电子政务承载网解决方案
来源:中国电子政务网 更新时间:2012-04-15

作为电子政务所有应用的基础承载,要求电子政务承载网既要有能够象海纳百川般的综合应用承载能力,又要有壁立千仞似的安全性和可靠性。中兴通讯的电子政务承载网方案就贯彻了这两点。

1.      海纳百川,有容乃大

20065月,中办和国办联合转发的“18号文件”标志着电子政务网络的建设进入了一个崭新的阶段。“18号文件”提出了4项任务:一、统一国家电子政务传输骨干网;二、推进电子政务内网和外网建设;三、保障国家电子政务网络和信息安全;四、推进业务应用系统建设。尤其是第四项任务,明确体现了1以需求促发展、以应用为导向”的建网方针,指出电子政务网的建设不是为了建网而建网,而是为了应用而建网。网络,是为了应用而服务的。

1.1.   区分,是为了更好的综合

1.1.1.      采用VPN技术区分业务

VPN在行业/企业网络中的传统应用主要是用来区分用户,现在越来越的应用是用来区分业务,即不同的业务划分不同的VPN,不同的VPN都有自己相应的标记,比如MPLS Lab,比如VLAN ID,这样业务类别一目了然,不需要再去通过目的IP地址或者四层TCP/UDP端口号来区分业务,从而节约大量的网络设备处理资源。

ZTE国内领先的MPLS技术将能很好的完成基于业务的VPN划分,ZTEMPLS中国国家标准的制定者,国内最早的和最大的MPLS VPN网络均由ZTE承建。

1.2.   量体裁衣,提供QoS保障

QoS的实现是一个全程全网的过程,ZTE通过基于节点设备的QoS机制与技术和基于网络的MPLS TE技术,通过细化区分应用,有力保障不同应用/业务QoS全程全网端到端的实现。

1.2.1.      通过丰富的队列机制和DPI技术保障网络节点QoS

当业务类型能够识别和区分之后,网络节点设备就可以根据不同的业务标记来进行不同的QoS动作。ZTE的交换机和路由器提供完整的802.1p、二层CoSDiffServ以及IP ToS技术,并能根据802.1pDSCPMPLS EXP等域值(即不同的业务类型)提供完善的队列调度机制(FIFOPQCQWFQCBWFQ),同时提供完善的拥塞检测/避免机制(REDWREDSAREDWRR)。这一系列的技术,有力的保障的应用/业务流量在节点本地的服务质量。

同时启用DPI(深度报文检测)技术,对相关业务/应用做相应处理。例如,对正常办公应用不做处理,对P2P数据流限速,对非法业务彻底丢弃,保障正常应用的带宽需求。ZTEDPI(深度报文检测)技术能够配合服务器,感知流量中的VOIP、数据、多媒体等,动态调整带宽以及QoS,为用户提供最优化的网络资源。配合网管系统和策略服务器,能够充分考虑和利用企业网带宽资源,实现网络智能QoS

1.2.2.      通过MPLS技术实现TE(流量工程)

如果仅仅实现单个节点的QoS保障是没有任何意义的,只有保证全程全网端到端的QoS,对于一个应用/业务来说,其QoS保障才是真正有效的。

因此,在网络部署MPLS的意义不仅仅在于业务的隔离和安全,更重要的是通过MPLSLDP/LSP提供一个全程全网的TEMPLSTE主要用在流量优化与网络保护方面。

对于QoS来说,TE更重要的是实现网络流量的优化,以求更合理的利用网络资源。

1.3.   策略路由与智能NAT

出于链路备份与保护的考虑,电子政务网的广域网出口往往会租用两条链路,甚至是向两个不同的运营商分别租用链路。

因此对于政务纵向网中的各级出口路由器,往往会遇到多出口路由。ZTE的路由器设备,可以根据目的地址、源和目的端口号等策略路由灵活选择路由出口。同时可以结合DPI检测结果动态的调整出口路由。

ZTE路由器支持全面的NAT功能,支持静态NAT、动态NATPAT。配合DPI检测结果,ZTE路由器还支持基于应用的智能NAT。某些网络应用,例如QQ的文件传送,是将源地址放在报文净荷中,而不是报文头里,这样经过NAT后,通信对端无法识别源地址,而ZTE的智能NAT就可以识别报文中的源地址进行NAT,完成相应通信过程。

结合策略路由和智能NAT,可以有效提高业务转发的效率,增加业务转发路径选择的合理性。

1.4.   IPv6 Ready电子政务网

IPv6技术是下一代互联网的核心协议技术,主要解决了当前互联网发展所面临的地址瓶颈问题,同时IPv6协议还在地址结构、自动配置、移动性、安全、可扩展性等方面对IPv4进行了改进和扩充。电子政务网络向IPv6网络的迁移也将是随着电子政务建设深入后的必然趋势。

ZTE也在IPv6应用方面走在前列,作为国内首家通过IPv6 Ready认证的厂商目前已经通过IPv6 ReadyPhase-II的认证,全线路由器和中高端交换机均硬件支持IPv4/v6双栈功能,支持各种过渡技术,特别在IPv6安全性、移动性方面作了重点的产品与技术融合。ZTE能够提供真正的IPv6 Ready的电子政务网。

2.      壁立千仞,自强则刚

随着2002年以来几次网络病毒与黑客攻击的大规模爆发,安全与可靠,成为了网络建设的重中之重。“18号文件”也将“保障国家电子政务网络和信息安全”单列出来作为一项单独的任务,足见国家对电子政务网络安全的重视。

