市电子政务网技术方案书.docx

上传人:小飞机 文档编号:1668405 上传时间:2022-12-13 格式:DOCX 页数:79 大小:1.98MB
返回 下载 相关 举报
市电子政务网技术方案书.docx_第1页
第1页 / 共79页
市电子政务网技术方案书.docx_第2页
第2页 / 共79页
市电子政务网技术方案书.docx_第3页
第3页 / 共79页
市电子政务网技术方案书.docx_第4页
第4页 / 共79页
市电子政务网技术方案书.docx_第5页
第5页 / 共79页
点击查看更多>>
资源描述

《市电子政务网技术方案书.docx》由会员分享,可在线阅读,更多相关《市电子政务网技术方案书.docx(79页珍藏版)》请在三一办公上搜索。

1、XX市电子政务网络调整和完善第一次设备采购项目技术方案书XX市电子政务网络调整和完善第一次设备采购项目技术方案书YYYYYYY集团有限公司2006-6方案优势1) YYYYYYY集团有限公司具有强大的技术力量和服务力量 国家信息产业部计算机信息系统集成一级资质 企业信用等级AAA级 涉及国家秘密的计算机信息系统集成资质(甲级) 通过ISO9001:2000质量管理体系认证2) YYYYYYY集团有限公司具有丰富的MPLS VPN实施经验和电子政务网的建设经验 浙江省公安厅二级网MPLS VPN实施 河南网通宽带IP网MPLS VPN实施 河南网通DCN网MPLS VPN实施 浙江网省电子政务M

2、PLS VPN实施 江西省电子政务网MPLS VPN实施3) CISCO公司产品和技术优势 行业标准的制定者和新技术的推进者 业界最佳的产品稳定性 优秀的组播VPN实现技术 MPLS TE技术 CISCO特有的业务分类技术MPLS DS-TE 二层MPLS VPN技术目录1综述42电子政务网络背景及现状63电子政务网络建设目标及原则84电子政务网络需求分析94.1政务内网需求分析94.2政务外网需求分析94.2.1电子政务外网建设目标94.2.2电子政务外网建设需求104.2.3电子政务外网建设规划124.3市政务内网和市政务外网的联网单位174.4现状分析185电子政务网络总体架构205.1

3、基础网络总体架构205.1.1市电子政务内网网络拓扑205.1.2市电子政务外网网络拓扑205.2MPLS VPN技术优势215.2.1MPLS技术215.2.2MPLS支持的路由协议215.3快威实施MPLS VPN技术的优势266XX电子政务网解决方案276.1网络建设原则276.2设计要求306.2.1可靠性和自愈能力306.2.2拥塞控制与服务质量保障316.2.3网络的扩展能力326.2.4网络管理与安全体系326.3XX市电子政务内网建设方案336.3.1网络拓扑336.3.2网络平台设计346.3.3设备选型和配置说明346.4XX市电子政务外网建设方案366.4.1.网络拓扑3

4、66.4.2网络平台设计376.4.3设备选型和配置说明416.5机房分布及单位覆盖436.6光缆距离路由表446.7Internet联网456.7.1网络拓扑466.7.2Internet网络设计466.8网络各节点的接入方式476.8.1市政务内网的接入476.8.2市政务外网的接入486.8.3各委(办、局)的政务外网接入方式。506.8.4各县(市、区)的政务外网接入方式。516.9IP地址规划526.9.1市政务内网526.9.2市政务外网526.9.3承载网设备地址规划526.9.4互联设备IP地址VPN1(PE-CE)规划536.9.5互联设备IP地址VPN2(PE-CE)规划5

5、36.9.6公众服务专网分配原则546.9.7资源共享专网分配原则546.9.8部门业务专网地址规划546.9.9公网IP地址申请546.10域名规划546.10.1政务内网域名规划546.10.2政务外网域名规划567资源规划597.1路由规划597.1.1市电子政务内网路由协议597.1.2市电子政务外网路由协议597.1.3市电子政务外网MPLS VPN部署637.1.4不同自治域MPLS VPN的互通637.2MPLS VPN各专网的规划657.2.1VPN路由转发表657.2.2RD/RT命名667.3设备命名规则678网络安全设计698.1物理环境的安全性698.2网络的安全性69

