浅析某市滨海新区电子政务网的实施方案

杨磊

一、滨海新区电子政务网项目简介

1.1设计概述

滨海新区电子政务专网数据网是指政务外网，数据网设计方案基于设计的前瞻性 、技术先进性、建设的可行性和经济性相统一的原则，使网络具有高性能、高可靠性、高安全性、高可扩展性、标准化和易管理的特点，能灵活地根据用户的需求提供不同网络业务的服务保证，为滨海新区电子政务网提供统一的、优质的网络基础设施平台。

1.2 组网原则

结合政府部门的实际应用和发展要求，在进行滨海新区电子政务专网平台设计时，系统总体设计应遵循实用性、安全性、可靠性、成熟和先进性、规范性、开放性和标准化、可扩充和扩展化及可管理性几方面原则。

二、滨海新区电子政务网总体设计规划

2.1 网络总体设计

本次滨海新区电子政务专网（一期）设计方案中，主要以电子政务外网业务为主，对于电子政务内网业务暂不涉及数据网内容。

滨海新区电子政务外网MPLS VPN从整体结构上可以分为核心层、汇聚层、接入层三个层次，其中核心层和汇聚层构成电子政务网络的主干网。主干网作为电子政务外网各项业务的支撑平台，可承载电子政务外网的综合应用和非涉密的各个业务专网。

核心层在超算中心设置两台高性能路由器，在滨海高新区、汉沽、大港各设置一台高性能路由器，作为MPLS VPN骨干的P设备使用，四台路由器通过传输网连接成为一个环网，实现冗余部署。

汇聚层为4个政府集中办公地点、3个管委会、12个功能区。这19个节点各设置一台高性能交换设备，作为MPLS VPN的PE设备使用，每台PE设备通过传输网均上联到P设备组成的环网上。

每个汇聚节点下联所属的多个委办局，所有委办局组成接入层。每个接入节点部署一台高性能的防火墻作为CE设备使用。

2.1.1 核心层设计

数据网核心层设计为4个核心节点组成的环状结构，如图所示：

核心层骨干节点设计

数据网核心层骨干节点的选取遵循了和传输组网核心节点类似的原则：

？ 两个核心节点之间距离控制在60公里范围，有效降低远距离通讯成本；

？ 充分考虑利用现有资源和市电子政务网络互联且相互备份；

？ 充分利用超算云平台的资源。

根据以上原则，我司建议选择超算中心、大港管委会、汉沽管委会、滨海高新区为核心骨干4个节点。4个核心节点为MPLS VPN网络中的P设备角色，4个节点运行IBGP协议、LDP协议，不会运行MP-BGP协议，不会感知VPN的存在。作为整个滨海新区的骨干区域，核心节点承载所有VPN-IPv4路由业务。核心层选用高性能路由器组网方案。

2.1.2 汇聚层设计

汇聚层为四大节点下的滨海新区各大功能区及四处滨海新区区级政府办公点，所用设备为MPLS VPN网络中的PE设备。PE设备承载所有VPN业务，考虑到未来接入单位的数量，为了方便和扩展，汇聚层设备选用支持MPLS-VPN的模块化交换机。接入单位到汇聚单位不用经过链路的汇聚，点对点连接到PE交换机上，方便未来标识和维护。为了便于网络的扩展，以及减少IBGP的会话连接数，汇聚层与核心层之间的结构为星形结构。其中核心层设备为IBGP的路由反射器，汇聚层设备为路由反射器的客户端，如图所示：

汇聚层设计

2.1.3 接入层设计

在接入单位出口采用防火墙接入到政务网，主要有两个好处，一是逻辑隔离，在防火墙上可以部署一些有效的策略实现局域网接入的有效控制，二是若有地址转换的需求，可将接入局域网内部地址转换成政务外网公共IP。接入层单位就近接入汇聚层，具体接入层区域网络设计如图所示：

2.3 MPLS VPN设计规划

根据各自实现的功能不同，将电子政务外网分为三个独立的功能区：专用网络区、公用网络区、互联网接入区。

专用网络区是各个纵向政府部门在电子政务外网上划分出来的虚拟逻辑专网，负责传送各政府部门自身的业务数据，彼此之间严格安全隔离。

公用网络区是电子政务外网上划分出的对公众服务的部分，包括各类WEB/FTP公众服务器。

互联网接入区是电子政务外网内部各纵向业务系统之间需要共享和交互的数据。

专用网络区、公用网络区和互联网接入区三者之间的互访关系如上图所示，专用网络区用户具有最高访问权限，可以访问公用网络区（提取公众需求），可以访问互联网接入区（用于各纵向业务区用户之间交互数据），根据整体规划，不能通过政务网整体internet出口访问业务。互联网接入区具有次高访问权限，不能访问专用网络区，但可以访问公用网络区（提取公众需求）。公用网络区访问权限最低，只能和INTERNET进行交互，不能进入专用网络区也不能进入资源共享区。所有业务访问关系在技术上是通过MPLS VPN来实现的。