贵州省电子政务外网建设交流ppt下载.ppt

贵州省电子政务外网建设技术交流,锐捷网络 廖荣强,1,1,提纲,国家电子政务外网建设基本情况,贵州省电子政务外网省级平台建设情况,2,电子政务外网建设近期目标,国家发改委、财政部联合印发关于加快推进国家电子政务外网建设工作的通知（发改高技2009988号文）1、到2010年初，基本实现在京中央各政务部门的接入。2、到2010年底，建成并从中央到各省、自治区、直辖市及新疆生产建设兵团、计划单列市（含深圳、大连、青岛、宁波和厦门）共37个地区的一级广域骨干网。基本完成对省、地（市）、县各级政务部门的网络覆盖。3、初步形成安全策略统一的信息安全保障体系。4、建设并完善中央网管中心、数据中心、备份中心、安全管理中心和数字认证中心。5、初步形成国家政务外网标准规范体系。6、初步形成政务外网建设、运维和管理上下协同的工作机制，整体运维及服务能力明显提高。,3,3,政务外网逻辑结构和服务体系,外网项目简介,4,4,外网业务划分,主要技术要点,5,国家电子政务外网建设现状,5,6,06,已经承载的中央部门应用,7,电子政务外网建设技术类问题,1、架构选择,2、接入模式,3、IP地址及域名规划,4、路由及MPLS域规划,5、数据中心建设,6、网络安全,7、QoS设计,8、出口设计及网络管理,8,8,提纲,国家电子政务外网建设基本情况,贵州省电子政务外网省级平台建设情况,9,10,贵州省电子政务外网项目背景,贵州省政务外网要实现国家-省-市（州、地）-县的四级覆盖，网络要覆盖9个市（州、地），89个县，12个经济开发区（等同于县级），1199个乡镇，贵州省政务外网要承载5-10个国家级业务，如文化共享工程、“金安工程”等；承载3-5个省级业务，如行政审批与电子监察系统、应急指挥系统等；承载5-10个市县级业务；承载3-5个公共服务业务，如电子公文传输系统、视频会议系统、公务员电子邮件系统、即时通讯系统等。,11,贵州省电子政务外网总体框架,12,贵州省电子政务外网业务逻辑划分,13,贵州省政务外网总体结构,14,贵州省政务外网广域网拓扑,15,贵州省电子政务外网省级平台网络拓扑图,协同办公公文传输,电子监察行政审批,应急信息视频会议,数据存储磁盘阵列,网管、业务支撑系统,电子政务数据中心,RG-S7806,RG-RSR7708,MSTP,MSTP,155M,2M,NE40E-X3,NE40E-X3,RG-RSR7708,RG-RSR7708,九个地市,MSTP,MSTP,MSTP,60个分散委办局接入RG-RSR30-44,RG-RSR7708,RG-RSR7716,RG-S8610,省委和省政府大楼局域网,国家电子政务外网,省骨干NE80,RG-WALL V1600E,互联网出口,RG-ACE2000,RG-NPE50E,省网核心,单模,多模,MSTP,图例,RG-RSR7716,RG-S8610,RG-S8610,城域网,城域网,16,城域网横向到边的网络平台省城域网是连接各位省直厅局的网络平台地市城域网是连接各位市属委办局的网络平台广域网纵向到底的网络平台省地市县的纵向广域网络平台网络架构选择,网络架构的选择,锐捷推荐：横向交换、纵向路由,17,线路的变化裸光纤链路价格下降及MSTP线路的普及城域网以裸光纤为主，接入以MSTP为主接入接口的多样性（均为以太网接口），使得交换机作为核心成为可能性价比高一台核心路由器的价格是一台核心交换机的三到四倍一台核心路由器对数据的转发性能是1/4到1/2,选择交换机的理由,18,交换组网与路由组网的区别,19,县级用户1,县级用户2,县级用户N,县级用户,县级用户,县级用户N,地市城域网,地市城域网,省级直属单位城域接入,纵向网组网线路模式一,N*155M POS,N*155M,省骨干路由器（RSR-16E）,省干地市路由器RG-RSR50E,县接入路由器,县接入路由器,地市骨干路由器,省干地市路由器RG-RSR50E,地市骨干路由器,省骨干路由器（RSR-16E）,SDH/MSTP,SDH/MSTP,SDH,SDH,155M,155M,N*155M,N*155M