DB23∕T 2831—2021 电子政务外网网络技术规范(黑龙江省).pdf

ICS 35.240.20CCS L 67DB23黑龙江省地方标准DB23/T 2831-2021电子政务外网网络技术规范2021-04-13 发布2021-05-12 实施黑龙江省市场监督管理局发布DB23/T 2831-2021I前言本文件按照GB/T 1.1-2020给出的规则起草。本文件由黑龙江省营商环境建设监督局提出并归口。本文件起草单位：黑龙江省营商环境建设监督局、黑龙江省政务大数据中心、黑龙江省标准化研究院、哈尔滨工业大学软件工程股份有限公司。本文件主要起草人：史春光、杨建敏、胡茹、王锋、王军、张海龙、藏爱英、林妍初、马旭春、姜永刚、陈要武、杨大志、吕猛、王磊、李严、王艳君。DB23/T 2831-20211电子政务外网网络技术规范1范围本文件规定了黑龙江省电子政务外网网络技术要求，描述了IP地址、自治域及路由、虚拟专用网络、服务质量和运营商节点机房等。本文件适用于指导黑龙江省电子政务外网网络建设。2规范性引用文件下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中，注日期的引用文件，仅该日期对应的版本适用于本文件；不注日期的引用文件，其最新版本（包括所有的修改单）适用于本文件。GB/T 21061-2007国家电子政务网络技术和运行管理规范GB/T 25647-2010电子政务术语GB/T 32910.3-2016数据中心 资源利用第3部分：电能能效要求和测量方法GB/T 50174-2017数据中心设计规范GW 0103-2014国家电子政务外网安全等级保护基本要求GW 0202-2014国家电子政务外网安全接入平台技术规范GW 0206-2014接入政务外网的局域网安全技术规范GW 0206-2015国家电子政务外网IPv4地址规划GW 0207-2015国家电子政务外网IPv4地址地方分配部署指南3术语和定义GB/T 25647-2010、GB/T 21061-2007、GW 0202-2014 和 GW 0206-2015 界定的术语和定义适用于本文件。4总体架构4.1网络架构黑龙江省电子政务外网按照省、市、县三级政务网络全覆盖模式建设，网络总体架构如图 1 所示，具体内容如下：a)省级网络：省级广域网核心节点横向连接至省级城域网核心节点和省级政务云平台，纵向上联至中央广域网接入节点，下联至市广域网核心节点；b)市级网络：市级广域网核心节点横向连接至市级城域网核心节点，纵向上联至省级广域网核心节点，下联至县级广域网核心节点；c)县级网络：县级广域网核心节点横向连接至县级城域网核心节点，纵向上联至市级广域网核心节点，乡镇（街道）、村（社区）等单位接入至县级城域网。DB23/T 2831-20212图 1黑龙江省电子政务外网总体架构图4.2业务区划分根据接入单位业务承载需要，黑龙江省电子政务外网逻辑上划分为“2+N”个业务网络，其中，“2”是指公用网络区和互联网接入区，“N”是指接入单位根据业务需求开设的多个虚拟业务专网。黑龙江省电子政务外网业务承载模型示意图如图 2 所示，具体内容如下：a)公用网络区：是实现各级接入单位之间互联互通的逻辑业务网络，公用网络区承载跨地区、跨DB23/T 2831-20213单位的业务，提供认证、目录交换和公共应用等共性支撑服务；b)互联网接入区：是实现政务外网连接互联网的逻辑业务网络或网络区域，互联网接入区承载接入单位面向企业和公众服务的业务，同时提供接入单位工作人员访问互联网资源的网络通道；互联网接入区应部署安全接入平台，通过安全接入平台访问公用网络区或专用网络区的资源；省、市、县三级设置互联网接入区，所使用的公网注册地址从本级互联网服务提供商处申请获取，并由地方政务外网管理机构自行分配管理；政务外网广域网原则上不承载互联网接入区的流量；c)专用网络区：是“N”个虚拟接入单位业务专网的集合，主要承载接入单位特定需求的业务。