1 背景及挑战
国家电子政务外网按照管理层次,由中央、省级、地(市)、县(区)四级网络平台组成。在网络物理结构上,可以分为广域网和城域网,广域网用于纵向覆盖各级行政区划,城域网用于横向连接本级政务部门。
电子政务城域网需要为本地市各党政机关的业务应用系统提供一个统一的网络平台,目前电子政务外网承载的业务应用包括网络视频会议系统、IP语音电话系统、应急联动系统、网上联合审批系统、办公业务系统、电子邮件系统、党政机关门户网站以及各个部门的应用系统等。随着网络建设和应用的开展,要求电子政务城域网必须是一个高可靠、高效率、高扩展性、高安全性的网络。
城域网的概念来自运营商,通常城域网分为核心层、汇聚层和接入层,核心层设备只需要做高速的数据交换,汇聚层设备用于接入部门的汇接,接入层设备部署于用户机房,用于用户局域网的接入。运营商的城域网核心设备一般以路由器设备为主,因为路由器相比传统交换机在路由计算、MPLS VPN,、可靠性及业务承载方面都有比较大的优势。但是随着交换机技术的快速发展,以华为敏捷交换机为代表的新一代交换机,除了具备传统交换机的优势如高性价比、高交换能力、高端口密度等之外,还在路由能力、MPLS VPN能力、QOS能力等方面做了进一步的提升,完全具备了交换机架构敏捷城域网的组网能力。
2 解决方案介绍
华为电子政务城域网组网图如下图所示:
城域核心层:城域核心区部署核心交换机和城域出口路由器,负责整网核心层数据流量的转发处理,大型城市可按照城区部署多台核心设备,组建城域核心网络。城域网核心层负责政务云数据中心服务器、互联网、外联单位及各个委办局行政单位之间的数据交换,该部分网络的网络设备性能、网络链路带宽和网络的故障自愈合能力各项指标都极其重要。
城域汇聚接入层:城域汇聚层设备实现对城域接入区、数据中心区、外联单位接入区、专网接入区等各分区用户的汇聚接入;部委接入区包括各个区、县的局域网,委办局出口网关作为CE设备接入城域MPLS VPN网络。
城域核心汇聚层部署MPLS VPN技术,实现多个业务系统的承载及隔离包括部门VPN、公用访问、Internet访问等。相对于其他VPN技术,采用MPLS技术组建的VPN具有更好的可维护性及可扩展性,MPLS VPN更适合于组建较大规模的复杂的VPN网络,MPLS VPN的这些优点已经成为政务网VPN的主流技术。
由于政务城域网视频业务的不断发展,对网络质量的检测要求越来越高。考虑在视频专网或相关网络节点部署iPCA网络质量感知技术。iPCA通过对真实业务流染色和对网络进行分区域的包守恒监控方法,提供了对无连接IP网络的丢包监控和故障定界能力,实现了网络自动感知业务质量和快速故障定界,同时解决了传统测量技术的限制。
随着业务和各种信息化应用的快速增加,网络环境变得更加复杂,边界趋于模糊,多样的业务应用场景引入了新的安全威胁,并给安全协防带来了更多挑战,对于企业管理者和运维人员如何及时发现这些安全威胁是个突出棘手的问题。安全联动技术通过日志采集将网络中的网络、安全等设备的日志信息采集并处理,通过关联分析技术提取出企业感兴趣的安全威胁事件信息,通过安全态势界面呈现,并对安全威胁事件做安全响应。
3 方案优势
(1) 基于敏捷交换机构建可长期演进的城域网弹性架构
考虑到未来的业务发展,基于MPLS的VPN技术是当前唯一能提供大规模、全互联、高速通信的技术,MPLS技术在骨干网、城域网、移动回程网络中已经被大量使用,被证明是成熟可靠且扩展性良好的承载技术。S12700敏捷交换机支持完备的MPLS方案,可以满足拓扑结构庞大、节点错综复杂的城域网建网要求,并且随着新业务应用类型的增加,网络拓扑结构可动态增长。
(2) 敏捷交换机具备超大规格应用表项,满足未来政务外网海量用户终端的接入
S12700敏捷交换机的FIB表项高达3M,收敛时间达到6K/s,可媲美专业路由器的性能水平,真正实现了交换路由一体化,不仅能满足城域网网络拓扑庞大和业务复杂的要求,而且政务机构众多,能充分满足海量办公电脑高速接入网络。
(3) IP质量可视化
iPCA网络包守恒算法,改变了传统利用模拟流量做故障定位的检测模型,可对任意业务流随时随地逐点检测网络质量,无需额外开销;可在短时间内立刻检测业务闪断性故障,检测直接精准到故障端口,实现从“粗放式运维”到“精准化运维”的大转变。
(4) 基于大数据分析的全网安全协同
随着移动办公和Wi-Fi的普及,网络安全泄漏从传统的互联网出口一个点,变成了多个点。传统防火墙只能防住一个点,而无法实现全网多泄漏点的防护。为了解决失去防护边界的安全问题,全网安全协同架构下的安全功能不再由出口防火墙一个点来执行,而是通过全网的安全事件收集,进行大数据关联分析并全网自动下发安全策略。
