电子政务外网师级网络调整优化探讨.ppt

资源ID：5147399 资源大小：2.17MB 全文页数：45页
资源格式： PPT 下载积分：10金币

快捷下载

会员登录下载

三方登录下载：

下载资源需要10金币

邮箱/手机：
温馨提示：	用户名和密码都是您填写的邮箱或者手机号，方便查询和重复下载（系统自动生成）
支付方式：
验证码：	换一换

加入VIP免费专享

账号：
密码：
验证码：	换一换
当日自动登录忘记密码？

友情提示

1、下载资料失败解决办法

2、PDF文件下载后，可能会被浏览器默认打开，此种情况可以点击浏览器菜单，保存网页到桌面，就可以正常下载了。

3、本站不支持迅雷下载，请使用电脑自带的IE浏览器，或者360浏览器、谷歌浏览器下载即可。

4、本站资源下载后的文档和图纸-无水印,预览文档经过压缩，下载后原文更清晰。

5、试题试卷类文档，如果标题没有明确说明有答案则都视为没有答案，请知晓。

网站客服

侵权投诉

电子政务外网师级网络调整优化探讨.ppt

,电子政务外网师级网络调整优化探讨,兵团电子政务外网项目Xinjiang production and construction corps e-government project,新疆兵团信息技术服务中心2013-1-1,目录,电子政务外网师级网络整体设计架构师级网络整体结构改造优化总体思路广域骨干区调整优化城域网核心调整优化互联网区调整优化数据中心区调整优化,第一部分总体结构,电子政务外网师级网络整体设计架构,师级电子政务外网的设计框架分为广域骨干网、城域网、数据中心、专网接入、互联网接入5个部分,各师现有实际网络结构图,目前存在的问题,1、互联网访问问题师局域网互联网接入客户端病毒、P2P下载等问题，互联网服务器区安全问题，团场互联网接入占用出口带宽问题，互联网和专网接入客户端相互干扰问题。2、广域网带宽占用问题团级互联网接入占用广域网带宽，各专网带宽分配3、跨部门资源访问问题划分专网相互隔离后访问公共资源,总体调整思路,1、将互联网和外网尽量清晰划分出来建议将师级局域网中互联网接入和专网独立开来，并将师级和团级互联网和外网界面清晰化，以便当互联网出现问题时可以很容易将互联网从外网中独立开来。2、在互联网区域内加强安全防护在出口部署带宽管理设备、在网内部署身份认证设备、多出口考虑负载均衡设备等提高互联网访问速度和安全。3、在广域网进行带宽优化，设置QOS限制互联网访问带宽，分配各专网带宽4、加强公用网服务区资源建设丰富公用网服务区资源建设，丰富外网资源等，允许各专网访问公用服务网5、提高终端设备复用率考虑采用身份认证等方式方便用户根据用户名或CA证书等接入不同网络提高终端设备复用率（探讨）,调整后网络总体示意图,第二部分广域骨干网调整优化,一、广域骨干网总体优化方式,优化师到团广域网访问方式1、提高广域网带宽（4M-10M、10M-20M等）2、配置带宽策略（QOS，增加带宽管理设备，带宽防护（利用安全设备等）3、增加某专网线路，然后利用MPLS VPN策略路由选路,二、广域骨干网QOS带宽管理配置,1、在团级局域网接入口对不同专网进行着色，标示出不同的专网来2、在团级路由器出口配置带宽管理，指定标示出专网带宽3、在师级城域网核心路由器局域网接入口对不同专网进行着色，标示出不同的专网4、在师级广域网路由接口配置带宽管理，指定标示出专网带宽,INTERNET,VPN_caiwu,VPN_xinfang,INTERNET:2M,VPN_caiwu:1M,VPN_xinfang:1M,INTERNET,VPN_caiwu,VPN_xinfang,INTERNET:2M,VPN_caiwu:1M,VPN_xinfang:1M,2.3广域骨干网QOS带宽管理配置举例,一、在师级城域网核心路由器SR6616(Xs-cyw-hx-sr6616-RT-1)1建立访问控制列表，指定各VPN流量acl number 3010 rule 10 permit ip vpn-instance internet acl number 3011 rule 10 permit ip vpn-instance VPN_caiwu acl number 3012 rule 10 permit ip vpn-instance VPN_xinfang,广域骨干网QOS带宽管理配置举例,2设定各专网流量，定义标示 traffic classifier internet operator and if-match acl 3010 traffic behavior exp1 remark mpls-exp 1 traffic classifier caiwu operator and if-match acl 3011 traffic behavior exp2 remark mpls-exp 2 traffic classifier xinfang operator and if-match acl 3012 traffic behavior exp3 remark mpls-exp 3,广域骨干网QOS带宽管理配置举例,3在入口接口进行着色qos policy markexp classifier internet behavior exp1 classifier caiwu behavior exp2 classifier xinfang behavior exp3interface GigabitEthernet2/0/1.101 qos apply policy markexp inboundinterface GigabitEthernet2/0/1.509 qos apply policy markexp inboundinterface GigabitEthernet2/0/1.506 qos apply policy markexp