XX政法系统网络建设工程技术建议书(共56页).doc

《XX政法系统网络建设工程技术建议书(共56页).doc》由会员分享，可在线阅读，更多相关《XX政法系统网络建设工程技术建议书(共56页).doc（56页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、精选优质文档-倾情为你奉上XX政法公共平台网络建设工程技术建议书华为技术有限公司专心-专注-专业1 概述信息化是我国产业优化升级和实现工业化、现代化的关键环节，积极运用现代化科技手段，特别是先进信息技术，加快政府管理信息化进程，建立高效的电子政府，是适应国民经济和社会信息化发展的迫切要求。本方案设计针对XX政法公共平台网络工程建设现状进行综合分析，针对XX政法公共平台网络带宽低、可靠性不高、安全防护薄弱、可管理性差的现状，进行技术改造。最终为XX政法公共平台网络工程构建高效、安全、可靠的网络运行环境。本次XX政法公共平台网络建设的总体目标是：一、建立高速、高效的网络平台，满足大数据量传输和快速

2、业务实现的需求； 二、建立高可靠性的网络平台，保证业务实现的不间断和快速故障恢复；三、建立高安全的网络平台，保证业务数据和管理系统等多层次的安全保障；四、建立易维护的网络管理平台，实现对设备和业务的全方位管理；五、建立易扩展的网络平台，为全省政法系统综合网络提供持续发展保障；六、建立面向多业务的网络平台，可方便实现目前和今后多业务的方便部署；七、建立规范化、标准化的网络平台，实现不同厂家设备的无缝互联；1.1 设计思想XX政法公共平台网络建设项目的总体设计思想是建设一个集各项核心生产业务、语音、视频会议、行政办公、决策支持以及外部接入为一体的，具有较大容量高速传输能力的、有可靠稳定服务质量保证

3、的信息化综合网络平台。使得XX政法系统能够基于这个平台，实现省局、地市局、县（区）局之间安全高速的数据共享，尽可能地简化办公流程，提高办公效率；并为今后新的业务发展，迅速推出相应的新业务打好良好的基础。1）利用设备、网络可靠冗余性设计，路由协议、快速重路由、VRRP+MSTP等协议冗余性设计部署，实现网络平台的高可靠性；2）利用设备自身安全设置、分层分区访问控制，实现网络平台的高安全性；3）利用宽带IP技术，实现网络对数据及语音、视频会议、监控等多媒体业务的良好支持。利用QOS技术实现针对不同应用提供不同的服务质量，实现网络平台的高可用性；4）利用集中网络管理平台实现全网设备统一管理，通过流量

4、分析系统实现全网业务流的高可见性管理，实现网络平台的高可管理性；1.2 设计原则结合XX政法的实际应用和发展要求，在进行XX政法公共平台网络建设项目方案设计时，系统总体设计应遵循原则：l 实用性原则：网络建设将以满足现行需求为基础，在节省投资的同时，充分考虑发展的需要来确定系统规模。l 安全性原则：XX政法公共平台服务于全省政法系统办公需要，对安全级别要求很高。系统应能提供网络层的安全手段配合整体系统的安全建设，防止系统外部成员的非法侵入以及操作人员的越级操作，保护网络建设者的合法利益。l 可靠性原则：系统设计能有效的避免单点失败，在设备的选择和关键设备的互联时，应提供充分的冗余备份，一方面最

5、大限度地减少故障的可能性，另一方面要保证网络能在最短时间内修复。l 成熟和先进性原则：XX政法公共平台网络系统结构设计、系统配置、系统管理方式等方面应采用国际上先进的同时又是成熟、实用的技术。l 高可用性原则：具有较高的可靠性和可用性前提下，保证征管业务系统的正常运行。网络设备及设计具备在线故障恢复能力，关键设备、线路能做到实时备份和自动故障切换。网络系统具有强大的容错功能以确保各种应用的正常运行，在网络设计上采用网络级备份或线路及设备的冗余配置。没有单故障点，线路之间相关系数最小。l 规范性原则：系统设计所采用的技术和设备应符合国际标准、国家标准和业界标准，为系统的扩展升级、与其他系统的互联

