第二章 政务外网网络建设方案
2.1. 总体设计方案
2.1.1. 组网原则
按照国家信息中心、XX省信息中心下发的电子政务外网建设相关技术规范,结合基于对国家电子政务外网项目的理解,在本次网络设计时遵循以下基本建网原则:
1、网络设计标准化
本项目网络设计所采用的组网技术和设备应符合国际标准、国家标准和业界标准,为网络系统的扩展升级及与其他网络系统的互联提供基础。
2、组网技术的先进性和成熟性
本项目网络建设应适应网络自身的发展特点及网络通信技术的更新换代,在网络结构设计、网络配臵、网络管理方式等方面应具有一定的先进性和前瞻性,同时又是成熟、实用的技术,尽量避免技术风险。
3、高度的网络安全性
提供完备的安全防护策略,能防止对网络资源的非法访问,保护网络使用者的合法利益。 4、高度的网络可靠性
网络设计应能有效地避免单点故障(设备、线路),在设备的选择和关键设备互连时,应提供充分的冗余备份,一方面最大限度地减少故障的可能性,另一方面要保证网络能在最短时间内修复。
5、多业务统一网络平台
建设一个开放的网络平台,支持多种业务的同时传输,如支持语音、视频等多媒体业务服务。
6、良好的扩展能力
能够根据未来业务的增长和变化,平滑的扩充和升级现有的网络覆盖范围,扩大网络容量和提高网络的各层次节点的功能,最大程度的减少对网络架构和现有设备的调整。
7、良好的管理能力
在网络设计中,须建立有效的网络管理解决方案。能够实现监控、监测整个网络的运行情况,合理分配网络资源、动态配臵网络负载、可以迅速确定网络故障等。通过先进的管理策略、管理工具提高网络的运行性能、可靠性,简化网络的维护工作。
8、突出应用,强化服务。
立足我省实际,结合政府职能转变和管理体制改革,紧扣政府业务和社会公众的需求,突出应用,务求实效。
9、经济性和实用性。
建设原则都以实际需求为出发点,以满足网络应用需求和适应一定时间内的发展规划为原则。
2.1.2. 线路选型
组建网络考虑的技术主要包括网络通信协议的选择和网络通信线路的选择。针对通信线路,针对XX市电子政务外网的建设, 全网通信线路均采用运营商提供的裸光纤资源,从而保证高速的数据传输性能,以及数据的安全传输的需求。
2.1.3. 技术选型
组建网络考虑的技术主要包括网络通信协议的选择和网络通信线路的选择。针对通信协议,目前TCP/IP协议已经成为组建互联网和政务网络事实上的标准,因此XX市电子政务外网网络建设采用TCP/IP协议为网络的基础协议,凭借TCP/IP技术的开放性来提供网络业务的灵活性支持;采用MPLS VPN技术来支持用户的安全性、QOS以及SLA;同时IP协议有版本4(v4)和版本6(v6)之分。目前绝大多数网络都在使用IPv4,但随着IPv4地址资源的减少,必须考虑向IPv6过渡。在一期工程中,参照当前网络设计的主流趋势,应采用IPv4协议,同时为了适应网络向IPv6过渡的发展趋势,在总体方案和某些关键设备上对两种协议的兼容应有所考虑。保证整个网络能够顺利平滑升级至IPv6阶段。
2.1.4. 建设目标
在国家电子政务外网统一规划和指导下,结合XX省和XX市实际情况,整合现有资源,推进电子政务外网建设;以先进适用为技术功能出发点,建设政务外网,使之具备网络传输、综合应用支撑、管理服务和安全保障等功能,为各级政府部门开展电子政务业务应用提供网络支撑和相关应用服务保障;支持重点业务应用系统资源整合,实现跨部门、跨地区的网上业务协作和信息资源共享;满足XX市各级政务部门行业内部协同办公的需要和面向社会服务的需要,促进政府监管能力和服务水平的提高。
2.1.5. 建设内容
XX市电子政务外网由负责整个城域网数据高速转发、路由的骨干网络及各级党委、人大、政府、政协、法院、检察院的接入网络组成,主要用于满足各级政府部门社会管理、公众服务等面向社会服务的需要。政务外网被定性为非涉密网络,同政务内网物理隔离,同互联网逻辑隔离。
