市電子政務(wù)網(wǎng)技術(shù)策劃方案書

XX市電子政務(wù)網(wǎng)絡(luò)調(diào)整和完善第一次設(shè)備采購項(xiàng)目技術(shù)方案書YYYYYYY集團(tuán)有限公司2006-6

方案優(yōu)勢YYYYYYY集團(tuán)有限公司具有強(qiáng)大的技術(shù)力量和服務(wù)力量國家信息產(chǎn)業(yè)部計(jì)算機(jī)信息系統(tǒng)集成一級資質(zhì)企業(yè)信用等級AAA級涉及國家秘密的計(jì)算機(jī)信息系統(tǒng)集成資質(zhì)（甲級）通過ISO9001:2000質(zhì)量治理體系認(rèn)證YYYYYYY集團(tuán)有限公司具有豐富的MPLSVPN實(shí)施經(jīng)驗(yàn)和電子政務(wù)網(wǎng)的建設(shè)經(jīng)驗(yàn)浙江省公安廳二級網(wǎng)MPLSVPN實(shí)施河南網(wǎng)通寬帶IP網(wǎng)MPLSVPN實(shí)施河南網(wǎng)通DCN網(wǎng)MPLSVPN實(shí)施浙江網(wǎng)省電子政務(wù)MPLSVPN實(shí)施江西省電子政務(wù)網(wǎng)MPLSVPN實(shí)施CISCO公司產(chǎn)品和技術(shù)優(yōu)勢行業(yè)標(biāo)準(zhǔn)的制定者和新技術(shù)的推進(jìn)者業(yè)界最佳的產(chǎn)品穩(wěn)定性優(yōu)秀的組播VPN實(shí)現(xiàn)技術(shù)MPLSTE技術(shù)CISCO特有的業(yè)務(wù)分類技術(shù)MPLSDS-TE二層MPLSVPN技術(shù)

目錄1 綜述 42 電子政務(wù)網(wǎng)絡(luò)背景及現(xiàn)狀 63 電子政務(wù)網(wǎng)絡(luò)建設(shè)目標(biāo)及原則 84 電子政務(wù)網(wǎng)絡(luò)需求分析 94.1 政務(wù)內(nèi)網(wǎng)需求分析 94.2 政務(wù)外網(wǎng)需求分析 94.2.1 電子政務(wù)外網(wǎng)建設(shè)目標(biāo) 94.2.2 電子政務(wù)外網(wǎng)建設(shè)需求 104.2.3 電子政務(wù)外網(wǎng)建設(shè)規(guī)劃 124.3 市政務(wù)內(nèi)網(wǎng)和市政務(wù)外網(wǎng)的聯(lián)網(wǎng)單位 174.4 現(xiàn)狀分析 185 電子政務(wù)網(wǎng)絡(luò)總體架構(gòu) 205.1 基礎(chǔ)網(wǎng)絡(luò)總體架構(gòu) 205.1.1 市電子政務(wù)內(nèi)網(wǎng)網(wǎng)絡(luò)拓?fù)?205.1.2 市電子政務(wù)外網(wǎng)網(wǎng)絡(luò)拓?fù)?205.2 MPLSVPN技術(shù)優(yōu)勢 215.2.1 MPLS技術(shù) 215.2.2 MPLS支持的路由協(xié)議 215.3 快威實(shí)施MPLSVPN技術(shù)的優(yōu)勢 266 XX電子政務(wù)網(wǎng)解決方案 276.1 網(wǎng)絡(luò)建設(shè)原則 276.2 設(shè)計(jì)要求 306.2.1 可靠性和自愈能力 306.2.2 擁塞操縱與服務(wù)質(zhì)量保障 316.2.3 網(wǎng)絡(luò)的擴(kuò)展能力 326.2.4 網(wǎng)絡(luò)治理與安全體系 326.3 XX市電子政務(wù)內(nèi)網(wǎng)建設(shè)方案 336.3.1 網(wǎng)絡(luò)拓?fù)?336.3.2 網(wǎng)絡(luò)平臺設(shè)計(jì) 346.3.3 設(shè)備選型和配置講明 346.4 XX市電子政務(wù)外網(wǎng)建設(shè)方案 366.4.1 .網(wǎng)絡(luò)拓?fù)?366.4.2 網(wǎng)絡(luò)平臺設(shè)計(jì) 376.4.3 設(shè)備選型和配置講明 416.5 機(jī)房分布及單位覆蓋 436.6 光纜距離路由表 446.7 Internet聯(lián)網(wǎng) 456.7.1 網(wǎng)絡(luò)拓?fù)?466.7.2 Internet網(wǎng)絡(luò)設(shè)計(jì) 466.8 網(wǎng)絡(luò)各節(jié)點(diǎn)的接入方式 476.8.1 市政務(wù)內(nèi)網(wǎng)的接入 476.8.2 市政務(wù)外網(wǎng)的接入 486.8.3 各委（辦、局）的政務(wù)外網(wǎng)接入方式。 506.8.4 各縣（市、區(qū)）的政務(wù)外網(wǎng)接入方式。 516.9 IP地址規(guī)劃 526.9.1 市政務(wù)內(nèi)網(wǎng) 526.9.2 市政務(wù)外網(wǎng) 526.9.3 承載網(wǎng)設(shè)備地址規(guī)劃 526.9.4 互聯(lián)設(shè)備IP地址VPN1（PE-CE）規(guī)劃 536.9.5 互聯(lián)設(shè)備IP地址VPN2（PE-CE）規(guī)劃 536.9.6 公眾服務(wù)專網(wǎng)分配原則 546.9.7 資源共享專網(wǎng)分配原則 546.9.8 部門業(yè)務(wù)專網(wǎng)地址規(guī)劃 546.9.9 公網(wǎng)IP地址申請 546.10 域名規(guī)劃 546.10.1 政務(wù)內(nèi)網(wǎng)域名規(guī)劃 546.10.2 政務(wù)外網(wǎng)域名規(guī)劃 567 資源規(guī)劃 597.1 路由規(guī)劃 597.1.1 市電子政務(wù)內(nèi)網(wǎng)路由協(xié)議 597.1.2 市電子政務(wù)外網(wǎng)路由協(xié)議 597.1.3 市電子政務(wù)外網(wǎng)MPLSVPN部署 637.1.4 不同自治域MPLSVPN的互通 637.2 MPLSVPN各專網(wǎng)的規(guī)劃 657.2.1 VPN路由轉(zhuǎn)發(fā)表 657.2.2 RD/RT命名 667.3 設(shè)備命名規(guī)則 678 網(wǎng)絡(luò)安全設(shè)計(jì) 698.1 物理環(huán)境的安全性 698.2 網(wǎng)絡(luò)的安全性 698.3 網(wǎng)絡(luò)攻擊的防護(hù)手段 718.4 治理的安全性 738.5 網(wǎng)絡(luò)調(diào)優(yōu) 748.5.1 IGP路由優(yōu)化 748.5.2 BGP路由優(yōu)化 748.5.3 流量優(yōu)化 748.5.4 MPLS-VPN優(yōu)化 758.6 設(shè)備安全優(yōu)化 768.6.1 遠(yuǎn)程登錄telnet的操縱 768.6.2 通過SSH登陸到CISCO設(shè)備 768.6.3 網(wǎng)管SNMP的安全性 768.6.4 console的操縱 778.6.5 關(guān)閉不需要的服務(wù) 778.6.6 Spantree的優(yōu)化 788.6.7 設(shè)備“廣播風(fēng)暴”的抑制 78綜述特不榮幸能有機(jī)會參與XX市電子政務(wù)網(wǎng)絡(luò)系統(tǒng)建設(shè)項(xiàng)目的投標(biāo)活動，感謝XX網(wǎng)通和XX市政府給予我公司的機(jī)會。在此衷心希望我公司的綜合能力能夠滿足XX市電子政務(wù)網(wǎng)絡(luò)建設(shè)的需求，并希望能夠與XX網(wǎng)通和XX市政府信息中心一起將先進(jìn)技術(shù)綜合并付諸實(shí)現(xiàn)，確保項(xiàng)目的成功實(shí)施。本項(xiàng)目包括軟硬件平臺的設(shè)計(jì)、安裝、調(diào)試、試運(yùn)行，我公司提供以上服務(wù)外，還提供設(shè)備初驗(yàn)后3年的設(shè)備保修。關(guān)于所涉及的硬、軟件平臺的架構(gòu)已在技術(shù)方案相關(guān)章節(jié)中詳細(xì)闡述。所設(shè)計(jì)的技術(shù)方案能滿足本系統(tǒng)運(yùn)行的需求。我們期待在本項(xiàng)目中，通過與甲方和各相關(guān)公司的緊密配合，在相關(guān)設(shè)備原廠商對本項(xiàng)目的直接支持下，充分發(fā)揮公司的系統(tǒng)集成實(shí)力和本地支持優(yōu)勢：1.公司優(yōu)勢：本公司是以計(jì)算機(jī)行業(yè)應(yīng)用軟件開發(fā)和應(yīng)用系統(tǒng)集成為要緊進(jìn)展方向的高科技企業(yè)。在多年的集成實(shí)踐中積存了豐富的集成經(jīng)驗(yàn)，同時(shí)有著雄厚的經(jīng)濟(jì)實(shí)力，獲得國家信息產(chǎn)業(yè)部計(jì)算機(jī)信息系統(tǒng)集成一級資質(zhì)，企業(yè)信用等級AAA級，涉及國家秘密的計(jì)算機(jī)信息系統(tǒng)集成資質(zhì)（甲級），通過ISO9001:2000質(zhì)量治理體系認(rèn)證，自1992年公司創(chuàng)辦至今歷年的公司業(yè)績均呈上升態(tài)勢，能夠?yàn)橛脩籼峁╅L期穩(wěn)定的技術(shù)支持，為本項(xiàng)目的實(shí)施提供了可靠的保障。2.經(jīng)驗(yàn)優(yōu)勢：本公司成功實(shí)施過多個(gè)大型電子政務(wù)系統(tǒng)的網(wǎng)絡(luò)平臺，包括浙江省電子政務(wù)網(wǎng)、江西省電子政務(wù)網(wǎng)、云南省電子政務(wù)網(wǎng)等，具備大型省級電子政務(wù)網(wǎng)方面的實(shí)施經(jīng)驗(yàn)，并以良好的維護(hù)服務(wù)獲得用戶的好評。3.本地優(yōu)勢：本公司總部設(shè)在XX，使我公司人員能夠及時(shí)到達(dá)甲方現(xiàn)場，可提供最快的服務(wù)響應(yīng)時(shí)刻。4.資源優(yōu)勢：本公司是Cisco公司金牌代理集成商（全球金牌合作伙伴），IBM公司區(qū)域戰(zhàn)略聯(lián)盟、EMC公司的合作伙伴、公司擁20名以上的通過認(rèn)證的CCIE工程師，及其它四十幾名不同級不的認(rèn)證工程師。公司先后建立了技術(shù)支持中心、實(shí)驗(yàn)室、設(shè)備備件庫。按照質(zhì)量治理體系規(guī)范標(biāo)準(zhǔn)建立了一套科學(xué)的計(jì)算機(jī)系統(tǒng)設(shè)計(jì)、實(shí)施、技術(shù)支持及服務(wù)的操作流程。上述這些豐富的技術(shù)和服務(wù)資源能夠?yàn)楸卷?xiàng)目成功的實(shí)施和運(yùn)行維護(hù)上提供可靠的保障。5.服務(wù)優(yōu)勢：本公司以戰(zhàn)略的高度重視客戶對服務(wù)的不同需要和中意度。因此開發(fā)一系列符合客戶需要的服務(wù)。這些服務(wù)能完整地支持客戶系統(tǒng)的整個(gè)生命周期，包括：供貨及保修服務(wù)、項(xiàng)目實(shí)施及升級服務(wù)、系統(tǒng)維護(hù)服務(wù)、培訓(xùn)服務(wù)、技術(shù)咨詢服務(wù)。