6、8.3网络攻击的防护手段718.4管理的安全性738.5网络调优748.5.1IGP路由优化748.5.2BGP路由优化748.5.3流量优化748.5.4MPLS-VPN优化758.6设备安全优化768.6.1远程登录telnet 的控制768.6.2通过SSH登陆到CISCO设备768.6.3网管SNMP的安全性768.6.4console的控制778.6.5关闭不需要的服务778.6.6Spantree的优化788.6.7设备“广播风暴”的抑制781 综述非常荣幸能有机会参与XX市电子政务网络系统建设项目的投标活动,感谢XX网通和XX市政府给予我公司的机会。在此衷心希望我公司的综合能力能

7、够满足XX市电子政务网络建设的需求,并希望能够与XX网通和XX市政府信息中心一起将先进技术综合并付诸实现,确保项目的成功实施。本项目包括软硬件平台的设计、安装、调试、试运行,我公司提供以上服务外,还提供设备初验后3年的设备保修。关于所涉及的硬、软件平台的架构已在技术方案相关章节中详细阐述。所设计的技术方案能满足本系统运行的需求。我们期待在本项目中,通过与甲方和各相关公司的密切配合,在相关设备原厂商对本项目的直接支持下,充分发挥公司的系统集成实力和本地支持优势:1.公司优势:本公司是以计算机行业应用软件开发和应用系统集成为主要发展方向的高科技企业。在多年的集成实践中积累了丰富的集成经验,同时有着

8、雄厚的经济实力,获得国家信息产业部计算机信息系统集成一级资质,企业信用等级AAA级,涉及国家秘密的计算机信息系统集成资质(甲级),通过ISO9001:2000质量管理体系认证,自1992年公司创办至今历年的公司业绩均呈上升态势,能够为用户提供长期稳定的技术支持,为本项目的实施提供了可靠的保障。2.经验优势:本公司成功实施过多个大型电子政务系统的网络平台,包括浙江省电子政务网、江西省电子政务网、云南省电子政务网等,具备大型省级电子政务网方面的实施经验,并以良好的维护服务获得用户的好评。3.本地优势:本公司总部设在XX,使我公司人员能够及时到达甲方现场,可提供最快的服务响应时间。4.资源优势:本公

9、司是Cisco公司金牌代理集成商(全球金牌合作伙伴),IBM公司区域战略联盟、EMC公司的合作伙伴、公司拥20名以上的经过认证的CCIE工程师,及其它四十几名不同级别的认证工程师。公司先后建立了技术支持中心、实验室、设备备件库。按照质量管理体系规范标准建立了一套科学的计算机系统设计、实施、技术支持及服务的操作流程。上述这些丰富的技术和服务资源可以为本项目成功的实施和运行维护上提供可靠的保障。5.服务优势:本公司以战略的高度重视客户对服务的不同需要和满意度。因此开发一系列符合客户需要的服务。这些服务能完整地支持客户系统的整个生命周期,包括:供货及保修服务、项目实施及升级服务、系统维护服务、培训服

10、务、技术咨询服务。6.MPLS VPN实施优势:本公司始终认为:对于任何一个项目,从方案的设计到项目的实施,整个项目获得成功的关键就是有关各方的相互交流和沟通。这种交流和沟通将始终贯穿于整个项目的执行过程当中,其中包括集成商、设备厂商在内的各有关方面的交流。本方案集中我公司的上述优势,针对贵方的招标要求进行了系统、详细的设计,提供了完整的技术解决方案。我们坚信:“只有客户项目的成功才有我们的事业发展”。此次递交技术方案是希望能够有机会与XX网通和XX市政府合作,共同建设好XX市电子政务网络项目。2 电子政务网络背景及现状随着全球信息化的发展和我国信息化进程的加快,政府信息化作为国家信息化的龙头

11、,在提高政府行政质量和效率以及科学决策及宏观调控能力上初显威力,电子政务已成为各级政府推动行政创新、政务公开等方面的具体举措,建立电子政府,推动电子政务的发展,已成为一种世界性的潮流和趋势。2002年中央办公厅、国务院办公厅下发了国家信息化领导小组关于我国电子政务建设指导意见(中办发200217号),明确规定了国家统一电子政务平台分为政务外网和政务内网。2003年中央办公厅、国务院办公厅又下发了国家信息化领导小组关于加强信息安全保障工作的意见(中办发200327号)。国家电子政务外网一期工程第一阶段的建设任务计划到2005年年底也将完成。2003年,根据中办17号文件精神,浙江省人民政府办公厅