6、提供良好的基础。l 开放性和标准化原则：在设计时，要求提供开放性好、标准化程度高的技术方案；设备的各种接口满足开放和标准化原则。l 可扩充和扩展化原则：所有系统设备不但满足当前需要，并在扩充模块后满足可预见将来需求，如带宽和设备的扩展，应用的扩展和办公地点的扩展等。保证建设完成后的系统在向新的技术升级时，能保护现有的投资。l 可管理性原则：整个系统的设备应易于管理，易于维护，易学，易用，便于进行系统配置，在设备、安全性、数据流量、性能等方面很好的监视和控制，远程管理和故障诊断。1.3 设计规范本次XX政法公共平台网络项目的网络设计完全符合国家网络建设的相关标准和规范。1、 网络标准与规范l R

7、FC 1661： The Point-to-Point Protocol (PPP)l RFC 1990： The PPP Multilink Protocol (MP)l RFC 1994： PPP Challenge Handshake Authentication Protocol (CHAP)l RFC791： Internet Protocol. (IP)l RFC792： Internet Control Message Protocol (ICMP)l RFC793： TRANSMISSION CONTROL PROTOCOL (TCP)l RFC768： User Datagr

8、am Protocol (UDP)l RFC 826： An Ethernet Address Resolution Protocol (ARP)l RFC2328： OSPF Version 2l RFC1793： Extending OSPF to Support Demand Circuitsl RFC1771： A Border Gateway Protocol 4(BGP-4)l RFC1965： Autonomous System Confederations for BGPl RFC1966： BGP Route Reflection l RFC1997： BGP Communi

9、ty Attributel RFC2439： BGP Route Flap Dampingl RFC2138： Remote Authentication Dial In User Service (RADIUS)l RFC2139： RADIUS Accountingl RFC2784： Generic Roouting Encapsulation l RFC2401： Security Architechure for the Internet Protocoll RFC1157： Simple Network Management Protocol (SNMP)l RFC2474： DS

10、 Field in the IPv4 and IPv6 Headersl RFC2475： An Architecture for Differentiated Servicel RFC2615： POSl RFC2547： MPLS VPNl IEEE 802.3u： 100Base规范l IEEE 802.3z： 1000Base-X(GBIC)规范l IEEE 802.3ae： 10G 规范l IEEE 802.1Q/1P： Virtual Bridged Local Area Networksl IEEE 802.3ad： Link Aggregationl IEEE 802.17：

11、RPR2、 国家安全标准与参考规范l GB/T18336-2001l GB/T18019-1999l GB/T18020-1999l UL 1950l EN 41003l AS/NZS 3260l AS/NZS 3548 Class Al CSA Class Al FCC Class Al EN 60555-2l VCCI (ClassII )l 抗干扰性l IEC 1000 4 2 (ESO )l IEC 1000 4 3 (辐射敏感性)l IEC 1000 4 4 (电快速瞬变)l IEC 1000 4 5 (电源)l IEC 1000 3 2 (谐波)2 网络方案总体设计XX政法公共平台

12、网络（金盾网一期）现状如下：核心节点部署两台NE80路由器进行备份，接入地市的NE40，以155M链路进行互联；省检查院及法院核心部署一台NE40，以GE上连至核心；成都业务量较大，以GE上链核心。同时，省核心还与公安一级网进行互联。随着XX政法系统的信息化进程，目前的金盾一期网络已经无法满足业务发展，主要存在一下问题：1. 带宽不足。目前大部分地市接入仅为155M链路，随着语音、视频等业务的发展，原有带宽的局限性逐步体现，考虑到要构建六大业务系统的同意平台，现有的155M带宽明显不足。2. 可靠性问题。连接核心节点均为单链路上行，存在安全隐患，一旦链路出现故障，整个地市的业务将陷入瘫痪；同时

13、地市节点在网络拓扑中均为单节点，无任何冗余备份。3. QOS保障不足。金盾一期所使用的嵌套VPN技术很好地解决了公检法三个单位之间的有效隔离，但针对各自单位内部的视频会议、IP语音、监控等业务无法进一步区分，同时无法根据几种业务的特征提供定制化精细QOS，无法灵活地根据新增或变动业务提供最低带宽保障和QOS管理。针对上述问题，XX政法公共平台网络建设项目总体设计应包含网络可靠冗余性设计、路由协议规划、QOS设计、安全设计、网络管理系统设计，同时还包含后续可能进行扩展的IPV6和MPLS VPN业务部署的设计。整体采用分层、模块化的设计思想。2.1 方案设计优势1、 网络拓扑灵活扩展采用星树型、

