兵团电子政务外网项目 Xinjiang production and construction corps e-government project 电子政务外网师级网络调整优化探讨 新疆兵团信息技术服务中心 2013-1-1.

Slides:



Advertisements
Similar presentations
网络管理员考证辅导 —— 真题解析 广东水利电力职业技术学院 计算机系 温海燕
Advertisements

国家域名系统 中国信息社会的中枢神经 中国互联网络信息中心(CNNIC).
计算机网络教程 任课教师:孙颖楷.
数据通信与计算机网络 第1讲 绪论 浙江万里学院 邵鹏飞.
计算机网络课程总结 一、计算机网络基础 计算机网络定义和功能、基本组成 OSI/RM参考模型(各层的功能,相关概念, 模型中数据传输 等)
教育城域网建设 厦门(龙岩)网安科技有限公司
计算机网络教程(第 2 版) 第 7 章 网络互连 课件制作人:谢希仁.
公务员管理子系统建设步骤 1、组建由局长直接领导的体制,制定公务员管理、工资管理、其他业务用户的管理权限,以及各业务间的协作流程。
淄博信息工程学校 ZIBOIT&ENGINEERING VOCATONAL SHCOOL 02 认识虚拟局域网 计算机网络技术专业.
售后工作职责与内容.
讲师介绍 徐一鸣老师, HCIE主考官, 路由交换领域专家
实验八 配置动态路由-OSPF协议.
第六章 在华为路由器上配置动态路由OSPF协议(实训)
网络技术之六: 路由技术 22:00.
第17章 实现路由器.
安徽广播电视大学 组网技术与配置(第2版) 第8章 路由器的配置 汪本标.
课程介绍 教师:邹国忠、白金荣、沐士光 内容:课堂实验、课外实验、选作实验 时间安排:实验:双周 考试形式:闭卷、每人一组独立操作。
项目四 组建跨地区网络 授课教师:肖颖.
计算机网络 吴功宜 编著 欢迎辞.
引入 电力调度数据网主要由国家电力调度数据一级网,区域二级网, 省级三级网,地市四级网和县级五级网组成,覆盖了各级调度中心和直调发电厂、变电站。目前一、二、三、四级网基本建成,少数省市已经开始建设五级网。 在此处创建与本课程内容相关的话题或问题,引导学员注意。 此页可有可无。这页仅在授课时使用, 胶片+注释中不使用。
路由协议配置 1.0 此为封面页,需列出课程编码、课程名称和课程开发室名称。
构建下一代校园网 迎接数字化新趋势 安全、可管理的数字化校园网方案汇报 裘栋 网络高级工程师 资深教育信息化专家.
Information & Security System in China China North Eastern Air Traffic Control Bureau (CAAC) Customer Background Subsidiary of General Administration of.
Core Switch 設定 Port的開啟與關閉 Virtual LAN建立 將Port指定到Virtual LAN
ZTE中兴—E8810 V2.0 产品类型:智能无线路由器 建议零售价格: 188元 上市时间:2016年12月
格物资讯开放ICON库 V1R1.
交换 Cisco三层模型 交换机基本配置 VLAN VTP.
IPv6 技術與服務 台東大學 電算中心 郭俊賢 技術師.
计算机网络原理 计算机与信息工程分院 周文峰.
IPv6原理与应用 技术培训中心
WAAS Express是什么? 在ISR G2上通过IOS来实现WAAS功能 WAN 基于熟悉的IOS实现广域网加速 软件功能激活非常简单
瑞斯康达—MSG1500 产品类型:路由器 建议零售价格:198元 上市时间:2017 年 3月
访问控制列表(ACL) Version 1.0.
第二讲 搭建Java Web开发环境 主讲人:孙娜
中国科学技术大学 肖 明 军 《网络信息安全》 中国科学技术大学 肖 明 军
路由基础.
第九章 IPSec VPN技术.
存储系统.
於開放軟體平台上整合資源預約協定與約束路由以實現訊務工程
大学计算机基础 典型案例之一 构建FPT服务器.
实用组网技术 第一章 网络基础知识.
华为路由交换精英培训 之组播.
第7章 访问控制列表 访问控制列表概述 标准、扩展及命名的访问控制列表 ACL执行 通配符掩码 配置访问控制列表 控制Telnet会话
Visual Studio Team System 简介
乐驾-车载无线终端-CARRO 产品类型:车载无线路由器 建议零售价格:¥599 江苏鸿信
江西财经大学信息管理学院 《组网技术》课程组
格物资讯开放ICON库 V0R2.
VLanBasic 小型办公环境录音方案 ——将VLAN网络型录音系统接入办公室局域网/无线网络
第二章 防火墙基础技术.
ENS 10.1安装配置指南 王俊涛 | SE.
项目十四 防火墙分类与基本配置.
厂商—型号 荣耀-HiRouter-H1 外观设计 产品类型:无线路由器 建议零售价格:149元 上市时间:2017 年 5月
第四章 团队音乐会序幕: 团队协作平台的快速创建
Cassandra应用及高性能客户端 董亚军 来自Newegg-NESC.
宁波市高校慕课联盟课程 与 进行交互 Linux 系统管理.
校园网规划、建设与管理 段运生 2014年9月.
IT 安全 第 9节 通信和网络控制.
第8章 網際網路協定IPv6介紹與設定 蕭志明老師 CCNA教學.
第 7 章 电子政府的支撑技术.
透明接入WAF
第4章 网络层.
谢聪.
格物资讯ICON发布 V0R3.
网络技术实训 第8讲:NAT防火墙设计讨论 许成刚 信息技术学院
P2P&IPv6 指導老師:吳坤熹 張伯瑜 陳意樵.
3.8 局域网应用实例 某省劳动和社会保障网络中心组网实例 会议中心的无线组网实例.
6.2 Intranet体系结构与网络组成 Intranet体系结构 Intranet网络组成.
实验六静态路由.
入侵检测技术 大连理工大学软件学院 毕玲.
四路视频编码器 快速安装手册 1、接口说明 2、安装连接 3、软件下载 4、注意事项 编码器软件下载地址
Presentation transcript:

