政府行业解决方案v1--华讯方舟软件

　 政府行业解决方案

　目录 1.

　网络建设需求设计 ...................................................................................................................................... 4

　1.1.

　现状分析 ................................................................................................................................................. 4

　1.2.

　建设需求分析 ......................................................................................................................................... 4

　2.

　网络建设方案设计 ...................................................................................................................................... 5

　2.1.

　方案总体设计 ......................................................................................................................................... 5

　2.2.

　各平面网络设计 ..................................................................................................................................... 6

　2.2.1.

　骨干平面设计 ......................................................................................................................................... 6

　2.2.2.

　数据中心设计及安全 ............................................................................................................................. 7

　2.2.3.

　I NTERNET 访问区设计及安全 ................................................................................................................ 8

　2.2.4.

　接入区设计 ............................................................................................................................................. 8

　2.2.5.

　安全设计 ................................................................................................................................................. 9

　2.2.6.

　语音系统设计图 ...................................................................................................... 错误! 未定义书签。

　2.2.7.

　全网逻辑图 ........................................................................................................................................... 10

　2.3.

　SPB 网络技术简介 ............................................................................................................................... 11

　2.4.

　有线网络架构（SDN 架构）

　.............................................................................................................. 14

　2.4.1.

　灵活的语音视频支持 ........................................................................................................................... 15

　2.4.2.

　边缘部署、保护现网架构 ................................................................................................................... 16

　2.5.

　ONA 架构 ............................................................................................................................................. 16

　2.6.

　认证、计费系统 ................................................................................................................................... 17

　2.7.

　运维管理 ............................................................................................................................................... 18

　2.7.1.

　云管理平台---基于 SDN 架构 ............................................................................................................. 18

　2.7.2.

　配置简单 ............................................................................................................................................... 18

　2.7.3.

　管理维护成本低 ................................................................................................................................... 18

　2.7.4.

　原有网络设备投资保护 ....................................................................................................................... 18

　2.7.5.

　低耗能绿色环保 ................................................................................................................................... 18

　3.

　产品介绍 .................................................................................................................................................... 18

　3.1.

　本地云节点—NAC ............................................................................................................................... 18

　3.2.

　中心云管理平台 ................................................................................................................................... 19

　3.3.

　有线产品 ............................................................................................................................................... 19

　3.3.1.

　接入交换机—ERS

　3500 系列 .............................................................................................................. 19

　3.3.2.

　支持 SPB 交换机-ERS

　4000 系列 ........................................................................................................ 19

　3.3.3.

　支持 SPB 交换机—VSP8404 系列 ...................................................................................................... 20

　3.4.

　ONA 产品 ............................................................................................................................................. 20

　3.5.

　安全产品 ............................................................................................................................................... 20

　3.6.

　语音系统 .................................................................................................................. 错误! 未定义书签。

　1. 网络 建设需求 设计 1.1. 现状分析

　 政府机构应用现代信息和通信技术，将管理和服务通过网络技术进行集成，在网络上实现政论组织结构和工作流程的优化重组，超越时间、空间与部门分隔的限制，全方位地向社会提供优质、规范、透明、符合国际水准的管理和服务。

　1.2. 建设需求分析 针对政府行业的网络建设，网络中存在多个子网:办公系统、门户系统、安保系统、IP 语音/多媒体、访客系统网络等。在网络建设时，必须满足以下需要：

