智慧政务市县电子政务外网整体解决方案.ppt

《智慧政务市县电子政务外网整体解决方案.ppt》由会员分享，可在线阅读，更多相关《智慧政务市县电子政务外网整体解决方案.ppt（123页珍藏版）》请在悟道方案网上搜索。

1、智慧政务市县级电子政务外网整体建设方案,目 录 Contents,XX网络服务于全国地市电子政务外网规划方案设计关键分析整体方案价值XX全国外网成功案例,电子政务外网建设目标,国家发改委、财政部联合印发关于加快推进国家电子政务外网建设工作的通知（发改高技2009988号文） 1、到2010年初，基本实现在京中央各政务部门的接入。 2、到2010年底，建成并从中央到各省、自治区、直辖市及新疆生产建设兵团、计划单列市（含深圳、大连、青岛、宁波和厦门）共37个地区的一级广域骨干网。基本完成对省、地（市）、县各级政务部门的网络覆盖。3、初步形成安全策略统一的信息安全保障体系。4、建设并完善中央网管中心

2、、数据中心、备份中心、安全管理中心和数字认证中心。5、初步形成国家政务外网标准规范体系。6、初步形成政务外网建设、运维和管理上下协同的工作机制，整体运维及服务能力明显提高。,XX网络服务全国,大连,XX网络服务大连电子政务外网,XX网络服务贵州省及贵阳市电子政务外网,XX网络服务陕西省电子政务外网,XX网络服务南京市电子政务外网,XX网络服务新疆电子政务外网,XX网络服务青海省电子政务外网,目 录 Contents,XX网络服务于全国地市电子政务外网规划方案设计关键分析整体方案价值XX全国外网成功案例,电子政务业务区域划分,是省政府直属各单位在省政务外网上利用MPLS VPN技术，连接本系统内

3、部省、市、县（市、区）相关部门的纵向业务网络,各单位实现信息共享与交换、内部访问互联网、不允许因特网公众访问,对因特网公众提供服务,部门OA系统,信息共享系统,门户网站,整体方案介绍-政务外网业务模型,电子政务外网主要业务及部署分类,公文交换系统,信息公开系统,门户网站系统,应急指挥系统,政务审批系统,电子政务网,内部办公系统,业务访问关系,部门业务专区(纵向业务区),Internet,资源共享区（横向业务区）,部门OA系统,信息共享系统,门户网站,VPN用户接入专网,补丁升级,全国电子政务外网总体架构,市级电子政务外网建设,电子政务外网建设技术重点,组网方式的选择横向交换，纵向路由委办局的接

4、入委办局接入的安全IP地址的划分地址规划的清晰高效等级保护的落地安全域的方便灵活部署数据中心的建设扁平化组网，兼容FC网络统一互联网出口的高效互联网出口的稳定高效保障综合业务的管理一套系统监管所有资源,目 录 Contents,XX网络服务于全国地市电子政务外网规划方案设计关键分析组网构架委办接入IP地址规划网络安全 数据中心 统一互联网出口 IT运维管理整体方案价值XX全国外网成功案例,网络日志审计系统,财务系统,资产管理系统,人事系统,OA,综合业务管理系统,流量分析系统,安全管理区,数据中心,数据存储区,内部办公系统区,网络服务区,市外网核心交换机,县核心交换机,郊区,区县,山区,县核心

5、路由器,区县,市外网核心路由器,市委/市政府,委办局接入,委办局接入路由器,数据中心核心交换机,市汇聚交换机,资料下载服务器,信息发布服务器,其他应用服务器,存储系统,VPN网关,政府门户网站群,门户网站托管区,核心交换区,省电子政务接入路由器,互联网接入区,流控设备,出口引擎,防火墙,WEB应用防火墙,地市电子政务网整体组网图,万兆光纤,千兆光纤,千兆网线,百兆网线,城域网横向到边的网络平台地市城域网是连接各位市属委办局的网络平台广域网纵向到底的网络平台省地市县的纵向广域网络平台运营商线路选择SDHMSTP裸光纤,广域网与城域网,XX推荐：横向交换、纵向路由,网络架构的选择运营商线路选择设备

