1、XX省党政信息网方案技术提议书目 录第一章背景介绍3第二章总体需求分析42.1网络现实状况42.2 总体目标42.3 工程概述及关键建设内容4第三章政务专网方案设计63.1 设计思想63.2 政务专网设计标准83.3 政务专网建设目标及业务应用需求分析83.3.1 基础要求93.3.2 应用系统93.4 政务专网总体网络设计描述103.5 专网广域网设计133.5.1 专网广域网拓扑结构设计133.5.2 专网广域网组网结构设计153.6 专网城域骨干网互联设计223.7 专网用户层网络结构设计233.7.1 专网用户层接入设计243.8 专网VPN互联设计243.9 网络管理283.9.1
2、网络管理关键性283.9.2 网络管理软件要求283.10 网络设备要求293.10.1 网络硬件设备技术要求294.10.2 网络管理软件要求323.11 路由策略323.11.1 IP路由规化333.11.2 IP地址规化343.11.3 MPLS技术在XX省政务网中应用343.12 带外网管实现383.13 网络可靠性设计423.13.1 政务信息网组网结构可靠性设计423.13.2 政务信息网设备可靠性设计选择43第四章 专网对应用系统支持454.1 QOS策略454.1.1 关键QOS服务模型454.1.2 QOS策略464.1.3 结合MPLSQOS确保484.2 VOIP系统支持
3、484.3 电子邮件系统及其它应用系统支持49第一章背景介绍伴随以信息技术为关键标志科技进步日新月异,以数字化和网络化为关键特征信息化浪潮正以汹涌之势席卷全球,对人类未来产生着难以估量深刻影响。现在,XX省委、省政府和大部分省直部门均已建成各自内部局域网,但多数省直各部门没有建设纵向网,省市对口部门之间信息长久无法高效交流,信息资源共享性差;少数省直部门使用电话拨号和窄带联网方法进行了省市联网,但传输速率低,安全保密性差,无法满足数据业务及多媒体传输要求。为此,XX省信息化领导工作小组决定建设XX省政务信息网纵向网工程,以处理全省政务部门省市联网及信息交换问题。第二章总体需求分析2.1网络现实
4、状况现在,在XX地域已初步建成省级关键网及政务专网,省委、省政府、省人大及快要100个省直部门,已经过光缆实现了横向网络互联、信息交流和共享,而且在电子政务专网上经过防火墙和因特网隔离。在XX市区铺设了独立光缆线路约100公里,形成了4个一级节点(省委大院、省网管中心、省审计厅、XX大学)和若干个二级节点;一级节点之间形成了光缆环路,一级节点和二级节点之间形成星型联接;一级节点或二级节点至省直各部门之间铺设了6芯光缆,其中2芯光纤用于接入关键网,2芯光纤用于接入电子政务专网,2芯光纤备用。另外还有部分单位还未铺设光缆,计划租用电信运行商现有光芯。2.2 总体目标省政务信息网电子政务应用平台建设
5、关键目标是:建立一个开放、基于标准电子政务统一应用平台,实现信息交换和资源共享,面向公众提供服务,增强各部门工作透明度。分别支持数据、语音和视频业务,运行各部门业务系统,实现各网间信息交换和资源共享,同时建立完善信息安全体系和对应备份系统。本期应用平台建设本着先易后难,逐步推进、逐步完善标准:总体计划,统一标准 完成信息报送标准化制订;完成关键业务系统数据库指标体系制订,为下一步实现异构系统整合奠定基础。建立健全信息安全保障体系。在应用方案总体设计上,全方面计划信息安全保障系统,实现一次登录,即可访问全网授权。处理政务信息网上信息传输安全性问题,经过数据加密、权限管理、CA认证等手段预防信息在
6、传输过程中被窃取、篡改、偷看、越权等问题,同时应预防冒名和抵赖。建立终端安全监控系统,预防因开后门而造成全网安全漏洞产生。2.3 工程概述及关键建设内容XX省政务信息网纵向网分为两个物理网:XX省政务信息网纵向网政务关键网:简称关键网;XX省政务信息网纵向网政务专网:简称政务专网;联接省委、省政府、省人大、省政协和省直各部门网络平台即为省级统一网络平台(包含省级关键网网络平台和省级政务专网网络平台)。联接市委、市政府、市人大、市政协和市直各部门网络平台即为市级统一网络平台(包含市级关键网网络平台和市级政务专网网络平台)。关键网和政务专网之间实施物理隔离,省级关键网络平台和市级关键网络平台连接,