　网络建设需求：

　1、 高性能网络平台：接入到汇聚，以及汇聚到核心均采用万兆连接方式。保证语音的通信质量。

　2、 高可用性：任何链路故障或者网络设备的故障，整个网络必须能在 1s 内恢复，对上层的业务系统不造成任何影响。

　3、 各个网络进行逻辑隔离，各个网络互不通信，只有在需要的时候开通互通网络通道。

　4、 良好的容错性：有效避免人为故障，例如核心设备上插错端口，或者不小心连接成网络环路时，网络能够自动识别和定位故障点，并在无需人工干预的情况下快速自愈。

　5、 简化管理：新业务开通或者网络节点的开通必须简单易行，减少新业务部署时间。

　6、 PoE 能力：接入交换机全 PoE 供电能力。

　7、 预留新大楼接入端口 8、 内/外网认证系统 9、统一的管理

　2. 网络 建设方案 设计 2.1. 方案总体设计 网络进行规划设计，满足未来业务的需要，根据对政府网络的保密性、安全性，对网络进行逻辑隔离。根据管理和服务的功能定位，并依照业务种类、服务对象和安全性要求的差别，采用层次化分区设计方法对网络进行规划，将网络划分为不同层级和若干功能区域：

　网络规划如下图所示：

　如上图所示，根据政府网未来发展出发，网络分为四层，数据中心平面、骨干平面、接入平面、INTERNET 层；每个层面负责不同的功能职责，承担不同的要求，同时使用 SPB 技术，进行各网网络隔离。接入平面接入 IP 电话、模拟电话、PC、视频会议系统、无线 AP，来为整个政府网的用户进行服务。

　整个网络仍然采用分区、分层设计，通过中心机房、到各个楼、各个校区的树形网络拓扑，将整个政府网络连接起来，用户通过网络正常办公和数据中心访问，同时提供完善的信息服务和访问 Internet 服务。

　2.2. 各 平面 网络设计 2.2.1. 骨干平面 设计 骨干区是个整个网络的核心，所有区域都接入到骨干区，与各区域之间的数据都通过中心机房核心交换数据，从网络可靠性和安全性的考虑，核心应选择电信级设备进行组网。具体如下图：

　 骨干区核心采用 2 台数据中心级交换机，并通过堆叠技术，逻辑上将 2 台核心交换机虚拟成 1 台，提高网络的可靠性的同时，交换性能翻倍。

　骨干区楼楼宇汇聚采用 2 台交换机作为汇聚交换机，2 台汇聚交换机通过堆叠技术，逻辑上将 2 台核心交换机虚拟成 1 台。配合核心交换机的配置 SPB，将上联带宽进行捆绑，提高上行链路的带宽。如下图所示。

　 2.2.2. 数据中心设计 及安全 数据中心区是数据服务的核心，是政府网管理者对用户提供信息化服务的服务器所在，因此接入的带宽和网络接入的可靠性是非常重要的，而服务器的安全也需要按着需求进行安全全部署，以保障服务器的安全。

　考虑到数据中心将会承载大量的数据，对带宽和可靠性要求高，因此网络设计如下图：

　 如上图所示，数据中心作为一个单独区域，拥有独立的核心交换机，与骨干区的核心分开独立，同时服务器交换机前端需要使用防火墙进行服务器防护，提高各区域之间的安全可控。考虑到未来的发展，此种部署模式，可大大降低数据中心的风险，政府工作人员需要访问数据中心时，通过政府内网网络访问数据中心服务器应用。

　同时在数据中心部署网管平台管理政府网络交换机，进行统一的管理，认证平台 NAC 对所有接入网络的用户进行认证。保证内部接入的访问安全。

　服务器区采用双设备，冗余的设计，配置 2 台数据中心级交换机作为服务器接入，2 台交换机采用堆叠技术逻

　辑上组成 1 台，保证服务器的正常数据交互。

　2.2.3. Internet 访问区设计 及安全 Internet 访问区主要提供用户的上网服务，对于 Internet 的带宽的合理利用和审计，需要在出口部署安全产品进行限制。具体拓扑图如下：

　如图所示，鉴于加强 Internet 的可靠性，不仅在增加出口带宽的同时，对冗余出口进行设备的冗余部署，以避免单点故障的产生。

　对于安全性，建议采用防火墙进行安全防护，防护来自于 Internet 上的安全攻击，对于多条运营商链路带宽，建议采用负载均衡器设备，由负载均衡器进行链路的选择，充分利用多条链路带宽，以实现链路带宽的合理使用，保障用户上网的速度和良好体验。