6.MPLSVPN實(shí)施優(yōu)勢：本公司始終認(rèn)為：關(guān)于任何一個(gè)項(xiàng)目，從方案的設(shè)計(jì)到項(xiàng)目的實(shí)施，整個(gè)項(xiàng)目獲得成功的關(guān)鍵確實(shí)是有關(guān)各方的相互交流和溝通。這種交流和溝通將始終貫穿于整個(gè)項(xiàng)目的執(zhí)行過程當(dāng)中，其中包括集成商、設(shè)備廠商在內(nèi)的各有關(guān)方面的交流。本方案集中我公司的上述優(yōu)勢，針對貴方的招標(biāo)要求進(jìn)行了系統(tǒng)、詳細(xì)的設(shè)計(jì)，提供了完整的技術(shù)解決方案。我們堅(jiān)信：“只有客戶項(xiàng)目的成功才有我們的事業(yè)進(jìn)展”。此次遞交技術(shù)方案是希望能夠有機(jī)會與XX網(wǎng)通和XX市政府合作，共同建設(shè)好XX市電子政務(wù)網(wǎng)絡(luò)項(xiàng)目。電子政務(wù)網(wǎng)絡(luò)背景及現(xiàn)狀隨著全球信息化的進(jìn)展和我國信息化進(jìn)程的加快，政府信息化作為國家信息化的龍頭，在提高政府行政質(zhì)量和效率以及科學(xué)決策及宏觀調(diào)控能力上初顯威力，電子政務(wù)已成為各級政府推動行政創(chuàng)新、政務(wù)公開等方面的具體舉措，建立電子政府，推動電子政務(wù)的進(jìn)展，已成為一種世界性的潮流和趨勢。2002年中央辦公廳、國務(wù)院辦公廳下發(fā)了《國家信息化領(lǐng)導(dǎo)小組關(guān)于我國電子政務(wù)建設(shè)指導(dǎo)意見》（中辦發(fā)[2002]17號），明確規(guī)定了國家統(tǒng)一電子政務(wù)平臺分為政務(wù)外網(wǎng)和政務(wù)內(nèi)網(wǎng)。2003年中央辦公廳、國務(wù)院辦公廳又下發(fā)了《國家信息化領(lǐng)導(dǎo)小組關(guān)于加強(qiáng)信息安全保障工作的意見》（中辦發(fā)[2003]27號）。國家電子政務(wù)外網(wǎng)一期工程第一時(shí)期的建設(shè)任務(wù)打算到2005年年底也將完成。2003年，依照中辦17號文件精神，浙江省人民政府辦公廳下發(fā)了《關(guān)于建設(shè)省電子政務(wù)網(wǎng)絡(luò)平臺的通知》(浙政辦函〔2003〕88號)，成為浙江省建設(shè)電子政務(wù)統(tǒng)一網(wǎng)絡(luò)平臺的指導(dǎo)性文件。2005年10月浙江省人民政府辦公廳又下發(fā)了《關(guān)于印發(fā)浙江省電子政務(wù)網(wǎng)絡(luò)技術(shù)規(guī)范的通知》(浙政辦發(fā)〔2005〕95號)，成為浙江省各地市建設(shè)電子政務(wù)網(wǎng)絡(luò)平臺的指導(dǎo)性文件。XX市電子政務(wù)內(nèi)網(wǎng)目前僅是局域網(wǎng)范疇，聯(lián)網(wǎng)范圍局限在市政府辦公廳少數(shù)業(yè)務(wù)處室，向上通過專線和省政務(wù)內(nèi)網(wǎng)互聯(lián)互通。1997年，依照“兩辦”《關(guān)于建立XX市黨政機(jī)關(guān)計(jì)算機(jī)通信網(wǎng)》（市委辦〔1996〕81號）要求，市政府辦公廳組建了涵蓋市級各單位和各區(qū)、縣（市）黨委、政府的XX市黨政機(jī)關(guān)計(jì)算機(jī)通信網(wǎng)，并于2001年完成了通訊方式由電話撥號向?qū)拵ЬW(wǎng)絡(luò)的過渡（要緊是利用運(yùn)營商的VPN）。2003年，依照《浙江省人民政府辦公廳關(guān)于建設(shè)省電子政務(wù)網(wǎng)絡(luò)平臺的通知》(浙政辦函〔2003〕88號)精神,市政府辦公廳對XX市黨政機(jī)關(guān)計(jì)算機(jī)通信網(wǎng)按照政務(wù)外網(wǎng)的要求進(jìn)行了升級改造,重新架構(gòu)了XX市電子政務(wù)外網(wǎng)平臺。2004年，為了充分發(fā)揮XX市電子政務(wù)網(wǎng)絡(luò)平臺的作用,實(shí)現(xiàn)政府各部門的網(wǎng)絡(luò)互連互通和信息資源共享,幸免重復(fù)建設(shè),市政府辦公廳下發(fā)了《關(guān)于統(tǒng)一全市電子政務(wù)網(wǎng)絡(luò)平臺的通知》（杭政辦函〔2004〕26號），要求市政府各部門、各直屬單位面向社會的專業(yè)性服務(wù)業(yè)務(wù)和不需在政務(wù)內(nèi)網(wǎng)上運(yùn)行的業(yè)務(wù)系統(tǒng)必須統(tǒng)一運(yùn)行在市政務(wù)外網(wǎng)上。目前，市政務(wù)外網(wǎng)聯(lián)接市級各部門和區(qū)、縣（市）約180家單位，按照市政府辦公廳的要求，已有市黨政機(jī)關(guān)辦公業(yè)務(wù)資源系統(tǒng)、12345交辦反饋系統(tǒng)、工商前置并聯(lián)審批系統(tǒng)、會計(jì)集中結(jié)算系統(tǒng)、市投資項(xiàng)目審批綜合信息系統(tǒng)等多個(gè)業(yè)務(wù)應(yīng)用運(yùn)行在統(tǒng)一的政務(wù)外網(wǎng)上。另外，市政務(wù)外網(wǎng)通過聯(lián)接6個(gè)主城區(qū)的通信線路，差不多實(shí)現(xiàn)與城區(qū)街道、社區(qū)的聯(lián)網(wǎng)，如市民政局的“XX市幫扶救助治理信息系統(tǒng)”差不多利用市政務(wù)外網(wǎng)部署到了所有社區(qū)。2005年，依照《XX市電子政務(wù)建設(shè)實(shí)施綱要（2005年-2006年）》（以杭政函〔2005〕69號下發(fā)）的要求，市政府辦公廳正在牽頭組織完善XX市電子政務(wù)網(wǎng)絡(luò)平臺。然而，隨著各部門信息化建設(shè)的深入開展，各部門各自為政、網(wǎng)絡(luò)重復(fù)建設(shè)的問題也日趨凸現(xiàn)，據(jù)2004年底的不完全統(tǒng)計(jì)，全市各部門共有31張各類專網(wǎng)、1400余個(gè)接入點(diǎn)，重復(fù)建設(shè)、網(wǎng)絡(luò)不能互聯(lián)互通、信息資源不能共享的矛盾依舊比較突出；另外，政務(wù)內(nèi)網(wǎng)也迫切需要按照國家和省政府的要求做進(jìn)一步擴(kuò)展深伸。電子政務(wù)網(wǎng)絡(luò)建設(shè)目標(biāo)及原則依照《浙江省人民政府辦公廳關(guān)于建設(shè)省電子政務(wù)網(wǎng)絡(luò)平臺的通知》（浙政辦函〔2003〕88號）和《浙江省電子政務(wù)網(wǎng)絡(luò)技術(shù)規(guī)范》的要求。確定XX市政府電子政務(wù)網(wǎng)絡(luò)平臺的總體建設(shè)目標(biāo)是：一是建成符合國家保密要求的安全電子政務(wù)網(wǎng)絡(luò)外網(wǎng)平臺，連接市、區(qū)(縣、市)二級黨委、人大、政府、政協(xié)、檢察、法院職能部門系統(tǒng)，以及因工作需要接入的企事業(yè)單位；該網(wǎng)絡(luò)平臺支持?jǐn)?shù)據(jù)、語音和視頻業(yè)務(wù)，傳輸性能滿足業(yè)務(wù)需求，具備網(wǎng)絡(luò)治理和信息交換等各項(xiàng)功能，實(shí)現(xiàn)跨部門、跨地區(qū)的業(yè)務(wù)互聯(lián)。二是按照國家、省對電子政務(wù)內(nèi)網(wǎng)的要求，并結(jié)合XX實(shí)際建設(shè)符合國家保密要求的安全電子政務(wù)網(wǎng)絡(luò)內(nèi)網(wǎng)平臺。三是將運(yùn)行在原市電子政務(wù)外網(wǎng)平臺和各類其它網(wǎng)絡(luò)平臺上的業(yè)務(wù)分不遷移到市電子政務(wù)內(nèi)、外網(wǎng)平臺上。市電子政務(wù)網(wǎng)絡(luò)設(shè)計(jì)遵循以下原則：有用性。保證網(wǎng)絡(luò)結(jié)構(gòu)和網(wǎng)絡(luò)運(yùn)行的穩(wěn)定性，幸免純技術(shù)、純理論化的設(shè)計(jì)。標(biāo)準(zhǔn)性。采納國家電子政務(wù)網(wǎng)絡(luò)建設(shè)的標(biāo)準(zhǔn)，保障網(wǎng)絡(luò)的互連互通。擴(kuò)展性。適應(yīng)電子政務(wù)應(yīng)用需求，具有靈活的擴(kuò)展能力?？芍卫硇浴Ｒ子谥卫?、維護(hù)，明確網(wǎng)絡(luò)分級治理與維護(hù)的責(zé)任。電子政務(wù)網(wǎng)絡(luò)需求分析政務(wù)內(nèi)網(wǎng)需求分析XX市政務(wù)內(nèi)網(wǎng)應(yīng)能滿足市和縣（市、區(qū)）二級黨委、人大、政府、政協(xié)及應(yīng)需接入的單位傳送涉密電子公文、傳送不適合通過政務(wù)外網(wǎng)傳輸?shù)男畔?。在連續(xù)“小內(nèi)網(wǎng)、大外網(wǎng)”的思路的前提下，依照省政府辦公廳要求，適當(dāng)拓展政務(wù)內(nèi)網(wǎng)接入范圍，擬將政務(wù)內(nèi)網(wǎng)接入延伸到各區(qū)、縣（市）。市級各部門結(jié)合實(shí)際應(yīng)用，按需接入。政務(wù)內(nèi)網(wǎng)要求配備核心密碼設(shè)備或一般密碼設(shè)備以滿足國家保密要求。政務(wù)外網(wǎng)需求分析XX市政務(wù)外網(wǎng)是XX市政府部門的業(yè)務(wù)專網(wǎng)和資源共享專網(wǎng)，凡不需要在政務(wù)內(nèi)網(wǎng)上運(yùn)行的業(yè)務(wù)系統(tǒng)可接入政務(wù)外網(wǎng)；政務(wù)外網(wǎng)同時(shí)對因特網(wǎng)公眾提供服務(wù)。在政務(wù)外網(wǎng)上采納上MPLS（多協(xié)議標(biāo)簽交換）技術(shù)，提供VPN（虛擬專用網(wǎng)）服務(wù)。政務(wù)外網(wǎng)具有兩個(gè)差不多虛擬專網(wǎng)，即資源共享專網(wǎng)和公眾服務(wù)專網(wǎng)；此外，有VPN組網(wǎng)需求的單位能夠申請開通本系統(tǒng)的縱向業(yè)務(wù)專網(wǎng)，跨部門業(yè)務(wù)應(yīng)用牽頭部門也能夠申請開通跨部門的橫向業(yè)務(wù)專網(wǎng)。資源共享專網(wǎng)是各單位實(shí)現(xiàn)信息共享與交換的網(wǎng)絡(luò)，不同意因特網(wǎng)公眾訪問。公眾服務(wù)專網(wǎng)對因特網(wǎng)公眾提供服務(wù)，放置門戶網(wǎng)站和郵件等服務(wù)器，通過網(wǎng)絡(luò)安全系統(tǒng)與因特網(wǎng)邏輯相連，同意因特網(wǎng)主動訪問公眾服務(wù)專網(wǎng)的服務(wù)資源，一般不同意公眾服務(wù)專網(wǎng)訪問因特網(wǎng)。