POS,省到地市可采用2个155M线路，地市到县采用1个155M线路，适用于数据量大、接入厅局众多，线路架设方便的省份,M,M,20,县级用户1,县级用户2,县级用户N,县级用户,县级用户,县级用户N,地市城域网,地市城域网,省级直属单位城域接入,纵向网组网线路模式二,N*155M POS,155M,省骨干路由器（RSR-16E）,省干地市路由器RG-RSR50E,县接入路由器,县接入路由器,地市骨干路由器,省干地市路由器RG-RSR50E,地市骨干路由器,省骨干路由器（RSR-16E）,SDH/MSTP,SDH/MSTP,MSTP,MSTP,100M,155M,N*155M POS,省到地市一个155M，地市到县采用100MMSTP线路，适用于地市到县距离相对较短，线路布设方便充沛的省份,M,M,20,21,县级用户1,县级用户2,县级用户N,县级用户,县级用户,县级用户N,地市城域网,地市城域网,省级直属单位城域接入,纵向网组网线路模式三,N*155M POS,8M,省骨干路由器（RSR-16E）,省干地市路由器RG-RSR50E,县接入路由器,县接入路由器,地市骨干路由器,省干地市路由器RG-RSR50E,地市骨干路由器,省骨干路由器（RSR-16E）,SDH/MSTP,SDH/MSTP,internet,internet,8M,VPN拨入,VPN拨入,N*155M POS,省到地市一个155M，县到地市直接采用VPN拨入的方式，将各个县级用户看作分散接入用户。适用于数据量小，线路维护架设有困难的省份。,M,M,21,22,县级电子政务外网,省级电子政务外网,广域网互联模型,22,地州电子政务城域网,RSR7708,NE40E-X3,RSR7708,县级电子政务外网,县级电子政务外网,S8610,MSTP,MSTP,RSR7708,NE20,NE20,NE20,MSTP,MSTP,MSTP,23,上下联分开设计优势分析,1、技术角度a、流量分担：上联路由器负责地州委办局联系省厅局业务，下联路由器负责联系县与地州委办局相关业务；b、减少省-地州，地州-县业务相互之间的耦合度，下联升级、扩容、变更时不会影响到上联业务；c、安全保障：地州城域网产生攻击，不会影响到下联联业务，单一县设备出现问题，不会影响地市委办局的上联业务；d、减少路由波动对网络的影响：省网一个AS域，每个地市AREA，每个地州有区域边界路由器ABR，区域路由汇总，减少路由波动对网络带来的影响。2、管理角度a、分级管理，权责分明：上联设备归省信息中心管理，下联设备归地州信息中心管理，方便维护，故障判断清晰；b、网络分层化设计：网络结构清晰明了，方便网络扩展，使每一层都能更好的利用带宽资源。,23,24,传输技术及线路选择分析,24,25,厅局有专网业务安监局、审计局、新华社支持M-VRF的路由器、交换机（自行进行NAT）厅局无专网业务国土厅、教育厅、体育局等路由器、交换机（自行进行NAT）,厅局接入政务外网模型分析,26,厅局接入政务外网模型,电子政务外网IP地址前置服务器,DMZ区,应用服务器,接入单位交换机,客户端,路由器接入,NAT,NAT,10.0.X.X,厅局接入路由器上做NAT(MCE),27,厅局接入政务外网模型（交换机模式）,电子政务外网IP地址前置服务器,DMZ区,应用服务器,接入单位交换机,客户端,地址转换,交换机,NAT,NAT,交换机支持M-VRF,28,单一主机适用多个VPN（多角色主机）,28,电子政务外网IP地址前置服务器,DMZ区,接入单位交换机,客户端,路由器接入,NAT,NAT,10.0.X.X,29,厅局专有VPN接入参考模型,审计署,审计厅,审计局,审计局,国家政务外网,省级政务外网,市级政务外网,县级政务外网,MPLS,MPLS vpn,MPLS vpn,MPLS vpn,MPLS vpn,30,综合业务管理,数据中心部署锐捷网络BMC IT运维管理软件，实现从部署、监控到审计，端到端的网络管理。