ICS35.240.20CCSL67DB23黑龍江省市場監(jiān)督管理局發(fā)布IDB23/T2831-2021本文件按照GB/T1.1-2020給出的規(guī)則起草。本文件由黑龍江省營商環(huán)境建設監(jiān)督局提出并歸口。本文件起草單位：黑龍江省營商環(huán)境建設監(jiān)督局、黑龍江省政務大數(shù)據(jù)中心、黑龍江省標準化研究院、哈爾濱工業(yè)大學軟件工程股份有限公司。本文件主要起草人：史春光、楊建敏、胡茹、王鋒、王軍、張海龍、藏愛英、林妍初、馬旭春、姜永剛、陳要武、楊大志、呂猛、王磊、李嚴、王艷君。DB23/T2831-20211電子政務外網(wǎng)網(wǎng)絡技術規(guī)范本文件規(guī)定了黑龍江省電子政務外網(wǎng)網(wǎng)絡技術要求，描述了IP地址、自治域及路由、虛擬專用網(wǎng)絡、服務質(zhì)量和運營商節(jié)點機房等。。本文件適用于指導黑龍江省電子政務外網(wǎng)網(wǎng)絡建設。2規(guī)范性引用文件下列文件中的內(nèi)容通過文中的規(guī)范性引用而構成本文件必不可少的條款。其中，注日期的引用文件，僅該日期對應的版本適用于本文件；不注日期的引用文件，其最新版本（包括所有的修改單）適用于本文件。GB/T21061-2007國家電子政務網(wǎng)絡技術和運行管理規(guī)范GB/T25647-2010電子政務術語GB/T32910.3-2016數(shù)據(jù)中心資源利用第3部分：電能能效要求和測量方法GB/T50174-2017數(shù)據(jù)中心設計規(guī)范GW0103-2014國家電子政務外網(wǎng)安全等級保護基本要求GW0202-2014國家電子政務外網(wǎng)安全接入平臺技術規(guī)范GW0206-2014接入政務外網(wǎng)的局域網(wǎng)安全技術規(guī)范GW0206-2015國家電子政務外網(wǎng)IPv4地址規(guī)劃GW0207-2015國家電子政務外網(wǎng)IPv4地址地方分配部署指南3術語和定義GB/T25647-2010、GB/T21061-2007、GW0202-2014和GW0206-2015界定的術語和定義適用于本文件。4總體架構4.1網(wǎng)絡架構黑龍江省電子政務外網(wǎng)按照省、市、縣三級政務網(wǎng)絡全覆蓋模式建設，網(wǎng)絡總體架構如圖1所示，具體內(nèi)容如下：a)省級網(wǎng)絡：省級廣域網(wǎng)核心節(jié)點橫向連接至省級城域網(wǎng)核心節(jié)點和省級政務云平臺，縱向上聯(lián)至中央廣域網(wǎng)接入節(jié)點，下聯(lián)至市廣域網(wǎng)核心節(jié)點；b)市級網(wǎng)絡：市級廣域網(wǎng)核心節(jié)點橫向連接至市級城域網(wǎng)核心節(jié)點，縱向上聯(lián)至省級廣域網(wǎng)核心節(jié)點，下聯(lián)至縣級廣域網(wǎng)核心節(jié)點；c)縣級網(wǎng)絡：縣級廣域網(wǎng)核心節(jié)點橫向連接至縣級城域網(wǎng)核心節(jié)點，縱向上聯(lián)至市級廣域網(wǎng)核心節(jié)點，鄉(xiāng)鎮(zhèn)（街道）、村（社區(qū)）等單位接入至縣級城域網(wǎng)。