《浙江省政府电子政务网络工程数据系统建设项目技术方案建议书.doc》由会员分享,可在线阅读,更多相关《浙江省政府电子政务网络工程数据系统建设项目技术方案建议书.doc(146页珍藏版)》请在taowenge.com淘文阁网|工程机械CAD图纸|机械工程制图|CAD装配图下载|SolidWorks_CaTia_CAD_UG_PROE_设计图分享下载上搜索。
1、浙江省电子政务网络工程网络数据建设(eGOVnet-02)项目技术投标书浙江省政府电子政务网络工程数据系统建设项目第一部分技术方案建议书长城计算机软件与系统2003年12月第 139 页目 录第1章 项目概述11.1 项目简介11.2 建设目标21.3 建设原则31.3.1 实用性31.3.2 开放性与标准化31.3.3 先进性、成熟性和可扩充性41.3.4 系统可靠性和安全性41.3.5 可管理性和可维护性51.3.6 业务多样性51.3.7 最佳性价比5第2章 数据系统建设方案72.1 数据网络系统概述72.2 通信线路选型82.2.1 通信线路要求82.2.2 通信线路业务介绍82.2.
2、2.1 ISDN 网92.2.2.2 DDN 数字数据网92.2.2.3 Frame Relay 帧中继网102.2.2.4 ATM 网102.2.2.5 MSTP网(基于SDH的多业务传送平台)112.2.3 通信线路推荐122.2.4 通信线路接入方案132.3 网络结构设计142.4 主要设备选型建议与配置162.4.1 为什么选择Cisco产品162.4.1.1 Cisco的MPLS-VPN技术成熟稳定172.4.1.2 最优秀的QoS解决方案182.4.1.3 业界最高的多层路由交换能力192.4.1.4 业界最丰富的业务端口,密度最高192.4.1.5 业界目前支持功能和业务特性最
3、丰富202.4.1.6 最稳定和最成熟的MPLS-VPN产品202.4.1.7 丰富富的实施经验和最强的技术队伍202.4.2 网络设备配置212.4.3 其它设备建议与配置242.4.4 天阗入侵检测系统242.4.5 趋势防病毒系统302.4.6 华堂防火墙防御系统342.4.7 新增设备部署拓扑图362.5 IP地址规划及路由设计372.5.1 IP地址规划建议372.5.2 路由协议介绍402.5.2.1 IS-IS路由协议412.5.2.2 OSPF路由协议432.5.2.3 IS-IS与OSPF的对比442.5.3 路由协议设计方案452.5.3.1 动态路由设计建议462.5.3
4、.2 静态路由设计建议462.5.4 组播路由策略设计472.5.4.1 组播转发和传输机制512.5.4.2 协议支持能力512.5.4.3 组播传输性能512.6 域名系统设计建议532.6.1 DNS原理概述532.6.2 DNS方案设计542.7 QoS策略设计552.7.1 流量整型562.7.2 排队机制562.7.2.1 排队机制介绍562.7.2.2 所推荐的排队机制582.7.3 拥塞控制机制592.7.4 链路效率机制60第3章 网管系统设计613.1 网管系统设计原则613.2 网管系统总体设计613.3 网管软件配置633.4 网管系统功能实现633.4.1 拓扑管理6
5、33.4.2 故障管理643.4.3 配置管理643.4.4 性能管理683.4.5 网络安全管理70第4章 数据系统网络安全设计714.1 数据系统网络安全需求分析714.2 网络安全设计原则724.3 数据网络安全总体设计724.3.1 网络系统安全性设计724.3.2 网络服务安全性设计734.4 网络设备安全实现734.4.1 网络设备分级登录验证744.4.2 限制登录会话数744.4.2.1 设备并发登录数限制754.4.2.2 设备登录地点限制754.4.2.3 单用户并发登录数限制754.4.3 口令保护764.4.4 防资源掠夺式攻击774.4.4.1 攻击特点和原理774.
