DB65∕T 4536.1-2022 电子政务外网建设规范第1部分：网络架构(新疆维吾尔自治区).pdf

1、ICS 35.240.01CCS L 67B65新 疆维吾 尔自治 区地方 标 准D B 65/T 4536.12022电子政务外网建设规范 第1部分：网络架构Construction specifications of E-Govemment networkPart 1：Network architecture2022-1 0-1 0 发布2022-1 2-0 9 实施新疆维吾尔自治区市场监督管理局 发布D B 65/T 4536.120224ax.x刖 B本文件按照GB/T 1.1-2020标准化工作导则 第1部分：标准化文件的结构和起草规则的规定 起草。本文件是D B 65/T 4536

2、2022电子政务外网建设规范的第1部分。D B 65/T 45362022电子政务外网建设规范分为8个部分：第1部分：网络架构；第2部分：工Pv4地址规划；第3部分：IPv6地址规划；第4部分：IP域名规划；第5部分：网络安全实施指南；第6部分：安全接入平台技术要求；第7部分：政务云安全要求；第8部分：网络质量规范。本文件由新疆维吾尔自治区电子政务外网管理中心提出。本文件由新疆维吾尔自治区工业和信息化厅归口并组织实施。本文件起草单位：新疆维吾尔自治区信息中心（新疆维吾尔自治区电子政务外网管理中心）、新疆 维吾尔自治区产品质量监督检验研究院、新疆维吾尔自治区信息技术工程质量监督检验站、新疆维吾尔

3、 自治区标准化研究院、中国电信集团系统集成有限责任公司新疆分公司。本文件主要起草人：赵若平、袁学海、石常海、艾合买提加马力、杨伟、刘军、安军、宋海翔、刘婷、钱寅、邓攀、朱焕宇、周斌、范兆菊、王曼璐、赵哈、伟利、段雪柯。本文件实施应用中的疑问，请咨询新疆维吾尔自治区信息中心（新疆维吾尔自治区电子政务外网管 理中心）。对本文件的修改意见和建议，请反馈至新疆维吾尔自治区信息中心（新疆维吾尔自治区电子政务外 网管理中心）（乌鲁木齐市天山区人民路325号通宝大厦7楼）、新疆维吾尔自治区工业和信息化厅（乌 鲁木齐市友好南路179号）、新疆维吾尔自治区市场监督管理局（乌鲁木齐市新华南路167号）。新疆维吾尔

4、自治区信息中心（新疆维吾尔自治区电子政务外网管理中心）联系电话：0991-2823026；传真：0991-2810350；邮编：830002新疆维吾尔自治区工业和信息化厅联系电话：0991-4523947；传真：0991-4543050；邮编：830091新疆维吾尔自治区市场监督管理局联系电话：0991-2818750；传真：0991-2311250；邮编：830004ID B 65/T 4536.12022电子政务外网建设规范 第1部分：网络架构1范围本文件规定了电子政务外网网络建设的术语和定义、缩略语、总体架构、自治域规划、路由协议、IPv6的支持与过渡要求。本文件适用于自治区电子政务外网

5、的网络规划、设计、建设及运行管理，也可作为各级电子政务外 网管理部门指导、监督和检查的依据。2规范性引用文件下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中，注日期的引用文件,仅该日期对应的版本适用于本文件；不注日期的引用文件，其最新版本（包括所有的修改单）适用于本 文件。国家信息化领导小组关于我国电子政务建设指导意见中办发（2002）17号20062020年国家信息化发展战略中办发（2006）H号3术语和定义下列术语和定义适用于本文件。3.1电子政务外网E-Govemment network按照中办发（2002）17号文件和中办发（2006）11号文件全面推进的我国电子政

6、务重要基础设施建 设工程，是实现与互联网安全逻辑隔离，满足各级政务部门经济调节、市场监管、社会管理和公共服务 等方面需要的政务公用网络。注1：电子政务外网纵向覆盖中央、省（自治区、直辖市）、地（州、市）、县（市、区），横向连接各级党委、人 大、政府、政协、法院和检察院等政务部门。注2：国家电子政务外网由中央电子政务外网和地方电子政务外网组成，其中地方电子政务外网由省（自治区、直 辖市）级电子政务外网、地（州、市）级电子政务外网、县（市、区）级电子政务外网组成。3.2广域网 wide area network电子政务外网中用于纵向连通国家、省（自治区、直辖市）、地（州、市）、县（市、区）各级行

