网络基础设施建设方案

网络基础设施建设方案―、编制说明网络基础设施建设包括业务专网、信息安全防护、物联网等内容。•政务专网是实现部属单位和各级业务机构信息资源共享和协同办公的基础网络平台。主要目标是实现部属单位和各省（自治区、直辖市、新疆生产建设兵团）、地市、区县业务机构全面接入政务专网，实现“一张网”全面联通。主要关键技术包括虚拟私有网络、数据优化、链路优化、无线政务专网等。•物联网是支撑各类感知检测设备的基础网络平台。主要目标是支撑环境监测、督查执法等业务中的物联网应用，提供高速、低价、广覆盖，满足业务应用的物联网支撑。主要关键技术包括2/3/4G、5G、NB-IoT、LoRa等网络技术，MQTT、COAP、HTTP等传输协议，影子缓存，实时监测等。•信息安全防护是指对网络、主机等各类基础设施提供有针对性的安全保护，防止恶意入侵、漏洞破坏、意外灾害等事件影响信息系统安全稳定运行。主要目标是确保各类信息系统安全、稳定、可控运行。主要关键技术包括访问控制、安全审计、入侵防范、流量检测、DNS监控、NAT及域名监控等。编制内容1建设现状1.1现状单位网络主要分为互联网、内网、业务业务专网（以下简称专网）、外单位接入网络等传统物理网络及支撑业务云平台（以下简称云平台）的虚拟化网络两大部分。虚拟化网络主要支撑云平台及云上业务系统，SDN实现了跨数据中心的虚拟机漂移及虚拟化环境中的安全隔离功能，使云平台可提供敏捷、便利、安全的网络服务。1.2规划对标单位现有网络情况按照环统能力建设项目、直属单位联网项目、环保云的相关网络规划落地，构建了“纵向到底、横向到边”的专网网络体系，云网络结构实现了同城1+3全裸光互连，支撑云上业务系统的传输与运行。网络虚拟化落地了纯软件解决方案，实现了跨数据中心虚拟机漂移以及灵活便捷的虚拟机隔离功能，在国家网信办安全检查时得到了高度认可。单位网络基础现状与原规划目标基本吻合。2未来规划2.1建设目标提升云平台网络支撑能力，建设适应云环境，大数据量传输以及高性能分布式存储等新技术的网络结构，优化网络服务能力，提升安全防护水平。通过新型网络虚拟化技术实现对虚拟机隔离和控制的同时提升虚拟机迁移的便利性，使云平台更加敏捷，具备快速交付、快速迁移能力。提升专网的运维能力，尝试建设基于5G技术的移动办公网络，使专网移动化，更加便捷的提供专网服务。2.2建设内容2020年为提升云平台互联网发布业务的服务能力，建设多线BGP互联网出口，在实现发布业务系统单地址访问的基础上，提供高可用智能路由选路的访问优化能力，并将选路及负载均衡操作与服务器分离，最大程度的减少承载业务的虚拟机的负担，由路由器BGP策略端解决高速访问优化的需求，更好的为各部门云上业务系统提供优质的网络服务。建设全新的网络虚拟化架构模式，兼容任何支持IP转发的物理网络，突破当前物理网络障碍，使数据中心、运维人员得以将速度、经济性和选择性提高若干数量级。采用网络虚拟化方法使IT得以将物理网络视为透明容量池，可以根据需要使用和改变用途。2025年形成基于5G网络的移动办公能力，提供高速、安全、可视化、智能化的移动办公服务，建设可实现人机交互、移动视频、物联网终端统一管理的移动网络工作站，随身携带的笔记本、手机等移动设备可统一通过移动网络工作站高速、便捷的接入办公网络，形成支持大数据传输能力、在线视频会议能力、远端高性能计算能力的一体化5G移动办公网络。专网方面尝试建设基于SD-WAN技术的专网网络，在硬件及专线租赁费上大幅削减开支，同时也解决了环统能力建设项目硬件设备老化等问题，不再为运维经费而头疼。2.3建设方案2.3.1建设多线BGP出口建设多线BGP互联网出口，多线技术就是在数据中心、机房通过特殊的技术手段把不同的运营商的服务接入到一台服务器（或服务器集群），使服务器所提供的网络服务访问用户能尽可能以同一个ISP的连接来进行访问，从而解决用户访问网站的缓慢延迟的问题。BGP的意思就是边界网关协议，主要功能在于，控制路由的传播和选择最好的路由。通过BGP线路可以实现各大运营商网络间的互联。BGP多线的优点:1） 服务器只需要设置一个IP地址，最佳访问路由是由网络上的骨干路由器根据路由跳数与其它技术指标来确定的，不会占用服务器的任何系统资源。服务器的上行路由与下行路由都能选择最优的路径，所以能真正实现高速的单IP高速访问。2） 由于BGP协议本身具有冗余备份、消除环路的特点，所以当云平台发布区有多条BGP互联线路时可以实现路由的相互备份，在一条线路出现故障时路由会自动切换到其它线路。3） 有用BGP协议还可以使网络具有很强的扩展性可以将互联网发布的业务地址与其他运营商互联，轻松实现单IP多线路，做到所有互联运营商的用户访问都很快。这个是原有双线发布无法比拟的。