部門業(yè)務(wù)專網(wǎng)是各單位在政務(wù)外網(wǎng)上利用MPLSVPN技術(shù)，連接本系統(tǒng)內(nèi)部省、市、縣（市、區(qū)）相關(guān)部門的縱向業(yè)務(wù)網(wǎng)絡(luò)或者連接跨部門應(yīng)用的橫向數(shù)據(jù)交換網(wǎng)絡(luò)。電子政務(wù)外網(wǎng)建設(shè)目標(biāo)依照《浙江省人民政府辦公廳關(guān)于建設(shè)省電子政務(wù)網(wǎng)絡(luò)平臺的通知》（浙政辦函〔2003〕88號）和《浙江省人們政府辦公廳關(guān)于印發(fā)浙江省電子政務(wù)網(wǎng)絡(luò)技術(shù)規(guī)范的通知》(浙政辦發(fā)〔2005〕95號)的要求。確定XX市電子政務(wù)網(wǎng)絡(luò)平臺的建設(shè)要緊目標(biāo)包括：建成符合國家保密要求的安全電子政務(wù)網(wǎng)絡(luò)外網(wǎng)平臺，連接市、縣(市、區(qū))二級黨委、人大、政府、政協(xié)、檢察、法院職能部門系統(tǒng)，以及因工作需要接入的企事業(yè)單位；該網(wǎng)絡(luò)平臺支持?jǐn)?shù)據(jù)、語音和視頻業(yè)務(wù)，傳輸性能滿足業(yè)務(wù)需求，具備網(wǎng)絡(luò)治理和信息交換等各項(xiàng)功能，實(shí)現(xiàn)跨部門、跨地區(qū)的業(yè)務(wù)互聯(lián)。2．建立市政務(wù)外網(wǎng)移動辦公系統(tǒng)。3．保證現(xiàn)有設(shè)備和投資的充分利用。電子政務(wù)外網(wǎng)建設(shè)需求業(yè)務(wù)需求政務(wù)外網(wǎng)應(yīng)滿足業(yè)務(wù)應(yīng)用系統(tǒng)需求，如網(wǎng)絡(luò)視頻會議系統(tǒng)、IP語音電話系統(tǒng)、應(yīng)急聯(lián)動系統(tǒng)、網(wǎng)上聯(lián)合審批系統(tǒng)、辦公業(yè)務(wù)系統(tǒng)、政務(wù)公開系統(tǒng)、電子郵件系統(tǒng)、信息采集和公布系統(tǒng)、黨政機(jī)關(guān)門戶網(wǎng)站、建議提案系統(tǒng)、公眾選舉系統(tǒng)、政策法規(guī)查詢系統(tǒng)以及各個(gè)部門的應(yīng)用系統(tǒng)等。隨著網(wǎng)絡(luò)建設(shè)和應(yīng)用的開展，市黨政機(jī)關(guān)還會有新的業(yè)務(wù)系統(tǒng)融入到政務(wù)外網(wǎng)中。.功能需求XX市電子政務(wù)外網(wǎng)應(yīng)提供如下的功能：公眾服務(wù)功能XX市電子政務(wù)外網(wǎng)建設(shè)的全然目的是為了提高行政效率，降低行政成本，改進(jìn)政府治理，更好的為人民群眾服務(wù)。XX市電子政務(wù)外網(wǎng)將黨政機(jī)關(guān)各部門緊密聯(lián)系在一起，實(shí)現(xiàn)網(wǎng)上聯(lián)合辦公，為實(shí)現(xiàn)高效、自動的政府辦公環(huán)境、建設(shè)電子公務(wù)大廳系統(tǒng)提供了強(qiáng)有力的保障。XX市電子政務(wù)外網(wǎng)是黨政機(jī)關(guān)提供公共服務(wù)的窗口，是社會各級企事業(yè)單位、寬敞用戶與政府溝通的橋梁，它將政府和人民群眾緊密結(jié)合在一起。應(yīng)當(dāng)采取多種接入方式方便社會公眾服務(wù)，為公眾提供更廣泛便捷的信息服務(wù)。網(wǎng)絡(luò)互聯(lián)互通功能XX市電子政務(wù)外網(wǎng)的應(yīng)用分布在各級黨政機(jī)關(guān)，同時(shí)，全市各級黨政機(jī)關(guān)局域網(wǎng)和業(yè)務(wù)專網(wǎng)的建設(shè)是在一個(gè)較長時(shí)期內(nèi)按照各自的規(guī)劃、建設(shè)目標(biāo)、功能需求、投資強(qiáng)度和技術(shù)現(xiàn)狀等因素分時(shí)期逐步實(shí)現(xiàn)的。如此就造成了條塊分割，網(wǎng)絡(luò)不能互聯(lián)互通，資源不能共享等問題。為實(shí)現(xiàn)政務(wù)外網(wǎng)作為一個(gè)整體來提供服務(wù)，在全市政務(wù)外網(wǎng)建設(shè)中，迫切需要網(wǎng)絡(luò)系統(tǒng)、數(shù)據(jù)庫系統(tǒng)和應(yīng)用系統(tǒng)的互聯(lián)互通。信息共享功能在我市各級黨政機(jī)關(guān)的業(yè)務(wù)應(yīng)用系統(tǒng)建設(shè)中，由于缺乏統(tǒng)一規(guī)劃，所建縱向網(wǎng)絡(luò)和應(yīng)用系統(tǒng)大差不多上以行政系統(tǒng)為背景和依托的，各部門按照各自的規(guī)范、標(biāo)準(zhǔn)、需求構(gòu)建不同的業(yè)務(wù)應(yīng)用系統(tǒng)。各應(yīng)用系統(tǒng)中信息的種類和數(shù)據(jù)存儲格式差異專門大，內(nèi)部之間和各應(yīng)用系統(tǒng)之間信息共享程度低。XX市電子政務(wù)外網(wǎng)為各級黨政機(jī)關(guān)的業(yè)務(wù)應(yīng)用系統(tǒng)提供了一個(gè)統(tǒng)一的平臺，同時(shí)將新建的例如政務(wù)公開系統(tǒng)、網(wǎng)上聯(lián)合辦公系統(tǒng)等新業(yè)務(wù)系統(tǒng)加入到此平臺中，更好的為社會公眾服務(wù)。因此，在全市政務(wù)外網(wǎng)應(yīng)用系統(tǒng)建設(shè)中，應(yīng)提供標(biāo)準(zhǔn)的、統(tǒng)一的信息表示和傳輸方式，提供一個(gè)基礎(chǔ)信息交換平臺，使信息在系統(tǒng)內(nèi)有序流淌，實(shí)現(xiàn)政務(wù)外網(wǎng)各級信息系統(tǒng)之間、政務(wù)外網(wǎng)與社會公眾之間的互聯(lián)互通和信息資源共享。信息資源交換功能政務(wù)外網(wǎng)和內(nèi)網(wǎng)是全市電子政務(wù)的基礎(chǔ)性平臺，為保證政府對全社會的服務(wù)和治理，以及為各級黨政機(jī)關(guān)提供宏觀決策數(shù)據(jù)。政務(wù)外網(wǎng)負(fù)責(zé)基礎(chǔ)性數(shù)據(jù)的采集，當(dāng)數(shù)據(jù)達(dá)到一定規(guī)模時(shí)，通過物理手段將數(shù)據(jù)轉(zhuǎn)移到內(nèi)網(wǎng)，為各級領(lǐng)導(dǎo)提供決策支持；內(nèi)網(wǎng)又將政府的通知和決定及時(shí)在政務(wù)外網(wǎng)上公布。安全防護(hù)功能XX市電子政務(wù)外網(wǎng)建設(shè)過程中，既要滿足社會公眾訪問的方便、靈活，具備可擴(kuò)展性，又要保證公共業(yè)務(wù)系統(tǒng)、部門業(yè)務(wù)系統(tǒng)安全可靠的運(yùn)行。當(dāng)前，在黨政機(jī)關(guān)的網(wǎng)絡(luò)建設(shè)中，安全措施滯后，保障水平參差不齊。在利用現(xiàn)有網(wǎng)絡(luò)資源整合和構(gòu)建全市政務(wù)外網(wǎng)時(shí)，在物理層、網(wǎng)絡(luò)層、應(yīng)用層、網(wǎng)絡(luò)治理層都會存在安全風(fēng)險(xiǎn)。因此，在全市政務(wù)外網(wǎng)建設(shè)中，應(yīng)采取切實(shí)可行的安全保障措施，構(gòu)建合理、完善的安全保障體系，在網(wǎng)絡(luò)安全、網(wǎng)絡(luò)性能、信息安全等多方面進(jìn)行考慮，確保全市政務(wù)外網(wǎng)安全可靠的運(yùn)行。網(wǎng)絡(luò)治理功能XX市電子政務(wù)外網(wǎng)是一個(gè)覆蓋全市各級黨政機(jī)關(guān)的龐大、復(fù)雜的互聯(lián)網(wǎng)絡(luò)，涉及到的設(shè)備種類、數(shù)量大，治理的范圍層次不盡相同。因此，迫切需要建立統(tǒng)一的網(wǎng)絡(luò)治理平臺，能夠集成第三方的設(shè)備及網(wǎng)絡(luò)治理系統(tǒng)，實(shí)現(xiàn)設(shè)備和網(wǎng)絡(luò)的性能治理、拓?fù)渲卫怼⑹录卫?、安全治理、統(tǒng)計(jì)治理、配置治理、分權(quán)治理、分布治理和故障治理，從而提高網(wǎng)絡(luò)的可治理性和可維護(hù)性，保證全市政務(wù)外網(wǎng)的正常運(yùn)行。電子政務(wù)外網(wǎng)建設(shè)規(guī)劃XX市電子政務(wù)外網(wǎng)整體規(guī)劃遵照《浙江省電子政務(wù)網(wǎng)絡(luò)技術(shù)規(guī)范》的要求并結(jié)合電子政務(wù)網(wǎng)絡(luò)的實(shí)際情況而制定。XX市電子政務(wù)外網(wǎng)的體系結(jié)構(gòu)如圖所示:應(yīng)用層網(wǎng)上辦公、網(wǎng)上審批等外網(wǎng)門戶網(wǎng)站各部門業(yè)務(wù)應(yīng)用系統(tǒng)其他應(yīng)用系統(tǒng)網(wǎng)絡(luò)治理系統(tǒng)安全保障體系支撐層數(shù)據(jù)庫治理電子郵件系統(tǒng)域名治理系統(tǒng)WEB服務(wù)系統(tǒng)目錄治理系統(tǒng)信息交換系統(tǒng)操作系統(tǒng)服務(wù)器系統(tǒng)基礎(chǔ)層網(wǎng)絡(luò)平臺光纖、城域網(wǎng)電子政務(wù)外網(wǎng)的總體體系結(jié)構(gòu)分為基礎(chǔ)層、支撐層和應(yīng)用層。基礎(chǔ)層指政務(wù)外網(wǎng)的網(wǎng)絡(luò)設(shè)備和傳輸鏈路；支撐層包括操作系統(tǒng)、服務(wù)器系統(tǒng)和應(yīng)用系統(tǒng)支撐環(huán)境；應(yīng)用層包括網(wǎng)上辦公與網(wǎng)上審批、外網(wǎng)門戶網(wǎng)站和各部門業(yè)務(wù)應(yīng)用系統(tǒng)等，其他一些應(yīng)用系統(tǒng)則直接運(yùn)行在網(wǎng)絡(luò)平臺上。網(wǎng)絡(luò)治理系統(tǒng)和安全保障體系保證全網(wǎng)的網(wǎng)絡(luò)治理和安全可靠運(yùn)行。網(wǎng)絡(luò)情況及組網(wǎng)描述國際互聯(lián)網(wǎng)：簡稱互聯(lián)網(wǎng)，也稱因特網(wǎng)。電子政務(wù)外網(wǎng)（以下簡稱政務(wù)外網(wǎng)）：是政府部門的業(yè)務(wù)專網(wǎng)和資源共享專網(wǎng)，凡不需要在政務(wù)內(nèi)網(wǎng)上運(yùn)行的業(yè)務(wù)系統(tǒng)可接入政務(wù)外網(wǎng)；政務(wù)外網(wǎng)同時(shí)對互聯(lián)網(wǎng)公眾提供服務(wù)。在政務(wù)外網(wǎng)上采納上MPLS（多協(xié)議標(biāo)簽交換）技術(shù)，提供VPN（虛擬專用網(wǎng)）服務(wù)。