1、政府專網(wǎng)技術(shù)專題培訓(xùn),全國政府專網(wǎng)存在的主要問題及 下一步解決方案,網(wǎng)絡(luò)架構(gòu)問題 省級政府專網(wǎng)接入方式問題 符合要求的部門局域網(wǎng)接入政府專網(wǎng)問題 IP地址使用問題 域名服務(wù)器部署問題 防火墻問題 加密機(jī)問題,一、網(wǎng)絡(luò)架構(gòu)問題,現(xiàn)狀 政府專網(wǎng)采用以國辦為樞紐的星型架構(gòu)，即在京所有部門均采用專線方式接入國辦，各地方政府采用2M 幀中繼線路接入國辦,全國政府專網(wǎng)連接現(xiàn)狀,一、網(wǎng)絡(luò)架構(gòu)問題,存在的不足 目前全國政府專網(wǎng)的網(wǎng)絡(luò)架構(gòu)比較脆弱。 第一，國辦是整個政府專網(wǎng)的樞紐，所有地方和部門的網(wǎng)絡(luò)均接入國辦，一但國辦節(jié)點(diǎn)出現(xiàn)問題，全國各地區(qū)、各部門間的網(wǎng)絡(luò)聯(lián)通都要受到影響； 第二，各節(jié)點(diǎn)均只有一條鏈路接入國

2、辦，沒有備份，一但該鏈路發(fā)生故障，將與整個政府專網(wǎng)斷開。,一、網(wǎng)絡(luò)架構(gòu)問題,下一步解決方案 1、中央城域網(wǎng) 中央城域網(wǎng)采用接入、匯聚、核心三層架構(gòu)，設(shè)34個核心節(jié)點(diǎn)，10余個匯聚節(jié)點(diǎn)，100余個接入節(jié)點(diǎn)。每個單位為一個接入點(diǎn)，分別采用2條鏈路上聯(lián)至2個匯聚節(jié)點(diǎn)，每個匯聚節(jié)點(diǎn)上聯(lián)至2個核心節(jié)點(diǎn)，核心節(jié)點(diǎn)間兩兩互聯(lián)，國辦作為一個接入節(jié)點(diǎn)，直接接入核心節(jié)點(diǎn)。如下圖所示。,中央城域網(wǎng)網(wǎng)絡(luò)架構(gòu)圖,一、網(wǎng)絡(luò)架構(gòu)問題,一、網(wǎng)絡(luò)架構(gòu)問題,下一步解決方案 1、中央廣域網(wǎng) 中央廣域網(wǎng)設(shè)2個骨干節(jié)點(diǎn)，31個?。▍^(qū)、市）分別采用2條鏈路上聯(lián)至2個骨干節(jié)點(diǎn)。2個骨干節(jié)點(diǎn)與中央城域網(wǎng)中的2個核心節(jié)點(diǎn)構(gòu)成RPR環(huán)，如下圖所

3、示。,中央廣域網(wǎng)網(wǎng)絡(luò)架構(gòu)圖,一、網(wǎng)絡(luò)架構(gòu)問題,未來政府專網(wǎng)總體網(wǎng)絡(luò)架構(gòu)圖,一、網(wǎng)絡(luò)架構(gòu)問題,二、省級政府專網(wǎng)接入方式問題,現(xiàn)狀 目前省級政府專網(wǎng)接入全國政府專網(wǎng)主要存在以下幾種方式： 通過防火墻接入全國政府專網(wǎng) 通過省政府辦公廳局域網(wǎng)接入全國政府專網(wǎng) 在省級政府專網(wǎng)與全國政府專網(wǎng)聯(lián)接處置流量控制設(shè)備,二、省級政府專網(wǎng)接入方式問題,1、通過防火墻接入全國政府專網(wǎng) 全國政府專網(wǎng)建設(shè)初期國辦配發(fā)的防火墻有3塊網(wǎng)卡，1塊接路由器，1塊接省政府辦公廳局域網(wǎng)，1塊接省級政府專網(wǎng),二、省級政府專網(wǎng)接入方式問題,2、通過省政府辦公廳局域網(wǎng)接入全國政府專網(wǎng),二、省級政府專網(wǎng)接入方式問題,3、在省級政府專網(wǎng)與全國

