武汉市政务网技术建议书(终稿) 本文关键词:武汉市,建议书,政务网,技术,终稿
武汉市政务网技术建议书(终稿) 本文简介:武汉政务网络平台技术建议书1整体设计原则结合政府部门的实际应用和发展要求,在武汉电子政务设计时,系统总体设计应遵循原则:实用性原则:以现行需求为基础,充分考虑发展的需要来确定系统规模。安全性原则:电子政务服务于政府办公需要,对安全级别要求很高。系统应能提供网络层的安全手段防止系统外部成员的非法侵入以
武汉市政务网技术建议书(终稿) 本文内容:
武汉政务网络平台技术建议书
1
整体设计原则
结合政府部门的实际应用和发展要求,在武汉电子政务设计时,系统总体设计应遵循原则:
实用性原则:以现行需求为基础,充分考虑发展的需要来确定系统规模。
安全性原则:电子政务服务于政府办公需要,对安全级别要求很高。系统应能提供网络层的安全手段防止系统外部成员的非法侵入以及操作人员的越级操作,保护网络建设者的合法利益。
可靠性原则:系统设计能有效的避免单点失败,在设备的选择和关键设备的互联时,应提供充分的冗余备份,一方面最大限度地减少故障的可能性,另一方面要保证网络能在最短时间内修复。
成熟和先进性原则:系统结构设计、系统配置、系统管理方式等方面采用国际上先进同时又是成熟、实用的技术。
规范性原则:系统设计所采用的技术和设备应符合国际标准、国家标准和业界标准,为系统的扩展升级、与其他系统的互联提供良好的基础。
开放性和标准化原则:在设计时,要求提供开放性好、标准化程度高的技术方案;设备的各种接口满足开放和标准化原则。
可扩充和扩展化原则:所有系统设备不但满足当前需要,并在扩充模块后满足可预见将来需求,如带宽和设备的扩展,应用的扩展和办公地点的扩展等。保证建设完成后的系统在向新的技术升级时,能保护现有的投资。
可管理性原则:整个系统的设备应易于管理,易于维护,操作简单,易学,易用,便于进行系统配置,在设备、安全性、数据流量、性能等方面得到很好的监视和控制,并可以进行远程管理和故障诊断。
2
组网方案建议
2.1
方案概述
本次建设主要是为了实现武汉市级政府、各部门之间信息快速安全传递和资源共享,并逐步实现视频、语音、数据“三网合一”,运用高科技手段为行政办公提供高效、迅捷的服务。武汉电子政务平台网络平台是一个独立的IP宽带网络,网络核心节点初步设计由三个主干节点和两个二级节点组成,三个主干节点分别设置在市信息产业局机房、开明路和营房村电信机房内。两个二级节点分别设置在十里铺和洪山路电信机房内。核心网络拓扑结构为双光纤环网,一旦发生光缆中断,可以通过路由的迂回,仍然可以保证三个主干节点的畅通。链路均采用千兆技术来构建。
2.2
武汉电子政务平台拓扑设计
在考虑网络拓扑结构、网络传输效率、路由组织的高效合理以及安全性等因素,建议采用环+星的拓扑结构。整个武汉电子政务网由三层结构组成:网络核心节点、汇聚节点、用户接入节点。网络核心节点又由三个主干节点和两个二级节点组成。
具体拓扑结构如下图:
武汉市的一级核心节点分别位于市信息产业局机房、开明路机房、营房村电信机房内,每个节点分别放置一台NE40-8核心骨干路由器,三个核心节点之间采用GE光纤直连,对于三个节点的核心层来说,任何两个节点之间都存在着直达路由和经过另外一个节点的迂回路由。二级核心节点分别位于在十里谱、洪山路,二级节点分别放置一台NE08E骨干路由器,上行采用GE接口与核心路由器NE40-8通过GE互联。同时增加一台汇聚交换机S6506上行通过GE就近接入一级核心节点,用于对于用户接入节点的汇聚作用。用户接入层定位于对各单位网络的100M直接接入,采用华为公司S2403H快速以太网交换机,S2403H上行通过100M的光口接入汇聚交换机或者二级节点。
组网特点:
可靠性高、安全性好、可扩展
1、市核心节点的高性能、冗余备份:市核心设备选用华为公司高端路由器设备NE40-8、NE08E,NE40-8、NE08E属于高可靠、高性能的网络设备,本身具有双主控、双总线、热插拔、热备份等高可靠能力。同时三个核心节点NE40-8之间采用GE光纤直连,对于三个节点的核心层来说,任何两个节点之间都存在着直达路由和经过另外一个节点的迂回路由。二级核心上行采用双归属方式与核心路由器相连,很好的保证了网络的可靠性。