inbound,广域骨干网QOS带宽管理配置举例,二、在广域网核心路由器SR6616(Xs-gyw-hx-sr6616-RT-1)1设定标志为EXP1(INTERNET)，设定带宽为最大带宽的20%设定标志为EXP2(caiwu)，设定带宽为最大带宽的10%设定标志为EXP3(xinfang)，设定带宽为最大带宽的10%traffic classifier exp1 operator and if-match mpls-exp 1 traffic behavior ef20%queue ef bandwidth pct 20 traffic classifier exp2 operator and if-match mpls-exp 2 traffic behavior ef10%queue ef bandwidth pct 10traffic classifier exp3 operator and if-match mpls-exp 3 traffic behavior ef10%queue ef bandwidth pct 10,广域骨干网QOS带宽管理配置举例,2在广域网接口设定最大带宽，应用QOS策略qos policy mplsqos classifier exp1 behavior ef20%classifier exp2 behavior ef10%classifier exp3 behavior ef10%interface Ethernet1/2/7.1 qos max-bandwidth 10240 qos apply policy mplsqos outboundinterface Ethernet1/2/7.2 qos max-bandwidth 10240 qos apply policy mplsqos outbound,广域骨干网QOS带宽管理配置举例,三、在团级路由器MSR5040上配置1建立访问控制列表，指定各VPN流量acl number 3010 rule 10 permit ip vpn-instance internet acl number 3011 rule 10 permit ip vpn-instance VPN_caiwu acl number 3012 rule 10 permit ip vpn-instance VPN_xinfang2设定各专网流量，定义标示 traffic classifier internet operator and if-match acl 3010 traffic behavior exp1 remark mpls-exp 1traffic classifier caiwu operator and if-match acl 3011 traffic behavior exp2 remark mpls-exp 2 traffic classifier xinfang operator and if-match acl 3012 traffic behavior exp3 remark mpls-exp 3,广域骨干网QOS带宽管理配置举例,三、在团级路由器MSR5040上配置3在入口接口进行着色qos policy markexp classifier internet behavior exp1 classifier caiwu behavior exp2 classifier xinfang behavior exp3interface GigabitEthernet0/1.101 qos apply policy markexp inboundinterface GigabitEthernet0/1.509 qos apply policy markexp inboundinterface GigabitEthernet0/1.506 qos apply policy markexp inbound,广域骨干网QOS带宽管理配置举例,四、在团级路由器MSR5040上配置4设定标志为EXP1(INTERNET)，设定带宽为最大带宽的20%，设定标志为EXP2(caiwu)，设定带宽为最大带宽的10%设定标志为EXP3(xinfang)，设定带宽为最大带宽的10%traffic classifier exp1 operator and if-match mpls-exp 1 traffic behavior ef20%queue ef bandwidth pct 20 traffic classifier exp2 operator and if-match mpls-exp 2 traffic behavior ef10%queue ef bandwidth pct 10traffic classifier exp3 operator and if-match mpls-exp 3 traffic behavior ef10%queue ef bandwidth pct 10,广域骨干网QOS带宽管理配置举例,四、在团级路由器MSR5040上配置5在广域网接口设定最大带宽，应用QOS策略qos policy mplsqos classifier exp1 behavior ef20%classifier exp2 behavior ef10%classifier exp3 behavior ef10%interface Ethernet0/0 qos max-bandwidth 10240 qos apply policy mplsqos outbound,三、增加带宽管理设备,1、在团级局域网核心交换机和团级核心路由器之间增加带宽管理或安全防护设备，采用TRUNK透明模式部署，对进入路由器的流量进行带宽控制及安全防护,带宽管理设备,局域网核心交换机,团级核心路由器,师级广域网核心路由器,四、团级防火墙改造（近期进行）,1、利用原团场闲置防火墙，在团级局域网核心交换机和团级核心路由器之间采用TRUNK透明模式部署2、配置步骤如下：(1)将防火墙设置为透明模式，将ETH1（内、团）和ETH2（外、师）设置为TRUNK，分别接入核心交换机和团场路由器MSR 5040(2)建立允许通过的vlan，包括(internet，各专网的VLAN）(3)设定管理VLAN IP地址（data-managerVPN内）(4)允许师部进行管理访问防火墙(5)设定安全策略，默认策略允许ETH1(团)ETH2（师）访问，屏蔽常见病毒端口（4444,69.135等），禁止ETH2（师）ETH1（团）访问(6)开启防火墙IPS等功能,团级防火墙,局域网核心交换机,团级核心路由器,师级广域网核心路由器,五、增加专网线路、配置路由策略选路,1、某些专网提供额外专网线路，可以考虑将其专网指定到该线路。