1、岳阳市区县电子政务外网平台建设项目技术方案建议书岳阳市人民政府办公室二一一年五月目录第1章建设目标及原则41.1总体目标41.2近期目标61.3建设原则72网络设计方案102.1概述102.2建设目标102.3参考标准112.4网络总体要求132.5网络总体方案描述142.6具体接入点分布统计162.7网络的可靠性、拓展性设计18网络的可靠性设计18网络的扩展性设计202.8网络链路的选择212.9互联网接入设计212.10核心层设计232.11汇聚层设计242.12接入层设计252.13IGP路由设计262.14IP地址规划26IP地址分配原则26管理和互联地址规划27用户地址规划272.1
2、5MPLS VPN规划设计28MPLS VPN 构建纵向网络28MP-BGP RR规划设计32MPLS VPN 资源规划32MPLS VPN 业务接入规划343数据中心设计方案363.1外部数据中心设计363.2内部数据中心设计373.3服务器部署设计384存储设计方案394.1概述394.2存储需求分析39系统拓扑图40系统设计40备份、容灾系统部署405系统安全设计方案425.1系统概况425.2安全建设原则425.3安全拓扑图435.4安全系统部署446外网平台应用系统建设476.1应用模型476.2系统架构48功能需求48逻辑设计497设备清单及性能要求527.1设备清单及性能要求52
3、岳阳市各区县电子政务外网平台建设设备清单52岳阳市各区县电子政务外网平台建设设备性能要求52第1章 建设目标及原则1.1 总体目标20世纪90年代信息技术的迅猛发展,特别是互联网技术的普及应用,使电子政务的发展成为当代信息化的最重要的领域之一。电子政务提高了政府办公效率,方便市民与政府的实时沟通,显著减少政务成本,还有利于促进政府在管理体制、管理观念、管理方式和管理手段等方面的转变,进而带动整个国民经济和城市信息化进程。步入21世纪以来,计算机技术的发展和应用的不断推广,当今世界已经从工业化社会向信息社会转换。中国电子政务发展的总体框架已经确立,标志着电子政务的发展有了更清晰明确的方向。国家信
4、息化领导小组关于我国电子政务建设指导意见作为中办发200217号文件确立了我国电子政务建设的指导思想、发展原则和基本框架,指出我国电子政务建设主要围绕“两网、一站、四库、十二金”重点展开,其中,电子政务网络平台建设就是主要内容之一,并对网络平台建设提出了明确要求。随着湖南省电子政务内外网平台建设的逐步延伸,岳阳市区县电子政务外网即将成为承担政府部门之间的各项信息交换和业务互动,实现同层次和上下级政府机构之间各主要业务系统的信息交换和信息共享的主要载体。根据省政府相关文件,岳阳市区县电子政务外网即将接入到岳阳市电子政务网络,实现办公自动化及信息化.为此,需要进行岳阳市各区县政府的电子政务网建设与
5、整合,统一政府及各部门外网出口,同时按要求做好电子公文传输的相关准备工作。岳阳市各区县电子政务网络平台是岳阳市电子政务全局中联结各部门业务系统的桥梁和纽带,为各业务部门提供网络传输服务,是未来政务工作的“高速公路”。网络平台提供的是高度集成化、一体化、规范化的服务,其本质是为各业务系统的安全、顺畅、高效运行和数据的传输、交换、存储等构造网络基础环境,它是未来实现各业务系统互联、互通、互操作,促进资源共享的基础性工作。因此,岳阳市各区县电子政务网络平台是关系各县电子政务建设全局和发展的重要基础性工作,是电子政务系统中的关键性核心组成要素。根据岳阳市政府市长办公会议纪要精神,各区县电子政务外网建设
6、于2011年5月正式启动。外网建成后的作用是:第一、与发展接轨、加快经济发展。第二、增加工作透明度,建设“阳光政府”。第三、推动工作“提速”,提高执政能力。第四、推动全县信息化建设,提高城乡化水平和竞争力。岳阳市各区县电子政务总体框架的目标是:覆盖岳阳市各区县的电子政务网络基本建成,目录体系与交换体系、信息安全基础设施初步建立,重点应用系统实现互联互通,政务信息资源公开和共享机制初步建立,政府门户网站成为政府信息公开的重要渠道,开展网上行政许可项目审批服务,电子政务公众认知度和公众满意度进一步提高,有效降低行政成本,提高监管能力和公共服务水平。岳阳市各区县电子政务建设的目标主要体现在以下几方面
