XX市电子政务外网网络建设方案.pdf
《XX市电子政务外网网络建设方案.pdf》由会员分享,可在线阅读,更多相关《XX市电子政务外网网络建设方案.pdf(41页珍藏版)》请在冰点文库上搜索。
第二章政务外网网络建设方案2.1.总体设计方案2.1.1.组网原则按照国家信息中心、XX省信息中心下发的电子政务外网建设相关技术规范,结合基于对国家电子政务外网项目的理解,在本次网络设计时遵循以下基本建网原则:
1、网络设计标准化本项目网络设计所采用的组网技术和设备应符合国际标准、国家标准和业界标准,为网络系统的扩展升级及与其他网络系统的互联提供基础。
2、组网技术的先进性和成熟性本项目网络建设应适应网络自身的发展特点及网络通信技术的更新换代,在网络结构设计、网络配臵、网络管理方式等方面应具有一定的先进性和前瞻性,同时又是成熟、实用的技术,尽量避免技术风险。
3、高度的网络安全性提供完备的安全防护策略,能防止对网络资源的非法访问,保护网络使用者的合法利益。
4、高度的网络可靠性网络设计应能有效地避免单点故障(设备、线路),在设备的选择和关键设备互连时,应提供充分的冗余备份,一方面最大限度地减少故障的可能性,另一方面要保证网络能在最短时间内修复。
5、多业务统一网络平台建设一个开放的网络平台,支持多种业务的同时传输,如支持语音、视频等多媒体业务服务。
6、良好的扩展能力能够根据未来业务的增长和变化,平滑的扩充和升级现有的网络覆盖范围,扩大网络容量和提高网络的各层次节点的功能,最大程度的减少对网络架构和现有设备的调整。
7、良好的管理能力在网络设计中,须建立有效的网络管理解决方案。
能够实现监控、监测整个网络的运行情况,合理分配网络资源、动态配臵网络负载、可以迅速确定网络故障等。
通过先进的管理策略、管理工具提高网络的运行性能、可靠性,简化网络的维护工作。
8、突出应用,强化服务。
立足我省实际,结合政府职能转变和管理体制改革,紧扣政府业务和社会公众的需求,突出应用,务求实效。
9、经济性和实用性。
建设原则都以实际需求为出发点,以满足网络应用需求和适应一定时间内的发展规划为原则。
2.1.2.线路选型组建网络考虑的技术主要包括网络通信协议的选择和网络通信线路的选择。
针对通信线路,针对XX市电子政务外网的建设,全网通信线路均采用运营商提供的裸光纤资源,从而保证高速的数据传输性能,以及数据的安全传输的需求。
2.1.3.技术选型组建网络考虑的技术主要包括网络通信协议的选择和网络通信线路的选择。
针对通信协议,目前TCP/IP协议已经成为组建互联网和政务网络事实上的标准,因此XX市电子政务外网网络建设采用TCP/IP协议为网络的基础协议,凭借TCP/IP技术的开放性来提供网络业务的灵活性支持;采用MPLSVPN技术来支持用户的安全性、QOS以及SLA;同时IP协议有版本4(v4)和版本6(v6)之分。
目前绝大多数网络都在使用IPv4,但随着IPv4地址资源的减少,必须考虑向IPv6过渡。
在一期工程中,参照当前网络设计的主流趋势,应采用IPv4协议,同时为了适应网络向IPv6过渡的发展趋势,在总体方案和某些关键设备上对两种协议的兼容应有所考虑。
保证整个网络能够顺利平滑升级至IPv6阶段。
2.1.4.建设目标在国家电子政务外网统一规划和指导下,结合XX省和XX市实际情况,整合现有资源,推进电子政务外网建设;以先进适用为技术功能出发点,建设政务外网,使之具备网络传输、综合应用支撑、管理服务和安全保障等功能,为各级政府部门开展电子政务业务应用提供网络支撑和相关应用服务保障;支持重点业务应用系统资源整合,实现跨部门、跨地区的网上业务协作和信息资源共享;满足XX市各级政务部门行业内部协同办公的需要和面向社会服务的需要,促进政府监管能力和服务水平的提高。
2.1.5.建设内容XX市电子政务外网由负责整个城域网数据高速转发、路由的骨干网络及各级党委、人大、政府、政协、法院、检察院的接入网络组成,主要用于满足各级政府部门社会管理、公众服务等面向社会服务的需要。
