政府行业解决方案v1-华讯方舟软件

PAGEPAGE14政府行业解决方案政府目录1. 网络建设需求设计 41.1. 现状分析 41.2. 建设需求分析 42. 网络建设方案设计 52.1. 方案总体设计 52.2. 各平面网络设计 62.2.1. 骨干平面设计 62.2.2. 数据中心设计及安全 72.2.3. Internet访问区设计及安全 82.2.4. 接入区设计 92.2.5. 安全设计 102.2.6. 语音系统设计图 102.2.7. 全网逻辑图 122.3. SPB网络技术简介 132.4. 有线网络架构（SDN架构） 162.4.1. 灵活的语音视频支持 182.4.2. 边缘部署、保护现网架构 182.5. ONA架构 192.6. 认证、计费系统 202.7. 运维管理 212.7.1. 云管理平台基于SDN架构 212.7.2. 配置简单 212.7.3. 管理维护成本低 212.7.4. 原有网络设备投资保护 212.7.5. 低耗能绿色环保 213. 产品介绍 223.1. 本地云节点—NAC 223.2. 中心云管理平台 223.3. 有线产品 223.3.1. 接入交换机—ERS3500系列 223.3.2. 支持SPB交换机-ERS4000系列 233.3.3. 支持SPB交换机—VSP8404系列 233.4. ONA产品 243.5. 安全产品 243.6. 语音系统 24

网络建设需求设计现状分析

政府机构应用现代信息和通信技术，将管理和服务通过网络技术进行集成，在网络上实现政论组织结构和工作流程的优化重组，超越时间、空间与部门分隔的限制，全方位地向社会提供优质、规范、透明、符合国际水准的管理和服务。

建设需求分析针对政府行业的网络建设，网络中存在多个子网:办公系统、门户系统、安保系统、IP语音/多媒体、访客系统网络等。在网络建设时，必须满足以下需要：网络建设需求：高性能网络平台：接入到汇聚，以及汇聚到核心均采用万兆连接方式。保证语音的通信质量。高可用性：任何链路故障或者网络设备的故障，整个网络必须能在1s内恢复，对上层的业务系统不造成任何影响。各个网络进行逻辑隔离，各个网络互不通信，只有在需要的时候开通互通网络通道。良好的容错性：有效避免人为故障，例如核心设备上插错端口，或者不小心连接成网络环路时，网络能够自动识别和定位故障点，并在无需人工干预的情况下快速自愈。简化管理：新业务开通或者网络节点的开通必须简单易行，减少新业务部署时间。PoE能力：接入交换机全PoE供电能力。预留新大楼接入端口内/外网认证系统统一的管理网络建设方案设计方案总体设计网络进行规划设计，满足未来业务的需要，根据对政府网络的保密性、安全性，对网络进行逻辑隔离。根据管理和服务的功能定位，并依照业务种类、服务对象和安全性要求的差别，采用层次化分区设计方法对网络进行规划，将网络划分为不同层级和若干功能区域：网络规划如下图所示：如上图所示，根据政府网未来发展出发，网络分为四层，数据中心平面、骨干平面、接入平面、INTERNET层；每个层面负责不同的功能职责，承担不同的要求，同时使用SPB技术，进行各网网络隔离。接入平面接入IP电话、模拟电话、PC、视频会议系统、无线AP，来为整个政府网的用户进行服务。整个网络仍然采用分区、分层设计，通过中心机房、到各个楼、各个校区的树形网络拓扑，将整个政府网络连接起来，用户通过网络正常办公和数据中心访问，同时提供完善的信息服务和访问Internet服务。各平面网络设计骨干平面设计骨干区是个整个网络的核心，所有区域都接入到骨干区，与各区域之间的数据都通过中心机房核心交换数据，从网络可靠性和安全性的考虑，核心应选择电信级设备进行组网。具体如下图：骨干区核心采用2台数据中心级交换机，并通过堆叠技术，逻辑上将2台核心交换机虚拟成1台，提高网络的可靠性的同时，交换性能翻倍。骨干区楼楼宇汇聚采用2台交换机作为汇聚交换机，2台汇聚交换机通过堆叠技术，逻辑上将2台核心交换机虚拟成1台。配合核心交换机的配置SPB，将上联带宽进行捆绑，提高上行链路的带宽。如下图所示。