6、档次及线路带宽估算,城域网网络架构的选择,全市范围内，每个分系统从地市到省的数据流量估计需要2 Mbps，从地市到县的数据流量估计需要1M bps。每个分系统横向约与地市4个部门发生业务联系，每个业务联系估计需要2M bps，则大约需要8 Mbps。每个分系统有以20个工作人员需要访问互联网估算，每个连接按64Kbps计算，则分系统的接入出口需要带宽1.2 Mbps总共需要12.2 Mbps。考虑到以上流量并发的可能性为30%-80%，加上网络本身3%-5%的带宽开销，如果租用MSTP带宽，按4-10 Mbps进行设计。有视频业务的相关分系统，接入带宽需要酌情增加。线路选择：情况一：市政府大楼

7、、市委综合办公楼，单位集中，距离核心较近，选择以太网接入；情况二：市政府大楼、市委综合办公楼之外的单位，采用MSTP线路接入。,接入单位线路带宽估算及线路选择,地市城域网节点规划中，按照每个汇聚点的接入单位数量估算为35个。按照35个节点估算、每个点在4-10M带宽，总带宽约为140-350M。考虑到以上流量并发的可能性为50%，加上网络本身3%-5%的带宽开销，因此骨干链路按照250M规划，并设计为可平滑升级到1000M骨干。线路选择：根据带宽需求及今后的扩展需求，建议租用运营商的裸光纤。骨干设备性能选择：参考省级设备性能选择依据，市省级城域网设备性能档次和纵向广域网省级下联平台一致；地市级

8、城域网骨干设备性能档次可以参考地市骨干路由器性能；,骨干线路带宽估算及线路选择,按照每个分系统平均有20个工作人员需要访问互联网，每个连接按64Kbps计算，则分系统的访问互联网的出口需要带宽1.2 Mbps。按照100个分系统计算，共需要120Mbps带宽，根据并发可能性70%估算，共需出口带宽100M左右。线路选择考虑到运营商线路单点故障问题，建议采用主线路100M，备份线路50M并采用另外一个运营商。,互联网出口带宽估算及线路选择,地市级电子政务外网的数据流向分析,城域网核心交换机A,城域网核心交换机D,城域网核心交换机C,城域网核心交换机B,纵向网区域,区电子政务外网,县电子政务外网,

9、市汇聚交换机,市汇聚交换机,地市电子政务外网,市政府汇聚交换机,市委汇聚交换机,横向城域骨干网,市汇聚交换机,市委接入交换机,市政府接入交换机,互联网多出口区域,服务器区域（公共网络区）,交换组网与路由组网的区别,南京市电子政务外网,全万兆交换组网，18台高端交换/RIIL/ACE/NPE,目 录 Contents,XX网络服务于全国地市电子政务外网规划方案设计关键分析组网构架委办接入路由规划和IP地址规划网络安全 数据中心 统一互联网出口 IT运维管理整体方案价值XX全国外网成功案例,市局有自建网络，网络较为完善或有自有纵向网市级单位规模较大，信息点数在大几十或100以上；市级单位规模较小，

10、信息点数在50以内；市局无专网业务，只有简单互联网或没有网络市级单位要接入外网的规模较大，信息点数在50以内；市级单位要接入外网的规模较小，信息点数在20以内；,市局接入政务外网模型分析,市局接入政务外网模型参考,窃取信息丢失权限丢失资源丢失,扫描网络结构信息被获取数据位置信息被获取文件类型信息被获取,传播病毒快速蔓延更多网络节点被控制大面积病毒爆发,欺骗数据流向错误目标不可达信任体系崩溃,攻击网络拥塞拒绝服务业务中断,外网接入单位的安全问题,厅局接入政务外网模型（路由器模式）,电子政务外网IP地址前置服务器,DMZ区,应用服务器,接入单位交换机,客户端,路由器接入,NAT,NAT,10.0.

