国家电子政务外网平台技术规范概要.docx

1、国家电子政务外网平台技术规范概要国家政务外网设备选型基本要求（征求意见稿）2010年4月16日1. 前言国家电子政务外网（以下简称政务外网）是中办发200217号文件明确规定要建设的政务网络平台。政务外网与政务内网物理隔离，与互联网逻辑隔离，主要用于运行政务部门不需要在内网上运行的业务和政务部门面向社会的专业性服务，为政务部门的业务系统提供网络、信息、安全等支撑服务，为社会公众提供政务信息服务。为保证省各级电子政务外网与国家电子政务外网的互联互通，本文对各省网络关键节点设备及网络管理软件等提出了最低的功能和性能要求，各省的电子政务外网设网络关键节点设备选型应满足或优于本文所述要求。2. 国家政

2、务外网总体设计2.1总体框架国家电子政务外网总体框架如图所示。 图 1 国家政务外网总体框架国家政务外网主要包含标准统一的网络平台，支持相关政府部门的专网接入，建设政务外网安全保障体系和外网管理中心，形成统一的外网服务体系，建设政务外网数据交换中心和外网网站，促进电子政务业务应用系统的互联互通、资源共享。国家政务外网包括：政务外网广域骨干网：构建政务外网宽带骨干网，实现中央与32个省级单位的互联，并进一步向下延伸，实现中央、省、地、县四级互通。中央城域网：组建中央城域网，实现与中央相关政务部门的互联，支持相关政府部门的网络接入和VPN贯通。互联网安全接入平台：提供整个政务外网的互联网出口，既是

3、整个政务外网用户访问互联网的出口，也是公众访问政务外网统一开放服务的通道。政务外网中央网管中心：建设政务外网中央网管中心，提供域名、邮件等网络基础服务，负责网络运行维护和管理等。省市接入网：全国32个省、自治区、直辖市、新疆生产建设兵团根据自身情况，按照统一标准规范，建设国家政务外网地方节点，实现和政务外网广域骨干网对接。2.2网络架构国家政务外网按照管理层次划分，可分为一级网、二级网、三级网。一级网络主要指中央广域骨干网、中央城域网。二级网络主要指省级广域骨干网、省级城域网。三级网络主要指地市级广域骨干网、地市级城域网。按照网络业务划分，可分为承载网和接入网。图 2国家政务外网整体网络架构2

4、.3 业务模型根据国家政务外网所承载的业务和系统服务的类型的不同，在逻辑上，国家政务外网划分为专用网络区、公用网络区和互联网接入区三个功能域，分别提供专用VPN业务，政务外网互联互通业务和互联网业务。图3 国家政务外网逻辑区域划分图其中：1、公用网络区：即采用国家政务外网注册地址（59地址）的网络区域，是国家政务外网的主干道，实现各部门、各地区互联互通，为跨地区、跨部门的业务应用提供支撑平台；国家政务外网承载网只路由国家政务外网注册地址。2、专用网络区：是依托国家政务外网基础设施，开辟地为有特定需求的部门或业务设置的VPN网络区域，实现不同部门或不同业务之间的相互隔离，VPN业务主要为少数中央

5、部门的敏感数据传输提供安全通道。中央级政务外网采用MPLS VPN技术将敏感业务数据与其他数据安全隔离，用于满足 “自上而下”及“自下而上”的业务需求，为中央政务部门与各省、市、自治区相关部门的互联互通提供安全通道。该区域主要采用私有地址，在骨干网上采取标签进行交换。3、互联网接入区是各级政务部门通过逻辑隔离安全接入互联网的网络区域，满足各级政务部门利用互联网的需要。同时也是移动办公的公务人员通过数字证书认证，安全接入政务外网的途径。在互联网接入区，采取了综合的安全防护措施，采用防火墙系统、入侵防御系统和网络防病毒系统，对互联网接入业务提供一定的安全防护。中央和地方分级出口，中央政务外网采取B