7、省级政务专网网络平台和市级政务专网网络平台相联接,形成XX省政务信息网纵向网(物理上为关键网纵向网和政务专网纵向网)。设区市建设范围:市级网络平台和省级网络平台联网设备、视频会议设备、IP电话网关设备由省网管中心投资建设。此次工程关键建设内容以下:1、构建省、市专网网络平台,实现省专网网络平台和市专网网络平台之间互联互通。2、构建省、市政务专网网络平台,实现省政务专网网络平台和市政务专网网络平台之间互联互通。3、在专网上建设IP电话(VOIP)系统、电子邮件系统。4、在政务专网上建设电子邮件系统、公文交换系统、CA系统、门户网站系统、IP电话系统、IP TV系统、视频点播系统。5、建设(改建)
8、政务信息网信息公布、信息交换和信息共享应用平台。第三章政务专网方案设计3.1 设计思想政务专网是非涉密网,本方案总体设计思想是以关键网应用需求(具体需求见下文)为指导,努力争取为XX省党政机关提供一个安全、优异、灵活,高带宽、高可靠性多业务涉秘网络平台。使得XX省政务网能够基于这个平台,实现不一样部门机关之间安全高速数据共享,尽可能简化办公步骤,提升办公效率;并为以后新业务发展,快速推出对应新业务打好良好基础。为确保多个基于宽带服务和新型IP技术服务,本方案将从多个业务服务角度出发,建立多层次服务业务平台。政务专网具体应用需求以下:能够为某一系统提供专用虚拟通信通道,组建系统纵向互联网络,和提
9、供横向公共访问通道,如:为省政府提供和各部门通信办公虚拟通道为省直各部门提供和部门内纵向通信虚拟通道为IP电话服务提供公共虚拟通信通道,并确保IP电话QOS要求。WWW访问服务等具体表现在:1.各地市部分:各个厅、局单位能够访问各地市各厅、局公共服务器,访问权限由各厅、局单位控制。2.省中心部分:a. 各省厅单位提供服务器,为其下属单位提供信息服务,而限制其它厅级单位访问。一些厅、局单位需要和同系统厅、局单位之间组成VPN,提供主机和主机之间通信。b. 省厅单位有专有工作站用于和省机要局服务器访问。c. 各厅、局单位能够访问国家对口单位服务器。d. 其它需求和各地市部分相同。l1)利用MPLS
10、技术,在公务网网络平台上为各个机关部门提供虚拟专用网(VPN)服务。机关部门能够在政务网所提供网络平台上取得IP网络业务,并合并数据、语音和视频业务。政务网不仅能够为机关部门提供端到端等级协议(SLA),并保障服务质量(QoS)。VPN很自然满足了用户对共享公用基础设施上实现Intranet和Extranet业务需求。机关部门能够在作为一个城域网政务网上得到和在当地局域网中相同安全性、可靠性、可用性和可管理性网络服务,而无须每个部门全部去建立一套自己城域连接网络。现在能够应用多个不一样技术实现VPN,但基于MPLSIP VPN网络能够很轻易地和基于IP用户网络结合起来。租用者可和供给商提供服务
11、无缝结合,无须改变Intranet应用,因为这些网络含有应用通晓性、保密性且QoS内置于网络中。用户能够使用她们专有IP地址而无需NAT(网络地址翻译)。l2)利用宽带IP技术,实现网络对语音和多媒体业务良好支持。语音和多媒体业务是一个对业务实时性,安全性和可靠性全部有严格要求特殊业务。所以在网络设计和建设上要求能够满足对语音和多媒体业务支持,针对不一样业务提供不一样服务质量。l3)利用有效网络管理平台,确保网络运行可靠,并为接入单位提供MSP服务。网络管理平台采取模块化设计网络管理软件,将其统一在公共管理框架中,便于管理系统各功效模块间进行管理信息共享和数据交换。而且做到管理服务器不仅支持单
12、机中央处理模式,也同时支持多服务器分布式处理模式,并能实现从中央处理模式向分布式处理模式地平滑过渡。如此,可确保网络管理系统能适应网络规模增加。在以下章节中将具体介绍这些技术特点。3.2 政务专网设计标准政务网作为党政机构网络,有其特殊性,所以网络设计不能和其它城域网完全等同。在网络设计过程中遵照以下标准1.安全性政务网在物理上是完全和外部公网相隔离专用网络,政务网内信息对外界是绝对保密。所以,网络设计、各类线缆、设备辐射指标应达成相关安全要求。2.优异性政务网作为XX省党政机关专用网,在一定程度上反应出XX省信息产业发展情况,在网络方面要求含有当今业界领先技术水平,以确保目前及以后一段时间内