数据中心设计及安全数据中心区是数据服务的核心，是政府网管理者对用户提供信息化服务的服务器所在，因此接入的带宽和网络接入的可靠性是非常重要的，而服务器的安全也需要按着需求进行安全全部署，以保障服务器的安全。考虑到数据中心将会承载大量的数据，对带宽和可靠性要求高，因此网络设计如下图：如上图所示，数据中心作为一个单独区域，拥有独立的核心交换机，与骨干区的核心分开独立，同时服务器交换机前端需要使用防火墙进行服务器防护，提高各区域之间的安全可控。考虑到未来的发展，此种部署模式，可大大降低数据中心的风险，政府工作人员需要访问数据中心时，通过政府内网网络访问数据中心服务器应用。同时在数据中心部署网管平台管理政府网络交换机，进行统一的管理，认证平台NAC对所有接入网络的用户进行认证。保证内部接入的访问安全。服务器区采用双设备，冗余的设计，配置2台数据中心级交换机作为服务器接入，2台交换机采用堆叠技术逻辑上组成1台，保证服务器的正常数据交互。Internet访问区设计及安全Internet访问区主要提供用户的上网服务，对于Internet的带宽的合理利用和审计，需要在出口部署安全产品进行限制。具体拓扑图如下：如图所示，鉴于加强Internet的可靠性，不仅在增加出口带宽的同时，对冗余出口进行设备的冗余部署，以避免单点故障的产生。对于安全性，建议采用防火墙进行安全防护，防护来自于Internet上的安全攻击，对于多条运营商链路带宽，建议采用负载均衡器设备，由负载均衡器进行链路的选择，充分利用多条链路带宽，以实现链路带宽的合理使用，保障用户上网的速度和良好体验。接入区设计接入区为每栋楼的网络系统，楼内包括楼层汇聚点和各楼层之间的接入设备，同时也包括一些楼内的电话系统、监控、无线点的部署（提供楼内无线的覆盖）。如上图所示，楼内网络采用二层架构，楼内汇聚和接入，楼内汇聚建议采用交换机，通过堆叠技术将2台物理设备虚拟化逻辑上1台，并配核心交换机运用SPB技术将上联线路捆绑，进行快速的收敛网络。形成可靠性连接，同时网络带宽成倍增加。2台楼内汇聚分别下行千兆光纤到接入，接入交换机采用千兆接入交换机，上行千兆连接楼内汇聚交换机，下行千兆连接终端，满足接入用户的上网需求。安全设计在数据中心和INTERNET出口中部署防火墙，提供了高级安全防护功能包括状态检测防火墙、VPN、防病毒、IPS、Web过滤、反垃圾邮件与流量控制等功能，同时外网网络需要访问内网网络时，进行安全防护和访问控制。保证网络的安全，防火墙主要特点如下：1、采用ASIC加速硬件与专用安全操作系统2、提供应用层的安全3、虚拟安全域(Virtualsecuritydomains)与安全区域(securityzones)4、高可用性5、安全区域(securityzones)与基于策略的(policy-based)设定6、动态路由协议(Dynamicroutingprotocols):RIP,OSPF,BGP7、详细的记录与报表全网逻辑图在所有网络交换机上启用SPB新一代网络技术，网络逻辑拓扑图如下所示：所有为网络设备会组成一张网络云平台，云平台的所有节点通过动态拓扑维护协议来自我识别，自我管理以及自我维护。核心层所有设备之间可以按需连接，整个网络可以组成一张网状网，同时数据流量还能在多个路径中负载均衡，保障整个网络的高效运转。此外，由于SPB数据中心网络协议的优良设计，任何节点或者链路的故障时，网络都能在200ms之内切换到冗余节点或者链路上。综合来说，SPB技术提供了一个“业务永远在线”的网络平台，具体的优势体现在：1、弹性：任意设备或者链路的故障网络将在200ms内自愈，不会对政府业务造成任何影响。2、简洁：新的大楼网络节点接入，例如新大楼接入或新业务开放时，所有配置均在网络接入层交换机上配置，网络核心和汇聚不需要再作任何变动，真正的“零配置”核心和汇聚。3、高效：自动寻找最佳路径传输，支持多条路径的负载均衡。网络所有链路和节点都处于工作状态，物尽其用。保护了用户的投资。4、健壮：网络拓扑由设备自主维护人为操作失误不会影响网络正常运转，例如：正常情况下，SPB网络可以允许科室使用自带的家用交换机扩展网络，而一旦该交换机的环路可能会造成了网络风暴，影响到整个网络安全，则SPB网络能自动定位到相应物理端口并自动禁用，保障业务的正常运行。