市电子政务网技术方案书

1、 PAGE77 / NUMPAGES78 XX市电子政务网络调整和完善第一次设备采购项目技术方案书YYYYYYY集团2006-6方案优势YYYYYYY集团具有强大的技术力量和服务力量国家信息产业部计算机信息系统集成一级资质企业信用等级AAA级涉与国家秘密的计算机信息系统集成资质（甲级）通过ISO9001:2000质量管理体系认证YYYYYYY集团具有丰富的MPLS VPN实施经验和电子政务网的建设经验省公安厅二级网MPLS VPN实施网通宽带IP网MPLS VPN实施网通DCN网MPLS VPN实施网省电子政务MPLS VPN实施省电子政务网MPLS VPN实施CISCO公司产品和技术优势行业

2、标准的制定者和新技术的推进者业界最佳的产品稳定性优秀的组播VPN实现技术MPLS TE技术CISCO特有的业务分类技术MPLS DS-TE二层MPLS VPN技术目录 TOC o 1-3 h z u HYPERLINK l _Toc1472897901综述 PAGEREF _Toc147289790 h 4HYPERLINK l _Toc1472897912电子政务网络背景与现状 PAGEREF _Toc147289791 h 6HYPERLINK l _Toc1472897923电子政务网络建设目标与原则 PAGEREF _Toc147289792 h 8HYPERLINK l _Toc14

3、72897934电子政务网络需求分析 PAGEREF _Toc147289793 h 9HYPERLINK l _Toc1472897944.1政务网需求分析 PAGEREF _Toc147289794 h 9HYPERLINK l _Toc1472897954.2政务外网需求分析 PAGEREF _Toc147289795 h 9HYPERLINK l _Toc1472897964.2.1电子政务外网建设目标 PAGEREF _Toc147289796 h 9HYPERLINK l _Toc1472897974.2.2电子政务外网建设需求 PAGEREF _Toc147289797 h 10

4、HYPERLINK l _Toc1472897984.2.3电子政务外网建设规划 PAGEREF _Toc147289798 h 12HYPERLINK l _Toc1472897994.3市政务网和市政务外网的联网单位 PAGEREF _Toc147289799 h 17HYPERLINK l _Toc1472898004.4现状分析 PAGEREF _Toc147289800 h 18HYPERLINK l _Toc1472898015电子政务网络总体架构 PAGEREF _Toc147289801 h 20HYPERLINK l _Toc1472898025.1基础网络总体架构 PAGE

5、REF _Toc147289802 h 20HYPERLINK l _Toc1472898035.1.1市电子政务网网络拓扑 PAGEREF _Toc147289803 h 20HYPERLINK l _Toc1472898045.1.2市电子政务外网网络拓扑 PAGEREF _Toc147289804 h 20HYPERLINK l _Toc1472898055.2MPLS VPN技术优势 PAGEREF _Toc147289805 h 21HYPERLINK l _Toc1472898065.2.1MPLS技术 PAGEREF _Toc147289806 h 21HYPERLINK l _

6、Toc1472898075.2.2MPLS支持的路由协议 PAGEREF _Toc147289807 h 21HYPERLINK l _Toc1472898085.3快威实施MPLS VPN技术的优势 PAGEREF _Toc147289808 h 26HYPERLINK l _Toc1472898096XX电子政务网解决方案 PAGEREF _Toc147289809 h 27HYPERLINK l _Toc1472898106.1网络建设原则 PAGEREF _Toc147289810 h 27HYPERLINK l _Toc1472898116.2设计要求 PAGEREF _Toc147

7、289811 h 30HYPERLINK l _Toc1472898126.2.1可靠性和自愈能力 PAGEREF _Toc147289812 h 30HYPERLINK l _Toc1472898136.2.2拥塞控制与服务质量保障 PAGEREF _Toc147289813 h 31HYPERLINK l _Toc1472898146.2.3网络的扩展能力 PAGEREF _Toc147289814 h 32HYPERLINK l _Toc1472898156.2.4网络管理与安全体系 PAGEREF _Toc147289815 h 32HYPERLINK l _Toc1472898166

8、.3XX市电子政务网建设方案 PAGEREF _Toc147289816 h 33HYPERLINK l _Toc1472898176.3.1网络拓扑 PAGEREF _Toc147289817 h 33HYPERLINK l _Toc1472898186.3.2网络平台设计 PAGEREF _Toc147289818 h 34HYPERLINK l _Toc1472898196.3.3设备选型和配置说明 PAGEREF _Toc147289819 h 34HYPERLINK l _Toc1472898206.4XX市电子政务外网建设方案 PAGEREF _Toc147289820 h 36H

9、YPERLINK l _Toc1472898216.4.1.网络拓扑 PAGEREF _Toc147289821 h 36HYPERLINK l _Toc1472898226.4.2网络平台设计 PAGEREF _Toc147289822 h 37HYPERLINK l _Toc1472898236.4.3设备选型和配置说明 PAGEREF _Toc147289823 h 41HYPERLINK l _Toc1472898246.5机房分布与单位覆盖 PAGEREF _Toc147289824 h 43HYPERLINK l _Toc1472898256.6光缆距离路由表 PAGEREF _T

10、oc147289825 h 44HYPERLINK l _Toc1472898266.7Internet联网 PAGEREF _Toc147289826 h 45HYPERLINK l _Toc1472898276.7.1网络拓扑 PAGEREF _Toc147289827 h 46HYPERLINK l _Toc1472898286.7.2Internet网络设计 PAGEREF _Toc147289828 h 46HYPERLINK l _Toc1472898296.8网络各节点的接入方式 PAGEREF _Toc147289829 h 47HYPERLINK l _Toc14728983