2、可采用两种方法实现路由选路方法1：将该增加线路绑定到该专网VPN中，采用ospf进行动态路由学习，由于OSPF的优先级高于BGP，主线路会走增加线路。备用走我们的主线路方法2：采用MPLS TE建立流量工程隧道，指定主线路和备用线路，然后将该VPN引入到隧道中。,局域网核心交换机,团级核心路由器,师级广域网核心路由器,VPN1,5.1、路由选路配置举例方法1,团级路由器MSR5040配置interface GigabitEthernet8/0 ip binding vpn-instance VPN_11 ip address 10.111.1.1 255.255.255.0ospf 60011 vpn-instance VPN_11 import-route bgp type 1 area 0.0.0.0 network 10.111.1.0 0.0.0.255bgp 65445ipv4-family vpn-instance VPN_11 import-route direct import-route ospf 60011,师级广域网核心路由器SR6616配置interface GigabitEthernet7/0/1.11 ip binding vpn-instance VPN_11 ip address 10.111.1.2 255.255.255.0ospf 60011 vpn-instance VPN_11 import-route bgp type 1 area 0.0.0.0 network 10.111.1.0 0.0.0.255bgp 65445ipv4-family vpn-instance VPN_11 import-route direct import-route ospf 60011,5.2、路由选路配置举例方法2,配置参考mplsmpls templs te cspfInterface g5/1mpls teospfopaque-capability enablearea 0mpls-te enable,explicit-path main next hop 3.0.0.1 next hop 3.3.3.3interface Tunnel0ip address 10.0.0.1 255.255.255.252tunnel-protocol mpls tedestination 3.3.3.3mpls te record-route label,mpls te bandwidth bc0 50000/指定显式路径mpls te path explicit-path mainmpls te fast-reroutempls te commit,ip vpn-instance vpn1route-distinguisher 100:1vpn-target 100:1 bothtnl-policy policy1tunnel-policy policy1tunnel select-seq cr-lsp load-balance-number 1interface gigabitethernet 1/0ip binding vpn-instance vpn1ip address 192.168.1.1 255.255.255.0,第三部分城域网调整优化,城域网调整建议,1、师级城域网络将专网和互联网接入分离（布线系统分开）,专网核心交换机,互联网核心交换机,城域网调整建议,2、团级城域网络将专网和互联网接入设备和接口分开,专网核心交换机,互联网核心交换机,团级核心交换机BD3928,团级互联网接入交换机BD2528,师级城域网核心路由器,团级核心路由器MSR5040,师级广域网核心路由器,城域网专网接入（师级）,熟悉专网接入方式，便于各部门接入咨询,城域网专网接入（师级）,熟悉专网接入方式，便于各部门接入咨询,接入方式：统计局部门的专网数据中心通过防火墙与兵团电子政务外网数据中心的核心交换机互联。设备配置：需要配置一台高性能防火墙，至少提供两个千兆接口，一个用于连接兵团外网数据中心核心交换，一端用于连接部门专网数据中心。,数据中心,机关局域网,接入方式：师级机关部门专网位于机关大楼内，将其部门划分到一个VLAN，二层透传到兵团电子政务外网城域网核心路由器，网关落在城域网核心路由器上，并封装到专网VPN中。设备配置：机关部门专网位于机关大楼内，大楼已部署接入交换机，无需配置额外网络设备。,分散单位,接入方式：专线接入，城域网路由器MSR5040设备配置：推荐路由器、防火墙（互指路由），交换机也可（网关落到MSR5040上）,接入方式：非专线接入，接入互联网防火墙（东软）设备配置：防火墙（IPSEC VPN）,接入方式：移动客户端，接入互联网防火墙（东软）设备配置：软客户端，CA证书（KEY）,城域网专网接入（团级）,熟悉专网接入方式，便于各部门接入咨询,城域网专网接入（团级）,熟悉专网接入方式，便于各部门接入咨询,机关局域网,接入方式：团级机关部门专网位于机关大楼内，将其部门划分到一个VLAN，二层透传到兵团电子政务外网核心路由器，网关落在核心路由器上，并封装到专网VPN中。设备配置：机关部门专网位于机关大楼内，大楼已部署接入交换机，无需配置额外网络设备。