湖北邮电规划设计有限公司 湖北武汉 430023
摘要:政务外网主要承载政务部门无需在政务内网上运行的业务和政务部门面向社会的服务性业务。随着“服务性政府”、“互联网+政务服务”、“一网通办”等要求的逐步深入,越来越多的业务基于政务外网进行承载,越来越多的专网与政务外网进行了融合,政务外网的重要性愈发增强。本文以中部省份某地市的政务外网为例,结合地方客观现状和未来发展需求,提出了地市政务外网建设的思路。新的政务外网的稳定可靠性将大幅提高,为政务业务的稳定运行和智慧城市、数字政府建设打下更坚实的基础。
关键词:融合、网络健壮、分级管理
1 网络现状
中部省份某地市政务外网始建于2009年,采取政企合作的模式建设。运营商负责一次性投资建设电子政务外网并负责日常运行维护,政府采取购买服务的方式向运营商支付费用,双方约定合作期限为10年。目前已形成省市县乡村五级互通,横向到边、纵向到底的全市电子政务外网体系。网络拓扑架构如下:
.png)
图1 电子政务外网网络现状
市本级部署1对华为NE40核心路由器,与省核心路由器间基于OSPF协议互联。市本级同时部署1台华为S9306汇聚交换机,接入市本级各委办局。各区县也分别部署1台华为S9306汇聚交换机,用于区县接入汇聚。市本级汇聚交换机和区县汇聚交换机分别双上联2台核心路由器。
2 存在的问题
基于当时的客观环境下,政企合作的模式通过借助于运营商丰富的网络建设和运维经验,解决了政府部门自身技术人员和力量短缺的问题,有力的保障了电子政务网络的平稳运行。但随着电子政务外网的发展,众多问题也逐渐暴露出来:
2.1 随着电子政务外网承载的业务逐步增加,目前为止市级已有30多家的业务系统在电子政务外网运行,超过9成的市级政务事项通过电子政务外网办理,超过5000家单位接入了电子政务外网,联网终端超8000台,对网络的健壮性提出了更高的要求。但目前现网设备自投运以来已运行超过11年,设备性能下降,设备运行稳定性存在隐患。同时各市直部门和各县市均通过单设备接入,存在单点故障问题。现网的网络健壮性存在明显的短板。
2.2 近年来对于网络安全的要求大幅提高,电子政务外网因其承载的政务业务的重要性而对安全问题尤为关注。基于早期建设标准的安全防护措施距离目前的要求有着较大差距。
2.3 当下智慧城市、数字政府的加速建设进一步推动了专网上承载的业务向电子政务外网进行融合,对电子政务外网的需求较大。而早期建设的网络核心骨干链路均采用千兆组网,满足未来业务需求上存在发展瓶颈。国家对于IPV6的规模部署计划也将在未来几年推进到电子政务外网上,现网的设备均不支持IPV6的部署。同时政企合作的模式造成负责建网和运维的运营商一家独大的局面,限制了其他运营商的参与,各用户单位必须依赖于该运营商方能完成业务的接入。缺乏竞争也不利于电子政务外网的全网稳定运行。
3 新政务外网建设方案
3.1 总体架构
新建的政务外网作为全市政府及所属部门的业务专网和资源共享网络,由负责整个城域网数据高速转发、路由的核心网络、运营商承载网络以及各级单位的接入网络组成,主要用于满足各级政府部门社会管理、公众服务等面向政务部门和社会服务的需要。
根据电子政务外网的建设需求,建设全市的新政务外网,统一互联网出口,整合与各部门业务专网对接,实现整个网络架构的综合运维管理。
新建政务外网总体网络结构如下图所示:
.png)
图2 新政务外网总体网络架构图
3.2 核心交换区
核心交换区部署2台高性能万兆核心交换机,负责数据转发。2 台核心交换机之间分别通过万兆链路聚合互联,实现核心层全冗余和高速连接,确保核心层稳定可靠高效地运行。
