浙江电子政务网络技术建议书

浙江电子政务网络技术建议书内容摘要：

市区各厅局单位接入，每单位考虑分配4个公有地址，需要447＝188个公有IP地址，考虑今后扩充申请1个C类地址；39家次级单位用户接入，每单位分配4个公有地址，需要439＝156个公有IP地址，考虑今后扩充申请1个C类地址；88家通过拨号接入的企业每家分配1个公网IP地址。 这样，初步估算本期电子政务工程总共需要2＋+2+1+1+=7个C的公网IP地址（如果不考虑今后各地市电子政务网建设设备公有地址只需6个C类地址），具体地址申请及分配情况需要根据浙江省政务IP地址申请实际情况确定。 IPv6支持目前IPV6技术以及设备还远不成熟，大规模商用还需要很长时间。 本次工程配置的华为NE80/NE40第五代核心路由器基于网络处理器体系架构，均预留IPV6处理接口。 因此当未来网络要求升级至IPV6网络时均可通过软件升级实现。 而网络中其他交换机可以通过双栈等隧道方式支持IPV6。 路由协议及策略 域间路由协议选择(EGP)由于政务网与Internet隔离，本期工程基本不涉及域间路由协议设计。 今后如果涉及与其他省政务网联通，考虑采用成熟的BGP4作为域间路由协议。 因为一般来讲，各省电子政务网被划分为不同的AS，省网出口路由器与骨干网之间运行EBGP，出口路由器之间运行IBGP。 BGP作为最成熟的域间路由协议，具有非常丰富的控制策略，省政府可根据业务类型、带宽等多种因素控制电子政务省网与国家骨干网之间的流量在两条链路上分担。 域内路由协议选择(IGP)域内路由协议（IGP）在数据网中起着连通骨干、选径和自动迂回的作用。 IGP通过计算每条路径的权值来寻找最佳路径。 IGP并不承载外界路由，但所有外界路由在BGP4中都有“下一跳”（nexthop）这个属性，IGP通过对nexthop的选径来控制到外界的数据流。 在IGP路由协议的选择上，尽量不要采用扩展性差的（RIP）和厂家的私有路由协议（IGRP和EIGRP），尽量采用OSPF或ISIS。 对于OSPF和ISIS的选择依据为：基本原理相同（基于链路状态算法），OSPF用于IP， ISIS用于ISO的CLNP，也支持IP（“集成ISIS”）；ISIS结构严谨，OSPF更加灵活，OSPF协议是基于接口的，而ISIS路由器只能属于一个Area，并且不支持NBMA网络；ISIS占用网络资源相对较少，支持网络规模大于OSPF，在网络相当庞大时能体现出优势；一个IGP域运行的三层交换机及路由器的数量一般不会超过200台，因此从实际情况来看，运行OSPF和ISIS对IP城域网/承载网的建设不会有差异；对于网络的稳定性、可扩充性，两种协议都能很好地支持；在大型ISP上，ISIS与OSPF二者均获得普遍应用；从MPLS草案及现实运行来看，如果要运行MPLS网络的话，OSPF经常被选用做内部IGP，当然ISIS也有，但是MPLS草案中认为在MPLS环境中运行OSPF更合适；使用MPLS TE的时候，采用ISIS扩展的较多；综合考虑，考虑到网络的扩展，我们建议浙江省电子政务网络IGP路由协议使用ISIS或OSPF。 路由策略 结合浙江电子政务网的实际情况，我们建议：浙江政务网网络作为一个独立的AS，可以分配保留AS号。 通过BGP4和其他省及国家政务网相连，网内IGP采用ISIS或OSPF。 省中心及地市中心核心路由器互连及Loopback地址采用公有IP地址，运行静态路由以及ISIS/OSPF动态路由协议。 ISIS/OSPF协议采用多等级(LEVEL)/区域（AREA）模式，具有较好的扩展性，而且Level/Area内的错误路由不会影响全网，大大增加了网络的可靠性。 所有路由器均划分在ISIS Level2/OSPF AREA0中，目前网络规模较小，建议在省中心内采用静态路由或者划分到ISIS Level1/OSPF其他区域中，今后其他地市电子政务网建设建议划分到ISIS LEVEL1/OSPF Area0以外其他区域中。 各厅局单位IP地址分配尽量连续，减少配置工作量。 同时配置路由聚合，减少边缘链路波动对核心层路由器的影响；今后还可以考虑采用MPLS BGP VPN实现政务网横向、纵向系统之间的安全隔离，所以在路由方案中应考虑对MPLS VPN业务的支持。 4 QOS策略电子政务网络上承载的是数据、语音、视频等多种综合业务，这些业务对于网络的服务质量有不同的要求。 同时随着政务网业务发展，电子政务网上各不同部门对网络服务质量也可能出现不同要求，为体现差异性服务，更好的满足电子政务业务发展需求，浙江电子政务网络在提供充足带宽的前提下，还需要实施端到端的QoS机制。 