焦作市水利局網(wǎng)絡(luò)優(yōu)化調(diào)整方案

一、背景

焦作市水利局是我公司的一個(gè)重要大客戶，其至省廳的聯(lián)網(wǎng)非常重要。由于該局所涉及工作特殊，又是政府要求的網(wǎng)絡(luò)暢通重點(diǎn)單位。近期，該局為了充分利用網(wǎng)絡(luò)優(yōu)勢(shì)，打造市縣一體化、自動(dòng)化、網(wǎng)絡(luò)化的現(xiàn)代辦公環(huán)境。特提出要求市局和六縣（市）下屬局進(jìn)行聯(lián)網(wǎng)，實(shí)現(xiàn)自動(dòng)化辦公。

二、優(yōu)化前網(wǎng)絡(luò)狀況

該局租用我公司一條光纖，接入“焦作電子政務(wù)內(nèi)網(wǎng)”平臺(tái)。網(wǎng)絡(luò)拓樸如下圖：

內(nèi)部各PC機(jī)連接至交換機(jī)上。PC機(jī)IP地址為私網(wǎng)地址，網(wǎng)段為：10.41.100.0/24。交換機(jī)通過(guò)網(wǎng)線連接至天融信防火墻上。防火墻通過(guò)光纖接入焦作聯(lián)通電子政務(wù)內(nèi)網(wǎng)，采用MPLS-VPN技術(shù)和省廳實(shí)現(xiàn)互訪。該局內(nèi)部PC機(jī)，既能和省廳進(jìn)行辦公業(yè)務(wù)交互，又能通過(guò)省廳經(jīng)NAT轉(zhuǎn)換后實(shí)現(xiàn)互聯(lián)網(wǎng)的訪問(wèn)。本地防火墻沒(méi)有起用NAT功能，僅提供三層路由能力，配置缺省路由，下一跳為10.253.253.73，指向局端NE40設(shè)備。局端NE40配置用戶回程路由：ip route-static vpn-instance

ShengShuiLiTing 10.41.100.0 255.255.255.0 10.253.253.74 pref

erence 60；ip route-static vpn-instance ShengShuiLiTing 10.41.101.0 255.255.255.0 10.253.253.74 preference 60。

三、網(wǎng)絡(luò)優(yōu)化要求

要求六縣（市）下屬局和該局聯(lián)網(wǎng)，并能通過(guò)該局訪問(wèn)省廳辦公網(wǎng)絡(luò)，實(shí)現(xiàn)省市縣網(wǎng)絡(luò)互連和一體化辦公，同時(shí)市縣兩級(jí)都要能訪問(wèn)互聯(lián)網(wǎng)。原市局網(wǎng)絡(luò)通過(guò)省廳接入互聯(lián)網(wǎng)，為提高互聯(lián)網(wǎng)訪問(wèn)速度。網(wǎng)絡(luò)改造后，市縣兩級(jí)不再通過(guò)省廳訪問(wèn)互聯(lián)網(wǎng)，而改為本地直接訪問(wèn)互聯(lián)網(wǎng)方式，即直接接入焦作IP城域網(wǎng)。

四、該局網(wǎng)絡(luò)優(yōu)化調(diào)整方案

（1）六縣（市）承載方式。根據(jù)要求，六縣（市）仍通過(guò)電子政務(wù)內(nèi)網(wǎng)接入，政務(wù)內(nèi)網(wǎng)采用MPLS-VPN技術(shù)。六縣（市）的網(wǎng)關(guān)設(shè)在PE設(shè)備上。（2）六縣（市）IP地址分配。根據(jù)局端NE40配置的用戶回程路由，可以看出，省廳分配給該局的可用IP地址為兩個(gè)C：10.41.100.0/24，10.41.101.0/24。目前僅使用一個(gè)C：10.41.100.0/24。所以六縣（市）IP地址可使用另一個(gè)C：10.41.101.0/24。（3）六縣（市）匯聚至用戶交換機(jī)。如果用戶交換機(jī)支持三層功能，那么六縣（市）業(yè)務(wù)可經(jīng)電子政務(wù)網(wǎng)絡(luò)匯聚至該交換機(jī)上。在交換機(jī)上配置缺省路由，下一跳指向防火墻；同時(shí)配置回程路由。此時(shí)，需要用戶中心再申請(qǐng)一條光纖，接入電子政務(wù)內(nèi)網(wǎng)。（4）六縣（市）匯聚至用戶防火墻。由于防火墻支持VLAN功能，可將防火墻至省廳的鏈路劃分兩個(gè)VLAN，一個(gè)VLAN傳遞至省廳的辦公業(yè)務(wù)，一個(gè)VLAN匯聚六縣（市）的辦公業(yè)務(wù)。同時(shí)在防火墻上配置至六縣（市）的回程路由。這種情況下，用戶中心不需再申請(qǐng)光纖。（5）本地提供互聯(lián)網(wǎng)出口。經(jīng)現(xiàn)場(chǎng)查看，用戶防火墻還有一個(gè)空閑模塊，可將該模塊上連至局端城域網(wǎng)設(shè)備上，作為本地互聯(lián)網(wǎng)的出口。這種情況下，省廳防火墻需釋放對(duì)該局提供的NAT功能，焦作本地防火墻需配置NAT功能。

五、該局優(yōu)化后的網(wǎng)絡(luò)拓樸

（1）六縣（市）匯聚至用戶交換機(jī)。六縣（市）下屬局采用空閑的一個(gè)C：10.41.101.0/24，通過(guò)電子政務(wù)內(nèi)網(wǎng)MPLS-VPN技術(shù)匯聚至用戶三層交換機(jī)上。市局和六縣（市）下屬局至省廳的辦公業(yè)務(wù)通過(guò)防火墻至省廳的鏈路實(shí)現(xiàn)。市局和六縣（市）局的互聯(lián)網(wǎng)業(yè)務(wù)經(jīng)防火墻送入焦作IP城域網(wǎng)。

（2）六縣（市）匯聚至用戶防火墻。六縣（市）局采用空閑的一個(gè)C：10.41.101.0/24。通過(guò)電子政務(wù)內(nèi)網(wǎng)MPLS-VPN技術(shù)，經(jīng)一個(gè)三層VLAN鏈路送入防火墻，市局和六縣（市）局至省廳的辦公業(yè)務(wù)通過(guò)防火墻經(jīng)另一個(gè)VLAN鏈路送入省廳。市局和六縣（市）局的互聯(lián)網(wǎng)業(yè)務(wù)經(jīng)防火墻送入焦作IP城域網(wǎng)。

參 考 文 獻(xiàn)

[1]通用路由平臺(tái)VRP操作手冊(cè)VPN分冊(cè).華為技術(shù)公司

[2]Catherine Paquet.組建可擴(kuò)展的Cisco互連網(wǎng)絡(luò)[M].北京：人民郵電出版社

[3]天融信防火墻技術(shù)白皮書(shū).北京天融信公司