返回

引言

　　在世界各国积极提倡的"信息高速公路"五个应用领域中(电子政府、电子商务、远程教育、远程医疗、电子娱乐)，电子政府列为第一位。从世界范围来看，推进政府部门办公自动化、网络化、电子化已是大势所趋。
　　电子政务的本质是"以网络为工具，以用户为中心；以应用为灵魂，以便民为目的",其实质是要全面启动政府网，来构建一个电子政务平台。该平台利用信息网络和通信技术,可以有效地实现行政、服务及内部管理等诸多功能，在政府、社会和公众之间形成有机的服务系统集合。
　　电子政务网络需求在架构及产品体现
　　政府网络功能结构图

　　 网络功能系统的划分必须兼顾不同政府部门管理、决策、服务及办公自动化等各项业务和职能要求。针对这样的业务及智能要求，我们基本的网络建设思想如下：
性能卓越、稳定，可靠性高
　　政府部门所处行业的特殊性要求其网络和办公系统在稳定、可靠基础上能够具有高的性能。随着应用的不断发展，数据流量应该分布在全网之上贯穿从接入层到服务器、到Internet的整个网络。传统的本地80%流量、远程20%流量的局域、广域网络模式已经不能满足用户的需求，用户对于网络的需求逐步演化为全网高速化、任意点间都需要快速转发，为了对这样一个端到端的连接提供高性能，就需要网络架构方式、网络设备本身都具有全线速、无阻塞的交换能力。此外，对于关键的部分，比如骨干交换设备之间的互连链路、交换机与服务器之间的连接，应该尽可能利用带宽扩展的协议来防止可能会出现的瓶颈。从可靠性的角度上说，在网络设计时关键部位的设备本身必须具有备份冗余的能力，比如主控板、电源等，同时设备模块的热插拔也是对于故障维护方面极为重要的参数。而在链路方面，网络物理链路应该能够实现链路冗余备份功能，这样当一条链路出现故障，所有的数据会在瞬间转移到备用链路，从而保障系统的正常运行。
　　管理性强，易于维护
　　从网络管理的角度上看，随着网络化进程的加快，网络规模的扩大，网络将连接到各个角落，支撑这样一个系统的设备数量也会越来越多，而运作良好的网管系统是发挥其网络性能、保障网络平稳运行最大的保障。所以，首先应该避免网管盲点的存在，所有的网络设备都因还能够纳入到网管体系中来统一管理。还有，传统的网络管理单纯通过SNMP协议来实现，可以说那是一种平面化的网管结构，所有的设备在网络界面中都处于同一个级别，网管操作起来繁琐，常常会使网管人员因为可用度差而产生抵触心理，这样的网络管理系统其实并没有发挥应有的作用，所以被称之为事实上的不可操作，此外，从市场上看，如果全网都采用能够支持SNMP方式的网管设备，那么网络的造价就会明显地增加。面对这样的问题，就需要一套完善的、确实可行的策略解决。
　　完善的安全策略
　　同样由于政府部门所处行业的特殊性，我们需要强调其从局域到广域各个层面上都应该具有的安全策略，Internet出口的安全性的重要性已经无需赘述，国内外各大安全产品厂商已经做过大量的宣传，在这里想要进一步强调的是局域网内部的安全　性，其实内部网络的安全威胁也已经为观念所接受，但在这个层面上一直都缺乏一个良好的解决方案。所以在局域网内部还经常遇到诸如缺乏针对用户身份的控制，面临盗用地址攻击、大数据包攻击等问题，这些都急需一套完整的安全策略。
完善的QoS机制
　　网络连接能力的改善经过了从10M到100M、1000M甚至万兆，也经过了从共享到交换的阶段，但现在越来越多的业界人士已经意识到了，以为的带宽增加只是对问题的掩盖，并没有能够从根本上解决网络所面临的带宽问题，带宽的增加是必要的，但如果能够再从提高带宽利用率的角度加以配合，才真真是被需要的。因此，数据网络的智能化程度非常重要。如果能够区分高优先级（诸如金融业务数据、管理信息、业务文件传送）的业务数据和低优先级（诸如Internet浏览、E-mail）的浏览信息；或者根据网络拥塞程度智能区分不需保障的报文和需要保障的报文；在网络拥塞时，给迟延敏感性强的应用　（视频会议流）提供尽可能好的优先服务。才是理想中网络系统环境。
　　需要多业务
　　政府网不但要求整个信息资源能共享和对外发布信息，实现办公自动化，同时需要视频会议、电视讲座、电视报告等多种视频业务。除了需要数据和视频业务以外，还需要话音业务，如voip等
　　天华公司政府网络工程的解决方案
　　---- 通过上述分析可知，政府网络是一个集成了多种通信技术和手段的网络，如数据、话音、视频等信息，其服务对象不仅是政府机关本身，还要服务于整个社　会。因此，从功能上讲，是一个集成了多种技术、多种应用的一体化网络。此外，由于政府部门的层次划分,政府网络同样具有层次特点，各级政府机构除了本身能够互访问外，还要为公众提供访问政府网络的手段。
　　天华公司所推广的产品全部具有自主知识产权，已经全线通过信息产业部入网　证，其大力推行的诸如802.1x认证、基于SNMP+H.Link技术的神经树网络管理体系等先进特性已经得到大规模商用，并引领着国内的网络建设走向智能化的道路。----
政府部门内的网络结构示意图：

