云南省电子政务外网网络建设baidu43173

,单击此处编辑母版标题样式,单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,*,单击此处编辑母版标题样式,单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,*,云南省电子政务外网,网络平台建设,电子政务论文答辩,概述,主要包括：,网络平台逻辑规划,网络平台逻辑架构设计,QoS,设计,可靠性设计,网络安全保障措施等,本文主要描述如何在云南省电子政务专网基础之上建设云南省电子政务外网网络平台,云南省电子政务网络建设现状,从,2003,年起，我省陆续开展了电子政务一、二、三、四期工程，建成了覆盖省级各委办厅局、,16,州市、,129,个县的云南省电子政务专网；,政务专网基于云南电信独立的传输网，采用,SDH,、,ATM,、帧中继构建了省,州市,县三级的“王”字型的骨干网，提供了,VPDN,接入方式，并与互联网物理隔离；,政务专网基础设施由各级电子政务网络管理中心分级负责运行维护。,存在的问题,根据国家电子政务网总体规划，我国电子政务网划分为非涉密的政务外网和涉密政务内网。我省电子政务网建于,2003,年，并经过四期政务网络建设，但仅建设了云南省电子政务专网，且政务专网定位于政府非涉密应用，却又与互联网物理隔离，网络基础设施设计和管理与国家规划不协调。,我省政务外网网络平台建设目标和任务,目标,充分整合已有网络资源，建立标准统一、功能完善、安全可靠的电子政务统一外网平台。最大限度地有效保护已有投资，减少重复建设，降低建网成本，实现“借船出海”。,任务,1.,建设和整合统一的电子政务外网网络；,2.,实现政务外网内部受控互访及逻辑隔离；,3.,确保政务外网网络安全；,4.,建立统一的政务外网服务管理平台。,关键技术,MPLS VPN,多协议标记交换虚拟专用网。,网闸,只支持单向网络连接，保证内外网在物理链路层上是完全断开的。,VPE,VPE=IP VPN,网关,+PE,，解决,MPLS VPN,技术与,IP VPN,技术各自为政的问题。,VPDN,虚拟私有拨号网络。,逻辑规划,专用网络区：,承载各部门内部专属业务，多个部门间协同业务。可同时存在多个专用网络区。,公共网络区：,承载部门间公共业务。仅存在,1,个公共网络区。,互联网接入区：,构建在因特网上，面向社会公众服务的一个网络。主要承载信息公开、信息查询、全省政府门户网站等重要应用。仅存在,1,个互联网接入区。,逻辑架构设计,1.,公共网络区设计,2.,专用网络区设计,3.,互联网接入区设计,4.,部门多区域接入设计,5.,网络平台逻辑架构总框图,1.,公共网络区设计,公共网络区内各政务部门信息交互及,VPDN,接入,全省政务外网内各部门通过公共网络区实现公共信息交互，获取省网络服务管理中心提供的,Web DNSEmail,等服务，也可自行建立本部门,DMZ,。,暂时无法通过专线接入的部门，可使用,VPDN,拨号方式接入公共网络区，获取与其他专线方式接入部门相同的功能。,公共网络区内的所有部门可以访问互联网,各级政务部门或用户通过对等级别的网络服务管理中心、运维中心与互联网的出口访问互联网。,若部分县级电子政务外网用户对互联网的访问流量较小（红色虚线），直接通过对应上级（州、市级）网络运维中心访问互联网，从而节约运行维护成本。,通过互联网接入公共网络区,在公共网络区边缘，省级网络管理服务中心与互联网的出口处放置,VPN,网关，提供通过互联网安全接入政务外网公共网络区的途径（如,IPSec VPN,、,SSL VPN,）,2.,专用网络区设计,同一部门纵向建立部门专用网络区,依托政务外网传输通道，在公共网络区内通过,MPLS VPN,建立纵向部门专网,VPN,，部门专网之间不能互访、部门专网与公共网络区逻辑隔离。,如,民政专网,（蓝线）与,工商专网,（红线）虽均承载于政务外网，但两者相互独立，不能互访（蓝线与红线无交叉），且对于公共网络区的其他部门无到达路径（即黑线不能接入蓝线或红线中），实现逻辑隔离。,不同部门纵横交错建立专用网络区,依托政务外网传输通道，为各个重要的跨部门公共业务建立纵横交错的业务专网,VPN,。跨部门业务专网与其他专网之间不能互访、跨部门业务专网与公共网络区逻辑隔离。,如,民政国税业务专网,（蓝线）承载于政务外网，但与其他专网相互独立，不能互访，且对于公共网络区的其他部门无到达路径（即黑线不能接入蓝线或红线中），实现逻辑隔离。,专用网络区与公共网络区的受控互访,网闸保证了任意时刻民政部门专网与公共网络区间没有物理链路层连接，数据只能以专用数据块方式静态的在民政部门专网与公共网络区间进行,“,摆渡,”,完成数据的隔离与交换。