　2.2.4. 接入区 设计 接入区为每栋楼的网络系统，楼内包括楼层汇聚点和各楼层之间的接入设备，同时也包括一些楼内的电话系统、监控、无线点的部署（提供楼内无线的覆盖）。

　 如上图所示，楼内网络采用二层架构，楼内汇聚和接入，楼内汇聚建议采用交换机，通过堆叠技术将 2 台物理设备虚拟化逻辑上 1 台，并配核心交换机运用 SPB 技术将上联线路捆绑，进行快速的收敛网络。形成可靠性连接，同时网络带宽成倍增加。2 台楼内汇聚分别下行千兆光纤到接入，接入交换机采用千兆接入交换机，上行千兆连接楼内汇聚交换机，下行千兆连接终端，满足接入用户的上网需求。

　2.2.5. 安全设计 在数据中心和 INTERNET 出口中部署防火墙，提供了高级安全防护功能包括状态检测防火墙、VPN、防病毒、IPS、Web 过滤、反垃圾邮件与流量控制等功能，同时外网网络需要访问内网网络时，进行安全防护和访问控制。保证网络的安全， 防火墙主要特点如下：

　1、采用 ASIC 加速硬件与专用安全操作系统

　2、提供应用层的安全

　3、虚拟安全域(Virtual security domains)与安全区域(security zones)

　4、高可用性

　5、安全区域(security zones)与基于策略的(policy-based)设定

　6、动态路由协议(Dynamic routing protocols): RIP, OSPF, BGP

　7、详细的记录与报表

　2.2.6. 全网逻辑图 在所有网络交换机上启用 SPB 新一代网络技术，网络逻辑拓扑图如下所示：

　所有为网络设备会组成一张网络云平台，云平台的所有节点通过动态拓扑维护协议来自我识别，自我管理以及自我维护。核心层所有设备之间可以按需连接，整个网络可以组成一张网状网，同时数据流量还能在多个路径中负载均衡，保障整个网络的高效运转。

　此外，由于 SPB 数据中心网络协议的优良设计，任何节点或者链路的故障时，网络都能在 200ms 之内切换到冗余节点或者链路上。

　综合来说，SPB 技术提供了一个“业务永远在线”的网络平台，具体的优势体现在：

　1、弹性：

　任意设备或者链路的故障网络将在 200ms 内自愈，不会对政府业务造成任何影响。

　2、简洁：

　新的大楼网络节点接入，例如新大楼接入或新业务开放时，所有配置均在网络接入层交换机上配置，网络核心和汇聚不需要再作任何变动，真正的“零配置”核心和汇聚。

　3、高效：

　自动寻找最佳路径传输，支持多条路径的负载均衡。网络所有链路和节点都处于工作状态，物尽其用。保护了用户的投资。

　4、健壮：

　网络拓扑由设备自主维护人为操作失误不会影响网络正常运转，例如：正常情况下，SPB 网络可以允许科室使用自带的家用交换机扩展网络，而一旦该交换机的环路可能会造成了网络风暴，影响到整个网络安全，则 SPB 网络能自动定位到相应物理端口并自动禁用，保障业务的正常运行。

　2.3. SPB 网络技术简介 传统网络的局限数不胜数，例如不可靠，无法预测；难以达成有效规模；复杂度无法避免；资源利用率低下；新服务配置使用延误，服务时效缓慢；维持通信流的独立非常困难，等等。

　网络核心透明化是未来网络和数据中心的目标。将数据中心和核心基础设施合二为一，无缝整合各种服务（通常我们指的是虚拟计算系统提供的各类应用），借此，可用性、性能和效率都能得到显著提高。当网络支持简单高效、且高度细化的映射功能时，简化服务编排将成为可能。

