电子政务外网方案(共35页).doc

精选优质文档-倾情为你奉上电子政务外网构建与实现学校： 湖南理工学院 班级： 计算机1104班 姓名： 罗立佳 学号： 指导老师： 石炎生 目 录第1章 项目需求分析自1993年以来，以三金工程的启动为标志，我国政府信息化建设取得了长足进步，建设了一批管理信息系统，构建了不同规模的网络体系。但由于各部门各自建设自己的专网，在网络建设上盲目投资和重复投资多有发生，存在网络利用水平低、安全隐患大、互联互通少等诸多问题。2002年，中共中央办公厅、国务院办公厅转发了“国家信息化领导小组关于我国电子政务建设指导意见”的通知（中办发200217号文）,指出“十五”期间，电子政务建设的主要任务之一就是建设和整合统一的电子政务网络。电子政务网络由政务内网和政务外网构成，两网之间物理隔离，政务外网与互联网之间逻辑隔离。本规划总体本着先进性、现实性和经济性相统一的原则进行网络设计，使网络具有高性能、高可靠性、高安全性、高可扩展性、标准化和易管理的特点，能灵活地根据用户的需求提供不同网络业务的服务保证，为XX省电子政务相关业务系统提供统一的、优质的网络基础设施平台。第2章 总体设计原则根据电子政务外网平台现状、需求及网络技术发展的趋势，我们按以下原则设计网络方案：l 高可靠性：具有很高的容错能力，具有抵御外界环境影响和人为操作失误的能力，保证单点故障不影响整个网络的正常运行。l 高性能：具有较高的传输带宽，并在高负荷情况下仍然具有较高的吞吐能力和效率，延迟低。l 支持QoS：能根据业务的要求提供不同等级的服务并保证服务质量，提供拥塞控制，报文分类，流量整形等强大的IP QoS和MPLSQoS功能。l 安全性：具有保证系统安全，防止系统被人为破坏的能力。支持AAA认证、ACL、VPN、NAT、路由验证、CHAP、PAP、CA、MD5、DES、3DES、日志等安全功能。l 扩展性：易于增加新设备、新用户，易于和各种公用网络连接，随系统应用的逐步成熟不断延伸和扩充，充分保护现有投资。l 开放性：符合开放性规范，方便接入不同厂商的设备和网络产品。l 标准化：各种协议和接口符合国际标准（IEEE、IETF等）。l 实用性：具有良好的性能价格比，经济实用，设计方案和设备选型应符合骨干网络信息量大、信息流集中的特点。l 易管理：一个好的网络系统必须是一个易管理的网络系统，本方案中通过配置网管系统软件对整个网络实施高效的管理。第3章 网络可靠性设计规划网络系统是电子政务外网平台建设中的重要基础设施平台，该网络系统的设计实施中必须对网络的可靠性进行详尽的考虑和设计。电子政务外网承担各种业务应用系统，提供统一的网络平台，其网络可靠性要求很高。网络系统的可靠性主要体现在以下几个方面：1、 网络结构设计保证网络的可靠性；2、选配高可靠性的网络设备；3、完善的网络管理系统确保网络可靠性；4、选配必要的设备和模块备份。3.1 网络结构可靠性设计网络组网结构的可靠性，主要是对网络互联通道的备份考虑和设计，通过备份线路及设备的备份，保证任何时刻、任何节点之间都有可达的路由。1）对于电子政务外网平台网络系统而言，核心层和汇聚层节点之间的链路是网络的主干链路，采用星型拓扑结构。这种结构的可靠性由核心层节点和汇聚层节点间的设备配置和互连链路的特性决定。本网络的核心层与汇聚层节点之间采用的双链路连接，实现链路冗余，以提高网络的可靠性。2）在经济信息中心节点采用双核心高端路由设备的配置，提高网络的可靠性，并可实现负载分担。3）在故障出现的时候，通过传输链路以及动态路由协议等机制，保证网络数据自动迂回切换到其它连通的链路上，保证通信的正常进行。对于流量超过备份线路带宽承载能力时，可采用QoS等措施保证业务网关注的关键业务得到优先传送或者升级带宽。3.2 组网设备可靠性设计建议线路的备份主要解决了网络互通路径的问题，而节点设备的可靠则解决网络的有效运转问题。设备的高可靠性从硬件、软件、保护机制等几个方面体现：1、广域网以及中心城域网核心设备采用全分布式体系结构：分布式体系结构可以提高组网的物理可靠性，如在城域网环网组网中，每个骨干节点都有多条接口与相邻的节点或本地互联，从路由上提高了可靠性。