XX市电子政务外网网络建设方案.docx

1、XX市电子政务外网网络建设方案第二章 政务外网网络建设方案2.1.总体设计方案2.1.1.组网原则按照国家信息中心、XX省信息中心下发的电子政务外网建设相关技术规范，结合基于对国家电子政务外网项目的理解，在本次网络设计时遵循以下基本建网原则：1、网络设计标准化本项目网络设计所采用的组网技术和设备应符合国际标准、国家标准和业界标准，为网络系统的扩展升级及与其他网络系统的互联提供基础。2、组网技术的先进性和成熟性本项目网络建设应适应网络自身的发展特点及网络通信技术的更新换代，在网络结构设计、网络配置、网络管理方式等方面应具有一定的先进性和前瞻性，同时又是成熟、实用的技术，尽量避免技术风险。 3、高

2、度的网络安全性提供完备的安全防护策略，能防止对网络资源的非法访问，保护网络使用者的合法利益。4、高度的网络可靠性网络设计应能有效地避免单点故障（设备、线路），在设备的选择和关键设备互连时，应提供充分的冗余备份，一方面最大限度地减少故障的可能性，另一方面要保证网络能在最短时间内修复。 5、多业务统一网络平台建设一个开放的网络平台，支持多种业务的同时传输，如支持语音、视频等多媒体业务服务。 6、良好的扩展能力能够根据未来业务的增长和变化，平滑的扩充和升级现有的网络覆盖范围，扩大网络容量和提高网络的各层次节点的功能，最大程度的减少对网络架构和现有设备的调整。7、良好的管理能力在网络设计中，须建立有效

3、的网络管理解决方案。能够实现监控、监测整个网络的运行情况，合理分配网络资源、动态配置网络负载、可以迅速确定网络故障等。通过先进的管理策略、管理工具提高网络的运行性能、可靠性，简化网络的维护工作。8、突出应用，强化服务。立足我省实际，结合政府职能转变和管理体制改革，紧扣政府业务和社会公众的需求，突出应用，务求实效。9、经济性和实用性。建设原则都以实际需求为出发点，以满足网络应用需求和适应一定时间内的发展规划为原则。2.1.2.线路选型组建网络考虑的技术主要包括网络通信协议的选择和网络通信线路的选择。针对通信线路，针对XX市电子政务外网的建设， 全网通信线路均采用运营商提供的裸光纤资源，从而保证高

4、速的数据传输性能，以及数据的安全传输的需求。2.1.3.技术选型组建网络考虑的技术主要包括网络通信协议的选择和网络通信线路的选择。针对通信协议，目前TCP/IP协议已经成为组建互联网和政务网络事实上的标准，因此XX市电子政务外网网络建设采用TCP/IP协议为网络的基础协议，凭借TCP/IP技术的开放性来提供网络业务的灵活性支持；采用MPLS VPN技术来支持用户的安全性、QOS以及SLA；同时IP协议有版本4（v4）和版本6（v6）之分。目前绝大多数网络都在使用IPv4，但随着IPv4地址资源的减少，必须考虑向IPv6过渡。在一期工程中，参照当前网络设计的主流趋势，应采用IPv4协议，同时为了

5、适应网络向IPv6过渡的发展趋势，在总体方案和某些关键设备上对两种协议的兼容应有所考虑。保证整个网络能够顺利平滑升级至IPv6阶段。2.1.4.建设目标在国家电子政务外网统一规划和指导下，结合XX省和XX市实际情况，整合现有资源，推进电子政务外网建设；以先进适用为技术功能出发点，建设政务外网，使之具备网络传输、综合应用支撑、管理服务和安全保障等功能，为各级政府部门开展电子政务业务应用提供网络支撑和相关应用服务保障；支持重点业务应用系统资源整合，实现跨部门、跨地区的网上业务协作和信息资源共享；满足XX市各级政务部门行业内部协同办公的需要和面向社会服务的需要，促进政府监管能力和服务水平的提高。2.

