来源:港湾网络 更新时间:2012-04-15
随着信息技术的迅速发展,信息技术在政府部门得到广泛应用,各国政府都积极进行电子政务系统建设。电子政务建设大大地促进了政府机关的工作效率和科学决策水平,因此受到各国政府的青睐。我国也和世界上的发达国家一样对电子政务建设非常重视,国务院和各省市政府都大力推动电子政务建设,在全国范围内掀起了电子政务建设的高潮。
枣庄市作为山东省的南大门,市委市政府从提高政府机关的工作效率和科学决策水平,更好地为经济建设服务的目的出发,非常重视电子政务系统的建设。利用市委市府搬迁的时机,决定建设技术先进、经济实用能满足各种电子政务应用需求的电子政务网络平台。
作为枣庄市电子政务系统的设计、建设和管理维护者,为了搞好枣庄市电子政务网的建设,我们首先对各市直单位电子政务建设的现状和应用需求进行了调查,然后对当前网络技术的最新发展,以及国内外厂家最新网络产品的状况进行跟踪研究,最终确定了“基于万兆平台,采用MPLS VPN技术,建设安全、稳定、灵活、先进的网络平台”整体思路。
总体目标
枣庄市电子政务网络的总体目标:建设连接所有市直党政机关部门、人大、政协、5区1市(县级)和高新开发区的骨干通信网络,使之成为全市政府机关政务信息传输、数据共享与信息交换,支持各种政务应用系统和网络音、视频多媒体应用的平台。一期工程范围覆盖枣庄市新城区行政中心的政府机关办公楼群及部分其它机关单位,是未来整个枣庄市电子政务网的网络核心。
网络需求分析
通过调查研究我们认为,搞好电子政务网络建设必须解决以下四方面的问题:
网络安全。枣庄电子政务网不同于一般意义上的数据网,所承载的内容涉及国家的政治和经济机密,安全性要求很高,因此在采用信息化建设提高政府办公效率和服务能力的同时,一定要保障网上数据的安全.
业务隔离和互通。在业务上,枣庄市大部分委、办、局既需要横向互联实现信息数据共享和公文传输,还要上与省府、下与区县的本业务系统对口单位纵向连接。所以在实际使用中既要考虑不同业务部门之间信息的共享与互通,还要做到内部业务系统的隔离,以保护保密信息不外泄。
网络稳定性。电子政务网建成后,政府办公的各项业务将向政务网迁移,政务网的稳定运行将成为政府部门顺利办公,提高工作效率的重要保障,因此电子政务网一定要是一个稳定的网络。从设备架构、故障排除、业务恢复、传输链路、路由稳定、业务稳定等多个方面予以充分的考虑。
网络的灵活性。由于电子政务应用建设还处于摸索阶段,应用模式处于不断的调整中,网络要适应并支持这些调整,灵活性也显得很重要。我们认为灵活性包括几个方面。第一是部门间的灵活受控互通;第二是三网合一的支持;第三是灵活的用户接入;第四是设备灵活的升级扩展;第五是灵活方便的网络管理。
网络的先进性。枣庄电子政务网的建设对政府信息化起着重要的推动作用,网络的建设不仅仅要看到目前的需求,还要考虑到今后几年网络和业务发展的需求,要考虑到保护投资的要求。因此采用先进的技术建设政务网,为将来的扩容、升级和网络新技术改造保留充分的空间,应该在保证满足现有应用的基础上适度超前。
网络方案设计整体思路
在综合考虑枣庄电子政务网的实际需求之后,我们确定了“基于万兆平台,采用MPLS VPN技术,建设安全、稳定、灵活、先进的网络平台”的建网思路。
万兆平台的采用,满足三网合一对骨干网络的要求并保持超前先进性
2002年7月18日,IEEE正式通过了802.3ae万兆标准,以太网以“迅雷不及掩耳之势“从局域网和园区网真正走向城域。在枣庄电子政务网的建设中,骨干层需要处理非常多的千兆以太网上连,承载着全部政府部门横向和纵向的交换,并且将要开展数据、视频、话音的三网合一,传统的千兆骨干将难以满足业务发展需要,应用万兆是必须的。因此,枣庄电子政务网的骨干平台决定采用万兆,选用了国内在万兆商用走得最靠前的先进平台。
在这个万兆平台上,有包括RPR、MPLS、Diffserv、Intserv在内的多种技术来保障,IP网络中业务的QoS实现的相当好,10G标准使得以太网不仅可以满足带宽急速增长的需求,同样可以满足业务在网络上传输过程中的QoS。同时10G的应用大大提高了枣庄电子政务网中数据包在城域处理过程中的效率,因为数据包不再改变结构,处理效率大大增加,更加适合开展视频、语音业务;并且40公里的远距离传输使万兆可以延伸到枣庄市的每一个角落,接入所有的政府相关部门。万兆平台的使用可以使枣庄电子政务网具有充分的扩容空间,并在相当长的一段时间内保持技术领先。
MPLS全网应用,解决安全、业务隔离与互通问题
