电子政务外网方案.doc
《电子政务外网方案.doc》由会员分享,可在线阅读,更多相关《电子政务外网方案.doc(45页珍藏版)》请在冰点文库上搜索。
45
XX省电子政务外网
技术建议书
目录
第1章 项目需求分析 5
1.1 XX省电子政务外网平台纵向网络的应用 5
1.2 XX省电子政务外网平台横向网络的应用 6
1.3 XX省电子政务外网平台其他应用 6
1.4 各个部门、地市的接入需求 6
第2章 总体设计原则 8
第3章 网络可靠性设计规划 9
3.1 网络结构可靠性设计 9
3.2 组网设备可靠性设计建议 10
3.3 智能网络管理中心系统 11
第4章 网络规划及总体设计 14
4.1 网络结构设计及设备选型 14
4.1.1 广域网省核心节点 15
4.1.2 广域网地市核心节点 15
4.1.3 中心城域网设计 15
4.1.4 地市城域网设计 16
4.2 网络接入能力设计概述 17
4.2.1 与国家电子政务外网平台的连接 17
4.2.2 与地市电子政务外网的连接 18
4.2.3 横向接入部门的互联互通 18
4.2.4 互联网接入设计 19
第5章 MPLSVPN设计 20
5.1 MPLS/BGPVPN概述 20
5.2 构建XX省电子政务外网MPLSVPN的基本思路 21
5.2.1 XX省电子政务外网VPN方面的主要需求 21
5.2.2 XX省电子政务外网MPLSVPN的主要特点 21
5.2.3 XX省电子政务外网MPLSVPN实施要点 22
5.3 MPLSVPN网络基本设计 23
5.3.1 MPLSVPN网络逻辑结构 23
5.3.2 MPLSVPN路由策略设计要点 23
第6章 IP地址规划建议 25
6.1 IP地址分配原则 25
6.2 XX省电子政务外网平台IP地址规划要点 26
6.3 IP地址分配详细设计 26
6.3.1 对于设备Loopback地址的分配 26
6.3.2 设备间链路地址的分配 27
6.3.3 CE设备网管地址 28
6.3.4 IP地址初步划分如下 28
第7章 路由协议设计 31
7.1 总体路由规划 31
7.2 BGP协议规划 32
7.3 IGP协议规划 33
7.4 MPLSVPN静态、直联路由规划 36
第8章 智能网络管理系统平台 37
8.1 智能管理中心总体建设思想 37
8.2 具体实现需求规划 38
8.2.1 基础资源管理 38
8.2.2 身份与接入管理 40
8.2.3 端点安全准入管理 41
8.2.4 MPLSVPN管理 43
第1章项目需求分析
自1993年以来,以三金工程的启动为标志,我国政府信息化建设取得了长足进步,建设了一批管理信息系统,构建了不同规模的网络体系。
但由于各部门各自建设自己的专网,在网络建设上盲目投资和重复投资多有发生,存在网络利用水平低、安全隐患大、互联互通少等诸多问题。
2002年,中共中央办公厅、国务院办公厅转发了“国家信息化领导小组关于我国电子政务建设指导意见”的通知(中办发[2002]17号文),指出“十五”期间,电子政务建设的主要任务之一就是建设和整合统一的电子政务网络。
电子政务网络由政务内网和政务外网构成,两网之间物理隔离,政务外网与互联网之间逻辑隔离。
政务外网是政府的业务专网,主要运行政务部门面向社会的专业性服务业务和不需在内网上运行的业务,为政务部门的业务系统提供网络、信息、安全等支撑服务,为社会公众提供政务信息服务。
2002年12月,国信办确定国家信息中心作为政务外网的建设单位。
2004年11月,政务外网(一期工程)建设工作正式启动。
目前国家电子政务外网建设工作取得了阶段性成果。
中央级基础网络平台已经基本建成,实现通过专线横向联接国务院16个部委局署,纵向联接32个省、自治区、直辖市、新疆生产建设兵团。
部委业务应用试点工作取得突破,监察部纠风业务应用系统已经正式开通,国务院扶贫办的先期业务应用试点也已进入上线运行的最后准备阶段。
根据国家外网办公室统一规划和XX省网站建设办公室要求,启动XX省政务外网建设。