7、1、加大政府信息公开力度根据政府信息公开工作的要求,创新政府信息公开的方式,充分发挥、利用政府网站等信息化媒介的作用,及时更新网站信息,为公众获取政府信息提供便利。2、加快政务数据库建设与应用推进以传统载体保存的政务信息资源的数字化、网络化。3、初步实现政务信息条块共享根据法律规定和履行职能的需要,明确相关部门和地区信息共享的内容、方式和责任,建立政务信息共享的长效机制。依托现有资源,建立岳阳市各区县政务信息交换系统,构建政务信息共享平台,建立政务信息资源目录体系、交换体系和服务体系等。为岳阳市各区县政府的日常办公、科学决策、业务管理、公共服务、信息公开、资源共享和业务协同提供支持。4、不断
8、加强政务管理完善政务信息资源管理体制,加强对政务信息采集、登记、备案、存储、共享、安全等环节的管理。合理规划政务信息的采集和更新维护流程,加强协调,明确分工,避免重复采集,并确保所采集信息的真实、准确、完整和及时。进一步提升政府行政效率和服务水平。5、以政府的社会管理和公共服务需求为导向,扩大对农村信息化服务、城乡居民服务、城镇建设服务和乡镇企业服务等提供服务的能力。1.2 近期目标目前,岳阳市各区县乡镇以及街道办事处没有进行统一规化,各单位“各主为政而”,很多部门由于管理水平有限、安全技术人才不足、思想认识不到位、标准规范不一致等原因,存在不同程度的安全隐患。长此以往,将对未来我政府信息化建
9、设带来不可估量的负面影响,因此,十分有必要通过统一外网的建设、统一互联网出口,加强网络和信息安全建设,通过对网络和信息安全的集中统一领导和管理、加大投资力度、完善运行维护机制、加强预警能力,可以有效的提高电子政务的安全可靠性。在外网上构建统一的电子政务外网平台,上连岳阳市外网平台,下接各乡镇(并逐步覆盖到街道、村场)内网平台,横向连通各市直部门,实行统一的网络管理,提供可靠的安全保障;在信息资源上构建四大基础数据库及主要业务部门数据库,构建整个信息资源目录体系并建立信息资源交换规划;在应用上搭建统一的应用支撑平台,对原有业务系统的整合和新建应用系统的运行提供支撑;在服务上建立以电子政务外网门户
10、网站为核心的公众服务体系;在安全上按照统一的安全策略,构建全网的安全体系。1、组建各区县电子政务外网平台并与岳阳市电子政务外网互连;2、建立各区县电子政务网控中心; 3、各区县县直单位和乡镇接入汇聚点。4、建立基本的安全防护体系。5、完成政府网站的改版、网上政务服务和电子监察系统的建设。1.3 建设原则根据中央办公厅、国务院办公厅转发国家信息化领导小组关于推进国家电子政务网络建设的意见的通知(中办发200618号)的要求和我省的实际情况,湖南省政府系统电子政务外网平台的建设目标是:建设覆盖全省各级政府部门的互联互通信息网络平台(HN EGOVNetIN)。它包括建设连接省级政府系统电子政务外网
11、平台和各市(州)级政府系统电子政务外网平台的一级骨干网,连接市(州)级政府系统电子政务内外网平台和县(区)级政府系统电子政务内外网平台的二级骨干网;分层建设省级、市(州)级、县(区)级,覆盖本级政府及其相关职能部门的横向信息网络。同时网络平台的建设要与安全支撑平台和应用支撑平台的建设统一考虑,健全湖南省政府系统电子政务内外网平台的安全保障体系。为达到以上目标,本次网络建设的主要原则是:需求主导:网络的设计必须满足湖南省政府系统开展电子政务建设对网络的需求,能提供各级政府部门间纵向连接和横向连接,以满足各类业务的应用要求。统筹规划:网络设计时必须协调有关单位,对网络地址和域名进行统筹规划,并研究
