上一页 目录 下一页 
 
重庆打造“金保工程”网络

晓 玫/文

  从上世纪80年代开始,中国劳动保障制度开始改革以来,各项劳动保障制度及行政法规陆续出台,各类管理与服务功能的信息量以及相关基金的收支数量急剧增加,整个劳动保障行业进入飞速发展阶段。由此,建设一个“统一规划、统一标准、统一指导、分布实施、分级负担、分级管理、网络互连、信息共享”的劳动保障信息系统平台成为“金保工程”的指导性原则。
  重庆市社会保障系统经过多年发展,已经有医疗保险、养老保险、劳动力市场的业务陆续建立了信息系统,为重庆市社会保障业务发展做出了贡献。但由于各业务系统建设相对独立,到目前为止,尚未形成重庆市社会保障系统的统一网络通信平台,只有部分业务建设了广域网。为了满足重庆市“金保工程”的顺利实施,重庆市劳动和社会保障厅经过多方比较、选型,项目最终确定全部选用华为3Com网络产品,打造重庆市的安全、可靠、可管理的“金保工程”网络。

总体建设规模
  重庆市社保网是为整个直辖市社保机构提供网络承载平台。此次社保网络建成之后,网上将承载以下业务:五保合一信息、劳动力市场信息、OA信息、医疗、医药信息;从整体上划分为业务专网、业务协作网、公众服务网三大部分。其中五保合一信息和劳动力市场信息是本次网络平台承载信息的重点,因此此次设计将采用MPLS VPN技术根据不同业务类型构建VPN,来隔离不同业务流量保证网络重要数据的数据安全和QOS。
  重庆市社保网络分为三级:核心节点为重庆市社保信息中心;汇聚节点为重庆市各区县信息中心(在一期工程实施的范围内,主城9区的区县和120个街道将直接与市数据中心局域网互连,以便于维护,提高管理效率);主城区以外的区县社会保障综合服务大厅及所属乡镇/街道,以及民政低保机构的接入节点则构成接入层,另外, 联网的定点医院和定点药店也构成了接入层的一部分。
  重庆市社保网络工程整体解决方案与设备选型如下图所示:

网络设计
  广域网络设计(广域网包含市——区县的主干广域网,主城9区城域网、区县城域网)
  重庆市网络信息中心的骨干核心设备采用两台核心路由器NE40-8,各区县分中心的分支路由器AR2830通过一条E1链路分别接入其中的一台核心路由器,另外,主城九区的街、镇、社区共120个接入点也通过一条E1链路直接接入其中一台核心路由器。区县网络中心设在区县劳动局或养老保险业务大厅,区县民政低保机构将直接接入区县网络中心(主城9区除外)。
  核心路由器配置通道化POS 155M接口,每个通道化POS 155M可以通道化到63个E1,以两台核心路由器为焦点辐射覆盖到各接入节点,是典型的双星型组网结构。一期工程的所有接入点都是采用单链路接入核心节点,为了提高网络的可靠性,在核心设备上采用了双路由交换引擎,另外一些核心业务板件也采用了冗余配置。
  另外,有联网需求的大中型定点医院、定点门诊、定点药店等由于分布较为分散,而且信息点数量较多,因此采用拨号接入作为接入方式的补充。在信息中心采用两台拨号路由器AR2840配置拨号模块,负责接入定点医院、定点门诊、定点药店和其他主网无法覆盖的接入节点。
  业务专网的广域网络与信息中心核心局域网络的连接部分采用两台千兆路由交换机S6506R作为接入交换机。两台核心路由器NE40-8通过千兆接口上行两两接入到两台S6506R,两台拨号路由器AR2840通过百兆接口上行两两接入到两台S6506R。
  局域网络设计
  1、市信息中心
重庆市信息中心采用两台万兆级核心交换机S8512来连接各种服务器群组,负责整网数据业务的快速  交换与处理。
  2、业务专网
  业务专网接入市数据中心核心局域网采用两台千兆路由交换机S6506R接入的。向上通过千兆接口连接千兆防火墙,向下通过千兆接口连接业务专网核心路由器。
  3、业务协作网
  业务协作网接入市数据中心核心局域网采用两台智能二层以太网交换机S3026G,向上通过千兆接口连接千兆防火墙,向下通过百兆接口连接业务协作网路由器。
  4、大楼局域网
  用于楼层办公局域网络,选用华为公司智能二层交换机S3026G,上行接入两台业务专网交换机S6506R。
  5、大楼宏观决策区
  宏观决策区的千兆交换机负责接入宏观决策数据库服务器和宏观决策应用数据库。选用一台华为公司的智能三层交换机S3552G。
  6、主城九区与高新区城域网络
  主城九区与高新区共10个节点,采用中低端路由器+接入交换机的形式组网。每台接入路由器下接一台S3058的以太网交换机,负责分局业务专网的接入。
  7、主城九区的街、镇、社区城域网络
  主城九区的街、镇、社区共120个接入节点,每个节点采用一台8口的二层以太网接入交换机,选用华为公司的边缘接入以太网交换机S2008-EI。
  整网MPLS VPN的设计
  本次重庆市社保网络,主要承载业务有:五保合一信息、劳动力市场信息、OA信息、医疗、医药信息等,这所有的信息中以五保合一信息、劳动力市场信息最为重要,需要专门为其设置VPN网络以保证数据的安全性和QOS,同时随着网络业务的发展,应用将会越来越丰富,考虑到将来网络中有 VOIP和会议电视等的应用,这些信息需要较高的QOS保证,因此本次网络需要采用VPN技术实现不同数据的安全隔离和QOS保障。
  一、重庆市社保网络MPLS VPN域由市、区县、街道/社区三级路由器构成,市数据中心的两台专网核心路由器NE40-8可以作为MPLS VPN网络的P路由器,负责标签的快速转发,同时,这两台专网核心路由器又作为MPLS VPN 网络PE路由器,负责市数据中心CE设备转发过来的报文打上相应的MPLS VPN标签,完成不同VPN的映射;区县、街道/社区的出口路由器作为MPLS VPN网络的PE设备,负责为本地CE设备转发上来的报文打上相应的MPLS VPN标签。
  二、在MPLS域内,通过OSPF作为内部路由协议,保证MPLS域内各路由节点的连通性,采用MP-BGP作为MPLS VPN的信令,传播各VPN的私网路由信息。
  三、不同重要性的数据须划分不同的MPLS VPN以隔离,本次网络中所承载的重要数据为五保合一信息和劳动力市场信息,整个网络需为这两种数据划分专门的VPN网络,并为相应的VPN配置较高的QOS和最低带宽保证,以保证信息的实时性;其余的信息如:OA信息、医疗、医药信息可以放在一个VPN中进行传送,以默认的QOS级别为其VPN的QOS保证;另外,在将来进行三网合一建设的时候,可以划分出一个VPN作为实时性较高的数据如:视频或者语音数据的传输,为其保证较高的QOS。
  四、不同的业务的区分。在区县信息中心和街道/社区的本地局域网的数据,通过划分不同的VLAN进行隔离。
  各区县的定点药店、定点门诊、大中型定点医院送上来的信息通过路由器的不同接口区分不同的数据送入不同的VPN网络。
  此次社保网络建成之后,网上承载了包括基本社保信息、劳动力市场信息、医疗、医药信息、IP PHONE、会议电视等多种业务应用,无论是网络性能还是业务能力都满足了用户全面的需求。


   刊首语
   年度预测
   年度回顾
   每月资讯
   每月人物
   金融服务
   独家企划
   专题报道
   金融机具
   金融安防
   金融IT