1 背景及挑戰(zhàn)

國家電子政務外網按照管理層次，由中央、省級、地(市)、縣(區(qū))四級網絡平臺組成。在網絡物理結構上，可以分為廣域網和城域網，廣域網用于縱向覆蓋各級行政區(qū)劃，城域網用于橫向連接本級政務部門。

電子政務城域網需要為本地市各黨政機關的業(yè)務應用系統(tǒng)提供一個統(tǒng)一的網絡平臺，目前電子政務外網承載的業(yè)務應用包括網絡視頻會議系統(tǒng)、IP語音電話系統(tǒng)、應急聯(lián)動系統(tǒng)、網上聯(lián)合審批系統(tǒng)、辦公業(yè)務系統(tǒng)、電子郵件系統(tǒng)、黨政機關門戶網站以及各個部門的應用系統(tǒng)等。隨著網絡建設和應用的開展，要求電子政務城域網必須是一個高可靠、高效率、高擴展性、高安全性的網絡。

城域網的概念來自運營商，通常城域網分為核心層、匯聚層和接入層，核心層設備只需要做高速的數據交換，匯聚層設備用于接入部門的匯接，接入層設備部署于用戶機房，用于用戶局域網的接入。運營商的城域網核心設備一般以路由器設備為主，因為路由器相比傳統(tǒng)交換機在路由計算、MPLS VPN,、可靠性及業(yè)務承載方面都有比較大的優(yōu)勢。但是隨著交換機技術的快速發(fā)展，以華為敏捷交換機為代表的新一代交換機，除了具備傳統(tǒng)交換機的優(yōu)勢如高性價比、高交換能力、高端口密度等之外，還在路由能力、MPLS VPN能力、QOS能力等方面做了進一步的提升，完全具備了交換機架構敏捷城域網的組網能力。

2 解決方案介紹

華為電子政務城域網組網圖如下圖所示：

城域核心層：城域核心區(qū)部署核心交換機和城域出口路由器，負責整網核心層數據流量的轉發(fā)處理，大型城市可按照城區(qū)部署多臺核心設備，組建城域核心網絡。城域網核心層負責政務云數據中心服務器、互聯(lián)網、外聯(lián)單位及各個委辦局行政單位之間的數據交換，該部分網絡的網絡設備性能、網絡鏈路帶寬和網絡的故障自愈合能力各項指標都極其重要。

城域匯聚接入層：城域匯聚層設備實現(xiàn)對城域接入區(qū)、數據中心區(qū)、外聯(lián)單位接入區(qū)、專網接入區(qū)等各分區(qū)用戶的匯聚接入;部委接入區(qū)包括各個區(qū)、縣的局域網，委辦局出口網關作為CE設備接入城域MPLS VPN網絡。

城域核心匯聚層部署MPLS VPN技術，實現(xiàn)多個業(yè)務系統(tǒng)的承載及隔離包括部門VPN、公用訪問、Internet訪問等。相對于其他VPN技術，采用MPLS技術組建的VPN具有更好的可維護性及可擴展性，MPLS VPN更適合于組建較大規(guī)模的復雜的VPN網絡，MPLS VPN的這些優(yōu)點已經成為政務網VPN的主流技術。

由于政務城域網視頻業(yè)務的不斷發(fā)展，對網絡質量的檢測要求越來越高。考慮在視頻專網或相關網絡節(jié)點部署iPCA網絡質量感知技術。iPCA通過對真實業(yè)務流染色和對網絡進行分區(qū)域的包守恒監(jiān)控方法，提供了對無連接IP網絡的丟包監(jiān)控和故障定界能力，實現(xiàn)了網絡自動感知業(yè)務質量和快速故障定界，同時解決了傳統(tǒng)測量技術的限制。

隨著業(yè)務和各種信息化應用的快速增加，網絡環(huán)境變得更加復雜，邊界趨于模糊，多樣的業(yè)務應用場景引入了新的安全威脅，并給安全協(xié)防帶來了更多挑戰(zhàn)，對于企業(yè)管理者和運維人員如何及時發(fā)現(xiàn)這些安全威脅是個突出棘手的問題。安全聯(lián)動技術通過日志采集將網絡中的網絡、安全等設備的日志信息采集并處理，通過關聯(lián)分析技術提取出企業(yè)感興趣的安全威脅事件信息，通過安全態(tài)勢界面呈現(xiàn)，并對安全威脅事件做安全響應。

3 方案優(yōu)勢

(1) 基于敏捷交換機構建可長期演進的城域網彈性架構

考慮到未來的業(yè)務發(fā)展，基于MPLS的VPN技術是當前唯一能提供大規(guī)模、全互聯(lián)、高速通信的技術，MPLS技術在骨干網、城域網、移動回程網絡中已經被大量使用，被證明是成熟可靠且擴展性良好的承載技術。S12700敏捷交換機支持完備的MPLS方案，可以滿足拓撲結構龐大、節(jié)點錯綜復雜的城域網建網要求，并且隨著新業(yè)務應用類型的增加，網絡拓撲結構可動態(tài)增長。

(2) 敏捷交換機具備超大規(guī)格應用表項，滿足未來政務外網海量用戶終端的接入

S12700敏捷交換機的FIB表項高達3M，收斂時間達到6K/s，可媲美專業(yè)路由器的性能水平，真正實現(xiàn)了交換路由一體化，不僅能滿足城域網網絡拓撲龐大和業(yè)務復雜的要求，而且政務機構眾多，能充分滿足海量辦公電腦高速接入網絡。

(3) IP質量可視化

iPCA網絡包守恒算法，改變了傳統(tǒng)利用模擬流量做故障定位的檢測模型，可對任意業(yè)務流隨時隨地逐點檢測網絡質量，無需額外開銷;可在短時間內立刻檢測業(yè)務閃斷性故障，檢測直接精準到故障端口，實現(xiàn)從“粗放式運維”到“精準化運維”的大轉變。

(4) 基于大數據分析的全網安全協(xié)同

隨著移動辦公和Wi-Fi的普及，網絡安全泄漏從傳統(tǒng)的互聯(lián)網出口一個點，變成了多個點。傳統(tǒng)防火墻只能防住一個點，而無法實現(xiàn)全網多泄漏點的防護。為了解決失去防護邊界的安全問題，全網安全協(xié)同架構下的安全功能不再由出口防火墻一個點來執(zhí)行，而是通過全網的安全事件收集，進行大數據關聯(lián)分析并全網自動下發(fā)安全策略。