电子政务网络架构(已排)

电子政务网络架构

华为3Com技术有限公司政府技术部目录1、电子政务建设概述2、网络架构详细分析3、政务网络案例分析2电子政务公司（法人）政府部门公众（自然人）政府员工电子政务建设的目标定位

G2G

G2C

G2E

G2B3目录1、电子政务建设概述2、网络架构详细分析

广域网架构分析

城域网架构分析局域网架构分析3、政务网络案例分析4广域网建设的关注点

关注点1：MPLSVPN实现纵向业务系统的隔离

关注点2：MPLSVPN跨域问题的解决

关注点4：广域网流量统计分析，提供广域网优化科学依据

关注点3：端到端的QOS部署，实现关键业务的带宽保障5县国土县林业县水利国土局林业局水利局林业厅水利厅省直省直国土厅省直2.5GRPRGEGE地市州EIN×2MN×2MCPOSFEFEGEGEFE地市州地市州XX县XX县地市城域网汇聚(PE)(PE)(PE)(P)(P)(P)(P)(P)(P)(P)(P)(PE)(PE)(CE)(CE)(CE)(CE)(CE)(CE)(PE)(PE)(PE)(CE)(CE)(CE)(CE)城域网广域网关注点1－MPLSVPN6关注点1－MPLSVPN省工商省税务10.0.1.0/2410.0.1.0/24CEMCE/PEPEPE政务网地市工商10.0.2.0/24内部服务器地市税务10.0.2.0/24CEPE内部服务器PE纵向VPN子接口MCE/PE7PEPEPERTIMPORT100:1EXPORT200:1RTIMPORT200:1EXPORT100:1RTIMPORT200:1EXPORT100:1RTIMPORT200:1EXPORT100:1HUBSPOKESPOKESPOKEPE省厅A市局B市局C市局关注点1－MPLSVPN8某部门省厅连接在PE1上,各地市局分别连接到PE2、PE3上。由于BGP/MPLSVPN是由PE与CE接口的VRF上配置的相应RT来决定路由关系的，因此在省厅连接的PE1相应VRF上配置RT值使该VRF可接收来自A市局、B市局、C市局的路由，并将自己的路由发送到A市局、B市局、C市局。在各市局PE上配置RT，使市局只能与省局交换路由而不能与其他市局直接交换路由。优点：省局集中控制VPN内的通信，可通过路由过滤的方式禁止市局间的直接通信，保障VPN内的可控性和安全性。如在A局病毒爆发时，可在省厅处通过路由将该市局隔离，避免病毒蔓延。缺点：一是省局成为单点故障，一旦省局连接的PE1发生故障，各市局间将不能正常通信。二是市局间数据交换集中在省厅所在PE上，增加了PE的压力。由于目前各部门纷纷采用数据大集中的数据交换模式，市局间的数据交换比较少，因此比较适合采用该模式。关注点1－MPLSVPN9某部门省厅连接在PE1上,各地市局分别连接到PE2、PE3上。由于BGP/MPLSVPN是由PE与CE接口的VRF上配置的相应RT来决定路由关系的，因此在省厅和各市局连接的PE相应VRF上配置RT值使该VRF可接收来自其余市局的路由，即省厅和各市局完全处于对等状态，相互之间完全可以交互路由信息。优点：无单点故障，无性能瓶颈。缺点：无法做到集中控制，安全性不高。关注点1－MPLSVPN10关注点2－MPLSVPN跨域要求ASBR设备为每个跨域的VPN分配子接口，因此可以可以实现跨域的流量监管，实现对每个VPN的计费，但是对ASBR压力非常大，并且PE设备需要维护跨域VPN的路由，可管理性和可扩展性较差；11关注点2－MPLSVPN跨域对ASBR压力最小，但由于需要建立PE间跨域的LSP，因此可管理性也比较差。12关注点2－MPLSVPN跨域对ASBR压力也比较大，但可以通过ASBR扩容来解决，没有PE设备跨域VPN路由维护问题，因此适用范围较广；13A省厅网络B省厅网络A市局网络B市局网络CECECECEPEPEPPPP在IP网络上，为了对不同业务提供不同的服务，主要是利用IP报文头部的TOS域来进行标记。根据TOS域来决定报文的转发行为PE在给报文加Label时，把IP报文携带的IP优先级标记映射到标签的EXP域，这样原来由IP携带的服务类型信息现在由标签携带由于P路由器不会检查内层MPLS标签，所以这个IP报文携带的IP优先级标记也必需映射到外层标签的EXP域。为了支持端到端QOS，每个LSP通过EXP域可以支持多达8种不同等级的业务为了支持端到端QOS，每个LSP通过EXP域可以支持多达8种不同等级的业务PE在去掉报文Label时，把标签的EXP域映射到IP报文携带的IP优先级标记上。这样原来由标签携带的服务类型信息现在由IP优先级标记携带关注点3－端到端QOS14网络流量监控网络应用分布网络瓶颈分析服务质量监控网络故障分析流量异常告警关注点4－网络流量统计分析15目录1、电子政务建设概述2、网络架构详细分析广域网架构分析