11、X.X,市局接入路由器上做NAT(MCE),厅局接入政务外网模型（路由交换一体机模式）,电子政务外网IP地址前置服务器,DMZ区,客户端,路由交换一体机,省外网 59.219.X.X,NAT,NAT,10.0.X.X,市局接入路由器上做NAT(MCE),单一主机适用多个VPN（多角色主机）,29,电子政务外网IP地址前置服务器,DMZ区,接入单位交换机,客户端,路由器接入,NAT,NAT,10.0.X.X,“中间人”危害防范（安全域控制器）,外网服务器群区域,省/市电子政务外网,核心交换机,PE,PE,专线,委办局自己的交换机,用户PC,接入路由器,1,2,1,2,3,3,用户在IE浏览器中输

12、入任意地址；,安全域控制器将对用户数据流向进行判断；,安全域控制器向用户提供数据流向确认界面,4,4,安全域控制器上进行访问授权；用户同一时间只能访问外网服务器群或者Internet其中之一；,注1:用户若不认证，将无法上网；注2:对B区域的访问需要用户先从A区域退出登录;,安全域控制器（SDG）,31,政务外网,在该设备作用下，访问请求将被禁止。发起访问请求的电脑屏幕上弹出网页，网页上有客户端软件的下载链接。,用户在安装客户端软件后再次对服务器区域发起访问请求。,SMP软件检查客户端电脑的安全状况（如是打了补丁、病毒库是否及时更行等）,将请求者的身份信息、安全状况等提交给SMP软件审核。,用

13、户身份、电脑安全状况检验合格后，被允许访问特定服务器区域。,市政务外网中心,委办局1,委办局2,VPN网关,安全管理平台（SMP）,重定向网关,厅局接入政务外网模型（VPN模式）,目 录 Contents,XX网络服务于全国地市电子政务外网规划方案设计关键分析组网构架委办接入路由规划和IP地址规划网络安全 数据中心 统一互联网出口 IT运维管理整体方案价值XX全国外网成功案例,OSPF路由条目发布,核心路由器上有省城域网、各地市的汇聚互联地址路由，以及Area0中设备互联地址路由。城域网交换机路由表包括本区域设备互联地址路由，各地市的汇聚互联地址路由以及Area0区域的汇聚路由。,省电子政务外

14、网BGP路由协议规划,省核心路由器设置为路由反射器，各地址市核心路由器为核心路由器的客户端、省城域网核心交换机同样设计为路由反射器、汇聚层交换为核心交换机的客户端。,地市电子政务外网 VPN 设计,IGP规划,MP-BGP规划,委办局接入区,业务平台服务器区,MPLS VPN规划,国家政务外网IP地址总图,国家政务外网IP地址分配原则,省电子政务外网IP地址使用规则,地市电子政务外网IP地址使用规则,用户接入网地址估算,45,1个公有IP 100个私有IP用户,需要地址映射的业务系统,www 1-3 个IPMail 1-2个IPDNS 1-2个IPVOD 1-2个IP数据交换 1-2个IP每个

15、业务系统 1-2个IP,总计min用户数/100 +6,适宜分配的地址空间为8/16/32,目 录 Contents,XX网络服务于全国地市电子政务外网规划方案设计关键分析组网构架委办接入路由规划和IP地址规划网络安全 数据中心 统一互联网出口 IT运维管理整体方案价值XX全国外网成功案例,电子政务外网信息系统定级,外网当前网络存在的问题总结,48,“安全域”划分不是基于信息系统,依靠“应用层”授权,可同时访问互联网和安全域,终端管理太麻烦&IDS利用效率低,身份认证网关承担巨大压力,XX地市级应用安全域解决方案,核心业务区（三级）,网络服务区（二级）,安全管理区（三级）,市级核心交换区,NI

