省级电子政务云平台整体方案设计

省级电子政务云平台整体方案设计目录第1章 政务云背景及需求分析11.1 建设目标11.2 建设范围11.3 建设任务2第2章 总体方案设计42.1 设计依据及原则42.1.1 设计依据42.1.2 设计原则52.2 总体架构设计62.2.1 云平台总体架构62.2.2 本期建设总体部署架构82.2.3 网络整体架构设计92.2.4 广域网架构设计102.2.5 城域网架构设计112.2.6 数据中心架构设计122.2.7 两地三中心架构设计13第3章 政务外网改造升级方案143.1 网络需求分析143.1.1 弹性需求143.1.2 业务需求143.1.3 高性能计算业务163.1.4 虚拟化需求173.1.5 网络资源整合与共享需求183.1.6 运维和能耗管理需求183.2 网络设计方法论193.2.1 设计目标193.2.2 技术手段的选择203.3 网络技术路线213.3.1 下一代虚拟云网络213.3.2 高品质虚拟云网络213.3.3 智能化虚拟云网络213.3.4 虚拟感知263.3.5 网络智能化263.4 网络设计原则273.5 网络架构和技术演进293.6 政务外网设计总述313.6.1 总体网络框架313.6.2 业务网络模型313.7 政务外网总体网络架构323.8 广域网网络升级改造方案333.8.1 省级节点改造方案353.8.2 市（州）级节点改造方案363.8.3 县级节点改造方案373.9 省级城域网络升级改造方案383.9.1 核心层改造方案383.9.2 汇聚层改造方案393.9.3 接入层改造方案403.9.4 汇聚层NAT设计方案413.10 互联网统一出口安全防护方案423.11 统一云平台数据中心网络建设方案463.11.1 外部数据中心建设方案463.11.2 内部数据中心建设方案493.11.3 数据中心VXLAN组网设计503.12 路由规划543.12.1 整体路由架构规划543.12.2 全网IGP规划563.12.3 全网MPLS VPN规划573.12.4 IP地址规划713.12.5 QoS规划763.13 智能网管建设方案813.13.1 运维智能网管系统总体架构设计813.13.2 运维智能网管系统功能详细方案88第1章 政务云背景及需求分析1.1 建设目标以国务院办公厅关于促进电子政务协调发展的指导意见为指导，统筹推进湖南省电子政务基础设施提升、电子政务业务系统协同发展、信息资源共享共用和数据开放利用；按照湘府阅201553号文件要求，以资源整合、集约建设、稳步推进为原则，建成安全可靠、统一高效、国内领先的云计算平台并开展示范应用，为全省各级部门提供弹性的云计算和云存储能力、政务外网承载服务与应用能力，基本满足省直部门“十三五”期间非涉密业务的统一网络、计算资源、存储资源、数据库服务、备份服务、安全服务等需求，提升政府效能，促进政府管理创新，达到简政、兴业、惠民的目标。1.2 建设范围湖南省省级电子政务外网主要满足各级政府部门社会管理、公共服务等方 面的需求，为各省直部门的非涉密电子政务业务提供承载服务。本次建设湖南省省级电子政务外网统一云平台，总体框架为“1+2+N”， 即“1网、2中心、N多应用云”，省本级政务大数据中心，初步形成“8+3+5”的基本框架。具体业务目标主要包括： “一个网络”优化升级电子政务外网平台，满足省直部门间以及省 到市、市到县网络传输和承载的需求； “两个中心”建设云计算中心、大数据中心，满足省直部门十三五期间非涉密业务需求，为政府领导提供科学、合理的决策支持。 “N 朵应用云”建设基于云平台的 N 个全省性应用系统，包括政务 服务、政务管理、政务行业、政务决策和政务办公等领域。 “8大基础数据库、主题数据库”完成人口、法人、宏观、地理空间、政务服务信息、工商企业、信用信息、电子证照等8大基础数据库、主题数据库的建设、迁移、备份共享； “3大平台”完成大数据智能分析平台、数据交换和共享平台、数据开放平台3大平台； “5大示范工程”完成全省旅游大数据分析、12345服务平台、区域经济脸谱大数据分析、湖南省互联网产业发展状况分析、湖南省政府网站群智能监测分析5大示范工程；建设建设统一的安全体系；建设统一运维管理机制；设计迁移策略，完成部分系统的迁移；明确云平台建设、管理、运营模式，节约投资，提升服务质量。1.3 建设任务充分考虑湖南省省级电子政务外网统一云平台计算、存储资源需求的阶段性和应用系统建设的复杂性，为了保证投资的有效使用，采用分期建设的原则。（一）第一期2016年1完成湖南省电子政务外网的升级改造；2建设40%的计算、存储资源；3启动大数据中心建设；4启动N朵云建设。（二）第二期2017年1建设60%的计算、存储资源；2完成灾备中心建设；3完成大数据中心建设；4完成N朵应用云的部分建设。（三）第三期2018年-2020年1全面完成N应用朵云建设。其中，本期云平台基础设施部分的建设任务具体包括以下：完成湖南省电子政务外网升级改造（含安全平台）；建设主数据中心、同城双活数据中心40%的计算、存储资源，数据交换和共享平台；建设政府协同办公平台、政务安全邮箱；提供省政府门户网站群五年的运维服务；提供统一的运维管理服务（五年），确保本期建设的政务外网、安全体系、云计算中心安全稳定运行。