城域网架构分析局域网架构分析3、政务网络案例分析16城域网建设的关注点

关注点1：核心层采用RPR环网（50ms倒换）保证关键业务不中断

关注点2：利用MPLSVPN实现各政府部门的安全隔离和受控互访

关注点4：使用MPLSVPN维护软件实现对城域网VPN的灵活便捷部署

关注点3：通过详细的流量统计分析工具实现对城域网流量的精确控制17ABCD拥塞1000M1000M1000M关键业务带宽保证（公平算法RPR-fa）带宽共享，为提高带宽利用率，建立公平机制公平算法是全局的、基于整个环网级别的通过监测流量、反压机制实现带宽管理可保证高优先级数据和控制无阻塞可通过设置节点的权重，实现加权公平关注点1－RPR环网18华为3COM的IP环网综合两种倒换方式的优点，采取两者相结合的方式，先Wrapping后Steering，达到最优的保护性能。ABCDEFABCDEFABCDEF正常情况下数据传送故障顺利立即启用Wrap方式的保护拓扑结构稳定后切换到Steering方式Wrap绕回方式，在故障边节点处自动环回。特点：速度快，基本无数据丢失，缺点是浪费带宽。Steering抄近方式，更改拓扑，重新计算路由。特点：速度慢，带宽利用高，但可能有数据丢失。关注点1－RPR环网19省政府市政府区县政府省工商局市工商局区县工商局省劳动厅市劳动局区县劳动局纵向网络结构横向网络结构横向网络：信息共享，跨部门协作纵向网络：业务运作，行业管理与监管政务网MPLSVPN关注点2－MPLSVPN20工商10.0.1.0/24MCE政务网前置机160.0.4.1/24税务10.0.1.0/24CE前置机160.0.1.1/24内部服务器10.0.1.1PEPEPE内部服务器10.0.1.1注释:资源共享区前置机为一个共享VPN,其它职能部门前置机分别为独立的VPN为保证安全性，前置机与内部服务通过网闸进行数据交换各业务部门数据通过前置机上传到资源共享中心的数据库中优势：采集的信息数据在政务外网上以VPN的方式传递，保障了数据的安全性前置VPN子接口资源共享中心数据库前置机160.0.2.1/24共享资源网站入口160.0.3.1/24前置VPN子接口公共前置VPN子接口PE关注点2－MPLSVPNFW数据库数据库数据库集中式互访21注释:职能部门前置机分别为独立的VPN优势：采集的信息数据在政务外网上以VPN的方式传递，保障了数据的安全性，通过RT的灵活控制，实现不同职能部门前置机的受控互访集中式和分布式不是对立的，而是互补的关系工商10.0.1.0/24政务网前置机160.0.2.1/24税务10.0.1.0/24CE前置机160.0.1.1/24工商信用服务器10.0.1.1PE内部服务器10.0.1.1前置VPN子接口前置VPN子接口PEPE前置机160.0.3.1/24财政10.0.1.0/24CE内部服务器10.0.1.1前置VPN子接口MCE关注点2－MPLSVPN分布式互访22政务外网工商10.0.1.0/24CE门户网站160.0.3.1税务10.0.1.0/24CE门户网站160.0.1.1内部服务器10.0.1.1PEPEInternetvpn子接口PEInternetInternet公众服务中心数据库对外发布门户网站DNSInternetvpn子接口Internetvpn子接口数据库数据库MCEInternetvpn子接口PE防火墙可能执行一对一NAT操作关注点2－MPLSVPN公众访问123注释:所有对公众提供访问的WEB服务器放到一个InternetVPN，政务外网出口防火墙作为CE设备此方式适合门户网站采用ISP分配的地址优势：实现简单，一个大的VPNDNS规划简单劣势：政府部门访问政务外网门户网站产生迂回路由，增加防火墙负担24政务外网工商10.0.1.0/24CE门户网站160.0.3.1税务10.0.1.0/24CE门户网站160.0.1.1内部服务器10.0.1.1PEPE公网子接口防火墙可能执行一对一NAT操作PEInternetInternet注释:传统实现方式优势：政府部门访问政务外网不产生迂回路由劣势：如果采用ISP分配的地址，

