【网络工程规划与设计案例教程】项目五_任务1_长沙市电子政务一期工程内外网平台实施方案3.doc

湖南工业职业技术学院 网络技术专业教学资源库 1 长沙市电子政务外网平台长沙市电子政务外网平台 实施方案实施方案 湖南省电信有限公司长沙市分公司湖南省电信有限公司长沙市分公司 2008 年年 1 月月 湖南工业职业技术学院 网络技术专业教学资源库 1 目目 录录 1.建设原则建设原则 1 1.1建设原则 1 1.2标准及规范 2 2.网络平台实施方案网络平台实施方案 4 2.1长沙市电子政务外网网络平台方案 4 2.1.1 网络平台总体方案设计 4 2.1.2 数据中心网络设计 4 2.1.3 Internet 出口设计 6 2.1.4 IP 地址和 VLAN 规划 7 2.1.5 主机名规划 11 2.1.6 IGP 路由规划 11 2.1.7 MPLS VPN 规划 12 2.1.8 设备端口规划 18 2.2长沙市电子政务内网网络平台方案 21 2.2.1 网络平台总体方案设计 21 2.2.2 IGP 路由设计 22 2.2.3 主机名规划 23 2.2.4 IP 地址和 VLAN 规划 23 2.2.5 设备端口规划 31 3.安全产品实施方案安全产品实施方案 36 3.1出口防火墙部署方案 36 3.2VPN 网关部署方案 37 3.2.1 实施部署规划 37 3.2.2 实施调试规划 37 3.3防 DDOS 网关部署方案 38 3.4上网行为管理系统部署方案 38 3.4.1 实施部署规划 38 3.4.2 实施调试规划 39 3.5防病毒软件部署方案 39 4.负载均衡设备实施方案负载均衡设备实施方案 43 4.1负载均衡设备部署 43 4.2LINKPROOF对流出（OUTBOUND）流量的处理过程 44 湖南工业职业技术学院 网络技术专业教学资源库 2 4.3LINKPROOF对流入（INBOUND）流量的处理过程 44 4.4用户会话表的操作 46 5.服务器和存储设备实施方案服务器和存储设备实施方案 47 5.1总体结构 47 5.2服务器功能分布 47 5.3阵列功能分布 48 5.4服务器地址分配表 48 5.5软件配置清单 49 5.6数据库安装配置 49 6.网络管理实施方网络管理实施方案案 51 7.通信线路实施方案通信线路实施方案 53 7.1设计原则 53 7.2通信线路技术选择 53 7.3广域网组网方案 54 7.3.1 155M MSTP 数字电路组网方案 54 7.3.2 市核心节点 55 7.3.3 155M 线路接口规范 55 7.4城域网组网方案 56 7.4.1 裸光纤组网方案 56 7.4.2 光纤接口规范 56 7.5中心节点接入工程设计 56 7.6分支节点接入工程设计 58 7.6.1 （示例）市广播电视局节点接入方案 58 7.6.2 其他节点接入工程设计 60 8.弱电井改造实施方案弱电井改造实施方案 63 8.1原布线系统介绍 63 8.1.1 建筑物内部原主干布线路由 63 8.1.2 综合布线系统划分 63 8.2弱电井现状及改造内容 64 8.2.1 现状 64 8.2.2 弱电井改造内容 64 8.2.3 该改造工作特点 64 8.3改造方案 64 湖南工业职业技术学院 网络技术专业教学资源库 3 8.3.1 垂直干线子系统改造 64 8.3.2 垂直干线布线改造设计 65 8.3.3 光缆的施工 66 8.3.4 管道光缆的敷设 66 8.3.5 光缆的接续、终端 68 8.3.6 配线间子系统（弱电井改造） 71 8.3.7 弱电井强电及接地改造 78 8.4工程施工 79 8.4.1 安装施工的基本要求 79 8.4.2 工程施工技术准备 79 8.4.3 工程施工前检查 79 8.4.4 工程验收及测试 83 8.4.5 工程验收 84 9.