12、下发了关于建设省电子政务网络平台的通知(浙政办函200388号),成为浙江省建设电子政务统一网络平台的指导性文件。2005年10月浙江省人民政府办公厅又下发了关于印发浙江省电子政务网络技术规范的通知(浙政办发200595号),成为浙江省各地市建设电子政务网络平台的指导性文件。XX市电子政务内网目前仅是局域网范畴,联网范围局限在市政府办公厅少数业务处室,向上通过专线和省政务内网互联互通。1997年,根据“两办”关于建立XX市党政机关计算机通信网(市委办199681号)要求,市政府办公厅组建了涵盖市级各单位和各区、县(市)党委、政府的XX市党政机关计算机通信网,并于2001年完成了通讯方式由电话拨

13、号向宽带网络的过渡(主要是利用运营商的VPN)。2003年,根据浙江省人民政府办公厅关于建设省电子政务网络平台的通知(浙政办函200388号)精神,市政府办公厅对XX市党政机关计算机通信网按照政务外网的要求进行了升级改造,重新架构了XX市电子政务外网平台。2004年,为了充分发挥XX市电子政务网络平台的作用,实现政府各部门的网络互连互通和信息资源共享,避免重复建设,市政府办公厅下发了关于统一全市电子政务网络平台的通知(杭政办函200426号) ,要求市政府各部门、各直属单位面向社会的专业性服务业务和不需在政务内网上运行的业务系统必须统一运行在市政务外网上。目前,市政务外网联接市级各部门和区、县

14、(市)约180家单位,按照市政府办公厅的要求,已有市党政机关办公业务资源系统、12345交办反馈系统、工商前置并联审批系统、会计集中结算系统、市投资项目审批综合信息系统等多个业务应用运行在统一的政务外网上。另外,市政务外网通过联接6个主城区的通信线路,已经实现与城区街道、社区的联网,如市民政局的“XX市帮扶救助管理信息系统”已经利用市政务外网部署到了所有社区。2005年,根据XX市电子政务建设实施纲要(2005年-2006年)(以杭政函200569号下发)的要求,市政府办公厅正在牵头组织完善XX市电子政务网络平台。但是,随着各部门信息化建设的深入开展,各部门各自为政、网络重复建设的问题也日趋凸

15、现,据2004年底的不完全统计,全市各部门共有31张各类专网、1400余个接入点,重复建设、网络不能互联互通、信息资源不能共享的矛盾还是比较突出;另外,政务内网也迫切需要按照国家和省政府的要求做进一步扩展深伸。3 电子政务网络建设目标及原则根据浙江省人民政府办公厅关于建设省电子政务网络平台的通知(浙政办函200388号)和浙江省电子政务网络技术规范的要求。确定XX市政府电子政务网络平台的总体建设目标是:一是建成符合国家保密要求的安全电子政务网络外网平台,连接市、区(县、市)二级党委、人大、政府、政协、检察、法院职能部门系统,以及因工作需要接入的企事业单位;该网络平台支持数据、语音和视频业务,传

16、输性能满足业务需求,具备网络管理和信息交换等各项功能,实现跨部门、跨地区的业务互联。二是按照国家、省对电子政务内网的要求,并结合XX实际建设符合国家保密要求的安全电子政务网络内网平台。三是将运行在原市电子政务外网平台和各类其它网络平台上的业务分别迁移到市电子政务内、外网平台上。市电子政务网络设计遵循以下原则: 实用性。保证网络结构和网络运行的稳定性,避免纯技术、纯理论化的设计。 标准性。采用国家电子政务网络建设的标准,保障网络的互连互通。 扩展性。适应电子政务应用需求,具有灵活的扩展能力。 可管理性。易于管理、维护,明确网络分级管理与维护的责任。4 电子政务网络需求分析4.1 政务内网需求分析

17、XX市政务内网应能满足市和县(市、区)二级党委、人大、政府、政协及应需接入的单位传送涉密电子公文、传送不适合通过政务外网传输的信息。在延续“小内网、大外网”的思路的前提下,根据省政府办公厅要求,适当拓展政务内网接入范围,拟将政务内网接入延伸到各区、县(市)。市级各部门结合实际应用,按需接入。政务内网要求配备核心密码设备或普通密码设备以满足国家保密要求。4.2 政务外网需求分析XX市政务外网是XX市政府部门的业务专网和资源共享专网,凡不需要在政务内网上运行的业务系统可接入政务外网;政务外网同时对因特网公众提供服务。在政务外网上采用上MPLS(多协议标签交换)技术,提供VPN(虚拟专用网)服务。政