11、06.8.1市政务网的接入 PAGEREF _Toc147289830 h 47HYPERLINK l _Toc1472898316.8.2市政务外网的接入 PAGEREF _Toc147289831 h 48HYPERLINK l _Toc1472898326.8.3各委（办、局）的政务外网接入方式。 PAGEREF _Toc147289832 h 50HYPERLINK l _Toc1472898336.8.4各县（市、区）的政务外网接入方式。 PAGEREF _Toc147289833 h 51HYPERLINK l _Toc1472898346.9IP地址规划 PAGEREF _Toc

12、147289834 h 52HYPERLINK l _Toc1472898356.9.1市政务网 PAGEREF _Toc147289835 h 52HYPERLINK l _Toc1472898366.9.2市政务外网 PAGEREF _Toc147289836 h 52HYPERLINK l _Toc1472898376.9.3承载网设备地址规划 PAGEREF _Toc147289837 h 52HYPERLINK l _Toc1472898386.9.4互联设备IP地址VPN1（PE-CE）规划 PAGEREF _Toc147289838 h 53HYPERLINK l _Toc147

13、2898396.9.5互联设备IP地址VPN2（PE-CE）规划 PAGEREF _Toc147289839 h 53HYPERLINK l _Toc1472898406.9.6公众服务专网分配原则 PAGEREF _Toc147289840 h 54HYPERLINK l _Toc1472898416.9.7资源共享专网分配原则 PAGEREF _Toc147289841 h 54HYPERLINK l _Toc1472898426.9.8部门业务专网地址规划 PAGEREF _Toc147289842 h 54HYPERLINK l _Toc1472898436.9.9公网IP地址申请 P

14、AGEREF _Toc147289843 h 54HYPERLINK l _Toc1472898446.10域名规划 PAGEREF _Toc147289844 h 54HYPERLINK l _Toc1472898456.10.1政务网域名规划 PAGEREF _Toc147289845 h 54HYPERLINK l _Toc1472898466.10.2政务外网域名规划 PAGEREF _Toc147289846 h 56HYPERLINK l _Toc1472898477资源规划 PAGEREF _Toc147289847 h 59HYPERLINK l _Toc1472898487.

15、1路由规划 PAGEREF _Toc147289848 h 59HYPERLINK l _Toc1472898497.1.1市电子政务网路由协议 PAGEREF _Toc147289849 h 59HYPERLINK l _Toc1472898507.1.2市电子政务外网路由协议 PAGEREF _Toc147289850 h 59HYPERLINK l _Toc1472898517.1.3市电子政务外网MPLS VPN部署 PAGEREF _Toc147289851 h 63HYPERLINK l _Toc1472898527.1.4不同自治域MPLS VPN的互通 PAGEREF _Toc

16、147289852 h 63HYPERLINK l _Toc1472898537.2MPLS VPN各专网的规划 PAGEREF _Toc147289853 h 65HYPERLINK l _Toc1472898547.2.1VPN路由转发表 PAGEREF _Toc147289854 h 65HYPERLINK l _Toc1472898557.2.2RD/RT命名 PAGEREF _Toc147289855 h 66HYPERLINK l _Toc1472898567.3设备命名规则 PAGEREF _Toc147289856 h 67HYPERLINK l _Toc1472898578网

17、络安全设计 PAGEREF _Toc147289857 h 69HYPERLINK l _Toc1472898588.1物理环境的安全性 PAGEREF _Toc147289858 h 69HYPERLINK l _Toc1472898598.2网络的安全性 PAGEREF _Toc147289859 h 69HYPERLINK l _Toc1472898608.3网络攻击的防护手段 PAGEREF _Toc147289860 h 71HYPERLINK l _Toc1472898618.4管理的安全性 PAGEREF _Toc147289861 h 73HYPERLINK l _Toc147

18、2898628.5网络调优 PAGEREF _Toc147289862 h 74HYPERLINK l _Toc1472898638.5.1IGP路由优化 PAGEREF _Toc147289863 h 74HYPERLINK l _Toc1472898648.5.2BGP路由优化 PAGEREF _Toc147289864 h 74HYPERLINK l _Toc1472898658.5.3流量优化 PAGEREF _Toc147289865 h 74HYPERLINK l _Toc1472898668.5.4MPLS-VPN优化 PAGEREF _Toc147289866 h 75HYPE

19、RLINK l _Toc1472898678.6设备安全优化 PAGEREF _Toc147289867 h 76HYPERLINK l _Toc1472898688.6.1远程登录telnet 的控制 PAGEREF _Toc147289868 h 76HYPERLINK l _Toc1472898698.6.2通过SSH登陆到CISCO设备 PAGEREF _Toc147289869 h 76HYPERLINK l _Toc1472898708.6.3网管SNMP的安全性 PAGEREF _Toc147289870 h 76HYPERLINK l _Toc1472898718.6.4con

20、sole的控制 PAGEREF _Toc147289871 h 77HYPERLINK l _Toc1472898728.6.5关闭不需要的服务 PAGEREF _Toc147289872 h 77HYPERLINK l _Toc1472898738.6.6Spantree的优化 PAGEREF _Toc147289873 h 78HYPERLINK l _Toc1472898748.6.7设备“广播风暴”的抑制 PAGEREF _Toc147289874 h 78综述非常荣幸能有机会参与XX市电子政务网络系统建设项目的投标活动，感XX网通和XX市政府给予我公司的机会。在此衷心希望我公司的综合

21、能力能够满足XX市电子政务网络建设的需求，并希望能够与XX网通和XX市政府信息中心一起将先进技术综合并付诸实现，确保项目的成功实施。本项目包括软硬件平台的设计、安装、调试、试运行，我公司提供以上服务外，还提供设备初验后3年的设备保修。关于所涉与的硬、软件平台的架构已在技术方案相关章节中详细阐述。所设计的技术方案能满足本系统运行的需求。我们期待在本项目中，通过与甲方和各相关公司的密切配合，在相关设备原厂商对本项目的直接支持下，充分发挥公司的系统集成实力和本地支持优势：1.公司优势：本公司是以计算机行业应用软件开发和应用系统集成为主要发展方向的高科技企业。在多年的集成实践中积累了丰富的集成经验，同

