兵团电子政务外网项目 Xinjiang production and construction corps e-government project 电子政务外网师级网络调整优化探讨 新疆兵团信息技术服务中心 2013-1-1
目录 电子政务外网师级网络整体设计架构 师级网络整体结构改造优化总体思路 广域骨干区调整优化 城域网核心调整优化 互联网区调整优化 数据中心区调整优化
第一部分 总体结构
电子政务外网师级网络整体设计架构 师级电子政务外网的设计框架分为广域骨干网、城域网、数据中心、专网接入、互联网接入5个部分
各师现有实际网络结构图
目前存在的问题 1、互联网访问问题 师局域网互联网接入客户端病毒、P2P下载等问题,互联网服务器区安全问题,团场互联网接入占用出口带宽问题,互联网和专网接入客户端相互干扰问题。 2、广域网带宽占用问题 团级互联网接入占用广域网带宽,各专网带宽分配 3、跨部门资源访问问题 划分专网相互隔离后访问公共资源
总体调整思路 1、将互联网和外网尽量清晰划分出来 建议将师级局域网中互联网接入和专网独立开来,并将师级和团级互联网和外网界面清晰化,以便当互联网出现问题时可以很容易将互联网从外网中独立开来。 2、在互联网区域内加强安全防护 在出口部署带宽管理设备、在网内部署身份认证设备、多出口考虑负载均衡设备等提高互联网访问速度和安全。 3、在广域网进行带宽优化,设置QOS 限制互联网访问带宽,分配各专网带宽 4、加强公用网服务区资源建设 丰富公用网服务区资源建设,丰富外网资源等,允许各专网访问公用服务网 5、提高终端设备复用率 考虑采用身份认证等方式方便用户根据用户名或CA证书等接入不同网络提高终端设备复用率(探讨)
调整后网络总体示意图
第二部分 广域骨干网调整优化
一、广域骨干网总体优化方式 优化师到团广域网访问方式 1、提高广域网带宽(4M-10M、10M-20M等) 2、配置带宽策略(QOS,增加带宽管理设备,带宽防护(利用安全设备等)) 3、增加某专网线路,然后利用MPLS VPN策略路由选路
二、广域骨干网QOS带宽管理配置 1、在团级局域网接入口对不同专网进行着色,标示出不同的专网来 INTERNET INTERNET:2M INTERNET:2M INTERNET VPN_caiwu VPN_caiwu VPN_xinfang VPN_caiwu:1M VPN_caiwu:1M VPN_xinfang VPN_xinfang:1M VPN_xinfang:1M 1、在团级局域网接入口对不同专网进行着色,标示出不同的专网来 2、在团级路由器出口配置带宽管理,指定标示出专网带宽 3、在师级城域网核心路由器局域网接入口对不同专网进行着色,标示出不同的专网 4、在师级广域网路由接口配置带宽管理,指定标示出专网带宽
2.3广域骨干网QOS带宽管理配置举例 一、在师级城域网核心路由器SR6616 (Xs-cyw-hx-sr6616-RT-1) 1建立访问控制列表,指定各VPN流量 acl number 3010 rule 10 permit ip vpn-instance internet acl number 3011 rule 10 permit ip vpn-instance VPN_caiwu acl number 3012 rule 10 permit ip vpn-instance VPN_xinfang
广域骨干网QOS带宽管理配置举例 2设定各专网流量,定义标示 2设定各专网流量,定义标示 traffic classifier internet operator and if-match acl 3010 traffic behavior exp1 remark mpls-exp 1 traffic classifier caiwu operator and if-match acl 3011 traffic behavior exp2 remark mpls-exp 2 traffic classifier xinfang operator and if-match acl 3012 traffic behavior exp3 remark mpls-exp 3
广域骨干网QOS带宽管理配置举例 3在入口接口进行着色 qos policy markexp classifier internet behavior exp1 classifier caiwu behavior exp2 classifier xinfang behavior exp3 interface GigabitEthernet2/0/1.101 qos apply policy markexp inbound interface GigabitEthernet2/0/1.509 interface GigabitEthernet2/0/1.506
广域骨干网QOS带宽管理配置举例 二、在广域网核心路由器SR6616 (Xs-gyw-hx-sr6616-RT-1) 1设定标志为EXP1(INTERNET),设定带宽为最大带宽的20% 设定标志为EXP2(caiwu),设定带宽为最大带宽的10% 设定标志为EXP3(xinfang),设定带宽为最大带宽的10% traffic classifier exp1 operator and if-match mpls-exp 1 traffic behavior ef20% queue ef bandwidth pct 20 traffic classifier exp2 operator and if-match mpls-exp 2 traffic behavior ef10% queue ef bandwidth pct 10 traffic classifier exp3 operator and if-match mpls-exp 3 queue ef bandwidth pct 10