2、良好的可扩展能力:目前采用GE直连,当业务量增长以后,可以平滑过度到2.5G链路,RPR环网等,同时,NE系列路由器、S6506汇聚交换机具有丰富的接口,充分满足武汉电子政务平台在很长时间内的的性能需求和业务扩展需求。
3、全网支持MPLS
VPN:市核心节点设备NE40-8、NE08E支持做为电子政务网的最佳解决方案的MPLS
VPN技术,并可通过MPLS
VPN技术实现整个电子政务网络良好的安全性、防攻击性、私密性、可扩充性、灵活方便的可管理性,并可通过MPLS
VPN实现不同VPN的QOS和流量监控,提供视频和多媒体业务,更好的服务各级政府。华为NE系列设备支持作MPLSVPN的P和PE设备,组网灵活,例如在政务网刚建成时,可利用核心节点或二级节点作PE设备,开展MPLSVPN业务,待网络运行稳定,接入政府各部门网络时,现有核心节点和二级节点不需另加软硬件即可改作MPLSVPN中的P设备,以各政府部门的出口路由器作PE设备,实现MPLSVPN网络的平滑扩容。
4、可以实现统一网管,对政务网上所有的华为数据设备(如信息交换中心)可以采用统一的网管平台,节约硬件成本,并可通过对网管终端设备的权限设置,实现对不同网络的不同权限、不同地点的管理。
2.3
网络协议及路由规划
建议武汉政务网采用TCP/IP基础的网络协议。
2.3.1
自治域
由于政务网不能直接连接Internet,可以将整个政务网划到一个自治域中,并采用保留的自治域号。
2.3.2
路由协议及策略
1、域间路由协议选择
建议武汉政务网采用成熟的BGP4作为域间路由协议。
2、域内路由协议选择
在IGP路由协议的选择上,尽量不要采用扩展性差的(RIP)和厂家的私有路由协议(IGRP和EIGRP),尽量采用OSPF或IS-IS。
对于OSPF和IS-IS的选择依据为:
l
基本原理相同(基于链路状态算法),OSPF用于IP,
IS-IS用于ISO的CLNP,也支持IP(“集成IS-IS”);
l
IS-IS结构严谨,OSPF更加灵活,OSPF协议是基于接口的,而IS-IS路由器只能属于一个Area,并且不支持NBMA网络;
l
IS-IS占用网络资源相对较少,支持网络规模大于OSPF,在网络相当庞大时能体现出优势;一个IGP域运行的三层交换机及路由器的数量一般不会超过200台,因此从实际情况来看,运行OSPF和IS-IS对IP城域网/承载网的建设不会有差异;对于网络的稳定性、可扩充性,两种协议都能很好地支持;在大型ISP上,IS-IS与OSPF二者均获得普遍应用;
l
从MPLS草案及现实运行来看,如果要运行MPLS网络的话,OSPF经常被选用做内部IGP,当然IS-IS也有,但是MPLS草案中认为在MPLS环境中运行OSPF更合适;使用MPLS
TE的时候,采用IS-IS扩展的较多;
l
从目前很多厂商的设备来看,存在这样一个问题,不少厂商的中低端路由器及三层交换机不支持IS-IS,从这个角度讲OSPF比IS-IS有优势,所有的主流路由器及三层交换机都支持OSPF
综合考虑,考虑到网络的扩展,我们建议使用OSPF更符合实际。
3、路由策略
结合武汉政务网的实际情况,我们建议:
1、武汉政务网网络作为一个独立的AS,可以分配保留AS号。通过BGP4/静态路由和省、国家政务网相连,网内IGP采用OSPF。
2、
骨干网中的路由器互连及Loopback地址采用私有IP地址,运行OSPF路由协议。将所有路由器划分到OSPF
AREA
0中。
3、核心路由器通过BGP的Network发布湖北政务网路由到省政务网,同时设置路由的MED属性,确定进入MDCN网的流量的流向(外->内)。
4、
省中心路由器通过BGP向省MDCN发布缺省路由,同时设置路由的Local-Preference属性,决定出口流量的流向。(内->外)
5、IP地址分配尽量连续,配置路由聚合,减少边缘链路波动对核心层路由器的影响;
