电子政务网络架构.ppt

《电子政务网络架构.ppt》由会员分享，可在线阅读，更多相关《电子政务网络架构.ppt（69页珍藏版）》请在三一办公上搜索。

1、1,电子政务网络架构,华为3Com技术有限公司政府技术部,2,目录,1、电子政务建设概述2、网络架构详细分析 3、政务网络案例分析,3,电子政务,公司（法人）,政府部门,公众（自然人）,政府员工,电子政务建设的目标定位,G2G,G2C,G2E,G2B,4,目录,1、电子政务建设概述2、网络架构详细分析 广域网架构分析 城域网架构分析 局域网架构分析3、政务网络案例分析,5,广域网建设的关注点,6,省直,省直,省直,2.5G RPR,GE,GE,地市州,EI,N2M,N2M,CPOS,FE,FE,GE,GE,FE,地市州,地市州,XX县,XX县,地市城域网汇聚,(PE),(PE),(PE),(P

2、),(P),(P),(P),(P),(P),(P),(P),(PE),(PE),(CE),(CE),(CE),(CE),(CE),(CE),(PE),(PE),(PE),(CE),(CE),(CE),(CE),城域网,广域网,关注点1MPLS VPN,7,关注点1MPLS VPN,省工商,省税务,CE,MCE/PE,PE,PE,政务网,地市工商,内部服务器,地市税务,CE,PE,内部服务器,PE,纵向VPN子接口,MCE/PE,8,PE,PE,PE,HUB,SPOKE,SPOKE,SPOKE,PE,省厅,A市局,B市局,C市局,关注点1MPLS VPN,9,某部门省厅连接在PE1上,各地市局分

3、别连接到PE2、PE3上。由于BGP/MPLS VPN是由PE与CE接口的VRF上配置的相应RT来决定路由关系的，因此在省厅连接的PE1相应VRF上配置RT值使该VRF可接收来自A市局、B市局、C市局的路由，并将自己的路由发送到A市局、B市局、C市局。在各市局PE上配置RT，使市局只能与省局交换路由而不能与其他市局直接交换路由。优点：省局集中控制VPN内的通信，可通过路由过滤的方式禁止市局间的直接通信，保障VPN内的可控性和安全性。如在A局病毒爆发时，可在省厅处通过路由将该市局隔离，避免病毒蔓延。缺点：一是省局成为单点故障，一旦省局连接的PE1发生故障，各市局间将不能正常通信。二是市局间数据交

4、换集中在省厅所在PE上，增加了PE的压力。由于目前各部门纷纷采用数据大集中的数据交换模式，市局间的数据交换比较少，因此比较适合采用该模式。,关注点1MPLS VPN,10,PE,PE,PE,HUB,SPOKE,SPOKE,SPOKE,PE,省厅,A市局,B市局,C市局,关注点1MPLS VPN,11,某部门省厅连接在PE1上,各地市局分别连接到PE2、PE3上。由于BGP/MPLS VPN是由PE与CE接口的VRF上配置的相应RT来决定路由关系的，因此在省厅和各市局连接的PE相应VRF上配置RT值使该VRF可接收来自其余市局的路由，即省厅和各市局完全处于对等状态，相互之间完全可以交互路由信息。

5、优点：无单点故障，无性能瓶颈。缺点：无法做到集中控制，安全性不高。,关注点1MPLS VPN,12,关注点2MPLS VPN跨域,要求ASBR设备为每个跨域的VPN分配子接口，因此可以可以实现跨域的流量监管，实现对每个VPN的计费，但是对ASBR压力非常大，并且PE设备需要维护跨域VPN的路由，可管理性和可扩展性较差；,13,关注点2MPLS VPN跨域,对ASBR压力最小，但由于需要建立PE间跨域的LSP，因此可管理性也比较差。,14,关注点2MPLS VPN跨域,对ASBR压力也比较大，但可以通过ASBR扩容来解决，没有PE设备跨域VPN路由维护问题，因此适用范围较广；,15,关注点3端到

