防火墙可能执行二次NAT 操作 门户网站 160.0.3.1 防火墙可执行NAT转换 这时不用PE执行NAT操 作
CE
公网子接口
10.0.1.0/24
税务
•
关注点2－MPLS VPN
托管网站维护
门户网 站托管
数据中心 公众服务区
门户网 站托管 门户网 站托管 门户网 站托管
PE
防火墙可能执行NAT-PT 操作 私网IP 10.0.2.1/28
PE MCE/PE CE
10.0.2.0/24 地市工商
10.0.2.0/24 地市税务
7
关注点1－MPLS VPN
省厅
RT
HUB
IMPORT 100:1
PE
EXPORT 200:1
RT
IMPORT 200:1 EXPORT 100:1 RT IMPORT 200:1 EXPORT 100:1
A市局

地市州
地市城域网汇聚 N×2M
(CE) (CE)
县国土 县林业
(CE)
林业局 水利局
(PE)

(PE)
XX县
(CE)
县水利
国土局
XX县
6
关注点1－MPLS VPN
省工商
内部服务器
省税务
内部服务器
10.0.1.0/24
10.0.1.0/24
MCE/PE
CE
PE
PE
政务网
PE
纵向VPN子接口
15
关注点4－网络流量统计分析
网络流量监控
网络应用分布
网络瓶颈分析
流量异常告警
网络故障分析
服务质量监控
16
目录
1、电子政务建设概述 2、网络架构详细分析
广域网架构分析
城域网架构分析 局域网架构分析
3、政务网络案例分析
17
城域网建设的关注点

关注点1：核心层采用RPR环网（50ms倒换）保证关键业务不中断
PE
PE
PE
政务外网
注释:
• • 传统实现方式 优势：政府部门访问政务外网不 产生迂回路由 • 劣势：如果采用ISP分配的地址，
CE
门户网站 160.0.3.1
公网子接杂 25
关注点2－MPLS VPN
内部访问Internet
工商
内部服务器 10.0.1.1 公众服务中心
省直
林业厅
水利厅
省直
(CE)
(CE)
GE FE
(CE)

(CE)
GE FE
(CE)

(CE)
FE
GE
(PE)
(PE) (P)
(PE)
城域网 广域网
(P)
2.5G RPR
GE
(P)
(P)
(P)
CPOS 地市州
EI
(P) (PE)
地市州
(P) (PE)
(P)

(PE)
N×2M
13
关注点2－MPLS VPN跨域
对ASBR压力也比较大，但可以通过ASBR扩容来解决，没有PE设备跨域VPN路由维 护问题，因此适用范围较广；
14
关注点3－端到端QOS
在IP网络上，为了对不同业务 提供不同的服务，主要是利用 IP报文头部的TOS域来进行标记。 根据TOS域来决定报文的转发 行为 PE在给报文加Label时，把IP报 文携带的IP优先级标记映射到 标签的EXP域，这样原来由IP携 带的服务类型信息现在由标签 携带 由于P路由器不会检查内层 MPLS标签，所以这个IP报文携 带的IP优先级标记也必需映射 到外层标签的EXP域。
电子政务网络架构
华为3Com技术有限公司政府技术部
1
目录
1、电子政务建设概述 2、网络架构详细分析 3、政务网络案例分析
2
电子政务建设的目标定位
G2C G2G
公众（自然人）
电子政务
政府部门
政府员工
G2B
公司（法人）
G2E
3
目录
1、电子政务建设概述 2、网络架构详细分析
广域网架构分析
城域网架构分析 局域网架构分析
分布式互访
工商信用服务器 10.0.1.1
注释:
工商 10.0.1.0/24
• •
职能部门前置机分别为独立的 VPN 优势：采集的信息数据在政务外 网上以VPN的方式传递，保障了 数据的安全性，通过RT的灵活控 制，实现不同职能部门前置机的 受控互访
前置机 160.0.1.1/24
前置VPN子接口
MCE
为保证安全性，前置机与内部 服务通过网闸进行数据交换 各业务部门数据通过前置机上 传到资源共享中心的数据库中 优势：采集的信息数据在政务 外网上以VPN的方式传递，保障 了数据的安全性 22
前置机160.0.4.1/24
FW CE 10.0.1.0/24
• • •
内部服务器10.0.1.1
税务
关注点2－MPLS VPN
3、政务网络案例分析
4
广域网建设的关注点

