淺析某市濱海新區(qū)電子政務(wù)網(wǎng)的實施方案

楊磊

一、濱海新區(qū)電子政務(wù)網(wǎng)項目簡介

1.1設(shè)計概述

濱海新區(qū)電子政務(wù)專網(wǎng)數(shù)據(jù)網(wǎng)是指政務(wù)外網(wǎng)，數(shù)據(jù)網(wǎng)設(shè)計方案基于設(shè)計的前瞻性 、技術(shù)先進(jìn)性、建設(shè)的可行性和經(jīng)濟(jì)性相統(tǒng)一的原則，使網(wǎng)絡(luò)具有高性能、高可靠性、高安全性、高可擴(kuò)展性、標(biāo)準(zhǔn)化和易管理的特點，能靈活地根據(jù)用戶的需求提供不同網(wǎng)絡(luò)業(yè)務(wù)的服務(wù)保證，為濱海新區(qū)電子政務(wù)網(wǎng)提供統(tǒng)一的、優(yōu)質(zhì)的網(wǎng)絡(luò)基礎(chǔ)設(shè)施平臺。

1.2 組網(wǎng)原則

結(jié)合政府部門的實際應(yīng)用和發(fā)展要求，在進(jìn)行濱海新區(qū)電子政務(wù)專網(wǎng)平臺設(shè)計時，系統(tǒng)總體設(shè)計應(yīng)遵循實用性、安全性、可靠性、成熟和先進(jìn)性、規(guī)范性、開放性和標(biāo)準(zhǔn)化、可擴(kuò)充和擴(kuò)展化及可管理性幾方面原則。

二、濱海新區(qū)電子政務(wù)網(wǎng)總體設(shè)計規(guī)劃

2.1 網(wǎng)絡(luò)總體設(shè)計

本次濱海新區(qū)電子政務(wù)專網(wǎng)（一期）設(shè)計方案中，主要以電子政務(wù)外網(wǎng)業(yè)務(wù)為主，對于電子政務(wù)內(nèi)網(wǎng)業(yè)務(wù)暫不涉及數(shù)據(jù)網(wǎng)內(nèi)容。

濱海新區(qū)電子政務(wù)外網(wǎng)MPLS VPN從整體結(jié)構(gòu)上可以分為核心層、匯聚層、接入層三個層次，其中核心層和匯聚層構(gòu)成電子政務(wù)網(wǎng)絡(luò)的主干網(wǎng)。主干網(wǎng)作為電子政務(wù)外網(wǎng)各項業(yè)務(wù)的支撐平臺，可承載電子政務(wù)外網(wǎng)的綜合應(yīng)用和非涉密的各個業(yè)務(wù)專網(wǎng)。

核心層在超算中心設(shè)置兩臺高性能路由器，在濱海高新區(qū)、漢沽、大港各設(shè)置一臺高性能路由器，作為MPLS VPN骨干的P設(shè)備使用，四臺路由器通過傳輸網(wǎng)連接成為一個環(huán)網(wǎng)，實現(xiàn)冗余部署。

匯聚層為4個政府集中辦公地點、3個管委會、12個功能區(qū)。這19個節(jié)點各設(shè)置一臺高性能交換設(shè)備，作為MPLS VPN的PE設(shè)備使用，每臺PE設(shè)備通過傳輸網(wǎng)均上聯(lián)到P設(shè)備組成的環(huán)網(wǎng)上。

每個匯聚節(jié)點下聯(lián)所屬的多個委辦局，所有委辦局組成接入層。每個接入節(jié)點部署一臺高性能的防火墻作為CE設(shè)備使用。

2.1.1 核心層設(shè)計

數(shù)據(jù)網(wǎng)核心層設(shè)計為4個核心節(jié)點組成的環(huán)狀結(jié)構(gòu)，如圖所示：

核心層骨干節(jié)點設(shè)計

數(shù)據(jù)網(wǎng)核心層骨干節(jié)點的選取遵循了和傳輸組網(wǎng)核心節(jié)點類似的原則：

？ 兩個核心節(jié)點之間距離控制在60公里范圍，有效降低遠(yuǎn)距離通訊成本；

？ 充分考慮利用現(xiàn)有資源和市電子政務(wù)網(wǎng)絡(luò)互聯(lián)且相互備份；

？ 充分利用超算云平臺的資源。

根據(jù)以上原則，我司建議選擇超算中心、大港管委會、漢沽管委會、濱海高新區(qū)為核心骨干4個節(jié)點。4個核心節(jié)點為MPLS VPN網(wǎng)絡(luò)中的P設(shè)備角色，4個節(jié)點運(yùn)行IBGP協(xié)議、LDP協(xié)議，不會運(yùn)行MP-BGP協(xié)議，不會感知VPN的存在。作為整個濱海新區(qū)的骨干區(qū)域，核心節(jié)點承載所有VPN-IPv4路由業(yè)務(wù)。核心層選用高性能路由器組網(wǎng)方案。

