岳陽(yáng)市區(qū)縣電子政務(wù)外網(wǎng)技術(shù)方案建議書

年4月19日岳陽(yáng)市區(qū)縣電子政務(wù)外網(wǎng)技術(shù)方案建議書文檔僅供參考，不當(dāng)之處，請(qǐng)聯(lián)系改正。岳陽(yáng)市區(qū)縣電子政務(wù)外網(wǎng)平臺(tái)建設(shè)項(xiàng)目技術(shù)方案建議書岳陽(yáng)市人民政府辦公室二〇一一年五月目錄第1章 建設(shè)目標(biāo)及原則 41.1 總體目標(biāo) 41.2 近期目標(biāo) 61.3 建設(shè)原則 72 網(wǎng)絡(luò)設(shè)計(jì)方案 102.1 概述 102.2 建設(shè)目標(biāo) 102.3 參考標(biāo)準(zhǔn) 112.4 網(wǎng)絡(luò)總體要求 132.5 網(wǎng)絡(luò)總體方案描述 142.6 具體接入點(diǎn)分布統(tǒng)計(jì) 162.7 網(wǎng)絡(luò)的可靠性、拓展性設(shè)計(jì) 182.7.1 網(wǎng)絡(luò)的可靠性設(shè)計(jì) 182.7.2 網(wǎng)絡(luò)的擴(kuò)展性設(shè)計(jì) 202.8 網(wǎng)絡(luò)鏈路的選擇 212.9 互聯(lián)網(wǎng)接入設(shè)計(jì) 212.10 核心層設(shè)計(jì) 232.11 匯聚層設(shè)計(jì) 242.12 接入層設(shè)計(jì) 252.13 IGP路由設(shè)計(jì) 262.14 IP地址規(guī)劃 262.14.1 IP地址分配原則 262.14.2 管理和互聯(lián)地址規(guī)劃 272.14.3 用戶地址規(guī)劃 272.15 MPLSVPN規(guī)劃設(shè)計(jì) 282.15.1 MPLSVPN構(gòu)建縱向網(wǎng)絡(luò) 282.15.2 MP-BGPRR規(guī)劃設(shè)計(jì) 322.15.3 MPLSVPN資源規(guī)劃 322.15.4 MPLSVPN業(yè)務(wù)接入規(guī)劃 343 數(shù)據(jù)中心設(shè)計(jì)方案 363.1 外部數(shù)據(jù)中心設(shè)計(jì) 363.2 內(nèi)部數(shù)據(jù)中心設(shè)計(jì) 373.3 服務(wù)器部署設(shè)計(jì) 384 存儲(chǔ)設(shè)計(jì)方案 394.1 概述 394.2 存儲(chǔ)需求分析 394.2.1 系統(tǒng)拓?fù)鋱D 404.2.2 系統(tǒng)設(shè)計(jì) 404.2.3 備份、容災(zāi)系統(tǒng)部署 405 系統(tǒng)安全設(shè)計(jì)方案 425.1 系統(tǒng)概況 425.2 安全建設(shè)原則 425.3 安全拓?fù)鋱D 435.4 安全系統(tǒng)部署 446 外網(wǎng)平臺(tái)應(yīng)用系統(tǒng)建設(shè) 476.1 應(yīng)用模型 476.2 系統(tǒng)架構(gòu) 486.2.1 功能需求 486.2.2 邏輯設(shè)計(jì) 497 設(shè)備清單及性能要求 527.1 設(shè)備清單及性能要求 527.1.1 岳陽(yáng)市各區(qū)縣電子政務(wù)外網(wǎng)平臺(tái)建設(shè)設(shè)備清單 527.1.2 岳陽(yáng)市各區(qū)縣電子政務(wù)外網(wǎng)平臺(tái)建設(shè)設(shè)備性能要求 52建設(shè)目標(biāo)及原則總體目標(biāo)20世紀(jì)90年代信息技術(shù)的迅猛發(fā)展，特別是互聯(lián)網(wǎng)技術(shù)的普及應(yīng)用，使電子政務(wù)的發(fā)展成為當(dāng)代信息化的最重要的領(lǐng)域之一。電子政務(wù)提高了政府辦公效率，方便市民與政府的實(shí)時(shí)溝通，顯著減少政務(wù)成本，還有利于促進(jìn)政府在管理體制、管理觀念、管理方式和管理手段等方面的轉(zhuǎn)變，進(jìn)而帶動(dòng)整個(gè)國(guó)民經(jīng)濟(jì)和城市信息化進(jìn)程。步入21世紀(jì)以來(lái)，計(jì)算機(jī)技術(shù)的發(fā)展和應(yīng)用的不斷推廣，當(dāng)今世界已經(jīng)從工業(yè)化社會(huì)向信息社會(huì)轉(zhuǎn)換。中國(guó)電子政務(wù)發(fā)展的總體框架已經(jīng)確立，標(biāo)志著電子政務(wù)的發(fā)展有了更清晰明確的方向?！秶?guó)家信息化領(lǐng)導(dǎo)小組關(guān)于中國(guó)電子政務(wù)建設(shè)指導(dǎo)意見》作為中辦發(fā)[]17號(hào)文件確立了中國(guó)電子政務(wù)建設(shè)的指導(dǎo)思想、發(fā)展原則和基本框架，指出中國(guó)電子政務(wù)建設(shè)主要圍繞“兩網(wǎng)、一站、四庫(kù)、十二金”重點(diǎn)展開，其中，電子政務(wù)網(wǎng)絡(luò)平臺(tái)建設(shè)就是主要內(nèi)容之一，并對(duì)網(wǎng)絡(luò)平臺(tái)建設(shè)提出了明確要求。隨著湖南省電子政務(wù)內(nèi)外網(wǎng)平臺(tái)建設(shè)的逐步延伸，岳陽(yáng)市區(qū)縣電子政務(wù)外網(wǎng)即將成為承擔(dān)政府部門之間的各項(xiàng)信息交換和業(yè)務(wù)互動(dòng)，實(shí)現(xiàn)同層次和上下級(jí)政府機(jī)構(gòu)之間各主要業(yè)務(wù)系統(tǒng)的信息交換和信息共享的主要載體。根據(jù)省政府相關(guān)文件，岳陽(yáng)市區(qū)縣電子政務(wù)外網(wǎng)即將接入到岳陽(yáng)市電子政務(wù)網(wǎng)絡(luò)，實(shí)現(xiàn)辦公自動(dòng)化及信息化.為此，需要進(jìn)行岳陽(yáng)市各區(qū)縣政府的電子政務(wù)網(wǎng)建設(shè)與整合，統(tǒng)一政府及各部門外網(wǎng)出口，同時(shí)按要求做好電子公文傳輸?shù)南嚓P(guān)準(zhǔn)備工作。岳陽(yáng)市各區(qū)縣電子政務(wù)網(wǎng)絡(luò)平臺(tái)是岳陽(yáng)市電子政務(wù)全局中聯(lián)結(jié)各部門業(yè)務(wù)系統(tǒng)的橋梁和紐帶，為各業(yè)務(wù)部門提供網(wǎng)絡(luò)傳輸服務(wù)，是未來(lái)政務(wù)工作的“高速公路”。網(wǎng)絡(luò)平臺(tái)提供的是高度集成化、一體化、規(guī)范化的服務(wù)，其本質(zhì)是為各業(yè)務(wù)系統(tǒng)的安全、順暢、高效運(yùn)行和數(shù)據(jù)的傳輸、交換、存儲(chǔ)等構(gòu)造網(wǎng)絡(luò)基礎(chǔ)環(huán)境，它是未來(lái)實(shí)現(xiàn)各業(yè)務(wù)系統(tǒng)互聯(lián)、互通、互操作，促進(jìn)資源共享的基礎(chǔ)性工作。因此，岳陽(yáng)市各區(qū)縣電子政務(wù)網(wǎng)絡(luò)平臺(tái)是關(guān)系各縣電子政務(wù)建設(shè)全局和發(fā)展的重要基礎(chǔ)性工作，是電子政務(wù)系統(tǒng)中的關(guān)鍵性核心組成要素。根據(jù)岳陽(yáng)市政府市長(zhǎng)辦公會(huì)議紀(jì)要精神，各區(qū)縣電子政務(wù)外網(wǎng)建設(shè)于5月正式啟動(dòng)。外網(wǎng)建成后的作用是：第一、與發(fā)展接軌、加快經(jīng)濟(jì)發(fā)展。第二、增加工作透明度，建設(shè)“陽(yáng)光政府”。第三、推動(dòng)工作“提速”，提高執(zhí)政能力。第四、推動(dòng)全縣信息化建設(shè)，提高城鄉(xiāng)化水平和競(jìng)爭(zhēng)力。岳陽(yáng)市各區(qū)縣電子政務(wù)總體框架的目標(biāo)是：覆蓋岳陽(yáng)市各區(qū)縣的電子政務(wù)網(wǎng)絡(luò)基本建成，目錄體系與交換體系、信息安全基礎(chǔ)設(shè)施初步建立，重點(diǎn)應(yīng)用系統(tǒng)實(shí)現(xiàn)互聯(lián)互通，政務(wù)信息資源公開和共享機(jī)制初步建立，政府門戶網(wǎng)站成為政府信息公開的重要渠道，開展網(wǎng)上行政許可項(xiàng)目審批服務(wù)，電子政務(wù)公眾認(rèn)知度和公眾滿意度進(jìn)一步提高，有效降低行政成本，提高監(jiān)管能力和公共服務(wù)水平。岳陽(yáng)市各區(qū)縣電子政務(wù)建設(shè)的目標(biāo)主要體現(xiàn)在以下幾方面：1、加大政府信息公開力度根據(jù)政府信息公開工作的要求，創(chuàng)新政府信息公開的方式，充分發(fā)揮、利用政府網(wǎng)站等信息化媒介的作用，及時(shí)更新網(wǎng)站信息，為公眾獲取政府信息提供便利。2、加快政務(wù)數(shù)據(jù)庫(kù)建設(shè)與應(yīng)用推進(jìn)以傳統(tǒng)載體保存的政務(wù)信息資源的數(shù)字化、網(wǎng)絡(luò)化。3、初步實(shí)現(xiàn)政務(wù)信息條塊共享根據(jù)法律規(guī)定和履行職能的需要，明確相關(guān)部門和地區(qū)信息共享的內(nèi)容、方式和責(zé)任，建立政務(wù)信息共享的長(zhǎng)效機(jī)制。依托現(xiàn)有資源，建立岳陽(yáng)市各區(qū)縣政務(wù)信息交換系統(tǒng)，構(gòu)建政務(wù)信息共享平臺(tái)，建立政務(wù)信息資源目錄體系、交換體系和服務(wù)體系等。為岳陽(yáng)市各區(qū)縣政府的日常辦公、科學(xué)決策、業(yè)務(wù)管理、公共服務(wù)、信息公開、資源共享和業(yè)務(wù)協(xié)同提供支持。4、不斷加強(qiáng)政務(wù)管理完善政務(wù)信息資源管理體制，加強(qiáng)對(duì)政務(wù)信息采集、登記、備案、存儲(chǔ)、共享、安全等環(huán)節(jié)的管理。合理規(guī)劃政務(wù)信息的采集和更新維護(hù)流程，加強(qiáng)協(xié)調(diào)，明確分工，避免重復(fù)采集，并確保所采集信息的真實(shí)、準(zhǔn)確、完整和及時(shí)。進(jìn)一步提升政府行政效率和服務(wù)水平。5、以政府的社會(huì)管理和公共服務(wù)需求為導(dǎo)向，擴(kuò)大對(duì)農(nóng)村信息化服務(wù)、城鄉(xiāng)居民服務(wù)、城鎮(zhèn)建設(shè)服務(wù)和鄉(xiāng)鎮(zhèn)企業(yè)服務(wù)等提供服務(wù)的能力。近期目標(biāo)當(dāng)前，岳陽(yáng)市各區(qū)縣鄉(xiāng)鎮(zhèn)以及街道辦事處沒有進(jìn)行統(tǒng)一規(guī)化，各單位“各主為政而”，很多部門由于管理水平有限、安全技術(shù)人才不足、思想認(rèn)識(shí)不到位、標(biāo)準(zhǔn)規(guī)范不一致等原因，存在不同程度的安全隱患。長(zhǎng)此以往，將對(duì)未來(lái)我政府信息化建設(shè)帶來(lái)不可估量的負(fù)面影響，因此，十分有必要經(jīng)過(guò)統(tǒng)一外網(wǎng)的建設(shè)、統(tǒng)一互聯(lián)網(wǎng)出口，加強(qiáng)網(wǎng)絡(luò)和信息安全建設(shè)，經(jīng)過(guò)對(duì)網(wǎng)絡(luò)和信息安全的集中統(tǒng)一領(lǐng)導(dǎo)和管理、加大投資力度、完善運(yùn)行維護(hù)機(jī)制、加強(qiáng)預(yù)警能力，能夠有效的提高電子政務(wù)的安全可靠性。在外網(wǎng)上構(gòu)建統(tǒng)一的電子政務(wù)外網(wǎng)平臺(tái)，上連岳陽(yáng)市外網(wǎng)平臺(tái)，下接各鄉(xiāng)鎮(zhèn)（并逐步覆蓋到街道、村場(chǎng)）內(nèi)網(wǎng)平臺(tái)，橫向連通各市直部門，實(shí)行統(tǒng)一的網(wǎng)絡(luò)管理，提供可靠的安全保障；在信息資源上構(gòu)建四大基礎(chǔ)數(shù)據(jù)庫(kù)及主要業(yè)務(wù)部門數(shù)據(jù)庫(kù)，構(gòu)建整個(gè)信息資源目錄體系并建立信息資源交換規(guī)劃；在應(yīng)用上搭建統(tǒng)一的應(yīng)用支撐平臺(tái)，對(duì)原有業(yè)務(wù)系統(tǒng)的整合和新建應(yīng)用系統(tǒng)的運(yùn)行提供支撐；在服務(wù)上建立以電子政務(wù)外網(wǎng)門戶網(wǎng)站為核心的公眾服務(wù)體系；在安全上按照統(tǒng)一的安全策略，構(gòu)建全網(wǎng)的安全體系。1、組建各區(qū)縣電子政務(wù)外網(wǎng)平臺(tái)并與岳陽(yáng)市電子政務(wù)外網(wǎng)互連；2、建立各區(qū)縣電子政務(wù)網(wǎng)控中心；3、各區(qū)縣縣直單位和鄉(xiāng)鎮(zhèn)接入?yún)R聚點(diǎn)。4、建立基本的安全防護(hù)體系。5、完成政府網(wǎng)站的改版、網(wǎng)上政務(wù)服務(wù)和電子監(jiān)察系統(tǒng)的建設(shè)。