通（CEPE）網(wǎng)絡(luò)集成（CE匯聚的設(shè)備）湖南工業(yè)職業(yè)技術(shù)學(xué)院 網(wǎng)絡(luò)技術(shù)專業(yè)教學(xué)資源庫8其他 （預(yù)留） Ministry VPNs考慮到部委比較多并且需要為每個部委都創(chuàng)建對應(yīng)的VPN，14位掩碼的大網(wǎng)段“”被預(yù)留。 OMC VPN由于后臺網(wǎng)絡(luò)可以分為一些小區(qū)域，并且這些小區(qū)域?qū)?yīng)著不同類型的設(shè)備，所以IP地址可以以這些小區(qū)域來劃分，如表6所示。表6 小區(qū)域劃分表站點(diǎn) 范圍 區(qū)域 子段數(shù)通互連 Public Service Zone Internal Common Zone Ministry Zone Proxy Bluecodeamp。NIPamp。F5KVM NMS Server 網(wǎng)管客戶端區(qū)域 GCCN WEB 用戶認(rèn)證地址池IBM P595 和刀片 INTELLIM（Access Control System）By Amiran Communication LtdGDC 19Storage 湖南工業(yè)職業(yè)技術(shù)學(xué)院 網(wǎng)絡(luò)技術(shù)專業(yè)教學(xué)資源庫95 VPN 設(shè)計(jì)由于數(shù)據(jù)中心和GCCN骨干網(wǎng)都由ICT Board（Information and Communication Technical Board）來統(tǒng)一管理，所以數(shù)據(jù)中心和GCCN骨干網(wǎng)屬于同一個自治區(qū)域，統(tǒng)一使用 65000這個AS號。因此和 GCCN對接，采用建立MPIBGP 連接的方式來引入GCCN 遠(yuǎn)端路由器對應(yīng)的VPN私網(wǎng)路由。由于電子政務(wù)網(wǎng)相當(dāng)于一個政務(wù)部門的應(yīng)用平臺，所以GCCN需要訪問數(shù)據(jù)中心的任何一部分（含NE80E 內(nèi)側(cè)劃分的所有 VPN），因此GCCN實(shí)際上是一個 Super VPN。通過RT的規(guī)劃，GCCN 對應(yīng)的VPN可以交叉引入所有其它VPN的路由，如圖2所示。圖 2 VPN設(shè)計(jì)圖基于硬件的限制（S8512 交換機(jī)的配置不支持 MPLS），選擇S8512作為CE ，而兩臺NE80E核心路由器是作為整網(wǎng)的PE來使用的。由兩臺 NE80E路由器和GCCN內(nèi)網(wǎng)的RR路由器建立IBGP連接以引入GCCN內(nèi)部私網(wǎng)路由。由于使用RR ，所以兩臺NE80E的所有VPN實(shí)例的RD都配置為不同以達(dá)到RR同時反射兩湖南工業(yè)職業(yè)技術(shù)學(xué)院 網(wǎng)絡(luò)技術(shù)專業(yè)教學(xué)資源庫10臺路由器的不同VPNV4（而相同IPV4路由）的目的。 VPN 劃分基于網(wǎng)絡(luò)流量隔離的需求，VPN的劃分如表7所示。表7 VPN劃分表VPN 對應(yīng)的流量描述 物理區(qū)域Inter VPN包含：GCCN 用戶訪問 Inter 的流量、GCCN 用戶訪問政府對 Inter 公開的 Web Server 的流量、Inter 用戶訪問政府對 Inter 公開的Web Server 的流量包含兩臺 NE80E 和Public Service 區(qū)域Intra VPN包含 GCCN 用戶訪問內(nèi)部公開的服務(wù)器，比如notes 服務(wù)器等包含兩臺 NE80E 和Internal Common 區(qū)域OMC VPN 包含：網(wǎng)管服務(wù)器管理設(shè)備的流量、GCCN 用戶訪問 COP 來進(jìn)行網(wǎng)絡(luò)管理的流量、GCCN 用戶訪問后臺管理服務(wù)器的流量，比如DMS、BMC、IBM HMC 等 Inter 用戶訪問RAAS 的流量包含兩臺 NE80E 和后臺網(wǎng)絡(luò)Ministry VPNsGCCN 中各個部委訪問私有服務(wù)器的流量，每個部委創(chuàng)建一個對應(yīng)的 VPN包含兩臺 NE80E 和Ministry 區(qū)域 RT 規(guī)劃由于業(yè)務(wù)需求，GCCN用戶需要訪問數(shù)據(jù)中心內(nèi)部的所有區(qū)域，而GCCN現(xiàn)網(wǎng)已經(jīng)有RT的規(guī)劃了，為了平滑割接，原有的RT規(guī)劃不變，數(shù)據(jù)中心必須和其保持一致。