图 2黑龙江省电子政务外网业务承载模型示意图4.3广域网4.3.1拓扑结构广域网整体拓扑结构如图 3 所示，具体内容如下：a)广域网采用统一模式建设，分成省市广域网和市县广域网，县级以下不划分广域网层级；b)广域网主要承载电子政务的数据、音视频和图像等相关业务，跨单位、跨市（地）和跨县（区）的业务协同及信息共享系统，能够直接在政务外网的广域网上传输业务信息；c)省级广域网原则上不承载和传输直接访问互联网的业务，接入政务外网的接入单位访问互联网时，应由本级城域网负责；d)广域核心节点采用双设备冗余结构，广域网线路采用双链路冗余；e)省级政务云平台接入省级广域网核心层节点。DB23/T 2831-20214图 3黑龙江省电子政务外网广域网组网拓扑示意图4.3.2设备要求广域网核心节点设备应符合表 1 要求：表 1广域网核心节点路由设备技术要求序号序号属性属性技术要求技术要求1设备架构电信级设计架构，支持虚拟化、SDN 等技术，支持网络分片技术，支持网络分片在线扩容，支持可扩展，支持 RIP/OSPF/IS-IS/BGP4/多播路由等路由协议，支持明/密文认证2设备性能省级不少于 20 路万兆接口转发能力，市级不少于 10 路千兆和 10 路万兆接口转发能力，县级不少于 10 路千兆接口转发能力；省市级不低于 110Tbps 交换容量，县级不低于 75Tbps 交换容量，支持 10GE、40GE、100GE 接口3设备可靠性硬件支持部件冗余，设备系统软件支持虚拟化集群、软件热补丁，支持 IP、LDP 快速收敛协议等4虚拟专用网络（VPN）L2VPN/L3VPN/组播/组播 VPN/MPLS TE/SRv6/QoS5服务质量保证支持 QoS 技术，支持多层嵌套的 QoS 机制6配置管理支持流量统计分析4.4城域网4.4.1省级城域网省级城域网分为核心层、汇聚层和接入层。省级城域网拓扑结构如图 4 所示：其中：a)核心层设备做高速的数据转发，要求采用冗余核心设备组网，核心层速率为 40/100G，满足城域网核心高速数据交换的要求；b)汇聚层设备用于接入单位的汇接，汇聚层到核心层采用双冗余线路连接，分担接入单位业务流量对核心设备的压力；c)接入层设备部署于接入单位机房，用于单位局域网的接入，采取就近接入的原则，上联至汇聚DB23/T 2831-20215层，设备端口使用以太网端口，宜采用双设备双链路方式提高可靠性；d)统一互联网出口平台连接本地 ISP，为本级接入单位提供互联网出口服务。图 4黑龙江省电子政务外网省级城域网拓扑图4.4.2市级城域网市级城域网应根据建设规模，采用“核心接入”二层架构或“核心汇聚接入”三层架构。核心层节点应采用双核心结构，双链路下联汇聚层节点，互联各个接入单位。政务云平台接入城域网核心节点。市级城域网部署统一互联网出口，统一互联网出口平台连接本地 ISP，为本级接入单位提供互联网服务，市级城域网拓扑结构如图 5 所示：图 5黑龙江省电子政务外网市级城域网拓扑图4.4.3县级城域网DB23/T 2831-20216对于县级城域网节点，核心层节点应采用双核心结构，对于合驻办公和大规模接入单位园区采用双链路接入，对于小型接入单位园区采用单链路接入。考虑到县级直属单位接入点少，结构简单，应采用“核心接入”二层架构。乡镇（街道）、村（社区）接入作为县级城域网的一部分，考虑到乡镇（街道）、村（社区）接入数量较大，宜采用“核心-汇聚-接入”三层架构。县级城域网部署统一互联网出口，统一互联网出口平台连接本地 ISP，为本级接入单位提供互联网服务,县级城域网拓扑结构如图 6所示：图 6黑龙江省电子政务外网县级城域网拓扑图4.4.4城域网技术要求城域网技术要求具体如下：a)省、市、县三级政务外网城域网具备多业务统一承载能力，城域网中公用网络区、互联网接入区和专用网络区逻辑隔离；b)省级城域网与黑龙江省广域网规划在同一个自治域内，省级政务外网管理部门负责在广域网内规划部署省、市、县纵向三层虚拟专用网络。