XX新区网络系统建设概述
1、网络设计概述
根据深圳XX新区电子政务网络设计思想及其应用需求,共建设内、外网两套专网之间通过物理隔离,在总体建设上采用业务与网络分层构建、逐层保护的指导原则,通过数据转发设备,保证网络的互联互通性。利用QOS保障重要的流量优先传输,让重要的流量得到充分的带宽保障,并提供各部门、系统网络间的逻辑隔离,保证互访的安全控制;所采用的设备以及网络构架都具有良好可扩展性,可以根据后续发展的需求,在不改变现有组网方案的情况下,通过增加MCU等语音、视频设备,即可提供IP电话,电视会议等业务。
外网:
整个外网中XX新区大楼、 XX办事处与市网络中心形成一个环网,新区大楼、XX办事处、行政审批服务大厅与XXX办事处形成另一个环网,其他分支节点采用就近原则接入XX办事处、XXX办事处,采用双光纤链路上行。其中XX新区大楼、XX办事处、XXX办事处、行政审批服务大厅中任何一各节点出现链路故障时,均不会出现点单故障,整个网络的正常运行不会受到影响,保证各项业务高效,稳定的运行,且每个节点均部署双核心冗余,新区大楼核心单台设备配置双电源,双引擎设计,进一步提高网络可靠性。
新区大楼核心整个电子政务网的关键核心区域,采双核心高性能的万兆交换机作为整个网络的核心节点,且基于虚拟架构设计做智能弹性堆叠,在XX办事处与XXX办事处、行政审批服务大厅三个节点均部署两台汇聚交换机,同样采用虚拟架构设计,做智能弹性堆叠,为就近分支提供接入点。核心节点所采用的交换机必须具有高性能、良好的扩展性等特性,在未来网络进行升级时不影响整个架构,进行扩容或者增加功能模块时,只需要增加相应的板卡模块即可。
智能弹性堆叠,能够把多台物理设备互相连接起来,使其虚拟为一台逻辑设备,也就是说,用户可以将这多台设备看成一台单一设备进行管理和使用,成员设备之间物理端口支持聚合功能,设备之间的物理连接也支持聚合功能,这样通过多链路备份提高了链路的可靠性;一个逻辑设备由多台成员设备组成,一旦Master设备故障,系统会迅速自动选举新的Master,以保证通过系统的业务不中断,从而实现了设备级的1:N备份;IRF系统会有实时的协议热备份功能负责将协议的配置信息备份到其他所有成员设备,从而实现1:N的协议可靠性。
同时为了适应网络未来发展对可靠性的要求,核心交换机配备万兆网络接口及完善的路由协议支持能力。利用防火墙技术服务器区进行隔离网络内部及外部危胁,配合IPS针对系统漏洞、协议弱点、病毒蠕虫、DDoS攻击、网页篡改、间谍软件、恶意攻击、流量异常等威胁进行一体化网络深度防御平台,出口网关出部署统一审计网关,对所有出口数据流量进行深度分析,规范上网行为。在接入层级,交换机可提供基于802.1x准入功能,使桌面电脑全面部署终端安全控制系统,进行全网终端安全接入控制。
内网:
整个外网设计与内网设计结构基本一致,新区大楼、坪山办事处、行政审批服务大厅与坑梓办事处形成另一个环网,其中新区大楼、坑梓办事处、坪山办事处、行政审批服务大厅中任何一各节点出现链路故障时,均不会出现点单故障,不会影响整个网络的正常运行,各个节点均采用单核心设计。
其他分支节点采用就近原则接入坑梓办事处、坪山办事处,采用光纤链路上行。
2、网络可靠性设计
1)线路及设备冗余
网络设计首先从网络结构上保证了高可靠性和高冗余性:
网络核心层双机冗余架构设计,通过路由协议、不间断路由等技术配合实现可靠性;
网络核心层和汇聚层或者核心层与接入层设备间互联全部采用双或多链路互联,配合路由协议技术实现局域网络的可靠性。除外之前,多台交换机之间可以使用智能弹性技术形成一台逻辑设备的交换机时, 新增的设备加入或离开逻辑设备交换机时可以实现“热插拔”,不影响整个虚拟逻辑设备的正常运行。
2)网络可扩展性设计
为保证XX新区网络能够满足发综合业务拓展的需求,适应当今技术发展的趋势,在方案设计时应充分考虑网络将来的扩展能力,比如扩展到万兆网络或者在增加功能模块时,不需要另外增加网络设备,只需要增加部分设备模块即可。