2、关键部件冗余：采用分布式体系下，对设备的关键部件，如主控管理单元、电源管理等单元等，进行冗余构造配置，保证系统在工作中不会全部失效。3、实时热备份机制：在系统软件及硬件的支持下，关键部件在发生故障能自动启动备份系统，而且主备之间的切换要能够实时热倒换，即运行中即使发生设备故障切换也不会对网络业务造成影响。4、热插拔特性：核心和汇聚层设备的任意单板需要支持热插拔特性，保证系统出现故障需要维护，或系统需要升级扩展时，不需要停机处理，保证网络的7×24小时不间断运行。5、冗余电源支持：冗余电源负载分担及备份供电可保障系统具有可靠的能量源。6、散热系统：散热系统使设备长时间运行而不至因为温度过高而出现故障。冗余风扇等散热装置可以增加设备的无故障运行时间及减少故障发生。具备这些特性的网络设备是保障数据网高可靠运行的基础，在设计中我们将参照并遵循这些原则，构建高可靠性、高可用性、高可管理性的网络平台。3.3 智能网络管理中心系统在设计网络管理系统时，应全面考虑网络管理的内容，建设网络管理平台、网络设备管理软件模块、网络故障管理模块、网络流量模块、网络故障告警模块。通过网络管理系统多种模块的组合，实现对整网设备和安全性等各个方面进行全面的管理，有效地提高网络的安全可靠性。针对电子政务外网的部署现状，iMC主要功能亮点如下：1、全面的基础网络资源管理iMC可以对全网资源进行统一部署、管理和调配，除了能够有效的对H3C等各种主流厂商的路由器、交换机、安全、无线、语音等传统网络资源进行管理之外，还可以对存储、服务器、PC、UPS等设备类型进行管理，实现了故障、性能、拓扑、配置等管理内容，成为业务融合联动的基础。2、网络资源和用户的统一管理iMC在对网络设备进行管理的基础上，将网络用户一同纳入管理范畴，iMC可以支持LAN、WAN、WLAN、VPN等方式的用户认证接入，实现接入业务的统一、集中管理；同时支持智能卡、证书等强认证功能，支持多种方式的端点准入控制和基于身份的网络服务，实现用户与资源和业务的融合管理。3、政务外网MPLS VPN管理政务外网的建设随着承载业务的不断增加和对业务的安全性的要求，MPLS VPN成为实现上述功能不可缺少的技术手段。然而，MPLS VPN涉及技术多而复杂，增加了网络运营、部署、监控、维护等方面的难度。H3C公司的管理解决方案“MPLS VPN Manager”是基于H3C智能管理中心开发的，采用业界标准的SOA架构，提供融合的资源管理，重整业务流程，实现MPLS VPN业务整个生命周期(规划、部署、监视、审计、优化、重构)的全流程管理。主要完成如下的功能：l 对MPLS VPN网络业务进行规划、部署以及已有业务的自动还原。l 对MPLS VPN网络资源进行管理，提供对VPN网络的配置优化。l 对MPLS VPN网络性能进行监控和故障关联分析。l 对MPLS VPN网络配置进行变更审计。l 对MPLS VPN网络业务进行端到端的连通性测试。H3C公司的iMC网络管理中心秉承SOA开放式产品架构，实现了网络用户、网络资源和网络业务的统一管理，可以实现网络设备管理、拓扑自动发现、网络流量分析、网络用户管理及其安全审计、ACL管理、VLAN管理、MPLS VPN管理、EPON管理、无线管理等，是网络管理领域的一大飞跃，同时iMC提供开放式接口，使得政务网络的管理在二次开发方面成为可能。第4章 网络规划及总体设计4.1 网络结构设计及设备选型政务外网为南北双环网络架构，建设横向连接省直各厅局的局域网, 纵向连接全省17个地市政务外网的网络平台，该平台主要由以下部分组成：省直城域网：目前一建成省直城域网，实现100M光纤与省直大部分厅局的互联，支持相关政府部门的专网接入。政务外网广域骨干网：构建政务外网广域骨干网，实现省与17个地市的互联。（合肥市通过省直城域网接入）地市政务外网：全省17个市根据自身情况，按照统一标准规范，建设国家政务外网地市节点，实现和政务外网广域骨干网对接。省电子政务外网广域网组网图如下：本期工程主要建设城域网和广域网。4.1.1 地市城域网设计十七个地市分别在中心机房采用核心三层交换机以及接入路由器连接已建设完成互联网络。