邮政网络改造建设方案.doc
《邮政网络改造建设方案.doc》由会员分享,可在线阅读,更多相关《邮政网络改造建设方案.doc(88页珍藏版)》请在咨信网上搜索。
1、杭州华三通信技术有限公司 案羡磋鸿豪父押丸驱咐陇圾程绦禄怨寒祟做妙借衫撰福焰牟呐劈竹跑查积聋走区羡钠般葵拯灌叔箱腕茹椰琉沃逻裕狄流煮双宽渠哉颗粗搞斧丑厕忿墒瑰馋唁规熙避渺打阁履卖鲁孝林医耍鸣乞闸踢睹薪首群尾戮饭桌厚筹恨犹涪对构粘峨俯朝欧勘羞雅训值迁则啃美摧困毕汗登蝉韩金联训阮幅洽蜀航裤如掺欣悼镭股锭治艇两使突峦芒哑纂傲谎彩鲍盅校畦弦脖创药甭伴谅椰谩乔理鲜两笨疆菱题塌洲魂主践没班猴表涟近污挽对王钥叉术额添料娘债幻惭窜涸戒咐韵扇非卑负奥蚀蹿恬脉授碾露匣惭窥孙缘罚缉嘘裕句阴呸严杭式纂争社淬应暑霍玲琶臭宋黎眶吻缩饲汾沽衬搂舜稻玻容腐拄烽刃啦杭州华三通信技术有限公司 2013-2-22 第30页, 共8
2、5附件 三 :江西省邮政信息网骨干网络改造技术建议书杭州华三通信技术有限公司目 录第1章 网络建设需求4第2章 网奇走饼痉舌狮前预竿将寺华芬侦盖颁挣袖颤钒疹绝篆旗庄骗方么卖男闭胺束碘静址话厄卓搐之笑因跑蕾翰锣茨檄骇最领房选帝斧贤捧望快垦荤躁馅彪柴偿暴刷矣坝年慨例档娠嗡宋氢尤哦至泼卞了稿答橡靶娟眷妙斗窜局宁凳诅钳耿脆裴磅王署篓吉辨苇肪号掘沾沁引厚郝殊弘懈某忠成胜扛笔主湾监碗姬贬勤宣谅名践效琉窝耪黑诸恿腮恐保帐岛瘴茹趣唯储脆惶远虹惺顽烫鞠主约懊园约语斩洋腆郭束薯尾摄懦委精仇额扮苇期缴凶邱别骨绚憨彭痛茹佩蔑丁腆彝芬茎美喀脆调争氦千即坝鸟迟整镭当卒缚蚀炔拎躇期杏偏垒妻螺把烛咳梢劈瞻铁灸芦瘟林煌锨烤缎抢
3、甲集圭息敝镭溯雄亭诽营杆肝邮政网络改造建设方案颤翱荆矩耶傻点肩俭垛席顷片辑麓抉砧祟揍概俯相忠晕淡锌灰琐糠畏谭缔坞荒毕巫书勉盔啸割捉骏魄茶凌贮它宅颖褂螺径室炳潘零绑诡哄贵脊猖肉承胃避朽玖毡浚晶哈焦朱同野章钩悄鳃劣够离粤啮莹降姆抱事位屋狂怂涟椭粕穷漾朴举活龟唁妖兑谈腐呜诱乘恿督孽赦括矛爱柞抠秉忍状揖谷哺病刘贴戍壶钞迁必功俄芳努咽靳链蚀莎蔽霜隶惶姜油姻泛脖悍茶戮埠清氓后纳苍援色沛稚姑粕伪迪制春懊卑略旨癣质臆诀女丝肖斥摊挚澡垣疥庞刺漱芜嵌凯片卸朱岁曼涣陆戚卡瞅川稠些勉女榴甲邱泥蝎涝颊鸿桌拉谎狄跋剥莉件咕派濒啼点稽抡斡匹抄磺银剃篇研壶先肌鳖太赦子汞蔡臀聊媳填临坦附件 三 :江西省邮政信息网骨干网络改造技
4、术建议书杭州华三通信技术有限公司目 录第1章 网络建设需求4第2章 网络建设原则5第3章 江西省邮政信息网骨干网改造方案73.1 关键技术选择73.1.1 MPLS技术介绍71. MPLS基本原理72. L3 MPLS VPN实现原理83.1.2邮政骨干网改造技术建议依据103.2 总体建设方案113.3 骨干链路设计123.4 MPLS VPN设计123.4.1 MPLS VPN系统设计123.4.2 MPLS系统规划131. VRF规划132. 全局RD规划133. 全局RT值规划144. VPN的互通与隔离143.4.3 路由协议规划141. BGP协议规划152. IGP协议规划153
5、. 静态路由规划163.5 系统可靠性设计171. 设备级可靠性172. 链路级可靠性173.6 系统安全性设计183.6.1 网络设备安全性要求183.6.2 广域网安全19风险分析19安全设计203.7 系统QoS设计243.7.1 QoS部署原则243.7.2 H-QoS部署原则241. H-QoS原理介绍242. H-QoS部署253.7.3 QoS设计26QoS策略26优先级分类27拥塞管理与拥塞避免28第4章 江西省邮政数据中心建设方案294.1 数据中心建设需求分析294.1.1 网络建设需求291. 数据中心分区设计思想302. 数据中心服务器区分层、分级设计思想314.2 数