建設(shè)原則根據(jù)中央辦公廳、國(guó)務(wù)院辦公廳轉(zhuǎn)發(fā)《國(guó)家信息化領(lǐng)導(dǎo)小組關(guān)于推進(jìn)國(guó)家電子政務(wù)網(wǎng)絡(luò)建設(shè)的意見》的通知（中辦發(fā)[]18號(hào)）的要求和我省的實(shí)際情況，湖南省政府系統(tǒng)電子政務(wù)外網(wǎng)平臺(tái)的建設(shè)目標(biāo)是：建設(shè)覆蓋全省各級(jí)政府部門的互聯(lián)互通信息網(wǎng)絡(luò)平臺(tái)（HNEGOVNet－IN）。它包括建設(shè)連接省級(jí)政府系統(tǒng)電子政務(wù)外網(wǎng)平臺(tái)和各市（州）級(jí)政府系統(tǒng)電子政務(wù)外網(wǎng)平臺(tái)的一級(jí)骨干網(wǎng)，連接市（州）級(jí)政府系統(tǒng)電子政務(wù)內(nèi)外網(wǎng)平臺(tái)和縣（區(qū)）級(jí)政府系統(tǒng)電子政務(wù)內(nèi)外網(wǎng)平臺(tái)的二級(jí)骨干網(wǎng)；分層建設(shè)省級(jí)、市（州）級(jí)、縣（區(qū)）級(jí)，覆蓋本級(jí)政府及其相關(guān)職能部門的橫向信息網(wǎng)絡(luò)。同時(shí)網(wǎng)絡(luò)平臺(tái)的建設(shè)要與安全支撐平臺(tái)和應(yīng)用支撐平臺(tái)的建設(shè)統(tǒng)一考慮，健全湖南省政府系統(tǒng)電子政務(wù)內(nèi)外網(wǎng)平臺(tái)的安全保障體系。為達(dá)到以上目標(biāo)，本次網(wǎng)絡(luò)建設(shè)的主要原則是：需求主導(dǎo)：網(wǎng)絡(luò)的設(shè)計(jì)必須滿足湖南省政府系統(tǒng)開展電子政務(wù)建設(shè)對(duì)網(wǎng)絡(luò)的需求，能提供各級(jí)政府部門間縱向連接和橫向連接，以滿足各類業(yè)務(wù)的應(yīng)用要求。統(tǒng)籌規(guī)劃：網(wǎng)絡(luò)設(shè)計(jì)時(shí)必須協(xié)調(diào)有關(guān)單位，對(duì)網(wǎng)絡(luò)地址和域名進(jìn)行統(tǒng)籌規(guī)劃，并研究和制定相關(guān)的標(biāo)準(zhǔn)和管理辦法等。整合資源：充分利用岳陽(yáng)市各區(qū)縣政府系統(tǒng)電子政務(wù)外網(wǎng)平臺(tái)資源，加強(qiáng)已有網(wǎng)絡(luò)資源的整合，促進(jìn)互聯(lián)互通，形成統(tǒng)一的電子政務(wù)網(wǎng)絡(luò)平臺(tái)。同時(shí)要充分考慮到已有資源的利用和投資保護(hù)問(wèn)題，特別是要充分考慮已經(jīng)建設(shè)的湖南省電子政務(wù)專網(wǎng)平臺(tái)的情況，節(jié)省費(fèi)用，保護(hù)投資。服務(wù)應(yīng)用：網(wǎng)絡(luò)系統(tǒng)的設(shè)計(jì)必須為各級(jí)政府部門的業(yè)務(wù)應(yīng)用（包括橫向和縱向的業(yè)務(wù)系統(tǒng)）提供服務(wù)。注重安全：網(wǎng)絡(luò)的設(shè)計(jì)必須保證業(yè)務(wù)和數(shù)據(jù)的安全性。系統(tǒng)要采取多層保密和防范措施，保證網(wǎng)絡(luò)、服務(wù)器等設(shè)備的安全穩(wěn)定，防止系統(tǒng)外非法用戶的侵入和系統(tǒng)內(nèi)用戶的非法探測(cè)和惡意泄密，系統(tǒng)內(nèi)工作人員分級(jí)按權(quán)限操作。系統(tǒng)的安全要達(dá)到國(guó)家規(guī)定的電子政務(wù)專網(wǎng)的安全標(biāo)準(zhǔn)。著眼發(fā)展，分步實(shí)施：政府系統(tǒng)電子政務(wù)外網(wǎng)平臺(tái)建設(shè)技術(shù)含量高、工程投資大、涉及面廣，是一項(xiàng)長(zhǎng)期的工作，不可能一蹴而就，必須具有全局觀念，在總體規(guī)劃指導(dǎo)下，按計(jì)劃、分步驟的來(lái)進(jìn)行。要實(shí)事求是地分析現(xiàn)狀，熟悉和了解技術(shù)的發(fā)展趨勢(shì)，合理分配有限的資金，在遵循總體規(guī)劃的前提下，確定切合實(shí)際的軟硬件配置方案，制訂短、中、長(zhǎng)期相結(jié)合的分步實(shí)施計(jì)劃，以實(shí)現(xiàn)降低工程建設(shè)風(fēng)險(xiǎn)，提高資金使用效率的目的。先進(jìn)性、實(shí)用性原則從較高的起點(diǎn)對(duì)網(wǎng)絡(luò)建設(shè)進(jìn)行規(guī)劃，充分采用先進(jìn)成熟的網(wǎng)絡(luò)技術(shù)，滿足電子政務(wù)平臺(tái)各種業(yè)務(wù)實(shí)時(shí)數(shù)據(jù)、非實(shí)時(shí)數(shù)據(jù)傳輸需要。工程建設(shè)方案要面向未來(lái)，技術(shù)必須具有先進(jìn)性和前瞻性，以確保在未來(lái)3-5年內(nèi)不落后，同時(shí)也要堅(jiān)持實(shí)用的原則，在滿足性能價(jià)格比的前提下，堅(jiān)持選用符合標(biāo)準(zhǔn)的，先進(jìn)成熟的產(chǎn)品和開發(fā)平臺(tái)。可靠性原則網(wǎng)絡(luò)設(shè)計(jì)過(guò)程中從網(wǎng)絡(luò)技術(shù)、電路保護(hù)、設(shè)備等多方面考慮電子政務(wù)專網(wǎng)平臺(tái)的可靠性，保證數(shù)據(jù)傳輸?shù)陌踩煽俊Ｍ瑫r(shí)提供的7×24的服務(wù)保障，從技術(shù)和服務(wù)兩方面保證岳陽(yáng)市各區(qū)縣電子政務(wù)內(nèi)外網(wǎng)平臺(tái)的可用性達(dá)到要求。成熟性和發(fā)展性的結(jié)合工程建設(shè)應(yīng)首先采用符合當(dāng)前業(yè)界計(jì)算機(jī)及應(yīng)用系統(tǒng)發(fā)展趨勢(shì)的主流技術(shù)，技術(shù)先進(jìn)并趨于成熟的，被公眾認(rèn)可的優(yōu)質(zhì)產(chǎn)品。既要保證當(dāng)前系統(tǒng)的高可靠性，又能適應(yīng)未來(lái)技術(shù)的發(fā)展，滿足多業(yè)務(wù)發(fā)展的要求。要本著“有用、適用和好用”的原則，不片面追求硬軟件設(shè)施的先進(jìn)性，強(qiáng)調(diào)整個(gè)系統(tǒng)的可連接性和整體布局、應(yīng)用的合理性。經(jīng)濟(jì)性原則經(jīng)過(guò)技術(shù)經(jīng)濟(jì)比較，性能價(jià)格比較，選擇優(yōu)化的網(wǎng)絡(luò)結(jié)構(gòu)和網(wǎng)絡(luò)技術(shù)，盡可能利用和保護(hù)現(xiàn)有設(shè)備和投資，做到從實(shí)際出發(fā)，制定經(jīng)濟(jì)、合理的方案，以最小的網(wǎng)絡(luò)建設(shè)和網(wǎng)絡(luò)維護(hù)成本建設(shè)一個(gè)高可用、高安全的電子政務(wù)專網(wǎng)平臺(tái)?？晒芾硇栽瓌t電子政務(wù)系統(tǒng)是一個(gè)比較大、較復(fù)雜的系統(tǒng)，它包含大量硬件設(shè)備、軟件系統(tǒng)和數(shù)據(jù)信息資源，這些資源分布在全區(qū)各部門，因此系統(tǒng)的技術(shù)方案要為市政府提供多層次、方便、有效的管理手段，為系統(tǒng)正常運(yùn)行提供網(wǎng)絡(luò)技術(shù)管理保障。標(biāo)準(zhǔn)性原則現(xiàn)有信息技術(shù)的發(fā)展越來(lái)越快，為了使該系統(tǒng)在未來(lái)運(yùn)行過(guò)程中其技術(shù)能和整個(gè)信息技術(shù)的發(fā)展同步，系統(tǒng)應(yīng)具有備靈活適應(yīng)性和良好的可擴(kuò)展性，系統(tǒng)的結(jié)構(gòu)設(shè)計(jì)和產(chǎn)品選型要堅(jiān)持標(biāo)準(zhǔn)化，首先采用國(guó)家標(biāo)準(zhǔn)和國(guó)際標(biāo)準(zhǔn)，其次采用廣為流傳的實(shí)用化工業(yè)標(biāo)準(zhǔn)?？蓴U(kuò)充性原則考慮到岳陽(yáng)市各區(qū)縣政府電子政務(wù)內(nèi)、外網(wǎng)平臺(tái)各種應(yīng)用業(yè)務(wù)的飛速發(fā)展，網(wǎng)絡(luò)承載的信息流量不斷增加。岳陽(yáng)市各區(qū)縣政府電子政務(wù)內(nèi)、外網(wǎng)平臺(tái)的設(shè)計(jì)中充分考慮未來(lái)帶寬擴(kuò)容的需要，從網(wǎng)絡(luò)和設(shè)備的配置上都保留一定的擴(kuò)充余地，便于融入隨著新技術(shù)發(fā)展帶來(lái)的新功能，滿足岳陽(yáng)市各區(qū)縣政務(wù)不斷發(fā)展的業(yè)務(wù)需要。同時(shí)為響應(yīng)中央政府節(jié)能減排的號(hào)召，在設(shè)備的選擇上應(yīng)遵循環(huán)保、節(jié)能的原則。網(wǎng)絡(luò)設(shè)計(jì)方案概述隨著岳陽(yáng)市各區(qū)縣電子政務(wù)外網(wǎng)平臺(tái)建設(shè)的逐步延伸，岳陽(yáng)市各區(qū)縣電子政務(wù)外網(wǎng)即將成為承擔(dān)政府部門之間的各項(xiàng)信息交換和業(yè)務(wù)互動(dòng)，實(shí)現(xiàn)同層次和上下級(jí)政府機(jī)構(gòu)之間各主要業(yè)務(wù)系統(tǒng)的信息交換和信息共享的主要載體。根據(jù)省政府相關(guān)文件，岳陽(yáng)市各區(qū)縣政府即將接入到岳陽(yáng)市電子政務(wù)外網(wǎng)，實(shí)現(xiàn)辦公自動(dòng)化及信息化，為此，需要進(jìn)行岳陽(yáng)市各區(qū)縣政府的外網(wǎng)建設(shè)與整合，統(tǒng)一市委、市人大、市政府、市政協(xié)及市直各部門等外網(wǎng)出口。岳陽(yáng)市各區(qū)縣電子政務(wù)外網(wǎng)平臺(tái)是岳陽(yáng)市各區(qū)縣電子政務(wù)外網(wǎng)全網(wǎng)中聯(lián)接各部門業(yè)務(wù)系統(tǒng)的橋梁和紐帶，為各業(yè)務(wù)部門提供網(wǎng)絡(luò)傳輸服務(wù)，是未來(lái)政務(wù)工作的“高速公路”。網(wǎng)絡(luò)平臺(tái)提供的是高度集成化、一體化、規(guī)范化的服務(wù)，其本質(zhì)是為各業(yè)務(wù)系統(tǒng)的安全、順暢、高效運(yùn)行和數(shù)據(jù)的傳輸、交換、存儲(chǔ)等構(gòu)造網(wǎng)絡(luò)基礎(chǔ)環(huán)境，它是未來(lái)實(shí)現(xiàn)各業(yè)務(wù)系統(tǒng)互聯(lián)、互通、互操作，促進(jìn)資源共享的基礎(chǔ)性工作。因此，岳陽(yáng)市各區(qū)縣電子政務(wù)外網(wǎng)平臺(tái)是關(guān)系我市電子政務(wù)建設(shè)全局和發(fā)展的重要基礎(chǔ)性工作，是電子政務(wù)系統(tǒng)中的關(guān)鍵性核心組成要素。建設(shè)目標(biāo)本次建設(shè)的電子政務(wù)外網(wǎng)平臺(tái)將實(shí)現(xiàn)電子政務(wù)各項(xiàng)應(yīng)用所需的網(wǎng)絡(luò)環(huán)境，為電子政務(wù)應(yīng)用提供安全、穩(wěn)定、可靠的傳輸通道，包括局域網(wǎng)、城域網(wǎng)、廣域網(wǎng)和互聯(lián)網(wǎng)出口。根據(jù)上級(jí)對(duì)電子政務(wù)外網(wǎng)平臺(tái)建設(shè)的要求，結(jié)合本地實(shí)際情況，我市電子政務(wù)外網(wǎng)平臺(tái)建設(shè)必須滿足以下功能需求：（1）網(wǎng)絡(luò)互聯(lián)互通的需求電子政務(wù)外網(wǎng)平臺(tái)建立后，應(yīng)在縱向上實(shí)現(xiàn)上連國(guó)家、省、市電子政務(wù)外網(wǎng)平臺(tái)，下連各鄉(xiāng)鎮(zhèn)電子政務(wù)外網(wǎng)平臺(tái)，在橫向上能夠方便連接市委、市人大、市政府、市政協(xié)以及政府各組成部門、直屬機(jī)構(gòu)、辦事機(jī)構(gòu)、事業(yè)單位等。同時(shí)，網(wǎng)絡(luò)必須具備高度的可靠性和穩(wěn)定性，應(yīng)具備可伸縮、可管理、可擴(kuò)展的能力，以應(yīng)對(duì)業(yè)務(wù)數(shù)據(jù)的快速增長(zhǎng)，滿足網(wǎng)絡(luò)平臺(tái)平滑升級(jí)的要求。（2）縱向業(yè)務(wù)的應(yīng)用需求電子政務(wù)外網(wǎng)平臺(tái)建立后，各個(gè)縱向網(wǎng)絡(luò)將逐步整合到統(tǒng)一的連接通道。電子政務(wù)外網(wǎng)平臺(tái)既要滿足互聯(lián)互通，又要保證各部門縱向系統(tǒng)的相對(duì)獨(dú)立性和現(xiàn)有縱向網(wǎng)絡(luò)系統(tǒng)的正常運(yùn)行，應(yīng)當(dāng)提供各個(gè)部門高速通達(dá)、安全可靠、方便使用的縱向系統(tǒng)專用網(wǎng)絡(luò)或虛擬專用網(wǎng)絡(luò)，如提供虛擬專用網(wǎng)絡(luò)需支持至少150個(gè)市直部門的縱向MPLSVPN需求，并有足夠的擴(kuò)充能力。（3）橫向業(yè)務(wù)的應(yīng)用需求電子政務(wù)外網(wǎng)平臺(tái)建立后，各個(gè)聯(lián)網(wǎng)部門將逐步開展橫向電子政務(wù)業(yè)務(wù)。