地市城域网设计要点1、电子政务外网仅考虑到延伸到地市核心机房2、分别部署一台核心交换机(PE功能）以及一台接入路由器（NAT以及PE功能），分别对新接入网用户以及已有联网用户的接入3、建议采用OSPF协议4、本地仅完成省政务外网的接入，不考虑互联网访问1、中心城域网核心三层交换机通过防火墙直接接入internet互联网2、 可以考虑增加一台出口路由器（互联网出口路由器），完成对59段地址的NAT转换，相应的在中心城域网三层交换机配置相应的路由访问策略3、地市互联网访问采用本地接入方式4、Internet访问外网公共服务器时，防火墙需进行一对一转换，执行静态NAT第5章 MPLS VPN设计5.1 MPLS/BGP VPN概述 MPLS（Multiprotocol Label Switching: 多协议标签交换）技术是在开放的通信网上利用定长标签进行数据高速传输和交换的网络新技术。MPLS技术将第二层交换和第三层的路由技术很好地结合起来，以十分简洁、高效的方式完成信息的传送。更为重要的是，MPLS使IP网络能提供传统IP网络不能或很难提供的各种增值服务，例如MPLS所提供的VPN服务、流量工程服务、IP QoS服务等。5.2 构建电子政务外网MPLS VPN的基本思路5.2.1 电子政务外网VPN方面的主要需求对电子政务外网而言，需要重点实现两个方面的需求：l安全隔离：要保证各业务系统逻辑网络的相对独立性，以满足不同业务系统对安全性、服务质量、管理、拓朴结构的要求；2受控互访：各业务系统之间的流程整合又需要提供相互访问的途径，而且要保证访问的安全性。5.2.2 电子政务外网MPLS VPN的主要特点MPLS/BGP VPN解决方案可以为XX省电子政务外网平台提供一种基于网络、易于管理、扩充性好、安全且具有QoS保障、可在任意节点间连接的VPN。1基于网络，易于管理。这种基于网络的VPN可以完全由骨干网络来实现，即网络用户（各应用系统）不用关心VPN是如何构造的，而是在网络平台内完成。2路由。需要在各PE节点之间建立IBGP全连接，以交换VPN-IPV4路由。3安全性。由于基于MPLS/BGP实现，报文在网络节点构成的MPLS域中采用标签转发的形式进行交换（LSP），因此具有同ATM/FR虚电路相同的安全级别。MPLS BGP VPN方案采用VRF实现VPN之间的路由隔离。通过MPLS LSP隧道将VPN流量完全隔离。4QOS。由于基于MPLS/BGP实现，可以利用MPLS COS机制，结合IP QOS机制，从而能够为VPN用户实现端到端的QOS服务。由于各业务系统的VPN流量通过不同的LSP隧道承载，可以方便的针对LSP实现MPLS的区别服务。通过IP TOS和MPLS COS域的映射，可以将边缘网络中定义的IP QOS级别继承到MPLS域中，实现端到端的QOS。5扩充性好。由于基于MPLS/BGP实现，因此很容易对网络节点进行扩充，网络可剪裁性好。在增加某个VPN的网点（Site）时，只需要配置该网点连接的PE路由器，不存在N平方问题。增加一项新业务系统时不会影响已有的业务，实现平滑扩展。MPLS VPN业务模型与网络规模及拓扑无关。5.2.3 电子政务外网MPLS VPN实施要点电子政务外网部署MPLS VPN要考虑以下几点：1、可靠性和稳定性目前MPLS VPN技术主要分成L3 MPLS VPN、L2 MPLS VPN（包括VPLS（虚拟私有局域网服务）两大类。其中L3 MPLS VPN技术发展较早，其核心部分已经标准化（RFC2547，RFC2547bits）,由于它的信令控制是通过多协议BGP来实现的，所以通常也叫做MPLS/BGP VPN，或BGP/MPLS VPN。MPLS/BGP VPN技术不仅已经广泛应用于电信运营商和ISP，而且也广泛应用于电力行业，政府行业（包括各省的政务内网和政务外网），金融行业，大型企业等行业用户。其技术和产品都较为成熟，稳定。所以XX省电子政务外网宜选用MPLS/BGP VPN作为主流的MPLS VPN技术。2、扩展性由于国家电子政务外网将每个省（含副省级）规划为单独的自治域（Autonomous System）。