市電子政務網(wǎng)技術策劃方案書

XX市電子政務網(wǎng)絡調(diào)整和完善第一次設備采購項目技術方案書YYYYYYY集團有限公司2006-6

方案優(yōu)勢YYYYYYY集團有限公司具有強大的技術力量和服務力量國家信息產(chǎn)業(yè)部計算機信息系統(tǒng)集成一級資質(zhì)企業(yè)信用等級AAA級涉及國家秘密的計算機信息系統(tǒng)集成資質(zhì)（甲級）通過ISO9001:2000質(zhì)量治理體系認證YYYYYYY集團有限公司具有豐富的MPLSVPN實施經(jīng)驗和電子政務網(wǎng)的建設經(jīng)驗浙江省公安廳二級網(wǎng)MPLSVPN實施河南網(wǎng)通寬帶IP網(wǎng)MPLSVPN實施河南網(wǎng)通DCN網(wǎng)MPLSVPN實施浙江網(wǎng)省電子政務MPLSVPN實施江西省電子政務網(wǎng)MPLSVPN實施CISCO公司產(chǎn)品和技術優(yōu)勢行業(yè)標準的制定者和新技術的推進者業(yè)界最佳的產(chǎn)品穩(wěn)定性優(yōu)秀的組播VPN實現(xiàn)技術MPLSTE技術CISCO特有的業(yè)務分類技術MPLSDS-TE二層MPLSVPN技術

目錄1 綜述 42 電子政務網(wǎng)絡背景及現(xiàn)狀 63 電子政務網(wǎng)絡建設目標及原則 84 電子政務網(wǎng)絡需求分析 94.1 政務內(nèi)網(wǎng)需求分析 94.2 政務外網(wǎng)需求分析 94.2.1 電子政務外網(wǎng)建設目標 94.2.2 電子政務外網(wǎng)建設需求 104.2.3 電子政務外網(wǎng)建設規(guī)劃 124.3 市政務內(nèi)網(wǎng)和市政務外網(wǎng)的聯(lián)網(wǎng)單位 174.4 現(xiàn)狀分析 185 電子政務網(wǎng)絡總體架構 205.1 基礎網(wǎng)絡總體架構 205.1.1 市電子政務內(nèi)網(wǎng)網(wǎng)絡拓撲 205.1.2 市電子政務外網(wǎng)網(wǎng)絡拓撲 205.2 MPLSVPN技術優(yōu)勢 215.2.1 MPLS技術 215.2.2 MPLS支持的路由協(xié)議 215.3 快威實施MPLSVPN技術的優(yōu)勢 266 XX電子政務網(wǎng)解決方案 276.1 網(wǎng)絡建設原則 276.2 設計要求 306.2.1 可靠性和自愈能力 306.2.2 擁塞操縱與服務質(zhì)量保障 316.2.3 網(wǎng)絡的擴展能力 326.2.4 網(wǎng)絡治理與安全體系 326.3 XX市電子政務內(nèi)網(wǎng)建設方案 336.3.1 網(wǎng)絡拓撲 336.3.2 網(wǎng)絡平臺設計 346.3.3 設備選型和配置講明 346.4 XX市電子政務外網(wǎng)建設方案 366.4.1 .網(wǎng)絡拓撲 366.4.2 網(wǎng)絡平臺設計 376.4.3 設備選型和配置講明 416.5 機房分布及單位覆蓋 436.6 光纜距離路由表 446.7 Internet聯(lián)網(wǎng) 456.7.1 網(wǎng)絡拓撲 466.7.2 Internet網(wǎng)絡設計 466.8 網(wǎng)絡各節(jié)點的接入方式 476.8.1 市政務內(nèi)網(wǎng)的接入 476.8.2 市政務外網(wǎng)的接入 486.8.3 各委（辦、局）的政務外網(wǎng)接入方式。 506.8.4 各縣（市、區(qū)）的政務外網(wǎng)接入方式。 516.9 IP地址規(guī)劃 526.9.1 市政務內(nèi)網(wǎng) 526.9.2 市政務外網(wǎng) 526.9.3 承載網(wǎng)設備地址規(guī)劃 526.9.4 互聯(lián)設備IP地址VPN1（PE-CE）規(guī)劃 536.9.5 互聯(lián)設備IP地址VPN2（PE-CE）規(guī)劃 536.9.6 公眾服務專網(wǎng)分配原則 546.9.7 資源共享專網(wǎng)分配原則 546.9.8 部門業(yè)務專網(wǎng)地址規(guī)劃 546.9.9 公網(wǎng)IP地址申請 546.10 域名規(guī)劃 546.10.1 政務內(nèi)網(wǎng)域名規(guī)劃 546.10.2 政務外網(wǎng)域名規(guī)劃 567 資源規(guī)劃 597.1 路由規(guī)劃 597.1.1 市電子政務內(nèi)網(wǎng)路由協(xié)議 597.1.2 市電子政務外網(wǎng)路由協(xié)議 597.1.3 市電子政務外網(wǎng)MPLSVPN部署 637.1.4 不同自治域MPLSVPN的互通 637.2 MPLSVPN各專網(wǎng)的規(guī)劃 657.2.1 VPN路由轉(zhuǎn)發(fā)表 657.2.2 RD/RT命名 667.3 設備命名規(guī)則 678 網(wǎng)絡安全設計 698.1 物理環(huán)境的安全性 698.2 網(wǎng)絡的安全性 698.3 網(wǎng)絡攻擊的防護手段 718.4 治理的安全性 738.5 網(wǎng)絡調(diào)優(yōu) 748.5.1 IGP路由優(yōu)化 748.5.2 BGP路由優(yōu)化 748.5.3 流量優(yōu)化 748.5.4 MPLS-VPN優(yōu)化 758.6 設備安全優(yōu)化 768.6.1 遠程登錄telnet的操縱 768.6.2 通過SSH登陸到CISCO設備 768.6.3 網(wǎng)管SNMP的安全性 768.6.4 console的操縱 778.6.5 關閉不需要的服務 778.6.6 Spantree的優(yōu)化 788.6.7 設備“廣播風暴”的抑制 78綜述特不榮幸能有機會參與XX市電子政務網(wǎng)絡系統(tǒng)建設項目的投標活動，感謝XX網(wǎng)通和XX市政府給予我公司的機會。在此衷心希望我公司的綜合能力能夠滿足XX市電子政務網(wǎng)絡建設的需求，并希望能夠與XX網(wǎng)通和XX市政府信息中心一起將先進技術綜合并付諸實現(xiàn)，確保項目的成功實施。本項目包括軟硬件平臺的設計、安裝、調(diào)試、試運行，我公司提供以上服務外，還提供設備初驗后3年的設備保修。關于所涉及的硬、軟件平臺的架構已在技術方案相關章節(jié)中詳細闡述。所設計的技術方案能滿足本系統(tǒng)運行的需求。我們期待在本項目中，通過與甲方和各相關公司的緊密配合，在相關設備原廠商對本項目的直接支持下，充分發(fā)揮公司的系統(tǒng)集成實力和本地支持優(yōu)勢：1.公司優(yōu)勢：本公司是以計算機行業(yè)應用軟件開發(fā)和應用系統(tǒng)集成為要緊進展方向的高科技企業(yè)。在多年的集成實踐中積存了豐富的集成經(jīng)驗，同時有著雄厚的經(jīng)濟實力，獲得國家信息產(chǎn)業(yè)部計算機信息系統(tǒng)集成一級資質(zhì)，企業(yè)信用等級AAA級，涉及國家秘密的計算機信息系統(tǒng)集成資質(zhì)（甲級），通過ISO9001:2000質(zhì)量治理體系認證，自1992年公司創(chuàng)辦至今歷年的公司業(yè)績均呈上升態(tài)勢，能夠為用戶提供長期穩(wěn)定的技術支持，為本項目的實施提供了可靠的保障。2.經(jīng)驗優(yōu)勢：本公司成功實施過多個大型電子政務系統(tǒng)的網(wǎng)絡平臺，包括浙江省電子政務網(wǎng)、江西省電子政務網(wǎng)、云南省電子政務網(wǎng)等，具備大型省級電子政務網(wǎng)方面的實施經(jīng)驗，并以良好的維護服務獲得用戶的好評。3.本地優(yōu)勢：本公司總部設在XX，使我公司人員能夠及時到達甲方現(xiàn)場，可提供最快的服務響應時刻。4.資源優(yōu)勢：本公司是Cisco公司金牌代理集成商（全球金牌合作伙伴），IBM公司區(qū)域戰(zhàn)略聯(lián)盟、EMC公司的合作伙伴、公司擁20名以上的通過認證的CCIE工程師，及其它四十幾名不同級不的認證工程師。公司先后建立了技術支持中心、實驗室、設備備件庫。按照質(zhì)量治理體系規(guī)范標準建立了一套科學的計算機系統(tǒng)設計、實施、技術支持及服務的操作流程。上述這些豐富的技術和服務資源能夠為本項目成功的實施和運行維護上提供可靠的保障。5.服務優(yōu)勢：本公司以戰(zhàn)略的高度重視客戶對服務的不同需要和中意度。因此開發(fā)一系列符合客戶需要的服務。