兵团电子政务外网项目 Xinjiang production and construction corps e-government project 电子政务外网师级网络调整优化探讨 新疆兵团信息技术服务中心 2013-1-1

目录 电子政务外网师级网络整体设计架构 师级网络整体结构改造优化总体思路 广域骨干区调整优化 城域网核心调整优化 互联网区调整优化 数据中心区调整优化

第一部分 总体结构

电子政务外网师级网络整体设计架构 师级电子政务外网的设计框架分为广域骨干网、城域网、数据中心、专网接入、互联网接入5个部分

各师现有实际网络结构图

目前存在的问题 1、互联网访问问题 师局域网互联网接入客户端病毒、P2P下载等问题,互联网服务器区安全问题,团场互联网接入占用出口带宽问题,互联网和专网接入客户端相互干扰问题。 2、广域网带宽占用问题 团级互联网接入占用广域网带宽,各专网带宽分配 3、跨部门资源访问问题 划分专网相互隔离后访问公共资源

总体调整思路 1、将互联网和外网尽量清晰划分出来 建议将师级局域网中互联网接入和专网独立开来,并将师级和团级互联网和外网界面清晰化,以便当互联网出现问题时可以很容易将互联网从外网中独立开来。 2、在互联网区域内加强安全防护 在出口部署带宽管理设备、在网内部署身份认证设备、多出口考虑负载均衡设备等提高互联网访问速度和安全。 3、在广域网进行带宽优化,设置QOS 限制互联网访问带宽,分配各专网带宽 4、加强公用网服务区资源建设 丰富公用网服务区资源建设,丰富外网资源等,允许各专网访问公用服务网 5、提高终端设备复用率 考虑采用身份认证等方式方便用户根据用户名或CA证书等接入不同网络提高终端设备复用率(探讨)