6、GP协议与主要运营商进行互联，为中央部门单位提供互联网业务服务，各地政务外网自行出口，采取NAT技术，通过静态路由连接本地互联网。国家政务外网主干网不路由互联网业务。3. 国家政务外网总体要求3.1 组网基本原则为保证国家政务外网全网的业务畅通、安全及稳定，在规划和建设各地方政务外网时，需要遵循以下原则：层次化组网原则：各地方宜采用层次化组网结构，在网络层次上原则上分为核心层、汇聚层和接入层。核心层主要承担高速数据交换的任务，同时提供到政务外网和互联网的连接。汇聚层的主要任务是把大量来自接入层的访问路径进行汇聚和集中，承担路由聚合和访问控制的任务。接入层的主要任务是完成用户的接入，它直接和用户

7、连接，并提供灵活的用户管理手段。局域网在规划时需遵循但不限于上述层次结构，对于规模比较小的地方外网可以只设置核心层和接入层。可靠性：为保证各项业务应用，网络必须具有高可靠性。在网络设计时合理设计网络冗余拓扑结构，制订可靠的网络备份策略，保证网络具有故障自愈的能力，在关键节点的设计中，选用高可靠性网络产品，关键部件配置冗余。灵活性和可扩展性：网络系统是一个不断发展的系统，网络不仅需要保持对以前技术的兼容性，还必须具有良好的灵活性和可扩展性，具备支持多种应用系统的能力，能够根据未来业务的增长和变化，平滑的扩充和升级现有的网络覆盖范围、扩大网络容量和提高网络的各层次节点的功能，最大程度的减少对网络架

8、构和现有设备的调整。实用性和先进性：在网络设计中把先进的技术与现有的成熟技术、标准和设备结合起来，充分考虑到电子政务网络应用的需求和未来的发展趋势，尽可能采用先进的网络技术以适应更高的数据、语音、视频（多媒体）的传输需要，使整个系统在相当一段时期内保持技术先进性，以适应未来信息化的发展的需要。易操作性和易管理性：在网络设计中，须建立有效的网络管理解决方案。能够实现监控、监测整个网络的运行情况，合理分配网络资源、动态配置网络负载、可以迅速确定网络故障等。通过先进的管理策略、管理工具提高网络的运行性能、可靠性，简化网络的维护工作。3.2 设备选型原则 本文中要求达到的有关指标值均为设备实际应达到的

9、，各省需采用成熟产品，在选型时可参考各厂家的产品说明书、权威机构的测试结果、电子政务外网案例应用等证明文件。 充分考虑现有中央政务外网和各地政务外网网络建设现状，具有良好的可扩展能力和互联互通互操作特性。 关键设备符合电信级设备要求，全部网络设备均符合国家和国际标准，具有国家颁发的网络设备入网证件。 安全设备应具有相应主管部门颁发的生产许可证。 网络设备自身具有一定的安全防护特性。 优先考虑使用国产设备。 需选择技术领先、市场和技术前景良好、明确的厂家的产品，选择有稳定的服务队伍的设备厂商，提供持续的设备升级和维护能力。 具有多个组网成功案例，具备大型组网能力3.3 功能要求各地方电子政务外网

10、建设应满足如下要求： 网络业务承载实现国家部委和省级各厅局以及向下延伸的网络业务承载。实现国家部委和省级各厅局以及向下延伸的VPN业务承载。提供公众通过互联网对各级政府单位公共资源的访问，同时也提供各级政府单位内用户对互联网的访问。支持暂时没有政务外网的单位和出差用户利用互联网，通过安全接入平台实现远程接入访问服务。支持视频、语音、数据业务的传输。 互通性网络建设应具有良好的互通性，需按照电子政务外网相关规范进行建设，可实现与国家电子政务外网在内各级政务部门的互联互通、信息共享、数据交换和业务互动。需采用标准、成熟的产品和协议，以保证路由协议、MPLS VPN的兼容与互通。需遵循电子政务外网统