22、时有着雄厚的经济实力，获得国家信息产业部计算机信息系统集成一级资质，企业信用等级AAA级，涉与国家秘密的计算机信息系统集成资质（甲级），通过ISO9001:2000质量管理体系认证，自1992年公司创办至今历年的公司业绩均呈上升态势，能够为用户提供长期稳定的技术支持，为本项目的实施提供了可靠的保障。2.经验优势：本公司成功实施过多个大型电子政务系统的网络平台，包括省电子政务网、省电子政务网、省电子政务网等，具备大型省级电子政务网方面的实施经验，并以良好的维护服务获得用户的好评。3.本地优势：本公司总部设在XX，使我公司人员能够与时到达甲方现场，可提供最快的服务响应时间。4.资源优势：本公司是C

23、isco公司金牌代理集成商（全球金牌合作伙伴），IBM公司区域战略联盟、EMC公司的合作伙伴、公司拥20名以上的经过认证的CCIE工程师，与其它四十几名不同级别的认证工程师。公司先后建立了技术支持中心、实验室、设备备件库。按照质量管理体系规标准建立了一套科学的计算机系统设计、实施、技术支持与服务的操作流程。上述这些丰富的技术和服务资源可以为本项目成功的实施和运行维护上提供可靠的保障。5.服务优势：本公司以战略的高度重视客户对服务的不同需要和满意度。因此开发一系列符合客户需要的服务。这些服务能完整地支持客户系统的整个生命周期，包括：供货与保修服务、项目实施与升级服务、系统维护服务、培训服务、技术

24、咨询服务。6.MPLS VPN实施优势：本公司始终认为：对于任何一个项目，从方案的设计到项目的实施，整个项目获得成功的关键就是有关各方的相互交流和沟通。这种交流和沟通将始终贯穿于整个项目的执行过程当中，其中包括集成商、设备厂商在的各有关方面的交流。本方案集中我公司的上述优势，针对贵方的招标要求进行了系统、详细的设计，提供了完整的技术解决方案。我们坚信：“只有客户项目的成功才有我们的事业发展”。此次递交技术方案是希望能够有机会与XX网通和XX市政府合作，共同建设好XX市电子政务网络项目。电子政务网络背景与现状随着全球信息化的发展和我国信息化进程的加快，政府信息化作为国家信息化的龙头，在提高政府行

25、政质量和效率以与科学决策与宏观调控能力上初显威力，电子政务已成为各级政府推动行政创新、政务公开等方面的具体举措，建立电子政府，推动电子政务的发展，已成为一种世界性的潮流和趋势。2002年中央办公厅、国务院办公厅下发了国家信息化领导小组关于我国电子政务建设指导意见（中办发200217号），明确规定了国家统一电子政务平台分为政务外网和政务网。2003年中央办公厅、国务院办公厅又下发了国家信息化领导小组关于加强信息安全保障工作的意见（中办发200327号）。国家电子政务外网一期工程第一阶段的建设任务计划到2005年年底也将完成。2003年，根据中办17号文件精神，省人民政府办公厅下发了关于建设省电子

26、政务网络平台的通知(浙政办函200388号)，成为省建设电子政务统一网络平台的指导性文件。2005年10月省人民政府办公厅又下发了关于印发省电子政务网络技术规的通知(浙政办发200595号)，成为省各地市建设电子政务网络平台的指导性文件。XX市电子政务网目前仅是局域网畴，联网围局限在市政府办公厅少数业务处室，向上通过专线和省政务网互联互通。1997年，根据“两办”关于建立XX市党政机关计算机通信网（市委办199681号）要求，市政府办公厅组建了涵盖市级各单位和各区、县（市）党委、政府的XX市党政机关计算机通信网，并于2001年完成了通讯方式由拨号向宽带网络的过渡（主要是利用运营商的VPN）。2

27、003年，根据省人民政府办公厅关于建设省电子政务网络平台的通知(浙政办函200388号)精神,市政府办公厅对XX市党政机关计算机通信网按照政务外网的要求进行了升级改造,重新架构了XX市电子政务外网平台。2004年，为了充分发挥XX市电子政务网络平台的作用,实现政府各部门的网络互连互通和信息资源共享,避免重复建设,市政府办公厅下发了关于统一全市电子政务网络平台的通知（杭政办函200426号） ，要求市政府各部门、各直属单位面向社会的专业性服务业务和不需在政务网上运行的业务系统必须统一运行在市政务外网上。目前，市政务外网联接市级各部门和区、县（市）约180家单位，按照市政府办公厅的要求，已有市党政

28、机关办公业务资源系统、12345交办反馈系统、工商前置并联审批系统、会计集中结算系统、市投资项目审批综合信息系统等多个业务应用运行在统一的政务外网上。另外，市政务外网通过联接6个主城区的通信线路，已经实现与城区街道、社区的联网，如市民政局的“XX市帮扶救助管理信息系统”已经利用市政务外网部署到了所有社区。2005年，根据XX市电子政务建设实施纲要（2005年-2006年）（以杭政函200569号下发）的要求，市政府办公厅正在牵头组织完善XX市电子政务网络平台。但是，随着各部门信息化建设的深入开展，各部门各自为政、网络重复建设的问题也日趋凸现，据2004年底的不完全统计，全市各部门共有31各类专

