来源:中国电子政务网 更新时间:2012-04-15
在如火如荼的全国信息化建设进程中,天津市已逐渐步入前列,其信息化水平位居全国前三甲。据天津市信息化办主任介绍,2005年、2006年,天津市连续两年入选世界七大智能城市。其信息化总体发展目标是2007年政府公共服务项目实现网络化,全市信息化达到或超过中等发达国家平均水平。近期,天津市正式启动电子政务专网项目,与全球IP网络市场领导厂商华为3Com技术有限公司(简称H3C)联手打造安全、高效的信息网络平台。
“智能城市”的脑中枢系统建设
政府工作可以说是城市建设的神经中枢,政务信息化水平将直接影响到其它领域的信息化发展。1996年底天津市启动了城市信息化标志性工程---天津信息港。经过7年的艰难探索和不断开拓,政务信息化工作取得了显著成效,政府委办局和区县机关普遍建立了办公局域网,工商、税务、土地、规划、外贸、科技等与企业和老百姓联系密切的部门已经开始网上办公。2003年,为了更好的实现全市政务信息交换、资源共享、业务协同处理,全方位地向社会提供优质、规范、透明、符合国际水准的管理和服务,天津市政府规划建设了天津市电子政务专网平台。
天津市电子政务专网建设的目标是建设全市党政机关统一的电子政务平台,建设以大规模光纤设施为载体,以IP宽带多业务交换网为核心,支持数据和话音、图像、视频等多媒体应用,提供MPLS VPN等多种IP增值服务。据了解,整个网络建成后将承载大量的政府信息资源,因此对网络的可靠性、稳定性和安全性提出了很高要求。
网络平台方案综述
鉴于天津政务专网各部门的特殊安全性要求,H3C设计的解决方案在总体建设上采用业务与网络分层构建、逐层保护的指导原则,利用宽带IP技术,保证网络的互联互通性,提供具有一定QOS的带宽保证,并提供各部门、系统网络间的逻辑隔离(VPN),保证互访的安全控制;整网采用了MPLS VPN技术实现了业务隔离,并能进行有效的QOS处理。同时,由于提供的设备以及网络构架都具有良好的可扩展性,因此可以根据后续发展需求,在不改变现有组网方案的情况下,通过增加语音卡、MCU等语音、视频设备,提供IP电话,IP视频会议等业务。
天津电子政务专网基础网络层按分层方式搭建,分为核心层(4个节点)、汇聚层(26个节点)和接入层。具体组网如下:
天津市电子政务专网共四个核心节点,核心节点处于整网的核心位置,从设备、组网可靠性角度考虑,这些核心节点选用了H
汇聚层设立了26个区县汇聚节点,全部选用H
接入层主要是为最终用户接入服务,接入节点采用低端的路由交换机,上行根据业务量采用GE或FE与汇聚节点NE40相连。另外,所有设备NE80、NE40支持MPLS VPN技术,可通过MPLS VPN实现整个电子政务网络良好的安全性、防攻击性、私密性、可扩充性、灵活方便的可管理性,并可实现不同VPN的QOS和流量监控,为政府工作提供视频和多媒体业务。
网络平台方案特点
1、高效、可靠的RPR核心环网技术
天津政务专网核心采用的最新弹性分组数据环(RPR:Resilient Packet Ring)技术,能提供故障自动保护倒换(50ms)的自愈机制,数据的时延抖动小,同时还将IP的智能化、以太网的经济性和光纤环网的高带宽效率、可靠性集于一体,非常适合用于建设城域网的核心。RPR技术中最突出的两个特点是公平算法和故障自愈。
首先,RPR使用SRP公平算法实现网络的高效率。RPR环网中每个节点都执行SRP公平算法(SRP-fa)的备份,保证整个环网业务均衡、局部带宽优化,使RPR环网中的每部分带宽的使用具有可扩展性。而每一个节点控制由上游节点发送的流经本节点业务的速率与本地上载业务的速率,实现公平共享环网中带宽资源,保证了相邻节点的业务量均衡,防止造成其它节点的带宽缺乏或延迟过大。
同时,RPR具有强大的保护切换和恢复能力。RPR环网应用一整套智能型保护倒换(IPS)提供主动的性能监视、快速自愈、以及在环网节点或光纤出现故障的情况下进行IP业务的恢复。SONET/SDH环网所提供的一系列监测和自愈能力,其协议称之为APS,IPS与APS相似之处是,都可以通过开销字节进行主动的性能监测、检测和隔离故障。当低层检测到故障和事件时,经由环网的环回,实现50ms内的自愈。在同时发生多个故障或事件时,根据故障程度的不同,按不同的优先级实施保护倒换。但与APS不同的是,IPS还提供其它一些分组优化的功能,包括:提供50ms的IP业务恢复(包括超过16个节点的大型环网)不需要专门的保护带宽(因此不再需要将环网50%的带宽用于保护),在环网环回时对回到发端的分组优化其所选的路径提供多层标识,IPS在层2和层3也能监测和处理突发事件,并且提供额外的分组优化能力,例如在出现影响到层3的事件时,设置分组直通模式,以避免环网环回。
