宽带接入技术与实践 (8).pptVIP

基于VLAN的业务隔离 交换式以太网实现VLAN主要有三种途径： 基于端口的VLAN 基于MAC地址的VLAN 基于IP地址的VLAN 在实际中，考虑到MAC地址易篡改和IP易盗用，电子政府分支部门（如县级工商局不同业务科室）多采用基于端口的VLAN。 例如，A县工商局有三个业务科室和一个数据中心。考虑到组网成本，可采用VLAN隔离各科室业务。 基于VPN的业务隔离 例如，市工商局下属有2个工商所，工商所与局机关分别相距6.2Km~9.6Km。工商局和下属2个所均建立了办公局域网，通过支持VPN接口的防火墙连接电子政务城域网。工商所分支网络与工商局网络分别建立安全隧道后，工商所分支网络可以与工商局网络安全通信，工商所分支网络之间也可以安全通信。这样大大的减少了隧道的配置条数。 MPLS VPN框架结构中包括P（P routers）、PE（Provider Edge）、CE（Custom Edge）等设备。 P代表骨干网中不与CE直接相连的路由器，不感知VPN。 PE代表骨干网中的边缘路由器，它直接与用户的CE相连，实施VPN主要功能。 CE代表用户网络中直接与骨干网相连的边缘设备（路由器或防火墙），不感知VPN，只需支持标准的IP功能即可。 三种设备中，真正参与VPN业务部署的只有PE设备，也就是说MPLS VPN业务的智能化和业务压力都集中在PE设备上。 基于MPLS VPN的纵向业务隔离 基于HoPE的MPLS VPN结构 华为公司在2002年提出的分层PE技术（HoPE，Hierarchy of PE）很好地修补了三层MPLS VPN技术的先天不足，在网络建构成本许可的前提下，享受MPLS VPN的好处。 用户端PE 服务提供端PE 在这种架构中，UPE功能和传统的PE一样，但性能要求要低得多，而SPE要在传统PE的基础上增加功能 . 电子政务业务互访设计 电子政务非涉密网按照功能不同可为: 纵向业务区 公众服务区 资源共享区,等三个独立区域。 纵向业务区是各个纵向政府部门在电子政务外网上划分出来的虚拟逻辑专网，负责传送各政府部门自身的业务数据，彼此之间严格安全隔离。 公众服务区是电子政务外网上划分出的对公众服务的部分，包括各类Web/FTP公众服务器。 资源共享区是电子政务非涉密网内部各纵向业务系统之间需要共享和交互的数据。 纵向业务系统对互联网和公众服务区的访问 纵向业务系统访问互联网或公众服务区时，要在纵向业务区的边界路由器（可能在PE上，也可能在边界防火墙上）上设置NAT协议。 纵向业务系统对共享资源区的访问 所有纵向业务系统的前置机设置成一个单独的VPN，共享资源区设置成一个共享VPN。共享VPN可以和所有纵向业务系统前置机VPN互通，实现逻辑星型连接 . 这种访问方式下的数据流模型为集中式，适合于数据访问量不是很大的业务沟通。 8.6 网络安全管理 电子政务PKI部署 PKI的组成，PKI功能结构， PKI的安全机制 网络安全可信接入 802.1x协议，RADIUS服务器 ，身份认证 网络行为监管与审计 事先预防 ，事中监控 ，事后审计 安全渗透网络全局 自动防御 ，自动修复，自动学习，全网设备统一管理与分级授权 ，病毒防御，服务器安全 8.6.1电子政务PKI部署 PKI是一种以公开密钥技术为基础，以数据的机密性、完整性和不可抵赖性为安全目的，构建的认证、授权和加密等硬件、软件的综合设施。 PKI功能结构 PKI系统功能采用三级架构。 8.6.2网络安全可信接入 多元素绑定认证，防止PC机交叉连接； 分布式认证，防止出现单一故障点 ； 认证流和业务流分离，防止信道拥塞。 8.6.3网络行为监管与审计 网络行为事先预防 网络行为事中监控 网络行为事后审计 8.2.5 网络安全问题考虑 拨号用户 B 拨号用户 C 拨号用户 A 拨号用户 D Internet 垃圾邮件 病毒破坏 黑客攻击 资源滥用 信息泄密 DOS攻击 不良信息 终端安全 信息丢失 未授权 接入 非法外 联监控 安全事 件处理 8.3网络系统集成技术 1. 政务广域网结构 8.3.1 网络拓扑结构 8.3.1 网络拓扑结构 2. 政务城域网结构 选择网络拓扑结构时，应该考虑的主要因素有以下几点。 （1）地理环境。不同的地理环境需要设计不同的网络拓扑；不同的网络拓扑设计，其施工安装工程的费用也不同。一般情况下，城域网络拓扑最好选用星型或扩展星型结构，减少单点故障，便于网络通信设备的管理和维护。 （2）传输介质与距离。在设计网络时，要考虑到传输介质、距离的远近和可用于网络通信平台的经费投入。网络拓扑结构的确定要在传输介质、通信距离、可投入经费等三者之间权衡。建筑楼之间互连从网络带宽、距离和防雷击等方面