政务网建议书参考.docx
《政务网建议书参考.docx》由会员分享,可在线阅读,更多相关《政务网建议书参考.docx(26页珍藏版)》请在冰豆网上搜索。
政务网建议书参考
××电子政务网网络建设
技术建议书
XX技术有限公司
200×年×月
目录
第一章用户需求分析3
1.1总体目标3
1.2工程概述及主要建设内容3
第二章设计原则、技术选型依据3
2.1总体设计原则3
2.2技术选型依据3
第三章组网方案3
3.1方案概述3
3.2整网结构设计3
3.2.1整网结构设计基本要求3
3.2.2整网结构设计方案3
3.2.2.1既上INTERNET又要访问政务专网的新建LAN用户3
3.2.2.2既上INTERNET又要访问政务专网的现有LAN用户3
3.2.2.3既访问INTERNET又访问政务专网的ADSL专线用户3
3.2.2.4政务网数据中心建设方案3
3.2.2.5视频会议网络结构图3
3.2.2.6电子政务网安全规划3
第四章××电子政务网设备规划及预算3
4.1设备预算3
4.2网络设备介绍:
3
4.2.1政务网出口路由器NE40-83
4.2.2政务网核心汇聚交换机S85083
4.2.3政务网VPN网关和数据中心防火墙E10003
4.2.4政务网机关单位LAN接入防火墙E200/E100E3
4.2.5政务网机关单位LAN接入交换机S2403H-EI3
4.2.6政务网数据中心入侵检测防御系统NIP2003
4.2.7政务网平台服务器T80003
4.2.8政务网存储系统S1200简介3
1.第一章用户需求分析
1.1总体目标
进入二十一世纪,以知识和信息的生产、传播、应用为基础的知识经济占据着世界经济发展的主导地位,随着现代信息技术的高速发展,将信息化技术与政务相结合,正在成为当今中国政务发展的关键组成部分,改变着传统的政府工作模式。
互联网应用的普及将为政务工作的发展带来前所未有的变革,网络打破了传统政府工作中面临的时间、地域等限制。
越来越多政府的领导已经认识到实施政务信息化是提高政府工作效率的有力保证,是促进社会发展和政府工作职能的重要途径,是实现政务工作现代化的必由之路。
为了能够顺应信息化社会的发展要求,建设一个高质量、高带宽、多服务、范围广的整体政务综合信息网络势在必行。
许多城市有这样的规划:
初步建成覆盖全市各级政府行政机构的先进、实用的政务信息化基础设施,较好地利用现代信息技术从事管理、服务公众等工作。
这就需要建设城市党政网络;建设市、区县党政机构局域网;并将各个区县党政局域网全部与党政中心网站实现互连。
通过建立横向和纵向的电子政务网络系统加速实现办公现代化,充分提高工作效率。
××政务网工程是××电子政务建设的重要内容,是全市统一的电子政务平台,主要实现市委、市人大、市政府、市政协等重要机关的高速互联和各部委办区县局的高速互联。
该网络具有构建各部门的虚拟业务专网的能力,可以实现××市政务部门的网上办公和面向社会的服务业务,提供共享资源信息数据库和目录服务与公文交换体系等功能。
1.2工程概述及主要建设内容
本次工程的主要建设内容如下:
构成全市统一的电子政务平台,包括网络系统和政务资源信息系统,包括指挥调度系统、视频会议系统、行政审批系统、办公自动化系统;
第二章设计原则、技术选型依据
2.1总体设计原则
结合政府部门的实际应用和发展要求,在进行××电子政务专网平台设计时,系统总体设计应遵循原则:
实用性原则:
以现行需求为基础,充分考虑发展的需要来确定系统规模。
安全性原则:
××电子政务专网平台服务于政府办公需要,对安全级别要求较高。
系统应能提供网络层的安全手段防止系统外部成员的非法侵入以及操作人员的越级操作,保护网络建设者的合法利益。
可靠性原则:
系统设计能有效的避免单点失败,在设备的选择和关键设备的互联时,应提供充分的冗余备份,一方面最大限度地减少故障的可能性,另一方面要保证网络能在最短时间内修复。
成熟和先进性原则:
系统结构设计、系统配置、系统管理方式等方面采用国际上先进同时又是成熟、实用的技术。
规范性原则:
系统设计所采用的技术和设备应符合国际标准、国家标准和业界标准,为系统的扩展升级、与其他系统的互联提供良好的基础。
开放性和标准化原则:
在设计时,要求提供开放性好、标准化程度高的技术方案;设备的各种接口满足开放和标准化原则。
可扩充和扩展化原则:
所有系统设备不但满足当前需要,并在扩充模块后满足可预见将来需求,如带宽和设备的扩展,应用的扩展和办公地点的扩展等。
保证建设完成后的系统在向新的技术升级时,能保护现有的投资。
可管理性原则:
整个系统的设备应易于管理,易于维护,操作简单,易学,易用,便于进行系统配置,在设备、安全性、数据流量、性能等方面得到很好的监视和控制,并可以进行远程管理和故障诊断。
2.2技术选型依据
在××政务网建设中,××市不同的政府部门之间业务承载在同一张物理网络之上,出于安全性的考虑,必须采用技术手段进行安全隔离,而不同部门之间的部分资源又需要进行受控互访进行共享,所以隔离和互访是政务网建设中的必然需求。
目前业界主要的隔离与互访技术主要包括MPLSVPN、传统的VLAN+ACL、技术,ACL+VLAN方式可以实现隔离、受控互访,部门之间的隔离采用VLAN方式,受控互访采用ACL进行控制。
在灵活性、QOS等方面,VPN方式也明显优于ACL+VLAN,所以建议在政务网中采用VPN技术。
MPLSVPN是采用自动建立LSP(标签转发隧道)实现VPN报文在共网中的转发,采用MP-BGP协议实现VPN私网路由信息的扩散。
从而大大减少了单个节点的配置工作量,MPLSVPN便于维护。
同时,在增加新的节点时,不需要对原有节点的配置进行修改。
所以,相对于其他VPN技术,采用MPLS技术组建的VPN具有更好的可维护性及可扩展性,MPLSVPN更适合于组建较大规模的复杂的VPN网络,MPLSVPN的这些优点已经是它成为政务网上IPVPN的主流技术。
所以在××电子政务的规划过程中,结合网络可扩展、维护等方面的考虑,建议采用MPLSVPN技术实现在一个电子政务平台之上,承载多个系统业务,并实现安全隔离。
第三章组网方案
3.1方案概述
根据网络设计思想及其应用需求,鉴于政务网各部门的特殊安全性要求,在总体建设上采用业务与网络分层构建、逐层保护的指导原则,利用宽带IP技术,保证网络的互联互通性,提供具有一定QOS的带宽保证,并提供各部门、系统网络间的有效、安全隔离,保证互访的安全控制;所采用的设备以及网络构架都具有良好可扩展性,可以根据后续发展的需求,持续的增加网络功能,保护现有投资。
3.2整网结构设计
3.2.1整网结构设计基本要求
本次建设主要是实现政务专网互联互通到所有机关单位,实现政务信息资源的共享。
××电子政务平台实现横向连通市各大机关、纵向连通郊区县政务网络平台。
3.2.2整网结构设计方案
在考虑网络拓扑结构、网络传输效率、路由组织的高效合理以及安全性等因素,建议采用星型的拓扑结构。
整个××政务专网平台由三层组成:
核心汇聚交换机节点2台、互联网出口高端路由器1台、接入节点400个左右。
整网具体网络结构如下:
3.2.2.1既上INTERNET又要访问政务专网的新建LAN用户
用户接入及访问流程示意图见下:
用户访问流程说明:
1.Eudemon100E使用固定公网IP地址承担LAN接入,既提供Internet接入,也提供政务专网的接入服务,同时为LAN用户上网执行NAT转换;
2.E100E与E1000之间启用静态IPSec隧道,以便LAN用户二次拨号认证后可以访问政务专网;
3.LAN用户上公网不启动二次拨号的L2TP客户端;