网络割接方案网络割接方案 90 9.1割接方案概述 90 9.2市政务服务中心 2M 割接 90 9.3市政府出口百兆割接 90 9.4市政府用户割接至新建网络 91 10 工程配合需求工程配合需求 93 11.工程实施组织安排工程实施组织安排 94 11.1 项目组织结构 94 11.1.1 项目组织结构图 94 11.1.2 项目实施结构图 94 11.1.3 项目管理组织结构图 95 11.1.4 项目团队市政府组成 95 11.1.5 项目团队电信方组成 95 11.2 工程项目组织 96 11.2.1 工程实施的人力资源初步计划 96 11.2.2 工程实施过程中紧急事件处理策略 96 11.3 设备材料进场管理 97 11.4 安全生产计划 97 11.5 售后服务组织 97 12 验收测试验收测试 98 12.1 测试方案 98 湖南工业职业技术学院 网络技术专业教学资源库 4 12.1.1 设备单机测试 98 12.1.2 服务器和存储系统测试 98 12.1.3 网络设备测试 99 12.1.4 安全设备测试 100 12.1.5 应用软件功能测试 100 12.1.6 网络连通性测试 101 12.1.7 网络冗余性测试 101 12.1.8 网络安全性测试 102 13 培训培训 103 13.1 培训目的 103 13.2 培训方式 103 13.2.1 集中培训 103 13.2.2 现场培训 103 13.3 培训方法与教材 103 13.4 培训内容与范围 104 13.4.1 培训内容 104 13.4.2 参加人员 104 13.5 培训环境 104 13.5.1 场地 104 13.5.2 设备 104 13.5.3 现场管理 104 13.6 培训计划与安排 104 湖南工业职业技术学院 网络技术专业教学资源库 1 1. 建设原则建设原则 1.1 建设原则建设原则 根据中央办公厅、国务院办公厅转发国家信息化领导小组关于推进国家电子政务网络 建设的意见的通知（中办发200618 号）的要求和长沙市的实际情况，长沙市电子政务内 外网平台的建设目标是建设覆盖全市各级政府部门的互联互通信息网络平台。 为达到以上目标，本次网络建设的主要原则是： 先进性、实用性原则 从较高的起点对网络建设进行规划，充分采用先进成熟的网络技术，满足长沙市电子政 务平台各种业务实时数据、非实时数据传输需要。在方案中采用新技术、新功能，采用电信 公司的传输和数据网络资源为长沙市电子政务专网平台提供全面的解决方案，形成统一先进 的通信系统。工程建设方案要面向未来，技术必须具有先进性和前瞻性，以确保在未来 3-5 年内不落后，同时也要坚持实用的原则，在满足性能价格比的前提下，坚持选用符合标准的， 先进成熟的产品和开发平台。 可靠性原则 网络设计过程中从网络技术、电路保护、设备等多方面考虑电子政务专网平台的可靠性， 保证数据传输的安全可靠。同时提供的 7×24 的服务保障，从技术和服务两方面保证长沙市 电子政务内外网平台的可用性达到要求。 成熟性和发展性的结合 工程建设应首先采用符合目前业界计算机及应用系统发展趋势的主流技术，技术先进并 趋于成熟的，被公众认可的优质产品。既要保证当前系统的高可靠性，又能适应未来技术的 发展，满足多业务发展的要求。要本着“有用、适用和好用”的原则，不片面追求硬软件设施 的先进性，强调整个系统的可连接性和整体布局、应用的合理性。 经济性原则 通过技术经济比较，性能价格比较，选择优化的网络结构和网络技术，尽可能利用和保 护现有设备和投资，做到从实际出发，制定经济、合理的方案，以最小的网络建设和网络维 护成本建设一个高可用、高安全的电子政务专网平台。 可管理性原则 电子政务系统是一个比较大、较复杂的系统，它包含大量硬件设备、软件系统和数据信 息资源，这些资源分布在全区各部门，因此系统的技术方案要为市政府提供多层次、方便、 有效的管理手段，为系统正常运行提供网络技术管理保障。 