所以，要想实现各个部委的垂直纵向网从中央延伸到省、地市、区县，必需解决VPN跨自治域的问题。4、VPN业务的高QoS保证针对语音、视频、多媒体通信等实时性要求比较严格的业务，XX省电子政务外网的VPN服务能否提供类似专线一样的服务质量保证也是非常重要的，这就要求在整个网络中部署端到端的QOS。5、设备实现MPLS VPN的性能考虑前面只是考虑了MPLS VPN部署时的业务特性，而在一个实际的生产网络里。设备实现MPLS VPN的性能如何至关重要。6、可维护性和可管理性在电子政务外网中，由于行业的特点，政务外网服务提供商不仅要维护和管理PE设备，还要维护和管理CE设备。如何解决同时对PE和CE设备的管理是必需考虑的问题。对MPLS VPN的业务管理是日常管理中的重要内容。5.3 MPLS VPN网络基本设计5.3.1 MPLS VPN网络逻辑结构纵向VPN是指行业系统内部（例如国土、林业、环保等）从省到市到县的虚拟专网。纵向VPN的CE、PE、P设备的分布如下（如图所示）：5.3.2 MPLS VPN路由策略设计要点1、全网部署3层BGP/MPLS VPN，负责纵向行业网之间的互联2、 省核心出口同国家骨干网之间采用MP-EBGP方式进行跨域，完成各纵向网同国家部委的互通（目前仅规划，国家骨干网尚未开启MPLS VPN)3、省核心两台高端路由器配置为RR（路由反射器），负责PE之间的IBGP peer的建立，解决组网带来的full mesh问题4、各联网部门之间的横向访问可以采用RT的导入以及导出进行灵活的互访（本工程不考虑NAT-VRF，原因地址为信息中心统一规划的59网段，因此不会出现地址重叠的情况第6章 IP地址规划建议6.1 IP地址分配原则IP地址规划对于网络系统设计与配置、应用效率、可维护性和可扩展性等方面都有很大影响，因此合理的IP地址分配是网络设计的重要目标之一。IP地址分配有如下原则：l 唯一性：一个IP网络中不能有两个主机采用相同的IP地址。l 连续性：简化路由选择，充分利用地址空间，最大限度地实现地址连续性，并兼顾今后网络发展，便于业务管理。连续地址在层次结构网络中易于进行路由汇总（也称路由总结），大大缩减路由表，提高路由算法的效率。充分利用CIDR（无类域间路由）技术，减少路由表大小，加快路由收敛速度，同时减少网络中传播的路由公告信息，降低网络中用于传播路由信息的开销，避免局部网络故障引起整个网络上的路由算法进行再计算，提高网络的总体性能。l 可扩展性：充分考虑网络未来发展的需求，坚持统一规划、长远考虑、分片分块分配的原则。地址分配在每一层次上都要留有余量，在网络规模扩大时能保证地址空间汇总所需的连续性。l 规范性：严格按照IP地址分配原则进行IP地址的规划及项目实施。l 标准化和灵活性：充分利用标准化的无类别域间路由(CIDR)技术和可变长子网掩码(VLSM)技术，合理、高效、充分地使用IP地址空间。l 层次性：IP地址划分的层次性应体现出网络结构的层次性。l 可管理性：为便于网络设备的统一管理，分配一段独立的IP地址段做网络互连地址和loopback地址。6.2 电子政务外网平台IP地址规划要点本工程须分配的的IP地址类主要含设备标识地址、链路地址、广域网边界地址、网管地址、业务地址等。IP地址空间为国家分配给XX省政务网的B类地址段。下面结合XX省电子政务外网平台的业务和网络结构就该地址段给出网络的地址编码的建议。通过对XX省电子政务外网平台IP地址空间进行分配，实现最佳的网络内地址分配，从而达到最佳的业务流量分布。为了节省IP地址，网络系统的编址方案将利用CIDR和VLSM技术。IP地址分配工作要点如下：l 合理分配路由器、交换机的Loopback地址和管理地址；l 合理分配广域网链路互连地址：包括核心层和汇聚层路由器广域互联链路、接入和汇聚互联链路地址；l 合理分配广域和局域互连地址（PE和CE的链路地址），根据VPN划分的数量来确定，链路的数量基本和每个PE上连接VPN的数量一致。