16、DS,流量控制,终端接入区,重要办公系统区（四级）,运营商A,运营商B,内部办公系统区（三级）,互联网接入区,VPN接入入网审计,数据交换区（三级）,交换服务器,安全域控制卡,数据存储区（三级）,一般业务系统,防篡改系统,认证服务器,漏洞扫描,终端管理服务器,网络审计系统,存储系统,行业或部门专有系统,资料下载服务器,信息发布服务器,其他应用服务器,财务系统、资产管理系统、人事系统,重要人员接入区,XX全局安全网络在电子政务外网的价值点,一切安全的基础准入通过身份验证，及配套的多元素绑定，实现对于入网用户身份的全面检查，保证入网人员身份合法性，保障信息传输合法性，安全事件追查到人，一切尽在掌握

17、解决最头疼的问题ARP欺骗防御通过软件和设备的联动，全方位解决局域网最为头疼的ARP欺骗问题，无需复杂的配置，无需消耗人力，自动联动，方便快捷破解网络访问控制的部署难题丰富的部署模式多级分支机构的灵活部署，跨广域网部署，将准入控制延伸到网络的边缘。人员、主机与网络位置的灵活绑定根据人员角色、主机角色和网络位置的不同，给出不同的绑定策略，安全和灵活，鱼与熊掌可以兼得全面解决非法外连行为双网卡、拨号、架设代理、内网主机拿到外网使用全面解决非法外连行为，将用户保护在内网之中，将病毒攻击隔离在网外安全域功能联动CA服务器，联动WindowsAD服务器，建立统一的身份认证体系。自动下发用户可访问的安全域

18、，全面支持等级保护要求。,通过GSN实现安全域认证与CA证书结合,CA证书服务器,LDAP服务器,SMP服务器,用户插入USB KEY，SU读取用户证书，并输入证书密码进行认证SU在后台服务器上进行证书校验。后台服务器通过LDAP获取证书吊销列表CRL或者OCSP方式的及时证书吊销列表确认证书有效并未被吊销后，放行用户。否则告知用户认证失败根据用户选择的安全域，下发用户可访问地址,CRL,GSN解决方案给外网用户带来的价值,协助客户顺利通过等保评测实现了全程的控制，增强了网络层的安全强度明显降低客户泄密风险对安全域划分清晰明了（安全域SMP）降低用户管理难度、提升部门形象端点准入与CA整合，解

19、决了用户多次认证的烦恼,目 录 Contents,XX网络服务于全国地市电子政务外网规划方案设计关键分析组网构架委办接入路由规划和IP地址规划网络安全 数据中心 统一互联网出口 IT运维管理整体方案价值XX全国外网成功案例,新一代云计算数据中心的特征,第 54页 / 共 4页,趋势1：融合网络，统一交换,第 55页 / 共 4页,更好性能、更易维护、更低成本,传统数据中心 带 来管理上TCO增高：每个服务器要多个专用网卡，要不同的布线系统；更多设备：占用机房空间、耗电、制冷；多套网络不同维护人员，无法统一管理；,新一代数据中心网络：端到端的融合网络,第 56页 / 共 4页,以太网,FC 流量

20、,IP 流量,FCoE（ INCITS T11 FC-BB-5 WG 中定义）：FC帧直接映射到以太网上进行承载，FC 数据流和其他数据流共享以太网链路。原有FC存储网络可连接到交换机RG-S6200系列上，服务器无须多块网卡全新无损以太网（ CEE，国际标准）保证不丢包FCOE 保留原FC的管理模式，可以与原有FC交换机对接，保护原有投资,趋势2：虚拟化成为数据中心势不可挡的趋势,第 57页 / 共 4页,根据Gartner调查显示，2009年有18%的服务器工作负载是运行在虚拟化服务器上的，这个数字到今年将达到28%，到2012年将接近50%。 服务器虚拟化将势不可挡。但同时也会对数据中心