2、采用MPLS VPN技术实现灵活的业务隔离与受控互访
对电子政务外网而言,重点实现的是在同一个网络平台上,实现各个系统网络的逻辑私有性,使每个系统都能逻辑拥有自己独立的网络资源。满足这一需求,业界最先进的也是行业内使用最多的方案是通过部署MPLS VPN技术来实现的。
MPLS(Multiprotocol Label Switching: 多协议标签交换)技术是在开放的通信网上利用定长标签进行数据高速传输和交换的网络新技术。MPLS技术将第二层交换和第三层的路由技术很好地结合起来,以十分简洁、高效的方式完成信息的传送。更为重要的是,MPLS使网络能提供传统IP网络不能或很难提供的各种增值服务,例如MPLS所提供的VPN服务、流量工程服务、IP QoS服务等。
在MPLS网上提供和基于帧中继、ATM PVC的第二层VPN相同安全级别的虚拟专用网,能达到第二层PVC所具有的专有性、安全性和数据传输的高速性,而MPLS VPN的灵活性、扩展性、易管理性和适应性则是当前其他基于PVC或隧道技术的VPN所无法比拟的。MPLS VPN在第三层路由上对各VPN进行了隔离,无需访问控制列表ACL,各VPN之间都是不可见的,骨干网对于客户网络(某个VPN内部)也是不可见的。所以,MPLS充分保证了在多个业务系统共用IP骨干网情况下的相互有效隔离。MPLS最初是为服务供应商网络所创立的技术,今天,很多企业或政府机构的网络也需要解决和服务供应商网络类似的需求和问题。大型企业和政府机构的IP骨干网正从过去低带宽、重复分离的物理网络向宽带化、一体化方向发展,一个高效的、智能的、集成的网络是政府网络发展的方向。同样地,天津电子政务专网要能安全、高效地整合各业务专网,同时应对各种公共业务、语音传送、视频服务多业务应用不断增长的需求,就要求天津电子政务专网平台必须能够将它们按照各自的特性和要求正确地传送,提供安全隔离和区别服务。先进、成熟的MPLS/VPN技术是天津电子政务专网建设的有效解决方案。
针对本次项目的具体MPLS VPN设计如下:
天津市核心节点的路由器NE80作为MPLS VPN的P设备,区县汇聚节点NE40作PE设备,共同构成MPLS域。
在MPLS域内(包括地市节点及区中心节点),通过OSPF作为内部路由协议,保证MPLS域内各路由节点的连通性,采用MP-BGP作为MPLS VPN的信令,传播各VPN的私网路由信息。
在PE的接入侧,为每个VPN划分一个子接口,对于计委、人大属于两个VPN就对应两个子借口,并且VPN相应的VRF与子接口进行绑定,不同VPN的流量通过不同的子接口接入。
3、端到端的QOS保证
在天津电子政务网中,有可能存在多种业务,如实时IP语音视频业务、公文流转业务、普通OA业务等,每一中业务对网络传输的要求不同,因此要针对每一中业务部署不同的QOS策略。
Differentiated service是一个多服务模型,它可以满足不同的QoS需求。与Integrated service不同,它不需要信令,即应用程序在发出报文前,不需要通知路由器。对Differentiated service,网络不需要为每个流维护状态,它根据每个报文指定的QoS,来提供特定的服务。可以用不同的方法来指定报文的QoS,如IP包的优先级位(IP Precedence),报文的源地址和目的地址等。网络通过这些信息来进行报文的分类、流量整形、流量监管和排队。
在MPLS网络中部署QOS,举例来说:某委办局内部属于IP网络,通过IP报文头部的TOS域进行QOS保证,从出口CE发出的IP报文已经是经过QOS处理的有序报文。PE在给报文加Label时,把IP报文携带的IP优先级标记映射到标签的EXP域,这样原来由IP携带的服务类型信息,现在由标签携带。由于P路由器不会检查内层MPLS标签,所以这个EXP值必须同时映射到内外两层MPLS 标签。在P路由器和PE路由器之间,根据标签的EXP域,进行有差别的队列调度(如PQ、CQ、CBQ等),即把携带标签的业务流在一条LSP上进行有差别的QoS的传送。
