楊磊

一、濱海新區(qū)電子政務網(wǎng)項目簡介

1.1設計概述

濱海新區(qū)電子政務專網(wǎng)數(shù)據(jù)網(wǎng)是指政務外網(wǎng)，數(shù)據(jù)網(wǎng)設計方案基于設計的前瞻性 、技術先進性、建設的可行性和經(jīng)濟性相統(tǒng)一的原則，使網(wǎng)絡具有高性能、高可靠性、高安全性、高可擴展性、標準化和易管理的特點，能靈活地根據(jù)用戶的需求提供不同網(wǎng)絡業(yè)務的服務保證，為濱海新區(qū)電子政務網(wǎng)提供統(tǒng)一的、優(yōu)質的網(wǎng)絡基礎設施平臺。

1.2 組網(wǎng)原則

結合政府部門的實際應用和發(fā)展要求，在進行濱海新區(qū)電子政務專網(wǎng)平臺設計時，系統(tǒng)總體設計應遵循實用性、安全性、可靠性、成熟和先進性、規(guī)范性、開放性和標準化、可擴充和擴展化及可管理性幾方面原則。

二、濱海新區(qū)電子政務網(wǎng)總體設計規(guī)劃

2.1 網(wǎng)絡總體設計

本次濱海新區(qū)電子政務專網(wǎng)（一期）設計方案中，主要以電子政務外網(wǎng)業(yè)務為主，對于電子政務內(nèi)網(wǎng)業(yè)務暫不涉及數(shù)據(jù)網(wǎng)內(nèi)容。

濱海新區(qū)電子政務外網(wǎng)MPLS VPN從整體結構上可以分為核心層、匯聚層、接入層三個層次，其中核心層和匯聚層構成電子政務網(wǎng)絡的主干網(wǎng)。主干網(wǎng)作為電子政務外網(wǎng)各項業(yè)務的支撐平臺，可承載電子政務外網(wǎng)的綜合應用和非涉密的各個業(yè)務專網(wǎng)。

核心層在超算中心設置兩臺高性能路由器，在濱海高新區(qū)、漢沽、大港各設置一臺高性能路由器，作為MPLS VPN骨干的P設備使用，四臺路由器通過傳輸網(wǎng)連接成為一個環(huán)網(wǎng)，實現(xiàn)冗余部署。

匯聚層為4個政府集中辦公地點、3個管委會、12個功能區(qū)。這19個節(jié)點各設置一臺高性能交換設備，作為MPLS VPN的PE設備使用，每臺PE設備通過傳輸網(wǎng)均上聯(lián)到P設備組成的環(huán)網(wǎng)上。

每個匯聚節(jié)點下聯(lián)所屬的多個委辦局，所有委辦局組成接入層。每個接入節(jié)點部署一臺高性能的防火墻作為CE設備使用。

2.1.1 核心層設計

數(shù)據(jù)網(wǎng)核心層設計為4個核心節(jié)點組成的環(huán)狀結構，如圖所示：

核心層骨干節(jié)點設計

數(shù)據(jù)網(wǎng)核心層骨干節(jié)點的選取遵循了和傳輸組網(wǎng)核心節(jié)點類似的原則：

？ 兩個核心節(jié)點之間距離控制在60公里范圍，有效降低遠距離通訊成本；

？ 充分考慮利用現(xiàn)有資源和市電子政務網(wǎng)絡互聯(lián)且相互備份；

？ 充分利用超算云平臺的資源。

根據(jù)以上原則，我司建議選擇超算中心、大港管委會、漢沽管委會、濱海高新區(qū)為核心骨干4個節(jié)點。4個核心節(jié)點為MPLS VPN網(wǎng)絡中的P設備角色，4個節(jié)點運行IBGP協(xié)議、LDP協(xié)議，不會運行MP-BGP協(xié)議，不會感知VPN的存在。作為整個濱海新區(qū)的骨干區(qū)域，核心節(jié)點承載所有VPN-IPv4路由業(yè)務。核心層選用高性能路由器組網(wǎng)方案。

2.1.2 匯聚層設計

匯聚層為四大節(jié)點下的濱海新區(qū)各大功能區(qū)及四處濱海新區(qū)區(qū)級政府辦公點，所用設備為MPLS VPN網(wǎng)絡中的PE設備。PE設備承載所有VPN業(yè)務，考慮到未來接入單位的數(shù)量，為了方便和擴展，匯聚層設備選用支持MPLS-VPN的模塊化交換機。接入單位到匯聚單位不用經(jīng)過鏈路的匯聚，點對點連接到PE交換機上，方便未來標識和維護。為了便于網(wǎng)絡的擴展，以及減少IBGP的會話連接數(shù)，匯聚層與核心層之間的結構為星形結構。其中核心層設備為IBGP的路由反射器，匯聚層設備為路由反射器的客戶端，如圖所示：

匯聚層設計

2.1.3 接入層設計

在接入單位出口采用防火墻接入到政務網(wǎng)，主要有兩個好處，一是邏輯隔離，在防火墻上可以部署一些有效的策略實現(xiàn)局域網(wǎng)接入的有效控制，二是若有地址轉換的需求，可將接入局域網(wǎng)內(nèi)部地址轉換成政務外網(wǎng)公共IP。接入層單位就近接入?yún)R聚層，具體接入層區(qū)域網(wǎng)絡設計如圖所示：

2.3 MPLS VPN設計規(guī)劃

根據(jù)各自實現(xiàn)的功能不同，將電子政務外網(wǎng)分為三個獨立的功能區(qū)：專用網(wǎng)絡區(qū)、公用網(wǎng)絡區(qū)、互聯(lián)網(wǎng)接入?yún)^(qū)。

專用網(wǎng)絡區(qū)是各個縱向政府部門在電子政務外網(wǎng)上劃分出來的虛擬邏輯專網(wǎng)，負責傳送各政府部門自身的業(yè)務數(shù)據(jù)，彼此之間嚴格安全隔離。

公用網(wǎng)絡區(qū)是電子政務外網(wǎng)上劃分出的對公眾服務的部分，包括各類WEB/FTP公眾服務器。

互聯(lián)網(wǎng)接入?yún)^(qū)是電子政務外網(wǎng)內(nèi)部各縱向業(yè)務系統(tǒng)之間需要共享和交互的數(shù)據(jù)。

專用網(wǎng)絡區(qū)、公用網(wǎng)絡區(qū)和互聯(lián)網(wǎng)接入?yún)^(qū)三者之間的互訪關系如上圖所示，專用網(wǎng)絡區(qū)用戶具有最高訪問權限，可以訪問公用網(wǎng)絡區(qū)（提取公眾需求），可以訪問互聯(lián)網(wǎng)接入?yún)^(qū)（用于各縱向業(yè)務區(qū)用戶之間交互數(shù)據(jù)），根據(jù)整體規(guī)劃，不能通過政務網(wǎng)整體internet出口訪問業(yè)務?；ヂ?lián)網(wǎng)接入?yún)^(qū)具有次高訪問權限，不能訪問專用網(wǎng)絡區(qū)，但可以訪問公用網(wǎng)絡區(qū)（提取公眾需求）。公用網(wǎng)絡區(qū)訪問權限最低，只能和INTERNET進行交互，不能進入專用網(wǎng)絡區(qū)也不能進入資源共享區(qū)。所有業(yè)務訪問關系在技術上是通過MPLS VPN來實現(xiàn)的。