DNS规划复杂公众服务中心数据库对外发布门户网站DNS公网子接口公网子接口数据库数据库MCEPE关注点2－MPLSVPN公众访问225政务外网工商10.0.1.0/24CE门户网站160.0.3.1税务10.0.1.0/24CE门户网站160.0.1.1内部服务器10.0.1.1PE公网子接口防火墙可能执行二次NAT操作PEInternetInternet公众服务中心数据库对外发布门户网站DNS公网子接口公网子接口数据库数据库MCEPEPE纵向VPN子接口PE设备必须执行NAT转换防火墙可执行NAT转换这时不用PE执行NAT操作关注点2－MPLSVPN内部访问Internet26政务外网税务10.0.1.0/24CE数据中心门户网站托管公众服务区PEPE公网子接口PE注释:门户网站分配两个IP地址，一个为纵向网私有地址，用于加入纵向VPN，进行维护。一个为政务外网IP地址，用于提供公共服务，门户网站主机两网卡间不能起路由协议门户网站托管门户网站托管门户网站托管PEPE纵向VPN子接口防火墙可能执行NAT-PT操作Internet私网IP10.0.2.1/28政务外网IP160.0.1.1/28维护数据流Internet访问流量关注点2－MPLSVPN托管网站维护27政务外网前置服务器160。0。1。110。0。1。1门户网站160。0。2。110。0。1。210.0.1.0/24用户侧公网子接口前置VPN子接口纵向VPN子接口MCEPE关注点2－MPLSVPN接入方式－MCE28注释:路由多实例设备（MCE）通过多个子接口上联到PE设备，其中公网子接口用于其余用户访问门户网站，纵向VPN子接口用于纵向系统访问，前置VPN子接口用于访问前置机。路由多实例完成安全隔离的功能。纵向用户访问公网通过纵向VPN子接口，此时需要PE设备VRF表设置多条静态路由指向发布公众服务的PE设备，缺省路由指向Internet网关PE。纵向用户访问政府资源共享业务通过纵向VPN子接口访问。前置服务器和门户网站各分配两个IP地址，公有IP用于政务外网互访，私有IP为纵向网中地址，用于设备维护，前置服务器和门户网站两网卡间不能启用路由协议PE完成NAT多实例操作29此种方式适用于用户侧与政务外网相连链路不支持子接口链路。采用HOPE解决方案，政务外网PE设备为SPE，用户侧设备为UPE。SPE维护其通过UPE连接的VPN所有路由，包括本地和远程Site的路由，但SPE不发布远程Site的路由给UPE，只发布VPN实例的缺省路由或聚合路由给UPE。UPE维护其直接相连的VPNSite的路由，但不维护VPN中其它远程Site的路由或仅维护它们的聚合路由。UPE为其直接相连的Site的路由分配内层标签，并通过MP-BGP随VPN路由发布此标签给SPE。NAT操作可以发生在SPE设备，也可以发生在UPE设备。其它与MCE接入方式一致。政务外网前置服务器160。0。1。110。0。1。1门户网站160。0。2。110。0。1。210.0.1.0/24用户侧公网子接口前置VPN子接口纵向VPN子接口SPEUPE接入方式－UPE关注点2－MPLSVPN30政务外网注释:防火墙采用子接口的方式上联到PE设备用户侧上行流量理论上可以访问任何信息资源下行流量只允许纵向VPN的流量通过。防火墙可执行NAT操作。前置服务器160。0。1。110。0。1。1门户网站160。0。2。110。0。1。210.0.1.0/24用户侧公网子接口前置VPN子接口纵向VPN子接口PECE接入方式－防火墙关注点2－MPLSVPN31网络中的业务，哪些合法，哪些是违规的？网络中的数据流，哪些影响了我的网络运行？网络的流量如何，带宽需不需要扩容？链路拥塞，谁在消耗带宽？网络环境日趋成熟，新业务不断出现；IT应用日益复杂化；用户需要统计分析工具来帮助其了解、分析进而管理网络中的流量资源，实现网络优化关注点3－流量分析32网络流量监控网络应用分布网络瓶颈分析服务质量监控网络故障分析流量异常告警网络可度量、可评估关注点3－NTANTA，NetworkTrafficAnalysis，基于TCPIP协议四层的，针对应用服务流向进行分析的解决方案，用于对网络数据信息进行综合分析、挖掘的系统。33关注点3－NTA34支持MPLSL2/L3VPN、跨域VPN、HoPE多厂商设备支持StepbyStep的业务规划可调度的业务部署网络资源、VPN业务发现可靠的业务保证VPN配置审计VPN连通性审计图形化的流量监控智能的业务告警分析完善的VPN用户信息管理全网资源统一管理分支机构的WEB自助CNMVPNManager商务合同ServiceManagementLayer(SML)NetworkManagementLayer(NML)ElementManagementLayer(EML)BusinessManagementLayer(BML)MPLS网络关注点4－MPLSVPN管理软件35多厂商管理