标准性原则 现有信息技术的发展越来越快，为了使该系统在未来运行过程中其技术能和整个信息技 湖南工业职业技术学院 网络技术专业教学资源库 2 术的发展同步，系统应具有备灵活适应性和良好的可扩展性，系统的结构设计和产品选型要 坚持标准化，首先采用国家标准和国际标准，其次采用广为流传的实用化工业标准。 可扩充性原则 考虑到市政府电子政务内、外网平台各种应用业务的飞速发展，网络承载的信息流量不 断增加。长沙市政府电子政务内、外网平台的设计中充分考虑未来带宽扩容的需要，从网络 和设备的配置上都保留一定的扩充余地，便于融入随着新技术发展带来的新功能，满足长沙 市政务不断发展的业务需要。 1.2 标准及规范标准及规范 国家、省市有关信息化的政策法规和技术规范，是电子政务建设顺利实施和健康运行的 重要保证。本方案将参照国家关于信息化和电子政务建设的法律、法规、相关政策以及各种 技术标准规范，湖南省、长沙市电子政务建设的相关政策和规划进行编制。 湖南省电子政务外网平台技术规范( 湖南省信息化领导小组 2006-10-01) 信息系统安全等级保护定级指南 国家政务外网网络互连及安全防护指南_征求意见稿 信息安全等级保护管理办法 （公安部、国家保密局、国家密码局、国信办联合发布， 公通字2007 43 号） 国家政务外网网络互连及安全防护指南_征求意见稿 ，是 2007 年 9 月 关于转发国家信息化领导小组关于我国电子政务建设指导意见的通知 （中办发 200217 号） 2002 年 8 月 5 日 中共中央办公厅 国务院办公厅转发国家信息化领导小组关于推进国家电子政务网 络建设的意见的通知 （中办发200618 号） 国务院办公厅关于印发全国政府系统政务信息化建设 2001-2005 年规划纲要的通知 （国办发200125 号） 电子政务标准化指南（征求意见稿） 国家标准化管理委员会、国务院信息化工作办 公室 2003 年 2 月 国务院信息化工作办公室、科学技术部、信息产业部关于印发电子政务工程技术指南 的通知 (国信办2003 2 号) 互联网信息服务管理办法中华人民共和国国务院令（第 292 号）2000 年 9 月 25 日 计算机信息系统国际联网保密管理规定国家保密局 2000 年 1 月 1 日 中华人民共和国计算机信息系统安全保护条例国务院令 147 号 1994 年 2 月 18 日 湖南工业职业技术学院 网络技术专业教学资源库 3 加强计算机信息网络保密管理的通知 （中保委发【2002】4 号） 计算机软件保护条例(国务院令 2001 年第 339 号) 计算机场地通用规范(GB28872000) 电子计算机机房设计规范(GB 5017493) 湖南省电子政务外网平台技术方案 湖南省电子政务外网平台应用规范 （讨论稿） 中共湖南省委办公厅 湖南省人民政府办公厅转发省信息化领导小组关于加强电子 政务外网平台建设和管理的意见的通知 （湘办发200625 号） 湖南工业职业技术学院 网络技术专业教学资源库 4 2. 网络平台实施方案网络平台实施方案 2.1长沙市电子政务外网长沙市电子政务外网网络平台网络平台方案方案 2.1.1 网络平台总体方案设计 对于长沙市电子政务外网平台这样的大型网络，我们采用标准的分层设计模型，将整个 政务外网在逻辑结构上分为核心层、汇聚层和接入层三个层次。 核心层设置两台高端路由器 H3C SR8805，采用设备全冗余、线路全备份结构，负责将 长沙市政务外网接入到省政务外网的骨干，同时为汇聚设备提供接入。 在市委、市政府、河东各设置一个汇聚点，每个汇聚点设置一台高端三层交换机 H3C S9505 作为汇聚设备，通过双上行冗余线路连接至核心路由器，每个区县各设置一个汇聚点， 各设置一台中端路由器(或交换机)作为汇聚设备，通过双上行冗余线路连接至核心路由器。 