6、端QOS,16,网络流量监控,网络应用分布,网络瓶颈分析,服务质量监控,网络故障分析,流量异常告警,关注点4网络流量统计分析,17,目录,1、电子政务建设概述2、网络架构详细分析 广域网架构分析 城域网架构分析 局域网架构分析3、政务网络案例分析,18,城域网建设的关注点,19,A,B,C,D,拥塞,关键业务带宽保证（公平算法RPR-fa）,带宽共享，为提高带宽利用率，建立公平机制 公平算法是全局的、基于整个环网级别的 通过监测流量、反压机制实现 带宽管理可保证高优先级数据和控制无阻塞 可通过设置节点的权重，实现加权公平,关注点1RPR环网,20,华为3COM的IP环网综合两种倒换方式的优点，

7、采取两者相结合的方式，先Wrapping后Steering，达到最优的保护性能。,A,B,C,D,E,F,A,B,C,D,E,F,A,B,C,D,E,F,正常情况下数据传送,故障顺利立即启用Wrap方式的保护,拓扑结构稳定后切换到Steering方式,Wrap绕回方式，在故障边节点处自动环回。特点：速度快，基本无数据丢失，缺点是浪费带宽。,Steering抄近方式，更改拓扑，重新计算路由。特点：速度慢，带宽利用高，但可能有数据丢失。,关注点1RPR环网,21,省政府,市政府,区县政府,省工商局,市工商局,区县工商局,省劳动厅,市劳动局,区县劳动局,纵向网络结构,横向网络结构,横向网络：信息共享

8、，跨部门协作,纵向网络：业务运作，行业管理与监管,关注点2MPLS VPN,22,工商,MCE,政务网,前置机,税务,CE,前置机,内部服务器,PE,PE,PE,内部服务器,注释:资源共享区前置机为一个共享VPN,其它职能部门前置机分别为独立的VPN为保证安全性，前置机与内部服务通过网闸进行数据交换各业务部门数据通过前置机上传到资源共享中心的数据库中优势：采集的信息数据在政务外网上以VPN的方式传递，保障了数据的安全性,前置VPN子接口,资源共享中心,数据库,前置机,共享资源网站入口,前置VPN子接口,公共前置VPN子接口,PE,关注点2MPLS VPN,FW,数据库,数据库,数据库,集中式互

9、访,23,注释:职能部门前置机分别为独立的VPN优势：采集的信息数据在政务外网上以VPN的方式传递，保障了数据的安全性，通过RT的灵活控制，实现不同职能部门前置机的受控互访集中式和分布式不是对立的，而是互补的关系,工商,政务网,前置机,税务,CE,前置机,工商信用服务器,PE,内部服务器,前置VPN子接口,前置VPN子接口,PE,PE,前置机,财政,CE,内部服务器,前置VPN子接口,MCE,关注点2MPLS VPN,分布式互访,24,政务外网,工商,CE,门户网站,税务,CE,门户网站,内部服务器,PE,PE,Internet vpn子接口,PE,Internet,Internet,注释:所

10、有对公众提供访问的WEB服务器放到一个Internet VPN，政务外网出口防火墙作为CE设备此方式适合门户网站采用ISP分配的地址优势：实现简单，一个大的VPN DNS规划简单劣势：政府部门访问政务外网门 户网站产生迂回路由，增加 防火墙负担,公众服务中心,数据库,对外发布门户网站,DNS,Internet vpn子接口,Internet vpn子接口,数据库,数据库,MCE,Internet vpn子接口,PE,防火墙可能执行一对一NAT操作,关注点2MPLS VPN,公众访问1,25,政务外网,工商,CE,门户网站,税务,CE,门户网站,内部服务器,PE,PE,公网子接口,防火墙可能执行

11、一对一NAT操作,PE,Internet,Internet,注释:传统实现方式优势：政府部门访问政务外网不 产生迂回路由劣势：如果采用ISP分配的地址，DNS规划复杂,公众服务中心,数据库,对外发布门户网站,DNS,公网子接口,公网子接口,数据库,数据库,MCE,PE,关注点2MPLS VPN,公众访问2,26,政务外网,工商,CE,门户网站,税务,CE,门户网站,内部服务器,PE,公网子接口,防火墙可能执行二次NAT操作,PE,Internet,Internet,注释:对于防火墙接入，可采用公网子接口对于MCE/PE接入，可采用VRF全局静态路由的方式，此方式的最大问题是部署的问题，也可以设

