项目背景 根据国家"十五"期间信息化规划思路,要求把党政机关信息化提高到一个新的水平,以适应21世纪初国民经济宏观调控和党政机关治理的需要,满足国际竞争环境的要求,提高党政机关工作效率和决策质量,实现党政机关部门间信息共享。
主要任务:一是建立健全党政机关信息治理体制;二是加快建设党政机关专用信息网络,支持党政机关部门内部信息共享,促进党政机关间的信息交换;三是加快党政机关信息资源开发利用等。为此,福建省拟建设以整合利用全省信息技术和资源,实现网络化、智能化、信息共享为内容的"数字福建"。
福建省政务信息网络工程是"数字福建"的重要组成部分,是福建省各级党政机关实现信息交换与共享的宽带、高速、安全、便捷的多媒体信息交换平台。
福建省政务信息网络工程的业主单位是福建省经济信息中心。
福建省经济信息网主要功能包括:文件传输(FTP)、远程登录(TELNET)、电子邮件(E-MAIL)、万维网(WWW)、在线信息发布、在线信息咨询与反馈、数据库查询、分布式数据存储、信息共享、视频会议、视频点播、虚拟子网、安全防护等功能,满足多媒体网络通信和省委、省政府、省委机要局的机要通信的要求,支持办公业务的自动化、电子化、网络化。
在福建省政务信息网络工程这一项目中,使用了思科如下产品:Cisco 12008, 7507, 3661, 3640, Catalyst 6509, 3548, 3524。
福建省政务信息网络拓扑图(图一)
项目建设内容和规模
主要建设内容包括省直机关宽带网、纵向网、"三网一库"、数据库资源整合及其共享信息平台。
1、 省直机关宽带网:
A、 光纤线路:连接180个省直单位,总长400芯公里;
B、 网络设备购置与组网:使用千兆以太网技术组网,主干带宽1000兆,接入带宽100兆,满足多媒体网络通信要求;设备包括各单位的接入交换机;但不包括机关内部局域网建设;
C、 计算机软硬件设备、视频会议系统、防火墙、公安安全监测系统、保密机等。
省直机关宽带网拓扑图(图二)
2、 纵向网
A、 线路建设:建立省与9个设区市及84个县(区)的主线路和8兆备份线路;
B、 网络设备购置与组网:利用福建电信公司的ATM网,省到地市带宽155M,地市到县市区带宽N*2M(N最大为17),满足多媒体网络通信要求;
C、 网络建设不包括市县横向网络和机关内部局域网;
D、 桌面型视频会议终端、防火墙。
3、"三网一库"
A、 政府系统办公业务网;
B、 政府系统办公业务资源网;
C、 政府公众信息网;
D、 政府办公业务信息资源库。 "三网一库"解决方案示意图见附图(三)。
4、整合改造及其信息共享平台
A、领导部门决策所需的共享信息资源的标准化、可视化、空间化整合改造;
B、信息共享平台和电子政务分布式网站建设。
5、政务信息共享平台
A、 福建省政务信息共享平台网络中心与分中心软硬件环境的改造与扩充;
B、 福建省政务信息共享平台软件开发;
C、 福建省政务信息共享的有关政策标准制定及要害技术开发;
D、 福建省公用基础数据库的建设与更新;
E、 省政府日常办公自动化原型系统的开发与应用;
F、 各分中心现有信息资源的标准化、网络化和空间化改造;
G、 有关厅局现有应用系统的技术改造与接入。
需求分析
福建省政务信息网与因特网等公众信息网络在物理上严格隔离,以确保内部信息交换与内部信息网络的安全保密。
本期工程包括省直机关各有关单位接入点近120个点,于明年6月完成全部181个接入点,设区市接入点9个,县(市、区)接入点84个。
福建省政务信息网分为省直机关宽带网和纵向网两大部分。