6、4.4.2 解决办法784.5 路由信息安全794.5.1 路由协议的验证机制794.5.2 禁止源路由方式794.6 网管系统安全实现804.7 网络服务的安全性804.7.1 防火墙部署设计804.7.2 访问控制ACL824.7.3 入侵检测技术834.7.4 漏洞扫描技术844.8 系统安全的非技术因素854.8.1 物理环境因素854.8.2 安全的管理因素854.8.2.1 安全管理原则864.8.2.2 安全管理的实现86第5章 工程总体建议885.1 目前网络数据系统分析885.2 网络数据系统优化建议895.3 优化后总体调整情况和新增设备清单925.4 路由调整设计94第6
7、章 场地及环境准备建议956.1 网络设备的安装与运行环境956.1.1 场地选择956.1.2 环境要求956.1.3 机房选用的附加设备966.1.4 接地系统976.1.5 电源系统976.1.6 空调系统986.2 装机前机房装备应注意事项996.3 注意事项101第1章 项目概述1.1 项目简介全球性的网络化、信息化进程正改变着人们的生活方式,Internet技术应用以及电子商务的飞速增长给人们生活工作的各个层面带来了深刻的影响。在这场信息革命的大潮中,各级政府机构在社会经济文化生活中不仅需要扮演管理者与协调员的重要角色,而且为企业与社会服务的职能也日益明显与重要起来。一方面,各级政
8、府机构拥有大量宝贵的信息资源,如各类国家或地方政策法规信息、各行业规章标准、各类招商引资信息、重大项目招标信息等;另一方面,个人、企业与社会对获取政府有关政策法规、各类统计信息、社会保障信息等的快捷与透明程度的要求日益提高,对政府机构的办事效率、服务水平等提出越来越高的要求,对政府机构职能的监督也需日益强化。国家信息化领导小组决定,把电子政务建设作为今后一个时期我国信息化工作的重点,政府先行,带动国民经济与社会发展信息化。中共浙江省第十一次党代会做出了建设“数字浙江”的重大战略决策,作为“数字浙江”建设的核心工程电子政务建设工程的实施,对于应对加入世界贸易组织后的挑战,加快政府职能转变,提高政
9、府行政监管、效率与服务能力,建立高效、勤政、廉政、务实的政府具有十分重要的意义。我省电子政务网络平台建设主要有两部分组成。一是建成省、市、县三级政务外网,为全省各级政府(以及人大、政协)各部门与省市、市县(区)之间非涉密信息交换与业务互动提供支持,为服务与监管业务提供网络与技术支撑。办公业务资源网按国务院办公厅要求进行建设,为办公业务的信息交换提供支持;二是建成省、市、县三级政务内网,为全省各级政府(以及人大、政协)各部门与省市、市县(区)之间涉密信息交换提供支持,如下图所示。图1.1-1 浙江省电子政务网络示意图浙江省政府电子政务网络工程是建设一个覆盖全省200多个节点的大型广域网络。网络主
10、要承载浙江省政府电子政务办公数据与业务数据。为电子政务多种业务的发展提供高速的基础网络平台。1.2 建设目标本项目的最终建设目标是:建成涉秘与非涉秘分开的安全电子政务网络平台,连接省、市、县(区)三级的党委、人大、政府、政协、检察、法院职能部门系统,以及因工作需要接入的企事业单位。由于电子政务网络建设是一长期而复杂的任务,所以分期进行。本项目的一期建设目标是:建成省电子政务网络内、外网平台,支持数据、语音与视频业务,传输性能满足业务需求,具备密码管理、信任体系、网络管理、容灾备份、信息管理与信息交换等各项功能,实现跨部门、跨地区的业务互联。根据此次数据系统网络连接工程所要实现的目标,确定各节点
11、间租用线路的种类、带宽、费用;确定各节点的网络设备与相应投资。选用先进的传输技术、设备组建一个覆盖全省政府行政单位的高可靠性、高安全性的电子政务网络平台。网络平台建设要同时考虑设备的充分利旧与系统的平稳过渡。一方面,已有的主机系统设备、网络系统设备等能满足电子政务要求的可通过必要的数据迁移后投入使用。另一方面,针对各单位网络建设的现状与发展需要,采用不同的过渡与接入方式,以达到系统的平稳过渡而不影响原有的工作与业务。1.3 建设原则本设计技术方案将从实际出发,建设一个高效实用的网络系统。网络系统设计必须既适应当前电子政务实际应用考虑,又面向未来信息化发展需求。我们将遵照以下原则对本项目进行设计