可从整体上对包括IP网络设备，存储，计算，中间件，操作系统，应用等组件在内的 IT 基础设施环境进行综合健康监控管理的平台，并能够提供业务系统实时告警和图形化问题定位，性能趋势分析和预警，能够基于电子政务关键业务系统的角度，以业务重要性为导向进行事件处理和通知。,31,实例,32,32,提纲,国家电子政务外网建设基本情况,贵州省电子政务外网省级平台建设情况,33,电子政务外网,区县,区县,区县,省网,地区骨干路由器,NE40E-X3,100M联通出口,100M电信出口,政府门户网站,互联网服务区,分散厅局,州行政大楼,分散厅局,分散厅局,分散厅局,分散厅局,分散厅局,分散厅局,分散厅局,分散厅局,分散厅局,分散厅局,分散厅局,分散厅局,分散厅局,分散厅局,分散厅局,分散厅局,分散厅局,分散厅局,分散厅局,分散厅局,分散厅局,分散厅局,分散厅局,分散厅局,网络管理中心,安全域控制系统,政务外网数据中心,协同办公公文传输,电子监察行政审批,应急信息视频会议,数据存储磁盘阵列,单模光纤100M,双绞线1000M,单模光纤10G,多模光纤1000M,安全域控制卡,安全域控制卡,安全域控制卡,防火墙,防火墙,防火墙,WEB防火墙,SSL VPN,出口路由器,单模光纤1000M,RG-RSR7708,RG-RSR7708,RG-NPE50E,贵州省电子政务外网地市电子政务外网拓扑图,RG-S8610,34,地市电子政务横向网整体解决方案,市电子政务横向网,汇聚层,核心层,S8600PE,S5750EMCE,S5750EMCE,S3760MCE,S3760MCE,S2600CE,PE+MCE方式接入,MCE+MCE方式接入,MCE+VLAN方式接入,RSR20MCE,35,35,36,电子政务外网信息系统定级,36,37,地市等级保护给用户带来的价值,协助客户顺利通过等保评测实现了全程的控制，增强了网络层的安全强度明显降低客户泄密风险对安全域划分清晰明了（安全域SMP）降低用户管理难度、提升部门形象端点准入与CA整合，解决了用户多次认证的烦恼,37,38,统一访问,建立统一的互联网访问出入口,统一管理,完善准出准入制度，建立相应的出入口使用权限管理体系,统一安全,多种安全策略联动保护，建立全面安全机制,统一审计,完善上网行为、设备日志的统一记录，建立高效的审计平台。,统一互联网出口,39,电子政务健康运行监控中心,以业务模型为核心，基于强大的RIIL平台构建,39,基于SOA架构的开放管理服务,IP环境统一管理信息模型,IP环境资源安全和性能评价模型,IP 基础设施抽象层,IP基础设施实时运行对象库,RIIL Realtime Intelligent Infrastructure Library实时智能基础设施库,业务可用性管理,业务性能管理,业务资源管理,业务状态可视化,业务用户管理,业务风险管理,业务系统模型管理,40,40,提纲,国家电子政务外网建设基本情况,贵州省电子政务外网省级平台建设情况,41,锐捷网络与贵州省电子政务外网,42,86汇聚区,57汇聚区,老城区,区县,贵阳市电子政务外网,43,二.方案概述 本方案采用了应用安全域解决方案的“安全域划分”和“安全域跳转”的功能，让用户可以分时复用同一套物理网络，“同一时间只能访问一个安全域”的设计，让互联网和业务数据永不相通，同时又是在一套物理网络上，实现了资源的最大化利用。该功能的实现，是通过锐捷网络的S8600交换机+防火墙插卡+RG-SMP专业版软件共同实现的，整个用户的认证、权限分配过程是由软件配合硬件自动实现的，无需对设备进行任何的规则配置，而且用户在漫游到其他区域时，其规则跟随用户一起漫游，省去了大量的维护工作量。,44,CA联动示意图,45,三.