XX省电子政务外网平台网络系统工程建设的总体规划将完成主要政府部门的横向连接,十七个地市的纵向接入,连通国家外网平台,通过国家、省两级外网平台,连通国家试点16个部委和对应厅局,承载XX省各有关电子政务业务系统。
其中包括经济信息中心、省委、省人大、省政协、各个省直部门以及全省17个地市等。
XX省电子政务外网平台在纵向上能够实现与国家电子政务外网平台、地市电子政务外网网络平台的连接,在横向上能够方便连接省政府组成部门、直属机构、办事机构、事业单位等省直部门,以及横向连接省委、省人大、省政协及中央在皖单位等。
同时,网络必须具备高度的可靠性和稳定性,应具备可伸缩、可管理、可扩展的能力,以应对业务数据的快速增长,满足网络平台平滑升级的要求;
1.1XX省电子政务外网平台纵向网络的应用
XX省电子政务外网平台建立后,各个纵向网络将逐步整合到统一的连接通道。
外网平台既要满足互联互通,又要保证部门纵向系统的相对独立性和现有纵向网络系统的正常运行,应当提供各个部门高速通达、逻辑专用、安全可靠、方便使用的纵向系统虚拟专用网络,支持至少60个省直部门的MPLSVPN需求,并有足够的扩充能力;
1.2XX省电子政务外网平台横向网络的应用
XX省电子政务外网平台建立后,各个联网部门将逐步开展横向电子政务业务。
外网平台既要满足互联互通,又要保证相关部门横向业务系统的相对独立性,应当提供各个横向业务高速通达、逻辑专用、安全可靠、方便使用的横向系统虚拟专用网络,支持省直部门的横向MPLSVPN需求;
1.3XX省电子政务外网平台其他应用
XX省电子政务外网平台建成后,将实现与国家电子政务外网平台的接入,各联网部门能够通过XX省电子政务外网平台方便访问外网平台内部数据中心、外部数据中心和互联网等公共资源;XX省电子政务外网平台还将为各联网部门提供高速统一的互联网接入。
1.4各个部门、地市的接入需求
XX省电子政务外网平台建成后,将满足省政府组成部门、直属机构、办事机构、事业单位等省直部门以及中央在皖单位以及其他部门根据不同要求,以不同带宽、接入方式接入到统一外网平台;
XX省电子政务外网平台核心广域网设备配置能一次性满足不同阶段带宽的需求,初期阶段采用南北双155M环网络方式,连接17个地市,17个地市城域汇聚设备也需做相应考虑。
本规划总体本着先进性、现实性和经济性相统一的原则进行网络设计,使网络具有高性能、高可靠性、高安全性、高可扩展性、标准化和易管理的特点,能灵活地根据用户的需求提供不同网络业务的服务保证,为XX省电子政务相关业务系统提供统一的、优质的网络基础设施平台。
第2章总体设计原则
根据XX省电子政务外网平台现状、需求及网络技术发展的趋势,我们按以下原则设计网络方案:
l高可靠性:
具有很高的容错能力,具有抵御外界环境影响和人为操作失误的能力,保证单点故障不影响整个网络的正常运行。
l高性能:
具有较高的传输带宽,并在高负荷情况下仍然具有较高的吞吐能力和效率,延迟低。
l支持QoS:
能根据业务的要求提供不同等级的服务并保证服务质量,提供拥塞控制,报文分类,流量整形等强大的IPQoS和MPLS QoS功能。
l安全性:
具有保证系统安全,防止系统被人为破坏的能力。
支持AAA认证、ACL、VPN、NAT、路由验证、CHAP、PAP、CA、MD5、DES、3DES、日志等安全功能。
l扩展性:
易于增加新设备、新用户,易于和各种公用网络连接,随系统应用的逐步成熟不断延伸和扩充,充分保护现有投资。
l开放性:
符合开放性规范,方便接入不同厂商的设备和网络产品。
l标准化:
各种协议和接口符合国际标准(IEEE、IETF等)。
l实用性:
具有良好的性能价格比,经济实用,设计方案和设备选型应符合骨干网络信息量大、信息流集中的特点。
l易管理:
一个好的网络系统必须是一个易管理的网络系统,本方案中通过配置网管系统软件对整个网络实施高效的管理。
第3章网络可靠性设计规划
网络系统是电子政务外网平台建设中的重要基础设施平台,该网络系统的设计实施中必须对网络的可靠性进行详尽的考虑和设计。