6、1.5.建设内容XX市电子政务外网由负责整个城域网数据高速转发、路由的骨干网络及各级党委、人大、政府、政协、法院、检察院的接入网络组成，主要用于满足各级政府部门社会管理、公众服务等面向社会服务的需要。政务外网被定性为非涉密网络，同政务内网物理隔离，同互联网逻辑隔离。XX市电子政务外网的建设内容，可以划分为电子政务外网骨干网络部分、各委办单位接入网部分、数据中心部分、互联网接入区域、上联区域等五个功能模块。网络骨干区域主要包含XX市电子政务外网的核心设备以及分布在市政府、金宝花园、光华大厦等的汇聚设备组成，负责整个XX市电子政务外网的数据高速转发，以及电子政务外网59网段的地址路由转发。各个委办

7、单位接入网主要为各个单位提供线路接入服务，通过NAT功能，将委办单位内部的私有地址转换为在骨干网上传输的59段专用地址。数据中心为整个电子政务外网重要数据的集中存储中心以及整个外网的综合管理中心，考虑到数据安全，数据中心建立一个灾备中心。互联网接入区域，作为整个XX市电子政务外网所有用户访问互联网的统一出口，并在出口区域部署流控设备，对于内部各种应用的带宽进行合理控制；此外在出口区域的DMZ区域，建立XX市政府的统一的对外门户网站，为了保证门户网站的安全，在门户网站服务器前部署网站应用防火墙设备。上联区域主要提供XX市电子政务外网到省紧急信息中心的互联互通。2.2.项目建设方案2.2.1.网络

8、业务模型按照国家政务外网统一规划，根据国家政务外网所承载的业务和系统服务的类型不同，在逻辑上，XX市政务外网接入划分为公用网络区、专用网络区和互联网接入区三个功能区域，各个区之间安全逻辑隔离，分别提供政务外网互联互通业务，专用VPN业务和互联网业务。政务外网网络业务模型如下图：1公用网络区：即采用国家政务外网注册地址（59.201.0.0/24-59.201.7.0/24）的网络区域，是国家政务外网的主干道，实现省内各部门、各地区互联互通，为跨地区、跨部门的业务应用提供支撑平台。2专用网络区：是依托国家政务外网基础设施，开辟为有特定需求的部门或业务设置的VPN网络区域，主要满足部门纵向业务的需

9、要，实现不同部门之间的业务隔离，用于满足部门特殊需求。该区域主要采用私有地址，在骨干网上采取标签进行数据传输。3互联网接入区：是各级政务部门通过逻辑隔离手段安全接入互联网的网络区域，满足各级政务部门利用互联网的需要。在互联网接入区，要求采取综合的安全防护措施，对互联网接入提供安全防护。按照国家统一的安全策略，分级接入互联网，提供互联网业务服务。各地政务外网自行出口，采取NAT技术，通过静态路由连接本地互联网。原则上，国家政务外网骨干网不提供互联网业务路由。XX市政务外网构建市级政府单位、委办局的互联网安全接入平台，通过数字证书认证和密码技术，实现各级政务部门移动办公的公务人员利用互联网通道，安

10、全接入国家政务外网，访问指定的业务应用系统和政务外网门户。2.2.2.网络总体架构XX市电子政务外网总体网络架构采用具备高扩展性的双星型架构。电子政务外网骨干区域包含核心层和汇聚层；核心层采用2台XX网络面向十万兆平台的高性能模块化路由交换机RG S8614设备，作为外网的核心设备；在市政府、金宝花园、光华大厦等六个移动汇聚机房，分别部署2台XX网络面向十万兆平台的高性能模块化路由交换机RG S7806设备，作为外网的汇聚节点；双汇聚设备通过运营商单模裸纤线路，双10G线路上联到两台核心设备；电子政务内网各个政府单位、委办局的接入区域建设，本方案只为需要接入电子政务内网的单位提供1台XX网络模

11、块化路由交换一体化路由设备RSR20-24，接入单位内部网络设计不在该方案设计范围内。接入路由器RSR20-24通过两台千兆光纤分别上联汇聚交换机，从而构成“双核心双汇聚双链路”的高稳定架构，任何一台核心或任何一台汇聚交换机、甚至任何一根光纤中断服务，网络都会始终保持通畅。电子政务外网数据中心为XX市各个政务单位、委办部门提供几种的数据存储，考虑到数据中心涉及到的数据将包含审计、公务员信息、各个区学籍信息等重要数据，因此，建议建立数据灾备中心，为数据提供高速、高安全的数据存储；数据中心、数据灾备中心均采用双10G线路与核心互联。电子政务外网互联网区域主要为外网用户提供互联网访问服务。出口区域部