第2章 总体方案设计2.1 设计依据及原则2.1.1 设计依据遵循但不限于下列相关国际、国家和行业标准如下：1）国务院各级政府标准、规范、政策及其指导文件：基于云计算的电子政务公共平台系列标准 电子政务标准化指南系列标准 政务信息资源交换体系系列标准 GB/T21062.1-2007政务信息资源交换体系第1部分总体框架 GB/T21063.1-2007政务信息资源目录体系第1部分总体框架 GB/T25647-2010电子政务术语 GB50174-2008电子信息系统机房设计规范 GB50462-2008电子信息系统机房施工及验收规范 国家电子政务工程建设项目管理办法（国家发改委令第55号） 国家电子政务“十二五”规划（工信部规2011567号） 国务院关于大力推进信息化发展和切实保障信息安全的若干意见（国发201223号） “十二五”国家政务信息化工程建设规划(发改高技20121202号) 基于云计算的电子政务公共平台顶层设计指南(工信信函20132号) GB/T21064-2007电子政务系统总体设计要求 GB/T20988-2007信息系统灾难恢复规范 GB/T21061-2007国家电子政务网络技术和运行管理规范 中华人民共和国计算机信息系统安全保护条例（1994国务院147号令） 国家信息化领导小组关于加强信息安全保障工作的意见（中办发200327号） 关于信息安全等级保护工作的实施意见（公通字200466号） 电子政务信息安全等级保护实施指南（试行）（国信办200525号） 信息安全等级保护管理办法（公通字200743号） 关于开展信息安全等级保护安全建设整改工作的指导意见（公安部20091429号文） GB17859-1999计算机信息系统安全保护等级划分准则 GB/T22239-2008信息系统安全等级保护基本要求 GB/T22040-2008信息系统安全等级保护定级指南 GB/T25058-2010信息系统安全等级保护实施指南 GB/T25070-2010信息系统等级保护安全设计技术要求 GB/T28448-2012信息系统安全等级保护测评要求 GB/T28449-2012信息系统安全等级保护测评过程指南 ISO17799:2005信息安全管理体系实施细则 ISO/IEC27001:2005信息安全技术信息安全管理体系要求 ISO9000(2000)质量管理 ISO20000-1:2005IT服务管理规范 ISO20000-2:2005信息技术服务管理规范 ITIL标准IT服务管理标准库 ITSS国家信息技术服务标准 国家其它相关的法律法规及有关强制性的标准和规范2）国际标准规范：WS-*、SOAP、JMS、XML、IS027001云服务安全认证、IS020000、云安全联盟C-Star等。2.1.2 设计原则遵循“四统一”原则。统一领导，分步实施；统一建设，资源共享；统一管理，保障安全；统一服务，注重成效。(一) 统一领导，分步实施加强云平台领导小组的职责，牵头制定云平台顶层规划设计，统筹基础设施、重大工程建设实施，指导协调部门应用发展。(二) 统一建设，资源共享统筹建设湖南省省级电子政务外网统一云平台，整合信息资源，逐步实现政务信息资源（人口库、法人库、宏观经济、地理空间、电子证照、信用信息、政务信息和工商企业等基础资源）的集中。(三) 统一管理，保障安全遵循国家信息安全等级保护相关规定，强化网络和信息安全管理，落实责任机制，加强要害信息系统和信息基础设施安全保障，确保安全可控。(四) 统一服务，注重成效以提升政府管理能力、提高民生服务水平为需求导向；有序推动湖南省省级电子政务外网统一云平台的建设，制定合理迁移计划。2.2 总体架构设计2.2.1 云平台总体架构形成四横两纵的“省级统一云平台”总体技术架构“省级统一云平台”的总体技术架构为四横两纵，四横是指：基础设施服务层(IaaS)、数据服务层（DaaS）、平台服务层（PaaS）、应用软件服务层（SaaS）；两纵是指：信息安全体系、管理体系和标准体系。 （图1：“省级统一云平台”总体技术架构）基础设施服务层（IaaS）：提供基本的计算、存储、网络服务；提供基础资源的虚拟化服务、资源的动态分配、再分配和回收。数据服务层（DaaS）：DaaS数据即服务。数据共享交换平台通过进行数据的比对、处理、融合和共享，为电子政务应用和各厅局的专业应用提供统一数据支撑。大数据智能分析平台，通过高性能的实时和非实时大数据计算能力、丰富的统计、分析、挖掘模型，为政务决策提供智能支撑。平台服务层(PaaS)：平台服务层包括信息资源与应用支撑。应用支撑主要提供网络信任体系、中间件、应用开发、单点登录等功能。软件服务层（SaaS）：SaaS软件即服务，开展政务服务云、政务行业云、政务管理云、政务决策云、政务办公云等建设。两纵指的是云平台信息安全管理体系：针对云平台建设，通过技术手段保证数据安全、应用安全、主机安全、网络安全、物理安全、管理安全，保障湖南省省级电子政务外网统一云平台的安全。管理体系：包括运行维护管理和运营管理，保障云平台的正常运行，提供资源管理、调度管理、监控管理等运维功能，以及业务管理、流程管理、订单管理等运营功能。2.2.2 本期建设总体部署架构（图示：本期建设总体部署架构）通过优化升级，构建一张全省统一的高性能、高可靠的电子政务外网，采用丰富的云基础设施、云存储、云安全和各类服务构件共同部署2个云计算中心，为省委、省人大、省政府、省政协、机关和省直部门的非涉密业务提供服务，打造政府内部业务应用云、互联网业务应用云，形成省级统一云平台内、外两朵云。“一网”：湖南省电子政务外网架构主要由核心交换区、省级城域网、省市县三级广域网、数据中心网络组成。广域网用于覆盖省、市（州）、 县各层级行政区域，由各级行政区域内广域骨干节点设备和之间传输链路组成；城域网主要用于同城政务部门互联，为各个省职政务部门提供互联互通、信息共享的基础平台。