调整后网络总体示意图

第二部分 广域骨干网调整优化

一、广域骨干网总体优化方式 优化师到团广域网访问方式 1、提高广域网带宽(4M-10M、10M-20M等) 2、配置带宽策略(QOS,增加带宽管理设备,带宽防护(利用安全设备等)) 3、增加某专网线路,然后利用MPLS VPN策略路由选路

二、广域骨干网QOS带宽管理配置 1、在团级局域网接入口对不同专网进行着色,标示出不同的专网来 INTERNET INTERNET:2M INTERNET:2M INTERNET VPN_caiwu VPN_caiwu VPN_xinfang VPN_caiwu:1M VPN_caiwu:1M VPN_xinfang VPN_xinfang:1M VPN_xinfang:1M 1、在团级局域网接入口对不同专网进行着色,标示出不同的专网来 2、在团级路由器出口配置带宽管理,指定标示出专网带宽 3、在师级城域网核心路由器局域网接入口对不同专网进行着色,标示出不同的专网 4、在师级广域网路由接口配置带宽管理,指定标示出专网带宽

2.3广域骨干网QOS带宽管理配置举例 一、在师级城域网核心路由器SR6616 (Xs-cyw-hx-sr6616-RT-1) 1建立访问控制列表,指定各VPN流量 acl number 3010  rule 10 permit ip vpn-instance internet   acl number 3011 rule 10 permit ip vpn-instance VPN_caiwu   acl number 3012 rule 10 permit ip vpn-instance VPN_xinfang

广域骨干网QOS带宽管理配置举例 2设定各专网流量,定义标示 2设定各专网流量,定义标示   traffic classifier internet operator and   if-match acl 3010    traffic behavior exp1   remark mpls-exp 1     traffic classifier caiwu operator and   if-match acl 3011    traffic behavior exp2  remark mpls-exp 2   traffic classifier xinfang operator and   if-match acl 3012    traffic behavior exp3  remark mpls-exp 3  

广域骨干网QOS带宽管理配置举例 3在入口接口进行着色 qos policy markexp classifier internet behavior exp1 classifier caiwu behavior exp2 classifier xinfang behavior exp3 interface GigabitEthernet2/0/1.101 qos apply policy markexp inbound interface GigabitEthernet2/0/1.509 interface GigabitEthernet2/0/1.506

广域骨干网QOS带宽管理配置举例 二、在广域网核心路由器SR6616 (Xs-gyw-hx-sr6616-RT-1) 1设定标志为EXP1(INTERNET),设定带宽为最大带宽的20% 设定标志为EXP2(caiwu),设定带宽为最大带宽的10% 设定标志为EXP3(xinfang),设定带宽为最大带宽的10% traffic classifier exp1 operator and   if-match mpls-exp 1   traffic behavior ef20%   queue ef bandwidth pct 20   traffic classifier exp2 operator and   if-match mpls-exp 2    traffic behavior ef10%   queue ef bandwidth pct 10 traffic classifier exp3 operator and   if-match mpls-exp 3   queue ef bandwidth pct 10    

广域骨干网QOS带宽管理配置举例 2在广域网接口设定最大带宽,应用QOS策略 qos policy mplsqos classifier exp1 behavior ef20% classifier exp2 behavior ef10% classifier exp3 behavior ef10% interface Ethernet1/2/7.1 qos max-bandwidth 10240 qos apply policy mplsqos outbound   interface Ethernet1/2/7.2 qos max-bandwidth 10240 ……

广域骨干网QOS带宽管理配置举例 三、在团级路由器MSR5040上配置 1建立访问控制列表,指定各VPN流量 acl number 3010 rule 10 permit ip vpn-instance internet   acl number 3011 rule 10 permit ip vpn-instance VPN_caiwu   acl number 3012 rule 10 permit ip vpn-instance VPN_xinfang 2设定各专网流量,定义标示   traffic classifier internet operator and   if-match acl 3010    traffic behavior exp1   remark mpls-exp 1 traffic classifier caiwu operator and   if-match acl 3011    traffic behavior exp2  remark mpls-exp 2   traffic classifier xinfang operator and   if-match acl 3012    traffic behavior exp3  remark mpls-exp 3