12、。1.3.1 实用性实用性主要表达在以下几个方面:系统的性能指标应能够满足网络内各项业务对处理能力的要求,整个系统的性能应当是可靠的,便于管理的。所采用的设备应当是易于配置维护。对于本系统的网络结构,最理想的组网形式应是一个层次化的,能支持多种不同的应用,并且能够面对未来网络的膨胀与业务的不可预测性有很好的适应能力。尽量减少网络的连接复杂度,提高网络的利用率,增加网络的冗余度以确保网络的高可靠性,通过简单的网络管理,减少专业人员培训的难度,以及网络管理的压力。1.3.2 开放性与标准化开放性与标准化原则是一个系统赖以生存与发展的基础,只有开放的系统,才能充分发挥计算机系统的能力,表达良好的可扩
13、展性与互操作能力,保护用户投资及系统的长远发展。如果开放性与标准化的原则如果不能保证,则会使系统的后期使用与维护出现困难,发生系统维护费用加大、系统发展困难重重、甚至重复投资等问题。本建议书充分考虑开放性与标准化的原则,所建议的系统、软硬件产品都遵循该原则。1.3.3 先进性、成熟性与可扩充性本设计中将坚持系统结构模块化的设计思想,即软硬件平台可以积木式拼装,可以通过添加组件或相关板卡满足新的需求。选用的设备应考虑选择业界性能优良、可扩充性好、厂商能够承诺对未来的新技术进行支持的设备。硬件设备的选择在档次上应考虑网络在未来的发展情况,在兼顾网络投资预算前提下,适当选择档次较高的设备,避免将来扩
14、容中可能造成的投资浪费。设计立足先进技术,采用新科技,以适应大量数据传输以及多媒体信息的传输。使整个系统在国内三到五年内保持领先的水平,并具有长足的发展能力,以适应未来网络技术的发展。在进行系统设计时我们采用了模块化的设计思想,通过将整个系统划分为不同的模块,各个模块可以很简单的添加到系统中,无需更改现有系统,而且设计时充分的考虑了系统后期建设规模,与其他系统互联的问题,可以保证系统的可扩展性,在将来网络扩展时,可以保证系统平滑的过渡到新的系统。1.3.4 系统可靠性与安全性电子政务数据系统的可靠性是整个信息化建设的基石,为保证电子政务数据系统的可靠性,主要考虑以下几方面:在主要网络设备的选择
15、上,考虑其可靠性:如关键部件的冗余及热插拔等。本方案所推荐的产品均选用主流硬件厂商的主流产品,以保证有实际应用的先例(而不选用厂商的非主流产品,或只宣布而无实例的产品),这些产品具有成熟、稳定、实用的特点,并充分满足应用及技术发展的需要,同时能够获得厂商的备品与备件支持。合理的进行网络设计,减少单点故障,在设备或者链路故障时,网络流量能够顺利在其他设备与链路间进行切换,同时避免网络故障引起的连锁反应。在安全性方面,我们所推荐的硬件产品能够阻挡一般性的网络攻击,能够做到流量控制,设置用户的可访问范围等。1.3.5 可管理性与可维护性整个网络是由多种设备组成的较为复杂的系统,因此必须着重考虑所选产
16、品具有良好的可管理性与可维护性。作为一个系统,所选产品具有良好的可管理性与可维护性。该网络系统应该易于管理,通过网络管理工具,可以方便地监控网络运行情况,对出现的问题及时解决,对网络的优化通过依据。另外,我们在选用硬件设备及系统软件时充分考虑到生产厂家的一致性与兼容性,避免给用户带来运行维护与管理中的问题与不方便。在进行系统设计时,通过良好的设计,减少用户对网络的维护量。1.3.6 业务多样性随着新技术的出现以及硬件成本的降低,在网络上传送视频、音频等多媒体信息越来越成为用户的需求,在网络系统里,从多媒体信息共享、网络互动性等需求角度出发,这一需求显得更加重要。这要求我们在网络设计中充分考虑到
17、进行多媒体信息传输的要求。1.3.7 最佳性价比在考虑网络设计时,一方面要尽量从经济的角度进行考虑。另一方面,系统在设计时应考虑符合建设单位实际情况。本方案中的最佳性价比原则主要表达在以下几点:n 通过良好的设计,充分、合理的利用网络资源,保护用户的投资;n 选用易管理以维护的设备,并通过良好的设计,减少用户的维护工作量,可以有效的降低管理、维护与培训费用;n 选用高扩充性、可发展的产品,减少网络扩容的投资;n 在设备的选择选用性价比最高的产品。第2章 数据系统建设方案本章主要给出本项目中浙江省政府电子政务底层网络平台的建设方案,包括数据网络系统概述、通讯线路选型、网络结构设计、主要设备选型建