总体方案特点,投资最小化采用应用安全域解决方案，并采用集中式安全管理的模式部署，实现了两方面的效果：第一，利用同一套物理网络实现了多套物理网络的效果，各个单位虽然都接入在同一张电子政务外网当中，但每个单位看到的资源、业务均不相同，用户感觉跟使用自己的专网效果一致，同时，应用安全域让终端用户可以使用同一台电脑来完成各种业务的访问，而无需使用多台电脑，这也节约了大量的计算机资源；第二，利用最少的设备和软件完成上述功能，通过安全域边界集中，实现了设备投资的最小化，仅需部署很少量的设备，就可以实现应用安全域的功能，实现了投资最小化。便利最大化电子政务外网建设的本意，是资源的节约和用户便利性的提升，在逻辑隔离领域，存在多种技术，如VLAN、ACL、MPLS VPN等等，这些技术各有特色，也都能在不同程度上实现隔离的效果，但其使用便利度上都比较差，用户要么不能移动，要么需要多台终端来访问不同的业务，要么在移动时需要网络管理方进行大量的配置修改，是一种得不偿失的方案。应用安全域解决方案采用了改良的基于用户身份的分布式ACL解决方案，这种部署方式带来了两方面的便利最大化：第一，对于管理员，用户的网络访问权限由后台系统自动生成并下发给管理设备，无需管理员干预，免去了大量的设备配置工作。第二，对于终端用户，无需使用多台电脑来访问不同的业务，安全域跳转非常方便，同时便捷访问列表也方便的列出了用户在每个安全域中需要使用的业务系统，直接点击即可访问。管理最优化解决方案的设计充分考虑了电子政务外网管理中的权限问题，通过与CA系统的对接，实现了“多权分立”“各司其职”的建设效果，信息中心负责网络层面的维护，CA中心负责用户的身份及权限的分配，各个单位则通过这两个机构将自己的人员和权限管理得以落地，避免了权责方面的混乱。安全合理化应用安全域解决方案，为电子政务外网建设提供了一个更优的选择，基于身份的权限管理，让权限管理更加灵活，也让用户在使用时更加便利，是最合理的解决方案。,46,电子政务外网,区县,区县,区县,省网,地区骨干路由器,NE40E-X3,100M联通出口,100M电信出口,政府门户网站,互联网服务区,地直单位,州行署大楼,地直单位,地直单位,地直单位,地直单位,地直单位,地直单位,地直单位,地直单位,地直单位,地直单位,地直单位,地直单位,地直单位,地直单位,地直单位,地直单位,地直单位,地直单位,地直单位,地直单位,地直单位,地直单位,地直单位,地直单位,网络管理中心,安全域控制系统,政务外网数据中心,协同办公公文传输,电子监察行政审批,应急信息视频会议,数据存储磁盘阵列,MSTP链路,双绞线1000M,多模光纤1000M,汇聚交换机,网络管理交换机,防火墙,SecGate3600-G30-6866,WEB应用防火墙,SSL VPN,出口路由器,单模光纤1000M,RG-RSR7708,RG-NPE50E,铜仁地区电子政务外网,安全域控制卡,RG-S8610,汇聚交换机,汇聚交换机,运维支撑系统,VPN链路,RG-S5750E,RG-S5750E,RG-S5750E,RG-RSR20,47,二.方案概述 铜仁地区电子政务外网二期工程对铜仁地区电子政务外网横向城域网进行了重新规划，重点进行如下方面的规划建设采用了锐捷网络面向10万兆平台设计的RG-S8610，打造无阻塞的数据交换核心；采用3台RG-S5750E系列交换机，打造高速城域网汇聚层；采用RG-RSR7708高端分布式路由器作为城域网核心路由器，负责有重要纵向业务需求委办局的纵向网接入；采用具有高性能NAT、负载均衡和智能DNS的出口引擎RG-NPE50E，打造统一高效的电子政务外网互联网出口；采用锐捷网络1000台RSR20系列多业务路由器作为地直和县直单位接入设备；采用锐捷网络应用安全域业务系统进行全网的安全控制管理，满足等级保护要求；采用RG-RIIL-BMC综合业务管理系统，对电子政务外网基础承载平台和外网业务进行有效的管理。,48,三.总体方案特点 建成后的铜仁地区电子政务外网具有高可靠性，广接入性，为未来打造”数字铜仁“奠定了坚实的技术基础；建成后的铜仁地区电子政务外网具有完善的安全业务管理系统，业务系统逻辑结构清晰，能够基于多种信息属性来灵活地定义安全域物理功能区域、行政部门和业务类型、处理信息的密级；不同安全子域内可方便地部署不同等级的安全防护策略；各区域防护重点明确，将有效的安全资源投入到最需要保护的资产。