广域骨干网QOS带宽管理配置举例 三、在团级路由器MSR5040上配置 3在入口接口进行着色 qos policy markexp classifier internet behavior exp1 classifier caiwu behavior exp2 classifier xinfang behavior exp3 interface GigabitEthernet0/1.101 qos apply policy markexp inbound interface GigabitEthernet0/1.509 interface GigabitEthernet0/1.506

广域骨干网QOS带宽管理配置举例 四、在团级路由器MSR5040上配置 4设定标志为EXP1(INTERNET),设定带宽为最大带宽的20%, 设定标志为EXP2(caiwu),设定带宽为最大带宽的10% 设定标志为EXP3(xinfang),设定带宽为最大带宽的10% traffic classifier exp1 operator and   if-match mpls-exp 1   traffic behavior ef20%   queue ef bandwidth pct 20   traffic classifier exp2 operator and   if-match mpls-exp 2    traffic behavior ef10%   queue ef bandwidth pct 10 traffic classifier exp3 operator and   if-match mpls-exp 3   queue ef bandwidth pct 10    

广域骨干网QOS带宽管理配置举例 四、在团级路由器MSR5040上配置 5在广域网接口设定最大带宽,应用QOS策略 qos policy mplsqos classifier exp1 behavior ef20% classifier exp2 behavior ef10% classifier exp3 behavior ef10% interface Ethernet0/0 qos max-bandwidth 10240 qos apply policy mplsqos outbound

三、增加带宽管理设备 带宽管理设备 局域网 核心交换机 团级核心路由器 师级广域网 核心路由器 1、在团级局域网核心交换机和团级核心路由器之间增加带宽管理或安全防护设备,采用TRUNK透明模式部署,对进入路由器的流量进行带宽控制及安全防护

四、团级防火墙改造(近期进行) 团级防火墙 局域网 核心交换机 团级核心路由器 师级广域网 核心路由器 1、利用原团场闲置防火墙,在团级局域网核心交换机和团级核心路由器之间采用TRUNK透明模式部署 2、配置步骤如下: (1)将防火墙设置为透明模式,将ETH1(内、团)和ETH2(外、师)设置为TRUNK,分别接入核心交换机和团场路由器MSR 5040 (2)建立允许通过的vlan,包括(internet,各专网的VLAN) (3)设定管理VLAN IP地址(data-managerVPN内) (4)允许师部进行管理访问防火墙 (5)设定安全策略,默认策略允许ETH1(团)ETH2(师)访问,屏蔽常见病毒端口(4444,69.135等), 禁止ETH2(师)ETH1(团)访问 (6)开启防火墙IPS等功能

五、增加专网线路、配置路由策略选路 局域网 核心交换机 团级核心路由器 师级广域网 核心路由器 VPN1 局域网 核心交换机 团级核心路由器 师级广域网 核心路由器 1、某些专网提供额外专网线路,可以考虑将其专网指定到该线路。 2、可采用两种方法实现路由选路 方法1:将该增加线路绑定到该专网VPN中,采用ospf进行动态路由学习,由于OSPF的优先级高于BGP,主线路会走增加线路。备用走我们的主线路 方法2:采用MPLS TE建立流量工程隧道,指定主线路和备用线路,然后将该VPN引入到隧道中。

5.1、路由选路配置举例—方法1 团级路由器MSR5040配置 师级广域网核心路由器SR6616配置 interface GigabitEthernet8/0 ip binding vpn-instance VPN_11 ip address 10.111.1.1 255.255.255.0 ospf 60011 vpn-instance VPN_11 import-route bgp type 1 area 0.0.0.0 network 10.111.1.0 0.0.0.255 bgp 65445 ipv4-family vpn-instance VPN_11 import-route direct import-route ospf 60011 师级广域网核心路由器SR6616配置 interface GigabitEthernet7/0/1.11 ip binding vpn-instance VPN_11 ip address 10.111.1.2 255.255.255.0 ospf 60011 vpn-instance VPN_11 import-route bgp type 1 area 0.0.0.0 network 10.111.1.0 0.0.0.255 bgp 65445 ipv4-family vpn-instance VPN_11 import-route direct import-route ospf 60011