新构建的外网关键设备和链路无单点故障，带宽得到升级，承载能力和安全保障能力得到全面提升，保证系统可持续、高效、安全运行，满足国家部委、市州部门、县市区部门、乡镇社区的网络业务需求。“两云计算中心：采用同城双活数据中心的架构建设2个云计算中心，每个云计算中心分为内部数据中心和外部数据中心，内外数据中心均部署网络资源、计算资源和存储资源，采用虚拟化技术搭建云计算平台。内部数据中心连接互联网，主要部署互联网业务，内部数据中心连接电子政务外网，主要提供电子政务业务。2.2.3 网络整体架构设计（图示：网络整体架构设计）湖南省电子政务外网采用分区规划，分层设计，双节点冗余部署。整个网络分为核心路由区、广域网区、城域网区、数据中心区、互联网出口区。核心路由区由2台广域网高端核心路由器和2台城域网高端核心交换机口字型互联。广域网采用省级、市级、县级三层部署，省级到市级采用1000M链路，市级至县级为100M链路。城域网分为核心层、汇聚层和接入层三层架构，核心层到汇聚层采用双冗余10G线路互联，汇聚层到接入层1000M线路互联。数据中心网络结构扁平化，采用VXLAN技术部署大二层网络，充分利用虚拟化和堆叠技术提高网络可靠性和资源利用率，同时合理部署安全设备实现网络安全可控。另外，湖南外网使用广域网核心路由器与国家电子政务外网工程办下发的上联路由器设备进行双链路千兆连接，拓扑结构如下图所示： 2.2.4 广域网架构设计（图示：广域网架构设计）广域网采用省、市（州）、县三级部署，省级广域网的核心节点上连国家电子政务外网，同时做为全省电子政务广域网骨干节点，市（州）网络结点是承上启下的关键节点，上行双链路双归属核心节点，下接县级节点。各级节点由两台高性能路由器组成，两台设备既互为备份又负载均衡，不同节点间采用不同运营商链路进行链路保护。2.2.5 城域网架构设计 （图示：网络整体架构设计）城域网采用三层架构设计，核心层采用双核心组网，是城域网的数据转发中枢，为接入区和汇聚区提供跨区域的数据转发，上行采用10GE链路连接广域网核心，下联省委、省政府、省人大、省政协、省二院和长沙市政府6大汇聚节点，同时与内部数据中心互联。核心、汇聚、接入节点均采用虚拟化堆叠技术，可以将复杂的网络拓扑结构简化为层次分明、互联关系简单的网络结构，网络各层之间通过链路聚合，自然消除环路，不需要再部署MSTP、VRRP等协议，支持跨设备的链路聚合功能，实现跨设备的链路冗余备份。 2.2.6 数据中心架构设计 （图示：数据中心架构设计）湖南政务云数据中心采用标准化、开放和高扩展的云计算架构，支撑省政府各部门的政务外网、互联网等多种不同业务服务。（1）网络资源设计：网络采用扁平化二层架构，分为核心层和接入层，提高性能，减少时延；网络大二层部署，保证虚拟机在资源池内部的热迁移能力；核心交换机旁挂负载均衡器，提供负载均衡增值服务；防火墙支持虚拟防火墙能力，实现业务系统之间的安全隔离。外网服务区与互联网服务区之间网络通过部署数据交换平台实现不同业务域之间的安全隔离。（2）计算资源设计：采用标准化的X86物理服务器，构建计算资源池。采用OpenStack开放架构，支持Xen、KVM等主流虚拟化平台。X86服务器根据业务系统对资源的不同需求，配置不同的产品型号及物理配置，划分高性能计算区、通用性能计算区，分别作为虚拟化资源和物理机资源。（3）存储资源设计：多样化存储部署，满足不同业务系统的需求，降低存储的投资成本。对于数据库、VM文件系统采用FC SAN进行承载；对于非结构化数据、虚拟化镜像等数据存储，建议采用分布式文件系统存储承载，保障存储性能和扩容能力。（4）业务云化设计：根据各政府部门业务对云资源的不同需求，以及业务云化的难度，分批逐步的将现网业务系统迁移至云服务商政务云，实现更多政务业务的云化。（5）云管理平台设计： 构建统一云管理平台，通过对政务云基础资源的抽象和资源池化，提供自助式的IaaS、PaaS、SaaS服务。政府客户可通过云管理平台统一门户自助申请云服务，并进行灵活的管理。同时，云管理平台也负责对政务云所有基础资源进行统一的运维管理。2.2.7 两地三中心架构设计 （图示：两地三中心架构设计）采用“同城双活+异地灾备”的技术方案，建设两地三中心。在同城租用电信运营商机房作为主数据中心，通过波分设备与省二院机房互联组成同城双活数据中心，同时向外提供业务服务，实现关键业务双活。任意一数据中心站点故障，都不会中断业务，确保云平台安全，实现业务连续性保护。在异地建设一个容灾备份中心，通过存储远程复制技术和数据备份技术，实现双中心业务数据的异地备份，当双中心出现区域灾难，可确保业务数据不丢失。通过两地三中心的建设，湖南省省级电子政务外网数据中心的灾难恢复能力 达到“信息系统灾难恢复规范”国家标准 GB/T 20988-2007 的 6 级，即 RTO 为 数分钟， RPO 为 0，部分业务 RTO 可以达到 0 的水平。第3章 政务外网改造升级方案3.1 网络需求分析3.1.1 弹性需求在信息化蓬勃发展的今天，业务增长异常迅猛，数据中心的性能和容量都面临挑战。数据中心不仅需要提升服务器性能，增加服务器的接入带宽，还需要充分利用已有的IT资源，为企业减轻成本负担，在这种背景下分布式计算、虚拟化等技术应运而生。企业的大量分布式计算业务比如搜索，3D渲染等需要多个服务器集群协同工作；虚拟机的自由部署和动态迁移也使得虚拟机之间需要实时同步大量数据，这些协同和同步工作将在服务器间产生大量的横向交互流量，这也使得数据中心的流量模型从南北向流量为主变更为东西向流量为主。