设计需求

　　作为W市政府将来的工作中心，W市民中心对网络的应用要求比较高，包括语音信箱、电子信箱、语音应答、可视图文、传真图像、数据业务通讯、桌面会议电视系统、VOD视频点播系统等。需要建立一个技术先进、扩展性强、能覆盖所有功能区域的主干网络，将W市民中心的各种工作站、终端设备和局域网连接起来，并与有关广域网相连，形成结构合理、内外沟通的计算机网络系统，并在此基础上开发各类信息库和应用系统，建立满足政府业务、指挥协调和管理需要的软硬件环境，为各类工作人员提供充分的网络信息服务。具体需求如下：

　　1. 资源高度集中且共享的数据中心

　　市民中心的数据中心需要通过统一的政务信息资源目录体系与交换体系，依法共享政府部门业务数据，并对院内单位服务资源进行托管。未来将进一步整合资源，通过云计算平台，为院内单位提供计算和存储资源。

　　具体业务需求分为如下几类：

　　1）私有业务

　　W市民中心网络能够实现和区县委办局的纵向互访。不同部门之间不能够相互访问。内部局域网需要和电子政务网对接，各部委办局能够通过纵向系统访问其所属的上级机关。

　　2）共享业务

　　各部门将允许其他部门访问的共享资源放在共享服务器上，组成一个共享域。各纵向系统能够主动发起对共享系统的访问，共享系统不能主动访问纵向系统，从而保证纵向系统的安全。

　　3）跨部门业务

　　若个别部门有业务交互的需求，可将这部分服务器单独部署，并在相应部门的VPN中发布此段路由，实现互访的需求。

　　总体来说，需要重点实现两个方面的需求：

　　安全隔离。保证各业务系统逻辑网络的相对独立性，以满足不同业务系统对拓扑结构、安全性、服务质量、管理的要求；

　　受控互访。各业务系统之间的流程整合需要提供相互访问的途径，而且要保证访问的安全性。

　　2. 统一的政务内网和外网平台

　　1）政务外网建设

　　政务外网连接全市各级党政机关，主要用于运行面向机关内部的办公和面向社会的监管服务等非涉密业务，是各部门构建业务专网的基础平台，实现跨部门、跨单位信息交换和协同办公的工作平台，并为网上政府服务提供后台支撑。

　　建成后，将推行全市统一的办公信息系统，市级党政机关和区县政府通过统一的办公业务平台实现公文、信息、值班、会议、督查、信访、汇报演示等通用办公业务的电子化和自动化，进一步提高政府办公决策的效率和应急指挥能力。工商、财政、税务、宏观经济、公共安全、质量监督、社会保障、农业、旅游、海洋、信用监管、业务协同等优先建设的公共服务和社会管理业务也将逐步实现数字化和网络化的系统处理。

　　政务外网要设立互联网统一出口，内部用户对外访问要统一管理，统一审计。政府门户网站以用户为中心，成为政府信息公开、提供公共服务和接受社会监督的重要平台和窗口；实现大部分行政许可项目的网上查询和在线处理。

　　2）政务内网建设：

　　政务内网连接全市各级机关、省政务内网及多个部门专网，部分业务涉密。在确保信息安全的前提下，实现纵向互联，横向互通。市民中心基础网络平台要提供逻辑隔离的通道和基本安全保护措施。

　　方案设计架构及说明

　　1. 网络平台设计思路

　　此处以电子政务外网为例，内网与外网基本相同。W市民中心网络集中了近百个单位共用网络、Internet出口和一些资源服务器，各自的办公和生产业务需要与其他业务隔离开来，需要对不同部门/群组用户的资源访问权限进行控制，不同业务间的网络传输也需要安全隔离，这种隔离指的是访问、传输、应用端到端的隔离。传统的物理网络隔离方案会导致网络重复建设、分散管理、安全策略难部署、无法提供统一的应用服务等问题，大大增加用户在网络投资、建设和运维、管理方面的负担。

　　H3C虚拟园区网解决方案把共用的一套物理网络、客户端、服务器资源虚拟出多套逻辑资源，供不同的群组/部门、业务使用，并根据业务和应用划分访问权限和业务流向、安全隔离，同时根据需要提供灵活的互访控制。如图1所示。

