国家电子政务外网和各省电子政务外网之间运行()路由协议?
第1题:
【问题2】(8分)
各地市州、各省直部门在接入电子政务外网平台时,需要配置接入路由器、防火墙、前置服务器,请考虑如下连接要求,并添加相应的连接线路或设备,给出接入电子政务外网的设备连接图。
(1)部门网络与电子政务外网之间为逻辑隔离;
(2)部门应用系统主动把数据推送至前置服务器,数据中心在进行数据获取时,不允许进入部门网络;
(3)在调试防火墙的各类过滤规则时,不会对电子政务外网的路由造成影响;
(4)可根据用户负载的需要,随时添置前置服务器。
(2)问题2分析
电子政务网络一般分为电子政务内网和电子政务外网,其中电子政务外网是一个非涉密性质的网络,可以借助于特定的安全手段,实现普通信息和敏感信息的传递,电子政务外网在实现部门和下级单位接入时,主要采用逻辑隔离方式接入,即指两个网络之间存在着受控的网络协议传递,信息借助于防火墙或者具有过滤功能的路由器实现交换的方式。
逻辑隔离接入方式适用于大多数部门,其内部网络为实现对内部信息与资源实施保护,在受控的情况下与外网进行连接。由于电子政务网络建设主要为政务信息资源目录体系、政务信息资源交换体系、各类电子政务应用系统提供运行和承载环境;在实现部门网络接入的同时,需要为信息和数据的交换提供有效的技术支撑;因此,部门网络借助于防火墙或路由器完成与电子政务外网主干的连接,通过受控的网络协议现信息交换。
传统意义上的部门逻辑接入方式如下图所示。
为完成各部门网络接入电子政务外网平台,必须配置特定的网络接入设备,这些设备主要包括接入路由器、防火墙、前置服务器、DMZ交换机等。
接入路由器——接入路由器是实现单位接入的关键设备,通过运行路由算法,保持和外网平台的连通性。
前置服务器——前置服务器是完成单位内部网络和外网平台数据交换的关键设备,通过前置数据库、交换中间件等实现数据的交换。
防火墙——防火墙是完成逻辑隔离的关键设备,其强大的过滤机制、DMZ区域设置等技术,保证了外网平台与单位网络之间的受控信息传递。
DMZ交换机——DMZ交换机用于扩展防火墙的DMZ区域,实现多台服务器在防火墙DMZ区域的接入。
画图要点:
接入路由器直接连接电子政务外网;
防火墙直接连接单位内部网络;
防火墙与接入路由器直接相连;
防火墙的DMZ口添置一台DMZ交换机;
前置服务器与DMZ交换机直接相连。
第2题:
国家层面的电子政务网络由政务内网和政务外网构成,正确的是()。
A、政务外网与互联网之间物理隔离
B、两网之间逻辑隔离
C、两网之间物理隔离
D、政务外网与互联网之间逻辑隔离
第3题:
第4题:
阅读以下关于某电子政务网络平台的叙述,回答问题1 至问题 3,将解答填入答题纸的对应栏内。
【说明】
某省准备建立电子政务网络平台,实现全省上下各级部门之间的信息交换和资源共享。遵照《国家信息化领导小组关于推进国家电子政务网络建设的意见》的要求,电子政务网络分为电子政务外网和电子政务内网,该省即将建设的网络平台被定性为“非涉密”的电子政务外网。在第一期工程中,主要建设覆盖省直部门和各地市州的电子政务外网。 电子政务外网是办公自动化、 行政审批、电子监察等跨部门应用系统的运行网络,还是一个网络承载平台,可以承载各类VPN。例如,在当前的省级外网平台建设中,外网平台就需要承载两个VPN: (1)互连各个部门的国库支付VPN; (2)互连各个部门的视频监控VPN。
【问题1】(6分)
电子政务外网承载VPN,可以采用L2TP、MPLS VPN、IPSec三类技术,请对三种技术进行比较,将有关内容填入表1-1的空白中(备注档不用填)。
试题一分析
本题涉及MPLS技术、MPLS/VPN等领域的内容。
(1)问题1分析
VPN (Virtual Private Network,虚拟专用网)就是利用Internet或其它公共互联网络的基础设施建立专用数据传输通道,将远程的分支机构、移动办公人员等连接起来,实现不同网络的组件和资源之间的相互连接,是通过隧道技术在公共数据网络上虚拟出一条点到点的专线技术。
在虚拟专用网中,任意两个节点之间的连接并没有传统专网所需的端到端的物理链路,而是利用某种公众网的资源动态组成的。
VPN主要采用四项技术来保证安全,这四项技术分别为隧道技术(Tunneling)、加解密技术(Encryption & Decryption)、密钥管理技术(Key Management)、认证技术(Authentication)。
隧道技术就是利用隧道协议对隧道两端的数据进行封装的技术,利用一种协议来传输另外一种协议的技术,共涉及三种协议,包括:乘客协议、隧道协议和承载协议,隧道协议可以分别是第二层或第三层隧道协议。第二层隧道协议是先把各种网络协议封装到PPP中,再把整个数据包装入隧道协议中;这种双层封装方法形成的数据包靠第二层协议进行传输;第二层隧道协议有L2F、PPTP、L2TP等。第三层隧道协议则借助于网络层协议来进行封装,典型代表是IPSec;IPSec本身不是隧道协议,但由于其提供的认证、加密功能适用于建立VPN环境,它既能提供LAN间VPN,也能提供远程访问型VPN。而MPLS VPN则是一种借助于标签交换技术,利用公用MPLS基础设施实现多个用户网络承载,是一种介于第二层和第三层之间的技术。
L2TP协议:
L2TP封装的乘客协议是位于第二层的PPP协议,如下图所示。
第5题:
论电子政务建设中政务内网和外网的划分