数据中心流量模型的变化如上图所示。服务器存储密度的快速提升促进服务器10GE接入TOR迅速成为主流，横向协同计算流量的增加也使得网络侧上行通过40GE/100GE进行互联大量应用，数据中心的网络模型也从传统的三层模型向胖树架构演进。这些业务需求的改变要求数据中心网络能够实现大缓存和横向无阻塞。3.1.2 业务需求湖南政务云从业务层面看存在几种类型的业务，主要包括：数据业务、公众服务业务、高性能计算业务，这三种业务可能相对独立，也可能融合在大的业务系统中。每种业务类型对网络的需求如下：1. 数据业务数据业务是数据中心中最基本的业务，文件存储、数据交换等都是典型的数据业务。1) 流量需求：主要是客户端和服务器之间的数据请求和应答，不同时间段流量极不均衡，网络规划时需要按照峰值考虑，同时考虑客户端数量、多业务并发的情况，并为未来业务的发展留有余量。网络各层设备间的带宽收敛比主要依据业务的并发情况进行设计。2) 安全性需求：不同业务的隔离，要求终端用户只能访问相应权限的业务服务器；此外还有对网络攻击流量、病毒传播的识别处理等。3) 可靠性要求：不同业务类型对网络的可靠性要求可能会不同，这里仅根据经验给出一般需求建议。对内业务系统，一般对网络可靠性要求较低，数据中心内部的故障在2030分钟内恢复，数据中心整体故障需要在48小时内从备用数据中心恢复业务；对外业务系统，一般对网络可靠性要求较高，数据中心内部的故障应能够自动切换修复，或者在10分钟内手工恢复，数据中心整体故障需要在2小时内从容灾中心恢复。2. 公众服务业务公众服务类业务既面向外部用户提供互联网访问，也对内提供基于B/S模式的业务处理。1) 流量需求：包括客户端和服务器之间的数据请求和应答，以及服务器之间的流量；其中客户端和数据中心之间的（纵向）流量相比数据中心内部的（横向）流量要小得多。对于这样的数据中心，基于扁平部署模型，网络规划时主要考虑交换机的横向流量转发能力。扁平化部署模型如下图所示:2) 安全性需求：Web业务通过Web服务器和APP服务器将客户端和数据库服务器隔离开，从业务模型上提高了数据库服务器及最终数据的安全性。但Web服务器、APP服务器和数据库服务器之间有逐跳的网络通道，需要防范逐条的安全攻击。3) 可靠性要求：由于将业务处理流程分解为多段网络交互，在业务可靠性不变的前提下，要求每段网络交互可靠性更高，即要求提升整网的可靠性。3.1.3 高性能计算业务指需要高性能计算的业务，例如大数据挖掘、数据索引等。计算业务的典型模式是以大量的服务器协同工作组成集群，共同完成一项计算任务。流量需求：计算业务的流量主要是服务器之间的流量，通过将计算业务分发给大量DB服务器处理，DB服务器将处理结果返回给APP服务器，如下图所示（基于普通服务器区规划）。l 网络对瞬时流量的缓存能力如上图，对于普通服务器区规划，基于传统的三层架构网络模型，除非APP服务器在业务分发时有很好的调度机制，否则，DB服务器返回的处理结果会集中在很短的时间内同时到达APP服务器，数据流量会瞬间超出APP服务器的网络接口带宽，如果网络不能缓存流量，则必然造成丢包，导致APP无法完成完整的业务处理。因此需要网络进行流量缓存，保证不丢包。l 网络无阻塞对于高效服务器区规划，基于大二层的网络模型，服务器之间业务是全互联的。业务系统需要使用点对点的通信模式，任何两个服务器节点之间都有可能建立连接，这就要求在网络带宽规划时，需要做到转发性能的位置无关性，也就是通常所说的无阻塞。综上所述，根据政务云数据中心的组网及业务特点，主要在服务器接入（包括虚拟化接入）、网络的高可靠高稳定性、可扩容、大容量、网络环境的安全性等方面有着针对性的要求。因此本方案主要围绕着这些方面展开方案的组织和设计。3.1.4 虚拟化需求服务器虚拟化使更高效地利用IT资源的降低企业运营成本成为可能，但是传统网络无法感知服务器内部多虚拟机之间的交互流量，也不能进行流量监控和必要的策略控制，要实现虚拟机的灵活部署和动态迁移就需要对网络设备做相应的调整，使网络设备能够感知虚拟交换。另外为了实现在虚拟机迁移时用户业务不中断，虚拟机的迁移还必须满足以下两点需求：虚拟机迁移的物理服务器范围不应过小，否则无法充分利用空闲的服务器资源。为保持应用业务不中断，迁移后虚拟机IP地址不能改变，因此迁移不能跨VLAN。以上关于虚拟化的需求的满足要求数据中心网络能够实现下图所示的大二层网络。3.1.5 网络资源整合与共享需求数据中心对网络可靠性和安全性的需求是最基本的需求。可靠性设计包括链路冗余、关键设备冗余和重要业务模块冗余设计。安全性设计包括物理空间的安全控制及网络的安全控制设计。传统数据中心中前端网络、服务器网络和存储网络独立组网，物理上冗余设计和安全控制设计将导致资源成本高昂、利用率低且运维复杂。在云计算时代，为了充分利用网络资源实现业务的灵活部署，需要将多业务网络纵向融合成一张物理网，通过网络设备的虚拟化实现冗余备份和业务隔离。对于存储网络，服务器网络等多类型的网络可以横向融合，通过采用FCoE和DCB等技术降低管理复杂性以及提高网络部署的可扩展性。3.1.6 运维和能耗管理需求数据中心运维和管理需要解决以下几点问题：数据中心网络设备和IT资源呈现数量大、类型广和厂商多的特点，各个不同的系统管理复杂。数据中心网络延伸到服务器内部，业务以及网元复杂度高，管理系统要能够实现物理和虚拟网络拓扑完整展示，网络流量的精细化管理和监控以及网络故障的快速定位。闲置的服务器资源和网络设备将造成能耗浪费。不断攀升的能耗使得数据中心的运营成本居高不下。解决以上问题要求数据中心网络能够实现统一运维管理，借助网管的可视化工具实现对数据中心的业务和能耗管理。