21、网络产生深远的影响（将是构建大规模数据中心的基础）。,虚拟化对网络的影响-虚拟机的迁移,第 58页 / 共 4页,VMotion迁移虚拟机,SAN、iSCSI或NAS,不中断服务的情况下，将VM迁移到其他的物理服务器上；用在灾备、资源调整、服务器维护等场合；实现迁移的服务器必须在一个二层网络内，虚拟机的网关在相同设备上；,新一代数据中心网络：构建虚拟化多变1,第 59页 / 共 4页,趋势3：新一代数据中心网络：简化，扁平化组网方案,第 60页 / 共 4页,扁平化的2层数据中心网络,适应下一代数据中心服务器之间流量猛增的趋势。RG-S86 Cloud Computing系列（核心）+RG-S

22、60(千兆接入)+RG-62(万兆接入)，构建网络矩阵：业界首个，真正能构建整网全线速无组塞网络。数据转发无延迟（2跳，2.0时代为传统为4跳网络）网络更简单，性价比更好端到端从网络到安全的10G/100G线速，而不仅仅是网络，无瓶颈点。,- 什么是绿色？美国环境保护局(EPA)的统计，数据中心的能源支出每五年将增长一倍数据中心约60%的资产支出和50%的运营成本都与能源有关 绿色意味著：高效、节能、环保数中心绿色的变革 早期数据中心建设目标：能够满足高密度、高容量、高安全性，并且具有高可靠性、可扩展性 新型数据中心对绿色的要求：能够节省成本、节省空间、能够在节能方面做得更好，而且使应用的稳定

23、性更高,趋势4： 数据中心“绿色”意味著什么？,RG-S6200系列绿色设计,,62,智能电源管理智能散热系统低功耗电路设计（性能比友商H3C S58高一倍，功耗低一倍）合理风道结构,融合网络FCoE有效节能,,63,每台服务器节电12%（伯恩斯坦研究中心）,目 录 Contents,XX网络服务于全国地市电子政务外网规划方案设计关键分析组网构架委办接入路由规划和IP地址规划网络安全 数据中心 统一互联网出口 IT运维管理整体方案价值XX全国外网成功案例,第 65页 / 共 4页,政务外网建设现状和建议,政务外网互联网出口承载的关键业务,厅局接入互联网业务,公众服务业务,服务器托管业务,远程用

24、户接入业务,统一互联网出口,公共服务区业务,问题：公众业务服务器如果被互联网访问。如何保障重要业务带宽。如何提供无间断服务。如何保障服务器安全。如何进行业务应用加速。,厅局接入互联网服务,问题：如何保障多用户的稳定访问。如何充分利用多条链路。如何对垃圾流量进行控制。如何进行全网上网行为管理与审计问题。,移动用户接入服务,问题：移动用户安全性检查问题。用户认证与CA认证体系对接问题。如何接入不同部委用户,外网统一互联网出口问题总结,外网统一互联网出口政策要求，未来各委办局不再有自己的互联网出口互联网出口存在多链路出口负载外网上网用户存在上网行为管理出口流量监控管理全网安全日志审计远程移动用户的接

25、入及统一管理网站防挂马及防篡改,统一互联网出口解决方案价值共享,防火墙,IDS,省,市,县,ACE应用控制,出口设备,Internet VPN,Internet VPN,Internet VPN,专用 VPN,远程用户,专用 VPN,专用 VPN,VPN,电子政务外网城域网,电子政务外网广域网,电子政务外网广域网,地市下连路由器,核心交换机,统一访问,建立统一的互联网访问出入口,统一管理,完善准出准入制度，建立相应的出入口使用权限管理体系,统一安全,多种安全策略联动保护，建立全面安全机制,统一审计,完善上网行为、设备日志的统一记录 ，建立高效的审计平台。,统一互联网出口,XX统一互联网解决方案

26、价值优势,完美服务,智能安全,全局审计,统一管理,1、高性能稳定平台2、带宽动态分配3、线路负载均衡4、应用服务加速,1、SMP安全联动2、应用安全防护3、CA认证联动,1、分布式日志记录2、集中审计3、多NAT身份确认4、流量与行为审计,1、统一管理界面2、统一用户管理3、互联网出口管理,出口详细架构图,内部区域,RG-S8600,RG-S8600,NPE,RG-ACE,RG-WALL,高性能稳定平台,用户服务-带宽动态分配,分配给特定用户的带宽，在用户空闲时，可以临时给其它用户使用 典型应用场景： 领导出差，其它人可以临时使用其保证带宽上网 领导回来，恢复优先保证领导VIP通道分配给特定应