广域骨干网QOS带宽管理配置举例 2在广域网接口设定最大带宽,应用QOS策略 qos policy mplsqos classifier exp1 behavior ef20% classifier exp2 behavior ef10% classifier exp3 behavior ef10% interface Ethernet1/2/7.1 qos max-bandwidth 10240 qos apply policy mplsqos outbound interface Ethernet1/2/7.2 qos max-bandwidth 10240 ……
广域骨干网QOS带宽管理配置举例 三、在团级路由器MSR5040上配置 1建立访问控制列表,指定各VPN流量 acl number 3010 rule 10 permit ip vpn-instance internet acl number 3011 rule 10 permit ip vpn-instance VPN_caiwu acl number 3012 rule 10 permit ip vpn-instance VPN_xinfang 2设定各专网流量,定义标示 traffic classifier internet operator and if-match acl 3010 traffic behavior exp1 remark mpls-exp 1 traffic classifier caiwu operator and if-match acl 3011 traffic behavior exp2 remark mpls-exp 2 traffic classifier xinfang operator and if-match acl 3012 traffic behavior exp3 remark mpls-exp 3
广域骨干网QOS带宽管理配置举例 三、在团级路由器MSR5040上配置 3在入口接口进行着色 qos policy markexp classifier internet behavior exp1 classifier caiwu behavior exp2 classifier xinfang behavior exp3 interface GigabitEthernet0/1.101 qos apply policy markexp inbound interface GigabitEthernet0/1.509 interface GigabitEthernet0/1.506
广域骨干网QOS带宽管理配置举例 四、在团级路由器MSR5040上配置 4设定标志为EXP1(INTERNET),设定带宽为最大带宽的20%, 设定标志为EXP2(caiwu),设定带宽为最大带宽的10% 设定标志为EXP3(xinfang),设定带宽为最大带宽的10% traffic classifier exp1 operator and if-match mpls-exp 1 traffic behavior ef20% queue ef bandwidth pct 20 traffic classifier exp2 operator and if-match mpls-exp 2 traffic behavior ef10% queue ef bandwidth pct 10 traffic classifier exp3 operator and if-match mpls-exp 3 queue ef bandwidth pct 10
广域骨干网QOS带宽管理配置举例 四、在团级路由器MSR5040上配置 5在广域网接口设定最大带宽,应用QOS策略 qos policy mplsqos classifier exp1 behavior ef20% classifier exp2 behavior ef10% classifier exp3 behavior ef10% interface Ethernet0/0 qos max-bandwidth 10240 qos apply policy mplsqos outbound
三、增加带宽管理设备 带宽管理设备 局域网 核心交换机 团级核心路由器 师级广域网 核心路由器 1、在团级局域网核心交换机和团级核心路由器之间增加带宽管理或安全防护设备,采用TRUNK透明模式部署,对进入路由器的流量进行带宽控制及安全防护
四、团级防火墙改造(近期进行) 团级防火墙 局域网 核心交换机 团级核心路由器 师级广域网 核心路由器 1、利用原团场闲置防火墙,在团级局域网核心交换机和团级核心路由器之间采用TRUNK透明模式部署 2、配置步骤如下: (1)将防火墙设置为透明模式,将ETH1(内、团)和ETH2(外、师)设置为TRUNK,分别接入核心交换机和团场路由器MSR 5040 (2)建立允许通过的vlan,包括(internet,各专网的VLAN) (3)设定管理VLAN IP地址(data-managerVPN内) (4)允许师部进行管理访问防火墙 (5)设定安全策略,默认策略允许ETH1(团)ETH2(师)访问,屏蔽常见病毒端口(4444,69.135等), 禁止ETH2(师)ETH1(团)访问 (6)开启防火墙IPS等功能