18、务外网具有两个基本虚拟专网,即资源共享专网和公众服务专网;此外,有VPN组网需求的单位可以申请开通本系统的纵向业务专网,跨部门业务应用牵头部门也可以申请开通跨部门的横向业务专网。资源共享专网是各单位实现信息共享与交换的网络,不允许因特网公众访问。公众服务专网对因特网公众提供服务,放置门户网站和邮件等服务器,通过网络安全系统与因特网逻辑相连,允许因特网主动访问公众服务专网的服务资源,一般不允许公众服务专网访问因特网。部门业务专网是各单位在政务外网上利用MPLS VPN技术,连接本系统内部省、市、县(市、区)相关部门的纵向业务网络或者连接跨部门应用的横向数据交换网络。4.2.1 电子政务外网建设目

19、标根据浙江省人民政府办公厅关于建设省电子政务网络平台的通知(浙政办函200388号)和浙江省人们政府办公厅关于印发浙江省电子政务网络技术规范的通知(浙政办发200595号)的要求。确定XX市电子政务网络平台的建设主要目标包括:(1) 建成符合国家保密要求的安全电子政务网络外网平台,连接市、县(市、(2) 区)二级党委、人大、政府、政协、检察、法院职能部门系统,以及因工作需要接入的企事业单位;该网络平台支持数据、语音和视频业务,传输性能满足业务需求,具备网络管理和信息交换等各项功能,实现跨部门、跨地区的业务互联。(3) 2建立市政务外网移动办公系统。(4) 3保证现有设备和投资的充分利用。4.2

20、.2 电子政务外网建设需求4.2.2.1 业务需求政务外网应满足业务应用系统需求,如网络视频会议系统、IP语音电话系统、应急联动系统、网上联合审批系统、办公业务系统、政务公开系统、电子邮件系统、信息采集和发布系统、党政机关门户网站、建议提案系统、公众选举系统、政策法规查询系统 以及各个部门的应用系统等。随着网络建设和应用的开展,市党政机关还会有新的业务系统融入到政务外网中。4.2.2.2 .功能需求XX市电子政务外网应提供如下的功能:1) 公众服务功能XX市电子政务外网建设的根本目的是为了提高行政效率,降低行政成本,改进政府管理,更好的为人民群众服务。XX市电子政务外网将党政机关各部门紧密联系

21、在一起,实现网上联合办公,为实现高效、自动的政府办公环境、建设电子公务大厅系统提供了强有力的保障。XX市电子政务外网是党政机关提供公共服务的窗口,是社会各级企事业单位、广大用户与政府沟通的桥梁,它将政府和人民群众紧密结合在一起。应当采取多种接入方式方便社会公众服务,为公众提供更广泛便捷的信息服务。2) 网络互联互通功能 XX市电子政务外网的应用分布在各级党政机关,同时,全市各级党政机关局域网和业务专网的建设是在一个较长时期内按照各自的规划、建设目标、功能需求、投资强度和技术现状等因素分阶段逐步实现的。这样就造成了条块分割,网络不能互联互通,资源不能共享等问题。为实现政务外网作为一个整体来提供服

22、务,在全市政务外网建设中,迫切需要网络系统、数据库系统和应用系统的互联互通。3) 信息共享功能在我市各级党政机关的业务应用系统建设中,由于缺乏统一规划,所建纵向网络和应用系统大都是以行政系统为背景和依托的,各部门按照各自的规范、标准、需求构建不同的业务应用系统。各应用系统中信息的种类和数据存储格式差异很大,内部之间和各应用系统之间信息共享程度低。XX市电子政务外网为各级党政机关的业务应用系统提供了一个统一的平台,同时将新建的例如政务公开系统、网上联合办公系统等新业务系统加入到此平台中,更好的为社会公众服务。因此,在全市政务外网应用系统建设中,应提供标准的、统一的信息表示和传输方式,提供一个基础

23、信息交换平台,使信息在系统内有序流动,实现政务外网各级信息系统之间、政务外网与社会公众之间的互联互通和信息资源共享。4) 信息资源交换功能政务外网和内网是全市电子政务的基础性平台,为保证政府对全社会的服务和管理,以及为各级党政机关提供宏观决策数据。政务外网负责基础性数据的采集,当数据达到一定规模时,通过物理手段将数据转移到内网,为各级领导提供决策支持;内网又将政府的通知和决定及时在政务外网上发布。5) 安全防护功能XX市电子政务外网建设过程中,既要满足社会公众访问的方便、灵活,具备可扩展性,又要保证公共业务系统、部门业务系统安全可靠的运行。当前,在党政机关的网络建设中,安全措施滞后,保障水平参