13、各类应用顺利运行,包含:网络交换能力、设备冗余能力、IP增值服务等。3.可靠性政务网含有其特殊性,一些应用要求高度稳定性、可靠性,所以要求从各层次网络设备到数据链路全部进行充足冗余,对于网络运作系统应进行备份。4.可用性 网络结构和带宽能够满足目前多种应用需求;5.开放标准及可扩展性网络建设采取开放、成熟技术标准,方便设备含有愈加好兼容性,确保能够在建成后网络基础上,在不影响目前应用前提下进行顺利扩展或平滑升级。6.可管理性能够为网络维护和运行提供强大基于GUI管理平台,首先简化操作、首先能够实时监控网络设备,第三提升故障处理能力。3.3 政务专网建设目标及业务应用需求分析3.3.1 基础要求
14、XX省政务纵向网政务专网(以下简称为政务专网)必需遵照实用性、可管理性、高安全性、可扩展性、稳定性、优异性等相关标准。 城域网一级节点间采取千兆相连,并可提供2条以上千兆以上端口捆绑功效;一级节点和二级节点间采取千兆相连,用户采取百兆光纤接入,而且用户端交换机满足802. 1Q协议,提供VLAN、TRUNKING功效,全网提供MPLS VPN功效,方便为省直部门提供和省委办公厅、省政府办公厅等虚拟专网通道。该网络软、硬件必需含有升级功效,能进行该网络横向主干带宽和纵向主干带宽扩充(带宽最少能进行1倍以上扩大)。主干环网要有自愈功效。关键设备要有热备份引擎、关键板卡冗余和链路冗余,1台冷备份冗余
15、。能有效传输数据、语音和图象,尤其是能满足VOIP传输带宽要求。全部网络设备必需含有近端和远端管理功效,并由统一网管系统进行管理。全网提供MPLS VPN功效。3.3.2 应用系统1电子邮件系统政务专网电子邮件系统不仅支持SMTP、ESMTP、POP3、IMAP4、MIME等Internet标准邮件协议,支持标准LDAP目录服务、多域名、邮件列表管理、邮件过滤、抵制垃圾邮件和防杀病毒邮件、Web-Mail等功效,同时必需提供数字证书、数字加密、数字邮戳等功效以确保电子公文传输实时性和正确性,有效地保护敏感文档,预防她人冒充、偷看、窃取和篡改,避免邮件丢失、收件人抵赖。该邮件系统可开设不少于50
16、00个信箱。2IP电话系统省网管中心作为一级节点,各设区市作为二级节点,组成全网IP电话系统,最大IP电话用户数门。每设区市配置可提供16门电话接口网关,提供PCM电话中继接口,系统含有话音业务承载能力,提供无失真电话和传真业务,对时延控制有很强灵敏度。3 政务专网应用平台建设政务专网统一应用平台,实现党委、政府、人大、政协机关之间业务和信息交换分级互联,为党委、人大、政府、政协高层提供直接信息服务;建设政务动态信息资源库,关键包含政务办公系统非涉密公文、快报、信息参考,部门信息化系统提供例行汇报、综合分析和动态监管信息,重大省情统计分析,社会各界提议、举报信息、重大突发事件、社会热点、新闻热
17、点等动态信息。政务专网应用平台上建立全省非涉密公文电子交换系统,改变传统手工传输工作方法,实现政务部门非涉密公文、信息、会议、督查等关键办公业务数字化和网络化,公文和信息传输无纸化。 该系统基于WEB界面,含有跨平台性。可定制标准化非涉密公文模板,提供身份识别功效、压缩传输功效、解压接收功效、收发文管理功效和催办回复功效。各入网单位可视本单位实际情况,建立内部公文运转和查询系统。4. 视频点播提供领导基于宽带视频点播服务;实现窄带(采取流媒体格式)视频服务应用,支持实时播放功效。5. IPTV建设IPTV系统。6省直部门本行业信息应用系统省直相关部门将在该网上建立信息应用系统,省直部门经过政务
18、专网和市级对口部门进行信息交换,形成省直各行业、各系统虚拟行业纵向网。这么虚拟行业纵向网通常将有约60 个(由省直个部门自行建设)。7 省直各部门横向信息交换应用平台3.4 政务专网总体网络设计描述依据以上政务专网网络设计思想及应用需求,鉴于政府各部门特殊安全性要求,在总体建设上采取业务和网络分层构建、逐层保护指导标准,在逻辑层次及业务上,专网构建实施以下分配:专网互联支撑网络安全保障系统网络业务应用图 3-1互联支撑层是专网基础,由网络中心统一计划、构建及管理,支撑层利用宽带IP技术,确保网络互联互通性,提供含有一定QOS带宽确保,并提供各部门、系统网络间逻辑隔离(VPN),确保互访安全控制