政務(wù)外網(wǎng)具有兩個(gè)差不多虛擬專網(wǎng)，即資源共享專網(wǎng)和公眾服務(wù)專網(wǎng)；此外，有VPN組網(wǎng)需求的單位還能夠申請開通本部門的縱向部門業(yè)務(wù)專網(wǎng)。資源共享專網(wǎng)是各單位實(shí)現(xiàn)信息共享與交換的網(wǎng)絡(luò)，不同意互聯(lián)網(wǎng)公眾訪問。公眾服務(wù)專網(wǎng)對互聯(lián)網(wǎng)公眾提供服務(wù)，放置門戶網(wǎng)站和郵件等服務(wù)器，通過網(wǎng)絡(luò)安全保障系統(tǒng)與互聯(lián)網(wǎng)邏輯連接，同意互聯(lián)網(wǎng)主動訪問公眾服務(wù)專網(wǎng)的服務(wù)資源，一般不同意公眾服務(wù)專網(wǎng)訪問互聯(lián)網(wǎng)（專門服務(wù)除外，比如系統(tǒng)補(bǔ)丁在線升級服務(wù)等）。部門業(yè)務(wù)專網(wǎng)是指在政務(wù)外網(wǎng)上利用MPLSVPN技術(shù)，連接本系統(tǒng)內(nèi)部省、市、縣（市、區(qū)）相關(guān)部門的縱向業(yè)務(wù)網(wǎng)絡(luò)。如圖所示：網(wǎng)絡(luò)接入范圍政務(wù)外網(wǎng)連接范圍：市政府工作部門，各直屬單位，區(qū)、縣、市，以及有需要接入的相關(guān)企事業(yè)單位。各直屬單位的下級機(jī)構(gòu)接入到政務(wù)外網(wǎng)，必須報(bào)區(qū)黨政信息中心審批，并報(bào)市政府辦公廳信息中心備案。各網(wǎng)絡(luò)定義及互聯(lián)依照《浙江省電子政務(wù)網(wǎng)絡(luò)技術(shù)規(guī)范》，電子政務(wù)網(wǎng)包括電子政務(wù)內(nèi)網(wǎng)和電子政務(wù)外網(wǎng)，各網(wǎng)絡(luò)間關(guān)系如下：政務(wù)內(nèi)網(wǎng)和政務(wù)外網(wǎng)：政務(wù)內(nèi)網(wǎng)與政務(wù)外網(wǎng)之間物理隔離。政務(wù)內(nèi)網(wǎng)和互聯(lián)網(wǎng)：政務(wù)內(nèi)網(wǎng)和互聯(lián)網(wǎng)物理隔離。政務(wù)外網(wǎng)和互聯(lián)網(wǎng)：政務(wù)外網(wǎng)通過防火墻、入侵檢測、安全審計(jì)和病毒防護(hù)等網(wǎng)絡(luò)安全設(shè)備與互聯(lián)網(wǎng)邏輯隔離。通過政務(wù)外網(wǎng)可訪問互聯(lián)網(wǎng)，政務(wù)外網(wǎng)的公眾服務(wù)專網(wǎng)可供互聯(lián)網(wǎng)用戶訪問。電子政務(wù)外網(wǎng)與互聯(lián)網(wǎng)政務(wù)外網(wǎng)資源共享專網(wǎng)和互聯(lián)網(wǎng)政務(wù)外網(wǎng)資源共享專網(wǎng)設(shè)立互聯(lián)網(wǎng)統(tǒng)一出口，接入外網(wǎng)的各級單位通過統(tǒng)一出口訪問互聯(lián)網(wǎng)。資源共享專網(wǎng)在防火墻、病毒防護(hù)等安全系統(tǒng)的愛護(hù)下訪問互聯(lián)網(wǎng)。如圖所示：因特網(wǎng)公眾禁止訪問資源共享專網(wǎng)。但關(guān)于因特網(wǎng)上的政府移動辦公用戶，能夠采納IPSec和RemoteAccesstoMPLSVPN相結(jié)合的技術(shù)，從Internet進(jìn)行VPDN（VirtualPrivateDialupNetworks虛擬專用撥號網(wǎng)）撥號進(jìn)入資源共享專網(wǎng)或者部門業(yè)務(wù)專網(wǎng)，從而訪問省政務(wù)外網(wǎng)的資源。如圖所示：電子政務(wù)外網(wǎng)公眾服務(wù)專網(wǎng)和互聯(lián)網(wǎng)在電子政務(wù)外網(wǎng)上劃分公眾服務(wù)專網(wǎng)后，各單位對因特網(wǎng)公眾提供服務(wù)的服務(wù)器能夠在本單位內(nèi)按照技術(shù)規(guī)范正確部署，也能夠由區(qū)政府統(tǒng)一部署在區(qū)政府信息中心機(jī)房。公眾服務(wù)專網(wǎng)在電子政務(wù)外網(wǎng)的核心路由器上有獨(dú)立出口，差不多的安全策略由核心出口處統(tǒng)一實(shí)施部署，各單位的防火墻實(shí)現(xiàn)更詳細(xì)的訪問策略，操縱該區(qū)域服務(wù)器與因特網(wǎng)實(shí)現(xiàn)有限訪問。同意因特網(wǎng)主動訪問公眾服務(wù)專網(wǎng)的服務(wù)資源；一般不同意公眾服務(wù)專網(wǎng)訪問因特網(wǎng)，服務(wù)器軟件更新、補(bǔ)丁升級除外。公眾服務(wù)專網(wǎng)和因特網(wǎng)的訪問關(guān)系如圖所示：電子政務(wù)外網(wǎng)部門業(yè)務(wù)專網(wǎng)和因特網(wǎng)部門業(yè)務(wù)專網(wǎng)通過各各單位市局統(tǒng)一部署的網(wǎng)閘和資源共享專網(wǎng)實(shí)現(xiàn)有效隔離，并通過資源共享專網(wǎng)完成到因特網(wǎng)的信息交換。如圖所示：電子政務(wù)外網(wǎng)各專網(wǎng)及因特網(wǎng)綜合資源共享專網(wǎng)、部門業(yè)務(wù)專網(wǎng)、公眾服務(wù)專網(wǎng)和互聯(lián)網(wǎng)的描述，以上網(wǎng)絡(luò)之間的關(guān)系如下：市政務(wù)內(nèi)網(wǎng)和市政務(wù)外網(wǎng)的聯(lián)網(wǎng)單位市政務(wù)內(nèi)網(wǎng)聯(lián)網(wǎng)單位在連續(xù)“小內(nèi)網(wǎng)、大外網(wǎng)”思路下，市政務(wù)內(nèi)網(wǎng)接入延伸到各區(qū)、縣（市）。市級各部門結(jié)合實(shí)際應(yīng)用，按需接入。市政務(wù)外網(wǎng)聯(lián)網(wǎng)單位市政務(wù)外網(wǎng)連接市級各單位，各區(qū)、縣（市），以及因工作需要接入的單位。聯(lián)網(wǎng)單位分析目前有聯(lián)網(wǎng)需求單位共199家。其中有政務(wù)外網(wǎng)聯(lián)網(wǎng)需求有134家（包括郊縣區(qū)縣市政府及大樓內(nèi)局域網(wǎng)31家單位）；政務(wù)內(nèi)網(wǎng)聯(lián)網(wǎng)需求有95家；機(jī)要網(wǎng)聯(lián)網(wǎng)需求有56家；會計(jì)結(jié)算聯(lián)網(wǎng)需求有88家；同時(shí)有政務(wù)內(nèi)網(wǎng)、政務(wù)外網(wǎng)需求有94家。同時(shí)結(jié)合原有的利用的運(yùn)營商城域網(wǎng)資源構(gòu)建的包括127家單位在內(nèi)的黨政專網(wǎng)MPLSVPN的資源，本著經(jīng)濟(jì)性、科學(xué)性、合理性的原則，充分利用原有的投資資源，完善、調(diào)整現(xiàn)有的資源，確定利用運(yùn)營商的鏈路及機(jī)房資源為基礎(chǔ)，通過自有設(shè)備的架設(shè)，構(gòu)建一張符合《浙江省電子政務(wù)網(wǎng)絡(luò)技術(shù)規(guī)范》要求的XX市電子政務(wù)網(wǎng)平臺。依照目前通過運(yùn)營商的城域網(wǎng)構(gòu)建MPLSVPN的聯(lián)網(wǎng)單位的連接機(jī)房，信息表如下所示：機(jī)房接入點(diǎn)局域網(wǎng)接入點(diǎn)局域網(wǎng)大樓1142431市政府大樓38437284896113122133151201231合計(jì)9631現(xiàn)狀分析目前XX市政務(wù)網(wǎng)平臺共有連接單位有190家左右，分不采納了局域網(wǎng)（市政府大樓內(nèi)）、100MMPLSVPN、10MMPLSVPN、撥號、裸光纖等等方式連接至政務(wù)網(wǎng)；其中利用XX網(wǎng)通信息港的城域網(wǎng)的MPLS構(gòu)建電子政務(wù)網(wǎng)平臺的主體，共有120多家單位承載在該網(wǎng)絡(luò)平臺，其余的單位采納撥號等等。利用XX網(wǎng)通城域網(wǎng)構(gòu)建的黨政專網(wǎng)，囊括了120多家黨政機(jī)關(guān)、政府部門，全部利用XX城域網(wǎng)基于IP的MPLS技術(shù)構(gòu)建的黨政專網(wǎng)VPN。所有單位均奉行就近接入的原則連接至運(yùn)營商的就近機(jī)房；所有單位均利用單獨(dú)的光纖鏈路作為承載網(wǎng)的基礎(chǔ)鏈路；同時(shí)通過光電收發(fā)器實(shí)現(xiàn)長距離的信號傳輸及光電信號轉(zhuǎn)換；絕大部分單位采納PE-CE的方式，用路由器作為CE設(shè)備構(gòu)建黨政專網(wǎng)MPLSVPN鏈路，部分單位采納交換機(jī)方式（PE-SW）連接，利用運(yùn)營商的PE設(shè)備，利用運(yùn)營商PE設(shè)備的子接口作為CE實(shí)現(xiàn)MPLSVPN；90％的單位的VPN帶寬為100M，部分單位為10M接入。電子政務(wù)網(wǎng)絡(luò)總體架構(gòu)基礎(chǔ)網(wǎng)絡(luò)總體架構(gòu)市電子政務(wù)內(nèi)網(wǎng)網(wǎng)絡(luò)拓?fù)涫姓?wù)內(nèi)網(wǎng)以租用運(yùn)營商MSTP線路為主，電話線路為輔，在此基礎(chǔ)上組建TCP/IP網(wǎng)絡(luò)。13個(gè)區(qū)、縣（市）和按需接入的市級部門以最小帶寬2M接入（依照顧用需求擴(kuò)展帶寬），市政府核心點(diǎn)接入帶寬暫定10M（依照顧用需求擴(kuò)展帶寬），業(yè)務(wù)量不大單位采納撥號方式接入市電子政務(wù)內(nèi)網(wǎng)。市政府核心點(diǎn)配置核心交換機(jī)（具有PE功能），方便治理，適應(yīng)日后網(wǎng)絡(luò)拓展。市政務(wù)內(nèi)網(wǎng)解決方案詳見第六章。市電子政務(wù)外網(wǎng)網(wǎng)絡(luò)拓?fù)涫姓?wù)外網(wǎng)以租用運(yùn)營商裸光纖組建IP城域網(wǎng)為主，租用運(yùn)營商MSTP傳輸網(wǎng)為輔。城域骨干網(wǎng)：租用運(yùn)營商裸光纖，組建IP城域網(wǎng)。XX市內(nèi)主城區(qū)設(shè)3個(gè)骨干節(jié)點(diǎn)，配置PE設(shè)備，環(huán)路帶寬10G。其中2個(gè)節(jié)點(diǎn)設(shè)在運(yùn)營商機(jī)房，1個(gè)節(jié)點(diǎn)設(shè)在市政府信息中心機(jī)房。主城區(qū)另設(shè)11個(gè)匯聚節(jié)點(diǎn)，配置具備MCE功能的三層交換機(jī)設(shè)備，用于匯聚各單位的網(wǎng)絡(luò)。廣域骨干網(wǎng)：租用運(yùn)營商MSTP傳輸線路，到7個(gè)區(qū)、縣（市）（主城區(qū)除外），帶寬初定10M，依照需要擴(kuò)展。