政务外网被定性为非涉密网络,同政务内网物理隔离,同互联网逻辑隔离。
XX市电子政务外网的建设内容,可以划分为电子政务外网骨干网络部分、各委办单位接入网部分、数据中心部分、互联网接入区域、上联区域等五个功能模块。
网络骨干区域主要包含XX市电子政务外网的核心设备以及分布在市政府、金宝花园、光华大厦等的汇聚设备组成,负责整个XX市电子政务外网的数据高速转发,以及电子政务外网59网段的地址路由转发。
各个委办单位接入网主要为各个单位提供线路接入服务,通过NAT功能,将委办单位内部的私有地址转换为在骨干网上传输的59段专用地址。
数据中心为整个电子政务外网重要数据的集中存储中心以及整个外网的综合管理中心,考虑到数据安全,数据中心建立一个灾备中心。
互联网接入区域,作为整个XX市电子政务外网所有用户访问互联网的统一出口,并在出口区域部署流控设备,对于内部各种应用的带宽进行合理控制;此外在出口区域的DMZ区域,建立XX市政府的统一的对外门户网站,为了保证门户网站的安全,在门户网站服务器前部署网站应用防火墙设备。
上联区域主要提供XX市电子政务外网到省紧急信息中心的互联互通。
2.2.项目建设方案2.2.1.网络业务模型按照国家政务外网统一规划,根据国家政务外网所承载的业务和系统服务的类型不同,在逻辑上,XX市政务外网接入划分为公用网络区、专用网络区和互联网接入区三个功能区域,各个区之间安全逻辑隔离,分别提供政务外网互联互通业务,专用VPN业务和互联网业务。
政务外网网络业务模型如下图:
1公用网络区:
即采用国家政务外网注册地址(59.201.0.0/24-59.201.7.0/24)的网络区域,是国家政务外网的主干道,实现省内各部门、各地区互联互通,为跨地区、跨部门的业务应用提供支撑平台。
2专用网络区:
是依托国家政务外网基础设施,开辟为有特定需求的部门或业务设臵的VPN网络区域,主要满足部门纵向业务的需要,实现不同部门之间的业务隔离,用于满足部门特殊需求。
该区域主要采用私有地址,在骨干网上采取标签进行数据传输。
3互联网接入区:
是各级政务部门通过逻辑隔离手段安全接入互联网的网络区域,满足各级政务部门利用互联网的需要。
在互联网接入区,要求采取综合的安全防护措施,对互联网接入提供安全防护。
按照国家统一的安全策略,分级接入互联网,提供互联网业务服务。
各地政务外网自行出口,采取NAT技术,通过静态路由连接本地互联网。
原则上,国家政务外网骨干网不提供互联网业务路由。
XX市政务外网构建市级政府单位、委办局的互联网安全接入平台,通过数字证书认证和密码技术,实现各级政务部门移动办公的公务人员利用互联网通道,安全接入国家政务外网,访问指定的业务应用系统和政务外网门户。
2.2.2.网络总体架构XX市电子政务外网总体网络架构采用具备高扩展性的双星型架构。
电子政务外网骨干区域包含核心层和汇聚层;核心层采用2台XX网络面向十万兆平台的高性能模块化路由交换机RGS8614设备,作为外网的核心设备;在市政府、金宝花园、光华大厦等六个移动汇聚机房,分别部署2台XX网络面向十万兆平台的高性能模块化路由交换机RGS7806设备,作为外网的汇聚节点;双汇聚设备通过运营商单模裸纤线路,双10G线路上联到两台核心设备;电子政务内网各个政府单位、委办局的接入区域建设,本方案只为需要接入电子政务内网的单位提供1台XX网络模块化路由交换一体化路由设备RSR20-24,接入单位内部网络设计不在该方案设计范围内。
接入路由器RSR20-24通过两台千兆光纤分别上联汇聚交换机,从而构成“双核心双汇聚双链路”的高稳定架构,任何一台核心或任何一台汇聚交换机、甚至任何一根光纤中断服务,网络都会始终保持通畅。