6、配置METRIC,通过路由实现链路主备。
华为公司推荐采用MPLS
BGP
VPN实现政务网横向、纵向系统之间的安全隔离,所以在路由方案中考虑了对MPLS
VPN业务的支持。
提供MPLS
BGP
VPN业务对路由的要求:
1、
二级节点的路由器都作为MPLS
VPN的PE节点,需要建立IBGP全连接,运行MBGP协议实现VPN路由的传递。
2、
在PE节点数量较多时,为克服IBGP全连接带来的扩展性问题,可采用路由反射器(RR)方案,一般采用P节点作为RR。
3、
PE和CE之间的路由设计
1)如果CE设备支持BGP,PE和CE采用EBGP相连。PE通过BGP向CE发布VPN路由和默认路由;同时在CE设备进行配置,保证PE发布到CE的路由优先级高于CE设备从原网路学到的路由(旧网作为备份的情况),这样省和地市的业务流量就通过MDCN。
2)如果CE设备不支持BGP,PE和CE采用静态路由。
3)PE的BGP需要引入VLAN子接口对应的直连路由。
2.4
IP地址规划方案
IP地址分配的基本原则为:
l
由于政务网不连接Internet,所有的接口、设备自身地址均分配私有IP地址。
l
IP地址分配既要考虑到扩充,又要能做到连续;尽量给每个地市分配连续的IP地址空间,并为将来的网络扩展预留一定的地址空间;在每个地市网中,相同的业务和功能尽量分配连续的IP地址空间,有利于路由聚合以及安全控制;
l
IP地址的分配必须采用VLSM技术,保证IP地址的利用率;采用CIDR技术,可减小路由器路由表的大小,加快路由器路由的收敛速度,也可以减小网络中广播的路由信息的大小。
结合武汉政务网的实际情况,我们建议:
1)考虑到与Internet的隔离,所有的路由器、交换机的互连及Loopback地址采用私有IP地址,分配一个B类网段专用。
2)对于已经运行的政务网子系统,建议保留其已经分配的IP地址,通常为私有地址。
3)对于新加入的政务网子系统,从一个A类地址段分业务系统统一规划地址段。
4)虽然通过VPN技术可以做到不同业务系统的IP地址重叠,但是从管理方便的角度来说,最好做到各政务网子系统不冲突。
2.5
设备选型及费用
参见配置报价清单。
2.6
网络安全方案
安全控制包括两方面:武汉政务网设备的安全性;不同业务之间的互访屏蔽。为了避免对于网络设备的非法访问和操作,采用下列的安全设计:
l
对网络设备的User和Privilege状态进行存取控制,限制对网络设备的SNMP和TELNET;
l
配置动态防火墙ASPF,提供针对应用层的报文过滤功能,即基于状态的报文过滤。ASPF不仅能够根据连接的状态对报文进行过滤还能够对应用层的一部分攻击加以检测和防范,包括对于SMTP命令的检测、SYN
flooding的检测等等。
l
对不安全的端口上将路由协议进行Passive,防止不必要的路由泄露;
l
互连设备的相互认证,路由信息交换的认证;
l
对所有重要事件进行log;
l
采用NTP协议对全网的设备进行同步;
l
通过划分VLAN的方式,将网管、计费网络与办公室网络二层分离;通过配置VPN、配合NAT、包过滤或防火墙等功能,限制各网络三层之间的相互访问;
l
对于关键应用信息,还可以采用隧道或加密机制进行保护。
l
华为路由器提供对标准的三层隧道加密协议IPSec和密钥交换协议IKE的支持,支持硬件和软件加密算法,为用户提供了在Internet上构建安全VPN的解决方案。MPLS
BGP
VPN结合IPSEC技术可以实现端到端的安全保护机制。
2.7
整合政务现网的方案
政务专网的详细应用需求如下:
可以为某一系统提供专用的虚拟通信通道,组建系统纵向的互联网络,以及提供横向的公共访问通道,如:
-为省政府提供与各部门通信的办公虚拟通道
-为省直各部门提供与部门内纵向通信的虚拟通道
-为IP电话服务提供公共的虚拟通信通道,并保证IP电话的QOS要求。
-WWW访问服务等
具体体现在:
1.各地市部分:
各个厅、局单位可以访问各地市各厅、局公共服务器,访问权限由各厅、局单位控制。
2.省中心部分:
a.