18、议与配置、IP地址规划及路由设计、域名系统设计建议、QoS策略设计等内容。2.1 数据网络系统概述浙江省电子政务网络分为内、外网,内、外网之间物理隔离,外网与国际互联网通过网络安全系统(国家保密局推荐产品)实现信息交换,如下图所示。图2.1-1 内网、外网与Internet关系示意图省电子政务网络内网(下简称内网):主要用于传送电子公文、以及不适合通过外网传输的信息,如:政务信息、财务数据、视频会议等。在加密机不到位的现行条件下暂不传输涉及国家秘密的信息。连接范围为省、市、县(区)级政府及相关职能部门,以及因需要接入的企事业单位。省电子政务网络外网(以下简称外网):是电子政务网络对外的窗口,与
19、互联网通过网络安全系统逻辑相连,对外提供一些网上服务,如受理申请、审批等;同时也是办公人员与外面进行信息交流的通道。连接范围为省、市、县(区)级政府及相关职能部门,以及因需要接入的企事业单位。浙江省政府电子政务网络的内网与外网、内网与Internet之间完全是物理隔离的,以确保内网传输的信息的绝对安全性。2.2 通信线路选型2.2.1 通信线路要求为了实现网络节点高速互连的目标,对通信线路的选择是很严格的。这不仅要求线路可以提供高带宽、高性能,而且为了保证线路使用可靠,在选择主用通信线路的同时,还建议做备份通信线路的考虑。所选通信线路应满足以下要求:n 符合项目建设原则,采用目前主流的网络线路
20、;n 覆盖范围到达本次项目的所有节点n 具有方便、灵活有效的扩容能力;n 具有高带宽,所提供的带宽能够满足用户的当前需求;n 具有高可靠性,网络骨干网具有故障情况下的自动自愈能力;n 具有高质量,误码率低,可实现低时延,高吞吐量;n 同时提供对数据、语音与视频综合业务的良好支持能力。2.2.2 通信线路业务介绍目前中国电信可以为用户提供多种的数据通信电路业务,可以满足不同用户的应用需要。2.2.2.1 ISDN 网ISDN是基于公用 网的数字网络,它能够利用普通的 线双向传送高速数字信号,实现端到端全程数字化通信,能承载多项通信业务,ISDN BRI能提供128K的传输速率,相对于PSTN,它
21、具有以下优势:n 更快的连接与更可靠的的传输n 更低廉的费用:ISDN可以大大提高网络资源的利用率。一改普通 网络单一功能的缺点,采用全数字化的网络,使用户不必购买与安装不同的设备与线路来接入不同的网络,采用按需拨号的方式,最大限度节省线路费用。n 使用灵活方便:使用先进。成熟的ISDN技术与智能网络终端产品(如 NT1+)。用户只需一个入网接口,使用一本统一的号码簿,就能从网络得到所需业务,既可以多台终端共享一条线路同时上网,也可以对传统的DDN进行备份,快捷、安全,多个分枝机构之间进行数据通信,好象在内部网使用一样简单。n 数据高速传输:ISDN中最常用的B信道速率为64kbps,支持ML
22、PPP, 完成多个信道捆绑,以2B+D为例,比现在的数据网或 网中的数据速率提高了2倍左右。ISDN相对于专线方式其连接方式不稳定,受线路影响大,而且非实时在线,带宽有限,适用于小业务量数据通信或用作大型网络的备份电路。2.2.2.2 DDN 数字数据网DDN是随着数据通信业务的发展而发展起来的一种新兴网络,是利用数字信道提供永久或半永久性电路,以传输数据信号为主的数字传输网络。DDN是利用数字信道来连续传输数据信号,它不具备数据交换的功能,不同于通常的报文交换网与分组交换网。归纳起来DDN有以下几个特点:n 通明传输:DDN传输信道本身不提供任何协议与规程约束,由智能化的用户终端决定通信协议
23、,所以是全通明网,面向各类数据客户开放。n 专线方式的同步数据网:DDN采用数字方式来传输数据,要求全网时钟同步。DDN以专线方式传输,完全占用所分配的数字信道,服务质量有保证。n 固定传输速率与低网络时延:用户根据实现约定的协议,在固定带宽与约定速率下可靠传输,时延小,性能稳定,可靠性高。n 灵活的连接方式:DDN支持数据、语音、图象传输等多种业务,支持多种接入速率,范围从到2M不等,可满足客户对不同通信速率的要求。2.2.2.3 Frame Relay 帧中继网帧中继技术是在分组技术充分发展,数字与光纤传输线路替代模拟线路,用户终端日益智能化的条件下发展起来的。帧中继仅完成OSI物理层与链
