甘肃省电子政务外网建设概述
来源:甘肃省经济研究院 更新时间:2012-04-14

 
 

    甘肃省信息中心(甘肃省经济研究院)    张文学

    甘肃省政务外网是国家政务外网的省级节点。省政务外网建设将按照国家的统一要求,利用公用基础通信设施和现有资源,建设结构合理、边界清晰、技术先进、安全可靠的省政务外网平台,并合理构建安全保障体系,初步完善省政务外网网络服务体系。按国家政务外网的统一规划和标准,建设省级和市级网络管理中心。省政务外网将提供网络传输、数据交换、网络管理和安全保障等服务,为省综合门户网站、各级政务部门网站提供网络支撑,为各个业务应用系统提供运行支撑;为实现跨部门、跨地区的信息资源共享创造条件,促进业务系统的互联互通和信息共享,提高政府的监管能力、服务质量与政务信息化水平。
    按照国家确定的原则,充分利用现有资源,逐步建设统一的省政务外网平台,采取分步实施、快速推进的策略,为减少风险,积累建设、管理和服务的经验,省政务外网一期工程将分两阶段建设。
    第一阶段(项目启动后的第一年),依托公用基础通信设施,连接国家外网,建设省直城域网,完成省政务外网联接国家政务外网的节点建设,完成省政务外网与互联网逻辑隔离的出口建设。建设省级网管中心,建设省综合门户网站;实现接人单位业务应用系统的网上运行示范。
    第二阶段(项目启动后的第二年),在第一阶段建设的基础上,逐步扩大网络覆盖范围,建设覆盖9 4个市(州)的省政务外网广域传输网络,建设政务外网市级城域网和网管中心;完善省政务外网的数据备份中心建设;扩大业务应用系统网上运行示范的范围,增加网络服务能力,基本建成统一的省政务外网。
    国家政务外网整体结构如下图:

点击浏览下一页

   为确保国家电子政务外网基础设施建设的整体实现,省政务外网一期工程网络平台建设必须满足国家电子政务外网一期工程建设中的网络需求。国家电子政务外网一期工程第一阶段建设“首先应满足宏观经济管理信息系统、金审、社会保障(含低保)、金农等系统的网络应用需求,支持国家发展和改革委员会、国家审计署、劳动和社会保障部、民政部、农业部等部门。"“将连通国务院各部门、副省级城市、部分地市,完成大部分政府部门的专网接人,满足宏观经济管理、金审、社会保障(含低保)、金农等多个业务系统的联网需求。建立中央、副省级城市的网络服务中心及相关配套工程;建成政务外网根CA/PKI基础设施,利用桥CA,初步形成互联互通的外网信任体系;政务外网将提供包括VPN、移动接入、外网网站、信息交换等多种服务。"根据国家电子政务外网网络建设的覆盖范围和建设规模,我省电子政务外网是国家电子政务外网在本地纵向和横向的网络延伸,整体网络结构如下图:

 点击浏览下一页

   以下分别从广域骨干传输网络、城域网络、局域网络、拨号接人、移动用户接人、MPLSVPN技术应用、网络资源的规划等方面对省政务外网网络建设进行描述。
    一、广域骨干传输网络
    广域骨干传输网络担负着全省的电子政务通信传输任务,主要指省到市之间的通信传输网络,为甘肃省电子政务的通信提供广域网传输条件。
    鉴于政府部门的工作特性,省政务外网需要的是一个融合语音、数据、视频于一身的计算机网络。虽然目前IP技术、ATM技术、帧中继技术都可应用于该领域,但是从技术发展角度来看,IP具有其他通信协议所不具备的优异特性。它不仅可保证不同网络体系之间的互连,而且在    目前,绝大多数应用基于TCP/IP协议,使得IP技术逐渐成为网络技术应用的主流。IP技术支持多种业务应用,容易增加新业务。语音、视频等多媒体业务在IP上的成熟应用,以及IPover SD H、IP over WDM、IP 0ver Optical等宽带IP技术的发展,为IP技术带来更加广泛的应用。
    根据以上分析,省政务外网在技术上定位于宽带IP网络,在城域范围内使用光纤为主要传输介质,以IP为主要通信协议。
    核心层汇聚设备负责进行全省各市之间数据的快速转发,提供全省的高速IP数据出口;各省辖市骨干设备负责汇集各市接人点,进行数据交换,提供流量控制和用户管理的功能。
    省政务外网上联国家电子政务外网,按国家统一的接入方式,接人路由器通过双归属方式接人到国家政务外网核心节点,采用8 M POS,备用链路采用2 M。
    二、省直城域网建设
    省直城域网网络是省政务外网应用的一个重要平台,连接省委、省人大、省政府、省政协及各政务部门,该网络平台将为各种应用服务提供可靠、安全、高速、高效的支持,能够解决用户对信息的快速查询,同时保证整个网络系统的互连互通、信息安全。
    拓扑结构:省直城域网组网主要使用千兆以太网技术,采用星型结构。核心层两台路由器以2.5 G POS接口连接,汇聚层设备根据业务需求采用GE/FE双归属方式接人核心点,接入层设备采用GE/FE就近接入汇聚节点。
    省直城域网网络的传输由高可靠电信级光传输设备组成。骨干传输层、业务汇聚层和网络接人层全部由光纤连接。
    省直城域网传输的主要是基于IP的应用。网络结构可分为三层:核心层、汇聚层和接人层。
    核心层:由两台省级核心路由器组成,主要负责完成省级政务外网的各种业务(MPLSVPN、VOD、视频会议、IP电话、公文交换等)及全网的高速路由交换,两台省级核心路由器之间以2.5 G POS接口连接,保证网络的安全稳定和满足带宽需求。
    汇聚层:根据兰州市区省直单位的分布和网络规模,采用六台汇聚交换机实现省直厅局委的就近接人,距离汇聚层节点远的单位可通过光纤跳接后接人。省直汇聚层六个节点,每个节点汇聚交换机采用千兆光口上行,和骨干层汇聚路由器双归属相连,充分保证网络带宽和安全性。
    接人层:省直各单位(接入点)的内部网络通过网络接入层接入省直城域网。接人点接人由汇聚交换机和路由器组成的业务汇聚层,考虑到实际情况,一期工程省直接人点暂定为5 O~6 5个,根据需要再加以扩容。
    在接人方式上,各单位可以考虑根据已有的条件,采用不同的接人方式。一般是使用光纤接人,有利于保证传输质量和进行接口设备的统一选择。对需要与国家部委局署纵向连接的单位,根据国家统一接口标准接入省政务外网。
    省直城域网使用统一出口与因特网联接,出口设置在省政务外网网管中心,采用以防火墙为主,多种技术手段结合的方法,满足国家外网统一的逻辑隔离规范,实现省政务外网与互联网逻辑隔离。
    为保障网络的可靠,出口设计备份线路,带宽可根据实际数据流量确定。
    三、局域网建设方案
    在省政务外网网络中,除了由光纤组成的网络主干网和省直及各市的城域网外,还有各单位的内部网络。根据部门的规模,部门网络可以是一个局域网(LAN),也可以是多个局域网的互联,其基本组成单位是局域网。从网络的规模、采用的技术、选用的设备、网络的结构上来说基本相同。为了规范部门网络的建设,有利于部门网络之间的互联互通,本方案建议所有局域网全部采用以太网方案。
    下面是一个典型的局域网结构图: 

