电子政务承载网解决方案.doc

电子政务承载网解决方案 导读：电子政务承载网解决方案作为电子政务所有应用的基础承载，要求电子政务承载网既要有能够象海纳百川般的综合应用承载能力，又要有壁立千仞似的安全性和可靠性。中兴通讯的电子政务采用epon方案建设电子政务承载网图电子政务承载网解决方案作为电子政务所有应用的基础承载，要求电子政务承载网既要有能够象海纳百川般的综合应用承载能力，又要有壁立千仞似的安全性和可靠性。中兴通讯的电子政务承载网方案就贯彻了这两点。1.海纳百川，有容乃大2006 年 5 月，中办和国办联合转发的“18 号文件”标志着电子政务网络的建设进入了一个崭新的阶段。“18 号文件”提出了 4 项任务：一、统一国家电子政务传输骨干网；二、推进电子政务内网和外网建设；三、保障国家电子政务网络和信息安全；四、推进业务应用系统建设。尤其是第四项任务，明确体现了 1“以需求促发展、以应用为导向”的建网方针，指出电子政务网的建设不是为了建网而建网，而是为了应用而建网。网络，是为了应用而服务的。1.1. 区分，是为了更好的综合1.1.1.采用 VPN 技术区分业务VPN 在行业/企业网络中的传统应用主要是用来区分用户，现在越来越的应用是用来区分业务，即不同的业务划分不同的 VPN，不同的 VPN 都有自己相应的标记，比如 MPLS Lab，比如 VLAN ID，这样业务类别一目了然，不需要再去通过目的 IP 地址或者四层 TCP/UDP端口号来区分业务，从而节约大量的网络设备处理资源。ZTE 国内领先的 MPLS 技术将能很好的完成基于业务的 VPN 划分，ZTE 是 MPLS 中国国家标准的制定者，国内最早的和最大的 MPLS VPN 网络均由 ZTE 承建。1.2. 量体裁衣，提供 QoS 保障QoS 的实现是一个全程全网的过程，ZTE 通过基于节点设备的 QoS 机制与技术和基于网络的 MPLS TE 技术，通过细化区分应用，有力保障不同应用/业务 QoS 全程全网端到端的实现。1.2.1.通过丰富的队列机制和 DPI 技术保障网络节点 QoS当业务类型能够识别和区分之后，网络节点设备就可以根据不同的业务标记来进行不同的QoS 动作。ZTE 的交换机和路由器提供完整的 802.1p、二层 CoS、DiffServ 以及 IP ToS 技术，并能根据 802.1p、DSCP、MPLS EXP 等域值（即不同的业务类型）提供完善的队列调度机制（FIFO、PQ、CQ、WFQ、CBWFQ），同时提供完善的拥塞检测/避免机制（RED、WRED、SARED、WRR）。这一系列的技术，有力的保障的应用/业务流量在节点本地的服务质量。同时启用 DPI（深度报文检测）技术，对相关业务/应用做相应处理。例如，对正常办公应用不做处理，对 P2P 数据流限速，对非法业务彻底丢弃，保障正常应用的带宽需求。ZTE的 DPI（深度报文检测）技术能够配合服务器，感知流量中的 VOIP、数据、多媒体等，动态调整带宽以及 QoS，为用户提供最优化的网络资源。配合网管系统和策略服务器，能够充分考虑和利用企业网带宽资源，实现网络智能 QoS。1.2.2.通过 MPLS 技术实现 TE（流量工程）如果仅仅实现单个节点的 QoS 保障是没有任何意义的，只有保证全程全网端到端的 QoS，对于一个应用/业务来说，其 QoS 保障才是真正有效的。因此，在网络部署 MPLS 的意义不仅仅在于业务的隔离和安全，更重要的是通过 MPLS 的LDP/LSP 提供一个全程全网的 TE。MPLS 的 TE 主要用在流量优化与网络保护方面。对于 QoS 来说，TE 更重要的是实现网络流量的优化，以求更合理的利用网络资源。1.3. 策略路由与智能 NAT出于链路备份与保护的考虑，电子政务网的广域网出口往往会租用两条链路，甚至是向两个不同的运营商分别租用链路。因此对于政务纵向网中的各级出口路由器，往往会遇到多出口路由。ZTE 的路由器设备，可以根据目的地址、源和目的端口号等策略路由灵活选择路由出口。同时可以结合 DPI 检测结果动态的调整出口路由。ZTE 路由器支持全面的 NAT 功能,支持静态 NAT、动态 NAT、PAT。配合 DPI 检测结果，ZTE 路由器还支持基于应用的智能 NAT。某些网络应用，例如 QQ 的文件传送，是将源地址放在报文净荷中，而不是报文头里，这样经过 NAT 后，通信对端无法识别源地址，而 ZTE的智能 NAT 就可以识别报文中的源地址进行 NAT，完成相应通信过程。结合策略路由和智能 NAT，可以有效提高业务转发的效率，增加业务转发路径选择的合理性。1.4. IPv6 Ready 电子政务网IPv6 技术是下一代互联网的核心协议技术，主要解决了当前互联网发展所面临的地址瓶颈问题，同时 IPv6 协议还在地址结构、自动配置、移动性、安全、可扩展性等方面对 IPv4 进行了改进和扩充。电子政务网络向 IPv6 网络的迁移也将是随着电子政务建设深入后的必然趋势。