19、;安全保障系统是指经过认证、加密、权限控制等技术对专网上用户访问及数据实施安全保障监控系统,她和互联支撑层相对独立,由网络中心和各部门单位共同计划,分布构建,如数据加密等方法提议在用户网络处(各部门)处实施;业务应用层就是在安全互联基础上实施政务网多种应用,由网络中心和各系统单位统一计划,分别实施。依据网络建设目标,专网互联支撑网络组成部分以下图所表示:图 3-2图中专网广域网和各地市宽带城域网,和未来县级城域网是政务信息网运行支撑,统一计划构建;而各厅局、单位子网则可在统一标准基础上分布构建。为使政务网网络构建及维护简单、层次清楚,对于专网统一构建运行部分,其层次结构分为专网广域网、城域网骨
20、干层、用户接入层三部分,以下图所表示。图 3-3组网设计说明:1、专网网络结构可分为三层:专网广域网、专网城域网骨干层(POP层)、用户接入层。2、专网广域网将各地市连接为一个支撑整体,设计思绪为考虑骨干节点2-3个能形成冗余组网以提升可靠性(一期建设为1个),汇接节点11个(地市),并要考虑未来政务网连接到县级网络扩展性。政务网骨干网络应含有较大承载能力和扩展空间,选择含有高带宽、高扩展性传输技术。如SDH、ATM。并由光纤线路承载。3、各地市(及未来县)城域网为政务网提供宽带IP接入,目前利用以太网技术构建城域网含有最好性价比。一期建设为11个地市城域网。4、使用MPLS技术建设广域主干网
21、络,在各地市间使用MPLS VPN划分隔离不一样行业系统或部门;MPLS VPN延伸城域网骨干层,以取得愈加好网络性能;城域网用户接入层使用VLAN划分不一样行业系统或部门。VPN技术为以后数据安全隔离、网络服务质量确保、多类别服务提供了技术上确保。总而言之,政务专网网络结构可分为三层:广域骨干网、城域宽带骨干汇接层(POP层)、用户接入层。设计思绪为考虑广域骨干节点2-3个(一期建设为1个)、广域POP节点11个,城域汇接节点11个,用户接入层节点若干个。以下具体设计说明将基于这些数据。3.5 专网广域网设计3.5.1 专网广域网拓扑结构设计专网广域网建设可有两种拓扑结构,星型结构及星环型结
22、构,图4-4、4-5所表示:图3-4 星型结构图 3-5 星环型结构星型结构特点是结构简单,网络距离、时延固定,便于管理,但中心节点线路及设备端口需求压力大,存在单点故障问题,如要进行灾难备份需要再建设一个备份网;星环型结构特点是结构有部分冗余,可进行负荷分担,网络可靠性高,并支持灾难备份,中心节点压力相对较小,但管理上相对复杂部分,租用线路多了一条,时延抖动相对较大,需要考虑及符合运行商实际物理网络情况才能取得很好备份效果。本着逐步建设标准,同时确保中心节点可靠性,在一期工程时使用星型结构,以省中心为全网骨干节点,但这里深入在省委和省信息中心分别设置节点作为整个网络中心,中心两个节点相互连接
23、,同时对全网进行负荷分担,中心两个节点全部采取高可靠性和高性能路由器设备。这种结构仍属于星型结构能够更方便地向星环型多中心骨干节点网络过渡,同时中心节点本身可靠性也得以确保。3.5.2 专网广域网组网结构设计依据现在广域网采取主干技术及运行商线路等资源情况,专网广域网设计方案有3种:1、采取ATM线路方法;2、采取非信道化SDH 155M(POS)点到点连接;3、采取信道化SDH(即CPOS)对接;下面对这多个方案进行分别介绍。3.5.2.1 专网广域网ATM线路方案分析ATM线路组网方法以下图4-6所表示:图 3-6说明:1、在物理上使用运行商155M ATM线路。中心节点设备需要支持多个1
24、55M ATM接口模块(最大10个),经过多条155M线路和运行商ATM网相连;下面地市分别采取1个155M接口和当地运行商ATM网相连;节点间互联实际带宽依据PVC来设置;在省中心和地市之间利用其它运行商2M E1线路备份组网,提升网络可靠性。2、优点:在运行商ATM网络中地市和中心节点间实际是经过PVC进行互通,在网络业务流量不大情况下,能够申请取得小于155MPVC,带宽能够平滑升级,根据PVC实际提供流量及端口费用进行计费,会一定程度上降低运行费用,且中心节点设备不一点需要配置10个接口就能够满足通信要求。因为ATM网络经过全网可达PVC进行互通,所以能够方便地经过设置多条PVC连接到
