書(shū)名: 廣域網(wǎng)架構(gòu)與路由技術(shù)項(xiàng)目教程作者名: 陳敏主編本章字?jǐn)?shù): 2671字更新時(shí)間: 2018-12-29 09:21:03
1.2 技術(shù)方案設(shè)計(jì)
1.2.1 網(wǎng)絡(luò)結(jié)構(gòu)設(shè)計(jì)
1.廣域網(wǎng)設(shè)計(jì)
(1)省局到地市局廣域網(wǎng)設(shè)計(jì)
省局到地市局之間的廣域網(wǎng)規(guī)劃設(shè)計(jì)如下。
省局新增2臺(tái)路由器下連地市局的1臺(tái)新增路由器和1臺(tái)交換機(jī),實(shí)現(xiàn)雙設(shè)備雙線路從地市局到省局。線路類(lèi)型為聯(lián)通MSTP線路20M(原有)和電信SDH線路捆綁10個(gè)E1 (新增),示意圖如圖1-2所示。

圖1-2 省局到地市局廣域網(wǎng)結(jié)構(gòu)
(2)地市局到區(qū)縣局廣域網(wǎng)設(shè)計(jì)
地市局到區(qū)縣局之間的廣域網(wǎng)鏈路采用兩條線路連接各區(qū)縣局,線路類(lèi)型為1條SDH線路(新增)、一條MSTP(4M,原有)線路,示意圖如圖1-3所示。

圖1-3 地市局到區(qū)縣局廣域網(wǎng)結(jié)構(gòu)
(3)區(qū)縣局到分局廣域網(wǎng)設(shè)計(jì)
分局現(xiàn)有網(wǎng)絡(luò)結(jié)構(gòu)基本不變,即分局交換機(jī)采用MSTP線路連接到縣局廣域網(wǎng)核心交換機(jī)或者地市廣域網(wǎng)核心交換機(jī)。
2.局域網(wǎng)設(shè)計(jì)
局域網(wǎng)設(shè)計(jì)包括省局局域網(wǎng)設(shè)計(jì)、地市局局域網(wǎng)設(shè)計(jì)、縣局局域網(wǎng)設(shè)計(jì)、分局局域網(wǎng)設(shè)計(jì),其網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)略。
3.網(wǎng)絡(luò)改造完成后整體拓?fù)鋱D
網(wǎng)絡(luò)改造完成后整體拓?fù)鋱D如圖1-4所示。

圖1-4 ××省金稅三期網(wǎng)絡(luò)工程拓?fù)鋱D
1.2.2 網(wǎng)絡(luò)路由規(guī)劃
1.整體路由規(guī)劃
根據(jù)省網(wǎng)架構(gòu)的設(shè)計(jì),省-地市-縣-所四級(jí)結(jié)構(gòu)的路由總體設(shè)計(jì)如圖1-5所示。
骨干接入路由器與省核心路由器之間建立EBGP鄰居關(guān)系,相互交換視頻/語(yǔ)音業(yè)務(wù)、稅務(wù)業(yè)務(wù)、辦公業(yè)務(wù)及其他業(yè)務(wù)路由,EBGP路由邊界在骨干接入路由器、省核心路由器上。
在省-地市-縣之間運(yùn)行OSPF動(dòng)態(tài)路由,省至市在骨干區(qū)域0中,區(qū)域0延伸至地市路由器和交換機(jī)上行廣域網(wǎng)口。每個(gè)地市分配一個(gè)OSPF區(qū)域,每個(gè)區(qū)域從地市延伸到縣局路由器、交換機(jī)的廣域網(wǎng)口??h局路由器、交換機(jī)到分局交換機(jī)采用靜態(tài)路由,并重分布至OSPF區(qū)域里。
分局采用默認(rèn)路由指向上連路由器或交換機(jī),即保持現(xiàn)有方式不變。