设计原则电子政务网络的QoS设计应符合下面的原则：l 端到端的解决方案：包括接入层、汇聚层和骨干层而且相互衔接；l 差异性：为不同用户，不同业务提供不同的QoS保证；l 可管理：灵活的带宽控制，体现QoS的计费策略；l 经济性：有效利用网络资源，包括带宽、VLAN、端口等；l 高可用性：设计备份路径，采用具备热备份、热插拔能力的设备，并对关键的网络节点进行冗余备份；l 可扩展性：采用能够在带宽、业务种类增加时平滑扩容、升级的设备。 体系结构的选择为了在Internet上提供QoS，IETF提出了许多服务模型和协议，其中比较突出的有IntServ (Integrated Services)模型和DiffServ (Differentiated Services)模型。 IntServ对网络设备包括终端要求高，可扩展性差，仅适合在小规模网络中使用。 DiffServ对聚合的业务类提供QoS保证，可扩展性好，便于在大规模网络中使用。 IntServ模型要求网络中的所有节点（包括核心节点）都记录每个经过的应用流的资源预留状态，需要通过IP包头识别出所有的用户应用流（进行MF分类），同时为每个经过的应用流设置单独的内部队列以分别进行监管（Policing）、调度（Scheduling）、整形（Shaping）等操作。 对于现在大型运营网络中的节点，这种应用流（活动的）的数量非常庞大，会远远超出节点设备所能够处理的能力，而且可扩展性差，仅适合在小规模网络中使用。 DiffServ模型的基本原理是将网络中的流量分成多个类，每个类接受不同的处理，尤其是网络出现拥塞时不同的类会享受不同的优先处理，从而得到不同的丢弃率、时延以及时延抖动。 在DiffServ的体系结构下，IETF已经定义了EF（Expedite Forwarding）、AF1AF4（Assured Forwarding）、BE（Best Effort）等六种标准PHB（Perhop Behavior）及业务。 此外，有些厂商实现了基于TOS的分类服务（COS），并且这类设备已经应用在一些现有的运营网络。 COS和DiffServ类似，不过比DiffServ更简单，并且不象DiffServ那样定义了一组标准的业务。 DiffServ对聚合的业务类提供QoS保证，可扩展性好，便于在大规模网络中使用。 本次工程推荐使用DeffServ机制实现QOS。 DiffServ实现DiffServ域将设备分为两类，边缘设备和核心设备，其中边缘设备承担了较多的工作，如流分类、标记、带宽限制、拥塞管理、拥塞避免、流量整形等。 如果由单一设备全部处理，开销较大，容易形成网络瓶颈，因此需要将这些功能分布到不同的设备上去，如流分类功尽量在边缘实现。 在浙江电子政务网络中，建议在接入层中进行流分类，并通过VLAN、在省中心核心节点进行带宽限制(CAR)和拥塞避免(RED)，在所有节点上基于优先级采用优先级队列调度，实现拥塞管理。 如果在接入层中，通过在业务流经的所有二、三层设备上部署CAR、队列机制，这样能够基于VLAN、每个业务的带宽，实际上就实现了一种类似IntServ的机制，只不过这时源还是用户，而目的不是远程用户，而是汇聚节点。 在汇聚节点和骨干网中根据/，可以看作是IntServ同DiffServ的一种结合。 这种机制为用户提供了虚拟专线，其QoS可同真正的专线相媲美。 Differentiated service是一个多服务模型，它可以满足不同的QoS需求。 与Integrated service不同，它不需要信令，即应用程序在发出报文前，不需要通知路由器。 对Differentiated service，网络不需要为每个流维护状态，它根据每个报文指定的QoS，来提供特定的服务。 可以用不同的方法来指定报文的QoS，如IP包的优先级位（IP Precedence)，报文的源地址和目的地址等。 网络通过这些信息来进行报文的分类、流量整形、流量监管和排队。 其模型如下图。 区分服务QOS模型DiffServ体系中，定义了三种大的业务类型，EF(Expedite Forwarding)、AF(Assured Forwarding)和BE(Best Effort)。 EF业务是一类低时延、低抖动、低丢包率的业务，为了达到这些要求，实际上要求保证带宽。 AF业务提供一定程度的确保服务，分配了带宽和缓冲区，协议定义了4个服务级别，从1到4。 协议没有定它们的顺序，但大多数实现中，AF4的优先级高，AF1的优先级低。 BE没有任何QoS保证。 为了标记这些业务类别，在IP层使用了IP头部的ToS字段，RFC2474定义了ToS字段的前6个比特，称为DSCP，可以区分64个类别。 ，3个比特，可以区分8个类别。 MPLS ELSP中也使用3个比特，可以区分8个类别。 这样，在全网能够支持8个优先级类别。 华为高端数据产品QOS实现机制华为NE80、NE40均能够在QOS条件下仍然保持线速的转发能力，从而为全网实现QOS创造了不可或缺的条件。 NE80，NE40系列路由器是华为公司开发的针对运营商网络骨干及高性能汇聚应用的电信级设备，设计并实现了承载包括实时业务在内的综合业务的QoS特性，尤其对DiffServ提供了基于标准的完善支持，包括流分类、流量监管（Policing）、流量整形（Shaping）、队列管理、队列调度（Scheduling）等，完整实现了标准中定义的EF、AF1AFBE等六组PHB及业务。 流分类NE80，NE40，允许根据报文头中的最多192比特的控制域信息进行流分类，具体可以包括下面描述的报文4层的控制信息域。 首先输入端口号可以作为重要的分类依据，它可以单独使用，也可以结合报文的其他信息对流分类。 二层的重要控制域就是源MAC地址。 设备允许通过配置将报文的源MAC汇聚为MAC地址组，最大允许64源MAC地址组，源MAC地址组可以单独或同其他域组合对用户流进行分类。 此外VLAN ID也是参与流分类的重要属性，只不过是以子接口的形式隐式参与。 三层可以参与分类的控制域包括：源和目的IP地址、TOS/DSCP字节、Protocol（协议ID）、分段标志、ICMP报文类型。 四层的源和目的端口号、TCP SYN标志也是允许参与流分类的重要信息域。 通过在ACL中使用上述控制域来配置流分类的规则，每块接口处理板最多可以支持5120个ACL结点。 NE80/NE40在大容量ACL流分类功能使能的情况下仍然能够保持线速处理的性能。 可以看出，NE80/NE40系列路由器可以对用户报文的几乎全部控制域或这些域的组合进行流分类，接口上面允许配置数千个ACL结点却不降低系统转发处理的性能，当用于网络的边沿结点时，可以通过灵活的流分类手段精确地识别大量进入的用户业务流，充分满足组建大型骨干QoS网络时边沿结点的要求。 流量监管流量监管也就是我们通常所说的CAR，是流分类之后的动作之一。 通过CAR，运营商可以限制从网络边沿进入的各类业务的最大流量，控制网络整体资源的使用，从而保证网络整体的QoS。 运营商合用之间都签有服务水平协议（SLA） ，其中包含每种业务流的承诺速率、峰值速率、承诺突发流量、峰值突发流量等流量参数，对超出SLA约定的流量报文可指定给予pass（通过）、drop（直接丢弃）或markdown（降级）等处理，此处降级是指提高丢弃的可能性（标记为丢弃优先级降低），降级报文在网络拥塞时将被优先丢弃，从而保证在SLA约定范围之内的报文享受到SLA预定的服务。 NE80/NE40支持每个接口处理板最多对1024个业务流的流量监管（CAR），实现了RFC定义的四种标准流量监管算法（Color aware single rate three color 、Color aware two rate three color、Color blind single rate three color 、Color blind two rate three color），由于内部采用硬件协处理器来实现CAR的有关操作，因此对转发性能没有负面影响。 DSCP标记/重标记标记/重标记是是流分类之后的动作之一。 所谓标记就是根据SLA以及流分类的结果对业务流打上类别标记。 目前RFC定义了六类标准业务即：EF、AF1AFBE，并且通过定义各类业务的PHB （Perhop Behavior）明确了这六类业务的服务实现要求，即设备处理各类业务的具体实现要求。 从业务的外在表现看，基本上可认为EF流要求低时延、低抖动、低丢包率，对应于实际应用中的Video、语音、会议电视等实时业务；AF流要求较低的延迟、 低丢包率、 高可靠性，对应于数据可靠性要求高的业务如电子商务、企业VPN等；对BE流则不保证最低信息速率和时延，对应于传统Internet业务。 在某些情况下需要重标记DSCP。 例如在Ingress点业务流量进入以前已经有了DSCP标记（如上游域是DSCP域的情形，或者用户自己进行了DSCP的标记），但是根据SLA，又需要对DSCP进行重新标记。 NE80/NE40完全支持RFC定义的标准的DSCP DS CODE，还支持现在有些网上可能使用的COS。 COS是以TOS的前三比特作为业务区分点，总共可分8个业务等级，对每一种业务等级均有特定的定义。 队列管理队列管理的主要目的就是通过合理控制Buffer的使用，对可能出现的拥塞进行控。