1、书 书 书犐 犆犛 犔?犇犅 犜?:?犆狅 狀 狊 狋 狉 狌 犮 狋 犻 狅 狀狊 狆 犲 犮 犻 犳 犻 犮 犪 狋 犻 狅 狀 狊狅 犳犲 犵 狅 狏 犲 狉 狀犿犲 狀 狋狀 犲 狋 狑狅 狉 犽犘 犪 狉 狋:犖犲 狋 狑狅 狉 犽狆 犾 犪 狋 犳 狅 狉犿?书 书 书目次前言范围术语和定义总体架构自治域规划路由协议犇犅 犜 前言 电子政务外网建设规范分为个部分:第部分:网络平台;第部分:地址、路由规划;第部分:域名规划;第部分:安全实施要求;第部分:安全综合管理平台技术与接口要求;第部分:安全接入平台技术要求;第部分:电子认证注册服务机构建设;第部分:运维服务。本部分为 的第部分
2、。本部分按照 给出的规则起草。本部分由江苏省人民政府办公厅电子政务办公室提出并归口。本部分起草单位:江苏省人民政府办公厅电子政务办公室。本部分主要起草人:吴中东、李强、钱俊、黄敏、朱德宇、李寒、熊章远、叶纪华。犇犅 犜 电子政务外网建设规范第部分:网络平台范围 的本部分规定了电子政务外网网络平台建设的总体架构、自治域规划和路由协议。本部分适用于江苏省电子政务外网网络平台规划、设计、建设及运行管理,也可作为各级电子政务外网管理部门指导、监督和检查的依据。术语和定义下列术语和定义适用于本文件。电子政务外网犲 犵 狅 狏 犲 狉 狀犿犲 狀 狋狀 犲 狋 狑狅 狉 犽承载跨地区、跨部门的业务应用、信
3、息共享、业务协同和不需在政务内网上运行的业务,与互联网逻辑隔离,满足各级部门经济调节、市场监管、社会管理和公共服务等方面需要的政务公用网络。广域网狑 犻 犱 犲犪 狉 犲 犪狀 犲 狋 狑狅 狉 犽纵向连通国家、省、市、县、乡各级行政区域,由各级行政区域内广域骨干节点设备之间长途线路组成的网络。城域网犿犲 狋 狉 狅 狆 狅 犾 犻 狋 犪 狀犪 狉 犲 犪狀 犲 狋 狑狅 狉 犽实现本级行政区域内部门的横向连接的网络,包括国家、省、市、县四级城域网。部门接入网犱 犲 狆 犪 狉 狋犿犲 狀 狋犪 犮 犮 犲 狊 狊狀 犲 狋 狑狅 狉 犽电子政务外网接入用户自行建设和管理的部门局域网。注:多
4、部门合驻办公楼且楼内网络由专门机构统一管理时,可以实现整体接入电子政务外网,办公楼内的局域网络可以视为一个接入局域网。总体架构 网络层级省电子政务外网由省、市、县三级网络平台组成,如图所示。乡(镇、街道)接入县(市、区)网络平台,作为县(市、区)网络平台组成部分,具体组成如下:)省级电子政务外网应由省级广域网、省级城域网、省级部门接入网组成;)市级电子政务外网应由市级广域网、市级城域网、市级部门接入网组成;)县级电子政务外网应由县级广域网、县级城域网、乡(镇、街道)接入网组成。犇犅 犜 图省电子政务外网网络层级 业务区划分根据所承载的业务和系统服务的类型不同,电子政务外网在逻辑上划分为公用网络
5、区和互联网区等功能区,提供电子政务外网互联互通业务和互联网相关业务,具体内容如下:)公用网络区:是电子政务外网上实现跨地区、跨部门信息共享和开展横向业务的区域,提供共享信息交换、认证和公用网络服务,公用网络区应使用电子政务外网公共 地址。)互联网区:是各级部门通过逻辑隔离手段开展互联网业务应用的网络区域,与公用网络区实现安全数据交换;互联网区应使用可对互联网发布的公网注册地址;互联网区在省、市、县电子政务外网分级设置,电子政务外网广域骨干网不承载互联网区的流量。广域网结构广域网结构如图所示,具体内容如下:)广域网采用分级模式构建,分成省市广域网和市县广域网,县级以下不划分广域网层级;)省市广域
6、网由省级广域核心节点和省级广域接入节点组成,省级广域接入节点与市级广域核心节点背靠背互联;)省级广域核心节点采用高可用冗余结构,省级广域接入节点采用双节点冗余结构,广域网线路实现链路冗余;)市县广域网由市级广域核心节点和县级广域核心节点组成,市级广域核心节点和县级广域核心节点背靠背互联;)市级广域核心节点采用双节点冗余结构,广域网线路实现链路冗余。犇犅 犜 图省广域网网络结构 城域网结构 设计原则城域网遵循层次化设计的原则,根据网络规模采用分层结构,具体内容如下:)市级及以下城域网统一设互联网出口,提供给本级接入部门用户使用;)市、县(市、区)电子政务外网可根据需求考虑合驻办公接入,减小网络规
