您好,欢迎访问xxb.yingtan.gov.cn-鹰潭信息化工作办公室!
政务外网用户接入方式
2014年05月31日

  就政务外网而言,市级平台一级汇聚节点设备是骨干网络的边界,提供对用户接入的POP点;各个县市区的核心路由器是其骨干网络的边界,提供对用户接入的POP点。而用户则指各个市直机关、各县市区的县直机关。

  市级政务外网平台的用户接入分别通过城域网的六个一级节点会聚后接入;各县(区)的用户接入则分别通过节点交换机会聚后接入。

  通过对本网用户接入方式的分析,可能的物理接入方式主要有三种:采用路由器的方式接入、采用防火墙的方式接入、采用交换机的方式接入。用户为了保证相关信息的安全和完整,会采取相关的网络安全措施,就网络安全的层次而言,这主要包括用户要求全网横向、纵向互联互通、用户要求在共享的骨干网络上提供MPLS VPN的功能以及既要求骨干网络提供MPLS VPN的功能、又自行采用IPSec VPN的数据加密等三种方式。具体为:

       1.        用户采用路由器接入

       a)       普通接入,只有访问省政务外网和互联网的需求,

       b)       互联互通,通过MPLS VPN建立专用网络,

       c)        互联互通,通过MPLS VPN建立专用网络,并在MPLS VPN专用网络上使用IPSEC进行加密处理传输的数据。

       2.        用户采用防火墙接入

       a)       只有访问省政务外网和互联网的需求

       b)       互联互通,通过MPLS VPN建立专用网络

       c)       互联互通,通过MPLS VPN建立专用网络,并在MPLS VPN专用网络上使用IPSEC进行加密处理传输的数据。

       3.        用户采用交换机接入

       a)       普通接入,只有访问省政务外网和互联网的需求

       b)       互联互通,通过MPLS VPN建立专用网络

      1.1.1 普通接入
      1.1.1.1 实现功能

       在这种接入方式下,用户要求能够横向、纵向的任意访问,而对安全性要求不高。

       首先在横向上,可以访问同级别的对安全性也不要求的各个厅局部门(这些厅局未建设VPN专网),并可以通过本地的INTERNET出口访问外部网络。在纵向上也能跨过骨干网络与其他设区市的同样对安全性不作要求的单位和部门(这些厅局未建设VPN专网)互联互通,并访问省信息中心提供的各种网络服务。

1.1.1.2 用户设备需求

       2个以太网接口的路由器,支持NAT(网络地址转换),比如:华三公司产品:MSR2600系列、MSR3600系列、MSR5600系列,华为公司产品:AR1200系列、AR2200系列、AR3200系列;

       用户只要购买有两个以上以太网络接口的路由器就可以满足接入的要求。为了在用户端有足够的IP编址、VLAN规划的自由,同时也使骨干网络便于对用户路由的控制,建议用户路由器具有NAT的功能,这样用户内部的节点可以采用RFC1918建议的Private地址空间,根据节点的数量和对VLAN/子网数量的要求,选择Class B(172.16.0.0-172.31.255.255/16)或Class C(192.168.0.0- 192.168.255.255/24)的地址空间。用户路由器的NAT地址池为骨干网络分配的Class A IP地址(10.X.Y.1-10.X.Y.255/24)空间。

       用户路由器的选择可以根据用户内部网络的计算机节点数量作为依据,如果计算机数量少,则使用低端的路由器,反之,选用性能高一些的产品。

       1.1.2 MPLS VPN接入
       1.1.2.1 实现功能

       这种接入方式下,用户对网络的安全具有一定的需要,并要求骨干网络提供VPN的功能,与此同时,用户也需要在横向和纵向上能互联互通。针对用户的这种需求,骨干网络应该提用户专用的MPLS VPN。

       1.1.2.2 用户设备需求

       2个以太网接口的路由器,支持NAT(网络地址转换),支持802.1Q VLAN标记,比如:华三公司产品:MSR2600系列、MSR3600系列、MSR5600系列,华为公司产品:AR1200系列、AR2200系列、AR3200系列;

       这种方式下的用户接入路由器也需要至少2个以太网的接口,一个用于连接内部局域网、一个用于互联互通的连接以及MPLS CE路由器连接到PE的接口。

       VPN CE和PE之间的连接通过VLAN来分隔。用户接入路由器的上连端口需要支持802.1Q VLAN标记,这样就可以设置一个虚拟接口(VLAN)传输VPN流量,一个虚拟接口传输其他流量。

      说明:对于用户接入业务系统MPLS VPN,用户可通过路由器作NAT后直接连入VPN,也可以通过静态路由或者动态路由方式连入VPN。

       1.1.3 互通+MPLS VPN+IPSEC加密
       1.1.3.1 实现功能

       这种接入方式下,用户对网络的安全性有更高的需要,要求在骨干网络提供VPN的功能的基础上,用户设备同时实现IPSEC加密传输。

       针对用户的这种需求,骨干网络应该提供用户专用的MPLS VPN,同时用户接入路由器之间自行构建IPSEC隧道,加密传输数据。

       1.1.3.2 用户设备需求

       2个以太网接口的路由器,支持NAT(网络地址转换),支持802.1Q VLAN标记,支持IPSEC,比如:华三公司产品:MSR2600系列、MSR3600系列、MSR5600系列,华为公司产品:AR1200系列、AR2200系列、AR3200系列;

       用户接入路由器也是至少需要2个以太网络的接口,一个连接内部局域网络、一个用于互联互通以及纵向MPLS VPN。与此同时NAT功能和IPSec VPN的功能也是需要的。