這些服務能完整地支持客戶系統(tǒng)的整個生命周期，包括：供貨及保修服務、項目實施及升級服務、系統(tǒng)維護服務、培訓服務、技術咨詢服務。6.MPLSVPN實施優(yōu)勢：本公司始終認為：關于任何一個項目，從方案的設計到項目的實施，整個項目獲得成功的關鍵確實是有關各方的相互交流和溝通。這種交流和溝通將始終貫穿于整個項目的執(zhí)行過程當中，其中包括集成商、設備廠商在內(nèi)的各有關方面的交流。本方案集中我公司的上述優(yōu)勢，針對貴方的招標要求進行了系統(tǒng)、詳細的設計，提供了完整的技術解決方案。我們堅信：“只有客戶項目的成功才有我們的事業(yè)進展”。此次遞交技術方案是希望能夠有機會與XX網(wǎng)通和XX市政府合作，共同建設好XX市電子政務網(wǎng)絡項目。電子政務網(wǎng)絡背景及現(xiàn)狀隨著全球信息化的進展和我國信息化進程的加快，政府信息化作為國家信息化的龍頭，在提高政府行政質(zhì)量和效率以及科學決策及宏觀調(diào)控能力上初顯威力，電子政務已成為各級政府推動行政創(chuàng)新、政務公開等方面的具體舉措，建立電子政府，推動電子政務的進展，已成為一種世界性的潮流和趨勢。2002年中央辦公廳、國務院辦公廳下發(fā)了《國家信息化領導小組關于我國電子政務建設指導意見》（中辦發(fā)[2002]17號），明確規(guī)定了國家統(tǒng)一電子政務平臺分為政務外網(wǎng)和政務內(nèi)網(wǎng)。2003年中央辦公廳、國務院辦公廳又下發(fā)了《國家信息化領導小組關于加強信息安全保障工作的意見》（中辦發(fā)[2003]27號）。國家電子政務外網(wǎng)一期工程第一時期的建設任務打算到2005年年底也將完成。2003年，依照中辦17號文件精神，浙江省人民政府辦公廳下發(fā)了《關于建設省電子政務網(wǎng)絡平臺的通知》(浙政辦函〔2003〕88號)，成為浙江省建設電子政務統(tǒng)一網(wǎng)絡平臺的指導性文件。2005年10月浙江省人民政府辦公廳又下發(fā)了《關于印發(fā)浙江省電子政務網(wǎng)絡技術規(guī)范的通知》(浙政辦發(fā)〔2005〕95號)，成為浙江省各地市建設電子政務網(wǎng)絡平臺的指導性文件。XX市電子政務內(nèi)網(wǎng)目前僅是局域網(wǎng)范疇，聯(lián)網(wǎng)范圍局限在市政府辦公廳少數(shù)業(yè)務處室，向上通過專線和省政務內(nèi)網(wǎng)互聯(lián)互通。1997年，依照“兩辦”《關于建立XX市黨政機關計算機通信網(wǎng)》（市委辦〔1996〕81號）要求，市政府辦公廳組建了涵蓋市級各單位和各區(qū)、縣（市）黨委、政府的XX市黨政機關計算機通信網(wǎng)，并于2001年完成了通訊方式由電話撥號向?qū)拵ЬW(wǎng)絡的過渡（要緊是利用運營商的VPN）。2003年，依照《浙江省人民政府辦公廳關于建設省電子政務網(wǎng)絡平臺的通知》(浙政辦函〔2003〕88號)精神,市政府辦公廳對XX市黨政機關計算機通信網(wǎng)按照政務外網(wǎng)的要求進行了升級改造,重新架構了XX市電子政務外網(wǎng)平臺。2004年，為了充分發(fā)揮XX市電子政務網(wǎng)絡平臺的作用,實現(xiàn)政府各部門的網(wǎng)絡互連互通和信息資源共享,幸免重復建設,市政府辦公廳下發(fā)了《關于統(tǒng)一全市電子政務網(wǎng)絡平臺的通知》（杭政辦函〔2004〕26號），要求市政府各部門、各直屬單位面向社會的專業(yè)性服務業(yè)務和不需在政務內(nèi)網(wǎng)上運行的業(yè)務系統(tǒng)必須統(tǒng)一運行在市政務外網(wǎng)上。目前，市政務外網(wǎng)聯(lián)接市級各部門和區(qū)、縣（市）約180家單位，按照市政府辦公廳的要求，已有市黨政機關辦公業(yè)務資源系統(tǒng)、12345交辦反饋系統(tǒng)、工商前置并聯(lián)審批系統(tǒng)、會計集中結算系統(tǒng)、市投資項目審批綜合信息系統(tǒng)等多個業(yè)務應用運行在統(tǒng)一的政務外網(wǎng)上。另外，市政務外網(wǎng)通過聯(lián)接6個主城區(qū)的通信線路，差不多實現(xiàn)與城區(qū)街道、社區(qū)的聯(lián)網(wǎng)，如市民政局的“XX市幫扶救助治理信息系統(tǒng)”差不多利用市政務外網(wǎng)部署到了所有社區(qū)。2005年，依照《XX市電子政務建設實施綱要（2005年-2006年）》（以杭政函〔2005〕69號下發(fā)）的要求，市政府辦公廳正在牽頭組織完善XX市電子政務網(wǎng)絡平臺。然而，隨著各部門信息化建設的深入開展，各部門各自為政、網(wǎng)絡重復建設的問題也日趨凸現(xiàn)，據(jù)2004年底的不完全統(tǒng)計，全市各部門共有31張各類專網(wǎng)、1400余個接入點，重復建設、網(wǎng)絡不能互聯(lián)互通、信息資源不能共享的矛盾依舊比較突出；另外，政務內(nèi)網(wǎng)也迫切需要按照國家和省政府的要求做進一步擴展深伸。電子政務網(wǎng)絡建設目標及原則依照《浙江省人民政府辦公廳關于建設省電子政務網(wǎng)絡平臺的通知》（浙政辦函〔2003〕88號）和《浙江省電子政務網(wǎng)絡技術規(guī)范》的要求。確定XX市政府電子政務網(wǎng)絡平臺的總體建設目標是：一是建成符合國家保密要求的安全電子政務網(wǎng)絡外網(wǎng)平臺，連接市、區(qū)(縣、市)二級黨委、人大、政府、政協(xié)、檢察、法院職能部門系統(tǒng)，以及因工作需要接入的企事業(yè)單位；該網(wǎng)絡平臺支持數(shù)據(jù)、語音和視頻業(yè)務，傳輸性能滿足業(yè)務需求，具備網(wǎng)絡治理和信息交換等各項功能，實現(xiàn)跨部門、跨地區(qū)的業(yè)務互聯(lián)。二是按照國家、省對電子政務內(nèi)網(wǎng)的要求，并結合XX實際建設符合國家保密要求的安全電子政務網(wǎng)絡內(nèi)網(wǎng)平臺。三是將運行在原市電子政務外網(wǎng)平臺和各類其它網(wǎng)絡平臺上的業(yè)務分不遷移到市電子政務內(nèi)、外網(wǎng)平臺上。市電子政務網(wǎng)絡設計遵循以下原則：有用性。保證網(wǎng)絡結構和網(wǎng)絡運行的穩(wěn)定性，幸免純技術、純理論化的設計。標準性。采納國家電子政務網(wǎng)絡建設的標準，保障網(wǎng)絡的互連互通。擴展性。適應電子政務應用需求，具有靈活的擴展能力?？芍卫硇浴Ｒ子谥卫?、維護，明確網(wǎng)絡分級治理與維護的責任。電子政務網(wǎng)絡需求分析政務內(nèi)網(wǎng)需求分析XX市政務內(nèi)網(wǎng)應能滿足市和縣（市、區(qū)）二級黨委、人大、政府、政協(xié)及應需接入的單位傳送涉密電子公文、傳送不適合通過政務外網(wǎng)傳輸?shù)男畔ⅰＴ谶B續(xù)“小內(nèi)網(wǎng)、大外網(wǎng)”的思路的前提下，依照省政府辦公廳要求，適當拓展政務內(nèi)網(wǎng)接入范圍，擬將政務內(nèi)網(wǎng)接入延伸到各區(qū)、縣（市）。市級各部門結合實際應用，按需接入。政務內(nèi)網(wǎng)要求配備核心密碼設備或一般密碼設備以滿足國家保密要求。政務外網(wǎng)需求分析XX市政務外網(wǎng)是XX市政府部門的業(yè)務專網(wǎng)和資源共享專網(wǎng)，凡不需要在政務內(nèi)網(wǎng)上運行的業(yè)務系統(tǒng)可接入政務外網(wǎng)；政務外網(wǎng)同時對因特網(wǎng)公眾提供服務。在政務外網(wǎng)上采納上MPLS（多協(xié)議標簽交換）技術，提供VPN（虛擬專用網(wǎng)）服務。政務外網(wǎng)具有兩個差不多虛擬專網(wǎng)，即資源共享專網(wǎng)和公眾服務專網(wǎng)；此外，有VPN組網(wǎng)需求的單位能夠申請開通本系統(tǒng)的縱向業(yè)務專網(wǎng)，跨部門業(yè)務應用牽頭部門也能夠申請開通跨部門的橫向業(yè)務專網(wǎng)。資源共享專網(wǎng)是各單位實現(xiàn)信息共享與交換的網(wǎng)絡，不同意因特網(wǎng)公眾訪問。公眾服務專網(wǎng)對因特網(wǎng)公眾提供服務，放置門戶網(wǎng)站和郵件等服務器，通過網(wǎng)絡安全系統(tǒng)與因特網(wǎng)邏輯相連，同意因特網(wǎng)主動訪問公眾服務專網(wǎng)的服務資源，一般不同意公眾服務專網(wǎng)訪問因特網(wǎng)。