PE和CE的链路地址应根据VPN统一规划，每个VPN一段地址，方便管理；l 为了节省广域网网络带宽和节点处理资源，网络IP地址的分配须有效控制，把IP地址的分配和路由的规划一起考虑，便于地址更有效的汇聚；l 以路由协议的拓扑结构为IP地址规划参考的第一要素，即：按照协议的区域划分来规划IP地址段，保证在每个区域内的互联IP地址都可以聚合；l 网管地址统一规划，便于VPN地址的管理；l 充分考虑IP地址的预留问题，以保证网络的可扩充性。6.3 IP地址分配详细设计6.3.1 对于设备Loopback地址的分配各路由器的Loopback地址是一个重要的地址，在不同的方面都需要它的参与，这主要包括了以下的几种情况：l 路由器的Loopback地址，是保证内部路由协议的正常运行的重要条件；路由器的Loopback地址，是建立iBGP会话的主要参数的选择。l 选择Loopback地址作为iBGP会话建立的基础，对于会话的稳定性能够提供很好的支持。l 路由器的Loopback地址是MPLS协议分发标签的重要参照地址。综合这些方面，各路由器的Loopback地址，对于整个网络的正常运行，有着至关重要的作用，因而对于各个路由器的Loopback地址的分配和管理，应当采取统一的专有地址空间。通过为所有的路由器分配一个专有的地址空间，能够更为有效地进行路由器的路由配置和管理，以及方便今后的运行维护和故障定位。6.3.2 设备间链路地址的分配路由器（交换机）间链路的IP地址，从业务的相关性上，他们一般不具有全局的功能，而只是提供完成两个路由器之间的连接。因而从这个角度上讲，这部分的地址空间的分配应当考虑以下的方面：l 尽可能以分层次的方式为他们分配地址。l 由于链路地址空间不具有全局性，因而并不需要在全网范围内为每个链路保持精确路由。而采取分层次的地址分配方式，能够将链路地址逐级汇总，从而使得这些地址在各路由器的路由表中占有较少的空间。以降低对路由器的要求，并保证路由器的处理效率。l 提供足够的预留空间，以满足今后新增链路的需要。采用上面的分层次的链路地址分配结构，能够保证路由处理的高效性。而在实施的过程中，应当考虑到在根据业务需要新增链路的时候，这种分层次的结构尽量不会被打破。那么，就需要在初期分配的时候，考虑到不远的将来可能进行的扩容，从而进行相应的预留。互连链路地址采用30位掩码的分配方式。6.3.3 CE设备网管地址网管系统需要管理CE设备，但由于CE的上联PE的链路地址对全网并不是公开的，因此要单独在CE与PE的链路划分一个子网网段。6.3.4 IP地址初步划分如下目前，国家电子政务网统一采用中国电信地址，已申请的地址59.192.0.0- 59.255.255.255(/10)作为全网通信用地址，其中XX省分配的地址段为5920300/16。全省IP地址按照省地市区县的三层体系结构分配。省网地址包括省信息中心平台地址段，省厅局系统业务地址段。其中省信息中心平台地址段包括网络设备管理地址，互联地址和平台地址；地市地址网段分为地市管理中心平台地址，地市系统业务地址段和区县地址。具体分层结构如下表所示：地址类型分配IP地址范围备份IP地址范围地址数量省信息管理平台地址段省网络设备管理地址59.203.0.0/24使用1个C类地址省网网络设备互联地址59.203.1.0/2459.203.2.0/24使用1个C类地址，备份1个C类地址平台地址59.203.3.0/2459.203.6.0/2459.203.7.0/2459.203.10.0/24使用4个C类地址，备份4个C类地址省厅/局系统业务地址段59.203.11.0/2459.203.20.0/2459.203.21.0/2459.203.30.0/24使用10个C类地址（每个厅局16个IP），备份10个 C类地址地市地址段(已包含区县地址段)59.203.31.0/2459.203.132.0/2459.203.133.0/2459.203.234.0/24每个地市6个C，备份6个 C类地址，17个地市共分配204个C类地址应急地址段59.203.235.0/2459.203.254.0/24无共有20个C类地址应急5920300/16的地址总容量为256个C类地址段，考虑到业务信息量的飞速增长，本次IP地址划分在省厅采用1:1的分配方式，也就是使用地址数量备份地址数量1:1的分配方式，其中省经济信息管理中心平台地址段共分配4个C类地址段，同时保留4个C类地址段作为业务发展预留。