　　网络描述
　　-- 网络结构分为网络中心、汇聚层和接入层三部分。
　　网络中心采用BigHammer800双机备份，稳定可靠，千兆堆叠技术能够在网络中构造冗余，在堆叠之外每个二级网点和服务器仍同时与两台主干交换机作千兆双链路连接，保障系统运行的可靠性；利用VRRP技术，可以实现两个主干交换机在第三层上的热备份功能。
　　汇聚层采用高性能智能交换BigHammer400、FlexHammer5000交换机，并采用千兆以太网通道技术扩充带宽，能满足大负荷网络运行需求；第三层线速交换技术，能够使两个网段进行数据交换时，可以根据不同的应用数据流有选择的进行四到七层的应用交换，提高了带宽资源的利用率。VLAN技术的引入也使得系统资源能够被更有效地利用，结合 VRRP (冗余备份路由协议)使每个二级交换机上的两条上联链路同时处于传输状态 ，各自分担一部分VLAN 的数据传输，充分利用带宽。
　　接入层需要系统安全, 保密性高，首先可以采用802.1x对用户的身份进行认证和授权。通过运营级安全技术确保接入用户的身份安全性。其次，采用先进的虚拟局域网技术，它依靠用户的逻辑设定将原来物理上互连的一个局域网络划分为多个虚拟网段，同一虚网内数据可自由通讯，而不同虚网间的数据交流则需要通过第三层交换来完成，从而提高了系统的安全性。
　　可选用功能强大天华"神经树"网管系统，使网络管理从平面结构升级到数型分层结构，　从单纯的配置管理扩展到设备配置和网络健康状况　（交换机端口的环回测试），H.LINK管理，通过HammerView可进行分群、分级、分域等多个方面管理，中文图形化友好网管界面，使用灵活方便。易学易用，特别适合中国的国情。
　　主干交换机的电信级架构化设计、汇聚层交换机的智能流处理和高背板带宽、接入层交换机采用集群技术。
　　需求的网络体现、性能、可靠性
　　---- 天华公司的政府行政中心网络解决方案中的Hammer系列是业界性能极高的智能多层交换设备。BigHamme800、BigHamme400和FlexHammer5000产品分别拥有128Gbps、64Gbps和16Gbps的交换背板。Crossbar(矩阵式)交换背板是业界核心交换中最为先进的交换技术。它可以为设备的各个模块之间建立起独占的物理通道使模块之间的数据传输可以绝对保证带宽。Big系列骨干智能多层交换机采用分布式交换路由体系结构，将路由计算和路由转发分布实施。由于基于ASIC技术的CPU模块进行单次路由计算，由基于硬件(ASIC)技术的端口模块进行已知路由的数据转发，性能极高。中心交换机BigHamme800支持双主控、双电源、双风扇。它的关键部件可以做到冗余备份，而业务模块都支持热插拔，有利于更换和扩容。BigHamme800之间采用双电路，能真正实现负载均衡，骨干交换机BigHamme800与汇聚层交换机采用备份电路，通过VRRP实现主备电路的快速切换。这样，能保证整网无组塞快速转发，同时整网具有高性能和高可靠性。
　　----智能化的交换结构-面向应用(QOS)
　　---- 天华公司政府网中所采用的全智能交换机是业界领先的AISC硬件设计技　术。面向应用的四-七层智能多层交换机。它是通过数据包头中的数据链路层(MAC)、网络层(IP、IPX)和传输层(TCP、UDP、RTP、Sock)的信息结合网络和策略信息，进行快速转发。
　　---- 数据流到交换机端口后，设备通过AISC芯片对数据包头进行扫描，根据包头中的MAC源地址、MAC目的、IP/IPX源地址、IP/IPX目的地址、TCP/UDP/RTP和Sock端口号码以及DiffServer TOS位的优先级信息，结合模块中的路由策略和访问列表(ACL)，将数据流通过交换机背板上的独立的物理连接根据不同的优先级转发到不同的端口。
　　---- 全系列交换机可分别基于第2、3、4层对数据流和端口的传输速率进行控　制，以满足不同接入部门的要求，充分发挥主干带宽的利用率。此外，全系列交换机还采用了WRED、WFQ、WRR、PQ等算法，可对网络拥塞进行有效的控制。这样，网络管理人员就可以按照不同网络设备上的不同应用程序、不同的网络应用进行网络带宽和路由的分配，可以对诸多业务包括Email、FTP、网页浏览、IP话音、视频广播、视频点播、以及视频会议等应用类型分配各自所需的网络带宽和不同的优先级，保证各种业务应用的服务质量(QOS)。
　　最重要的是全系列交换机可以根据应用数据流的优先级和重要程度，来智能调整业务的优先级和带宽，给它提供不同的应用服务质量(QOS)。
　　

