随着电子政务国干、省干的不断完善，为了充分发挥纵向网络平台的优势，电子政务城域网日益成为各级政府关注的焦点。

 

H3C电子政务城域网解决方案

H3C公司依靠强大的研发实力和对电子政务城域网建设需求的深入理解，紧紧围绕上文提到的四个城域网建设中主要的挑战点，提出了完整的电子政务城域网解决方案。

电子政务城域网的典型组网模型如下：

核心层设备可采用多台SR8800系列核心路由器或者S9500系列核心路由交换机，组成一个高可靠性的10G/2.5G RPR环网。

汇聚层PE设备，如果只提供以太网接入的，可采用S7500E系列交换机，对于性能要求比较高的PE设备可采用S9500交换机。NAT、防火墙功能可在PE设备上进行部署。

汇聚层PE设备，如果还需要提供E1等广域网接入的，可采用SR6600系列路由器。NAT、防火墙功能可在PE设备上进行部署。

汇聚层MCE设备，根据实际部署需求，可采用S7500E、S5500、S3610等系列交换机和SR6600等系列路由器作为MCE设备。如果需要NAT和防火墙功能，可选择S7500E交换机和SR6600路由器作为MCE。

    在实际组网中，汇聚层设备、核心层设备经常会重叠。比如对于小型城市的城域网，有可能就一台P/PE设备，直接提供VPN用户的接入。

    H3C公司提供的电子政务城域网解决方案具有以下特色：

（一）节约投资：PE和MCE上统一部署NAT和防火墙功能

由于各政府部门内部建网时，IP地址的规划是各自进行规划的。因此当不同政府部门需要进行跨部门横行联网时，就必须进行IP地址转换。

IP地址的转换，可以在接入城域网之前完成，但是要求所有加入互联的节点都需要配置地址转换设备。无形中增加了城域网接入用户的设备采购成本，从电子政务整体投资情况看，各自部署NAT设备在增加投资同时也增加了联网的复杂度。

同样的道理，如果各接入用户为了保护内部网络安全，通常需要配置防火墙设备来保护内部网受到攻击。

H3C提出了一个对NAT和防火墙功能进行统一部署的方案，大大降低了各VPN用户联网的成本。部署NAT和防火墙功能的拓扑示意图如下：

如上图所示，当PE设备采用S9500、S7500E交换机时，以及MCE设备采用S7500E时，可增加防火墙模块实现NAT和防火墙的功能。如果对NAT性能要求高的节点，还可以专门配置NAT专用模块提供高性能的NAT功能。

（二）精细化的网络管理

精细化的网络管理不仅涵盖了传统网管的主要功能，包括告警管理、性能管理、拓扑管理等，还包括对业务的部署配置管理、全网的安全状态监控和管理和网络流量分析和统计。

H3C提供的iMC智能管理中心，集成了QOS、ACL、VLAN等网络资源管理工具，并针对MPLS VPN的部署提供了MPLS VPN Manager业务管理，大大简化了VPN的部署和管理。

 

（三）应用层安全防护：部署H3C深度安全抵御方案

H3C公司的深度安全抵御方案，可防范对电子政务城域网中应用层数据及关键区域的攻击。深度安全抵御方案的核心是IPS，下图为H3C IPS的部署示意图：

H3C公司提供的IPS产品可以完美地解决城域网关键区域的应用层安全防护问题，可以被“in-line”地部署到网络当中去，对所有流经的流量进行深度分析与检测，从而具备了实时阻断攻击的能力，同时对正常流量不产生任何影响。H3C系列IPS产品，具备对4层到7层流量的深度分析与检测能力，同时配合以精心研究的攻击特征知识库和用户规则，即可以有效检测并实时阻断隐藏在海量网络流量中的病毒、攻击与滥用行为，也可以对分布在网络中的各种流量进行有效管理，从而达到对网络上应用的保护、网络基础设施的保护和网络性能的保护。