電子政務(wù)外網(wǎng)平臺(tái)既要滿足互聯(lián)互通，又要保證相關(guān)部門橫向業(yè)務(wù)系統(tǒng)的相對(duì)獨(dú)立性，應(yīng)當(dāng)提供各個(gè)部門高速通達(dá)、安全可靠、方便使用的縱向系統(tǒng)專用網(wǎng)絡(luò)或虛擬專用網(wǎng)絡(luò)，如提供虛擬專用網(wǎng)絡(luò)需支持市直部門的橫向MPLSVPN需求。（4）公共資源共享業(yè)務(wù)的應(yīng)用需求各聯(lián)網(wǎng)部門連接到電子政務(wù)外網(wǎng)平臺(tái)后，應(yīng)該能夠經(jīng)過(guò)電子政務(wù)外網(wǎng)平臺(tái)方便訪問(wèn)電子政務(wù)外網(wǎng)平臺(tái)的內(nèi)部數(shù)據(jù)中心、外部數(shù)據(jù)中心和互聯(lián)網(wǎng)等公共資源。（5）互聯(lián)網(wǎng)接入的需求外網(wǎng)平臺(tái)應(yīng)能夠提供整個(gè)網(wǎng)絡(luò)統(tǒng)一的安全的互聯(lián)網(wǎng)接入。（6）不同接入方式的需求岳陽(yáng)市各區(qū)縣電子政務(wù)外網(wǎng)平臺(tái)應(yīng)滿足市政府機(jī)關(guān)大院、市政府組成部門、有行政審批職能的市直部門、與民生相關(guān)的行政事業(yè)單位等市直部門以不同帶寬、接入方式接入到外網(wǎng)平臺(tái)的需求。（7）各鄉(xiāng)鎮(zhèn)接入的需求岳陽(yáng)市各區(qū)縣電子政務(wù)外網(wǎng)平臺(tái)應(yīng)滿足各鄉(xiāng)鎮(zhèn)廣域匯聚點(diǎn)的接入需求。參考標(biāo)準(zhǔn)國(guó)家、省市有關(guān)信息化的政策法規(guī)和技術(shù)規(guī)范，是電子政務(wù)建設(shè)順利實(shí)施和健康運(yùn)行的重要保證。本方案將參照國(guó)家關(guān)于信息化建設(shè)和電子政務(wù)建設(shè)的法律、法規(guī)、相關(guān)政策以及各種技術(shù)標(biāo)準(zhǔn)規(guī)范進(jìn)行編制?！对狸?yáng)市各區(qū)縣電子政務(wù)外網(wǎng)平臺(tái)技術(shù)規(guī)范》(湖南省信息化領(lǐng)導(dǎo)小組-10-01)《信息系統(tǒng)安全等級(jí)保護(hù)定級(jí)指南》《國(guó)家政務(wù)外網(wǎng)網(wǎng)絡(luò)互連及安全防護(hù)指南_征求意見稿》《信息安全等級(jí)保護(hù)管理辦法》（公安部、國(guó)家保密局、國(guó)家密碼局、國(guó)信辦聯(lián)合發(fā)布，公通字[]43號(hào)）《國(guó)家政務(wù)外網(wǎng)網(wǎng)絡(luò)互連及安全防護(hù)指南_征求意見稿》，是9月《關(guān)于轉(zhuǎn)發(fā)〈國(guó)家信息化領(lǐng)導(dǎo)小組關(guān)于中國(guó)電子政務(wù)建設(shè)指導(dǎo)意見〉的通知》（中辦發(fā)[]17號(hào)）8《中共中央辦公廳國(guó)務(wù)院辦公廳轉(zhuǎn)發(fā)〈國(guó)家信息化領(lǐng)導(dǎo)小組關(guān)于推進(jìn)國(guó)家電子政務(wù)網(wǎng)絡(luò)建設(shè)的意見〉的通知》（中辦發(fā)[]18號(hào)）《國(guó)務(wù)院辦公廳關(guān)于印發(fā)全國(guó)政府系統(tǒng)政務(wù)信息化建設(shè)-規(guī)劃綱要的通知》（國(guó)辦發(fā)[]25號(hào)）《電子政務(wù)標(biāo)準(zhǔn)化指南（征求意見稿）》國(guó)家標(biāo)準(zhǔn)化管理委員會(huì)、國(guó)務(wù)院信息化工作辦公室2月國(guó)務(wù)院信息化工作辦公室、科學(xué)技術(shù)部、信息產(chǎn)業(yè)部關(guān)于印發(fā)《電子政務(wù)工程技術(shù)指南》的通知(國(guó)信辦[]2號(hào))《互聯(lián)網(wǎng)信息服務(wù)管理辦法》中華人民共和國(guó)國(guó)務(wù)院令（第292號(hào)）9《計(jì)算機(jī)信息系統(tǒng)國(guó)際聯(lián)網(wǎng)保密管理規(guī)定》國(guó)家保密局 1《中華人民共和國(guó)計(jì)算機(jī)信息系統(tǒng)安全保護(hù)條例》國(guó)務(wù)院令147號(hào)1994《加強(qiáng)計(jì)算機(jī)信息網(wǎng)絡(luò)保密管理的通知》（中保委發(fā)【】4號(hào)）《計(jì)算機(jī)軟件保護(hù)條例》(國(guó)務(wù)院令第339號(hào))《計(jì)算機(jī)場(chǎng)地通用規(guī)范》(GB2887－)《電子計(jì)算機(jī)機(jī)房設(shè)計(jì)規(guī)范》(GB50174—93)《岳陽(yáng)市各區(qū)縣電子政務(wù)外網(wǎng)平臺(tái)技術(shù)方案》《岳陽(yáng)市各區(qū)縣電子政務(wù)外網(wǎng)平臺(tái)應(yīng)用規(guī)范》（討論稿）《中共湖南省委辦公廳湖南省人民政府辦公廳轉(zhuǎn)發(fā)省信息化領(lǐng)導(dǎo)小組〈關(guān)于加強(qiáng)電子政務(wù)外網(wǎng)平臺(tái)建設(shè)和管理的意見〉的通知》（湘辦發(fā)[]25號(hào)）網(wǎng)絡(luò)總體要求岳陽(yáng)市各區(qū)縣電子政務(wù)網(wǎng)平臺(tái)是岳陽(yáng)市電子政務(wù)的重要組成部分。以《國(guó)家信息化領(lǐng)導(dǎo)小組關(guān)于中國(guó)電子政務(wù)建設(shè)指導(dǎo)意見》（中辦發(fā)[]17號(hào)）、《關(guān)于推進(jìn)國(guó)家電子政務(wù)網(wǎng)絡(luò)建設(shè)的意見》（中辦發(fā)[]18號(hào)）、《關(guān)于加強(qiáng)我省電子政務(wù)外網(wǎng)平臺(tái)建設(shè)和管理的意見》（湘辦發(fā)[]25號(hào)）、《湖南省電子政務(wù)外網(wǎng)平臺(tái)技術(shù)規(guī)范》為指導(dǎo)，依托岳陽(yáng)市各區(qū)縣公共通信設(shè)施的基礎(chǔ)資源，采用先進(jìn)的信息、網(wǎng)絡(luò)技術(shù)，以電子政務(wù)應(yīng)用為主導(dǎo)，以資源整合為核心，以安全保障為支撐，構(gòu)建標(biāo)準(zhǔn)統(tǒng)一、功能完善、安全可靠的岳陽(yáng)市各區(qū)縣電子政務(wù)外網(wǎng)平臺(tái)，在網(wǎng)絡(luò)環(huán)境下逐步實(shí)現(xiàn)同層次和上下級(jí)政府機(jī)構(gòu)之間各主要業(yè)務(wù)系統(tǒng)的信息交換和信息共享；開展政府部門面向企業(yè)和公眾的監(jiān)管和服務(wù)業(yè)務(wù)，為規(guī)范政府管理與服務(wù)創(chuàng)造必要條件，努力提升政府監(jiān)管能力、工作效率和公共服務(wù)水平。岳陽(yáng)市各區(qū)縣電子政務(wù)外網(wǎng)平臺(tái)將連接市網(wǎng)平臺(tái)、市直單位、鄉(xiāng)鎮(zhèn)電子政務(wù)網(wǎng)絡(luò)平臺(tái)，形成一個(gè)縱橫互通的信息高速通道，并部署安全措施，統(tǒng)一因特網(wǎng)出口。建成后的政務(wù)外網(wǎng)為政府各部門實(shí)現(xiàn)橫向互連互通，為縱向業(yè)務(wù)系統(tǒng)運(yùn)行提供安全、快捷、方便、經(jīng)濟(jì)的統(tǒng)一網(wǎng)絡(luò)通道。從根本上解決岳陽(yáng)市電子政務(wù)建設(shè)中部門橫向互不連通，信息資源封閉、數(shù)據(jù)不能共享和重復(fù)建設(shè)等問(wèn)題。IPIP網(wǎng)絡(luò)－靈活的虛擬邏輯隔離熱線電話熱線電話統(tǒng)一安全策略管理系統(tǒng)財(cái)務(wù)檔案招標(biāo)人事審計(jì)應(yīng)急O(jiān)A系統(tǒng)網(wǎng)站問(wèn)題處理對(duì)外服務(wù)系統(tǒng)個(gè)性化應(yīng)用平臺(tái)局域網(wǎng)基礎(chǔ)平臺(tái)功能廣域網(wǎng)政府集中辦公、對(duì)外一站(網(wǎng))式服務(wù)智能管理設(shè)備管理、用戶管理、業(yè)務(wù)管理從電子政務(wù)外網(wǎng)平臺(tái)功能來(lái)看，其核心價(jià)值就是安全、公平、公開、簡(jiǎn)單、互動(dòng)的實(shí)現(xiàn)政務(wù)信息交換和資源共享。網(wǎng)絡(luò)總體方案描述經(jīng)過(guò)綜合考慮各類因素，在此次岳陽(yáng)市各區(qū)縣電子政務(wù)外網(wǎng)工程項(xiàng)目中推薦采用雙核心設(shè)計(jì)方案。其網(wǎng)絡(luò)結(jié)構(gòu)圖如下：圖2.5岳陽(yáng)市各區(qū)縣電子政務(wù)外網(wǎng)平臺(tái)設(shè)計(jì)岳陽(yáng)市各區(qū)縣電子政務(wù)外網(wǎng)平臺(tái)按照三層結(jié)構(gòu)設(shè)計(jì)分為：核心層、匯聚層、接入層。核心層由一臺(tái)出口路由器和二臺(tái)核心交換機(jī)組成。出口路由器負(fù)責(zé)與互聯(lián)網(wǎng)的連通，2臺(tái)核心交換機(jī)之間分別經(jīng)過(guò)2條萬(wàn)兆鏈路聚合互聯(lián)，實(shí)現(xiàn)核心層全冗余和高速連接，確保核心層穩(wěn)定可靠高效地運(yùn)行，并負(fù)責(zé)與岳陽(yáng)市外網(wǎng)的連通。匯聚層由4臺(tái)匯聚交換機(jī)擔(dān)當(dāng)，4臺(tái)匯聚層設(shè)備均采用千兆雙鏈路上行連接至2臺(tái)核心交換機(jī)，提供上行冗余鏈路，確保接入鏈路可靠性。匯聚層設(shè)備向下采用百兆/十兆接入各市直單位，提供百兆/十兆接入能力。接入層為市直部門的接入，根據(jù)每個(gè)單位接入數(shù)量；配置一臺(tái)接入設(shè)備，經(jīng)過(guò)MTPS/SDH上聯(lián)至匯聚交換機(jī)。在有些單位與單位之間采取組合式，把幾個(gè)近的單位組合在一起，再經(jīng)過(guò)一臺(tái)性能強(qiáng)的交換機(jī)放在組合單位集中的位置。再經(jīng)過(guò)單模光纖上聯(lián)至匯聚交換機(jī)。具體接入點(diǎn)分布統(tǒng)計(jì)首批接入外網(wǎng)平臺(tái)的單位：將納入岳陽(yáng)市各區(qū)縣政府行政績(jī)效評(píng)估名單的單位、岳陽(yáng)市各區(qū)縣政府門戶網(wǎng)站群?jiǎn)挝?、具有行政審批職能的市直單位、與民生密切相關(guān)的其它單位作為首批接入岳陽(yáng)市各區(qū)縣電子政務(wù)外網(wǎng)平臺(tái)的單位，同時(shí)也接入以上未包括的區(qū)縣委、區(qū)縣人大、區(qū)縣政府、區(qū)縣政協(xié)、區(qū)縣法院、區(qū)縣檢察院等六大家的其它重要部門。首批接入單位具體分布如下表：序號(hào)單位(區(qū)縣)電腦數(shù)量（估算）10臺(tái)以下10-30臺(tái)30-50臺(tái)50-100臺(tái)1區(qū)縣委2人大3政協(xié)4政府辦5紀(jì)委監(jiān)察局6組織部7宣傳部8統(tǒng)戰(zhàn)部9政法委10總工會(huì)11檔案局12編委辦13接待處14老干局15工商聯(lián)16婦聯(lián)17科協(xié)18檢察院19法院20發(fā)改局21工業(yè)局22教育局23科技局24公安局25民政局26司法局27財(cái)政局28人事局29勞動(dòng)和社會(huì)局30建設(shè)局31交通局32水利局33農(nóng)業(yè)局34林業(yè)局35商務(wù)局36文化局37衛(wèi)生局38環(huán)保局39安監(jiān)局40計(jì)生局41農(nóng)村辦42糧食局43廣播局44畜牧水產(chǎn)局45房產(chǎn)局46招商局47體育局48統(tǒng)計(jì)局49供銷聯(lián)社50經(jīng)管局51農(nóng)機(jī)局52市場(chǎng)管理中心53國(guó)土局54審計(jì)局55旅游局56人防辦57工業(yè)園58殘聯(lián)59交警大隊(duì)60藥監(jiān)局61移民局62政務(wù)公開中心63XX街道辦事處64XX鄉(xiāng)鎮(zhèn)網(wǎng)絡(luò)的可靠性、拓展性設(shè)計(jì)網(wǎng)絡(luò)的可靠性設(shè)計(jì)岳陽(yáng)市各區(qū)縣電子政務(wù)外網(wǎng)承擔(dān)各種業(yè)務(wù)應(yīng)用系統(tǒng)，提供統(tǒng)一的網(wǎng)絡(luò)平臺(tái)，其網(wǎng)絡(luò)可靠性要求很高。網(wǎng)絡(luò)系統(tǒng)的可靠性設(shè)計(jì)主要體現(xiàn)在以下幾個(gè)方面：網(wǎng)絡(luò)虛擬化的可靠性；岳陽(yáng)市各區(qū)縣電子政務(wù)外網(wǎng)的核心需要實(shí)現(xiàn)網(wǎng)絡(luò)的高可靠性，包括設(shè)備、鏈路及網(wǎng)絡(luò)架構(gòu)設(shè)計(jì)、網(wǎng)絡(luò)自愈能力等，在岳陽(yáng)市各區(qū)縣電子政務(wù)外網(wǎng)核心層中，我們應(yīng)用了2臺(tái)核心設(shè)備；經(jīng)過(guò)虛擬化技術(shù)，它是把兩臺(tái)設(shè)備虛擬化成一臺(tái)設(shè)備。