12、和制定相关的标准和管理办法等。整合资源:充分利用岳阳市各区县政府系统电子政务外网平台资源,加强已有网络资源的整合,促进互联互通,形成统一的电子政务网络平台。同时要充分考虑到已有资源的利用和投资保护问题,特别是要充分考虑已经建设的湖南省电子政务专网平台的情况,节省费用,保护投资。服务应用:网络系统的设计必须为各级政府部门的业务应用(包括横向和纵向的业务系统)提供服务。注重安全:网络的设计必须保证业务和数据的安全性。系统要采取多层保密和防范措施,保证网络、服务器等设备的安全稳定,防止系统外非法用户的侵入和系统内用户的非法探测和恶意泄密,系统内工作人员分级按权限操作。系统的安全要达到国家规定的电子政
13、务专网的安全标准。着眼发展,分步实施:政府系统电子政务外网平台建设技术含量高、工程投资大、涉及面广,是一项长期的工作,不可能一蹴而就,必须具有全局观念,在总体规划指导下,按计划、分步骤的来进行。要实事求是地分析现状,熟悉和了解技术的发展趋势,合理分配有限的资金,在遵循总体规划的前提下,确定切合实际的软硬件配置方案,制订短、中、长期相结合的分步实施计划,以实现降低工程建设风险,提高资金使用效率的目的。先进性、实用性原则从较高的起点对网络建设进行规划,充分采用先进成熟的网络技术,满足电子政务平台各种业务实时数据、非实时数据传输需要。工程建设方案要面向未来,技术必须具有先进性和前瞻性,以确保在未来3
14、5年内不落后,同时也要坚持实用的原则,在满足性能价格比的前提下,坚持选用符合标准的,先进成熟的产品和开发平台。可靠性原则网络设计过程中从网络技术、电路保护、设备等多方面考虑电子政务专网平台的可靠性,保证数据传输的安全可靠。同时提供的724的服务保障,从技术和服务两方面保证岳阳市各区县电子政务内外网平台的可用性达到要求。成熟性和发展性的结合工程建设应首先采用符合目前业界计算机及应用系统发展趋势的主流技术,技术先进并趋于成熟的,被公众认可的优质产品。既要保证当前系统的高可靠性,又能适应未来技术的发展,满足多业务发展的要求。要本着“有用、适用和好用”的原则,不片面追求硬软件设施的先进性,强调整个系
15、统的可连接性和整体布局、应用的合理性。经济性原则通过技术经济比较,性能价格比较,选择优化的网络结构和网络技术,尽可能利用和保护现有设备和投资,做到从实际出发,制定经济、合理的方案,以最小的网络建设和网络维护成本建设一个高可用、高安全的电子政务专网平台。可管理性原则电子政务系统是一个比较大、较复杂的系统,它包含大量硬件设备、软件系统和数据信息资源,这些资源分布在全区各部门,因此系统的技术方案要为市政府提供多层次、方便、有效的管理手段,为系统正常运行提供网络技术管理保障。标准性原则现有信息技术的发展越来越快,为了使该系统在未来运行过程中其技术能和整个信息技术的发展同步,系统应具有备灵活适应性和良好
16、的可扩展性,系统的结构设计和产品选型要坚持标准化,首先采用国家标准和国际标准,其次采用广为流传的实用化工业标准。可扩充性原则考虑到岳阳市各区县政府电子政务内、外网平台各种应用业务的飞速发展,网络承载的信息流量不断增加。岳阳市各区县政府电子政务内、外网平台的设计中充分考虑未来带宽扩容的需要,从网络和设备的配置上都保留一定的扩充余地,便于融入随着新技术发展带来的新功能,满足岳阳市各区县政务不断发展的业务需要。同时为响应中央政府节能减排的号召,在设备的选择上应遵循环保、节能的原则。2 网络设计方案2.1 概述随着岳阳市各区县电子政务外网平台建设的逐步延伸,岳阳市各区县电子政务外网即将成为承担政府部门
17、之间的各项信息交换和业务互动,实现同层次和上下级政府机构之间各主要业务系统的信息交换和信息共享的主要载体。根据省政府相关文件,岳阳市各区县政府即将接入到岳阳市电子政务外网,实现办公自动化及信息化,为此,需要进行岳阳市各区县政府的外网建设与整合,统一市委、市人大、市政府、市政协及市直各部门等外网出口。岳阳市各区县电子政务外网平台是岳阳市各区县电子政务外网全网中联接各部门业务系统的桥梁和纽带,为各业务部门提供网络传输服务,是未来政务工作的“高速公路”。网络平台提供的是高度集成化、一体化、规范化的服务,其本质是为各业务系统的安全、顺畅、高效运行和数据的传输、交换、存储等构造网络基础环境,它是未来实现