关注点1： MPLS VPN实现纵向业务系统的隔离

关注点2： MPLS VPN跨域问题的解决

关注点3：端到端的QOS部署，实现关键业务的带宽保障

关注点4：广域网流量统计分析，提供广域网优化科学依据
5
关注点1－MPLS VPN
省直 国土厅

A省厅网络
CE
P P P
CE P
B市局网络
PE
PE
B省厅网络
CE
CE
A市局网络
为了支持端到端QOS， 每个LSP通过EXP域可 以支持多达8种不同等 级的业务
为了支持端到端QOS， 每个LSP通过EXP域可 以支持多达8种不同等 级的业务
PE在去掉报文Label时，把标 签的EXP域映射到IP报文携带的 IP优先级标记上。这样原来由 标签携带的服务类型信息现在 由IP优先级标记携带
B C A D 拥塞
带宽共享，为提高带宽利用率，建立公平机制 公平算法是全局的、基于整个环网级别的 通过监测流量、反压机制实现 带宽管理可保证高优先级数据和控制无阻塞 可通过设置节点的权重，实现加权公平
19
关注点1－RPR环网
Wrap绕回方式，在故障边节点处 自动环回。 特点：速度快，基本无数据丢失， 缺点是浪费带宽。 Steering抄近方式，更改拓扑，重 新计算路由。 特点：速度慢，带宽利用高，但可 能有数据丢失。
纵 向 网 络 ： 业 务 运 作 ， 行 业 管 理 与 监 管
横向网络：信息共享，跨部门协作
纵向网络结构
省政府
横向网络结构
省工商局
省劳动厅
市政府
政务网 MPLS VPN
市工商局
市劳动局
区县政府
区县工商局
区县劳动局
21
关注点2－MPLS VPN
集中式互访
内部服务器10.0.1.1
工商 10.0.1.0/24
数据库 数据库 数据库 DNS 纵向VPN子接口
10.0.1.0/24 MCE
公网子接口 门户网站 160.0.1.1
PE设备必须执行 NAT转换 对外发布门户网站 公网子接口
CE
Internet
PE PE PE
PE 注释:
政务外网
• •
对于防火墙接入，可采用公网子 接口 对于MCE/PE接入，可采用VRF全局 静态路由的方式，此方式的最大 问题是部署的问题，也可以设置 一条全局缺省路由指向连接 Internet的PE设备，通过这台PE 设备中转流量 如果采用ISP分配地址，DNS设计 26 复杂
PE
•
集中式和分布式不是对立的，而 是互补的关系
政务网
前置VPN子接口
PE CE CE
PE
前置VPN子接口
前置机 160.0.2.1/24 内部服务器 10.0.1.1
10.0.1.0/24 税务
前置机 160.0.3.1/24
10.0.1.0/24 财政
内部服务器 10.0.1.1
23
关注点2－MPLS VPN
9
关注点1－MPLS VPN
省厅
RT
HUB
IMPORT 100:1
PE
EXPORT 100:1
RT
IMPORT 100:1 EXPORT 100:1 RT IMPORT 100:1 EXPORT 100:1
A市局
PE
SPOKE
RT IMPORT 100:1 EXPORT 100:1
PE PE
SPOKE SPOKE
数据库
数据库
数据库
数据库
前置机160.0.1.1/24
MCE
公共前置VPN子接 口
前置机160.0.2.1/24
共享资源网站入口 160.0.3.1/24 资源共享中心
前置VPN子接口
PEPE PE PE
政务网
注释:
•
前置VPN子接口
资源共享区前置机为一个 共享VPN,其它职能部门前 置机分别为独立的VPN
11
关注点2－MPLS VPN跨域
要求ASBR设备为每个跨域的VPN分配子接口，因此可以可以实现跨域的流量监管，实现 对每个VPN的计费，但是对ASBR压力非常大，并且PE设备需要维护跨域VPN的路由，可 管理性和可扩展性较差；
12
关注点2－MPLS VPN跨域
对ASBR压力最小，但由于需要建立PE间跨域的LSP，因此可管理性也比较差。
关注点2－MPLS VPN
接入方式－MCE