形成一個(gè)網(wǎng)絡(luò)管理與轉(zhuǎn)發(fā)節(jié)點(diǎn)；將多達(dá)2個(gè)的物理網(wǎng)絡(luò)節(jié)點(diǎn)虛擬化為單臺(tái)設(shè)備，兩臺(tái)設(shè)備同時(shí)工作，互為備份。又互不影響其業(yè)務(wù)數(shù)據(jù)的轉(zhuǎn)發(fā)。完全消除匯聚層環(huán)路，并形成捆綁鏈路的高帶寬和可靠性。在這樣的虛擬化下，網(wǎng)狀的網(wǎng)絡(luò)形成了一個(gè)非常簡(jiǎn)潔的架構(gòu)，網(wǎng)絡(luò)各層之間經(jīng)過(guò)捆綁的單邏輯鏈路互聯(lián)，消除了環(huán)路。不再需要在接入層設(shè)計(jì)復(fù)雜的生成樹協(xié)議，也不再需要在變成單一邏輯節(jié)點(diǎn)的客戶端接入網(wǎng)關(guān)上運(yùn)行VRRP協(xié)議。經(jīng)過(guò)虛擬化技術(shù)，整個(gè)彈性架構(gòu)共用一個(gè)IP管理，簡(jiǎn)化網(wǎng)絡(luò)設(shè)備管理，簡(jiǎn)化網(wǎng)絡(luò)拓?fù)涔芾?，提高運(yùn)營(yíng)效率，降低維護(hù)成本。采用虛擬化技術(shù)組建岳陽(yáng)市各區(qū)縣電子政務(wù)外網(wǎng)核心。該技術(shù)實(shí)現(xiàn)了IP技術(shù)的高可靠性，很好地適應(yīng)了數(shù)據(jù)業(yè)務(wù)。它的核心思想是將多臺(tái)設(shè)備經(jīng)過(guò)虛擬化物理端口連接在一起，進(jìn)行必要的配置后，虛擬化成一臺(tái)“分布式設(shè)備”。使用這種虛擬化技術(shù)能夠?qū)崿F(xiàn)多臺(tái)設(shè)備的協(xié)同工作、統(tǒng)一管理和不間斷維護(hù)。動(dòng)態(tài)路由設(shè)計(jì)保證網(wǎng)絡(luò)的可靠性；IGP路由設(shè)計(jì)中采用業(yè)界流行的OSPF路由協(xié)議，OSPF路由協(xié)議在2臺(tái)核心層交換機(jī)及4臺(tái)匯聚層交換機(jī)及接入交換機(jī)之間運(yùn)行，由于這些設(shè)備之間全部是雙鏈路連接，因此當(dāng)任何1臺(tái)核心交換機(jī)發(fā)生故障時(shí)，OSPF路由協(xié)議在很短的時(shí)間內(nèi)（一般少于10s）會(huì)根據(jù)鏈路狀態(tài)進(jìn)行路由的重新計(jì)算，從而不會(huì)影響到4個(gè)城域網(wǎng)匯聚點(diǎn)與核心網(wǎng)絡(luò)之間的網(wǎng)絡(luò)連接。完善的網(wǎng)絡(luò)管理系統(tǒng)確保網(wǎng)絡(luò)可靠性；在設(shè)計(jì)網(wǎng)絡(luò)管理系統(tǒng)時(shí)，應(yīng)全面考慮網(wǎng)絡(luò)管理的內(nèi)容，建設(shè)網(wǎng)絡(luò)管理平臺(tái)、網(wǎng)絡(luò)設(shè)備管理軟件模塊、網(wǎng)絡(luò)故障管理模塊、網(wǎng)絡(luò)流量模塊、網(wǎng)絡(luò)故障告警模塊。經(jīng)過(guò)網(wǎng)絡(luò)管理系統(tǒng)多種模塊的組合，實(shí)現(xiàn)對(duì)整網(wǎng)設(shè)備和安全性等各個(gè)方面進(jìn)行全面的管理，有效地提高網(wǎng)絡(luò)的安全可靠性。選配高可靠性的網(wǎng)絡(luò)設(shè)備；選用具備電信級(jí)的網(wǎng)絡(luò)設(shè)備進(jìn)行組網(wǎng)，使網(wǎng)絡(luò)具有自動(dòng)恢復(fù)能力、降低人工維護(hù)工作，達(dá)到電信級(jí)的可靠運(yùn)行。采用分布式體系結(jié)構(gòu)分布式體系結(jié)構(gòu)是提高可靠性的基礎(chǔ)，與集中式體系設(shè)備相比較，分布式體系設(shè)備除性能能夠經(jīng)過(guò)插入更多的接口處理板提高整體性能外，更為關(guān)鍵的是將管理、路由轉(zhuǎn)發(fā)、接口處理等功能分配在不同的部件上，協(xié)同工作，分布式體系能夠分散故障風(fēng)險(xiǎn)、隔離故障、提供冗余配置，提高系統(tǒng)的自動(dòng)恢復(fù)能力；如管理部件故障，只需要更換這部分板件，不影響其它功能。而且，分布式體系結(jié)構(gòu)能夠提高組網(wǎng)的物理可靠性。在電子政務(wù)外網(wǎng)平臺(tái)組網(wǎng)中，每個(gè)骨干節(jié)點(diǎn)都有兩個(gè)接口與其余節(jié)點(diǎn)互聯(lián)，從路由上提高了可靠性。如果是集中式體系，則當(dāng)節(jié)點(diǎn)設(shè)備出現(xiàn)故障時(shí)，這個(gè)節(jié)點(diǎn)就會(huì)失效，造成節(jié)點(diǎn)所帶網(wǎng)絡(luò)的中斷；而采用分布式結(jié)構(gòu)時(shí)，能夠?qū)⑦@兩個(gè)接口分別配置到不同的接口板上，這樣，無(wú)論這臺(tái)設(shè)備的管理單元、交換轉(zhuǎn)發(fā)單元，還是單一接口出現(xiàn)故障，都能夠保證至少有一條路徑是連通的，該節(jié)點(diǎn)網(wǎng)絡(luò)都不會(huì)中斷。關(guān)鍵部件冗余采用分布式體系結(jié)構(gòu)，對(duì)設(shè)備的關(guān)鍵部件，如主控管理單元、交換轉(zhuǎn)發(fā)單元等，進(jìn)行冗余配置，保證系統(tǒng)在工作中不會(huì)全部失效。實(shí)時(shí)熱備份機(jī)制在系統(tǒng)軟件及硬件的支持下，關(guān)鍵部件在發(fā)生故障能自動(dòng)啟動(dòng)備份系統(tǒng)，而且主備之間的切換能夠?qū)崟r(shí)熱倒換，即運(yùn)行中即使發(fā)生設(shè)備故障切換也不會(huì)對(duì)網(wǎng)絡(luò)業(yè)務(wù)造成影響。熱插拔特性設(shè)備任意單板支持熱插拔特性，保證系統(tǒng)出現(xiàn)故障需要維護(hù)，或系統(tǒng)需要升級(jí)擴(kuò)展時(shí)，不需要停機(jī)處理，保證網(wǎng)絡(luò)的7×24小時(shí)不間斷運(yùn)行。冗余電源支持冗余電源負(fù)載分擔(dān)及備份供電可保障系統(tǒng)具有可靠的能量源。散熱系統(tǒng)散熱系統(tǒng)使設(shè)備長(zhǎng)時(shí)間運(yùn)行而不至因?yàn)橄到y(tǒng)升溫過(guò)高出現(xiàn)故障，冗余風(fēng)扇等散熱裝置能夠增加設(shè)備的運(yùn)行時(shí)間及減少故障發(fā)生。網(wǎng)絡(luò)的擴(kuò)展性設(shè)計(jì)在網(wǎng)絡(luò)系統(tǒng)的可擴(kuò)展性方面主要考慮以下幾個(gè)方面：網(wǎng)絡(luò)結(jié)構(gòu)的可擴(kuò)展能力岳陽(yáng)市各區(qū)縣電子政務(wù)外網(wǎng)系統(tǒng)采用層次化、結(jié)構(gòu)化設(shè)計(jì)理念，整網(wǎng)分為核心層、匯聚層、接入層。這種結(jié)構(gòu)化設(shè)計(jì)充分保證了系統(tǒng)的擴(kuò)充能力，保證在接入子網(wǎng)大量增加的情況下核心設(shè)備的端口數(shù)量要求不會(huì)大量增加。網(wǎng)絡(luò)中廣播的數(shù)量岳陽(yáng)市各區(qū)縣電子政務(wù)外網(wǎng)系統(tǒng)采用三層路由的設(shè)計(jì)，不同的部門劃分在不同的網(wǎng)段，部門之間的通訊全部經(jīng)過(guò)三層路由來(lái)實(shí)現(xiàn)。因此，各個(gè)部門的廣播包根本不會(huì)發(fā)送到其它部門的網(wǎng)絡(luò)。同時(shí)，在一個(gè)部門內(nèi)部，不同的業(yè)務(wù)系統(tǒng)之間經(jīng)過(guò)劃分VLAN來(lái)實(shí)現(xiàn)隔離，不同的VLAN之間也是經(jīng)過(guò)三層路由來(lái)實(shí)現(xiàn)。這種VLAN的劃分，一方面提高了網(wǎng)絡(luò)的安全性，另一方面也限制了網(wǎng)絡(luò)中的廣播數(shù)量。因此，廣播數(shù)據(jù)包基本上被限制在一個(gè)部門內(nèi)部，不會(huì)擴(kuò)散到網(wǎng)絡(luò)的其它部分。網(wǎng)絡(luò)鏈路的選擇現(xiàn)在主流的組網(wǎng)通信技術(shù)主要有以太網(wǎng)、SDH／SONET、和VPN三大類。首先，城域以太網(wǎng)主要面向城區(qū)用戶，其優(yōu)越性表現(xiàn)在以下幾個(gè)方面：將基于千兆以太網(wǎng)的平臺(tái)應(yīng)用于城市范圍，解決了城域網(wǎng)中常面正確嚴(yán)重的瓶頸問(wèn)題；以太網(wǎng)成本低廉，包括設(shè)備成本及實(shí)施成本；而且即時(shí)可用，提供更高的數(shù)據(jù)傳輸速率；當(dāng)前以太網(wǎng)技術(shù)發(fā)展已較為成熟，應(yīng)用相當(dāng)廣泛，以太網(wǎng)是一種靈活的基于數(shù)據(jù)包的技術(shù)，其適當(dāng)?shù)乃俾氏拗乒δ?、豐富的主干容量、提供快速的按需帶寬等優(yōu)勢(shì)為網(wǎng)絡(luò)管理及工程人員等所熟知；以太網(wǎng)接入速度的靈活性，用戶能夠向服務(wù)供應(yīng)商訂購(gòu)從1Mbps到1Gbps范圍內(nèi)的任意接入速度，而且能夠根據(jù)企業(yè)的需要靈活調(diào)整，這一點(diǎn)是現(xiàn)有的諸如楨中繼、ATM等所無(wú)法比擬的；以太網(wǎng)以其“即插即用”的特性，消除了城域以太網(wǎng)和最終客戶信息系統(tǒng)之間的交互工作或協(xié)議轉(zhuǎn)換等問(wèn)題。其次，SDH／SONET專線組網(wǎng)技術(shù)為電信骨干傳輸網(wǎng)所采用的主要的技術(shù)。SDH／SONET技術(shù)十分適合傳輸采用TDM技術(shù)的話音業(yè)務(wù)，它具有良好的網(wǎng)絡(luò)保護(hù)和自愈功能。另外一方面，當(dāng)前的很多IP網(wǎng)絡(luò)還十分依賴電信網(wǎng)。如遠(yuǎn)距離組網(wǎng)一般需要租用電信運(yùn)營(yíng)商的SDH／SONET傳輸網(wǎng)絡(luò)，此時(shí)一般需要路由器及專用的接口支持。因此，岳陽(yáng)市各區(qū)縣電子政務(wù)外網(wǎng)宜采用以太網(wǎng)+SDH/SONET技術(shù)，其中城域網(wǎng)建議采用以太網(wǎng)技術(shù)，對(duì)于廣域網(wǎng)和零散的接入單位能夠采用SDH/SONET。作為日后全市各類業(yè)務(wù)系統(tǒng)的承載平臺(tái)，岳陽(yáng)市各區(qū)縣電子政務(wù)外網(wǎng)對(duì)網(wǎng)絡(luò)質(zhì)量和速度有比較高的要求?；ヂ?lián)網(wǎng)接入設(shè)計(jì)岳陽(yáng)市各區(qū)縣電子政務(wù)外網(wǎng)平臺(tái)建成后，市級(jí)平臺(tái)城域網(wǎng)網(wǎng)上均采用統(tǒng)一出口、統(tǒng)一管理，各接入單位只能經(jīng)過(guò)統(tǒng)一出口訪問(wèn)互聯(lián)網(wǎng)，以提高整個(gè)網(wǎng)絡(luò)的安全性。岳陽(yáng)市各區(qū)縣電子政務(wù)外網(wǎng)平臺(tái)平臺(tái)城域網(wǎng)承擔(dān)全市統(tǒng)一門戶網(wǎng)站入口訪問(wèn)和全部鄉(xiāng)鎮(zhèn)、市直單位的INTERNET出口訪問(wèn)，流量非常大，線路安全要求高，為了更好的提高工作效率以及提高整個(gè)岳陽(yáng)市各區(qū)縣電子政務(wù)外網(wǎng)平臺(tái)網(wǎng)絡(luò)系統(tǒng)的安全性，需要進(jìn)行Internet鏈路出口改造。具體情況如下：今后所有的鄉(xiāng)鎮(zhèn)、市直單位將逐步改成經(jīng)過(guò)設(shè)立在岳陽(yáng)市各區(qū)縣政府網(wǎng)控中心的統(tǒng)一出口來(lái)訪問(wèn)互聯(lián)網(wǎng)資源，為了更好的提高工作效率以及提高整個(gè)岳陽(yáng)市各區(qū)縣電子政務(wù)外網(wǎng)平臺(tái)網(wǎng)絡(luò)系統(tǒng)的安全性，需要進(jìn)行Internet鏈路出口改造。具體情況如下:1、岳陽(yáng)市各區(qū)縣電子政務(wù)外網(wǎng)網(wǎng)絡(luò)在出口上，需要租用一條100M以上的帶寬鏈路接入Internet；2、要有對(duì)出口流量進(jìn)行管理的功能；3、要能實(shí)現(xiàn)透明的故障屏蔽；4、有可擴(kuò)展性，隨著岳陽(yáng)市各區(qū)縣電子政務(wù)外網(wǎng)網(wǎng)絡(luò)的進(jìn)一步擴(kuò)展，要能保護(hù)當(dāng)前的設(shè)備投資；5.、在互聯(lián)網(wǎng)出口部署一臺(tái)路由器，實(shí)現(xiàn)網(wǎng)絡(luò)接入和IP轉(zhuǎn)換；6、部署一臺(tái)抗DDOS攻擊系統(tǒng)，經(jīng)過(guò)多種技術(shù)手段對(duì)DOS/DDOS攻擊進(jìn)行有效的檢測(cè)，保障岳陽(yáng)市各區(qū)縣電子政務(wù)外網(wǎng)平臺(tái)應(yīng)用資源。