14、分层结构设计，网络层次清晰，达到骨干与接入分离、广域与局域分离的建设效果，利于全省大集中的建设，网络扩展能力、灵活性强。技术先进、适用：此次建设选用国际标准化，开放的技术协议，兼顾用户自身技术运用状况，采用适用的动态路由、定制化QOS等技术实施，配合先进成熟技术包括快速收敛（IGP快速收敛）、快速检测（BFD）等技术部署，使得网络更加智能、高效，并具备良好的自愈能力，为XX政法网络的核心业务不间断转发提供技术保证。2、 高速平台具备高扩展能力：XX省政法信息传输网将依托运营商的骨干传输网实现省级政法部门和市（州）政法部门的业务传送。各市（州）政法委、法院、检察院、公安、国家安全、司法的带宽需求

15、分别如下表所示。业务部门政法委公安检察院法院安全司法数据需求64M155M64M64M155M64M视频需求8M8M8M8M8M8M各市（州）政法部门带宽需求总和为622M，省政法核心至省政法各部门的带宽总和如下表所示。业务部门政法委公安检察院法院安全司法部门带宽总合1512M3423M1512M1512M3423M1512M为满足带宽需求，省到地市的广域网线路采用设备具备高带宽扩展能力，省核心路由器采用具备十兆、百兆、千兆的扩展能力、地市节点采用设备具备百兆、千兆的扩展能力。为整体XX政法系统的高速网络平台提供强大扩展能力，具备良好使用性价比。3、 可靠性技术保证：XX政法系统用户流量近年增

16、长迅速，需要具备7*24的网络支撑能力，此次改造充分考虑到这一点，从设备选型、技术部署等方面均做了充分准备。如设备选型，所有节点均采用同档次设备，省级核心设备具备路由引擎冗余、交换网冗余，单板热插拔，全分布式的硬件体系架构，达到电信级水准。4、 管理全面高效：此次网络改造对于网络管理提升到了一个全新层次，网络管理任务关注到了基本网络拓扑、设备管理，可以统一进行ACL Manger、MPLS VPN Manger等集中部署，将网络管理的任务进行了全面提升和丰富，为XX政法网管人员提供全面的可参考管理的信息。5、 建设和维护成本合理性从建设和维护成本上来分析，网络分层次建设，不同层次的带宽选择可以

17、分别考虑。根据流量需求，骨干网采用比较高的带宽、较高档次设备，而接入节点采用相对低一些的带宽、较低档次设备，可以极大提高网络建设成本的合理性，网络的可实施性，同时又增加了带宽分配的合理性，避免带宽资源的浪费，节约了建设和维护成本。2.2 网络设计2.2.1 网络拓扑结构设计XX政法公共平台网络由个2个省中心节点、20个地市局节点及公安、检察院、法院、政法委、安全、司法六大省级系统组成。根据政法系统的上下级的隶属关系及大集中后的业务模式，政法骨干网的业务流向以省局 地市局，省局 区县局所，地市局 区县局所这样的纵向流为主，根据业务走向，最适合的网络模型是星型组网。采用层次化星型网络拓扑结构建设X

18、X政法骨干网络具有以下特点：（1）符合大网建设的要求分层的模块化设计使得网络成长更加方便。升级的费用和复杂度限制在整个网络的小范围内，当局部网络环境发生变化时不影响其它无关的层次。便于发现和隔离故障，有助于故障点的识别。（2）可靠性高可以保证在任何一个链路出现故障时，都不会中断全局通信，因此，网络具有很高的可靠性。（3）建设和维护成本合理从建设和维护成本上来分析，网络分层次建设，不同层次的带宽选择可以分别考虑。根据流量需求，主干层采用比较高的带宽，而接入层采用相对低一些的带宽，可以极大提高网络主干层的性能，网络的可实施性，同时又增加了带宽分配的合理性，避免带宽资源的浪费，节约了建设和维护成本。

19、（4）路由效率高模块化、层次化拓扑结构便于路由协议分层设计，减少了路由选择协议在网络链路上的开销，以及路由器的处理时间，这样，提高了路由效率。XX政法网络拓扑图如下：2.2.2 核心设备部署核心设备负责的MPLS VPN的汇聚流量转发；地市政法公共平台的接入；是XX政法网络平台的核心骨干，既是纵向网络的传输平台，也是横向网络的互连平台。核心节点要对政法平台网络中的各种业务集中处理，要求具有高性能的路由处理和QoS处理能力。建议在核心节点部署华为公司的NE80E两台，作为负责整网数据转发。在MPLS部署上，NE80E作为P设备，构建LSP标签转发路径，执行MPLS高速转发。核心设备以GE链路分别