圖1-5 總體路由設(shè)計(jì)
2.動(dòng)態(tài)路由協(xié)議OSPF規(guī)劃
整個(gè)省網(wǎng)的廣域網(wǎng)、局域網(wǎng)在同一個(gè)OSPF進(jìn)程中。省核心路由器與相應(yīng)的地(市)路由器之間的廣域網(wǎng)接口和互連接口劃分在骨干區(qū)域Area 0中,省和地市的路由器作為ABR,地(市)與所屬的區(qū)(縣)路由器劃分在非骨干區(qū)域的Area N中。這樣劃分區(qū)域的好處在于:把ABR分散到地市核心路由器上,避免省核心路由器上區(qū)域和子接口過(guò)多,分擔(dān)省核心路由器壓力,提高穩(wěn)定性。
兩臺(tái)地市核心路由器互聯(lián)采用2個(gè)接口,一個(gè)劃分到Area 0中,一個(gè)劃分到Area N中。這樣的好處在于避免線路故障情況下,形成區(qū)域孤島引起選路繞行。
所有互聯(lián)的廣域網(wǎng)接口以及互聯(lián)的局域網(wǎng)接口,設(shè)置OSPF network類(lèi)型為點(diǎn)到點(diǎn)(Point-to-Point),避免DR/BDR選舉過(guò)程,加快鄰居Full速度。
在局域網(wǎng)的三層邊緣設(shè)備上對(duì)連接業(yè)務(wù)網(wǎng)段的接口設(shè)置為Passive模式,避免建立過(guò)多OSPF鄰居,影響選路。
所有路由器和三層交換機(jī)上創(chuàng)建一個(gè)Loopback接口,并用Loopback的地址作為OSPF的Router ID。
1.2.3 數(shù)據(jù)流向設(shè)計(jì)
首先,需對(duì)各廣域網(wǎng)以及各級(jí)路由器橫向鏈路的開(kāi)銷(xiāo)(Cost)進(jìn)行合理的設(shè)置,設(shè)置原則如下。
(1)廣域網(wǎng)線路各級(jí)主備線路Cost設(shè)置成相同的數(shù)據(jù),兩邊需要對(duì)稱(chēng),目的是數(shù)據(jù)在上、下行時(shí)保證在廣域網(wǎng)上直上直下,不至于在設(shè)備橫向線路上繞行。
(2)各級(jí)路由器之間橫向鏈路Cost從下到上一級(jí)比一級(jí)高,這樣設(shè)置的目的是對(duì)于需要在不同鏈路上傳輸?shù)臄?shù)據(jù)盡可能在最下端就分開(kāi),實(shí)現(xiàn)分流目的。
經(jīng)過(guò)上述規(guī)范設(shè)置之后,對(duì)于省網(wǎng)訪問(wèn)地市、區(qū)縣、分局(所)的數(shù)據(jù)分流,通過(guò)在省核心兩臺(tái)路由器上設(shè)置策略路由來(lái)實(shí)現(xiàn),源IP為征稅業(yè)務(wù)的數(shù)據(jù)從省局?jǐn)?shù)據(jù)處理中心省核心路由器向下轉(zhuǎn)發(fā),源IP為行政辦公視頻業(yè)務(wù)的數(shù)據(jù)從市局的數(shù)據(jù)處理中心省核心路由器向下轉(zhuǎn)發(fā),實(shí)現(xiàn)兩類(lèi)業(yè)務(wù)數(shù)據(jù)下行分流。
對(duì)于地市、區(qū)縣、所訪問(wèn)省網(wǎng)服務(wù)器的上行數(shù)據(jù)分流,因?yàn)榈讲煌闹行挠胁煌木€路,只要OSPF設(shè)置好,就能實(shí)現(xiàn)分流和備份的要求。具體數(shù)據(jù)流向如圖1-6所示。

圖1-6 數(shù)據(jù)流向設(shè)計(jì)
