市级互联网统一出口.doc

市级互联网统一出口技术方案第一章 概述目前，攀枝花市级党政机关均租用各电信运营商的电路访问互联网。由于每个单位的信息化程度参差不齐，安全管理水平不尽相同，安全防护措施差别较大，造成管理上各自为政，各单位信息安全事件时有发生，对于政府信息安全造成威胁。为了解决管理和安全上的问题，提高网络保障能力，根据国家有关党政机关互联网接入要求，规范政府部门互联网安全管理，归并互联网接口，逐步实现互联网集中接入，把各部门原有的互联网出口统一到攀枝花国家保密局和攀枝花市电子政务建设管理中心管理的互联网出口，实现互联网访问可管、可控。第二章 需求分析2.1 带宽性能需求分析随着计算机技术的高速发展，基于网络的各种应用日益增多，不仅要承载Web浏览等简单的数据业务，还要承载涉及带宽和时延都要求很高的IP电话、视频会议等多媒体业务，数据流量将大大增加，尤其对核心网络的数据交换能力提出了前所未有的要求。构筑一个畅通无阻的高品质大型网络，适应网络规模扩大，业务量日益增长的需要。因此，市级互联网集中接入平台应具备高速带宽、强大的性能，以满足市级党政机关日益增长的通信需求。为满足今后接入单位对带宽的需求，根据市电子政务建设管理中心对89家党政机关接入互联网带宽情况统计及攀枝花电信分公司对部分党政机关近期上网情况的分析，出口主备用链路带宽均设计为600M。2.2 网络设备稳定可靠性分析应满足更全面的可靠性设计，以实现网络通信的实时畅通，保障生产运营的正常进行。随着各种业务应用逐渐转移到计算机网络上来，网络通信的无故障运行已成为保证正常生产运营的关键。市级党政机关互联网集中接入平台在可靠性设计方面主要从以下3个方面考虑。设备的可靠性设计：关键设备及部件具有冗余备份能力，网络核心部分采用双核心，双链路设计；在设备部署上采用多机房分散布置，完全实现核心网络的冗余；设备的选型均是目前电信级网络中广泛应用并稳定运行的设备。业务的可靠性设计：市电子政务建设管理中心机房至电信核心出口设备使用成熟的OSPF路由协议连接，双链路负载分担，当一台设备或链路出现故障时，可迅速路由到其他链路上，继续向网络内的主机提供服务，从而实现网络内的主机不间断地与外部网络进行通信，降低设备故障影响。链路的可靠性设计：以太网的链路安全来自于多路径选择，所以在网络建设时，网络设备具备有效的链路自愈手段，以及快速重路由协议的支持。2.3 网络服务质量分析市级互联网集中接入平台具备完善的端到端QoS保障，以满足网络多业务承载的需求。随着业务不断增多，单纯的提高带宽并不能够有效地保障数据交换的畅通无阻。因此，市级互联网集中接入平台建设必须满足网络智能识别应用事件的紧急和重要程度，如视频、音频、数据流（ERP、OA、备份数据），同时能够调度网络中的资源，保证重要和紧急业务的带宽、时延、优先级和无阻塞的传送，实现对业务的合理调度为网络提供高品质服务的保障。第三章 整体解决方案3.1 网络平台架构设计3.1.1 总体架构市级互联网集中接入平台采用扁平化架构设计，保证全网访问效率提升，网络结构分为三个简洁的层次：核心层、汇聚层、接入层。所提供的设备，满足支持更多的网络应用，并且能够提升扩充性及可用性。市级互联网集中接入网络平台的基本结构如下图所示：中国电信股份有限公司攀枝花分公司分别在炳草岗和大渡口设立了两处通信枢纽互为备用，部署了不同光纤物理路由作为互联网出口电路。市电子政务建设管理中心机房内部署两台核心路由交换机，设备采用静态路由分别连接到国家163多媒体互联网。通过路由优先级的选择，当主用路由器出现故障时，备用路由器将会自动工作，继续向网内的主机提供路由服务，保证了市级党政机关内的主机不间断地与互联网进行通信。市电子政务建设管理中心机房内一台汇聚层路由交换机分别采用2条1G光纤上联到两台核心路由器，实现多路径保护。