2廣域網(wǎng)城域網(wǎng)廣域網(wǎng)中央廣域接入中央廣域網(wǎng)互聯(lián)網(wǎng)互聯(lián)網(wǎng)安全接入平臺政務云→2ee城域網(wǎng)省級單位城域網(wǎng)互聯(lián)網(wǎng)統(tǒng)一出口互聯(lián)網(wǎng)統(tǒng)一出口安全接入市級政務云)夠廣域核心城域網(wǎng)城域網(wǎng)局域網(wǎng)口=互聯(lián)網(wǎng)互聯(lián)網(wǎng)888Q廣域核心縣級單位局域網(wǎng)城域網(wǎng)8城域網(wǎng)爆接入接入圖1黑龍江省電子政務外網(wǎng)總體架構圖4.2業(yè)務區(qū)劃分根據(jù)接入單位業(yè)務承載需要，黑龍江省電子政務外網(wǎng)邏輯上劃分為“2+N”個業(yè)務網(wǎng)絡，其中，“2”是指公用網(wǎng)絡區(qū)和互聯(lián)網(wǎng)接入?yún)^(qū)，“N”是指接入單位根據(jù)業(yè)務需求開設的多個虛擬業(yè)務專網(wǎng)。黑龍江省電子政務外網(wǎng)業(yè)務承載模型示意圖如圖2所示，具體內(nèi)容如下：a)公用網(wǎng)絡區(qū)：是實現(xiàn)各級接入單位之間互聯(lián)互通的邏輯業(yè)務網(wǎng)絡，公用網(wǎng)絡區(qū)承載跨地區(qū)、跨3入單位面向企業(yè)和公眾服務的業(yè)務，同時提供接入單位工互聯(lián)網(wǎng)接入?yún)^(qū)應部署安全接入平臺，通過安全接入平臺c)專用網(wǎng)絡區(qū)：是“N”個虛擬接入單位業(yè)務專網(wǎng)的集合，主要承載接入單位特定需求的業(yè)務?！觥龌ヂ?lián)網(wǎng)廣域網(wǎng)整體拓撲結構如圖3所示，具體內(nèi)容如下：a)廣域網(wǎng)采用統(tǒng)一模式建設，分成省—市廣域b)廣域網(wǎng)主要承載電子政務的數(shù)據(jù)、音視頻和圖像等相關業(yè)務，跨單位、跨市(地)和跨縣(區(qū))d)廣域核心節(jié)點采用雙設備冗余結構，廣域網(wǎng)線路采用雙鏈路冗余；4中央廣域接入中央廣域接入省級廣域核心傳送網(wǎng)鏈路市級廣域核心大慶市傳送網(wǎng)鏈路依蘭縣大同區(qū)林甸縣傳送網(wǎng)鏈路縣級廣域核心南崗區(qū)哈爾濱市，圖3黑龍江省電子政務外網(wǎng)廣域網(wǎng)組網(wǎng)拓撲示意圖4.3.2設備要求廣域網(wǎng)核心節(jié)點設備應符合表1要求：表1廣域網(wǎng)核心節(jié)點路由設備技術要求1設備架構電信級設計架構，支持虛擬化、SDN等技術，支持網(wǎng)絡分片技術，支持網(wǎng)絡分片在線擴容，支持可擴展，支持RIP/OSPF/IS-IS/BGP4/多播路由等路由2省級不少于20路萬兆接口轉(zhuǎn)發(fā)能力，市級不少于10路千兆力，縣級不少于10路千兆接口轉(zhuǎn)發(fā)能力；省市級不低于110Tbps交換容量，縣級不低于75Tbps交換容量，支持10GE、40GE、100GE接口3硬件支持部件冗余，設備系統(tǒng)軟件支持虛擬化集群、軟件熱補丁，支收斂協(xié)議等4虛擬專用網(wǎng)絡(VPN)L2VPN/L3VPN/組播/組播VPN/MPLSTE/S5支持QoS技術，支持多層嵌套的QoS機制64.4城域網(wǎng)4.4.1省級城域網(wǎng)省級城域網(wǎng)分為核心層、匯聚層和接入層。