网络系统的可靠性由两个大部分组成,即承载网络的可靠性和应用系统的可靠性。
应用系统的可靠性主要由服务器、存储设备、应用程序、数据库等的可靠性构成,由上层应用保证;承载网络的可靠性则包括网络拓扑组网结构的可靠性及组网设备可靠性。
下面对XX电力调度数据网中承载网络的可靠性设计进行说明。
XX省电子政务外网承担各种业务应用系统,提供统一的网络平台,其网络可靠性要求很高。
网络系统的可靠性主要体现在以下几个方面:
1、网络结构设计保证网络的可靠性;
2、选配高可靠性的网络设备;
3、完善的网络管理系统确保网络可靠性;
4、选配必要的设备和模块备份。
3.1网络结构可靠性设计
网络组网结构的可靠性,主要是对网络互联通道的备份考虑和设计,通过备份线路及设备的备份,保证任何时刻、任何节点之间都有可达的路由。
1)对于XX省电子政务外网平台网络系统而言,核心层和汇聚层节点之间的链路是网络的主干链路,采用星型拓扑结构。
这种结构的可靠性由核心层节点和汇聚层节点间的设备配置和互连链路的特性决定。
本网络的核心层与汇聚层节点之间采用的双链路连接,实现链路冗余,以提高网络的可靠性。
2)在XX经济信息中心节点采用双核心高端路由设备的配置,提高网络的可靠性,并可实现负载分担。
3)在故障出现的时候,通过传输链路以及动态路由协议等机制,保证网络数据自动迂回切换到其它连通的链路上,保证通信的正常进行。
对于流量超过备份线路带宽承载能力时,可采用QoS等措施保证业务网关注的关键业务得到优先传送或者升级带宽。
3.2组网设备可靠性设计建议
线路的备份主要解决了网络互通路径的问题,而节点设备的可靠则解决网络的有效运转问题。
要保证电子政务网络平台的可靠性,对于核心和汇聚层,必须要选用具备电信级可靠性的网络设备进行组网,才能使网络具有自动恢复能力、降低人工维护工作,达到电信级的可靠运行。
设备的高可靠性从硬件、软件、保护机制等几个方面体现:
1、广域网以及中心城域网核心设备采用全分布式体系结构:
分布式体系结构可以提高组网的物理可靠性,如在城域网环网组网中,每个骨干节点都有多条接口与相邻的节点或本地互联,从路由上提高了可靠性。
如果采用集中式体系,则当节点设备出现故障时,这个节点所有接口都会失效,造成节点所带网络的中断;而采用分布式结构时,这些接口可以分别配置到不同的接口处理板上,这样,无论这台设备的管理单元、交换转发单元,还是单一接口出现故障,都可以保证至少有部分路径是连通的,降低网络中断的危险。
2、关键部件冗余:
采用分布式体系下,对设备的关键部件,如主控管理单元、电源管理等单元等,进行冗余构造配置,保证系统在工作中不会全部失效。
3、实时热备份机制:
在系统软件及硬件的支持下,关键部件在发生故障能自动启动备份系统,而且主备之间的切换要能够实时热倒换,即运行中即使发生设备故障切换也不会对网络业务造成影响。
4、热插拔特性:
核心和汇聚层设备的任意单板需要支持热插拔特性,保证系统出现故障需要维护,或系统需要升级扩展时,不需要停机处理,保证网络的7×24小时不间断运行。
5、冗余电源支持:
冗余电源负载分担及备份供电可保障系统具有可靠的能量源。
6、散热系统:
散热系统使设备长时间运行而不至因为温度过高而出现故障。
冗余风扇等散热装置可以增加设备的无故障运行时间及减少故障发生。
具备这些特性的网络设备是保障数据网高可靠运行的基础,在设计中我们将参照并遵循这些原则,构建高可靠性、高可用性、高可管理性的网络平台。
3.3智能网络管理中心系统
在设计网络管理系统时,应全面考虑网络管理的内容,建设网络管理平台、网络设备管理软件模块、网络故障管理模块、网络流量模块、网络故障告警模块。
通过网络管理系统多种模块的组合,实现对整网设备和安全性等各个方面进行全面的管理,有效地提高网络的安全可靠性。
H3C公司的网络智能管理中心(iMC)产品,基于SOA开放式框架,将网络用户、网络设备和网络业务有机的整合起来,可以有效地解决上述问题的同时实现网络的运营和管理从“网络资源运营”向“信息服务和流程服务”、从“粗放的规模运营和管理”向“精确管理和精益运营”转变。