25、不一样节点,从而进行链路备份。3、缺点:用ATM网络承载IP效率比较低,尤其是在小包情况下,如IP电话小包,在PPP链路上只需要16Kbps左右带宽,而在ATM线路上因为信元税、包截断取整填充等过程,需要44Kbps带宽;在高带宽需要时,费用会急剧增加超出POS线路。ATM线路只有少部分运行商能提供,不利于经过运行商竞争取得运行费用降低,且覆盖范围不够广。另外,因为运行商发展方向不在这个上面,其定价、维护力量等方面方法并不一定会实际降低运行费用。3.5.2.2 专网广域网非信道化SDH线路方案分析非信道化SDH线路组网方法以下图4-7所表示:图 3-7组网说明:1、在物理上各节点使用运行商15
26、5M SDH线路。中心节点设备需要支持最少10个155M POS接口,经过多条155M POS线路和运行商SDH网相连,和地市节点间点到点对接;下面地市分别采取1个155M接口和当地运行商SDH网相连;节点间互联实际带宽是155M。在省中心和地市之间利用其它运行商2M E1线路备份组网,提升网络可靠性。2、优点:SDH线路承载IP业务效率高,组网结构简单、维护方便,安全性高;覆盖范围广泛、运行商广泛支持,服务好,技术很成熟。3、缺点:点到点连接对中心设备端口要求多,会提升设备投资;只有155M这一个计费带宽,在网络业务流量不是很大情况下,会造成一定设备能力闲置,不能很好降低运行成本。实施备份组
27、网需要再拉线路。3.5.2.3 专网广域网信道化SDH线路对接方案分析信道化SDH(CPOS)线路对接组网方法以下图4-8所表示:图 3-8组网说明:1、在物理上各节点使用运行商155M SDH线路。中心节点设备需要支持155M CPOS接口,经过多条155M CPOS线路和运行商SDH网相连,每个接口和地市节点间点到点对接;下面地市分别采取1个155M接口和当地运行商SDH网相连;节点间实际通信带宽能够经过电信捆绑2M通道数,在12M632M间平滑变动。在省中心和地市之间利用其它运行商2M E1线路备份组网,提升网络可靠性。2、优点:SDH线路承载IP业务效率高,组网结构简单、维护方便,安全
28、性高;覆盖范围广泛、运行商广泛支持,服务好,技术很成熟,经过电信捆绑信道数,能够依据实际需要选择带宽,降低线路租用费用,一定程度降低运行费用,且带宽能够平滑升级到155M。3、缺点:点到点连接对中心设备端口要求多,而且通常设备CPOS接口比较贵,会增加设备投资;运行商开展这个业务需要附加设备,初装费用比较高;实施备份组网需要再拉线路。3.5.2.4 专网广域网IP OVER SDH线路组网方案分析IP OVER SDH线路组网方法以下图4-9所表示:图 3-9组网说明:1、在物理上广域网各节点使用运行商综合传输设备提供IP OVER SDH线路,关键提供100M以太网接口。中心节点路由设备需要
29、支持100M以太网路由口,经过多条100M以太网线路和运行商SDH网相连,每个接口和地市节点间点到点对接;下面地市分别采取1个100M以太网路由口和当地运行商SDH网相连;节点间实际通信带宽能够经过运行商捆绑2M通道数,在12M482M间平滑变动。在省中心和地市之间利用其它运行商2M E1线路备份组网,提升网络可靠性。2、优点:IP OVER SDH线路,承载效率高,接口为100 BaseFX,投资节省,技术成熟,维护方便,组网结构简单,安全性高;经过运行商捆绑SDH信道数,能够依据实际需要选择带宽(12M482M),降低线路租用费用,一定程度降低运行费用,且有效带宽能够平滑升级到96M,确保
