电子政务外网方案 

4.2 网络接入能力设计概述

4.2.1 与国家电子政务外网平台的连接

XX省电子政务外网建成后将与国家电子政务外网互联互通，确保国家16个试点部委与XX省对应厅局的业务贯通。在组网上，XX省电子政务外网2台核心路由器将分别通过千兆链路连接国家电子政务外网放置在XX省的接入节点华三NE路由器。

为了实现XX省电子政务外网与国家电子政务外网的互联互通，两个问题必需解决： 一、跨自治域的路由信息交换问题。因为XX省电子政务外网与国家电子政务外网分别处于不同的自治域内，国家电子政务外网放置在XX省的接入节点路由器是国家电子政务外网的边界路由器，XX省电子政务外网2台核心路由器将做为XX省电子政务外网的边界路由器，故它们之间需要交换不同自治域的路由信息。目前跨自治域的路由协议最为成熟和应用最为广泛的应属EBGP协议，因此我们建议采用EBGP协议在两个自治域系统边界路由器之间交换路由信息；

二、VPN跨自治域问题。同样是因为XX省电子政务外网与国家电子政务外网分别处于不同的自治域内，PE设备在不同的自治域内。要实现纵向VPN从国家到省之间的贯通，必需解决VPN跨自治域的问题。目前按照RFC2547bis中提出的跨AS自治域实现MPLS/BGP VPN的解决方案主要有三种：背靠背的VRF到VRF、MP-EBGP、RR间部署多跳的MP-EBGP。推荐采用RR 间部署多跳的MP-EBGP方式。因RR间部署多跳的MP-EBGP方式具有最佳的扩展性，适合于大规模部署跨AS自治域VPN业务。

4.2.2 与地市电子政务外网的连接

XX省电子政务外网在17个地市分别放置1台接入路由器，此路由器上连广域网地市核心路由器，下联将负责与地市已经建设完成互联网的骨干设备进行互联互通，此接入路由器上配置10/100/1000M自适应电接口和地市电子政务外网骨干设备进行互联。XX省电子政务外网和地市电子政务外网互联互通的主要目的是实现某些部门纵向VPN系统能够从省贯通到市/州甚至到县，实现纵向业务互通。 4.2.3 横向接入部门的互联互通

各接入部门除有纵向建立VPN业务的需求之外，还需要横向开展某些业务，实现跨部门的资源和信息共享。XX省电子政务外网将提供统一的网络平台，实现各个横向VPN业务的高速通达、逻辑隔离、安全可靠。

4.2.4 互联网接入设计

原则上互联网各地市分别接入当地ISP，即电子政务广域骨干网不承担互联网流量，中心城域网负责接入省直机关以及合肥市电子政务网用户的互联网统一出口，整体设计拓扑如下：

1、中心城域网核心三层交换机通过防火墙直接接入internet互联网

2、 可以考虑增加一台出口路由器（互联网出口路由器），完成对59段地址的NAT转换，相应的在中心城域网三层交换机配置相应的路由访问策略

3、地市互联网访问采用本地接入方式

4、Internet访问外网公共服务器时，防火墙需进行一对一转换，执行静态NAT

第5章 MPLS VPN设计

5.1 MPLS/BGP VPN概述

MPLS（Multiprotocol Label Switching: 多协议标签交换）技术是在开放的通信网上利用定长标签进行数据高速传输和交换的网络新技术。MPLS技术将第二层交换和第三层的路由技术很好地结合起来，以十分简洁、高效的方式完成信息的传送。更为重要的是，MPLS使IP网络能提供传统IP网络不能或很难提供的各种增值服务，例如MPLS所提供的VPN服务、流量工程服务、IP QoS服务等。

在MPLS网上实现的无连接的IP VPN，提供了和基于帧中继、ATM PVC的第二层VPN相同安全级别的虚拟专用网，能达到第二层PVC所具有的专有性、安全性和数据传输的高速性，而MPLS VPN的灵活性、扩展性、易管理性和适应性则是当前其他基于PVC或隧道技术的VPN所无法比拟的。MPLS VPN在第三层路由上对各VPN进行了隔离，无需访问控制列表ACL，各VPN之间都是不可见的，骨干网对于客户网络（某个VPN内部）也是不可见的。所以，充分保证了在多个业务系统共用IP骨干网情况下的相互有效隔离。MPLS最初是为服务供应商网络所创立的技术，今天，很多企业或政府机构的网络也需要解决和服务供应商网络类似的需求和问题。大型企业和政府机构的IP骨干网正从过去低带宽、重复分离的物理网络向宽带化、一体化方向发展，一个高效的、智能的、集成的网络是政府网络发展的方向。同样地，XX省电子政务外网要能安全、高效地整合各业务专网，同时应对各种公共业务、语音传送、视频服务多业务应用不断增长的需求，这些不同的业务专网和各种应用对于网络的安全性、服务质量要求各不相同，这就要求XX省电子政务外网平台必须能够将它们按照各自的特性和要求正确地传送，提供安全隔离和区别服务。先进、成熟的MPLS/VPN技术是XX省电子政务外网纵向系统建设的有效解决方案。

5.2 构建XX省电子政务外网MPLS VPN的基本思路

5.2.1 XX省电子政务外网VPN方面的主要需求

对XX省电子政务外网而言，需要重点实现两个方面的需求：

l．安全隔离：要保证各业务系统逻辑网络的相对独立性，以满足不同业务系统对安全性、服务质量、管理、拓朴结构的要求；

2．受控互访：各业务系统之间的流程整合又需要提供相互访问的途径，而且要保证访问的安全性。

5.2.2 XX省电子政务外网MPLS VPN的主要特点

MPLS/BGP VPN解决方案可以为XX省电子政务外网平台提供一种基于网络、易于管理、扩充性好、安全且具有QoS保障、可在任意节点间连接的VPN。

1．基于网络，易于管理。这种基于网络的VPN可以完全由骨干网络来实现，即网络用户（各应用系统）不用关心VPN是如何构造的，而是在网络平台内完成。

2．路由。需要在各PE节点之间建立IBGP全连接，以交换VPN-IPV4路由。 3．安全性。由于基于MPLS/BGP实现，报文在网络节点构成的MPLS域中采用标签转发的形式进行交换（LSP），因此具有同ATM/FR虚电路相同的安全级别。MPLS BGP VPN方案采用VRF实现VPN之间的路由隔离。通过MPLS LSP隧道将VPN流量完全隔离。

4．QOS。由于基于MPLS/BGP实现，可以利用MPLS COS机制，结合IP QOS机制，从而能够为VPN用户实现端到端的QOS服务。由于各业务系统的VPN流量通过不同的LSP隧道承载，可以方便的针对LSP实现MPLS的区别服务。通过IP TOS和MPLS COS域的映射，可以将边缘网络中定义的IP QOS级别继承到MPLS域中，实现端到端的QOS。

5．扩充性好。由于基于MPLS/BGP实现，因此很容易对网络节点进行扩充，网络可剪裁性好。在增加某个VPN的网点（Site）时，只需要配置该网点连接的PE路由器，不