国家电子政务外网平台技术规范 - 图文(2)

其中：

1、公用网络区：即采用国家政务外网注册地址（59地址）的网络区域，是国家政务外网的主干道，实现各部门、各地区互联互通，为跨地区、跨部门的业务应用提供支撑平台；国家政务外网承载网只路由国家政务外网注册地址。

2、专用网络区：是依托国家政务外网基础设施，开辟地为有特定需求的部门或业务设置的VPN网络区域，实现不同部门或不同业务之间的相互隔离，VPN业务主要为少数中央部门的敏感数据传输提供安全通道。中央级政务外网采用MPLS VPN技术将敏感业务数据与其他数据安全隔离，用于满足 “自上而下”及“自下而上”的业务需求，为中央政务部门与各省、市、自治区相关部门的互联互通提供安全通道。该区域主要采用私有地址，在骨干网上采取标签进行交换。

3、互联网接入区是各级政务部门通过逻辑隔离安全接入互联网的网络区域，满足各级政务部门利用互联网的需要。同时也是移动办公的公务人员通过数字证书认证，安全接入政务外网的途径。在互联网接入区，采取了综合的安全防护措施，采用防火墙系统、入侵防御系统和网络防病毒系统，对互联网接入业务提供一定的安全防护。中央和地方分级出口，中央政务外网采取BGP协议与主要运营商进行互联，为中央部门单位提供互联网业务服务，各地政务外网自行出口，采取NAT技术，通过静态路由连接本地互联网。国家政务外网主干网不路由互联网业务。

3. 国家政务外网总体要求

3.1 组网基本原则

为保证国家政务外网全网的业务畅通、安全及稳定，在规划和建设各地方政务外网时，需要遵循以下原则：

层次化组网原则：各地方宜采用层次化组网结构，在网络层次上原则上分为核心层、汇聚层和接入层。核心层主要承担高速数据交换的任务，同时提供到政务外网和互联网的连接。汇聚层的主要任务是把大量来自接入层的访问路径进行汇聚和集中，承担路由聚合和访问控制的任务。接入层的主要任务是完成用户的

4

接入，它直接和用户连接，并提供灵活的用户管理手段。局域网在规划时需遵循但不限于上述层次结构，对于规模比较小的地方外网可以只设置核心层和接入层。

可靠性：为保证各项业务应用，网络必须具有高可靠性。在网络设计时合理设计网络冗余拓扑结构，制订可靠的网络备份策略，保证网络具有故障自愈的能力，在关键节点的设计中，选用高可靠性网络产品，关键部件配置冗余。

灵活性和可扩展性：网络系统是一个不断发展的系统，网络不仅需要保持对以前技术的兼容性，还必须具有良好的灵活性和可扩展性，具备支持多种应用系统的能力，能够根据未来业务的增长和变化，平滑的扩充和升级现有的网络覆盖范围、扩大网络容量和提高网络的各层次节点的功能，最大程度的减少对网络架构和现有设备的调整。

实用性和先进性：在网络设计中把先进的技术与现有的成熟技术、标准和设备结合起来，充分考虑到电子政务网络应用的需求和未来的发展趋势，尽可能采用先进的网络技术以适应更高的数据、语音、视频（多媒体）的传输需要，使整个系统在相当一段时期内保持技术先进性，以适应未来信息化的发展的需要。

易操作性和易管理性：在网络设计中，须建立有效的网络管理解决方案。能够实现监控、监测整个网络的运行情况，合理分配网络资源、动态配置网络负载、可以迅速确定网络故障等。通过先进的管理策略、管理工具提高网络的运行性能、可靠性，简化网络的维护工作。

3.2 设备选型原则

? 本文中要求达到的有关指标值均为设备实际应达到的，各省需采用成熟产品，在选型时可参考各厂家的产品说明书、权威机构的测试结果、电子政务外网案例应用等证明文件。

? 充分考虑现有中央政务外网和各地政务外网网络建设现状，具有良好的可扩展能力和互联互通互操作特性。

? 关键设备符合电信级设备要求，全部网络设备均符合国家和国际标准，具有国家颁发的网络设备入网证件。

? 安全设备应具有相应主管部门颁发的生产许可证。 ? 网络设备自身具有一定的安全防护特性。 ? 优先考虑使用国产设备。

5

? 需选择技术领先、市场和技术前景良好、明确的厂家的产品，选择有稳定的服务队伍的设备厂商，提供持续的设备升级和维护能力。 ? 具有多个组网成功案例，具备大型组网能力

