电子政务城域网解决方案
来源:    发布时间: 2013-03-20 16:57   742 次浏览   大小:  16px  14px  12px


电子政务城域网的基本平台功能

随着电子政务国干、省干的不断完善,为了充分发挥纵向网络平台的优势,电子政务城域网日益成为建设者关注的焦点。电子政务城域网的基本平台功能集中体现在以下几个方面:

(1)各政府部门横向信息共享和交互的平台

电子政务城域网做为城域范围内统一的网络平台,负责接入城域内的各政府部门,提供各部门之间的横向信息共享通道,提高横向协作型政务应用系统的运作效率。

(2)各政府部门上下级纵向信息共享的平台

电子政务城域网上连省级电子政务网,下连各区县电子政务网,利用MPLS VPN可实现城域内的各政府部门和省级领导部门以及区县下属部门在同一个VPN内部,以便实现各政府部门内部的纵向应用系统的正常开展。

(3)各政府部门统一互联网出口的平台

城域范围内的各政府部门都有连接互联网,提供公众服务的需求。利用电子政务城域网统一互联网出口,不仅减少了各部门自行出口的费用,而且便于在出口统一设置安全策略和进行流量统计分析。

★电子政务城域网建设存在的挑战

电子政务城域网建设部署中,主要存在以下挑战:

(1)如何保障最长的业务持续运行时间

当党政系统的业务越来越依赖城域网时,业务承载网发生故障后的快速自动恢复能力,成为网络规划设计中必须考虑的关键因素之一

电子政务城域网做为统一的网络平台将承载大量的关键性业务系统,这些关键业务系统对城域网平台的可靠性提出了苛刻的要求。除了构筑城域网平台的设备本身必需具备电信级的高可靠性设计以外,整个城域网的网络结构设计必需考虑50ms的电信级故障自愈能力。

(2)如何对各政府部门的业务系统进行安全隔离和受控互访

电子政务城域网接入了大量的政府相关部门,每个部门都有自己独立的业务系统,在城域网上必需保证这些独立业务系统之间的安全隔离。同时,城域网建设的初衷又是为了实现各业务系统之间的信息共享,所以必需在能够控制的情况下实现业务系统之间的互访。

(3)如何实现关键业务系统的服务质量保证

电子政务城域网上除了传统的数据业务外,还可能存在大量的基于IP的语音、视频应用系统。不同的业务流量对网络传输服务质量要求不一样,如语音对网络时延和抖动指标要求很高,视频对网络带宽要求较高,因此针对这些不同的应用系统,城域网平台必需给予不同的服务质量保证,以确保这些应用的正常开展。

(4)如何通过精细化的管理降低城域网管理维护的复杂度和成本

电子政务城域网连接众多政务部门,承载各种复杂的业务系统,其管理和维护工作量极大,同时成本很高。通过部署网络管理软件、全网安全监控和管理工具和网络流量统计分析软件等措施实现对城域网的精细化管理,降低管理维护的复杂度和成本。

(5)如何实现对关键区域的安全防护

电子政务城域网数据中心做为整个城域范围内各政府部门应用系统之间交换信息的区域,其安全性要求很高,必需通过部署相应的安全防护设备实施对数据中心的应用层安全防护。电子政务城域网的互联网出口做为黑客攻击的重点也必需考虑应用层安全的防护问题。

★电子政务城域网解决方案

北京华圆东泰科技有限公司多年来对电子政务城域网建设需求的深入理解,紧紧围绕上文提到的五个城域网建设中主要的挑战点,提出了完整的电子政务城域网解决方案。

电子政务城域网的典型组网模型如下:

                                                

子政务城域网的典型组网结构分为三层:1)核心层,一般由P设备组成,做为整个城域网的交换中心,提供到省级骨干网的出口,并直接提供政务信息中心的接入;2)汇聚层,一般由PEMCE设备组成,提供各个VPN用户的接入,经常会在PEMCE设备上部署NAT、防火墙模块;3)接入层,设备比较多样化,可以为集线器、交换机、路由器、防火墙设备等。

核心层设备可采用多台核心路由器或者核心路由交换机,组成一个高可靠性的10G/2.5G RPR环网。

汇聚层PE设备,如果只提供以太网接入的,可采用高端交换机,对于性能要求比较高的PE设备可采用高端交换机。NAT、防火墙功能可在PE设备上进行部署。

汇聚层PE设备,如果还需要提供E1等广域网接入的,可采用高端系列路由器。NAT、防火墙功能可在PE设备上进行部署。

    在实际组网中,汇聚层设备、核心层设备经常会重叠。比如对于小型城市的城域网,有可能就一台P/PE设备,直接提供VPN用户的接入。

    北京华圆东泰科技有限公司提供的电子政务城域网解决方案具有以下特色:

(一)采用RPR环网技术构筑高可靠性的城域网核心骨干网

电子政务城域网的核心骨干网采用环形拓扑结构,这和电子政务城域网的流量模型是密不可分的。电子政务城域网做为城域内各政府部门交换信息和资源共享的平台,其流量模型是典型的网状结构,每两个节点之间都有可能交互数据。星型的网络结构显然不适合这种流量模型,因为核心节点的流量压力过大容易引起网络不稳定,同时核心节点的可靠性问题容易成为整网的隐患。相比较而言,环网上所有节点处于对等位置,流量分散,同时环网的电信级保护机制也提高了整网的可靠性。