11、一的IP地址定义规范，需提供地址转换（NAT）功能，支持双向NAT、NAT多实例等技术，满足各部门私有地址访问电子政务外网的需求。 路由实现各地方电子政务外网的路由设计需按照网络层次划分路由网络，根据各省实际情况，可选择划分为一个自治系统（AS），或由多个AS构建，需采用适当的区域内路由协议和区域间路由协议。区域划分需考虑路由信息安全因素和对路由交换的限制管理。 IGP路由协议需支持OSPF、IS-IS等协议，广域骨干网路由协议应支持由OSPF+BGP4路由协议（或者是静态路由）进行规划。 端到端的MPLS VPN技术采用MPLS/BGP VPN作为实现基本MPLS VPN业务的技术路线，包括

12、建立各厅局的垂直纵向网络，实现各部委纵向跨自治域的VPN访问；建立公众服务专网对因特网公众提供服务，通过网络安全系统与因特网逻辑相连。支持MPLS MPLS L2和L3 VPN，提供MPLS L2 VPN的支持能力，包括支持VPLS（多点的MPLS L2 VPN）能力。同样在考虑部署MPLS L2 VPN的时候也必须支持跨自治域AS的能力。支持BGP/MPLS VPN三种跨自治域方式， QoS技术支持IP QoS机制，支持基于MPLS/BGP实现QoS控制，为VPN用户实现端到端的QOS服务。支持在边缘网络中定义IP QOS级别，对接入层业务进行“细分和区分服务，并继承到MPLS域中，实现端到

13、端的QOS，提供基于业务的时延、抖动等的保障。 网络可用性支持多种方式保证网络可用性，关键节点设备冗余备份，关键链路冗余备份，采用高可靠性技术、协议如VRRP、堆叠、链路捆绑、BFD、FRR等，保障网络的持续可用和故障恢复时间。 安全性在系统设计中，既要考虑信息资源的充分共享，还要注意信息的保护和隔离，因此系统应分别针对不同的应用和不同的网络通信环境，采取不同的措施，包括系统安全机制，数据存取的权限控制、网段的划分、网络边界安全等等。可通过网络设备自身安全功能、部署集成防火墙、IPS等安全板卡或独立式防火墙、IPS等安全设备等多种方式实现。应支持通过身份鉴别和授权、安全监测、策略管理等方法保障

14、网络的安全性。 嵌套业务实现支持各接入单位根据业务部门和业务种类（例如OA，视频会议，IP电话，公文流转等）再自行规划和设计子VPN，支持通过嵌套VPN技术解决VPN层次化的问题。 IPv6技术考虑到IPv6的发展趋势，应具备基于硬件支持IPv6的能力，支持丰富的IPv4向IPv6的各种过渡技术，支持通过IPv6技术构建MPLS VPN网络。 网络管理电子政务外网将是一个跨部门，跨区域的大型的分布式网络应用系统，因此必须有完善的系统监控管理解决方案。为便于后续电子政务外网网络的统一运维与分级、分权管理，各省级电子政务外网应采用标准、开放的网络管理系统，提供网络集中监视、故障管理、性能管理、VP

15、N管理等功能。3.4 参考模型各地政务外网络结构按照组网层次分为以下三层：核心层、汇聚层、接入层。核心层是政务外网的骨干，作为政务外网内部的高速数据交换以及到下级政务外网的连接。核心层建议使用高性能的路由器组建，支持虚拟专网，支持多条逻辑链路划分，并采用高可靠的冗余组网结构。组网时可以根据实际需求情况及节点重要性，选择两个或多个核心节点实现设备的冗余。在某个核心节点出现故障时，其它核心节点可接替承担失效节点的功能，并通过链路自动切换，保持到外部网络的联通性（即具有故障自愈性）。汇聚层建议使用高性能的路由交换机，提供千兆/万兆以太网上联和千兆以太网汇聚能力。汇聚点的位置和数量可根据楼群分布、综合

16、布线系统设计、行政机构类别等因素综合考虑确定。为提高汇聚层网络的可靠性，建议每个汇聚点部署两台汇聚交换机，同时汇聚层通过链路双归属的模式上行接入双机核心节点。汇聚层提供接入层VLAN终结和路由网关功能，并实现到核心层的路由交换，同时提供各接入单位的业务安全访问控制策略（ACL访问控制列表）。接入层可以使用多台接入交换机堆叠、安全智能交换、百兆/千兆到桌面等多种技术实现网络终端接入。各级政务部门通过汇聚路由器接入各地政务外网平台，接入方式包括城域光纤以太网、MSTP多业务传输平台、SDH专线、ATM、ADSL以及ISDN/PSTN拨号等方式。各级政务部门在接入国家政务外网时，为保证网络的安全性，