　创建网络透明性基础所采用的技术将和最短路径桥接-也即 SPB，SPB 以运营商级技术为基础，今天已经在许多服务提供商网络中得到了实践检验。它在简化性、可扩展性、性能、可靠性、服务编排与服务抽象等的关键领域提供了多种新功能。

　这种透明网络围绕一个功能强大的容错、自知性核心而建造，其设计特色在于服务供应只发生于网络边缘。优势立竿见影，显而易见；管理工作明显减少，错误得到避免，服务速度也大大加快。

　SPB 的一大特点是，它遮蔽了设备、链路和协议，通过一个逻辑上的扩展以太网 LAN，为多个端点提供连接。这个概念非常简单，并且 SPB 是以一种相当特别而有趣的方式实现它的。它采用了一种名为 Intermediate

　System-to-Intermediate System（IS-IS）的既有动态链路状态路由协议，并对其加以扩展，在 SPB 域的各个节点之间共享拓扑、可达性和设备信息。每个节点都依据自己的判断审视网络，包括抵达任意目的地的最佳路径，因而得以创建出一个全面分布式、动态维持的解决方案。各个 SPB 节点围绕域的周边创建、并分发一个包含其所直接支持的全部附加服务、服务器和网络的数据库。通过将客户 MAC 地址（C-MAC）封装到基于 802.1ah 格式的报头内，SPB 可有效的使网络核心看不到边缘；SPB 云端内部的节点逻辑上同客户网络相脱离，确保了其扩展能力和稳定性。

　重要的是，这种解决方案还带来了出色简化性，特别是在供应领域。虚拟 LAN（VLAN）的概念会广为人知，每个 VLAN 通常都与一个独特的 IP 地址范围相关联；服务器被分配到适合的 VLAN，并获得一个地址。应用与服务器虚拟化使系统很难支持动态虚拟化，再加上横跨扩展数据中心管理 VLAN 分发所可能带来的麻烦，网络复杂化进一步加剧。SPB 将每个 VLAN 例程分别映射到一个服务标识符（称为 I-SID），用于向网络告知这些服务，从而完美解决了这个矛盾；各个需要连接的 SPB 节点会自动计算自己的最短路径，输入其转发数据库。用户既不需要配置核心来传递服务 VLAN，也无须管理路径选择或冗余性，同时更避免了配置出错的风险。

　作为 SPB 模式的一大额外优势，传统网络所固有的许多稳定性问题得到彻底避免。考虑到拓扑由 IS-IS（而非生成树）管理、以及客户网络内部的 MAC 地址向核心隐藏等等各种因素，网络边缘的循环、广播风暴等不会影响核心或其它任何客户环境。避免环路是传统以太网络的根本特征之一，然而，SPB 则引入了循环抑制方法，来优化拓扑改变期间的转发决定。

　网络性能将得到全面优化，因为 SPB 从根本上即围绕“最短路径”连接而成立。通过在通用服务之间创建对称最短路径，SPB 让所有可用资源都能达成最佳可能利用率，事实上它支持多条同等成本路线，因此负载共享可自动实现。

　老式生成树网络内部基于远程根的阻塞路径和次优路径的种种限制已经消失。得益于 SPB 路径的对称特质，SPB 提供了可预测路径选择，用以协助运营诊断和管理。

　下面为 SPB 设计的网络示意图

　需要注意的是，由于 SPB 在整个网络范围内执行单一链路状态信息摘要交换，各条根路径之间不再需要协商。这意味着，为实现网络覆盖所交换的信息数量同拓扑改变次数、而不是网络中组播树的数量成正比。可能改变多个树的简单链路事件在传递时只发送链路事件本身；同样的，可能涉及到数百个树的重建的桥移除事件在传递时也只发送几个链路状态更新。