省直机关宽带网部分分为骨干层、汇聚层、接入层三层结构。骨干层采用GE交换技术。骨干层设置华林、电信枢纽、省经济信息中心三个核心节点,采用千兆位路由器,三个节点之间采用两两对等连接方式,主干带宽按1000M设置;汇聚层节点设在方便接入层节点接入的机房,根据实际情况可考虑与骨干层节点共址,采用具有三层交换功能的以太网交换机,通过2个GE端口与二个骨干层节点形成冗余连接;接入层节点设置在各厅/局的机房,采用具有VLAN划分功能的二层/三层交换机,通过单模光纤上连至汇聚层的以太网交换机,接口速率为1G。除了省经济信息中心核心节点设备外,省直机关宽带网其余设备由福建省电信公司投资建设。
纵向网采用路由器设备组网,由福建省电信公司提供通信带宽。省直机关宽带网电信枢纽节点、华林节点分别通过1个155M端口与福建省电信ATM宽带网的福州骨干节点相连接,两骨干节点间由GE端口相连,省经济信息中心节点则通过GE端口分别与电信枢纽节点、华林节点相连接。其余设区市均设置两个骨干节点,分别通过一个155M以及N个E1电路连接到ATM网,透过ATM PVC与电信枢纽和华林两骨干节点相连。各县(市、区)分别放置一台路由器,配置E1端口,通过传输电路与设区市节点相连。各级党政机关的局域网可以经路由器下挂的以太网交换机上连。
全省各级党政机关、各部门用户利用路由器下挂的以太网交换机按端口划分成不同的VLAN,保证不同用户的相对独立。各部门间的数据通信,由骨干路由器根据相应的路由策略来实现。随着将来业务量的拓展增加,可考虑在适当的时候在各设区市增加第二级的路由设备,分担路由计算功能。
设计原则
1、用符合标准、先进、成熟的网络技术组网
采用国际上标准、同时又是成熟的、先进的技术尽量减少技术风险和投资风险,在保障应用和发展的前提下,不必将有限的投资投入到昂贵的新技术中。
2、高度的用户网络安全性
采用VPN 技术提供完备的安全防护策略,防止网络的非法访问。
3、高可靠性的网络设计
网络设计应尽可能避免单点故障发生,要害设备互连时,应充分考虑冗余备份。
4、良好的扩展性
包括网点的扩展、业务量及业务种类的扩展,及将来网络的技术升级,能保护现有的投资。
"政府系统办公业务资源网"解决方案示意图见附图(三)
方案设计
福建省政务信息网络是为省委、省人大、省政府、省政协、省纪委、省直各部门及各市、县(区)建立的统一的计算机信息网络,提供宽带、高速、安全、便捷的多媒体信息交换平台,为福建省宏观决策提供数字化、网络化的信息支持,为加强机关效能建设,提高决策的民主化、科学化水平服务。因此,福建省政务信息网络作为承载IP协议的有效、实用的城域宽带网,在设计时应提供以下特性:
提供线速的路由能力
Cisco通过采用高速ASIC实现路由功能,使网络拥塞的可能性降到最小,大大超过了常规高端路由器的性能。动态多点交换结构,可以在全部功能开启时,提供在每个端口以吉速度线速的对 Unicast和Multicast的数据包进行IP/IPX路由。如 Cisco GSR系列的最高系统带宽达60Gbps,最多可支持11个OC48/STM16的端口,每端口速率可高达5Gbps,交换速率在OC48满载时可以达到4500万个包每秒。以线速对第二层、第三层和第四层信息进行交换路由传送,吉位无拥塞背板速率达60 Gbps。在路由的寻找方式上,此次方案中提供的GSR 12008上,CEF(Cisco EXPress Forwarding)采用的是Cache方式,并部分以硬件的方式实现,这使得GSR在碰到实时信息流时,不会象其它的路由器那样轻易产生性能上的降低;在查找包的方式上GSR12008大量采用了硬件实现;接口卡的速度也大大提高,一个接口卡最高可以达到2.48Gbps。同时,接口模块上的高速芯片,同时还保存了Q0S政策和安全性过滤功能,使在打开Q0S和安全性过滤功能的同时仍能提供线速性能。这将使网络治理者不再在性能和功能之间顾此失彼, Cisco路由交换机能够同时保证这两方面的需求。