12、署2台XX网络万兆平台的专业流量控制设备RG ACE3000设备，该设备作为外网流量控制、用户日志、WEB重定向功能；部署2台XX网络万兆专用出口引擎RG NPE60设备，作为各政府单位私有地址到互联网共有地址的NAT转换设备；部署2台XX全千兆防火墙RG wall 1600，在出口区域的DMZ区域，部署外网统一门户网站等服务器，为了防止政府网站被恶意篡改的风险，在服务器前端部署XX网络全千兆网站防篡改硬件RG WG3000；出口区域设备与核心采用千兆单模光纤互联。电子政务外网上联区域，利用XX省统一下发的路由设备，与省信息中心互联，从而连通XX市电子政务外网和省级、国家级电子政务外网。整体网

13、络架构如下图所示：2.2.3.网络分层设计XX市电子政务外网案按照自顶向下、分层设计的理念，将XX市电子政务外网划分为：外网骨干区域、委办单位接入区域、互联网接入区域、数据中心区域、上联区域五个部分，本章节对于电子政务外网的五个主要部分，进行详细介绍。2.2.3.1.外网骨干区域骨干区域采用XX网络面向十万兆平台的路由交换设备RG S8614和S7806设备作为核心设备和汇聚设备。核心设备、汇聚设备二三层包转发率为1786Mpps/1190Mpps，性能上完全满足XX市电子政务外网的要求。安全设计上：在核心设备RG S8614A/B上分别配置高性能防火墙模块1块，利用虚拟防火墙技术，隔离来自于

14、各个汇聚节点的网络攻击，保证电子政务外网的整体安全、稳定，避免某个汇聚节点下出现病毒爆发，影响整个园区网络的安全。此外，核心/汇聚设备需具备先进的安全体系，集成了硬件的CPU保护技术、安全策略自动下发等先进技术，避免了病毒攻击爆发导致设备CPU利用率过高而导致设备宕机的情况，并根据预定策略，对于发生的安全事件进行相关策略下发，确保电子政务外网骨干区域的的高安全、高可靠性。直观的骨干网络：核心设备RG S8614A/B配置IPFIX流量控制板卡，结合XX关键业务运行管理中心RILL系统，可直观的将网络内部流量情况进行图形化的呈现，让网络真正的可感知。2.2.3.2.委办单位接入区域XX市政府单位

15、以及各委办厅局接入方式较为简单，本次外网方案规划，为每个接入单位提供一台RSR20-24，该设备性能为300Kpps的包转发性能，完全满足一般单位的接入需求；考虑到很多单位已经建成了自己的内部局域网，为了便于接入外网的单位的接入，其内部网络地址不需要重新规划，在出口的路由设备上，进行NAT地址转换，将各个接入单位的私有地址转换为59段地址。此外，智能交通信息平台系统也将接入XX市电子政务外网，对于该套系统的每个接入点，本次方案设计，将每个路由的高清IP摄像头，作为一个接入单位，通过路由器RSR20-24接入电子政务外网骨干传输网络。2.2.3.3.上联区域 上联区域路由设备为省统一下发设备，该

16、路由设备与核心交换机互连，建议通过在该路由设备上配置静态路由即可实现XX市电子政务外网与省级、国家级电子政务外网的互联互通；当然，也可以通过对于市级外网OSPF区域的适当调整，未来，将XX市电子政务外网作为省政务外网的一个区域接入，实现互连互通。2.2.3.4.互联网接入区域互联网出口接入区域是整个电子政务外网各个单位用户访问互联网的统一出口。电子政务外网出口设备采用全千兆高性能防火墙RG Wall 1600作为出口的安全隔离设备，隔离互联网和电子政务外网的内部网络；在防火墙的DMZ区域，部署政府统一门户网站，为了保证网站的安全，防止被恶意篡改，门户网站前部署XX网络应用防火墙WG3000。XXWebGuaRD基于对HTTP/HTTPS流量内容的双向检测分析，识别检测各类Web编码、交互技术、