30、未来对带宽需要。3、缺点:点到点连接对中心设备端口要求多,会增加设备投资;运行商支持不是很多,不利于竞争谈判降低线路费用;点到点之间互联不能象PPP OVER POS线路提供PAP/CHAP认证,最终能提供最高带宽没有POS线路高;实施备份组网需要再拉线路。在充足研究了现在业界对设计一个广域网(WAN)所采取多种网络主干技术,并充足考虑到营运网络主干技术发展主流和趋势后,提议:1、 假如从运行成本考虑,物理传输平台能够使用155M ATM线路,其根据PVC计费有利于早期流量小时降低运行费用;但其承载效率比较低,对部分业务(如IP电话)带宽占用会急剧增加,每BIT承载成本和其它线路比也没有优势,
31、以后扩容将会受到限制,假如以后流量增大,需要更多带宽时,ATM运行成本会比POS高;从技术发展前景及传输效率考虑,物理传输平台也能够采取POS线路技术,其承载效率高,安全性好,带宽高,可实现线路备份,可扩展性强,是运行商发展方向,含有多家运行线路,有利于降低综合成本,所以提议采取POS技术;另外,也能够采取100M以太接口连接IP OVER SDH组网, 设备费用、线路租用费用均会较低,但最终在同一光纤、接口资源上提供带宽没有POS线路高。2、逻辑网络连接上采取最终可向环带链组网拓扑发展。在未来目标网络中提议关键节点如XX和九江等地采取环形连接,其它节点采取树型连接组网方法,这么既能够节省费用
32、,冗余性也得以保障。可在确保网络传输性能情况下,又节省费用。在本期临时只考虑省中心节点冗余设计即上图R1处实际有两个路由器,其它节点按负荷分担标准,连到中心两个节点。3、具体实施能够采取关键高端路由器R1上POS口连接,这种技术可让IP数据包直接在光纤上传输,既大大提升在以IP应用为主网络传输效率和性能,又不额外添加光纤终端设备。4、第一期工程实施中,XX节点作为地市使用1000M以太网接入专网,而其它地市R2、R3等能够使用POS 155M接入;另外,假如考虑专网流量相对较小,E1线路捆绑能够降低运行费用,但会增加故障点。5、在骨干节点能够采取现代光纤传输技术POS,能够基于标准SDH设备实
33、现硬件级环路保护。6、在省中心和地市节点之间采取其它运行商提供专用线路(如2M E1)作为备份,能够深入提升网络可靠性,XX节点采取FE光纤接入骨干网关键路由器作为备份。7、路由技术上采取EBGP、OSPF、RIP、静态路由协议并加入MPLS,组成MPLS VPN网络。并划分若干自治区域,便于管理和降低路由公布数量和规模。同时每个区域边界路由器作为MPLS网络PE设备,并在上面划分VPN,做到VPN间信息严格隔离。8、省、地市PE间互联采取租赁电信155MPOS电路资源式进行互联。县级PE和地市之间,因为POS骨干网不完全覆盖到县,所以可利用县和地市间E1传输线路,将县PE经过1-4条E1线路
34、直接接入到地市SDH光传输设备E1接口上,实现互联,同时各条E1间可采取路由负载分担。9、依据本项目一期建设实际情况,主干节点只有1个节点,主干结点和汇聚节点之间采取1000M光纤以太网。考虑到网络以后扩展性,骨干节点选型应含有平滑向光纤技术过渡能力。10、必需考虑到未来政务网向县级扩展,地市设备要作为县级扩展中心接入节点,需要预留未来扩展插槽及能力,县级网络线路关键E1使用及捆绑。依据上述考虑提议采取华为企业高可靠、高性能Quidway NE系列路由器组建专网广域骨干网。提议采取两台NE80 GSR作为省中心接入,两台NE80之间采取GE口经过光纤连接,以后业务量增加能够采取两个GE口捆绑后
35、再连接,一台NE80接入4个数据量较大地市,另一台接入其它地市,省平台城域网则和两台NE80全部连接。Quidway NE80超出72 MPPs转发能力,提供多种线速端口,支持POS/ATM/FE/GE等接口和MPLS VPN等技术。提议在各地市(包含XX)采取NE16E作为专网地市广域网互联设备,NE16E提供超出2.4 Mpps转发性能、支持POSCPOSATMGEE1等接口。NE系列路由器使用电信级VRP软件,支持RIPOSPFBGP等标准路由器协议,支持MPLS VPN,支持热插拔、关键部件冗余等可靠性特征,满足专网高性能、高带宽、高可靠应用需求。提议采取一台NE16E作为中心节点备份
