1 背景及挑戰

國家電子政務外網按照管理層次，由中央、省級、地(市)、縣(區)四級網絡平臺組成。在網絡物理結構上，可以分為廣域網和城域網，廣域網用于縱向覆蓋各級行政區劃，城域網用于橫向連接本級政務部門。

電子政務城域網需要為本地市各黨政機關的業務應用系統提供一個統一的網絡平臺，目前電子政務外網承載的業務應用包括網絡視頻會議系統、IP語音電話系統、應急聯動系統、網上聯合審批系統、辦公業務系統、電子郵件系統、黨政機關門戶網站以及各個部門的應用系統等。隨著網絡建設和應用的開展，要求電子政務城域網必須是一個高可靠、高效率、高擴展性、高安全性的網絡。

城域網的概念來自運營商，通常城域網分為核心層、匯聚層和接入層，核心層設備只需要做高速的數據交換，匯聚層設備用于接入部門的匯接，接入層設備部署于用戶機房，用于用戶局域網的接入。運營商的城域網核心設備一般以路由器設備為主，因為路由器相比傳統交換機在路由計算、MPLS VPN,、可靠性及業務承載方面都有比較大的優勢。但是隨著交換機技術的快速發展，以華為敏捷交換機為代表的新一代交換機，除了具備傳統交換機的優勢如高性價比、高交換能力、高端口密度等之外，還在路由能力、MPLS VPN能力、QOS能力等方面做了進一步的提升，完全具備了交換機架構敏捷城域網的組網能力。

2 解決方案介紹

華為電子政務城域網組網圖如下圖所示：

城域核心層：城域核心區部署核心交換機和城域出口路由器，負責整網核心層數據流量的轉發處理，大型城市可按照城區部署多臺核心設備，組建城域核心網絡。城域網核心層負責政務云數據中心服務器、互聯網、外聯單位及各個委辦局行政單位之間的數據交換，該部分網絡的網絡設備性能、網絡鏈路帶寬和網絡的故障自愈合能力各項指標都極其重要。

城域匯聚接入層：城域匯聚層設備實現對城域接入區、數據中心區、外聯單位接入區、專網接入區等各分區用戶的匯聚接入;部委接入區包括各個區、縣的局域網，委辦局出口網關作為CE設備接入城域MPLS VPN網絡。

城域核心匯聚層部署MPLS VPN技術，實現多個業務系統的承載及隔離包括部門VPN、公用訪問、Internet訪問等。相對于其他VPN技術，采用MPLS技術組建的VPN具有更好的可維護性及可擴展性，MPLS VPN更適合于組建較大規模的復雜的VPN網絡，MPLS VPN的這些優點已經成為政務網VPN的主流技術。

由于政務城域網視頻業務的不斷發展，對網絡質量的檢測要求越來越高。考慮在視頻專網或相關網絡節點部署iPCA網絡質量感知技術。iPCA通過對真實業務流染色和對網絡進行分區域的包守恒監控方法，提供了對無連接IP網絡的丟包監控和故障定界能力，實現了網絡自動感知業務質量和快速故障定界，同時解決了傳統測量技術的限制。

隨著業務和各種信息化應用的快速增加，網絡環境變得更加復雜，邊界趨于模糊，多樣的業務應用場景引入了新的安全威脅，并給安全協防帶來了更多挑戰，對于企業管理者和運維人員如何及時發現這些安全威脅是個突出棘手的問題。安全聯動技術通過日志采集將網絡中的網絡、安全等設備的日志信息采集并處理，通過關聯分析技術提取出企業感興趣的安全威脅事件信息，通過安全態勢界面呈現，并對安全威脅事件做安全響應。

3 方案優勢

(1) 基于敏捷交換機構建可長期演進的城域網彈性架構

考慮到未來的業務發展，基于MPLS的VPN技術是當前唯一能提供大規模、全互聯、高速通信的技術，MPLS技術在骨干網、城域網、移動回程網絡中已經被大量使用，被證明是成熟可靠且擴展性良好的承載技術。S12700敏捷交換機支持完備的MPLS方案，可以滿足拓撲結構龐大、節點錯綜復雜的城域網建網要求，并且隨著新業務應用類型的增加，網絡拓撲結構可動態增長。

(2) 敏捷交換機具備超大規格應用表項，滿足未來政務外網海量用戶終端的接入

S12700敏捷交換機的FIB表項高達3M，收斂時間達到6K/s，可媲美專業路由器的性能水平，真正實現了交換路由一體化，不僅能滿足城域網網絡拓撲龐大和業務復雜的要求，而且政務機構眾多，能充分滿足海量辦公電腦高速接入網絡。

(3) IP質量可視化

iPCA網絡包守恒算法，改變了傳統利用模擬流量做故障定位的檢測模型，可對任意業務流隨時隨地逐點檢測網絡質量，無需額外開銷;可在短時間內立刻檢測業務閃斷性故障，檢測直接精準到故障端口，實現從“粗放式運維”到“精準化運維”的大轉變。

(4) 基于大數據分析的全網安全協同

隨著移動辦公和Wi-Fi的普及，網絡安全泄漏從傳統的互聯網出口一個點，變成了多個點。傳統防火墻只能防住一個點，而無法實現全網多泄漏點的防護。為了解決失去防護邊界的安全問題，全網安全協同架構下的安全功能不再由出口防火墻一個點來執行，而是通過全網的安全事件收集，進行大數據關聯分析并全網自動下發安全策略。