论文部分内容阅读
一、背景
焦作市水利局是我公司的一个重要大客户,其至省厅的联网非常重要。由于该局所涉及工作特殊,又是政府要求的网络畅通重点单位。近期,该局为了充分利用网络优势,打造市县一体化、自动化、网络化的现代办公环境。特提出要求市局和六县(市)下属局进行联网,实现自动化办公。
二、优化前网络状况
该局租用我公司一条光纤,接入“焦作电子政务内网”平台。网络拓朴如下图:
内部各PC机连接至交换机上。PC机IP地址为私网地址,网段为:10.41.100.0/24。交换机通过网线连接至天融信防火墙上。防火墙通过光纤接入焦作联通电子政务内网,采用MPLS-VPN技术和省厅实现互访。该局内部PC机,既能和省厅进行办公业务交互,又能通过省厅经NAT转换后实现互联网的访问。本地防火墙没有起用NAT功能,仅提供三层路由能力,配置缺省路由,下一跳为10.253.253.73,指向局端NE40设备。局端NE40配置用户回程路由:ip route-static vpn-instance
ShengShuiLiTing 10.41.100.0 255.255.255.0 10.253.253.74 pref
erence 60;ip route-static vpn-instance ShengShuiLiTing 10.41.101.0 255.255.255.0 10.253.253.74 preference 60。
三、网络优化要求
要求六县(市)下属局和该局联网,并能通过该局访问省厅办公网络,实现省市县网络互连和一体化办公,同时市县两级都要能访问互联网。原市局网络通过省厅接入互联网,为提高互联网访问速度。网络改造后,市县两级不再通过省厅访问互联网,而改为本地直接访问互联网方式,即直接接入焦作IP城域网。
四、该局网络优化调整方案
(1)六县(市)承载方式。根据要求,六县(市)仍通过电子政务内网接入,政务内网采用MPLS-VPN技术。六县(市)的网关设在PE设备上。(2)六县(市)IP地址分配。根据局端NE40配置的用户回程路由,可以看出,省厅分配给该局的可用IP地址为两个C:10.41.100.0/24,10.41.101.0/24。目前仅使用一个C:10.41.100.0/24。所以六县(市)IP地址可使用另一个C:10.41.101.0/24。(3)六县(市)汇聚至用户交换机。如果用户交换机支持三层功能,那么六县(市)业务可经电子政务网络汇聚至该交换机上。在交换机上配置缺省路由,下一跳指向防火墙;同时配置回程路由。此时,需要用户中心再申请一条光纤,接入电子政务内网。(4)六县(市)汇聚至用户防火墙。由于防火墙支持VLAN功能,可将防火墙至省厅的链路划分两个VLAN,一个VLAN传递至省厅的办公业务,一个VLAN汇聚六县(市)的办公业务。同时在防火墙上配置至六县(市)的回程路由。这种情况下,用户中心不需再申请光纤。(5)本地提供互联网出口。经现场查看,用户防火墙还有一个空闲模块,可将该模块上连至局端城域网设备上,作为本地互联网的出口。这种情况下,省厅防火墙需释放对该局提供的NAT功能,焦作本地防火墙需配置NAT功能。
五、该局优化后的网络拓朴
(1)六县(市)汇聚至用户交换机。六县(市)下属局采用空闲的一个C:10.41.101.0/24,通过电子政务内网MPLS-VPN技术汇聚至用户三层交换机上。市局和六县(市)下属局至省厅的办公业务通过防火墙至省厅的链路实现。市局和六县(市)局的互联网业务经防火墙送入焦作IP城域网。
(2)六县(市)汇聚至用户防火墙。六县(市)局采用空闲的一个C:10.41.101.0/24。通过电子政务内网MPLS-VPN技术,经一个三层VLAN链路送入防火墙,市局和六县(市)局至省厅的办公业务通过防火墙经另一个VLAN链路送入省厅。市局和六县(市)局的互联网业务经防火墙送入焦作IP城域网。
参 考 文 献
[1]通用路由平台VRP操作手册VPN分册.华为技术公司
[2]Catherine Paquet.组建可扩展的Cisco互连网络[M].北京:人民邮电出版社
[3]天融信防火墙技术白皮书.北京天融信公司
