电子政务外网师级网络探讨课件

电子政务外网师级网络调整优化探讨电子政务外网师级网络调整优化探讨电子政务外网师级网络调整优化探讨电子政务外网师级网络调整优化探讨兵团电子政务外网项目Xinjiang production and construction corps e-government projectXinjiang production and construction corps e-government project 新疆兵团信息技术服务中心新疆兵团信息技术服务中心2013-1-12013-1-1电子政务外网师级网络调整优化探讨兵团电子政务外网项目Xin目录目录n电子政务外网师级网络整体设计架构n师级网络整体结构改造优化总体思路n广域骨干区调整优化n城域网核心调整优化n互联网区调整优化n数据中心区调整优化目录电子政务外网师级网络整体设计架构第一部分总体结构第一部分电子政务外网师级网络整体设计架构电子政务外网师级网络整体设计架构师级电子政务外网的设计框架分为广域骨干网、城域网、数据中心、专网接入、互联网接入5个部分电子政务外网师级网络整体设计架构师级电子政务外网的设计框架分各师现有实际网络结构图各师现有实际网络结构图各师现有实际网络结构图目前存在的问题目前存在的问题1、互联网访问问题师局域网互联网接入客户端病毒、P2P下载等问题，互联网服务器区安全问题，团场互联网接入占用出口带宽问题，互联网和专网接入客户端相互干扰问题。2、广域网带宽占用问题团级互联网接入占用广域网带宽，各专网带宽分配3、跨部门资源访问问题划分专网相互隔离后访问公共资源目前存在的问题1、互联网访问问题总体调整思路总体调整思路1、将互联网和外网尽量清晰划分出来建议将师级局域网中互联网接入和专网独立开来，并将师级和团级互联网和外网界面清晰化，以便当互联网出现问题时可以很容易将互联网从外网中独立开来。2、在互联网区域内加强安全防护在出口部署带宽管理设备、在网内部署身份认证设备、多出口考虑负载均衡设备等提高互联网访问速度和安全。3、在广域网进行带宽优化，设置QOS限制互联网访问带宽，分配各专网带宽4、加强公用网服务区资源建设丰富公用网服务区资源建设，丰富外网资源等，允许各专网访问公用服务网5、提高终端设备复用率考虑采用身份认证等方式方便用户根据用户名或CA证书等接入不同网络提高终端设备复用率（探讨）总体调整思路1、将互联网和外网尽量清晰划分出来调整后网络总体示意图调整后网络总体示意图调整后网络总体示意图第二部分广域骨干网调整优化第二部分一、广域骨干网总体优化方式一、广域骨干网总体优化方式优化师到团广域网访问方式1、提高广域网带宽（4M-10M、10M-20M等）2、配置带宽策略（QOS，增加带宽管理设备，带宽防护（利用安全设备等）3、增加某专网线路，然后利用MPLSVPN策略路由选路一、广域骨干网总体优化方式优化师到团广域网访问方式二、广域骨干网二、广域骨干网QOSQOS带宽管理配置带宽管理配置1、在团级局域网接入口对不同专网进行着色，标示出不同的专网来2、在团级路由器出口配置带宽管理，指定标示出专网带宽3、在师级城域网核心路由器局域网接入口对不同专网进行着色，标示出不同的专网4、在师级广域网路由接口配置带宽管理，指定标示出专网带宽INTERNETVPN_caiwuVPN_xinfangINTERNET:2MVPN_caiwu:1MVPN_xinfang:1MINTERNETVPN_caiwuVPN_xinfangINTERNET:2MVPN_caiwu:1MVPN_xinfang:1M二、广域骨干网QOS带宽管理配置1、在团级局域网接入口对不同2.32.3广域骨干网广域骨干网QOSQOS带宽管理配置举例带宽管理配置举例一、在师级城域网核心路由器SR6616(Xs-cyw-hx-sr6616-RT-1)1建立访问控制列表，指定各VPN流量aclnumber3010rule10permitipvpn-instanceinternetaclnumber3011rule10permitipvpn-instanceVPN_caiwuaclnumber3012rule10permitipvpn-instanceVPN_xinfang2.3广域骨干网QOS带宽管理配置举例一、在师级城域网核心路广域骨干网广域骨干网QOSQOS带宽管理配置举例带宽管理配置举例2设定各专网流量，定义标示trafficclassifierinternetoperatorandif-matchacl3010trafficbehaviorexp1remarkmpls-exp1trafficclassifiercaiwuoperatorandif-matchacl3011trafficbehaviorexp2remarkmpls-exp2trafficclassifierxinfangoperatorandif-matchacl3012trafficbehaviorexp3remarkmpls-exp3广域骨干网QOS带宽管理配置举例2设定各专网流量，定义标示广域骨干网广域骨干网QOSQOS带宽管理配置举例带宽管理配置举例3在入口接口进行着色qospolicymarkexpclassifierinternetbehaviorexp1classifiercaiwubehaviorexp2classifierxinfangbehaviorexp3interfaceGigabitEthernet2/0/1.101qosapplypolicymarkexpinboundinterfaceGigabitEthernet2/0/1.509qosapplypolicymarkexpinboundinterfaceGigabitEthernet2/0/1.506qosapplypolicymarkexpinbound广域骨干网QOS带宽管理配置举例3在入口接口进行着色广域骨干网广域骨干网QOSQOS带宽管理配置举例带宽管理配置举例二、在广域网核心路由器SR6616(Xs-gyw-hx-sr6616-RT-1)1设定标志为EXP1(INTERNET)，设定带宽为最大带宽的20%设定标志为EXP2(caiwu)，设定带宽为最大带宽的10%设定标志为EXP3(xinfang)，设定带宽为最大带宽的10%trafficclassifierexp1operatorandif-matchmpls-exp1trafficbehavioref20%queueefbandwidthpct20trafficclassifierexp2operatorandif-matchmpls-exp2trafficbehavioref10%queueefbandwidthpct10trafficclassifierexp3operatorandif-matchmpls-exp3trafficbehavioref10%queueefbandwidthpct10广域骨干网QOS带宽管理配置举例二、在广域网核心路由器SR6广域骨干网广域骨干网QOSQOS带宽管理配置举例带宽管理配置举例2在广域网接口设定最大带宽，应用QOS策略qospolicymplsqosclassifierexp1behavioref20%classifierexp2behavioref10%classifierexp3behavioref10%interfaceEthernet1/2/7.1qosmax-bandwidth10240qosapplypolicymplsqosoutboundinterfaceEthernet1/2/7.2qosmax-bandwidth10240qosapplypolicymplsqosoutbound广域骨干网QOS带宽管理配置举例2在广域网接口设定最大带宽，广域骨干网广域骨干网QOSQOS带宽管理配置举例带宽管理配置举例三、在团级路由器MSR5040上配置1建立访问控制列表，指定各VPN流量aclnumber3010rule10permitipvpn-instanceinternetaclnumber3011rule10permitipvpn-instanceVPN_caiwuaclnumber3012rule10permitipvpn-instanceVPN_xinfang2设定各专网流量，定义标示trafficclassifierinternetoperatorandif-matchacl3010trafficbehaviorexp1remarkmpls-exp1trafficclassifiercaiwuoperatorandif-matchacl3011trafficbehaviorexp2remarkmpls-exp2trafficclassifierxinfangoperatorandif-matchacl3012trafficbehaviorexp3remarkmpls-exp3广域骨干网QOS带宽管理配置举例三、在团级路由器MSR504广域骨干网广域骨干网QOSQOS带宽管理配置举例带宽管理配置举例三、在团级路由器MSR5040上配置3在入口接口进行着色qospolicymarkexpclassifierinternetbehaviorexp1classifiercaiwubehaviorexp2classifierxinfangbehaviorexp3interfaceGigabitEthernet0/1.101qosapplypolicymarkexpinboundinterfaceGigabitEthernet0/1.509qosapplypolicymarkexpinboundinterfaceGigabitEthernet0/1.506qosapplypolicymarkexpinbound广域骨干网QOS带宽管理配置举例三、在团级路由器MSR504广域骨干网广域骨干网QOSQOS带宽管理配置举例带宽管理配置举例四、在团级路由器MSR5040上配置4设定标志为EXP1(INTERNET)，设定带宽为最大带宽的20%，设定标志为EXP2(caiwu)，设定带宽为最大带宽的10%设定标志为EXP3(xinfang)，设定带宽为最大带宽的10%trafficclassifierexp1operatorandif-matchmpls-exp1trafficbehavioref20%queueefbandwidthpct20trafficclassifierexp2operatorandif-matchmpls-exp2trafficbehavioref10%queueefbandwidthpct10trafficclassifierexp3operatorandif-matchmpls-exp3trafficbehavioref10%queueefbandwidthpct10广域骨干网QOS带宽管理配置举例四、在团级路由器MSR504广域骨干网广域骨干网QOSQOS带宽管理配置举例带宽管理配置举例四、在团级路由器MSR5040上配置5在广域网接口设定最大带宽，应用QOS策略qospolicymplsqosclassifierexp1behavioref20%classifierexp2behavioref10%classifierexp3behavioref10%interfaceEthernet0/0qosmax-bandwidth10240qosapplypolicymplsqosoutbound广域骨干网QOS带宽管理配置举例四、在团级路由器MSR504三、增加带宽管理设备三、增加带宽管理设备1、在团级局域网核心交换机和团级核心路由器之间增加带宽管理或安全防护设备，采用TRUNK透明模式部署，对进入路由器的流量进行带宽控制及安全防护带宽管理设备局域网核心交换机团级核心路由器师级广域网核心路由器三、增加带宽管理设备1、在团级局域网核心交换机和团级核心路由四、团级防火墙改造（近期进行）四、团级防火墙改造（近期进行）1、利用原团场闲置防火墙，在团级局域网核心交换机和团级核心路由器之间采用TRUNK透明模式部署2、配置步骤如下：(1)将防火墙设置为透明模式，将ETH1（内、团）和ETH2（外、师）设置为TRUNK，分别接入核心交换机和团场路由器MSR5040(2)建立允许通过的vlan，包括(internet，各专网的VLAN）(3)设定管理VLANIP地址（data-managerVPN内）(4)允许师部进行管理访问防火墙(5)设定安全策略，默认策略允许ETH1(团)ETH2（师）访问，屏蔽常见病毒端口（4444,69.135等），禁止ETH2（师）ETH1（团）访问(6)开启防火墙IPS等功能团级防火墙局域网核心交换机团级核心路由器师级广域网核心路由器四、团级防火墙改造（近期进行）1、利用原团场闲置防火墙，在团五、增加专网线路、配置路由策略选路五、增加专网线路、配置路由策略选路1、某些专网提供额外专网线路，可以考虑将其专网指定到该线路。2、可采用两种方法实现路由选路方法1：将该增加线路绑定到该专网VPN中，采用ospf进行动态路由学习，由于OSPF的优先级高于BGP，主线路会走增加线路。备用走我们的主线路方法2：采用MPLSTE建立流量工程隧道，指定主线路和备用线路，然后将该VPN引入到隧道中。局域网核心交换机团级核心路由器师级广域网核心路由器VPN1五、增加专网线路、配置路由策略选路1、某些专网提供额外专网线5.15.1、路由选路配置举例、路由选路配置举例方法方法1 1团级路由器MSR5040配置interfaceGigabitEthernet8/0ipbindingvpn-instanceVPN_11ipaddress10.111.1.1255.255.255.0ospf60011vpn-instanceVPN_11import-routebgptype1area0.0.0.0network10.111.1.00.0.0.255bgp65445ipv4-familyvpn-instanceVPN_11import-routedirectimport-routeospf60011师级广域网核心路由器SR6616配置interfaceGigabitEthernet7/0/1.11ipbindingvpn-instanceVPN_11ipaddress10.111.1.2255.255.255.0ospf60011vpn-instanceVPN_11import-routebgptype1area0.0.0.0network10.111.1.00.0.0.255bgp65445ipv4-familyvpn-instanceVPN_11import-routedirectimport-routeospf600115.1、路由选路配置举例方法1团级路由器MSR5040配置5.25.2、路由选路配置举例、路由选路配置举例方法方法2 