24、差不齐。在利用现有网络资源整合和构建全市政务外网时,在物理层、网络层、应用层、网络管理层都会存在安全风险。因此,在全市政务外网建设中,应采取切实可行的安全保障措施,构建合理、完善的安全保障体系,在网络安全、网络性能、信息安全等多方面进行考虑,确保全市政务外网安全可靠的运行。6) 网络管理功能XX市电子政务外网是一个覆盖全市各级党政机关的庞大、复杂的互联网络,涉及到的设备种类、数量大,管理的范围层次不尽相同。因此,迫切需要建立统一的网络管理平台,能够集成第三方的设备及网络管理系统,实现设备和网络的性能管理、拓扑管理、事件管理、安全管理、统计管理、配置管理、分权管理、分布管理和故障管理,从而提高网

25、络的可管理性和可维护性,保证全市政务外网的正常运行。4.2.3 电子政务外网建设规划XX市电子政务外网整体规划遵照浙江省电子政务网络技术规范的要求并结合电子政务网络的实际情况而制定。XX市电子政务外网的体系结构如图所示:应用层网上办公、网上审批等外网门户网站各部门业务应用系统其他应用系统网络管理系统安全保障体系支撑层数据库管理电子邮件系统域名管理系统WEB服务系统目录管理系统信息交换系统操作系统服务器系统基础层网络平台光纤、城域网电子政务外网的总体体系结构分为基础层、支撑层和应用层。基础层指政务外网的网络设备和传输链路;支撑层包括操作系统、服务器系统和应用系统支撑环境;应用层包括网上办公与网上

26、审批、外网门户网站和各部门业务应用系统等,其他一些应用系统则直接运行在网络平台上。网络管理系统和安全保障体系保证全网的网络管理和安全可靠运行。4.2.3.1 网络情况及组网描述国际互联网:简称互联网,也称因特网。电子政务外网(以下简称政务外网):是政府部门的业务专网和资源共享专网,凡不需要在政务内网上运行的业务系统可接入政务外网;政务外网同时对互联网公众提供服务。在政务外网上采用上MPLS(多协议标签交换)技术,提供VPN(虚拟专用网)服务。政务外网具有两个基本虚拟专网,即资源共享专网和公众服务专网;此外,有VPN组网需求的单位还可以申请开通本部门的纵向部门业务专网。资源共享专网是各单位实现信

27、息共享与交换的网络,不允许互联网公众访问。公众服务专网对互联网公众提供服务,放置门户网站和邮件等服务器,通过网络安全保障系统与互联网逻辑连接,允许互联网主动访问公众服务专网的服务资源,一般不允许公众服务专网访问互联网(特殊服务除外,比如系统补丁在线升级服务等)。部门业务专网是指在政务外网上利用MPLS VPN技术,连接本系统内部省、市、县(市、区)相关部门的纵向业务网络。如图所示:4.2.3.2 网络接入范围政务外网连接范围:市政府工作部门,各直属单位,区、县、市,以及有需要接入的相关企事业单位。各直属单位的下级机构接入到政务外网,必须报区党政信息中心审批,并报市政府办公厅信息中心备案。4.2

28、.3.3 各网络定义及互联根据浙江省电子政务网络技术规范,电子政务网包括电子政务内网和电子政务外网,各网络间关系如下: 政务内网和政务外网:政务内网与政务外网之间物理隔离。 政务内网和互联网:政务内网和互联网物理隔离。 政务外网和互联网:政务外网通过防火墙、入侵检测、安全审计和病毒防护等网络安全设备与互联网逻辑隔离。通过政务外网可访问互联网,政务外网的公众服务专网可供互联网用户访问。4.2.3.4 电子政务外网与互联网4.2.3.4.1 政务外网资源共享专网和互联网政务外网资源共享专网设立互联网统一出口,接入外网的各级单位通过统一出口访问互联网。资源共享专网在防火墙、病毒防护等安全系统的保护下

29、访问互联网。如图所示:因特网公众禁止访问资源共享专网。但对于因特网上的 政府移动办公用户,可以采用 IPSec 和 Remote Access to MPLS VPN 相结合的技术,从 Internet 进行 VPDN(Virtual Private Dialup Networks 虚拟专用拨号网)拨号进入资源共享专网或 者部门业务专网,从而访问省政务外网的资源。如图 所示:4.2.3.4.2 电子政务外网公众服务专网和互联网在电子政务外网上划分公众服务专网后,各单位对因特网公众提供服务的服务器可以在本单位内按照技术规范正确部署,也可以由区政府统一部署在区政府信息中心机房。公众服务专网在电子政