4.LAN用户访问政务专网前,使用二次拨号的L2TP客户端,建立PC终端到E100E之间的L2TP,E100E将L2TP模板的子接口与IPSec的通道号邦定,以便PC终端经过IPSsec访问政务专网。
3.2.2.2既上INTERNET又要访问政务专网的现有LAN用户
用户访问流程说明:
1.该种用户的接入方式类似新建LAN用户,这些用户已经具有了自己的局域网,并具备相应的接入设备,不需要网通公司再提供接入设备E100E;
2.现有专线用户(已有出口路由设备)上政务专网的用户,直接在客户端上安装L2TP客户端,拨号上政务专网;
3.在用户数比较少的情况下可以使用共用帐号访问政务专网;
3.2.2.3既访问INTERNET又访问政务专网的ADSL专线用户
用户接入及访问流程示意图见下:
用户访问流程说明:
1.正常上网ADSL一次拨号到BAS,经过BAS的认证后,实现Internet访问;
2.PC上安装L2TP拨号软件,二次拨号到政务专网的E1000建立L2TP,每个用户动态建立独享的L2TP隧道。
3.2.2.4政务网数据中心建设方案
政务网数据中心建设原理图如下:
政务专网用户访问数据中心的说明:
1.在AD各用户通过L2TP二次拨号方式直接访问Eudemon1000VPN网关的情况下,由E1000来分配用户访问专网的IP地址。
2.使用E100EIPSECVPN方式的LAN接入用户,由E100E来分配用户访问专网的IP地址。
3.通过统一规划各级单位的IP地址范围,根据用户的帐号来区分用户类别,分配IP地址。
4.数据中心防火墙同时提供对数据中心局域网的安全保护功能
5.各旗县或分支机构对于政务网数据中心的访问,建议使用MPLSVPN的方式进行实现
6.在政务网中的S8508和NE40组成MPLSVPN的网络,将NE40和S8505作为MPLSVPN的PE,将政务网各个部门的业务服务器按照政务网的业务需求,规划为各个不同的VPN。
7.从旗县和分支机构的各个部门对于政务网数据中心相应的部门服务器的访问,从终端处使用L2TP或IPSEC的方式访问到E1000,将E1000和S8505的物理链路上启动相应的子接口,并且在S8505上将相应的子接口邦定的相应的VRF中,从E1000配置静态路由到S8505的子接口,从而到达,从E1000上不同部门的路由注入到相应的S8505的VRF的路由表当中,实现各业务部门的隔离;
8.对于各分支机构和旗县访问公共区域的服务器,建议采用将公共区域的服务器在S8505上通过VPN的HUB-SOPKEN配置,实对公共区域服务器的访问;
数据区服务器及存储规划:
1.市政府内部办公用服务器、门户网站服务器、行政审批服务器、数据库服务器、E-MAIL、防垃圾邮件、防病毒、漏洞扫描、入侵检测系统、补丁分发服务器、文件交换及共享、农村信息化服务器、网管、视频应用等服务器,总共规划20台T8000刀片服务器。
其中配置18个双核双处理器刀片(4G通用内存,73G---SAS10000rpm-2.5通用硬盘,带双SCSI和双GE接口)负责文件,网管以及数据库等专业的应用,配置2个双核四处理器超高性能刀片(8G通用内存,2*73G---SAS10000rpm-2.5通用硬盘,带双SCSI和双GE接口)负责视频类业务的应用。
各个刀片之间通过双平面GE交换网络互通,可以实现关键应用服务器的热备份;T8000的详细情况请参见后附T8000产品介绍。
2.上述所有服务器2T,E-MAIL服务器预计存储2T(200M/用户,共支持10000用户)存储空间共预算4T。
存储器采用基于SAN的存储设备S1200,其采用高性能,安全的控制器(2CPU,4GB内存,带资料、电缆、包装,单64位1.6GHzwoodcrest双核处理器,2GB缓存,4个GE端口、电接口,双电源)可以实现对整个存储设备的管理,同时支持链路聚合和故障切换,支持RAID0、1、10、3、5、6和JBOD配置。