36、路由器,加插足够E1接口模块,各地市NE16E路由器加插E1模块,这么中心备份路由器经过2M E1线路和各地市建立备份连接。XX市经过FE光纤接口和备份路由器连接。专网网网络结构下图所表示:图3-103.6 专网城域骨干网互联设计城域网骨干层组网关键使用千兆以太网技术,组建高速宽带IP网。对于有多个骨干节点POP点,如XX,在骨干节点使用关键路由交换机,节点间组成环网能够提供路由保护及提升可靠性,图10所表示,一级节点。而对于只有一个骨干节点POP点(大部分地市城域网、未来县级城域网)节点使用一台关键交换机,下接多台骨干交换机进行端口收敛,以下图中一个骨干节点(省政府)组网。图 3-11组网说
37、明:1、在城域骨干网,因为网络流量较大、接口较多,作为中心接入设备,高性能关键千兆路由交换机是必不可少;目前能够在节点路由器上配置MPLS,划分若干VPN,在每个VPN包含一个或若干Vlan,未来关键交换机不仅要支持VLAN等特征,还需要未来能扩展支持MPLS VPN组网。2、关键交换机组成城域骨干关键会聚和交换中心,同时经过GE光口上连到广域网骨干路由器,设置在省委和省信息中心汇聚交换机经过GE光口互联。关键汇聚为二级骨干节点及接入层提供GE通道接口。3、对于有二级骨干节点城域网,在二级节点使用中心交换机,经过千兆上行到关键交换机互联,并为接入层提供100/1000M以太网口接入。3.7 专
38、网用户层网络结构设计3.7.1 专网用户层接入设计对用户接入层,考虑采取快速以太网接入方法实现对各单位用户接入服务。在每个地市,宽带城域网骨干层交换机和广域网路由器之间用千兆以太网连接,而大量快速以太网络接入则分别接到城域网汇聚点内交换机上,利用第三层网络交换机实现虚拟网间通讯隔离和分布式处理。对于距离超出500m用户,提议采取光电转换期延长以太网用户距离,最大可到10公里,实现以太网接入。用户接入层和汇聚层交换机组成以下图拓朴结构。接入层交换机每个端口和地市各厅、局单位路由器或安全网关相连接。为了使不一样厅、局单位网络完全隔开,交换机每个端口须独占一个Vlan,这么,不一样厅、局单位网络在第
39、二层实现了隔离。用户接入层交换机需要支持801.1Q协议。图 3-123.8 专网VPN互联设计依据专网建设目标,能够为某一系统提供专用虚拟通信通道,组建系统纵向互联网络,和横向公共服务访问,如:为省政府提供和各部门通信办公虚拟通道为省直各部门提供和部门内纵向通信虚拟通道为IP电话服务提供公共虚拟通信通道,并确保IP电话QOS要求。WWW访问服务等即在横向上要实现部门间部分主机及应用跨部门访问(如WWW访问、IP电话等);在纵向上实现各系统机要、国办、中办等部门内部互联。为实现这些建设目标,确保政务网各系统安全,必需要为各系统网络互联提供安全隔离及网络服务质量确保,使用MPLS VPN及VLA
40、N技术是在IP网上处理这种安全隔离最好手段。城域网横向互访VPN构建:在专网城域网中,使用VPN技术来进行各系统网络隔离及特殊应用横向访问互通,确保网络安全,以下图所表示,横向互访有IP电话、共享WWW访问等。以IP电话互通访问来说明当地横向VPN组网。1、城域网内,对在当地有访问要求系统及应用,如IP电话网关及共享WWW访问服务器,在本单位可和其它机器在不一样VLAN,实现了当地安全隔离,确保当地其它机器安全。2、在城域网不一样网络节点,这些需要横向互访主机(IP电话网关)设备也分属于不一样VLAN,如在省委和外贸厅,这些主机是在不一样VLAN,这么避免了在一个VLAN内有太多主机;当然,假
41、如VPN内没有太多主机,则能够将这些主机在城域网内设置在1个VLAN内,直接在二层互通,能够提升网络效率;3、假如没有任何路由方法,这些在不一样VLAN主机是不能互通;4、在骨干网PE处(关键路由器),利用MPLS技术,将这些需要相互访问主机(IP电话网关)VLAN,引入到同一个VPN(VPN1)内进行路由,从而实现在城域网内机要主机对机要服务器互访。而其它没有被引入VLAN,图中审计厅VLAN2内主机,不能访问这个VPN1组员主机。从而实现了城域网内跨部门主机访问,又预防对各单位内部不需要横向访问主机安全性。图3-13 城域网经过VPN实现横向互通和隔离纵向VPN构建:横向VPN处理了城域网