接入網(wǎng)：租用運(yùn)營商裸光纖至各聯(lián)網(wǎng)單位，在各單位配置接入交換機(jī)，接入帶寬按照100M設(shè)計(jì)，接入交換機(jī)的各端口配置不同的VLAN對應(yīng)相應(yīng)的VPN。市政務(wù)外網(wǎng)解決方案詳見第六章。MPLSVPN技術(shù)優(yōu)勢MPLS技術(shù)MPLS技術(shù)是一種在開放的通信網(wǎng)上利用定長標(biāo)簽引導(dǎo)數(shù)據(jù)高速傳輸和交換的網(wǎng)絡(luò)新技術(shù)。它是獨(dú)立于鏈路層和物理層的技術(shù)，能保證各種各樣的網(wǎng)絡(luò)互聯(lián)互通，使得各種不同的網(wǎng)絡(luò)數(shù)據(jù)傳輸技術(shù)在同一個(gè)MPLS平臺上統(tǒng)一起來。MPLS的要緊優(yōu)點(diǎn)在于減少了網(wǎng)絡(luò)的復(fù)雜性，兼容了現(xiàn)有各種主流網(wǎng)絡(luò)技術(shù)，大幅度降低了組網(wǎng)成本；在向用戶提供IP業(yè)務(wù)時(shí)能確保QoS和安全性。MPLS不但支持流量工程，同時(shí)也是當(dāng)前最有前景的支持VPN實(shí)現(xiàn)的技術(shù)。MPLS技術(shù)的成功之處在于它在無連接的IP網(wǎng)絡(luò)中引入了面向連接的機(jī)制，通過一個(gè)短的、固定長度的稱為“標(biāo)簽”的標(biāo)識符，利用標(biāo)簽機(jī)制轉(zhuǎn)發(fā)分組。其核心思想是：邊緣的路由，核心的交換。MPLS/VPN的實(shí)現(xiàn)過程：客戶的邊界路由器CE連接到MPLS的PE路由器，通過MPLS內(nèi)部創(chuàng)建的VPN，客戶的數(shù)據(jù)被封裝并透明地傳送到其它的CE路由器。CE路由器向VPN廣播包含它下屬節(jié)點(diǎn)的所有設(shè)備的路由表。一個(gè)MPLS/VPN網(wǎng)絡(luò)由一些分離的站點(diǎn)組成，這些站點(diǎn)通過MPLS服務(wù)提供商的骨干網(wǎng)絡(luò)互聯(lián)。在每一個(gè)站點(diǎn)有一個(gè)或多個(gè)CE路由器，每個(gè)CE連接一個(gè)或多個(gè)PE路由器。相關(guān)聯(lián)的PE之間使用MP-BGP（BorderGatewayProtocol-Multiprotocol）協(xié)議通信。VPN的IP地址范圍獨(dú)立定義，任意兩個(gè)VPN的IP地址集能夠有重疊。在同一個(gè)VPN專網(wǎng)中使用的IP地址必須是一個(gè)單獨(dú)地址集。每個(gè)CE與它直接相連的PE路由可達(dá)。另外，在所有VPN中的PE路由器的IP地址不能重復(fù)。MPLS支持的路由協(xié)議MPLS內(nèi)部（PC-PC、PC-PE或PE-PE之間）的路由通過標(biāo)準(zhǔn)的第三層路由協(xié)議來實(shí)現(xiàn)，如：OSPF、BGP等。第三層路由協(xié)議維護(hù)的信息將用于給相鄰節(jié)點(diǎn)分配標(biāo)簽。MPLS與用戶之間（PE與CE之間）的路由協(xié)議能夠是：OSPF、IS-IS、RIP、BGP或靜態(tài)路由。MPLS骨干網(wǎng)內(nèi)部的路由協(xié)議，即PE-P-PE的IGP路由協(xié)議能夠是OSPF或IS-IS。為傳送用戶VPN的路由信息，在對應(yīng)的PE之間使用MP-BGP路由協(xié)議。從用戶的觀點(diǎn)看，盡管要穿過服務(wù)提供商治理的VPN通道，但用戶看到的是CE之間直接互聯(lián)，并通過CE將每一個(gè)站點(diǎn)的用戶內(nèi)部路由器連接起來。服務(wù)提供商的MPLS網(wǎng)絡(luò)對用戶是透明的，看不到內(nèi)部的結(jié)構(gòu)，也看不到MPLS網(wǎng)內(nèi)部傳輸?shù)穆酚?。從服?wù)提供商的角度看，其MPLS網(wǎng)絡(luò)與用戶網(wǎng)絡(luò)比較是特不不同的。每個(gè)用戶只有一個(gè)VPN，而一個(gè)服務(wù)提供商能夠有多個(gè)VPN。服務(wù)提供商只能治理每個(gè)VPN在MPLS骨干網(wǎng)中的通道，它看不到由VPN組成的專網(wǎng)的內(nèi)部結(jié)構(gòu)。PE路由器分不為每個(gè)VPN維護(hù)一張路由表，表中有其直接相連的VPN站點(diǎn)的路由信息，同時(shí)與相應(yīng)VPN相關(guān)的PE之間交換這些路由信息。MPLSVPN同VLAN接入映射在各個(gè)接入節(jié)點(diǎn)，為節(jié)約PE路由器的接入端口和線路，同時(shí)又保障能夠?qū)崿F(xiàn)多個(gè)VPN專網(wǎng)接入MPLS，我們建議通過2層交換機(jī)作為VPN專網(wǎng)接入的物理設(shè)備。2層交換機(jī)通過Trunk與PE路由器連接。在2層交換機(jī)上為接入的不同VPN專網(wǎng)劃分不同的VLAN，通過VLAN接入不同的VPN專網(wǎng)。在MPLS的PE路由器上，不同的VPN通道穿過Trunk與2層交換機(jī)上的VLAN連通。在XX市電子政務(wù)外網(wǎng)中MPLS/VPN對應(yīng)VLAN的實(shí)現(xiàn)機(jī)制如下圖所示：通過Trunk（802.1Q）將不同VLAN映射到不同的MPLSVPN中來實(shí)現(xiàn)不同的VPN專網(wǎng)接入。VLAN規(guī)劃為加強(qiáng)網(wǎng)絡(luò)治理的系統(tǒng)性，便于對用戶的治理與維護(hù)，增加用戶的安全性，需進(jìn)行VLAN的劃分。關(guān)于VLAN的劃分，我們建議，VLAN編號以Site基準(zhǔn)，即VLAN號在一個(gè)Site內(nèi)是唯一的，同時(shí)，統(tǒng)一的VLAN編號法有助于消除歧意和有助于排錯(cuò)。建議VLAN劃分如下：VLAN1-VLAN99，用于設(shè)備治理或保留；VLAN100-VLAN299，用于資源共享專網(wǎng)；VLAN300-VLAN399，用于公共服務(wù)專網(wǎng)；VLAN400-VLAN499，用于業(yè)務(wù)專網(wǎng)；其余VLAN保留；MPLS/VPN優(yōu)勢在XX電子政務(wù)外網(wǎng)建設(shè)中，XX市不同的政府部門之間業(yè)務(wù)承載在同一張物理網(wǎng)絡(luò)之上，出于安全性的考慮，必須采納技術(shù)手段進(jìn)行安全隔離，而不同部門之間的部分資源又需要進(jìn)行受控互訪進(jìn)行共享，因此隔離和互訪是政務(wù)網(wǎng)建設(shè)中的必定需求。目前業(yè)界要緊的隔離與互訪技術(shù)要緊包括MPLSVPN、傳統(tǒng)的VLAN+ACL、IPTUNNELVPN技術(shù)，ACL+VLAN方式能夠?qū)崿F(xiàn)隔離、受控互訪，部門之間的隔離采納VLAN方式，受控互訪采納ACL進(jìn)行操縱，但每增加一個(gè)新的VLAN或是業(yè)務(wù)系統(tǒng)都要對往常所有業(yè)務(wù)系統(tǒng)的配置進(jìn)行修改，可擴(kuò)展性和維護(hù)性較差。在靈活性、QOS等方面，VPN方式也明顯優(yōu)于ACL+VLAN，因此建議在政務(wù)網(wǎng)中采納VPN技術(shù)。因此VPN技術(shù)又要緊分為IPTunnelVPN和MPLSVPN技術(shù)，IPTunnelVPN同樣是每增加一個(gè)節(jié)點(diǎn)，都需要修改原有的N個(gè)節(jié)點(diǎn)的配置。因此，采納IPTunnelVPN組建的VPN也存在嚴(yán)峻的可擴(kuò)展性問題，當(dāng)網(wǎng)絡(luò)規(guī)模擴(kuò)大時(shí)，隧道的建立及維護(hù)難度急劇增大，相應(yīng)的，對設(shè)備的性能壓力也急劇增大。假如考慮VPN之間的互通，這復(fù)雜度更大，因此，IPTunnelVPN只適合于組建規(guī)模有限，拓?fù)浜唵蔚腣PN。MPLSVPN是采納自動建立LSP(標(biāo)簽轉(zhuǎn)發(fā)隧道)實(shí)現(xiàn)VPN報(bào)文在共網(wǎng)中的轉(zhuǎn)發(fā)，采納MP-BGP協(xié)議實(shí)現(xiàn)VPN私網(wǎng)路由信息的擴(kuò)散。從而大大減少了單個(gè)節(jié)點(diǎn)的配置工作量，MPLSVPN便于維護(hù)。同時(shí)，不同于IPTunnelVPN中VPN的隔離依靠手工配置實(shí)現(xiàn)，由于采納了動態(tài)協(xié)議實(shí)現(xiàn)VPN隧道(即LSP)的建立及VPN私網(wǎng)路由的擴(kuò)散，在增加新的節(jié)點(diǎn)時(shí)，不需要對原有節(jié)點(diǎn)的配置進(jìn)行修改。因此，相關(guān)于其他VPN技術(shù)，采納MPLS技術(shù)組建的VPN具有更好的可維護(hù)性及可擴(kuò)展性，MPLSVPN更適合于組建較大規(guī)模的復(fù)雜的VPN網(wǎng)絡(luò)，MPLSVPN的這些優(yōu)點(diǎn)差不多是它成為政務(wù)網(wǎng)上IPVPN的主流技術(shù)。因此在XX電子政務(wù)外網(wǎng)的規(guī)劃過程中，結(jié)合網(wǎng)絡(luò)可擴(kuò)展、維護(hù)等方面的考慮，建議采納MPLSVPN技術(shù)實(shí)現(xiàn)在一個(gè)電子政務(wù)平臺之上，承載多個(gè)系統(tǒng)業(yè)務(wù)，并實(shí)現(xiàn)安全隔離。快威實(shí)施MPLSVPN技術(shù)的優(yōu)勢快威科技具有豐富的規(guī)劃、實(shí)施大型MPLSVPN的技術(shù)實(shí)力和經(jīng)驗(yàn)積存。先后成功規(guī)劃和實(shí)施了江西省電子政務(wù)網(wǎng)MPLSVPN、浙江省電子政務(wù)網(wǎng)浙、XX市數(shù)字城管MPLSVPN網(wǎng)絡(luò)、浙江省公安廳二級網(wǎng)MPLSVPN、河南網(wǎng)通寬帶IP網(wǎng)和DCN網(wǎng)MPLSVPN的規(guī)劃和實(shí)施。XX電子政務(wù)網(wǎng)解決方案網(wǎng)絡(luò)建設(shè)原則依照XX市電子政務(wù)網(wǎng)項(xiàng)目的具體情況，在系統(tǒng)設(shè)計(jì)中應(yīng)遵循以下原則：標(biāo)準(zhǔn)化及開放性采納的設(shè)備應(yīng)符合國際通用標(biāo)準(zhǔn)，任何一臺設(shè)備都可用符合該標(biāo)準(zhǔn)的其他廠家的設(shè)備所替換；開放的網(wǎng)絡(luò)能夠讓用戶自由地選擇不同廠家的產(chǎn)品，不受原有廠家的限制。最大程度地愛護(hù)用戶的利益。要求網(wǎng)絡(luò)的設(shè)計(jì)一定要基于國際標(biāo)準(zhǔn)，使用標(biāo)準(zhǔn)的通信協(xié)議。