　最后，SPB 可称为真正的数据中心“量身定制”；它与多种不同的服务器/应用虚拟化技术完全兼容，例如VMware 和 Hyper-V 等。SPB 还全面支持 Microsoft 的二层网络负载均衡解决方案（NLBS），并对现有的三层冗余技术 VRRP 透明。简而言之，SPB 在数据中心内部扩展二层功能，让这一公认的最有效传输层的效率再获提高，同时使其更具扩展能力。

　在二层透传模式下，如在建立的 VLAN 透传透传模式下，虚拟服务园区网不需要为上层这些应用系统创建和规划 IP 地址，下层的虚拟服务网对上层完全透明，任何 IP 层的故障对于底层网络而言，均无关联，彻底屏蔽和本地化故障。

　三层 IP 捷径路由则由虚拟园区网直接提供路由，不需要额外的路由设备。路由的设计也非常简洁，路由跳数相比传统的园区网大大减少。

　上层功能与 VRF 这可以进一步提供路由表的分离，来实现 IP 层面的虚拟化

　VSN 之间的路由则可以进一步提供增强功能，在提供 IP 层面虚拟化之后，还可以提供虚拟服务网络之间的路由。在这个园区网络中即实施逻辑的业务之间的分离，又可以实现 VSN 之间的互通。

　2.4. 有线网络架构（SDN 架构）

　在传统网络中，数据平面是网络的一部分，提供规则来管理数据包。

　SDN 是一种新型的网络架构，它的设计理念是将网络的控制平面与数据转发平面进行分离，网络设备只负责单纯的数据转发，而原来负责控制的操作系统将提炼为独立的网络操作系统，负责对不同业务特性进行适配，通过编程实现。

　通过部署基于 SPB 协议的 SDN 有线网络，可以达到核心零配置，这样管理就更加简单方便。共享基础网络设施，可将内网等多个网络采用一套硬件设备进行虚拟化隔离组网，大大减少了设备的资源浪费和用户投资压力。无需使用任何 VPN 设备即可安全、可靠、简单、方便的打通政府、远程站点之间的通讯。可以跨互联网进行通讯，组成一个虚拟数据中心，重要数据可以进行异地备份。可对各种用户类型统一做不同的身份认证、流量管理及计费，如用户采用 802.1x 认证方式，政府访客采用 Web Portal 方式认证。

　通过 SPB 协议，可以使政府各种应用系统完全隔离，并且也是在网络边缘进行简单配置。整个网络虚拟连接云，用户和网管人员都无需关注网络拓扑，设备配置等细节，所有节点具备对称的一致性配置，网络设备变得即插即用：配 ID，启协议，插网线。

　2.4.1. 灵活的语音视频支持

　为每个组播组自动创建虚拟视频子网络，分配不同 ID 号，用户终端通过传统的组播注册功能，自动加入所需的虚拟视频子网络中。

　网络设备自动维护拓扑，网络配置命令减少 25 倍，拓扑变化时，视频流恢复时间小于 1 秒摄像头承载能力提升数十倍，可达数万规模。

　2.4.2. 边缘部署、保护现网架构 使用 avaya 4500 系列交换机部署在政府网络边缘，可以在不改变原网络架构下，快速部署一套基于 SPB 协议的 SDN 架构网络 2.5. ONA 架构

　Open Networking Adapter(ONA)开放网络适配器，在可保证原有网络不改变的情况下，PC、POS（收费网络）等设备连接 ONA 设备结合 SPB 技术建立虚拟加密通道，通过内网络或者互联网网络直接和该服务器群组进行网络互联。只需要接入端和核心端使用 avaya 设备即可，中间的网络交换机仍可用原有品牌即可。