3.2 网络设计方法论数据中心网络设计，需依循系统的方法论。3.2.1 设计目标1）业务战略目标包含客户业务发展战略对数据中心网络的需求，如未来几年内随着业务发展，对于数据中心网络容量，性能及功能的需求是什么。2）应用部署目标包含应用系统，服务器、存储、应用本身对网络通信的需求。3)网络管理目标数据中心网络除了支持自身的管理外，还是应用服务器、存储盘阵和其他应用系统的管理运行平台;其他系统的日常管理、控制指令都需要通过网络提供的管理平台发布和执行。数据中心网络规划还应充分考虑客户当前的网络现状，机房环境，投资回报和维护成本问题。机房在综合布线，供电和制冷规划时应秉持着绿色节能的理念，降低数据中心整体能耗，提高能源效率。3.2.2 技术手段的选择近两年随着数据中心的大规模建设，数据中心网络技术快速发展。下图中列出了目前数据中心设计技术发展趋势。数据中心网络规划设计过程中需要重点关注。数据中心网络设计三个阶段相互区别，但并非简单换代关系：传统数据中心偏重资源整合，网络性能要求低，业务分区物理独立，业务较固定。虚拟化阶段，网络设计承前启后，提供较好的业务灵活性，同时使传统数据中心结构得以延续。云计算数据中心偏重资源灵活调度，网络性能要求高、物理/逻辑分区界限模糊化、资源灵活按需使用。数据中心网络规划设计应综合考虑技术发展趋势，潜在风险，以现有网络架构为基础采用阶段化策略，逐步建立稳健、可持续运行的云网络架构。除以上输入外，数据中心网络规划设计人员需要了解以下几个要素：数据中心机房的物理布局：包括基础设施配备限制，空间使用计划，机房部署规划，布线空间限制等制约条件。数据中心现有网络的现状：通常现有的网络是根据实际情况发展出来的，必须对网络现状进行具体分析，才能设计规划出适应业主IT系统的数据中心网络。如某些专有系统对网络有特殊要求，数据中心网络必须满足；有些系统运行管理流程的要求，数据中心网络也必须满足。相关的行业标准必须支持，如TIA942等布线标准、IEEE的各种接口标准，网络距离限制都需要尽量满足，以适应未来数据中心的运行管理和业务扩展。3.3 网络技术路线3.3.1 下一代虚拟云网络在面向10GE/40GE服务器接入、40GE/100GE互联的云时代，数据中心网络除了具有超强的接入能力和互联能力，还需要能够在业务区域动态增加的基础上相应灵活扩充核心、汇聚和接入层网络，从而满足云计算数据中心全方位无阻塞交换场景，同时也具备“T级”的海量安全防护能力。3.3.2 高品质虚拟云网络数据中心网络解决方案能够帮助客户打造高可靠、不间断、无阻塞品质云网络解决方案。数据中心互联和灾备方案构建高可用云网络，保证数据中心业务永久在线。三重互联，满足前后端各类业务需求：一层SAN网络互联，实现主备数据中心之间数据级容灾；二层网络互联，采用VLL/VPLS技术，可用于构建一个跨数据中心的大二层网络，满足服务器集群和虚拟机动态迁移的需求；三层网络互联，采用MPLSL3VPN技术，同时还可提供IPSecVPN和SSLVPN安全接入方式，满足应用业务需求，实现业务级容灾。两级灾备，实现数据级和业务级完美协同：集成路由器和光传输，“IP+光”形成全方位的数据级和业务级快速容灾备份能力。路由器提供多数据中心间的灵活互联和IPSAN备份，支持基于硬件的BFD和OAM，有效减少收敛时间。3.3.3 智能化虚拟云网络在云计算数据中心的建设中，无论是最传统的生成树技术，还是TRILL/SPB,都显示了不同程度的局限。新一代虚拟网络虽姗姗来迟，却已肩负众望。计算虚拟化提高了服务器资源利用率，其快速部署、动态迁移等特性满足业务快速扩展需求，成为当前企业IT建设的常规形态。但是传统网络对计算虚拟化的适配一直存在问题，网络无法快速的适配虚拟机的扩展以及业务的快速变更。利用新一代虚拟网络技术，可以实现传统网络向网络虚拟化的深度延伸，实现真正的云网融合，从而构建新架构下的数据中心网络。一、传统数据中心网络面临的问题1.虚拟机迁移范围受限传统网络架构以三层网络为主，主要是以控制南北数据流量为目标。由于数据中心虚拟机的大规模使用，虚拟机迁移的特点以东西流量为主。虚拟机迁移前后需要其IP地址、MAC地址等参数要求保持不变，因此要求业务网络是一个二层网络，但现有二层网络技术，无论是生成树技术还是近几年出现的大规模二层网络技术TRILL/SPB/FabricPath等都存在不同程度的局限。2.业务规模受网络设备规格限制云计算数据中心中部署了大量的虚拟机，每个虚拟机都会占用一个二层地址表项。而二层地址表是有规格上限的，尤其对接入设备而言，设备本身二层地址表现规格较小。因此极大的限制了云计算数据中心的业务规模。3.不能适应大规模租户部署云计算数据中心内承载大量不同租户的业务，租户与租户之间有安全隔离的需求。当前主流的租户隔离技术就是传统的VLAN技术，而在大型的云数据中心，大量租户部署会遇到两大限制：限制一：VLAN可用的数量为4K（4X1024），远远不能满足云业务部署需求。限制二：如果在大规模数据中心部署VLAN，会使得所有VLAN在数据中心内都被允许通过，导致任何一个VLAN的广播风暴会在整个数据中心内泛滥，大量消耗网络带宽，同时运维管理困难。二、新一代虚拟网络解决问题的新思路针对前面提出的三大技术挑战，业界提出新的思路，在不改变原先网络架构的基础之上，新建一个面向应用的逻辑网络新一代虚拟网络，为云业务提供支撑。新一代虚拟网络是指建立在物理网络上的逻辑网络。该网络中的结点可以看作通过虚拟或逻辑链路而连接起来的。