2.1.2 匯聚層設(shè)計

匯聚層為四大節(jié)點下的濱海新區(qū)各大功能區(qū)及四處濱海新區(qū)區(qū)級政府辦公點，所用設(shè)備為MPLS VPN網(wǎng)絡(luò)中的PE設(shè)備。PE設(shè)備承載所有VPN業(yè)務(wù)，考慮到未來接入單位的數(shù)量，為了方便和擴(kuò)展，匯聚層設(shè)備選用支持MPLS-VPN的模塊化交換機(jī)。接入單位到匯聚單位不用經(jīng)過鏈路的匯聚，點對點連接到PE交換機(jī)上，方便未來標(biāo)識和維護(hù)。為了便于網(wǎng)絡(luò)的擴(kuò)展，以及減少IBGP的會話連接數(shù)，匯聚層與核心層之間的結(jié)構(gòu)為星形結(jié)構(gòu)。其中核心層設(shè)備為IBGP的路由反射器，匯聚層設(shè)備為路由反射器的客戶端，如圖所示：

匯聚層設(shè)計

2.1.3 接入層設(shè)計

在接入單位出口采用防火墻接入到政務(wù)網(wǎng)，主要有兩個好處，一是邏輯隔離，在防火墻上可以部署一些有效的策略實現(xiàn)局域網(wǎng)接入的有效控制，二是若有地址轉(zhuǎn)換的需求，可將接入局域網(wǎng)內(nèi)部地址轉(zhuǎn)換成政務(wù)外網(wǎng)公共IP。接入層單位就近接入?yún)R聚層，具體接入層區(qū)域網(wǎng)絡(luò)設(shè)計如圖所示：

2.3 MPLS VPN設(shè)計規(guī)劃

根據(jù)各自實現(xiàn)的功能不同，將電子政務(wù)外網(wǎng)分為三個獨(dú)立的功能區(qū)：專用網(wǎng)絡(luò)區(qū)、公用網(wǎng)絡(luò)區(qū)、互聯(lián)網(wǎng)接入?yún)^(qū)。

專用網(wǎng)絡(luò)區(qū)是各個縱向政府部門在電子政務(wù)外網(wǎng)上劃分出來的虛擬邏輯專網(wǎng)，負(fù)責(zé)傳送各政府部門自身的業(yè)務(wù)數(shù)據(jù)，彼此之間嚴(yán)格安全隔離。

公用網(wǎng)絡(luò)區(qū)是電子政務(wù)外網(wǎng)上劃分出的對公眾服務(wù)的部分，包括各類WEB/FTP公眾服務(wù)器。

互聯(lián)網(wǎng)接入?yún)^(qū)是電子政務(wù)外網(wǎng)內(nèi)部各縱向業(yè)務(wù)系統(tǒng)之間需要共享和交互的數(shù)據(jù)。

專用網(wǎng)絡(luò)區(qū)、公用網(wǎng)絡(luò)區(qū)和互聯(lián)網(wǎng)接入?yún)^(qū)三者之間的互訪關(guān)系如上圖所示，專用網(wǎng)絡(luò)區(qū)用戶具有最高訪問權(quán)限，可以訪問公用網(wǎng)絡(luò)區(qū)（提取公眾需求），可以訪問互聯(lián)網(wǎng)接入?yún)^(qū)（用于各縱向業(yè)務(wù)區(qū)用戶之間交互數(shù)據(jù)），根據(jù)整體規(guī)劃，不能通過政務(wù)網(wǎng)整體internet出口訪問業(yè)務(wù)。互聯(lián)網(wǎng)接入?yún)^(qū)具有次高訪問權(quán)限，不能訪問專用網(wǎng)絡(luò)區(qū)，但可以訪問公用網(wǎng)絡(luò)區(qū)（提取公眾需求）。公用網(wǎng)絡(luò)區(qū)訪問權(quán)限最低，只能和INTERNET進(jìn)行交互，不能進(jìn)入專用網(wǎng)絡(luò)區(qū)也不能進(jìn)入資源共享區(qū)。所有業(yè)務(wù)訪問關(guān)系在技術(shù)上是通過MPLS VPN來實現(xiàn)的。