【正文】 3526)區(qū)建設(shè)局辦公大樓匯聚節(jié)點 (S5516)預(yù)留地址：～鎮(zhèn)節(jié)點1(R2621)…………鎮(zhèn)節(jié)點10(R2621)預(yù)留地址：～內(nèi)網(wǎng)用戶（各單位內(nèi)部局域網(wǎng)和服務(wù)器）地址規(guī)劃考慮各單位內(nèi)部局域網(wǎng)和服務(wù)器的業(yè)務(wù)模型，建議IP地址的管理和分配采用動態(tài)及靜態(tài)結(jié)合的方式。普通用戶的IP地址由DHCP服務(wù)器動態(tài)分配；服務(wù)器地址、設(shè)備管理地址、接口互聯(lián)地址等需要固定IP地址，在經(jīng)過NAT時采用NAT與PAT方法。具體的地址規(guī)劃方法與內(nèi)網(wǎng)規(guī)劃方法一致，這里不再多述。建議：原有服務(wù)器盡量采用原有IP地址。新增服務(wù)器采用與原有服務(wù)器接近的IP地址，這樣有利于地址規(guī)劃。當(dāng)然也可以對原有應(yīng)用服務(wù)器重新進行規(guī)劃。具體規(guī)劃方法同內(nèi)網(wǎng)地址規(guī)劃，規(guī)劃時需要注意保留預(yù)留地址段，保證服務(wù)器地址的可擴展性。采用華為公司QuidwayS8016的組網(wǎng)可實現(xiàn)動態(tài)地址分配（DHCP）的功能。外網(wǎng)的節(jié)點設(shè)備標(biāo)識地址(LOOPBACK地址，標(biāo)識節(jié)點設(shè)備和網(wǎng)絡(luò)管理)，設(shè)備互聯(lián)地址以及內(nèi)部局域網(wǎng)和服務(wù)器地址的規(guī)劃，方法同內(nèi)網(wǎng)IP地址規(guī)劃?？紤]外網(wǎng)的業(yè)務(wù)模型，建議外網(wǎng)各單位內(nèi)部局域網(wǎng)和服務(wù)器IP地址的管理和分配采用動態(tài)及靜態(tài)結(jié)合的方式。普通用戶的IP地址由DHCP服務(wù)器動態(tài)分配；服務(wù)器地址、設(shè)備管理地址、接口互聯(lián)地址等需要固定IP地址，在經(jīng)過NAT時采用NAT與PAT方法。具體的地址規(guī)劃方法與內(nèi)網(wǎng)規(guī)劃方法一致，這里不再多述。此外，在外網(wǎng)私有地址規(guī)劃時盡量保持與原有用戶IP段相同。對原有外網(wǎng)用戶已分配給服務(wù)器的IP地址繼續(xù)采用公網(wǎng)地址。采用華為公司QuidwayNE05E、S8016的組網(wǎng)可實現(xiàn)NAT的NAT、PAT功能以及動態(tài)地址分配的功能。 地址重疊問題對原有地址，出現(xiàn)地址重疊的情況時，要盡量把重疊分開。對新的設(shè)備和網(wǎng)絡(luò)，由于充分保留了預(yù)留地址段，可以有效避免地址重疊問題。對普通用戶，由于采用動態(tài)地址分配方法，可以有效避免地址重疊問題。第六章 VPN互聯(lián)設(shè)計及流量工程在第二章對對本次招標(biāo)的組網(wǎng)實現(xiàn)技術(shù)進行分析，確定了采用三層MPLS VPN技術(shù)可有效的實現(xiàn)網(wǎng)絡(luò)業(yè)務(wù)需求、安全控制、端到端QoS等。針對標(biāo)書中給出設(shè)備的實際布局，即同一單位可能位不同的物理位置，系統(tǒng)內(nèi)服務(wù)器、公共服務(wù)器等都位于主服務(wù)器機房，MPLS VPN將跨全市整個政務(wù)網(wǎng)平臺等，我們也必須考慮。結(jié)合以上兩點我們對 VPN實現(xiàn)進行以下劃分為Server VPN（包括公共服務(wù)器VPN、橫向服務(wù)器VPN、縱向服務(wù)器VPN）、用戶VPN（各部門的內(nèi)部網(wǎng)絡(luò)VPN）、公共應(yīng)用VPN。因此，做為用戶而言，它實際上可能有的4各VPN單位內(nèi)部網(wǎng)絡(luò) VPN、橫向服務(wù)器VPN、縱向服務(wù)器VPN、公共應(yīng)用VPN。 