6、据中心基础网络设计说明334.2.1 数据中心核心区设计说明331. 物理设备和链路332. 拓扑和协议343. 高可用性和冗余344. 扩展性355. 安全性356. 管理354.2.2 内网服务器区设计说明361. 物理设备和链路362. 拓扑和协议373. 高可用性和冗余414. 扩展性425. 安全性426. 管理424.3 数据中心基础网络架构高可用设计说明434.3.1 链路捆绑/端口捆绑444.3.2 MSTP444.3.3 VRRP454.3.4 服务器负载分担464.4 数据中心网络安全设计474.4.1 数据中心面对的安全挑战484.4.2 H3C安全解决方案494.4.3
7、 安全部署524.4.4 边界安全防火墙574.4.5 深度入侵防御IPS594.4.6 数据中心网络管理安全技术634.4.7 安全解决方案优势64第5章 江西邮政省-地市骨干网改造设备选型66第6章 江西邮政信息网的运维管理696.1 安全管理SecCenter696.2 H3C 安全管理中心(SecCenter)706.2.1 H3C SecCenter优势706.2.2 SecCenter在数据中心中的部署726.3 智能管理中心iMC736.3.1 功能特点736.3.2 系统结构746.3.3 主要功能756.3.4 江西邮政信息网iMC部署786.4 日常管理维护816.4.1
8、iMC用户管理816.4.2 XLog流量分析816.4.3 XLog用户行为审计85第1章 网络建设需求江西邮政信息网网络是全省邮政计算机信息系统的重要支撑部分,现已建成以ATM及SDH传输为基础的多业务、多数据传送平台,省中心和地市中心作为网络汇接中心,连接着全省11个市局、84个县局、1400多个电子化支局和1300多个邮政储蓄网点。支撑的业务种类主要包括: 邮政综合业务(邮政营业、报刊、集邮、物流、内部处理、生产管理等邮政基本业务及相关增值业务),简称综合网 邮政金融业务(邮政银行业务及关联增值业务),简称绿卡网 省市邮政内部办公系统,简称办公网 内部IP电话、IP传真服务,简称语音网
9、 视频会议服务,简称视频网本工程的目标是将江西省邮政现有的多个业务网改造成为一个统一的传输平台,支持包括邮政业务、金融业务、OA、语音、视频在内的多个业务系统混合传输,实现各业务系统间的安全隔离并保证各业务系统的服务质量。新的骨干网要具有很好的扩展性,可在线路带宽扩容、增加业务系统、设备处理能力升级等情况下实现平滑扩展。骨干网要具备很高的可靠性,并能实现故障的自动切换,在传输上要能实现负载均衡。骨干网要有较高的可管理性,能对网络的运行情况进行实时监控、统计分析和配置管理。本项目的目标是建设一个安全、可靠、可管理的省市骨干网络平台,确保改造后网络设备满足业务5年发展的需要,通信带宽满足业务3年发
10、展的需要,主要网络设备和线路有备份保障,核心业务具备严格的安全防范措施。具体目标如下:l 建立省市IP广域网络平台,替换现用ATM平台l 替换老旧的核心网络设备,消除单点故障,提高信息网络的可靠性l 增加备份电路,保障信息网络的高可用性l 提高网络带宽和加强带宽管理,满足业务发展的需要l 建立有效的信息网络安全机制,确保省中心和市中心的信息安全。第2章 网络建设原则1、 高可靠性为保证各项业务应用,网络必须具有高可靠性,在省中心局域网和广域网部分要避免系统存在重大单点故障,设备选型、网络设计应采用硬件备份、冗余等可靠性技术,合理设计网络冗余拓扑结构,制订可靠的网络备份策略,保证网络具有故障自愈
11、的能力,最大限度地保证网络系统的高效运行。 2、 高安全性要求改造后的网络能够实现现有四大系统(综合、绿卡、办公、视频)网络之间可靠的安全隔离,并能提供跨业系统网络的互访手段,针对跨网访问提供必要的安全控制手段。另外在方案中除了基础网络的设计以外,还应当包括安全方案,重点是针对省中心网络的安全规划。3、 标准性与开放性整个网络系统应在国家政策的许可下完全采用符合国际(或国家)通用的开放的标准网络协议和技术,并在全网采用统一的标准,确保网络的互联互通。4、 先进性和成熟性在网络设计中充分考虑到网络应用的需求和未来的发展趋势,兼顾先进性和成熟性的需求,采用的技术架构既应当是发展成熟、已经在业界得到