华为3COM设备

Cisco设备

……MPLSL2VPN管理(VPLS、Martini、Kompella)MPLSL3VPN管理支持HoPE(分层PE)支持跨域VPN管理MPLSL2VPN隧道跨域MPLSL3VPN第三方厂商设备关注点4－MPLSVPN管理软件36规划预览调整向导式业务规划图形化直观显示规划结果在原规划基础上方便修改“拷贝创建”功能缩短相似业务的规划时间MPLSVPN业务管理－StepByStep业务规划VPN拓扑：Intranet、Extranet；Full-mesh、Hub-and-spokePE-CE路由：STATIC、RIP、BGP、OSPFVPNManager37端到端的业务部署CEPEPE手工部署定时任务部署部署成功后自动审计定时任务MPLSVPN业务管理－可调度的业务部署手工部署VPNManager38MPLSVPN业务管理－全网VPN视图全网所有VPN的当前状态一目了然拓扑视图若仅显示PE-CE或CE-CE连接，则缺乏全局观，无法知晓当前哪个VPN存在问题把每个VPN作为显示对象，有无问题一目了然（包括流量是否超过阈值）这个VPN有问题啦！VPNManager39电子政务城域网（大型城市）汇聚层10G/2.5GRPR核心层GEGEGEGE用户接入层城域核心路由器城域核心路由器城域核心路由器城域核心路由器汇聚层交换机PPPPPEPE电子政务省干省干地市路由器CEMCEPEGEGEFEMCESDHCE汇聚层路由器E1N*E1GEFEFECECE40城域核心路由器主要提供高速数据转发，建议采用10G/2.5GRPR形成环网进行保护。10G/2.5GRPRN×GE城域核心路由器10G/2.5GRPR大型城域网设备选型建议－城域核心路由器功能要求MPLSVPN&MPLSTEACL，组播QoS(IP

DiffServ&MPLSDiffServ)IPv6（硬件支持）可靠性要求关键部件冗余配置支持VRRP/HSRP支持NSF，GR接口要求10G/2.5GRPR2.5GPOSGE41大型城域网设备选型建议－汇聚层设备汇聚层设备主要提供高密度GE/FE接入或E1接入，承担MPLSPE/MCE功能，PE要求支持NAT多实例。GEGEGE功能要求MPLSVPNNAT多实例ACL，组播QoS(IP

DiffServ&MPLSDiffServ)可靠性要求关键部件冗余配置支持VRRP/HSRP接口要求GE/FEE1GEGEE1GEE1FEGEFE汇聚交换机做PE汇聚路由器做PE汇聚交换机做MCE42电子政务城域网（中型城市）GEGEGE城域核心交换机省干接入城域核心交换机汇聚层地市骨干路由器电子政务省干省干地市路由器核心层用户接入层CEGEPEPEPE城域汇聚交换机城域汇聚交换机城域汇聚交换机GECECECECECEFEGEGEGEGEGEPPP/PE43中型城域网设备选型建议GEGEGE功能要求MPLSVPNNAT多实例ACL，组播QoS(IP

