基于MPLSVPN技術(shù)的政務(wù)內(nèi)網(wǎng)設(shè)計(jì)

余志勇

【摘 要】政務(wù)內(nèi)網(wǎng)設(shè)計(jì)應(yīng)用、整合多項(xiàng)數(shù)字城市技術(shù)；創(chuàng)新信息實(shí)時(shí)采集傳輸?shù)氖侄?。本文重點(diǎn)介紹了南通市某區(qū)政府基于mpls vpn技術(shù)的電子政務(wù)外網(wǎng)的設(shè)計(jì)方案。

【關(guān)鍵詞】MPLS VPN；政務(wù)外網(wǎng)；安全隔離；PE

1 政務(wù)內(nèi)網(wǎng)使用需求

政務(wù)內(nèi)網(wǎng)的設(shè)計(jì)根據(jù)政府部門的網(wǎng)絡(luò)架構(gòu)，采用基于MPLS+移動(dòng)網(wǎng)相結(jié)合的技術(shù)，通過安全通道技術(shù)隔離電子政務(wù)內(nèi)外網(wǎng)，使得使用者可以在移動(dòng)環(huán)境下輕松訪問政務(wù)內(nèi)外網(wǎng)，實(shí)現(xiàn)PC+移動(dòng)終端的接入方式的無縫對接，輕松實(shí)現(xiàn)移動(dòng)辦公。

2 系統(tǒng)總體架構(gòu)

電子政務(wù)內(nèi)網(wǎng)的總體架構(gòu)是將政務(wù)內(nèi)網(wǎng)應(yīng)用系統(tǒng)通過運(yùn)營商GGSN設(shè)備與運(yùn)營商網(wǎng)絡(luò)進(jìn)行連接，移動(dòng)辦公網(wǎng)絡(luò)通過運(yùn)營商無線網(wǎng)絡(luò)進(jìn)行承載，系統(tǒng)終端設(shè)備由運(yùn)營商根據(jù)需求統(tǒng)一進(jìn)行配置，辦公人員通過手機(jī)或IPAD配合定制的上網(wǎng)卡，經(jīng)過一定的認(rèn)證、鑒權(quán)機(jī)制、獲取單位內(nèi)部網(wǎng)絡(luò)IP地址后，接入本單位辦公網(wǎng)絡(luò)進(jìn)行日常備公文的處理。具體網(wǎng)絡(luò)架構(gòu)，如圖1所示。

2.1 數(shù)據(jù)傳輸系統(tǒng)

數(shù)據(jù)傳輸系統(tǒng)模塊包括有線和無線兩部分，有線部分通過光纖進(jìn)行數(shù)據(jù)傳輸，無線數(shù)據(jù)傳輸是為辦公人員現(xiàn)場辦公、信息采集而設(shè)計(jì)。辦公人員通過上網(wǎng)卡撥號(hào)后聯(lián)通GGSN設(shè)備將認(rèn)證請求和認(rèn)證信息（手機(jī)號(hào)碼）送至政務(wù)內(nèi)網(wǎng)提供的指定的認(rèn)證服務(wù)器，由認(rèn)證服務(wù)器來完成認(rèn)證，認(rèn)證成功后分發(fā)IP地址給客戶端使用。

上網(wǎng)說明：

上網(wǎng)卡用戶通過認(rèn)證后獲取到IP地址通過聯(lián)通IDC機(jī)房的路由器做NAT轉(zhuǎn)發(fā)連接互聯(lián)網(wǎng)。

2.2 視頻傳輸系統(tǒng)

在電子政務(wù)內(nèi)網(wǎng)平臺(tái)，通過以GPRS/WCDMA無線通信網(wǎng)絡(luò)為承載，通過車輛GPS和語音設(shè)備，實(shí)現(xiàn)監(jiān)控中心對所有車輛的調(diào)度管理的智能調(diào)度系統(tǒng)。車載視頻監(jiān)控設(shè)備通過WCDMA高速無線網(wǎng)絡(luò)，與指揮中心建立專用安全的VPDN連接，實(shí)現(xiàn)音視頻信號(hào)實(shí)時(shí)、安全的傳輸。指揮中心根據(jù)現(xiàn)場傳回的信息，實(shí)現(xiàn)遠(yuǎn)程指揮部署。不僅提升了政府管理門的應(yīng)急指揮能力，更獲得了良好的社會(huì)效益。以GPRS/WCDMA無線通信網(wǎng)絡(luò)為承載，能通過車輛GPS和語音設(shè)備，實(shí)現(xiàn)監(jiān)控中心對所有車輛的調(diào)度管理的智能調(diào)度系統(tǒng)。