內(nèi)網(wǎng)VPN設(shè)計根據(jù)內(nèi)網(wǎng)的建設(shè)目標(biāo)，是可以為某一系統(tǒng)提供專用的虛擬通信通道，組建系統(tǒng)橫向、縱向的互聯(lián)網(wǎng)絡(luò)，如：－為區(qū)政府提供與各部門通信的橫向虛擬通道－為區(qū)局提供與各涉密部門通信的橫向虛擬通道－為視頻會議服務(wù)提供公共的虛擬通信通道，保證視頻會議的帶寬要求。即在橫向上要實現(xiàn)部門間的主機跨部門訪問，并防止越權(quán)訪問；在縱向上實現(xiàn)各部門的內(nèi)部互聯(lián)。為實現(xiàn)這些建設(shè)目標(biāo)，保證政務(wù)網(wǎng)各系統(tǒng)的安全，必須要為各系統(tǒng)的網(wǎng)絡(luò)互聯(lián)提供安全隔離及網(wǎng)絡(luò)服務(wù)質(zhì)量保證，使用MPLS VPN及VLAN技術(shù)是在IP網(wǎng)上解決這種安全隔離的最好手段。下面分別從兩個方面分別說明。橫向VPN構(gòu)建：在內(nèi)網(wǎng)城域網(wǎng)中，使用VPN技術(shù)來進行各系統(tǒng)的網(wǎng)絡(luò)隔離及特殊應(yīng)用的橫向訪問互通，如為機要、區(qū)法院等本區(qū)內(nèi)訪問提供專用的VPN通道，保證網(wǎng)絡(luò)安全，如圖所示。以機要主機本地訪問來說明本地橫向VPN的組網(wǎng)。城域網(wǎng)內(nèi)，對在本地有訪問要求的系統(tǒng)及應(yīng)用，如每個單位對機要服務(wù)器進行訪問的機要主機，與本單位其他機器位于不同的VLAN,實現(xiàn)了本地安全隔離。這個VLAN的劃分由信息網(wǎng)的管理者統(tǒng)一進行規(guī)劃實施；在城域網(wǎng)不同的網(wǎng)絡(luò)節(jié)點，這些機要主機也分屬于不同的VLAN；如果沒有任何路由措施，這些位于不同VLAN的主機是不能互通的；在骨干網(wǎng)PE處（S8016），利用MPLS技術(shù)，將這些需要相互訪問的機要主機的VLAN，引入到同一個VPN(VPN1)內(nèi)進行路由，從而實現(xiàn)在城域網(wǎng)內(nèi)機要主機對機要服務(wù)器的互訪。由于這些各部門機要主機不需要跨級縱向訪問（如鎮(zhèn)訪問區(qū)），因此VPN1的范圍只設(shè)置在本地城域網(wǎng)中（如區(qū)直機關(guān)），從而防止非法的跨級互通。這樣既可實現(xiàn)城域網(wǎng)內(nèi)的跨部門主機訪問，又保證防止不同城域網(wǎng)間主機的越權(quán)訪問?？v向VPN構(gòu)建：在內(nèi)網(wǎng)廣域網(wǎng)上，利用MPLS VPN組網(wǎng)實現(xiàn)各系統(tǒng)間縱向網(wǎng)絡(luò)的互聯(lián)，以及相互之間的安全隔離，如機要局內(nèi)部的鎮(zhèn)與區(qū)之間的互聯(lián)、視頻會議系統(tǒng)在區(qū)市之間的互聯(lián)等，如圖所示。下面以機要系統(tǒng)內(nèi)部縱向訪問說明。如圖所示，在城域網(wǎng)中，機要局內(nèi)部部門主機位于VLAN21內(nèi)，與其它部門主機（包括機要局能被其它部門訪問的服務(wù)器）相互隔離，確保不被非法訪問。在VLAN統(tǒng)一的出口處，內(nèi)網(wǎng)廣域網(wǎng)的PE設(shè)備，將機要局VLAN21的路由及數(shù)據(jù)引入到相應(yīng)的VPN3內(nèi)。由于VPN3只引入了機要局內(nèi)部主機所在的VLAN，因此可與其它系統(tǒng),如視頻會議實現(xiàn)橫向隔離，保證網(wǎng)絡(luò)安全。對于具有橫向和縱向訪問的應(yīng)用，如能被公共訪問的視頻會議服務(wù)，可被同級不同機構(gòu)間互通，也可以在跨級（區(qū)與鎮(zhèn)）間互通，可以結(jié)合利用這兩種設(shè)置來進行實現(xiàn)。