经过一段时间的电子政务建设,已经初步取得了一些成果。由于某些政府部门需要在保证其信息系统安全的基础上同时为公众提供服务,因此,它的电子政务系统需要划分为政务外网和政务内网。政务外网中不包含涉密信息或仅包含密级较低的信息,可为公众提供服务;政务内网中可以包含一些涉密信息。
请围绕“电子政务建设中政务内网和外网的划分”论题,依次从以下3个方面进行论述。
1.简述你参与的电子政务项目及你所担任的主要工作。
2.论述政务内网、外网的划分对电子政务系统安全和实现政务信息系统互联互通的影响。
3.在建设电子政务内网和外网中遇到了哪些困难?你是如何应对和解决的?
第6题:
● 电子政务在网络管理上分为政府专网和通用网络两部分,包括()。()A. 内部网络和外网 B. 内部网络和专用网络 C. 专用网络和外网 D. 内部网络、专用网络和外网
第7题:
此题为判断题(对,错)。
第8题:
A、宏观调控系统
B、监督检查系统
C、网上税务管理系统
D、行政管理业务系统
第9题:
【问题3】(11分)
如图1-1所示,采用MPLS VPN技术,省级电子政务外网平台承载了两个VPN,分别为国库支付VPN和视频监控VPN。请从以下方面描述电子政务外网PE路由器上的MPLS VPN配置内容:
(1)VPN 接口配置
(2)PE-CE配置
(3)OSPF配置
(4)MPLS配置
(3)问题3分析
MPLS最初是用来提高路由器的转发速度而提出的一个协议,MPLS协议的关键是引入了标签(Label )交换概念;标签是一种短的,易于处理的,不包含拓扑信息,只具有局部意义的信息内容。
在MPLS网络中,IP包在进入第一个MPLS设备时,MPLS边缘路由器分析IP包的内容并且为这些IP包选择合适的标签;以后所有MPLS网络中节点都是依据这个标签作为转发依据;当IP包最终离开MPLS网络时,标签被边缘路由器分离。
MPLS在逻辑上可以分为LER(Label Switching Edge Router)和LSR(Label Switching Router);其中LER是MPLS网络同其它网络的边缘设备,它提供流量分类和标签映射,标签移除的功能;而LSR是MPLS网络的核心交换机,它提供标签交换,标签分发的功能。
作为一种高效的IP骨干网技术平台,MPLS为实现VPN提供了一种灵活的并且具有可扩展性的技术基础,并且具有网络配置简单、动态发现相邻节点、直接利用现有路由协议、具有良好的可扩展性等特点。
为支持基于MPLS的VPN特性必须实现如下功能:
?LDP(Label Distribution Protocol)标签分布协议,是MPLS的信令协议,用以管理和分配标签;
?MPLS转发模块,根据报文上的标签和本地映射表进行二、三层间交换;
?MBGP和BGP扩展,用来传递VPN路由和承载VPN属性、QoS信息、标签等内容;
?路由管理的VPN扩展,建立多路由表,用以支持VPN路由。
在MPLS VPN的连接模型中,网络由运营商的骨干网与用户的各个Site组成,所谓VPN就是对Site集合的划分,一个VPN就对应一个由若干Site组成的集合。而MPLS VPN网络中的路由设备,也相应分为三类:
CE(Custom Edge)——用户Site中直接与服务提供商相连的边缘设备;
PE(Provider Edge)——骨干网中的边缘设备,它直接与用户的CE相连;
P 路由器(Provider Router)——骨干网中不与CE直接相连的设备。
MPLS VPN的组成原理:
(1)MPLS VPN的网络构造由服务提供商来完成。在这种网络构造中,由服务提供商向用户提供VPN服务,用户感觉不到公共网络的存在,就好像拥有独立的网络资源一样。
(2)同样对于服务提供商骨干网络内部的 P 路由器,也就是不与CE 直接相连的路由器而言,也不知道有VPN的存在,仅仅负责骨干网内部的数据传输。但其必须能够支持MPLS协议,并使能该协议。
(3)所有的VPN的构建、连接和管理工作都是在PE上进行的。PE位于服务提供商网络的边缘,从PE的角度来看,用户的一个连通的IP 系统被视为一个Site,每一个Site通过CE与PE相连,Site是构成VPN的基本单元。
(4)一个VPN是由多个Site组成的,一个Site也可以同时属于不同的VPN。属于同一个VPN的两个Site通过服务提供商的公共网络相连,VPN数据在公共网络上传播,必须要保证数据传输的私有性和安全性。也就是说,从属于某个VPN的Site发送出来的报文只能转发到同样属于这个VPN的Site里去,而不能被转发到其他Site中去。
(5)同时,任何两个没有共同的Site的VPN都可以使用重叠的地址空间,即在用户的私有网络中使用自己独立的地址空间,而不用考虑是否与其他VPN或公网的地址空间冲突。所有这些就都需要依赖于VRF(VPN Routing & Forwarding Instance)。
关于VPN路由转发实例(VPN Routing & Forwarding Instance)、路由标识(Route Distinguisher)、多协议 BGP(MultiProtocol BGP)、BGP 扩展团体属性(Extended Community)、BGP 路由刷新(Route Refresh)的详细技术内容,在本文中不做介绍,请参阅相关技术资料。
以下为问题3的MPLS VPN环境介绍及MPLS VPN的有关配置。