新一代虚拟网络具有独立的控制和转发平面，对于连接在新一代虚拟网络边缘设备之外的终端系统来说，物理网络是透明的。新一代虚拟网络是物理网络向云和虚拟化的深度延伸，使云资源池化能力可以摆脱物理网络的限制，是实现云网融合的关键。1.新一代虚拟网络技术如何应对挑战l）虚拟机迁移范围受限的解决方式新一代虚拟网络技术是把二层报文封装在IP报文之上的隧道技术。因此，只要网络支持IP可达就可以部署新一代虚拟网络，且在网络结构上没有特殊要求。路由网络本身具备良好的扩展能力，很强的故障自愈能力和负载均衡能力。采用新一代虚拟网络技术后，企业不用改变现有网络架构就可用于支撑云计算业务，部署极其方便。2）业务规模受网络规格限制的解决方式部署新一代虚拟网络后，虚拟机数据封装在IP数据包中，对于承载网络（特别是接入交换机）只需要学习隧道端点的MAC，MAC地址规格需求极大降低。而对于核心网关处的设备表项(MAC/ARP)要求依然极高，采用分布式网关解决方案，通过多个核心网关设备提高表项的总体规格，有效解决核心设备规格表项受限问题。3）租户数量限制的解决方式新一代虚拟网络技术扩展了隔离标识的位数，可以支持数量高达16M（16X1024X1024）的用户，极大扩展了隔离数量，足以满足超大规模公有云数据中心需求。针对广播风暴问题，新一代虚拟网络对广播流量转化为组播流量，可以避免网络本身的无效流量的带宽浪费。2.新一代虚拟网络模型根据客户不同组网需求，新一代虚拟网络分为三种组网模型（如图所示）。网络新一代虚拟网络。隧道封装在物理交换机完成。这种新一代虚拟网络的优势在于物理网络设备性能转发性能比较高，可以支持非虚拟化的物理服务器之间的组网互通。主机新一代虚拟网络。隧道封装在vSwitch完成，不用增加新的网络设备即可完成新一代虚拟网络部署，可以支持虚拟化的服务器之间的组网互通。混合新一代虚拟网络。是网络新一代虚拟网络和主机新一代虚拟网络的混合组网，可以支持物理服务器和虚拟服务器之间的组网互通。3.实现新一代虚拟网络的三大技术方案IETF在新一代虚拟网络技术领域提出三大技术方案。分别是VXLAN、NVGRE和STT，其中VXLAN利用了现有通用的UDP传输，成熟度极高，VXLAN技术具有更明显的优势。L2-L4层链路HASH能力强，不需要对现有网络改造（NVGRE有不足，需要网络设备支持）。对传输层无修改，使用标准的UDP传输流量（STT需要修改TCP）。业界支持度最好，商用网络芯片大部分支持。新一代虚拟网络的网络架构是网络支持云业务发展的理想选择，提供了网络资源池化的最佳解决方式，克服了基于VLAN的传统限制，可为处于任何位置的用户带来最高的可扩展性和灵活性、以及优化的性能。云计算数据中心借助新一代虚拟网络弥补网络资源虚拟化短板后，才能实现计算、存储以及网络的一体化运维管理，实现真正的虚拟化和自动化的IaaS云。数据中心网络管理解决方案采用统一网管，实现IP、IT以及第三方设备及应用的智能化管理，同时支持虚拟资源的管理和机房、网络的可视化管理。随着IT业务的发展，数据中心网络的管理和维护问题也日益复杂，同时网络资源池虚拟化的诉求也日益增强。一虚多（VirtualSystem，VS）方案：将一台物理设备虚拟成多台独立的逻辑设备，每个逻辑设备如同一台单独设备一样独立配置、管理、维护和运行，并与其他VS相互隔离。（1）数据中心网络通过物理设备上虚拟出来的VS承载不同业务或者服务于不同的用户群，达到业务隔离，提升网络可靠性和安全性的目的。（2）不同业务区（如生产区、办公区、测试区、DMZ区等）或用户群共享核心交换机资源，极大提升设备利用率，同时实现不同业务区的安全隔离，有效降低网络投资，并可以实现多用户群管理隔离，有效简化运维。多虚一（CSS/iStack）方案：把多台物理设备虚拟成一台逻辑交换机，简化网络管理，提高网络可靠性和链路利用率。（1）简化运维：整个CSS系统被作为一台交换机来管理，简化运维、降低OPEX；（2）可靠性高：CSS系统内一台设备故障，其他设备可以接管CSS系统的控制和转发，避免单点故障；（3）无环网络：跨设备的链路聚合，在CSS系统和其他设备互联时，天然避免了环路问题，无需部署复杂的破环协议；（4）链路均衡：跨设备的链路均衡，100的网络链路和带宽的利用率。“多虚一”再“一虚多”方案：可以先把两台物理设备虚拟化为一台逻辑设备，再通过VS虚拟化为多台逻辑设备。对于服务器区、网络管理区等集中在中心机房的区域，暂时可不部署三层汇聚交换机，通过VS虚拟出独立的设备作为该区域的汇聚交换机，技术实现效果完全一致。纵向多虚一方案：作为一种纵向堆叠管理技术，可把原来两层组网中的服务器接入设备融合进一个大的堆叠系统，成为一个逻辑上更大的单一管理系统。FET实现不同型号设备的虚拟化，纵向维度上支持对系统进行异构扩展，即在形成一台逻辑虚拟设备的基础上，把一台盒式设备作为一块远程接口板加入主设备系统，以达到扩展I/O端口能力和进行集中控制管理的目的。这一管理上移的思路带来两个明显的优点：（1）给简化网路管理提供了技术支撑，纵向整合更加明显；（2）可节省原服务器接入设备横向的堆叠线缆，降低系统TCO。3.3.4 虚拟感知云时代服务器的虚拟化变革要求数据中心建立大二层的网络，虚拟机不仅能够在大二层网络中任意部署和自由迁移，还需要在虚拟机迁移过程中将配套的网络策略和安全策略同步进行迁移。虚拟智能感知组件，在统一监控物理服务器、虚拟机、虚拟交换机、TOR交换机等数据中心网络资源的同时，实现全网虚拟资源和物理设备间拓扑关系的展示，通过感知虚拟变更动态的调整虚拟机的物理网络策略。