7、模和接入链路费用。省级城域网省级城域网如图所示,具体内容如下:)省级城域网分为核心层和接入层。核心层设备只做高速数据转发,接入层设备用于接入部门汇接,核心层要求采用冗余核心组网,核心层线路带宽、速率、可靠性应满足城域网高速数据交换的要求;重要接入部门到核心层之间采用冗余线路联接,负载分担业务流量,增加业务可靠性;)中心、网管安管中心、数据中心等统一接入城域网核心层节点;)互联网接入节点连接本地,为本级接入用户提供互联网相关服务;)互联网接入节点应包括接入路由器、防火墙、负载均衡设备、安全接入平台等安全防护体系组成。图省级城域网网络结构犇犅 犜 市、县(市、区)级城域网具体内容如下:)市、县(市
8、、区)级城域网应根据建设规模,采用“核心接入”二层架构(如图所示)或“核心汇聚接入”三层架构(如图所示);)中心、数据中心、网管安管中心等统一接入城域网核心层节点;)市级及以下城域网统一设互联网出口,互联网接入节点连接本地,为本级接入用户提供互联网相关服务;)互联网接入节点应包括接入路由器、防火墙、负载均衡设备、安全接入平台等安全防护体系组成。图市级城域网二层网络结构图市级城域网三层网络结构 分级管理具体要求如下:)省市广域网和省级城域网应由省政府办公厅电子政务办公室负责建设、管理和维护;犇犅 犜 )市县广域网和市级城域网应由市级电子政务外网管理机构负责建设、管理和维护;)未纳入市级网络平台,
9、独立建设的县级广域网和县级城域网应由县级电子政务外网管理机构建设、管理和维护。自治域规划 基本要求多级自治域模型如图所示,具体要求如下:)省电子政务外网规划为省、市两级自治域(),省级自治域由省市广域网与省级城域网组成,市级自治域由市县广域网和市级城域网组成。)县(市、区)城域网作为城域业务路由区域接入市级自治域,可独立运行动态路由、静态路由等。图多级自治域模型 自治域号码规划分配原则如下:)各市电子政务外网自治域号码应由省政府办公厅电子政务办公室在国家规划的基础上进行二次分配;)电子政务外网内部应采用私有自治域号码,按照层次性和连续性原则进行分配;)电子政务外网内部自治域号码不应重复;)私有
10、自治域号码应在电子政务外网内部分配,不应传递给其他网络。省自治域犃犛号码分配省级电子政务外网自治域号码为 。各市电子政务外网自治域号码分配见表。犇犅 犜 表各市电子政务外网自治域号码分配序号省设市、区号码南京 无锡 徐州 常州 苏州 南通 连云港 淮安 盐城 扬州 镇江 泰州 宿迁 省网 预留 路由协议 总体要求 省电子政务外网域内路由协议应采用,域间路由协议应采用或 。具体要求如下:)实现承载网路由和业务路由分离,管理上层次分明,局部变动不影响上层路由配置和全局路由配置;)路由设计应反映出整个网络的层次结构,并与自治域、子网的 地址分配相契合,做到路由合理聚合,减少路由表长度;)在同一内,根
11、据网络流量分担、分布和路由备份的需要,统筹规划路由 值,实现策略路由;)合理规划区域,应根据路由场景将划分多个区域。路由场景部署 分级自治域模式多级自治域路由规划如图所示,具体内容如下:)省级城域网和省市广域网为一个独立自治域,各市级城域网和市县广域网为一个独立的自治域;)在各自治域内应根据规模自行划分路由区域;)在省级自治域中,省级到各市的广域网核心设备应统一规划到的中,省级城犇犅 犜 域网核心单独规划到内,两者属于不同的进程;)业务路由在各个自治域内发布,在自治域边界进行跨域互联。图多级自治域路由规划 路由通告具体要求如下:)省、市级路由器建立邻居后,进行路由通告学习;)省级向市级通告全省
12、的所有地址段和收到的省外地址段;)市级向省级通告市内所有可达地址段;)省级在边界处对市级通告的路由信息进行聚合、过滤;)省、市自治域之间采用 方式跨域对接;)省到市为实现部门纵向跨地区业务开展,需使用技术进行路由隔离时,省、市边界路由器通过 协议交换它们从各自的路由接收到的 路由。国家、省级广域网对接 国家、省级路由对接国家、省电子政务外网路由对接如图所示,具体要求如下:)实现省电子政务外网和国家电子政务外网平滑对接,省网和国家电子政务外网之间运行协议,采用跨域互联;)国家落地路由器和省级对接路由器为自治域边界,使用互联接口地址建立邻居关系,国家向省网通告国家级及各省的全局业务地址、全局终端地