每个单位各设置一台三层交换机 H3C S3600-28TP-SI 或者二层交换机 H3C S3100- 26TP-SI 作为接入层设备。 电子政务外网拓扑示意图： 图图 2.1 电子政务外网拓扑示意图电子政务外网拓扑示意图 2.1.2 数据中心网络设计 长沙市电子政务外网平台需建立内部数据中心和外部数据中心，分别部署在网络的不同 安全区域，内部数据中心部署协同办公平台等内部应用需求，外部数据中心部署门户网站等 应用需求。 湖南工业职业技术学院 网络技术专业教学资源库 5 内部数据中心内部数据中心 合理规划数据中心网络，保障各种类型设备之间网络通信畅通是关系数据中心整体性能 的重要因素。同时，对数据中心网络结构的合理规划，对于数据中心日后的运行维护也具有 很大影响。 我们设计的内部数据中心采用冗余设备、冗余线路的网络结构，两台三层交换机实现服 务器群的接入和整个数据中心的核心交换，我们选择 H3C 的 S5500-28C-EI 交换机，配置多 个千兆交换接口。两台三层交换机上配置 VRRP 热备份协议，作为服务器的冗余网关；当一 台交换机出现故障时，虚拟网关可由另外一台交换机接管。同时按照业务功能区域，在三层 交换机上划分 VLAN，并根据各个业务功能区域安全运行级别，配置访问控制列表，以过滤 子网间的通讯，隔离数据流，做到基本的安全防护。 为了保证内部数据中心服务器的安全，我们还配置了两台并联的千兆防火墙，防火墙可 以工作在 ACTIVE-ACTIVE 模式，也可工作于 ACTIVE-STANDBY 模式实现设备和链路的备份或 者负载均衡。来自政务外网的数据流的访问控制功能均在防火墙中实现。 内部数据中心网络拓扑示意图如下： 图图 2.2 内部数据中心网络拓扑示意图内部数据中心网络拓扑示意图 外部数据中心外部数据中心 外部数据中心同样采用 2 台三层交换机作为服务器设备的接入，同时由于外部数据中心 是为公众提供服务，势必会有部分业务暴露在互联网上，因此我们考虑将外部数据中心连接 到 Internet 出口防火墙的 DMZ 区，同时配置一台抗 DDOS 设备保证服务器的安全。 外部数据中心网络拓扑示意图如下： 湖南工业职业技术学院 网络技术专业教学资源库 6 图图 2.3 外部数据中心网络拓扑示意图外部数据中心网络拓扑示意图 2.1.3 Internet 出口设计 根据湖南省电子政务外网平台技术规范 ，市（州）级政务部门应通过市（州）网络 中心统一的互联网出口联接互联网，因此，长沙市电子政务外网应该提供一个高速、安全、 可靠的统一 Internet 出口。为此，在 Internet 出口，我们部署两台高性能的千兆防火墙， 使用主备工作模式，对内分别连接到上网行为管理设备，对外通过负载均衡器和 IPS 连接到 电信的两个 100M 出口。 负载均衡设备能实现对多条 internet 接入链路的负载均衡，可以同时实现 outbound 流 量（外部数据中心服务器及政务网用户访问 internet）和 inbound 流量（internet 用户访 问政务网外部数据中心服务器）双向的负载均衡，同时通过对政务外网内部地址进行地址转 换，为政务外网用户提供稳定、安全的 Internet 访问服务。 湖南工业职业技术学院 网络技术专业教学资源库 7 图图 2.4 internet 接入图接入图 2.1.4 IP 地址和 VLAN 规划 IP 地址的合理规划是网络设计中的重要一环，大型网络必须对 IP 地址进行统一规 划并得到实施。IP 地址规划的好坏，影响到网络路由协议算法的效率，影响到网络的 性能，影响到网络的扩展，影响到网络的管理，也必将直接影响到网络应用的进一步发 展。如果要看一个网络的规划质量、如果要看一个网络设计师的技术水准，直接看他的 IP 地址规划好了。 地址分配原则地址分配原则 唯一性：唯一性： 一个 IP 网络中不能有两个主机采用相同的 IP 地址。