4、多方位的网络管理
(1)网元管理软件,通过华为3Com公司的网络管理软件实现统一管理和维护的网管产品。采用灵活的组件化结构,可以与HP Openview、SNMPc等通用网管平台的集成,与网络设备一起为用户提供全网解决方案,帮助客户真正实现网络的按需构建。
本次采用的网络设备管理系统采用分布式、组件化、跨平台的开放体系结构,通过选择安装不同的业务组件,可以实现设备管理、拓扑管理、告警管理、性能管理、软件升级管理、配置文件管理、VPN监视与部署等多种管理功能。本次采用的网络管理软件不仅能够管理网上使用的H
(2)MPLS VPN管理软件,MPLS VPN业务具有广阔的市场前景,但该业务的运营对IP网络的管理提出了更高的要求。MPLS VPN的网络管理涉及到客户管理、VPN业务管理、网络管理以及设备管理等功能。人工管理容易造成配置出错,一旦出现配置错误也很难察觉,并且难于进行业务监控和故障定位,不能有效的管理VPN客户,管理效率低,不能满足日益增长的业务需求。因此MPLS VPN业务必须配套一个有效的VPN网管解决方案。
本次项目采用的MPLS VPN网络管理软件参考了TMN、TMF规范,完成的主要功能是:承接业务订单,生成业务请求并进行网络规划、部署、审计; 维护网络数据,监视网络性能和故障; 进行网络性能、故障的业务相关性分析,为业务保障提供原始数据; 提供基于WEB的客户网络管理(CNM),为VPN客户提供对VPN的监控手段。可以使网络管理者对VPN进行精细、方便的管理。
关键产品介绍
H
NetEngine 80核心路由器是H
NE80采用先进的分布式硬件体系结构,其电信级可靠性、线速转发性能、完善的QoS机制、丰富的业务处理能力,满足不断增长的数据和互联网业务对网络骨干设备的需求。
大容量、高密度
NE80核心路由器是一款大容量的千兆位交换式核心路由器,交换容量高达128Gbps,包转发率达到96MPPS,共有16个线路槽位,具备较大的容量、较高的密度,适合骨干设备的组网和扩容的要求。
线速转发性能、强大路由能力
NE80采用业界主流的网络处理器技术,实现包括
电信级可靠性
NE80采用分布式硬件转发,各关键部件包括路由处理系统、交换网系统、时钟系统、电源、管理总线全部为冗余热备份,实现基于状态的热切换和不间断的路由转发;APS技术提供了链路备份保护;VRRP实现了负载分担和设备间的可靠性;动态路由协议、MPLS流量工程、MPLS重路由保证了全网运行的高速可靠。
NetEngine 40系列通用交换路由器是H
丰富的业务能力
全面支持MPLS VPN业务,实现了完善的L3 MPLS VPN、L2 MPLS VPN、CCC业务能力,胜任高性能PE应用,提供安全和多层次的MPLS VPN解决方案;
支持高品质QoS,实现复杂流分类,精确保证不同业务的带宽和时延,上千条流量调度队列和先进的SARED拥塞控制算法,满足不同用户、不同业务等级的“区分服务”要求;
支持大容量组播线速转发,能够与MPLS VPN、QoS等各种特性配合应用;
提供传统IP VPN、千兆线速NAT、报文过滤、流量采样、端口镜像等各种业务。
灵活的组网能力
拥有全套广域网络接口和高密度以太网络接口,支持城域网的环组网技术,能够应对各种复杂组网,满足IP城域网、骨干网、运营支撑网、教育网、政务网、金融网、企业网以及各种行业网的组网需求。
理想的性价比
NE40系列USR具备自主知识产权,立足本土化设计和生产,集成了核心路由器和三层交换机的特点,既拥有强大的处理能力,又兼备丰富的二层特性,在充分满足业务应用的同时大幅节省建网成本,体现出极高的性价比。
总结
天津电子政务专网无论从组网结构、设备性能,还是整体可靠性、安全性、多业务支持功能等方面都满足了客户的需求。
天津市政府有关负责人表示:天津电子政务专网建成后,将为天津市党政机关提供统一的电子政务平台,实现市委、市人大、市政府、市政协四大机关的高速互联和各部委办区县局的宽带接入,为政府部门网上办公和面向社会的政务公开服务提供更加便捷、安全、高效的信息化服务。