30、务外网的核心路由器上有独立出口,基本的安全策略由核心出口处统一实施部署,各单位的防火墙实现更详细的访问策略,控制该区域服务器与因特网实现有限访问。允许因特网主动访问公众服务专网的服务 资源;一般不允许公众服务专网访问因特网,服务器软件更新、补丁升级除外。公众服务专网和因特网的访问关系如图所示:4.2.3.4.3 电子政务外网部门业务专网和因特网部门业务专网通过各各单位市局统一部署的网闸和资源共享专网实现有效隔离,并通过资源共享专网完成到因特网的信息交换。如图所示:4.2.3.4.4 电子政务外网各专网及因特网综合资源共享专网、部门业务专网、公众服务专网和互联网的描述,以上网络之间的关系如下:4

31、.3 市政务内网和市政务外网的联网单位(1) 市政务内网联网单位在延续“小内网、大外网”思路下,市政务内网接入延伸到各区、县(市)。市级各部门结合实际应用,按需接入。(2) 市政务外网联网单位市政务外网连接市级各单位,各区、县(市),以及因工作需要接入的单位。(3) 联网单位分析目前有联网需求单位共199家。其中有政务外网联网需求有134家(包括郊县区县市政府及大楼内局域网31家单位);政务内网联网需求有95家;机要网联网需求有56家;会计结算联网需求有88家;同时有政务内网、政务外网需求有94家。同时结合原有的利用的运营商城域网资源构建的包括127家单位在内的党政专网MPLS VPN的资源,

32、本着经济性、科学性、合理性的原则,充分利用原有的投资资源,完善、调整现有的资源,确定利用运营商的链路及机房资源为基础,通过自有设备的架设,构建一张符合浙江省电子政务网络技术规范要求的XX市电子政务网平台。根据目前通过运营商的城域网构建MPLS VPN的联网单位的连接机房,信息表如下所示:机房接入点局域网接入点局域网大楼1142431市政府大楼38437284896113122133151201231合计96314.4 现状分析目前XX市政务网平台共有连接单位有190家左右,分别采用了局域网(市政府大楼内)、100M MPLS VPN、10M MPLS VPN、拨号、裸光纤等等方式连接至政务网;

33、其中利用XX网通信息港的城域网的MPLS 构建电子政务网平台的主体,共有120多家单位承载在该网络平台,其余的单位采用拨号等等。利用XX网通城域网构建的党政专网,囊括了120多家党政机关、政府部门,全部利用XX城域网基于IP的MPLS技术构建的党政专网VPN。所有单位均奉行就近接入的原则连接至运营商的就近机房;所有单位均利用单独的光纤链路作为承载网的基础链路;同时通过光电收发器实现长距离的信号传输及光电信号转换;绝大部分单位采用PE-CE的方式,用路由器作为CE设备构建党政专网MPLS VPN链路,部分单位采用交换机方式(PE-SW)连接,利用运营商的PE设备,利用运营商PE设备的子接口作为C

34、E实现MPLS VPN;90的单位的VPN带宽为100M,部分单位为10M接入。5 电子政务网络总体架构5.1 基础网络总体架构5.1.1 市电子政务内网网络拓扑市政务内网以租用运营商MSTP线路为主,电话线路为辅,在此基础上组建TCP/IP网络。13个区、县(市)和按需接入的市级部门以最小带宽2M接入(根据应用需求扩展带宽),市政府核心点接入带宽暂定10M(根据应用需求扩展带宽),业务量不大单位采用拨号方式接入市电子政务内网。市政府核心点配置核心交换机(具有PE功能),方便管理,适应日后网络拓展。市政务内网解决方案详见第六章。5.1.2 市电子政务外网网络拓扑市政务外网以租用运营商裸光纤组建

35、IP城域网为主,租用运营商MSTP传输网为辅。1) 城域骨干网:租用运营商裸光纤,组建IP城域网。XX市内主城区设3个骨干节点,配置PE设备,环路带宽10G。其中2个节点设在运营商机房,1个节点设在市政府信息中心机房。主城区另设11个汇聚节点,配置具备MCE功能的三层交换机设备,用于汇聚各单位的网络。2) 广域骨干网:租用运营商MSTP传输线路,到7个区、县(市)(主城区除外),带宽初定10M,根据需要扩展。3) 接入网:租用运营商裸光纤至各联网单位,在各单位配置接入交换机,接入带宽按照100M设计,接入交换机的各端口配置不同的VLAN对应相应的VPN。市政务外网解决方案详见第六章。5.2 M

