安奈特电子政务网络解决方案
来源:硅谷动力 更新时间:2012-04-15

 引言

  在世界各国积极提倡的"信息高速公路"五个应用领域中(电子政府、电子商务、远程教育、远程医疗、电子娱乐),电子政府列为第一位。从世界范围来看,推进政府部门办公自动化、网络化、电子化已是大势所趋。伴随着经济全球化和我国加入世贸组织的新形势,政府职能部门的管理水平、办事效率和服务水平急待提高,以便应对入世后的严峻挑战。

  电子政务的本质是"以网络为工具,以用户为中心;以应用为灵魂,以便民为目的",其实质是要在政府上网全面启动前期构建的一个电子政务平台。实现内部公文、信息、督查、后勤管理等主要办公业务的网络化,同时实现对外的信息发布与交互,另外还要考虑实现数据、语音、视频等多媒体信息的同网传输。该平台利用信息网络和通信技术,可以有效地实现行政、服务及内部管理等诸多功能,在政府、社会和公众之间形成有机的服务系统集合。

  信息化建设的基础是网络,离开了网络,电子政务只能纸上谈兵。而网络的建设又与应用密不可分,网络必须结合应用的需求及特点,确保应用的顺利开展,为应用提供可靠的、安全的、智能化的传输通路。

  电子政务网络的需求 

  网络功能系统的划分必须兼顾不同政府部门管理、决策、服务及办公自动化等各项业务和职能要求。针对这样的业务要求,对于网络的需求如下

  性能卓越、稳定,可靠性高 - 政府部门所处行业的特殊性要求其网络和办公系统在稳定、可靠基础上能够具有高的性能。随着应用的不断发展,数据流量应该分布在全网之上贯穿从接入层到服务器、到Internet的整个通路,传统的本地80%流量、远程20%流量的局域、广域网络模式已经不能满足用户的需求,用户对于网络的需求逐步演化为全网高速化、任意点间都需要有高速传输通道,为了对这样一个端到端的连接提供高性能,就需要网络架构方式、网络设备本身都具有全线速、无阻塞的交换能力。此外,对于关键的部分,比如骨干交换设备之间的互连链路、交换机与服务器之间的连接,应该尽可能利用带宽扩展的协议来防止可能会出现的瓶颈。从可靠性的角度上说,在网络设计时关键部位的设备本身必须具有备份冗余的配置,比如处理器、电源等,同时设备模块的热插拔也是对于故障维护方面极为重要的参数。而从在链路方面,网络物理链路应该能够实现链路冗余备份功能,这样当一条链路出现故障,所有的数据会在瞬间转移到备用链路,从而保障系统的正常运行。

  管理性强,易于维护 - 从网络管理的角度上看,随着网络化进程的加快,网络规模的扩大,网络将连接到各个角落,支撑这样一个系统的设备数量也会越来越多,而运作良好的网管系统是发挥其网络性能、保障网络平稳运行最大的保障,所以,首先应该避免网管盲点的存在,所有的网络设备都应该纳入到网管体系中来。还有,传统的网络管理单纯通过SNMP协议来实现,可以说是一种平面化的网管结构,所有的设备在网络界面中都处于同一个级别,网管操作起来繁琐,常常会使网管人员因为可用度差而产生抵触心理,这样的网络管理系统其实并没有发挥应有的作用,所以被称之为事实上的不可操作,此外,从市场上看,如果全网都采用能够支持SNMP方式的网管设备,那么网络的造价就会明显地增加。面对这样的问题,就需要一套完善的、确实可行的策略解决。

 完善的安全策略 - 同样由于政府部门所处行业的特殊性,我们需要强调其从局域到广域各个层面上都应该具有的安全策略,Internet出口的安全性的重要性已经无需赘述,国内外各大安全产品厂商已经做过大量的宣传,在这里想要进一步强调的是局域网内部的安全性,其实内部网络的安全威胁也已经为观念所接受,但在这个层面上一直都缺乏一个良好的解决方案。所以在局域网内部还经常遇到诸如缺乏针对用户身份的控制,面临盗用地址攻击、大数据包攻击等问题,这些都急需一套完整的安全策略。