S1200的具体情况请参见后附S1200产品介绍。
3.2.2.5视频会议网络结构图
视频会议系统平台建设方案拓扑图如下:
视频会议规划方案说明:
1.网通公司负责承建视频会议综合承载平台,提供所有县级、所有乡镇(81)的视频会议容量需求;
2.配置MCU板3块,每块支持32路IP视频终端接入
3.配置业务受理服务器、网管服务器、GK服务器、流媒体服务器共4个刀片。
(服务器的配置情况参见数据区服务器及存储规划中关于服务器的规划。
)
4.为视频会议系统提供一个存储区域(预计2T),提供会议录像录音功能,并提供点播存储功能。
(存储器的配置情况参见数据区服务器及存储规划中关于存储器的规划。
)
5.视频会议终端由政府自行采购,网通公司负责视频会议平台的搭载;
3.2.2.6电子政务网安全规划
1.在S8505旁挂E1000一台,提供VPN网关功能
2.在数据中心局域网入口部署E1000一或两台,提供防火墙功能
3.用E100E作为LAN用户的接入设备,提供防火墙,VPN网关、IPSEC隧道建立等功能;
4.采用E200作为集宁区一级单位的接入设备,一方面可以提供更高的接入容量,同时可以作为一些下一级单位的汇聚设备;
第四章××电子政务网设备规划及预算
4.1设备预算
整体预算总计:
1180万;
NE40-8*1台-41.5万;政务专网出口路由器,具有NAT功能,配置了4GE光口板、NAT业务板、32路FE电口板;
E1000*2台-44万;一台作VPN网关,一台作数据中心防火墙
S8508*2台-60万;政务专网核心层设备
E200*12台-66.5万;政务专网汇聚层设备
E100E*200台-499万;政务专网接入层设备
S2403-EI*390台-106.5万;局域网接入交换机
NIP200*1台-11.2万;入侵检测系统
服务器*20片-114.5万;公共服务区,政府服务区,对外服务区等各个区域的服务器。
存储设备-80万;数据存储以及视频存储,8T容量
UPS电源-50万;
视频会议系统平台-107万;
4.2网络设备介绍:
4.2.1政务网出口路由器NE40-8
Quidway®NetEngine40基于分布式的网络处理器硬件转发和无阻塞交换技术,具备优异的扩展能力,全面支持IPv6。
NE40融合核心路由器强大的IP业务处理能力和三层以太交换能力,可提供更丰富的业务、更灵活的组网和更理想的性价比。
NE40是IP骨干网和IP城域网向宽带化、安全化、业务化发展的重要源动力。
NE40-8具有8个业务槽位,各关键部件包括路由处理系统、交换网系统、时钟系统、电源、管理总线全部为冗余热备份,实现基于状态的热切换;所有组件支持热插拔;采用无源背板设计;提供热补丁技术,实现软件完全平滑升级;支持动态路由协议、MPLS流量工程,提供IP/MPLS快速重路由、虚拟路由冗余协议(VRRP)、RPR自愈环网、BFD等保护机制,具备快速路由备份(FRB:
FastRoutingBackup)特色功能,有效保证了全网运行的高速可靠。
4.2.2政务网核心汇聚交换机S8508
Quidway®S8500系列核心路由交换机(以下简称S8500)是由XX公司自主开发的新一代高性能核心路由交换机产品,提供大容量、高密度、模块化的二到四层线速转发性能,具有强大的IP路由性能,同时支持分布式的MPLS线速转发、完善的QoS保障、有效的安全管理机制和电信级的高可靠设计,满足高端用户对多业务、高可靠、大容量、模块化的需求,可广泛应用于构建IP城域网、大型园区网的网络骨干、交换核心和汇聚中心。
◆MPLS分布式线速支持
S8500系列支持全面的MPLSVPN业务,包括:
L3MPLSVPN、VPLS、VLL、MCE、HoPE;
S8500系列产品遵循业务与性能并重的设计理念。
一方面带宽和网络规模的增长推动核心路由交换机的性能容量不断提升,另一方面业务的发展要求核心交换机更加智能化并具备更强的业务提供能力。
Quidway®S8500系列产品实现MPLS的分布式线速转发,满足高端用户对新型增值业务的需求。
◆电信级可靠性设计
S8500系列产品系统采用分布式结构,支持双主控交换板,无源背板设计,所有单板支持热插拔;电源系统采用1+1冗余热备份,并支持双路电源输入;风扇冗余设计并支持自动调速;支持STP/RSTP/MSTP,RPR,VRRP协议,能够满足苛刻的电信级网络可靠性要求,系统可靠性达到:
99.999%。
4.2.3政务网VPN网关和数据中心防火墙E1000
Quidway®Eudemon1000是XX公司推出的新一代基于网络处理器技术(NP)的硬件高速状态防火墙,采用先进的动态检测技术(ASPF),为用户网络提供无与伦比的安全保护,同时还具备强大的虚拟专用网(VPN)功能、地址转换(NAT)功能以及P2P业务控制与带宽管理功能。
具备电信级高性能和高可靠性。
◆全功能的VPN网关
Eudemon500、1000千兆防火墙还是一种能够通过公网安全传输数据的全功能VPN网关,可构建远程访问、网络到网络等多种VPN组网。
Eudemon系列支持多种IPVPN的接入方式,例如L2TP、GRE、IPSec等等。
Eudemon500、1000支持Multi-VRF特性,可以为多个VPN保存独立的转发表项,通过这种Multi-VRF技术可以为多个VPN用户提供服务,支持私网地址重叠功能。
◆强大的安全守护者
Eudemon500、1000千兆防火墙采用业界最先进的安全技术,核心是基于流的动态检测技术ASPF(ApplicationSpecificPacketFilter),可实现对每一个连接状态信息的维护监测并动态地过滤数据包,是内部网络的强大保护屏障。
Eudemon系列防火墙支持虚拟防火墙功能,所有安全业务全部支持多实例特性。
有效防止各种网络攻击,例如:
窃听报文、IP地址欺骗、源路由攻击、地址端口扫描、多种Dos攻击;应用层攻击(Java、ActiveX控件、“特洛依木马”等);以及智能的蠕虫病毒防范等等。
支持丰富的协议,对HTTP、FTP、RTSP、SIP、MGCP、H.323(包括T.120、Q.931、RAS、H.245等)、HWCC以及通用的TCP、UDP应用进行状态监控。
支持多种防火墙日志,可以提供事后追踪的功能。
并且为适应大流量的应用环境需求,除文本格式外,还可以高速输出二进制格式的日志。
增强的黑名单功能,可以对染毒用户网络权限加以控制,通过该名单,还可以提供下一步的服务(如公告、在线杀毒等)。
提供开放的IDS联动接口协议以及LIB库,可以快速与其它厂家的IDS系统联动,例如启明星辰、安氏中国、东方龙马、金诺网安等,共同构建全面网络安全防护。
采用XX公司专用的嵌入式操作系统,避免了普通防火墙采用通用操作系统天生的安全漏洞。
可按照RADIUS协议规范实现AAA,构建分布式客户/服务器安全访问应用控制。
4.2.4政务网机关单位LAN接入防火墙E200/E100E
Quidway®Eudemon200防火墙是新一代硬件高速状态防火墙,不仅具备强大的攻击防范能力,提供静态和动态黑名单过滤等特性,还具备强大的虚拟专用网(VPN)功能及地址转换(NAT)功能,提供完善的组网应用解决方案,可提供丰富的统计分析功能和日志,支持QoS等特性。
它业务适应范围广,对语音、视频等业务支持良好(支持RTSP、H.323、SIP、MGCP、RTSP等协议),在NGN、多媒体等领域获得广泛应用。