12、置一条全局缺省路由指向连接Internet的PE设备，通过这台PE设备中转流量如果采用ISP分配地址，DNS设计复杂,公众服务中心,数据库,对外发布门户网站,DNS,公网子接口,公网子接口,数据库,数据库,MCE,PE,PE,纵向VPN子接口,PE设备必须执行NAT转换,防火墙可执行NAT转换这时不用PE执行NAT操作,关注点2MPLS VPN,内部访问Internet,27,政务外网,税务,CE,数据中心,门户网站托管,公众服务区,PE,PE,公网子接口,PE,注释:门户网站分配两个IP地址，一个为纵向网私有地址，用于加入纵向VPN，进行维护。一个为政务外网IP地址，用于提供公共服务，门户网

13、站主机两网卡间不能起路由协议,门户网站托管,门户网站托管,门户网站托管,PE,PE,纵向VPN子接口,防火墙可能执行NAT-PT操作,Internet,私网IP,政务外网IP,维护数据流,Internet访问流量,关注点2MPLS VPN,托管网站维护,28,政务外网,注释:路由多实例设备（MCE）通过多个子接口上联到PE设备，其中公网子接口用于其余用户访问门户网站，纵向VPN子接口用于纵向系统访问，前置VPN子接口用于访问前置机。路由多实例完成安全隔离的功能。纵向用户访问公网通过纵向VPN子接口，此时需要PE设备VRF表设置多条静态路由指向发布公众服务的PE设备，缺省路由指向Internet

14、网关PE。纵向用户访问政府资源共享业务通过纵向VPN子接口访问。前置服务器和门户网站各分配两个IP地址，公有IP用于政务外网互访，私有IP为纵向网中地址，用于设备维护，前置服务器和门户网站两网卡间不能启用路由协议PE完成NAT多实例操作,前置服务器160。0。1。110。0。1。1,门户网站160。0。2。110。0。1。2,用户侧,公网子接口,前置VPN子接口,纵向VPN子接口,MCE,PE,关注点2MPLS VPN,接入方式MCE,29,政务外网,注释:此种方式适用于用户侧与政务外网相连链路不支持子接口链路。采用HOPE解决方案，政务外网PE设备为SPE，用户侧设备为UPE。SPE维护其通

15、过UPE连接的VPN所有路由，包括本地和远程Site的路由，但SPE不发布远程Site的路由给UPE，只发布VPN实例的缺省路由或聚合路由给UPE。UPE维护其直接相连的VPN Site的路由，但不维护VPN中其它远程Site的路由或仅维护它们的聚合路由。UPE为其直接相连的Site的路由分配内层标签，并通过MP-BGP随VPN路由发布此标签给SPE。NAT操作可以发生在SPE设备，也可以发生在UPE设备。其它与MCE接入方式一致。,前置服务器160。0。1。110。0。1。1,门户网站160。0。2。110。0。1。2,用户侧,公网子接口,前置VPN子接口,纵向VPN子接口,SPE,UPE,

16、接入方式UPE,关注点2MPLS VPN,30,政务外网,注释:防火墙采用子接口的方式上联到PE设备用户侧上行流量理论上可以访问任何信息资源下行流量只允许纵向VPN的流量通过。防火墙可执行NAT操作。,前置服务器160。0。1。110。0。1。1,门户网站160。0。2。110。0。1。2,用户侧,公网子接口,前置VPN子接口,纵向VPN子接口,PE,CE,接入方式防火墙,关注点2MPLS VPN,31,网络中的业务，哪些合法，哪些是违规的？网络中的数据流，哪些影响了我的网络运行？网络的流量如何，带宽需不需要扩容？链路拥塞，谁在消耗带宽？,网络环境日趋成熟，新业务不断出现；IT应用日益复杂化；

17、,用户需要统计分析工具来帮助其了解、分析进而管理网络中的流量资源，实现网络优化,关注点3流量分析,32,网络流量监控,网络应用分布,网络瓶颈分析,服务质量监控,网络故障分析,流量异常告警,网络可度量、可评估,关注点3NTA,NTA，Network Traffic Analysis，基于TCPIP协议四层的，针对应用服务流向进行分析的解决方案，用于对网络数据信息进行综合分析、挖掘的系统。,33,关注点3NTA,34,商务合同,MPLS 网络,关注点4MPLS VPN管理软件,35,MPLS L2 VPN,隧道,跨域,MPLS L3 VPN,第三方厂商设备,关注点4MPLS VPN管理软件,36,