图1 网络虚拟化逻辑示意图

　　W市民中心内每个单位既有独立的业务系统又有公共业务系统。既能保证各家单位访问公共系统资源，又能保证各自的独立业务系统不被非法用户侵入，正是本方案设计的一大亮点。接入层设备根据客户端认证的用户身份信息动态分配对应相应权限的VLAN，汇聚层设备根据VLAN ID映射到对应的VPN。具体设计见图2：

图2 基于不同的用户群组划分入不同的虚拟网络原理图

　　2. 数据中心区设计思路

　　既要保证各个部门的数据资源安全的共存于数据中心，又要以“私有业务”、“公共业务”和“共享业务”等多种形式被市民中心内外部各单位和市民们访问，采用虚拟化和一体化等技术，可以满足以上需求。

　　1) 虚拟化

　　多种应用承载在一张物理网络上，通过网络虚拟化分割（纵向分割）使不同政府机构相互隔离，但可在同一网络上访问自身应用；将承载上层应用的多个网络节点，进行整合（横向整合），虚拟化成一台逻辑设备，提升数据中心网络可用性、节点性能的同时极大简化网络架构。

　　网元虚拟化——横向整合 简化网络架构

　　根据W市民中心数据中心网络可靠性要求高、管理难度大等特点，采取IRF2虚拟化技术整合物理节点，将多台设备连接，“横向整合”起来组成一个“联合设备”，并将这些设备看作单一设备进行使用和管理。虚拟化后的设备组成了一个逻辑单元，在网络中表现为一个网元节点，同时支持跨设备链路聚合，不仅极大简化了网络逻辑架构，进一步增强冗余可靠性，而且使得管理简单化、配置简单化，改变了传统网络规划与设计的繁冗规则，在支撑上层应用快速变化的同时实现IT网络运行的简捷化。

　　市民中心数据中心的简洁化架构——横向整合的虚拟化如图3所示：

图3 数据中心简化架构对比图

　　通道虚拟化——纵向分割 实现逻辑隔离

　　如果把一个物理网络分隔成多个不同的子网络——它们使用不同的规则和控制，用户就可以充分利用基础网络的虚拟化路由功能，而不是部署多套网络来实现这种隔离机制。

　　网络虚拟化并不是什么新概念，因为多年来，虚拟局域网（VLAN）技术作为基本隔离技术已经广泛应用。当前在交换网络上通过VLAN来区分不同业务网段、配合防火墙等安全产品划分安全区域，是数据中心基本设计内容之一。

　　出于将多个逻辑网络隔离、整合的需要，VLAN、MPLS-VPN、Multi-VRF技术在路由环境下实现了网络访问的隔离，虚拟化分割的逻辑网络内部有独立的数据通道，终端用户和上层应用均不会感知其它逻辑网络的存在。在每个逻辑网络内部，仍然存在安全控制需求，对数据中心而言，访问数据流从外部进入数据中心，则表明了数据在不同安全等级的区域之间流转，因此，有必要提供逻辑网络内的安全策略，而不同逻辑网络的安全策略有各自独立的要求。可以将一台安全设备可分割成若干台逻辑安全设备（即成为多个实例），从而很好满足了虚拟化的深度强化安全要求。

　　网络虚拟化技术在数据中心端到端总体设计中发挥着重要作用。如图4所示，虚拟化网络与虚拟化安全的整体结合，以及通道化设计，构成了完整的数据中心基础网络架构。

图4 数据中心虚拟网络和安全整体结构图

　　2) 一体化

　　网络的安全风险问题，归结起来主要在以下环节上：

　　一、内部网络与外界的接口，如Internet接入口处；

　　二、内网各节点之间的互联，容易造成区域的安全风险问题；

　　三、通过Wlan、VPN等多种非传统手段，接入到内部网络中；

　　四、关键的数据中心或服务器区，容易遭受的有目的的攻击。

　　除此之外，还有像安全接入、安全隔离、安全过滤和安全管理等方面的问题。对于进入万兆时代的网络应用而言，如何规避这些来自风险，无疑是一种挑战。

　　在传统的数据中心建设中，为了应对各种安全威胁和信息泄漏，更多采用的方法是在原有数据中心网络上修修补补，遇到什么问题就部署对应的安全设备进行防护，这虽然可以解决出现的安全问题，但随着网络威胁的不断增加，不同功能的安全设备逐一部署进来，到最后我们看到的网络更像是一个“糖葫芦串”，这种串行网络给数据中心带来了巨大的“麻烦” ——维护、可靠性、性能等更加棘手的问题。