24、路层核心层的功能,将流量控制、纠错等留给智能终端去完成,大大简化节点机之间的协议;同时,帧中继采用虚电路技术,能充分利用网路资源。帧中继技术主要应用在广域网中,支持多种数据型业务。其主要特点有:n 高效性:帧中继使用统计时分复用技术,共享传输线路与网路端口,提高了网路资源的利用率;用户还可在有空余带宽时,超过预定值偷占更多的带宽,而只付预定带宽的费用,非常适合于出现突发性大数据量业务的用户。n 经济性:目前国内运营商的帧中继网只提供PVC业务,每条帧中继PVC的速率可有一定范围的突发业务,并且端口可以复用,更加经济划算。n 可靠性与灵活性:帧中继虽然利用端到端机制实现错误恢复,但网路本身也是可
25、靠的,有PVC管理与拥塞管理机制,以保证网路充分运行;帧中继网在组建与用户接入上方便灵活,对高层协议保持透明,无兼容性问题。2.2.2.4 ATM 网ATM(Asynchronous Transfer Mode,异步传输模式),是国际电信联盟ITU-T制定的标准,实际上在80年代中期,人们就已经开始进行快速分组交换的实验,建立了多种命名不相同的模型,欧洲重在图象通信把相应的技术称为异步时分复用(ATD)美国重在高速数据通信把相应的技术称为快速分组交换(FPS),国际电联经过协调研究,于1988年正式命名为Asynchronous Transfer Mode(ATM)技术,推荐其为宽带综合业务数
26、据网B-ISDN的信息传输模式。ATM是一种传输模式,在这一模式中,信息被组织成信元,因包含来自某用户信息的各个信元不需要周期性出现,这种传输模式是异步的。ATM信元是固定长度的分组,共有53个字节,分为2个部分。前面5个字节为信头,主要完成寻址的功能;后面的48个字节为信息段,用来装载来自不同用户,不同业务的信息。话音,数据,图象等所有的数字信息都要经过切割,封装成统一格式的信元在网中传递,并在接收端恢复成所需格式。由于ATM技术简化了交换过程,去除了不必要的数据校验,采用易于处理的固定信元格式,所以ATM交换速率大大高于传统的数据网,如,DDN,帧中继等。另外,对于如此高速的数据网,ATM
27、网络采用了一些有效的业务流量监控机制,对网上用户数据进行实时监控,把网络拥塞发生的可能性降到最小。对不同业务赋予不同的特权,如语音的实时性特权最高,一般数据文件传输的正确性特权最高,网络对不同业务分配不同的网络资源,这样不同的业务在网络中才能做到与平共处。在一条物理链路上,可同时建立多条承载不同业务的虚电路,如语音,图象,文件传输等。2.2.2.5 MSTP网(基于SDH的多业务传送平台)SDH信号是一种以字节结构为基础的矩形块状帧结构,由9行与270N列8 bit字节组成。整个帧结构主要分为三个部分:段开销、管理单元指针与信息净载荷。其中,在净载荷区可以封装各种信息(如PPP帧、ATM信元等
28、)或其混合体,而不管其具体信息结构,信息的传输具有透明性。因此,在SDH传输网上可以直接实现IP over SDH技术。IP over SDH以SDH网络作为IP数据网络的物理传输网络。它使用链路及PPP协议对IP数据包进行封装,把IP分组根据RFC1662规范简单地插入到PPP帧中的信息段。然后再由SDH通道层的业务适配器把封装后的IP数据包映射到SDH的同步净荷中,然后向下,经过SDH传输层与段层,加上相应的开销,把净荷装入一个SDH帧中,最后到达光层,在光纤中传输。SDH是基于时分复用的,在网管的配置下完成半永久性连接的网,在IP over SDH中, SDH以一种工作方式,即SDH以链
29、路方式来支持IP网。SDH作为链路来支持IP网,由于它不能参与IP网的寻址,它的作用只是将路由器以点到点的方式连接起来,提高点到点之间的传送速率。目前,运营商的SDH传输网已经逐步向用户开放,为用户提供高速的通信线路。SDH最低的线路速率为2Mbps,而且有自愈能力,适合组建宽带通信网络。MSTP是指基于SDH平台,同时实现TDM、ATM、以太网等多种业务的接入、处理与传送,提供统一网管的多业务节点。MSTP的实现基础是充分利用SDH技术对传输业务数据流提供保护恢复能力与较小的延时性能,并对网络业务支撑层加以改造,以适应多业务应用,实现对二层、三层的数据智能支持。即将传送节点与各种业务节点融合