省級城域網(wǎng)拓撲結構如圖4所示：其中：a)核心層設備做高速的數(shù)據(jù)轉(zhuǎn)發(fā)，要求采用冗余核心設備組網(wǎng)，核心層速率為40/100G,滿足城域網(wǎng)核心高速數(shù)據(jù)交換的要求；b)匯聚層設備用于接入單位的匯接，匯聚層到核心層采用雙冗余線路連接，分擔接入單位業(yè)務流量對核心設備的壓力；c)接入層設備部署于接入單位機房，用于單位局域網(wǎng)的接入，采取就近接入的原則，上聯(lián)至匯聚5d)統(tǒng)一互聯(lián)網(wǎng)出口平臺連接本地ISP,為本級接入單位提供互聯(lián)網(wǎng)出口服務。廣域網(wǎng)廣域網(wǎng)省級單位移動終端螺8計算機終端嚴廣域核心2省級城域網(wǎng)局域網(wǎng)嚴省級單位移動終端計算機終端阿云平臺安全接入互聯(lián)網(wǎng)出口平臺安全接入平臺互聯(lián)網(wǎng)出口平臺核心層接入層匯聚層螺螺網(wǎng)服務，市級城域網(wǎng)拓撲結構如圖5所示：市級城域網(wǎng)市級及下轄單位市級城域網(wǎng)互聯(lián)網(wǎng)出口平臺市級政務云互聯(lián)網(wǎng)出口平臺市級政務云核心核心層匯聚層接入層省級市級及下轄單位移動警端互聯(lián)網(wǎng)出口平臺市級及下轄單位互聯(lián)網(wǎng)出口平臺口安全接入安全接入市級城域網(wǎng)6對于縣級城域網(wǎng)節(jié)點，核心層節(jié)點應采用雙核心結構，對于合駐辦公和大規(guī)模接入單位園區(qū)采用雙鏈路接入，對于小型接入單位園區(qū)采用單鏈路接入。考慮到縣級直屬單位接入點少，結構簡單，應采用“核心—接入”二層架構。鄉(xiāng)鎮(zhèn)(街道)、村(社區(qū))接入作為縣級城域網(wǎng)的一部分，考慮到鄉(xiāng)鎮(zhèn)(街道)、村(社區(qū))接入數(shù)量較大，宜采用“核心-匯聚-接入”三層架構。縣級城域網(wǎng)部署統(tǒng)一互聯(lián)網(wǎng)出口，統(tǒng)一互聯(lián)網(wǎng)出口平臺連接本地ISP,為本級接入單位提供互聯(lián)網(wǎng)服務，縣級城域網(wǎng)拓撲結構如圖6所示：廣域網(wǎng)廣域網(wǎng)縣級城域網(wǎng)互聯(lián)網(wǎng)出口平臺廣域接入縣級單位廣域核心→互聯(lián)網(wǎng)出口平臺廣域核心縣級城域網(wǎng)接入層廣域核心匯聚層核心個山中央圖6黑龍江省電子政務外網(wǎng)縣級城域網(wǎng)拓撲圖4.4.4城域網(wǎng)技術要求城域網(wǎng)技術要求具體如下：a)省、市、縣三級政務外網(wǎng)城域網(wǎng)具備多業(yè)務統(tǒng)一承載能力，城域網(wǎng)中公用網(wǎng)絡區(qū)、互聯(lián)網(wǎng)接入?yún)^(qū)和專用網(wǎng)絡區(qū)邏輯隔離；b)省級城域網(wǎng)與黑龍江省廣域網(wǎng)規(guī)劃在同一個自治域內(nèi)，省級政務外網(wǎng)管理部門負責在廣域網(wǎng)內(nèi)規(guī)劃部署省、市、縣縱向三層虛擬專用網(wǎng)絡。