18、各业务系统互联、互通、互操作,促进资源共享的基础性工作。因此,岳阳市各区县电子政务外网平台是关系我市电子政务建设全局和发展的重要基础性工作,是电子政务系统中的关键性核心组成要素。2.2 建设目标本次建设的电子政务外网平台将实现电子政务各项应用所需的网络环境,为电子政务应用提供安全、稳定、可靠的传输通道,包括局域网、城域网、广域网和互联网出口。根据上级对电子政务外网平台建设的要求,结合本地实际情况,我市电子政务外网平台建设必须满足以下功能需求:(1)网络互联互通的需求电子政务外网平台建立后,应在纵向上实现上连国家、省、市电子政务外网平台,下连各乡镇电子政务外网平台,在横向上能够方便连接市委、市人
19、大、市政府、市政协以及政府各组成部门、直属机构、办事机构、事业单位等。同时,网络必须具备高度的可靠性和稳定性,应具备可伸缩、可管理、可扩展的能力,以应对业务数据的快速增长,满足网络平台平滑升级的要求。(2)纵向业务的应用需求电子政务外网平台建立后,各个纵向网络将逐步整合到统一的连接通道。电子政务外网平台既要满足互联互通,又要保证各部门纵向系统的相对独立性和现有纵向网络系统的正常运行,应当提供各个部门高速通达、安全可靠、方便使用的纵向系统专用网络或虚拟专用网络,如提供虚拟专用网络需支持至少150个市直部门的纵向MPLS VPN需求,并有足够的扩充能力。(3)横向业务的应用需求电子政务外网平台建立
20、后,各个联网部门将逐步开展横向电子政务业务。电子政务外网平台既要满足互联互通,又要保证相关部门横向业务系统的相对独立性,应当提供各个部门高速通达、安全可靠、方便使用的纵向系统专用网络或虚拟专用网络,如提供虚拟专用网络需支持市直部门的横向MPLS VPN需求。(4)公共资源共享业务的应用需求各联网部门连接到电子政务外网平台后,应该能够通过电子政务外网平台方便访问电子政务外网平台的内部数据中心、外部数据中心和互联网等公共资源。(5)互联网接入的需求外网平台应能够提供整个网络统一的安全的互联网接入。(6)不同接入方式的需求岳阳市各区县电子政务外网平台应满足市政府机关大院、市政府组成部门、有行政审批职
21、能的市直部门、与民生相关的行政事业单位等市直部门以不同带宽、接入方式接入到外网平台的需求。(7)各乡镇接入的需求岳阳市各区县电子政务外网平台应满足各乡镇广域汇聚点的接入需求。2.3 参考标准国家、省市有关信息化的政策法规和技术规范,是电子政务建设顺利实施和健康运行的重要保证。本方案将参照国家关于信息化建设和电子政务建设的法律、法规、相关政策以及各种技术标准规范进行编制。岳阳市各区县电子政务外网平台技术规范( 湖南省信息化领导小组2006-10-01)信息系统安全等级保护定级指南国家政务外网网络互连及安全防护指南_征求意见稿信息安全等级保护管理办法(公安部、国家保密局、国家密码局、国信办联合发布
22、公通字2007 43号)国家政务外网网络互连及安全防护指南_征求意见稿,是2007年9月关于转发国家信息化领导小组关于我国电子政务建设指导意见的通知(中办发200217号)2002年8月5日中共中央办公厅国务院办公厅转发国家信息化领导小组关于推进国家电子政务网络建设的意见的通知(中办发200618号)国务院办公厅关于印发全国政府系统政务信息化建设2001-2005年规划纲要的通知(国办发200125号)电子政务标准化指南(征求意见稿)国家标准化管理委员会、国务院信息化工作办公室 2003年2月国务院信息化工作办公室、科学技术部、信息产业部关于印发电子政务工程技术指南的通知 (国信办2003
23、2号)互联网信息服务管理办法中华人民共和国国务院令(第292号)2000年9月25日计算机信息系统国际联网保密管理规定国家保密局2000年1月1日中华人民共和国计算机信息系统安全保护条例国务院令147号1994年2月18日加强计算机信息网络保密管理的通知(中保委发【2002】4号)计算机软件保护条例(国务院令2001年第339号)计算机场地通用规范(GB28872000)电子计算机机房设计规范(GB 5017493)岳阳市各区县电子政务外网平台技术方案岳阳市各区县电子政务外网平台应用规范(讨论稿)中共湖南省委办公厅湖南省人民政府办公厅转发省信息化领导小组关于加强电子政务外网平台建设和管理的意见