30、在一起,构成业务层与传送层一体化的SDH业务节点,主要定位于网络边缘。MSTP的优势有:n 现阶段大量用户的需求还是固定带宽专线,主要是2Mbit/s、10/100Mbit/s、34Mbit/s、155M bit/s。对于这些专线业务,大致可以划分为固定带宽业务与可变带宽业务。对于固定带宽业务,MSTP设备从SDH那里集成了优秀的承载、调度能力,对于可变带宽业务,可以直接在MSTP设备上提供端到端透明传输通道,充分保证服务质量,可以充分利用MSTP的二层交换与统计复用功能共享带宽,节约成本,同时使用其中的VLAN划分功能隔离数据,用不同的业务质量等级(CoS)来保障重点用户的服务质量。n 在城
31、域汇聚层,实现企业网络边缘节点到中心节点的业务汇聚,具有节点多、端口种类多、用户连接分散与较多端口数量等特点。采用MSTP组网, 可以实现IP 路由设备10M/100M/1000M POS与2M/FR业务的汇聚或直接接入,支持业务汇聚调度,综合承载,具有良好的生存性。根据不同的网络容量需求,可以选择不同速率等级的MSTP设备。2.2.3 通信线路推荐ISDN为低速网络,最高只能支持128Kbps的速率。DDN与帧中继网为中高速网络,最高支持2Mbps速率。ATM网与SDH为高速网络,支持2M及以上更高速率。帧中继为分组交换,延时较小,速率可突发。ATM网络是在帧中继网上发展起来的,与帧中继网完
32、全互通,在带宽管理与服务质量(QoS)及高可伸缩性方面有着很好的性能。帧中继与ATM支持线路复用,在局端表现为多条用户线路使用一条物理传输线路,局端通过带宽管理与流量控制满足用户的接入速率,并允许突发,但当网络拥塞时Qos将难以保证。DDN是点对点的透明连接,用户申请一条DDN线路后,该线路就为用户专用,速率恒定不变。因为DDN是透明传输技术,所以它对带宽的利用率最大可以达到95,而ATM的53个字节信元中包含了5字节的头信息,再加上其他高层开销使得ATM对链路带宽的利用率只有80,对于帧中继来说,也需要加上帧中继的二层封装,其带宽利用率也低于SDH,但比ATM高。MSTP技术在现有城域传输网
33、络中备受关注,得到了规模应用,并且即将作为业界的一项行业标准而发布。它的技术优势与其他技术相比在于:解决了SDH技术对于数据业务承载效率不高的问题;解决了ATM/IP 对于TDM业务承载效率低、成本高的问题;解决了IP QoS不高的问题;解决了RPR技术组网限制问题,实现双重保护,提高业务安全系数;增强数据业务的网络概念,提高网络监测、维护能力;降低业务选型风险;实现降低投资、统一建网、按需建设的组网优势;适应全业务竞争需求,快速提供业务。从覆盖面上来看,PSTN最大,其次就是MSTP(SDH)、DDN、帧中继、ATM,相对范围小些的是ISDN。PSTN为普通 网,分布在千家万户,DDN、帧中
34、继、ATM与MSTP(SDH)都已经分布在全国各省会城市与大中型城市,ISDN的分布则需要在各地做调研,以确定当地是否有资源,就算在同一个城市里,也有可能分布不均。在应用上来说,DDN、帧中继适合组建2M带宽以下的网络;ATM与MSTP(SDH)作为高速链路,是组建100M以上的大型网络的首选线路;而PSTN与ISDN只能作为专线的备份线路或者应用于通信不频繁量较小的网络环境。2.2.4 通信线路接入方案浙江省政府电子政务网络工程是要建设一个专用网络,综合比较网络的功能、性能、安全性、保密性、可靠性、可用性、初装与运行费用、技术要求强度等因素,因此,我们选择了中国电信的IPoverSDH作为主
35、用的通信线路。根据此次标书要求,省府信息中心汇集的次级单位节点的内、外网帧中继线路,接入带宽较大,为了节省设备投资与日常维护工作量,在省府信息中心点采用高速的155M ATM线路接入,并通过电信网内完成协议的转换,实现总部ATM线路与分支节点帧中继线路的互通。此外对于浙江省政府电子政务外网杭州市区88家单位与公司,基于与电子政务联系的紧密性、通讯的频繁性与投资等考虑因素,选择这些接入点通过分布范围最广的PSTN接入省府信息中心接入服务器。2.3 网络结构设计网络如何满足业务的需求将由该业务的组织管理结构决定。根据目前浙江省政府的行政管理体制与网络现状的情况,标书规定的网络结构采用具有单一中心节