部門業(yè)務專網(wǎng)是各單位在政務外網(wǎng)上利用MPLSVPN技術，連接本系統(tǒng)內(nèi)部省、市、縣（市、區(qū)）相關部門的縱向業(yè)務網(wǎng)絡或者連接跨部門應用的橫向數(shù)據(jù)交換網(wǎng)絡。電子政務外網(wǎng)建設目標依照《浙江省人民政府辦公廳關于建設省電子政務網(wǎng)絡平臺的通知》（浙政辦函〔2003〕88號）和《浙江省人們政府辦公廳關于印發(fā)浙江省電子政務網(wǎng)絡技術規(guī)范的通知》(浙政辦發(fā)〔2005〕95號)的要求。確定XX市電子政務網(wǎng)絡平臺的建設要緊目標包括：建成符合國家保密要求的安全電子政務網(wǎng)絡外網(wǎng)平臺，連接市、縣(市、區(qū))二級黨委、人大、政府、政協(xié)、檢察、法院職能部門系統(tǒng)，以及因工作需要接入的企事業(yè)單位；該網(wǎng)絡平臺支持數(shù)據(jù)、語音和視頻業(yè)務，傳輸性能滿足業(yè)務需求，具備網(wǎng)絡治理和信息交換等各項功能，實現(xiàn)跨部門、跨地區(qū)的業(yè)務互聯(lián)。2．建立市政務外網(wǎng)移動辦公系統(tǒng)。3．保證現(xiàn)有設備和投資的充分利用。電子政務外網(wǎng)建設需求業(yè)務需求政務外網(wǎng)應滿足業(yè)務應用系統(tǒng)需求，如網(wǎng)絡視頻會議系統(tǒng)、IP語音電話系統(tǒng)、應急聯(lián)動系統(tǒng)、網(wǎng)上聯(lián)合審批系統(tǒng)、辦公業(yè)務系統(tǒng)、政務公開系統(tǒng)、電子郵件系統(tǒng)、信息采集和公布系統(tǒng)、黨政機關門戶網(wǎng)站、建議提案系統(tǒng)、公眾選舉系統(tǒng)、政策法規(guī)查詢系統(tǒng)以及各個部門的應用系統(tǒng)等。隨著網(wǎng)絡建設和應用的開展，市黨政機關還會有新的業(yè)務系統(tǒng)融入到政務外網(wǎng)中。.功能需求XX市電子政務外網(wǎng)應提供如下的功能：公眾服務功能XX市電子政務外網(wǎng)建設的全然目的是為了提高行政效率，降低行政成本，改進政府治理，更好的為人民群眾服務。XX市電子政務外網(wǎng)將黨政機關各部門緊密聯(lián)系在一起，實現(xiàn)網(wǎng)上聯(lián)合辦公，為實現(xiàn)高效、自動的政府辦公環(huán)境、建設電子公務大廳系統(tǒng)提供了強有力的保障。XX市電子政務外網(wǎng)是黨政機關提供公共服務的窗口，是社會各級企事業(yè)單位、寬敞用戶與政府溝通的橋梁，它將政府和人民群眾緊密結合在一起。應當采取多種接入方式方便社會公眾服務，為公眾提供更廣泛便捷的信息服務。網(wǎng)絡互聯(lián)互通功能XX市電子政務外網(wǎng)的應用分布在各級黨政機關，同時，全市各級黨政機關局域網(wǎng)和業(yè)務專網(wǎng)的建設是在一個較長時期內(nèi)按照各自的規(guī)劃、建設目標、功能需求、投資強度和技術現(xiàn)狀等因素分時期逐步實現(xiàn)的。如此就造成了條塊分割，網(wǎng)絡不能互聯(lián)互通，資源不能共享等問題。為實現(xiàn)政務外網(wǎng)作為一個整體來提供服務，在全市政務外網(wǎng)建設中，迫切需要網(wǎng)絡系統(tǒng)、數(shù)據(jù)庫系統(tǒng)和應用系統(tǒng)的互聯(lián)互通。信息共享功能在我市各級黨政機關的業(yè)務應用系統(tǒng)建設中，由于缺乏統(tǒng)一規(guī)劃，所建縱向網(wǎng)絡和應用系統(tǒng)大差不多上以行政系統(tǒng)為背景和依托的，各部門按照各自的規(guī)范、標準、需求構建不同的業(yè)務應用系統(tǒng)。各應用系統(tǒng)中信息的種類和數(shù)據(jù)存儲格式差異專門大，內(nèi)部之間和各應用系統(tǒng)之間信息共享程度低。XX市電子政務外網(wǎng)為各級黨政機關的業(yè)務應用系統(tǒng)提供了一個統(tǒng)一的平臺，同時將新建的例如政務公開系統(tǒng)、網(wǎng)上聯(lián)合辦公系統(tǒng)等新業(yè)務系統(tǒng)加入到此平臺中，更好的為社會公眾服務。因此，在全市政務外網(wǎng)應用系統(tǒng)建設中，應提供標準的、統(tǒng)一的信息表示和傳輸方式，提供一個基礎信息交換平臺，使信息在系統(tǒng)內(nèi)有序流淌，實現(xiàn)政務外網(wǎng)各級信息系統(tǒng)之間、政務外網(wǎng)與社會公眾之間的互聯(lián)互通和信息資源共享。信息資源交換功能政務外網(wǎng)和內(nèi)網(wǎng)是全市電子政務的基礎性平臺，為保證政府對全社會的服務和治理，以及為各級黨政機關提供宏觀決策數(shù)據(jù)。政務外網(wǎng)負責基礎性數(shù)據(jù)的采集，當數(shù)據(jù)達到一定規(guī)模時，通過物理手段將數(shù)據(jù)轉(zhuǎn)移到內(nèi)網(wǎng)，為各級領導提供決策支持；內(nèi)網(wǎng)又將政府的通知和決定及時在政務外網(wǎng)上公布。安全防護功能XX市電子政務外網(wǎng)建設過程中，既要滿足社會公眾訪問的方便、靈活，具備可擴展性，又要保證公共業(yè)務系統(tǒng)、部門業(yè)務系統(tǒng)安全可靠的運行。當前，在黨政機關的網(wǎng)絡建設中，安全措施滯后，保障水平參差不齊。在利用現(xiàn)有網(wǎng)絡資源整合和構建全市政務外網(wǎng)時，在物理層、網(wǎng)絡層、應用層、網(wǎng)絡治理層都會存在安全風險。因此，在全市政務外網(wǎng)建設中，應采取切實可行的安全保障措施，構建合理、完善的安全保障體系，在網(wǎng)絡安全、網(wǎng)絡性能、信息安全等多方面進行考慮，確保全市政務外網(wǎng)安全可靠的運行。網(wǎng)絡治理功能XX市電子政務外網(wǎng)是一個覆蓋全市各級黨政機關的龐大、復雜的互聯(lián)網(wǎng)絡，涉及到的設備種類、數(shù)量大，治理的范圍層次不盡相同。因此，迫切需要建立統(tǒng)一的網(wǎng)絡治理平臺，能夠集成第三方的設備及網(wǎng)絡治理系統(tǒng)，實現(xiàn)設備和網(wǎng)絡的性能治理、拓撲治理、事件治理、安全治理、統(tǒng)計治理、配置治理、分權治理、分布治理和故障治理，從而提高網(wǎng)絡的可治理性和可維護性，保證全市政務外網(wǎng)的正常運行。電子政務外網(wǎng)建設規(guī)劃XX市電子政務外網(wǎng)整體規(guī)劃遵照《浙江省電子政務網(wǎng)絡技術規(guī)范》的要求并結合電子政務網(wǎng)絡的實際情況而制定。XX市電子政務外網(wǎng)的體系結構如圖所示:應用層網(wǎng)上辦公、網(wǎng)上審批等外網(wǎng)門戶網(wǎng)站各部門業(yè)務應用系統(tǒng)其他應用系統(tǒng)網(wǎng)絡治理系統(tǒng)安全保障體系支撐層數(shù)據(jù)庫治理電子郵件系統(tǒng)域名治理系統(tǒng)WEB服務系統(tǒng)目錄治理系統(tǒng)信息交換系統(tǒng)操作系統(tǒng)服務器系統(tǒng)基礎層網(wǎng)絡平臺光纖、城域網(wǎng)電子政務外網(wǎng)的總體體系結構分為基礎層、支撐層和應用層?；A層指政務外網(wǎng)的網(wǎng)絡設備和傳輸鏈路；支撐層包括操作系統(tǒng)、服務器系統(tǒng)和應用系統(tǒng)支撐環(huán)境；應用層包括網(wǎng)上辦公與網(wǎng)上審批、外網(wǎng)門戶網(wǎng)站和各部門業(yè)務應用系統(tǒng)等，其他一些應用系統(tǒng)則直接運行在網(wǎng)絡平臺上。網(wǎng)絡治理系統(tǒng)和安全保障體系保證全網(wǎng)的網(wǎng)絡治理和安全可靠運行。網(wǎng)絡情況及組網(wǎng)描述國際互聯(lián)網(wǎng)：簡稱互聯(lián)網(wǎng)，也稱因特網(wǎng)。電子政務外網(wǎng)（以下簡稱政務外網(wǎng)）：是政府部門的業(yè)務專網(wǎng)和資源共享專網(wǎng)，凡不需要在政務內(nèi)網(wǎng)上運行的業(yè)務系統(tǒng)可接入政務外網(wǎng)；政務外網(wǎng)同時對互聯(lián)網(wǎng)公眾提供服務。在政務外網(wǎng)上采納上MPLS（多協(xié)議標簽交換）技術，提供VPN（虛擬專用網(wǎng)）服務。政務外網(wǎng)具有兩個差不多虛擬專網(wǎng)，即資源共享專網(wǎng)和公眾服務專網(wǎng)；此外，有VPN組網(wǎng)需求的單位還能夠申請開通本部門的縱向部門業(yè)務專網(wǎng)。