即使使用了支持地址重叠的 MPLS/VPN 技术，也尽量不要规划为相同的地址。 连续性连续性 连续地址在层次结构网络中易于进行路径叠合，大大缩减路由表，提高路由算法的 效率。 扩展性扩展性 地址分配在每一层次上都要留有余量，在网络规模扩展时能保证地址叠合所需的连 续性。 实意性实意性 “望址生义” ，好的 IP 地址规划使每个地址具有实际含义，看到一个地址就可以大 至判断出该地址所属的设备。这是 IP 地址规划中最具技巧型和艺术性的部分。最完美 湖南工业职业技术学院 网络技术专业教学资源库 8 的方式是得出一个 IP 地址公式，以及一些参数及系数，通过计算得出每一个需要用到 的 IP 地址。 地址分配方法地址分配方法 参照以上分配原则和具体规定，我们在具体分配地址时使用以下技术手段或方法： 采用可变长度的掩码技术(VLSM) 点对点的广域网线路连接，采用 30 位的地址掩码,最大限度节约地址资源；针 对各个局域网的大小，可分别采用 25、26、27、28 位长的掩码，既节约地址，又便于 以后扩充。 局域网、广域网地址采用不同的地址段，并适当留有余地，便于网络扩充时能 够使用连续地址。 各段地址尽可能在各地州用于相同的网络。 （一）管理和互连地址规划 从省中心分配的 59 地址段中划分一段作为管理和互连地址段，长沙市政务外网所分配 的地址段为 59.231.144.0/20，共 16 个 C 类地址段，我们使用其中第 1 个 C 类地址段作为 管理地址段，第 2 个 C 类地址段作为互连地址段。 表 2.1 管理地址分配 设备端口ip 地址备注 Loopback059.231.144.1 用于全局路由核心路由器 1 Loopback159.231.144.6 用于管理 VPN Loopback059.231.144.2 用于全局路由核心路由器 2 Loopback159.231.144.7 用于管理 VPN Loopback059.231.144.3 用于全局路由市政府汇聚交换机 Loopback159.231.144.8 用于管理 VPN Loopback059.231.144.4 用于全局路由市委汇聚交换机 Loopback159.231.144.6 用于管理 VPN Loopback059.231.144.5 用于全局路由河东汇聚交换机 Loopback159.231.144.9 用于管理 VPN 59.231.144.1063预留 市政府汇聚节点接 VLAN259.231.144.64/26 详细分配参见用 湖南工业职业技术学院 网络技术专业教学资源库 9 入交换机户地址表 市委汇聚节点接入 交换机 VLAN259.231.144.128/26 详细分配参见用 户地址表 河东汇聚节点接入 交换机 VLAN259.231.144.192/26 详细分配参见用 户地址表 表 2.2 互连地址分配表 设备ip 地址备注 59.231.145.0/30 核心路由器 1-核心路由器 2 59.231.145.4/30 核心路由器 1-市政府汇聚交换机 59.231.145.8/30 核心路由器 2-市政府汇聚交换机 59.231.145.12/30 核心路由器 1-市委汇聚交换机 59.231.145.16/30 核心路由器 2-市委汇聚交换机 59.231.145.20/30 核心路由器 1-河东汇聚交换机 59.231.145.24/30 核心路由器 2-河东汇聚交换机 59.231.145.28/30 核心路由器 1-出口防火墙 59.231.145.32/29 防火墙 1-外部数据中心 1 59.231.145.40/30 防火墙 2-外部数据中心 2 59.231.145.44/30 核心路由器 1-内部数据中心防火墙 1 59.231.145.48/30 核心路由器 2-内部数据中心防火墙 2 59.231.145.52/30 