当前位置: 主页 > 解决方案 > 电子政务平台建设 >

1政务内网建设的背景和现状

1.1政务内网建设背景

国家政务内网覆盖范围和建设要求,政府内网为政府系统处理国家机密、秘密、工作秘密、内部敏感等信息和业务提供统一的网络支撑,满足各级政务部门内部办公、管理、协调、监督和决策等需要。

1.2网络设计遵循原则

网络拓扑结构决定了网络的运行效率和可扩展性,在设计时必须兼顾标准化、经济性、先进性和实用性、高安全性、高可靠性、高性能、灵活性和可扩展性、可管理性等原则,推进网络建设的稳步进行。本次方案设计同时遵循以下设计原则
标准化
网络设计所采用的组网技术和设备符合国家标准、行业标准和国际标准,为网络的扩展升级、与其他网络的互联提供良好的基础。
经济性
网络系统建设充分利用现有建设成果,接入国务院组成部门及有关单位、省级地方政府和新疆生产建设兵团现有的符合技术和管理要求的网络,节省建设投资。
先进性和实用性
在充分保证满足业务应用的同时,确保网络系统的先进性。在网络设计中要把先进的技术与现有的成熟技术和标准结合起来,充分考虑到网络应用的需求和未来的发展趋势。
高安全性
制订统一的网络安全策略、VLAN策略和过滤机制,整体考虑网络系统的安全性,防止非法访问网络资源,保护网络使用者合法利益。
高可靠性
网络系统的稳定可靠是应用系统正常运行的关键保证,在网络设计中特别是关键节点的设计中,选用高可靠性网络产品,并合理设计网络冗余拓扑结构,制订可靠的网络备份策略,保证网络具有故障自愈的能力,最大限度地保证应用系统的高效运行。
高性能
承载网络性能是整个应用系统良好运行的基础,设计中必须保障网络及设备的高吞吐能力,保证各种信息(数据、语音、图像)的高质量传输,力争实现透明网络,避免成为实施现代化信息处理的瓶颈。
灵活性和可扩展性
根据未来业务的增长和变化,网络可以平滑地扩充和升级,最大程度的减少对网络架构和现有设备的调整,为形成统一的国家电子政务内网平台提供条件。
可管理性
对网络实行集中监测、分权管理,并统一分配资源。选用先进的网络管理软件,可以集中对网络设备(路由器、各层以太网交换机)实施具体到端口的管理能力,并可提供及时的故障报警和日志。

2政务内网总体网络架构

政务内网覆盖范围和建设要求,政府内网为政府系统处理国家机密、秘密、工作秘密、内部敏感等信息和业务提供统一的网络支撑,满足各级政务部门内部办公、管理、协调、监督和决策等需要,政务内网的建设满足如下要求:
1、网络中心是电子政务内网的核心,两个网络节点相互连接。 
2、政务内网要为办公部门分别部署纵向业务,以及党委政府系统分别在本地区开展应用提供支撑保障。 
3、政府内网是一张机密级的涉密网,所有政府部门涉密信息要向政务内网迁移。 
4、政务内网的管理体制要和现有管理体制相符,党委、政府的内网网络边界和安全边界清晰。 
 
 

3政务内网城域网整体设计方案

3.1政务内网网络设计总体概述

城域核心由核心转发路由器、城域汇聚转发路由器、广域转发路由器组成;城域汇聚路由器接入省级直属部门和国务院驻赣单位,广域转发路由器本期仅规划预留,未来可接入市、县政务内网进入省级政务内网平台;
域内运行OSPF协议,城域核心的转发、汇聚路由器和政府办公厅内网接入路由器、中央骨干网上联路由器、省委接入路由器作为一个AREA 0;各汇聚路由器作为ABR,简化网内路由范洪信息量,降低路由震荡提升网络收敛速度。
接入部门根据接入的汇聚路由器,划分为AREA 1-N;未来规划市级路由分别接入广域汇聚路由器,划分为AREA N-M 
应用MPLS VPN,需采用MP-BGP协议进行VPN路由的交换,核心节点都作为MPLS VPN的PE节点或P节点,按BGP协议的要求,PE节点需要实现IBGP全连接,如果PE节点太多,需要建立规模巨大的连接关系(即N的平方问题),这对路由器的处理能力具有相当大的挑战,为了减少MP-iBGP连接的数量,必须采用路由反射策略。
 

3.2政务内网总体设计方案

 
政务内网总体设计方案
城域网骨干核心区6台高端路由器,2台核心路由器负责业务转发并接入办公网络、城域汇聚、广域汇聚; 4台城域汇聚路由器,每个汇聚路由器通过2个万兆接口分别连接两台核心转发路由器提供汇聚主链路,保障核心层和汇聚层之间的高速传输。规划广域网的核心路由器,远期政务内网延伸到市、县,市级政务内网通过广域网核心路由器接入省级政务内网。
城域接入节点,分两类方式接入:重点保障部门接入和普通保障部门接入。
重点保障部门接入:办公室、多部门集中办公园区,需要进行重点保障,每节点配置2台接入路由器,2台路由器之间通过千兆接口实现互联,双链路上连接入城域网核心区,业务负载分担,一链路发生故障,通过BFD+FRR快速收敛到另外一条链路。
普通保障接入:200个单位先配置单台设备,后续根据实际业务情况适当增加热备路由器,接入路由器通过千兆接口连接1台汇聚路由器,并通过千兆接口连接接入节点自身的局域网。
互联接入:接入区的业务量较大,需要重点保障;每节点配置2台接入路由器,2台路由器之间通过千兆接口实现互联,分别通过千兆接口连接2台汇聚路由器;双链路上连接入城域网核心区,业务负载分担,一链路发生故障,通过BFD+FRR快速收敛到另外一条链路。
特殊绕接:运维区网管平台需要部署2套,1套管理管理加密机内侧骨干设备,需要与骨干网络中设备IP可达,需要绕过加密机从接入路由器连接到骨干网络。另1套管理加密机外侧设备,直接从接入交换机接入。