3.3.5 网络智能化全球云计算应用已经规模开展，据Forrester Research显示，最近10年，云计算市场规模将由2011年的407亿美元增至2020年的2410亿美元。作为承载云业务的核心基础设施，云数据中心也面临着新一轮的演进和变革。政务云数据中心的发展将经历三个阶段：虚拟化阶段、自动化阶段和多云化阶段，目前正处于第一阶段向第二阶段的迁移过程中。当前，数据中心内设备的虚拟化程度已经比较高，大量的企业服务器和存储设备都实现了虚拟化，再加上配套的虚拟交换机、云管理平台等产品，在企业数据中心内部形成了一个新的虚拟世界，这些属于IT范畴；但原有的大量物理交换设备，增值业务设备，广域路由设备等仍停留在物理实体阶段，也在数据中心内部保存了一个大的物理网络世界，这些属于CT（网络）范畴。虚拟与物理世界的割裂成为云数据中心的核心矛盾，不幸的是当前数据中心的虚拟世界（IT）和物理世界（CT/网络）相互割裂，在资源统一发放，故障联动诊断等方面带来了一系列问题，成为云业务部署效率的最大障碍。政务数据中心管理通常分为IT系统管理和网络系统管理两大部分，IT系统管理员主要通过IT系统创建业务并调配对应的计算和存储资源，而网络系统管理员则负责网络资源的建设和维护。当前阶段，IT系统已通过虚拟化和自动化技术大幅提升了部署效率，但是云业务不仅需要计算和存储资源，也包括网络资源；物理网络部署的低效率，以及其与IT系统的割裂，日益成为云数据中心的核心矛盾。由此可见，物理网络只有通过软件定义实现自动化，才能从根本上解决数据中心计算、存储和网络资源的统一发放问题，软件定义的网络（SDN）是构建云数据中心的核心环节。一个完整的DC网络包含计算网络，存储网络和DC互联网络。然而，当前数据中心的三张网络均以手工部署为主，造成业务发放效率和资源利用率低，并且严重阻碍了云业务的高效发展。以某航空企业为例，其IT系统管理部门由于业务变化频繁，每个月派发工单1000个到网络管理部，使网络管理部在几个数据中心疲于奔波，加班加点调整网络也只能完成70%的工单，造成了工单的不断积压，影响了业务的快速发展。而一旦出现故障，IT系统只能检测部分的故障，由于缺乏中间物理网络的信息联动，无法及时发现准确的故障点。对云数据中心尤其是网络系统而言，迫切需要解决网络与IT系统割裂，从而使得云计算业务发放效率非常低下；DC互联网络无法灵活调度，造成带宽资源严重浪费。3.4 网络设计原则标准化规范是湖南省电子政务外网项目建设的基本保障。在严格遵循国家电 子政务外网和湖南省电子政务外网有关规范标准的基础上，结合具体情况，在湖 南省电子政务外网建设过程中，按照远景规划、业务逐步迁移的建设步骤，将严 格遵循以下原则：1 先进性电子政务外网在网络方面要求具备当今业界领先的技术水平，以保证当前及今后一段时间内系统不会过时或淘汰。由于网络设备及技术更新换代频繁，盲目 追求系统的先进性会带来投资风险，因此在规划、设计时，既要考虑到先进性， 适度超前，也要避免盲目投资风险，保证 5 年内不过时。2 实用性要考虑已建网络或应用系统需求和特点，兼容各政务部门已有网络平台和业务系统；根据各政务部门的业务需求，适当考虑其设备、技术的前瞻性，满足其 政务部门的业务要求；要充分考虑政务业务的特点，以及外网用户对使用方面的 习惯、功能等要求，满足未来用户可能提出的要求。3 可靠性电子政务外网要求有高度的稳定性、可靠性，网络不稳不但影响政务工作的顺利进行，还会影响政府在社会公众中的形象。因此，要考虑网络线路、设备的 质量和冗余，保障网络平台的稳定性。4 安全性湖南省电子政务外网是各级政务部门内部使用的计算机网络，其联网范围大，联接节点多，确保安全很重要。在规划设计的全过程中要充分体现系统建设和信 息安全相结合的原则，从物理、技术、管理等方面制定严密的安全方案，形成多 层次、全方位的安全防线。在保证高效安全的前提下，优先考虑国产设备和软件。5 经济性在设计和建设中，应尽充分利用原有的各种网络设备、线路、服务器、计算机等资源，保护已有投资，避免投资浪费，节约政府资金。网络带宽可以满足当 前及今后一段时期内政务外网上各种应用的需求，需要时再及时增加。新增设备选用上，在保证兼容性、可扩展性的情况下选择性能价格比高的产品。6 可扩展性电子政务外网建成后，要求在不影响外网上各种应用的前提下，可根据业务的需要，网络系统可以进行顺利扩展或平滑升级。采取模块化的设计可以根据网络需求的变化，在不影响现有网络运行的状况下，迅速扩展。因此要尽可能选用 模块化的网络产品，提供系统的扩展性。7 绿色环保，高效节能要充分考虑绿色环保，高效节能，充分参考 PUE 等参数。3.5 网络架构和技术演进随着互联网技术的发展，云计算和移动化成为推动企业网络架构和技术演进的关键因素。支撑云计算和移动化的发展，成为下一代企业网络的关键任务。云计算已日趋成熟并逐渐成为企业IT系统的主流技术。云计算的广泛应用改变了IT系统的架构，使分散的资源充分池化，将IT资源封装为以可量化可定制的服务，按需的快速满足业务对IT资源的诉求。云计算的部署在如何实现资源池的构建、如何满足快速灵活的业务发放和如何达成业务永续性等方面推动网络架构的革新。随着智能终端的普及和功能的完善，企业用户信息的获取和处理方式也随之发生了变化。信息的存储和处理向云端集中后解放了终端，使用户的终端类型得到丰富，也是用户接入企业网络的方式更为多样。在移动化的背景下，企业网络不仅要满足对各种不同场景的接入需求，也要充分保障安全性，并保证优质的用户体验。网络向未来演进的五大趋势：趋势一数据和计算全面向云端集中云计算规模部署后，云平台提供了海量的数据存储和计算能力。