首页 关于拓创 产品中心 行业方案 技术支持 培训认证 客服中心 联系我们 中文版 | English
 您的位置 :首页 > 行业方案 > 电子政务城域网解决方案

电子政务城域网解决方案

★电子政务城域网的基本平台功能

随着电子政务国干、省干的不断完善,为了充分发挥纵向网络平台的优势,电子政务城域网日益成为建设者关注的焦点。电子政务城域网的基本平台功能集中体现在以下几个方面:

(1)城域范围内各政府部门横向信息共享和交互的平台

电子政务城域网做为城域范围内统一的网络平台,负责接入城域内的各政府部门,提供各部门之间的横向信息共享通道,提高横向协作型政务应用系统的运作效率。

(2)承担政府各部门上下级纵向连接的需求

电子政务城域网上连省级电子政务网,下连各区县电子政务网,利用MPLS VPN可实现城域内的各政府部门和省级领导部门以及区县下属部门在同一个VPN内部,以便实现各政府部门内部的纵向应用系统的正常开展。

(3)承担城域范围内各政府部门统一连接互联网的需求

城域范围内的各政府部门都有连接互联网,提供公众服务的需求。利用电子政务城域网统一互联网出口,不仅减少了各部门自行出口的费用,而且便于在出口统一设置安全策略和进行流量统计分析。

★电子政务城域网建设中的关注点

电子政务城域网建设部署中,需要重点关注的是:

(1)如何实现对城域网上关键性业务的可靠性保障

电子政务城域网做为统一的网络平台将承载大量的关键性业务系统,这些关键业务系统对城域网平台的可靠性提出了苛刻的要求。除了构筑城域网平台的设备本身必需具备电信级的高可靠性设计以外,整个城域网的核心网络结构设计必需考虑50ms的电信级故障自愈能力。

(2)如何实现在城域网上对各政府部门的业务系统进行安全隔离和受控互访

电子政务城域网接入了大量的政府相关部门,每个部门都有自己独立的业务系统,在城域网上必需保证这些独立业务系统之间的安全隔离。同时,城域网建设的初衷又是为了实现各业务系统之间的信息共享,所以必需在能够控制的情况下实现业务系统之间的互访。这些复杂的隔离和互访需求都是通过MPLS VPN技术来实现的。

(3)如何实现在城域网上对特殊应用系统的服务质量予以保证

电子政务城域网上除了传统的数据业务外,还可能存在大量的基于IP的语音、视频应用系统。这些特殊的应用系统对网络的要求不同,如语音对网络时延和抖动指标要求很高,视频对网络带宽要求较高,因此针对这些特殊的应用系统,城域网平台必需给予不同的服务质量保证,以确保这些应用的正常开展。

(4)如何通过精细化的管理降低城域网管理维护的复杂度和成本

电子政务城域网连接众多政务部门,承载各种复杂的业务系统,其管理和维护工作量极大,同时成本很高。通过部署管理软件和流量统计分析软件等措施实现对城域网的精细化管理,降低管理维护的复杂度和成本。

(5)如何实现对城域网上关键区域的安全防护

电子政务城域网数据中心作为整个城域范围内各政府部门应用系统之间交换信息的区域,其安全性要求很高,必需通过部署相应的安全防护设备对数据中心的应用层安全防护。电子政务城域网的互联网出口作为黑客攻击的重点也必需考虑应用层安全的防护问题。

★电子政务城域网解决方案

H3C公司依靠强大的研发实力和对电子政务城域网建设需求的深入理解,紧紧围绕上文提到的五个城域网建设关注点提出了完整的电子政务城域网解决方案。

(一)不同规模城市的城域网组网建议

对于大型城市,如省会城市、人口众多业务量大的地级市,可以采用如下的方式组件电子政务城域网。其核心采用H3C公司NE/SR系列路由器组成10G/2.5G RPR环网。接入层设备经过汇聚层设备接入到核心。

对于中型城市,如各省的普通地市,可以采用如下的方式组建电子政务城域网。其核心采用H3C公司S9500系列路由交换机组成GE环网/RRPP环网。接入层设备经过汇聚层设备接入到核心。

对于小型城市,可以采用如下的方式组建电子政务城域网。其核心采用两台H3C公司S9500系列路由交换机千兆双核心。接入层设备直接接入到核心。

(二)采用环网(RPR环)结构构筑电子政务城域网电信级高可靠性核心网

目前,越来越多的电子政务城域网选择了环网做为拓扑结构,这是和电子政务城域网的流量模型密不可分的。电子政务城域网做为城域内各政府部门交换信息和资源共享的平台,其流量模型是典型的网状结构,每两个节点之间都有可能交互数据。星型的网络结构显然不适合这种流量模型,因为核心节点的流量压力过大容易引起网络不稳定,同时核心节点的可靠性问题容易成为整网的隐患。相比较而言,环网上所有节点处于对等位置,流量分散,同时环网的电信级保护机制也提高了整网的可靠性。

RPR(Resilient Packet Ring)弹性分组数据环技术集IP的智能化、以太网的经济性和光纤环网的高带宽效率、可靠性于一体,为宽带IP城域网提供了一个良好的组网方案。RPR技术使得城域网内以低成本提供电信级的服务成为可能,同时降低了传送费用。RPR有别与传统以太网最吸引人的特点是具有电信级的可靠性,使其不仅仅只是局限于处理面向数据的业务传送需求,同时可以形成处理多业务传送的综合传输解决方案。

(三)利用MPLS VPN实现业务系统的安全隔离和受控互访

对电子政务网而言,需要重点实现两个方面的需求:

l.安全隔离:一方面要保证各业务系统逻辑网络的相对独立性,以满足不同业务系统对安全性、服务质量、管理、拓朴结构的要求;