4.4.5城域网设备要求城域网核心节点设备应符合表 2 要求：表 2城域网核心节点路由设备技术要求DB23/T 2831-20217序号序号属性属性技术要求技术要求1设备架构电信级设计架构，支持虚拟化、SDN 等技术，支持网络分片技术，支持网络分片在线扩容，支持可扩展，支持 RIP/OSPF/IS-IS/BGP4/多播路由等路由协议，支持明/密文认证2设备性能省级支持不少于 330 路千兆接口转发能力，市级不少于 200 路千兆接口转发能力，县级不少于 100 路千兆接口转发能力；省市级不低于 110Tbps 交换容量，县级不低于 75Tbps交换容量，支持 10GE、40GE、100GE 接口3设备可靠性硬件支持部件冗余，设备系统软件支持虚拟化集群、软件热补丁，支持 IP、LDP 快速收敛协议等4虚拟专用网络（VPN）L2VPN/L3VPN/组播/组播 VPN/MPLS TE/SRv6/QoS5服务质量保证支持 QoS 技术，支持多层嵌套的 QoS 机制6配置管理支持流量统计分析4.5单位接入网具体要求如下：a)接入单位参照 GW 0206-2014 接入政务外网的局域网安全技术规范的要求做好本单位接入网的安全防护工作；b)省、市、县各级城域网接入层设备与接入单位的接入设备共同组成接入单位区域边界，各级城域网接入层设备统一安装至各接入单位，各接入单位应配备接入路由器、防火墙等网络及安全设备与本级城域网接入层设备完成对接。4.6统一互联网出口平台统一互联网出口平台应符合以下要求：a)遵循 GW 0103-2014 国家电子政务外网安全等级保护基本要求，归并互联网出口，逐步实现互联网集中接入和安全管理；b)依托政务外网城域网，建设省、市、县三级统一互联网出口平台。有条件的市（地）可建设市县一体化互联网出口平台，县（区）以下各级单位统一接入县级互联网出口平台或市县一体化互联网出口平台；c)各级统一互联网出口平台应建设由防火墙、入侵防御、防病毒、抗拒绝服务攻击、行为审计、带宽控制和链路负载均衡等安全设备组成的安全防护体系。4.7安全接入平台安全接入平台要求参照 GW 0202-2014 国家电子政务外网安全接入平台技术规范。4.8政务云平台对接4.8.1省级政务云平台对接省级政务云平台与黑龙江省电子政务外网省级广域网核心路由器连接，采用双设备双链路方式互联。省级政务云平台对接方式如图 7 所示：DB23/T 2831-20218图 7省级政务云平台与省级广域网连接示意图4.8.2市级政务云平台对接市级政务云平台接入政务外网方式与省级政务云平台接入方式相似，区别为市级政务云平台与市级政务外网城域网核心路由器连接。5IP 地址5.1地址管理省级政务外网管理部门负责黑龙江省电子政务外网 IP 地址总体规划和分配工作。市级政务外网管理部门负责各市（地）及以下网络的 IP 分配和管理工作。各级接入单位接入政务外网使用的 IP 地址原则上向本级政务外网管理部门申请。IP 地址规划和分配要求参见 GW 0206-2015 国家电子政务外网IPv4地址规划和 GW 0207-2015 国家电子政务外网IPv4地址地方分配部署指南。5.2分配原则IP 地址使用应满足以下要求：a)黑龙江省电子政务外网 IP 地址的分配以省、市（地）、县（区）为基本单元，地址分配应紧凑，市（地）及其下辖县（区）使用的地址段应连续，易于链路聚合，加快路由收敛速度，缩减路由表的大小，提高路由算法的效率；b)上下级设备互联时，互联地址段应由上级部门提供，上级设备接口配置单号地址，下级设备接口配置双号地址；c)IP 地址划分的层次性应体现网络结构的层次性，如设备互联地址的规划，网络层次高的所用地址为较小值，层次低的为较大值。5.3地址范围DB23/T 2831-20219黑龙江省电子政务外网 IP 地址分为业务地址、终端地址和管理地址三大类，分别用于部署服务器、终端和网络设备。