7、利用防火墻的訪問(wèn)控制技術(shù)，實(shí)現(xiàn)內(nèi)網(wǎng)與互聯(lián)網(wǎng)、電子政務(wù)網(wǎng)的安全隔離，以保障網(wǎng)絡(luò)可用性；8、利用流量控制等技術(shù)，以提高訪問(wèn)互聯(lián)網(wǎng)的效率。圖2.9岳陽(yáng)市各區(qū)縣電子政務(wù)外網(wǎng)互聯(lián)網(wǎng)接入設(shè)計(jì)核心層設(shè)計(jì)在核心層部署2臺(tái)高性能的三層交換機(jī)，核心層設(shè)備具有以下功能和性能：高性能交換全面的軟件支持和高性能網(wǎng)絡(luò)服務(wù)的增強(qiáng)。高速執(zhí)行服務(wù)質(zhì)量、安全、壓縮和加密等網(wǎng)絡(luò)服務(wù)。高密度端口提供高密度端口以及廣泛的局域網(wǎng)和廣域網(wǎng)介質(zhì)，并允許靈活地進(jìn)行配置。公用端口適配器在電子政務(wù)外網(wǎng)的核心層部署上網(wǎng)行為管理、抗DDOS系統(tǒng)等。主要針對(duì)上網(wǎng)用戶使用P2P/IM/網(wǎng)游/炒股軟件/非法網(wǎng)站訪問(wèn)等各種應(yīng)用進(jìn)行監(jiān)控和管理；全面分析網(wǎng)絡(luò)應(yīng)用的流量類型和流量流向趨勢(shì)，統(tǒng)計(jì)網(wǎng)絡(luò)熱點(diǎn)，發(fā)掘業(yè)務(wù)增長(zhǎng)點(diǎn)；分析用戶行為，統(tǒng)計(jì)用戶興趣，為個(gè)性化提供依據(jù)，并經(jīng)過(guò)開放的平臺(tái)接口，與第三方業(yè)務(wù)平臺(tái)對(duì)接，提供高附加值業(yè)務(wù)，如在用戶行為興趣分析的基礎(chǔ)上提供定向WEB廣告服務(wù)等功能。根據(jù)岳陽(yáng)市各區(qū)縣電子政務(wù)外網(wǎng)的實(shí)際需求情況，同時(shí)考慮到今后的發(fā)展，核心層三層交換機(jī)選擇高性能路由交換機(jī)，配置雙引擎和雙電源系統(tǒng)，以滿足系統(tǒng)高可靠的要求，每臺(tái)設(shè)備配置多個(gè)千兆端口，經(jīng)過(guò)千兆鏈路與出口路由器連接；配置多個(gè)千兆端口，用于與各單位和部門的接入層交換機(jī)相連。并經(jīng)過(guò)千兆光纖與市政務(wù)外網(wǎng)進(jìn)行互聯(lián)。圖2.10岳陽(yáng)市各區(qū)縣電子政務(wù)外網(wǎng)核心層設(shè)計(jì)匯聚層設(shè)計(jì)4個(gè)匯聚點(diǎn)的匯聚：為實(shí)現(xiàn)對(duì)接入設(shè)備的匯聚，提高轉(zhuǎn)發(fā)性能，應(yīng)考慮實(shí)際需求及性價(jià)比，為各個(gè)匯聚點(diǎn)配置高性能三層交換機(jī)。上聯(lián)至核心。圖2.11岳陽(yáng)市各區(qū)縣電子政務(wù)外網(wǎng)匯聚層設(shè)計(jì)主干網(wǎng)絡(luò)中，匯聚層是業(yè)務(wù)流量的匯聚點(diǎn)，同樣需要部署高可靠、冗余、可擴(kuò)展的網(wǎng)絡(luò)來(lái)保障系統(tǒng)不間斷運(yùn)行。為實(shí)現(xiàn)清晰的網(wǎng)絡(luò)層次，確保城域網(wǎng)的可靠連接，匯聚層使用4臺(tái)高性能路由交換機(jī)，利用雙鏈路以1000M速率連接核心交換機(jī)，同時(shí)負(fù)責(zé)各市直單位的接入?？紤]到匯聚交換機(jī)的關(guān)鍵位置及作用，匯聚交換機(jī)接口要有冗余性。接入層設(shè)計(jì)部門網(wǎng)絡(luò)的接入：為實(shí)現(xiàn)所有單位用戶的接入，考慮到實(shí)際需求及性價(jià)比，每個(gè)接入單位配置一臺(tái)接入設(shè)備。在對(duì)內(nèi)網(wǎng)安全性和可控性考慮，圖2.12岳陽(yáng)市各區(qū)縣電子政務(wù)外網(wǎng)接入層(交換機(jī))設(shè)計(jì)(一)圖2.12岳陽(yáng)市各區(qū)縣電子政務(wù)外網(wǎng)接入層(路由器)設(shè)計(jì)(二)部門經(jīng)過(guò)千兆單模/多模光接口就近接入?yún)R聚交換機(jī)，交換機(jī)設(shè)備要能夠?qū)崿F(xiàn)各接入單位之間不同的應(yīng)用經(jīng)過(guò)VLAN二層隔離并以VLANTrunk方式透?jìng)髦羺R聚交換機(jī)。路由器設(shè)備要能夠?qū)崿F(xiàn)各接入單位的地址轉(zhuǎn)換。結(jié)合網(wǎng)絡(luò)情況以及接口要求，本次接入層設(shè)備配置應(yīng)該滿足所有單位接入數(shù)量的要求。IGP路由設(shè)計(jì)路由設(shè)計(jì)，關(guān)系到網(wǎng)絡(luò)的整體性能和功能，是網(wǎng)絡(luò)設(shè)計(jì)中的一個(gè)重要環(huán)節(jié)，岳陽(yáng)市各區(qū)縣電子政務(wù)外網(wǎng)路由設(shè)計(jì)采用靈活的設(shè)計(jì)思路，準(zhǔn)確選擇路由協(xié)議，從管理的方便性和技術(shù)的先進(jìn)性兩個(gè)方面進(jìn)行規(guī)劃設(shè)計(jì)。根據(jù)岳陽(yáng)市各區(qū)縣電子政務(wù)外網(wǎng)的網(wǎng)絡(luò)規(guī)模和主備線路情況，在核心層和匯聚層采用OSPF路由協(xié)議，實(shí)現(xiàn)流量的負(fù)載均衡和鏈路的自動(dòng)切換。對(duì)于互聯(lián)網(wǎng)接入?yún)^(qū)和外部數(shù)據(jù)中心的節(jié)點(diǎn)，由于連接至啟用三層的防火墻，使用靜態(tài)路由實(shí)現(xiàn)網(wǎng)絡(luò)的聯(lián)通性；對(duì)于內(nèi)部數(shù)據(jù)中心節(jié)點(diǎn)，由于是連接是三層防火墻安全設(shè)備，使用OSPF路由協(xié)議，實(shí)現(xiàn)網(wǎng)絡(luò)的聯(lián)通性。IP地址規(guī)劃IP地址的合理規(guī)劃是網(wǎng)絡(luò)設(shè)計(jì)中的重要一環(huán)，大型計(jì)算機(jī)網(wǎng)絡(luò)必須對(duì)ＩＰ地址進(jìn)行統(tǒng)一規(guī)劃并得到實(shí)施。IP地址規(guī)劃的好壞，影響到網(wǎng)絡(luò)路由協(xié)議算法的效率，影響到網(wǎng)絡(luò)的性能，影響到網(wǎng)絡(luò)的擴(kuò)展，影響到網(wǎng)絡(luò)的管理，也必將直接影響到網(wǎng)絡(luò)應(yīng)用的進(jìn)一步發(fā)展。IP地址分配原則IP地址空間分配，要與網(wǎng)絡(luò)拓?fù)鋵哟谓Y(jié)構(gòu)相適應(yīng)，既要有效地利用地址空間，又要體現(xiàn)出網(wǎng)絡(luò)的可擴(kuò)展性和靈活性，同時(shí)能滿足路由協(xié)議的要求，以便于網(wǎng)絡(luò)中的路由匯總和聚類，減少路由器中路由表的長(zhǎng)度，減少對(duì)路由器CPU、內(nèi)存的消耗，提高路由算法的效率，加快路由變化的收斂速度，同時(shí)還要考慮到網(wǎng)絡(luò)地址的可管理性。具體分配時(shí)要遵循以下原則：唯一性：一個(gè)IP網(wǎng)絡(luò)中不能有兩個(gè)主機(jī)采用相同的IP地址；簡(jiǎn)單性：地址分配應(yīng)簡(jiǎn)單易于管理，降低網(wǎng)絡(luò)擴(kuò)展的復(fù)雜性，簡(jiǎn)化路由表的款項(xiàng)連續(xù)性：連續(xù)地址在層次結(jié)構(gòu)網(wǎng)絡(luò)中易于進(jìn)行路徑疊合，大大縮減路由表，提高路由算法的效率可擴(kuò)展性：地址分配在每一層次上都要留有余量，在網(wǎng)絡(luò)規(guī)模擴(kuò)展時(shí)能保證地址疊合所需的連續(xù)性靈活性：地址分配應(yīng)具有靈活性，以滿足多種路由策略的優(yōu)化，充分利用地址空間管理和互聯(lián)地址規(guī)劃從省中心分配給岳陽(yáng)的地址段中劃分一段作為管理和互連地址段。用戶地址規(guī)劃省中心對(duì)市（市）區(qū)的IP地址做了統(tǒng)一的規(guī)劃和分配，岳陽(yáng)市各區(qū)縣電子政務(wù)外網(wǎng)所分配的地址段由岳陽(yáng)市信息化管理局統(tǒng)一分配，用戶地址具體分配原則如下：在縱向VPN和橫向VPN中為各市直單位分配岳陽(yáng)市各區(qū)縣段IP地址，原則上是先滿足網(wǎng)絡(luò)設(shè)備和網(wǎng)絡(luò)維護(hù)管理所需的IP地址段，對(duì)各接入單位所需的IP地址分配原則是按需分配，動(dòng)態(tài)管理。在橫向VPN的設(shè)計(jì)中，如果部分單位之間的IP地址段重疊，則由接入設(shè)備將重疊的用戶地址進(jìn)行地址轉(zhuǎn)換（NAT）為政務(wù)外網(wǎng)的臨湘段地址進(jìn)行通信?？紤]到IP地址數(shù)量有限，對(duì)于各單位訪問(wèn)Internet的公共VPN則由市政府從私有地址段中進(jìn)行統(tǒng)一分配，原則上每個(gè)單位分配一個(gè)C類地址段，由接入設(shè)備將這些訪問(wèn)Internet的地址轉(zhuǎn)換（NAT）為政務(wù)外網(wǎng)臨湘段地址再在政務(wù)外網(wǎng)上傳播。有特殊需求的單位，適當(dāng)增加外網(wǎng)IP地址。MPLSVPN規(guī)劃設(shè)計(jì)MPLSVPN構(gòu)建縱向網(wǎng)絡(luò)MPLS（MultiprotocolLabelSwitching:多協(xié)議標(biāo)簽交換）技術(shù)是在開放的通信網(wǎng)上利用定長(zhǎng)標(biāo)簽進(jìn)行數(shù)據(jù)高速傳輸和交換的網(wǎng)絡(luò)新技術(shù)。MPLS技術(shù)將第二層交換和第三層的路由技術(shù)很好地結(jié)合起來(lái)，以十分簡(jiǎn)潔、高效的方式完成信息的傳送。更為重要的是，MPLS使IP網(wǎng)絡(luò)能提供傳統(tǒng)IP網(wǎng)絡(luò)不能或很難提供的各種增值服務(wù)，例如MPLS所提供的VPN服務(wù)、流量工程服務(wù)、IPQoS服務(wù)等。在MPLS網(wǎng)上實(shí)現(xiàn)的無(wú)連接的IPVPN，提供了基于幀中繼、ATMPVC的第二層VPN相同安全級(jí)別的虛擬專用網(wǎng)，能達(dá)到第二層PVC所具有的專有性、安全性和數(shù)據(jù)傳輸?shù)母咚傩裕鳰PLSVPN的靈活性、擴(kuò)展性、易管理性和適應(yīng)性則是當(dāng)前其它基于PVC或隧道技術(shù)的VPN所無(wú)法比擬的。MPLSVPN在第三層路由上對(duì)各VPN進(jìn)行了隔離，無(wú)需訪問(wèn)控制列表ACL，各VPN之間都是不可見的，骨干網(wǎng)對(duì)于客戶網(wǎng)絡(luò)（某個(gè)VPN內(nèi)部）也是不可見的。因此，充分保證了在多個(gè)業(yè)務(wù)系統(tǒng)共用IP骨干網(wǎng)情況下的相互有效隔離。MPLS最初是為服務(wù)供應(yīng)商網(wǎng)絡(luò)所創(chuàng)立的技術(shù)，今天，很多企業(yè)或政府機(jī)構(gòu)的網(wǎng)絡(luò)也需要解決和服務(wù)供應(yīng)商網(wǎng)絡(luò)類似的需求和問(wèn)題。大型企業(yè)和政府機(jī)構(gòu)的IP骨干網(wǎng)正從過(guò)去低帶寬、重復(fù)分離的物理網(wǎng)絡(luò)向?qū)拵Щ?、一體化方向發(fā)展，一個(gè)高效的、智能的、集成的網(wǎng)絡(luò)是政府網(wǎng)絡(luò)發(fā)展的方向。同樣地，岳陽(yáng)市各區(qū)縣電子政務(wù)外網(wǎng)要能安全、高效地整合各業(yè)務(wù)專網(wǎng)，同時(shí)應(yīng)對(duì)各種公共業(yè)務(wù)、語(yǔ)音傳送、視頻服務(wù)多業(yè)務(wù)應(yīng)用不斷增長(zhǎng)的需求，這些不同的業(yè)務(wù)專網(wǎng)和各種應(yīng)用對(duì)于網(wǎng)絡(luò)的安全性、服務(wù)質(zhì)量要求各不相同，這就要求岳陽(yáng)市各區(qū)縣電子政務(wù)外網(wǎng)平臺(tái)必須能夠?qū)⑺鼈儼凑崭髯缘奶匦院鸵笳_地傳送，提供安全隔離和區(qū)別服務(wù)。先進(jìn)、成熟的MPLS/VPN技術(shù)是岳陽(yáng)市各區(qū)縣電子政務(wù)外網(wǎng)橫向系統(tǒng)建設(shè)的有效解決方案。對(duì)岳陽(yáng)市各區(qū)縣電子政務(wù)外網(wǎng)而言，需要重點(diǎn)實(shí)現(xiàn)兩個(gè)方面的需求：l．安全隔離：一方面要保證各業(yè)務(wù)系統(tǒng)邏輯網(wǎng)絡(luò)的相對(duì)獨(dú)立性，以滿足不同業(yè)務(wù)系統(tǒng)對(duì)安全性、服務(wù)質(zhì)量、管理、拓樸結(jié)構(gòu)的要求；2．受控互訪：另一方面，各業(yè)務(wù)系統(tǒng)之間的流程整合又需要提供相互訪問(wèn)的途徑，而且要保證訪問(wèn)的安全性。