29、网、1400余个接入点，重复建设、网络不能互联互通、信息资源不能共享的矛盾还是比较突出；另外，政务网也迫切需要按照国家和省政府的要求做进一步扩展深伸。电子政务网络建设目标与原则根据省人民政府办公厅关于建设省电子政务网络平台的通知（浙政办函200388号）和省电子政务网络技术规的要求。确定XX市政府电子政务网络平台的总体建设目标是：一是建成符合国家要求的安全电子政务网络外网平台，连接市、区(县、市)二级党委、人大、政府、政协、检察、法院职能部门系统，以与因工作需要接入的企事业单位；该网络平台支持数据、语音和视频业务，传输性能满足业务需求，具备网络管理和信息交换等各项功能，实现跨部门、跨地区的业务

30、互联。二是按照国家、省对电子政务网的要求，并结合XX实际建设符合国家要求的安全电子政务网络网平台。三是将运行在原市电子政务外网平台和各类其它网络平台上的业务分别迁移到市电子政务、外网平台上。市电子政务网络设计遵循以下原则：实用性。保证网络结构和网络运行的稳定性，避免纯技术、纯理论化的设计。标准性。采用国家电子政务网络建设的标准，保障网络的互连互通。扩展性。适应电子政务应用需求，具有灵活的扩展能力。可管理性。易于管理、维护，明确网络分级管理与维护的责任。电子政务网络需求分析政务网需求分析XX市政务网应能满足市和县（市、区）二级党委、人大、政府、政协与应需接入的单位传送涉密电子公文、传送不适合通过

31、政务外网传输的信息。在延续“小网、大外网”的思路的前提下，根据省政府办公厅要求，适当拓展政务网接入围，拟将政务网接入延伸到各区、县（市）。市级各部门结合实际应用，按需接入。政务网要求配备核心密码设备或普通密码设备以满足国家要求。政务外网需求分析XX市政务外网是XX市政府部门的业务专网和资源共享专网，凡不需要在政务网上运行的业务系统可接入政务外网；政务外网同时对因特网公众提供服务。在政务外网上采用上MPLS（多协议标签交换）技术，提供VPN（虚拟专用网）服务。政务外网具有两个基本虚拟专网，即资源共享专网和公众服务专网；此外，有VPN组网需求的单位可以申请开通本系统的纵向业务专网，跨部门业务应用牵

32、头部门也可以申请开通跨部门的横向业务专网。资源共享专网是各单位实现信息共享与交换的网络，不允许因特网公众访问。公众服务专网对因特网公众提供服务，放置门户和等服务器，通过网络安全系统与因特网逻辑相连，允许因特网主动访问公众服务专网的服务资源，一般不允许公众服务专网访问因特网。部门业务专网是各单位在政务外网上利用MPLS VPN技术，连接本系统部省、市、县（市、区）相关部门的纵向业务网络或者连接跨部门应用的横向数据交换网络。电子政务外网建设目标根据省人民政府办公厅关于建设省电子政务网络平台的通知（浙政办函200388号）和省人们政府办公厅关于印发省电子政务网络技术规的通知(浙政办发200595号)

33、的要求。确定XX市电子政务网络平台的建设主要目标包括：建成符合国家要求的安全电子政务网络外网平台，连接市、县(市、区)二级党委、人大、政府、政协、检察、法院职能部门系统，以与因工作需要接入的企事业单位；该网络平台支持数据、语音和视频业务，传输性能满足业务需求，具备网络管理和信息交换等各项功能，实现跨部门、跨地区的业务互联。2建立市政务外网移动办公系统。3保证现有设备和投资的充分利用。电子政务外网建设需求业务需求政务外网应满足业务应用系统需求，如网络视频会议系统、IP语音系统、应急联动系统、网上联合审批系统、办公业务系统、政务公开系统、电子系统、信息采集和发布系统、党政机关门户、建议提案系统、公

34、众选举系统、政策法规查询系统 以与各个部门的应用系统等。随着网络建设和应用的开展，市党政机关还会有新的业务系统融入到政务外网中。.功能需求XX市电子政务外网应提供如下的功能：公众服务功能XX市电子政务外网建设的根本目的是为了提高行政效率，降低行政成本，改进政府管理，更好的为人民群众服务。XX市电子政务外网将党政机关各部门紧密联系在一起，实现网上联合办公，为实现高效、自动的政府办公环境、建设电子公务大厅系统提供了强有力的保障。XX市电子政务外网是党政机关提供公共服务的窗口，是社会各级企事业单位、广大用户与政府沟通的桥梁，它将政府和人民群众紧密结合在一起。应当采取多种接入方式方便社会公众服务，为公

35、众提供更广泛便捷的信息服务。网络互联互通功能 XX市电子政务外网的应用分布在各级党政机关，同时，全市各级党政机关局域网和业务专网的建设是在一个较长时期按照各自的规划、建设目标、功能需求、投资强度和技术现状等因素分阶段逐步实现的。这样就造成了条块分割，网络不能互联互通，资源不能共享等问题。为实现政务外网作为一个整体来提供服务，在全市政务外网建设中，迫切需要网络系统、数据库系统和应用系统的互联互通。信息共享功能在我市各级党政机关的业务应用系统建设中，由于缺乏统一规划，所建纵向网络和应用系统大都是以行政系统为背景和依托的，各部门按照各自的规、标准、需求构建不同的业务应用系统。各应用系统息的种类和数据

36、存储格式差异很大，部之间和各应用系统之间信息共享程度低。XX市电子政务外网为各级党政机关的业务应用系统提供了一个统一的平台，同时将新建的例如政务公开系统、网上联合办公系统等新业务系统加入到此平台中，更好的为社会公众服务。因此，在全市政务外网应用系统建设中，应提供标准的、统一的信息表示和传输方式，提供一个基础信息交换平台，使信息在系统有序流动，实现政务外网各级信息系统之间、政务外网与社会公众之间的互联互通和信息资源共享。信息资源交换功能政务外网和网是全市电子政务的基础性平台，为保证政府对全社会的服务和管理，以与为各级党政机关提供宏观决策数据。政务外网负责基础性数据的采集，当数据达到一定规模时，通

