在世界各国积极提倡的“信息高速公路”五个应用领域中(电子政府、电子商务、远程教育、远程医疗、电子娱乐),电子政府列为第一位。从世界范围来看,推进政府部门办公自动化、网络化、电子化已是大势所趋。伴随着经济全球化和我国加入世贸组织的新形势,政府职能部门的管理水平、办事效率和服务水平急待提高,以便应对入世后的严峻挑战。
电子政务的本质是“以网络为工具,以用户为中心;以应用为灵魂,以便民为目的”,其实质是要在政府上网全面启动前期构建的一个电子政务平台。实现内部公文、信息、督查、后勤管理等主要办公业务的网络化,同时实现对外的信息发布与交互,另外还要考虑实现数据、语音、视频等多媒体信息的同网传输。该平台利用信息网络和通信技术,可以有效地实现行政、服务及内部管理等诸多功能,在政府、社会和公众之间形成有机的服务系统集合。
信息化建设的基础是网络,离开了网络,电子政务只能纸上谈兵。而网络的建设又与应用密不可分,网络必须结合应用的需求及特点,确保应用的顺利开展,为应用提供可靠的、安全的、智能化的传输通路。
电子政务网络的需求
政府网络功能结构图如下
网络功能系统的划分必须兼顾不同政府部门管理、决策、服务及办公自动化等各项业务和职能要求。针对这样的业务要求,对于网络的需求如下:
性能卓越、稳定,可靠性高
政府部门所处行业的特殊性要求其网络和办公系统在稳定、可靠基础上能够具有高的性能。随着应用的不断发展,数据流量应该分布在全网之上贯穿从接入层到服务器、到Internet的整个通路,传统的本地80%流量、远程20%流量的局域、广域网络模式已经不能满足用户的需求,用户对于网络的需求逐步演化为全网高速化、任意点间都需要有高速传输通道,为了对这样一个端到端的连接提供高性能,就需要网络架构方式、网络设备本身都具有全线速、无阻塞的交换能力。此外,对于关键的部分,比如骨干交换设备之间的互连链路、交换机与服务器之间的连接,应该尽可能利用带宽扩展的协议来防止可能会出现的瓶颈。从可靠性的角度上说,在网络设计时关键部位的设备本身必须具有备份冗余的配置,比如处理器、电源等,同时设备模块的热插拔也是对于故障维护方面极为重要的参数。而从在链路方面,网络物理链路应该能够实现链路冗余备份功能,这样当一条链路出现故障,所有的数据会在瞬间转移到备用链路,从而保障系统的正常运行。
管理性强,易于维护
从网络管理的角度上看,随着网络化进程的加快,网络规模的扩大,网络将连接到各个角落,支撑这样一个系统的设备数量也会越来越多,而运作良好的网管系统是发挥其网络性能、保障网络平稳运行最大的保障,所以,首先应该避免网管盲点的存在,所有的网络设备都应该纳入到网管体系中来。还有,传统的网络管理单纯通过SNMP协议来实现,可以说是一种平面化的网管结构,所有的设备在网络界面中都处于同一个级别,网管操作起来繁琐,常常会使网管人员因为可用度差而产生抵触心理,这样的网络管理系统其实并没有发挥应有的作用,所以被称之为事实上的不可操作,此外,从市场上看,如果全网都采用能够支持SNMP方式的网管设备,那么网络的造价就会明显地增加。面对这样的问题,就需要一套完善的、确实可行的策略解决。
完善的安全策略
同样由于政府部门所处行业的特殊性,我们需要强调其从局域到广域各个层面上都应该具有的安全策略,Internet出口的安全性的重要性已经无需赘述,国内外各大安全产品厂商已经做过大量的宣传,在这里想要进一步强调的是局域网内部的安全性,其实内部网络的安全威胁也已经为观念所接受,但在这个层面上一直都缺乏一个良好的解决方案。所以在局域网内部还经常遇到诸如缺乏针对用户身份的控制,面临盗用地址攻击、大数据包攻击等问题,这些都急需一套完整的安全策略。
完善的QoS机制
网络连接能力的改善经过了从10M到100M、1000M甚至万兆,也经过了从共享到交换的阶段,但现在越来越多的业界人士已经意识到了,带宽增加只是对问题的掩盖,并没有能够从根本上解决网络所面临的问题,带宽的增加是必要的,但如果能够再从提高带宽利用率的角度加以配合,才真真是被需要的。因此,数据网络的智能化程度非常重要,如果能够区分高优先级(诸如业务数据、管理信息等)的数据和低优先级(诸如Internet浏览、E-mail)的浏览信息;或者根据网络拥塞程度智能区分不需保障的报文和需要保障的报文;在网络拥塞时,给迟延敏感性强的应用(视频会议流)提供尽可能好的优先服务,这才是理想中的网络环境。
通过上述分析可知,政府网络是一个集成了多种通信技术和手段的网络,如数据、话音、视频等信息,其服务对象不仅是政府机关本身,还要服务于整个社会。因此,从功能上讲,是一个集成了多种技术、多种应用的一体化网络。此外,由于政府部门的层次划分,政府网络同样具有层次特点,各级政府机构除了本身能够互访问为,还要为公众提供访问政府网络的手段。
港湾公司所推出的Hammer系列交换机产品全部具有自主知识产权,已经全线取得信息产业部入网证,港湾交换机所具有的802.1x-基于端口的安全控制技术、SNMP+港湾H.Link集群管理协议的智能树网络管理体系等先进特性已经得到大规模商用,并正引领着国内的网络建设走向智能化的道路。