提供无阻塞的交换带宽
利用IP包头中的TOS字段区分和识别业务是路由器常用的方法:而WFO和WRED则是路由器目前普遍采用的保障QoS方法,保障QoS要求路由器有两个处理环节:一是发送处理,二是阻塞时的丢包处理。在实际的网络环境中,交换机并不能保证业务以线速通过交换机,复杂的网络业务量模型、动态的流量分布都会造成网路频繁地瞬时阻塞。阻塞一般分为二个等级;轻度阻塞、严重阻塞和完全阻塞。在网络利用率达到一定程度时会产生轻度阻塞,这种状态是网络的最佳状态,因为这时网络在保证服务质量的同时,承载的业务量也达到顶点。所谓严重阻塞就是网络业务量已经达到或超出网络所能承受的范围,而完全阻塞是指业务量完全阻塞了网络,网络已经无法正常工作。
福建省政府政务信息网络系统,分为省直机关宽带网和纵向网两大部分。福建省政府政务信息网络系统的内部网设计从逻辑上分为三个层次。即网络核心层、网络分发层和网络访问层。每一层的基本功能如下:
核心层是一个高速的交换主干,为应用层提供尽可能高的包交换速度,采用1ayer3交换技术来保证核心层的带宽分发层是访问层和核心层的分界点。这一层的目的在于定义核心层的边缘。在这一层处理用户数据包。其主要功能包括以下几个方面:部门和工作组的访问;广播和多点广播域的定义;vlan路由;安全控制。
访问层是最终用户访问网络的访问点,为用户提供网络访问能力其主要功能包括:为用户访问提供共享带宽;为用户访问提供交换带宽;为用户提供地址分配,地址转换等地址服务功能;核心层采用Cisco catalyst6509 layer3路由交换机产品,其背板带宽高达32GB,包交换速度为17Mpps,为可扩充模块结构。其最大可扩充模块数为9个。
利用其高速的路由交换能力,提供线速的、无阻塞的Ip,Ipx以及Multicast的第三层交能力,为核心层提供最高的网络性能。考虑到中心服务器是数据流比较集中的地方,因此为了保证中心服务器的访问速度,将中心服务器接入网络核心层,在核心层Cisco 6509路由交换机的WS-X6428-RJ-45模块,提供若干个10/100Base-tx端口,用于同中心服务器的相连。
在分发层,采用Cisco 550x产品。充分利用其高性能的第二层交换能力以及VLAN,VLAN Trunck802.1p等技术。根据需要将用户划分VLAN到不同的VLAN中。通过Cisco的supervisor提供安全地址过滤,广播流量控制、流量优先级控制、访问控制列表等功能,为网络应用提供基于策略的连接。在分发层,采用Catalyst 550x上扩充ws-x5525R模块连接桌面工作站提供10/100M交换到桌面的能力。
整个Internet接入由三部分组成,即内部网络,Internet以及DMZ区组成。整个系统安全性由三个等级组成,即内部网络、DMZ区以及Internet,高安全级区域可以直接访问低安全级区域,但低安全级区域不能直接访问高安全级区域。内部通过FireWall的NAT/PAT功能提供的地址转换功能实现Internet的访问。
远程拨号采用Cisco AS3640远程访问服务器,Cisco AS3640远程访问服务器支持ISDN PRI/BRI同步串行接口、高密度异步串行接口、集成的数值调制解调器、ATM、Ethernet/FastEthernet、VOIP等多种网络技术。在Cisco 3640上配置一个以太模块,用于连接网络核心路由交换机,配置1个16口异步串行模块共提供16个异步串行接口用于远程拨号接入。
提供QOS 保证