4.4.5城域網(wǎng)設備要求城域網(wǎng)核心節(jié)點設備應符合表2要求：表2城域網(wǎng)核心節(jié)點路由設備技術要求7DB23/T2831-20211234L2VPN/L3VPN/組播/組播VPN/MPLSTE564.5單位接入網(wǎng)具體要求如下：a)接入單位參照GW0206-2014接入政務外網(wǎng)的局域網(wǎng)安全技術規(guī)范的要求做好本單位接入網(wǎng)的安全防護工作；b)省、市、縣各級城域網(wǎng)接入層設備與接入單位的接入設備共同組成接入單位區(qū)域邊界，各級城域網(wǎng)接入層設備統(tǒng)一安裝至各接入單位，各接入單位應配備接入路由器、防火墻等網(wǎng)絡及安全設備與本級城域網(wǎng)接入層設備完成對接。4.6統(tǒng)一互聯(lián)網(wǎng)出口平臺統(tǒng)一互聯(lián)網(wǎng)出口平臺應符合以下要求：a)遵循GW0103-2014國家電子政務外網(wǎng)安全等級保護基本要求，歸并互聯(lián)網(wǎng)出口，逐步實現(xiàn)互聯(lián)網(wǎng)集中接入和安全管理；b)依托政務外網(wǎng)城域網(wǎng)，建設省、市、縣三級統(tǒng)一互聯(lián)網(wǎng)出口平臺。有條件的市（地）可建設市縣一體化互聯(lián)網(wǎng)出口平臺，縣（區(qū)）以下各級單位統(tǒng)一接入縣級互聯(lián)網(wǎng)出口平臺或市縣一體化互聯(lián)網(wǎng)出口平臺；c)各級統(tǒng)一互聯(lián)網(wǎng)出口平臺應建設由防火墻、入侵防御、防病毒、抗拒絕服務攻擊、行為審計、帶寬控制和鏈路負載均衡等安全設備組成的安全防護體系。4.7安全接入平臺安全接入平臺要求參照GW0202-2014國家電子政務外網(wǎng)安全接入平臺技術規(guī)范。4.8政務云平臺對接4.8.1省級政務云平臺對接省級政務云平臺與黑龍江省電子政務外網(wǎng)省級廣域網(wǎng)核心路由器連接，采用雙設備雙鏈路方式互聯(lián)。省級政務云平臺對接方式如圖7所示：8政務云平臺資源池政務云平臺資源池負載均衡安全設備省級政務云平臺防火墻省級廣域網(wǎng)核心路由器PE負載均衡安全設備T鏈路防火墻防火墻防火墻——ISP1圖7省級政務云平臺與省級廣域網(wǎng)連接示意圖4.8.2市級政務云平臺對接市級政務云平臺接入政務外網(wǎng)方式與省級政務云平臺接入方式相似，區(qū)別為市級政務云平臺與市級政務外網(wǎng)城域網(wǎng)核心路由器連接。5.1地址管理省級政務外網(wǎng)管理部門負責黑龍江省電子政務外網(wǎng)IP地址總體規(guī)劃和分配工作。市級政務外網(wǎng)管理部門負責各市(地)及以下網(wǎng)絡的IP分配和管理工作。各級接入單位接入政務外網(wǎng)使用的IP地址原則上向本級政務外網(wǎng)管理部門申請。IP地址規(guī)劃和分配要求參見GW0206-2015國家電子政務外網(wǎng)IPv4地址規(guī)劃和GW0207-2015國家電子政務外網(wǎng)IPv4地址地方分配部署指南。5.2分配原則IP地址使用應滿足以下要求：a)黑龍江省電子政務外網(wǎng)IP地址的分配以省、市(地)、縣(區(qū))為基本單元，地址分配應緊湊，市(地)及其下轄縣(區(qū))使用的地址段應連續(xù)，易于鏈路聚合，加快路由收斂速度，縮減路由表的大小，提高路由算法的效率；b)上下級設備互聯(lián)時，互聯(lián)地址段應由上級部門提供，上級設備接口配置單號地址，下級設備接口配置雙號地址；c)IP地址劃分的層次性應體現(xiàn)網(wǎng)絡結構的層次性，如設備互聯(lián)地址的規(guī)劃，網(wǎng)絡層次高的所用地址為較小值，層次低的為較大值。