27、用的带宽，在应用空闲时，可以临时给其它应用使用 典型应用场景： HTTP流量不大时，其保证带宽可以临时分给P2P业务 HTTP流量上升时，恢复优先保证HTTP业务,既保证关键用户、关键业务，又提供带宽利用率！,用户服务-线路负载均衡,充分利用线路带宽资源！,应用服务器加速-智能DNS,电信用户,XX信息查询系统,DNS服务器,用户在浏览器中输入信息查询系统网址时，DNS请求报文通过设备，设备检测出用户地址类型为电信用户,设备在地址池中，选择相对应的服务器电信IP地址，返回给用户,针对应用端口进行带宽的保障,安全联动,安全信息收集通过邮件、短信进行实时报警,安全信息收集通过邮件、短信进行实时报警

28、,SMP安全管理平台,安全策略下发,应用服务器安全-防篡改系统,网页防纂改工作机制是定期比对网页内容是否被修改 比对手段包括修改时间、编码内容MD5等适用于完全静态Web站点的防篡改。对动态的Web页面，仅仅是编码的备份恢复，对数据库内容不能判断出是否被篡改或插入恶意代码，不适合动态网站的防篡改需求。无法避免再次被黑,某新闻网站为例,页面框架是静态的，可以比对,最新新闻条目从数据库实时提取、动态生成，无法比对,网页防篡改系统只能恢复静态网页，无法保护动态网页被动事后恢复，篡改页面已经传播，无法避免再次被黑,应用服务器安全-危险文件下载检测,只允许执行正确的Web应用行为阻断download 数

29、据库文件，例如Access数据库文件。,Web服务系统,阻断危险文件的下载,扫描检测下载数据内容,危险文件下载检测，避免窃取用户密码等大量内部信息,XXWebGuard价值,防网页篡改、挂马,事前防御与事后恢复结合,通过网站安全合规性检查,关键字过滤,通用系统虚拟补丁,WebGuard,防御75%的攻击：通过80端口、无特征码、攻击动态网页,远程用户CA认证联动,CA服务器,日志审计,In 192.168.12.23Out 59.240.78.X,In 59.240.78.XOut 202.100.XX.X,两次NAT用户身份确认问题,基于IP地址+端口的身份认证与策略精细化控制,第 90页

30、/ 共 4页,全网分布式日志记录与集中审计,eLog日志服务器,SMP安全管理中心,ePortal服务器,NAT日志,NAT日志,NAT日志,URL日志,委办局,委办局,委办局,路由器接入,防火墙接入,交换机接入,用户信息同步,流量日志,互联网流量审计,1.NPE流日志、NAT日志,2.详细URL日志是行为审计必备,设备流量趋势图,每用户的流量趋势图,流量/会话创建top排名,92,用户身份与网络访问联动的URL记录,更多信息一目了然，更可定制化显示,互联网行为审计,统一管理界面,RGOS是一个完全模块化的支持多种平台的为了安全互联网络而设计的网络操作系统,用户PC,Portal Server

31、,ACE,1,2,3,1,2,3,用户在IE浏览器中输入任意地址，或者已知的Web认证URL；,ACE将用户数据重定向到外置Portal服务器；,Portal服务器向用户返回Web认证页面，用户在此页面输入用户名、密码；,4,4,用户名、密码通过SMP验证成功后，在ACE上进行访问授权；如用户带宽多少，可使用哪些外网应用；,管理以简单易用为基本要求，不额外安装客户端；身份平台要与既有数据库共用；除了准出控制外，能进行高级授权，如带宽、可以使用的外网应用等；,SMP,互联网出口用户管理,统一用户管理,远程用户接入,远程用户接入,统一用户帐号 管理平台,目 录 Contents,XX网络服务于全国