24、的通知(湘办发200625号)2.4 网络总体要求岳阳市各区县电子政务网平台是岳阳市电子政务的重要组成部分。以国家信息化领导小组关于我国电子政务建设指导意见(中办发200217号)、关于推进国家电子政务网络建设的意见(中办发200618号)、关于加强我省电子政务外网平台建设和管理的意见(湘办发200625号)、湖南省电子政务外网平台技术规范为指导,依托岳阳市各区县公共通信设施的基础资源,采用先进的信息、网络技术,以电子政务应用为主导,以资源整合为核心,以安全保障为支撑,构建标准统一、功能完善、安全可靠的岳阳市各区县电子政务外网平台,在网络环境下逐步实现同层次和上下级政府机构之间各主要业务系统的
25、信息交换和信息共享;开展政府部门面向企业和公众的监管和服务业务,为规范政府管理与服务创造必要条件,努力提升政府监管能力、工作效率和公共服务水平。岳阳市各区县电子政务外网平台将连接市网平台、市直单位、乡镇电子政务网络平台,形成一个纵横互通的信息高速通道,并部署安全措施,统一因特网出口。建成后的政务外网为政府各部门实现横向互连互通,为纵向业务系统运行提供安全、快捷、方便、经济的统一网络通道。从根本上解决岳阳市电子政务建设中部门横向互不连通,信息资源封闭、数据不能共享和重复建设等问题。IP网络灵活的虚拟逻辑隔离3热线 统一安全策略管理系统财务档案招标人事审计应急OA系统网站问题处理对外服务系统个性化
26、应用平台局域网基础平台功能广域网政府集中办公、对外一站(网)式服务智能管理设备管理、用户管理、业务管理从电子政务外网平台功能来看,其核心价值就是安全、公平、公开、简单、互动的实现政务信息交换和资源共享。2.5 网络总体方案描述通过综合考虑各类因素,在此次岳阳市各区县电子政务外网工程项目中推荐采用双核心设计方案。其网络结构图如下:图2.5岳阳市各区县电子政务外网平台设计岳阳市各区县电子政务外网平台按照三层结构设计分为:核心层、汇聚层、接入层。核心层由一台出口路由器和二台核心交换机组成。出口路由器负责与互联网的连通,2台核心交换机之间分别通过2条万兆链路聚合互联,实现核心层全冗余和高速连接,确保核
27、心层稳定可靠高效地运行,并负责与岳阳市外网的连通。汇聚层由4台汇聚交换机担当,4台汇聚层设备均采用千兆双链路上行连接至2台核心交换机,提供上行冗余链路,确保接入链路可靠性。汇聚层设备向下采用百兆/十兆接入各市直单位,提供百兆/十兆接入能力。接入层为市直部门的接入,根据每个单位接入数量;配置一台接入设备,通过MTPS/SDH上联至汇聚交换机。在有些单位与单位之间采取组合式,把几个近的单位组合在一起,再通过一台性能强的交换机放在组合单位集中的位置。再通过单模光纤上联至汇聚交换机。2.6 具体接入点分布统计首批接入外网平台的单位:将纳入岳阳市各区县政府行政绩效评估名单的单位、岳阳市各区县政府门户网站
28、群单位、具有行政审批职能的市直单位、与民生密切相关的其他单位作为首批接入岳阳市各区县电子政务外网平台的单位,同时也接入以上未包括的区县委、区县人大、区县政府、区县政协、区县法院、区县检察院等六大家的其他重要部门。首批接入单位具体分布如下表:序号单位(区县)电脑数量(估算)10台以下10-30台30-50台50-100台1区县委2人大3政协4政府办5纪委监察局6组织部7宣传部8统战部9政法委10总工会11档案局12编委办13接待处14老干局15工商联16妇联17科协18检察院19法院20发改局21工业局22教育局23科技局24公安局25民政局26司法局27财政局28人事局29劳动和社会局30建设