17、要求在网络出口部署防火墙和安全防御系统，并能够通过虚拟专网技术或多逻辑链路划分技术实现不同业务系统之间的安全隔离。根据分级负责的原则，各级政务外网应建立统一的互联网出口，在互联网出口必须部署防火墙和入侵防御等安全设备，避免来自互联网对政务外网的安全威胁。在各级政务外网内，特别是地市一级政务外网，建议根据实际需求和管理现状，建设统一的数据中心，将政务外网内部不同的委办局的服务器集中部署在数据中心内，提供统一的政务外网服务器和互联网服务器托管服务，有利于数据资源共享和统一安全策略，节省建设维护成本。数据中心通过安全防御系统后连接到政务外网的核心交换设备时，根据政务外网和互联网不同的安全防护需求，配

18、置防火墙设备，制定相应的安全策略。各地政务外网既是国家政务外网的有机组成部分，同时也是相对独立运行的城域网络系统，需要部署有效的网络管理系统，在满足各地政务外网可运行可管理需求的同时，应为上级统一网管平台提供标准接口和关键数据报送能力。4. 核心和汇聚路由器指标要求4.1基本要求政务外网所涉及的关键路由器根据网络层次，可以划分为三类：第一类：省级广域骨干网核心路由器第二类：省级城域网汇聚路由器、市级广域骨干网核心路由器第三类：市级城域网汇聚路由器和县级核心路由器各地可根据各地实际情况、链路情况以及资金情况，选用适当路由设备。所有关键路由器应满足以下基本功能要求： 路由协议：支持RIP、OSPF

19、、IS-IS、BGP-4等路由协议； MPLS VPN技术：支持MPLS L2和L3 VPN,支持RFC2547bis标准，支持MPLS TE，MPLS TE QOS功能；支持分层PE； 组播特性：支持PIM/MSDP，支持VPN组播；支持视频会议、应急监控等多媒体业务的组播转发； QoS特性：支持QoS及VPN下的QoS能力，支持层次化QoS技术，支持PQ/LLQ/CQ/WFQ/CBWFQ等队列调度机制； 可靠性：采用稳定可靠的硬件、软件架构，支持BFD，FRR、负载分担等协议，充分考虑冗余、容错能力； 统一网管：支持SNMP、RMON等协议；支持网络流量分析技术，支持IPv4、MPLS V

20、PN和IPv6的报文统计功能，可以针对不同的流信息进行独立的数据统计； IPV6特性：支持IPV6技术和IPv4向IPv6的过渡技术； 安全性：支持集中的安全策略控制功能，支持用户的认证和路由协议的验证，支持抗流量攻击技术等； 地址转换：支持NAT功能，以解决VPN地址冲突问题。4. 2 A档核心路由器指标要求主要用于省级广域骨干网核心路由器，除了满足总体功能要求，还需要满足以下要求。整机包转发率大于400 Mpps，最少提供8个业务插槽，支持双主控，双电源，支持关键组件热插拔；支持155M POS， 155M CPOS，2.5G POS，10G POS，GE，10GE，等多种接口；支持BGP

21、/MPLS VPN三种跨自治域方式：VRF-VRF(Option1) ，MP-BGP(Option2)，MultiHop-BGP(Option3)；支持增强的网络安全性，可通过扩容防火墙安全板卡等方式提供集中的安全策略、单向访问控制功能。支持IPV6技术，包括RIPng、OSPFv3等，支持IPv4向IPv6的过渡技术，如隧道技术、双栈技术、6PE等。支持NAT多实例和双向NAT功能，支持各部门私网IP地址接入VPN网络；支持同一台设备能够实现不同VPN（包括地址重叠的VPN）之间的NAT转换，以实现不同政府部门之间特殊业务互访。支持用户的认证和路由协议的验证，支持虚拟分片重组，防止分片报文攻