 点击浏览下一页

    四、移动用户接入
    VPDN的规划主要是为了解决零散分布的用户在异地访问政府内部网络的问题,并提供了身份验证、授权的功能。这对于流动性很大的政府公务员来说是很有意义的。
    政府开设VPDN服务所需的设备很少,只需在资源共享处放置一台支持VPN的路由器(LNS)就可以了。资源享用者通过PSTN连人所在地POP服务器后,直接或间接(通过NAS)呼叫政府的VPN路由器(LNS)建立隧道连接,完成用户对政府外网内部站点的访问。
    五、MPLS VP N技术方案
    省政务外网平台的一个重要应用是数据业务,而且随着政务信息化的深入发展,数据业务将在该平台发挥越来越大的作用。采用MPLSVPN技术可以解决这个问题。
    采用MPLS VPN技术可以把现有的IP网络分解成逻辑上隔离的网络,这种逻辑上隔离的网络的应用可以用在政府相同/不同办事部门的互连,也可以用来提供新的业务(如为IP电话业务专门开辟一个VPN),以此解决IP网络地址不足和QoS问题。
    根据扩展方式的不同MIPLS VPN可以分为BGt)扩展实现的MPLS VPN,和LDP扩展实现的VPN。根据PE设备是否参与VPN路由又细分为二层VPN和三层VPN。三层MPLSBGPVPN相对来说比较成熟。
    MPLS VPN技术方案
    接人政务广域网平台的各单位,既有横向部门间的信息交互,又有纵向行业部门的信息交互,在应用上,各单位用户经授权能访问纵向网络的相应资源;同时各单位用户经授权又能访问横向网络资源。因此,整个平台是由多条纵向专网、横向专网相联接形成的复杂结构,为了保证各部门与其下属部门在省政务外网网络平台中形成虚拟的独立安全通道,根据需要建立MPLS—VPN。
    六、网管中心建设
    省政务外网网管中心是整个系统的管理中枢,网管中心的设计优劣,将直接关系到外网系统能否正常、稳定的运行。因此网管中心在整个省政务外网系统建设中具有非常关键的作用。
    网管中心由服务器系统+存储系统+备份系统+管理系统构成。
  1.服务器系统
  服务器系统将多个服务器集成以满足网络平台数据存储、加工、交换和应用的需要。系统本身的设计将直接影响系统软件和应用软件性能的发挥,从而影响到整个省政务外网网络的性能。系统自身的可靠性和安全性设计也直接影响着整个网络的可靠性和安全性。
    省政务外网网管中心主机系统:
    (1)Sun公司小型机服务器2台(基础数据库服务器);
    (2)高档PC服务器3台(目录服务器、Web服务器、DNS服务器);
    (3)中档PC服务器2台(网管服务器、防病毒服务器)。
    2.存储系统
    对于满足工作组级用户的共享文件和磁盘容量的需求,N AS是一个较好的选择(网络连接存储Network Attached Storage—NAS)。
    对于有应用服务器整合和数据共享的系统,SAN(存储区域网络:Storage Area N etwork—SAN)是合适的选择。在已有存储系统上,根据需求扩展现有的容量,随服务器数量增加,方便的增加存储设备,SAN较其他存储方式更有优势。
    直连存储方式较适合独立业务应用数据的存储,业务系统数量多时系统维护不方便。而存储区域网络方式能够将业务应用与数据分开,系统维护比较方便,同时也有利于存储空间的利用。根据以上分析,省政务外网网管中心的存储方式选用SAN架构最合适。
  3.数据备份系统
  建立完备的数据备份系统,可以在本地出现小规模灾难,如主机发生故障、数据发生丢失时对业务系统进行恢复。
    完善的数据备份恢复策略,是建立在对客户网络环境、主机环境、业务数据等信息的详细分析的基础之上的。
    省政务外网建设初期就要在各相关部门建立备份策略,包括:数据库数据备份策略、业务系统中重要的数据文件的备份策略和操作系统和应用系统数据文件数据备份策略等数据备份策略。
    4.网络管理
    (1)故障管理
    故障报警:是指设备发生故障时,系统用多种方式来报警。
    干预报警:是指系统管理人员正在处理设备故障。
    故障智能化处理:提供对故障处理流程的监控,各种信息的相互关联,问题的自动捕捉与分配,自动通告,自动升级,自动过滤,准确反映故障原因,加快解决故障的时间。
    历史报警查询统计:系统对收到的各种报警信息进行人库处理,通过对数据库的统计报表查询可以分析网络的故障原因,统计网络设备出现故障的频度与原因,从而为制定网络维护计划提供科学的依据,做到有效地安排系统运营与维护工作。
    (2)配置管理
    通过创建和显示网络视图并提供自动拓扑工具,系统运营维护平台支持对网络配置的管理。
    设备情况:显示任意指定网络节点下的设备信息,以便系统运营维护人员直观明了地监控网络细节。显示包括设备地址及其系统信息,以及当前设备的工作状态。还显示各种设备的物理面板信息。
    设备端口状态:显示指定网络设备的端口状态,了解网络设备各端口的运行情况,并可对网络端口进行实时的监测与控制,为优化网络和提高设备运行性能提供数据分析支持。
    VLAN管理:VLAN划分是网络系统常用功能,系统可以图形化显示VLAN划分情况,让网管人员方便地知道VLAN里包含哪些设备、哪些端口、哪些IP地址或MAC地址,还可以自动配置VLAN,可以以多种方式设置VLAN。
    网络IP地址与MAC地址:系统能自动获取网络设备的IP地址及相关主机的MAC地址,以便系统运营维护人员更有效、简单地管理网络的地址资源。
    配置工具:提供多种网络分析工具,让管理员方便地分析网络的运行状况。
    (3)性能管理
    通过设备运行情况收集和实时监测网络设备的性能指标实现网络性能管理,包括网络流量、设备吞吐情况,设备IP包差错情况,子网或网段丢包情况等,可以实时报警,并以数据表和实时图形曲线方式显示出来,并且可以拓展性能管理的种类。性能采集的时间间隔可以根据网络状况由管理员调整。
    实时性能监视:对于比较重要的设备,需要实时观察其性能状态,及早发现异常情况,以保证业务正常运行。实时性能监视功能可以实时监控它的端口流量和丢包率等性能指标,可以方便地知道这些指标的趋势、平均值和最大值,为故障的预测提供有力的分析工具。
    (4)安全管理
    通过设备运行情况收集和实时监测网络设备的性能指标实现网络性能管理,包括网络流量、设备吞吐情况,设备IP包差错情况,子网或网段丢包情况等,可以实时报警,并以数据表和实时图形曲线方式显示出来,并且可以拓展性能管理的种类。性能采集的时间间隔可以根据网络状况由管理员调整。