資源共享專網(wǎng)是各單位實現(xiàn)信息共享與交換的網(wǎng)絡，不同意互聯(lián)網(wǎng)公眾訪問。公眾服務專網(wǎng)對互聯(lián)網(wǎng)公眾提供服務，放置門戶網(wǎng)站和郵件等服務器，通過網(wǎng)絡安全保障系統(tǒng)與互聯(lián)網(wǎng)邏輯連接，同意互聯(lián)網(wǎng)主動訪問公眾服務專網(wǎng)的服務資源，一般不同意公眾服務專網(wǎng)訪問互聯(lián)網(wǎng)（專門服務除外，比如系統(tǒng)補丁在線升級服務等）。部門業(yè)務專網(wǎng)是指在政務外網(wǎng)上利用MPLSVPN技術，連接本系統(tǒng)內(nèi)部省、市、縣（市、區(qū)）相關部門的縱向業(yè)務網(wǎng)絡。如圖所示：網(wǎng)絡接入范圍政務外網(wǎng)連接范圍：市政府工作部門，各直屬單位，區(qū)、縣、市，以及有需要接入的相關企事業(yè)單位。各直屬單位的下級機構接入到政務外網(wǎng)，必須報區(qū)黨政信息中心審批，并報市政府辦公廳信息中心備案。各網(wǎng)絡定義及互聯(lián)依照《浙江省電子政務網(wǎng)絡技術規(guī)范》，電子政務網(wǎng)包括電子政務內(nèi)網(wǎng)和電子政務外網(wǎng)，各網(wǎng)絡間關系如下：政務內(nèi)網(wǎng)和政務外網(wǎng)：政務內(nèi)網(wǎng)與政務外網(wǎng)之間物理隔離。政務內(nèi)網(wǎng)和互聯(lián)網(wǎng)：政務內(nèi)網(wǎng)和互聯(lián)網(wǎng)物理隔離。政務外網(wǎng)和互聯(lián)網(wǎng)：政務外網(wǎng)通過防火墻、入侵檢測、安全審計和病毒防護等網(wǎng)絡安全設備與互聯(lián)網(wǎng)邏輯隔離。通過政務外網(wǎng)可訪問互聯(lián)網(wǎng)，政務外網(wǎng)的公眾服務專網(wǎng)可供互聯(lián)網(wǎng)用戶訪問。電子政務外網(wǎng)與互聯(lián)網(wǎng)政務外網(wǎng)資源共享專網(wǎng)和互聯(lián)網(wǎng)政務外網(wǎng)資源共享專網(wǎng)設立互聯(lián)網(wǎng)統(tǒng)一出口，接入外網(wǎng)的各級單位通過統(tǒng)一出口訪問互聯(lián)網(wǎng)。資源共享專網(wǎng)在防火墻、病毒防護等安全系統(tǒng)的愛護下訪問互聯(lián)網(wǎng)。如圖所示：因特網(wǎng)公眾禁止訪問資源共享專網(wǎng)。但關于因特網(wǎng)上的政府移動辦公用戶，能夠采納IPSec和RemoteAccesstoMPLSVPN相結合的技術，從Internet進行VPDN（VirtualPrivateDialupNetworks虛擬專用撥號網(wǎng)）撥號進入資源共享專網(wǎng)或者部門業(yè)務專網(wǎng)，從而訪問省政務外網(wǎng)的資源。如圖所示：電子政務外網(wǎng)公眾服務專網(wǎng)和互聯(lián)網(wǎng)在電子政務外網(wǎng)上劃分公眾服務專網(wǎng)后，各單位對因特網(wǎng)公眾提供服務的服務器能夠在本單位內(nèi)按照技術規(guī)范正確部署，也能夠由區(qū)政府統(tǒng)一部署在區(qū)政府信息中心機房。公眾服務專網(wǎng)在電子政務外網(wǎng)的核心路由器上有獨立出口，差不多的安全策略由核心出口處統(tǒng)一實施部署，各單位的防火墻實現(xiàn)更詳細的訪問策略，操縱該區(qū)域服務器與因特網(wǎng)實現(xiàn)有限訪問。同意因特網(wǎng)主動訪問公眾服務專網(wǎng)的服務資源；一般不同意公眾服務專網(wǎng)訪問因特網(wǎng)，服務器軟件更新、補丁升級除外。公眾服務專網(wǎng)和因特網(wǎng)的訪問關系如圖所示：電子政務外網(wǎng)部門業(yè)務專網(wǎng)和因特網(wǎng)部門業(yè)務專網(wǎng)通過各各單位市局統(tǒng)一部署的網(wǎng)閘和資源共享專網(wǎng)實現(xiàn)有效隔離，并通過資源共享專網(wǎng)完成到因特網(wǎng)的信息交換。如圖所示：電子政務外網(wǎng)各專網(wǎng)及因特網(wǎng)綜合資源共享專網(wǎng)、部門業(yè)務專網(wǎng)、公眾服務專網(wǎng)和互聯(lián)網(wǎng)的描述，以上網(wǎng)絡之間的關系如下：市政務內(nèi)網(wǎng)和市政務外網(wǎng)的聯(lián)網(wǎng)單位市政務內(nèi)網(wǎng)聯(lián)網(wǎng)單位在連續(xù)“小內(nèi)網(wǎng)、大外網(wǎng)”思路下，市政務內(nèi)網(wǎng)接入延伸到各區(qū)、縣（市）。市級各部門結合實際應用，按需接入。市政務外網(wǎng)聯(lián)網(wǎng)單位市政務外網(wǎng)連接市級各單位，各區(qū)、縣（市），以及因工作需要接入的單位。聯(lián)網(wǎng)單位分析目前有聯(lián)網(wǎng)需求單位共199家。其中有政務外網(wǎng)聯(lián)網(wǎng)需求有134家（包括郊縣區(qū)縣市政府及大樓內(nèi)局域網(wǎng)31家單位）；政務內(nèi)網(wǎng)聯(lián)網(wǎng)需求有95家；機要網(wǎng)聯(lián)網(wǎng)需求有56家；會計結算聯(lián)網(wǎng)需求有88家；同時有政務內(nèi)網(wǎng)、政務外網(wǎng)需求有94家。同時結合原有的利用的運營商城域網(wǎng)資源構建的包括127家單位在內(nèi)的黨政專網(wǎng)MPLSVPN的資源，本著經(jīng)濟性、科學性、合理性的原則，充分利用原有的投資資源，完善、調(diào)整現(xiàn)有的資源，確定利用運營商的鏈路及機房資源為基礎，通過自有設備的架設，構建一張符合《浙江省電子政務網(wǎng)絡技術規(guī)范》要求的XX市電子政務網(wǎng)平臺。依照目前通過運營商的城域網(wǎng)構建MPLSVPN的聯(lián)網(wǎng)單位的連接機房，信息表如下所示：機房接入點局域網(wǎng)接入點局域網(wǎng)大樓1142431市政府大樓38437284896113122133151201231合計9631現(xiàn)狀分析目前XX市政務網(wǎng)平臺共有連接單位有190家左右，分不采納了局域網(wǎng)（市政府大樓內(nèi)）、100MMPLSVPN、10MMPLSVPN、撥號、裸光纖等等方式連接至政務網(wǎng)；其中利用XX網(wǎng)通信息港的城域網(wǎng)的MPLS構建電子政務網(wǎng)平臺的主體，共有120多家單位承載在該網(wǎng)絡平臺，其余的單位采納撥號等等。利用XX網(wǎng)通城域網(wǎng)構建的黨政專網(wǎng)，囊括了120多家黨政機關、政府部門，全部利用XX城域網(wǎng)基于IP的MPLS技術構建的黨政專網(wǎng)VPN。所有單位均奉行就近接入的原則連接至運營商的就近機房；所有單位均利用單獨的光纖鏈路作為承載網(wǎng)的基礎鏈路；同時通過光電收發(fā)器實現(xiàn)長距離的信號傳輸及光電信號轉(zhuǎn)換；絕大部分單位采納PE-CE的方式，用路由器作為CE設備構建黨政專網(wǎng)MPLSVPN鏈路，部分單位采納交換機方式（PE-SW）連接，利用運營商的PE設備，利用運營商PE設備的子接口作為CE實現(xiàn)MPLSVPN；90％的單位的VPN帶寬為100M，部分單位為10M接入。電子政務網(wǎng)絡總體架構基礎網(wǎng)絡總體架構市電子政務內(nèi)網(wǎng)網(wǎng)絡拓撲市政務內(nèi)網(wǎng)以租用運營商MSTP線路為主，電話線路為輔，在此基礎上組建TCP/IP網(wǎng)絡。13個區(qū)、縣（市）和按需接入的市級部門以最小帶寬2M接入（依照顧用需求擴展帶寬），市政府核心點接入帶寬暫定10M（依照顧用需求擴展帶寬），業(yè)務量不大單位采納撥號方式接入市電子政務內(nèi)網(wǎng)。市政府核心點配置核心交換機（具有PE功能），方便治理，適應日后網(wǎng)絡拓展。市政務內(nèi)網(wǎng)解決方案詳見第六章。市電子政務外網(wǎng)網(wǎng)絡拓撲市政務外網(wǎng)以租用運營商裸光纖組建IP城域網(wǎng)為主，租用運營商MSTP傳輸網(wǎng)為輔。城域骨干網(wǎng)：租用運營商裸光纖，組建IP城域網(wǎng)。