  完善的QoS机制 - 网络连接能力的改善经过了从10M到100M、1000M甚至万兆,也经过了从共享到交换的阶段,但现在越来越多的业界人士已经意识到了,带宽增加只是对问题的掩盖,并没有能够从根本上解决网络所面临的问题,带宽的增加是必要的,但如果能够再从提高带宽利用率的角度加以配合,才真真是被需要的。因此,数据网络的智能化程度非常重要,如果能够区分高优先级(诸如业务数据、管理信息等)的数据和低优先级(诸如Internet浏览、E-mail)的浏览信息;或者根据网络拥塞程度智能区分不需保障的报文和需要保障的报文;在网络拥塞时,给迟延敏感性强的应用(视频会议流)提供尽可能好的优先服务,这才是理想中的网络环境。

  通过上述分析可知,政府网络是一个集成了多种通信技术和手段的网络,如数据、话音、视频等信息,其服务对象不仅是政府机关本身,还要服务于整个社会。因此,从功能上讲,是一个集成了多种技术、多种应用的一体化网络。此外,由于政府部门的层次划分,政府网络同样具有层次特点,各级政府机构除了本身能够互访问为,还要为公众提供访问政府网络的手段。

  方案描述

  整个网络分成核心、汇聚和接入三个层次。

  核心层需要高可靠性和线速交换能力,本方案的网络核心采用两台背板带宽为128G的SwitchBlade 4008交换机,2台机器通过VRRP路由网关备份协议实现三层功能的互为备份,保证网络核心的可靠。服务器通过千兆口直接连接到核心交换机,重要服务器可以分别连接到2台SwitchBlade 4008。SwitchBlade 4008采用分布式多层交换技术,支持电源、风扇和控制模块的冗余备份,提供64K的带宽控制和128K的流分类能力,保证网络的服务质量。

  汇聚层需要多层交换能力,安全控制能力和QoS保障能力,本方案的汇聚层采用Rapier I和8700XL系列智能交换机,支持线速交换,提供多层的流分类、流处理能力,保证完善的QoS和策略ACL访问控制;支持PPPoE用户安全控制协议,实现对用户的身份验证和授权,从根本上保证网络的安全。

  接入层需要具备灵活的接入能力、对用户的安全控制,以及易于管理等特性,本方案的接入层采用8000系列8/16/24口线速二层交换机,可以支持端口MAC地址绑定、VLAN隔离、802.1x用户安全控制等安全特性,通过"Enhanced Stacking?"技术实现高效、便捷的网络管理。

  整个网络选用安奈特AT-View Plus和SNMPc网管系统,实现设备级的配置、维护、故障管理,以及网络级的性能管理,便于用户学习和使用。

  需求的网络体现

  性能、可靠性

   安奈特公司电子政务网络解决方案中的SwitchBlade系列交换机是业界性能极高的智能多层交换设备。SwitchBlade 4008、4004分别拥有128Gbps和64Gbps 交换背板。

   SwitchBlade系列骨干智能多层交换机采用分布式体系结构,将路由计算和路由转发分布实施。由基于RSIC技术的CPU模块进行单次路由计算,由基于硬件(ASIC)技术的端口模块进行已知路由的数据转发,性能极高。

   此外,网络规划中所用到的链路汇聚、VRRP以及Spanning Tree技术也能够从带宽扩展、冗余备份的角度提高网络的性能。从设备角度上看,中心交换机的关键部件可以做到冗余配置,而业务模块都支持热插拔。

  应用级QoS保证

   安奈特公司电子政务网络解决方案中的SwitchBlade、Rapier i和8700XL系列智能交换机是业界领先的面向应用的第四-七层智能多层交换机。它们可以通过数据包头中的数据链路层(MAC、VLAN)、网络层(IP)和传输层(TCP、UDP)的信息进行相应的流分类和处理,以保证应用级的QoS。

   另外,交换机支持802.1P和IP ToS流标记方式, 采用WRED、WFQ、WRR、PQ等流控及队列调度算法,可对网络拥塞进行有效的控制,按照不同应用进行网络带宽和资源的分配、调度,以保证重要应用的服务质量(QoS)。

  管理、维护

   安奈特的统一网管系统,操作简单、支持网络流量监测、分析功能和自动故障报警功能,方便用户发现网络故障和分析网络的使用情况,进而制定相应的策略,优化网络流量,也是日后升级网络的尺度、依据。

  安全

  经过ICSA 认证

  支持DES 和3DES加密。

  支持访问控制。

  支持DMZ区域划分。

  完善的VPN 功能。互联校园网各分校,安全可靠、成本低廉、容易实施且易管理。

   另外,通过交换机的MAC地址绑定,VLAN隔离,基于MAC地址、VLAN标识、源、目的IP地址、源、目的TCP/UDP端口号等的多层ACL访问控制等特性可以实现网络的受控访问。