1.2.4 可靠性設(shè)計(jì)
網(wǎng)絡(luò)的可靠性是一個(gè)從端到端的全程概念,單純提高某一層面的可靠性并不能對(duì)網(wǎng)絡(luò)整體的可靠性有很大改善。
網(wǎng)絡(luò)的可靠性最終要從設(shè)備、網(wǎng)絡(luò)、協(xié)議、應(yīng)用等各層次保證。
1.設(shè)備級(jí)可靠性設(shè)計(jì)
金稅網(wǎng)絡(luò)的設(shè)備級(jí)可靠性主要從設(shè)備自身可靠性,設(shè)備間熱備份兩個(gè)方面考慮。省級(jí)以下網(wǎng)絡(luò)中的關(guān)鍵設(shè)備,如各地市核心交換機(jī),地市級(jí)核心路由器等。所有關(guān)鍵器件,如主控板、電源、交換網(wǎng)板等都采用冗余設(shè)計(jì);業(yè)務(wù)模塊支持熱插拔,更換板卡等操作更加平滑;網(wǎng)絡(luò)核心設(shè)備為雙設(shè)備并互為備份,當(dāng)主設(shè)備故障后,備份設(shè)備可以快速接替工作。
2.網(wǎng)絡(luò)級(jí)可靠性設(shè)計(jì)
雙星型的網(wǎng)絡(luò)拓?fù)?,金稅三期工程網(wǎng)絡(luò)實(shí)際上采用的是雙星型拓?fù)?,以?xún)蓚€(gè)總局?jǐn)?shù)據(jù)中心為核心,兩個(gè)中心互為備份。線路冗余備份,在網(wǎng)絡(luò)的關(guān)鍵處采用鏈路冗余備份設(shè)計(jì),如省、地市、區(qū)縣廣域網(wǎng)和局域網(wǎng)核心。適當(dāng)采用線路捆綁技術(shù)。對(duì)可靠性要求較高的鏈路,可以采用線路捆綁技術(shù)。
3.協(xié)議級(jí)可靠性設(shè)計(jì)
合理規(guī)劃路由協(xié)議和策略,充分考慮路由收斂的性能。金稅三期工程省級(jí)以下網(wǎng)絡(luò)建議采用OSPF路由協(xié)議,在AS內(nèi)部可以進(jìn)行路由匯總,這樣外部路由振蕩將不會(huì)傳導(dǎo)到網(wǎng)絡(luò)內(nèi)部。各區(qū)域間也可以考慮使用路由匯總,其他區(qū)域的路由振蕩不會(huì)影響區(qū)域內(nèi)部。充分利用多條鏈路帶寬的同時(shí),做到路由多路徑備份。當(dāng)主鏈路的路由失效后,備份路由接替主路由工作。在局域網(wǎng)邊緣的三層交換機(jī)啟動(dòng)VRRP技術(shù),實(shí)現(xiàn)雙機(jī)熱備份:在局域網(wǎng)三層交換機(jī)上啟動(dòng)VRRP技術(shù),從而實(shí)現(xiàn)雙機(jī)熱備份。它保證當(dāng)主機(jī)的下一跳設(shè)備故障時(shí)可以及時(shí)地由另一設(shè)備來(lái)代替,從而保持通信的連續(xù)性和可靠性。
1.2.5 網(wǎng)絡(luò)安全設(shè)計(jì)
1.設(shè)備安全
(1)網(wǎng)絡(luò)設(shè)備只開(kāi)放必要的網(wǎng)絡(luò)服務(wù):網(wǎng)絡(luò)設(shè)備可以提供很多網(wǎng)絡(luò)服務(wù),有些服務(wù)可能成為網(wǎng)絡(luò)攻擊的對(duì)象。為了提供網(wǎng)絡(luò)設(shè)備的安全級(jí)別,盡可能關(guān)閉不必要的服務(wù),降低網(wǎng)絡(luò)攻擊的風(fēng)險(xiǎn)。