2配置参考mplsmplstemplstecspfInterfaceg5/1mplsteospfopaque-capabilityenablearea0mpls-teenableexplicit-pathmainnexthop3.0.0.1nexthop3.3.3.3interfaceTunnel0ipaddress10.0.0.1255.255.255.252tunnel-protocolmplstedestination3.3.3.3mplsterecord-routelabelmplstebandwidthbc050000/指定显式路径指定显式路径mplstepathexplicit-pathmainmplstefast-reroutemplstecommitipvpn-instancevpn1route-distinguisher100:1vpn-target100:1bothtnl-policypolicy1tunnel-policypolicy1tunnelselect-seqcr-lspload-balance-number1interfacegigabitethernet1/0ipbindingvpn-instancevpn1ipaddress192.168.1.1255.255.255.05.2、路由选路配置举例方法2配置参考explicit-第三部分城域网调整优化第三部分城域网调整建议城域网调整建议1、师级城域网络将专网和互联网接入分离（布线系统分开）专网核心交换机互联网核心交换机城域网调整建议1、师级城域网络将专网和互联网接入分离（布线系城域网调整建议城域网调整建议2、团级城域网络将专网和互联网接入设备和接口分开专网核心交换机互联网核心交换机团级核心交换机BD3928团级互联网接入交换机BD2528师级城域网核心路由器团级核心路由器MSR5040师级广域网核心路由器城域网调整建议2、团级城域网络将专网和互联网接入设备和接口分城域网专网接入（师级）城域网专网接入（师级）熟悉专网接入方式，便于各部门接入咨询城域网专网接入（师级）熟悉专网接入方式，便于各部门接入咨询城域网专网接入（师级）城域网专网接入（师级）熟悉专网接入方式，便于各部门接入咨询接入方式：统计局部门的专网数据中心通过防火墙与兵团电子政务外网数据中心的核心交换机互联。设备配置：需要配置一台高性能防火墙，至少提供两个千兆接口，一个用于连接兵团外网数据中心核心交换，一端用于连接部门专网数据中心。数据中心数据中心机关局域网机关局域网接入方式：师级机关部门专网位于机关大楼内，将其部门划分到一个VLAN，二层透传到兵团电子政务外网城域网核心路由器，网关落在城域网核心路由器上，并封装到专网VPN中。设备配置：机关部门专网位于机关大楼内，大楼已部署接入交换机，无需配置额外网络设备。分散单位分散单位接入方式：专线接入，城域网路由器MSR5040设备配置：推荐路由器、防火墙（互指路由），交换机也可（网关落到MSR5040上）接入方式：非专线接入，接入互联网防火墙（东软）设备配置：防火墙（IPSECVPN）接入方式：移动客户端，接入互联网防火墙（东软）设备配置：软客户端，CA证书（KEY）城域网专网接入（师级）熟悉专网接入方式，便于各部门接入咨询接城域网专网接入（团级）城域网专网接入（团级）熟悉专网接入方式，便于各部门接入咨询城域网专网接入（团级）熟悉专网接入方式，便于各部门接入咨询城域网专网接入（团级）城域网专网接入（团级）熟悉专网接入方式，便于各部门接入咨询机关局域网机关局域网接入方式：团级机关部门专网位于机关大楼内，将其部门划分到一个VLAN，二层透传到兵团电子政务外网核心路由器，网关落在核心路由器上，并封装到专网VPN中。设备配置：机关部门专网位于机关大楼内，大楼已部署接入交换机，无需配置额外网络设备。（信息点多加交换机）分散单位分散单位接入方式：专线接入，BD3928E设备配置：推荐交换机（网关落到团核心MSR5040上）接入方式：非专线接入，接入师互联网防火墙（东软）设备配置：防火墙（IPSECVPN）接入方式：移动客户端，接入互联网防火墙（东软）设备配置：软客户端，CA证书（KEY）城域网专网接入（团级）熟悉专网接入方式，便于各部门接入咨询机第四部分互联网调整优化第四部分互联网调整互联网调整1、师级VPN改造（外网、互联网）互联网防火墙互联网服务区核心交换机互联网服务区服务器外网数据中心核心交换机BD8506城域网核心路由器SR6616公用网服务区专网服务区互联网VPN外网VPN互联网调整1、师级VPN改造（外网、互联网）互联网防火墙互联互联网调整互联网调整2、加强现有安全设备策略配置1、加强出口防火墙安全策略配置，关闭不对外提供服务的端口等2、更新补丁、防病毒软件，防止弱口令等安全隐患3、建立日志服务器，将重要设备日志保存至日志服务器互联网调整2、加强现有安全设备策略配置1、加强出口防火墙安全互联网增加安全设备示意图互联网增加安全设备示意图3、增加互联网安全保护设备（IPS，行为管理、带宽管理，终端管理等）互联网增加安全设备示意图3、增加互联网安全保护设备（IPS，安全设备推荐部署安全设备推荐部署序号产品名称描述部署位置解决风险数量1防病毒网关系统用于访问控制、网络边界恶意代码防范、应用层综合防御互联网出口与核心交换区边界结构安全12上网行为管理系统用于访问控制、应用层的控制与审计互联网出口与核心交换区边界行为审计13入侵防御系统用于应用层综合防御互联网服务区边界入侵防范14运维保垒主机系统用于日常运维操作行为审计综合管理区抗抵赖、运维操作审计、防止审计日志被非法删除15统一身份管控系统用于全局业务系统的身份管理、认证管理、权限分配、应用审计综合管理区身份签别、应用安全、应用审计26SOC安全管理平台用于网络设备、服务器设备的统一安全管理，海量日志信息的采集、存储、管理、分析等综合管理区系统建设管理、系统安全运维17数据备份与恢复系统用于主机设备、数据库、应用程序数据备份