18、规划,预览,调整,MPLS VPN业务管理Step By Step业务规划,37,端到端的业务部署,CE,PE,PE,定时任务,MPLS VPN业务管理可调度的业务部署,手工部署,38,MPLS VPN业务管理全网VPN视图,这个VPN有问题啦！,39,电子政务城域网（大型城市）,10G/2.5G RPR,核心层,汇聚层,GE,GE,GE,GE,用户接入层,城域核心路由器,城域核心路由器,城域核心路由器,城域核心路由器,汇聚层交换机,P,P,P,P,PE,PE,电子政务省干,省干地市路由器,CE,MCE,PE,GE,GE,FE,MCE,SDH,CE,汇聚层路由器,E1,N*E1,GE,FE,F

19、E,CE,CE,40,城域核心路由器主要提供高速数据转发，建议采用10G/2.5G RPR形成环网进行保护。,10G/2.5GRPR,NGE,城域核心路由器,10G/2.5GRPR,大型城域网设备选型建议城域核心路由器,功能要求MPLS VPN&MPLS TEACL，组播QoS(IP DiffServ&MPLS DiffServ)IPv6（硬件支持）可靠性要求关键部件冗余配置支持VRRP/HSRP支持NSF，GR接口要求10G/2.5G RPR2.5G POSGE,41,大型城域网设备选型建议汇聚层设备,汇聚层设备主要提供高密度GE/FE接入或E1接入，承担MPLS PE/MCE功能，PE要求

20、支持NAT多实例。,GE,GE,GE,功能要求MPLS VPN NAT多实例ACL，组播QoS(IP DiffServ&MPLS DiffServ)可靠性要求关键部件冗余配置支持VRRP/HSRP接口要求GE/FEE1,GE,GE,E1,GE,E1,FE,GE,FE,汇聚交换机做PE,汇聚路由器做PE,汇聚交换机做MCE,42,电子政务城域网（中型城市）,GE,GE,GE,城域核心交换机,省干接入,城域核心交换机,汇聚层,地市骨干路由器,电子政务省干,省干地市路由器,核心层,用户接入层,CE,GE,PE,PE,PE,城域汇聚交换机,城域汇聚交换机,城域汇聚交换机,GE,CE,CE,CE,CE,

21、CE,FE,GE,GE,GE,GE,GE,P,P,P/PE,43,中型城域网设备选型建议,GE,GE,GE,功能要求MPLS VPN NAT多实例ACL，组播QoS(IP DiffServ&MPLS DiffServ)可靠性要求关键部件冗余配置支持VRRP/HSRP接口要求GE/FE,GE,GE,GE,GE,FE,城域核心交换机做P,城域汇聚交换机做PE,44,电子政务城域网（小型城市）,FE,GE,城域核心交换机,省干接入,城域核心交换机,用户接入层,地市骨干路由器,电子政务省干,省干地市路由器,核心层,GE,GE,CE,CE,CE,CE,PE,PE,P/PE,45,小型城域网设备选型建议,

22、功能要求MPLS VPN NAT多实例ACL，组播QoS(IP DiffServ&MPLS DiffServ)可靠性要求关键部件冗余配置支持VRRP/HSRP接口要求GE/FE,GE,GE,GE,FE,城域核心交换机做PE,46,目录,1、电子政务建设概述2、网络架构详细分析 广域网架构分析 城域网架构分析 局域网架构分析3、政务网络案例分析,47,局域网建设的关注点,48,补丁策略防病毒策略用户身份管理策略应用系统使用策略网络资源访问策略其它策略,难执行！,用户不重视 不能及时准确了 解终端的安全状况 有意违反 无法强制执行,主要原因,用户安全管理策略,缺乏有效的技术手段实现终端安全、身份认

23、证、资源访问权限的统一管理！,关注点1用户接入控制,49,端点准入防御（EAD，Endpoint Admission Defense）解决方案从网络接入端点的安全控制入手，通过安全客户端、安全策略服务器、网络设备以及第三方软件的联动，对接入网络的用户终端强制实施企业安全策略。,关注点1用户接入控制,与防病毒软件联动防御隔离防御能力脆弱的用户终端及时更新系统补丁，提高抵抗力,提高用户终端的主动防御能力,身份认证与防御能力认证结合与专业防病毒系统联动多重权限控制(VLAN/ACL/QoS),多种安全部件的联动防御,用户安全接入策略的统一管理组织级安全策略的强制实施用户安全状态的集中审计,集中策略实