省厅局系统每个厅局16个IP，共分配10个C类地址，同时预留10个C类地址段。在各地市地址分配中，每个地市6个C，备份6个 C，共分配204个C类地址段，是划分给各个地市自身业务使用。应急地址段有20个C类地址段的地址容量，主要为全省地市数量增加做好预留。由于各地市区县数量差别比较大，各个地市地址网段的具体分配原则上由各个地市的信息管理中心自行处理，地址结构可以参考省网地址的分配方式。第7章 路由协议设计7.1 总体路由规划在本期工程中，我们建议的路由协议类型就是：骨干层MP-BGPOSPF、PE与CE互联采用静态、直连路由。这样对整个网络中的设备要求不是太高，并且很好的实现了MPLS-VPN。7.2 BGP协议规划l AS号采用私有的AS号，由于暂时没有合法AS号码，建议使用私有AS号码64512作为骨干网BGP协议的AS号。l 路由反射器骨干的路由器运行在同一个BGP的AS中，按照BGP协议的要求，所有这些路由器必须保证是全连通的，即：任意两台路由器之间都必须配置邻居关系。这样会导致N平方问题，为了解决这个问题，必须使用BGP反射器技术。路由反射器RR路由反射器客户端省中心核心一全省17个地市17台地市核心省中心核心二全省17个地市17台地市核心其中：两台RR之间配置普通邻居关系，配置中的cluster ID使用两台RR中主用的路由器的router id。政务网BGP协议路由反射器示意图如下：l 路由的引入在各地市的PE设备上，BGP的 vpnv4地址族中，不需要引入其他路由协议；BGP的IPV4地址族中，引入本VPN的直连和静态路由。7.3 IGP协议规划在本工程中，采用OSPF作为核心层、汇聚层和接入层网络的内部IGP路由协议。采用OSPF作为IGP，构建全广域网路由。OSPF是一种收敛迅速、消耗系统资源较少的高效的链路状态路由协议，在很多大型的骨干网的环境中得到了成功的应用。l 路由的引入在各地市的PE设备上，通过Network 命令将PE设备的loopback地址和互连端口地址引入到OSPF协议中去。为了便于控制路由的规模，不采用import-route 命令引入静态或其他协议的路由。7.4 MPLS VPN静态、直联路由规划部分的CE（接入层）采用二层交换机，这样直接在PE上配置各业务的直连网段。部分的CE采用三层交换机（核心层和汇聚层），这样就在PE和CE之间运行静态路由。在PE上配置网段为本地，下一跳指向CE的静态路由，然后引入到MP-BGP中，发布到其他地市；同时，在CE上配置目的网段为其他地市，下一跳为PE的静态路由。第8章 智能网络管理系统平台本次拟建设的网络管理作用已经不简单的完成互连互通的管理，应能对通信、计算、应用、存储、监控等各类业务应用和网络的融合，促使网络成为承载企业核心业务的平台，网络运行的安全、稳定、高效直接决定企业核心业务能否顺利开展。8.1 智能管理中心总体建设思想拟建设的网络管理系统应以开放的技术路线和融合管理用户、资源和业务三大网络要素的理念为基础，应可以包括如下流程 业务流程（Business Process）目前主流的网络管理产品往往提供给的是面向故障、性能、安全、配置等一个个割裂内容的工具软件，通过建设融合、贯穿各类工具软件，提供直接面向客户需求的业务流程（Business Process），由流程来指导管理工作的开展。 用户、资源和业务的融合管理用户、资源和业务是构成客户IT环境的三个要素，智能管理中心应字管理资源（网络设备、存储设备、服务器等）和业务的基础上，更融入了对用户的管理，直接从用户对资源使用以满足业务需求的角度出发。 基于SOA的开放架构电子政务的应用系统的发展趋势是SOA（面向业务的架构），通过SOA的部署，可大大提升政府系统工作效率，基于SOA开放的技术架构应采用Web Services技术框架，通过松耦合、分布式、易扩展的开放管理平台，提升业务融合能力；以资源虚拟化屏蔽底层设备差异，通过面向服务的接口和调度框架，实现了功能组件化、标准化，使业务流程的再造得以落实。