（信息点多加交换机）,分散单位,接入方式：专线接入，BD3928E设备配置：推荐交换机（网关落到团核心MSR5040上）,接入方式：非专线接入，接入师互联网防火墙（东软）设备配置：防火墙（IPSEC VPN）,接入方式：移动客户端，接入互联网防火墙（东软）设备配置：软客户端，CA证书（KEY）,第四部分互联网调整优化,互联网调整,1、师级VPN改造（外网、互联网）,互联网防火墙,互联网服务区核心交换机,互联网服务区服务器,外网数据中心核心交换机BD8506,城域网核心路由器SR6616,公用网服务区,专网服务区,互联网VPN,外网VPN,互联网调整,2、加强现有安全设备策略配置,1、加强出口防火墙安全策略配置，关闭不对外提供服务的端口等,2、更新补丁、防病毒软件，防止弱口令等安全隐患,3、建立日志服务器，将重要设备日志保存至日志服务器,互联网增加安全设备示意图,3、增加互联网安全保护设备（IPS，行为管理、带宽管理，终端管理等）,安全设备推荐部署,IT运维系统,建议使用各师部署的IT运维系统，实现运行监控和运维管理,完善身份认证系统和单点登录,第五部分数据中心调整优化,数据中心调整优化,1、完善数据中心结构，增强数据中心安全性,1、补充完善数据中心结构，增加公用服务区交换机，部署公用网服务区防火墙2、要求各专网接入均需部署防火墙等安全设备,数据中心调整优化,2、共享数据服务区的重点建设（各专网均能访问）,城域网核心路由器SR6616上配置acl number 3000 rule 5 permit ip vpn-instance intranet destination 59.0.0.0 0.255.255.255 rule 12 permit ip vpn-instance jianshehuanbaoju destination 59.0.0.0 0.255.255.255 rule 14 permit ip vpn-instance VPN_tongji destination 59.0.0.0 0.255.255.255 rule 15 permit ip vpn-instance VPN_guotu destination 59.0.0.0 0.255.255.255 rule 16 permit ip vpn-instance VPN_xinfang destination 59.0.0.0 0.255.255.255 rule 17 permit ip vpn-instance VPN_shenji destination 59.0.0.0 0.255.255.255 rule 19 permit ip vpn-instance VPN_caiwu destination 59.0.0.0 0.255.255.255nat address-group 0 59.223.X.1 59.223.X.1interface GigabitEthernet2/2/6.600nat outbound 3000 address-group 0 vpn-instance data-managerinterface GigabitEthernet2/2/6.601nat outbound 3000 address-group 0 vpn-instance data-managerinterface GigabitEthernet2/2/7nat outbound 3000 address-group 0 vpn-instance data-manager,数据中心调整优化,城域网核心路由器SR6616上配置ip route-static vpn-instance VPN_tongji 59.0.0.0 255.0.0.0 NULL0ip route-static vpn-instance VPN_guotu 59.0.0.0 255.0.0.0 NULL0ip route-static vpn-instance VPN_xinfang 59.0.0.0 255.0.0.0 NULL0ip route-static vpn-instance VPN_shenji 59.0.0.0 255.0.0.0 NULL0ip route-static vpn-instance VPN_caiwu 59.0.0.0 255.0.0.0 NULL0ip vpn-instance VPN_xinfangvpn-target 64100:10 64000:10 import-extcommunityip vpn-instance VPN_shenjivpn-target 64100:10 64000:10 import-extcommunityip vpn-instance VPN_caiwuvpn-target 64100:10 64000:10 import-extcommunityip vpn-instance VPN_guotuvpn-target 64100:10 64000:10 import-extcommunity,数据中心调整优化,城域网核心路由器SR6616上配置bgp 65445ipv4-family vpn-instance VPN_xinfang import-route direct import-route static#ipv4-family vpn-instance VPN_caiwu import-route direct import-route static#ipv4-family vpn-instance VPN_tongji import-route direct import-route static,谢谢！,

注意事项

本文（电子政务外网师级网络调整优化探讨.ppt）为本站会员（sccc）主动上传，三一办公仅提供信息存储空间，仅对用户上传内容的表现方式做保护处理，对上载内容本身不做任何修改或编辑。若此文所含内容侵犯了您的版权或隐私，请立即通知三一办公（点击联系客服），我们立即给予删除！

温馨提示：如果因为网速或其他原因下载失败请重新下载，重复下载不扣分。