29、局31交通局32水利局33农业局34林业局35商务局36文化局37卫生局38环保局39安监局40计生局41农村办42粮食局43广播局44畜牧水产局45房产局46招商局47体育局48统计局49供销联社50经管局51农机局52市场管理中心53国土局54审计局55旅游局56人防办57工业园58残联59交警大队60药监局61移民局62政务公开中心63XX街道办事处64XX乡镇2.7 网络的可靠性、拓展性设计2.7.1 网络的可靠性设计岳阳市各区县电子政务外网承担各种业务应用系统,提供统一的网络平台,其网络可靠性要求很高。网络系统的可靠性设计主要体现在以下几个方面:网络虚拟化的可靠性;岳阳市各区县电子政
30、务外网的核心需要实现网络的高可靠性,包括设备、链路及网络架构设计、网络自愈能力等,在岳阳市各区县电子政务外网核心层中,我们应用了2台核心设备;通过虚拟化技术,它是把两台设备虚拟化成一台设备。形成一个网络管理与转发节点;将多达2个的物理网络节点虚拟化为单台设备,两台设备同时工作,互为备份。又互不影响其业务数据的转发。完全消除汇聚层环路,并形成捆绑链路的高带宽和可靠性。在这样的虚拟化下,网状的网络形成了一个非常简洁的架构,网络各层之间通过捆绑的单逻辑链路互联,消除了环路。不再需要在接入层设计复杂的生成树协议,也不再需要在变成单一逻辑节点的客户端接入网关上运行VRRP协议。通过虚拟化技术,整个弹性架
31、构共用一个IP管理,简化网络设备管理,简化网络拓扑管理,提高运营效率,降低维护成本。采用虚拟化技术组建岳阳市各区县电子政务外网核心。该技术实现了IP技术的高可靠性,很好地适应了数据业务。它的核心思想是将多台设备通过虚拟化物理端口连接在一起,进行必要的配置后,虚拟化成一台“分布式设备”。使用这种虚拟化技术可以实现多台设备的协同工作、统一管理和不间断维护。动态路由设计保证网络的可靠性;IGP路由设计中采用业界流行的OSPF路由协议,OSPF路由协议在2台核心层交换机及4台汇聚层交换机及接入交换机之间运行,由于这些设备之间全部是双链路连接,因此当任何1台核心交换机发生故障时,OSPF路由协议在很短的
32、时间内(一般少于10s)会根据链路状态进行路由的重新计算,从而不会影响到4个城域网汇聚点与核心网络之间的网络连接。完善的网络管理系统确保网络可靠性;在设计网络管理系统时,应全面考虑网络管理的内容,建设网络管理平台、网络设备管理软件模块、网络故障管理模块、网络流量模块、网络故障告警模块。通过网络管理系统多种模块的组合,实现对整网设备和安全性等各个方面进行全面的管理,有效地提高网络的安全可靠性。选配高可靠性的网络设备;选用具备电信级的网络设备进行组网,使网络具有自动恢复能力、降低人工维护工作,达到电信级的可靠运行。采用分布式体系结构分布式体系结构是提高可靠性的基础,与集中式体系设备相比较,分布式体
33、系设备除性能可以通过插入更多的接口处理板提高整体性能外,更为关键的是将管理、路由转发、接口处理等功能分配在不同的部件上,协同工作,分布式体系可以分散故障风险、隔离故障、提供冗余配置,提高系统的自动恢复能力;如管理部件故障,只需要更换这部分板件,不影响其他功能。而且,分布式体系结构可以提高组网的物理可靠性。在电子政务外网平台组网中,每个骨干节点都有两个接口与其余节点互联,从路由上提高了可靠性。如果是集中式体系,则当节点设备出现故障时,这个节点就会失效,造成节点所带网络的中断;而采用分布式结构时,可以将这两个接口分别配置到不同的接口板上,这样,无论这台设备的管理单元、交换转发单元,还是单一接口出现
34、故障,都可以保证至少有一条路径是连通的,该节点网络都不会中断。关键部件冗余采用分布式体系结构,对设备的关键部件,如主控管理单元、交换转发单元等,进行冗余配置,保证系统在工作中不会全部失效。实时热备份机制在系统软件及硬件的支持下,关键部件在发生故障能自动启动备份系统,而且主备之间的切换能够实时热倒换,即运行中即使发生设备故障切换也不会对网络业务造成影响。热插拔特性设备任意单板支持热插拔特性,保证系统出现故障需要维护,或系统需要升级扩展时,不需要停机处理,保证网络的724小时不间断运行。冗余电源支持冗余电源负载分担及备份供电可保障系统具有可靠的能量源。散热系统散热系统使设备长时间运行而不至因为系统