3.3 功能要求

各地方电子政务外网建设应满足如下要求：

? 网络业务承载

实现国家部委和省级各厅局以及向下延伸的网络业务承载。 实现国家部委和省级各厅局以及向下延伸的VPN业务承载。

提供公众通过互联网对各级政府单位公共资源的访问，同时也提供各级政府单位内用户对互联网的访问。

支持暂时没有政务外网的单位和出差用户利用互联网，通过安全接入平台实现远程接入访问服务。

支持视频、语音、数据业务的传输。

? 互通性

网络建设应具有良好的互通性，需按照电子政务外网相关规范进行建设，可实现与国家电子政务外网在内各级政务部门的互联互通、信息共享、数据交换和业务互动。需采用标准、成熟的产品和协议，以保证路由协议、MPLS VPN的兼容与互通。需遵循电子政务外网统一的IP地址定义规范，需提供地址转换（NAT）功能，支持双向NAT、NAT多实例等技术，满足各部门私有地址访问电子政务外网的需求。

? 路由实现

各地方电子政务外网的路由设计需按照网络层次划分路由网络，根据各省实际情况，可选择划分为一个自治系统（AS），或由多个AS构建，需采用适当的区域内路由协议和区域间路由协议。区域划分需考虑路由信息安全因素和对路由交换的限制管理。

IGP路由协议需支持OSPF、IS-IS等协议，广域骨干网路由协议应支持由

6

OSPF+BGP4路由协议（或者是静态路由）进行规划。

? 端到端的MPLS VPN技术

采用MPLS/BGP VPN作为实现基本MPLS VPN业务的技术路线，包括建立各厅局的垂直纵向网络，实现各部委纵向跨自治域的VPN访问；建立公众服务专网对因特网公众提供服务，通过网络安全系统与因特网逻辑相连。

支持MPLS MPLS L2和L3 VPN，提供MPLS L2 VPN的支持能力，包括支持VPLS（多点的MPLS L2 VPN）能力。同样在考虑部署MPLS L2 VPN的时候也必须支持跨自治域AS的能力。支持BGP/MPLS VPN三种跨自治域方式，

? QoS技术

支持IP QoS机制，支持基于MPLS/BGP实现QoS控制，为VPN用户实现端到端的QOS服务。支持在边缘网络中定义IP QOS级别，对接入层业务进行“细分和区分服务，并继承到MPLS域中，实现端到端的QOS，提供基于业务的时延、抖动等的保障。

? 网络可用性

支持多种方式保证网络可用性，关键节点设备冗余备份，关键链路冗余备份，采用高可靠性技术、协议如VRRP、堆叠、链路捆绑、BFD、FRR等，保障网络的持续可用和故障恢复时间。

? 安全性

在系统设计中，既要考虑信息资源的充分共享，还要注意信息的保护和隔离，因此系统应分别针对不同的应用和不同的网络通信环境，采取不同的措施，包括系统安全机制，数据存取的权限控制、网段的划分、网络边界安全等等。可通过网络设备自身安全功能、部署集成防火墙、IPS等安全板卡或独立式防火墙、IPS等安全设备等多种方式实现。应支持通过身份鉴别和授权、安全监测、策略管理等方法保障网络的安全性。

7

? 嵌套业务实现

支持各接入单位根据业务部门和业务种类（例如OA，视频会议，IP电话，公文流转等）再自行规划和设计子VPN，支持通过嵌套VPN技术解决VPN层次化的问题。

? IPv6技术

考虑到IPv6的发展趋势，应具备基于硬件支持IPv6的能力，支持丰富的IPv4向IPv6的各种过渡技术，支持通过IPv6技术构建MPLS VPN网络。

? 网络管理

电子政务外网将是一个跨部门，跨区域的大型的分布式网络应用系统，因此必须有完善的系统监控管理解决方案。为便于后续电子政务外网网络的统一运维与分级、分权管理，各省级电子政务外网应采用标准、开放的网络管理系统，提供网络集中监视、故障管理、性能管理、VPN管理等功能。

3.4 参考模型

各地政务外网络结构按照组网层次分为以下三层：核心层、汇聚层、接入层。 核心层是政务外网的骨干，作为政务外网内部的高速数据交换以及到下级政务外网的连接。核心层建议使用高性能的路由器组建，支持虚拟专网，支持多条逻辑链路划分，并采用高可靠的冗余组网结构。组网时可以根据实际需求情况及节点重要性，选择两个或多个核心节点实现设备的冗余。在某个核心节点出现故障时，其它核心节点可接替承担失效节点的功能，并通过链路自动切换，保持到外部网络的联通性（即具有故障自愈性）。

汇聚层建议使用高性能的路由交换机，提供千兆/万兆以太网上联和千兆以太网汇聚能力。汇聚点的位置和数量可根据楼群分布、综合布线系统设计、行政机构类别等因素综合考虑确定。为提高汇聚层网络的可靠性，建议每个汇聚点部署两台汇聚交换机，同时汇聚层通过链路双归属的模式上行接入双机核心节点。汇聚层提供接入层VLAN终结和路由网关功能，并实现到核心层的路由交换，同时提供各接入单位的业务安全访问控制策略（ACL访问控制列表）。

8

百度搜索“77cn”或“免费范文网”即可找到本站免费阅读全部范文。收藏本站方便下次阅读，免费范文网，提供经典小说综合文库国家电子政务外网平台技术规范 - 图文(2)在线全文阅读。