從網(wǎng)絡(luò)安全及管理安全上看，VPN/VLAN的管理都應(yīng)該由網(wǎng)絡(luò)中心進行統(tǒng)一規(guī)劃，在邊緣接入處提供相應(yīng)的VPN/VLAN的接口，以確保整個網(wǎng)絡(luò)的安全。 外網(wǎng)VPN設(shè)計根據(jù)外網(wǎng)的建設(shè)目標(biāo)，是可以為某一系統(tǒng)提供專用的虛擬通信通道，組建系統(tǒng)橫向、縱向的互聯(lián)網(wǎng)絡(luò)，即在橫向上要實現(xiàn)部門間的主機跨部門訪問，并防止越權(quán)訪問；在縱向上實現(xiàn)各部門的內(nèi)部互聯(lián)。為實現(xiàn)這些建設(shè)目標(biāo)，保證政務(wù)網(wǎng)各系統(tǒng)的安全，必須要為各系統(tǒng)的網(wǎng)絡(luò)互聯(lián)提供安全隔離及網(wǎng)絡(luò)服務(wù)質(zhì)量保證，使用MPLS VPN及VLAN技術(shù)是在IP網(wǎng)上解決這種安全隔離的最好手段。下面分別從兩個方面分別說明。城域網(wǎng)橫向互訪VPN構(gòu)建：在外網(wǎng)城域網(wǎng)中，使用VPN技術(shù)來進行各系統(tǒng)的網(wǎng)絡(luò)隔離及特殊應(yīng)用的橫向訪問互通，保證網(wǎng)絡(luò)安全，如下圖所示。城域網(wǎng)內(nèi)，對在本地有訪問要求的系統(tǒng)及應(yīng)用，如共享WWW訪問服務(wù)器，在本單位可與其他機器位于不同的VLAN,實現(xiàn)了本地安全隔離，保證本地其它機器的安全。在城域網(wǎng)不同的網(wǎng)絡(luò)節(jié)點，這些需要橫向互訪的主機設(shè)備也分屬于不同的VLAN，如在區(qū)法院與區(qū)檢察院，這些主機是位于不同的VLAN的，這樣避免了在一個VLAN內(nèi)有太多的主機；當(dāng)然，如果VPN內(nèi)沒有太多的主機，則可以將這些主機在城域網(wǎng)內(nèi)設(shè)置在1個VLAN內(nèi)，直接在二層互通，可以提高網(wǎng)絡(luò)效率；如果沒有任何路由措施，這些位于不同VLAN的主機是不能互通的；在核心層PE處（核心路由交換機S8016），利用MPLS技術(shù)，將這些需要相互訪問的主機的VLAN，引入到同一個VPN(VPN1)內(nèi)進行路由，從而實現(xiàn)在城域網(wǎng)不同單位主機信息的互訪。而其它沒有被引入的VLAN，不能訪問這個VPN1的成員的主機。從而實現(xiàn)了城域網(wǎng)內(nèi)的跨部門主機訪問，又防止對各單位內(nèi)部不需要橫向訪問主機的安全性?？v向VPN構(gòu)建：橫向VPN解決了城域網(wǎng)內(nèi)的互通及安全隔離，在外網(wǎng)廣域網(wǎng)上，則要利用MPLS VPN組網(wǎng)實現(xiàn)各系統(tǒng)間縱向網(wǎng)絡(luò)的互聯(lián)，以及相互之間的安全隔離，如區(qū)公安局內(nèi)部辦公主機各鎮(zhèn)分局、派出所之間的互聯(lián)、以及和市公安局之間的互聯(lián)等，如下圖所示。如圖所示，在城域網(wǎng)中，不同部門的主機位于不同的VLAN內(nèi)；這些主機與其它部門主機相互隔離，確保不被非法訪問。在VLAN統(tǒng)一的出口處，外網(wǎng)廣域網(wǎng)的PE設(shè)備，將各主機所在的VLAN引入到相應(yīng)的VPN中，通過廣域網(wǎng)實現(xiàn)VPN內(nèi)的互通。對于其它具有橫向和縱向訪問的應(yīng)用，如能被公共訪問的WWW站點等，可被同級不同機構(gòu)間訪問，也可以在跨級（區(qū)與鎮(zhèn)）間互通，可以結(jié)合利用這兩種設(shè)置來進行實現(xiàn)；對于只需要縱向互聯(lián)訪問的網(wǎng)絡(luò)（如各系統(tǒng)內(nèi)部辦公網(wǎng)），在各地的PE處只引入本系統(tǒng)VLAN信息，即可實現(xiàn)系統(tǒng)內(nèi)全區(qū)的互通，并與其它系統(tǒng)隔離保證安全。