iMC产品以用户为本,灵活分配资源,迅速响应业务目标的变化,保证整个系统结构可以适应业务扩展、业务变更,进而满足业务流程再造的应用需求:
1、通过平台+组件化设计,平台框架实现了资源的统一管理和访问控制,不同业务独立设计,形成可扩展的组件设计模式,提供业务扩展能力;
2、不同功能组件之间实现融合联动,功能组件不再独立支撑业务,而为客户提供更实用的业务支撑;
3、按照客户所需进行组合装配,通过业务流程完成整个网络管理和运维;
4、基于SOA架构设计,实现资源访问层、业务逻辑层和应用表示层分层实现,每一层可以对外提供接口,具备系统集成能力;
针对电子政务外网的部署现状,iMC主要功能亮点如下:
1、全面的基础网络资源管理
iMC可以对全网资源进行统一部署、管理和调配,除了能够有效的对H3C等各种主流厂商的路由器、交换机、安全、无线、语音等传统网络资源进行管理之外,还可以对存储、服务器、PC、UPS等设备类型进行管理,实现了故障、性能、拓扑、配置等管理内容,成为业务融合联动的基础。
2、网络资源和用户的统一管理
iMC在对网络设备进行管理的基础上,将网络用户一同纳入管理范畴,从网络拓扑图上即可以了解到有哪些用户通过哪些网络设备接入网络,每个用户的上网行为和安全状态都可以实时得到监控和审计。
iMC可以支持LAN、WAN、WLAN、VPN等方式的用户认证接入,实现接入业务的统一、集中管理;同时支持智能卡、证书等强认证功能,支持多种方式的端点准入控制和基于身份的网络服务,实现用户与资源和业务的融合管理。
3、政务外网MPLSVPN管理
政务外网的建设随着承载业务的不断增加和对业务的安全性的要求,MPLSVPN成为实现上述功能不可缺少的技术手段。
然而,MPLSVPN涉及技术多而复杂,增加了网络运营、部署、监控、维护等方面的难度。
H3C公司的管理解决方案“MPLSVPNManager”是基于H3C智能管理中心开发的,采用业界标准的SOA架构,提供融合的资源管理,重整业务流程,实现MPLSVPN业务整个生命周期(规划、部署、监视、审计、优化、重构)的全流程管理。
主要完成如下的功能:
l对MPLSVPN网络业务进行规划、部署以及已有业务的自动还原。
l对MPLSVPN网络资源进行管理,提供对VPN网络的配置优化。
l对MPLSVPN网络性能进行监控和故障关联分析。
l对MPLSVPN网络配置进行变更审计。
l对MPLSVPN网络业务进行端到端的连通性测试。
H3C公司的iMC网络管理中心秉承SOA开放式产品架构,实现了网络用户、网络资源和网络业务的统一管理,可以实现网络设备管理、拓扑自动发现、网络流量分析、网络用户管理及其安全审计、ACL管理、VLAN管理、MPLSVPN管理、EPON管理、无线管理等,是网络管理领域的一大飞跃,同时iMC提供开放式接口,使得政务网络的管理在二次开发方面成为可能。
第4章网络规划及总体设计
4.1网络结构设计及设备选型
XX省政务外网为南北双环网络架构,建设横向连接省直各厅局的局域网,纵向连接全省17个地市政务外网的网络平台,该平台主要由以下部分组成:
省直城域网:
目前一建成省直城域网,实现100M光纤与省直大部分厅局的互联,支持相关政府部门的专网接入。
政务外网广域骨干网:
构建政务外网广域骨干网,实现省与17个地市的互联。
(合肥市通过省直城域网接入)
地市政务外网:
全省17个市根据自身情况,按照统一标准规范,建设国家政务外网地市节点,实现和政务外网广域骨干网对接。
XX省电子政务外网广域网组网图如下:
本期工程主要建设城域网和广域网。
4.1.1广域网省核心节点
广域网核心层节点设在XX经济信息中心。
本方案采用双核心高端万兆路由器方式配置。
广域网2台核心路由器之间采用万兆互联,通过155MPOS方式连接南北两个环网
核心设备通过城域网核心交换机分别与五个汇聚节点设备连接,通过广域网接入十六个地市网络平台。
?