2.受控互访:另一方面,各业务系统之间的流程整合又需要提供相互访问的途径,而且要保证访问的安全性。

通过MPLS VPN技术可以在统一的电子政务城域网平台中轻松实现上述需求。

MPLS(Multiprotocol Label Switching: 多协议标签交换)技术是在开放的通信网上利用定长标签进行数据高速传输和交换的网络新技术。MPLS技术以十分简洁、高效的方式完成信息的传送。更为重要的是,MPLS使网络能提供传统IP网络不能或很难提供的各种增值服务,例如MPLS所提供的VPN服务、流量工程服务、IP QoS服务等。

通过MPLS VPN的部署,还能够实现VPN业务的高品质保证,如针对语音、视频、多媒体通信等实时性要求比较严格的业务,电子政务网的VPN服务能否提供类似专线一样的服务质量保证也是非常重要的,这就要求在整个网络中部署端到端的QOS。

(四)端到端部署QOS确保特殊业务应用的服务质量

电子政务城域网承载除数据业务外的其余特殊业务,包括VOIP和IP视频,这些特殊业务对网络服务质量有不同的要求,必需提供相应QOS策略予以保证。具体策略如下:

1、全网采用DiffServ模型;

2、按照业务类型确定优先级,相应的把视讯、语音等对实时性要求较高的业务打上高的优先级,保证其在网络传送中处于最先传送的有利地位。

QOS部署重点:

1、用户的SLA包括平均带宽速率,最高带宽速率,最大延迟,延迟抖动保证,包丢失率等

2、在U-PE的用户端口启动双向限速(policing),限制客户接入带宽

3、U-PE支持包分类功能,根据不同端口,不同VLAN或各种应用设置优先级,并将不符合SLA的流量丢弃

4、核心网络的设备根据优先级队列管理CBWFQ和加权拥塞控制技术WRED, 在拥塞发生时首先丢弃低优先级的包,对于特殊应用如VoIP,IP视频等流量需要启动低延迟队列管理(Low Latency Queue)

(五)部署流量统计分析软件实现对城域网的精细化管理

电子政务城域网和广域网的链路和带宽都是十分宝贵的,如何将这些带宽充分利用,保证优先级较高的业务正常传送,控制非法流量对带宽的侵蚀是网络建设者们关注的焦点。要实现以上的目标,首先要做的就是对网络流量进行精确的统计和分析,建立合理优化的网络流量模型。其次,随着网络的应用越来越广泛,规模越来越大,其承载的业务越来越丰富,了解网络承载的业务,掌握网络流量特征,以便使网络带宽配置最优化,是当前网络面临的一大挑战;另一方面,网络虫病毒、DoS/DDos攻击等在网络中越来越流行,规模越来越大,对网络正常业务的负面危害也越来越大,因此检测威胁网络安全的异常行为是当前网络面临的另一大挑战;要为用户提供了更高的带宽和可预测的QoS,也需要对网络进行更细致的管理和计费。

为克服现有网管系统对网络流量和流向分析功能的技术局限性, IT管理部门迫切需要寻找一种功能丰富,成熟稳定的新技术对现有管理系统中管理信息的采集和分析方式进行改造和升级。新的信息采集和分析技术需要对运行网络影响小,无需对网络拓扑进行改变就能平滑升级。新的信息采集和分析技术应该即可以对网络中各个链路的带宽使用率进行统计,也可以对每条链路上传输不同类型业务的流量和流向进行分析和统计。目前的主流网络厂商都有自己的流量分析和统计解决方案。

为对网络中不同类型的业务流进行准确的流量和流向分析与计量,首先需要对网络中传输的各种类型数据包进行区分。由于IP网络的非面向连接特性,网络中不同类型业务的通信可能是任意一台终端设备向另一台终端设备发送的一组IP数据包,这组数据包实际上就构成了网络中某种业务的一个数据流(stream)。H3C公司的NetStream正是基于这种“流”概念,定义了路由器/交换机输出网络流量的统计数据的方法,路由器/交换机对通过其的IP数据包进行统计和分析,并上报给数据采集器,采集器经过一定的聚合策略后,把统计数据传送到中心服务器,经合并处理后存入数据库,并进行进一步的分析处理。通过对上述原始、详细的基本IP数据流进行分析,准确把握网络运行状态,及时发现网络异常情况并进行处理,也能支持面对业务应用的精细管理和计费。NetStream技术可利用网络中数据流创造价值,并可在最大限度减小对路由器/交换机性能的影响的前提下提供详细的数据流统计信息。

(六)部署IPS实现对城域网关键区域的应用层安全防护

为防范电子政务城域网中应用层数据及关键区域的攻击,可采用H3C公司的深度深度安全抵御方案。

H3C公司提供最新的IPS产品 H3C可以完美地解决城域网关键区域的应用层安全防护问题。H3C可以被“in-line”地部署到网络当中去,对所有流经的流量进行深度分析与检测,从而具备了实时阻断攻击的能力,同时对正常流量不产生任何影响。基于其高速和可扩展的硬件平台,H3C IPS不断优化检测性能,使其能够达到与交换机同等级别的高吞吐量和低延时,同时可以对所有主要网络应用进行分析,精确鉴别和阻断攻击。

H3C IPS所具备的的超高性能与精确阻断能力,已经从根本上改变了网站的防护方式。H3C系列IPS,具备对2层到7层流量的深度分析与检测能力,同时配合以精心研究的攻击特征知识库和用户规则,即可以有效检测并实时阻断隐藏在海量网络流量中的病毒、攻击与滥用行为,也可以对分布在网络中的各种流量进行有效管理,从而达到对网络上应用的保护、网络基础设施的保护和网络性能的保护。