在正常情况下，业务流量由主用光纤承载。当其中主用光纤或设备出现故障时，业务流量可快速切换到备用光纤和设备上，构成“双核心双链路”的高稳定架构。89家市级党政机关通用我公司光纤连接至城域网，并通过城域网VPN最终汇聚至市电子政务建设管理中心。核心层、汇聚层采用OSPF动态路由协议，在技术上进行各网络节点业务路由保护，防止网络节点光纤线路中断时路由不能及时收敛。在光纤中断时，通过OSPF协议计算，选择备份路由进行全网路由调整。通过动态路由协议，可有效保障网络节点数据的通信正常运行，有效提高整体网络通信能力。核心层、汇聚层、接入层网络设备均采用板卡式设计，上行板卡采取冗余保护，上行业务配置在同一设备不同板卡上，防止单点故障。3.1.2 核心层核心层是网络中最高层次，具有如下能力：（1）核心设备之间具有最高速的链路和可靠的冗余性能（2）较细的QoS控制粒度（3）最高路由前缀（4）支持MPLSIPV6QINQ组播路由（5）为网络其他模块提供互联市电子政务建设管理中心作为市级党政机关互联网集中接入平台重要管理部门，统一规划、管理核心网络设备，具备对网络拓朴结构、IP地址设置、IP地址规划、路由配置、访问控制、访问控制规则、流量管理、QOS等进行设置配置的能力和权限。3.1.3 汇聚层汇聚层是连接接入层和核心层的网络设备,主要功能如下：（1）为接入层提供数据的汇聚、传输、管理、分发处理。（2）汇聚层为接入层提供基于策略的连接,如协议过滤,路由服务,认证管理等。（3）通过网段划分(如VLAN)与网络隔离可以防止某些网段的问题蔓延和影响到核心层。（4）汇聚层同时也可以提供接入层虚拟网之间的互连,控制和限制接入层对核心层的访问,保证核心层的安全和稳定。 市电子政务建设管理中心机房内部署一台汇聚设备，采用高性能的路由交换机以达到带宽和传输性能的要求。其设备性能好，对环境的要求宽松，对电磁辐射、温度、湿度和空气洁净度等有一定的要求。汇聚层设备与核心层设备之间采用1000M速率光纤互联，以提高系统的传输性能和吞吐量。在汇聚层实现安全控制和认证时，采用的是集中式的管理模式。设计综合安全管理策略，在汇聚层实现流量控制和访问权限约束。3.1.4 接入层接入层由面向89家党政机关用户联网设备组成，主要功能如下：（1）提供高密度的用户端口（2）提供VLAN划分（3）合理的VLAN划分，隔离网络广播，提高局域网性能（4）具备QoS控制能力, 用于解决网络延迟和阻塞等问题（5）地址指派：接入层设备支持管理VLAN，用来指派IP地址，便于对前端设备的管理、故障迅速定位和排除。89家党政机关用户通过我公司光缆连接至炳草岗、湖光、大渡口等电信机房内，采用异地不同物理光纤路由接入89家党政机关，保障安全且同时为接入单位提供带宽保障，广播域隔离，QoS数据分级及防攻击能力。市电子政务建设管理中心作为市级党政机关互联网集中接入平台重要管理部门，统一规划、管理核心网络设备，具备对网络拓朴结构、IP地址设置、IP地址规划、路由配置、访问控制、访问控制规则、流量管理、QOS等进行设置配置的能力和权限。89家党政机关光纤到位情况：单位名称单位地址光纤到位情况线路所有权攀枝花市统计局临江路43号已具备自有自维攀枝花市人民政府政务服务中心机场路学府广场2号楼已具备自有自维攀枝花市人大常委会炳草岗人民街48号已具备自有自维攀枝花市人民政府办公室炳草岗大道2号已具备自有自维攀枝花市经济和信息化委员会炳草岗大街已具备自有自维攀枝花市林业局攀枝花大道东段470号已具备自有自维攀枝花市商务和粮食局攀枝花大道东段491号已具备自有自维攀枝花市烟草专卖局攀枝花大道南段6号已具备自有自维攀枝花市防震减灾局炳草岗人民街2号已具备自有自维攀枝花市财政局炳草岗大街