XX市內(nèi)主城區(qū)設3個骨干節(jié)點，配置PE設備，環(huán)路帶寬10G。其中2個節(jié)點設在運營商機房，1個節(jié)點設在市政府信息中心機房。主城區(qū)另設11個匯聚節(jié)點，配置具備MCE功能的三層交換機設備，用于匯聚各單位的網(wǎng)絡。廣域骨干網(wǎng)：租用運營商MSTP傳輸線路，到7個區(qū)、縣（市）（主城區(qū)除外），帶寬初定10M，依照需要擴展。接入網(wǎng)：租用運營商裸光纖至各聯(lián)網(wǎng)單位，在各單位配置接入交換機，接入帶寬按照100M設計，接入交換機的各端口配置不同的VLAN對應相應的VPN。市政務外網(wǎng)解決方案詳見第六章。MPLSVPN技術優(yōu)勢MPLS技術MPLS技術是一種在開放的通信網(wǎng)上利用定長標簽引導數(shù)據(jù)高速傳輸和交換的網(wǎng)絡新技術。它是獨立于鏈路層和物理層的技術，能保證各種各樣的網(wǎng)絡互聯(lián)互通，使得各種不同的網(wǎng)絡數(shù)據(jù)傳輸技術在同一個MPLS平臺上統(tǒng)一起來。MPLS的要緊優(yōu)點在于減少了網(wǎng)絡的復雜性，兼容了現(xiàn)有各種主流網(wǎng)絡技術，大幅度降低了組網(wǎng)成本；在向用戶提供IP業(yè)務時能確保QoS和安全性。MPLS不但支持流量工程，同時也是當前最有前景的支持VPN實現(xiàn)的技術。MPLS技術的成功之處在于它在無連接的IP網(wǎng)絡中引入了面向連接的機制，通過一個短的、固定長度的稱為“標簽”的標識符，利用標簽機制轉(zhuǎn)發(fā)分組。其核心思想是：邊緣的路由，核心的交換。MPLS/VPN的實現(xiàn)過程：客戶的邊界路由器CE連接到MPLS的PE路由器，通過MPLS內(nèi)部創(chuàng)建的VPN，客戶的數(shù)據(jù)被封裝并透明地傳送到其它的CE路由器。CE路由器向VPN廣播包含它下屬節(jié)點的所有設備的路由表。一個MPLS/VPN網(wǎng)絡由一些分離的站點組成，這些站點通過MPLS服務提供商的骨干網(wǎng)絡互聯(lián)。在每一個站點有一個或多個CE路由器，每個CE連接一個或多個PE路由器。相關聯(lián)的PE之間使用MP-BGP（BorderGatewayProtocol-Multiprotocol）協(xié)議通信。VPN的IP地址范圍獨立定義，任意兩個VPN的IP地址集能夠有重疊。在同一個VPN專網(wǎng)中使用的IP地址必須是一個單獨地址集。每個CE與它直接相連的PE路由可達。另外，在所有VPN中的PE路由器的IP地址不能重復。MPLS支持的路由協(xié)議MPLS內(nèi)部（PC-PC、PC-PE或PE-PE之間）的路由通過標準的第三層路由協(xié)議來實現(xiàn)，如：OSPF、BGP等。第三層路由協(xié)議維護的信息將用于給相鄰節(jié)點分配標簽。MPLS與用戶之間（PE與CE之間）的路由協(xié)議能夠是：OSPF、IS-IS、RIP、BGP或靜態(tài)路由。MPLS骨干網(wǎng)內(nèi)部的路由協(xié)議，即PE-P-PE的IGP路由協(xié)議能夠是OSPF或IS-IS。為傳送用戶VPN的路由信息，在對應的PE之間使用MP-BGP路由協(xié)議。從用戶的觀點看，盡管要穿過服務提供商治理的VPN通道，但用戶看到的是CE之間直接互聯(lián)，并通過CE將每一個站點的用戶內(nèi)部路由器連接起來。服務提供商的MPLS網(wǎng)絡對用戶是透明的，看不到內(nèi)部的結構，也看不到MPLS網(wǎng)內(nèi)部傳輸?shù)穆酚?。從服務提供商的角度看，其MPLS網(wǎng)絡與用戶網(wǎng)絡比較是特不不同的。每個用戶只有一個VPN，而一個服務提供商能夠有多個VPN。服務提供商只能治理每個VPN在MPLS骨干網(wǎng)中的通道，它看不到由VPN組成的專網(wǎng)的內(nèi)部結構。PE路由器分不為每個VPN維護一張路由表，表中有其直接相連的VPN站點的路由信息，同時與相應VPN相關的PE之間交換這些路由信息。MPLSVPN同VLAN接入映射在各個接入節(jié)點，為節(jié)約PE路由器的接入端口和線路，同時又保障能夠?qū)崿F(xiàn)多個VPN專網(wǎng)接入MPLS，我們建議通過2層交換機作為VPN專網(wǎng)接入的物理設備。2層交換機通過Trunk與PE路由器連接。在2層交換機上為接入的不同VPN專網(wǎng)劃分不同的VLAN，通過VLAN接入不同的VPN專網(wǎng)。在MPLS的PE路由器上，不同的VPN通道穿過Trunk與2層交換機上的VLAN連通。在XX市電子政務外網(wǎng)中MPLS/VPN對應VLAN的實現(xiàn)機制如下圖所示：通過Trunk（802.1Q）將不同VLAN映射到不同的MPLSVPN中來實現(xiàn)不同的VPN專網(wǎng)接入。VLAN規(guī)劃為加強網(wǎng)絡治理的系統(tǒng)性，便于對用戶的治理與維護，增加用戶的安全性，需進行VLAN的劃分。關于VLAN的劃分，我們建議，VLAN編號以Site基準，即VLAN號在一個Site內(nèi)是唯一的，同時，統(tǒng)一的VLAN編號法有助于消除歧意和有助于排錯。建議VLAN劃分如下：VLAN1-VLAN99，用于設備治理或保留；VLAN100-VLAN299，用于資源共享專網(wǎng)；VLAN300-VLAN399，用于公共服務專網(wǎng)；VLAN400-VLAN499，用于業(yè)務專網(wǎng)；其余VLAN保留；MPLS/VPN優(yōu)勢在XX電子政務外網(wǎng)建設中，XX市不同的政府部門之間業(yè)務承載在同一張物理網(wǎng)絡之上，出于安全性的考慮，必須采納技術手段進行安全隔離，而不同部門之間的部分資源又需要進行受控互訪進行共享，因此隔離和互訪是政務網(wǎng)建設中的必定需求。目前業(yè)界要緊的隔離與互訪技術要緊包括MPLSVPN、傳統(tǒng)的VLAN+ACL、IPTUNNELVPN技術，ACL+VLAN方式能夠?qū)崿F(xiàn)隔離、受控互訪，部門之間的隔離采納VLAN方式，受控互訪采納ACL進行操縱，但每增加一個新的VLAN或是業(yè)務系統(tǒng)都要對往常所有業(yè)務系統(tǒng)的配置進行修改，可擴展性和維護性較差。在靈活性、QOS等方面，VPN方式也明顯優(yōu)于ACL+VLAN，因此建議在政務網(wǎng)中采納VPN技術。因此VPN技術又要緊分為IPTunnelVPN和MPLSVPN技術，IPTunnelVPN同樣是每增加一個節(jié)點，都需要修改原有的N個節(jié)點的配置。因此，采納IPTunnelVPN組建的VPN也存在嚴峻的可擴展性問題，當網(wǎng)絡規(guī)模擴大時，隧道的建立及維護難度急劇增大，相應的，對設備的性能壓力也急劇增大。假如考慮VPN之間的互通，這復雜度更大，因此，IPTunnelVPN只適合于組建規(guī)模有限，拓撲簡單的VPN。MPLSVPN是采納自動建立LSP(標簽轉(zhuǎn)發(fā)隧道)實現(xiàn)VPN報文在共網(wǎng)中的轉(zhuǎn)發(fā)，采納MP-BGP協(xié)議實現(xiàn)VPN私網(wǎng)路由信息的擴散。從而大大減少了單個節(jié)點的配置工作量，MPLSVPN便于維護。同時，不同于IPTunnelVPN中VPN的隔離依靠手工配置實現(xiàn)，由于采納了動態(tài)協(xié)議實現(xiàn)VPN隧道(即LSP)的建立及VPN私網(wǎng)路由的擴散，在增加新的節(jié)點時，不需要對原有節(jié)點的配置進行修改。因此，相關于其他VPN技術，采納MPLS技術組建的VPN具有更好的可維護性及可擴展性，MPLSVPN更適合于組建較大規(guī)模的復雜的VPN網(wǎng)絡，MPLSVPN的這些優(yōu)點差不多是它成為政務網(wǎng)上IPVPN的主流技術。因此在XX電子政務外網(wǎng)的規(guī)劃過程中，結合網(wǎng)絡可擴展、維護等方面的考慮，建議采納MPLSVPN技術實現(xiàn)在一個電子政務平臺之上，承載多個系統(tǒng)業(yè)務，并實現(xiàn)安全隔離?？焱嵤㎝PLSVPN技術的優(yōu)勢快威科技具有豐富的規(guī)劃、實施大型MPLSVPN的技術實力和經(jīng)驗積存。先后成功規(guī)劃和實施了江西省電子政務網(wǎng)MPLSVPN、浙江省電子政務網(wǎng)浙、XX市數(shù)字城管MPLSVPN網(wǎng)絡、浙江省公安廳二級網(wǎng)MPLSVPN、河南網(wǎng)通寬帶IP網(wǎng)和DCN網(wǎng)MPLSVPN的規(guī)劃和實施。