7、政区域的网络，由各级行政区域内广域骨干节点设备和之间的长途线路组成。3,3城域网 metropolitan area network电子政务外网中用于实现本级行政区域内部门的横向连接，包括国家、省（自治区、直辖市）、地（州、市）、县（市、区）四级网络。各级城域网通过电子政务外网广域网实现互联。3.4部门接入网 department access networkD B 65/T 4536.12022电子政务外网接入用户自行建设和管理的本地局域网络或部门业务专网。多部门合驻办公楼且楼 内网络由专门机构统一管理时，可以实现整体接入电子政务外网，办公楼内的局域网络可以视为一个接 入局域网。3.5分级模

8、式 hierarchical model省(自治区、直辖市)-地(州、市)-县(市、区)纵向骨干网由自治区级和地(州、市)级电子 政务外网管理机构分级建设和运行管理的模式。4缩略语下列缩略语适用于本文件。AS：自治域(Autonomous Systems)BGP：边界网关协议(Border Gateway Protocol)CA：认证中心(Certificate Authority)D MZ：隔离区(D emilitarized Zone)D NS：域名系统(D omain Name System)EBGP：外部边界网关协议(External Border Gateway Protocol)I

9、GP：内部网关协议(Interior Gateway Protocols)IP：网际互联协议(Internet Protocol)IPv4：网际互联协议版本4(Internet Protocol version 4)IPv6：网际互联协议版本6(Internet Protocol version 6)ISP：互联网服务提供商(Internet Service Provider)LRA：本地注册中心(Local Registration Authority)MCE：主通信设备(Master Communication Equipment)MP-BGP：多协议扩展边界网关协议(MultiProto

10、col Border Gateway Protocol)MSTP：多业务传输平台(Multi-Service Transport Platform)NAT：网络地址转换(Network Address Translation)OSPF：开放式最短路径优先(Open Shortest Path First)PE：边缘设备(Provider Edge)QoS：服务质量(Quality of Service)RA：注册中心(Registration Authority)SD H：同步数字体系(Synchronous D igital Hierarchy)UPE：用户端口功能(User Port Fu

11、nction)VLAN：虚拟局域网(Virtual Local Area Network)VPN：虚拟专用网络(Virtual Private Network)5总体架构5.1 网络层级自治区电子政务外网传输网按技术类型可分为MSTP网、SD H网和光纤网络等，如图1所示。自治区电 子政务外网由自治区、地(州、市)(以下简称“地州”)、县(市、区)(以下简称“区县”)三级 网络平台组成。乡(镇、街道)接入区县级网络平台，作为区县级网络平台组成部分，具体组成如下：2D B 65/T 4536.12022a）自治区级电子政务外网由自治区级广域网、自治区级城域网、自治区级部门接入网组成;b）地州级电

12、子政务外网由地州级广域网、地州级城域网、地州级部门接入网组成；c）区县级电子政务外网由区县级广域网、区县级城域网、乡（镇、街道）接入网组成。图1电子政务外网网络层级5.2 业务区划分根据所承载的业务和系统服务的类型不同，电子政务外网在逻辑上划分为公用网络区和互联网区 等功能区，提供电子政务外网互联互通业务和互联网相关业务，具体内容如下：a）公用网络区：是电子政务外网上实现跨地区、跨部门信息共享和开展横向业务的区域，提供共 享信息交换、认证和公用网络服务，公用网络区应使用电子政务外网公共IP地址；b）互联网区：是各级部门通过逻辑隔离手段开展互联网业务应用的网络区域，与公用网络区实现安全 数据交换

13、；互联网区使用可对互联网发布的公网注册地址；3D B 65/T 4536.12022 互联网区在地方电子政务外网分级设置，电子政务外网广域骨干网不承载互联网区的流 量。5.3广域网架构如图2所示，具体架构如下：a）广域网采用分级模式构建，分为自治区-地州广域网和地州-区县广域网，县级以下不划分广域 层级；b）自治区-地州广域网由自治区级广域核心节点和自治区级广域接入节点组成，自治区级广域接 入节点与地州级广域核心节点背靠背互联；c）自治区级广域核心节点采用高可用冗余结构，自治区级广域接入节点采用双节点冗余结构，广 域网线路实现链路冗余；d）地州-区县广域网由地州级广域核心节点和区县级广域核心节