8.2 具体实现需求规划8.2.1 基础资源管理基于全网资源的统一部署、管理和调配，包括对路由器、交换机、安全、语音、存储等设备资源，以及ACL/VLAN等网络配置资源和桌面等终端资源，为业务融合、资源调度提供必要手段。 设备和用户的统一分组管理Ø 对设备资源和用户进行分组管理，系统管理员方便的分配其他管理员的管理权限，便于职责分离。Ø 可以设置每个用户分组所对应的接入业务服务名，在给用户配置服务的时候，只有归属于这个服务所属的用户组的用户，才能配置该服务。 设备资源管理能力Ø 自动发现和手工添加方式增加网络设备资源；自动发现支持多种方式，除了简易的种子发现方式外，还支持路由方式、ARP方式、IPSec VPN方式、网段方式发现网络设备。Ø 设备面板管理，所见即所得的显示设备的资产组成和运行状态。 针对每种业务都具有不同的管理动作，在集中化用户管理的同时提供高度的业务管理灵活性Ø 提供独立于业务的用户管理动作，做到用户基本信息的集中化管理，减轻操作员维护量。8.2.2 身份与接入管理支持多种认证接入方式，实现接入业务的统一、集中管理；支持智能卡、证书等强认证功能，支持多种方式的端点准入控制和基于身份的网络服务，实现用户与资源和业务的融合管理。 多种接入及认证方式，适合多种接入组网场景及应用场景Ø 支持802.1x、VPN接入等多种认证接入方式。Ø 支持用户与设备IP地址、接入端口、VLAN、用户IP地址和MAC地址等硬件信息的绑定认证，增强用户认证的安全性，防止帐号盗用和非法接入。Ø 支持与Windows域管理器、第三方邮件系统（必须支持LDAP协议）的统一认证，避免用户记忆多个用户名和密码。 严格的权限控制手段，强化用户接入控制管理Ø 基于用户的权限控制策略，可以为不同用户定制不同网络访问权限。Ø 可以控制用户的上网带宽（QoS；802.1x认证支持）、限制用户同时在线数、禁止用户设置和使用代理服务器，有效防止个别用户对网络资源的过度占用。Ø 可以实现对用户ACL、VLAN的控制，限制用户对内部敏感服务器和外部非法网站的访问（802.1x认证支持）。Ø 可以限制用户IP地址分配策略，防止IP地址盗用和冲突。Ø 可以限制用户的接入时段和接入区域，用户只能在允许的时间和地点上网。Ø 可以限制终端用户使用多网卡和拨号网络，防止内部信息泄露。 详尽的用户监控，强化对终端用户的监视控制Ø 接入业务组件提供强大的“黑名单”管理，可以将恶意猜测密码的用户加入黑名单，并可按MAC、IP地址跟踪非法行为的来源。Ø 管理员可以实时监控在线用户，强制非法用户下线。Ø 支持消息下发，管理员可以向上网用户发布通知消息，如“系统升级，网络将在10分中后切断”、“您的密码遭恶意试探，请注意保护密码安全”等。Ø iMC接入业务组件记录认证失败日志，便于方便定位用户无法认证通过的原因。 集中方便的接入业务用户管理，简化管理员维护操作Ø 基于服务的用户分类管理，用户的认证绑定策略、安全策略、访问权限均封装于服务中，简化管理员的操作，保证网络管理模式的统一。Ø 接入用户相关的管理动作集中化，界面对操作员来说更友好、更美观易用。 业务及运行环境参数调整，适应不同的运行及应用环境Ø 系统参数配置，提供业务相关的常用参数信息配置功能。Ø 策略服务器参数配置，提供策略服务器及安全管理相关的参数信息配置功能。Ø 运行参数配置，提供系统运行环境相关的路径、数据库属性等基本信息的能。Ø 用户提示信息配置，提供给用户的相关提示信息配置功能。Ø 客户端自动运行任务配置，提供配置客户端认证后自动运行相关程序的配能。Ø 用户密码控制策略配置，提供配置用户密码的控制策略配置功能。8.2.3 端点安全准入管理在身份接入基础上，支持终端安全准入控制，支持安全状态评估、网络中安全威胁定位、安全事件感知及保护措施执行等，预防因未打补丁、病毒泛滥、ARP攻击、异常流量、非法软件安装和运行等因素带来的安全威胁，并可根据终端的安全状态实现终端下线、隔离、提醒、监控等多种控制策略。从端点接入上保证每一个接入网络的终端的安全，从而保证网络安全。严格的身份认证除基于用户名和密码的身份认证外，EAD还支持身份与接入终端的MAC地址、IP地址、所在VLAN、接入设备IP、接入设备端口号等信息进行绑定，支持智能卡、数字证书认证，增强身份认证的安全性。