政府行政大楼解决方案

政府行政大楼解决方案

智能行政大楼基础网络架构

行政大楼的基础网络规划需要考虑多方面的问题：

◆多年来电子政务的建设使政府的业务对政务网络的依赖大为增加，政务网络承担着所有电子政务的运转和大量数据的传送，网络的故障将导致业务系统的中断，因此网络的可靠性格外重要。

◆政务网络的建设通常分期分阶段实施，因此需要网络具有良好的可扩展性，以满足网络不断发展的需要。

◆根据业务不同，将网络分成不同功能区域，便于网络的管理，并且可以在不同区域之间部署针对性安全策略。

◆数据中心承载着核心政务业务和大量重要数据，日常业务量远远高于普通网络设备，有时还会出现突发性浪涌数据流。对数据中心使用的交换机需要选择专业的数据中心交换机。

本次计算机网络系统拟分为外网及安防专网等两个网络，两个网络之间物理隔离。

图1：智能行政大楼基础外网网络架构

图2：安防专网拓扑图

高可靠组网和扩展能力：IRF2技术

为提高网络的可靠性和提高网络的性能，通常在关键节点进行双机冗余，在关键链路进行双链路冗余。然而，如下图所示，在可靠性提高的同时，网络结构也变得复杂。为了消除网络环路和实现负载分担，使网络的部署难度和管理难度都大大提高。

H3C第二代智能弹性架构技术（IRF2）以极大简化网络逻辑架构、整合物理节点、支撑上层应用快速变化为目标，实现IT网络运行的简捷化，改变了传统网络规划与设计的繁冗规则。IRF2即第二代智能弹性架构，是创新性建设网络核心的新技术。

运用IRF2技术，可以将多台交换机互联在一起，形成分布式交换架构，并作为一个逻辑交换实体运行。最为重要的是通过交换机之间的互相备份增强了设备的可靠性。当组成IRF2架构的任意一台设备发生故障时，通过其他设备的冗余备份，业务可以正常运行而不受到影响，减少了单点故障对网络的影响，大大提高了网络的可靠性。

图2 IRF2技术组网示例

如图所示，H3C交换机可以互相连接起来形成一个"虚拟设备"，这台"虚拟设备"无论在管理还是在使用上成为了一个整体。通过IRF2技术，扩展了设备的端口数量和交换能力，大大提高了设备的可扩展性；并且整个组作为一台设备进行管理，用户管理起来也非常方便。

IRF2技术向用户提供了一种新型的虚拟化技术，能为用户线性的扩展整个系统的性能，增强系统的可靠性，同时提供管理的便捷。对网络核心、汇聚和数据中心应用来说，是关键性的技术。

高性能网络的基石：数据中心级交换机

随着政府数据中心建设的深化进行，数据中心的物理服务器、存储系统数量快速增长，使得数据中心规模不断扩大。目前1Gbps～8Gbps级别的服务器、存储系统网络接口成为主流，从而使得基础网络系统的千兆接入、万兆互联成为数据中心建设的基本标准。万兆互联环境下，业务流量突发异常显著，根据网络观测，以1毫秒为间隔采集到的流量峰值是平均流量的2～3倍。而这样的突发数据流将导致在集中业务访问引起的流量突发情况下的大量丢包，这就要求采用专业的数据中心级交换机来解突发数据流引起的网络浪涌流量问题。

计算虚拟化的技术革新，使单一高计算能力物理服务器虚拟化成多个逻辑计算单元，极大提高了系统的计算效能以及对存储访问的高速吞吐。而由于等同于将此前的多个服务器应用系统叠加在一个网络接口下，网络流量急速提升，因此对数据中心基础网络提出了相当于传统环境下数倍乃至数十倍的性能要求。

同时随着数据集中、业务整合的过程，政务业务数据集中密度越来越高，表现为高密应用系统的集中。在高密应用集中环境下，基础网络的可靠性要求更为苛刻。局部网络产生的故障，对数据中心提供服务能力的影响比传统环境要更为严重。因此，对于网络变化的快速收敛、更强的故障自愈能力也成为下一代数据平台的要求。

对高性能设备和高密度应用的不断追求催生了专业数据中心级交换机，可以说数据中心级交换机是数据中心时代的标志性产品。数据中心级交换机不但应用于数据中心建设，在高性能园区网络和高性能政务大楼网络中也是更佳的选择。

H3C提供全系列的专业数据中心交换机产品，涵盖从核心到接入的各个层面。专业数据中心产品广泛应用于淘宝、百度、腾讯、搜狐等大型数据中心。

整体安全防护

对于安全的建设，"头痛医头、脚痛医脚"的现象比较普遍。大多数政府部门仍然停留在出现一个安全事故后再去解决一个安全隐患的阶段，缺乏对信息安全的全盘考虑和统一规划，这样的后果就是网络上的设备五花八门，设备方案之间各自为战，缺乏相互关联。

这种关心局部、忽视整体的建设方式，将直接导致对安全威胁的传播途径考虑不足，尤其在现阶段，安全风险不是孤立的出现，往往需要从网络的多个层面进行综合的防护才能有效解决。就如同病毒防护，需要考虑的因素包括internet网关的防病毒，桌面存储介质导致的病毒防护，以及需要考虑PC接入网络之前的端点准入认证，避免PC之间相互传播病毒等等。这种解决方案并不是单纯的依靠病毒网关、或者是客户端病毒软件安装所能解决的，而是需要考虑网络的病毒隔离防护、存储介质的使用限制等等。只有综合的解决方案，才有可能更好的解决问题。

整体的安全防护，应该全面考虑网络各个部分的安全风险，分别加以防护。政务网的安全防护重点及部署要关注以下几个方面：

1）大楼网络的内网安全风险控制：主要包括大楼接入用户的端点安全，用户的桌面安全管理，以及大楼不同部门之间的安全隔离和访问控制。同时，在涉密部门的安全控制中，需要考虑到信息泄漏的风险，因此对于桌面U盘等存储介质需要管控，对于员工的internet行为如QQ/MSN聊天等需要进行相应的解决方案部署。解决内网安全风险控制，可以通过部署EAD终端准入管理系统，对接入网络的用户终端实施安全策略，严格控制终端用户的网络使用行为。

对于要接入网络的用户，EAD解决方案首先要对其进行身份认证、安全认证，根据网络管理员定制的安全策略进行包括病毒库更新情况、系统补丁安装情况、软件的黑白名单等内容的安全检查，根据检查的结果，EAD对用户网络准入进行授权和控制。通过安全认证后，用户可以正常使用网络，与此同时，EAD可以对用户终端运行情况和网络使用情况进行审计和监控。

2）出口安全防护：

3）内部边界安全防护：按照安全域的划分原则，政务网络可能包含了办公网络、internet边界、DMZ，数据中心、广域网分支、网管中心等组成部分，各安全域