焦作市水利局網絡優化調整方案

一、背景

焦作市水利局是我公司的一個重要大客戶，其至省廳的聯網非常重要。由于該局所涉及工作特殊，又是政府要求的網絡暢通重點單位。近期，該局為了充分利用網絡優勢，打造市縣一體化、自動化、網絡化的現代辦公環境。特提出要求市局和六縣（市）下屬局進行聯網，實現自動化辦公。

二、優化前網絡狀況

該局租用我公司一條光纖，接入“焦作電子政務內網”平臺。網絡拓樸如下圖：

內部各PC機連接至交換機上。PC機IP地址為私網地址，網段為：10.41.100.0/24。交換機通過網線連接至天融信防火墻上。防火墻通過光纖接入焦作聯通電子政務內網，采用MPLS-VPN技術和省廳實現互訪。該局內部PC機，既能和省廳進行辦公業務交互，又能通過省廳經NAT轉換后實現互聯網的訪問。本地防火墻沒有起用NAT功能，僅提供三層路由能力，配置缺省路由，下一跳為10.253.253.73，指向局端NE40設備。局端NE40配置用戶回程路由：ip route-static vpn-instance

ShengShuiLiTing 10.41.100.0 255.255.255.0 10.253.253.74 pref

erence 60；ip route-static vpn-instance ShengShuiLiTing 10.41.101.0 255.255.255.0 10.253.253.74 preference 60。

三、網絡優化要求

要求六縣（市）下屬局和該局聯網，并能通過該局訪問省廳辦公網絡，實現省市縣網絡互連和一體化辦公，同時市縣兩級都要能訪問互聯網。原市局網絡通過省廳接入互聯網，為提高互聯網訪問速度。網絡改造后，市縣兩級不再通過省廳訪問互聯網，而改為本地直接訪問互聯網方式，即直接接入焦作IP城域網。

四、該局網絡優化調整方案

（1）六縣（市）承載方式。根據要求，六縣（市）仍通過電子政務內網接入，政務內網采用MPLS-VPN技術。六縣（市）的網關設在PE設備上。（2）六縣（市）IP地址分配。根據局端NE40配置的用戶回程路由，可以看出，省廳分配給該局的可用IP地址為兩個C：10.41.100.0/24，10.41.101.0/24。目前僅使用一個C：10.41.100.0/24。所以六縣（市）IP地址可使用另一個C：10.41.101.0/24。（3）六縣（市）匯聚至用戶交換機。如果用戶交換機支持三層功能，那么六縣（市）業務可經電子政務網絡匯聚至該交換機上。在交換機上配置缺省路由，下一跳指向防火墻；同時配置回程路由。此時，需要用戶中心再申請一條光纖，接入電子政務內網。（4）六縣（市）匯聚至用戶防火墻。由于防火墻支持VLAN功能，可將防火墻至省廳的鏈路劃分兩個VLAN，一個VLAN傳遞至省廳的辦公業務，一個VLAN匯聚六縣（市）的辦公業務。同時在防火墻上配置至六縣（市）的回程路由。這種情況下，用戶中心不需再申請光纖。（5）本地提供互聯網出口。經現場查看，用戶防火墻還有一個空閑模塊，可將該模塊上連至局端城域網設備上，作為本地互聯網的出口。這種情況下，省廳防火墻需釋放對該局提供的NAT功能，焦作本地防火墻需配置NAT功能。

五、該局優化后的網絡拓樸

（1）六縣（市）匯聚至用戶交換機。六縣（市）下屬局采用空閑的一個C：10.41.101.0/24，通過電子政務內網MPLS-VPN技術匯聚至用戶三層交換機上。市局和六縣（市）下屬局至省廳的辦公業務通過防火墻至省廳的鏈路實現。市局和六縣（市）局的互聯網業務經防火墻送入焦作IP城域網。

（2）六縣（市）匯聚至用戶防火墻。六縣（市）局采用空閑的一個C：10.41.101.0/24。通過電子政務內網MPLS-VPN技術，經一個三層VLAN鏈路送入防火墻，市局和六縣（市）局至省廳的辦公業務通過防火墻經另一個VLAN鏈路送入省廳。市局和六縣（市）局的互聯網業務經防火墻送入焦作IP城域網。

參 考 文 獻

[1]通用路由平臺VRP操作手冊VPN分冊.華為技術公司

[2]Catherine Paquet.組建可擴展的Cisco互連網絡[M].北京：人民郵電出版社

[3]天融信防火墻技術白皮書.北京天融信公司