图中,s0表示第零号串口,e0表示第零号以太网口;P路由器分别通过s0,s1,s2,s3与PE1,PE2,PE3,PE4相连;各用户网络的AS号码分别为65410、65420、65430、65440,核心网络的AS号码为100;VPN-A为国库支付VPN,VPN-B为视频监控VPN。
PE1的配置:
# VRF配置
Quidway#config terminal
#进入到配置模式
Quidway(config)#ip vrf vpna
#创建VPN实例vpna
Quidway(config-vrf)#rd 100:1
#配置vpna的rd为:100:1
Quidway(config-vrf)#route-target both 100:1
#配置rd为100:1的站点可以双向接收此VPN路由
Quidway(config-vrf)#route-target import 100:2
#可以接收到rd为100:2站点发送过来的VPN路由
Quidway(config-vrf)#route-target export 100:3
#配置rd为100:3的站点可以接收此VPN路由
Quidway(config-vrf)#exit
#退出接口配置模式
# 接口配置
Quidway(config)#interface e 0
#进入到以态网e0口
Quidway(config-if-Ethernet0)#ip vrf forwarding vpna
#将接口添加到vpna实例中
Quidway(config-if-Ethernet0)#ip address 168.1.1.2 255.255.0.0
#配置接口地址
Quidway(config-if-Ethernet0)#exit
#退出接口配置模式
Quidway(config)#interface s 0
#进入到串行接口s0口
Quidway(config-if-Serial0)#ip address 172.1.1.1 255.255.0.0
#配置接口地址
Quidway(config-if-Serial0)#exit
#退出接口配置模式
# PE-CE配置
Quidway(config)#router bgp 100
#使能bpg,自治系统号100
Quidway(config-router-bgp)#address-family ipv4 vrf vpna
#在BGP的IPV4 VRF VPNA地址簇中引入路由信息
Quidway(config-router-af)#neighbor 168.1.1.1 remote-as 65410
#建立ipv4 vrf VPNA中的邻居,传递VRF路由
Quidway(config-router-af)#neighbor 168.1.1.1 activate
#建立ipv4 vrf VPNA中的邻居,并激活邻居
Quidway(config-router-af)#redistribute connected
#引入直连路由
Quidway(config-router-af)#exit-address-family
#退出当前配置模式
Quidway(config-router-bgp)#exit
#退出
# PE-PE配置
Quidway(config)#router bgp 100
#使能bpg,自治系统号100
Quidway(config-router-bgp)#redistribute ospf metric 6
#引入ospf路由并配置metric值为 6
Quidway(config-router-bgp)#address-family vpnv4
#配置VPNV4 iBGP路由,用以在PE之间传播MBGP VPN路由
Quidway(config-router-af)#neighbor 172.2.1.1 remote-as 100
#建立邻居
Quidway(config-router-af)#neighbor 172.2.1.1 activate
#激活邻居
Quidway(config-router-af)#neighbor 172.3.1.1 remote-as 100
Quidway(config-router-af)#neighbor 172.3.1.1 activate
Quidway(config-router-af)#neighbor 172.4.1.1 remote-as 100
Quidway(config-router-af)#neighbor 172.4.1.1 activate
Quidway(config-router-af)#exit-address
Quidway(config-router-bgp)#exit
# OSPF配置
Quidway(config)#router ospf
#启用OSPF功能
Quidway(config-router-ospf)#network 172.1.1.0 0.0.255.255 area 0
#发布ospf路由信息到区域0
Quidway(config-router-ospf)#exit
# MPLS配置
Quidway(config)#mpls lsr id 172.1.1.1
#配置mpls的lsr id标识
Quidway(config)#mpls ldp
#启用mpls ldp标签协议
Quidway(config-mpls-ldp)#exit