37、过物理手段将数据转移到网，为各级领导提供决策支持；网又将政府的通知和决定与时在政务外网上发布。安全防护功能XX市电子政务外网建设过程中，既要满足社会公众访问的方便、灵活，具备可扩展性，又要保证公共业务系统、部门业务系统安全可靠的运行。当前，在党政机关的网络建设中，安全措施滞后，保障水平参差不齐。在利用现有网络资源整合和构建全市政务外网时，在物理层、网络层、应用层、网络管理层都会存在安全风险。因此，在全市政务外网建设中，应采取切实可行的安全保障措施，构建合理、完善的安全保障体系，在网络安全、网络性能、信息安全等多方面进行考虑，确保全市政务外网安全可靠的运行。网络管理功能XX市电子政务外网是一个覆

38、盖全市各级党政机关的庞大、复杂的互联网络，涉与到的设备种类、数量大，管理的围层次不尽一样。因此，迫切需要建立统一的网络管理平台，能够集成第三方的设备与网络管理系统，实现设备和网络的性能管理、拓扑管理、事件管理、安全管理、统计管理、配置管理、分权管理、分布管理和故障管理，从而提高网络的可管理性和可维护性，保证全市政务外网的正常运行。电子政务外网建设规划XX市电子政务外网整体规划遵照省电子政务网络技术规的要求并结合电子政务网络的实际情况而制定。XX市电子政务外网的体系结构如图所示:应用层网上办公、网上审批等外网门户各部门业务应用系统其他应用系统网络管理系统安全保障体系支撑层数据库管理电子系统域名管

39、理系统WEB服务系统目录管理系统信息交换系统操作系统服务器系统基础层网络平台光纤、城域网电子政务外网的总体体系结构分为基础层、支撑层和应用层。基础层指政务外网的网络设备和传输链路；支撑层包括操作系统、服务器系统和应用系统支撑环境；应用层包括网上办公与网上审批、外网门户和各部门业务应用系统等，其他一些应用系统则直接运行在网络平台上。网络管理系统和安全保障体系保证全网的网络管理和安全可靠运行。网络情况与组网描述国际互联网：简称互联网，也称因特网。电子政务外网（以下简称政务外网）：是政府部门的业务专网和资源共享专网，凡不需要在政务网上运行的业务系统可接入政务外网；政务外网同时对互联网公众提供服务。在

40、政务外网上采用上MPLS（多协议标签交换）技术，提供VPN（虚拟专用网）服务。政务外网具有两个基本虚拟专网，即资源共享专网和公众服务专网；此外，有VPN组网需求的单位还可以申请开通本部门的纵向部门业务专网。资源共享专网是各单位实现信息共享与交换的网络，不允许互联网公众访问。公众服务专网对互联网公众提供服务，放置门户和等服务器，通过网络安全保障系统与互联网逻辑连接，允许互联网主动访问公众服务专网的服务资源，一般不允许公众服务专网访问互联网（特殊服务除外，比如系统补丁在线升级服务等）。部门业务专网是指在政务外网上利用MPLS VPN技术，连接本系统部省、市、县（市、区）相关部门的纵向业务网络。如图

41、所示：网络接入围政务外网连接围：市政府工作部门，各直属单位，区、县、市，以与有需要接入的相关企事业单位。各直属单位的下级机构接入到政务外网，必须报区党政信息中心审批，并报市政府办公厅信息中心备案。各网络定义与互联根据省电子政务网络技术规，电子政务网包括电子政务网和电子政务外网，各网络间关系如下：政务网和政务外网：政务网与政务外网之间物理隔离。 政务网和互联网：政务网和互联网物理隔离。政务外网和互联网：政务外网通过防火墙、入侵检测、安全审计和病毒防护等网络安全设备与互联网逻辑隔离。通过政务外网可访问互联网，政务外网的公众服务专网可供互联网用户访问。电子政务外网与互联网政务外网资源共享专网和互联网

42、政务外网资源共享专网设立互联网统一出口，接入外网的各级单位通过统一出口访问互联网。资源共享专网在防火墙、病毒防护等安全系统的保护下访问互联网。如图所示：因特网公众禁止访问资源共享专网。但对于因特网上的政府移动办公用户，可以采用 IPSec 和 Remote Access to MPLS VPN 相结合的技术，从 Internet 进行 VPDN（Virtual Private Dialup Networks 虚拟专用拨号网）拨号进入资源共享专网或者部门业务专网，从而访问省政务外网的资源。如图所示：电子政务外网公众服务专网和互联网在电子政务外网上划分公众服务专网后，各单位对因特网公众提供服务的服

43、务器可以在本单位按照技术规正确部署，也可以由区政府统一部署在区政府信息中心机房。公众服务专网在电子政务外网的核心路由器上有独立出口，基本的安全策略由核心出口处统一实施部署，各单位的防火墙实现更详细的访问策略，控制该区域服务器与因特网实现有限访问。允许因特网主动访问公众服务专网的服务资源；一般不允许公众服务专网访问因特网，服务器软件更新、补丁升级除外。公众服务专网和因特网的访问关系如图所示：电子政务外网部门业务专网和因特网部门业务专网通过各各单位市局统一部署的网闸和资源共享专网实现有效隔离，并通过资源共享专网完成到因特网的信息交换。如图所示：电子政务外网各专网与因特网综合资源共享专网、部门业务专

44、网、公众服务专网和互联网的描述，以上网络之间的关系如下：市政务网和市政务外网的联网单位市政务网联网单位在延续“小网、大外网”思路下，市政务网接入延伸到各区、县（市）。市级各部门结合实际应用，按需接入。市政务外网联网单位市政务外网连接市级各单位，各区、县（市），以与因工作需要接入的单位。联网单位分析目前有联网需求单位共199家。其中有政务外网联网需求有134家（包括郊县区县市政府与大楼局域网31家单位）；政务网联网需求有95家；机要网联网需求有56家；会计结算联网需求有88家；同时有政务网、政务外网需求有94家。同时结合原有的利用的运营商城域网资源构建的包括127家单位在的党政专网MPLS VP