各省厅单位提供服务器,为其下属单位提供信息服务,而限制其它厅级单位的访问。某些厅、局单位需要与同系统的厅、局单位之间组成VPN,提供主机与主机之间的通信。
b.
省厅单位有专有工作站用于与省机要局服务器的访问。
c.
各厅、局单位能够访问国家对口单位的服务器。
d.
其它需求与各地市部分相同。
l1)利用MPLS技术,在公务网的网络平台上为各个机关部门提供虚拟专用网(VPN)服务。
机关部门可以在政务网所提供的网络平台上获得IP网络业务,并合并数据、语音和视频业务。政务网不仅可以为机关部门提供端到端级别协议(SLA),并保障服务质量(QoS)。VPN很自然的满足了用户对共享公用基础设施上实现Intranet和Extranet业务的需求。机关部门可以在作为一个城域网的政务网上得到和在本地局域网中相同的安全性、可靠性、可用性和可管理性的网络服务,而不必每个部门都去建立一套自己的城域连接网络。
目前可以应用多种不同的技术实现VPN,但基于MPLS的IP
VPN网络可以很容易地与基于IP的用户网络结合起来。租用者可与供应商提供的服务无缝结合,不必改变Intranet应用,因为这些网络具有应用通晓性、保密性且QoS内置于网络中。用户能够使用他们专有的IP地址而无需NAT(网络地址翻译)。
l2)利用宽带IP技术,实现网络对语音和多媒体业务的良好支持。
语音和多媒体业务是一种对业务的实时性,安全性和可靠性都有严格要求的特殊业务。因此在网络的设计和建设上要求能够满足对语音和多媒体业务的支持,针对不同业务提供不同的服务质量。
l3)利用有效的网络管理平台,保证网络运行可靠,并为接入单位提供MSP服务。
网络管理平台采用模块化设计的网络管理软件,将其统一在公共的管理框架中,便于管理系统各功能模块间进行管理信息的共享和数据交换。并且做到管理服务器不但支持单机中央处理模式,也同时支持多服务器分布式处理模式,并能实现从中央处理模式向分布式处理模式地平滑过渡。如此,可保证网络管理系统能适应网络规模的增长。
本次工程建议采用MPLSVPN方式接入政府现网,根据政府部门内及各部门间互连互通的要求,构件不同的VPN网络来实现互连,对于网络安全要求较高的部门,可以利用政府现网上的出口路由器做CE设备,直接连接至PE设备,接入MPLS网络;对于其他部门,为了节约成本,可以直接接入到汇聚交换机上,利用VLAN进行隔离,通过汇聚交换机接入至PE设备,在PE设备上通过VLAN
与VPN的转换,接入MPLS网络。
VPN互联设计
MPLS
VPN技术相对其他技术有着不可比拟的优势,MPLS
VPN技术可有效的实现网络业务需求、安全控制、端到端QoS等。当前MPLS
BGP
VPN是目前应用较为成熟的一种MPLS
VPN技术,目前各主流厂商互通性较好,商用实例较多。二层MPLS
VPN标准还不成熟,虽然各厂商都提出了相应的技术,但是都还不能完全实现互通,所以本次建设将采用MPLS
BGP
VPN。在下面的章节中将结合组网图将就本次电子政务的MPLS
VPN的具体部署进行阐述。
VPN设计
根据建设目标,是可以为某一系统提供专用的虚拟通信通道,组建系统横向互联网络,如:
--市计委、人大横向虚拟通道
将来还可以为视频会议服务提供公共的虚拟通信通道,保证视频会议的带宽要求。
1、VPN划分策略:
为需要进行业务资源共享的系统划分在一个VPN内,如将市人大、市政府。
为一些单独的应用划分VPN,例如,可以为视频业务专门划分一个VPN,该VPN具有更高的优先级,从而保证了视频业务在骨干网上的传输质量。
2、MPLS
VPN部署:
核心节点路由器NE40-8作为MPLS
VPN的PE设备,构成MPLS域。今后扩容时不需要另加软硬件即可改作P设备,保证MPLS网络的平滑扩容。
3、华为公司MPLS/BGP
VPN解决方案部署可以为武汉政务信息平台带来的优势:
1)基于网络,易于管理:这种基于网络的VPN可以完全由骨干网络来实现,即网络用户(例如计委、人大等最终用户)不用关心VPN是如何构造的,而是目前构件的网络平台内完成。