5.2、路由选路配置举例—方法2 配置参考 mpls te bandwidth bc0 50000 mpls te //指定显式路径 mpls te cspf Interface g5/1 ospf opaque-capability enable area 0 mpls-te enable  mpls te bandwidth bc0 50000  //指定显式路径  mpls te path explicit-path main  mpls te fast-reroute  mpls te commit ip vpn-instance vpn1 route-distinguisher 100:1 vpn-target 100:1 both tnl-policy policy1 tunnel-policy policy1 tunnel select-seq cr-lsp load-balance-number 1 interface gigabitethernet 1/0 ip binding vpn-instance vpn1 ip address 192.168.1.1 255.255.255.0  explicit-path main   next hop 3.0.0.1   next hop 3.3.3.3 interface Tunnel0  ip address 10.0.0.1 255.255.255.252  tunnel-protocol mpls te  destination 3.3.3.3  mpls te record-route label

第三部分 城域网调整优化

城域网调整建议 1、师级城域网络将专网和互联网接入分离(布线系统分开) 专网核心交换机 互联网核心交换机

城域网调整建议 2、团级城域网络将专网和互联网接入设备和接口分开 师级城域网 核心路由器 团级核心路由器MSR5040 师级广域网 互联网核心交换机 团级互联网 接入交换机 BD2528 团级核心交换机 BD3928 专网核心交换机

城域网专网接入(师级) 熟悉专网接入方式,便于各部门接入咨询

城域网专网接入(师级) 数据中心 机关局域网 分散单位 接入方式:统计局部门的专网数据中心通过防火墙与兵团电子政务外网数据中心的核心交换机互联。 设备配置:需要配置一台高性能防火墙,至少提供两个千兆接口,一个用于连接兵团外网数据中心核心交换,一端用于连接部门专网数据中心。 机关局域网 接入方式:师级机关部门专网位于机关大楼内,将其部门划分到一个VLAN,二层透传到兵团电子政务外网城域网核心路由器,网关落在城域网核心路由器上,并封装到专网VPN中。 设备配置:机关部门专网位于机关大楼内,大楼已部署接入交换机,无需配置额外网络设备。 分散单位 接入方式:专线接入,城域网路由器MSR5040 设备配置:推荐路由器、防火墙(互指路由),交换机也可(网关落到MSR5040上) 接入方式:非专线接入,接入互联网防火墙(东软) 设备配置:防火墙(IPSEC VPN) 接入方式:移动客户端,接入互联网防火墙(东软) 设备配置:软客户端,CA证书(KEY) 熟悉专网接入方式,便于各部门接入咨询

城域网专网接入(团级) 熟悉专网接入方式,便于各部门接入咨询

城域网专网接入(团级) 机关局域网 分散单位 接入方式:团级机关部门专网位于机关大楼内,将其部门划分到一个VLAN,二层透传到兵团电子政务外网核心路由器,网关落在核心路由器上,并封装到专网VPN中。 设备配置:机关部门专网位于机关大楼内,大楼已部署接入交换机,无需配置额外网络设备。(信息点多加交换机) 分散单位 接入方式:专线接入,BD3928E 设备配置:推荐交换机(网关落到团核心MSR5040上) 接入方式:非专线接入,接入师互联网防火墙(东软) 设备配置:防火墙(IPSEC VPN) 接入方式:移动客户端,接入互联网防火墙(东软) 设备配置:软客户端,CA证书(KEY) 熟悉专网接入方式,便于各部门接入咨询

第四部分 互联网调整优化

互联网调整 1、师级VPN改造(外网、互联网) 互联网防火墙 城域网核心路由器 SR6616 外网数据中心 核心交换机 BD8506 互联网服务区 核心交换机 公用网服务区 专网服务区 互联网服务区 服务器