20、连接省级机构及地市核心，提升网络带宽。2.2.3 省级机构设备部署省级机构采用NE40E-X3作为P设备，分别接入省级公、检、法、司法、安全、政法六大系统。NE40E-X3基于分布式的硬件转发和无阻塞交换技术，具备电信级可靠性、线速转发性能、完善的QoS机制、丰富的业务处理能力、优异的扩展能力，尤其是NE40-X3E在具备核心路由器强大IP业务处理能力的同时，融合了三层以太交换能力，具有丰富的IP边缘业务特性，包括以太网交换处理、PE、隧道和流队列等，可实现IPv4向IPv6的平滑过渡，承载IP运营级业务，是IP骨干网和IP城域网向宽带化、安全化、业务化、智能化发展的重要源动力。2.2.4 地

21、市局设备部署地市建设2台NE40E，作为P设备；地市公、检、法、司法、安全、政法六大系统分别建设NE20E进行接入，NE20E作为PE设备，负责各部门网络接入，提供各部门纵向VPN子接口、横向VPN子接口等，实现纵向、横向VPN隔离和互访。3 网络可靠冗余性设计XX政法网各业务系统的安全运行，对XX政法网络系统的可靠性提出了很高的要求。特别随着政法系统各部门的信息化、数字化办公的逐步深入开展，可以说一旦网络/服务器等中断，将会使整个办公陷于瘫痪，引起严重的后果。因此在网络的设计实施中必须对网络的可靠性进行详尽的考虑和设计。网络系统的可靠性由两个大部分组成，即承载网络的可靠性和应用系统的可靠性。

22、应用系统的可靠性主要由服务器、存储设备、应用程序、数据库等的可靠性构成；承载网络的可靠性则包括网络拓扑组网结构的可靠性及组网设备可靠性，下面对本次XX政法承载网络的可靠性设计进行说明。3.1 组网结构可靠冗余性设计骨干网络采用星形架构设计，通过路由协议等技术配合实现广域传输的可靠性；3.2 设备级可靠冗余性设计网络核心节点设备的可靠是确保整个网络的有效运转的关键所在。要保证XX政法网络平台的可靠性，必须要选用具备电信级可靠性的网络设备进行组网，才能使网络具有自动恢复能力、降低人工维护工作，达到电信级的可靠运行。 网络关键设备必须具有电信级可靠性网络中的关键设备，如核心路由器等，应该具备电信级可

23、靠性：l 可靠性指标必须达到99.999%。l 网络核心设备采用全分布式体系结构，路由与转发分离。l 所有关键器件，如主控板、电源等都采用冗余设计，业务模块支持热插拔。l 网络核心设备支持不间断转发，主控板热备份。主备倒换过程不影响业务转发，不丢包。l 网络核心设备支持软件在线升级，升级过程中业务不中断。l 网络核心设备支持软件热补丁，打补丁过程中主控板和接口板都不需要重启动，业务不中断。下面对备份技术，补丁技术及不简单转发技术进行介绍：1）备份技术对高可靠性的支持必须是完备的，系统的。既要对硬件部件(如电源，主控板、交换网及存储设备等)的备份，也需要对数据和系统的中间状态信息备份。硬件的备份

24、技术是由硬件逻辑或者底层软件控制的，系统需要实时检测硬件的状态，如果发现异常，则启动倒换过程，将备用硬件升级为主用，而原主用部件相应的转换为备用，同时尝试对硬件部件复位，并给系统发出告警。对数据和系统状态的备份也需要相应的硬件配合，通过部件冗余备份实现来增强设备的可靠性，如对路由器的主控板进行冗余备份，备用板与主用板之间并不进行运行状态和与运行数据的同步。路由器启动时，主用板和备用板都要进行程序加载，并且开始相关模块的初始化，主用板正常执行启动过程，开始软件运行，备用板并不完成所有的初始化（包括配置文件的执行），而是在完成之前的最后一步暂时阻塞，保持等待运行的状态；一旦主用板出现故障，备用板重