2)IP地址规划:不同VPN的IP地址可以相互重叠,使地址分配更加灵活。
3)安全:由于基于MPLS/BGP实现,报文在网络节点构成的MPLS域中采用标签转发的形式进行交换(LSP),因此具有同ATM/FR虚电路相同的安全级别;MPLS
BGP
VPN方案采用VRF实现VPN之间的路由隔离;通过MPLS
LSP隧道将VPN流量完全隔离。
4)QOS:
由于基于MPLS/BGP实现,可以利用MPLS技术特有的CoS、RSVP,流量工程等机制,从而能够为用户实现有QoS保证的VPN。
5)扩充性好:由于基于MPLS/BGP实现,因此很容易对网络节点进行扩充,网络可剪裁性好。在增加某个VPN的一个接入节点时,只需要配置该节点连接的PE路由器,不存在N平方问题。增加一项新业务系统时不会影响已有的业务,实现平滑扩展。MPLS
VPN业务模型与网络规模及拓扑无关。
2.8
QoS方案
为在最恶劣情况下保证关键业务的服务质量,可采用的QOS技术有:IP优先级分类、CAR、WRED、WFQ、CBWFQ、MPLS
COS等。
QOS是一个需要消耗很多处理器资源的应用,为了达到全网最好的使用效率,建议均采用DiffServ机制。
为了能够在IP网络上,很好的支持语音,视频,数据业务,需要有QOS及安全机制的支持,以便保证重要的,敏感或者实时性较强的数据流在网络中得到优先处理。华为设备支持基于MPLS的流量工程和Diffserv特性,在保证网络高效利用率的同时,又能根据不同数据流的优先级实现差别服务,从而为语音,视频数据流提供有带宽保证的低延时低丢包率的服务。由于目前在全网实施流量工程的难度比较大,因此在实际的组网方案中往往倾向于使用差分服务模型来实施QOS,为了支持
基于Diffserv模型的端到端的QoS服务,华为提供如下几种技术手段:
◆
IP
Precedence
for
Traffic
Classification
IP
precedence
Classification在网络边缘进行,利用IPv4包头的Type-of-Service
3个比特对每一个IP包依据其地址进行优先级分类。在核心利用不同的Queuing技术对不同等级的traffic进行不同的处理,使得不同的服务级别得到体现。为实现语音、图象、数据数据流的差分服务,对不同的业务流在进行标签交换时,即PE在给报文加Label时,会把IP报文携带的TOS值影射到标签的COS域,这样原来由IP携带的类型信息,现在由标签携带。在PE路由器之间,根据标签的COS域,进行有差别的调度(PQ、CQ、WFQ、CBWFQ等)。
◆
用CAR实现承诺带宽及限制带宽的作用
在PE上与CE相连的链路上配置CAR可以实现该功能。同时CAR还提供了承诺的带宽和限制带宽的功能。
◆
用WRED进行拥塞管理
WRED在网络的瓶颈处监视并缓解网络的拥塞。一般在接入层出现拥塞的概率比较大。WRED监视网络的负载,当拥塞开始刚出现时,它就开始有选择的丢弃一些包以降低流量。WRED丢包的策略为:低优先级的流先丢,以保证高优先级的流可以顺畅通过。在可能发生拥塞的端口运行WRED是避免拥塞的较好的选择。
在具体实现中,为了达到最好的效率,需要对任务进行分工。因为QoS是一个需要消耗很多处理器资源的应用,所以这一任务分配在边缘和核心路由器上运行,以减少对单独路由器的压力。
综上所述,实现基于CoS的差分服务结构需要4个步骤:
1、入口的带宽限制在MPLS边缘路由器PE上实现,同时完成入口流量的分类。边缘设备完成大部分处理任务,针对不同的用户策略进行分类。
2、边缘设备也需要承担带宽管理的工作,采用CAR。
3、MPLS核心路由器完成CoS的管理工作,进行有差别的服务质量保证。
4、出口设备,像入口设备一样,完成带宽限制工作。入口、出口设备对带宽的限制保护了网络免于拥塞,使得网络具有很高的可扩展性。
2003-01-12内部资料,请勿扩散
第13页,共13页