45、N的资源，本着经济性、科学性、合理性的原则，充分利用原有的投资资源，完善、调整现有的资源，确定利用运营商的链路与机房资源为基础，通过自有设备的架设，构建一符合省电子政务网络技术规要求的XX市电子政务网平台。根据目前通过运营商的城域网构建MPLS VPN的联网单位的连接机房，信息表如下所示：机房接入点局域网接入点局域网大楼1142431市政府大楼38437284896113122133151201231合计9631现状分析目前XX市政务网平台共有连接单位有190家左右，分别采用了局域网（市政府大楼）、100M MPLS VPN、10M MPLS VPN、拨号、裸光纤等等方式连接至政务网；其中利用

46、XX网通信息港的城域网的MPLS 构建电子政务网平台的主体，共有120多家单位承载在该网络平台，其余的单位采用拨号等等。利用XX网通城域网构建的党政专网，囊括了120多家党政机关、政府部门，全部利用XX城域网基于IP的MPLS技术构建的党政专网VPN。所有单位均奉行就近接入的原则连接至运营商的就近机房；所有单位均利用单独的光纤链路作为承载网的基础链路；同时通过光电收发器实现长距离的信号传输与光电信号转换；绝大部分单位采用PE-CE的方式，用路由器作为CE设备构建党政专网MPLS VPN链路，部分单位采用交换机方式（PE-SW）连接，利用运营商的PE设备，利用运营商PE设备的子接口作为CE实现M

47、PLS VPN；90的单位的VPN带宽为100M，部分单位为10M接入。电子政务网络总体架构基础网络总体架构市电子政务网网络拓扑市政务网以租用运营商MSTP线路为主，线路为辅，在此基础上组建TCP/IP网络。13个区、县（市）和按需接入的市级部门以最小带宽2M接入（根据应用需求扩展带宽），市政府核心点接入带宽暂定10M（根据应用需求扩展带宽），业务量不大单位采用拨号方式接入市电子政务网。市政府核心点配置核心交换机（具有PE功能），方便管理，适应日后网络拓展。市政务网解决方案详见第六章。市电子政务外网网络拓扑市政务外网以租用运营商裸光纤组建IP城域网为主，租用运营商MSTP传输网为辅。城域骨干网

48、：租用运营商裸光纤，组建IP城域网。XX市主城区设3个骨干节点，配置PE设备，环路带宽10G。其中2个节点设在运营商机房，1个节点设在市政府信息中心机房。主城区另设11个汇聚节点，配置具备MCE功能的三层交换机设备，用于汇聚各单位的网络。广域骨干网：租用运营商MSTP传输线路，到7个区、县（市）（主城区除外），带宽初定10M，根据需要扩展。接入网：租用运营商裸光纤至各联网单位，在各单位配置接入交换机，接入带宽按照100M设计，接入交换机的各端口配置不同的VLAN对应相应的VPN。市政务外网解决方案详见第六章。MPLS VPN技术优势MPLS技术MPLS技术是一种在开放的通信网上利用定长标签引导

49、数据高速传输和交换的网络新技术。它是独立于链路层和物理层的技术，能保证各种各样的网络互联互通，使得各种不同的网络数据传输技术在同一个MPLS平台上统一起来。MPLS的主要优点在于减少了网络的复杂性，兼容了现有各种主流网络技术，大幅度降低了组网成本；在向用户提供IP业务时能确保QoS和安全性。MPLS不但支持流量工程，并且也是当前最有前景的支持VPN实现的技术。MPLS技术的成功之处在于它在无连接的IP网络中引入了面向连接的机制，通过一个短的、固定长度的称为“标签”的标识符，利用标签机制转发分组。其核心思想是：边缘的路由，核心的交换。MPLS/VPN的实现过程：客户的边界路由器CE连接到MPLS

50、的PE路由器，通过MPLS部创建的VPN，客户的数据被封装并透明地传送到其它的CE路由器。CE路由器向VPN广播包含它下属节点的所有设备的路由表。一个MPLS/VPN网络由一些分离的站点组成，这些站点通过MPLS服务提供商的骨干网络互联。在每一个站点有一个或多个CE路由器，每个CE连接一个或多个PE路由器。相关联的PE之间使用MP-BGP（Border Gateway Protocol-Multiprotocol）协议通信。VPN的IP地址围独立定义，任意两个VPN的IP地址集可以有重叠。在同一个VPN专网中使用的IP地址必须是一个单独地址集。每个CE与它直接相连的PE路由可达。另外，在所有V

51、PN中的PE路由器的IP地址不能重复。MPLS支持的路由协议MPLS部（PC-PC、PC-PE或PE-PE之间）的路由通过标准的第三层路由协议来实现，如：OSPF、BGP等。第三层路由协议维护的信息将用于给相邻节点分配标签。MPLS与用户之间（PE与CE之间）的路由协议可以是：OSPF、IS-IS、RIP、BGP或静态路由。MPLS骨干网部的路由协议，即PE-P-PE的IGP路由协议可以是OSPF或IS-IS。为传送用户VPN的路由信息，在对应的PE之间使用MP-BGP路由协议。从用户的观点看，虽然要穿过服务提供商管理的VPN通道，但用户看到的是CE之间直接互联，并通过CE将每一个站点的用户部

52、路由器连接起来。服务提供商的MPLS网络对用户是透明的，看不到部的结构，也看不到MPLS网部传输的路由。从服务提供商的角度看，其MPLS网络与用户网络比较是非常不同的。每个用户只有一个VPN，而一个服务提供商可以有多个VPN。服务提供商只能管理每个VPN在MPLS骨干网中的通道，它看不到由VPN组成的专网的部结构。PE路由器分别为每个VPN维护一路由表，表中有其直接相连的VPN站点的路由信息，并且与相应VPN相关的PE之间交换这些路由信息。MPLS VPN 同VLAN接入映射在各个接入节点，为节省PE路由器的接入端口和线路，同时又保障可以实现多个VPN专网接入MPLS，我们建议通过2层交换机作