网络描述
整个网络分成核心、汇聚和接入三个层次。
核心层需要高可靠性和线速交换能力,本方案的网络核心采用两台背板带宽为128G的Big800交换机,2台机器通过VRRP路由网关备份协议实现三层功能的互为备份,保证网络核心的可靠。服务器通过千兆口直接连接到核心交换机,重要服务器可以分别连接到2台Big800。Big800采用Crossbar背板技术、分布式多层交换机功能,以及支持电源、风扇和控制模块的冗余备份,提供64的带宽控制和128K的流分类能力,保证网络的服务质量。
汇聚层需要多层交换能力,安全控制能力和QoS保障能力,本方案的汇聚层采用Flex5000系列千兆智能路由交换交换机,支持线速L2/L3/L4交换,提供多层的流分类、流处理能力,保证完善的QoS和策略ACL访问控制;支持802.1x用户安全控制协议,实现对用户的身份验证和授权,从根本上保证网络的安全;支持堆叠和集群管理技术,方便网络的扩展和维护。
接入层需要具备灵活的接入能力、对用户的安全控制,以及易于管理等特性,本方案的接入层采用U系列8/16/24口线速二层交换机,可以支持端口MAC地址绑定、VLAN隔离、802.1x用户安全控制等安全特性,通过港湾H.link集群管理协议实现高效、便捷的网络管理。
整个网络选用港湾HammerView智能树网管系统,使网络管理从平面结构升级到树型分层结构,实现设备级的配置、维护、故障管理,以及网络级的性能管理,中文化管理界面,便于用户学习和使用。
需求的网络体现
性能、可靠性
港湾公司电子政务网络解决方案中的Hammer系列交换机是业界性能极高的智能多层交换设备。BIG800、BIG400分别拥有128Gbps和64Gbps Crossbar交换背板。Crossbar(点阵式)交换背板是业界交换和路由设备中最为先进的交换技术,它可以为设备的各个模块之间建立起独占的物理通道使模块之间的数据传输可以绝对保证带宽。
BIG系列骨干智能多层交换机采用分布式交换路由体系结构,将路由计算和路由转发分布实施。由基于RSIC技术的CPU模块进行单次路由计算,由基于硬件(ASIC)技术的端口模块进行已知路由的数据转发,性能极高。
此外,网络规划中所用到的链路汇聚、VRRP以及Spanning Tree技术也能够从带宽扩展、冗余备份的角度提高网络的性能。从设备角度上看,中心交换机的关键部件可以做到冗余配置,而业务模块都支持热插拔。
应用级QoS保证
港湾公司电子政务网络解决方案中的BIG和FLEX5000系列智能路由交换机是业界领先的面向应用的第四-七层智能多层路由交换机。它可以通过数据包头中的数据链路层(MAC、VLAN)、网络层(IP)和传输层(TCP、UDP)的信息进行相应的流分类和处理,以保证应用级的QoS。
另外,交换机支持802.1P和IP ToS流标记方式, 采用WRED、WFQ、WRR、PQ等流控及队列调度算法,可对网络拥塞进行有效的控制,按照不同应用进行网络带宽和资源的分配、调度,以保证重要应用的服务质量(QoS)。
管理、维护
为保证日常工作的不停顿,良好的网络管理和维护也是网络规模运行的基础。港湾网络公司提出了SNMP+H.Link的智能树网管架构,实现了层次化和可操作性的规模化网管,在电子政务网络解决方案中,可以实现以下管理和维护特性:
(1)港湾网络“智能树”网管技术对大规模的交换机分级、分权、分域、集中式配置和管理,并可通过H.link集群管理方式,降低网管设备对于IP地址的占用,并减少分散的SNMP网管网元数目。
(2)在集中的网管平台下,实现对接入交换机的端口、VLAN、TRUNK等信息的配置,实现端口级的管理,另外还包括拓扑发现、QoS策略配置、性能管理、故障管理等功能。
(3)类似于传统电信网络112测试的端口环回测试能力,定位故障点处于网络设备端还是用户端。网管人员在集中网管中心就可以通过网管命令测试分散的远端交换机端口状态,避免网管人员四处奔波检测或者定位网络故障, 以及紧急情况下由于网络故障延误问题。
安全
2001年12月,802.1x协议通过了IEEE标准草案,目前Microsoft公司Windows XP操作系统内置了802.1x客户端,Cisco、Nortel等网络厂商的交换机也已开始宣称支持该协议。港湾网络公司在国内率先实现了802.1x的10万端口的大规模商用。
在电子政务网络解决方案中,Big或FLEX系列智能多层交换机内置802.1X协议,能够智能的识别和判定用户和接入设备的合法性,同时以此为依据授予用户相应权限,避免传统企业网接入方式的自由、无控制模式及防范企业网60%的攻击和非法行为来自于企业的内部现状。
另外,通过交换机的MAC地址绑定,VLAN隔离,基于MAC地址、VLAN标识、源、目的IP地址、源、目的TCP/UDP端口号等的多层ACL访问控制等特性可以实现网络的受控访问。
总结
总之,港湾以太网交换机产品通过线速交换性能,智能化的安全、管理以及应用级QoS等特性很好地满足了电子政务网络的建网需求,使得政府职能部门能够依靠网络不断地提升公众形象、不断地提高服务水平和办事效率。
