2016年1月

**驿区政务中心硬件升级和网络优化

技术建议书

1.概述

**软件股份有限公司于2016年1月14日派工程师到成都市**驿区政务中心（本文以下简称“政务中心”），排查近期工作人员反应“政务中心行权运行平台“运行速度”过慢”和“延迟”等问题，发现：

1.政务中心的政务是通过电信骨干网光纤接入，采用单纤双向方式进行通信，该出口位置，经我们工作人员检查发现IP地址获取较慢，偶尔失败等问题，可能是造成政务中心访问政务普遍过慢的主要原因；

2.该光纤收发器上，显示带宽速度为4M，如果是带宽过小，容易引起网络拥塞，降低网络服务质量，也是可能造成政务访问过慢的原因；

3.政务同因特网互联，不可避免地会受到来自互联网和来自内部的双重安全威胁。

本方案主要系完成**政务中心硬件替换升级和网络优化调整。

本部分主要系**政务中心网络优化集成服务相关内容。

2.政务中心现状

政务中心网络总体结构满足国家对政务建设三层要求，分核心层，汇聚层和交换层。

政务中心核心机房设在大楼4层，通过电信骨干网光纤接入，目前，政务中心能够为块与块、条与条、块与条之间信息系统的互联互通以及各类业务应用间的相互协同提供网络支撑。 

政务的行权平台两台业务服务器和数据库服务器部署在“云计算中心”，通过政务接入访问。

整个网络分为核心层、汇聚层层和交换层；

核心层主要负责数据包的转发；

汇聚层负责整个网络的数据汇聚；

数据中心主要负责服务器的接入。 

2.1 网络现状

管理中心网络总体结构

2.2 硬件设备现状

1    

2    

2.1    

2.2    

2.2.1    

2.2.1.1    

2.2.1.1.1  

图2.2-1    

表2.2-1    管理中心设备现状表

2.3    

2.3.1    

2.3.1.1    

2.3.1.1.1  

图2.3-1    

表2.3-1    

表2.3-2    第三方软件现状表

成都市**驿区政务中心政务是通过电信骨干网光纤接入，做为整个政务中心访问互联网的出口，同时承担着两方面的作用：一是电子政务的所有用户访问互联网的出口；二是为公众提供访问信息的入口，同时也是可信用户通过互联网访问政务的唯一通道。

电子政务是办公网和数据中心相结合的网络，该网络既要满足日常办公需要，同时其数据中心承载的数据还要对外提供访问，互联网出口是整个与外界信息交互的主要途径，所以对于出口交互的各种重要数据和应用服务的安全性，必须要进行全面的保障。

因此，政务互联网出口，面临两大挑战：网络带宽优化和网络安全防护。

3.1 网络带宽优化

(1) 多级NAT性能瓶颈

由于政务的层级和行政管理的级别对应，地方IP地址段与纵向VPN地址冲突，会出现多级NAT问题。一方面，政务中心使用私有地址，访问Internet需要进行NAT；另一方面，即使政务中心网络通过电信或者其他运营商的线路访问外部资源，仍然需要进行NAT。多级NAT成了上网速度慢的一个重要原因，因此需要一个高性能NAT转发设备才能解决。

(2) 多链路负载均衡

政务中心个区域和部门众多，有些需要等级保护，有些不需要等级保护，因此要求互联网出口充分考虑到架构和设备的冗余，在与互联网的线路连接的设备承载大容量的业务，需要在一台设备上同时实现多线路的负载均衡，动态调整不同链路的带宽占用比例，优化网络性能。

3.2 网络安全防护

(1) 网络中数据中心和办公区网络通过核心交换进行互联，因特网用户安全隐患可能会影响到电子政务数据中心网络的安全性；

(2) 外来人员进入电子政务网络由于自身安全级别不够带来安全隐患；

(3) 内网用户登录行为无认证，无相关控制手段，任何人使用笔记本均可以实现对电子政务网络的访问；

(4) 对于来自互联网的安全攻击，需要进行流量审计和安全监测；

(5) 网站是政务对外的主要窗口，办事大厅是和社会公众交互主要手段，业务系统的安全防护是至关重要的；

(6) 全网安全事件无法监控，日志信息统一分析困难，只能做到事后审计，无法做到实时分析。

根据以上问题，**软件股份有限公司给出的政务硬件升级和网络优化解决方案，能够有效解决了的网络性能优化和网络安全立体防护问题，为中国电子政务的发展提供强有力的ICT支撑。

政务中心应该与因特网入口物理隔离，通过路由控制，政务用户访问互联网资源时仍使用本地运行商出口，访问国家政务59地址段时使用政务广域骨干网线路。

通过增加三层网关认证服务器有效控制与登记外来人员进入政务，增加内部信息安全。

3.3 优化方案及组网方式如下：下载本文