36、PLS VPN技术优势5.2.1 MPLS技术MPLS技术是一种在开放的通信网上利用定长标签引导数据高速传输和交换的网络新技术。它是独立于链路层和物理层的技术,能保证各种各样的网络互联互通,使得各种不同的网络数据传输技术在同一个MPLS平台上统一起来。MPLS的主要优点在于减少了网络的复杂性,兼容了现有各种主流网络技术,大幅度降低了组网成本;在向用户提供IP业务时能确保QoS和安全性。MPLS不但支持流量工程,并且也是当前最有前景的支持VPN实现的技术。MPLS技术的成功之处在于它在无连接的IP网络中引入了面向连接的机制,通过一个短的、固定长度的称为“标签”的标识符,利用标签机制转发分组。其核

37、心思想是:边缘的路由,核心的交换。MPLS/VPN的实现过程:客户的边界路由器CE连接到MPLS的PE路由器,通过MPLS内部创建的VPN,客户的数据被封装并透明地传送到其它的CE路由器。CE路由器向VPN广播包含它下属节点的所有设备的路由表。一个MPLS/VPN网络由一些分离的站点组成,这些站点通过MPLS服务提供商的骨干网络互联。在每一个站点有一个或多个CE路由器,每个CE连接一个或多个PE路由器。相关联的PE之间使用MP-BGP(Border Gateway Protocol-Multiprotocol)协议通信。VPN的IP地址范围独立定义,任意两个VPN的IP地址集可以有重叠。在同一

38、个VPN专网中使用的IP地址必须是一个单独地址集。每个CE与它直接相连的PE路由可达。另外,在所有VPN中的PE路由器的IP地址不能重复。5.2.2 MPLS支持的路由协议MPLS内部(PC-PC、PC-PE或PE-PE之间)的路由通过标准的第三层路由协议来实现,如:OSPF、BGP等。第三层路由协议维护的信息将用于给相邻节点分配标签。MPLS与用户之间(PE与CE之间)的路由协议可以是:OSPF、IS-IS、RIP、BGP或静态路由。MPLS骨干网内部的路由协议,即PE-P-PE的IGP路由协议可以是OSPF或IS-IS。为传送用户VPN的路由信息,在对应的PE之间使用MP-BGP路由协议。

39、从用户的观点看,虽然要穿过服务提供商管理的VPN通道,但用户看到的是CE之间直接互联,并通过CE将每一个站点的用户内部路由器连接起来。服务提供商的MPLS网络对用户是透明的,看不到内部的结构,也看不到MPLS网内部传输的路由。从服务提供商的角度看,其MPLS网络与用户网络比较是非常不同的。每个用户只有一个VPN,而一个服务提供商可以有多个VPN。服务提供商只能管理每个VPN在MPLS骨干网中的通道,它看不到由VPN组成的专网的内部结构。PE路由器分别为每个VPN维护一张路由表,表中有其直接相连的VPN站点的路由信息,并且与相应VPN相关的PE之间交换这些路由信息。5.2.2.1 MPLS VP

40、N 同VLAN接入映射在各个接入节点,为节省PE路由器的接入端口和线路,同时又保障可以实现多个VPN专网接入MPLS,我们建议通过2层交换机作为VPN专网接入的物理设备。2层交换机通过Trunk与PE路由器连接。在2层交换机上为接入的不同VPN专网划分不同的VLAN,通过VLAN接入不同的VPN专网。在MPLS的PE路由器上,不同的VPN通道穿过Trunk与2层交换机上的VLAN连通。在XX市电子政务外网中MPLS/VPN对应VLAN的实现机制如下图所示:通过Trunk(802.1Q)将不同VLAN映射到不同的MPLS VPN中来实现不同的VPN专网接入。VLAN规划为加强网络管理的系统性,便

41、于对用户的管理与维护,增加用户的安全性,需进行VLAN的划分。对于VLAN的划分,我们建议,VLAN编号以Site基准,即VLAN号在一个Site内是唯一的,并且,统一的VLAN编号法有助于消除歧意和有助于排错。建议VLAN划分如下: VLAN1-VLAN99,用于设备管理或保留; VLAN100-VLAN299,用于资源共享专网; VLAN300-VLAN399,用于公共服务专网; VLAN400-VLAN499,用于业务专网; 其余VLAN保留;5.2.2.2 MPLS/VPN优势在XX电子政务外网建设中,XX市不同的政府部门之间业务承载在同一张物理网络之上,出于安全性的考虑,必须采用技术