完备的安全状态评估根据管理员配置的安全策略，用户可以进行的安全认证检查包括终端病毒库版本检查、终端补丁检查、终端安装的应用软件检查、是否有代理、拨号配置等；为了更好的满足客户的需求，EAD客户端支持和微软SMS、LANDesk、BigFix等业界桌面安全产品的配合使用，支持和瑞星、江民、金山、Symantec、MacAfee、Trend Micro、Ahn等国内外主流病毒厂商联动。例如EAD可充分利用微软成熟的桌面管理工具，由SMS实现各种Windows环境下用户的桌面管理需求：资产管理、补丁管理、软件分发和安装等。基于角色的网络授权在用户终端通过病毒、补丁等安全信息检查后，EAD可基于终端用户的角色，向安全联动设备下发事先配置的接入控制策略，按照用户角色权限规范用户的网络使用行为。终端用户的所属VLAN、ACL访问策略、是否禁止使用代理、是否禁止使用双网卡等安全措施均可由管理员统一配置实施。扩展开放的解决方案EAD解决方案为客户提供了一个扩展、开放的结构框架，最大限度的保护了用户已有的投资。EAD广泛、深入的和国内外防病毒、操作系统、桌面安全等厂商展开合作，融合各家所长；EAD与第三方认证服务器、安全联动设备等之间的交互基于标准、开放的协议架构和规范，易于互联互通。灵活方便的部署方式EAD方案部署灵活，维护方便。EAD按照网络管理员配置的安全策略区别对待不同身份的用户，定制不同的安全检查和处理模式，包括监控模式、提醒模式、隔离模式和下线模式；此外，EAD还支持灵活的旧网改造方案和客户端静默安装等特性。8.2.4 MPLS VPN管理根据电子政务外网规划情况，实现网络资源与MPLS VPN业务的统一管理，包括MPLS VPN业务部署、业务监控、业务审计等内容，为客户提供了端到端的全流程业务管理功能。l 端到端的MPLS VPN业务管理Ø 与基础网管功能无缝融合：提供对传统网络和BGP/MPLS VPN网络的集中管理和信息联动，免除用户部署多套网管软件的需要。同时，集中管理也降低了硬件开支和维护人员成本。Ø VPN网络配置审计：比较原有VPN网络与当前设备运行的VPN网络配置是否一致，若发现不一致，则将发送告警提示操作人员，并在拓扑图上提示审计不一致。通过查看配置审计的结果，能够准确的找到VPN链路配置的变化情况。Ø VPN网络的自动发现：对已经运行的MPLS VPN网络提供自动发现功能，将现有的VPN网络展现到MPLS VPN Manager中，进行统一的管理和监控。Ø 支持分层PE的业务管理：能够对分层PE智能识别，不需要用户介入就能够区分分层PE之间的各个角色。Ø 支持VMCE的业务管理：通过对PE子接口绑定VRF，利用VMCE实现同一个PE物理接口连接多个CE设备，从而增加接入容量，减少网络建设成本。Ø 支持管理VPN过滤：管理VPN是为了管理CE设备创建的特殊VPN。VPN Manager提供对管理VPN的过滤，避免其对正常业务VPN造成的影响。Ø 提供多种拓扑视图：BGP/MPLS VPN的全网网络拓扑（全部PE-CE之间的连接关系）、VPN接入视图（有选择的PE-CE之间的连接关系）、VPN业务视图（CE-CE之间的连接关系）。VPN接入视图Ø 支持在VPN接入视图和业务视图中的故障显示（包括配置变更，连通性变更等）。l 智能的故障管理通过分析告警的来源与性质，诊断出受影响的VPN业务，并与拓扑视图紧密集成，实时显示在相应的VPN和设备图标上。Ø 灵活的告警监视界面。通过对告警定制查询条件，可方便的查找指定类型的告警。Ø 支持业务告警级别的重定义。用户可以按照自己的实际维护经验重新设置严重级别、维护经验以及告警触发的动作等告警信息。Ø 丰富的告警过滤规则。支持重复事件过滤、未知事件过滤、未管理设备告警过滤、事件防冲击过滤规则以及用户自定义的告警过滤规则。Ø 多样化的告警转发功能。可以通过Email、移动电话、目的地转发等方式将告警及时通知用户。告警转发设置l 直观、易用的性能管理Ø 支持对设备的性能指标监控：包括CPU利用率、内存利用率、设备响应时间、IP报文流量等。Ø 支持对接口的性能指标监控：包括