在外網(wǎng)中，VPN穿透防火墻時，需要防火墻能支持VPN（MPLS），或至少支持VLAN透傳，這樣才能保障VPN的完全實施。在VPN SERVER處終結(jié)Internet來的用戶隧道（L2TP等），然后將VPN SERVER后面開MPLS VPN連接各政府部門內(nèi)部網(wǎng)。從網(wǎng)絡(luò)安全及管理安全上看，VPN/VLAN的管理都應(yīng)該由信息中心進行統(tǒng)一規(guī)劃，在邊緣接入處提供相應(yīng)的VPN/VLAN的接口。 MPLS VPN實現(xiàn)業(yè)務(wù)隔離和完善的QOS保證由于建成后的政務(wù)網(wǎng)在同一物理網(wǎng)絡(luò)上同時運行多個系統(tǒng)，因此該網(wǎng)絡(luò)必須支持系統(tǒng)隔離，而且要能夠隔離不斷增加的新業(yè)務(wù)。MPLS VPN就是一種非常優(yōu)秀的技術(shù)，可以滿足可擴展的業(yè)務(wù)隔離與QOS保證的需求。該技術(shù)已經(jīng)為國內(nèi)外各大運營商采用。在政務(wù)網(wǎng)中，其具體的實施模式如下：在局域網(wǎng)中，在交換機中配置VLAN，用來隔離不同業(yè)務(wù)，在其上聯(lián)路由器上配置MPLS VPN，該路由器可以為不同VLAN（即虛接口），創(chuàng)建不同的MPLS VPN。在廣域網(wǎng)中，通過MPLS VPN實現(xiàn)了業(yè)務(wù)隔離。通過VLAN技術(shù)與MPLS VPN技術(shù)的配合，政務(wù)網(wǎng)可以實現(xiàn)端到端的業(yè)務(wù)隔離。結(jié)合本方案具體如下：在用戶接入側(cè)，可以通過劃分VLAN的方法實現(xiàn)二層隔離, 交換機上傳VLAN，將需要實現(xiàn)VPN功能用戶的標(biāo)識提供給PE設(shè)備。這些VLAN分別對應(yīng)到相同或不同的VRF，通過設(shè)置適當(dāng)?shù)腞oute Target即可實現(xiàn)。具體實施如下： 通過PE實現(xiàn)各VPN的內(nèi)部互聯(lián)和彼此間的隔離。 以VLAN隔離各VPN，并由交換機將各VLAN透傳到PE，其中各VLAN ID必須唯一。 在PE路由交換機上以一個VLAN子接口對應(yīng)一個MPLS VPN的site，并與透傳上來的VLAN對應(yīng)。 在PE路由器上通過配置MPLS VPN將需要互聯(lián)的企業(yè)用戶所對應(yīng)的VLAN劃分到同一個VPN中，使其路由可達，達到互聯(lián)的目的；同時，由于VPN路由的獨立性，對VPN外的用戶不可見。 IPSEC為政務(wù)提供了安全保障鑒于政務(wù)網(wǎng)各部門的特殊安全性要求，在總體建設(shè)上就安全性而言，采用隔離＋加密，雙管齊下的方式比較有效。即在各鎮(zhèn)級節(jié)點的接入路由器上配置IPSEC協(xié)議，對報文進行加密處理。到了區(qū)骨干網(wǎng)上，運行著MPLS VPN。在區(qū)匯聚路由器上進行IPSEC終結(jié)，通過MPLS VPN上承載IPSEC報文，既提供了加密功能，又沒有降低性能（因為MPLS是按照標(biāo)簽進行轉(zhuǎn)發(fā)，與所承載的報文無關(guān)）。因此，把IPSEC技術(shù)與MPLS VPN技術(shù)結(jié)合起來，是非常好的一種安全解決方案。 VPN安全策略龍崗政務(wù)網(wǎng)，采用的是MPLSVPN組網(wǎng)方式，其本身已經(jīng)能夠提供一定的安全機制，MPLSVPN可以將不同用戶的數(shù)據(jù)流分開，可以利用標(biāo)記來判斷分組所屬的VPN，從而可以防止數(shù)據(jù)的誤發(fā)。然而MPLS并沒有描述對于用戶數(shù)據(jù)的加密機制以及用戶的認證過程，所以，當(dāng)對于數(shù)據(jù)的加突以及用戶的認證有較高的要求時，需要將MPLS與IPSEC等安全協(xié)議結(jié)合起來進行使用。