13、址和全局管理地址中的可达网段,接受来自省网的全局业务地址、全局终端地址和全局管理地址通告并做路由过滤;)国家、省自治域之间与采用 方式跨域对接;)国家到省需使用技术进行路由隔离时,国家、省边界路由器通过 协议交换它们从各自的路由接收到的 路由。犇犅 犜 图国家、省电子政务外网路由对接 出省业务地址转换跨省业务信息可分三类:省内终端访问国家及外省资源、国家及外省终端访问省内资源和国家及外省和省内公共资源之间的双向访问。省网全局业务地址和全局管理地址可直接由省网上联设备通过协议通告给国家,省内业务地址、终端地址访问省外业务时,应在省边界统一进行地址转换,并控制对终端出省访问的策略。省级出口地址转换
14、如图所示。图省级出口地址转换 省、市广域网对接 双节点上联省、市跨域互联(双节点方式)如图 所示,具体内容如下:)市级外网上联设备为两台;)省级外网下联设备与市级外网上联设备采用“口”型对接,省级外网下联设备与市级外网上联设备建立邻居关系;)市级向省级通告路由时,只通告电子政务外网分配地址(地址、地址、地址),并在市级外网上联设备处做好路由汇总;)省级接入路由器负责对市级通告的路由信息进行过滤。犇犅 犜 图 省、市跨域互联(双节点方式)单节点上联省、市跨域互联(单节点方式)如图 所示,具体内容如下:)市级外网上联设备为一台;)省级外网下联设备与市级外网上联设备采用倒“”型对接,省级外网下联设备
15、与市级外网上联设备建立邻居关系;)市级向省级通告路由时,只通告电子政务外网分配地址(地址、地址、地址),并在市级外网下联设备处做好路由汇总;)省级接入路由器负责对市级通告的路由信息进行过滤。图 省、市跨域互联(单节点方式)省级城域网路由规划省级城域网路由规划如图 所示,具体内容如下:)省级城域网运行协议,划分不同的区域号;)在协议中,通告设备互联接口地址和管理地址,使省级城域网设备之间路由互通;)省级城域网核心与数据中心、中心、网管安管中心通过静态路由协议直连。犇犅 犜 图 省级城域网路由规划 省级部门接入 总体要求具体要求如下:)接入部门应按照国家及行业相关安全标准规范做好部门接入网的安全防
16、护工作;)省级接入设备与接入部门的接入设备共同组成接入部门区域边界,省级接入设备统一安装至各接入部门,各部门应配备接入路由器、防火墙等网络及安全设备与省级接入设备完成对接;)未采用省电子政务外网统一规划地址的部门接入网应自行转换成统一规划分配地址段后方可接入电子政务外网;)部门接入网通过城域网的互联网区统一开展互联网业务应用,不允许直接连接互联网。接入部门边界设备各部门接入省级城域网,应根据业务情况及需求,配置相应的接入设备,主要分为以下两种:)接入路由器:用户侧机房的设备边界,用于接入电子政务外网的路由访问和 控制,可使用路由器或带有路由功能的交换机;)防火墙:一是边界防护,将部门需要对电子
17、政务外网侧服务的公共主机部署到防火墙区,使用电子政务外网业务 地址对外提供服务;二是地址转换,可将部门接入网内部地址转换成电子政务外网统一分配的终端 地址。接入部门接入模型省级城域网接入部门根据性质和业务分为、三类。三类接入部门的接入模型如下:)类部门接入:如图 所示,类接入部门根据业务重要性通过冗余链路上联城域网核心,接入设备性能应保证业务使用要求,接入部门网划分为用户终端接入区和业务发布区两个部分,地址段由省级统一规划分配。各部门按照自己业务需求部署终端接入区和业务发布区。犇犅 犜 图 犃类部门接入示例)类部门接入:如图 所示,类接入部门根据业务重要性通过单链路上联城域网核心,接入设备应保证业务使用要求,接入部门网划分为用户终端接入区和业务发布区两个部分,地址段由省级统一规划分配。各部门按照自己业务需求部署终端接入区和业务发布区。犇犅 犜 图 犅类部门接入示例)类部门接入:如图 所示,类部门属于接入使用部门,原则上不分配业务地址段,类部门终端接入区地址段由省级统一规划分配。各部门按照电子政务外网统一要求部署终端接入区。犇犅 犜 图 犆类部门接入示例犇犅 犜 书 书 书 犜 犅犇?:?()?()?:()?:()?:()?:?:()
浙公网安备33021202000488号 | 
浙ICP备2021020529号-1 浙B2-2024(办理中) 