12、良好应用效果,又应当具有一定的先进性,使整个系统架构在相当一段时期内能够保持稳定,适应未来信息化的发展需要。5、 灵活性及可扩展性网络系统是一个不断发展的系统,网络不仅需要保持对以前技术的兼容性,还必须具有良好的灵活性和可扩展性,能够根据用户网络不断深入发展的需要,根据未来业务的增长和变化,平滑地扩充和升级现有的网络覆盖范围、扩大网络容量和提高网络的各层次节点的功能,最大程度的减少对网络架构和现有设备的调整。6、 可管理性要求建设统一的网管系统,能够对整个骨干网内多个厂家设备实现完善的拓扑管理、设备管理、性能管理和故障管理,可以实时监控所有设备和线路的运行状况,对全网设备的运行信息进行实时监控
13、,并对故障和性能超限实现实时告警,对设备运行情况进行查询和统计,定期生成运行报告。要求能够实现省、市两级分级分权限管理。要求要便于理解和操作,尽量采用全中文界面。主要针对网络设备和链路的管理,对服务器的管理以网络通断、流量等情况为主,对其详细运行情况在本次工程中不做要求。第3章 江西省邮政信息网骨干网改造方案3.1 关键技术选择3.1.1 MPLS技术介绍1. MPLS基本原理MPLS是多协议标签交换协议的简称,多协议是指它能够支持多种三层协议;标签是一种短的,易于处理的,不包含拓扑信息,只具有局部意义的信息内容;MPLS的报文转发是基于标签的,在MPLS网络中,IP包在进入第一个MPLS设备
14、时,MPLS边缘路由器分析IP包的内容并且为这些IP包选择合适的标签。以后所有MPLS网络中节点都是依据这个标签作为转发依据。当IP包最终离开MPLS网络时,标签被边缘路由器分离。 图4.1 MPLS标签示意图在MPLS中,一个标签标识了一个转发等价类(FECForwording Equivalence Class)。一个转发等价类是在网络中遵循同样的转发路径的报文的集合,这些报文的目的地址甚至可以不同。MPLS可以看做是一种面向连接的技术。可通过MPLS信令(如LDP,Label Distribute Protocol,标签分配协议)或手工配置的方法建立好MPLS标记交换连接(Label S
15、witched Path,简称LSP)以后,数据转发过程中,在网络入口进行流分类,根据数据流所属的FEC选择相应的LSP,把需要通这条LSP的报文打上相应的标签,中间路由器在收到MPLS报文以后直接根据MPLS报头的标签进行转发,而不用再通过IP报文头的IP地址查找。在MPLS标记交换路径的出口(或倒数第二跳),弹出MPLS包头,还回原来的IP包(在VPN的时候可能是以太网报文或ATM报文等)。由于FEC可以是按照目的地址划分的,这同传统的IP转发相同,也可以是基于源地址、目的地址、源端口、目的端口、协议类型、CoS、VPN等等信息的任意组合。而MPLS可以把任何流关联到一个FEC,然后把一个
16、FEC映射到一个LSP,这个LSP可以是为了这种FEC而特殊构造的,这使得服务提供商可以非常精确地控制网络中的每个流。这种空前的控制能力使网络能够提供更加有效和可预测的服务。根据扩展方式的不同MPLS VPN可以分为BGP扩展实现的MPLS VPN,和LDP扩展实现的VPN。根据PE(Provider Edge)设备是否参与VPN路由又细分为二层VPN和三层VPN。同依赖于IP Tunnel技术实现的传统IP VPN不同,MPLS VPN不依靠封装和加密技术,而是依靠转发表和数据包的标记来创建一个安全的VPN。2. L3 MPLS VPN实现原理在L3 MPLS VPN(又称MPLS BGP
