广西电子政务外网的建设与实践
来源:太平洋电脑网 更新时间:2012-04-14

1         项目背景
2010年,广西发改委互联网中心经过多方考察、研讨,技术论证后,形成了广西壮族自治区电子政务外网平台的建设目标和思路。

广西电子政务外网的总体建设目标是利用在广西的国家公用基础通信设施和自有光纤资源,建设上联国家,下联市、县,横向连接各级党委、人大、政府、政协、国土、工商、计生委、文化共享等各级政务部门三级网络平台和服务体系,为各级政府部门建立非涉密的包括纵向与横向的信息传输网络通道,实现跨区域、跨部门互联互通、资源共享和业务协同。

2         建设需求
广西壮族自治区电子政务外网平台网络系统工程在自治区发改委经济信息中心的领导下统一规划、建设,重点关注如下三方面需求:

       如何更安全的承载各部门的政务业务,以满足横向和纵向业务应用需求

广西电子政务外网平台建成后,区内各直属部门及地市、区县政务部门的政务业务都由这个平台统一承载,上连国家电子政务外网骨干平台,原则上不允许再建设部门内部私有纵向业务网。通过技术手段为各业务部门提供安全的逻辑业务通道,保障部门私有业务传递的安全性。同时,也要能够提供可控的业务互访能力,以支持政务协同办公能力、提高政府办事效率。

      如何通过统一的高性能政务数据中心,为电子政务外网平台用户提供服务

通过构建政务数据中心,为外网用户提供服务器托管、网站服务、准入认证、邮件系统等公共服务。各接入单位不再需要构建专业数据中心并专人维护,借助互联网中心较高的技术实力和高标准的机房环境等硬件基础架构,更加简单地构建数据中心。这里要求数据中心高可靠、高安全、易扩展。

      如何构建智能网络管理平台,以实现对整网用户、业务、设备的综合管理

在设计网络管理系统时,应全面考虑网络管理的内容,建设网络管理平台、网络设备管理软件模块、网络故障管理模块、网络流量模块、网络故障告警模块等。通过网络管理系统多种模块的组合,实现对整网设备和安全性等各个方面进行全面的管理,有效地提高网络的安全可靠性。

3         解决方案介绍
广西壮族自治区本次外网平台建设采用了H3C公司的电子政务外网整体解决方案,具有如下特点。

     作为承载网,高安全、高可靠是关键

当前,40G/100G速率的以太网标准已经发布,万兆骨干千兆桌面的部署已逐渐成为技术主流。广西电子政务外网建设本着构建先进网络的思路,着眼于十二五时期政务应用与IT技术的发展,在建设中广泛使用了H3C SR88/66、75E等万兆高性能网络设备及高速链路技术。

核心采用万兆环网,与地市汇聚、数据中心万兆互连,地市采用155M POS专线接入省汇聚节点,区县使用MSTP链路接入地市,整个网络平台能够充分满足各种电子政务业务开展的性能要求。

电子政务外网作为政务承载网,其故障将有可能影响多个政务部门的业务应用,因此对可靠性、稳定性要求极高。本期建设从架构、协议、设备等多方面提供高可靠保障。省-地市-县网络节点均采用双机、双链路的组网方式,自治区网络核心部分采用4台设备构建POS环网,以保证在单机、链路发生故障时有可迂回的线路保护。配合链路、协议的部署,在关键设备上部署了BFD、GR等可靠性保护技术,实现对故障的快速检测和收敛。在设备可靠性方面,采用了满足电信级可靠性要求的网络设备,能够支持热插拔、热补丁、关键部件冗余等技术。

采用了成熟的MPLS VPN技术为统一平台上的各部门提供虚拟化业务通道,实现横向安全隔离,纵向VPN通道可由国家一直延伸到省-市-区县,满足纵向办公的需求。并提供可控的VPN互访方案,以支持资源共享和协同办公的需求。

      作为业务的承载主体,数据中心需要专业化、先进化

数据中心是与传统园区网不同的IT应用场景,是用户访问的焦点,采用传统的技术与产品并不能满足数据中心的业务需求。尤其电子政务外网数据中心是多个政府部门的业务数据承载中心,将面临更严峻的访问压力、流量并发、安全威胁等。因此广西电子政务外网采用业界广泛应用的专业技术构建了一个先进的数据中心。

数据中心构建考虑到了标准化、虚拟化、高性能等发展趋势,可扩容采用FCOE、40G/100G高性能互联、网络自适应虚拟机迁移等技术。在核心使用基于100G平台的数据中心核心级交换机S12508,采用网络领域的N:1虚拟化技术(智能弹性堆叠IRF2),将两台交换机虚拟成一台设备,提升分布式处理性能、提高数据中心核心的可靠性、简化网络管理。

       网络运维管理趋向于简单化、智能化

当前网络管理的作用已经不再是简单的完成互连互通的管理,面对通信、计算、应用、存储、监控等各类业务集合而成的IT系统,管理工具更倾向于应用管理和网络管理的融合,面向业务的网络管理工具将决定核心业务能否在网络上顺利开展。有效的管理手段不仅可以提升管理的效率,降低管理成本,甚至可以提前发现隐患,避免故障的发生。

广西电子政务外网采用了H3C iMC智能管理平台及相关管理组件,实现对路由器、交换机、安全、存储、服务器等设备资源,以及ACL/VLAN等网络配置资源和桌面计算机、服务器等终端资源的统一管理。

在外网中,采用MPLS VPN进行业务隔离,一条链路中有可能有多个VPN,流量都封装在不同的VPN中,部署复杂,管理难度大。对于管理员来说,更有意义的不是管理物理链路,而是管理VPN及其中的流量。广西电子政务外网通过MPLS VPN和NTA管理工具,可以分析各个VPN对链路带宽的占用,及时了解各种网络应用/用户占用的网络带宽;并可实现MPLS VPN业务的可视化部署、业务监控、业务审计等功能。

面向于访问控制ACL的策略部署往往是非常复杂的,目前大多数用户都通过手动配置每台设备进行策略部署,这就需要我们全面掌握和管理相关用户的策略及设备配置,全网中任何一台设备的策略配置错误或遗漏都可能导致无法实现访问控制目的无法实现。广西电子政务外网采用了iMC中的ACL可视化管理组件,极大的简化了ACL的策略部署和管理。

IAR报表生成系统,能直观的根据管理员的自定义,定期输出丰富的网络运行状态数据文档,帮助客户在网络规划、网络监控、网络优化、故障诊断等方面做出客观准确的决策。

4         实施效果
广西电子政务外网平台是H3C电子政务整体解决方案落地的一个最佳实践,通过统一的规划、建设,建成了能够支撑各种政务业务开展的高可靠、高性能、易扩展的统一外网平台,通过MPLS VPN技术实现了纵向通道的安全隔离。高性能的数据中心能够为全网用户提供统一的政务服务和关键数据的容灾备份功能。智能管理平台实现了全网用户、设备、业务的智能、统一管理。