35、升温过高出现故障,冗余风扇等散热装置可以增加设备的运行时间及减少故障发生。2.7.2 网络的扩展性设计在网络系统的可扩展性方面主要考虑以下几个方面:网络结构的可扩展能力岳阳市各区县电子政务外网系统采用层次化、结构化设计理念,整网分为核心层、汇聚层、接入层。这种结构化设计充分保证了系统的扩充能力,保证在接入子网大量增加的情况下核心设备的端口数量要求不会大量增加。网络中广播的数量岳阳市各区县电子政务外网系统采用三层路由的设计,不同的部门划分在不同的网段,部门之间的通讯全部通过三层路由来实现。因此,各个部门的广播包根本不会发送到其他部门的网络。同时,在一个部门内部,不同的业务系统之间通过划分VLAN
36、来实现隔离,不同的VLAN之间也是通过三层路由来实现。这种VLAN 的划分,一方面提高了网络的安全性,另一方面也限制了网络中的广播数量。因此,广播数据包基本上被限制在一个部门内部,不会扩散到网络的其他部分。2.8 网络链路的选择现在主流的组网通信技术主要有以太网、SDHSONET、和VPN三大类。首先,城域以太网主要面向城区用户,其优越性表现在以下几个方面:q 将基于千兆以太网的平台应用于城市范围,解决了城域网中常面对的严重的瓶颈问题; q 以太网成本低廉,包括设备成本及实施成本;并且即时可用,提供更高的数据传输速率; q 当前以太网技术发展已较为成熟,应用相当广泛,以太网是一种灵活的基于数据
37、包的技术,其适当的速率限制功能、丰富的主干容量、提供快速的按需带宽等优势为网络管理及工程人员等所熟知; q 以太网接入速度的灵活性,用户可以向服务供应商订购从1Mbps到1Gbps范围内的任意接入速度,并且可以根据企业的需要灵活调整,这一点是现有的诸如桢中继、ATM等所无法比拟的; q 以太网以其“即插即用”的特性,消除了城域以太网和最终客户信息系统之间的交互工作或协议转换等问题。 其次,SDHSONET专线组网技术为电信骨干传输网所采用的主要的技术。SDHSONET技术十分适合传输采用TDM技术的话音业务,它具有良好的网络保护和自愈功能。另外一方面,目前的很多IP网络还十分依赖电信网。如远距
38、离组网一般需要租用电信运营商的SDHSONET传输网络,此时一般需要路由器及专用的接口支持。因此,岳阳市各区县电子政务外网宜采用以太网+SDH/SONET技术,其中城域网建议采用以太网技术,对于广域网和零散的接入单位可以采用SDH/SONET。作为日后全市各类业务系统的承载平台,岳阳市各区县电子政务外网对网络质量和速度有比较高的要求。2.9 互联网接入设计岳阳市各区县电子政务外网平台建成后,市级平台城域网网上均采用统一出口、统一管理,各接入单位只能通过统一出口访问互联网,以提高整个网络的安全性。岳阳市各区县电子政务外网平台平台城域网承担全市统一门户网站入口访问和全部乡镇、市直单位的INTERN
39、ET出口访问,流量非常大,线路安全要求高,为了更好的提高工作效率以及提高整个岳阳市各区县电子政务外网平台网络系统的安全性,需要进行Internet链路出口改造。具体情况如下:今后所有的乡镇、市直单位将逐步改成通过设立在岳阳市各区县政府网控中心的统一出口来访问互联网资源,为了更好的提高工作效率以及提高整个岳阳市各区县电子政务外网平台网络系统的安全性,需要进行Internet链路出口改造。具体情况如下:1、岳阳市各区县电子政务外网网络在出口上,需要租用一条100M以上的带宽链路接入Internet;2、要有对出口流量进行管理的功能;3、要能实现透明的故障屏蔽;4、有可扩展性,随着岳阳市各区县电子政