讓不同廠家的設(shè)備能夠在同一個(gè)網(wǎng)絡(luò)上同時(shí)運(yùn)行；規(guī)劃設(shè)計(jì)以及采納的設(shè)備應(yīng)是開放的，應(yīng)能夠保證其他廠家設(shè)備的接入；在一個(gè)復(fù)雜的大型網(wǎng)絡(luò)系統(tǒng)里，必定共存著多個(gè)廠商的硬件和軟件產(chǎn)品。網(wǎng)絡(luò)系統(tǒng)的目標(biāo)確實(shí)是要通過不同廠商的硬件設(shè)備和計(jì)算機(jī)軟件的互聯(lián)，從而實(shí)現(xiàn)網(wǎng)絡(luò)信息及設(shè)備資源的共享。為了保證用戶的網(wǎng)絡(luò)系統(tǒng)具有互操作性、可用性、可靠性、可擴(kuò)充性、可治理性，應(yīng)建立一個(gè)開放的，遵循國際標(biāo)準(zhǔn)的網(wǎng)絡(luò)系統(tǒng)?？蓴U(kuò)展性規(guī)劃設(shè)計(jì)以及采納的設(shè)備應(yīng)具有一定的可擴(kuò)展性，網(wǎng)絡(luò)設(shè)計(jì)應(yīng)保證節(jié)點(diǎn)級的擴(kuò)展，以及滿足其它生產(chǎn)應(yīng)用接入對網(wǎng)絡(luò)的需求；隨著網(wǎng)絡(luò)用戶應(yīng)用規(guī)模的不斷擴(kuò)大，要求網(wǎng)絡(luò)能方便地?cái)U(kuò)充容量，支持更多的用戶和應(yīng)用。隨著通信技術(shù)的不斷進(jìn)展，網(wǎng)絡(luò)要能平滑地過渡到新的技術(shù)和設(shè)備，愛護(hù)用戶現(xiàn)有投資。由于企業(yè)內(nèi)部治理系統(tǒng)和對外業(yè)務(wù)的不斷進(jìn)展，網(wǎng)絡(luò)系統(tǒng)必定隨之不斷擴(kuò)大。因此，目前的網(wǎng)絡(luò)設(shè)計(jì)必須為今后的擴(kuò)充留有足夠的余地，如此才能最好地愛護(hù)投資。除單個(gè)設(shè)備本身的擴(kuò)展能力之外，在網(wǎng)絡(luò)系統(tǒng)的設(shè)計(jì)過程中，還需要考慮整個(gè)網(wǎng)絡(luò)系統(tǒng)在以后幾年的擴(kuò)容能力和擴(kuò)容方法。如此才能既照顧到目前的應(yīng)用需求，又能滿足今后整個(gè)計(jì)算機(jī)系統(tǒng)的進(jìn)展需要安全性安全在那個(gè)地點(diǎn)的含義不僅是指網(wǎng)絡(luò)系統(tǒng)本身的可靠安全、抗意外災(zāi)難、抗攻擊的能力，而且也要保證在網(wǎng)絡(luò)上傳輸?shù)臄?shù)據(jù)的保密性和安全性。從布線設(shè)計(jì)、網(wǎng)絡(luò)設(shè)計(jì)到應(yīng)用系統(tǒng)平臺的設(shè)計(jì)，在核心層、匯聚層、接入層等不同層次上都要確保數(shù)據(jù)的安全，做到線路防泄漏、防干擾、網(wǎng)絡(luò)具備完善的隔離措施和數(shù)據(jù)加密傳輸，在服務(wù)器平臺設(shè)計(jì)上防止非法訪問，防止病毒破壞。形成一整套安全保障協(xié)防體系。應(yīng)提供足夠的措施防止受到外部用戶和黑客的非法訪問、攻擊和破壞。同時(shí)，要保證在采取安全措施后，不阻礙公安應(yīng)用系統(tǒng)的正常運(yùn)行；可靠性保證數(shù)據(jù)傳輸?shù)目煽啃?，?yīng)有備用或冗余手段。在發(fā)生網(wǎng)絡(luò)設(shè)備故障時(shí)，備用或冗余手段應(yīng)能保證公安系統(tǒng)的正常運(yùn)行。網(wǎng)絡(luò)節(jié)點(diǎn)中的關(guān)鍵硬件網(wǎng)絡(luò)產(chǎn)品的選用需具有專門高的可靠性，較高的MTBF（平均無故障時(shí)刻MeanTimeBetweenFailures）值；全對稱各處理器的硬件體系結(jié)構(gòu)，能夠做到任意一個(gè)處理器和網(wǎng)絡(luò)接口模塊出現(xiàn)故障都可不能阻礙其他模塊，所有的功能部件(電源、系統(tǒng)總線、處理器模塊、網(wǎng)絡(luò)接口模塊等)均能夠熱插拔和冗余熱備份。除硬件的容錯(cuò)外，網(wǎng)絡(luò)設(shè)備還應(yīng)具備軟件故障隔離和軟件的熱備份和熱啟動等，如此才能保證網(wǎng)絡(luò)運(yùn)行的萬無一失。為了防止局部的故障引起整個(gè)信息系統(tǒng)的癱瘓，要幸免網(wǎng)絡(luò)出現(xiàn)單點(diǎn)失效。在骨干通信信道上要提供備份鏈路，提供冗余路由。在要緊通信設(shè)備上要提供冗余配置，保證可不能由于局部模塊的故障阻礙整個(gè)設(shè)備的運(yùn)行。高性能網(wǎng)絡(luò)的設(shè)計(jì)方案不但要保證理論上可行，更重要的是實(shí)際上可用。要充分考慮到應(yīng)用系統(tǒng)的具體情況，最好地滿足需求。迅速地處理通信數(shù)據(jù)，需要網(wǎng)絡(luò)設(shè)備支持高速通信鏈路，提供高數(shù)據(jù)吞吐能力。當(dāng)今世界，通信技術(shù)和計(jì)算機(jī)技術(shù)的進(jìn)展日新月異。方案應(yīng)適應(yīng)新技術(shù)進(jìn)展的潮流，既兼顧了技術(shù)上的成熟性，同時(shí)也保證了系統(tǒng)的先進(jìn)性。所選設(shè)備不管在硬件設(shè)備依舊軟件功能上，都在網(wǎng)絡(luò)界處在領(lǐng)先地位。QOS保證流量優(yōu)化幸免視頻會議等高帶寬應(yīng)用過度消耗廣域網(wǎng)上寶貴的帶寬資源。網(wǎng)絡(luò)系統(tǒng)的建設(shè)應(yīng)本著高起點(diǎn)，統(tǒng)一全面規(guī)劃，便于日常維護(hù)工作，又要為今后的擴(kuò)展與新技術(shù)的融合打下基礎(chǔ)，因此，我們提出以下詳細(xì)設(shè)計(jì)原則來指導(dǎo)網(wǎng)絡(luò)的具體設(shè)計(jì)。網(wǎng)絡(luò)流量優(yōu)化將有助于提高網(wǎng)絡(luò)帶寬的利用率，尤其關(guān)于骨干網(wǎng)上寶貴的帶寬資源。視頻、語音、數(shù)據(jù)集成的多媒體應(yīng)用，一方面為客戶的基礎(chǔ)網(wǎng)絡(luò)帶來了更多的增值應(yīng)用，為用戶提供更加簡便、靈活的信息交流，同時(shí)，也大大增加了網(wǎng)絡(luò)上的信息流量。隨著應(yīng)用需求的提高，對帶寬的要求將進(jìn)一步提高。因此，關(guān)于象視頻會議如此高帶寬的應(yīng)用，進(jìn)行網(wǎng)絡(luò)流量的優(yōu)化顯得尤其重要易維護(hù)要保證網(wǎng)絡(luò)能正常穩(wěn)定運(yùn)行，要求網(wǎng)絡(luò)維護(hù)人員能夠方便地對網(wǎng)絡(luò)設(shè)備進(jìn)行遠(yuǎn)程操縱和配置；同時(shí)網(wǎng)絡(luò)設(shè)備要能夠進(jìn)行熱插拔，方便進(jìn)行日常維護(hù)。適應(yīng)性強(qiáng)網(wǎng)絡(luò)結(jié)構(gòu)復(fù)雜，設(shè)備多樣，同時(shí)針對企業(yè)的業(yè)務(wù)特點(diǎn)，連接的方式和種類專門多。因此需要在網(wǎng)絡(luò)設(shè)計(jì)的初始對所有可能接入的業(yè)務(wù)做出底層的數(shù)據(jù)流向分析，而且要考慮如何用成熟的技術(shù)來滿足具體業(yè)務(wù)的應(yīng)用特點(diǎn)，因此需要網(wǎng)絡(luò)設(shè)備支持“標(biāo)準(zhǔn)化”的網(wǎng)絡(luò)協(xié)議，QOS，Traffic治理和多種類型的組網(wǎng)方式以及各種標(biāo)準(zhǔn)的接口類型?？芍卫硇粤己玫慕M織和治理關(guān)于XX市電子政務(wù)網(wǎng)的主干數(shù)據(jù)網(wǎng)的正常運(yùn)轉(zhuǎn)和高效使用有專門大關(guān)心。網(wǎng)絡(luò)應(yīng)該能夠提供方便，靈活，有力的治理系統(tǒng)，讓使用者能夠有效地操縱和治理整個(gè)網(wǎng)絡(luò)。隨著網(wǎng)絡(luò)規(guī)模的擴(kuò)大和系統(tǒng)復(fù)雜程度的增加，網(wǎng)絡(luò)的治理、監(jiān)控和維護(hù)，以及網(wǎng)絡(luò)故障的診斷和排除變得越來越復(fù)雜。為了使網(wǎng)絡(luò)系統(tǒng)易于治理和維護(hù)，本方案將提供先進(jìn)而完善的網(wǎng)絡(luò)治理系統(tǒng)。如此，既方便網(wǎng)絡(luò)治理員的工作，減輕了勞動強(qiáng)度，也提高了網(wǎng)絡(luò)系統(tǒng)的治理程度。設(shè)計(jì)要求可靠性和自愈能力包括鏈路冗余、模塊冗余、設(shè)備冗余、路由冗余等要求。鏈路冗余在主干連接(主干設(shè)備之間及其與匯接設(shè)備之間的連接)具備可靠的線路冗余方式。主線路切換到備份線路的時(shí)刻應(yīng)小于30s,這種高速的網(wǎng)絡(luò)自愈特性應(yīng)能夠保證可不能引起業(yè)務(wù)的瞬間質(zhì)量惡化，更可不能引起業(yè)務(wù)的中斷。在電子政務(wù)網(wǎng)的核心層環(huán)網(wǎng)、核心層－匯聚層網(wǎng)絡(luò)必須提供冗余鏈路，在發(fā)生故障時(shí)，通過簡易、快速的方式解決鏈路故障模塊冗余要緊設(shè)備(主干設(shè)備和業(yè)務(wù)匯聚點(diǎn)的核心設(shè)備)的要緊模塊和環(huán)境部件應(yīng)具備1:1熱備份的功能，切換時(shí)刻小于30秒。所有模塊具備熱插拔的功能。系統(tǒng)具備99.999%以上的可用性。要緊網(wǎng)絡(luò)設(shè)備的引擎模塊、業(yè)務(wù)模塊（特不是核心層網(wǎng)絡(luò)設(shè)備），必須要有足夠的備件，同時(shí)核心層設(shè)備支持模塊的熱備份，主、備模塊可自動進(jìn)行切換；其余設(shè)備模塊必須要有合理的模塊備份，可通過更換的方式保障模塊的冗余設(shè)備冗余提供由兩臺或兩臺以上設(shè)備組成一個(gè)虛擬設(shè)備的能力。當(dāng)其中一個(gè)設(shè)備因故障停止工作時(shí)，另一臺設(shè)備自動接替其工作，同時(shí)不引起其他節(jié)點(diǎn)的路由表重新計(jì)算，從而提高網(wǎng)絡(luò)的穩(wěn)定性。切換時(shí)刻小于3秒，以保證大部分IP應(yīng)用可不能出現(xiàn)超時(shí)錯(cuò)誤。在匯聚層、接入層網(wǎng)絡(luò)，選用功能滿足、性價(jià)比高的設(shè)備，并提供合理的備件設(shè)備，在發(fā)生故障可通過簡易的設(shè)備更換的方式解決故障路由冗余網(wǎng)絡(luò)的結(jié)構(gòu)設(shè)計(jì)應(yīng)提供足夠的路由冗余功能，在上述冗余特性仍不能解決問題時(shí)，數(shù)據(jù)流應(yīng)能查找其他路徑到達(dá)目的地址。在一個(gè)足夠復(fù)雜的網(wǎng)絡(luò)環(huán)境中，網(wǎng)絡(luò)連接發(fā)生變化時(shí)，路由表的收斂時(shí)刻應(yīng)小于30秒。