5.3地址范圍DB23/T2831-20219黑龍江省電子政務外網(wǎng)IP地址分為業(yè)務地址、終端地址和管理地址三大類，分別用于部署服務器、終端和網(wǎng)絡設備。國家為黑龍江省電子政務外網(wǎng)分配的IP地址區(qū)間見表3：表3黑龍江省電子政務外網(wǎng)IP地址范圍表5.4IPV6總體要求黑龍江省電子政務外網(wǎng)支持IPv6協(xié)議，政務外網(wǎng)的網(wǎng)絡及安全設備支持IPv4/IPv6雙棧協(xié)議。6自治域及路由6.1自治域要求自治域管理和劃分應滿足如下要求：a)黑龍江省電子政務外網(wǎng)自治域號碼由省級政務外網(wǎng)管理部門統(tǒng)一分配和管理，自治域號碼范圍為65325-65354。省級政務外網(wǎng)城域網(wǎng)和縱向廣域網(wǎng)使用自治域號碼65325，13個市級城域網(wǎng)使用自治域號碼為65326-65338，剩余自治域號碼預留；b)縣級城域網(wǎng)作為城域業(yè)務路由區(qū)域接入市級城域網(wǎng)自治域，可獨立運行動態(tài)路由、靜態(tài)路由等。6.2路由要求6.2.1路由協(xié)議黑龍江省電子政務外網(wǎng)采用中間系統(tǒng)到中間系統(tǒng)協(xié)議作為自治域內(nèi)內(nèi)部網(wǎng)關協(xié)議，用于傳遞設備間互聯(lián)地址、設備環(huán)回地址等路由，實現(xiàn)管理面互聯(lián)互通；采用內(nèi)部邊界網(wǎng)關協(xié)議傳遞域內(nèi)虛擬專用網(wǎng)絡路由，實現(xiàn)政務公用業(yè)務、互聯(lián)網(wǎng)業(yè)務和單位專網(wǎng)業(yè)務互通；采用外部邊界網(wǎng)關協(xié)議作為自治域間路由協(xié)議，傳遞域間虛擬專用網(wǎng)絡路由，實現(xiàn)跨域業(yè)務互聯(lián)互通。6.2.2路由策略要求路由設計反映整個網(wǎng)絡的層次結構，并與自治域、各地區(qū)子網(wǎng)的IP地址分配相契合，做到路由合理聚合，減少路由表的條目，減輕路由更新給網(wǎng)絡帶來的負荷，提高路由穩(wěn)定性。7虛擬專用網(wǎng)絡要求7.1總體要求黑龍江省電子政務外網(wǎng)采用多協(xié)議標簽交換虛擬專用網(wǎng)絡作為統(tǒng)一的多業(yè)務平臺承載技術，提供三層多協(xié)議標簽交換虛擬專用網(wǎng)絡的開通服務，支持跨域?qū)?，具備開通中央、省、市、縣四級縱向多協(xié)議標簽交換虛擬專用網(wǎng)絡的能力。7.2部署要求DB23/T2831-2021部署應滿足如下要求：a)針對不同的業(yè)務需要，為滿足不同接入單位的業(yè)務承載訴求，虛擬專用網(wǎng)絡可在默認分片承載，也可在指定分片內(nèi)承載，需在組網(wǎng)中構建N個專網(wǎng)業(yè)務虛擬專用網(wǎng)絡、一個共享業(yè)務虛擬專用網(wǎng)絡和一個互聯(lián)網(wǎng)業(yè)務虛擬專用網(wǎng)絡；b)省、市、縣三級縱向多協(xié)議標簽交換虛擬專用網(wǎng)絡的規(guī)劃部署由省級政務外網(wǎng)管理部門負責