本次網(wǎng)絡(luò)設(shè)計(jì)暫不考慮單獨(dú)Internet互聯(lián)，所有訪問外網(wǎng)的業(yè)務(wù)都經(jīng)過政府電子政務(wù)外網(wǎng)出口實(shí)現(xiàn)。

本方案采用VPDN專網(wǎng)接入方式。采用本組網(wǎng)方式，各部委辦局可以分別在各自單位組建客戶專用網(wǎng)絡(luò)，專用網(wǎng)絡(luò)之間可以通過VPDN專線連接。政府單位可以自主給內(nèi)部設(shè)備（交換機(jī)、監(jiān)控設(shè)備、定位和WCDMA無線路由器）來分配IP地址。采用本組網(wǎng)方式，各部委辦局專網(wǎng)之間通過防火墻互相隔離，內(nèi)部網(wǎng)絡(luò)和互聯(lián)網(wǎng)互相隔離，具備良好的數(shù)據(jù)安全性，硬件方式的隔離使得電子政務(wù)網(wǎng)用戶不會(huì)受到來自外部網(wǎng)絡(luò)的的攻擊和病毒的入侵，光纖傳輸使網(wǎng)速和帶寬能得到最大限度的保障。

1）無線介入路由器：對于有線無法到達(dá)的區(qū)域可采用運(yùn)營商的無線網(wǎng)絡(luò)連接無線介入路由器，通過路由器連接監(jiān)控區(qū)域的視頻設(shè)備。為了保證無線傳輸?shù)男Ч?，建議采用WCDMS無線路由器設(shè)備。

2）政府部門的專業(yè)設(shè)備（車輛GPS定位設(shè)備，數(shù)據(jù)采集設(shè)備）等政府部門專業(yè)車輛設(shè)備定位、工控設(shè)備等公交專用行業(yè)設(shè)備：公交業(yè)務(wù)通過WCDMA無線路由器將數(shù)據(jù)傳輸?shù)綌?shù)據(jù)系統(tǒng)的信號(hào)收集設(shè)備和網(wǎng)絡(luò)的核心層。

3）認(rèn)證服務(wù)器：負(fù)責(zé)對用戶的用戶名、權(quán)限進(jìn)行認(rèn)證授權(quán)，認(rèn)證服務(wù)器通過對該用戶的用戶名密碼和登錄的網(wǎng)絡(luò)域名進(jìn)行核對驗(yàn)證。只有驗(yàn)證通過的用戶才可接入政府內(nèi)網(wǎng)。

4）GGSN：網(wǎng)絡(luò)中繼節(jié)點(diǎn)， GGSN通過認(rèn)證服務(wù)器判斷用戶是通過WCDMA/GPRS接入網(wǎng)絡(luò)接入到政府內(nèi)網(wǎng)的VPN用戶，向指定的服務(wù)器發(fā)起L2TP連接。

5）專線：專線將政府各局辦的網(wǎng)絡(luò)通過網(wǎng)絡(luò)中繼節(jié)點(diǎn)和用戶認(rèn)證服務(wù)器聯(lián)連接起來，建議采用運(yùn)營商的光纖網(wǎng)絡(luò)。

6）局域網(wǎng)對接路由器（LNS）：各政府局辦的接入路由器，要和網(wǎng)絡(luò)中繼節(jié)點(diǎn)建立L2TP隧道，需支持RADIUS協(xié)議，L2TP協(xié)議等網(wǎng)絡(luò)協(xié)議。

7）應(yīng)用平臺(tái)：政府內(nèi)網(wǎng)應(yīng)用平臺(tái)，包括監(jiān)控、調(diào)度平臺(tái)、用戶側(cè)應(yīng)用服務(wù)器，此服務(wù)器與之建立連接后可以高速地與無線終端進(jìn)行通信。

3 業(yè)務(wù)流量模型

區(qū)電子政務(wù)外網(wǎng)需要承載專用業(yè)務(wù)、共享業(yè)務(wù)以及互聯(lián)網(wǎng)業(yè)務(wù)三部分業(yè)務(wù)，各業(yè)務(wù)流量包括以下三類：