电子政务外网数据中心为XX市各个政务单位、委办部门提供几种的数据存储,考虑到数据中心涉及到的数据将包含审计、公务员信息、各个区学籍信息等重要数据,因此,建议建立数据灾备中心,为数据提供高速、高安全的数据存储;数据中心、数据灾备中心均采用双10G线路与核心互联。
电子政务外网互联网区域主要为外网用户提供互联网访问服务。
出口区域部署2台XX网络万兆平台的专业流量控制设备RGACE3000设备,该设备作为外网流量控制、用户日志、WEB重定向功能;部署2台XX网络万兆专用出口引擎RGNPE60设备,作为各政府单位私有地址到互联网共有地址的NAT转换设备;部署2台XX全千兆防火墙RGwall1600,在出口区域的DMZ区域,部署外网统一门户网站等服务器,为了防止政府网站被恶意篡改的风险,在服务器前端部署XX网络全千兆网站防篡改硬件RGWG3000;出口区域设备与核心采用千兆单模光纤互联。
电子政务外网上联区域,利用XX省统一下发的路由设备,与省信息中心互联,从而连通XX市电子政务外网和省级、国家级电子政务外网。
整体网络架构如下图所示:
2.2.3.网络分层设计XX市电子政务外网案按照自顶向下、分层设计的理念,将XX市电子政务外网划分为:
外网骨干区域、委办单位接入区域、互联网接入区域、数据中心区域、上联区域五个部分,本章节对于电子政务外网的五个主要部分,进行详细介绍。
2.2.3.1.外网骨干区域骨干区域采用XX网络面向十万兆平台的路由交换设备RGS8614和S7806设备作为核心设备和汇聚设备。
核心设备、汇聚设备二三层包转发率为1786Mpps/1190Mpps,性能上完全满足XX市电子政务外网的要求。
安全设计上:
在核心设备RGS8614A/B上分别配臵高性能防火墙模块1块,利用虚拟防火墙技术,隔离来自于各个汇聚节点的网络攻击,保证电子政务外网的整体安全、稳定,避免某个汇聚节点下出现病毒爆发,影响整个园区网络的安全。
此外,核心/汇聚设备需具备先进的安全体系,集成了硬件的CPU保护技术、安全策略自动下发等先进技术,避免了病毒攻击爆发导致设备CPU利用率过高而导致设备宕机的情况,并根据预定策略,对于发生的安全事件进行相关策略下发,确保电子政务外网骨干区域的的高安全、高可靠性。
攻击检测警告安全检测自动下发策略隔离攻击NFPP,基础网络保护策略?
基于网络威胁的安全处理模式?
自动发现并解决安全攻击直观的骨干网络:
核心设备RGS8614A/B配臵IPFIX流量控制板卡,结合XX关键业务运行管理中心RILL系统,可直观的将网络内部流量情况进行图形化的呈现,让网络真正的可感知。
2.2.3.2.委办单位接入区域XX市政府单位以及各委办厅局接入方式较为简单,本次外网方案规划,为每个接入单位提供一台RSR20-24,该设备性能为300Kpps的包转发性能,完全满足一般单位的接入需求;考虑到很多单位已经建成了自己的内部局域网,为了便于接入外网的单位的接入,其内部网络地址不需要重新规划,在出口的路由设备上,进行NAT地址转换,将各个接入单位的私有地址转换为59段地址。
此外,智能交通信息平台系统也将接入XX市电子政务外网,对于该套系统的每个接入点,本次方案设计,将每个路由的高清IP摄像头,作为一个接入单位,通过路由器RSR20-24接入电子政务外网骨干传输网络。
2.2.3.3.上联区域上联区域路由设备为省统一下发设备,该路由设备与核心交换机互连,建议通过在该路由设备上配臵静态路由即可实现XX市电子政务外网与省级、国家级电子政务外网的互联互通;当然,也可以通过对于市级外网OSPF区域的适当调整,未来,将XX市电子政务外网作为省政务外网的一个区域接入,实现互连互通。
2.2.3.4.互联网接入区域互联网出口接入区域是整个电子政务外网各个单位用户访问互联网的统一出口。
电子政务外网出口设备采用全千兆高性能防火墙RGWall1600作为出口的安全隔离设备,隔离互联网和电子政务外网的内部网络;在防火墙的DMZ区域,部署政府统一门户网站,为了保证网站的安全,防止被恶意篡改,门户网站前部署XX网络应用防火墙WG3000。