　　针对该问题，可以采用一体化的融合网络来建设一个智能的数据中心。通过在核心交换机中融入FW（防火墙）模块、IPS（入侵防御）模块、LB（负载均衡）模块等7种业务模块，在网络基础平台上实现高性能的安全保障和应用优化，解决传统数据中心在部署安全策略和应用优化时的各种问题（如图3所示）。

图5 传统安全设备“糖葫芦串”部署与安全插卡部署效果对比图

　　当前在交换机中集成防火墙等安全业务线卡已经成为数据中心基础安全实施的一个主流方向，这种架构促进了数据中心网络安全的快速部署、简捷运行。不仅传统网络中离散的安全控制点被整合进来，集成的安全模块之间仍然延续了IRF2虚拟化能力，而且双机冗余设备中插入的多块防火墙模块，在通过IRF2对交换机进行虚拟化整合后，本质上如同插在一台交换机上。这进一步强化了基础网络安全，并使整个数据中心具备更为简洁的架构。

　　3. 市民中心整体设计架构

　　根据业务需求和物理位置，以及不同区域的业务特点，把外网分为园区接入区、数据中心区、管理区、Internet接入区、院外单位及区县接入区、上行省政务专网区等区域。如图6所示：

图6 W市民中心外网柘扑图

　　1) 园区网设计

图7 园区拓扑图

　　如图7所示，网络采用双核心设计架构，在核心层及汇聚层运用IRF2技术将交换机虚拟化。与传统的STP+VRRP相比，采用了IRF2既实现了设备冗余有效地保障网络稳定性，又简化了网络结构、设备配置以及管理，同时使得网络的收敛时间大幅降低。

　　2) Internet接入区设计

图8 Internet出口设计

　　如图8所示，在市民中心电子政务外网的Internet出口可以部署一台汇聚交换机，并配置负载均衡（LB）、防火墙（FW），SSL-VPN、IPS、ACG等多种安全板卡，进行2~7层的立体安全防护。

　　3) 数据中心拓扑设计

　　通过对数据中心业务系统的研究，按照业务需求、业务数据流向、IT安全需求、后期的管理维护等，数据中心网络划分为如下三大区域：

• 　　单部门业务服务器区；
• 　　跨部门业务服务器区；
• 　　公共业务服务器区。

　　数据中心保存了市民中心各单位最核心的业务数据，其安全性尤为重要。各个部门、跨部门和公共业务服务器对于安全需求各异，如果通过普通安全设备会使组网复杂，而且后期业务调整难度加大。基于模块化设计思路，汇聚层是最合适各种安全部署的层面，所以出于可靠性、扩展性考虑，各个分区均采用全部件冗余和扩展性极强的机框式设备作为汇聚设备，并且通过防火墙、IPS、SSL VPN和负载均衡插卡进行弹性设计，在简化网络拓扑的同时，通过虚拟化技术针对不同类型服务器灵活部署安全策略。

　　其中，各区域安全部署的原则为：

• 　　防火墙：作为各个区域标配，进行访问控制，具有易维护、高安全的特点；
• 　　负载均衡：作为选配，对那些负载较高的服务器进行服务器负载均衡，同样具有易维护、高性能的特点；
• 　　SSL VPN：作为选配，主要通过身份认证、加密传输、细粒度划分权限的技术手段保证区域内更高安全性的资源访问；
• 　　IPS：作为选配，主要保证数据中心核心数据安全，防范入侵、病毒等威胁。

　　其具体网络拓扑如图9所示：

图9 数据中心结构图

　　结束语

　　W市民中心网络是一个跨部门、跨行业信息交换和协同办公的工作平台，并为网上政府服务提供后台支撑。H3C针对性地提出数据中心网络解决方案和虚拟园区网方案，采用了硬件备份、冗余等可靠性技术，不仅在在网络边界处设置安全网关进行访问控制，还从用户接入内部网络、访问数据中心资源、访问外部网络资源等，都进行了端到端的安全设计。此外，还实现了全面智能化管理，从而提高整个网络的运行性能和可靠性，在简化网络维护工作的同时，为办公、管理提供最有力的保障。