4、政府專網(wǎng)聯(lián)接處設(shè)置流量控制設(shè)備 部分地方政府為確保國辦政府專網(wǎng)的安全及省政府辦公廳與國辦專網(wǎng)的聯(lián)接，在省級政府專網(wǎng)上聯(lián)國辦政府專網(wǎng)的網(wǎng)絡(luò)上架設(shè) 了流量控制等設(shè)備，對流量和訪問進(jìn)行控制。,二、省級政府專網(wǎng)接入方式問題,存在的不足 采用上述幾種方式，都使得省級政府專網(wǎng)與全國政府專網(wǎng)的聯(lián)接存在瓶頸，直接影響部門縱向業(yè)務(wù)應(yīng)用的開展。,二、省級政府專網(wǎng)接入方式問題,下一步解決方案 下一步全國政府專網(wǎng)建設(shè)工作中，我們要求全國政府專網(wǎng)的骨干網(wǎng)聯(lián)接必須暢通，也即各省級政府專網(wǎng)與全國政府專網(wǎng)必須直聯(lián)，各地方不得在骨干網(wǎng)上架設(shè)防火墻、流量控制設(shè)備等，具體網(wǎng)絡(luò)建設(shè)方案示意圖見附圖。建成后，形成中央、省、市、縣四級架

5、構(gòu)，架構(gòu)圖見下圖。,二、省級政府專網(wǎng)接入方式問題,三、符合要求的部門局域網(wǎng)接入政府專網(wǎng)問題,現(xiàn)狀 多數(shù)部門采用單點(diǎn)或幾個點(diǎn)接入模式，沒能做到全網(wǎng)接入。,三、符合要求的部門局域網(wǎng)接入政府專網(wǎng)問題,存在的不足 政府專網(wǎng)資源沒有得到充分利用，多數(shù)部門工作人員無法利用政府專網(wǎng)實(shí)現(xiàn)與其余部門人員的信息交換。從應(yīng)用開展角度而言，目前的應(yīng)用多數(shù)限于國辦與部門間的應(yīng)用，部門與部門間以及部門向下的縱向辦公業(yè)務(wù)應(yīng)用沒有得到很好的開展。,三、符合要求的部門局域網(wǎng)接入政府專網(wǎng)問題,下一步解決方案 根據(jù)政府專網(wǎng)建設(shè)要求，各部門內(nèi)部局域網(wǎng)，只要跟互聯(lián)網(wǎng)物理隔離，原則上均應(yīng)接入政府專網(wǎng)。部門內(nèi)部局域網(wǎng)接入政府專網(wǎng)可采取如下

6、方案：,三、符合要求的部門局域網(wǎng)接入政府專網(wǎng)問題,下一步解決方案 這里需要特別強(qiáng)調(diào)一點(diǎn)的是共享應(yīng)用區(qū)的設(shè)置。共享應(yīng)用區(qū)是部門將來開展對外業(yè)務(wù)應(yīng)用服務(wù)器的部署區(qū)，包括對不同部門和本部門縱向業(yè)務(wù)的開展，該區(qū)內(nèi)所有設(shè)備的IP地址、域名都必須嚴(yán)格按照統(tǒng)一規(guī)劃進(jìn)行設(shè)置。,四、IP地址使用問題,現(xiàn)狀 國辦在建設(shè)政府專網(wǎng)時，給每個單位都印發(fā)了節(jié)點(diǎn)技術(shù)文檔，其中包括IP地址規(guī)劃。 國辦給每個單位分配了3段IP地址段： 內(nèi)網(wǎng)IP地址段 部門內(nèi)部局域網(wǎng)的IP地址，從1.0.0.08開始，每個省1個A類地 址，國務(wù)院組成部門1個A類地址，其他單位1個B類或C類地址。 共享應(yīng)用區(qū)IP地址段 共享應(yīng)用設(shè)備使用的IP地址