25、新启动所有的业务板并完成最后的初始化，接替主用板工作。这种备份方式称为冷备份。冷备份节省了加载以及启动的时间、备用板配置恢复时间，减少了故障恢复时间，从而增加系统可靠性。不过在这种备份方式下，由于主备之间不进行任何数据的备份，需要进行数据的搜集或恢复处理，需要花费一定的时间。 一些协议连接需要重新协商处理，如路由协议建立邻居、路由聚合需要花费一定的时间。可能会导致业务板的重新启动，需要花费一定的时间。所有这些，都可能导致业务的短时间中断，但是，即使是瞬间的网络中断，也可能给用户造成巨大的损失，对一些政法关键部门的业务用户尤其如此。为了将网络中断时间减少至最短时间，甚至做到业务不中断，需要对系统

26、运行时的动态数据或进程状态进行备份，这时备用板处于一个特殊的运行态，只接收和储存由主用板发送来的数据和状态，当主用板发生故障时，系统平滑的切换到备用板，切换过程对网络用户透明，业务不会因为网络的切换而中断。我们称这种备份方式为热备份。当系统的备用板启动之后，主用板和备用板之间的状态差异可以非常大，这时需要将主用系统的数据批量的备份到备用板上，这个过程就是批量备份。当批量备份结束后，随着系统的运行，主用系统的数据会发生变化，这些变化需要定时的备份到备用系统中，这个过程称作定时备份。一旦主用系统出现故障，备用系统和主用系统的角色需要交换，将备用系统升格为主用系统的过程称作主备倒换。备用系统升级为主

27、用系统后，一些状态信息没有从原主用系统得到，或数据失效，新的主用系统需要与接口板对硬件状态、链路层状态和配置数据上确认这些数据，这个确认过程是数据平滑。热备份保证主备系统板之间的数据和状态始终一致，因而，业务板也感觉不到系统板发生倒换，再加上协议状态的一致，因此可以保证业务不会丢失。2）补丁技术补丁技术主要目的是修正已经发现并解决的BUG，防止相同的问题在不同的网络上发生。在两种补丁技术中，冷补丁的软件升级技术是传统数据通信产品的主要方式，热补丁技术则是现有电信网络设备的常用方式，冷补丁技术能够不中断业务的转发，但对设备的正常运行有一定影响；热补丁的执行过程中业务处理流程可以正常进行，对设备没

28、有任何影响。设备的高可靠性从硬件、软件、保护机制等几个方面体现：冷补丁技术的主要原理是使用更新的软件版本替换有问题的版本，在这个过程中，如果是在无备份的机制下，会中断转发业务；在有备份板的情况下，打补丁操作需要在备板中进行，通过手动倒换操作，能实现无业务损失的升级工作，但在接口处理板上的补丁操作会影响业务的正常运行。热补丁技术需要有操作系统和相应的编译工具的支持，它的原理是将所需要升级的那部分代码编译后形成一个补丁文件，在打补丁过程中，将这个补丁文件加载到系统的补丁区域，并修改原有软件的Bug 区域，将新的特性跳转到补丁区域执行，整个过程不需要中断业务，可以在主用板执行，因此业务没有丝毫损失。

29、另外热补丁技术并没有修改原有软件，因此在需要时可以回退，这也为补丁的更新提供了更便利的条件。XX政法网络中所采用的地市汇聚路由器设备具有强大的设备级可靠性保证：1、采用分布式体系结构：在地市节点的高性能路由器采用分布式体系结构，与集中式体系设备相比较，分布式体系设备除性能可以通过插入更多的接口处理板提高整体性能外，更为关键的是将管理、路由转发、接口处理等功能分配在不同的部件上，协同工作，分布式体系可以分散故障风险、隔离故障、提供冗余配置，提高系统的自动恢复能力；如管理部件故障，只需要更换这部分板件，不影响其他功能。2、关键部件冗余：采用分布式体系下，对设备的关键部件，如主控管理单元、交换转发单

30、元等，进行冗余构造配置，保证系统在工作中不会全部失效。3、实时热备份机制：在系统软件及硬件的支持下，关键部件在发生故障能自动启动备份系统，而且主备之间的切换要能够实时热倒换，即运行中即使发生设备故障切换也不会对网络业务造成影响。4、热插拔特性：任意单板均支持热插拔特性，保证系统出现故障需要维护，或系统需要升级扩展时，不需要停机处理，保证网络的724小时不间断运行。5、冗余电源支持：提供冗余电源负载分担及备份供电，保障系统具有可靠的能量源。6、散热系统：网络设备的散热系统使设备能够长时间稳定运行而不至因为系统升温过高出现故障，冗余风扇等散热装置可以增加设备的运行时间及减少故障发生。4 IP地址规

