1、ICS35.240.01L67DB32江苏省地方标准DB 32/T 3514.12019电子政务外网建设规范第 1 部分 网络平台Construction Specifications of E-Government Network Part 1:Network platform2019 - 01 - 12 发布2019 - 01 - 30 实施江苏省市场监督管理局发 布DB32/T 3514.12019I目次前言.III1范围.12术语和定义.13总体架构.23.1网络层级.23.2业务区划分.23.3广域网结构.33.4城域网结构.33.4.1设计原则.33.4.2省级城域网.33.4.3
2、市、县(市、区)级城域网.43.5分级管理.44自治域规划.44.1基本要求.44.2自治域号码规划.54.3省自治域 AS 号码分配.55路由协议.65.1基本要求.65.2总体要求.65.3路由场景部署.65.3.1分级自治域模式.65.3.2路由通告.75.4国家、省级广域网对接.75.4.1国家、省级路由对接.75.4.2出省业务地址转换.85.5省、市广域网对接.95.5.1双节点上联.95.5.2单节点上联.95.6省级城域网路由规划.105.7省级部门接入.105.7.1总体要求.105.7.2接入部门边界设备.105.7.3接入部门接入模型.115.7.3.1A 类部门接入.1
3、15.7.3.2B 类部门接入.11DB32/T 3514.12019II5.7.3.3C 类部门接入.12DB32/T 3514.12019III前言DB32/T 3514-2018 电子政务外网建设规范分为八个部分:第1部分:网络平台;第2部分:IPv4地址、路由规划;第3部分:IPv4域名规划;第4部分:安全实施指南;第5部分:安全综合管理平台技术要求与接口规范;第6部分:安全接入平台技术要求;第7部分:电子认证注册服务机构建设;第8部分:运维服务。本部分为DB32/T 3514-2018电子政务外网建设规范第1部分。本部分按照GB/T 1.1-2009给出的规则起草。本部分由江苏省人民
4、政府办公厅电子政务办公室提出并归口。本部分起草单位:江苏省人民政府办公厅电子政务办公室。本部分起草人:吴中东、李强、钱俊、黄敏、朱德宇、李寒、熊章远、叶纪华。DB32/T 3514.120191电子政务外网建设规范 第 1 部分:网络平台1范围本标准规定了电子政务外网网络平台建设的术语和定义、总体架构、自治域规划和路由协议。本标准适用于指导全省电子政务外网网络平台规划、设计、建设及运行管理,也可作为各级电子政务外网管理部门进行指导、监督和检查的依据。2术语和定义下列术语和定义适用于本部分。2.1电子政务外网 E-Government Network电子政务外网承载跨地区、跨部门的业务应用、信息
5、共享、业务协同和不需在政务内网上运行的业务,与互联网安全逻辑隔离,是满足各级部门经济调节、市场监管、社会管理和公共服务等方面需要的政务公用网络。电子政务外网纵向连通国家、省、地(市)、县(市、区)、乡(镇、街道),横向覆盖各级党委、人大、政府、政协、法院和检察院等部门。2.2广域网 Wide Area Network广域网用于纵向连通国家、省、市、县、乡各级行政区域,由各级行政区域内广域骨干节点设备之间长途线路组成。2.3城域网 Metropolitan Area Network城域网用于实现本级行政区域内部门的横向连接,包括国家、省、市、县四级城域网。各级城域网通过纵向广域网实现互联。2.4
6、部门接入网 Department Access Network部门接入网是指电子政务外网接入用户自行建设和管理的本地局域网络或部门业务专网。 多部门合驻办公楼且楼内网络由专门机构统一管理时, 可以实现整体接入政务外网, 办公楼内的局域网络可以视为一个接入局域网。2.5IP 物理网DB32/T 3514.120192IP物理网是实现数据、语音、视频传输的物理网络平台,由IP层网络设备和传输线路组成。2.6分级模式分级模式是指省-市-县纵向骨干网由省级和市级政务外网机构分级建设和运行管理的模式。3总体架构3.1网络层级如图1所示,省电子政务外网由省、市、县三级网络平台组成。乡(镇、街道)接入县(市