?
4.1.2广域网地市核心节点
除合肥市外17个地市采用广域网链路进行接入,接入方式相同,均采用主链路155M接入,可以考虑备用链路接入。
建议以155MPOS链路作为主链路,以2M×4链路作为备份线路(仅规划)。
4.1.3中心城域网设计
合肥中心城域网负责合肥市电子政务网用户以及省直机关用户的接入,中心城域网设置双核心高端分布式交换机以及五个区域汇聚
中心城域网设计要点:
1、中心城域网负责合肥各厅局的专线接入,传输介质为光纤专线
2、采用三层网络设计架构,分别为城域网核心层,各区域(5个区域)汇聚层,以及各厅局接入点
4.1.4地市城域网设计
十七个地市分别在中心机房采用核心三层交换机以及接入路由器连接已建设完成互联网络。
地市城域网设计要点
1、电子政务外网仅考虑到延伸到地市核心机房
2、分别部署一台核心交换机(PE功能)以及一台接入路由器(NAT以及PE功能),分别对新接入网用户以及已有联网用户的接入
3、建议采用OSPF协议
4、本地仅完成省政务外网的接入,不考虑互联网访问
4.2网络接入能力设计概述
4.2.1与国家电子政务外网平台的连接
XX省电子政务外网建成后将与国家电子政务外网互联互通,确保国家16个试点部委与XX省对应厅局的业务贯通。
在组网上,XX省电子政务外网2台核心路由器将分别通过千兆链路连接国家电子政务外网放置在XX省的接入节点华三NE路由器。
为了实现XX省电子政务外网与国家电子政务外网的互联互通,两个问题必需解决:
一、跨自治域的路由信息交换问题。
因为XX省电子政务外网与国家电子政务外网分别处于不同的自治域内,国家电子政务外网放置在XX省的接入节点路由器是国家电子政务外网的边界路由器,XX省电子政务外网2台核心路由器将做为XX省电子政务外网的边界路由器,故它们之间需要交换不同自治域的路由信息。
目前跨自治域的路由协议最为成熟和应用最为广泛的应属EBGP协议,因此我们建议采用EBGP协议在两个自治域系统边界路由器之间交换路由信息;
二、VPN跨自治域问题。
同样是因为XX省电子政务外网与国家电子政务外网分别处于不同的自治域内,PE设备在不同的自治域内。
要实现纵向VPN从国家到省之间的贯通,必需解决VPN跨自治域的问题。
目前按照RFC2547bis中提出的跨AS自治域实现MPLS/BGPVPN的解决方案主要有三种:
背靠背的VRF到VRF、MP-EBGP、RR间部署多跳的MP-EBGP。
推荐采用RR间部署多跳的MP-EBGP方式。
因RR间部署多跳的MP-EBGP方式具有最佳的扩展性,适合于大规模部署跨AS自治域VPN业务。
4.2.2与地市电子政务外网的连接
XX省电子政务外网在17个地市分别放置1台接入路由器,此路由器上连广域网地市核心路由器,下联将负责与地市已经建设完成互联网的骨干设备进行互联互通,此接入路由器上配置10/100/1000M自适应电接口和地市电子政务外网骨干设备进行互联。
XX省电子政务外网和地市电子政务外网互联互通的主要目的是实现某些部门纵向VPN系统能够从省贯通到市/州甚至到县,实现纵向业务互通。
4.2.3横向接入部门的互联互通
各接入部门除有纵向建立VPN业务的需求之外,还需要横向开展某些业务,实现跨部门的资源和信息共享。
XX省电子政务外网将提供统一的网络平台,实现各个横向VPN业务的高速通达、逻辑隔离、安全可靠。
4.2.4互联网接入设计
原则上互联网各地市分别接入当地ISP,即电子政务广域骨干网不承担互联网流量,中心城域网负责接入省直机关以及合肥市电子政务网用户的互联网统一出口,整体设计拓扑如下:
1、中心城域网核心三层交换机通过防火墙直接接入internet互联网
2、可以考虑增加一台出口路由器(互联网出口路由器),完成对59段地址的NAT转换,相应的在中心城域网三层交换机配置相应的路由访问策略
3、地市互联网访问采用本地接入方式
4、Internet访问外网公共服务器时,防火墙需进行一对一转换,执行静态NAT
第5章MPLSVPN设计
5.1MPLS/BGPVPN概述
MPLS(MultiprotocolLabelSwitching:
多协议标签交换)技术是在开放的通信网上利用定长标签进行数据高速传输和交换的网络新技术。
MPLS技术将第二层交换和第三层的路由技术很好地结合起来,以十分简洁、高效的方式完成信息的传送。
更为重要的是,MPLS使IP网络能提供传统IP网络不能或很难提供的各种增值服务,例如MPLS所提供的VPN服务、流量工程服务、IPQoS服务等。
在MPLS网上实现的无连接的IPVPN,提供了和基于帧中继、ATMPVC的第二层VPN相同安全级别的虚拟专用网,能达到第二层PVC所具有的专有性、安全性和数据传输的高速性,而MPLSVPN的灵活性、扩展性、易管理性和适应性则是当前其他基于PVC或隧道技术的VPN所无法比拟的。
MPLSVPN在第三层路由上对各VPN进行了隔离,无需访问控制列表ACL,各VPN之间都是不可见的,骨干网对于客户网络(某个VPN内部)也是不可见的。
所以,充分保证了在多个业务系统共用IP骨干网情况下的相互有效隔离。
MPLS最初是为服务供应商网络所创立的技术,今天,很多企业或政府机构的网络也需要解决和服务供应商网络类似的需求和问题。
大型企业和政府机构的IP骨干网正从过去低带宽、重复分离的物理网络向宽带化、一体化方向发展,一个高效的、智能的、集成的网络是政府网络发展的方向。
同样地,XX省电子政务外网要能安全、高效地整合各业务专网,同时应对各种公共业务、语音传送、视频服务多业务应用不断增长的需求,这些不同的业务专网和各种应用对于网络的安全性、服务质量要求各不相同,这就要求XX省电子政务外网平台必须能够将它们按照各自的特性和要求正确地传送,提供安全隔离和区别服务。
先进、成熟的MPLS/VPN技术是XX省电子政务外网纵向系统建设的有效解决方案。
5.2构建XX省电子政务外网MPLSVPN的基本思路
5.2.1XX省电子政务外网VPN方面的主要需求
对XX省电子政务外网而言,需要重点实现两个方面的需求:
l.安全隔离:
要保证各业务系统逻辑网络的相对独立性,以满足不同业务系统对安全性、服务质量、管理、拓朴结构的要求;
2.受控互访:
各业务系统之间的流程整合又需要提供相互访问的途径,而且要保证访问的安全性。
5.2.2XX省电子政务外网MPLSVPN的主要特点
MPLS/BGPVPN解决方案可以为XX省电子政务外网平台提供一种基于网络、易于管理、扩充性好、安全且具有QoS保障、可在任意节点间连接的VPN。
1.基于网络,易于管理。
这种基于网络的VPN可以完全由骨干网络来实现,即网络用户(各应用系统)不用关心VPN是如何构造的,而是在网络平台内完成。
2.路由。
需要在各PE节点之间建立IBGP全连接,以交换VPN-IPV4路由。
3.安全性。
由于基于MPLS/BGP实现,报文在网络节点构成的MPLS域中采用标签转发的形式进行交换(LSP),因此具有同ATM/FR虚电路相同的安全级别。
MPLSBGPVPN方案采用VRF实现VPN之间的路由隔
升级会员 