能够在共享的传输链路和共享的交换平台上落实安全访问控制；并且实现了实现安全域边界集中；对终端用户能够进行用户身份识别支持客户端模式、web模式，并且2种模式均支持与CA联动；,49,电子政务外网,区县,区县,区县,省网,地区骨干路由器,NE40E-X3,100M联通出口,100M电信出口,政府门户网站,互联网服务区,地直单位,地直单位,地直单位,地直单位,地直单位,网络管理中心,安全域控制系统,政务外网数据中心,协同办公公文传输,电子监察行政审批,应急信息视频会议,数据存储磁盘阵列,MSTP链路,双绞线1000M,多模光纤1000M,汇聚交换机,网络管理交换机,防火墙,SecGate3600-G30-6866,WEB应用防火墙,SCE2020,多模光纤10G,RG-RSR7708,RG-NPE50E,毕节地区电子政务外网,RG-S8610,汇聚交换机,汇聚交换机,运维支撑系统,Catalyst 6509*2,横向接入单位区域,行政中心原网络,行政中心视频会议专网,cisco7206,IDS,数据中心核心,有纵向业务的地直单位,汇聚交换机,核心交换机,P设备,PE设备,MCE设备,MCE设备,CE/MCE设备,50,遵义市电子政务外网横向骨干网拓扑图,ISP,RG-S8610+FW,RG-S12010,RG-S12010,RG-S12006市政府,RG-S12006沙坝,RG-S12006高桥,RG-S12006大连路,RG-S12006大兴路,RG-S12006海尔大道,RG-S12006新店子,RG-RSR7708,防火墙/防毒墙,IPS,RG-WALL 1600E-NG,RG-NPE50E,区县电子政务外网,重要纵向业务,省电子政务外网,1000M光纤,1000M双绞线,图例,MSTP链路,51,二.方案概述 遵义市电子政务外网二期工程对遵义市电子政务外网横向城域网进行了重新规划，重点进行如下方面的规划建设骨干网和数字中心建设首次提出云计算概念，重点建设“云端”和“云管”；“云端”采用了锐捷网络面向10万兆平台设计的RG-S8610，打造无阻塞的数据中心；采用两台RG-S12010和七台RG-S12006云计算专用交换机，打造面向云计算的高带宽、高扩展的”云管“网络；采用RG-RSR7708高端分布式路由器作为城域网核心路由器，负责有重要纵向业务需求委办局的纵向网接入；采用具有高性能NAT、负载均衡和智能DNS的出口引擎RG-NPE50E，打造统一高效的电子政务外网互联网出口；采用锐捷网络下一代防火墙/VPN网关RG-1600E-NG作为VPE设备，负责VPN用户的接入控制管理；采用锐捷网络应用安全域业务系统进行全网的安全控制管理，满足等级保护要求；采用RG-SNC网络管理软件，对电子政务外网基础承载平台进行有效的管理。,52,三.总体方案特点 建成后的遵义市电子政务外网具有高可靠性，高扩展性，为未来打造”智慧遵义“奠定了坚实的技术基础；建成后的遵义市电子政务外网具有完善的安全业务管理系统，业务系统逻辑结构清晰，能够基于多种信息属性来灵活地定义安全域物理功能区域、行政部门和业务类型、处理信息的密级；不同安全子域内可方便地部署不同等级的安全防护策略；各区域防护重点明确，将有效的安全资源投入到最需要保护的资产。能够在共享的传输链路和共享的交换平台上落实安全访问控制；并且实现了实现安全域边界集中；对终端用户能够进行用户身份识别支持客户端模式、web模式，并且2种模式均支持与CA联动；,53,安顺市电子政务外网,54,电信OA,市电子政务外网,图例,路由口,交换口,OA用户/电子政务外网用户,互联网用户,互联网流量,电子政务外网流量,OA流量,互联网VRF,公共路由,互联网VLAN,OA/电子政务外网VLAN,静态路由,默认路由,安顺市电子政务外网接入单位规划方案,55,55,谢谢大家！,