　　管理、维护
　　全网结构的可管理性：快速定位网络故障、良好的设备维护能力，避免网络的停顿。为保证日常工作的不停顿。良好的网络维护也是网络规模运行的基础。天华网　络公司一直关注提供以太网的维护能力。针对数据量大和管理复查的政府网的网管问题，天华网络提出了SNMP+H.Link的"智能神经树网管模型"，实现了层次化和可操作性的规范化网管，目前已经推出：
　　类似于传统电信网络112测试的端口环回测试能力，能快速定位故障点于网络设备端还是用户端
　　网管人员在网管中心就可以通过网管命令测试分散的远端交换机端口状态，可快速定位网络故障。避免网管人员四处奔跑检测或者定位网络故障以及紧急行情时的网络故障延误问题。
　　天华网络"智能神经树"网管技术对大规模的交换机进行分级、分权、分域、集中式配置和管理，并可通过H.link集群管理方式，一个网管IP地址最多可管理36台交换机。降低设备网管对于IP地址的占用，并减少分散的交换机对于SNMP网管网元数目，大大地提高了网络管理效率。
　　接入层交换机可通过H. link协议自动下载和存储它自身的配置，减少了维护工作量，同时降低了运维成本。
　　在集中的网管平台中严格管理接入交换机的端口、VLAN和TRUNK配置和权限，实现端口的管理，拓扑管理，VLAN的配置和管理。
安全
　　1、外网的网络安全，采用传统的硬件防火墙。来保护政府内部局域网免遭外部攻击，可把网络病毒阻挡在政府网外。
　　2、在内网安全方面，天华网络的智能交换机在接入层就可做802.1X认证，全系列交换机均可做ACL访问控制。作为"人工智能"网络的"五官"能够智能识别和判定用户、接入设备的合法性，同时以此为依据授予用户的相应权限。避免传统企业网接入方式的自由、无法控制模式及防范政府网内部60%的攻击，天华网络公司所提供的政府网解决方案具有很强的安全性。
　　可以提供全网IEEE802.1x认证，在不提高设备成本和降低设备转发性能的前提　下，提供基于用户名+密码的认证手段与物理设备的绑定，实现了真正的网络安全。802.1x协议是一项可以在以太网上实现认证计费功能的新技术。基于802.1x协议的认证计费方式主要是通过认证前后打开/关闭用户接入端口实现对用户接入的控制，可以实现在LAN设备的物理接入级对接入设备进行认证和控制。802.1x认证具有简洁高效、容易实现、安全可靠等特点。它保持了IP网络无连接特性，无需多业务网关设　备，消除网络认证计费瓶颈和单点故障；网络综合造价成本低；在二层网络上实现用户认证，并可以通过设备实现MAC、端口、账户和密码等绑定技术，确保网络的安　全。
　　具有完善的ACL功能，ACL可基于MAC地址、IP地址、应用程序等多种策略来做访问控制列表。可设用户权限来允许或禁止某些用户对资料、目录、服务器、网站等的访问。
　　多业务解决方法
　　天华公司所用的全系列交换机全部为网管型交换机，可满足政府的多业务需求。不但能满政府对数据业务的需求，全系列交换机均支持组播协议，骨干层和汇聚层交换机均支持PIM、IGMP SNOOPING协议，接入层交换机也支持IGMP SNOOPING组播协　议，组播支持能力强，最多可同时支持24个组播源。完全能满足政府对视频业务的需求。此外，全系列交换机还提供了VPN、VOIP、完善的QOS等功能，能为政府网的增值业务的开展保驾护航。