7、、区)网络平台,作为县(市、区)网络平台组成部分,具体组成如下:a)省级电子政务外网应由省级广域网、省级城域网、省级部门接入网组成;b)市级政务外网应由市级广域网、市级城域网、市级部门接入网组成;c)县级政务外网应由县级广域网、县级城域网、乡(镇、街道)接入网组成。图 1省电子政务外网网络层级3.2业务区划分根据所承载的业务和系统服务的类型不同, 电子政务外网在逻辑上划分为公用网络区和互联网区等功能区,提供政务外网互联互通业务和互联网相关业务,具体内容如下:a)公用网络区:是政务外网上实现跨地区、跨部门信息共享和开展横向业务的区域,提供共享信息交换、认证和公用网络服务,公用网络区须使用政务外网
8、公共 IP 地址。b)互联网区是各级部门通过逻辑隔离手段开展互联网业务应用的网络区域, 与公用网络区实现安全数据交换;互联网区使用可对互联网发布的公网注册地址;DB32/T 3514.120193互联网区在地方政务外网分级设置,政务外网广域骨干网不承载互联网区的流量。3.3广域网结构广域网结构如图2所示,具体内容如下:a)广域网采用分级模式构建,分成省-市广域网和市-县广域网,县级以下不划分广域层级;b)省-市广域网由省级广域核心节点和省级广域接入节点组成,省级广域接入节点与市级广域核心节点背靠背互联;c)省级广域核心节点采用高可用冗余结构, 省级广域接入节点采用双节点冗余结构, 广域网线路实
9、现链路冗余;d)市-县广域网由市级广域核心节点和县级广域核心节点组成,市级广域核心节点和县级广域核心节点背靠背互联;e)市级广域核心节点采用双节点冗余结构,广域网线路实现链路冗余。图 2省广域网网络结构3.4城域网结构3.4.1设计原则城域网遵循层次化设计的原则,根据网络规模采用分层结构,具体内容如下:a)市级及以下城域网统一设互联网出口,提供给本级接入部门用户使用;b)市、县(市、区)政务外网可根据需求考虑合驻办公接入,减小网络规模和接入链路费用。3.4.2省级城域网省级城域网如图3所示,具体内容如下:a)省级城域网分为核心层和接入层。 核心层设备只做高速数据转发, 接入层设备用于接入部门汇
10、接,核心层要求采用冗余核心组网,核心层线路带宽、速率、可靠性应满足城域网高速数据交换的要求;重要接入部门到核心层之间采用冗余线路联接,负载分担业务流量,增加业务可靠性;DB32/T 3514.120194b)CA/RA 中心、网管/安管中心、数据中心等统一接入城域网核心层节点;c)互联网接入节点连接本地 ISP,为本级接入用户提供互联网相关服务;d)互联网接入节点应由接入路由器、 防火墙、 负载均衡设备、 安全接入平台等安全防护设备组成。图 3省级城域网网络结构3.4.3市、县(市、区)级城域网具体内容如下:a)市、县(市、区)级城域网应根据建设规模,采用“核心-接入”二层架构或“核心-汇聚-
11、接入”三层架构;b)数据中心、网管中心等功能节点接入城域网核心节点;c)市级及以下城域网统一设互联网出口,提供给本级接入部门用户使用。3.5分级管理具体要求如下:a)省-市广域网和省级城域网应由省政府办公厅电子政务办公室负责建设、管理和维护;b)市-县广域网和市级城域网应由市级政务外网机构负责建设、管理和维护;c)县级广域网和县级城域网未纳入市级网络平台应统一管理, 独立建设的应由县级政务外网管理机构建设、管理和维护。4自治域规划4.1基本要求多级自治域模型如图4所示,具体要求如下:a)省电子政务外网规划为省、 市两级自治域(AS), 省级自治域由省-市广域网与省级城域网组成,市级自治域由市-