(2)用戶(hù)認(rèn)證:在VTY和Console接口上啟用用戶(hù)認(rèn)證,認(rèn)證方式為本地認(rèn)證。
(3)Telnet接入安全:Telnet是對(duì)網(wǎng)絡(luò)設(shè)備進(jìn)行管理的主要手段,可以對(duì)設(shè)備進(jìn)行最為有效的操作,為了確保Telnet訪問(wèn)的合法性和安全性。
(4)路由協(xié)議安全:在OSPF廣域網(wǎng)接口上啟用基于接口的MD5驗(yàn)證,保證OSPF鄰居關(guān)系的合法建立。鑒于目前網(wǎng)絡(luò)中大量的舊設(shè)備可能不支持此特性,此MD5驗(yàn)證建議暫時(shí)不開(kāi)啟。
2.業(yè)務(wù)安全
為了提高局域網(wǎng)內(nèi)部的安全性,需要在局域網(wǎng)內(nèi)部的關(guān)鍵業(yè)務(wù)區(qū)部署專(zhuān)業(yè)的安全設(shè)備,如防火墻和IDS,對(duì)網(wǎng)絡(luò)流量進(jìn)行實(shí)時(shí)監(jiān)控和控制,及時(shí)發(fā)現(xiàn)網(wǎng)絡(luò)攻擊行為,然后采取適當(dāng)?shù)膽?yīng)對(duì)措施。
國(guó)稅同級(jí)結(jié)點(diǎn)之間不允許互訪,因此需要對(duì)通過(guò)路由和ACL控制同級(jí)結(jié)點(diǎn)的訪問(wèn)控制。
在各結(jié)點(diǎn)局域網(wǎng)三層邊緣配置訪問(wèn)控制列表,通過(guò)五元組信息限制只能訪問(wèn)上級(jí)局,不允許同級(jí)訪問(wèn)。
(1)為防止地市之間的互訪,在兩臺(tái)地市核心路由器上啟用ACL,控制只能訪問(wèn)總局、省局、本地市內(nèi)的網(wǎng)段;應(yīng)用在路由器端口入方向。
(2)為防止區(qū)縣(分局)之間的互訪,在區(qū)縣接入路由器上啟用ACL,控制只能訪問(wèn)總局、省局、地市局、本縣內(nèi)的網(wǎng)段,應(yīng)用在路由器端口入方向,如圖1-7所示。

圖1-7 網(wǎng)絡(luò)安全設(shè)計(jì)
- 社交網(wǎng)絡(luò)對(duì)齊
- 6G潛在關(guān)鍵技術(shù)(下冊(cè))
- 異構(gòu)基因共表達(dá)網(wǎng)絡(luò)的分析方法
- PLC、現(xiàn)場(chǎng)總線及工業(yè)網(wǎng)絡(luò)實(shí)用技術(shù)速成
- Microsoft Dynamics CRM 2011 Applications(MB2-868) Certification Guide
- 面向5G-Advanced的關(guān)鍵技術(shù)
- 網(wǎng)絡(luò)安全應(yīng)急響應(yīng)技術(shù)實(shí)戰(zhàn)指南
- 工業(yè)互聯(lián)網(wǎng)創(chuàng)新實(shí)踐
- 深入理解OpenStack Neutron
- 一本書(shū)讀懂物聯(lián)網(wǎng)
- 華為HCIA-Datacom認(rèn)證指南
- 智能物聯(lián)安防視頻技術(shù)基礎(chǔ)與應(yīng)用
- 網(wǎng)絡(luò)空間作戰(zhàn):機(jī)理與籌劃
- 現(xiàn)場(chǎng)總線與工業(yè)以太網(wǎng)及其應(yīng)用技術(shù)(第2版)
- 物聯(lián)網(wǎng)系統(tǒng)設(shè)計(jì)