31、划及设备命名4.1 IP地址规划原则XX政法广域网是基于传输控制/互联协议（TCP/IP）结构的互联网络。其IP地址的编制是网络建设的重要内容，它与网络的整体结构、技术体制、连接方式相关，是实现全网互联互通的基础，必须实行统一规划、统一分配、分级编制、分级管理。IP地址的规划需要遵循以下原则：1唯一性原则唯一性是IP地址在TCP/IP协议中最基本的要求，是IP地址的基本特征和IP地址编制的重要依据。网络中每一网络所使用的IP地址的网络地址字段必须是唯一的，在同一网络中所使用的IP地址中包含的主机地址字段也必须是唯一的，这是实现IP网络互联互通的基本条件。2连续性原则在层次化结构的网络中为各个节

32、点划分连续的IP地址区间，便于实现路径叠合（Route Summarization）等优化IP地址的分配技术，简化路由表数据，提高路由算法的计算效率和动态路由的快速收敛，能有效利用地址空间。3扩展性原则IP地址编制要兼顾网络规模扩展的需求，为各个节点预留足够的IP地址扩展区间时，应考虑对网络在用地址的继承性，满足路由协议的要求、实现IP地址编用的平滑连接等，这是保证网络扩展和有序管理的重要条件。4规范性原则XX政法网络各节点的网络互联设备和局域网内主要设备等采用规范的地址编制技术和方法，是网络互联互通和提高网络管理效率的有效措施。5标准化原则遵循有关TCP/IP协议标准来规划IP地址，是网络建

33、设的重要原则。4.2 IP地址编制方法1完全二叉树分配法网络中各级子网IP地址的编制，是从完全二叉树地址空间中某一子树的根开始，逐级向下地将该子树下的从属子树分配给各级子网和其下级子网，同级子网均以同样方法分配同根的二叉子树。网络互联IP地址和用户主机IP地址，都是从本级子网的从属子树地址空间中分配。采用这一IP地址的编制技术，既避免了各级子网IP地址的重叠，又保证了各级子网IP地址空间的连续性。2分布的地址空间预留技术分布的地址空间预留技术是指给按层次划分的各级子网IP地址预留空间，当由于网络扩展需要IP地址扩展时，可使扩展的IP地址空间与在用的IP地址空间连续，使网络继续保持其最简的路由表

34、数据结构，保证了IP地址的平滑扩展。3无类域间路由（CIDR）编址技术无类域间路由CIDR（Classless Interdomain Routing）编址技术使用了可变长子网掩码VLSM（Variable-Length Subnet Mask）技术和完全二叉树地址分配技术，可根据网络和主机的分布状况，灵活地选择不同的子网掩码屏蔽位长度，动态地分配网络地址标志位和主机地址标志位长度，不仅能有效地提高IP地址空间利用率，而且使路由表数据更加简化。4.3 IP地址编制规则IP地址是由32位二进制数字表示，并分为四个八位域。每个八位域由“.”分开，表示0255之间十进制数。一个32位的IP地址分为网

35、络地址和主机地址两个字段。IP协议规定了A、B、C、D、E五种IP地址类型，其中常用的是A类、B类和C类地址，详见下表：A类地址：0NNNNNNN.HHHHHHHH.HHHHHHHH.HHHHHHHHB类地址：10NNNNNN.NNNNNNNN.HHHHHHHH.HHHHHHHHC类地址：110NNNNN.NNNNNNNN.NNNNNNNN.HHHHHHHHN：网络地址标志位H：主机地址标志位在Internet中以上三类地址区间分别定义了“保留地址区”，供各类内部网络使用，以避免与外部网络发生地址冲突。其保留地址区间如下：A类：10.0.0.010.255.255.255B类：172.16.0

36、.0172.31.255.255C类：192.168.0.0192.168.255.2554.4 IP地址分配方案鉴于XX政法网络IP地址的资源情况，以及对于各单位原有纵向业务系统的对外IP地址分配须予以保留，并且考虑到以后公网IP地址资源的申请情况，我们建议采用公私网IP地址混合应用的规划方案，XX政法网络除了对外提供服务的服务器、还有内部用户对外上网或其他访问Internet的业务需求采用公网IP地址，其他均可以采用私网IP地址进行规划，即可采用采用公私网IP地址混合，在出口做NAT的规划。 由于XX政法网络系统主要用于内部业务的互访，与INTERNET网络即外网目前是采用物理隔离的方式，