Quidway®Eudemon200是基于XX专业电信级硬件平台和VRP软件平台,适用于为中、小型网络提供安全保证。
目前产品已经在国内外得到大量应用,并远销欧洲、中东、南美、东南亚等国家。
◆强大的安全性能
有效防止各种网络攻击,例如:
窃听报文、IP地址欺骗、源路由攻击、地址端口扫描、多种拒绝服务攻击(Denyofservice);应用层攻击(Java、ActiveX控件等的检测、“特洛依木马”等);以及智能的蠕虫病毒防范功能等等。
支持丰富的协议,对HTTP、FTP、RTSP、SIP、MGCP、H.323(包括T.120、Q.931、RAS、H.245等)、HWCC以及通用的TCP、UDP应用进行状态监控。
完备的流量监控特性。
对数据流量和连接状况进行监视,动态的对每个IP的连接数量和带宽进行控制,可以有效、灵活地防止ISP、IDC网络遭受流量攻击。
完善的QOS特性可实现对于用户约定流量、攻击流量等特征流的带宽管制服务。
支持多种防火墙日志,可以提供事后追踪的功能。
并且为适应大流量的应用环境需求,除文本格式外,还可以高速输出二进制格式的日志。
增强的黑名单功能,可以对染毒用户网络权限加以控制,通过该名单,还可以提供下一步的服务(如公告、在线杀毒等)。
提供开放的IDS联动接口协议以及LIB库,可以快速与其它厂家的IDS系统联动,例如启明星辰、安氏中国、东方龙马、金诺网安等,共同构建全面网络安全防护。
采用XX公司专用的嵌入式操作系统,避免了普通防火墙采用通用操作系统天生的安全漏洞。
可按照RADIUS协议规范实现AAA,构建分布式客户/服务器安全访问应用控制。
◆全功能的VPN网关
Eudemon200百兆防火墙还是一种能够通过公网安全传输数据的全功能VPN网关,可构建远程访问、网络到网络等多种VPN组网。
Eudemon系列支持多种IPVPN的接入方式,例如L2TP、GRE、IPSec等等;
支持多种加密算法,56位数据加密标准(DES)或168位3DES,遵照ISAKMP协议框架IKE协议实现密钥交换功能;
为获得更强的加密性能,Eudemon200支持高速硬件加密卡。
提供专用的VPN客户端软件,方便用户使用。
各种VPN协议严格按照RFC或者相关标准实施。
4.2.5政务网机关单位LAN接入交换机S2403H-EI
◆全线速的二层交换
6.4G/6.4G/9.6Gbps的总线带宽为交换机所有的端口提供二层线速交换能力,保证所有端口无阻塞的进行报文转发。
◆完备的安全智能控制策略
S2000-EI系列交换机支持802.1x认证,还可以做认证Server,在用户接入网络时完成必要的身份认证,同时动态的配置VLAN,有效的控制用户访问网络资源。
该系列具备端口限速功能,可以64Kbps的精细粒度进行端口带宽分配,控制用户的接入速率,防止恶意侵占网络带宽。
交换机提供512个802.1QVLAN,支持MAC地址和端口绑定、广播风暴抑制和端口锁定功能,还可以对属于同一个802.1QVLAN的端口之间设置隔离或互通。
◆高可靠性
S2000-EI交换机不仅支持STP/RSTP生成树协议,还可以提供基于多VLAN的生成树MSTP,极大提高了链路的冗余备份,提高容错能力,保证网络的稳定运行。
4.2.6政务网数据中心入侵检测防御系统NIP200
定位于满载百兆网络流量监听,通过对计算机网络或计算机系统中的若干关键点信息进行分析,可以从中发现网络或系统中违反安全策略的行为和被攻击的迹象,实时作出报警和响应。
i3SAFENIP具有2000余种入侵特征库,可以检测DoS、扫描、代码攻击、后门等多种入侵攻击。
NIP对检测到的入侵企图或违背已设定的安全策略的活动做出实时响应,并提供多种响应方式。
NIP通过简单易用的管理界面和入侵检测、入侵阻断、入侵报警、入侵日志等功能,提供最佳的策