某电子政务云计算网络技术方案

  1 概述

  云计算有利于整合信息资源,实现信息共享,促进政务信息化的发展;利用云计算可以独立实现或享受某一项具体的业务和服务。因此云计算将在政府机构的IT政策和战略中扮演越来越重要的角色。电子政务云计算中心的建设,未来的核心业务涵盖如下范围:

  以“统规、统建、统维”思想为指导,以丰富的云基础设施,云存储,云安全和各类云服务构件共同构建成电子政务云服务平台,服务于工商、社保、房管、地震、环保、气象等政府部门和公共事业。

  电子政务:IT投资集中化,建设成政务信息共享、交换中心;

  为政府各部门集中提供基础的信息处理能力,承接政府各部门的应用系统迁移和部署,实现相关电子政务应用的资源整合、集中部署与统一管理。

  数据处理:海量互联网数据的处理和分析。

  2 组网拓扑

  

图片4.png


  如上图所示,本次电子政务云平台建设分为三个区域板块:政务外网核心区域、云计算数据中心、乡镇网络接入区域、城区单位局域网。

  3 核心区域设计

  Ø 核心区域采用光纤环网组网架构,由市数据中心(2台S7608-XV)、市委(1台S7610)、市政府、市公共行政服务中心几个关键部门的核心交换机通过万兆端口连接组成万兆RRPP环网,通过RRPP(快速以太网环保护协议)来保证核心区域网络的高可靠性,当以太网环上任一条链路出现故障时能够迅速启用备份链路以恢复环网上各个节点之间的通信,拓扑收敛时间小于50ms,同时,在正常情况还能防止数据环路引起的广播风暴。

  Ø 市数据中心的两台核心交换机S7608-XV使用IRF2.0虚拟化技术,让两台核心交换机虚拟成为一台逻辑设备。通过IRF2.0虚拟化技术,可以提高核心网络的整体性能,充分利用链路和设备资源(由单一主备变成主主或主备关系),简化网络配置和管理,还可以提高数据中心核心网络的可靠性,形成跨设备的链路聚合。每台核心交换机又采用双电源、双引擎、交换网板冗余的配置方式,从硬件上实现设备本身的高可靠性。

  Ø 使用私有的IP地址段设置设备的互联地址以及管理地址。这部分地址由市局进行统一规划和部署。

  

图片5.png


  4 乡镇网络接入区域设计

  Ø 通过在市级运营商核心机房部署一台核心交换机S7608-XV,配置双主控、双电源、四块交换网板、3块8端口万兆以太网接口业务板、1块48端口千兆以太网接口业务板,通过万兆端口将20个乡镇的汇聚PE设备通过星型拓扑结构接入到市级政务云平台中,然后通过2个万兆端口分别直接接入到两台数据中心核心交换机上,并在2个万兆端口之间做链路捆绑。

  Ø 用户比较多的大乡镇运营商机房汇聚PE设备采用H3C S7603-S高性能交换机,万兆上行到市级运营商机房S7608-XV上,同时万兆下行连接到乡镇部门单位MCE接入设备S5500上。

  Ø 对于用户相对比较少的18个乡镇,各个乡镇运营商机房各部署一台H3C CE3000汇聚PE设备,CE3000-32F-EI交换机具有4个1/10G上行端口,24个千兆光口,1个扩展槽位;充分利用CE3000上固化万兆端口上行连接到市运营商机房,千兆下行连接到乡镇各个部门单位的MCE接入设备。

  Ø 乡镇MCE接入设备采用S5500-28C-EI,具有4个千兆光口上行,24个千兆电口下行连接到办公桌面,2个扩展槽位具备万兆扩展能力,并启用MCE功能。

  Ø 整个区域充分利用运营商市级核心机房、乡镇机房、线路实现乡镇部门单位的汇聚和接入功能;核心P设备和汇聚PE设备必须采用支持MPLS功能的设备,乡镇部门接入设备采用支持MCE功能的设备。

  Ø 核心区域设备与乡镇区域网络之间采用MPLS VPN技术进行互连,既保障了数据的有效通信,又可以保证数据的安全,并将其私有数据与其它网络数据进行有效的隔离。

  

图片6.png


  5 云计算中心区域设计

  根据本期工程的需求和建设目标,云计算平台总体逻辑拓扑结构如上图所示。整个平台由网络资源池、计算资源池、存储资源池、管理中心四部分组成,与电子政务外网核心网络平台相连。

  分层分区设计思路:根据业务进行分区,分成计算区、存储区和管理区。计算、存储区域内二层互通,区域间VLAN隔离;网络分为核心层和接入层,网关部署在核心层。

  6 本方案的亮点

  6.1 云计算解决方案方面

  完全基于B/S架构的管理控制台,可以轻松组织和快速部署整个IT环境,而且能对包括CPU、内存、磁盘I/O、网络I/O等重要资源在内的关键元件进行全面的性能监测,为管理员实施合理的资源规划提供详尽的数据资料。如下图:

  Ø 智能化的资源自动优化配置;

  Ø 快速业务部署能力;

  Ø 支持IEEE 802.1Qbg标准草案;

  Ø 自助式云业务电子流;

  Ø 多租户业务安全

  

图片7.png


  6.2 安全方面

  市电子政务云平台承载着政府、卫生院、学校、社区等多个部门的多种业务,包括纵向审批业务、视频会议业务、公共信息公告共享业务、访问互联网业务等,采用MPLS VPN技术对各部门/业务进行逻辑隔离,以保证信息访问、传递的安全性。电子政务云平台里的各个业务系统、服务器等资源,根据业务的归属关系可以比较容易的划分到相应的VPN中,但对于大量的接入终端,如何保证各单位的接入终端技能访问内部的应用业务系统,又能通过外网的出口访问互联网;又如何确保其接入的安全性(包括终端安全、接入权限控制等),却是个比较棘手的问题。

  Ø 用户认证安全:

  通过用户接入认证实现对接入用户的身份认证,为网络服务提供安全保护,常用的终端接入认证方式主要有802.1X接入认证、MAC接入认证以及Portal认证。几种认证方式的优劣势对比如下:

  

图片8.png


  Ø 集中式Portal控制方案:

  把部门局域网的出口设备作为Portal认证网关,这里需要访问办公系统的流量和访问Internet的流量都通过这个网关设备。需要配置iMC智能管理中心进行接入认证控制,在认证网关路由器配置Portal认证功能。默认情况下,用户可以不认证就能访问本地局域网内的资源。

  当用户需要访问外部办公系统或Internet的时候,请求报文上到Portal网关激活认证,Portal网关会给用户推送一个web认证界面,需要输入账号信息,选择要访问的服务类型(办公业务/Internet),由认证控制服务器进行接入检查,并根据选择的服务类型向Portal网关下发业务的访问控制策略,允许用户当前请求的业务流量通过、禁止掉未请求的业务流量,使用户只能访问办公业务或只能访问Internet,不能同时访问办公业务和Internet。

  

图片9.png


  本方案是在园区的出口进行访问控制策略的下发和执行,不需要用户安装客户端软件,也不需要对内部局域网进行调整,部署应用简洁、灵活。H3C公司的SR/MSR/ICG系列路


2016年01月

本期文章