3.3 出口区
3.3.1 政务外网出口
电子政务外网出口按照省里统一要求,部署2台市级核心路由器,通过防火墙接入省电子政务外网节点。
3.3.2 专网出口
考虑专网与电子政务外网的逐步融合需要时间,必将面临一段较长的过渡期,为满足专网融合时各专网业务差异化的特殊要求,专门部署2台接入路由器,并设置防火墙,以便与各专网进行对接。
3.3.3 互联网出口
互联网出口采取“统一规划、先易后难”的思路进行建设。初期先按照统一市本级各市级部门的互联网出口为主,未来将逐步完成各县(市、区)的互联网统一出口部署。按照电子政务外网的相关的标准规范,互联网出口部署抗DDOS攻击防护设备、多合一融合安全网关(集成防火墙、IPS、防病毒和链路负载均衡功能)和上网行为管理设备。考虑到部分接入条件不理想的乡村未来可能需通过公网VPN接入电子政务外网,专门配置VPN网关。
3.4 与现有政务云互通
核心交换机直接采用10GE链路与云平台核心交换机进行互联,以便新电子政务外网与政务云完成互通。通过复用政务云的防火墙进行边界保护。
3.5 市级单位接入
市级单位的接入总体上通过租赁运营商网络实现。现阶段初期通过租用运营商MPLS VPN专线,未来可规划自建传输网络、租赁运营商纤芯资源,进一步提高全网的稳定性和可控性。
建议可考虑由运营商各自分别提供设备安装在新政务外网核心设备所在机房,运营商汇聚设备与核心交换机之间直接采用不低于1GE链路进行对接。各市级单位接入时,运营商只需要在接入单位侧部署相关设备即可完成接入。
各市级单位接入带宽建议200M,采用双链路上行。
3.6 市级单位接入
各县(市、区)的核心节点设备由市级统一建设,确保建设标准的统一和未来运维管理的高效。每个县(市、区)部署边界防火墙、核心路由器和核心交换机。
核心节点以外的,包括县级部门接入、乡镇(街道)接入、村(社区)接入等,全部由各县(市、区)自行完成。建议县级部门和乡镇(街道)接入带宽不低于200M,租赁运营商专线双链路上行;村(社区)接入带宽不低于100M(专线接入确有困难的可暂时通过公网VPN接入,未来逐步改造为专线接入)。
3.7 安全运维
新政务外网安全运维体系总体考虑统一建设、分级管理的思路。
在市级统一部署用户认证准入控制系统,全市范围内的所有终端接入电子政务外网需经过认证管控。同时部署市级态势感知平台,在市级核心交换机和县级核心交换机部署探针设备,基于态势感知平台获取全网的安全运行状态信息。另考虑全网的网络运维管理,建设网管运维平台,负责对全市政务外网的运维管理。
安全管理平台和运维管理平台均可通过分权分域,各县(市、区)可通过市级平台完成各自区域电子政务外网的安全管理和运维管理。
3.8 IPV6部署建议
考虑国家对IPV6的整体部署推进进度,为避免在网络建设完成后不就即面临改造,建议新政务外网骨干侧直接采用IPV6地址进行部署,在与其他网络的出口(至省电子政务外网出口、至行业专网出口、至互联网出口)处部署协议转换设备,与政务云的互通处也部署协议转换设备,满足过渡期内暂时地址转换的需要。对于部门的接入,建议由各自部门通过在部门出口侧进行改造(部署支持双栈的交换机或增加协议转换设备)以便接入新的电子政务外网。
4 结语
近年来众多政务事项的在线办理多基于电子政务外网承载,电子政务外网的安全稳定运行显得尤为重要。新政务外网建设将全面解决现网存在的运行年限寿命、网络架构健壮性、网络安全保护、网络管理等多个问题,为数字政府和智慧城市的建设提供强有力的网络基础资源。