五、增加专网线路、配置路由策略选路 局域网 核心交换机 团级核心路由器 师级广域网 核心路由器 VPN1 局域网 核心交换机 团级核心路由器 师级广域网 核心路由器 1、某些专网提供额外专网线路,可以考虑将其专网指定到该线路。 2、可采用两种方法实现路由选路 方法1:将该增加线路绑定到该专网VPN中,采用ospf进行动态路由学习,由于OSPF的优先级高于BGP,主线路会走增加线路。备用走我们的主线路 方法2:采用MPLS TE建立流量工程隧道,指定主线路和备用线路,然后将该VPN引入到隧道中。
5.1、路由选路配置举例—方法1 团级路由器MSR5040配置 师级广域网核心路由器SR6616配置 interface GigabitEthernet8/0 ip binding vpn-instance VPN_11 ip address 10.111.1.1 255.255.255.0 ospf 60011 vpn-instance VPN_11 import-route bgp type 1 area 0.0.0.0 network 10.111.1.0 0.0.0.255 bgp 65445 ipv4-family vpn-instance VPN_11 import-route direct import-route ospf 60011 师级广域网核心路由器SR6616配置 interface GigabitEthernet7/0/1.11 ip binding vpn-instance VPN_11 ip address 10.111.1.2 255.255.255.0 ospf 60011 vpn-instance VPN_11 import-route bgp type 1 area 0.0.0.0 network 10.111.1.0 0.0.0.255 bgp 65445 ipv4-family vpn-instance VPN_11 import-route direct import-route ospf 60011
5.2、路由选路配置举例—方法2 配置参考 mpls te bandwidth bc0 50000 mpls te //指定显式路径 mpls te cspf Interface g5/1 ospf opaque-capability enable area 0 mpls-te enable mpls te bandwidth bc0 50000 //指定显式路径 mpls te path explicit-path main mpls te fast-reroute mpls te commit ip vpn-instance vpn1 route-distinguisher 100:1 vpn-target 100:1 both tnl-policy policy1 tunnel-policy policy1 tunnel select-seq cr-lsp load-balance-number 1 interface gigabitethernet 1/0 ip binding vpn-instance vpn1 ip address 192.168.1.1 255.255.255.0 explicit-path main next hop 3.0.0.1 next hop 3.3.3.3 interface Tunnel0 ip address 10.0.0.1 255.255.255.252 tunnel-protocol mpls te destination 3.3.3.3 mpls te record-route label
第三部分 城域网调整优化
城域网调整建议 1、师级城域网络将专网和互联网接入分离(布线系统分开) 专网核心交换机 互联网核心交换机
城域网调整建议 2、团级城域网络将专网和互联网接入设备和接口分开 师级城域网 核心路由器 团级核心路由器MSR5040 师级广域网 互联网核心交换机 团级互联网 接入交换机 BD2528 团级核心交换机 BD3928 专网核心交换机
城域网专网接入(师级) 熟悉专网接入方式,便于各部门接入咨询
城域网专网接入(师级) 数据中心 机关局域网 分散单位 接入方式:统计局部门的专网数据中心通过防火墙与兵团电子政务外网数据中心的核心交换机互联。 设备配置:需要配置一台高性能防火墙,至少提供两个千兆接口,一个用于连接兵团外网数据中心核心交换,一端用于连接部门专网数据中心。 机关局域网 接入方式:师级机关部门专网位于机关大楼内,将其部门划分到一个VLAN,二层透传到兵团电子政务外网城域网核心路由器,网关落在城域网核心路由器上,并封装到专网VPN中。 设备配置:机关部门专网位于机关大楼内,大楼已部署接入交换机,无需配置额外网络设备。 分散单位 接入方式:专线接入,城域网路由器MSR5040 设备配置:推荐路由器、防火墙(互指路由),交换机也可(网关落到MSR5040上) 接入方式:非专线接入,接入互联网防火墙(东软) 设备配置:防火墙(IPSEC VPN) 接入方式:移动客户端,接入互联网防火墙(东软) 设备配置:软客户端,CA证书(KEY) 熟悉专网接入方式,便于各部门接入咨询
城域网专网接入(团级) 熟悉专网接入方式,便于各部门接入咨询
城域网专网接入(团级) 机关局域网 分散单位 接入方式:团级机关部门专网位于机关大楼内,将其部门划分到一个VLAN,二层透传到兵团电子政务外网核心路由器,网关落在核心路由器上,并封装到专网VPN中。 设备配置:机关部门专网位于机关大楼内,大楼已部署接入交换机,无需配置额外网络设备。(信息点多加交换机) 分散单位 接入方式:专线接入,BD3928E 设备配置:推荐交换机(网关落到团核心MSR5040上) 接入方式:非专线接入,接入师互联网防火墙(东软) 设备配置:防火墙(IPSEC VPN) 接入方式:移动客户端,接入互联网防火墙(东软) 设备配置:软客户端,CA证书(KEY) 熟悉专网接入方式,便于各部门接入咨询
