1 背景及挑戰(zhàn)

國(guó)家電子政務(wù)外網(wǎng)按照管理層次，由中央、省級(jí)、地(市)、縣(區(qū))四級(jí)網(wǎng)絡(luò)平臺(tái)組成。在網(wǎng)絡(luò)物理結(jié)構(gòu)上，可以分為廣域網(wǎng)和城域網(wǎng)，廣域網(wǎng)用于縱向覆蓋各級(jí)行政區(qū)劃，城域網(wǎng)用于橫向連接本級(jí)政務(wù)部門。

電子政務(wù)城域網(wǎng)需要為本地市各黨政機(jī)關(guān)的業(yè)務(wù)應(yīng)用系統(tǒng)提供一個(gè)統(tǒng)一的網(wǎng)絡(luò)平臺(tái)，目前電子政務(wù)外網(wǎng)承載的業(yè)務(wù)應(yīng)用包括網(wǎng)絡(luò)視頻會(huì)議系統(tǒng)、IP語(yǔ)音電話系統(tǒng)、應(yīng)急聯(lián)動(dòng)系統(tǒng)、網(wǎng)上聯(lián)合審批系統(tǒng)、辦公業(yè)務(wù)系統(tǒng)、電子郵件系統(tǒng)、黨政機(jī)關(guān)門戶網(wǎng)站以及各個(gè)部門的應(yīng)用系統(tǒng)等。隨著網(wǎng)絡(luò)建設(shè)和應(yīng)用的開(kāi)展，要求電子政務(wù)城域網(wǎng)必須是一個(gè)高可靠、高效率、高擴(kuò)展性、高安全性的網(wǎng)絡(luò)。

城域網(wǎng)的概念來(lái)自運(yùn)營(yíng)商，通常城域網(wǎng)分為核心層、匯聚層和接入層，核心層設(shè)備只需要做高速的數(shù)據(jù)交換，匯聚層設(shè)備用于接入部門的匯接，接入層設(shè)備部署于用戶機(jī)房，用于用戶局域網(wǎng)的接入。運(yùn)營(yíng)商的城域網(wǎng)核心設(shè)備一般以路由器設(shè)備為主，因?yàn)槁酚善飨啾葌鹘y(tǒng)交換機(jī)在路由計(jì)算、MPLS VPN,、可靠性及業(yè)務(wù)承載方面都有比較大的優(yōu)勢(shì)。但是隨著交換機(jī)技術(shù)的快速發(fā)展，以華為敏捷交換機(jī)為代表的新一代交換機(jī)，除了具備傳統(tǒng)交換機(jī)的優(yōu)勢(shì)如高性價(jià)比、高交換能力、高端口密度等之外，還在路由能力、MPLS VPN能力、QOS能力等方面做了進(jìn)一步的提升，完全具備了交換機(jī)架構(gòu)敏捷城域網(wǎng)的組網(wǎng)能力。

2 解決方案介紹

華為電子政務(wù)城域網(wǎng)組網(wǎng)圖如下圖所示：

城域核心層：城域核心區(qū)部署核心交換機(jī)和城域出口路由器，負(fù)責(zé)整網(wǎng)核心層數(shù)據(jù)流量的轉(zhuǎn)發(fā)處理，大型城市可按照城區(qū)部署多臺(tái)核心設(shè)備，組建城域核心網(wǎng)絡(luò)。城域網(wǎng)核心層負(fù)責(zé)政務(wù)云數(shù)據(jù)中心服務(wù)器、互聯(lián)網(wǎng)、外聯(lián)單位及各個(gè)委辦局行政單位之間的數(shù)據(jù)交換，該部分網(wǎng)絡(luò)的網(wǎng)絡(luò)設(shè)備性能、網(wǎng)絡(luò)鏈路帶寬和網(wǎng)絡(luò)的故障自愈合能力各項(xiàng)指標(biāo)都極其重要。

城域匯聚接入層：城域匯聚層設(shè)備實(shí)現(xiàn)對(duì)城域接入?yún)^(qū)、數(shù)據(jù)中心區(qū)、外聯(lián)單位接入?yún)^(qū)、專網(wǎng)接入?yún)^(qū)等各分區(qū)用戶的匯聚接入;部委接入?yún)^(qū)包括各個(gè)區(qū)、縣的局域網(wǎng)，委辦局出口網(wǎng)關(guān)作為CE設(shè)備接入城域MPLS VPN網(wǎng)絡(luò)。

城域核心匯聚層部署MPLS VPN技術(shù)，實(shí)現(xiàn)多個(gè)業(yè)務(wù)系統(tǒng)的承載及隔離包括部門VPN、公用訪問(wèn)、Internet訪問(wèn)等。相對(duì)于其他VPN技術(shù)，采用MPLS技術(shù)組建的VPN具有更好的可維護(hù)性及可擴(kuò)展性，MPLS VPN更適合于組建較大規(guī)模的復(fù)雜的VPN網(wǎng)絡(luò)，MPLS VPN的這些優(yōu)點(diǎn)已經(jīng)成為政務(wù)網(wǎng)VPN的主流技術(shù)。