内部数据中心防火墙 1-交换机 1 59.231.145.56/30 内部数据中心防火墙 2-交换机 2 59.231.145.60/30 防火墙负载均衡 59.231.145.64/27 核心路由器 1-省政务外网 59.231.145.96/30 核心路由器 2-省政务外网 59.231.145.100/30 59.231.145.100-127 预留 （二）用户地址规划 省中心对各地州的 IP 地址做了统一的规划和分配，长沙市政务外网所分配的地址段为 59.231.144.0/20，共 16 个 C 类地址段，内部和外部数据中心使用 1 个 C 类地址段，用户地 址使用后 14 个 C 类地址段，分配原则如下： 内部数据中心和外部数据中心各分配 128 个地址 湖南工业职业技术学院 网络技术专业教学资源库 10 内部数据中心：59.231.145.128/25 外部数据中心：59.231.146.0/25 预留：59.231.146.128/25 横向 VPN 分配 1 个 C 类地址段，每个汇聚点分配 64 个地址 市政府汇聚点：59.231.147.0/26 市委汇聚点：59.231.147.64/26 河东汇聚点：59.231.147.128/26 预留：59.231.147.192/26 各市直单位纵向 VPN 分配 59 段 IP 地址，原则上为每个市直单位分配 8 个地址。纵 向 VPN 用户使用私网 172 地址段，由汇聚交换机将这些 172 地址段转换为 59 地址后在 政务网上传播。由于初期各个单位对纵向 VPN 的需求不确定，因此我们按汇聚点预分配 59 地址段，一旦某个单位有相应的需求时，再从预分配的地址段中进行地址分配。 市委汇聚点单位纵向 VPN 地址段：59.231.148.0/25 市政府汇聚点单位纵向 VPN 地址段：59.231.148.128/25 河东汇聚点单位纵向 VPN 地址段：59.231.149.0/25 考虑到 IP 地址数量有限，对于各单位访问 Internet 的的公网 VPN 则由市政府从 10 地址段中进行统一分配，原则上每个单位分配一个 C 类地址段，用户访问 internet 时， 由防火墙对 10 地址段进行地址转换，访问横向 VPN 和内部数据中心时，由汇聚设备将 这些 10 地址转换为政务外网 59 段地址后在政务外网上传播。 （三）VLAN 规划 由于每个单位需要划分为纵向 VPN、横向 VPN 和公网 VPN，加上管理 VLAN，我 们必须为每个单位规划 4 个 VLAN，虽然汇聚交换机之间二层是隔离的，VLAN 资源可 以重复使用，但是考虑到管理的方便，出了管理 VLAN 和横向 VLAN 外，我们对所有 单位的纵向 VLAN 和公网 VLAN 资源应进行全网统一规划，不使用重复的 VLAN 号码。 管理 VLAN：VLAN2 横向 VLAN：VLAN3 纵向 VLAN：从 VLAN 301 开始分配，每个单位 1 个 VLAN 公网 VLAN：从 VLAN 101 开始分配，每个单位 1 个 VLAN 2.1.5 主机名规划 表 2.3 主机名规划 湖南工业职业技术学院 网络技术专业教学资源库 11 设备主机名备注 核心路由器 1 ZWWW-C-1 核心路由器 2 ZWWW-C-2 市政府汇聚交换机 ZWWW-SZF-D-1 市委汇聚交换机 ZWWW-SW-D-2 河东汇聚交换机 ZWWW-HD-D-1 市政府汇聚节点接入交换机参见附件 1 市委汇聚节点接入交换机参见附件 1 河东汇聚节点接入交换机参见附件 1 2.1.6 IGP 路由规划 考虑到长沙电子政务外网的网络规模和主备线路需求，尤其从网络结构上来看，在核心 层和汇聚层采用动态路由协议，实现主备路由的自动切换应当是比较合理的。