DiffServ&MPLSDiffServ)可靠性要求关键部件冗余配置支持VRRP/HSRP接口要求GE/FEGEGEGEGEFE城域核心交换机做P城域汇聚交换机做PE44电子政务城域网（小型城市）FEGE城域核心交换机省干接入城域核心交换机用户接入层地市骨干路由器电子政务省干省干地市路由器核心层GEGECECECECEPEPEP/PE45小型城域网设备选型建议功能要求MPLSVPNNAT多实例ACL，组播QoS(IP

DiffServ&MPLSDiffServ)可靠性要求关键部件冗余配置支持VRRP/HSRP接口要求GE/FEGEGEGEFE城域核心交换机做PE46目录1、电子政务建设概述2、网络架构详细分析广域网架构分析

城域网架构分析局域网架构分析3、政务网络案例分析47局域网建设的关注点

关注点1：对局域网用户进行安全认证和行为控制

关注点2：三层交换到桌面确保整网安全性，屏蔽各种二层攻击

关注点4：新一代局域网趋势：万兆骨干、千兆桌面、WLAN、多业务融合

关注点3：接入层具有良好的扩展性，能够随需而变48补丁策略防病毒策略用户身份管理策略应用系统使用策略网络资源访问策略其它策略难执行！用户不重视不能及时准确了

解终端的安全状况有意违反无法强制执行主要原因用户安全管理策略缺乏有效的技术手段实现终端安全、身份认证、资源访问权限的统一管理！关注点1－用户接入控制49端点准入防御（EAD，EndpointAdmissionDefense）解决方案从网络接入端点的安全控制入手，通过安全客户端、安全策略服务器、网络设备以及第三方软件的联动，对接入网络的用户终端强制实施企业安全策略。关注点1－用户接入控制与防病毒软件联动防御隔离防御能力脆弱的用户终端及时更新系统补丁，提高抵抗力提高用户终端的主动防御能力身份认证与防御能力认证结合与专业防病毒系统联动多重权限控制(VLAN/ACL/QoS)多种安全部件的联动防御用户安全接入策略的统一管理组织级安全策略的强制实施用户安全状态的集中审计集中策略实施与管理事前：用户身份和防御能力认证事中：用户安全状态和行为的监控事后：用户安全状态和行为的审计以用户为中心的全程管理主动防御全面防御集中策略管理以用户为中心50个人用户性能和安全性更高。目前局域网大部分均采用私网地址，IP地址资源一般都比较充裕，可以采用30位掩码划分网段，一个用户一个网段，并且一个网段内最多也只能接入一个用户，所有用户之间的互访均通过三层交换实现。采用这种三层到桌面的方式可以有效隔离用户之间的二层报文，包括二层广播报文以及二层的攻击报文，可以极大提高用户的个人安全。同时，采用一个用户一个网段、一个网段最多一个用户的策略，可以彻底杜绝用户IP地址假冒的问题，因为不同端口的网段均不相同，即使有人假冒他人的IP地址也无法实现网络接入。网络整体性能和安全性提高。通过三层到桌面的方式，整个网络中将不再有二层报文，二层攻击事件彻底杜绝，设备与设备之间的级连链路上将只有三层报文流通，极大提高了网络带宽的利用率与网络的安全性。关注点2－三层到桌面51传统交换网络不足冗余是通过网络规划来实现，难以均衡，属于被动方式通常每台设备都需要一个管理IP地址，设备众多，管理不便LACP不能跨设备初期组网投资较大关注点3－智能弹性架构传统网络的问题52IRF介绍关注点3－智能弹性架构设备级可靠－服务器接入设备IRF数据中心ServerFarm提高网络可靠性实现跨设备端口捆绑,没有单点故障IRF设备对外来看是一个设备,实现1:N备份实现基于IRF路由热备份环状IRF结构具有高度可靠性，任何情况下的环形链路被断开均不影响整个IRF结构正常业务处理基于IRF架构保障服务器接入的高可靠性53

