淺析某市濱海新區電子政務網的實施方案

楊磊

一、濱海新區電子政務網項目簡介

1.1設計概述

濱海新區電子政務專網數據網是指政務外網，數據網設計方案基于設計的前瞻性 、技術先進性、建設的可行性和經濟性相統一的原則，使網絡具有高性能、高可靠性、高安全性、高可擴展性、標準化和易管理的特點，能靈活地根據用戶的需求提供不同網絡業務的服務保證，為濱海新區電子政務網提供統一的、優質的網絡基礎設施平臺。

1.2 組網原則

結合政府部門的實際應用和發展要求，在進行濱海新區電子政務專網平臺設計時，系統總體設計應遵循實用性、安全性、可靠性、成熟和先進性、規范性、開放性和標準化、可擴充和擴展化及可管理性幾方面原則。

二、濱海新區電子政務網總體設計規劃

2.1 網絡總體設計

本次濱海新區電子政務專網（一期）設計方案中，主要以電子政務外網業務為主，對于電子政務內網業務暫不涉及數據網內容。

濱海新區電子政務外網MPLS VPN從整體結構上可以分為核心層、匯聚層、接入層三個層次，其中核心層和匯聚層構成電子政務網絡的主干網。主干網作為電子政務外網各項業務的支撐平臺，可承載電子政務外網的綜合應用和非涉密的各個業務專網。

核心層在超算中心設置兩臺高性能路由器，在濱海高新區、漢沽、大港各設置一臺高性能路由器，作為MPLS VPN骨干的P設備使用，四臺路由器通過傳輸網連接成為一個環網，實現冗余部署。

匯聚層為4個政府集中辦公地點、3個管委會、12個功能區。這19個節點各設置一臺高性能交換設備，作為MPLS VPN的PE設備使用，每臺PE設備通過傳輸網均上聯到P設備組成的環網上。

每個匯聚節點下聯所屬的多個委辦局，所有委辦局組成接入層。每個接入節點部署一臺高性能的防火墻作為CE設備使用。

2.1.1 核心層設計

數據網核心層設計為4個核心節點組成的環狀結構，如圖所示：

核心層骨干節點設計

數據網核心層骨干節點的選取遵循了和傳輸組網核心節點類似的原則：

？ 兩個核心節點之間距離控制在60公里范圍，有效降低遠距離通訊成本；

？ 充分考慮利用現有資源和市電子政務網絡互聯且相互備份；

？ 充分利用超算云平臺的資源。

根據以上原則，我司建議選擇超算中心、大港管委會、漢沽管委會、濱海高新區為核心骨干4個節點。4個核心節點為MPLS VPN網絡中的P設備角色，4個節點運行IBGP協議、LDP協議，不會運行MP-BGP協議，不會感知VPN的存在。作為整個濱海新區的骨干區域，核心節點承載所有VPN-IPv4路由業務。核心層選用高性能路由器組網方案。

2.1.2 匯聚層設計

匯聚層為四大節點下的濱海新區各大功能區及四處濱海新區區級政府辦公點，所用設備為MPLS VPN網絡中的PE設備。PE設備承載所有VPN業務，考慮到未來接入單位的數量，為了方便和擴展，匯聚層設備選用支持MPLS-VPN的模塊化交換機。接入單位到匯聚單位不用經過鏈路的匯聚，點對點連接到PE交換機上，方便未來標識和維護。為了便于網絡的擴展，以及減少IBGP的會話連接數，匯聚層與核心層之間的結構為星形結構。其中核心層設備為IBGP的路由反射器，匯聚層設備為路由反射器的客戶端，如圖所示：

匯聚層設計

2.1.3 接入層設計

在接入單位出口采用防火墻接入到政務網，主要有兩個好處，一是邏輯隔離，在防火墻上可以部署一些有效的策略實現局域網接入的有效控制，二是若有地址轉換的需求，可將接入局域網內部地址轉換成政務外網公共IP。接入層單位就近接入匯聚層，具體接入層區域網絡設計如圖所示：

2.3 MPLS VPN設計規劃

根據各自實現的功能不同，將電子政務外網分為三個獨立的功能區：專用網絡區、公用網絡區、互聯網接入區。

專用網絡區是各個縱向政府部門在電子政務外網上劃分出來的虛擬邏輯專網，負責傳送各政府部門自身的業務數據，彼此之間嚴格安全隔離。

公用網絡區是電子政務外網上劃分出的對公眾服務的部分，包括各類WEB/FTP公眾服務器。

互聯網接入區是電子政務外網內部各縱向業務系統之間需要共享和交互的數據。

專用網絡區、公用網絡區和互聯網接入區三者之間的互訪關系如上圖所示，專用網絡區用戶具有最高訪問權限，可以訪問公用網絡區（提取公眾需求），可以訪問互聯網接入區（用于各縱向業務區用戶之間交互數據），根據整體規劃，不能通過政務網整體internet出口訪問業務。互聯網接入區具有次高訪問權限，不能訪問專用網絡區，但可以訪問公用網絡區（提取公眾需求）。公用網絡區訪問權限最低，只能和INTERNET進行交互，不能進入專用網絡區也不能進入資源共享區。所有業務訪問關系在技術上是通過MPLS VPN來實現的。