SPB网络技术简介传统网络的局限数不胜数，例如不可靠，无法预测；难以达成有效规模；复杂度无法避免；资源利用率低下；新服务配置使用延误，服务时效缓慢；维持通信流的独立非常困难，等等。网络核心透明化是未来网络和数据中心的目标。将数据中心和核心基础设施合二为一，无缝整合各种服务（通常我们指的是虚拟计算系统提供的各类应用），借此，可用性、性能和效率都能得到显著提高。当网络支持简单高效、且高度细化的映射功能时，简化服务编排将成为可能。创建网络透明性基础所采用的技术将和最短路径桥接-也即SPB，SPB以运营商级技术为基础，今天已经在许多服务提供商网络中得到了实践检验。它在简化性、可扩展性、性能、可靠性、服务编排与服务抽象等的关键领域提供了多种新功能。这种透明网络围绕一个功能强大的容错、自知性核心而建造，其设计特色在于服务供应只发生于网络边缘。优势立竿见影，显而易见；管理工作明显减少，错误得到避免，服务速度也大大加快。SPB的一大特点是，它遮蔽了设备、链路和协议，通过一个逻辑上的扩展以太网LAN，为多个端点提供连接。这个概念非常简单，并且SPB是以一种相当特别而有趣的方式实现它的。它采用了一种名为IntermediateSystem-to-IntermediateSystem（IS-IS）的既有动态链路状态路由协议，并对其加以扩展，在SPB域的各个节点之间共享拓扑、可达性和设备信息。每个节点都依据自己的判断审视网络，包括抵达任意目的地的最佳路径，因而得以创建出一个全面分布式、动态维持的解决方案。各个SPB节点围绕域的周边创建、并分发一个包含其所直接支持的全部附加服务、服务器和网络的数据库。通过将客户MAC地址（C-MAC）封装到基于802.1ah格式的报头内，SPB可有效的使网络核心看不到边缘；SPB云端内部的节点逻辑上同客户网络相脱离，确保了其扩展能力和稳定性。重要的是，这种解决方案还带来了出色简化性，特别是在供应领域。虚拟LAN（VLAN）的概念会广为人知，每个VLAN通常都与一个独特的IP地址范围相关联；服务器被分配到适合的VLAN，并获得一个地址。应用与服务器虚拟化使系统很难支持动态虚拟化，再加上横跨扩展数据中心管理VLAN分发所可能带来的麻烦，网络复杂化进一步加剧。SPB将每个VLAN例程分别映射到一个服务标识符（称为I-SID），用于向网络告知这些服务，从而完美解决了这个矛盾；各个需要连接的SPB节点会自动计算自己的最短路径，输入其转发数据库。用户既不需要配置核心来传递服务VLAN，也无须管理路径选择或冗余性，同时更避免了配置出错的风险。作为SPB模式的一大额外优势，传统网络所固有的许多稳定性问题得到彻底避免。考虑到拓扑由IS-IS（而非生成树）管理、以及客户网络内部的MAC地址向核心隐藏等等各种因素，网络边缘的循环、广播风暴等不会影响核心或其它任何客户环境。避免环路是传统以太网络的根本特征之一，然而，SPB则引入了循环抑制方法，来优化拓扑改变期间的转发决定。网络性能将得到全面优化，因为SPB从根本上即围绕“最短路径”连接而成立。通过在通用服务之间创建对称最短路径，SPB让所有可用资源都能达成最佳可能利用率，事实上它支持多条同等成本路线，因此负载共享可自动实现。老式生成树网络内部基于远程根的阻塞路径和次优路径的种种限制已经消失。得益于SPB路径的对称特质，SPB提供了可预测路径选择，用以协助运营诊断和管理。下面为SPB设计的网络示意图需要注意的是，由于SPB在整个网络范围内执行单一链路状态信息摘要交换，各条根路径之间不再需要协商。这意味着，为实现网络覆盖所交换的信息数量同拓扑改变次数、而不是网络中组播树的数量成正比。可能改变多个树的简单链路事件在传递时只发送链路事件本身；同样的，可能涉及到数百个树的重建的桥移除事件在传递时也只发送几个链路状态更新。最后，SPB可称为真正的数据中心“量身定制”；它与多种不同的服务器/应用虚拟化技术完全兼容，例如VMware和Hyper-V等。SPB还全面支持Microsoft的二层网络负载均衡解决方案（NLBS），并对现有的三层冗余技术VRRP透明。简而言之，SPB在数据中心内部扩展二层功能，让这一公认的最有效传输层的效率再获提高，同时使其更具扩展能力。