14、点组成，地州级广域核心节点和 区县级广域核心节点背靠背互联；e）地州级广域核心节点采用双节点冗余结构，广域网线路实现链路冗余。图2广域网网络架构5.4城域网架构5.4.1设计原则城域网遵循层次化设计的原则，根据网络规模采用分层结构，设计内容如下：a）城域网可根据需求统一设互联网出口，提供给本级接入部门用户使用；b）合驻办公单位可根据需求统一规划接入，减小网络规模和降低费用。5.4.2 自治区级城域网如图3所示，具体内容如下：a）自治区级城域网分为核心层和接入层。核心层设备只做高速数据转发，接入层设备用于接入部 门汇接，核心层应采用冗余核心组网，核心层线路带宽、速率、可靠性应满足城域网高速数据

15、交换的要求；重要接入部门到核心层之间应采用冗余线路联接，增加业务可靠性；b）CA/RA中心、网管/安管中心、数据中心等统一接入公用网络区节点；c）互联网接入节点连接本地1SP,为本级接入用户提供互联网相关服务；4D B 65/T 4536.12022d）互联网接入节点应由接入路由器/交换机、防火墙、负载均衡设备、安全接入平台等安全防护 设备组成。图3自治区级城域网架构5.4.3 地州 区县级城域网地州、区县级城域网具体内容如下：a）地州、区县级城域网应根据建设规模，采用“核心-接入”二层架构或“核心-汇聚-接入”三 层架构，如图4、图5所示；b）数据中心、网管中心等功能节点接入城域网核心节点。

16、图4地州、区县级城域网二层网络架构图5地州、区县级城域网三层网络架构5.5分级管理5D B 65/T 4536.12022具体要求如下：a）自治区-地州-区县广域网以及乡（镇、街道）的接入网由自治区电子政务外网管理中心负责建设、管理和维护；b）自治区级城域网由自治区电子政务外网管理中心负责建设、管理和维护；c）地州级城域网由地州电子政务外网管理机构负责建设、管理和维护；d）区县级城域网由区县电子政务外网管理机构负责建设、管理和维护。6自治域规划6.1基本要求多级自治域模型如图6所示，具体要求如下：a）自治区电子政务外网规划为自治区、地州两级自治域，自治区级自治域由自治区-地州广域网 与自治区级

17、城域网组成，地州级自治域由地州-区县广域网和地州级城域网组成；b）区县级城域网作为城域业务路由区域接入地州级自治域，可独立运行动态路由、静态路由等。国家自治域自治区级自治域地州级自治域图6多级自治域模型6.2 自治域号码规划分配原则如下：a）各地州电子政务外网自治域号码应由自治区电子政务外网管理中心在国家规划的基础上进行 二次分配；b）电子政务外网内部应采用私有自治域号码，按照层次性和连续性原则进行分配；c）电子政务外网内部自治域号码不应重复；6D B 65/T 4536.12022d）私有自治域号码应在电子政务外网内部分配，不应传递给其他网络。6.3 自治区自治域号码分配自治区级电子政务外网

18、自治域号码为65086。各地州电子政务外网自治域号码分配见表1。表1各地州电子政务外网自治域号码分配表序号自治区/地州AS号1乌鲁木齐市65087（预留）2克拉玛依市65088（预留）3吐鲁番市65089（预留）4哈密市65090（预留）5昌吉回族自治州65091（预留）6博尔塔拉蒙古自治州65092（预留）7巴音郭楞蒙古自治州65093（预留）8阿克苏地区65094（预留）9克孜勒苏柯尔克孜自治州65095（预留）10喀什地区65096（预留）11和田地区65097（预留）12伊犁哈萨克自治州65098（预留）13塔城地区65099（预留）14阿勒泰地区65100（预留）15自治区级6508