目前分散在各种终端设备上的数据将由云提供集中的存储和处理，大幅提升处理效率和存储的可靠性。同时，数据的流转也将由“终端到终端”向“云端到云端”转化；云与用户终端隔离后，将关键数据封闭在云端，保证安全。趋势二用户流量向Internet快速转移向云端集中后，用户终端由数据存储和处理设备演变为云接入和浏览工具。用户除通过传统PC，也将使用智能终端访问云。同时，更多的企业服务将直接通过智能终端供给，并充分社交网络整合，以最大限度的满足用户移动办公时对灵活高效的要求。随着3G/4G和WIFI的普及和安全防护措施的完善，使Internet接入更加便捷，更能满足“任何时间、任何地点、任何终端”泛在接入的愿景。趋势三业务分布部署，热点数据贴近用户数据在云端集中，用户在更大的范围内访问云。将业务分布部署、将热点数据贴近用户，成为保证用户访问质量和高可靠性的关键手段。分布式部署要求云上的多个数据中心间可实现高速的互联互通，保证数据可快速在云上个节点流转。同时，网络要提供就近的接入和数据访问能力，保证用户最快捷的获得信息。趋势四传统平台、私有云、混合云和公有云长期共存部分应用对基础设施的需求以及企业IT系统的历史继承性导致传统IT平台将继续存在，并不会完全被云平台所代替。同时，根据对不同的业务场景的，私有云和公有云的部署模式也将长期存在。这就要求政务云网络要满足多场景的接入模式，同时要实现私有和公有云的安全连接。趋势五分布式、多层次、动态安全防护基础设施的云化导致更多的业务在同一资源池部署，通过网络入口的安全防护已无法满足云端的安全隔离要求，需将安全控制的手段分布到云端的每个业务节点，实现贴身的安全防护。多种云平台混合部署，Internet与Intranet混合使用，要求加固网络边界防护的同时，可针对基础平台和具体业务提供分层防护。安全策略和安全执行资源也可随业务动态调度，满足安全防护的快速部署要求。3.6 政务外网设计总述3.6.1 总体网络框架政务外网按照管理层次划分，可分为中央级、省级、地市级、县级政务外网。各级政务部门通过本级城域网接入政务外网，实现互联互通；各级城域网建设统一的互联网出口，为本级的政务部门提供互联网服务。网络框架如图所示。3.6.2 业务网络模型据政务外网所承载的业务和系统服务的类型的不同，以中央级政务外网为例，在逻辑上，政务外网划分为公用网络区、互联网接入区和专用网络区三个功能域，分别提供政务外网互联互通业务，互联网业务和专用VPN业务。如图4-2所示。a）公用网络区：即采用国家政务外网注册地址（59地址）的网络区域，是国家政务外网的主干道，实现各部门、各地区互联互通，为跨地区、跨部门的业务应用提供支撑平台；国家政务外网承载网仅路由国家政务外网注册地址。b）专用网络区：是为有特定需求的部门或业务设置的网络区域，实现同一部门全国性业务的开展，保证不同部门或不同业务之间的相互隔离。c）互联网接入区：是各级政务部门通过逻辑隔离安全接入互联网的网络区域，满足各级政务部门利用互联网的需要；同时也是移动办公的公务人员通过数字证书认证安全接入政务外网的途径。中央和地方分别设置互联网出口，中央级政务外网骨干网不路由地方互联网业务。3.7 政务外网总体网络架构湖南省电子政务外网主要由2台广域网高端核心路由器和2台城域网高端核心交换机口字型互联，构成全网物理连接和路由转发的核心区。广域网核心路由器上连国家电子政务外网，下连全省14个市（州）汇聚节点以及异地灾备机房。城域网核心交换机下连省委、省政府、省人大、省政协、省二院、河西-长沙市政府等6大汇聚节点，两大数据中心的外部数据中心以及CA/RA和网管中心。城域网核心交换机上联互联网出口区，为本级城域网用户提供访问互联网的服务。外部数据中心通过两台边界防火墙与互联网出口互联，实现外部用户由互联网对外部数据中心的安全访问。另外，湖南外网使用广域网核心路由器与国家电子政务外网工程办下发的上联路由器设备进行双链路千兆连接，拓扑结构如下图所示： 3.8 广域网网络升级改造方案可以按三种结构组建政务外网广域网，其拓扑结构如下图所示：骨干网逻辑拓扑图经过分析，湖南省政务外网选择了C方案，即双星方案，作为一期工程网络拓扑。首先，采取双星型网络拓扑结构主要优点如下： 组网方式结构比较简单，降低组网成本和线路租用费用，也便于网络维护。 在各节点采用电信级可靠性设备，同时设备的关键部件，如主控模块、交换矩阵、电源等关键部件冗余配置，在核心节点配置冗余备份路由器，保证网络的可靠性。 任何两个节点之间通信的转发路径比较固定，即时延固定，更加适合于需要支持视频会议等实时应用的网络； 网络升级、扩容简单便利，增加新的网络连接只需要增加相应的网络设备接口和租用新的线路。 符合电子政务外网的应用需求，采用按照行政机构组织模式和业务流程组网的方式，实施起来比较容易，管理层次比较清晰。其次，节点保护一般通过负载均衡、主备、虚拟化等方式实现。负载均衡方式是一种根据IP五元组进行HASH算法将数据流量均衡的分担到各个节点设备的方式，能够有效的利用网络资源，同时也能做的节点设备之间的互为备份。主备方式中仅主用设备承担数据流量转发，当主用设备出现故障时备用设备能够接替主用设备工作保证节点业务不中断，但是该方式对网络资源利用率低下。虚拟化具备负载均衡的特性，对业务部署也较为便利，一般虚拟化技术需要专用的虚拟化板卡、线缆及license投资较大。3.8.1 省级节点改造方案省级广域网的核心节点由两台高性能的路由器组成，两台设备既互为备份又负载均衡，它们之间通过2*10GE链路聚合的方式进行连接。省级核心节点与市（州）级核心节点采用不同运营商或不同路由的双链路进行连接。省级