,可通过,VPDN,或互联网接入专用网络区,VPE(VPN PE),作为,PE,设备与电子政务外网骨干网连接，并可与各专网通过,MPLS VPN,建立连接，,VPDN,及互联网接入用户仅通过,SSL VPN,（紫线）接入政务外网专用网络区。,3.,互联网接入区设计,面向互联网用户提供服务的互联网接入区,互联网接入区承载为公众提供信息公开、信息查询、全省政府门户网站等重要应用，通过网络安全措施保障互联网接入区安全，并提供政务外网网内各部门安全更新应用服务器数据的途径,4.,部门多区域接入设计,部门多区域接入,通过一条物理链路便可同时接入政务外网内,3,个区域。,如：,在省民政使用,PE,设备接入电子政务外网骨干网，同时在,PE,设备下连接,2,个,CE,设备，一个用于专用网络区，另一个用于公共网络区和互联网接入区。,省质监没有建立专用网络区，则直接使用,CE,设备接入。,5.,网络平台逻辑架构总框图,网络平台逻辑架构总框图,QoS,设计,为不同的组（政务部门、应用等）提供不同的服务级别,为提供给特定组或应用程序的网络服务设置优先级,发现和消除网络瓶颈区域以及其他形式的拥塞,监视网络性能并提供性能统计信息,控制进出网络资源的带宽,QoS,服务模型,传统的,QoS,服务模型,DiffServ,（区别服务），当核心路由器上出现拥塞时，区别服务模型以牺牲低优先级的业务为代价换来高优先业务的,QoS,，但并没有消除拥塞。因此当拥塞严重时仍然会损伤高优先级的业务。,云南省电子政务外网网络平台设计使用混合模型,HAMD(Hybrid Architecture by MPLS and DiffServ),。混合模型继承,DiffServ,对,IP QoS,的实现并提供良好的扩展性，并由于使用,MPLS,技术，克服了传统,IP,网络的无连接传输无法控制业务的传输路径，同时,MPLS,技术的高转发速度也可很好的体现。,服务类别,EXP,丢包优先级,昂贵服务,111,/,确保服务,1,级,110,低,101,高,2,级,100,低,011,高,3,级,010,低,001,高,最努力服务,000,/,DiffServ,模型的差分服务代码点（,DSCP,）共有,14,种，但是,MPLS,包头中使用,EXP,域只有,3,位，即只能表示,8,个,PHB,，所以对现有,DiffServ,模型的,14,种,DSCP,进行修改，使用如上左图可行的映射关系，即可实现。,可靠性设计,设备可靠性,选用具备电信级可靠性的核心设备，且主备设备间实时热倒换，关键部件冗余备份并支持热插拔，采用分布式体系结构。,链路可靠性,采用,“,双星型双节点结构,”,，广域骨干线路的主链路和备用链路分别采用不同运营商的基础传输链路。,网络可靠性,模块化设计，各区域相对独立，任一区域的故障不会扩散到其它区域。选择合理的路由协议，避免路由环路，减少路由振荡，保护某个节点失效后网络快速自愈。,应用可靠性,采用,HAMD,（混合模型）的,QoS,技术保证带宽和延时等，通过,MPLS VPN,技术实现不同业务流相互隔离，互不影响。,网络安全体系结构,网络的安全性（,Network Integrity,）,系统的安全性（,System Integrity,）,用户的安全性（,User Integrity,）,应用的安全性（,Application Integrity,）,数据的安全性（,Application Confidentiality,）,政务外网网络安全保障措施,IPS,网闸,其他,防火墙,VPN,MPLS VPN,IPSec VPN,SSL VPN,政务外网网络平台服务管理,实行统一服务管理，分散运行维护模式。,省级电子政务外网服务管理中心,省级电子政务外网服务管理中心以网络平台的逻辑管理为主。如,VPN,的划分，,VPDN,及,SSL,、,IPSEC,接入用户的授权及身份认证，网络资源统筹分配等；建立面向州市级、县级运维中心人员的技术支持窗口；建立面向地方或部门的服务请求响应窗口，提供病毒防护、安全评估、安全监控和应急响应等技术支持服务，提供数据备份恢复和主机托管服务等；建立知识库，方便接入用户进行自主服务。,州市级、县级电子政务外网运维中心,政务外网运维中心以落实网络平台的具体运维工作为主，即硬件管理。如建立运维监控平台，实现对不同服务对象和,IT,资源的实时监控和故障处理，包括主机、数据库、中间件、存储备份、网络、安全、机房、业务应用等，保障本地政务外网广域网的链路、设备正常可靠的运行。,谢 谢！,演讲完毕，谢谢观看！,