焦作市水利局是我公司的一个重要大客户,其至省厅的联网非常重要。由于该局所涉及工作特殊,又是政府要求的网络畅通重点单位。近期,该局为了充分利用网络优势,打造市县一体化、自动化、网络化的现代办公环境。特提出要求市局和六县(市)下属局进行联网,实现自动化办公。
二、优化前网络状况
该局租用我公司一条光纤,接入“焦作电子政务内网”平台。网络拓朴如下图:
内部各PC机连接至交换机上。PC机IP地址为私网地址,网段为:10.41.100.0/24。交换机通过网线连接至天融信防火墙上。防火墙通过光纤接入焦作联通电子政务内网,采用MPLS-VPN技术和省厅实现互访。该局内部PC机,既能和省厅进行办公业务交互,又能通过省厅经NAT转换后实现互联网的访问。本地防火墙没有起用NAT功能,仅提供三层路由能力,配置缺省路由,下一跳为10.253.253.73,指向局端NE40设备。局端NE40配置用户回程路由:ip route-static vpn-instance
ShengShuiLiTing 10.41.100.0 255.255.255.0 10.253.253.74 pref
erence 60;ip route-static vpn-instance ShengShuiLiTing 10.41.101.0 255.255.255.0 10.253.253.74 preference 60。
三、网络优化要求
要求六县(市)下属局和该局联网,并能通过该局访问省厅办公网络,实现省市县网络互连和一体化办公,同时市县两级都要能访问互联网。原市局网络通过省厅接入互联网,为提高互联网访问速度。网络改造后,市县两级不再通过省厅访问互联网,而改为本地直接访问互联网方式,即直接接入焦作IP城域网。
四、该局网络优化调整方案
(1)六县(市)承载方式。根据要求,六县(市)仍通过电子政务内网接入,政务内网采用MPLS-VPN技术。六县(市)的网关设在PE设备上。(2)六县(市)IP地址分配。根据局端NE40配置的用户回程路由,可以看出,省厅分配给该局的可用IP地址为两个C:10.41.100.0/24,10.41.101.0/24。目前仅使用一个C:10.41.100.0/24。所以六县(市)IP地址可使用另一个C:10.41.101.0/24。(3)六县(市)汇聚至用户交换机。如果用户交换机支持三层功能,那么六县(市)业务可经电子政务网络汇聚至该交换机上。在交换机上配置缺省路由,下一跳指向防火墙;同时配置回程路由。此时,需要用户中心再申请一条光纤,接入电子政务内网。(4)六县(市)汇聚至用户防火墙。由于防火墙支持VLAN功能,可将防火墙至省厅的链路划分两个VLAN,一个VLAN传递至省厅的办公业务,一个VLAN汇聚六县(市)的办公业务。同时在防火墙上配置至六县(市)的回程路由。这种情况下,用户中心不需再申请光纤。(5)本地提供互联网出口。经现场查看,用户防火墙还有一个空闲模块,可将该模块上连至局端城域网设备上,作为本地互联网的出口。这种情况下,省厅防火墙需释放对该局提供的NAT功能,焦作本地防火墙需配置NAT功能。
五、该局优化后的网络拓朴
(1)六县(市)汇聚至用户交换机。六县(市)下属局采用空闲的一个C:10.41.101.0/24,通过电子政务内网MPLS-VPN技术汇聚至用户三层交换机上。市局和六县(市)下属局至省厅的办公业务通过防火墙至省厅的链路实现。市局和六县(市)局的互联网业务经防火墙送入焦作IP城域网。
(2)六县(市)汇聚至用户防火墙。六县(市)局采用空闲的一个C:10.41.101.0/24。通过电子政务内网MPLS-VPN技术,经一个三层VLAN链路送入防火墙,市局和六县(市)局至省厅的办公业务通过防火墙经另一个VLAN链路送入省厅。市局和六县(市)局的互联网业务经防火墙送入焦作IP城域网。
参 考 文 献
[1]通用路由平台VRP操作手册VPN分册.华为技术公司
[2]Catherine Paquet.组建可扩展的Cisco互连网络[M].北京:人民邮电出版社
[3]天融信防火墙技术白皮书.北京天融信公司