MPLS/BGPVPN解決方案能夠?yàn)樵狸?yáng)市各區(qū)縣電子政務(wù)外網(wǎng)平臺(tái)提供一種基于網(wǎng)絡(luò)、易于管理、擴(kuò)充性好、安全且具有QoS保障、可在任意節(jié)點(diǎn)間連接的VPN。1．基于網(wǎng)絡(luò)，易于管理。這種基于網(wǎng)絡(luò)的VPN能夠完全由骨干網(wǎng)絡(luò)來(lái)實(shí)現(xiàn)，即網(wǎng)絡(luò)用戶（各應(yīng)用系統(tǒng)）不用關(guān)心VPN是如何構(gòu)造的，而是在網(wǎng)絡(luò)平臺(tái)內(nèi)完成。2．路由。需要在各PE節(jié)點(diǎn)之間建立IBGP全連接，以交換VPN-IPV4路由。3．安全性。由于基于MPLS/BGP實(shí)現(xiàn)，報(bào)文在網(wǎng)絡(luò)節(jié)點(diǎn)構(gòu)成的MPLS域中采用標(biāo)簽轉(zhuǎn)發(fā)的形式進(jìn)行交換（LSP），因此具有同ATM/FR虛電路相同的安全級(jí)別。MPLSBGPVPN方案采用VRF實(shí)現(xiàn)VPN之間的路由隔離。經(jīng)過(guò)MPLSLSP隧道將VPN流量完全隔離。4．QOS。由于基于MPLS/BGP實(shí)現(xiàn)，能夠利用MPLSCOS機(jī)制，結(jié)合IPQOS機(jī)制，從而能夠?yàn)閂PN用戶實(shí)現(xiàn)端到端的QOS服務(wù)。由于各業(yè)務(wù)系統(tǒng)的VPN流量經(jīng)過(guò)不同的LSP隧道承載，能夠方便的針對(duì)LSP實(shí)現(xiàn)MPLS的區(qū)別服務(wù)。經(jīng)過(guò)IPTOS和MPLSCOS域的映射，能夠?qū)⑦吘壘W(wǎng)絡(luò)中定義的IPQOS級(jí)別繼承到MPLS域中，實(shí)現(xiàn)端到端的QOS。5．?dāng)U充性好。由于基于MPLS/BGP實(shí)現(xiàn)，因此很容易對(duì)網(wǎng)絡(luò)節(jié)點(diǎn)進(jìn)行擴(kuò)充，網(wǎng)絡(luò)可剪裁性好。在增加某個(gè)VPN的網(wǎng)點(diǎn)（Site）時(shí)，只需要配置該網(wǎng)點(diǎn)連接的PE路由器，不存在N平方問(wèn)題。增加一項(xiàng)新業(yè)務(wù)系統(tǒng)時(shí)不會(huì)影響已有的業(yè)務(wù)，實(shí)現(xiàn)平滑擴(kuò)展。MPLSVPN業(yè)務(wù)模型與網(wǎng)絡(luò)規(guī)模及拓?fù)錈o(wú)關(guān)。岳陽(yáng)市各區(qū)縣電子政務(wù)外網(wǎng)部署MPLSVPN要考慮以下幾點(diǎn)：可靠性和穩(wěn)定性當(dāng)前MPLSVPN技術(shù)主要分成L3MPLSVPN、L2MPLSVPN（包括VPLS（虛擬私有局域網(wǎng)服務(wù)））兩大類。其中L3MPLSVPN技術(shù)發(fā)展較早，其核心部分已經(jīng)標(biāo)準(zhǔn)化（RFC2547，RFC2547bits）,由于它的信令控制是經(jīng)過(guò)多協(xié)議BGP來(lái)實(shí)現(xiàn)的，因此一般也叫做MPLS/BGPVPN，或BGP/MPLSVPN。MPLS/BGPVPN技術(shù)不但已經(jīng)廣泛應(yīng)用于電信運(yùn)營(yíng)商和ISP，而且也廣泛應(yīng)用于電力行業(yè)，政府行業(yè)（包括各省的政務(wù)內(nèi)網(wǎng)和政務(wù)外網(wǎng)），金融行業(yè)，大型企業(yè)等行業(yè)用戶。其技術(shù)和產(chǎn)品都較為成熟，穩(wěn)定。因此岳陽(yáng)市各區(qū)縣電子政務(wù)外網(wǎng)宜選用MPLS/BGPVPN作為主流的MPLSVPN技術(shù)。擴(kuò)展性由于省電子政務(wù)外網(wǎng)將每個(gè)省（含副省級(jí)）規(guī)劃為單獨(dú)的自治域（AutonomousSystem）。因此，要想實(shí)現(xiàn)各個(gè)部委的垂直縱向網(wǎng)從中央延伸到省、地市、區(qū)市，必須解決VPN跨自治域的問(wèn)題。業(yè)務(wù)多樣性岳陽(yáng)市各區(qū)縣電子政務(wù)外網(wǎng)作為一個(gè)向政府部門提供網(wǎng)絡(luò)服務(wù)的平臺(tái)，不但要提供基本MPLSVPN業(yè)務(wù)。還要提供多樣化的業(yè)務(wù)種類，以滿足不同政府部門的多樣化要求。比如，有的廳局需要在自己的VPN內(nèi)部根據(jù)自己不同的業(yè)務(wù)部門或者不同的業(yè)務(wù)種類再自行劃分內(nèi)部的VPN，而這種內(nèi)部VPN的劃分和管理應(yīng)該完全屬于這個(gè)廳局自己，而不需要對(duì)全網(wǎng)VPN規(guī)劃產(chǎn)生影響。因此，這個(gè)網(wǎng)絡(luò)需要支持MPLSVPN的層次化能力。VPN業(yè)務(wù)的高品質(zhì)保證針對(duì)語(yǔ)音、視頻、多媒體通信等實(shí)時(shí)性要求比較嚴(yán)格的業(yè)務(wù)，岳陽(yáng)市各區(qū)縣電子政務(wù)外網(wǎng)的VPN服務(wù)能否提供類似專線一樣的服務(wù)質(zhì)量保證也是非常重要的，這就要求在整個(gè)網(wǎng)絡(luò)中部署端到端的QOS。設(shè)備實(shí)現(xiàn)MPLSVPN的性能考慮前面只是考慮了MPLSVPN部署時(shí)的業(yè)務(wù)特性，而在一個(gè)實(shí)際的生產(chǎn)網(wǎng)絡(luò)里。設(shè)備實(shí)現(xiàn)MPLSVPN的性能如何至關(guān)重要?？删S護(hù)性和可管理性對(duì)于MPLSVPN的管理首先確定管理界面。在電信運(yùn)營(yíng)商網(wǎng)絡(luò)，PE和CE是服務(wù)提供商和用戶之間的管理界面，用戶維護(hù)和管理CE設(shè)備，服務(wù)提供商維護(hù)和管理PE設(shè)備?？墒窃陔娮诱?wù)外網(wǎng)中，由于行業(yè)的特點(diǎn)，政務(wù)外網(wǎng)服務(wù)提供商不但要維護(hù)和管理PE設(shè)備，還要維護(hù)和管理CE設(shè)備。如何解決同時(shí)對(duì)PE和CE設(shè)備的管理是必須考慮的問(wèn)題。其次是MPLSVPN的業(yè)務(wù)管理，主要包括以下幾個(gè)方面：同時(shí)支持MPLSL2/L3VPN能夠同時(shí)管理BGP/MPLSVPN（RFC2547bis）、MPLSL2VPN（VPLS、Martini、Kompella），能夠?qū)崿F(xiàn)“多種VPN業(yè)務(wù)，單點(diǎn)集中運(yùn)維”。能夠提供多廠商設(shè)備MPLSVPN業(yè)務(wù)共同管理的功能。能夠使用圖形化、向?qū)Щ姆绞剑瑤椭芾韱T快速完成VPN業(yè)務(wù)規(guī)劃，并可直觀的進(jìn)行“業(yè)務(wù)預(yù)覽”，即在業(yè)務(wù)尚未部署到設(shè)備之前，就可在業(yè)務(wù)管理系統(tǒng)中看到業(yè)務(wù)實(shí)施后的效果（如VPN拓?fù)浣Y(jié)構(gòu)、VPN內(nèi)各站點(diǎn)間邏輯連接關(guān)系），避免業(yè)務(wù)規(guī)劃過(guò)程中人為的錯(cuò)誤。能夠提供可調(diào)度（定時(shí)或用戶觸發(fā)）的業(yè)務(wù)部署能力，自動(dòng)生成不同廠商設(shè)備的指令，并下發(fā)設(shè)備，在網(wǎng)絡(luò)中形成實(shí)際運(yùn)行的MPLSVPN業(yè)務(wù)；對(duì)于已部署業(yè)務(wù)，可進(jìn)行拆除；降低業(yè)務(wù)部署復(fù)雜度，提高VPN業(yè)務(wù)發(fā)放響應(yīng)速度。能夠自動(dòng)發(fā)現(xiàn)已有網(wǎng)絡(luò)中的設(shè)備、接口、邏輯接口等資源。能夠提供多種有效的業(yè)務(wù)監(jiān)控手段，從而保證VPN業(yè)務(wù)質(zhì)量：VPN配置審計(jì)、VPN連通性審計(jì)、端到端的網(wǎng)絡(luò)性能（時(shí)延、丟包、抖動(dòng)）監(jiān)控、圖形化的流量/帶寬利用率監(jiān)控、智能的業(yè)務(wù)告警分析，幫助管理員快速排障、及時(shí)了解業(yè)務(wù)狀況。VPN客戶能夠經(jīng)過(guò)WEB瀏覽器，在被授權(quán)的范圍內(nèi)管理其租用VPN的運(yùn)行狀況：修改查看客戶基本信息、查看業(yè)務(wù)租用情況、查看流量/告警統(tǒng)計(jì)報(bào)表。能夠提供北向接口，可接入其它BSS/OSS系統(tǒng)或告警/性能等ISV專有系統(tǒng)（如Micromuse的NetCool），為運(yùn)營(yíng)商規(guī)劃運(yùn)營(yíng)支撐系統(tǒng)時(shí)提供VPN業(yè)務(wù)的管理接口。能夠維護(hù)VPN客戶的各種信息，并提供豐富的客戶業(yè)務(wù)租用報(bào)表、資源租用報(bào)表、性能數(shù)據(jù)報(bào)表、流量數(shù)據(jù)報(bào)表和故障數(shù)據(jù)報(bào)表等。能夠定時(shí)自動(dòng)生成各種報(bào)表，包括：網(wǎng)絡(luò)資源占用報(bào)表、業(yè)務(wù)租用報(bào)表、VPN流量/接口帶寬利用率報(bào)表（可按日周月年查看）、告警報(bào)表、客戶報(bào)表、連通性審計(jì)報(bào)表、性能報(bào)表（平均/最大/最小丟包、時(shí)延等指標(biāo)）等（格式包括HTML、EXCEL等）。能夠提供靈活的用戶分權(quán)策略（可按照對(duì)象＋操作給用戶授權(quán)），方便運(yùn)營(yíng)商按照個(gè)管理員實(shí)際業(yè)務(wù)職責(zé)來(lái)分權(quán)；提供簡(jiǎn)便易用的數(shù)據(jù)庫(kù)備份工具，簡(jiǎn)化系統(tǒng)管理員數(shù)據(jù)備份的工作；提供Watchman異地雙機(jī)備份組件，保證系統(tǒng)的高可用性；提供詳盡的用戶操作日志記錄、任務(wù)操作日志記錄，便于事后跟蹤。能夠提供豐富的網(wǎng)絡(luò)拓?fù)滹@示視圖：網(wǎng)絡(luò)視圖（PE-CE之間的連接關(guān)系）、客戶視圖（CE-CE之間連接管理）、VPN視圖（每個(gè)VPN顯示為一個(gè)節(jié)點(diǎn)）功能，并提供放大、縮小、定位節(jié)點(diǎn)、鳥瞰圖、節(jié)點(diǎn)搜索、多選等操作；并可按照客戶、VPN過(guò)濾、AS、VPN類型等過(guò)濾顯示；對(duì)于VPN內(nèi)節(jié)點(diǎn)數(shù)目較大、之間的邏輯鏈接過(guò)多提供更細(xì)節(jié)的過(guò)濾顯示功能；拓?fù)淠軌蚍从硺I(yè)務(wù)實(shí)際運(yùn)行狀態(tài)。MP-BGPRR規(guī)劃設(shè)計(jì)MP-BGP主要用于傳遞VPN路由，BGP路由協(xié)議規(guī)劃中的IBGP主要用于傳遞IPV4路由。由于所有岳陽(yáng)市各區(qū)縣電子政務(wù)外網(wǎng)平臺(tái)設(shè)備處于一個(gè)AS中，MP-IGP同樣存在IBGP的全連接要求，同樣具有N平方問(wèn)題，為了解決這個(gè)問(wèn)題，必須使用BGP反射器技術(shù)。MPLSVPN資源規(guī)劃VRF規(guī)劃岳陽(yáng)市各區(qū)縣政府職能部門，建立兩個(gè)基本VPN：縱向VPN：規(guī)劃為各職能部門的垂直部門之間訪問(wèn)；橫向VPN；規(guī)劃為各職能部門的兄弟部門之間的訪問(wèn)；2、在岳陽(yáng)市各區(qū)縣政府網(wǎng)控中心，除上面兩個(gè)VPN外，需要建立如下VPN：公網(wǎng)出口VPN：為岳陽(yáng)市各區(qū)縣政務(wù)外網(wǎng)internet出口建立一個(gè)VPN，該VPN與各職能部門的internetVPN進(jìn)行互引，從而實(shí)現(xiàn)各職能部門的上internet的需求，同時(shí)實(shí)現(xiàn)各職能部門internetVPN用戶的隔離；共享資源VPN：為岳陽(yáng)市各區(qū)縣政務(wù)外網(wǎng)內(nèi)部數(shù)據(jù)中心設(shè)立的VPN，經(jīng)過(guò)這處VPN與其它部門的路由標(biāo)簽互相引入，實(shí)現(xiàn)岳陽(yáng)市各區(qū)縣電子政務(wù)平臺(tái)相關(guān)資源對(duì)所有職能部門的共享。RD—routerdistinguish規(guī)劃RD的命名規(guī)則統(tǒng)一如下：使用16bits：32bits格式，分配規(guī)則為『AS號(hào)：VPN類別』?！逗鲜‰娮诱?wù)外網(wǎng)平臺(tái)規(guī)范》對(duì)RD值規(guī)劃如下：VRF名稱RD（ASN代表湖南省電子政務(wù)外網(wǎng)自治系統(tǒng)號(hào)）維護(hù)VRFASN:1-10數(shù)據(jù)交換中心VRFASN:11-60語(yǔ)音、視頻ASN:61-99系統(tǒng)保留ASN:100-999接入部門1ASN:1000-1099(其中ASN:1000用做管理VPN，ASN:1001-1009用做橫向VPN，ASN:1010-1099用做縱向VPN)接入部門100ASN:10000-10099(其中ASN:10000用做管理VPN，ASN:10001-10009用做橫向VPN，ASN:10010-10099用做縱向VPN)系統(tǒng)保留ASN:0以后RT—Route-target規(guī)劃命名規(guī)則如下：使用16bits：32bits格式，分配規(guī)則為『AS號(hào)：VPN類別』。