　通过 ONA 设备，IT 管理网可以非常方便的管理远端的设备，减少运维成本。

　2.6. 认证、计费系统

　提供 SSO 服务，管理整个系统的账号。这些账号仅限于系统的管理账号。

　基于 RADIUS 的多级认证、计费系统。支持虚拟运营商，支持不同组织单位之间的隔离。虚拟运营商之间的计费系统在数据库层完全独立。

　PORTAL 系统分为前后台。前台 PORTAL 系统负责展示 PORTAL 页面。后台 PORTAL 系统就是策略系统，负责对 5W+B 策略进行设置 包括虚拟运营商管理系统，代理商管理系统，组织单位管理系统三个级别虚拟运营商拥有独立的认证计费系统，独立的广告管理权限，基于有线/无线的 PORTAL 管理权限。

　虚拟运营商会根据 PORTAL 页面的尺寸和出现的场合，设置相关的展板。在展板中投放广告内容 广告的内容和 PORTAL 的页面需要结合后才能生效 最终能够实现管理、认证统一 政府网络接入中，办公用户接入网络进行 802.1x 认证，访客用户使用 WEB Portal 认证 1、 内网访问—802.1x+AAA 办公用户使用的认证计费系统，只是针对安全接入，只认证不进行计费。内网主要用途是承载内部员工访问内部各种应用。员工接入网络使用 802.1x+AAA 的方式接入网络。保证网络安全。

　2、 外网访问—WEB Portal+AAA 外网访问主要针对访客访问外网，不进行计费，对外网特别是 INTERNET 的访问需要进行严格的管理，实施针对访客的认证、授权、管理，不仅能提高网络使用的安全性，还能够打造出可运营的新一代网络。

　2.7. 运维管理 2.7.1. 云管理平台--- 基于 SDN 架构 云管理平台基于 SDN 架构网络管理平台，由集中的控制器管理，无须依赖底层网络设备（路由器、交换机、防火墙），屏蔽了来自底层网络设备的差异。而控制权是完全开放的，用户可以自定义任何想实现的网络路由和传输规则策略，从而更加灵活和智能。可提供全网设备（无线、有线）全网用户（使用者、管理者）等管理，并对数据进行实时监控、统计、报表。

　2.7.2. 配置简单 采用 SPB 协议进行矩阵式组网，大大简化了传统星形组网的复杂配置，网络实施周期大大缩短，节省项目实施的人力成本及时间成本。

　2.7.3. 管理维护成本低 核心网络 0 配置，所有配置仅仅发生在边界节点，用户能更关注自身的业务，而不会将时间、金钱浪费在设备和网络的维护上，从维护人员投入以及维护人员学习层面也大大节省了投入。

　2.7.4. 原有网络设备投资保护 所有视频监控头，均通过 avaya 交换机或 ONA 连接网络，即可组建视频监控虚拟网络。只需要接入端和核心端使用 avaya 设备即可，中间的网络交换机仍可用原有品牌即可， 最大化利旧，保护用户原有投资。

　2.7.5. 低耗能绿色环保 相比其他品牌设备，耗能减少 30%左右，绿色环保节能，为客户减少了大量费电支出。

　3. 产品介绍 3.1. 本地云节点—NAC 6 个 10/100/1000 电口或 4 个 1000SFP 端口，最大可接 2048 个 AP

　 3.2. 中心云管理平台 最大支持 128 个本地元节点-NAC

　3.3. 有线产品 3.3.1. 接入交换机—ERS 3500 系列 24 口 10/100/1000Mbps POE 端口，4 个 SFP 端口，2 个堆叠口

　3.3.2. 支持 SPB 交换机-ERS 4000 系列 24/48 口 10/100/1000Mbps POE 端口，2 个 SFP 端口，2 个堆叠口

　 3.3.3. 支持 SPB 交换机—VSP8404 系列 4 板卡槽位、4 个风扇模块化交换机

　3.4. ONA 产品

　3.5. 安全产品

　高达 160Gbps 吞吐量，极低的延迟，最高支持 5000 万并发会话。

　云计算环境下的多租户支持和网络虚拟域支持 通过单一平台简化企业、分支机构和数据中心网络的运维

相关热词搜索：方舟 解决方案 政府