3.3城域网核心骨干区设计方案



  1. 城域网核心: 2台核心路由器负责业务转发并接入办公厅网络、城域汇聚、广域汇聚;
  2. 汇聚路由器:4台城域汇聚路由器,每个汇聚路由器通过2个万兆接口分别连接两台核心转发路由器提供汇聚主链路,保障核心层和汇聚层之间的高速传输。规划广域网的核心路由器,远期政务内网延伸到市、县,市级政务内网通过广域网核心路由器接入省级政务内网。
  3. 域内运行OSPF协议,OSPF协议使用多个数据库和复杂算法,LSA的泛洪和数据库加重路由器负担,可以利用区域划分来缩小影响;城域核心的转发、汇聚路由器和政府办公厅内网接入路由器、中央骨干网上联路由器、省委接入路由器作为一个Area 0;各汇聚路由器作为ABR,简化网内路由范洪信息量,降低路由震荡提升网络收敛速度。
  4. 核心区路由器作为MPLS VPN的P节点支持标签分发;为了减少MP-iBGP连接的数量,必须采用路由反射策略,路由反射分级设置。

3.4办公厅接入区方案设计

省委办公厅接入区方案在总图中的位置用红圈表示:


  1. 特殊绕接:网管平台需要与网络中设备IP可达,需要绕过加密机从接入设备连接到骨干网络。这部分如果省级政府管理加密机的部门协调加密机打开网管管理的端口,则不需要绕接。 
  2. 政府办公厅接入区双链路接入,部署2台接入路由器,链路接入方式为:一台接入路由接主链路,另一台接入路由器接备链路;双节点双链路 BFD for EBGP;
  3. 每条链路上分别部署接入路由器、加密机、防火墙、接入认证网关
  4. 政府办公厅接入路由器作PE,对接的两台路由器作CE;PE和CE之间静态路由引入;接入路由器PE起IBGP和路由反射器(两台核心路由器R1 R2)相连

3.5互联区方案设计

省委互联方案在总图中的位置用红圈表示:


  1. 互联区双链路接入,部署2台接入路由器,链路接入方式为:一台接入路由接主链路,另一台接入路由器接备链路;双节点双链路 BFD for EBGP;
  2. 每条链路上分别部署接入路由器、加密机、防火墙、接入认证网关
  3. 红圈处为政府办公厅管理区域和省委网络的网络边界、安全边界、责任边界。
  4. 接入区路由器作为ASBR和网络间起EBGP进行路由发布和引入
  5. 接入路由器OPTION B跨域VPN,支持政府侧和省委的VPN业务;

3.6部门接入区设计方案

部门接入区方案在总图中的位置用红圈表示:

  1. 双链路接入:重点省级政府接入区域,部署2台接入路由器,链路接入方式为:一台接入路由接主链路,另一台接入路由器接备链路;双节点双链路 BFD for EBGP。 
  2. 每条链路上分别部署接入路由器、加密机、防火墙、接入认证网关
  3. 接入部门静态路由引入
  4. 接入路由器做PE,对接的两台路由器作CE;PE和CE之间静态路由引入;接入路由器PE起IBGP和路由反射器(两台城域汇聚路由器R1 R2)相连

4政务内网公共服务区设计方案

4.1政务内网数公共服务区总体设计

整个政府办公厅以一对数据中心交换机为核心,会议中心和C组团的省政府办公厅汇聚交换机,安全管理区汇聚交换机,运维管理区汇聚交换机都连接到省办公厅接入区的核心交换机。
公共服务区和办公厅业务区可以独立管理,也可以采用一套系统统一管理。

4.2公共服务区设计

公共服务区部署政务大集中背景下各厅内部用户访问的业务系统,网络采用“接入+汇聚”的两层架构,两台汇聚交换机堆叠后上行再和省办公厅接入区的核心交换机互联。防火墙等安全设备旁挂在汇聚交换机上,也可以选择安全插卡插在汇聚交换机上。公共服务区是一朵独立的云,拥有独立的计算存储和网络,存储可以选择IPSAN或者FCSAN。

4.3办公厅业务区设计

办公厅业务区部署省级政府办公厅内部用户访问的业务系统,网络也采用“接入+汇聚”的两层架构,两台汇聚交换机堆叠后上行再和办公厅接入区的核心交换机互联。防火墙等安全设备旁挂在汇聚交换机上,也可以选择安全插卡插在汇聚交换机上。