XX電子政務網(wǎng)解決方案網(wǎng)絡建設原則依照XX市電子政務網(wǎng)項目的具體情況，在系統(tǒng)設計中應遵循以下原則：標準化及開放性采納的設備應符合國際通用標準，任何一臺設備都可用符合該標準的其他廠家的設備所替換；開放的網(wǎng)絡能夠讓用戶自由地選擇不同廠家的產(chǎn)品，不受原有廠家的限制。最大程度地愛護用戶的利益。要求網(wǎng)絡的設計一定要基于國際標準，使用標準的通信協(xié)議。讓不同廠家的設備能夠在同一個網(wǎng)絡上同時運行；規(guī)劃設計以及采納的設備應是開放的，應能夠保證其他廠家設備的接入；在一個復雜的大型網(wǎng)絡系統(tǒng)里，必定共存著多個廠商的硬件和軟件產(chǎn)品。網(wǎng)絡系統(tǒng)的目標確實是要通過不同廠商的硬件設備和計算機軟件的互聯(lián)，從而實現(xiàn)網(wǎng)絡信息及設備資源的共享。為了保證用戶的網(wǎng)絡系統(tǒng)具有互操作性、可用性、可靠性、可擴充性、可治理性，應建立一個開放的，遵循國際標準的網(wǎng)絡系統(tǒng)?？蓴U展性規(guī)劃設計以及采納的設備應具有一定的可擴展性，網(wǎng)絡設計應保證節(jié)點級的擴展，以及滿足其它生產(chǎn)應用接入對網(wǎng)絡的需求；隨著網(wǎng)絡用戶應用規(guī)模的不斷擴大，要求網(wǎng)絡能方便地擴充容量，支持更多的用戶和應用。隨著通信技術的不斷進展，網(wǎng)絡要能平滑地過渡到新的技術和設備，愛護用戶現(xiàn)有投資。由于企業(yè)內(nèi)部治理系統(tǒng)和對外業(yè)務的不斷進展，網(wǎng)絡系統(tǒng)必定隨之不斷擴大。因此，目前的網(wǎng)絡設計必須為今后的擴充留有足夠的余地，如此才能最好地愛護投資。除單個設備本身的擴展能力之外，在網(wǎng)絡系統(tǒng)的設計過程中，還需要考慮整個網(wǎng)絡系統(tǒng)在以后幾年的擴容能力和擴容方法。如此才能既照顧到目前的應用需求，又能滿足今后整個計算機系統(tǒng)的進展需要安全性安全在那個地點的含義不僅是指網(wǎng)絡系統(tǒng)本身的可靠安全、抗意外災難、抗攻擊的能力，而且也要保證在網(wǎng)絡上傳輸?shù)臄?shù)據(jù)的保密性和安全性。從布線設計、網(wǎng)絡設計到應用系統(tǒng)平臺的設計，在核心層、匯聚層、接入層等不同層次上都要確保數(shù)據(jù)的安全，做到線路防泄漏、防干擾、網(wǎng)絡具備完善的隔離措施和數(shù)據(jù)加密傳輸，在服務器平臺設計上防止非法訪問，防止病毒破壞。形成一整套安全保障協(xié)防體系。應提供足夠的措施防止受到外部用戶和黑客的非法訪問、攻擊和破壞。同時，要保證在采取安全措施后，不阻礙公安應用系統(tǒng)的正常運行；可靠性保證數(shù)據(jù)傳輸?shù)目煽啃裕瑧袀溆没蛉哂嗍侄?。在發(fā)生網(wǎng)絡設備故障時，備用或冗余手段應能保證公安系統(tǒng)的正常運行。網(wǎng)絡節(jié)點中的關鍵硬件網(wǎng)絡產(chǎn)品的選用需具有專門高的可靠性，較高的MTBF（平均無故障時刻MeanTimeBetweenFailures）值；全對稱各處理器的硬件體系結構，能夠做到任意一個處理器和網(wǎng)絡接口模塊出現(xiàn)故障都可不能阻礙其他模塊，所有的功能部件(電源、系統(tǒng)總線、處理器模塊、網(wǎng)絡接口模塊等)均能夠熱插拔和冗余熱備份。除硬件的容錯外，網(wǎng)絡設備還應具備軟件故障隔離和軟件的熱備份和熱啟動等，如此才能保證網(wǎng)絡運行的萬無一失。為了防止局部的故障引起整個信息系統(tǒng)的癱瘓，要幸免網(wǎng)絡出現(xiàn)單點失效。在骨干通信信道上要提供備份鏈路，提供冗余路由。在要緊通信設備上要提供冗余配置，保證可不能由于局部模塊的故障阻礙整個設備的運行。高性能網(wǎng)絡的設計方案不但要保證理論上可行，更重要的是實際上可用。要充分考慮到應用系統(tǒng)的具體情況，最好地滿足需求。迅速地處理通信數(shù)據(jù)，需要網(wǎng)絡設備支持高速通信鏈路，提供高數(shù)據(jù)吞吐能力。當今世界，通信技術和計算機技術的進展日新月異。方案應適應新技術進展的潮流，既兼顧了技術上的成熟性，同時也保證了系統(tǒng)的先進性。所選設備不管在硬件設備依舊軟件功能上，都在網(wǎng)絡界處在領先地位。QOS保證流量優(yōu)化幸免視頻會議等高帶寬應用過度消耗廣域網(wǎng)上寶貴的帶寬資源。網(wǎng)絡系統(tǒng)的建設應本著高起點，統(tǒng)一全面規(guī)劃，便于日常維護工作，又要為今后的擴展與新技術的融合打下基礎，因此，我們提出以下詳細設計原則來指導網(wǎng)絡的具體設計。網(wǎng)絡流量優(yōu)化將有助于提高網(wǎng)絡帶寬的利用率，尤其關于骨干網(wǎng)上寶貴的帶寬資源。視頻、語音、數(shù)據(jù)集成的多媒體應用，一方面為客戶的基礎網(wǎng)絡帶來了更多的增值應用，為用戶提供更加簡便、靈活的信息交流，同時，也大大增加了網(wǎng)絡上的信息流量。隨著應用需求的提高，對帶寬的要求將進一步提高。因此，關于象視頻會議如此高帶寬的應用，進行網(wǎng)絡流量的優(yōu)化顯得尤其重要易維護要保證網(wǎng)絡能正常穩(wěn)定運行，要求網(wǎng)絡維護人員能夠方便地對網(wǎng)絡設備進行遠程操縱和配置；同時網(wǎng)絡設備要能夠進行熱插拔，方便進行日常維護。適應性強網(wǎng)絡結構復雜，設備多樣，同時針對企業(yè)的業(yè)務特點，連接的方式和種類專門多。因此需要在網(wǎng)絡設計的初始對所有可能接入的業(yè)務做出底層的數(shù)據(jù)流向分析，而且要考慮如何用成熟的技術來滿足具體業(yè)務的應用特點，因此需要網(wǎng)絡設備支持“標準化”的網(wǎng)絡協(xié)議，QOS，Traffic治理和多種類型的組網(wǎng)方式以及各種標準的接口類型。可治理性良好的組織和治理關于XX市電子政務網(wǎng)的主干數(shù)據(jù)網(wǎng)的正常運轉(zhuǎn)和高效使用有專門大關心。網(wǎng)絡應該能夠提供方便，靈活，有力的治理系統(tǒng)，讓使用者能夠有效地操縱和治理整個網(wǎng)絡。隨著網(wǎng)絡規(guī)模的擴大和系統(tǒng)復雜程度的增加，網(wǎng)絡的治理、監(jiān)控和維護，以及網(wǎng)絡故障的診斷和排除變得越來越復雜。為了使網(wǎng)絡系統(tǒng)易于治理和維護，本方案將提供先進而完善的網(wǎng)絡治理系統(tǒng)。如此，既方便網(wǎng)絡治理員的工作，減輕了勞動強度，也提高了網(wǎng)絡系統(tǒng)的治理程度。設計要求可靠性和自愈能力包括鏈路冗余、模塊冗余、設備冗余、路由冗余等要求。鏈路冗余在主干連接(主干設備之間及其與匯接設備之間的連接)具備可靠的線路冗余方式。主線路切換到備份線路的時刻應小于30s,這種高速的網(wǎng)絡自愈特性應能夠保證可不能引起業(yè)務的瞬間質(zhì)量惡化，更可不能引起業(yè)務的中斷。在電子政務網(wǎng)的核心層環(huán)網(wǎng)、核心層－匯聚層網(wǎng)絡必須提供冗余鏈路，在發(fā)生故障時，通過簡易、快速的方式解決鏈路故障模塊冗余要緊設備(主干設備和業(yè)務匯聚點的核心設備)的要緊模塊和環(huán)境部件應具備1:1熱備份的功能，切換時刻小于30秒。所有模塊具備熱插拔的功能。系統(tǒng)具備99.999%以上的可用性。要緊網(wǎng)絡設備的引擎模塊、業(yè)務模塊（特不是核心層網(wǎng)絡設備），必須要有足夠的備件，同時核心層設備支持模塊的熱備份，主、備模塊可自動進行切換；其余設備模塊必須要有合理的模塊備份，可通過更換的方式保障模塊的冗余設備冗余提供由兩臺或兩臺以上設備組成一個虛擬設備的能力。當其中一個設備因故障停止工作時，另一臺設備自動接替其工作，同時不引起其他節(jié)點的路由表重新計算，從而提高網(wǎng)絡的穩(wěn)定性。切換時刻小于3秒，以保證大部分IP應用可不能出現(xiàn)超時錯誤。在匯聚層、接入層網(wǎng)絡，選用功能滿足、性價比高的設備，并提供合理的備件設備，在發(fā)生故障可通過簡易的設備更換的方式解決故障路由冗余網(wǎng)絡的結構設計應提供足夠的路由冗余功能，在上述冗余特性仍不能解決問題時，數(shù)據(jù)流應能查找其他路徑到達目的地址。在一個足夠復雜的網(wǎng)絡環(huán)境中，網(wǎng)絡連接發(fā)生變化時，路由表的收斂時刻應小于30秒。