12、县广域网和市级城域网组成。DB32/T 3514.120195b)县(市、区)城域网作为城域业务路由区域接入市级自治域,可独立运行动态路由、静态路由等。图 4多级自治域模型4.2自治域号码规划分配原则如下:a)各市电子政务外网自治域号码应由省政府办公厅电子政务办公室在国家规划的基础上进行二次分配;b)政务外网内部应采用私有自治域号码,按照层次性和连续性原则进行分配;c)政务外网内部自治域号码不应重复;d)私有自治域号码应在电子政务外网内部分配,不应传递给其他网络。4.3省自治域 AS 号码分配省级电子政务外网自治域号码为64785。各市电子政务外网自治域号码分配见表1。表 1各市电子政务外网自
13、治域号码分配表序号省/设区市AS号1南京647862无锡647873徐州64788DB32/T 3514.120196表 1(续)序号省/设区市AS号4常州647895苏州647906南通647917连云港647928淮安647939盐城6479410扬州6479511镇江6479612泰州6479713宿迁6479814省网6478515预留64799 - 648145路由协议5.1基本要求省电子政务外网域内路应由协议采用OSPF,域间路由协议采用BGP或MP-BGP协议。5.2总体要求具体要求如下:a)省电子政务外网应实现承载网路由和业务路由分离, 避免业务路由震荡影响承载网路由, 管理上
14、层次分明,局部变动不影响上层路由配置和全局路由配置;b)路由设计应反映出整个网络的层次结构,并与自治域、子网的 IP 地址分配相契合,做到路由合理聚合,减少路由表长度,减轻路由更新给网络带来的负荷,提高路由的稳定性;c)在同一 AS 内,根据网络流量分担、分布和路由备份的需要,统筹规划路由 Metric 值,实现策略路由;d)合理规划 IGP 区域,应根据业务场景将 OSPF 划分多个区域。5.3路由场景部署5.3.1分级自治域模式多级自治域路由规划如图5所示,具体内容如下:a)省级城域网和省-市广域网为一个独立自治域, 各市级城域网和市-县广域网为一个独立的自治域;b)在各自治域内应根据规模
15、自行划分 IGP 路由区域;c)在省级自治域中,省级到各市的广域网核心设备应统一规划到 OSPF 的 AREA 0 中,省级城域网核心单独规划到 AREA 0 内,两者属于不同的 OSPF 进程;d)业务路由在各个自治域内发布,在自治域边界进行跨域互联。DB32/T 3514.120197图 5多级自治域路由规划5.3.2路由通告具体要求如下:a)省、市级路由器建立 EBGP 邻居后,进行路由通告学习;b)省级向市级通告全省的所有地址段和收到的省外地址段;c)市级向省级通告市内所有可达地址段;d)省级在边界处对市级通告的路由信息进行聚合、过滤;e)省、市自治域之间采用 Option B 方式跨
16、域对接;f)纵向部门需使用 VPN 技术进行路由隔离时,省、市边界路由器通过 MP-BGP 协议交换它们从各自 AS 的 PE 路由接收到的 VPN-IPv4 路由。5.4国家、省级广域网对接5.4.1国家、省级路由对接国家、省政务外网路由对接如图6所示,具体要求如下:a)实现省电子政务外网和国家电子政务外网平滑对接,省网和国家电子政务外网之间运行 BGP协议,采用 EBGP 跨域互联;b)国家落地路由器和省级对接路由器为自治域边界,使用互联接口地址建立 EBGP 邻居关系,国家向省网通告国家级及各省的全局业务地址、 全局终端地址和全局管理地址中的可达网段, 接受来自省网的全局业务地址、全局终
17、端地址和全局管理地址通告并作路由过滤;c)国家、省自治域之间与采用 Option B 方式跨域对接;d)国家到省需使用 VPN 技术进行路由隔离时,国家、省边界路由器通过 MP-BGP 协议交换它们从各自 AS 的 PE 路由接收到的 VPN-IPv4 路由。DB32/T 3514.120198图 6国家、省政务外网路由对接5.4.2出省业务地址转换跨省业务信息可分三类: 省内终端访问国家及外省资源、 国家及外省终端访问省内资源和国家及外省和省内公共资源之间双向访问。省网全局业务地址和全局管理地址可直接由省网上联设备通过BGP协议通告给国家,省内业务地址、终端地址访问省外业务时,需要在省边界统