電子政務(wù)網(wǎng)除了在鏈路、設(shè)備的冗余外，還需要提供路由冗余，確保網(wǎng)絡(luò)的路由有雙向的路由冗余，當(dāng)發(fā)生設(shè)備故障、鏈路故障時(shí)，可通過路由冗余來保障故障阻礙面、阻礙時(shí)刻的最小。擁塞操縱與服務(wù)質(zhì)量保障擁塞操縱和服務(wù)質(zhì)量保障(QoS)是公眾服務(wù)網(wǎng)的重要品質(zhì)。由于接入方式、接入速率、應(yīng)用方式、數(shù)據(jù)性質(zhì)的豐富多樣，網(wǎng)絡(luò)的數(shù)據(jù)流量突發(fā)是不可幸免的，因此，網(wǎng)絡(luò)對擁塞的操縱和對不同性質(zhì)數(shù)據(jù)流的不同處理是十分重要的。電子政務(wù)網(wǎng)的IPQOS服務(wù)質(zhì)量保證需要采納以下多種技術(shù)實(shí)現(xiàn)：優(yōu)先級隊(duì)列PriorityQueue自定義隊(duì)列CustomQueue加權(quán)公平隊(duì)列WeightedFairQueue加權(quán)隨機(jī)早期丟棄WeightedRandomEarlyDiscard資源預(yù)留協(xié)議RSVP承諾訪問速率CARIP優(yōu)先級IPPrecedence多協(xié)議標(biāo)記交換技術(shù)MPLS電子政務(wù)網(wǎng)的IPQOS需要滿足以下的功能：業(yè)務(wù)分類網(wǎng)絡(luò)設(shè)備應(yīng)支持6-8種業(yè)務(wù)分類(COS)。當(dāng)用戶終端不提供業(yè)務(wù)分類信息時(shí)，網(wǎng)絡(luò)設(shè)備應(yīng)依照用戶所在網(wǎng)段、應(yīng)用類型、流量大小等自動對業(yè)務(wù)進(jìn)行分類。接入速率操縱接入本網(wǎng)絡(luò)的業(yè)務(wù)應(yīng)遵守其接入速率承諾。超過承諾速率的數(shù)據(jù)將被丟棄或標(biāo)以最低的優(yōu)先級。隊(duì)列機(jī)制具有先進(jìn)的隊(duì)列機(jī)制進(jìn)行擁塞操縱，對不同等級的業(yè)務(wù)進(jìn)行不同的處理，包括時(shí)延的不同和丟包率的不同。先期擁塞操縱當(dāng)網(wǎng)絡(luò)出現(xiàn)真正的擁塞時(shí)，瞬間大量的丟包會引起大量TCP數(shù)據(jù)同時(shí)重發(fā)，加劇網(wǎng)絡(luò)擁塞的程度并引起網(wǎng)絡(luò)的不穩(wěn)定。網(wǎng)絡(luò)設(shè)備應(yīng)具備先進(jìn)的技術(shù)，在網(wǎng)路出現(xiàn)擁塞前就自動采取適當(dāng)?shù)拇胧?，進(jìn)行先期擁塞操縱，幸免瞬間大量的丟包現(xiàn)象。資源預(yù)留對特不重要的專門應(yīng)用，應(yīng)能夠采納保留帶寬資源的方式保證其QoS。網(wǎng)絡(luò)的擴(kuò)展能力網(wǎng)絡(luò)的擴(kuò)展能力包括設(shè)備交換容量的擴(kuò)展能力、端口密度的擴(kuò)展能力、主干帶寬的擴(kuò)展，以及網(wǎng)絡(luò)規(guī)模的擴(kuò)展能力。交換容量擴(kuò)展交換容量應(yīng)具備在現(xiàn)有基礎(chǔ)上接著擴(kuò)充4~8倍容量的能力，以適應(yīng)IP類業(yè)務(wù)急速膨脹的現(xiàn)實(shí)。端口密度擴(kuò)展設(shè)備的端口密度應(yīng)能滿足網(wǎng)絡(luò)擴(kuò)容時(shí)設(shè)備間互聯(lián)的需要。主干帶寬擴(kuò)展主干帶寬應(yīng)具備高的帶寬擴(kuò)展能力，以適應(yīng)IP類業(yè)務(wù)急速膨脹的現(xiàn)實(shí)。網(wǎng)絡(luò)治理與安全體系支持整個(gè)網(wǎng)絡(luò)系統(tǒng)各種網(wǎng)絡(luò)設(shè)備的統(tǒng)一網(wǎng)絡(luò)治理。支持故障治理、記帳治理、配置治理、性能治理和安全治理五大功能。支持系統(tǒng)級的治理，包括系統(tǒng)分析、系統(tǒng)規(guī)劃等；支持基于策略的治理，對策略的修改能夠立即反應(yīng)到所有相關(guān)設(shè)備中。網(wǎng)絡(luò)設(shè)備支持多級治理權(quán)限，支持RADIUS、TACACS+等認(rèn)證機(jī)制。支持安全監(jiān)控和操縱機(jī)制，當(dāng)發(fā)覺存在安全漏洞和遭到攻擊時(shí)，應(yīng)及時(shí)通知網(wǎng)絡(luò)治理人員，并應(yīng)自動采取適當(dāng)?shù)拇胧┯枰詯圩o(hù)XX市電子政務(wù)內(nèi)網(wǎng)建設(shè)方案網(wǎng)絡(luò)拓?fù)渚W(wǎng)絡(luò)平臺設(shè)計(jì)政務(wù)內(nèi)網(wǎng)屬于保密網(wǎng)，需要與政務(wù)外網(wǎng)物理隔離，能夠選擇從物理層或傳輸層的物理隔離；同時(shí)從投入的性價(jià)比的角度考慮，建議采納租用運(yùn)營商的傳輸網(wǎng)的形式來實(shí)現(xiàn)政務(wù)內(nèi)網(wǎng)的應(yīng)用?？蛻舳瞬杉{光纜直連加光電收發(fā)器的形式，并提供10M/100M接入端口，先期提供2M的傳輸帶寬，提供100M的接入端口，可隨著業(yè)務(wù)及應(yīng)用的變更進(jìn)行無縫升級（2M/4M/10M—100M等）；中心點(diǎn)依照目前的接入單位有94個(gè)接入單位，中心點(diǎn)采納匯聚模式。依照MSTP的設(shè)備特性1：24匯聚比，MSTP設(shè)備提供4個(gè)100M的TRUNK端口連接至內(nèi)網(wǎng)核心交換機(jī)，并通過交換機(jī)的子接口與用戶端的VLAN匹配，實(shí)現(xiàn)政務(wù)內(nèi)網(wǎng)的三層交換網(wǎng)。政務(wù)內(nèi)網(wǎng)聯(lián)網(wǎng)通過運(yùn)營商的MSTP傳輸網(wǎng)，實(shí)現(xiàn)用戶端到市政府中心的星型架構(gòu)的傳輸網(wǎng)；用戶端采納光電收發(fā)器的接入模式，提供10/100M的接入端口，傳輸帶寬為2M。設(shè)備選型和配置講明依照招標(biāo)文件的要求，本次內(nèi)網(wǎng)的建設(shè)方案僅要求采購一臺具備MPLSVPN功能的交換機(jī)設(shè)備作為核心交換機(jī)，我們在本次方案中推舉采納思科的Catalyst6506E交換機(jī)。Catalyst6500系列為企業(yè)園區(qū)網(wǎng)和電信運(yùn)營商網(wǎng)絡(luò)設(shè)立了新的IP通信和應(yīng)用支持標(biāo)準(zhǔn)，它不但能提高用戶的生產(chǎn)率，增強(qiáng)操作操縱，還能提供無與倫比的投資愛護(hù)。作為思科重要的智能多層模塊化交換機(jī)，Catalyst?6500系列能夠提供安全的端到端融合網(wǎng)絡(luò)服務(wù)，其使用范圍從布線室到核心，再到數(shù)據(jù)中心和廣域網(wǎng)邊緣。CiscoCatalyst6500系列能夠通過多種機(jī)箱配置和LAN/WAN/MAN接口提供可擴(kuò)展的性能和端口密度，因而能關(guān)心企業(yè)和電信運(yùn)營商降低總體擁有成本。CiscoCatalyst6500系列交換機(jī)提供包括數(shù)千兆位網(wǎng)絡(luò)安全性、內(nèi)容交換、語音和網(wǎng)絡(luò)分析模塊。Catalyst6500系列中的所有型號都使用了統(tǒng)一的模塊和操作系統(tǒng)軟件，形成了能夠適應(yīng)以后進(jìn)展的體系結(jié)構(gòu)，由于能提供操作一致性，因而能提高IT基礎(chǔ)設(shè)施的利用率，并增加投資回報(bào)。CiscoCatalyst6500系列能夠借助冗余路由與轉(zhuǎn)發(fā)引擎之間的故障切換功能提高網(wǎng)絡(luò)正常運(yùn)行時(shí)刻。本次方案這臺內(nèi)網(wǎng)的核心交換機(jī)CISCOCATALYST6506E配置Sup32-GE引擎2個(gè)，能夠?qū)崿F(xiàn)主備引擎的功能，每個(gè)引擎上還包含8個(gè)GE端口和一個(gè)10/100/1000M電口，而且主備引擎上的所有端口都能夠同時(shí)工作，整機(jī)32Gbps交換容量，15Mpps包轉(zhuǎn)發(fā)率，512MB內(nèi)存，可升級至1GB，256MB板載閃存，工作溫度32到104F(0到40C)。具體配置清單如下，XX市電子政務(wù)外網(wǎng)建設(shè)方案在本方案中充分考慮目前的黨政專網(wǎng)的網(wǎng)絡(luò)狀況，結(jié)合已利用的鏈路資源及成熟的技術(shù)、設(shè)備，實(shí)現(xiàn)用成熟技術(shù)、經(jīng)濟(jì)的設(shè)備。實(shí)現(xiàn)符合《浙江省電子政務(wù)網(wǎng)技術(shù)規(guī)范要求》的功能要求，同時(shí)較好的結(jié)合了XX市原有的網(wǎng)絡(luò)資源及本地各政府部門的實(shí)際情況。依照目前的城域網(wǎng)的組網(wǎng)技術(shù)及主流技術(shù)，考慮日后的電子政務(wù)外網(wǎng)的運(yùn)維等等因素，我們建議采納PE骨干層＋二層匯聚的組網(wǎng)方式。核心層部署3臺PE設(shè)備，并通過萬兆以太環(huán)構(gòu)成骨干網(wǎng)絡(luò)，匯聚層11個(gè)節(jié)點(diǎn)，分不部署1臺二層交換機(jī)作為匯聚節(jié)點(diǎn)，通過光纖利用千兆以太網(wǎng)接口上聯(lián)核心節(jié)點(diǎn)。各個(gè)區(qū)縣部署一臺PE設(shè)備作為各個(gè)區(qū)縣的匯聚P節(jié)點(diǎn)或者PE節(jié)點(diǎn)，通過光纖或者M(jìn)STP上聯(lián)核心節(jié)點(diǎn)。以下將對上述方案進(jìn)行詳細(xì)描述。.網(wǎng)絡(luò)拓?fù)渚W(wǎng)絡(luò)平臺設(shè)計(jì)骨干環(huán)網(wǎng)：依照XX市電子政務(wù)網(wǎng)聯(lián)網(wǎng)需求的所有單位的分布、覆蓋狀況，選定勞動技校、宏鼎商務(wù)樓、高銀巷為電子政務(wù)網(wǎng)平臺的核心節(jié)點(diǎn)。三個(gè)核心節(jié)點(diǎn)通過思科的高端路由器Cisco7609，構(gòu)建基于裸光纖的10G骨干環(huán)網(wǎng)（IPOVER裸光纖）。三個(gè)骨干節(jié)點(diǎn)及各自獨(dú)立，各自負(fù)責(zé)本地區(qū)域的所有聯(lián)網(wǎng)單位的MPLSVPN功能，同時(shí)三個(gè)骨干節(jié)點(diǎn)之間通過物理鏈路、路由方式互連，可在任何一個(gè)節(jié)點(diǎn)出現(xiàn)故障的情況下，在不阻礙其它節(jié)點(diǎn)正常運(yùn)行的情況下，進(jìn)行路由切換至相鄰節(jié)點(diǎn)，確保整個(gè)核心網(wǎng)平臺的正常使用。