24、施与管理,事前：用户身份和防御能力认证事中：用户安全状态和行为的监控事后：用户安全状态和行为的审计,以用户为中心的全程管理,主动防御,全面防御,集中策略管理,以用户为中心,50,关注点1用户接入控制,51,个人用户性能和安全性更高。目前局域网大部分均采用私网地址，IP地址资源一般都比较充裕，可以采用30位掩码划分网段，一个用户一个网段，并且一个网段内最多也只能接入一个用户，所有用户之间的互访均通过三层交换实现。采用这种三层到桌面的方式可以有效隔离用户之间的二层报文，包括二层广播报文以及二层的攻击报文，可以极大提高用户的个人安全。同时，采用一个用户一个网段、一个网段最多一个用户的策略，可以彻底杜

25、绝用户IP地址假冒的问题，因为不同端口的网段均不相同，即使有人假冒他人的IP地址也无法实现网络接入。网络整体性能和安全性提高。通过三层到桌面的方式，整个网络中将不再有二层报文，二层攻击事件彻底杜绝，设备与设备之间的级连链路上将只有三层报文流通，极大提高了网络带宽的利用率与网络的安全性。,关注点2三层到桌面,52,传统交换网络不足,冗余是通过网络规划来实现，难以均衡，属于被动方式通常每台设备都需要一个管理IP地址，设备众多，管理不便LACP不能跨设备初期组网投资较大,关注点3智能弹性架构,传统网络的问题,53,IRF介绍,关注点3智能弹性架构,设备级可靠服务器接入设备,IRF,数据中心 Serv

26、er Farm,提高网络可靠性实现跨设备端口捆绑,没有单点故障IRF设备对外来看是一个设备,实现1:N备份实现基于IRF路由热备份环状IRF结构具有高度可靠性，任何情况下的环形链路被断开均不影响整个IRF结构正常业务处理,基于IRF架构保障服务器接入的高可靠性,54,关注点3智能弹性架构,55,关注点4万兆骨干、千兆桌面,桌面网络资源的不足已经严重滞后了工作效率用户的工作平台首先是一个网络平台。与工作伙伴、外部客户、内部核心服务器等大量数据、信息的交流沟通日益成为工作的核心。组播或视频点播、带大附件的电子邮件、文件传输器、按需备份和恢复、CRM/ERP以及Web和Java工具等多种应用都成为吞

27、噬带宽的杀手，千兆位以太网逐渐延伸到桌面已经成为最迫切的需要之一。需要大容量带宽的语音、视频、多媒体等应用很得“民心”，网络的价值正在快速显现。社会经济的快速发展，企业、政府、教育、金融、电力等等多种行业不断追求办公、办事效率的优化，同样对高带宽办公网有着迫切的需求。,56,关注点4万兆骨干、千兆桌面,技术层面千兆、万兆以太网技术已经相当成熟。大家都希望能够获得最大带宽，但是没有人希望自己的网络成天出问题，为了解决网络问题绞尽脑汁、疲于奔命。对新技术稳定性的担忧一度阻碍了千兆、万兆的大规模应用。千兆和万兆的标准已经相当完善。万兆以太网2002年就已经提出并通过IEEE评审发布，而1000BAS

28、E-T的标准（802.3ab）早在1999年就已经发布，并且采用标准第5类（Cat 5）铜线电缆传送信号，这使得大部分网络改造无需重新布线。千兆接口可以通过自适应技术兼容以前的10M、100M终端。技术的标准化大大推动了千兆、万兆技术的发展和应用，目前，客户对于千兆甚至万兆稳定性的担忧正逐渐成为过去。,57,关注点4万兆骨干、千兆桌面,价格层面价格的大幅下降是实现“千兆到桌面”的前提条件要规模应用就必须在价格上使客户能够接收，特别是在接入侧端口数量巨大，价格的影响不容忽视。千兆网卡的大量应用。目前新的PC主板中很多已经包含了内置的千兆网卡。千兆网卡的价格已经接近百兆网卡，一些厂商的10/100