ZTE的“拼图式”建网理念认为,政务网安全系统与承载网虽然是相对独立的,但是又是紧密联系互动的。因此,ZTE认为电子政务网网络安全的建设不仅仅是增加网络安全设备IPS/IDS/防火墙,而是从承载网入手,结合网络安全设备以及网络设备和安全设备的联动共同来保障网络安全

2.1.   构筑“野蛮的体魄”

毛泽东同志曾经说过:“欲文明其精神,先自野蛮其体魄;苟野蛮其体魄矣,则文明之精神随之”如果把承载网本身看成电子政务网安全系统的体魄,把安全控制中心看成安全系统的精神,则承载网本身的可靠与安全,就是整个电子政务网可靠与安全的基础和先决条件。

2.1.1.      以太环网技术保证业务无中断链路切换

ZTE的以太智能环网技术ZESRZTE Ethernet Smart Ring)采用纯硬件实现,实现简单,稳定性好,无需增加任何新硬件,组网成本低ZESR协议在实现上借鉴了802.1w的一些基本思想,如MAC地址学习与更新的功能。ZESR具有链路无关性,只要是以太网链路,就可以轻松部署ZESR环网。中兴ZXR10中高端交换机上支持ZESR功能,其功能特点如下:

1. 保护倒换时间为50ms级别。

2. 带宽的利用率高。

3.与其它协议的共存。      

4.不同带宽链路混合组环。

2.1.2.      MPLS TEFRR保障逻辑链路无中断

MPLS技术不仅仅是隔离业务并提供QoS服务,同时基于MPLS TE技术的FRR也是保障链路可靠性的重要手段。MPLS TE另一个非常重要的特性是能使网络能够从链路或节点失效中迅速恢复。

MPLS TE有四种保护方式:LSP保护方式、局部链路保护方式、局部节点保护方式和失效检测。

2.1.3.      VRRP Track缩短冗余路由倒换时间

VRRP作为一种路由冗余保护协议,在现在的网络上应用越来越多,ZTE在此基础上开发出VRRP Track技术,大大的缩短了传统VRRP路由倒换的时间。

在传统的VRRP应用中:RTARTB组成一个VRRP路由器组,假设RTB的处理能力高于RTA,则将RTB配置成IP地址所有者,H1H2H3的默认网关设定为RTB。则RTB成为主控路由器,负责ICMP重定向、ARP应答和IP报文的转发;一旦RTB失败,RTA立即启动切换,成为主控,从而保证了对客户透明的安全切换。

而采用了VRRP Track技术后,RTA不是被动的等待RTB失败,而且是RTB时刻主动监测自己的上下行端口和链路状态,一旦发现端口或者链路状态异常,主动通知RTA启动切换,大大提高了链路切换的速度。

2.1.4.      强大而灵活的ACL有效控制网络病毒传播范围

ZTE交换机能够实现基于硬件的ACL,深入解析报文前80个字节,提供基于二层帧头各字段、三层报文头各字段、四层协议端口号、IP五元组甚至内部更深层次报文内容的访问控制,并且不影响转发性能,控制网络病毒的传播,有效保护下一跳网络的安全,同时能够对用户和业务进行更精细的控制。

ZTE路由器选用强大的核心器件,转发性能并不随着ACL条目数的增加而下降,有效保障广域网的转发效率。

2.1.5.      多种手段保护网络设备

网络病毒与非法攻击对网络设备的冲击主要是通过大量的病毒/非法报文冲击网络设备的CPU,大量消耗CPU计算资源,使其满负荷甚至超负荷运行,从而无法完成正常的操作或响应管理命令。针对病毒/攻击的这一特点,ZTE主要总以下两个方面来保障网络设备攻击中的安全运行和可控制管理。

1CPU队列保护机制

ZTE交换机的端口硬件收包逻辑分为多个到CPU的数据包队列,根据报文的不同放入不同的优先级队列中。如果某个队列超过软件设置的CPU收包速率上限的时候,关闭该端口的硬件流控,切断该类数据报文上送CPU的通路,当该数据包速率减少的时候,再自动打开通路。此种技术在交换机受到攻击时可以有效的保证协议报文的优先处理,为协议运算保证了充足的CPU资源。

2.双CPU技术

ZTE的路由器设备为了保障设备的安全稳定与可靠,都配置了双CPUMPUManaging Processor Unit)和RPURouting Processor Unit),两者一个负责设备的管理与配置,另一个负责路由协议的处理与转发,充分保证了当处理大流量报文和复杂业务占用大量RPU处理资源时,依然能够保证设备可管理可控制。

2.2.   完善“文明的精神”

中兴将通过与合作伙伴的密切合作提供完善的网络安全控制中心以及能够和网络设备紧密配合网络安全设备。

2.3.   软硬结合,固若金汤

“拼图式”网络的关键就是各子系统之间虽然独立,却又紧密联系。安全控制系统就是这样,只有承载网、安全控制系统(包括网络安全设备和网络安全服务器组)、用户管理系统(包括用户客户端和用户管理服务器组)联动起来,互相协调,互相配合,才能形成高可靠,高安全同时高性能的电子政务网。

3.      结束

电子政务承载网是整个电子政务的基础,ZTE电子政务承载网解决方案将为以应用为中心的新一阶段电子政务提供坚实可靠安全灵活的承载。