XXWebGuaRD基于对HTTP/HTTPS流量内容的双向检测分析,识别检测各类Web编码、交互技术、URL参数以及表单输入等,为Web应用提供实时、动态的主动性防护。
防止网页内容被篡改,防止网站数据库内容泄露,防止口令被突破,防止系统管理员权限被窃取,防止网站被挂马和植入病毒、恶意代码、间谍软件等,防止用户输入信息的泄露,防止账号失窃,防SQL注入,防XSS攻击等。
确保Web应用安全的最大化。
互联网接入区域采用专用的万兆出口引擎设备RGNPE60,作为59段地址到互联网公网地址的NAT二次转换设备,此外,该设备具备负载均衡功能,可作为互联网接入区的负载均衡设备。
NPE内部PCLinkchoose=ISP1200ms250ms350ms全路径健康检查,精确判断用户的链路健康状况路由可用性及链路带宽锐捷就近性算法,保证出流量的最优化选择,让用户得到最佳的访问体验确保整个连接的可用性透明Ping到目标设备算法1、带宽+时延+负载算法2、线路带宽占比此外,为了提升政务外网的利用效率,为用户提供便捷,安全的接入服务,建议在出口区域可以部署XX网络全千兆高端IPSec设备,结合XX网络应用安全域方案,用户通过接入电子政务外网后,系统可以根据远程用户的用户名、密码,核实用户身份以及用户访问权限,然后对该用户开放相应权限的资源,而其他资源,不允许其访问,如该用户归属于审计局,则该用户远程拨入后,是归属于审计系统的网络的,只能访问公共资源和审计系统相关资源,从而确保远程接入的安全性。
互联网接入区域详细拓扑结构详见下图:
2.2.3.5.数据中心区域数据中心包含2个部分,一部分为电子政务外网的综合管理平台,一部分为专业的存储设备,对于外网数据进行集中存储。
电子政务的综合管理平台包含了基于业务应用系统的RIIL-BMC关键业务运行管理中心;实现对网络和业务应用系统的集中智能管理,可以让有限的IT运维人员精力和IT预算投入到最关键的资源的维护和保障中,切实降低复杂IT环境的管理难度,更轻松地把握支撑关键业务的网络和系统的运行状态,并不断提升关键业务系统的运行服务质量水平,提升用户满意度。
XX网络RILL-BMC系统,关键业务为单位管理基础IP资源,图形化关联业务系统及其相关的资源池,可根据业务资源对象之间的逻辑依赖关系,生成资源层间依赖视图;可根据拓扑关联和业务逻辑关联关系,进行图形化的事件传播显示。
此外,电子政务外网综合管理平台还包括日志系统和流量管理系统;日志系统主要利用RGACE3000设备和RGElog设备实现。
结合XX认证系统,可实现定位到“何人、使用何帐号、在那个计入设备上、访问了那个具体的URL、访问的校内还是校外资源、访问具体时间、具体流量、PC的IPMAC等详细信息,符合公安部82号令的要求。
电子政务外网综合管理平台还具备丰富的流量控制功能,通过在核心设备RG-S8614上配臵流控控制板卡,利用国际流量监控标准IPFIX(IPFlowInformationExpoRT)技术,实现流量控制功能。
IPFIX多业务模块采用高性能的NP平台,支持万兆业务流量的监控。
结合XX流量分析系统,IPFIX技术可以对对网络中的所有流量进行统计分析和异常检测,输出各种丰富的网络流量分析报表,包括:
流量使用报表、历史报表、接口报表、可解析的主机地址、流量分析、变量显示等信息,能够帮助管理员在网络异常行为发生时快速分析出网络中存在的问题,为网络容量规划、网络应用监控以及故障诊断等提供客观准确的决策依据,实现真正的网络流量可视化。
存储区域部分的存储设备为整个电子政务外网重要数据的集中存储中心,考虑到数据安全,数据中心建立一个灾备中心。
存储区域数据传输设备部分,考虑到服务器数量巨大,如采用盒式设备,需要部署多台,不利于管理,且存在性能瓶颈,因此部署高性能模块化路由交换机XX网络RGS7806两台,提供双10G线路到核心交换机RGS8614,提供高速冗余的物理链路,确保数据中心数据传输的高速、高可靠性。