与恢复综合管理区数据完整性、备份与恢复18终端准入系统用于终端设备的安全准入、补丁更新、资产管理等综合管理区主机安全19网络版防病毒软件用于终端设备的恶意代码防护综合管理区主机安全1安全设备推荐部署序号产品名称描述部署位置解决风险数量1防病毒ITIT运维系统运维系统建议使用各师部署的IT运维系统，实现运行监控和运维管理IT运维系统建议使用各师部署的IT运维系统，实现运行监控和运完善身份认证系统和单点登录完善身份认证系统和单点登录完善身份认证系统和单点登录第五部分数据中心调整优化第五部分数据中心调整优化数据中心调整优化1、完善数据中心结构，增强数据中心安全性1、补充完善数据中心结构，增加公用服务区交换机，部署公用网服务区防火墙、补充完善数据中心结构，增加公用服务区交换机，部署公用网服务区防火墙2、要求各专网接入均需部署防火墙等安全设备、要求各专网接入均需部署防火墙等安全设备数据中心调整优化1、完善数据中心结构，增强数据中心安全性1、数据中心调整优化数据中心调整优化2、共享数据服务区的重点建设（各专网均能访问）城域网核心路由器SR6616上配置aclnumber3000rule5permitipvpn-instanceintranetdestination59.0.0.00.255.255.255rule12permitipvpn-instancejianshehuanbaojudestination59.0.0.00.255.255.255rule14permitipvpn-instanceVPN_tongjidestination59.0.0.00.255.255.255rule15permitipvpn-instanceVPN_guotudestination59.0.0.00.255.255.255rule16permitipvpn-instanceVPN_xinfangdestination59.0.0.00.255.255.255rule17permitipvpn-instanceVPN_shenjidestination59.0.0.00.255.255.255rule19permitipvpn-instanceVPN_caiwudestination59.0.0.00.255.255.255nataddress-group059.223.X.159.223.X.1interfaceGigabitEthernet2/2/6.600natoutbound3000address-group0vpn-instancedata-managerinterfaceGigabitEthernet2/2/6.601natoutbound3000address-group0vpn-instancedata-managerinterfaceGigabitEthernet2/2/7natoutbound3000address-group0vpn-instancedata-manager数据中心调整优化2、共享数据服务区的重点建设（各专网均能访问数据中心调整优化数据中心调整优化城域网核心路由器SR6616上配置iproute-staticvpn-instanceVPN_tongji59.0.0.0255.0.0.0NULL0iproute-staticvpn-instanceVPN_guotu59.0.0.0255.0.0.0NULL0iproute-staticvpn-instanceVPN_xinfang59.0.0.0255.0.0.0NULL0iproute-staticvpn-instanceVPN_shenji59.0.0.0255.0.0.0NULL0iproute-staticvpn-instanceVPN_caiwu59.0.0.0255.0.0.0NULL0ipvpn-instanceVPN_xinfangvpn-target64100:1064000:10import-extcommunityipvpn-instanceVPN_shenjivpn-target64100:1064000:10import-extcommunityipvpn-instanceVPN_caiwuvpn-target64100:1064000:10import-extcommunityipvpn-instanceVPN_guotuvpn-target64100:1064000:10import-extcommunity数据中心调整优化城域网核心路由器SR6616上配置数据中心调整优化数据中心调整优化城域网核心路由器SR6616上配置bgp65445ipv4-familyvpn-instanceVPN_xinfangimport-routedirectimport-routestatic#ipv4-familyvpn-instanceVPN_caiwuimport-routedirectimport-routestatic#ipv4-familyvpn-instanceVPN_tongjiimport-routedirectimport-routestatic数据中心调整优化城域网核心路由器SR6616上配置谢谢！谢谢！谢谢！谢谢！谢谢！