网络工程规划与设计案例教程课件_项目五_任务4_电子政务外网路由及MPLSVPN设计.ppt

网络工程规划与设计 项目五 花都县电子政务外网规划与设计 任务一 电子政务外网网络需求获取 任务二 电子政务外网拓扑结构设计 任务三 电子政务外网IP规划 任务四 电子政务外网路由与MPLS VPN设计 任务五 网络中心规划与设计 任务六 信息系统等级保护设计 任务七 外网平台应用系统规划与项目预算 引入任务 1、花都县电子政务外网路由规划设计： IGP 路由设计 BGP 路由设计 2、花都县电子政务外网MPLS VPN规划设计。 电子政务外网路由与MPLS VPN设计 路由设计： 路由设计，关系到网络的整体性能和功能，是网络设计中的一个重要环节。 靳江市各区县电子政务外网路由与MPLS VPN设计采用灵活的设计思路，准确选择路由协议，从管理的方便性和技术的先进性两个方面进行规划设计： （1）IGP 路由设计 （2）BGP 路由设计 电子政务外网路由与MPLS VPN设计 （1）IGP 路由设计 目标： 根据花都县电子政务外网的网络规模和主备线路情况，IGP路由设计中主要是对OSPF路由进行规划，实现流量的负载均衡和链路的自动切换。 骨干核心区通过IGP使全网可达，为部署BGP和MPLS VPN做准备。 同时也为了通告所有网络设备管理IP，方便网管通过IGP访问到所有监管设备。 电子政务外网路由与MPLS VPN设计 （1）IGP 路由设计 电子政务外网路由与MPLS VPN设计 （1）IGP 路由设计 核心交换机分别与上联路由器及两台汇聚交换机建立OSPF邻居关系。所有设备均属于OSPF AREA 0中。在设备上将自己的loopback 0地址及互联地址段发布到OSPF中。 骨干网设计为OSPF区域0，2台城域网核心交换机、4台城域网汇聚交换机、彼此之间互联的接口全部启用OSPF进程，并且将loopback0接口宣告进入OSPF区域0，实现骨干网全网可达。 电子政务外网路由与MPLS VPN设计 （1）IGP 路由设计 核心交换机与上联路由器之间的ROUTER-ID 规划 电子政务外网路由与MPLS VPN设计 （2）BGP 路由设计 目标： 为了实现MPLS VPN功能，在上联路由、核心交换机以及两台汇聚交换机之间要部署BPG路由协议。 核心四台设备构建出BGP域，自治系统号为64852。核心与4台汇聚建立IBGP邻居关系；上联路由器同样与两台汇聚交换机建立IBGP邻居关系。 电子政务外网路由与MPLS VPN设计 电子政务外网路由与MPLS VPN设计 （2）MPLS VPN设计 1）MPLS VPN在电子政务外网中的作用与应用 MPLS VPN 实现纵向业务系统的隔离 MPLS VPN实现各政府部门的安全隔离和受控互访 MPLS VPN 实现纵向业务系统的隔离 某部门省厅连接在PE1上,各地市局分别连接到PE2、PE3上。由于BGP/MPLS VPN是由PE与CE接口的VRF上配置的相应RT来决定路由关系的，因此在省厅连接的PE1相应VRF上配置RT值使该VRF可接收来自A市局、B市局、C市局的路由，并将自己的路由发送到A市局、B市局、C市局。在各市局PE上配置RT，使市局只能与省局交换路由而不能与其他市局直接交换路由。 优点： 省局集中控制VPN内的通信，可通过路由过滤的方式禁止市局间的直接通信，保障VPN内的可控性和安全性。如在A局病毒爆发时，可在省厅处通过路由将该市局隔离，避免病毒蔓延。 缺点： 一是省局成为单点故障，一旦省局连接的PE1发生故障，各市局间将不能正常通信。二是市局间数据交换集中在省厅所在PE上，增加了PE的压力。 由于目前各部门纷纷采用数据大集中的数据交换模式，市局间的数据交换比较少，因此比较适合采用该模式。 MPLS VPN 实现纵向业务系统的隔离 某部门省厅连接在PE1上,各地市局分别连接到PE2、PE3上。由于BGP/MPLS VPN是由PE与CE接口的VRF上配置的相应RT来决定路由关系的，因此在省厅和各市局连接的PE相应VRF上配置RT值使该VRF可接收来自其余市局的路由，即省厅和各市局完全处于对等状态，相互之间完全可以交互路由信息。 优点：无单点故障，无性能瓶颈。 缺点：无法做到集中控制，安全性不高。 电子政务外网MPLS VPN设计 MPLS VPN设计 MPLS VPN设计目标： 安全隔离： 一方面要保证各业务系统逻辑网络的相对独立性，以满足不同业务系统对安全性、服务质量、管理、拓朴结构的要求. 受控互访： 另一方面，各业务系统之间的流程整合又需要提供相互访问的途径，而且要保证访问的安全性 电子政务外网MPLS VPN设计 MPLS VPN设计 花都县电子