随着电子政务国干、省干的不断完善,为了充分发挥纵向网络平台的优势,电子政务城域网日益成为各级政府关注的焦点。
H3C电子政务城域网解决方案
H3C公司依靠强大的研发实力和对电子政务城域网建设需求的深入理解,紧紧围绕上文提到的四个城域网建设中主要的挑战点,提出了完整的电子政务城域网解决方案。
电子政务城域网的典型组网模型如下:
核心层设备可采用多台SR8800系列核心路由器或者S9500系列核心路由交换机,组成一个高可靠性的10G/2.5G RPR环网。
汇聚层PE设备,如果只提供以太网接入的,可采用S7500E系列交换机,对于性能要求比较高的PE设备可采用S9500交换机。NAT、防火墙功能可在PE设备上进行部署。
汇聚层PE设备,如果还需要提供E1等广域网接入的,可采用SR6600系列路由器。NAT、防火墙功能可在PE设备上进行部署。
汇聚层MCE设备,根据实际部署需求,可采用S7500E、S5500、S3610等系列交换机和SR6600等系列路由器作为MCE设备。如果需要NAT和防火墙功能,可选择S7500E交换机和SR6600路由器作为MCE。
在实际组网中,汇聚层设备、核心层设备经常会重叠。比如对于小型城市的城域网,有可能就一台P/PE设备,直接提供VPN用户的接入。
H3C公司提供的电子政务城域网解决方案具有以下特色:
(一)节约投资:PE和MCE上统一部署NAT和防火墙功能
由于各政府部门内部建网时,IP地址的规划是各自进行规划的。因此当不同政府部门需要进行跨部门横行联网时,就必须进行IP地址转换。
IP地址的转换,可以在接入城域网之前完成,但是要求所有加入互联的节点都需要配置地址转换设备。无形中增加了城域网接入用户的设备采购成本,从电子政务整体投资情况看,各自部署NAT设备在增加投资同时也增加了联网的复杂度。
同样的道理,如果各接入用户为了保护内部网络安全,通常需要配置防火墙设备来保护内部网受到攻击。
H3C提出了一个对NAT和防火墙功能进行统一部署的方案,大大降低了各VPN用户联网的成本。部署NAT和防火墙功能的拓扑示意图如下:
如上图所示,当PE设备采用S9500、S7500E交换机时,以及MCE设备采用S7500E时,可增加防火墙模块实现NAT和防火墙的功能。如果对NAT性能要求高的节点,还可以专门配置NAT专用模块提供高性能的NAT功能。
(二)精细化的网络管理
精细化的网络管理不仅涵盖了传统网管的主要功能,包括告警管理、性能管理、拓扑管理等,还包括对业务的部署配置管理、全网的安全状态监控和管理和网络流量分析和统计。
H3C提供的iMC智能管理中心,集成了QOS、ACL、VLAN等网络资源管理工具,并针对MPLS VPN的部署提供了MPLS VPN Manager业务管理,大大简化了VPN的部署和管理。
(三)应用层安全防护:部署H3C深度安全抵御方案
H3C公司的深度安全抵御方案,可防范对电子政务城域网中应用层数据及关键区域的攻击。深度安全抵御方案的核心是IPS,下图为H3C IPS的部署示意图:
H3C公司提供的IPS产品可以完美地解决城域网关键区域的应用层安全防护问题,可以被“in-line”地部署到网络当中去,对所有流经的流量进行深度分析与检测,从而具备了实时阻断攻击的能力,同时对正常流量不产生任何影响。H3C系列IPS产品,具备对4层到7层流量的深度分析与检测能力,同时配合以精心研究的攻击特征知识库和用户规则,即可以有效检测并实时阻断隐藏在海量网络流量中的病毒、攻击与滥用行为,也可以对分布在网络中的各种流量进行有效管理,从而达到对网络上应用的保护、网络基础设施的保护和网络性能的保护。