电子政务外网师级网络调整优化探讨电子政务外网师级网络调整优化探讨电子政务外网师级网络调整优化探讨电子政务外网师级网络调整优化探讨兵团电子政务外网项目Xinjiang production and construction corps e-government projectXinjiang production and construction corps e-government project 新疆兵团信息技术服务中心新疆兵团信息技术服务中心2013-1-12013-1-1目录目录n电子政务外网师级网络整体设计架构n师级网络整体结构改造优化总体思路n广域骨干区调整优化n城域网核心调整优化n互联网区调整优化n数据中心区调整优化第一部分总体结构电子政务外网师级网络整体设计架构电子政务外网师级网络整体设计架构师级电子政务外网的设计框架分为广域骨干网、城域网、数据中心、专网接入、互联网接入5个部分各师现有实际网络结构图各师现有实际网络结构图目前存在的问题目前存在的问题1、互联网访问问题师局域网互联网接入客户端病毒、P2P下载等问题，互联网服务器区安全问题，团场互联网接入占用出口带宽问题，互联网和专网接入客户端相互干扰问题。2、广域网带宽占用问题团级互联网接入占用广域网带宽，各专网带宽分配3、跨部门资源访问问题划分专网相互隔离后访问公共资源总体调整思路总体调整思路1、将互联网和外网尽量清晰划分出来建议将师级局域网中互联网接入和专网独立开来，并将师级和团级互联网和外网界面清晰化，以便当互联网出现问题时可以很容易将互联网从外网中独立开来。2、在互联网区域内加强安全防护在出口部署带宽管理设备、在网内部署身份认证设备、多出口考虑负载均衡设备等提高互联网访问速度和安全。3、在广域网进行带宽优化，设置QOS限制互联网访问带宽，分配各专网带宽4、加强公用网服务区资源建设丰富公用网服务区资源建设，丰富外网资源等，允许各专网访问公用服务网5、提高终端设备复用率考虑采用身份认证等方式方便用户根据用户名或CA证书等接入不同网络提高终端设备复用率（探讨）调整后网络总体示意图调整后网络总体示意图第二部分广域骨干网调整优化一、广域骨干网总体优化方式一、广域骨干网总体优化方式优化师到团广域网访问方式1、提高广域网带宽（4M-10M、10M-20M等）2、配置带宽策略（QOS，增加带宽管理设备，带宽防护（利用安全设备等）3、增加某专网线路，然后利用MPLSVPN策略路由选路二、广域骨干网二、广域骨干网QOSQOS带宽管理配置带宽管理配置1、在团级局域网接入口对不同专网进行着色，标示出不同的专网来2、在团级路由器出口配置带宽管理，指定标示出专网带宽3、在师级城域网核心路由器局域网接入口对不同专网进行着色，标示出不同的专网4、在师级广域网路由接口配置带宽管理，指定标示出专网带宽INTERNETVPN_caiwuVPN_xinfangINTERNET:2MVPN_caiwu:1MVPN_xinfang:1MINTERNETVPN_caiwuVPN_xinfangINTERNET:2MVPN_caiwu:1MVPN_xinfang:1M2.32.3广域骨干网广域骨干网QOSQOS带宽管理配置举例带宽管理配置举例一、在师级城域网核心路由器SR6616 (Xs-cyw-hx-sr6616-RT-1)1建立访问控制列表，指定各VPN流量aclnumber3010rule10permitipvpn-instanceinternetaclnumber3011rule10permitipvpn-instanceVPN_caiwuaclnumber3012rule10permitipvpn-instanceVPN_xinfang广域骨干网广域骨干网QOSQOS带宽管理配置举例带宽管理配置举例2设定各专网流量，定义标示trafficclassifierinternetoperatorandif-matchacl3010trafficbehaviorexp1remarkmpls-exp1trafficclassifiercaiwuoperatorandif-matchacl3011trafficbehaviorexp2remarkmpls-exp2trafficclassifierxinfangoperatorandif-matchacl3012trafficbehaviorexp3remarkmpls-exp3广域骨干网广域骨干网QOSQOS带宽管理配置举例带宽管理配置举例3在入口接口进行着色qospolicymarkexpclassifierinternetbehaviorexp1classifiercaiwubehaviorexp2classifierxinfangbehaviorexp3interfaceGigabitEthernet2/0/1.101qosapplypolicymarkexpinboundinterfaceGigabitEthernet2/0/1.509qosapplypolicymarkexpinboundinterfaceGigabitEthernet2/0/1.506qosapplypolicymarkexpinbound广域骨干网广域骨干网QOSQOS带宽管理配置举例带宽管理配置举例二、在广域网核心路由器SR6616 (Xs-gyw-hx-sr6616-RT-1)1设定标志为EXP1(INTERNET)，设定带宽为最大带宽的20%设定标志为EXP2(caiwu)，设定带宽为最大带宽的10%设定标志为EXP3(xinfang)，设定带宽为最大带宽的10%trafficclassifierexp1operatorandif-matchmpls-exp1trafficbehavioref20%queueefbandwidthpct20trafficclassifierexp2operatorandif-matchmpls-exp2trafficbehavioref10%queueefbandwidthpct10trafficclassifierexp3operatorandif-matchmpls-exp3trafficbehavioref10%queueefbandwidthpct10广域骨干网广域骨干网QOSQOS带宽管理配置举例带宽管理配置举例2在广域网接口设定最大带宽，应用QOS策略qospolicymplsqosclassifierexp1behavioref20%classifierexp2behavioref10%classifierexp3behavioref10%interfaceEthernet1/2/7.1qosmax-bandwidth10240qosapplypolicymplsqosoutboundinterfaceEthernet1/2/7.2qosmax-bandwidth10240qosapplypolicymplsqosoutbound广域骨干网广域骨干网QOSQOS带宽管理配置举例带宽管理配置举例三、在团级路由器MSR5040上配置1建立访问控制列表，指定各VPN流量aclnumber3010rule10permitipvpn-instanceinternetaclnumber3011rule10permitipvpn-instanceVPN_caiwuaclnumber3012rule10permitipvpn-instanceVPN_xinfang2设定各专网流量，定义标示trafficclassifierinternetoperatorandif-matchacl3010trafficbehaviorexp1remarkmpls-exp1trafficclassifiercaiwuoperatorandif-matchacl3011trafficbehaviorexp2remarkmpls-exp2trafficclassifierxinfangoperatorandif-matchacl3012trafficbehaviorexp3remarkmpls-exp3广域骨干网广域骨干网QOSQOS带宽管理配置举例带宽管理配置举例三、在团级路由器MSR5040上配置3在入口接口进行着色qospolicymarkexpclassifierinternetbehaviorexp1classifiercaiwubehaviorexp2classifierxinfangbehaviorexp3interfaceGigabitEthernet0/1.101qosapplypolicymarkexpinboundinterfaceGigabitEthernet0/1.509qosapplypolicymarkexpinboundinterfaceGigabitEthernet0/1.506qosapplypolicymarkexpinbound广域骨干网广域骨干网QOSQOS带宽管理配置举例带宽管理配置举例四、在团级路由器MSR5040上配置4设定标志为EXP1(INTERNET)，设定带宽为最大带宽的20%，设定标志为EXP2(caiwu)，设定带宽为最大带宽的10%设定标志为EXP3(xinfang)，设定带宽为最大带宽的10%trafficclassifierexp1operatorandif-matchmpls-exp1trafficbehavioref20%queueefbandwidthpct20trafficclassifierexp2operatorandif-matchmpls-exp2trafficbehavioref10%queueefbandwidthpct10trafficclassifierexp3operatorandif-matchmpls-exp3trafficbehavioref10%queueefbandwidthpct10广域骨干网广域骨干网QOSQOS带宽管理配置举例带宽管理配置举例四、在团级路由器MSR5040上配置5在广域网接口设定最大带宽，应用QOS策略qospolicymplsqosclassifierexp1behavioref20%classifierexp2behavioref10%classifierexp3behavioref10%interfaceEthernet0/0qosmax-bandwidth10240qosapplypolicymplsqosoutbound三、增加带宽管理设备三、增加带宽管理设备1、在团级局域网核心交换机和团级核心路由器之间增加带宽管理或安全防护设备，采用TRUNK透明模式部署，对进入路由器的流量进行带宽控制及安全防护带宽管理设备局域网核心交换机团级核心路由器师级广域网核心路由器四、团级防火墙改造（近期进行）四、团级防火墙改造（近期进行）1、利用原团场闲置防火墙，在团级局域网核心交换机和团级核心路由器之间采用TRUNK透明模式部署2、配置步骤如下：(1)将防火墙设置为透明模式，将ETH1（内、团）和ETH2（外、师）设置为TRUNK，分别接入核心交换机和团场路由器MSR5040(2)建立允许通过的vlan，包括(internet，各专网的VLAN）(3)设定管理VLANIP地址（data-managerVPN内）(4)允许师部进行管理访问防火墙(5)设定安全策略，默认策略允许ETH1(团)ETH2（师）访问，屏蔽常见病毒端口（4444,69.135等），禁止ETH2（师）ETH1（团）访问(6)开启防火墙IPS等功能团级防火墙局域网核心交换机团级核心路由器师级广域网核心路由器五、增加专网线路、配置路由策略选路五、增加专网线路、配置路由策略选路1、某些专网提供额外专网线路，可以考虑将其专网指定到该线路。2、可采用两种方法实现路由选路方法1：将该增加线路绑定到该专网VPN中，采用ospf进行动态路由学习，由于OSPF的优先级高于BG