所有的電子政務(wù)網(wǎng)的MPLSVPN功能全部由核心的PE設(shè)備實(shí)現(xiàn)，三層網(wǎng)絡(luò)以PE設(shè)備為終結(jié)點(diǎn)，實(shí)現(xiàn)配置工作相對集中及治理的集中，便于日后的運(yùn)營治理和運(yùn)維治理匯聚網(wǎng)：依照單位的分布情況及目前的聯(lián)網(wǎng)狀況，結(jié)合核心骨干點(diǎn)的物理位置，設(shè)立了7個(gè)獨(dú)立的匯聚機(jī)房及宏鼎商務(wù)樓、勞動技校兩個(gè)核心機(jī)房也承擔(dān)了該覆蓋區(qū)域的匯聚機(jī)房作用。所有的匯聚機(jī)房及核心機(jī)房的本地接入，均采納高性能的具有MCE功能的三層交換機(jī)CiscoCatalyst3560交換機(jī)作為電子政務(wù)的二層匯聚設(shè)備考慮到市政府大樓聚攏XX市的政府首腦機(jī)關(guān)聚攏地、是XX政治、經(jīng)濟(jì)、文化的決策中心，同時(shí)也是XX市電子政務(wù)網(wǎng)與浙江省電子政務(wù)的銜接點(diǎn)，因此建議XX市政府大樓用1臺PE設(shè)備（CiscoCatalyst6503E）作為大樓局域網(wǎng)的接入設(shè)備，同時(shí)與電子政務(wù)網(wǎng)的2個(gè)POP點(diǎn)相連，確保市政府大樓內(nèi)的局域網(wǎng)與電子政務(wù)的相連。5個(gè)主城區(qū)的區(qū)政府及高新區(qū)政府，為了保障MPLSVPN的實(shí)現(xiàn)，以區(qū)政府的PE與核心的PE直接互連的方式連接，其余單位均采納就近接入的方式連接至匯聚機(jī)房。匯聚層網(wǎng)絡(luò)利用高性能、高性價(jià)比的2層交換機(jī)實(shí)現(xiàn)匯接點(diǎn)的單位的接入，構(gòu)建網(wǎng)絡(luò)拓?fù)浜唵?、有用性?qiáng)、性價(jià)比好的電子政務(wù)外網(wǎng)的匯接層網(wǎng)絡(luò)；匯接層采納2層交換機(jī)組網(wǎng)，使網(wǎng)絡(luò)層次清晰，配置工作集中在核心的PE設(shè)備，使后期的網(wǎng)絡(luò)運(yùn)維配置簡單、故障排查簡單、高效；同時(shí)可通過匯聚層網(wǎng)絡(luò)的安全操縱、策略設(shè)置保障核心層網(wǎng)絡(luò)安全性、可靠性。接入層：區(qū)縣（市）政府的接入設(shè)備為PE設(shè)備，本次方案建議采納Cisco的Catalyst6503E，作為XX市電子政務(wù)平臺的MPLSVPN業(yè)務(wù)的延伸設(shè)備，同時(shí)也是區(qū)縣（市）政府與省、市電子政務(wù)網(wǎng)的連接設(shè)備；其余的單位、部門均采納具有數(shù)據(jù)鏈路層相關(guān)功能及治理功能的交換機(jī)接入，交換機(jī)類型推舉采納Cisco的Catalyst2960，通過設(shè)備的二層功能（VLAN配置、隔離）來實(shí)現(xiàn)MPLSVPN，同時(shí)通過該接入交換機(jī)的安全操縱、策略設(shè)置保障電子政務(wù)的安全防范延伸至電子政務(wù)的末端網(wǎng)絡(luò)。VPE遠(yuǎn)程接入：XX市電子政務(wù)外網(wǎng)是一個(gè)基于IP/MPLS的承載網(wǎng)絡(luò)，其目的是滿足XX市各縣市區(qū)、各市級單位的網(wǎng)絡(luò)接入和信息資源共享，因此其專門重要的一點(diǎn)確實(shí)是網(wǎng)絡(luò)需要較大的覆蓋范圍。然而XX市電子政務(wù)外網(wǎng)差不多上依舊一個(gè)較為獨(dú)立的城域網(wǎng)絡(luò)，其范圍僅僅覆蓋了包括裸光纖傳輸范圍、租用MSTP傳輸平臺范圍，關(guān)于INTERNET上的用戶，臨時(shí)還缺少網(wǎng)絡(luò)的可連接和覆蓋。因此我們在本方案中提出通過INTERNETN實(shí)現(xiàn)電子政務(wù)外網(wǎng)的移動接入，以提高電子政務(wù)外網(wǎng)的可連接覆蓋性，供日后參考，具體描述如下：IPSec_MPLSVPN的工作原理簡介Cisco的IPSectoMPLSVPN的技術(shù)能夠?qū)崿F(xiàn)IPSecVPN到MPLSVPN的映射，我們可通過一臺稱作VPE或稱VPE設(shè)備（以下簡稱VPE），目前在7206路由器、3845路由器、2800路由器等平臺都能夠作為VPE設(shè)備。VPE設(shè)備一邊通過IPSec隧道來端接遠(yuǎn)處的來自各個(gè)方向的不同VPN的多個(gè)用戶，另一面將這些IPSec隧道映射到相應(yīng)的MPLSVPN網(wǎng)絡(luò)中去，如上圖所示，通過那個(gè)技術(shù)，我們能夠提供以下兩種解決方案：MPLSVPN通過IPSec延伸MPLSVPN接入范圍，可覆蓋到Internet的任何一個(gè)地點(diǎn)：具體的講，我們在XX市內(nèi)構(gòu)建了一個(gè)MPLSVPN的骨干網(wǎng)絡(luò)，那么用戶要想實(shí)現(xiàn)VPN的業(yè)務(wù)，必須要求用戶的CE設(shè)備在三層層面上直接與我們MPLSVPN網(wǎng)絡(luò)的PE設(shè)備相連，也確實(shí)是講CE和PE設(shè)備之間不同意連接有一般的不符合MPLS的路由器。在如此的情況下，那個(gè)MPLSVPN的網(wǎng)絡(luò)只能覆蓋市內(nèi)到PE設(shè)備能接入得到的CE用戶，而通過那個(gè)技術(shù)，我們能夠?qū)崿F(xiàn)在外地的分支機(jī)構(gòu)，甚至Internet覆蓋的任何一個(gè)地點(diǎn)通過IPSec，MPLSVPN完成到我市的MPLSVPN接入。實(shí)現(xiàn)基于運(yùn)營商級的IPSecVPDN解決方案：我們能夠在市電子政務(wù)外網(wǎng)內(nèi)集中部署一臺IPSec的終結(jié)路由設(shè)備，可基于一臺設(shè)備為不同VPN的用戶提供IPSecVPDN的業(yè)務(wù)。該項(xiàng)目的一個(gè)關(guān)鍵技術(shù)在于如何在這臺VPE設(shè)備上將不同的個(gè)人用戶的IPSec隧道映射到相應(yīng)的MPLSVPN中去。IPSectoMPLSVPN映射方式：第一種方式：SitetoSite的IPSecVPN隧道與VRF的映射實(shí)現(xiàn)：通過ACL和對端IPSec設(shè)備的源地址來識不不同的IPSecsession，通過靜態(tài)配置將該IPSecSession和相應(yīng)的MPLSVPN的VRF關(guān)聯(lián)在一起。第二種方式：IPSecVPDN的IPSec隧道與VRF的映射實(shí)現(xiàn)：我們明白首先Client與IPSec服務(wù)器直接要建立一個(gè)基于IKESA的IPSec連接，VPE設(shè)備（也確實(shí)是IPSec服務(wù)器）會將該連接同相應(yīng)VRF關(guān)聯(lián)在一起。一種做法是基于靜態(tài)配置的基于Groupname的關(guān)聯(lián)機(jī)制，這種機(jī)制的做法是在連接之前進(jìn)行client設(shè)備認(rèn)證時(shí)完成的，CiscoIPSecClient與IPSec端接路由器之間建立IPSecSession之前，首先要向IPSec設(shè)備發(fā)送一個(gè)Groupname以完成client設(shè)備認(rèn)證，現(xiàn)在VPE設(shè)備可利用Groupname來識不不同的VPN，也確實(shí)是講，屬于同一個(gè)VPN的client，他們的Groupname是相同，而不同的VPN則Groupname不同，接下來，VPE設(shè)備可利用Groupname，將這些IPSecsession映射到相應(yīng)的MPLSVPN中去，AGG設(shè)備能夠在本地通過靜態(tài)的配置將Groupname和VRF關(guān)聯(lián)在一起。另一種機(jī)制是從RadiusAAA服務(wù)器上下載某個(gè)用戶的IKESA連接與相應(yīng)的VRF的關(guān)聯(lián)關(guān)系。這種做法會在Radius服務(wù)器上把某個(gè)用戶，基于用戶名將其與相應(yīng)的VRF關(guān)聯(lián)在一起，并以Radius屬性的方式定義在Radius服務(wù)器上，當(dāng)Client與IPSec服務(wù)器建立IKESA連接時(shí)，需要輸入U(xiǎn)sername和Password以完成用戶認(rèn)證，該認(rèn)證能夠通過Radius方式實(shí)現(xiàn)，并在認(rèn)證通過后，下載自己的Radius屬性，獲得與自己VRF的關(guān)聯(lián)，并將那個(gè)關(guān)聯(lián)反映到與IPSec服務(wù)器建立的IKESA連接中，也確實(shí)是自己的IPSecsession中去，之后那個(gè)IPSec服務(wù)器（此處為VPE）會明白該client所建立的IPSec連接與那個(gè)VRF相連，并會今后自該連接的加密的數(shù)據(jù)解密，然后轉(zhuǎn)發(fā)到相關(guān)聯(lián)的MPLSVPN中去?；谝陨系姆治鑫覀兘ㄗh能夠考慮在XX市電子政務(wù)外網(wǎng)的邊緣上放置一臺VPE設(shè)備，本次方案建議采納Cisco3845，通過采納IPSECTOMPLS映射的方式，實(shí)現(xiàn)從INTERNET上到XX市電子政務(wù)外網(wǎng)MPLSVPN網(wǎng)絡(luò)的接入。通過采納以上的技術(shù)手段，使XX電子政務(wù)外網(wǎng)接入的范圍能夠覆蓋整個(gè)INTERNET網(wǎng)絡(luò)，為移動辦公制造了條件。另外，關(guān)于撥入用戶的身份驗(yàn)證，能夠考慮采納結(jié)合USBKEY的方式進(jìn)行雙重身份驗(yàn)證，以加強(qiáng)整個(gè)電子政務(wù)外網(wǎng)網(wǎng)絡(luò)移動接入的安全性。設(shè)備選型和配置講明核心路由器（勞技、鴻鼎樓、高銀巷）的選型和配置講明依照招標(biāo)文件要求，這三個(gè)節(jié)點(diǎn)的核心路由器設(shè)備采納CISCO7609路由器。Cisco7609路由器是一款部署于網(wǎng)絡(luò)核心的高性能路由器，在網(wǎng)絡(luò)核心，性能、IP服務(wù)、冗余性和故障彈性十分重要。通過中央路由處理器和轉(zhuǎn)發(fā)引擎相結(jié)合，Cisco7609能夠提供了30Mpps（集中式處理）/400Mpps(分布式處理，DFC720)和720Gbps的總吞吐量。多功能的Cisco7600系列系統(tǒng)將廣域網(wǎng)連接從DS0擴(kuò)展至OC-48/STM-16，將局域網(wǎng)連接從10M以太網(wǎng)擴(kuò)展至了10G以太網(wǎng)。Cisco7609可在通過CiscoPXF網(wǎng)絡(luò)處理器實(shí)施高級硬件加速IP服務(wù)的同時(shí)提供上述功能。CISCO7609路由器具備9插槽機(jī)箱，在本次方