为了解决枣庄电子政务网中各业务系统安全,同时做到受控互通,采用了MPLS VPN技术。由于MPLS VPN技术中又分为MPLS L2 VPN和MPLS L3 VPN。MPLS L2 VPN目前还处于不断完善的草案阶段,其中又细分为Martini、Kompella、CCC、VPLS等四种技术,这四种技术虽然能满足大规模应用的要求,但由于不能在城域网设备上识别VPN内的IP地址,不能实现各VPN的受控互通,也就不能实现协同办公的要求,也不能采用。枣庄电子政务网采用了最适合电子政务网应用的MPLS L3 VPN也就是MPLS/BGP VPN技术。这种技术是国际标准,较为成熟,各厂家互通性好,适合大规模应用,而关键是能够在城域网设备上识别VPN内IP地址,可以实现VPN的受控互通,也就可以实现协同办公的业务。
为了保证枣庄电子政务网络的安全,还要求电子政务网中的网络设备提供4种方式防止网络攻击。1、ACL过滤可能的攻击报文,如将入报文源端口号超过1024的过滤掉。2、对送给CPU的报文区分优先级,如路由协议报文为第一优先级,其他报文按重要程度划分优先级,保障高优先级报文的处理,调度策略同普通数据接口,同时限制送给CPU的总体流量,避免CPU超载。3、在接口上配置CAR,限制某些可能产生攻击的网络报文流量,如PING报文。4、IP Inspect功能,限制某些网段中一个IP地址允许建立的连接数,减少攻击可能性。
枣庄电子政务网络中,各业务系统之间需要进行公文传输、信息共享、协同办公等,这些应用系统服务器将集中放置在电子政务网核心机房。为了解决部门间的地址冲突问题,我们采用如下解决办法:在核心路由器上实现基于每VPN的NAT转换功能。核心路由器要运行MPLS/BGP VPN,根据MPLS/BGP VPN的原理,这台设备可以接收到所有部门VPN的数据,当然数据不属于同一个VPN,是完全隔离的。在这台设备上可以配置VRF用以接收各VPN的路由信息,每个VRF都可接收某个特定VPN的全部路由,通过ACL过滤可以将部门数据库的IP地址注入这个VRF,然后将集中数据库服务器作为CE对待,在核心路由器上为该CE建立VRF。每个部门VRF针对该数据库VRF都有一个路由接口,在部门VRF针对这个数据库VRF的接口上实现NAT转换。这样可以实现集中数据库与所有部门数据库可以通信,而部门数据库间不能通讯的功能。所有对政务网内集中服务的访问都采用该方式实现,这样完美的解决了互联互通时地址冲突的问题。
电信级设备确保枣庄电子政务网稳定性
为了保证枣庄电子政务网的稳定性,选用了具备电信级可靠性设计的网络设备进行组网。所有骨干设备均能支持关键部件冗余、热插拔、冗余电源、散热系统,确保骨干网络的稳定;在骨干链路上,采用了以太网环路保护技术,可以做50ms级别保护,确保链路稳定;在MPLS域内采用了OSPF,在PE设备上运行BGP路由,PE和CE之间采用静态路由,这种路由规划具有最佳的稳定性;在业务方面,枣庄电子政务网采用了先进的MPLS FRR快速重路由解决方案,完善了政务网稳定性保障方案。可以看出,枣庄电子政务网在设备、链路、路由、业务等稳定性方面均做了深思熟虑并选择了先进的技术来提供有力的保障。
核心和Internet出口路由设备的硬件架构选择
在核心路由设备和Internet出口路由设备的硬件架构选择上,我们充分考虑了路由器的发展历史和每个层面路由器实现功能的不同。
核心路由器实现两大方面的功能,一是大容量路由表项的快速查找,二是海量数据的无阻塞转发。对于路由表项的快速查找,业界最领先的技术是TCAM的硬件查表方式,可以在一个硬件时钟周期之内准确命中所需表项,速度可达100M次/秒效率相当高;对于海量数据的无阻塞转发,只有采用成熟的ASIC技术才能够实现,尤其是对于10G端口的线速转发要求,对路由和各种策略表项查表速度、报文头处理能力、报文转发能力方面都产生了巨大的压力。我们选择了基于ASIC+FPGA+TCAM硬件架构港湾网络的PowerHammer P320核心路由器,实现在多业务、复杂策略环境下10G的线速转发。
Internet出口路由器需要具有快速的查表能力、较强的性能和灵活的业务支持能力。经过多年发展的NP技术是解决性能和灵活性矛盾的最优方案,可以通过微码的方式支持强大的ACL、QoS等业务功能。港湾网络的NetHammer G908采用了CPU+NP+TCAM这种硬件架构体系,完全符合电子政务网出口路由器的需求,因此出口路由器我们选用了这款路由器。
对核心路由设备和Internet出口路由设备的硬件架构选择充分体现了网络整体在架构方面的先进性和灵活性。
基于万兆平台,采用MPLS VPN等先进技术建成的枣庄电子政务网对于促进枣庄市政府政务信息化有重要意义,该网络将承载数据、视频、话音三网合一业务,担负起政府对政府(G2G)、政府对企业(G2B)、政府对公众(G2C)、政府对公务员(G2E)的服务,承载各种业务系统,必将对枣庄市的经济发展与建设起到重要推动作用。