互联网调整 2、加强现有安全设备策略配置 1、加强出口防火墙安全策略配置,关闭不对外提供服务的端口等 2、更新补丁、防病毒软件,防止弱口令等安全隐患 3、建立日志服务器,将重要设备日志保存至日志服务器

互联网增加安全设备示意图 3、增加互联网安全保护设备(IPS,行为管理、带宽管理,终端管理等)

安全设备推荐部署 序号 产品名称 描述 部署位置 解决风险 数量 1 防病毒网关系统 用于访问控制、网络边界恶意代码防范、应用层综合防御 互联网出口与核心交换区边界 结构安全 2 上网行为管理系统 用于访问控制、应用层的控制与审计 行为审计 3 入侵防御系统 用于应用层综合防御 互联网服务区边界 入侵防范 4 运维保垒主机系统 用于日常运维操作行为审计 综合管理区 抗抵赖、运维操作审计、防止审计日志被非法删除 5 统一身份管控系统 用于全局业务系统的身份管理、认证管理、权限分配、应用审计 身份签别、应用安全、应用审计 6 SOC安全管理平台 用于网络设备、服务器设备的统一安全管理,海量日志信息的采集、存储、管理、分析等 系统建设管理、系统安全运维 7 数据备份与恢复系统 用于主机设备、数据库、应用程序数据备份与恢复 数据完整性、备份与恢复 8 终端准入系统 用于终端设备的安全准入、补丁更新、资产管理等 主机安全 9 网络版防病毒软件 用于终端设备的恶意代码防护

IT运维系统 建议使用各师部署的IT运维系统,实现运行监控和运维管理

完善身份认证系统和单点登录

第五部分 数据中心调整优化

数据中心调整优化 1、完善数据中心结构,增强数据中心安全性 1、补充完善数据中心结构,增加公用服务区交换机,部署公用网服务区防火墙 2、要求各专网接入均需部署防火墙等安全设备

数据中心调整优化 2、共享数据服务区的重点建设(各专网均能访问) 城域网核心路由器SR6616上配置 acl number 3000 rule 5 permit ip vpn-instance intranet destination 59.0.0.0 0.255.255.255 rule 12 permit ip vpn-instance jianshehuanbaoju destination 59.0.0.0 0.255.255.255 rule 14 permit ip vpn-instance VPN_tongji destination 59.0.0.0 0.255.255.255 rule 15 permit ip vpn-instance VPN_guotu destination 59.0.0.0 0.255.255.255 rule 16 permit ip vpn-instance VPN_xinfang destination 59.0.0.0 0.255.255.255 rule 17 permit ip vpn-instance VPN_shenji destination 59.0.0.0 0.255.255.255 rule 19 permit ip vpn-instance VPN_caiwu destination 59.0.0.0 0.255.255.255 nat address-group 0 59.223.X.1 59.223.X.1 interface GigabitEthernet2/2/6.600 nat outbound 3000 address-group 0 vpn-instance data-manager interface GigabitEthernet2/2/6.601 interface GigabitEthernet2/2/7

数据中心调整优化 城域网核心路由器SR6616上配置 ip route-static vpn-instance VPN_tongji 59.0.0.0 255.0.0.0 NULL0 ip route-static vpn-instance VPN_guotu 59.0.0.0 255.0.0.0 NULL0 ip route-static vpn-instance VPN_xinfang 59.0.0.0 255.0.0.0 NULL0 ip route-static vpn-instance VPN_shenji 59.0.0.0 255.0.0.0 NULL0 ip route-static vpn-instance VPN_caiwu 59.0.0.0 255.0.0.0 NULL0 ip vpn-instance VPN_xinfang vpn-target 64100:10 64000:10 import-extcommunity ip vpn-instance VPN_shenji ip vpn-instance VPN_caiwu ip vpn-instance VPN_guotu

数据中心调整优化 城域网核心路由器SR6616上配置 bgp 65445 ipv4-family vpn-instance VPN_xinfang import-route direct import-route static # ipv4-family vpn-instance VPN_caiwu ipv4-family vpn-instance VPN_tongji

谢谢!