29、/1000M网卡价格已经降低到100元左右。半导体技术的发展。半导体技术的发展拉动了“千兆到桌面”的发展。千兆网络芯片市场竞争激烈，芯片网端口的价格大幅下降，网络用户成为最大的获益者。万兆价格的下滑。目前高密度万兆接口板的推出及万兆端口价格的下滑，使万兆的应用范围从核心向边缘甚至接入层迁移，也极大的促进了千兆到桌面的发展。,58,关注点4WLAN,部署无线局域网，凡是自由空间均可连接网络，不受限于线缆和端口位置,办公大楼,接待室,室外,休息室,59,关注点4多业务融合,政府下属单位,汇接PBX,办公PBX,交换机 路由器,交换机 路由器,2ME1,155M/622M,网关,网关,CS,MCU,

30、会议电视,会议电视,MCU,可视电话,IP电话,可视电话,IP电话,60,成功案例分析,公安部新大楼高检院新大楼知识产权局新大楼北京高法院新大楼,用户接入控制三层到桌面智能弹性架构万兆主干，千兆桌面,关注点,61,Floor1,2#S6506R,1#S6506R,4#S6506R,6#S6506R,3#S6506R,Floor8,2#S6506R,1#S6506R,4#S6506R,6#S6506R,3#S6506R,网络接入层,网络管理层,核心交换机,10GE,10GE,网管中心,网络核心层,Web/Mail/DNS,千兆链路,公安部新办公大楼局域网,GE,2GE,GE,GE,GE,GE,公

31、安部一级网,核心交换机,CAMS认证服务器,62,网络接入层,网络管理层,S8512,S8512,10GE,CAMS用户认证平台,网管中心,Web/Mail/DNS,GE,最高人民检察院新办公大楼局域网,检察院一级网,网络核心层,2#配线间,3#配线间,4#配线间,5#配线间,6#配线间,7#配线间,8#配线间,4*GE,10GE,2*10GE,2*10GE,2*10GE,4*GE,2*GE,9#配线间,10#配线间,11#配线间,12#配线间,13#配线间,14#配线间,15#配线间,2*10GE,4*GE,4*GE,4*GE,各配线间接入交换机通过双链路双归属方式接入核心交换机,GE,XL

32、og日志服务器,DIG日志采集器,端口镜像,63,知识产权局局域网设计拓扑图,业务楼局域网,主楼局域网,老的网络,新建网络,S8512,S8512,S8512,S8512,S8512,Passport 8610,Passport 8610,Passport 8010,Passport 8010,服务器接入交换机,服务器接入交换机,Quidview网管系统,S6506R,S6506R,万兆,64,网络中心,业务服务器群,S8512,Quidview网络管理平台,业务服务器群,S8512,政务内网千兆光纤到桌面,政务内网千兆双绞线到桌面,S5516*6台,S6506*18台,S5024G*3台,N

33、E40-8,高法广域网,北京市高级人民法院局域网,65,目录,1、电子政务建设概述2、网络架构详细分析 3、政务网络案例分析,66,NE40,NE40,NE40,NE40,核心层,汇聚层,接入层,PE,GE,P,P,P,GE,GE,GE,GE,FE/GE,FE/GE,FE/GE,FE/GE,P,PE,PE,PE,PE,PE,PE,PE,PE,PE,PE,PE,NE40,NE40,NE40,NE40,NE40,NE40,NE40,NE40,NE80,NE80,NE80,NE80,RPR(2.5G),天津电子政务网RPR/MPLS/MPLS管理,67,国家电子政务外网MPLS跨域/流量分析,国家电

34、子政务外网,整网包括中央城域网、广域骨干网、互联网出口、中央网络管理中心、省市接入网、中央部委局署接入网.整网采用华为3COM公司NE系列高端路由器产品，共计6台NE80E和50余台NE40，整网支持MPLS VPN业务的开展.,68,俄罗斯政府网覆盖了1个中心城市，2个中型城市和33个小城市；国家骨干网采用NE80/40核心路由器组成RPR环分布于各地区，为全国提供高质量MPLS VPN服务；华为3Com全系列产品保证高度可靠性和扩展性,并提供VoIP，视频会议，拨号接入等功能。,Russia,“数字化俄罗斯”Russia E-Government,俄罗斯莫斯科红场,数字化俄罗斯RPR/MPLS,69,Q&A,