5号已具备自有自维攀枝花市地方税务局东区机场路99号已具备自有自维攀枝花市国家税务局炳草岗人民街78号已具备自有自维攀枝花市委党校临江路59号已具备自有自维攀枝花市政协办公室人民街48号已具备自有自维攀枝花市国土资源局临江路太坤大厦已具备自有自维攀枝花市总工会临江路61号已具备自有自维攀枝花市食品药品监督管理局炳草岗竹雅巷3号已具备自有自维攀枝花市气象局东区竹雅巷3号已具备自有自维攀枝花市城市管理局临江路52号已具备自有自维攀枝花市水务局炳草岗人民街265号已具备自有自维攀枝花市卫生局临江路1号已具备自有自维攀枝花市发展和改革委员会东区新华街2-4号已具备自有自维攀枝花市人民防空办机场路151号已具备自有自维攀枝花市人力资源和社会保障局劳动大厦已具备自有自维攀枝花市就业服务管理局竹湖园劳动大厦已具备自有自维中华人民共和国攀枝花海关临江路2号已具备自有自维攀枝花市司法局人大楼已具备自有自维中区攀枝花市委机构编制委员会办公室机场路学府广场3号楼2楼已具备自有自维攀枝花市投资促进局攀枝花公园路2号已具备自有自维攀枝花市国有资产监督管理委员会政府大楼六楼已具备自有自维攀枝花市人民政府法制办公室炳草岗大街2号已具备自有自维攀枝花市文化和新闻出版局炳草岗人民街76号已具备自有自维攀枝花市审计局榕树街14号已具备自有自维四川攀枝花钒钛产业园区管理委员会炳草岗人民街10号已具备自有自维中共攀枝花市委台湾工作领导小组办公室炳草岗大街1号已具备自有自维攀枝花市科学技术和知识产权局炳草岗大街2号已具备自有自维攀枝花市农牧局炳草岗人民街265号已具备自有自维攀枝花市档案局湖山巷2号何睿已具备自有自维中共攀枝花市委员会组织部炳草岗大道7号已具备自有自维攀枝花市社会科学界联合会炳草岗大道7号已具备自有自维攀枝花市残疾人联合会临江路53号已具备自有自维攀枝花市科学技术协会临江路20号科技大楼九楼已具备自有自维攀枝花市出入境检验疫局临江路4号已具备自有自维攀枝花市委政法委员会炳草岗人民街46号已具备自有自维攀枝花市文学艺术界联合会炳草岗人民街48号已具备自有自维攀枝花市旅游局攀枝花宾馆南楼附近已具备自有自维攀枝花市地方志办公室炳草岗人民街74号已具备自有自维攀枝花市妇女联合会临江路43号已具备自有自维攀枝花市质量监督局人民街261号已具备自有自维攀枝花市商业联合会炳草岗建设街1号已具备自有自维攀枝花市安全生产监督管理局东区紫荆巷31号已具备自有自维中共共产党革命委员会攀枝花市委员会桃源街1号陈洪已具备自有自维攀枝花市民族宗教事务委员会攀枝花大道东段208号已具备自有自维中国致共党攀枝花市委员会桃源街1号张尔栗已具备自有自维国家统计局攀枝花调查队临江路11号已具备自有自维攀枝花市环境保护局炳草岗紫荆山邮政楼10楼已具备自有自维中共攀枝花市委群众工作局人民街63号已具备自有自维攀枝花市交通运输局攀枝花大道888号已具备自有自维攀枝花广播电影电视局东区金沙大道43已具备自有自维民盟攀枝花市委员会桃源街1号已具备自有自维中国农工民主党攀枝花委员会桃源街1号已具备自有自维攀枝花市体育局攀枝花大道东段831号已具备自有自维攀枝花市住房和城乡规划建设局泰隆大厦已具备自有自维攀枝花市工商行政管理局炳草岗新华街2号已具备自有自维中国共产党革攀枝花市委老干部局劳动大厦已具备自有自维攀枝花市住房公积金管理中心东区紫荆巷31号已具备自有自维攀枝花市人口和计划生育委员会攀枝花大道东段479号已具备自有自维攀枝花市公安局人民街77号已具备自有自维中国国民党革命委员会攀枝花市委员会炳草岗建设街党派大楼已具备自有自维攀枝花市纪委炳草岗大街7号已具备自有自维攀枝花市民政局临江路53号已具备自有自维攀枝花市委市政府接待办攀枝花市东区炳草岗人民街68号已具备自有自维攀枝花市委办公室炳草岗大