直观的骨干网络:核心设备RG S8614A/B配置IPFIX流量控制板卡,结合XX关键业务运行管理中心RILL系统,可直观的将网络内部流量情况进行图形化的呈现,让网络真正的可感知。
2.2.3.2. 委办单位接入区域
XX市政府单位以及各委办厅局接入方式较为简单,本次外网方案规划,为每个接入单位提供一台RSR20-24,该设备性能为300Kpps的包转发性能,完全满足一般单位的接入需求;考虑到很多单位已经建成了自己的内部局域网,为了便于接入外网的单位的接入,其内部网络地址不需要重新规划,在出口的路由设备上,进行NAT地址转换,将各个接入单位的私有地址转换为59段地址。
此外,智能交通信息平台系统也将接入XX市电子政务外网,对于该套系统的每个接入点,本次方案设计,将每个路由的高清IP摄像头,作为一个接入单位,通过路由器RSR20-24接入
电子政务外网骨干传输网络。
2.2.3.3. 上联区域
上联区域路由设备为省统一下发设备,该路由设备与核心交换机互连,建议通过在该路由设备上配置静态路由即可实现XX市电子政务外网与省级、国家级电子政务外网的互联互通;当然,也可以通过对于市级外网OSPF区域的适当调整,未来,将XX市电子政务外网作为省政务外网的一个区域接入,实现互连互通。
2.2.3.4. 互联网接入区域
互联网出口接入区域是整个电子政务外网各个单位用户访问互联网的统一出口。电子政务外网出口设备采用全千兆高性能防火墙RG Wall 1600作为出口的安全隔离设备,隔离互联网和电子政务外网的内部网络;
在防火墙的DMZ区域,部署政府统一门户网站,为了保证网站的安全,防止被恶意篡改,门户网站前部署XX网络应用防火墙WG3000。XXWebGuaRD基于对HTTP/HTTPS流量内容的双向检测分析,识别检测各类Web编码、交互技术、URL参数以及表单输入等,为Web应用提供实时、动态的主动性防护。防止网页内容被篡改,防止网站数据库内容泄露,防止口令被突破,防止系统管理员权限被窃取,防止网站被挂马和植入病毒、恶意代码、间谍软件等,防止用户输入信息的泄露,防止账号失窃,防SQL注入,防XSS攻击等。确保Web应用安全的最大化。
互联网接入区域采用专用的万兆出口引擎设备RG NPE60,作为59段地址到互联网公网地址的NAT二次转换设备,此外,该设备具备负载均衡功能,可作为互联网接入区的负载均衡设备。
?全路径健康检查,精确判断用户的链路健康状况?路由可用性及链路带宽?锐捷就近性算法,保证出流量的最优化选择,让用户得到最佳的访问体验?确保整个连接的可用性?透明Ping 到目标设备算法1、带宽+时延+负载内部PCNPE200 msLink choose=ISP1250 ms350 ms算法2、线路带宽占比 此外,为了提升政务外网的利用效率,为用户提供便捷,安全的接入服务,建议在出口区域可以部署XX网络全千兆高端IPSec VPN设备RG Wall V1600E,结合XX网络应用安全域方案,用户通过VPN接入电子政务外网后,系统可以根据远程用户的用户名、密码,核实用户身份以及用户访问权限,然后对该用户开放相应权限的资源,而其他资源,不允许其访问,如该用户归属于审计局,则该用户远程拨入后,是归属于审计系统的MPLS VPN网络的,只能访问公共资源和审计系统相关资源,从而确保远程接入的安全性。
互联网接入区域详细拓扑结构详见下图:
2.2.3.5. 数据中心区域
数据中心包含2个部分,一部分为电子政务外网的综合管理平台,一部分为专业的存储设备,对于外网数据进行集中存储。
电子政务的综合管理平台包含了基于业务应用系统的RIIL-BMC关键业务运行管理中心;实现对网络和业务应用系统的集中智能管理,可以让有限的IT运维人员精力和IT预算投入到最关键的资源的维护和保障中,切实降低复杂IT环境的管理难度,更轻松地把握支撑关键业务的网络和系统的运行状态,并不断提升关键业务系统的运行服务质量水平,提升用户满意度。