37、所以原则上采用任何IPV4地址空间块都是可以的。目前，在国际标准RFC1918中定义了IPv4私有地址空间为10/8，172.16/12,192.168/16，这三个地址空间块是不会出现在INTERNET网络中。鉴于XX政法网络系统包括广域网和各节点局域网组成。其中IPV4地址类型大致分为广域网互联地址（包括设备的环回LOOPBACK地址和设备互联地址），局域网业务和管理地址两大类。所以我们建议所有广域网互联地址从192.168/16中分配。具体规划：设备互联和设备环回接口LOOPBACK地址分配方案：AREA0中省信息中心和地市网络中心所有设备的LOOPBACK地址依次从192.168.0.

38、1/24分配，共253个地址。所有设备的互联地址依次从192.168.1.1/30,192.168.1.5/30 192.168.1.253/30共64个/30网段中依次分配。5 路由规划部署方案5.1 路由方案选择原则互连是网络构建最基础和最本质的要求，选择适当的路由协议需要以此为目标，并综合考虑以下因素：1) 路由协议的开放性：开放性的路由协议保证了不同厂商都能对本路由协议进行支持，这不仅保证了目前网络的互通性，而且保证了将来网络发展的扩充能力和用户构建网络时的设备选择空间，这点在很多情况下是需要重点考虑的。2) 网络的拓扑结构：网络拓扑结构直接影响协议的选择。例如RIP这样比较简单的路由

39、协议不支持分层次的路由信息计算，对复杂网络的适应能力较弱。对于比较复杂的网络，需要使用处理能力更强的协议，如OSPF、IS-IS等。3) 网络节点数量：不同的协议对于网络规模的支持能力有所不同，需要按需求适当选择，有时还需要采用一些特殊技术解决适应网络规模方面的扩展性问题。XX政法网络节点较多，路由信息也非常多，而且网络状况会千变万化，将导致路由刷新相对频繁，所以对路由协议的性能提出很高的要求。如能支持的节点数、路由选径是否最佳、路由算法必须具有鲁棒性、快速收敛性、灵活性等。4) 网络间的互通及关联要求：通过划分成相对独立管理的网络区域，可以减少网络间的相关性，有利于网络的管理和扩展。可通过划

40、分区域等形式，路由协议要能支持减少网络间的相关性。必要时还要考虑路由信息安全因素和对路由交换的限制策略管理。5) 管理和安全上的要求：通常要求在可以满足功能需求的情况下尽可能简化管理。但有时为了实现比较完善的管理功能或为了满足安全的需要，例如对路由的传播和选用提出一些人为的要求，就需要路由协议对策略的支持。根据以上原则，现在各种大型网络构建中，为节省投资、保证网络的持续扩展性，都在使用开放、标准而又健壮的协议。5.2 路由协议的选择根据XX政法骨干网的网络结构，设计选择适合的路由协议，能够实现优化的网络路径选择，同时具有路径均衡功能，在网络结构发生变化时数据能够通过其他路径迂回，保证网络的畅通

41、。在互联网飞速发展的今天，TCP/IP协议已经成为数据网络互联的主流协议。各种网络上运行的大大小小各种型号路由器，承担着控制本世纪或许最重要信息的流量，而这成百上千台路由器间的协同工作，离不开路由协议。因此在大型网络的规划构建中，选择适当的路由协议是非常重要的。目前常用的单播路由协议有多种，如RIP、OSPF、IS-IS、BGP等。不同的路由协议有各自的特点，分别适用于不同的条件之下。5.2.1 内部网关路由协议（IGP）（1）距离矢量路由协议在IGP路由协议的选择上，距离矢量路由协议主要特点是适合于小型网络，路由收敛较慢，可能会形成路由环路，链路带宽消耗较大等。IGRP、EIGRP是厂商私有

42、的路由协议，所以尽量不要采用扩展性差的（RIP）和厂家的私有路由协议（IGRP和EIGRP），尽量采用OSPF或IS-IS。（2）链路状态路由协议对于OSPF和IS-IS的选择依据为：基本原理相同（基于链路状态算法），OSPF用于IP， IS-IS用于ISO的CLNP，也支持IP（“集成IS-IS”）；IS-IS结构严谨，OSPF更加灵活，OSPF协议是基于接口的，而IS-IS路由器只能属于一个Area，并且不支持NBMA网络；IS-IS占用网络资源相对较少，支持网络规模大于OSPF，在网络相当庞大时能体现出优势；一个IGP域运行的三层交换机及路由器的数量一般不会超过200台，因此从实际情况来