53、为VPN专网接入的物理设备。2层交换机通过Trunk与PE路由器连接。在2层交换机上为接入的不同VPN专网划分不同的VLAN，通过VLAN接入不同的VPN专网。在MPLS的PE路由器上，不同的VPN通道穿过Trunk与2层交换机上的VLAN连通。在XX市电子政务外网中MPLS/VPN对应VLAN的实现机制如下图所示：通过Trunk（802.1Q）将不同VLAN映射到不同的MPLS VPN中来实现不同的VPN专网接入。VLAN规划为加强网络管理的系统性，便于对用户的管理与维护，增加用户的安全性，需进行VLAN的划分。对于VLAN的划分，我们建议，VLAN编号以Site基准，即VLAN号在一个Si

54、te是唯一的，并且，统一的VLAN编号法有助于消除歧意和有助于排错。建议VLAN划分如下：VLAN1-VLAN99，用于设备管理或保留；VLAN100-VLAN299，用于资源共享专网；VLAN300-VLAN399，用于公共服务专网；VLAN400-VLAN499，用于业务专网；其余VLAN保留；MPLS/VPN优势在XX电子政务外网建设中，XX市不同的政府部门之间业务承载在同一物理网络之上，出于安全性的考虑，必须采用技术手段进行安全隔离，而不同部门之间的部分资源又需要进行受控互访进行共享，所以隔离和互访是政务网建设中的必然需求。目前业界主要的隔离与互访技术主要包括MPLS VPN、传统的V

55、LAN+ACL、IP TUNNEL VPN技术，ACL+VLAN方式可以实现隔离、受控互访，部门之间的隔离采用VLAN方式，受控互访采用ACL进行控制，但每增加一个新的VLAN或是业务系统都要对以前所有业务系统的配置进行修改，可扩展性和维护性较差。在灵活性、QOS等方面，VPN方式也明显优于ACL+VLAN，所以建议在政务网中采用VPN技术。当然VPN技术又主要分为IP Tunnel VPN和MPLS VPN技术，IP Tunnel VPN同样是每增加一个节点，都需要修改原有的N个节点的配置。所以，采用IP Tunnel VPN组建的VPN也存在严重的可扩展性问题，当网络规模扩大时，隧道的建立

56、与维护难度急剧增大，相应的，对设备的性能压力也急剧增大。如果考虑VPN之间的互通，这复杂度更大，所以，IP Tunnel VPN只适合于组建规模有限，拓扑简单的VPN。MPLS VPN是采用自动建立LSP(标签转发隧道)实现VPN报文在共网中的转发，采用MP-BGP协议实现VPN私网路由信息的扩散。从而大大减少了单个节点的配置工作量，MPLS VPN便于维护。同时，不同于IP Tunnel VPN中VPN的隔离依靠手工配置实现，由于采用了动态协议实现VPN隧道(即LSP)的建立与VPN私网路由的扩散，在增加新的节点时，不需要对原有节点的配置进行修改。所以，相对于其他VPN技术，采用MPLS技术

57、组建的VPN具有更好的可维护性与可扩展性，MPLS VPN更适合于组建较大规模的复杂的VPN网络，MPLS VPN的这些优点已经是它成为政务网上IP VPN的主流技术。所以在XX电子政务外网的规划过程中，结合网络可扩展、维护等方面的考虑，建议采用MPLS VPN技术实现在一个电子政务平台之上，承载多个系统业务，并实现安全隔离。快威实施MPLS VPN技术的优势快威科技具有丰富的规划、实施大型MPLS VPN的技术实力和经验积累。先后成功规划和实施了省电子政务网MPLS VPN、省电子政务网浙、XX市数字城管MPLS VPN网络、省公安厅二级网MPLS VPN、网通宽带IP网和DCN网MPLS

58、VPN的规划和实施。XX电子政务网解决方案网络建设原则根据XX市电子政务网项目的具体情况，在系统设计中应遵循以下原则：标准化与开放性采用的设备应符合国际通用标准，任何一台设备都可用符合该标准的其他厂家的设备所替换；开放的网络可以让用户自由地选择不同厂家的产品，不受原有厂家的限制。最大程度地保护用户的利益。要求网络的设计一定要基于国际标准，使用标准的通信协议。让不同厂家的设备能够在同一个网络上同时运行；规划设计以与采用的设备应是开放的，应能够保证其他厂家设备的接入；在一个复杂的大型网络系统里，必然共存着多个厂商的硬件和软件产品。网络系统的目标就是要通过不同厂商的硬件设备和计算机软件的互联，从而实

59、现网络信息与设备资源的共享。为了保证用户的网络系统具有互操作性、可用性、可靠性、可扩充性、可管理性，应建立一个开放的，遵循国际标准的网络系统。可扩展性规划设计以与采用的设备应具有一定的可扩展性，网络设计应保证节点级的扩展，以与满足其它生产应用接入对网络的需求；随着网络用户应用规模的不断扩大，要求网络能方便地扩充容量，支持更多的用户和应用。随着通信技术的不断发展，网络要能平滑地过渡到新的技术和设备，保护用户现有投资。由于企业部管理系统和对外业务的不断发展，网络系统必然随之不断扩大。因此，目前的网络设计必须为今后的扩充留有足够的余地，这样才能最好地保护投资。除单个设备本身的扩展能力之外，在网络系统