36、点的星型网络结构。主干网络辐射到全省各地市,各地市分支节点将来根据网络扩展的需要可以负责本地区范围以内其它办公地点及办事处的联接。本次电子政务网络设计如下:图2.3-1 浙江省电子政务网络数据系统拓扑图n 中心节点:即浙江省政府办公厅信息中心(下联分支节点)n 分支节点:浙江省政府大院6幢大楼66家单位杭州市区46家厅局级单位浙江省10个地级市政府杭州市区40家次级单位杭州市区88家单位与公司(分支节点上联中心节点,同时保持向下扩充能力)浙江省电子政务网络的内网与外网,其网络的拓朴结构主相同要采用星型结构。在以下各章块系统实现的关键技术阐述中,将主要以浙江省电子政务网络外网为主。星型结构的优点
37、是传输性能较优;高度集中易于网络管理;容易扩展且分支节点的链路失效不会影响其它网络节点。但要求中心节点具有较高的可靠性与冗余度以及较高的处理能力,这些因素我们将在下面的工程总体建议中有所表达。本方案的主用网络采用IP Over SDH技术,可以有效的保证数据传输的安全性、稳定性、强壮性。省政府办公厅信息中心的数据主干设备采用千兆位高速交换路由器。高速路由器要求具备POS模块连接相应的SDH网络接口、线速的数据转发能力、性能优异的备板交换构架、核心层冗余能力与模块扩展能力。具体方案如下:在省府一号楼信息中心放置2台核心路由器(其中一台利旧),分别作为内网数据与外网数据的总出口。10个地区的市政府
38、配置两台交换路由器(一台利旧),将其内网与外网分别通过SDH 155M链路分别连接到内网与外网核心路由器。浙江省政府大院内的六幢大楼每一幢楼放置2台路由交换机(其中一台利旧),分别通过1条GE链路与MSTP相连,负责大院内的66家单位的内网与外网的数据通讯。信息中心还需要配置6台不带路由功能的交换机,用于连接内部局域网与路由交换机。杭州市区本级的47家厅局级单位设置2台交换机(一台利旧),分别连接单位的内网与外网,并用2条FE经MSTP网1:12的收敛,分别与内网、外网的核心路由交换机相连(核心路由交换机各有4GE的带宽与MSTP网相连)。市区还有39家次级部门与单位配置一台路由器与一台2M基
39、带调制解调器,将其内、外网通过256K以上的帧中继链路经电信的帧中继网上联到省政府信息中心的核心路由器,内、外网核心路由器到帧中继网的带宽分别是1个155M。有88家单位或企业采用PSTN拨号方式将单位外网接入核心交换路由器(外网)。各个部门与单位的内网与外网采用物理隔离,各单位新增一套数据网络设备用于外网,并利用原有的网络设备作为内网的设备(利旧),各单位可根据实际情况选择将原有局域网作为内网或者外网使用。外网有Internet出口,核心路由器通过1台防火墙,采用GE链路,连到电信的Internet骨干网。2.4 主要设备选型建议与配置在上面一节确定了通信链路及链路接入方案后,本节将分别针对
40、各节点给出设备选型建议。2.4.1 为什么选择Cisco产品路由器的设备选型上,我们建议选用Cisco公司的路由器设备。我们建议的原因主要是基于下面几方面的考虑:(1)Cisco公司是全球最大的路由器制造与销售厂商,其产品从低档、中档到高档各有不同型号系列以供选择,其产品功能全面,互操作性好,性能稳定可靠,已经过许多国家与地区的运行检验,有着很高的质量与信誉保证。为了网络的可靠运行,保证网络的先进性、开放性,以求更长期的发展,我们建议采用Cisco公司的系列路由器产品作为网络的互连设备。(2)由于Cisco公司产品线较全,在整个网络建设中对设备的选择余地较大。另一方面,考虑网络管理员对Cisc
41、o公司的产品比较熟悉,使得将来网络的管理与维护比较容易。除此之外,我们更重要的是考虑到:2.4.1.1 Cisco的MPLS-VPN技术成熟稳定Cisco是目前市场上唯一可以提供成熟商用的MPLS VPN解决方案的厂家。在中国也拥有大量的MPLS VPN 客户。同时Cisco在大型骨干网络方面也拥有最为丰富的经验与积累。Cisco从1998年起就开始按照RFC2547的规定实现了MPLS-VPN,当时还有许多争论。有的厂商提议采用VirtualRouter的方式来实现VPN与MPLS-VPN,但现在事实上已经证明了RFC2547的成功性。目前所有著名的运营商都采用RFC2547组建了MPLS-
42、VPN网,而采用VirtualRouter组建的运营VPN相当少。RFC2547实际上是规定了一套以扩展BGP协议为VPN的路由传递协议,以MPLS为VPN的数据交换基础的一套VPN实现方式。该方式实现VPN的逻辑图如下:图.1-1 MPLS VPN结构示意图Cisco一直矢志不渝地致力于研发与帮助客户组建及运营商用的大型MPLS VPN网,并且充分吸取大型企业与电信运营商客户的建议与反馈意见,不断地帮助客户完善MPLS VPN的技术方案与应用。思科还积极参与标准的起草与制定,详细经由思科领导与参与制定的技术规范与标准情况如下所示:2.4.1.2 最优秀的QoS解决方案由于政务信息网络业务应用