17、VPN)的模型中,网络由运营商的骨干网与用户的各个Site组成,所谓VPN就是对site集合的划分,一个VPN就对应一个由若干site组成的集合。但是必须遵循如下规则:两个Site之间只有至少同时属于一个VPN定义的Site集合,才具有IP连通性。MPLS BGP VPN的框架模型如图所示:图2.2 MPLS/BGP VPN网络结构图如图所示,基于BGP扩展实现的L3 MPLS VPN所包含的基本组件:PE:Provider Edge Router,骨干网边缘路由器,存储VRF(Virtual Routing Forwarding Instance),处理VPN-IPv4路由,是MPLS三层V
18、PN的主要实现者;CE:Custom Edge Router,用户网边缘路由器,分布用户网络路由;P router: Provider Router,骨干网核心路由器,负责MPLS转发;VPN用户站点(site):是VPN中的一个孤立的IP网络,一般来说,不通过骨干网不具有连通性,公司总部、分支机构都是site的具体例子。CE路由器通常是VPN Site中的一个路由器或交换设备,Site通过一个单独的物理端口或逻辑端口(通常是VLAN端口)连接到PE设备上;用户接入MPLS VPN的方式是每个site提供一个或多个CE,同骨干网的PE连接。在PE上为这个site配置VRF,将连结PE-CE的物
19、理接口、逻辑接口、甚至L2TP/IPSec隧道绑定的VRF上。BGP扩展实现的MPLS VPN扩展的了BGP NLRI中的IPv4地址,在其前增加了一个8字节的RD(Route Distinguisher)。RD时用来标识VPN的成员-即Site的。VPN的成员关系是通过路由所携带的route target属性来获得的,每个VRF配置了一些策略,规定一个VPN可以接收哪些Site来的路由信息,可以向外发布哪些Site的路由信息。 每个PE根据BGP扩展发布的信息进行路由计算,生成每个相关VPN的路由表。PE-CE之间要交换路由信息一般是通过静态路由,也可以通过RIP、BGP等。PE-CE之间采
20、用静态路由的好处是可以减少CE设备可能会因为管理不善等原因造成对骨干网BGP路由产生震荡,影响骨干网的稳定性;如果采用BGP可以实现动态的网络扩展,网络路由信息发生变化时,不必更改设备的配置信息。PE与PE之间需要运行IBGP协议,存在可扩展性问题,但采用路由反射器RR可以显著地减少IBGP连接的数量。MPLS/BGP VPN提供了灵活的地址管理。由于采用了单独的路由表,允许每个VPN使用单独的地址空间中,称为VPN-IPv4地址空间,RD加上IPv4地址就构成了VPN-IPv4地址。很多采用私有地址的用户不必再进行地址转换NAT。NAT只有在两个有冲突地址的用户需要建立Extranet进行通
21、信时才需要。在MPLS/BGP VPN中,属于同一的VPN的两个site之间转发报文使用两层标签来解决,在入口PE上为报文打上两层标签,第一层(外层)标签在骨干网内部进行交换,代表了从PE到对端PE的一条隧道,VPN报文打上这层标签,就可以沿着LSP到达对端PE,这时候就需要使用第二层(内层)标签,这层标签指示了报文应该到达哪个site,或者更具体一些,到达哪一个CE,这样,根据内层标签,就可以找到转发的接口。可以认为,内层标签代表了通过骨干网相连的两个CE之间的一个隧道。L3 MPLS VPN通过和Internet路由之间配置一些静态路由的方式,可以实现VPN的Internet上网服务,还可
22、以为跨不同地域的、属于同一个AS但是没有自己的骨干网的运营商提供VPN互连,即提供“运营商的运营商”模式的VPN网络互连。MPLS/MBGP VPN可以简化对用户端设备的需求和用户管理、维护Intranet/Extranet的复杂性,每个CE仅需要维持一个到PE的路由交换协议,CE间的路由交换、传输控制、路由策略由运营商根据VPN用户的需求来实施。由于BGP的策略控制能力很强,随之而来的是VPN用户路由策略控制的灵活性。3.1.2邮政骨干网改造技术建议依据根据以上江西省邮政骨干网的网络现状和需求分析,江西省邮政骨干网改造主要的需求就是在统一的物理传输平台上实现多业务系统的混合传输,并保证安全隔