19、6、65101-65114（预留）7路由协议7.1基本要求自治区电子政务外网域内路由协议应采用OSPF,域间路由协议采用BGP或MP-BGP协议。7.2总体要求具体要求如下：a）自治区电子政务外网应实现承载网路由和业务路由分离，避免业务路由震荡影响承载网路由，管理上层次分明，局部变动不影响上层路由配置和全局路由配置；b）路由设计应反映出整个网络的层次结构，并与自治域、子网的IP地址分配相契合，做到路由 合理聚合，减少路由表长度，减轻路由更新给网络带来的负荷，提高路由的稳定性；c）在同一自治域内，根据网络流量分担、分布和路由备份的需要，统筹规划路由跳数值，实现策 略路由；d）合理规划IGP区域，

20、应根据业务场景将OSPF划分多个区域。7.3路由场景部署7.3.1分级自治域模式多级自治域路由规划如图7所示，具体内容如下：7D B 65/T 4536.1 2022a）自治区级城域网和自治区-地州广域网为一个独立自治域，各地州级城域网和地州-区县广域 网为一个独立自治域；b）在各自治域内应根据规模自行划分IGP路由区域；c）在自治区级自治域中，自治区到各地州的广域网核心设备应统一规划到OSPF的AREA 0中，自治区级城域网核心单独规划到AREA 0内，两者属于不同的OSPF进程；d）业务路由在各自治域内发布，在自治域边界进行跨域互联。图7多级自治域路由规划7.3.2路由通告具体要求如下：a

21、）自治区级、地州级路由器建立EBGP邻居后，进行路由通告学习；b）自治区级向地州通告全自治区的所有地址段和收到的自治区区域外地址段；c）地州向自治区级通告地州内所有可达地址段；d）自治区级在边界处对地州通告的路由信息进行聚合、过滤；e）自治区级、地州级自治域之间采用跨域对接方式对接；f）纵向部门需使用VPN技术进行路由隔离时，自治区级、地州级边界路由器通过MP-BGP协议交 换它们从各自自治域的PE路由接收到的VPN-IPv4路由。7.4国家、自治区广域网对接7.4.1国家、自治区路由对接国家、自治区电子政务外网路由对接如图8所示，具体要求如下：a）实现自治区电子政务外网和国家电子政务外网平滑

22、对接，自治区和国家电子政务外网之间运 行BGP协议，采用EBGP跨域互联；b）国家落地路由器和自治区对接路由器为自治域边界，使用互联接口地址建立EBGP邻居关系,国家向自治区电子政务外网通告国家级及各省的全局业务地址、全局终端地址和全局管理地 址中的可达网段，接受来自自治区的全局业务地址、全局终端地址和全局管理地址通告并作路 由过滤；8D B 65/T 4536.12022c）国家、自治区自治域之间应采用跨域对接方式对接；d）国家到自治区需使用VPN技术进行路由隔离时，国家、自治区边界路由器通过MP-BGP协议交 换它们从各自自治域的PE路由接收到的VPN-IPv4路由。图8国家 自治区电子政

23、务外网路由对接7.4.2跨自治区业务地址转换跨自治区业务信息可分三类：自治区区域内终端访问国家及外省资源、国家及外省终端访问自治区 区域内资源、国家及外省和自治区区域内公共资源之间双向访问。自治区全局业务地址和全局管理地址 可直接由自治区上联设备通过BGP协议通告给国家。自治区区域内业务地址、终端地址访问自治区区域 外业务时，需要在自治区边界统一进行地址转换，并控制对终端出自治区访问的策略。自治区出口地址 转换如图9所示。7.5自治区级、地州级广域网对接7.5,1双节点上联自治区级、地州级跨域互联（双节点方式）如图10所示，具体内容如下：a）地州级对接设备为两台；b）自治区级接入设备与地州级对

24、接设备采用“口”型对接，接入设备与对接设备间建立EBGP邻 居关系；c）地州向自治区级通告路由时，只通告电子政务外网分配的地址，并在地州级边界对接设备处做 好路由汇总；d）自治区级接入路由器负责对地州通告的路由信息进行过滤。9D B 65/T 4536.12022图10自治区级、地州级跨域互联（双节点方式）7.5.2单节点上联自治区级、地州级跨域互联（单节点方式）如图n所示，具体内容如下：a）地州级对接设备为一台；b）自治区级接入设备与地州级对接设备采用倒“”型对接，接入设备与对接设备间建立EBGP 邻居关系；c）地州向自治区级通告路由时，只通告电子政务外网分配的地址，并在地州级对接设备边界处