核心层和汇聚 层所有 3 层设备都能够很好的支持 TCP/IP 的标准链路状态路由协议 OSPF，因此我们在核心 层和汇聚层使用 OSPF 路由协议，实现流量的负载均衡和链路的自动切换。 对于长沙市政务内网的 IGP 规划，有两种选择： 1、与省政务外网运行同一个 OSPF 进程，采用多区域（AREA）模式，省网运行于 AREA 0，长沙市政务外网运行于 AREA 731。 2、与省政务外网运行不同的 OSPF 进程，且不需任何 OSPF 的注入，即两张网不交换 路由信息，省、市之间的路由互通依靠基于 MPLS VPN 的静态路由来完成。 结合长沙市政务外网 MPLS VPN 和 BGP 的规划，我们采用第二种模式。 对于互联网接入区、外部数据中心、综合安全管理区、内部数据中心等节点，由于是连 接至防火墙等安全设备，我们使用静态路由实现网络的联通性。 湖南工业职业技术学院 网络技术专业教学资源库 12 图图 2.5 路由示意图路由示意图 2.1.7 MPLS VPN 规划 （一）BGP 连接规划 此处所讨论的 BGP 连接规划主要是指长沙市电子政务网络平台内部基于 MPLS VPN 的 MPBGP 的规划。 在 BGP 路由协议中，运行 BGP 路由协议的网络设备可以建立两种邻居关系，一种为 EBGP 邻居，另一种为 IBGP 邻居，考虑到整个 MPLS VPN 组网的方式和以后维护上的简单与 便利，不建议使用跨域的 MPLS VPN，也就是说在网络中不会存在 EBGP 邻居关系，因此下面 我们在只有 IBGP 的情况下对 BGP 规划进行分析。 由于长沙市电子政务网络平台是一个基于 MP-BGP 的 MPLS VPN 平台，并且与省电子政 务网络之间只有直连路由，不会互相交换普通路由信息，为了使省、市之间的 VRF 互联互通， 我们采用静态路由的方式进行联接。 这样一来，在长沙市电子政务网络平台中的设备之间实现 VPN 互通时，在 BGP 邻居方面 只可能是形成 IBGP 邻居。按照 BGP 协议的要求，IBGP 邻居必须保证是全连通的，即：任意 两台路由器之间都必须配置邻居关系。如果这样实施会导致 N 平方问题，为了解决这个问题， 我们使用路由反射器技术，减少 IBGP 邻居关系的建立，减轻协议本身对网络资源的占用。 具体规划原则如下： 路由反射器（RR）：RR 为长沙市电子政务平台中的两台核心路由器（SR88） ，这两台路 湖南工业职业技术学院 网络技术专业教学资源库 13 由器做为长沙市电子政务网络平台中的 RR。各汇聚设备 S9505 等作为此 RR 的 Client，这些 汇聚设备与两台 SR88 形成一个 Cluster。 需要说明的是，这两台 SR88 在长沙市电子政务平台内部扮演 P 路由器的角色，而根据 省政府信息中心的建议，这两台路由器与长沙汇聚路由器 NE40 连接时暂时采用互为 CE 的连 接方式，即它们通过静态路由协议互通；可以将 NE40 看作是 SR88 的 CE，同时也可将 SR88 看作是 NE40 的 CE，因此在长沙汇聚路由器 NE40 上并不需要启用 BGP 协议。另外，由于采 用了静态路由，两台 SR88 与 NE40 之间的网络连接不能实现动态备份，当一台 SR88 与 NE40 之间的连接中断后，只能通过手工配置的方式将这台 SR88 上的静态路由添加到另一台 SR88 上。待省政务外网平台进行与地市连接统一规划完成后，连接方式可以灵活的根据省网的规 划进行修改。 2、VRF 规划 每个长沙市政府职能部门，建立两个 VPN： 纵向 VPN：规划为各职能部门的垂直部门之间访问； Internet VPN：规划为各职能部门进行 internet 的访问； 为全网建立一个横向 VPN，规划为各职能部门的兄弟部门之间的访问； 为全网建立一个管理 VPN，规划为网络管理使用，将此 VPN RT 值与内网数据中心 VPN RT 值互相注入，可实现第三方网管软件对网络设