18、一进行地址转换,并控制对终端出省访问的策略。省级出口地址转换如图7所示。图 7省级出口地址转换DB32/T 3514.1201995.5省、市广域网对接5.5.1双节点上联省、市跨域互联(双节点方式)如图8所示,具体内容如下:a)市对接设备为两台;b)省级接入设备与市级对接设备采用“口”型对接,省级外网下联设备与市级外网上联设备建立EBGP 邻居关系;c)市级向省级通告路由时,只通告政务外网分配地址(59 地址、172 地址、2 地址),并在市边界对接设备处做好路由汇总;d)省级接入路由器负责对市级通告的路由信息进行过滤。图 8省、市跨域互联(双节点方式)5.5.2单节点上联省、市跨域互联(单
19、节点方式)如图9所示,具体内容如下:a)市对接设备为一台;b)省级接入设备与地市对接设备采用倒“”型对接,省级外网下联设备与市级外网上联设备建立 EBGP 邻居关系;c)市级向省级通告路由时,只通告政务外网分配地址(59 地址、172 地址、2 地址),并在市级对接设备边界处做好路由汇总;d)省级接入路由器负责对市级通告的路由信息进行过滤。图 9省、市跨域互联(单节点方式)DB32/T 3514.12019105.6省级城域网路由规划省级城域网路由规划如图10所示,具体内容如下:a)省级城域网运行 OSPF 协议,划分不同的区域号;b)在 OSPF 协议中,通告设备互联接口地址和管理地址,使省
20、级城域网设备之间路由互通;c)省级城域网核心与数据中心、CA 中心、网管中心、安管中心通过静态路由协议直连。图 10省级城域网路由规划5.7省级部门接入5.7.1总体要求具体要求如下:a)接入部门应按照国家及行业相关安全标准规范做好边界以内自身局域网的安全防护工作;b)省级接入设备与接入部门提供的对接设备应共同组成接入部门区域边界, 省级接入设备统一安装至各部门,各部门需配备交换机、防火墙等网络及安全设备与省级接入设备完成对接;c)未采用省电子政务外网统一规划地址的部门需自行转换成统一规划分配地址段后方可接入政务外网;d)部门接入网通过城域网的互联网区统一开展互联网业务应用,不允许直接连接互联
21、网。5.7.2接入部门边界设备各部门接入省级城域网,需根据业务情况及需求,配置不同的接入设备,主要分为以下两种:a)接入路由器:用户侧机房的设备边界,用于接入政务外网的路由访问和 QoS 控制,可使用路由器或带有路由功能的交换机;DB32/T 3514.1201911b)防火墙:一是边界防护,将部门需要对政务外网侧服务的公共主机部署到防火墙 DMZ 区,使用政务外网业务 IP 地址对外提供服务;二是地址转换,可将用户接入局域网内部地址转换成政务外网统一分配的终端 IP 地址。5.7.3接入部门接入模型省本级城域网接入部门根据性质和业务分为A、B、C三类。5.7.3.1A 类部门接入如图11所示
22、,A类接入部门根据业务重要性通过冗余链路上联城域网核心,接入设备性能应保证业务使用要求, 接入部门局域网划分为用户终端接入区和业务发布区两个部分, 地址段由省级统一规划分配。各部门按照自己业务需求部署终端接入区和业务发布区。图 11A 类部门接入示例5.7.3.2B 类部门接入DB32/T 3514.1201912如图12所示,B类接入部门根据业务重要性通过单链路上联城域网核心,接入设备应保证业务使用要求,接入部门局域网划分为用户终端接入区和业务发布区两个部分,地址段由省级统一规划分配。各部门按照自己业务需求部署终端接入区和业务发布区。图 12B 类部门接入示例5.7.3.3C 类部门接入如图13所示,C类部门属于接入使用部门,原则上不分配业务地址段,C类部门终端接入区地址段由省级统一规划分配。各部门按照政务外网统一要求部署终端接入区。DB32/T 3514.1201913_