60、的设计过程中，还需要考虑整个网络系统在未来几年的扩容能力和扩容办法。这样才能既照顾到目前的应用需求，又能满足今后整个计算机系统的发展需要安全性安全在这里的含义不仅是指网络系统本身的可靠安全、抗意外灾害、抗攻击的能力，而且也要保证在网络上传输的数据的性和安全性。从布线设计、网络设计到应用系统平台的设计，在核心层、汇聚层、接入层等不同层次上都要确保数据的安全，做到线路防泄漏、防干扰、网络具备完善的隔离措施和数据加密传输，在服务器平台设计上防止非法访问，防止病毒破坏。形成一整套安全保障协防体系。应提供足够的措施防止受到外部用户和黑客的非法访问、攻击和破坏。同时，要保证在采取安全措施后，不影响公安应用

61、系统的正常运行；可靠性保证数据传输的可靠性，应有备用或冗余手段。在发生网络设备故障时，备用或冗余手段应能保证公安系统的正常运行。网络节点中的关键硬件网络产品的选用需具有很高的可靠性，较高的MTBF（平均无故障时间MeanTimeBetweenFailures）值；全对称各处理器的硬件体系结构，能够做到任意一个处理器和网络接口模块出现故障都不会影响其他模块，所有的功能部件(电源、系统总线、处理器模块、网络接口模块等)均可以热插拔和冗余热备份。除硬件的容错外，网络设备还应具备软件故障隔离和软件的热备份和热启动等，这样才能保证网络运行的万无一失。为了防止局部的故障引起整个信息系统的瘫痪，要避免网络出

62、现单点失效。在骨干通信信道上要提供备份链路，提供冗余路由。在主要通信设备上要提供冗余配置，保证不会由于局部模块的故障影响整个设备的运行。高性能网络的设计方案不但要保证理论上可行，更重要的是实际上可用。要充分考虑到应用系统的具体情况，最好地满足需求。迅速地处理通信数据，需要网络设备支持高速通信链路，提供高数据吞吐能力。当今世界，通信技术和计算机技术的发展日新月异。方案应适应新技术发展的潮流，既兼顾了技术上的成熟性，同时也保证了系统的先进性。所选设备无论在硬件设备还是软件功能上，都在网络界处在领先地位。QOS保证流量优化避免视频会议等高带宽应用过度消耗广域网上宝贵的带宽资源。网络系统的建设应本着高

63、起点，统一全面规划，便于日常维护工作，又要为将来的扩展与新技术的融合打下基础，因此，我们提出以下详细设计原则来指导网络的具体设计。网络流量优化将有助于提高网络带宽的利用率，尤其对于骨干网上宝贵的带宽资源。视频、语音、数据集成的多媒体应用，一方面为客户的基础网络带来了更多的增值应用，为用户提供更加简便、灵活的信息交流，同时，也大大增加了网络上的信息流量。随着应用需求的提高，对带宽的要求将进一步提高。因此，对于象视频会议这样高带宽的应用，进行网络流量的优化显得尤其重要易维护要保证网络能正常稳定运行，要求网络维护人员可以方便地对网络设备进行远程控制和配置；并且网络设备要能够进行热插拔，方便进行日常维

64、护。适应性强网络结构复杂，设备多样，同时针对企业的业务特点，连接的方式和种类很多。因此需要在网络设计的初始对所有可能接入的业务做出底层的数据流向分析，而且要考虑如何用成熟的技术来满足具体业务的应用特点，因此需要网络设备支持“标准化”的网络协议，QOS，Traffic管理和多种类型的组网方式以与各种标准的接口类型。可管理性良好的组织和管理对于XX市电子政务网的主干数据网的正常运转和高效使用有很大帮助。网络应该能够提供方便，灵活，有力的管理系统，让使用者可以有效地控制和管理整个网络。随着网络规模的扩大和系统复杂程度的增加，网络的管理、监控和维护，以与网络故障的诊断和排除变得越来越复杂。为了使网络系

65、统易于管理和维护，本方案将提供先进而完善的网络管理系统。这样，既方便网络管理员的工作，减轻了劳动强度，也提高了网络系统的管理程度。设计要求可靠性和自愈能力包括链路冗余、模块冗余、设备冗余、路由冗余等要求。链路冗余在主干连接(主干设备之间与其与汇接设备之间的连接)具备可靠的线路冗余方式。主线路切换到备份线路的时间应小于30s,这种高速的网络自愈特性应可以保证不会引起业务的瞬间质量恶化，更不会引起业务的中断。在电子政务网的核心层环网、核心层汇聚层网络必须提供冗余链路，在发生故障时，通过简易、快速的方式解决链路故障模块冗余 主要设备(主干设备和业务汇聚点的核心设备)的主要模块和环境部件应具备1:1热

66、备份的功能，切换时间小于30秒。所有模块具备热插拔的功能。系统具备99.999%以上的可用性。主要网络设备的引擎模块、业务模块（特别是核心层网络设备），必须要有足够的备件，同时核心层设备支持模块的热备份，主、备模块可自动进行切换；其余设备模块必须要有合理的模块备份，可通过更换的方式保障模块的冗余设备冗余 提供由两台或两台以上设备组成一个虚拟设备的能力。当其中一个设备因故障停止工作时，另一台设备自动接替其工作，并且不引起其他节点的路由表重新计算，从而提高网络的稳定性。切换时间小于3秒，以保证大部分IP应用不会出现超时错误。在汇聚层、接入层网络，选用功能满足、性价比高的设备，并提供合理的备件设备，在发生故障可通过简易的设备更换的方式解决故障路由冗余 网络的结构设计应提供足够的路由冗余功能，在上述冗余特性仍不能解决问题时，数据流应能寻找其他路径到达目的地址。在一个足够复杂的网络环境中，网络连接发生变化时，路由表的收敛时间应小于30秒。电子政务网除了在链路、设备的冗余外，还需要提供路由冗余，确保网络的路由有双向的路由冗余，当发生设备故障、链路故障时，可通过路由冗余来保障故障影响面、影响时间的最