43、、数据性质的丰富多样,网络数据流量突发是不可避免的,网络必须拥有良好的拥塞控制能力与对不同性质数据流的处理能力,为各级领导与政府部门提供高品质的服务。CISCO IOS 的QoS功能为设备提供了按优先级处理业务的智能。在浙江电子政务信息网络方案中,所有的设备均采用CISCO统一的IOS操作系统,因此QoS已经不仅仅是一种简单的设备特征,而是整个网络端到端体系结构网络管理人员能够完全控制网络带宽分配、延迟、抖动与数据包丢弃等等。MPLS核心通过为相应的服务级别专门分配一组标签,显著地减低了QoS的处理工作量,使网络获得更佳的性能。提高效率而不会丢失功能。此外,CISCO MPLS还提供了一套先进
44、的流量管理机制资源预留路由选择(RRR)。管理人员能够显式地配置路由,沿特定的路径发送选择的业务,进行拥塞控制与负载均衡。同时,Cisco的设备能够按 IP Precedence与Layer2的信息识别流量,例如 802.1Q CoS、ATM CLP位、FrameRelay的 DE位、MPLS EXP位,也可以按 IP的 DSCP与 IP RTP的端口范围识别流量(适用于VoIP等多媒体应用),还可以按4-7层的信息识别(思科的NBAR能识别网络上层的信息,特别是能识别采用动态L4端口的应用)。由于浙江省电子政务网是构架在基于ATM/Frame Relay的传输网上,考虑到目前多媒体网络的应用
45、,这些高级QoS机制显得特别重要。(其他厂家缺乏类似的QoS保证机制)2.4.1.3 业界最高的多层路由交换能力Cisco 7600产品可以配置新一代的交换引擎Supervisor Engine 720,高性能的四端口万兆以太网模块与无阻塞的双端口万兆以太网模块等,并在不久的将来支持40G以太网模块。交换引擎Supervisor Engine 720配备内置的720Gbps交换矩阵,并以硬件加速实现高性能的嵌入式网络管理功能、MPLS、IPv6等智能服务,通过分布式转发技术Supervisor 720可以实现高达410Mpps的性能,硬件实现的IPv6路由转发能力在83bytes包长的情况下可
46、以达到400Mpps。针对企业网络设计的高性能的四端口万兆以太网模块连接至Supervisor Engine 720交换矩阵,可实现每个机箱上支持32个万兆以太网端口。目前业界唯一可以做到针对网络骨干网,城域网(MAN)与广域网设计的严格无阻塞双端口万兆以太网模块具有更深的缓存与先进的流量整形功能,实现线速的IPv4与IPv6转发功能。同时,新模块兼容所有现有的Catalyst 6500接口与服务模块,为用户提供了一条经济有效的移植到千兆位与万兆以太网的途径,使用户可以在网络中全面部署千兆以太网从桌面、布线室、核心到数据中心,增强应用功能,并最大限度地利用现有的网络投资。2.4.1.4 业界最
47、丰富的业务端口,密度最高Cisco 7600光服务路由器可以同时提供光WAN与MAN与LAN的联网,在电子政务网的网络核心,汇聚与边缘提供高级的高性能IP服务。 Cisco 7600光服务路由器是Cisco端到端IP光产品的重要组件,能帮助电子政务网突破服务与带宽障碍,提高网络的可靠性与可扩展能力。Cisco 7600可以配备光服务模块(OSM)以及任何传统的Cisco Catalyst 6000系列接口,包括FlexWAN模块。FlexWAN模块允许使用大量Cisco 7200与Cisco 7500系列路由器通常使用的WAN接口。总的说来,Cisco 7600提供了从DS0到OC-48c/STM-16c的WAN连接以及从10Mbps以太网到千兆位以太网的LAN接口。Cisco 7600还可以提供了业界领先的DS3与OC-3c端口密度,以满足用户对不同接入的要求。完善的接入手段非常符合浙江省电子政务网的网络需要。2.4.1.5 业界目前支持功能与业务特性最丰富Supervisor Engine 720 交换引擎增加了硬件加速的网络地址翻译(NAT)、通用路