街7号已具备自有自维攀枝花市红格温泉管委会炳草岗大街1号已具备自有自维攀枝花市检察院湖滨路8号已具备自有自维攀枝花市直属机关工委临江路20号已具备自有自维攀枝花市团委临江路20号已具备自有自维攀枝花市统战部炳草岗人民街48号已具备自有自维攀枝花市房地产管理局炳草岗大街202号已具备自有自维中共攀枝花市委宣传部炳草岗大街7号已具备自有自维九三学社攀枝花市委员会市民主党派楼已具备自有自维民建攀枝花支部市民主党派楼已具备自有自维中国民主促进会攀枝花市委员会市民主党派楼已具备自有自维攀枝花市人大办公室攀枝花市人大办公楼已具备自有自维攀枝花市侨联攀枝花市人大办公楼5楼已具备自有自维攀枝花市精神文明建设办公室新华街4号政府大楼5楼已具备自有自维攀枝花市委党史研究室市委大楼已具备自有自维攀枝花市国安局花城下街已具备自有自维攀枝花市扶贫和移民工作局攀枝花市人民街已具备自有自维3.2 网络带宽选择市级党政机关集中接入互联网平台中充分考虑市级党政机关接入设备以及主干网络带宽的容量，结合系统实际应用及未来系统扩容考虑，主干传输网络带宽设计如下：1、各党政机关至城域网交换机采用百兆光纤线路设计，满足目前业务的需要，并为今后系统扩容提供途径；2、城域网汇聚交换机至市电子政务建设管理中心采用千兆光纤线路设计，满足高带宽需求，实现快速的信息交换；3、汇聚交换机至核心路由交换机之间采用千兆光纤线路设计，可以支持大数据量传输，满足高带宽及高可靠性需求。以上带宽设计，体现本次项目网络传输冗余的丰富带宽资源，为将来市级党政机关互联网平台提升速率，提供灵活的资源。3.3 技术方案优势本方案通过合理的网络设计、设备选型，满足目前及未来网络的扩容需求，符合本次项目提出的网络先进性、可靠性、扩展性、开放性、管理性的要求，总结如下：1、网络先进性本网络核心层设备采用思科万兆以太网路由器，支持10千兆位光纤线路卡，总交换容量高达320Gbps。所有的交换机均能提供10M/100M/1000M强大的交换能力，体现出网络设备上的先进性。2、网络可靠性本方案从核心设备到接入层设备都采用冗余配置，彻底消除因为某台设备、板卡损坏造成业务全部中断的故障，体现了整个网络设计的高度冗余性和可靠性。核心层传输链路均采用双线千兆分别上行到大渡口、炳草岗国家163多媒体互联网，形成不同区域、不同光纤物理路由的主备用电路，网络核心层两台万兆高性能路由交换机之间通过一条10G电路相连，以备其中一台路由器故障后，全部业务由另外一台路由器承载；汇聚层由两台万兆高性能交换机组成，两台交换机分别采用2条10G电路上联到两台核心路由器，正常情况下，业务流量由两条10G电路以负荷分担的方式承载，当其中一条电路或设备出现故障，业务流量快速切换到另外一条电路或设备，接入层每台交换机均采用两条GE电路分别上联到两台汇聚交换机。89家党政机关单位物理隔离采用百兆双纤上行接入层交换机。3、网络扩展性本次我公司提供的设备具有极强的扩展性，提供基于信元、帧和IP包的应用；提供高端口密度的接口模块，可以支持大量的万兆接入，可以连接大量服务器和交换机，不仅提供以太网端口，还可以使用ATM端口模块同ATM网相连；剩余未用的插槽及端口可供今后网络平滑升级，保证网络扩展性；适应多种业务的突发性和灵活性，满足多种业务的动态需求，从而经济有效的完成多业务的传输。4、网络开放性本次项目网络设计具有良好的互通性和标准性，网络中使用的各以太网交换机均采用国际通信协会标准802.3x,802.1x等标准，具有和第三方产品良好的开放性。整个网络提供高效和可扩展的第三层交换能力，设备的第三层交换除了提供高速的IP包转发，还提供丰富的第三层服务，包括支持国际主流技术QoS、MPLS、IPV6、MSTP/RSTP、QinQ、SNMP以及策略管理等。5、