VPN安全性要求充分安全：在VPN的每個節(jié)點上都有防火墻和認證機制以保護VPN資源不受非法訪問，同時需要保證在傳輸過程中進行數(shù)據(jù)包的加密和認證保護。即VPN需要提供整個網(wǎng)絡(luò)的端到端的安全性。安全管理：VPN的安全管理機制應(yīng)該是很容易建立和維護，同時安全管理系統(tǒng)必須也是安全的。安全可用性：安全系統(tǒng)應(yīng)該與其他VPN用戶一樣能登錄到VPN，以便在VPN的任何節(jié)點都能對安全系統(tǒng)進行管理。對于采用加密算法的系統(tǒng)，還要求加密解密設(shè)備有足夠的吞吐量，使VPN用戶并不能感到存在VPN設(shè)備。在專網(wǎng)中，一般只是使用用戶名和密碼對用戶進行識別，而對于專網(wǎng)對公網(wǎng)的接口設(shè)備上，特別在VPN中，需要進行以下幾個方面的保護：l用戶身份的識別和鑒權(quán)l(xiāng)數(shù)據(jù)的完整性保證，保證網(wǎng)絡(luò)的可用性和VPN的私有性l實時監(jiān)控網(wǎng)絡(luò)的安全狀態(tài)l基于策略的安全管理，以保證網(wǎng)絡(luò)資源的安全用戶身份識別和鑒權(quán)網(wǎng)絡(luò)用戶的正確識別和鑒權(quán)對VPN的實施非常關(guān)鍵，通過使用AAA服務(wù)器對訪問單位網(wǎng)絡(luò)資源的用戶進行認證、鑒權(quán)和計費。對于使用如L2TP等二層隧道構(gòu)成的VPN可以通過PAP或CHAP等方法對用戶進行認證，用戶的安全配置數(shù)據(jù)存貯在AAA服務(wù)器上，單位邊緣設(shè)備與AAA服務(wù)器采用RADIUS協(xié)議。網(wǎng)絡(luò)資源的安全性網(wǎng)絡(luò)資源、應(yīng)用的訪問控制也是VPN安全的一個重要方面，通常使用防火墻、訪問控制列表、數(shù)據(jù)過濾器等手段來保證網(wǎng)絡(luò)資源的安全性。在VPN中防火墻是必不可少的，它位于單位網(wǎng)絡(luò)的邊緣，用于將私網(wǎng)和公網(wǎng)進行隔離。防火墻的主要功能如下：用戶認證和鑒權(quán)：對訪問單位內(nèi)部網(wǎng)絡(luò)的用戶進行用戶認證和鑒權(quán)，只有合法用戶才能訪問單位內(nèi)部網(wǎng)絡(luò)資源。同時防火墻也可以對單位內(nèi)部用戶進行認證和鑒權(quán)，使某些用戶只能訪問單位特定的網(wǎng)絡(luò)資源，或者在訪問公網(wǎng)時使某些用戶只能使用特定的服務(wù)。數(shù)據(jù)包過濾：對來自公網(wǎng)的數(shù)據(jù)包使用訪問控制列表可以根據(jù)數(shù)據(jù)包類型或者其他變量來決定接收還是拒絕訪問。網(wǎng)絡(luò)地址轉(zhuǎn)換：為了節(jié)省公網(wǎng)IP地址，防火墻支持NAT功能，完成私有地址和公網(wǎng)地址的轉(zhuǎn)換，同時通過NAT功能，達到使私網(wǎng)和公網(wǎng)隔離而保護私網(wǎng)資源的目的。數(shù)據(jù)的完整性和可靠性在公共網(wǎng)絡(luò)上傳輸私有數(shù)據(jù)，VPN需要保證用戶數(shù)據(jù)的完整性和可靠性。從使用簡單的使用隧道或封裝對數(shù)據(jù)流進行隔離，到使用復(fù)雜的加密算法都是為了保證VPN內(nèi)數(shù)據(jù)的可信度。在VPN實現(xiàn)中，通常使用IPSec協(xié)議完成認證、加密和密鑰管理，IPSec已經(jīng)成為IP網(wǎng)絡(luò)安全的標(biāo)準。網(wǎng)絡(luò)安全的實時監(jiān)控對于網(wǎng)絡(luò)的惡意入侵的控制需要對網(wǎng)絡(luò)安全進行實時監(jiān)控，以保證網(wǎng)絡(luò)正常工作時能發(fā)現(xiàn)網(wǎng)絡(luò)安全的薄弱點，因為任何一處的安全漏洞將導(dǎo)致整個網(wǎng)絡(luò)的安全失敗。網(wǎng)絡(luò)安全實時監(jiān)控系統(tǒng)將對外部和內(nèi)部資源的任何非法訪