由于政務(wù)城域網(wǎng)視頻業(yè)務(wù)的不斷發(fā)展，對(duì)網(wǎng)絡(luò)質(zhì)量的檢測(cè)要求越來(lái)越高?？紤]在視頻專網(wǎng)或相關(guān)網(wǎng)絡(luò)節(jié)點(diǎn)部署iPCA網(wǎng)絡(luò)質(zhì)量感知技術(shù)。iPCA通過(guò)對(duì)真實(shí)業(yè)務(wù)流染色和對(duì)網(wǎng)絡(luò)進(jìn)行分區(qū)域的包守恒監(jiān)控方法，提供了對(duì)無(wú)連接IP網(wǎng)絡(luò)的丟包監(jiān)控和故障定界能力，實(shí)現(xiàn)了網(wǎng)絡(luò)自動(dòng)感知業(yè)務(wù)質(zhì)量和快速故障定界，同時(shí)解決了傳統(tǒng)測(cè)量技術(shù)的限制。

隨著業(yè)務(wù)和各種信息化應(yīng)用的快速增加，網(wǎng)絡(luò)環(huán)境變得更加復(fù)雜，邊界趨于模糊，多樣的業(yè)務(wù)應(yīng)用場(chǎng)景引入了新的安全威脅，并給安全協(xié)防帶來(lái)了更多挑戰(zhàn)，對(duì)于企業(yè)管理者和運(yùn)維人員如何及時(shí)發(fā)現(xiàn)這些安全威脅是個(gè)突出棘手的問(wèn)題。安全聯(lián)動(dòng)技術(shù)通過(guò)日志采集將網(wǎng)絡(luò)中的網(wǎng)絡(luò)、安全等設(shè)備的日志信息采集并處理，通過(guò)關(guān)聯(lián)分析技術(shù)提取出企業(yè)感興趣的安全威脅事件信息，通過(guò)安全態(tài)勢(shì)界面呈現(xiàn)，并對(duì)安全威脅事件做安全響應(yīng)。

3 方案優(yōu)勢(shì)

(1) 基于敏捷交換機(jī)構(gòu)建可長(zhǎng)期演進(jìn)的城域網(wǎng)彈性架構(gòu)

考慮到未來(lái)的業(yè)務(wù)發(fā)展，基于MPLS的VPN技術(shù)是當(dāng)前唯一能提供大規(guī)模、全互聯(lián)、高速通信的技術(shù)，MPLS技術(shù)在骨干網(wǎng)、城域網(wǎng)、移動(dòng)回程網(wǎng)絡(luò)中已經(jīng)被大量使用，被證明是成熟可靠且擴(kuò)展性良好的承載技術(shù)。S12700敏捷交換機(jī)支持完備的MPLS方案，可以滿足拓?fù)浣Y(jié)構(gòu)龐大、節(jié)點(diǎn)錯(cuò)綜復(fù)雜的城域網(wǎng)建網(wǎng)要求，并且隨著新業(yè)務(wù)應(yīng)用類型的增加，網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)可動(dòng)態(tài)增長(zhǎng)。

(2) 敏捷交換機(jī)具備超大規(guī)格應(yīng)用表項(xiàng)，滿足未來(lái)政務(wù)外網(wǎng)海量用戶終端的接入

S12700敏捷交換機(jī)的FIB表項(xiàng)高達(dá)3M，收斂時(shí)間達(dá)到6K/s，可媲美專業(yè)路由器的性能水平，真正實(shí)現(xiàn)了交換路由一體化，不僅能滿足城域網(wǎng)網(wǎng)絡(luò)拓?fù)潺嫶蠛蜆I(yè)務(wù)復(fù)雜的要求，而且政務(wù)機(jī)構(gòu)眾多，能充分滿足海量辦公電腦高速接入網(wǎng)絡(luò)。

(3) IP質(zhì)量可視化

iPCA網(wǎng)絡(luò)包守恒算法，改變了傳統(tǒng)利用模擬流量做故障定位的檢測(cè)模型，可對(duì)任意業(yè)務(wù)流隨時(shí)隨地逐點(diǎn)檢測(cè)網(wǎng)絡(luò)質(zhì)量，無(wú)需額外開(kāi)銷;可在短時(shí)間內(nèi)立刻檢測(cè)業(yè)務(wù)閃斷性故障，檢測(cè)直接精準(zhǔn)到故障端口，實(shí)現(xiàn)從“粗放式運(yùn)維”到“精準(zhǔn)化運(yùn)維”的大轉(zhuǎn)變。

(4) 基于大數(shù)據(jù)分析的全網(wǎng)安全協(xié)同

隨著移動(dòng)辦公和Wi-Fi的普及，網(wǎng)絡(luò)安全泄漏從傳統(tǒng)的互聯(lián)網(wǎng)出口一個(gè)點(diǎn)，變成了多個(gè)點(diǎn)。傳統(tǒng)防火墻只能防住一個(gè)點(diǎn)，而無(wú)法實(shí)現(xiàn)全網(wǎng)多泄漏點(diǎn)的防護(hù)。為了解決失去防護(hù)邊界的安全問(wèn)題，全網(wǎng)安全協(xié)同架構(gòu)下的安全功能不再由出口防火墻一個(gè)點(diǎn)來(lái)執(zhí)行，而是通過(guò)全網(wǎng)的安全事件收集，進(jìn)行大數(shù)據(jù)關(guān)聯(lián)分析并全網(wǎng)自動(dòng)下發(fā)安全策略。