42、手段进行安全隔离,而不同部门之间的部分资源又需要进行受控互访进行共享,所以隔离和互访是政务网建设中的必然需求。目前业界主要的隔离与互访技术主要包括MPLS VPN、传统的VLAN+ACL、IP TUNNEL VPN技术,ACL+VLAN方式可以实现隔离、受控互访,部门之间的隔离采用VLAN方式,受控互访采用ACL进行控制,但每增加一个新的VLAN或是业务系统都要对以前所有业务系统的配置进行修改,可扩展性和维护性较差。在灵活性、QOS等方面,VPN方式也明显优于ACL+VLAN,所以建议在政务网中采用VPN技术。当然VPN技术又主要分为IP Tunnel VPN和MPLS VPN技术,IP Tu

43、nnel VPN同样是每增加一个节点,都需要修改原有的N个节点的配置。所以,采用IP Tunnel VPN组建的VPN也存在严重的可扩展性问题,当网络规模扩大时,隧道的建立及维护难度急剧增大,相应的,对设备的性能压力也急剧增大。如果考虑VPN之间的互通,这复杂度更大,所以,IP Tunnel VPN只适合于组建规模有限,拓扑简单的VPN。MPLS VPN是采用自动建立LSP(标签转发隧道)实现VPN报文在共网中的转发,采用MP-BGP协议实现VPN私网路由信息的扩散。从而大大减少了单个节点的配置工作量,MPLS VPN便于维护。同时,不同于IP Tunnel VPN中VPN的隔离依靠手工配置实

44、现,由于采用了动态协议实现VPN隧道(即LSP)的建立及VPN私网路由的扩散,在增加新的节点时,不需要对原有节点的配置进行修改。所以,相对于其他VPN技术,采用MPLS技术组建的VPN具有更好的可维护性及可扩展性,MPLS VPN更适合于组建较大规模的复杂的VPN网络,MPLS VPN的这些优点已经是它成为政务网上IP VPN的主流技术。所以在XX电子政务外网的规划过程中,结合网络可扩展、维护等方面的考虑,建议采用MPLS VPN技术实现在一个电子政务平台之上,承载多个系统业务,并实现安全隔离。5.3 快威实施MPLS VPN技术的优势快威科技具有丰富的规划、实施大型MPLS VPN的技术实力

45、和经验积累。先后成功规划和实施了江西省电子政务网MPLS VPN、浙江省电子政务网浙、XX市数字城管MPLS VPN网络、浙江省公安厅二级网MPLS VPN、河南网通宽带IP网和DCN网MPLS VPN的规划和实施。6 XX电子政务网解决方案6.1 网络建设原则根据XX市电子政务网项目的具体情况,在系统设计中应遵循以下原则:u 标准化及开放性采用的设备应符合国际通用标准,任何一台设备都可用符合该标准的其他厂家的设备所替换;开放的网络可以让用户自由地选择不同厂家的产品,不受原有厂家的限制。最大程度地保护用户的利益。要求网络的设计一定要基于国际标准,使用标准的通信协议。让不同厂家的设备能够在同一个

46、网络上同时运行;规划设计以及采用的设备应是开放的,应能够保证其他厂家设备的接入;在一个复杂的大型网络系统里,必然共存着多个厂商的硬件和软件产品。网络系统的目标就是要通过不同厂商的硬件设备和计算机软件的互联,从而实现网络信息及设备资源的共享。为了保证用户的网络系统具有互操作性、可用性、可靠性、可扩充性、可管理性,应建立一个开放的,遵循国际标准的网络系统。u 可扩展性规划设计以及采用的设备应具有一定的可扩展性,网络设计应保证节点级的扩展,以及满足其它生产应用接入对网络的需求;随着网络用户应用规模的不断扩大,要求网络能方便地扩充容量,支持更多的用户和应用。随着通信技术的不断发展,网络要能平滑地过渡到新的技术和设备,保护用户现有投资。由于企业内部管理系统和对外业务的不断发展,网络系统必然随之不断扩大。因此,目前的网络设计必须为今后的扩充留有足够的余地,这样才能最好地保护投资。除单个设备本身的扩展能力之外,在网络系统的设计过程中,还需要考虑整个网络系统在未来几年的扩容能力和扩容办法。这样才能既照顾到目前的应用需求,又能满足今后整个计算机系统的发展需要u 安全性安全在这里的含义不仅

展开阅读全文
相关资源
猜你喜欢
相关搜索
资源标签

当前位置:首页 > 生活休闲 > 在线阅读


备案号:宁ICP备20000045号-2

经营许可证:宁B2-20210002

宁公网安备 64010402000987号