電子政務網(wǎng)除了在鏈路、設備的冗余外，還需要提供路由冗余，確保網(wǎng)絡的路由有雙向的路由冗余，當發(fā)生設備故障、鏈路故障時，可通過路由冗余來保障故障阻礙面、阻礙時刻的最小。擁塞操縱與服務質(zhì)量保障擁塞操縱和服務質(zhì)量保障(QoS)是公眾服務網(wǎng)的重要品質(zhì)。由于接入方式、接入速率、應用方式、數(shù)據(jù)性質(zhì)的豐富多樣，網(wǎng)絡的數(shù)據(jù)流量突發(fā)是不可幸免的，因此，網(wǎng)絡對擁塞的操縱和對不同性質(zhì)數(shù)據(jù)流的不同處理是十分重要的。電子政務網(wǎng)的IPQOS服務質(zhì)量保證需要采納以下多種技術實現(xiàn)：優(yōu)先級隊列PriorityQueue自定義隊列CustomQueue加權公平隊列WeightedFairQueue加權隨機早期丟棄WeightedRandomEarlyDiscard資源預留協(xié)議RSVP承諾訪問速率CARIP優(yōu)先級IPPrecedence多協(xié)議標記交換技術MPLS電子政務網(wǎng)的IPQOS需要滿足以下的功能：業(yè)務分類網(wǎng)絡設備應支持6-8種業(yè)務分類(COS)。當用戶終端不提供業(yè)務分類信息時，網(wǎng)絡設備應依照用戶所在網(wǎng)段、應用類型、流量大小等自動對業(yè)務進行分類。接入速率操縱接入本網(wǎng)絡的業(yè)務應遵守其接入速率承諾。超過承諾速率的數(shù)據(jù)將被丟棄或標以最低的優(yōu)先級。隊列機制具有先進的隊列機制進行擁塞操縱，對不同等級的業(yè)務進行不同的處理，包括時延的不同和丟包率的不同。先期擁塞操縱當網(wǎng)絡出現(xiàn)真正的擁塞時，瞬間大量的丟包會引起大量TCP數(shù)據(jù)同時重發(fā)，加劇網(wǎng)絡擁塞的程度并引起網(wǎng)絡的不穩(wěn)定。網(wǎng)絡設備應具備先進的技術，在網(wǎng)路出現(xiàn)擁塞前就自動采取適當?shù)拇胧?，進行先期擁塞操縱，幸免瞬間大量的丟包現(xiàn)象。資源預留對特不重要的專門應用，應能夠采納保留帶寬資源的方式保證其QoS。網(wǎng)絡的擴展能力網(wǎng)絡的擴展能力包括設備交換容量的擴展能力、端口密度的擴展能力、主干帶寬的擴展，以及網(wǎng)絡規(guī)模的擴展能力。交換容量擴展交換容量應具備在現(xiàn)有基礎上接著擴充4~8倍容量的能力，以適應IP類業(yè)務急速膨脹的現(xiàn)實。端口密度擴展設備的端口密度應能滿足網(wǎng)絡擴容時設備間互聯(lián)的需要。主干帶寬擴展主干帶寬應具備高的帶寬擴展能力，以適應IP類業(yè)務急速膨脹的現(xiàn)實。網(wǎng)絡治理與安全體系支持整個網(wǎng)絡系統(tǒng)各種網(wǎng)絡設備的統(tǒng)一網(wǎng)絡治理。支持故障治理、記帳治理、配置治理、性能治理和安全治理五大功能。支持系統(tǒng)級的治理，包括系統(tǒng)分析、系統(tǒng)規(guī)劃等；支持基于策略的治理，對策略的修改能夠立即反應到所有相關設備中。網(wǎng)絡設備支持多級治理權限，支持RADIUS、TACACS+等認證機制。支持安全監(jiān)控和操縱機制，當發(fā)覺存在安全漏洞和遭到攻擊時，應及時通知網(wǎng)絡治理人員，并應自動采取適當?shù)拇胧┯枰詯圩oXX市電子政務內(nèi)網(wǎng)建設方案網(wǎng)絡拓撲網(wǎng)絡平臺設計政務內(nèi)網(wǎng)屬于保密網(wǎng)，需要與政務外網(wǎng)物理隔離，能夠選擇從物理層或傳輸層的物理隔離；同時從投入的性價比的角度考慮，建議采納租用運營商的傳輸網(wǎng)的形式來實現(xiàn)政務內(nèi)網(wǎng)的應用?？蛻舳瞬杉{光纜直連加光電收發(fā)器的形式，并提供10M/100M接入端口，先期提供2M的傳輸帶寬，提供100M的接入端口，可隨著業(yè)務及應用的變更進行無縫升級（2M/4M/10M—100M等）；中心點依照目前的接入單位有94個接入單位，中心點采納匯聚模式。依照MSTP的設備特性1：24匯聚比，MSTP設備提供4個100M的TRUNK端口連接至內(nèi)網(wǎng)核心交換機，并通過交換機的子接口與用戶端的VLAN匹配，實現(xiàn)政務內(nèi)網(wǎng)的三層交換網(wǎng)。政務內(nèi)網(wǎng)聯(lián)網(wǎng)通過運營商的MSTP傳輸網(wǎng)，實現(xiàn)用戶端到市政府中心的星型架構的傳輸網(wǎng)；用戶端采納光電收發(fā)器的接入模式，提供10/100M的接入端口，傳輸帶寬為2M。設備選型和配置講明依照招標文件的要求，本次內(nèi)網(wǎng)的建設方案僅要求采購一臺具備MPLSVPN功能的交換機設備作為核心交換機，我們在本次方案中推舉采納思科的Catalyst6506E交換機。Catalyst6500系列為企業(yè)園區(qū)網(wǎng)和電信運營商網(wǎng)絡設立了新的IP通信和應用支持標準，它不但能提高用戶的生產(chǎn)率，增強操作操縱，還能提供無與倫比的投資愛護。作為思科重要的智能多層模塊化交換機，Catalyst?6500系列能夠提供安全的端到端融合網(wǎng)絡服務，其使用范圍從布線室到核心，再到數(shù)據(jù)中心和廣域網(wǎng)邊緣。CiscoCatalyst6500系列能夠通過多種機箱配置和LAN/WAN/MAN接口提供可擴展的性能和端口密度，因而能關心企業(yè)和電信運營商降低總體擁有成本。CiscoCatalyst6500系列交換機提供包括數(shù)千兆位網(wǎng)絡安全性、內(nèi)容交換、語音和網(wǎng)絡分析模塊。Catalyst6500系列中的所有型號都使用了統(tǒng)一的模塊和操作系統(tǒng)軟件，形成了能夠適應以后進展的體系結構，由于能提供操作一致性，因而能提高IT基礎設施的利用率，并增加投資回報。CiscoCatalyst6500系列能夠借助冗余路由與轉(zhuǎn)發(fā)引擎之間的故障切換功能提高網(wǎng)絡正常運行時刻。本次方案這臺內(nèi)網(wǎng)的核心交換機CISCOCATALYST6506E配置Sup32-GE引擎2個，能夠?qū)崿F(xiàn)主備引擎的功能，每個引擎上還包含8個GE端口和一個10/100/1000M電口，而且主備引擎上的所有端口都能夠同時工作，整機32Gbps交換容量，15Mpps包轉(zhuǎn)發(fā)率，512MB內(nèi)存，可升級至1GB，256MB板載閃存，工作溫度32到104F(0到40C)。具體配置清單如下，XX市電子政務外網(wǎng)建設方案在本方案中充分考慮目前的黨政專網(wǎng)的網(wǎng)絡狀況，結合已利用的鏈路資源及成熟的技術、設備，實現(xiàn)用成熟技術、經(jīng)濟的設備。實現(xiàn)符合《浙江省電子政務網(wǎng)技術規(guī)范要求》的功能要求，同時較好的結合了XX市原有的網(wǎng)絡資源及本地各政府部門的實際情況。依照目前的城域網(wǎng)的組網(wǎng)技術及主流技術，考慮日后的電子政務外網(wǎng)的運維等等因素，我們建議采納PE骨干層＋二層匯聚的組網(wǎng)方式。核心層部署3臺PE設備，并通過萬兆以太環(huán)構成骨干網(wǎng)絡，匯聚層11個節(jié)點，分不部署1臺二層交換機作為匯聚節(jié)點，通過光纖利用千兆以太網(wǎng)接口上聯(lián)核心節(jié)點。各個區(qū)縣部署一臺PE設備作為各個區(qū)縣的匯聚P節(jié)點或者PE節(jié)點，通過光纖或者MSTP上聯(lián)核心節(jié)點。以下將對上述方案進行詳細描述。.網(wǎng)絡拓撲網(wǎng)絡平臺設計骨干環(huán)網(wǎng)：依照XX市電子政務網(wǎng)聯(lián)網(wǎng)需求的所有單位的分布、覆蓋狀況，選定勞動技校、宏鼎商務樓、高銀巷為電子政務網(wǎng)平臺的核心節(jié)點。三個核心節(jié)點通過思科的高端路由器Cisco7609，構建基于裸光纖的10G骨干環(huán)網(wǎng)（IPOVER裸光纖）。三個骨干節(jié)點及各自獨立，各自負責本地區(qū)域的所有聯(lián)網(wǎng)單位的MPLSVPN功能，同時三個骨干節(jié)點之間通過物理鏈路、路由方式互連，可在任何一個節(jié)點出現(xiàn)故障的情況下，在不阻礙其它節(jié)點正常運行的情況下，進行路由切換至相鄰節(jié)點，確保整個核心網(wǎng)平臺的正常使用。