电子政务城域网解决方案前言:早期的政府信息化建设中,“普遍存在着纵强横弱的现象――所谓纵强就是部门的系统比较强,横向的互联互通存在着局部的信息孤岛”(刘鹤,2002)。根据赛迪CCID2002年的报告,中国300亿电子政务投资绝大部分在纵向垂直领域。一些政府部门如外经贸部、海关、工商等政府上网和单个系统构建完善,成效显著,但同一区域内许多政府部门之间的互通却比较困难,存在信息不能交换的问题。2004年是中国电子政务建设进入实质性阶段的一年,政府信息化进程加速,区域内政府部门之间的网络互联与信息互通需求日益迫切,电子政务城域网络平台建设发展迅速。华为3Com公司利用自身丰富的网络建设经验,结合政府信息化的实际需求,已经先后协助很多省会城市和经济发达城市建设了覆盖全市的政务城域网,例如天津、成都、武汉、苏州等等。随着政府信息化的推进,华为3Com公司将倾注自己全心之力参与电子政务城域网的规划、建设。一、电子政务城域网的主要目标在城域范围内,建立一个开放的、基于标准的电子政务统一应用平台,实现政府部门的信息交换和资源共享,面向公众提供服务,增强各部门工作的透明度。二、电子政务城域网的组网建议各地信息化发展情况有差异,因此在政务城域网建设过程中,应依据其接入政府部门的数量、业务量的大小等实际情况,规划建设不同规模的城域网络,分为大型政务城域网和中小型政务城域网。大型政务城域网组网建议拓扑结构:大型政务城域网组网主要使用千兆以太网技术,建议设立多个核心节点的城域网,采用星环型结构。核心层采用RPR/POS环网技术,网络可靠性高,同时核心层考虑预留政务纵向网接口。汇聚层设备根据业务需求采用GE/FE双归属方式接入核心点。接入层设备就近采用GE/FE接入汇聚节点。核心层面作为城域网的核心节点,负责处理的业务流量大,它的性能、可靠性将极大地影响城域网网的运行情况,因此建议采用华为3Com的QuidwayNetEngine80/40第五代路由器。这款设备采用基于NP技术的转发机制,具备单板6Mpps的包处理能力,所有端口支持IP/MPLS最短报文的线速转发,时延最大不超过20us。并且NE80/NE40具备出色的MPLS、QOS及组播处理能力和完善的可靠性设计保障,完全满足电子政务城域网核心层高可靠性、高稳定性及高性能等方面的需求。汇聚层主要用于城域网接入节点的汇聚,根据不同城域网的网络规模,在汇聚层可以选用相应的三层交换机,我们建议用于汇聚层面的L3设备根据城市规模选用S8500、S6500,它们都具备灵活高密的接口,很强的二层交换及三层路由能力。组网方案特点:1网络及路由层次清晰采用业界主流分层的分层结构设计,核心层可以专注于IP/MPLS的快速交换,汇聚层负责城域网业务的汇接,高速转发,层次清晰,分工明确。分层网络结构,路由设计更清晰,可以尽量避免核心区域的路由受到边缘链路震荡的影响。2网络结构充分考虑网络可靠在组网方式上,核心节点之间采用RPR/POS环网技术,RPR技术可以提供低于50ms的故障保护。汇聚层设备采用双归等措施避免了单点故障,提高网络的可靠性。同时,核心、汇聚层设备NE80、NE40、S8500、S6500等均采用分布式体系结构、关键部件冗余的高可靠性设计,保证了设备系统的可靠性和可用性。3对MPLS的支持易于实施MPLSVPN等业务,核心层设备可以作为P/PE设备,方便业务的扩展。中小型政务城域网组网建议拓扑结构:随着网络技术的发展,路由交换机也具备了强大的路由功能,在网络中承担了越来越重要的位置,并且交换机解决方案的性价比相对高一些,适合网络投资不大的中小型政务城域网。中小型政务外网网络在拓扑结构上和大型政务网基本类似,分为三个层次:核心层、汇聚层、接入层。核心层建议采用双节点设计,推荐华为3Com公司的QuidwayS8500万兆骨干交换机,两台S8500交换机通过GE捆绑互连,实现负载分担,同时在核心层设备上考虑预留省级纵向网络的互联接口。汇聚层到核心层采用裸光纤方式,汇聚层推荐华为3Com公司的S5000、S3500路由交换机,汇聚层路由交换机上行通过双归属的GE/FE方式与核心交换设备S8500相连。