XX市电子政务外网的建设内容,可以划分为电子政务外网骨干网络部分、各委办单位接入网部分、数据中心部分、互联网接入区域、上联区域等五个功能模块。
网络骨干区域主要包含XX市电子政务外网的核心设备以及分布在市政府、金宝花园、光华大厦等的汇聚设备组成,负责整个XX市电子政务外网的数据高速转发,以及电子政务外网59网段的地址路由转发。
各个委办单位接入网主要为各个单位提供线路接入服务,通过NAT功能,将委办单位内部的私有地址转换为在骨干网上传输的59段专用地址。
数据中心为整个电子政务外网重要数据的集中存储中心以及整个外网的综合管理中心,考虑到数据安全,数据中心建立一个灾备中心。
互联网接入区域,作为整个XX市电子政务外网所有用户访问互联网的统一出口,并在出口区域部署流控设备,对于内部各种应用的带宽进行合理控制;此外在出口区域的DMZ区域,
建立XX市政府的统一的对外门户网站,为了保证门户网站的安全,在门户网站服务器前部署网站应用防火墙设备。
上联区域主要提供XX市电子政务外网到省紧急信息中心的互联互通。
2.2. 项目建设方案
2.2.1. 网络业务模型
按照国家政务外网统一规划,根据国家政务外网所承载的业务和系统服务的类型不同,在逻辑上,XX市政务外网接入划分为公用网络区、专用网络区和互联网接入区三个功能区域,各个区之间安全逻辑隔离,分别提供政务外网互联互通业务,专用VPN业务和互联网业务。政务外网网络业务模型如下图:
1.公用网络区:即采用国家政务外网注册地址(59.201.0.0/24-59.201.7.0/24)的网络区域,是国家政务外网的主干道,实现省内各部门、各地区互联互通,为跨地区、跨部门的业务应用提供支撑平台。
2.专用网络区:是依托国家政务外网基础设施,开辟为有特定需求的部门或业务设臵的
VPN网络区域,主要满足部门纵向业务的需要,实现不同部门之间的业务隔离,用于满足部门特殊需求。该区域主要采用私有地址,在骨干网上采取标签进行数据传输。
3.互联网接入区:是各级政务部门通过逻辑隔离手段安全接入互联网的网络区域,满足各级政务部门利用互联网的需要。在互联网接入区,要求采取综合的安全防护措施,对互联网接入提供安全防护。按照国家统一的安全策略,分级接入互联网,提供互联网业务服务。各地政务外网自行出口,采取NAT技术,通过静态路由连接本地互联网。原则上,国家政务外网骨干网不提供互联网业务路由。
XX市政务外网构建市级政府单位、委办局的互联网安全接入平台,通过数字证书认证和密码技术,实现各级政务部门移动办公的公务人员利用互联网通道,安全接入国家政务外网,访问指定的业务应用系统和政务外网门户。
2.2.2. 网络总体架构
XX市电子政务外网总体网络架构采用具备高扩展性的双星型架构。
电子政务外网骨干区域包含核心层和汇聚层;核心层采用2台XX网络面向十万兆平台的高性能模块化路由交换机RG S8614设备,作为外网的核心设备;在市政府、金宝花园、光华大厦等六个移动汇聚机房,分别部署2台XX网络面向十万兆平台的高性能模块化路由交换机RG S7806设备,作为外网的汇聚节点;双汇聚设备通过运营商单模裸纤线路,双10G线路上联到两台核心设备;
电子政务内网各个政府单位、委办局的接入区域建设,本方案只为需要接入电子政务内网的单位提供1台XX网络模块化路由交换一体化路由设备RSR20-24,接入单位内部网络设计不在该方案设计范围内。接入路由器RSR20-24通过两台千兆光纤分别上联汇聚交换机,从而构成“双核心——双汇聚——双链路”的高稳定架构,任何一台核心或任何一台汇聚交换机、甚至任何一根光纤中断服务,网络都会始终保持通畅。
电子政务外网数据中心为XX市各个政务单位、委办部门提供几种的数据存储,考虑到数据中心涉及到的数据将包含审计、公务员信息、各个区学籍信息等重要数据,因此,建议建立