25、做 好路由汇总；d）自治区级接入路由器负责对地州通告的路由信息进行过滤。图11自治区级、地州级跨域互联（单节点方式）7.6部门接入7.6.1总体要求具体要求如下：a）接入部门应按照国家及行业相关安全标准规范做好边界以内自身局域网的安全防护工作；b）接入设备与接入部门提供的对接设备应共同组成接入部门区域边界，接入设备统一安装至各 部门，各部门需配备交换机、防火墙等网络及安全设备与接入设备完成对接；c）未采用自治区电子政务外网统一规划地址的部门需自行转换成统一规划分配地址段后方可接 入电子政务外网；d）部门接入网通过城域网的互联网区统一开展互联网业务应用，不允许直接连接互联网。7.6.2接入部门边

26、界设备D B 65/T 4536.12022各部门接入城域网，需根据业务情况及需求，配置不同的接入设备，主要分为以下两种：a）接入路由器：用户侧机房的设备边界，用于接入电子政务外网的路由访问和QoS控制，可使用 路由器或带有路由功能的交换机；b）防火墙：1）边界防护，将部门需要对电子政务外网侧服务的公共主机部署到防火墙D MZ区，使用电子 政务外网业务IP地址对外提供服务；2）地址转换，可将用户接入局域网内部地址转换成电子政务外网统一分配的终端IP地址。7.6.3接入部门接入模型7.6.3.1城域网接入部门根据性质和业务分为：A类用户（公共区）：仅访问公共区，适用于由于需要访问某个业务系统而接

27、入电子政务外 网的单位；B类用户（公共区+统一出口）：城域网有统一的互联网出口，B类用户除访问公共区外还需 要通过统一出口上网；C类用户（全业务）：用户网除需访问公共区和上互联网外，还有专网区，用户需在局域网 内解决专网与公共区的互通。7.6.3.2 A类用户接入如图12所示，A类接入用户的接入局域网划分为用户终端接入区和业务发布区两个部分，地址段由 自治区统一规划分配。各用户按照自己业务需求部署终端接入区和业务发布区。11D B 65/T 4536.12022用户部门防火墙0OO0RA=用户部门交换机静态路由，下一跳为互联地址静态路由，下一跳为互联地址图12 A类用户接入示例7.6.3.3

28、B类用户接入如图13所示，B类用户根据业务重要性通过冗余链路上联城域网核心，接入设备性能应保证业务使 用要求，接入局域网划分互联网接入区和外网公共区，可为本级用户单位提供互联网访问和电子政务外 网公共区访问，地址段由自治区统一规划分配。其中接入路由器可采用MCE或UPE方式分别连接公共区和 互联网区。12D B 65/T 4536.12022接入部门区域自治区级城域网用户部门防火墙用户部门交换机静态路由，下一跳为互联地址 静态路由，下一跳为互联地址图13 B类用户接入示例7.6.3.4 C类用户接入如图14所示，C类用户的接入局域网内的专网区与其他区域之间需要通过VLAN实现完全隔离。因两 区

29、域之间路由不通，专网区VLAN的网关需配置在接入路由器上。13D B 65/T 4536.12022用户接入区互联地址用户 接入区妫业务发布区j业务发布区O0Bn二专网区接入路由器用户部门防火墙用户部门交换机静态路由，下一跳为互联地址 静态路由，下一跳为互联地址图14 C类用户接入示例7.7城域网路由规划具体内容如下：a）城域网运行OSPF协议，划分不同的区域号；b）在OSPF协议中，通告设备互联接口地址和管理地址，使城域网设备之间路由互通;c）公用网络区与数据中心、CA中心、网管中心、安管中心通过静态路由协议直连。8 IPv6的支持与过渡要求自治区电子政务外网应逐步支持IPv6协议，过渡期间互联网区应从接入电路、D NS解析、网络设备、安全设备、安全管理、业务应用等方面支持工Pv4/IPv6双栈协议，使用工Pv4-IPv6协议转换等方式，平滑 升级支持IPv6协议栈下的业务访问。14