7、，全國統(tǒng)一使用222.0.0.08這個A類 地址段。 網(wǎng)絡(luò)互聯(lián)IP地址段 網(wǎng)絡(luò)設(shè)備互聯(lián)使用的IP地址，全國統(tǒng)一使用223.0.0.08這個A類 地址段。,四、IP地址使用問題,存在的不足 多數(shù)單位，特別是省級地方政府用內(nèi)網(wǎng)IP地址段規(guī)劃了全省政府專網(wǎng)的網(wǎng)絡(luò)地址，包括省里共享應(yīng)用設(shè)備和網(wǎng)絡(luò)互聯(lián)設(shè)備的IP地址，國辦分配的共享應(yīng)用區(qū)IP地址段和網(wǎng)絡(luò)互聯(lián)IP地址段沒有得到充分使用。,四、IP地址使用問題,下一步解決方案 逐步對網(wǎng)絡(luò)進(jìn)行調(diào)整，此次培訓(xùn)班上我們會請有關(guān)技術(shù)人員以實(shí)際例子來說一下IP地址如何進(jìn)行規(guī)劃和使用。,五、域名服務(wù)器部署問題,現(xiàn)狀 目前政府專網(wǎng)域名解析分為三級，根域和二級域名解析服務(wù)器

8、設(shè)在國辦，三級域名解析服務(wù)器設(shè)在各單位節(jié)點(diǎn)。 各節(jié)點(diǎn)存在兩個域名解析服務(wù)器，一是供內(nèi)部局域網(wǎng)用戶使用的域名服務(wù)器，一是供外單位用戶使用的域名服務(wù)器。兩個域名服務(wù)器解析同一級域名。,五、域名服務(wù)器部署問題,五、域名服務(wù)器部署問題,存在的不足 1、由于各節(jié)點(diǎn)存在2個同級域名解析服務(wù)器，因此本級域名增加記錄時，需要在2臺服務(wù)器上同時增加。 2、對外的域名解析服務(wù)器為防火墻，功能上略有不足，配置比較麻煩。,五、域名服務(wù)器部署問題,下一步解決方案 1、對域名系統(tǒng)進(jìn)行調(diào)整，此項工作正在配合國信辦開展，六大系統(tǒng)政務(wù)內(nèi)網(wǎng)的域名統(tǒng)一進(jìn)行規(guī)劃，各系統(tǒng)管理本系統(tǒng)的域名解析。 2、各單位對本節(jié)點(diǎn)域名系統(tǒng)進(jìn)行調(diào)整，設(shè)立

9、唯一的本級域名服務(wù)器，同時負(fù)責(zé)對本單位內(nèi)部及全網(wǎng)用戶的域名解析工作。,六、防火墻問題,現(xiàn)狀 政府專網(wǎng)建設(shè)初期，國辦統(tǒng)一配發(fā)了安勝防火墻，后期又對防火墻進(jìn)行了升級，各單位根據(jù)自己的實(shí)際情況選擇了不同類型的產(chǎn)品。 在政府專網(wǎng)網(wǎng)絡(luò)結(jié)構(gòu)中，防火墻承擔(dān)功能較多，包括NAT、郵件轉(zhuǎn)發(fā)、域名解析等等。,六、防火墻問題,存在的不足 1、防火墻承擔(dān)功能較多，且郵件轉(zhuǎn)發(fā)、域名解析等功能非防火墻產(chǎn)品特長，且占用資源較多。 2、防火墻產(chǎn)品在政府專網(wǎng)上擺放的位置過于靠前，造成骨干網(wǎng)絡(luò)上存在瓶頸。,六、防火墻問題,下一步解決方案 防火墻在政府專網(wǎng)上的位置后移，只保護(hù)各節(jié)點(diǎn)內(nèi)部網(wǎng)絡(luò)和共享應(yīng)用區(qū)設(shè)備的安全。同時將郵件轉(zhuǎn)發(fā)和域名解析功能去掉。,七、加密機(jī)問題,現(xiàn)狀 目前中央城域網(wǎng)采用中南海電信局的紅機(jī)專線，未使用加密機(jī)。國辦到各地方政府采用中辦機(jī)要局研制的鏈路加密機(jī)。,七、加密機(jī)問題,存在的不足 1、鏈路加密機(jī)允許帶寬較低，僅為2M。 2、鏈路加密機(jī)不穩(wěn)定