2.3.2建设支持5G的移动办公网络、5G时代的来临会为移动办公等技术提供更多的可能性，包括基于5G网络的移动视频、远端高性能计算、海量数据传输等功能，解决移动办公需求，步入万物互连的物联网时代。在中日数据中心互联网出口架设支持5G移动数据接收的路由器，通过软件定义路由器配置及策略部署2.3.3尝试建设基于SD-WAN的专网SD-WAN技术使互联网可以被软件定义，使用者可以纵览网络全局，实现真正意义上的可控网络。SD-WAN可以在整个网络空间上定义出不同的资源，（比如，在公共互联网为基础的广域网上定义出MPLS特性：标签，优先级转发与QoS）并用可编程的方式进行创建，管理与分派。就像面向对象的编程，你可以创建一个MPLS对象，并管理这个对象的特征值，在你需要的时候进行激活与释放。在这些网络对象之上可以通过调用与编程构建更加复杂的网络。你可以轻易构建HA结构，构建双环保护，也可以轻易把星型组网改编成FullyMesh网络。你也可以在一条物理光纤上同时构建SDH，MPLS和互联网服务，并且相互隔离与动态可调。而这些都是通过软件调用，并借助于底层网络资源虚拟化而实现的。SD-WAN网络可以大幅减少物理设备投入以及运营商的专线租赁费投入，可以节省大量资金的同时实现网络高度透明并高度可控。2.3.4建设新型网络虚拟化架构建设全新的网络虚拟化架构模式，兼容任何支持IP转发的物理网络，突破当前物理网络障碍，使数据中心、运维人员得以将速度、经济性和选择性提高若干数量级。采用网络虚拟化方法使IT得以将物理网络视为透明容量池，可以根据需要使用和改变用途。虚拟网络是一种软件容器，可以将逻辑网络组件（逻辑交换机、逻辑路由器、逻辑防火墙、逻辑负载平衡器、逻辑VPN等）提供给已连接的工作负载。利用底层物理网络作为简单的数据包转发底板，以编程方式创建、调配和管理逻辑网络。网络和安全服务将分布并附加到网络中的虚拟机上。当虚拟机移动到另一个主机上时，这些服务仍然附加在虚拟机上并随之移动。此外，在网络中添加新虚拟机来扩展应用程序时，策略也会动态地应用于新虚拟机。2.3.5提高网络安全防护能力利用虚拟化安全防护技术构建具备高安全特性的网络平台，实现细粒度网络访问控制，包括任意虚拟机之间、任意隔离网络之间、任意集群之间和任意资源池之间的安全防护，避免关键业务系统受攻击和数据泄漏。实现重点业务系统和普通业务系统的安全隔离，在不调整物理架构的情况下，保证每套业务系统使用独立隔离网络，互不干扰。实现深度网络数据包监控，包括网络访问日志记录，实时流量监控，历史流量分析等。2.3.6实现多数据中心的同城双活，异地容灾的网络支撑架构在多数据中心将网络大二层打通，通过网络虚拟化架构，为多数据中心之间提供同城双活，异地容灾的网络基础架构，实现业务在多个数据中心漂移切换，提供多数据中心间的高可用性服务。当发生灾难时，业务可以通过网络虚拟化和容灾方案，在容灾站点提供服务。异地灾备2.3.7解决网络结构复杂的问题建立信息系统安全标准化体系，统一规划和部署防病毒、防火墙等安全组件，实现细粒度访问控制策略，提高信息系统安全防护能力。实现统一数据中心安全管理，用统一的网络虚拟化平台，实现数据中心网络集中、统一管理。利用网络虚拟化技术构建具备灵活性、安全性和易管理性的数据中心网络平台，通过该平台可轻松实现数据中心双活及容灾。2.3.8将网络与计算存储结合，使用超融合架构使用超融合的虚拟化基础架构，在保证应用数据的高速访问和高可靠性同时，不再需要传统的集中式存储架构，避免在今后运行过程中出现设计初期忽视的性能问题。随着业务发展，可以方便的按照节点进行扩容，避免建设初期一次性投资过大，后期却发现性能问题，需要追加投资的问题出现。可为数据中心虚拟化带来横向扩展架构、高可用性和可靠性等优势。超融合将融合基础设施、横向扩展架构和软件定义存储的各种优势结合在一起，可提供极佳的数据中心虚拟化体验，而其成本仅为传统服务器和存储器的一小部分。超融合完整集群是一种能够横向扩展的计算和存储基础设施，它使各组织机构无需存储网络即可实现数据中心虚拟化。提供开箱即用的解决方案，让数据中心虚拟化变得极其简单有效。2.4建设步骤2.4.1第一阶段建设基于多线BGP的数据中心出口网络(2020)按照互联网业务大量增长的业务需求，首先完成多线BGP数据中心出口网络建设工作，实现发布业务应用的高速、高效、高可用，保障业务应用的稳定性，提供更优质的网络出口服务。2.4.2第二阶段建设基于5G的移动办公网络(2021—2025)建设支持5G的移动办公网络环境，在保证安全性的前提下将专网移动化，前端手持接入设备不存储数据及程序，保障数据安全及移动办公安全。2.4.3第三阶段建设基于新型网络虚拟化技术的数据中心内部网络(2021—2025)将现有数据中心内部网络改造为全网虚拟