RT。由于標(biāo)準(zhǔn)的MPLS/BGPVPN采用對(duì)VPN-IPv4路由附帶的RT值進(jìn)行導(dǎo)入ImportTarget和導(dǎo)出ExportTarget控制以實(shí)現(xiàn)不同VPN之間的訪問(wèn)控制,而且在岳陽(yáng)市各區(qū)縣政務(wù)網(wǎng)絡(luò)中存在職能部門的縱向或橫向訪問(wèn)，因此RT值必須全局統(tǒng)一分配。湖南省電子政務(wù)外網(wǎng)工程中采用RT值的格式：16位自治系統(tǒng)號(hào):32位用戶自定義數(shù)字。RT與VPN相匹配。（ASN代表湖南省電子政務(wù)外網(wǎng)自治域系統(tǒng)號(hào)）VPN名稱站點(diǎn)ExportRTImportRT維護(hù)VPNASN:1ASN:100．．．．．．ASN:0各政府職能部門ASN:100．．．．．．ASN:0ASN:1垂直縱向VPN單位1ASN:110-199ASN:110-199．．．．．．單位100ASN:10010-10099ASN:10010-10099MPLSVPN業(yè)務(wù)接入規(guī)劃岳陽(yáng)市各區(qū)縣電子政務(wù)外網(wǎng)平臺(tái)中的業(yè)務(wù)包括各政府職能部門的各種應(yīng)用系統(tǒng)，這些系統(tǒng)一般經(jīng)過(guò)局域網(wǎng)交換機(jī)或路由設(shè)備將業(yè)務(wù)接入到匯聚層PE。根據(jù)湖南省電子政務(wù)外網(wǎng)的技術(shù)規(guī)范及岳陽(yáng)市各區(qū)縣政府電子政務(wù)外網(wǎng)的相關(guān)要求，針對(duì)各政府職能部門，先規(guī)劃兩個(gè)VPN以滿足她們現(xiàn)行條件的業(yè)務(wù)需求，這兩個(gè)VPN為：縱向VPN：滿足各職能部門省、市、市級(jí)的縱向數(shù)據(jù)訪問(wèn)；橫向VPN：滿足部分岳陽(yáng)市各區(qū)縣政府職能部門兄弟單位的共享數(shù)據(jù)訪問(wèn)。在實(shí)現(xiàn)上，這兩個(gè)VPN，分別對(duì)應(yīng)兩個(gè)VLAN，經(jīng)過(guò)交換機(jī)的TRUNK鏈路接入?yún)R聚網(wǎng)絡(luò)設(shè)備，在匯聚設(shè)備上進(jìn)行VPN的綁定。從整個(gè)岳陽(yáng)市各區(qū)縣電子政務(wù)外網(wǎng)平臺(tái)來(lái)看，還需要對(duì)一些業(yè)務(wù)共享資源進(jìn)行規(guī)劃，而且對(duì)以后應(yīng)用的擴(kuò)展進(jìn)行考慮還要?jiǎng)?chuàng)立如下VPN：外部數(shù)據(jù)中心VPN：滿足外部共享資源的統(tǒng)一管理。內(nèi)部數(shù)據(jù)中心VPN：滿足岳陽(yáng)市各區(qū)縣電子政務(wù)外網(wǎng)平臺(tái)中各部門共享資源的管理。在擴(kuò)展性考慮方面，我們還必須對(duì)VPN資源進(jìn)行預(yù)留，以滿足今后業(yè)務(wù)的發(fā)展要求，譬如說(shuō)能夠按業(yè)務(wù)給VOIP或視頻會(huì)議等應(yīng)用規(guī)劃單獨(dú)的VPN，以滿足電子政務(wù)外網(wǎng)平臺(tái)中語(yǔ)音、視頻的業(yè)務(wù)擴(kuò)充能力。數(shù)據(jù)中心設(shè)計(jì)方案外部數(shù)據(jù)中心設(shè)計(jì)外網(wǎng)服器包含：WEB服務(wù)器等。我們主要考慮到的是防范對(duì)于非法訪問(wèn)，一般經(jīng)過(guò)防火墻來(lái)實(shí)現(xiàn)。經(jīng)過(guò)配置了多級(jí)防火墻，以隔離網(wǎng)絡(luò)各個(gè)組成部分相互之間的非法訪問(wèn)（合法訪問(wèn)能夠經(jīng)過(guò)）；對(duì)于Internet用戶來(lái)講，如果想非法侵入外部數(shù)據(jù)中心網(wǎng)絡(luò)，必須突破防火墻的防范?？咕芙^服務(wù)系統(tǒng)經(jīng)過(guò)多種技術(shù)手段對(duì)DOS/DDOS攻擊進(jìn)行有效的檢測(cè)，對(duì)不同的流量觸發(fā)不同的保護(hù)機(jī)制，在提高效率的同時(shí)確保準(zhǔn)確度，對(duì)SYNFlood，UDPFlood，ICMPFlood，IGMPFlood，F(xiàn)ragmentFlood，HTTPProxyFlood，CCProxyFlood，ConnectionExhausted等各種常見的攻擊行為均可有效識(shí)別，并經(jīng)過(guò)集成的機(jī)制實(shí)時(shí)對(duì)這些攻擊流量進(jìn)行處理及阻斷，保護(hù)服務(wù)主機(jī)免于攻擊所造成的損失，保證岳陽(yáng)市各區(qū)縣電子政務(wù)外網(wǎng)平臺(tái)業(yè)務(wù)應(yīng)用系統(tǒng)運(yùn)行的連續(xù)性。外部數(shù)據(jù)中心也是電子政務(wù)外網(wǎng)的主要組成部分，還考慮到如果黑客采取SQL注入、跨站腳本攻擊、DDOS攻擊、網(wǎng)頁(yè)掛馬、敏感信息泄露、網(wǎng)頁(yè)篡改等等攻擊手段，我們也得采取相應(yīng)措施應(yīng)對(duì)。因此我們用到網(wǎng)頁(yè)防篡改系統(tǒng)，將其部署在外部數(shù)據(jù)中心WEB服務(wù)器上，有效防范政府網(wǎng)頁(yè)被篡改的行為。圖3.1岳陽(yáng)市各區(qū)縣電子政務(wù)外網(wǎng)外部數(shù)據(jù)中心設(shè)計(jì)內(nèi)部數(shù)據(jù)中心設(shè)計(jì)本方案內(nèi)部服務(wù)器包含：OA辦公服務(wù)器、電子政務(wù)應(yīng)用服務(wù)器、數(shù)據(jù)庫(kù)服務(wù)器、IMC智能管理平臺(tái)服務(wù)器等，應(yīng)選高性能三層交換機(jī)作為服務(wù)器匯聚設(shè)備來(lái)保證對(duì)服務(wù)器被訪問(wèn)量，滿足對(duì)服務(wù)器所要求的帶寬。本方案在核心交換機(jī)與數(shù)據(jù)中心服務(wù)器區(qū)部署二臺(tái)高性能防火墻產(chǎn)品，構(gòu)成雙機(jī)熱備，以防御來(lái)自不同網(wǎng)絡(luò)區(qū)域的攻擊，并將各系統(tǒng)有效的安全隔離開來(lái)，確保岳陽(yáng)市各區(qū)縣電子政務(wù)外網(wǎng)平臺(tái)數(shù)據(jù)中心的安全。IPS位于岳陽(yáng)市各區(qū)縣電子政務(wù)核心交換機(jī)與內(nèi)部數(shù)據(jù)中心之間，大大提高了對(duì)電子政務(wù)外網(wǎng)平臺(tái)的安全性，有效的保障了訪問(wèn)內(nèi)部數(shù)據(jù)中心權(quán)限的應(yīng)用。圖3.2岳陽(yáng)市各區(qū)縣電子政務(wù)外網(wǎng)內(nèi)部數(shù)據(jù)中心設(shè)計(jì)服務(wù)器部署設(shè)計(jì)服務(wù)器是本次項(xiàng)目電子政務(wù)應(yīng)用建設(shè)的重要組成部分，是構(gòu)成整個(gè)電子政務(wù)應(yīng)用的物理基礎(chǔ)。在本次項(xiàng)目中的服務(wù)器能夠分為以下幾個(gè)大類： 數(shù)據(jù)庫(kù)服務(wù)器：用于布置電子政務(wù)應(yīng)用的數(shù)據(jù)庫(kù)，是電子政務(wù)應(yīng)用的數(shù)據(jù)存儲(chǔ)中心；主要用于運(yùn)行大型數(shù)據(jù)庫(kù)系統(tǒng)，進(jìn)行存儲(chǔ)、查詢、檢索應(yīng)用系統(tǒng)信息。數(shù)據(jù)庫(kù)在運(yùn)行時(shí)會(huì)大量的使用系統(tǒng)內(nèi)存，要有足夠容量的系統(tǒng)內(nèi)存進(jìn)行支持，而且要有足夠強(qiáng)計(jì)算能力和I/O吞吐能力。 應(yīng)用服務(wù)器：用于支撐整個(gè)電子政務(wù)的各類應(yīng)用（行政審批、電子監(jiān)察等），根據(jù)應(yīng)用的具體情況選擇相應(yīng)的服務(wù)器。 Web服務(wù)器：支撐電子政務(wù)中的Web應(yīng)用。OA服務(wù)器：用于支撐整個(gè)電子政務(wù)的煤OA辦公應(yīng)用。門戶外網(wǎng)服務(wù)器：用于支撐整個(gè)外網(wǎng)門戶網(wǎng)站群。本項(xiàng)目所有服務(wù)器都部署在岳陽(yáng)市各區(qū)縣政府網(wǎng)控中心。根據(jù)岳陽(yáng)市各區(qū)縣電子政務(wù)應(yīng)用的情況，服務(wù)器主要部署在內(nèi)部數(shù)據(jù)中心和外部數(shù)據(jù)中心，內(nèi)外部數(shù)據(jù)中心的服務(wù)器根據(jù)應(yīng)用的類別劃分相應(yīng)的分區(qū)，所需要的服務(wù)器包括：門戶網(wǎng)站服務(wù)器兩臺(tái)、數(shù)據(jù)庫(kù)服務(wù)器兩臺(tái)、網(wǎng)管服務(wù)器一臺(tái)、日志服務(wù)器一臺(tái)、防病毒服務(wù)器一臺(tái)、行政審批與電子監(jiān)察系統(tǒng)服務(wù)器一臺(tái)、備用兩臺(tái)，其它服務(wù)器根據(jù)今后應(yīng)用的需要進(jìn)行購(gòu)置。服務(wù)器采用獨(dú)立的機(jī)架式服務(wù)器。存儲(chǔ)設(shè)計(jì)方案概述結(jié)合岳陽(yáng)市各區(qū)縣電子政務(wù)外網(wǎng)平臺(tái)應(yīng)用發(fā)展的實(shí)際情況，在岳陽(yáng)市各區(qū)縣電子政務(wù)外網(wǎng)平臺(tái)中采用IPSAN存儲(chǔ)系統(tǒng)，存儲(chǔ)包括在線存儲(chǔ)、近線存儲(chǔ)、離線存儲(chǔ)，離線存儲(chǔ)適用物理帶庫(kù)，實(shí)現(xiàn)外網(wǎng)各應(yīng)用系統(tǒng)的數(shù)據(jù)存儲(chǔ)和市直部門及鄉(xiāng)鎮(zhèn)數(shù)據(jù)的災(zāi)備。存儲(chǔ)需求分析根據(jù)各區(qū)縣電子政務(wù)外網(wǎng)建設(shè)規(guī)劃和國(guó)家外網(wǎng)業(yè)務(wù)的延伸，“十二金”工程、人口、法人、自然資源與環(huán)境、宏觀經(jīng)濟(jì)等數(shù)據(jù)庫(kù)的建立，電子印章與數(shù)字證書支撐應(yīng)用系統(tǒng)、智能交通系統(tǒng)、數(shù)字城管系統(tǒng)、社會(huì)綜合治稅系統(tǒng)等業(yè)務(wù)應(yīng)用系統(tǒng)的建設(shè)，將產(chǎn)生大量的數(shù)據(jù)，為了提高存儲(chǔ)訪問(wèn)性能，消除存儲(chǔ)孤島，保證數(shù)據(jù)的完整性和可用性，需要科學(xué)合理規(guī)劃、建立存儲(chǔ)系統(tǒng)。在線存儲(chǔ)采用IP-SAN技術(shù)實(shí)現(xiàn)，建議預(yù)留ISCSI接口異地災(zāi)備采用IP-SAN技術(shù)實(shí)現(xiàn)，磁盤采用SATA硬盤實(shí)現(xiàn)。系統(tǒng)拓?fù)鋱D圖4.1岳陽(yáng)市各區(qū)縣電子政務(wù)外網(wǎng)存儲(chǔ)系統(tǒng)設(shè)計(jì)系統(tǒng)設(shè)計(jì)采用當(dāng)前最先進(jìn)的冗余4GbpsIP-SAN架構(gòu)。所有需要進(jìn)行數(shù)據(jù)存儲(chǔ)和備份的服務(wù)器直接接入IP交換機(jī)，實(shí)現(xiàn)對(duì)連接在IP-SAN交換機(jī)上的磁盤陣列的存儲(chǔ)訪問(wèn)。備份、容災(zāi)系統(tǒng)部署為保證數(shù)據(jù)安全，需要有效的數(shù)據(jù)備份機(jī)制:在IP-SAN的方案設(shè)計(jì)中，以高性能存儲(chǔ)系列產(chǎn)品作為核心存儲(chǔ)系統(tǒng)。經(jīng)過(guò)IP交換機(jī)與局域網(wǎng)多臺(tái)服務(wù)器建立連接。服務(wù)器經(jīng)過(guò)普通千兆網(wǎng)卡或iSCSIHBA卡接入IPSAN。提供海量存儲(chǔ)空間，實(shí)現(xiàn)高穩(wěn)定性、高可靠性的數(shù)據(jù)集中和存儲(chǔ)資源統(tǒng)一管理。能夠混插高性能的SAS磁盤和大容量的SATAII磁盤，單臺(tái)設(shè)備即可滿足兩種不同的應(yīng)用需求，大大提高設(shè)備性價(jià)比。所有需要連接的服務(wù)器，如數(shù)據(jù)庫(kù)服務(wù)器、郵件服務(wù)器等，只要安裝千兆網(wǎng)卡，并安裝軟件的iSCSIInitiator，就能夠經(jīng)過(guò)以太網(wǎng)獲得存儲(chǔ)設(shè)備，從而不需要購(gòu)置價(jià)格昂貴的HBA卡。主流的操作系統(tǒng)AIX\Solaris\Linux\Windows都支持這種千兆網(wǎng)卡加軟件的iSCSIInitiator的實(shí)現(xiàn)方式。對(duì)于那些對(duì)于重要的應(yīng)用服務(wù)器，能夠安裝經(jīng)過(guò)iSCSI的HBA卡的方式連接到系統(tǒng)，對(duì)于其它需要擴(kuò)展存儲(chǔ)的應(yīng)用服務(wù)器來(lái)說(shuō)，能夠安裝操作系統(tǒng)所對(duì)應(yīng)的iSCSIInitiator，配合以太網(wǎng)卡連接到存儲(chǔ)系統(tǒng)。經(jīng)過(guò)劃分不同的卷，以保證各個(gè)應(yīng)用系統(tǒng)互不干擾。對(duì)于以后可能增加的要連接到IP-SAN中需要共享存儲(chǔ)資源的所有相關(guān)應(yīng)用服務(wù)器，可實(shí)現(xiàn)即插即用，用網(wǎng)線連接到存儲(chǔ)區(qū)域網(wǎng)絡(luò)就能訪問(wèn)后臺(tái)存儲(chǔ)設(shè)備里的數(shù)據(jù)?；跇?biāo)準(zhǔn)化IP的存儲(chǔ)交換平臺(tái)使得各種數(shù)據(jù)管理功能能夠像電器插入電源插座一樣，輕易地進(jìn)行部署應(yīng)用。