除了连接速率以外,网络拥有良好的服务质量(QoS)保证和拥塞治理控制能力,也非常重要。在此方案中提供的千兆位交换路由器(GSR)Cisco 12008上,附有增强的先进的流量治理工程功能,包含QoS和CoS机制,可以在网络服务中提供服务质量的区分,并且方便网络运营操作。另一方面, Cisco 3600系列模块接入路由器可支持多业务集成,并能保证话音/数据/传真等业务的高度集成,同样,3600同样支持以太网接口和T1、ISDN BRI等多种广域网接口,还可同时支持4/12个话音/传真呼叫。更难能可贵的是,Cisco 3600系列都可以实现VoIP与PSTN的无缝连接和自动路由,给用户提供一个完全透明的网络平台。
由于采用了先进的Cisco IOS软件,Cisco 3600可以提供访问列表、侵犯记录、授权、记账等多种网络安全功能,以及RSVP、加权公平排队、WRED、IP优先权等先进的QoS功能,可以提供强大的QoS保证,使IP电话获得可以与PSTN电话相媲美的效果。
另外,因为Cisco 3600都是高度模块化的,所以它们具有优秀的可配置性,可以根据实际需求灵活配置各种模块,从而大大降低网络建设成本。高度模块化的设计,也使得它们具有优异的可扩展性和升级能力,保证企业投资的长期有效性。
提供用户良好的安全性保障
安全性是网络用户最为关注的问题,也是福建省政务信息网建设中的要害,它包括物理空间的安全控制及网络的安全控制。Cisco数字福建-福建省政务信息网解决方案提供完整的安全策略控制体系以实现福建省政务信息网的安全控制。基于硬件处理可实现线速的安全控制,如GSR 12000、Catalyst 6500、Css11000可实现线速的访问控制列表(ACL)控制。提供DoS服务以防止对网络的恶意进攻。提供MPLS VPN,为福建省政务信息网的网络外包服务提供了安全的基础。提供SSH功能,可对采取远程治理的Telnet方式进行加密以保证治理的安全性。
内容识别(Content Aware)网络--现今的福建省政务信息网具有的内容识别能力是其主要的技术特征,在Cisco的福建省政务信息网解决方案中,可提供多种技术保证基于内容的有效交换。
动态内容复制功能可根据用户访问量的增加自动启动复制功能。
福建省政务信息网还需要智能化高速缓存(Caching)和智能化的负载均衡。防火墙负载均衡功能可实现防火墙功能的备份与负载均衡,提高安全性及吞吐能力。
负责福建省政务信息网工程项目负责人福建省经济信息中心黄国敏主任、庄展副主任以及该中心负责技术决策的黄良振(网络处处长)、吕珂(计通处处长)、张庄(计通处副处长)等对思科的产品和技术非常满足。他们称,之所以从众多的竞标对象如Nortel, Cabletron, Extreme, Luminous, LUCent, 华为, 中兴通信等厂商中,选择了思科的产品、技术和解决方案,除了熟悉到CiscoIDC技术方案有明显优势,不仅产品线丰富而完备,而且有建设大型的IDC成功经验外,还因为如下原因:
A、Cisco产品及解决方案是代表了国际先进发展方向的技术和设备,可满足目前及可预见将来的业务需求。
B、 Cisco产品具有高可用性/可靠性,支持最多的国际标准,具有良好的开放性。
C、 Cisco 产品提供较高的性能及完善的QoS。
D、 isco 提供自高端至低端的全系列化的路由及交换产品,充分保证了系统的可扩展性和可升级性.随着新的应用的出现,在现有网络不能满足需求的情况下,必须对网络进行升级改造。在这种情况下,必须保证升级扩展是平滑的。在保持连通性的前提下,充分发挥原有网络性能,保护用户的投资,实现从原有网络到更先进网络的平稳过渡。
E、 Cisco提供目前业界最成熟的基于MPLS 的VPN解决方案。