對于不涉及和GCCN對接的RT規(guī)劃，比如數(shù)據(jù)中心自己的RT，RT 的格式為：“AAAAA： BBCCDDD”。RT規(guī)劃如表8所示。表 8 RT規(guī)劃表Field Value DescriptionAAAAA AS number 65000BB 10 Reserve湖南工業(yè)職業(yè)技術(shù)學(xué)院 網(wǎng)絡(luò)技術(shù)專業(yè)教學(xué)資源庫1110： Inter VPN20： Intra VPN30： OMC VPNRepresents the type of the VPN instance.CC7999： Ministry VPN This area is only for the new added Huawei GCCN sites，for the other kinds of site，it will be the same as GCCNDDD 000999 Reserve for Site （can satisfy HubSpoke）000（default）VPN的value值如表 9所示。表 9 VPN的value值表VPN ValueInter VPN 65000：1010000Intra VPN 65000：1020220OMC VPN 65000：1030000 RD 規(guī)劃由于RD只是代表本地VPN實(shí)例的一個參數(shù)，RD可以全新規(guī)劃。RD 的格式為：“AAAAA： BBCCDDD”。RD 規(guī)劃如表10所示。表 10 RD規(guī)劃表Field Value DescriptionAAAAA AS number 6500011： Plane1BB12： Plane2Plane10： Inter VPN20： Intra VPNCC30： OMC VPNRepresents the service type of the VPN instance.湖南工業(yè)職業(yè)技術(shù)學(xué)院 網(wǎng)絡(luò)技術(shù)專業(yè)教學(xué)資源庫127999： Ministry VPNsDDD 000999 Reserve MPIBGP 連接由于GCCN站點(diǎn)非常多，所以GCCN內(nèi)部有RR ，NE80E只要和RR建立IBGP連接即可，如圖3所示。圖 3 MPIBGP連接圖MPIBGP連接如表11所示。表 11 MPIBGP連接表Name Rule IPJOGOOBC370501 RR JOGOOBC370502 RR AFYAC370501 RR AFYAC370502RR GDCCORRT001 PE GDCCORRT001 PE 湖南工業(yè)職業(yè)技術(shù)學(xué)院 網(wǎng)絡(luò)技術(shù)專業(yè)教學(xué)資源庫136 Inter VPN 設(shè)計(jì)Inter VPN （Public Service Zone ）主要包含如下幾種流量：GCCN訪問數(shù)據(jù)中心PZ區(qū)域的Web Server。Inter用戶訪問數(shù)據(jù)中心PZ區(qū)域的Web Server。GCCN訪問Inter 。Inter訪問RAAS 。其中第一種、第二種、第四種流量在一個方向上（出或入）都只會經(jīng)過防火墻一次，較為簡單。而第三種流量由于Proxy服務(wù)器的存在，即使在一個方向上（出或入）有可能會經(jīng)過防火墻兩次是整個PZ區(qū)域設(shè)計(jì)的關(guān)鍵。 IGP 分析 Proxy 能代理和不能代理的流量Proxy的處理能力和需求極大地決定了Public Service Zone的IGP設(shè)計(jì)，因?yàn)槠錄Q定了對GCCN訪問Inter流量的處理。為了不影響現(xiàn)網(wǎng)用戶的Inter訪問和做到平滑割接：透明代理的方案被采用，就是說不用在用戶終端上設(shè)置Proxy服務(wù)器，而通過路由及路由策略的方式來將流量強(qiáng)制重定向到Proxy服務(wù)器上去。但是由于license沒有配置全， Proxy無法代理所有的流量，比如。對于Proxy無法代理的流量，如果將其發(fā)往Proxy服務(wù)器，Proxy服務(wù)器不會對報(bào)文進(jìn)行任何處理而將其透明的轉(zhuǎn)發(fā)，這會降