所有的電子政務網(wǎng)的MPLSVPN功能全部由核心的PE設備實現(xiàn)，三層網(wǎng)絡以PE設備為終結點，實現(xiàn)配置工作相對集中及治理的集中，便于日后的運營治理和運維治理匯聚網(wǎng)：依照單位的分布情況及目前的聯(lián)網(wǎng)狀況，結合核心骨干點的物理位置，設立了7個獨立的匯聚機房及宏鼎商務樓、勞動技校兩個核心機房也承擔了該覆蓋區(qū)域的匯聚機房作用。所有的匯聚機房及核心機房的本地接入，均采納高性能的具有MCE功能的三層交換機CiscoCatalyst3560交換機作為電子政務的二層匯聚設備考慮到市政府大樓聚攏XX市的政府首腦機關聚攏地、是XX政治、經(jīng)濟、文化的決策中心，同時也是XX市電子政務網(wǎng)與浙江省電子政務的銜接點，因此建議XX市政府大樓用1臺PE設備（CiscoCatalyst6503E）作為大樓局域網(wǎng)的接入設備，同時與電子政務網(wǎng)的2個POP點相連，確保市政府大樓內(nèi)的局域網(wǎng)與電子政務的相連。5個主城區(qū)的區(qū)政府及高新區(qū)政府，為了保障MPLSVPN的實現(xiàn)，以區(qū)政府的PE與核心的PE直接互連的方式連接，其余單位均采納就近接入的方式連接至匯聚機房。匯聚層網(wǎng)絡利用高性能、高性價比的2層交換機實現(xiàn)匯接點的單位的接入，構建網(wǎng)絡拓撲簡單、有用性強、性價比好的電子政務外網(wǎng)的匯接層網(wǎng)絡；匯接層采納2層交換機組網(wǎng)，使網(wǎng)絡層次清晰，配置工作集中在核心的PE設備，使后期的網(wǎng)絡運維配置簡單、故障排查簡單、高效；同時可通過匯聚層網(wǎng)絡的安全操縱、策略設置保障核心層網(wǎng)絡安全性、可靠性。接入層：區(qū)縣（市）政府的接入設備為PE設備，本次方案建議采納Cisco的Catalyst6503E，作為XX市電子政務平臺的MPLSVPN業(yè)務的延伸設備，同時也是區(qū)縣（市）政府與省、市電子政務網(wǎng)的連接設備；其余的單位、部門均采納具有數(shù)據(jù)鏈路層相關功能及治理功能的交換機接入，交換機類型推舉采納Cisco的Catalyst2960，通過設備的二層功能（VLAN配置、隔離）來實現(xiàn)MPLSVPN，同時通過該接入交換機的安全操縱、策略設置保障電子政務的安全防范延伸至電子政務的末端網(wǎng)絡。VPE遠程接入：XX市電子政務外網(wǎng)是一個基于IP/MPLS的承載網(wǎng)絡，其目的是滿足XX市各縣市區(qū)、各市級單位的網(wǎng)絡接入和信息資源共享，因此其專門重要的一點確實是網(wǎng)絡需要較大的覆蓋范圍。然而XX市電子政務外網(wǎng)差不多上依舊一個較為獨立的城域網(wǎng)絡，其范圍僅僅覆蓋了包括裸光纖傳輸范圍、租用MSTP傳輸平臺范圍，關于INTERNET上的用戶，臨時還缺少網(wǎng)絡的可連接和覆蓋。因此我們在本方案中提出通過INTERNETN實現(xiàn)電子政務外網(wǎng)的移動接入，以提高電子政務外網(wǎng)的可連接覆蓋性，供日后參考，具體描述如下：IPSec_MPLSVPN的工作原理簡介Cisco的IPSectoMPLSVPN的技術能夠?qū)崿F(xiàn)IPSecVPN到MPLSVPN的映射，我們可通過一臺稱作VPE或稱VPE設備（以下簡稱VPE），目前在7206路由器、3845路由器、2800路由器等平臺都能夠作為VPE設備。VPE設備一邊通過IPSec隧道來端接遠處的來自各個方向的不同VPN的多個用戶，另一面將這些IPSec隧道映射到相應的MPLSVPN網(wǎng)絡中去，如上圖所示，通過那個技術，我們能夠提供以下兩種解決方案：MPLSVPN通過IPSec延伸MPLSVPN接入范圍，可覆蓋到Internet的任何一個地點：具體的講，我們在XX市內(nèi)構建了一個MPLSVPN的骨干網(wǎng)絡，那么用戶要想實現(xiàn)VPN的業(yè)務，必須要求用戶的CE設備在三層層面上直接與我們MPLSVPN網(wǎng)絡的PE設備相連，也確實是講CE和PE設備之間不同意連接有一般的不符合MPLS的路由器。在如此的情況下，那個MPLSVPN的網(wǎng)絡只能覆蓋市內(nèi)到PE設備能接入得到的CE用戶，而通過那個技術，我們能夠?qū)崿F(xiàn)在外地的分支機構，甚至Internet覆蓋的任何一個地點通過IPSec，MPLSVPN完成到我市的MPLSVPN接入。實現(xiàn)基于運營商級的IPSecVPDN解決方案：我們能夠在市電子政務外網(wǎng)內(nèi)集中部署一臺IPSec的終結路由設備，可基于一臺設備為不同VPN的用戶提供IPSecVPDN的業(yè)務。該項目的一個關鍵技術在于如何在這臺VPE設備上將不同的個人用戶的IPSec隧道映射到相應的MPLSVPN中去。IPSectoMPLSVPN映射方式：第一種方式：SitetoSite的IPSecVPN隧道與VRF的映射實現(xiàn)：通過ACL和對端IPSec設備的源地址來識不不同的IPSecsession，通過靜態(tài)配置將該IPSecSession和相應的MPLSVPN的VRF關聯(lián)在一起。第二種方式：IPSecVPDN的IPSec隧道與VRF的映射實現(xiàn)：我們明白首先Client與IPSec服務器直接要建立一個基于IKESA的IPSec連接，VPE設備（也確實是IPSec服務器）會將該連接同相應VRF關聯(lián)在一起。一種做法是基于靜態(tài)配置的基于Groupname的關聯(lián)機制，這種機制的做法是在連接之前進行client設備認證時完成的，CiscoIPSecClient與IPSec端接路由器之間建立IPSecSession之前，首先要向IPSec設備發(fā)送一個Groupname以完成client設備認證，現(xiàn)在VPE設備可利用Groupname來識不不同的VPN，也確實是講，屬于同一個VPN的client，他們的Groupname是相同，而不同的VPN則Groupname不同，接下來，VPE設備可利用Groupname，將這些IPSecsession映射到相應的MPLSVPN中去，AGG設備能夠在本地通過靜態(tài)的配置將Groupname和VRF關聯(lián)在一起。另一種機制是從RadiusAAA服務器上下載某個用戶的IKESA連接與相應的VRF的關聯(lián)關系。這種做法會在Radius服務器上把某個用戶，基于用戶名將其與相應的VRF關聯(lián)在一起，并以Radius屬性的方式定義在Radius服務器上，當Client與IPSec服務器建立IKESA連接時，需要輸入Username和Password以完成用戶認證，該認證能夠通過Radius方式實現(xiàn)，并在認證通過后，下載自己的Radius屬性，獲得與自己VRF的關聯(lián)，并將那個關聯(lián)反映到與IPSec服務器建立的IKESA連接中，也確實是自己的IPSecsession中去，之后那個IPSec服務器（此處為VPE）會明白該client所建立的IPSec連接與那個VRF相連，并會今后自該連接的加密的數(shù)據(jù)解密，然后轉(zhuǎn)發(fā)到相關聯(lián)的MPLSVPN中去?；谝陨系姆治鑫覀兘ㄗh能夠考慮在XX市電子政務外網(wǎng)的邊緣上放置一臺VPE設備，本次方案建議采納Cisco3845，通過采納IPSECTOMPLS映射的方式，實現(xiàn)從INTERNET上到XX市電子政務外網(wǎng)MPLSVPN網(wǎng)絡的接入。通過采納以上的技術手段，使XX電子政務外網(wǎng)接入的范圍能夠覆蓋整個INTERNET網(wǎng)絡，為移動辦公制造了條件。另外，關于撥入用戶的身份驗證，能夠考慮采納結合USBKEY的方式進行雙重身份驗證，以加強整個電子政務外網(wǎng)網(wǎng)絡移動接入的安全性。設備選型和配置講明核心路由器（勞技、鴻鼎樓、高銀巷）的選型和配置講明依照招標文件要求，這三個節(jié)點的核心路由器設備采納CISCO7609路由器。Cisco7609路由器是一款部署于網(wǎng)絡核心的高性能路由器，在網(wǎng)絡核心，性能、IP服務、冗余性和故障彈性十分重要。通過中央路由處理器和轉(zhuǎn)發(fā)引擎相結合，Cisco7609能夠提供了30Mpps（集中式處理）/400Mpps(分布式處理，DFC720)和720Gbps的總吞吐量。多功能的Cisco7600系列系統(tǒng)將廣域網(wǎng)連接從DS0擴展至OC-48/STM-16，將局域網(wǎng)連接從10M以太網(wǎng)擴展至了10G以太網(wǎng)。Cisco7609可在通過CiscoPXF網(wǎng)絡處理器實施高級硬件加速IP服務的同時提供上述功能。CISCO7609路由器具備9插槽機箱，在本次方