40、务外网网络的进一步扩展,要能保护目前的设备投资;5.、在互联网出口部署一台路由器,实现网络接入和IP转换;6、部署一台抗DDOS攻击系统,通过多种技术手段对DOS/DDOS攻击进行有效的检测,保障岳阳市各区县电子政务外网平台应用资源。7、利用防火墙的访问控制技术,实现内网与互联网、电子政务网的安全隔离,以保障网络可用性;8、利用流量控制等技术,以提高访问互联网的效率。图2.9岳阳市各区县电子政务外网互联网接入设计2.10 核心层设计在核心层部署2台高性能的三层交换机,核心层设备具有以下功能和性能:1. 高性能交换2. 全面的软件支持和高性能网络服务的增强。高速执行服务质量、安全、压缩和加密等网
41、络服务。3. 高密度端口提供高密度端口以及广泛的局域网和广域网介质,并允许灵活地进行配置。4. 公用端口适配器5. 在电子政务外网的核心层部署上网行为管理、抗DDOS系统等。主要针对上网用户使用P2P/IM/网游/炒股软件/非法网站访问等各种应用进行监控和管理;全面分析网络应用的流量类型和流量流向趋势,统计网络热点,发掘业务增长点;分析用户行为,统计用户兴趣,为个性化提供依据,并通过开放的平台接口,与第三方业务平台对接,提供高附加值业务,如在用户行为兴趣分析的基础上提供定向WEB广告服务等功能。根据岳阳市各区县电子政务外网的实际需求情况,同时考虑到今后的发展,核心层三层交换机选择高性能路由交换
42、机,配置双引擎和双电源系统,以满足系统高可靠的要求,每台设备配置多个千兆端口,通过千兆链路与出口路由器连接;配置多个千兆端口,用于与各单位和部门的接入层交换机相连。并通过千兆光纤与市政务外网进行互联。图2.10岳阳市各区县电子政务外网核心层设计2.11 汇聚层设计4个汇聚点的汇聚:为实现对接入设备的汇聚,提高转发性能,应考虑实际需求及性价比,为各个汇聚点配置高性能三层交换机。上联至核心。图2.11岳阳市各区县电子政务外网汇聚层设计主干网络中,汇聚层是业务流量的汇聚点,同样需要部署高可靠、冗余、可扩展的网络来保障系统不间断运行。为实现清晰的网络层次,确保城域网的可靠连接,汇聚层使用4台高性能路由
43、交换机,利用双链路以1000M速率连接核心交换机,同时负责各市直单位的接入。考虑到汇聚交换机的关键位置及作用,汇聚交换机接口要有冗余性。2.12 接入层设计部门网络的接入:为实现所有单位用户的接入,考虑到实际需求及性价比,每个接入单位配置一台接入设备。在对内网安全性和可控性考虑,图2.12岳阳市各区县电子政务外网接入层(交换机)设计(一)图2.12 岳阳市各区县电子政务外网接入层(路由器)设计(二)部门通过千兆单模/多模光接口就近接入汇聚交换机,交换机设备要能够实现各接入单位之间不同的应用通过VLAN二层隔离并以VLAN Trunk方式透传至汇聚交换机。路由器设备要能够实现各接入单位的地址转换
44、结合网络情况以及接口要求,本次接入层设备配置应该满足所有单位接入数量的要求。2.13 IGP路由设计路由设计,关系到网络的整体性能和功能,是网络设计中的一个重要环节,岳阳市各区县电子政务外网路由设计采用灵活的设计思路,准确选择路由协议,从管理的方便性和技术的先进性两个方面进行规划设计。根据岳阳市各区县电子政务外网的网络规模和主备线路情况,在核心层和汇聚层采用OSPF路由协议,实现流量的负载均衡和链路的自动切换。对于互联网接入区和外部数据中心的节点,由于连接至启用三层的防火墙,使用静态路由实现网络的联通性;对于内部数据中心节点,由于是连接是三层防火墙安全设备,使用OSPF路由协议,实现网络的联
45、通性。2.14 IP地址规划IP地址的合理规划是网络设计中的重要一环,大型计算机网络必须对地址进行统一规划并得到实施。IP地址规划的好坏,影响到网络路由协议算法的效率,影响到网络的性能,影响到网络的扩展,影响到网络的管理,也必将直接影响到网络应用的进一步发展。2.14.1 IP地址分配原则IP地址空间分配,要与网络拓扑层次结构相适应,既要有效地利用地址空间,又要体现出网络的可扩展性和灵活性,同时能满足路由协议的要求,以便于网络中的路由汇总和聚类,减少路由器中路由表的长度,减少对路由器CPU、内存的消耗,提高路由算法的效率,加快路由变化的收敛速度,同时还要考虑到网络地址的可管理性。具体分配时要遵循以下原则:唯一性:一个IP网络中不能有两个主机采用相同的IP地址;简单性:地址分配