某市民中心虚拟园区网建设方案与实践.docVIP

某市民中心虚拟园区网建设方案与实践 文/王希强、吴永强 设计需求 作为W市政府将来的工作中心，W市民中心对网络的应用要求比较高，包括语音信箱、电子信箱、语音应答、可视图文、传真图像、数据业务通讯、桌面会议电视系统、VOD视频点播系统等。需要建立一个技术先进、扩展性强、能覆盖所有功能区域的主干网络，将W市民中心的各种工作站、终端设备和局域网连接起来，并与有关广域网相连，形成结构合理、内外沟通的计算机网络系统，并在此基础上开发各类信息库和应用系统，建立满足政府业务、指挥协调和管理需要的软硬件环境，为各类工作人员提供充分的网络信息服务。具体需求如下： 1.资源高度集中且共享的数据中心 市民中心的数据中心需要通过统一的政务信息资源目录体系与交换体系，依法共享政府部门业务数据，并对院内单位服务资源进行托管。未来将进一步整合资源，通过云计算平台，为院内单位提供计算和存储资源。 具体业务需求分为如下几类： 1)私有业务 W市民中心网络能够实现和区县委办局的纵向互访。不同部门之间不能够相互访问。内部局域网需要和电子政务网对接，各部委办局能够通过纵向系统访问其所属的上级机关。 2)共享业务 各部门将允许其他部门访问的共享资源放在共享服务器上，组成一个共享域。各纵向系统能够主动发起对共享系统的访问，共享系统不能主动访问纵向系统，从而保证纵向系统的安全。 3)跨部门业务 若个别部门有业务交互的需求，可将这部分服务器单独部署，并在相应部门的VPN中发布此段路由，实现互访的需求。 总体来说，需要重点实现两个方面的需求： 安全隔离。保证各业务系统逻辑网络的相对独立性，以满足不同业务系统对拓扑结构、安全性、服务质量、管理的要求； 受控互访。各业务系统之间的流程整合需要提供相互访问的途径，而且要保证访问的安全性。 2.统一的政务内网和外网平台 1)政务外网建设 政务外网连接全市各级党政机关，主要用于运行面向机关内部的办公和面向社会的监管服务等非涉密业务，是各部门构建业务专网的基础平台，实现跨部门、跨单位信息交换和协同办公的工作平台，并为网上政府服务提供后台支撑。 建成后，将推行全市统一的办公信息系统，市级党政机关和区县政府通过统一的办公业务平台实现公文、信息、值班、会议、督查、信访、汇报演示等通用办公业务的电子化和自动化，进一步提高政府办公决策的效率和应急指挥能力。工商、财政、税务、宏观经济、公共安全、质量监督、社会保障、农业、旅游、海洋、信用监管、业务协同等优先建设的公共服务和社会管理业务也将逐步实现数字化和网络化的系统处理。 政务外网要设立互联网统一出口，内部用户对外访问要统一管理，统一审计。政府门户网站以用户为中心，成为政府信息公开、提供公共服务和接受社会监督的重要平台和窗口；实现大部分行政许可项目的网上查询和在线处理。 2)政务内网建设： 政务内网连接全市各级机关、省政务内网及多个部门专网，部分业务涉密。在确保信息安全的前提下，实现纵向互联，横向互通。市民中心基础网络平台要提供逻辑隔离的通道和基本安全保护措施。 方案设计架构及说明 1.网络平台设计思路 此处以电子政务外网为例，内网与外网基本相同。W市民中心网络集中了近百个单位共用网络、Internet出口和一些资源服务器，各自的办公和生产业务需要与其他业务隔离开来，需要对不同部门/群组用户的资源访问权限进行控制，不同业务间的网络传输也需要安全隔离，这种隔离指的是访问、传输、应用端到端的隔离。传统的物理网络隔离方案会导致网络重复建设、分散管理、安全策略难部署、无法提供统一的应用服务等问题，大大增加用户在网络投资、建设和运维、管理方面的负担。 H3C虚拟园区网解决方案把共用的一套物理网络、客户端、服务器资源虚拟出多套逻辑资源，供不同的群组/部门、业务使用，并根据业务和应用划分访问权限和业务流向、安全隔离，同时根据需要提供灵活的互访控制。如图1所示。 图1网络虚拟化逻辑示意图 W市民中心内每个单位既有独立的业务系统又有公共业务系统。既能保证各家单位访问公共系统资源，又能保证各自的独立业务系统不被非法用户侵入，正是本方案设计的一大亮点。接入层设备根据客户端认证的用户身份信息动态分配对应相应权限的VLAN，汇聚层设备根据VLAN ID映射到对应的VPN。具体设计见图2： 图2基于不同的用户群组划分入不同的虚拟网络原理图 2.数据中心区设计思路 既要保证各个部门的数据资源安全的共存于数据中心，又要以私有业务、公共业务和共享业务等多种形式被市民中心内外部各单位和市民们访问，采用虚拟化和一体化等技术，可以满足以上需求。 1)虚拟化 多种应用承载在一张物理网络上，通过网络虚拟化分割(纵向分割)使不同政府机构相互隔离，但可在同一网络上访问自身应用；将承载上层应用的多个网络节点，进行整合(横向整合)，虚拟化成一台逻辑设