第四部分 互联网调整优化
互联网调整 1、师级VPN改造(外网、互联网) 互联网防火墙 城域网核心路由器 SR6616 外网数据中心 核心交换机 BD8506 互联网服务区 核心交换机 公用网服务区 专网服务区 互联网服务区 服务器
互联网调整 2、加强现有安全设备策略配置 1、加强出口防火墙安全策略配置,关闭不对外提供服务的端口等 2、更新补丁、防病毒软件,防止弱口令等安全隐患 3、建立日志服务器,将重要设备日志保存至日志服务器
互联网增加安全设备示意图 3、增加互联网安全保护设备(IPS,行为管理、带宽管理,终端管理等)
安全设备推荐部署 序号 产品名称 描述 部署位置 解决风险 数量 1 防病毒网关系统 用于访问控制、网络边界恶意代码防范、应用层综合防御 互联网出口与核心交换区边界 结构安全 2 上网行为管理系统 用于访问控制、应用层的控制与审计 行为审计 3 入侵防御系统 用于应用层综合防御 互联网服务区边界 入侵防范 4 运维保垒主机系统 用于日常运维操作行为审计 综合管理区 抗抵赖、运维操作审计、防止审计日志被非法删除 5 统一身份管控系统 用于全局业务系统的身份管理、认证管理、权限分配、应用审计 身份签别、应用安全、应用审计 6 SOC安全管理平台 用于网络设备、服务器设备的统一安全管理,海量日志信息的采集、存储、管理、分析等 系统建设管理、系统安全运维 7 数据备份与恢复系统 用于主机设备、数据库、应用程序数据备份与恢复 数据完整性、备份与恢复 8 终端准入系统 用于终端设备的安全准入、补丁更新、资产管理等 主机安全 9 网络版防病毒软件 用于终端设备的恶意代码防护
IT运维系统 建议使用各师部署的IT运维系统,实现运行监控和运维管理
完善身份认证系统和单点登录
第五部分 数据中心调整优化
数据中心调整优化 1、完善数据中心结构,增强数据中心安全性 1、补充完善数据中心结构,增加公用服务区交换机,部署公用网服务区防火墙 2、要求各专网接入均需部署防火墙等安全设备
数据中心调整优化 2、共享数据服务区的重点建设(各专网均能访问) 城域网核心路由器SR6616上配置 acl number 3000 rule 5 permit ip vpn-instance intranet destination 59.0.0.0 0.255.255.255 rule 12 permit ip vpn-instance jianshehuanbaoju destination 59.0.0.0 0.255.255.255 rule 14 permit ip vpn-instance VPN_tongji destination 59.0.0.0 0.255.255.255 rule 15 permit ip vpn-instance VPN_guotu destination 59.0.0.0 0.255.255.255 rule 16 permit ip vpn-instance VPN_xinfang destination 59.0.0.0 0.255.255.255 rule 17 permit ip vpn-instance VPN_shenji destination 59.0.0.0 0.255.255.255 rule 19 permit ip vpn-instance VPN_caiwu destination 59.0.0.0 0.255.255.255 nat address-group 0 59.223.X.1 59.223.X.1 interface GigabitEthernet2/2/6.600 nat outbound 3000 address-group 0 vpn-instance data-manager interface GigabitEthernet2/2/6.601 interface GigabitEthernet2/2/7
数据中心调整优化 城域网核心路由器SR6616上配置 ip route-static vpn-instance VPN_tongji 59.0.0.0 255.0.0.0 NULL0 ip route-static vpn-instance VPN_guotu 59.0.0.0 255.0.0.0 NULL0 ip route-static vpn-instance VPN_xinfang 59.0.0.0 255.0.0.0 NULL0 ip route-static vpn-instance VPN_shenji 59.0.0.0 255.0.0.0 NULL0 ip route-static vpn-instance VPN_caiwu 59.0.0.0 255.0.0.0 NULL0 ip vpn-instance VPN_xinfang vpn-target 64100:10 64000:10 import-extcommunity ip vpn-instance VPN_shenji ip vpn-instance VPN_caiwu ip vpn-instance VPN_guotu
数据中心调整优化 城域网核心路由器SR6616上配置 bgp 65445 ipv4-family vpn-instance VPN_xinfang import-route direct import-route static # ipv4-family vpn-instance VPN_caiwu ipv4-family vpn-instance VPN_tongji
谢谢!