22、击，支持ACL报文过滤，支持URPF，支持DHCP Snooping支持抗DOS/DDOS攻击、防ARP攻击技术等。4. 3 B档路由器指标要求B类路由器可以作为省级汇聚、地市级核心路由器，属于高配。整机包转发率大于100 Mpps，最少提供4个业务插槽，支持双主控，双电源；支持155M POS， 155M CPOS，2.5G POS，GE，10GE，等多种接口；支持BGP/MPLS VPN三种跨自治域方式：VRF-VRF(Option1) ，MP-BGP(Option2)，MultiHop-BGP(Option3)；支持增强的网络安全性，可通过扩容防火墙安全板卡等方式提供集中的安全策略、单向

23、访问控制功能。支持NAT多实例和双向NAT功能。支持IPV6技术，包括RIPng、OSPFv3等，支持IPv4向IPv6的过渡技术，如隧道技术、双栈技术、6PE等。支持用户的认证和路由协议的验证，支持虚拟分片重组，防止分片报文攻击，支持ACL报文过滤，支持URPF，支持DHCP Snooping支持抗DOS/DDOS攻击、防ARP攻击技术等。4. 4 C档路由器指标要求C类路由器可以作为省级汇聚、地市级核心路由器，属于低配，也可以作为市级汇聚、县级核心，属于高配。整机包转发率大于20Mpps，最少提供4个业务插槽，支持双主控，双电源；支持155M POS， 155M CPOS，2.5G POS

24、，GE，10GE，等多种接口；支持BGP/MPLS VPN三种跨自治域方式： VRF-VRF(Option1) ，MP-BGP(Option2)，MultiHop-BGP(Option3)；支持增强的网络安全性，可通过扩容防火墙安全板卡等方式提供集中的安全策略、单向访问控制功能。支持NAT多实例和双向NAT功能。支持IPV6技术，包括RIPng、OSPFv3等，支持IPv4向IPv6的过渡技术，如隧道技术、双栈技术、6PE等。4. 5 D档路由器指标要求D类路由器可以作为市级汇聚、县级核心，属于低配。整机包转发率要求大于2Mpps以上，最少支持2个业务扩展插槽，anyuanhukong，支持抗

25、流量攻击技术等。正常开展。支持E1，FE等多种接口；支持SNMP、RMON等协议；支持Web网管，能在Web网管中实现访问控制、防火墙及P2P限流的快速配置。支持NAT多实例。5. 核心交换机指标要求省级数据中心核心交换机、市级政务大楼核心交换机、以及汇聚层交换机可根据各省实际情况按照交换机A类或交换机B类要求进行选型，具体要求如下。5.1总体要求 接口支持：支持10M/100M/1000M以太网电口，支持100M、1000M以太网光接口，支持10G以太网光接口。 二层协议：支持IEEE802.1q、802.1p、802.3z、802.1d、802.3u、802.1X等协议。 路由协议：支持静

26、态、RIPv1/v2、 OSPF、IS-IS、BGP等路由协议。 MPLS VPN：支持三层MPLS VPN，支持二层VPN，支持MCE，符合RFC2547bis协议。 可靠性：支持热补丁，支持GR for OSPF/BGP/IS-IS，支持VRRP协议，支持多台不同的物理设备虚拟化为一台统一的设备，支持多台设备单一IP的集中式管理，实现多台设备跨设备链路聚合，减少单点故障对网络的影响。 组播：支持IGMPv1/v2/v3，支持IGMPv1/v2/v3 Snooping，支持PIM-SM /PIM-DM /PIM-SSM QoS：提供完善的QoS机制、支持队列调度机制，包括SP、WRR、SP+

27、WRR、CBWFQ，支持分层QoS，支持多级队列调度。 IPv6：支持OSPFv3 、RIPng等IPv6路由协议，支持IPv4向IPv6的过渡技术如隧道技术等。 安全性：支持SSH，支持Telnet的登录和口令机制；支持融合的安全防护功能，支持通过硬件板卡或其他形式，实现基于状态的防火墙安全功能和47层的安全防护功能。5.2 A档交换机指标能要求在满足总体功能要求的同时，A档交换机属于高配，应提供基于硬件的全分布式线速转发，整机交换容量不低于700Gbps，包转发率不低于400Mpps。支持4k个VLAN，支持16K MAC地址。提供丰富的可扩展接口资源，提供无源背板设计，支持主控板、电源系