RPRResilient Packet Ring)弹性分组数据环技术集IP的智能化、以太网的经济性和光纤环网的高带宽效率、可靠性于一体,为宽带IP城域网提供了一个良好的组网方案。RPR技术使得城域网内以低成本提供电信级的服务成为可能,在提供类似SDH级网络可靠性的同时降低了传送费用。RPR有别与传统以太网最吸引人的特点是具有电信级的可靠性,使其不仅仅只是局限于处理面向数据的业务传送需求,同时可以形成处理多业务传送的综合传输解决方案。

(二)利用MPLS VPN实现业务系统的安全隔离和受控互访

对电子政务网而言,需要重点实现两个方面的需求:

l.安全隔离:一方面要保证各业务系统逻辑网络的相对独立性,以满足不同业务系统对安全性、服务质量、管理、拓朴结构的要求;

2.受控互访:另一方面,各业务系统之间的流程整合又需要提供相互访问的途径,而且要保证访问的安全性。

通过MPLS VPN技术可以在统一的电子政务城域网平台中轻松实现上述需求。

MPLSMultiprotocol Label Switching: 多协议标签交换)技术是在开放的通信网上利用定长标签进行数据高速传输和交换的网络新技术。MPLS技术以十分简洁、高效的方式完成信息的传送。更为重要的是,MPLS使网络能提供传统IP网络不能或很难提供的各种增值服务,例如MPLS所提供的VPN服务、流量工程服务、IP QoS服务等。

                                             

通过MPLS VPN的部署,还能够实现VPN业务的高品质保证,如针对语音、视频、多媒体通信等实时性要求比较严格的业务,电子政务网的VPN服务能否提供类似专线一样的服务质量保证也是非常重要的,这就要求在整个网络中部署端到端的QOS

(三)节约投资:PEMCE上统一部署NAT和防火墙功能

由于各政府部门内部建网时,IP地址的规划是各自进行规划的。因此当不同政府部门需要进行跨部门横行联网时,就必须进行IP地址转换。

IP地址的转换,可以在接入城域网之前完成,但是要求所有加入互联的节点都需要配置地址转换设备。无形中增加了城域网接入用户的设备采购成本,从电子政务整体投资情况看,各自部署NAT设备在增加投资同时也增加了联网的复杂度。

同样的道理,如果各接入用户为了保护内部网络安全,通常需要配置防火墙设备来保护内部网受到攻击。

提出了一个对NAT和防火墙功能进行统一部署的方案,大大降低了各VPN用户联网的成本。

对于部门内部纵向网络的互联互通,由各部门内部自己考虑如何部署,不占用NAT和防火墙的资源。

(四)端到端部署QOS确保特殊业务应用的服务质量

电子政务城域网承载除数据业务外的其余特殊业务,包括VOIPIP视频,这些特殊业务对网络服务质量有不同的要求,必需提供相应QOS策略予以保证。具体策略如下:

1、全网采用DiffServ模型;

2、按照业务类型确定优先级,相应的把视讯、语音等对实时性要求较高的业务打上高的优先级,保证其在网络传送中处于最先传送的有利地位。

            

QOS部署重点:

1)   用户的SLA包括平均带宽速率,最高带宽速率,最大延迟,延迟抖动保证,包丢失率等;

2)   PE的用户端口启动流量限速(policing),限制客户接入带宽;

3)   PE支持包分类功能,根据不同端口,不同VLAN或各种应用设置优先级,并保证每个用户的SLA

4)   核心网络的设备根据优先级队列管理CBWFQ和加权拥塞控制技术WRED, 在拥塞发生时首先丢弃低优先级的包,对于特殊应用如VoIPIP视频等流量需要启动低延迟队列管理(Low Latency Queue)

(五)精细化的网络管理

精细化的网络管理不仅涵盖了传统网管的主要功能,包括告警管理、性能管理、拓扑管理等,还包括对业务的部署配置管理、全网的安全状态监控和管理和网络流量分析和统计。

提供的智能管理中心软件平台,集成了QOSACLVLAN等网络资源管理工具,并针对MPLS VPN的部署提供了MPLS VPN Manager业务管理,大大简化了VPN的部署和管理。

安全管理中心SecCenter是整个安全管理解决方案中的重要组成部分,是一款基于硬件的智能、高效的安全信息及事件管理(SIEM)系统。能够提供对全网海量安全事件和日志的集中收集与统一分析,兼容异构网络中多厂商的各种设备,对收集到的信息进行高度聚合及归一化处理,实时监控全网安全状况。

电子政务城域网上运行着非常多的VPN网络,每个VPN的网络流量情况如何?应用流量如何发布?是网络规划和管理者非常关心的内容。基于MPLS城域网的网络流量分析统计系统,就可以解决该问题。提供的NTA网络流量分析系统,通过可视化的界面,为网络管理人员提供直观的流量分析数据,为网络的规划优化、管理策略调整提供依据。NTA部署示意图如下:

据上图所示,PE设备可以做MPLS VPN的数据流采集设备,网络采集器接收流量统计报文并导入到数据库,网络流量分析器提取统计数据进行分析,并提供各种流量分析统计的结果。

上一篇:电子政务外网解决方案
下一篇:没有了