       与前面的自行建设IPSec VPN的所不同的是其数据通道已经由骨干网络MPLS VPN完成,用户所要做的只是数据IPSEC加密,因此建议采用IPSEC TRANSPORT模式。隧道建立的模式也推荐采用Hub-and-Spoke以减少配置和维护的技术复杂度。

       1.2防火墙接入

       防火墙接入的模式基本上和路由器接入的模式类似,只是因为很多防火墙不支持802.1Q VLAN标记,在需要MPLS VPN接入的环境下,需要更多的物理接口数量。

       1.2.1 普通接入
       1.2.1.1 实现功能

       在这种接入方式下,用户要求能够横向、纵向的任意访问,而对安全性要求不高。

       首先在横向上,可以访问同级别的对安全性也不要求的各个厅局部门(这些厅局未建设VPN专网),并可以通过本地的INTERNET出口访问外部网络。在纵向上也能跨过骨干网络与其他设区市的同样对安全性不作要求的单位和部门(这些厅局未建设VPN专网)互联互通,并访问省信息中心提供的各种网络服务。

       1.2.1.2 用户设备需求

       2个以太网接口的防火墙,支持NAT(网络地址转换)。

       用户只要购买有两个以上以太网络接口的防火墙就可以满足接入的要求。为了在用户端有足够的IP编址、VLAN规划的自由,同时也使骨干网络便于对用户路由的控制,建议用户使用NAT的功能,这样用户内部的节点可以采用RFC1918建议的Private地址空间,根据节点的数量和对VLAN/子网数量的要求,选择Class B(172.16.0.0-172.31.255.255/16)或Class C(192.168.0.0- 192.168.255.255/24)的地址空间。用户路由器的NAT地址池为骨干网络分配的Class A IP地址。

       用户防火墙的选择可以根据用户内部网络的计算机节点数量作为依据,如果计算机数量少,则使用性能低一些的防火墙,反之,选用性能高一些的产品。

       1.2.2 MPLS VPN接入
       1.2.2.1 实现功能

       这种接入方式下,用户对网络的安全具有一定的需要,并要求骨干网络提供VPN的功能,与此同时,用户也需要在横向和纵向上能互联互通。

       针对用户的这种需求,骨干网络应该提供用户专用的MPLS VPN。

       1.2.2.2 用户设备需求

       3个以太网接口的防火墙,支持NAT(网络地址转换);

       这种方式下的用户接入路由器也需要至少3个以太网的接口,一个用于连接内部局域网、一个用于政务外网非VPN业务的连接、一个MPLS CE路由器连接到PE的接口。

       VPN CE和PE之间的连接通过VLAN来分隔。用户接入防火墙使用2个物理接口,以传输不同的流量,其中一个接口传输VPN流量,一个接口传输其他流量。

       1.2.3 互通+MPLS VPN+IPSEC加密
       1.2.3.1 实现功能

       这种接入方式下,用户对网络的安全性有更高的需要,要求在骨干网络提供VPN的功能的基础上,用户设备同时实现IPSEC加密传输。

       针对用户的这种需求,骨干网络应该提供用户专用的VPN,同时用户接入防火墙之间自行构建IPSEC隧道,加密传输数据。

       1.2.3.2 用户设备需求

       3个以太网接口的防火墙,支持NAT(网络地址转换),支持IPSEC;

       用户接入路防火墙也是至少需要3个以太网络的接口,一个连接内部局域网络、一个用于政务外网非VPN业务的连接,一个连接纵向MPLS VPN。同时需提供NAT功能和IPSec VPN的功能。

       与前面的自行建设IPSec VPN的所不同的是其数据通道已经由骨干网络MPLS VPN完成,用户所要做的只是数据IPSEC加密,因此建议采用IPSEC TRANSPORT模式。隧道建立的模式也推荐采用Hub-and-Spoke以减少配置和维护的技术复杂度。

       1.3.1 普通接入
       1.3.1.1 实现功能

       在这种接入方式下,用户要求能够横向、纵向的任意访问,而对安全性要求不高。

       首先在横向上,可以访问同级别的对安全性也不要求的各个厅局部门(这些厅局未建设VPN专网),并可以通过本地的INTERNET出口访问外部网络。在纵向上也能跨过骨干网络与其他设区市的同样对安全性不作要求的单位和部门(这些厅局未建设VPN专网)互联互通,并访问省信息中心提供的各种网络服务。

       1.3.1.2 用户设备需求

       用户交换机支持802.1Q标记;

       接入交换机和政务外网交换机间通过FE的VLAN TRUNK链路连接,将用户VLAN的信息传递到政务信息网核心交换机上,在核心交换机上为相应的VLAN配置接口(该接口为用户计算机的缺省网关),并配置相应的路由信息,即完成接入配置。

       在这种接入模式下,用户网络的地址需由当地政务外网网管中心负责分配和维护。

       1.3.2 MPLS VPN接入
       1.3.2.1 实现功能

       这种接入方式下,用户对网络的安全具有一定的需要,并要求骨干网络提供VPN的功能,与此同时,用户也需要在横向和纵向上能互联互通。

       针对用户的这种需求,骨干网络应该提供用户专用的MPLS VPN。

       1.3.2.2 用户设备需求

       用户交换机支持802.1Q标记;

      VPN CE和PE之间的连接通过VLAN来分隔。用户接入交换机使用一部分接口传输VPN流量,一部分接口传输互连互通流量。

鹰潭市信息化工作办公室 赣ICP备05005801号 赣公网安备 36060202000002