在二层透传模式下，如在建立的VLAN透传透传模式下，虚拟服务园区网不需要为上层这些应用系统创建和规划IP地址，下层的虚拟服务网对上层完全透明，任何IP层的故障对于底层网络而言，均无关联，彻底屏蔽和本地化故障。三层IP捷径路由则由虚拟园区网直接提供路由，不需要额外的路由设备。路由的设计也非常简洁，路由跳数相比传统的园区网大大减少。上层功能与VRF这可以进一步提供路由表的分离，来实现IP层面的虚拟化VSN之间的路由则可以进一步提供增强功能，在提供IP层面虚拟化之后，还可以提供虚拟服务网络之间的路由。在这个园区网络中即实施逻辑的业务之间的分离，又可以实现VSN之间的互通。有线网络架构（SDN架构）在传统网络中，数据平面是网络的一部分，提供规则来管理数据包。SDN是一种新型的网络架构，它的设计理念是将网络的控制平面与数据转发平面进行分离，网络设备只负责单纯的数据转发，而原来负责控制的操作系统将提炼为独立的网络操作系统，负责对不同业务特性进行适配，通过编程实现。通过部署基于SPB协议的SDN有线网络，可以达到核心零配置，这样管理就更加简单方便。共享基础网络设施，可将内网等多个网络采用一套硬件设备进行虚拟化隔离组网，大大减少了设备的资源浪费和用户投资压力。无需使用任何VPN设备即可安全、可靠、简单、方便的打通政府、远程站点之间的通讯。可以跨互联网进行通讯，组成一个虚拟数据中心，重要数据可以进行异地备份。可对各种用户类型统一做不同的身份认证、流量管理及计费，如用户采用802.1x认证方式，政府访客采用WebPortal方式认证。通过SPB协议，可以使政府各种应用系统完全隔离，并且也是在网络边缘进行简单配置。整个网络虚拟连接云，用户和网管人员都无需关注网络拓扑，设备配置等细节，所有节点具备对称的一致性配置，网络设备变得即插即用：配ID，启协议，插网线。灵活的语音视频支持为每个组播组自动创建虚拟视频子网络，分配不同ID号，用户终端通过传统的组播注册功能，自动加入所需的虚拟视频子网络中。网络设备自动维护拓扑，网络配置命令减少25倍，拓扑变化时，视频流恢复时间小于1秒摄像头承载能力提升数十倍，可达数万规模。边缘部署、保护现网架构使用avaya4500系列交换机部署在政府网络边缘，可以在不改变原网络架构下，快速部署一套基于SPB协议的SDN架构网络ONA架构OpenNetworkingAdapter(ONA)开放网络适配器，在可保证原有网络不改变的情况下，PC、POS（收费网络）等设备连接ONA设备结合SPB技术建立虚拟加密通道，通过内网络或者互联网网络直接和该服务器群组进行网络互联。只需要接入端和核心端使用avaya设备即可，中间的网络交换机仍可用原有品牌即可。通过ONA设备，IT管理网可以非常方便的管理远端的设备，减少运维成本。认证、计费系统提供SSO服务，管理整个系统的账号。这些账号仅限于系统的管理账号。基于RADIUS的多级认证、计费系统。支持虚拟运营商，支持不同组织单位之间的隔离。虚拟运营商之间的计费系统在数据库层完全独立。PORTAL系统分为前后台。前台PORTAL系统负责展示PORTAL页面。后台PORTAL系统就是策略系统，负责对5W+B策略进行设置包括虚拟运营商管理系统，代理商管理系统，组织单位管理系统三个级别虚拟运营商拥有独立的认证计费系统，独立的广告管理权限，基于有线/无线的PORTAL管理权限。虚拟运营商会根据PORTAL页面的尺寸和出现的场合，设置相关的展板。在展板中投放广告内容广告的内容和PORTAL的页面需要结合后才能生效最终能够实现管理、认证统一政府网络接入中，办公用户接入网络进行802.1x认证，访客用户使用WEBPortal认证内网访问—802.1x+AAA办公用户使用的认证计费系统，只是针对安全接入，只认证不进行计费。内网主要用途是承载内部员工访问内部各种应用。员工接入网络使用802.1x+AAA的方式接入网络。保证网络安全。外网访问—WEBPortal+AAA外网访问主要针对访客访问外网，不进行计费，对外网特别是INTERNET的访问需要进行严格的管理，实施针对访客的认证、授权、管理，不仅能提高网络使用的安全性，还能够打造出可运营的