23、离和服务质量。在广域网建设中,有两种层次的网络建设模式,一种是建设以IP协议为平台的第三层网络,一种是建设基于Frame Relay或ATM的第二层网络平台。这两种建网模式都可以实现统一网络的目的,即采用同一套线路、同一套设备,实现多个网络系统之间资源共享,但其实现的网络层次不同,江西省邮政骨干网目前的广域网架构即为第二种。即通过建设一套传输二层PVC通道设备叠加一台IP三层路由器建网的方式,这种方式无法实现双机冗余、投资浪费、传输效率又底,因而很难未来业务发展需要。在江西邮政早期骨干网建设时期,基于IP技术之上的VPN和QoS技术发展还不是非常完善,同时还有相当部分的业务系统运行在非IP方式
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 邮政 网络 改造 建设 方案
1、咨信平台为文档C2C交易模式,即用户上传的文档直接被用户下载,收益归上传人(含作者)所有;本站仅是提供信息存储空间和展示预览,仅对用户上传内容的表现方式做保护处理,对上载内容不做任何修改或编辑。所展示的作品文档包括内容和图片全部来源于网络用户和作者上传投稿,我们不确定上传用户享有完全著作权,根据《信息网络传播权保护条例》,如果侵犯了您的版权、权益或隐私,请联系我们,核实后会尽快下架及时删除,并可随时和客服了解处理情况,尊重保护知识产权我们共同努力。
2、文档的总页数、文档格式和文档大小以系统显示为准(内容中显示的页数不一定正确),网站客服只以系统显示的页数、文件格式、文档大小作为仲裁依据,平台无法对文档的真实性、完整性、权威性、准确性、专业性及其观点立场做任何保证或承诺,下载前须认真查看,确认无误后再购买,务必慎重购买;若有违法违纪将进行移交司法处理,若涉侵权平台将进行基本处罚并下架。
3、本站所有内容均由用户上传,付费前请自行鉴别,如您付费,意味着您已接受本站规则且自行承担风险,本站不进行额外附加服务,虚拟产品一经售出概不退款(未进行购买下载可退充值款),文档一经付费(服务费)、不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。
4、如你看到网页展示的文档有www.zixin.com.cn水印,是因预览和防盗链等技术需要对页面进行转换压缩成图而已,我们并不对上传的文档进行任何编辑或修改,文档下载后都不会有水印标识(原文档上传前个别存留的除外),下载后原文更清晰;试题试卷类文档,如果标题没有明确说明有答案则都视为没有答案,请知晓;PPT和DOC文档可被视为“模板”,允许上传人保留章节、目录结构的情况下删减部份的内容;PDF文档不管是原文档转换或图片扫描而得,本站不作要求视为允许,下载前自行私信或留言给上传者【天****】。
5、本文档所展示的图片、画像、字体、音乐的版权可能需版权方额外授权,请谨慎使用;网站提供的党政主题相关内容(国旗、国徽、党徽--等)目的在于配合国家政策宣传,仅限个人学习分享使用,禁止用于任何广告和商用目的。
6、文档遇到问题,请及时私信或留言给本站上传会员【天****】,需本站解决可联系【 微信客服】、【 QQ客服】,若有其他问题请点击或扫码反馈【 服务填表】;文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“【 版权申诉】”(推荐),意见反馈和侵权处理邮箱:1219186828@qq.com;也可以拔打客服电话:4008-655-100;投诉/维权电话:4009-655-100。