接入层设备就近采用GE/FE接入汇聚节点S5000/S3500。一、电子政务城域网建设的关键技术----MPLSVPN技术电子政务城域网的主要目标是:在区域范围内,建立一个开放的、基于标准的电子政务统一应用平台,实现政府部门的信息交换和资源共享,面向公众提供服务,增强各部门工作的透明度。但是在实现政府不同部门之间的信息交换和资源共享同时,如何保证不同行业之间特殊的业务和信息安全性,是电子政务城域网建设不可避免的问题,安全对于电子政务城域网建设来说是至关重要的。MPLSVPN技术可以很好的解决该问题,通过将各机关部门办公系统划分为不同的VPN网络,实现各部门办公系统共享同一物理网络,但是在逻辑上却是相互隔离,从而既可以提高政府办公的自动化程度及效率,又可以保障各部门系统内数据不被其他人访问,满足了政府办公的安全需求。MPLSVPN技术作为一项有效的隔离技术,在灵活性、可扩展性、易开展性等方面具有很强的优势,目前已经成为电子政务城域网络建设的主要支撑技术之一。作为业界少数几家能提供整网MPLSVPN技术的厂商之一,华为3Com公司致力在电子政务城域网建设中提供基于MPLSVPN技术的网络受控互访与安全隔离解决方案。下面以大型政务城域网为例,阐述MPLSVPN的部署与开展。MPLSVPN的目的是为某一系统提供专用的虚拟通信通道,组建系统横向、纵向的互联网络,如在政务城域网中,我们可以按照以下方式划分:市区、计委、区县计委纵向虚拟通道;市计委、人大横向虚拟通道,也可以为视频会议服务提供公共的虚拟通信通道,保证视频会议的带宽要求。1、VPN划分策略:(1)为每个业务系统划分一个VPN,如将市、区县计委系统划分为VPN1,人大系统划分为VPN2。这样,不同的系统在骨干网通过VPN相互隔离。(2)为一些单独的应用划分VPN,例如,可以为视频业务专门划分一个VPN,该VPN具有更高的优先级,从而保证了视频业务在骨干网上的传输质量。2、MPLSVPN部署:核心节点的路由器作为MPLSVPN的P/PE设备,在MPLS域内,通过OSPF作为内部路由协议,保证MPLS域内各路由节点的连通性,采用MP-BGP作为MPLSVPN的信令,传播各VPN的私网路由信息。在PE的接入侧,为每个VPN划分一个子接口,对于计委、人大属于两个VPN就对应两个子借口,并且VPN相应的VRF与子接口进行绑定,不同VPN的流量通过不同的子接口接入。3、华为3Com公司MPLS/BGPVPN解决方案部署可以为电子政务平台带来的优势1)基于网络,易于管理:这种基于网络的VPN可以完全由骨干网络来实现,即网络用户(例如计委、人大等最终用户)不用关心VPN是如何构造的,而是目前构件的网络平台内完成。2)IP地址规划:不同VPN的IP地址可以相互重叠,使地址分配更加灵活。3)安全:由于基于MPLS/BGP实现,报文在网络节点构成的MPLS域中采用标签转发的形式进行交换(LSP),因此具有同ATM/FR虚电路相同的安全级别;MPLSBGPVPN方案采用VRF实现VPN之间的路由隔离;通过MPLSLSP隧道将VPN流量完全隔离。4)QOS:由于基于MPLS/BGP实现,可以利用MPLS技术特有的CoS、RSVP,流量工程等机制,从而能够为用户实现有QoS保证的VPN。5)扩充性好:由于基于MPLS/BGP实现,因此很容易对网络节点进行扩充,网络可剪裁性好。在增加某个VPN的一个接入节点时,只需要配置该节点连接的PE路由器,不存在N平方问题。增加一项新业务系统时不会影响已有的业务,实现平滑扩展。MPLSVPN业务模型与网络规模及拓扑无关。二、华为3Com电子政务城域网部分用户名单天津电子政务专网武汉电子政务网广州电子政务内网茂名电子政务外网成都电子政务网太原电子政务专网晋城市电子政务网邢台电子政务网邯郸电子政务网苏州电子政务网无锡电子政务网红河州电子政务东营政务网榆林市电子政务一期合川市党政网齐齐哈尔政务网福州电子政务网泉州电子政务网石狮电子政务网三明电子政务网宁德电子政务网南平电子政务网龙岩电子政务网武夷山电子政务网淮南政务网瑞安电子政务网白城电子政务内网诸暨电子政务一期新乡市电子政务网新密市电子政务网