此外,数据中心两台S7806高性能交换机作为MCE设备,将归属不同部门的服务器通过MPLSVPN技术,与各个部委的VPN网络相对应。
核心设备作为MPLSVPN的PE设备,核心交换机S8614同时兼具路由放射器RR的作用。
考虑到数据中心的安全保障,部署两台XX网络千兆入侵检测设备IDS2000,并配合软件平台,对于网络内的安全事件,进行分析,使数据中心安全事件可感知,为用户提供网络优化的可量化数据依据。
数据中心详细拓扑图下图所示:
2.3.方案详细设计2.3.1.IP地址规划1、IP地址分配原则IP地址的合理规划是网络设计中的重要一环,大型计算机网络必须对地址进行统一规划并得到实施。
IP地址规划的好坏,影响到网络路由协议算法的效率,影响到网络的性能、网络的扩展和网络的管理。
IP地址空间分配,要与网络拓扑层次结构相适应,既要有效地利用地址空间,又要体现出网络的可扩展性和灵活性,同时能满足路由协议的要求,以便于网络中的路由聚类,减少路由器中路由表的长度,减少对路由器CPU、内存的消耗,提高路由算法的效率,加快路由变化的收敛速度,同时还要考虑到网络地址的可管理性。
具体分配时要遵循以下原则:
1)唯一性:
一个IP网络中不能有两个主机采用相同的IP地址。
2)连续性:
简化路由选择,充分利用地址空间,最大限度地实现地址连续性,并兼顾今后网络发展,便于业务管理,提高网络的总体性能。
3)可扩展性:
充分考虑网络未来发展的需求,坚持统一规划、长远考虑、分片分块分配的原则。
地址分配在每一层次上都要留有余量,在网络规模扩大时能保证地址空间汇总所需的连续性。
4)规范性:
严格按照IP地址分配原则进行IP地址的规划及项目实施。
5)标准化和灵活性:
充分利用标准化的无类别域间路由(CIDR)技术和可变长子网掩码(VLSM)技术,合理、高效、充分地使用IP地址空间。
6)层次性:
IP地址划分的层次性应体现出网络结构的层次性。
7)可管理性:
为便于网络设备的统一管理,分配一段独立的IP地址段做网络互连地址和loopback地址。
2、IP地址分配规划本次网络设计IP地址分为3类,第一类是电子政务外网全网可路由的59段公网地址,该类地址作用有二:
其一,为与省、国家级电子政务外网进行业务的互联互通地址;其二,该段地址在整个电子政务外网互联网接入区域设备NPE60上,进行二次NAT转换,转换为互联网公网地址,为各个单位提供互联网接入服务;第二类为智能交通信息平台-320系统专用IP地址,该类地址实现各个路口高清IP摄像头数据与各分级数据中心以及市数据中心互联互通使用;第三类为XX市电子政务网上的各个单位市-区/县两级MPLSVPN内部传输的私有地址。
对于第一类地址,目前,国家电子政务外网统一采用国家信息中心从中国电信申请的公网地址段,已申请的地址段59.192.0.0-59.255.255.255(/10)作为全网通信用地址,其中XX市电子政务外网分配的地址段为5920100/24-5920170/24。
1)XX市IP地址按照市区的二层体系结构分配。
市网地址段包括市信息中心平台地址段和市直厅局系统业务地址段。
其中市信息中心平台地址段包括网络设备管理地址、互联地址和平台地址;区网地址段包括区管理中心平台地址、区直单位系统业务地址。
具体分层结构如下表所示:
地址类型分配IP地址范围备份IP地址范围地址数量市信息管理平台地址段市网网络设备管理地址59.201.0.0/24使用1个C类地址市网网络设备互联地址59.201.1.0/24使用1个C类地址平台地址59.201.2.0/24使用1个C类地址市直厅局系统业务地址段59.201.3.0/24-59.201.4.0/24使用2个C类地址区网地址段59.201.5.0/24备用地址段59.201.6.0/24-59.201.7.0/24备用2个C类地址对于第二类地址-智能交通信息平台-320系统IP地址,建议根据高清IP摄像头的数量,选择10.0.0.0/8、172.16.0.0-172.31.0.0/16、192.168.0.0/24的私有地址,作为该系统的专用地址;该套地址的分配遵循本章的IP地址分配原则,具体IP地址分配,参照59地址的分配详表,此处不详细列出。