ZTE 也在 IPv6 应用方面走在前列，作为国内首家通过“IPv6 Ready”认证的厂商，目前已经通过“IPv6 Ready”Phase-II 的认证，全线路由器和中高端交换机均硬件支持 IPv4/v6 双栈功能，支持各种过渡技术，特别在 IPv6 安全性、移动性方面作了重点的产品与技术融合。ZTE 能够提供真正的 IPv6 Ready 的电子政务网。2.壁立千仞，自强则刚随着 2002 年以来几次网络病毒与黑客攻击的大规模爆发，安全与可靠，成为了网络建设的重中之重。“18 号文件”也将“保障国家电子政务网络和信息安全”单列出来作为一项单独的任务，足见国家对电子政务网络安全的重视。ZTE 的“拼图式”建网理念认为，政务网安全系统与承载网虽然是相对独立的，但是又是紧密联系互动的。因此，ZTE 认为电子政务网网络安全的建设不仅仅是增加网络安全设备IPS/IDS/防火墙，而是从承载网入手，结合网络安全设备以及网络设备和安全设备的联动共同来保障网络安全。2.1. 构筑“野蛮的体魄”毛泽东同志曾经说过：“欲文明其精神，先自野蛮其体魄；苟野蛮其体魄矣，则文明之精神随之。”如果把承载网本身看成电子政务网安全系统的体魄，把安全控制中心看成安全系统的精神，则承载网本身的可靠与安全，就是整个电子政务网可靠与安全的基础和先决条件。2.1.1.以太环网技术保证业务无中断链路切换ZTE 的以太智能环网技术 ZESR（ZTE Ethernet Smart Ring）采用纯硬件实现，实现简单，稳定性好，无需增加任何新硬件，组网成本低。ZESR 协议在实现上借鉴了 802.1w 的一些基本思想，如 MAC 地址学习与更新的功能。ZESR 具有链路无关性，只要是以太网链路，就可以轻松部署 ZESR 环网。中兴 ZXR10 中高端交换机上支持 ZESR 功能，其功能特点如下：1. 保护倒换时间为 50ms 级别。2. 带宽的利用率高。3与其它协议的共存。4不同带宽链路混合组环。2.1.2.MPLS TEFRR 保障逻辑链路无中断MPLS 技术不仅仅是隔离业务并提供 QoS 服务，同时基于 MPLS TE 技术的 FRR 也是保障链路可靠性的重要手段。MPLS TE 另一个非常重要的特性是能使网络能够从链路或节点失效中迅速恢复。MPLS TE 有四种保护方式：LSP 保护方式、局部链路保护方式、局部节点保护方式和失效检测。2.1.3.VRRP Track 缩短冗余路由倒换时间VRRP 作为一种路由冗余保护协议，在现在的网络上应用越来越多，ZTE 在此基础上开发出VRRP Track 技术，大大的缩短了传统 VRRP 路由倒换的时间。在传统的 VRRP 应用中：RTA、RTB 组成一个 VRRP 路由器组，假设 RTB 的处理能力高于RTA，则将 RTB 配置成 IP 地址所有者，H1、H2、H3 的默认网关设定为 RTB。则 RTB 成为主控路由器，负责 ICMP 重定向、ARP 应答和 IP 报文的转发；一旦 RTB 失败，RTA 立即启动切换，成为主控，从而保证了对客户透明的安全切换。而采用了 VRRP Track 技术后，RTA 不是被动的等待 RTB 失败，而且是 RTB 时刻主动监测自己的上下行端口和链路状态，一旦发现端口或者链路状态异常，主动通知 RTA 启动切换，大大提高了链路切换的速度。2.1.4.强大而灵活的 ACL 有效控制网络病毒传播范围ZTE 交换机能够实现基于硬件的 ACL，深入解析报文前 80 个字节，提供基于二层帧头各字段、三层报文头各字段、四层协议端口号、IP 五元组甚至内部更深层次报文内容的访问控制，并且不影响转发性能，控制网络病毒的传播，有效保护下一跳网络的安全，同时能够对用户和业务进行更精细的控制。ZTE 路由器选用强大的核心器件，转发性能并不随着 ACL 条目数的增加而下降，有效保障广域网的转发效率。2.1.5.多种手段保护网络设备网络病毒与非法攻击对网络设备的冲击主要是通过大量的病毒/非法报文冲击网络设备的CPU，大量消耗 CPU 计算资源，使其满负荷甚至超负荷运行，从而无法完成正常的操作或响应管理命令。针对病毒/攻击的这一特点，ZTE 主要总以下两个方面来保障网络设备攻击中的安全运行和可控制管理。1CPU 队列保护机制ZTE 交换机的端口硬件收包逻辑分为多个到 CPU 的数据包队列，根据报文的不同放入不同的优先级队列中。如果某个队列超过软件设置的 CPU 收包速率上限的时候，关闭该端口的硬件流控，切断该类数据报文上送 CPU 的通路，当该数据包速率减少的时候，再自动打开通路。此种技术在交换机受到攻击时可以有效的保证协议报文的优先处理，为协议运算保证了充足的 CPU 资源。2双 CPU 技术ZTE 的路由器设备为了保障设备的安全稳定与可靠，都配置了双 CPU：MPU（ManagingProcessor Unit）和 RPU（Routing Processor Unit），两者一个负责设备的管理与配置，另一个负责路由协议的处理与转发，充分保证了当处理大流量报文和复杂业务占用大量 RPU 处理资源时，依然能够保证设备可管理可控制。2.2. 完善“文明的精神”中兴将通过与合作伙伴的密切合作提供完善的网络安全控制中心以及能够和网络设备紧密