国家为黑龙江省电子政务外网分配的 IP 地址区间见表 3：表 3黑龙江省电子政务外网 IP 地址范围表项目项目IPIP 地址范围地址范围全局业务地址与分配区间59.199.0.0/16全局管理地址与分配区间100.71.0.0/16终端地址区间172（段）地址或 10（段）地址5.4IPV6 总体要求黑龙江省电子政务外网支持 IPv6 协议，政务外网的网络及安全设备支持 IPv4/IPv6 双栈协议。6自治域及路由6.1自治域要求自治域管理和划分应满足如下要求：a)黑龙江省电子政务外网自治域号码由省级政务外网管理部门统一分配和管理，自治域号码范围为 65325-65354。省级政务外网城域网和纵向广域网使用自治域号码 65325，13 个市级城域网使用自治域号码为 65326-65338，剩余自治域号码预留；b)县级城域网作为城域业务路由区域接入市级城域网自治域，可独立运行动态路由、静态路由等。6.2路由要求6.2.1路由协议黑龙江省电子政务外网采用中间系统到中间系统协议作为自治域内内部网关协议，用于传递设备间互联地址、设备环回地址等路由，实现管理面互联互通；采用内部边界网关协议传递域内虚拟专用网络路由，实现政务公用业务、互联网业务和单位专网业务互通；采用外部边界网关协议作为自治域间路由协议，传递域间虚拟专用网络路由，实现跨域业务互联互通。6.2.2路由策略要求路由设计反映整个网络的层次结构，并与自治域、各地区子网的 IP 地址分配相契合，做到路由合理聚合，减少路由表的条目，减轻路由更新给网络带来的负荷，提高路由稳定性。7虚拟专用网络要求7.1总体要求黑龙江省电子政务外网采用多协议标签交换虚拟专用网络作为统一的多业务平台承载技术，提供三层多协议标签交换虚拟专用网络的开通服务，支持跨域对接，具备开通中央、省、市、县四级纵向多协议标签交换虚拟专用网络的能力。7.2部署要求DB23/T 2831-202110部署应满足如下要求：a)针对不同的业务需要，为满足不同接入单位的业务承载诉求，虚拟专用网络可在默认分片承载，也可在指定分片内承载，需在组网中构建 N 个专网业务虚拟专用网络、一个共享业务虚拟专用网络和一个互联网业务虚拟专用网络；b)省、市、县三级纵向多协议标签交换虚拟专用网络的规划部署由省级政务外网管理部门负责统一管理，采取市级、县级广域网核心设备作为运营商边缘路由器，分别接入城域网各单位，市、县级运营商边缘路由器的管理权限在省级政务外网管理部门。8服务质量要求8.1服务质量总体原则黑龙江省电子政务外网承载了多个接入单位的不同类型业务，在流量较大时容易产生网络拥塞，为保障重要业务的服务质量和网络的稳定运行，提供服务质量保障能力。服务质量总体原则如下：a)采用区分服务作为网络突发拥塞时服务质量保证方式；b)广域网应采用轻载方式保障网络服务质量，链路月平均日峰值利用率不应超过 70%；c)城域网在接入单位接入端口进行流量识别和调度，重要业务进优先队列，普通业务进默认队列进行转发。8.2服务质量业务优先级黑龙江省电子政务外网的业务类型及优先级表，见表 4：表 4黑龙江省电子政务外网的业务类型及优先级表类别类型类别类型优先级优先级PHBPHB网络管理6、7CS7语音业务5EF应急指挥、视频会议4AF4视频监控3AF3办公业务2AF2批量数据流1AF1其他0BE9运营商节点机房要求运营商节点机房要求具体如下：a)省级电子政务外网运营商节点机房建设标准应满足 GB/T 50174-2017 数据中心设计规范中的A 级要求或同类标准要求，市、县级电子政务外网运营商节点机房建设标准应满足 GB/T50174-2017 数据中心设计规范中的 B 级要求或同类标准要求；b)机房节能符合 GB/T 32910.3-2016 数据中心 资源利用 第 3 部分：电能能效要求和测量方法中的一级节能要求或同类标准要求；c)机房位于黑龙江省行政区域内。