32、地市电子政务外网规划方案设计关键分析组网构架委办接入路由规划和IP地址规划网络安全 数据中心 统一互联网出口 IT运维管理整体方案价值XX全国外网成功案例,电子政务健康运行监控中心,以业务模型为核心，基于强大的RIIL平台构建,基于SOA架构的开放管理服务,IP环境统一管理信息模型,IP环境资源安全和性能评价模型,IP 基础设施抽象层,IP基础设施实时运行对象库,业务可用性管理,业务性能管理,业务资源管理,业务状态可视化,业务用户管理,业务风险管理,业务系统模型管理,RIIL Realtime Intelligent Infrastructure Library实时智能基础设施库,以监控外网业

33、务运行为中心监控网络资源服务器网络安全设备数据库中间件机房环境等监控网络资源变化对业务系统的影响,特色1：以业务为中心,展现外网业务资源的层级关系和依赖关系，感知业务系统的物理和逻辑层次结构，实时掌握设备之间的关联影响等信息。,特色2：清晰呈现业务和资源的依存关系,特色3：监控对象无需安装客户端程序,特色4：高兼容性,兼容多家厂商的设备和软件兼容多家厂商的硬件产品兼容多家厂商的数据库和中间件产品兼容新旧多种版本的软硬件系统提供开放接口和用户已有系统对接,特色5：支持分布式部署,MSTP/SDH,RIIL,RIIL,网管中心,总部,分支,服务器,RIIL,分支,网管分中心,网管分中心,网络自动发

34、现360度雷达扫描视图多协议多算法自动调整自动发现详情多协议并发发现，效率高自动发现与建模自动补充发现网络故障管理采集模块具备健壮性能力，保障数据采集可靠性阶段性故障阀值设定故障自动压缩关联声音、邮件、短信等多种故障提示方式,特色6：动态展示资源信息,特色7：直观显示网络流量,特色8：融合机房监控,国家信息中心RIIL测试报告,目 录 Contents,XX网络服务于全国地市电子政务外网规划方案设计关键分析整体方案价值XX全国外网成功案例,市核心交换机和区县汇聚交换机作为P/PE，城域网核心交换机采用多台组成环形组网、委办局接入采用交换路由器一体机支持Multi-VRF多实例；县核心路由器和县

35、核心交换机作为PE/MCE；全网采用MPLS VPN进行业务隔离；根据流量集中转发的特点，市县两级核心交换机配置防火墙业务板，实现对全网各区域的安全隔离和访问控制；根据流量集中转发的特点，核心交换机配置IPFIX流量分析功能，实现对全网流量的精细化分析与监控，提供全网监控服务和异常流量分析服务；政务外网互联网出口采用多链路负载均衡设备，实现对内和对外的链路负载均衡。配置高性能应用控制引擎提供精细化的基于应用的带宽管理；并且记录互联网访问日志记录，满足公安部82号令要求；外网网站管理区部署WEB防火墙做门户网站防网页篡改、SQL注入防护、漏洞检测和防毒墙等；部署综合业务管理系统，针对业务应用进行

36、管理，实施对包括服务器、操作系统、数据库、中间件、应用软件、网络设备等自动监测，预先评估运行性能性能，并且通过政务网络平台，将监控终端设置在铜陵市信息中心，以方便政府随时了解综合政务平台的运行状况；,XX解决方案特点,XX解决方优势,最可靠的政务网络平台 为地市级电子政务网络量身定制了“双核心、双路由、线路有备份”的架构，消除网络骨干架构上任何单点故障，确保政务网络平台具备最高等级的可靠性。其中核心交换机选用XX十万兆平台设计的RG-S8610高端核心路由交换机，交换容量高达3.2T，插槽数多达10个，充分保障整网的高性能转发和未来扩展能力。网络安全基于等级保护三级的测评需要设计，提供更高级别