Quidway(config)#interface s 0
Quidway(config-if-Serial0)#mpls ldp enable
#在接口下启用mpls标签功能
Quidway(config-if-Serial0)#exit
Quidway(config)#exit
Quidway#
CE1的配置:
# 接口配置
Quidway#config terminal
Quidway(config)#interface e 0
Quidway(config-if-Ethernet0)#ip address 168.1.1.1 255.255.0.0
#配置以太口IP地址
Quidway(config-if-Ethernet0)#exit
# BGP配置
Quidway(config)#router bgp 65410
Quidway(config-router-bgp)#neighbor 168.1.1.2 remote-as 100
#配置BGP邻居
Quidway(config-router-bgp)#exit
Quidway(config)#exit
Quidway#
P路由器的配置:
# 接口配置
Quidway#config terminal
Quidway(config)#interface s 0
Quidway(config-if-Serial0)#ip address 172.1.1.2 255.255.0.0
Quidway(config-if-Serial0)#exit
Quidway(config)#interface s 1
Quidway(config-if-Serial0)#ip address 172.2.1.2 255.255.0.0
Quidway(config-if-Serial0)#exit
Quidway(config)#interface s 2
Quidway(config-if-Serial0)#ip address 172.3.1.2 255.255.0.0
Quidway(config-if-Serial0)#exit
Quidway(config)#interface s 3
Quidway(config-if-Serial0)#ip address 172.4.1.2 255.255.0.0
Quidway(config-if-Serial0)#exit
#配置各串口IP地址
# MPLS配置
Quidway(config)#mpls lsr id 172.1.1.2
#配置mpls的lsr id标识
Quidway(config)#mpls ldp
#启用mpls ldp标签协议
Quidway(config-mpls-ldp)#exit
Quidway(config)#interface s 0
Quidway(config-if-Serial0)#mpls ldp enable
#在接口下启用mpls标签功能
Quidway(config-if-Serial0)#exit
Quidway(config)#
Quidway(config)#interface s 1
Quidway(config-if-Serial0)#mpls ldp enable
Quidway(config-if-Serial0)#exit
Quidway(config)#
Quidway(config)#interface s 2
Quidway(config-if-Serial0)#mpls ldp enable
Quidway(config-if-Serial0)#exit
Quidway(config)#
Quidway(config)#interface s 3
Quidway(config-if-Serial0)#mpls ldp enable
Quidway(config-if-Serial0)#exit
Quidway(config)#
# OSPF配置
Quidway(config)#router ospf
Quidway(config-router-ospf)#network 172.1.1.0 0.0.255.255 area 0
Quidway(config-router-ospf)#network 172.2.1.0 0.0.255.255 area 0
Quidway(config-router-ospf)#network 172.3.1.0 0.0.255.255 area 0
Quidway(config-router-ospf)#network 172.4.1.0 0.0.255.255 area 0
其他PE的配置与PE1相似,其他CE的配置与CE1相似,不重复列举。
【问题3】
(1)VPN接口配置
将相应的接口加入VPN实例中;
进入接口配置模式,配置接口的IP地址。
(2)PE-CE配置
启用路由协议BGP,并设置自治区号;
在BGP的IPV4 VRF实例地址簇中引入路由信息;
建立IPV4 VRF实例的邻居关系,激活并传递VRF路由;
在BGP中引入直连路由。
(3)OSPF配置
启用OSPF路由协议;
配置路由区域及网络地址信息。
(4)MPLS配置
配置MPLS的LSR ID标识;
启用路由器的MPLS LDP标签协议;
在网络接口上启用MPLS LDP标签协议。
第10题:
在建设电子政务内网和外网中遇到了哪些困难?你是如何应对和解决的?