对于第三类地址-MPLSVPN内的私有地址,该部分由各个市-区/县两级纵向单位自行规划,该部分IP地址规划,不在本方案设计范围内。
2.3.2.外网详细路由设计对一个大型网络来说,路由协议对网络的稳定高效运行、网络在拓扑变化时的快速收敛、网络带宽的充分有效利用、网络在故障时的快速恢复、网络的灵活扩展具有重要影响;同时对于网络承载业务的控制方面具有重要影响。
路由协议的选择基本遵循以下原则:
1)管理上层次分明,局部的变动不影响上层路由配臵和全局路由配臵。
2)技术上应尽量简单、灵活,以提高路由器的处理效率。
3)能够反映出整个网络的层次结构,并与自治域、各结点子网的IP地址分配相结合,做到合理的路由聚合,减少路由表的长度,减轻路由更新给网络带来的负荷。
XX市政务外网路由器的管理地址和政务外网内部地址的路由由IGP承载;根据国家政务外网的设计原则,XX市政务外网IGP采用标准协议OSPF。
由于XX市政务外网设备数量较多,为了保证整外网的性能,以及区域的管理简洁性,需要对OSPF进行分域规划,考虑到XX市政务外网的实际情况和未来扩容的需要,每个汇聚节点下联单位划分一个子域。
每个汇聚节点的2台汇聚设备RGS7806作为区域边界路由器(ABR),完成汇聚层网络到核心层网络的路由交换和汇总。
OSPF的区域概念是基于路由器接口的,因此将XX市政务外网省本级中心的核心设备RGS8614上的所有接口,以及6个汇聚加点的12台汇聚设备RGS7806的上联口划分到一个AREA0中。
XX市政务外网本级中心所挂接的各种业务划分到AREA1中。
各汇聚节点汇聚交换机以下挂的网络划分到非0区域,区域号码可根据实际情况进行分配,建议AREA号码分配如下表所示:
AREA描述备注0XX市电子政务外网骨干域核心RGS8614A/B所有端口,汇聚RGS7806上联端口1XX市政务外外网本级中心外网中心服务器区、本地局域网等10市政府汇聚节点汇聚S7806下联端口与委办单位接入路由RSR20-24上联端口20金宝花园汇聚节点汇聚S7806下联端口与委办单位接入路由RSR20-24上联端口30光华大厦汇聚节点汇聚S7806下联端口与委办单位接入路由RSR20-24上联端口40应天西路综合楼汇聚节点汇聚S7806下联端口与委办单位接入路由RSR20-24上联端口50虎踞路综合楼汇聚节点汇聚S7806下联端口与委办单位接入路由RSR20-24上联端口60徐庄综合楼汇聚节点汇聚S7806下联端口与委办单位接入路由RSR20-24上联端口2.3.3.与省政务外网对接设计XX市电子政务外网内部采用标准的OSPF路由协议,后期与XX省电子政务外网的互联有多种方式可选。
第一种方式,可选用OSPF与XX省电子政务外网互联互通,但考虑到省级电子政务外网建设时,IGP协议亦采用OSPF协议,因此需要对于XX市电子政务外网的区域进行适当调整,将XX市电子政务外网作为全省电子政务外网的一个OSPF区域接入省级电子政务外网,该种方式调整工作量较大;第二种方式,可通过在上联区域上通过静态路由的方式,将XX市电子政务外网的路由信息重发布到省电子政务外网,该种方式配臵灵活,对于市电子政务外网的改动最小,因此,建议后期采用该种方式,接入省级电子政务外网。
2.3.4.域名规划与管理1、市政务外网分别采用独立的四级域名系统,域名由根域和若干个子域名用“.”连接而成,采用作为XX市网根域名,采用njXX作为各市直部委单位的门户网站的根域名,区县不设域名解析,其web业务归入到所属市直
升级会员 