43、看，运行OSPF和IS-IS对IP城域网/承载网的建设不会有差异；对于网络的稳定性、可扩充性，两种协议都能很好地支持；在大型ISP上，IS-IS与OSPF二者均获得普遍应用；从MPLS草案及现实运行来看，如果要运行MPLS网络的话，OSPF经常被选用做内部IGP，当然IS-IS也有，但是MPLS草案中认为在MPLS环境中运行OSPF更合适；使用MPLS TE的时候，采用IS-IS扩展的较多；从目前很多厂商的设备来看，存在这样一个问题，不少厂商的中低端路由器及三层交换机不支持IS-IS，从这个角度讲OSPF比IS-IS有优势，所有的主流路由器及三层交换机都支持OSPF。因此XX政法骨干网络在构建

44、中，全网使用开放标准的OSPF路由协议，将使得网络在以后的扩展中具有更多的选择空间，不会受到使用某一封闭标准而带来的扩展限制。5.2.1.1 OSPF简介OSPF（Open Shortest Path First，即最短路径优先协议）是一种基于链路状态的内部动态路由协议。与所有链路状态路由协议相同，OSPF协议比距离向量路由协议具有更快的收敛速度，可以支持更大的网络，不易受到错误路由信息的影响，是一种适用范围大、功能完善的路由协议。OSPF路由协议还具有以下特点：通过引入区域的概念，OSPF协议建立分层的路由计算结构，减少了路由协议对CPU资源的消耗，也节省了路由信息传播所占用的网络带宽；支持

45、无类别的路由表查找，支持变长子网掩码，并且通过支持超网，提高路由的可管理性；采用触发更新机制，路由收敛速度快；支持在数个费用相同的路径之间进行负载均衡，从而更加有效地利用网络资源；使用保留的组播地址传递协议控制信息，减少对非OSPF网络设备的影响；支持路由信息的认证，提供更安全的路由机制；通过路由标记跟踪外部路由。目前OSPF的主要标准是RFC2328（版本2）。5.2.1.2 OSPF协议特点总的来说，由于OSPF发展成熟，厂商支持广泛，已经成为世界上使用最广泛的IGP，尤其在企业级网络，也是IETF推荐的唯一的IGP。其他路由协议所能适应的网络和具备的主要优点，OSPF都能适应。l OSP

46、F是真正的loop-free（无路由自环）路由协议：源自其采用算法本身（链路状态及最短路径树算法）的优点；l OSPF收敛速度快：能够在最短的时间内将路由变化传递到整个自治系统并完成路由重新计算；l 支持等价路由负载分担，能更有效地利用链路资源；l 提出区域（area）划分的概念，将自治系统划分为不同区域后，通过区域之间的对路由信息的摘要，大大减少了整个自治系统所需传递的路由信息数量，减轻了对路由器的性能需求和管理难度，也使得路由信息不会随网络规模的扩大而急剧膨胀；l 协议设计精巧，将协议自身的报文开销控制到最小。主要采用的技术如下：l 用于发现和维护邻居关系的是定期发送的是不含路由信息的he

47、llo报文，非常短小。包含路由信息的报文时是触发更新的机制（有路由变化时才会发送）。但为了增强协议的健壮性，每1800秒全部更新一次。l 在广播网络中，使用组播地址（而非广播）发送报文，减少对其它不运行OSPF的网络 设备的干扰。l 在各类可以多址访问的网络中（广播，NBMA），通过选举DR，使同网段的路由器之间的路由交换（同步）次数由 O（N*N）次减少为 O（N）次。l 提出STUB区域的概念，使得STUB区域内不再传播引入的AS外部路由，并可以控制其它区域LSA的传入。l 在ABR（区域边界路由器）上支持路由聚合，进一步减少区域间的路由信息传递。l 在点到点接口类型中，通过配置按需拨号属性（OSPF over On Demand Circuits），使得OSPF不再定时发送hello报文及定期更新路由信息，保证低速链路上能节约网络带宽的消耗。只在网络拓扑真正变化时才发送更新信息。l 通过严格划分路由的级别（共分四级），提供更可信的路由选择。l 良好的安全性，OSPF支持基于