42、内互通及安全隔离,在专网广域网上,则要利用MPLS VPN组网实现各系统间纵向网络互联,和相互之间安全隔离,如省委内部办公主机地市和省之间互联、IP电话系统在省市之间互联等,以下图所表示。下面仍以IP电话系统纵向访问说明。图3-14 广域网经过VPN实现纵向互通和隔离1、图所表示,在城域网中,不一样部门IP电话网关,如在外贸厅IP电话网关在VLAN1内,在省委IP电话网关则在VLAN4内;这些网关和其它部门主机相互隔离,确保不被非法访问。2、在VLAN统一出口处,专网广域网PE设备,将各IP电话网关所在VLAN引入到对应VPN中,经过广域网实现VPN内互通。如在省厅IP电话网关属于VLAN1,
43、省委IP电话网关在VLAN4,它们VLAN出口网关PE处,PE将VLAN1、VLAN4路由信息引入到属于VPN1VRF1内,而数据则依据VRF1进行转发路由,这么能够实现VLAN1及VLAN4在当地横向互通;同理,地市政府IP电话网关在地市城域网属于VLAN11,在地市广域网骨干节点PE处,PE将VLAN11路由信息引入到骨干网VPN1内;在广域网内经过VPN1转发表VRF1进行路由、封装和转发,从而实现IP电话在地市和省之间纵向互通;3、因为VPN1只引入了公共IP电话网关所在VLAN,所以可和其它系统,如政府办公网实现横向隔离,确保网络安全;4、对于其它含有横向和纵向访问应用,如能被公共访
44、问WWW站点等,可被同级不一样机构间访问,也能够在跨级(省和地市)间互通,能够结合利用这两种设置来进行实现;5、对于只需要纵向互联访问网络(如各系统内部办公网),在各地PE处只引入本系统VLAN信息,即可实现系统内全省互通,并和其它系统隔离确保安全。从网络安全及管理安全上看,VPN/VLAN管理全部应该由网络中心进行统一计划,在边缘接入处提供对应VPN/VLAN接口。3.9 网络管理3.9.1 网络管理关键性对于一个政务网这么现代城域网络,需要为各个单位用户提供端到端话音、数据、图像、多媒体和其它类型业务。同时为了提升设备和网络投资效率,全部相关业务承载网和接入网全部需要本着资源共享、业务综合
45、标准进行统一计划、统一建设。面对上述业务提供中碰到挑战,假如只依靠采取优异技术和硬件设备是不够,因为不管多优异网络,假如缺乏一套专业,完善网络管理系统也无法保障能为用户提供高效、优质网络服务。利用网络管理系统提供专业管理功效,政务网网络管理员需要实现对当地传输和接入网络从物理链路到上层复杂应用和业务分层次集中管理,进而提升网络可管理性和运行稳定性,缩短政务网在提供新业务时开通周期。经过简化网络管理步骤,提升管理员工作效率,网络管理系统还将帮助政务网降低网络运行成本。3.9.2 网络管理软件要求政务网网络系统有其本身显著特点,如网络规模巨大,设备类型和所提供服务复杂,网络可用性要求高等等。所以政
46、务网用户对其网络管理系统也有很高要求,不仅要求能管理网络中全部设备、服务,还要符合电信标准并能适应其网络规模,并提供极高系统和管理稳定性。针对政务网用户上述网络管理需求,管理系统在管理特征上含有下列特点:1.基于公共管理框架。为便于管理系统各功效模块间进行管理信息共享和数据交换,全部管理体系中其它管理工具和模块全部和之进行集成,由其作为整个管理系统支撑平台。2.模块化设计。包含了一组提供不一样管理功效管理工具,各管理工具即能够独立工作也能够经过集成共享管理信息。在网元设备管理层,经过选择集成在其管理框架上不一样网元设备模块,网络管理员能够管理网络中任何网元硬件设备。在服务和业务管理层,网络管理员能够经过选择不一样管理模块实现网络容量计划管理、配置管理、故障管理、性能管理和计费管理等一系列管理功效。这种模块化设计确保了用户能够依据自己管理需求构建最符合要求管理系统,节省用户投资。3.高系统强壮性。并运行在NT或Unix管理服务器平台上,管理软件本身含有良好系统强壮性,符合政务网用户对管理系统高可用性要求。4.优异规模可扩展性。管理服务器不仅支持单机中央处理模式,也同时支持多服务器分布式处理模式,并能实现从中央处理模式向分布式处理模式地平滑过渡。可确保网络管理系统能适应用户网络规模增加。5.高容错性。管理系统中管理工具全部支持双机主备工作方法,当主管理服务器出现故障时,
浙ICP备2021020529号-1 | 浙B2-20240490 