37、的安全服务 按照信息系统安全等级保护基本要求（GB/T22239-2008）关于等保三级的要求，对南京市政务网络平台进行设计，提供超出市信息中心要求（等保二级）的安全保护技术能力和安全服务。解决了多业务主机所带来的安全隐患功能 各委办局大量多业务主机（一台电脑能够同时访问专网、互联网、数据共享等多个区域）的存在，必然会带来诸如木马病毒、信息窃取等一系列的安全问题。通过在接入路由器上启用基于WEB的智能选路功能，解决了多业务主机带来的安全隐患问题，保障委办局在一台主机接入多个VPN的情况下，网络安全可靠在整网安全方面，支持国密办加密算法 支持国密办加密算法，符合电子政务外网安全需求。智能DNS/

38、负载均衡/高NAT出口能力 方案选用的XX网络互联网出口负载均衡设备RG-NPE具备智能DNS和多种的负载均衡能力等广域网加速功能，同时NPE60E的整机NAT会话数高达300万，在同时启用智能DNS和负载均衡条件下，能够支撑5万用户的网络规模，在考虑到未来的高带宽，设备自带2端口万兆SFP+模块。,综合业务管理 XX综合业务管理系统RG-RIIL-BMC基于业务统一管理，可以为每个业务建立业务卡片，帮助政府用户实时掌握电子政务各业务的运行状况。同时还可以跨厂商、跨品牌软硬件设备统一监控（包含服务器、网络设备、中间件、数据库、机房环境等）。集中部署，分级分权查看 可将XX综合业务管理系统RG-

39、RIIL-BMC集中部署在网管中心，通过政务IP网络供各级政府部门管理人员远程使用。并且按照其所管理的范围给予不同的管理权限。全网实现IPv4/IPv6双栈 方案中所采用的XXRG-S8600交换机/RG-RSR7700路由器/RG-RSR30均支持IPv6，支持网络从纯IPv4向纯IPv6过渡的各个应用阶段。专业数据中心产品，全面支持下一代无损以太网 数据中心采用XXRG-S12000作为数据中心核心交换机，采用S6200作为服务器区和存储区的接入，PCOE模块兼容FC SAN网络的接入，采用核心-接入的扁平化模式组网，40G/100G的模块高带宽链路保证，高缓存端口保证数据转发，不出现拥塞

40、。,XX解决方优势,目 录 Contents,XX网络服务于全国地市电子政务外网规划方案设计关键分析整体方案价值XX全国外网成功案例,分散的地市委办局机构,地市办公楼局域网用户,地市级网络管理中心,设备/VPN/运维/安全管理服务器,SW4-S3760E,VPN服务区,FW,SW3-S2328G,SW5-S5750-24GT/8SFP-E,SW1-S8606,R5-RSR7708,R2-RSR7708,R3-RSR7708,R4-RSR7708,R1-RSR7708,自建数据中心的分散委办局,接入纵向VPN的分散委办局,RH1-RSR30-44,RH2-RSR30-44,SW6-S2952E,

41、自治区级政务外网,互联网,互联网服务器区,R4-RSR30-44,SW2-S5750-E,VPN/FW,。 。,DX_01-RSR7708,DX_02-RSR7708,DX_yy-RSR7708,新疆电子政务外网地州-县级网络,青海省电子政务外网广域网建设,全路由骨干网，RSR7708/RSR50E-80/RSR30/RSR20,陕西省电子政务外网广域网建设,贵州省电子政务外网省级平台网络,贵州电子政务外网RSR7708/S8610/RSR50/30/NPE/ACE近800万,贵州省电子政务外网地市级网络,南京市电子政务外网,全万兆交换组网，18台高端交换/RIIL/ACE/NPE,扬州市电子政务外网,,大连市电子政务外网,天津市津南区电子政务外网,第 121页 / 共 4页,杭州萧山区电子政务外网,第 122页 / 共 4页,创新网络价值XX网络坚持用持续创新、融合应用的网络技术及特色解决方案，实现用户网络应用价值的最大化。,