系統(tǒng)安全設(shè)計(jì)方案系統(tǒng)概況岳陽(yáng)市各區(qū)縣電子政務(wù)網(wǎng)外網(wǎng)平臺(tái)，于外網(wǎng)有兩個(gè)連接節(jié)點(diǎn)，一個(gè)是互聯(lián)網(wǎng)，另外一個(gè)是市電子政務(wù)外網(wǎng)平臺(tái)。同時(shí)，在岳陽(yáng)市各區(qū)縣電子政務(wù)外網(wǎng)平臺(tái)上，還要部署政府門戶網(wǎng)站群，實(shí)施政務(wù)公開，提高監(jiān)管能力和公共服務(wù)水平。現(xiàn)需要對(duì)外網(wǎng)進(jìn)行安全性防護(hù)控制和管理。因網(wǎng)絡(luò)規(guī)模大涉及人員及各單位部門較多，需對(duì)相關(guān)網(wǎng)絡(luò)訪問(wèn)控制進(jìn)行嚴(yán)格管理。為實(shí)現(xiàn)電子政務(wù)網(wǎng)的系統(tǒng)安全專門定制一套網(wǎng)絡(luò)安全解決方案，主要針對(duì)安全防護(hù)、區(qū)域隔離、入侵防御分析、Web應(yīng)用的防護(hù)等。安全建設(shè)原則在規(guī)劃岳陽(yáng)市各區(qū)縣電子政務(wù)網(wǎng)系統(tǒng)安全建設(shè)時(shí)，我們將遵循下原則，提供完善的全網(wǎng)安全解決方案：可用性原則：可用性就是指網(wǎng)絡(luò)服務(wù)對(duì)用戶而言必須是可用的，也是確保網(wǎng)絡(luò)節(jié)點(diǎn)在受到各種網(wǎng)絡(luò)攻擊時(shí)依然能夠提供相應(yīng)的服務(wù)。保密性原則：保密性保證相關(guān)信息不泄露給未授權(quán)的用戶或?qū)嶓w。完整性原則：完整性保證信息在傳輸?shù)倪^(guò)程中沒有被非法用戶增加、刪除與修改，保證非法用戶無(wú)法偽造數(shù)據(jù)。真實(shí)性原則：真實(shí)性保證和一個(gè)網(wǎng)絡(luò)節(jié)點(diǎn)通信的對(duì)端就是真正的通信對(duì)端，也就是說(shuō)要鑒別通信對(duì)端的身份。如果沒有真實(shí)性，那么網(wǎng)絡(luò)攻擊者就能夠假冒網(wǎng)絡(luò)中的某個(gè)節(jié)點(diǎn)來(lái)和其它的節(jié)點(diǎn)進(jìn)行通信，那么她就能夠獲得那些未被授權(quán)的資源和敏感信息。不可否認(rèn)性原則：不可否認(rèn)性保證一個(gè)節(jié)點(diǎn)不能否認(rèn)其發(fā)送出去的信息。這樣就能保證一個(gè)網(wǎng)絡(luò)節(jié)點(diǎn)不能抵賴它以前的行為。安全拓?fù)鋱D圖5.3岳陽(yáng)市各區(qū)縣電子政務(wù)外網(wǎng)安全系統(tǒng)設(shè)計(jì)系統(tǒng)功能說(shuō)明：1、此網(wǎng)絡(luò)拓?fù)渲薪?jīng)過(guò)部署二臺(tái)萬(wàn)兆主機(jī)；集成二塊防火墻板卡、一塊入侵防御板卡；一塊抗DDOS系統(tǒng)板卡、一塊流量控制系統(tǒng)+上網(wǎng)行為審計(jì)系統(tǒng)、一套網(wǎng)頁(yè)防篡改系統(tǒng)、一套入網(wǎng)規(guī)范管理系統(tǒng)、一套日志審計(jì)系統(tǒng)來(lái)對(duì)整個(gè)網(wǎng)絡(luò)進(jìn)行安全保護(hù)和上網(wǎng)用戶及流量管理，在外部數(shù)據(jù)中心區(qū)服務(wù)器交換機(jī)也集成了入侵防御系統(tǒng)。為整個(gè)網(wǎng)提供無(wú)病毒的網(wǎng)絡(luò)環(huán)境。2、防火墻主要針對(duì)WEB服務(wù)器區(qū)的服務(wù)器進(jìn)行四層以下安全保護(hù)，同時(shí)也可做安全區(qū)域隔離，實(shí)現(xiàn)了內(nèi)部數(shù)據(jù)區(qū)、WEB服務(wù)器區(qū)和互聯(lián)網(wǎng)之間，不同的業(yè)務(wù)區(qū)的隔離和訪問(wèn)的控制。3、入網(wǎng)規(guī)范管理系統(tǒng)在提供多樣化的身份認(rèn)證，保障接入網(wǎng)絡(luò)人員合法性的同時(shí)，同時(shí)支持對(duì)設(shè)備的實(shí)名認(rèn)證，保障了接入網(wǎng)絡(luò)終端設(shè)備的合法性，從而加強(qiáng)內(nèi)部網(wǎng)絡(luò)的可控性，方便管理員對(duì)網(wǎng)絡(luò)的統(tǒng)一管理。4、互聯(lián)網(wǎng)出口的抗DDOS設(shè)備使岳陽(yáng)市各區(qū)縣電子政務(wù)外網(wǎng)平臺(tái)能有效保護(hù)其基礎(chǔ)業(yè)務(wù)系統(tǒng)（包括Web、DNS、Mail、交換機(jī)、路由器或是防火墻）免受DDoS攻擊的侵害，保證其業(yè)務(wù)系統(tǒng)運(yùn)行的連續(xù)性。5、外部數(shù)據(jù)中心出口的IPS主要融合高性能、高安全性、高可靠性和易操作性等特性，經(jīng)過(guò)先進(jìn)的安全架構(gòu)，具備深度入侵防護(hù)、精細(xì)流量控制，以及全面用戶上網(wǎng)行為監(jiān)管等多項(xiàng)功能，能夠?yàn)橛脩籼峁┥疃裙舴烙蛻?yīng)用帶寬保護(hù)的完美價(jià)值體驗(yàn)，IPS可針對(duì)上網(wǎng)用戶行為、流量管理、訪問(wèn)控制、病毒防護(hù)，如：杜絕迅雷、BI下載、P2P點(diǎn)上下載、在線電影、炒股軟件、網(wǎng)絡(luò)游戲等。6、經(jīng)過(guò)使用內(nèi)部數(shù)據(jù)中心防火墻過(guò)濾不安全的服務(wù)請(qǐng)求，提高網(wǎng)絡(luò)安全和減少子網(wǎng)中主機(jī)的風(fēng)險(xiǎn)，提供對(duì)系統(tǒng)的訪問(wèn)控制；阻止攻擊者獲得攻擊網(wǎng)絡(luò)系統(tǒng)的有用信息，記錄和統(tǒng)計(jì)網(wǎng)絡(luò)利用數(shù)據(jù)以及非法使用數(shù)據(jù)、攻擊和探測(cè)策略執(zhí)行。7、經(jīng)過(guò)部署網(wǎng)絡(luò)版防病毒系統(tǒng)，網(wǎng)絡(luò)版防病毒產(chǎn)品與邊界安全網(wǎng)關(guān)采用異構(gòu)的殺毒引擎和病毒庫(kù)，以實(shí)現(xiàn)真正的雙重防護(hù)。安全系統(tǒng)部署岳陽(yáng)市各區(qū)縣電子政務(wù)外網(wǎng)的網(wǎng)絡(luò)安全設(shè)計(jì)方案，主要體現(xiàn)針對(duì)WEB服務(wù)器區(qū)、內(nèi)部數(shù)據(jù)中心區(qū)、互聯(lián)網(wǎng)出口區(qū)和市電子政務(wù)外網(wǎng)互聯(lián)區(qū)這四個(gè)防護(hù)區(qū)的有效安全防御，突出在安全區(qū)域隔離、訪問(wèn)控制、流量控制、攻擊防護(hù)、病毒過(guò)濾、上網(wǎng)行為管理、入侵防御方面的設(shè)計(jì)考慮。在互聯(lián)網(wǎng)接入?yún)^(qū)與核心交換機(jī)之間部署一臺(tái)高性能的防火墻產(chǎn)品，在保障網(wǎng)絡(luò)可用性同時(shí)實(shí)現(xiàn)內(nèi)外網(wǎng)間的邏輯隔離。位于外部數(shù)據(jù)中心的外網(wǎng)服務(wù)器掛在防火墻的服務(wù)器區(qū)，可同時(shí)防范來(lái)自內(nèi)外網(wǎng)的攻擊；在內(nèi)、外部數(shù)據(jù)中心服務(wù)器區(qū)與岳陽(yáng)市各區(qū)縣電子政務(wù)外網(wǎng)平臺(tái)之間各部署了一臺(tái)高性能防火墻系統(tǒng),經(jīng)過(guò)防火墻深度內(nèi)容檢測(cè)，能夠?qū)崿F(xiàn)基于應(yīng)用的訪問(wèn)控制，而且能夠和其它安全技術(shù)（比如認(rèn)證、入侵檢測(cè)、終端安全管理）的整合，形成全方面的動(dòng)態(tài)安全防護(hù)體系；岳陽(yáng)市各區(qū)縣電子政務(wù)外網(wǎng)的服務(wù)器同互聯(lián)網(wǎng)是連接的，主要提供對(duì)外服務(wù)，很容易遭受到DDOS的攻擊，部署抗DDOS攻擊系統(tǒng)就能夠避免外網(wǎng)服務(wù)器遭受DDOS攻擊，同時(shí)經(jīng)過(guò)系統(tǒng)的日志功能還能夠追查攻擊源。在互聯(lián)網(wǎng)服務(wù)區(qū)入口部署入侵防御系統(tǒng)，負(fù)責(zé)監(jiān)聽、保護(hù)互聯(lián)網(wǎng)服務(wù)區(qū)出入的流量數(shù)據(jù)，達(dá)到主動(dòng)切斷非法用戶攻擊的目的；在全網(wǎng)部署一套網(wǎng)絡(luò)版防病毒軟件，保護(hù)服務(wù)器和終端免遭病毒攻擊，病毒對(duì)網(wǎng)絡(luò)系統(tǒng)的攻擊和破壞是當(dāng)前網(wǎng)絡(luò)安全中最復(fù)雜、最普遍的問(wèn)題。因此，需要在網(wǎng)絡(luò)之中部署行之有效的網(wǎng)絡(luò)防病毒系統(tǒng)，以強(qiáng)化網(wǎng)絡(luò)整體防護(hù)能力；經(jīng)過(guò)日志審計(jì)系統(tǒng)針對(duì)岳陽(yáng)市各區(qū)縣電子政務(wù)外網(wǎng)平臺(tái)的各個(gè)重要環(huán)節(jié)（包括網(wǎng)絡(luò)設(shè)備、服務(wù)器、安全設(shè)備、應(yīng)用系統(tǒng)等）在運(yùn)作過(guò)程中產(chǎn)生的各類日志信息進(jìn)行集中記錄和收集，并可根據(jù)關(guān)鍵字對(duì)各類日志信息進(jìn)行有效查詢，從而發(fā)覺深層次的安全問(wèn)題，并能夠根據(jù)日志信息將網(wǎng)絡(luò)的活動(dòng)狀態(tài)進(jìn)行重現(xiàn)，使系統(tǒng)在發(fā)生安全事件后能夠進(jìn)行有效追溯，形成岳陽(yáng)市各區(qū)縣電子政務(wù)外網(wǎng)平臺(tái)應(yīng)用安全防護(hù)的保障；經(jīng)過(guò)部署端點(diǎn)準(zhǔn)入控制管理系統(tǒng)，對(duì)岳陽(yáng)市各區(qū)縣電子政務(wù)外網(wǎng)平臺(tái)接入內(nèi)網(wǎng)的終端進(jìn)行安全檢查，包括補(bǔ)丁、防病毒軟件情況、安裝軟件情況等。不符合安全規(guī)則的終端將被引導(dǎo)到修復(fù)區(qū)進(jìn)行修復(fù)后進(jìn)入網(wǎng)絡(luò)。還能夠?qū)K端進(jìn)行進(jìn)一步的管理，包括：注冊(cè)管理、資產(chǎn)管理、補(bǔ)丁升級(jí)、網(wǎng)絡(luò)訪問(wèn)策略、外設(shè)策略、桌面防火墻策略、應(yīng)用程序策略、桌面屬性策略、系統(tǒng)設(shè)置項(xiàng)等項(xiàng)目的細(xì)致化管理。經(jīng)過(guò)部署流量控制設(shè)備,實(shí)現(xiàn)深度感知網(wǎng)絡(luò)應(yīng)用，利用帶寬管理技術(shù)，實(shí)現(xiàn)對(duì)用戶和業(yè)務(wù)的分級(jí)化識(shí)別管理，達(dá)到基于用戶和用戶業(yè)務(wù)流量的管理的目的,增強(qiáng)對(duì)網(wǎng)絡(luò)洞察力，全面透視應(yīng)用流量，掌控網(wǎng)絡(luò)資源（凈化流量；流量負(fù)載均衡；控制上網(wǎng)行為；進(jìn)行帶寬管理，保障關(guān)鍵應(yīng)用），同時(shí)采用集中式管理與分析工具，全面分析并預(yù)測(cè)網(wǎng)絡(luò)資源使用狀況；經(jīng)過(guò)在岳陽(yáng)市各區(qū)縣電子政務(wù)外網(wǎng)平臺(tái)WEB服務(wù)器上部署網(wǎng)頁(yè)防篡改軟件，能夠提高相關(guān)WEB站點(diǎn)的安全性。當(dāng)出現(xiàn)黑客攻擊或工作人員某些操作失誤，網(wǎng)頁(yè)防篡改軟件能夠?qū)崟r(shí)恢復(fù)網(wǎng)站文件，保證網(wǎng)站的連續(xù)正常運(yùn)行；同時(shí)還能夠記錄篡改事件的相關(guān)資料，從而為安全部門提供調(diào)查的線索和證據(jù)。防篡改系統(tǒng)具備實(shí)時(shí)、低耗等性能指標(biāo)，既能夠保證篡改頁(yè)面的立即恢復(fù)，又能保證網(wǎng)站的正常服務(wù)性能不受影響。

外網(wǎng)平臺(tái)應(yīng)用系統(tǒng)建設(shè)應(yīng)用模型政府的業(yè)務(wù)活動(dòng)