28、统的冗余备份。5.3 B档交换机指标能要求满足总体功能要求的同时，B档交换机属于低配，应提供基于硬件的全分布式线速转发，整机交换容量不低于300Gbps，包转发率不低于180Mpps。支持4k个VLAN，支持8K MAC地址。提供丰富的可扩展接口资源。6. VPN网关指标要求国家政务外网支持暂时没有接入政务外网的单位以及移动出差用户，利用互联网通道，利用安全接入平台访问国家政务外网资源，可根据各省实际情况按照对VPN设备要求进行选型，具体要求如下。6.1 VPN网关总体要求 支持VPN类型：采用IPsec VPN，支持L2TP 、PPTP等隧道协议。 产品架构：高配硬件平台（A类VPN网关）要

29、求使用非x86架构，所采用的核心操作系统稳定可靠。 产品可靠性：支持双机热备、多线路捆绑、集群部署等技术、备份与切换等技术保证不间断的网络应用；支持隧道断线自动重建，在VPN隧道异常断开或者超时之后，只要接收到需要进入隧道的数据报文，可自动进行VPN隧道协商，恢复VPN隧道通信；VPN隧道支持状态同步，即便设备进行了切换，VPN隧道连接也不会断线；具备单机双电源冗余，减少电源故障造成的业务中断。 安全性：支持VPN协议的标准性、数据的传输安全性、移动用户的接入控制和访问控制等。支持标准IPSec协议框架，数字证书支持标准X.509证书格式，支持国密局SM1算法以及其他标准的数据加密算法，如3D

30、ES、DES、AES等，支持标准的数据认证算法，如MD5、SHA1等。支持隧道模式和传输模式，支持SSH安全管理协议，支持防火墙功能；基于标准IPSEC协议开发，并严格遵循国家密码管理局制定的IPSEC VPN技术规范。采用自动密钥协商机制，硬件设备间互联校验采取预共享密钥方式。 互通兼容性：与其它经国家密码管理局检测的其它IPSEC VPN产品能够互联互通，；支持NAT穿越，采用标准协议，能够双向穿透NAT设备，具有良好的兼容性。 统一智能管理：支持实现对VPN设备的集中监控和管理，支持XML日志格式转发，提供安全管理平台采集与配置管理接口；支持外部认证用户基于角色的授权，支持对外部认证用户

31、分组授权。 性能管理：支持有效监视 IPSec 设备的运行性能，提供丰富的性能管理功能。包括支持对IPSec VPN网关CPU利用率等关键指标的监视；集中监控隧道状态、设备状态和移动用户状态；支持对用户关心的性能参数设定阈值，当超过设定的阈值后，系统将会发送性能告警，使网络管理人员及时发现和消除网络中的隐患。 证书认证：支持政务外网证书认证，支持X.509协议。支持通过LDAP协议认证CA证书，支持自动下载CRL。支持离线验证模式，可实现VPN设备直接校验用户CA的合法性。 资质要求：具备中华人民共和国公安部颁发的计算机信息系统安全专用产品销售许可证；具备国家密码管理局颁发的国家商用密码生产定

32、点单位证书；具备国家密码管理局颁发的国家商用密码销售许可证；提供国家密码管理局产品检测报告。6.2 A类VPN网关指标要求支持总体功能要求的同时，A类VPN设备可用于省级，属于高配，应支持以下要求：支持千兆光、电接口，按需要支持万兆口扩展。主要性能指标如下：IPsec VPN隧道数5000个；SM1加密性能300Mbps；3DES加密性能1Gbps；最大并发连接数200万；认证时间小于10s；隧道建立时间小于20s；吞吐量2Gbps；延时小于50ms。6.3 B类VPN网关指标要求支持总体功能要求的同时，B类VPN设备可用于省级，属于低配，还可用于地市级，属于高配，应支持以下要求：支持不少于6个千兆电口，主要性能指标如下：IPsec V