1）各部門專用數(shù)據(jù)訪問流量；

2）共享數(shù)據(jù)訪問流量；

3）互聯(lián)網(wǎng)發(fā)布及對外訪問流量。

4）政務(wù)辦公網(wǎng)內(nèi)部各業(yè)務(wù)區(qū)域流量模型如圖2所示：

政務(wù)辦公網(wǎng)數(shù)據(jù)中心設(shè)計(jì)分為專用托管區(qū)和公共服務(wù)區(qū)兩部分，專用托管區(qū)用于托管各局委辦專用網(wǎng)絡(luò)相關(guān)系統(tǒng)，保證了專用網(wǎng)絡(luò)的獨(dú)立性與隔離性；公共服務(wù)區(qū)用于部署共享業(yè)務(wù)系統(tǒng)設(shè)備，并且允許各單位的終端進(jìn)行訪問。

3.1 專用網(wǎng)絡(luò)業(yè)務(wù)模型

專用網(wǎng)絡(luò)業(yè)務(wù)只涉及某一居委辦單位內(nèi)部專用終端訪問，因此不同專用業(yè)務(wù)流量間相互隔離，專用業(yè)務(wù)流量與電子政務(wù)網(wǎng)其他業(yè)務(wù)流量相互隔離。同時(shí)，為實(shí)現(xiàn)多部門協(xié)同辦公，及信息共享，專用網(wǎng)絡(luò)也需要將部分業(yè)務(wù)數(shù)據(jù)同步到公共網(wǎng)絡(luò)區(qū)。

具體來講，專用網(wǎng)絡(luò)業(yè)務(wù)流量模型如下：

1）專用業(yè)務(wù)隔離

（1）各委辦局專用業(yè)務(wù)終端直接訪問數(shù)據(jù)中心專用服務(wù)器，承載網(wǎng)絡(luò)相互間需要進(jìn)行隔離，且與電子政務(wù)網(wǎng)其他業(yè)務(wù)間相互隔離；

（2）部門之間網(wǎng)絡(luò)實(shí)現(xiàn)邏輯隔離。

2）部分?jǐn)?shù)據(jù)實(shí)現(xiàn)共享

（1）各部門專用服務(wù)器單向訪問前置機(jī)，推送共享數(shù)據(jù)；

（2）前置機(jī)部署于前置區(qū)內(nèi)，與公共業(yè)務(wù)區(qū)實(shí)現(xiàn)互通；

（3）公共業(yè)務(wù)區(qū)服務(wù)器到前置機(jī)上獲取共享數(shù)據(jù)。

3.2 公共網(wǎng)絡(luò)業(yè)務(wù)模型

公共業(yè)務(wù)主要為電子政務(wù)網(wǎng)各單位提供數(shù)據(jù)共享服務(wù)，允許電子政務(wù)網(wǎng)內(nèi)部用戶互訪。

3.3 互聯(lián)網(wǎng)業(yè)務(wù)模型

互聯(lián)網(wǎng)業(yè)務(wù)主要包括：

1）為公眾提供門戶網(wǎng)站信息公開及各類流程查詢服務(wù)；

2）為內(nèi)部各機(jī)關(guān)用戶提供互聯(lián)網(wǎng)訪問。

本次網(wǎng)絡(luò)設(shè)計(jì)不單獨(dú)建設(shè)互聯(lián)網(wǎng)出口，所有互聯(lián)網(wǎng)業(yè)務(wù)采用市電子政務(wù)網(wǎng)互聯(lián)網(wǎng)出口實(shí)現(xiàn)，因此有兩類業(yè)務(wù)流量需要通過政務(wù)網(wǎng)出口：

（1）共享區(qū)服務(wù)器單向發(fā)送數(shù)據(jù)到DMZ區(qū)，提供信息公開及流程查詢服務(wù)。DMZ區(qū)單向?qū)ν獠抗姲l(fā)布信息。

（2）各局委辦互聯(lián)網(wǎng)用戶通過互聯(lián)網(wǎng)統(tǒng)一出口訪問Internet。

【參考文獻(xiàn)】

[1]W.Richard Stevens.TCP/IP協(xié)議詳解卷1：協(xié)議[M].北京：機(jī)械工業(yè)出版社，2000：1-380.

[2]Ivan Pepelnjak，等. MPLS和VPN體系結(jié)構(gòu)[M].北京：人民郵電出版社，2010：3-342.

[責(zé)任編輯：王海龍]