传统组网对用户要求IRF组网对用户要求可用性多交换机冗余,且不能很好的负载均衡大大提高了投资成本,投资效率低多台分布的交换机各自为政,整体备份每台设备都物有所值扩展性采用机架式交换机,插卡实现提前购买槽位和功能按需求增加构架的交换机数量渐进发展,按需购买,为看的到的需求花钱管理性独立式管理每台设备,浪费资源管理复杂,增加维护成本统一式管理简单易用,易于维护关注点3－智能弹性架构54关注点4－万兆骨干、千兆桌面桌面网络资源的不足已经严重滞后了工作效率用户的工作平台首先是一个网络平台。与工作伙伴、外部客户、内部核心服务器等大量数据、信息的交流沟通日益成为工作的核心。组播或视频点播、带大附件的电子邮件、文件传输器、按需备份和恢复、CRM/ERP以及Web和Java工具等多种应用都成为吞噬带宽的"杀手"，千兆位以太网逐渐延伸到桌面已经成为最迫切的需要之一。需要大容量带宽的语音、视频、多媒体等应用很得“民心”，网络的价值正在快速显现。社会经济的快速发展，企业、政府、教育、金融、电力等等多种行业不断追求办公、办事效率的优化，同样对高带宽办公网有着迫切的需求。55关注点4－万兆骨干、千兆桌面技术层面千兆、万兆以太网技术已经相当成熟。大家都希望能够获得最大带宽，但是没有人希望自己的网络成天出问题，为了解决网络问题绞尽脑汁、疲于奔命。对新技术稳定性的担忧一度阻碍了千兆、万兆的大规模应用。千兆和万兆的标准已经相当完善。万兆以太网2002年就已经提出并通过IEEE评审发布，而1000BASE-T的标准（802.3ab）早在1999年就已经发布，并且采用标准第5类（Cat5）铜线电缆传送信号，这使得大部分网络改造无需重新布线。千兆接口可以通过自适应技术兼容以前的10M、100M终端。技术的标准化大大推动了千兆、万兆技术的发展和应用，目前，客户对于千兆甚至万兆稳定性的担忧正逐渐成为过去。56关注点4－万兆骨干、千兆桌面价格层面价格的大幅下降是实现“千兆到桌面”的前提条件要规模应用就必须在价格上使客户能够接收，特别是在接入侧端口数量巨大，价格的影响不容忽视。千兆网卡的大量应用。目前新的PC主板中很多已经包含了内置的千兆网卡。千兆网卡的价格已经接近百兆网卡，一些厂商的10/100/1000M网卡价格已经降低到100元左右。半导体技术的发展。半导体技术的发展拉动了“千兆到桌面”的发展。

千兆网络芯片市场竞争激烈，芯片网端口的价格大幅下降，网络用户成为最大的获益者。万兆价格的下滑。目前高密度万兆接口板的推出及万兆端口价格的下滑，使万兆的应用范围从核心向边缘甚至接入层迁移，也极大的促进了千兆到桌面的发展。57关注点4－WLAN部署无线局域网，凡是自由空间均可连接网络，不受限于线缆和端口位置办公大楼接待室室外休息室58关注点4－多业务融合政府下属单位汇接PBX办公PBX汇接PBX办公PBX交换机路由器交换机路由器2ME1155M/622M网关网关CS

③

①MCU会议电视会议电视MCU

②可视电话IP电话可视电话IP电话59成功案例分析公安部新大楼高检院新大楼知识产权局新大楼北京高法院新大楼用户接入控制三层到桌面智能弹性架构万兆主干，千兆桌面关注点60公安部新办公大楼局域网公安部一级网网管中心Web/Mail/DNS网络管理层核心交换机10GE10GE网络核心层千兆链路GEGEGE核心交换机CAMS认证服务器Floor12#S6506R1#S6506R4#S6506R6#S6506R3#S6506RFloor82#S6506R1#S6506R4#S6506R6#S6506R3#S6506R网络接入层…………2GEGEGE61最高人民检察院新办公大楼局域网网络接入层网络管理层S8512S851210GECAMS用户认证平台网管中心Web/Mail/DNSGE检察院一级网网络核心层2#配线间3#配线间4#配线间5#配线间6#配线间7#配线间8#配线间4*GE10GE2*10GE2*10GE2*10GE4*GE2*GE9#配线间10#配线间11#配线间12#配线间13#配线间14#配线间15#配线间2*10GE4*GE