國家電子政務(wù)外網(wǎng)平臺技術(shù)規(guī)范概要

國家政務(wù)外網(wǎng)設(shè)備選型基本要求（征求意見稿）2010年4月16日目錄1. 前言 12. 國家政務(wù)外網(wǎng)總體設(shè)計 12.1總體框架 12.2網(wǎng)絡(luò)架構(gòu) 22.3業(yè)務(wù)模型 33. 國家政務(wù)外網(wǎng)總體要求 43.1組網(wǎng)基本原則 43.2設(shè)備選型原則 53.3功能要求 63.4參考模型 84. 核心和匯聚路由器指標(biāo)要求 94.1基本要求 94.2A檔核心路由器指標(biāo)要求 104.3B檔路由器指標(biāo)要求 114.4C檔路由器指標(biāo)要求 124.5D檔路由器指標(biāo)要求 125. 核心交換機(jī)指標(biāo)要求 125.1總體要求 135.2A檔交換機(jī)指標(biāo)能要求 135.3B檔交換機(jī)指標(biāo)能要求 146. VPN網(wǎng)關(guān)指標(biāo)要求 146.1VPN網(wǎng)關(guān)總體要求 146.2A類VPN網(wǎng)關(guān)指標(biāo)要求 156.3B類VPN網(wǎng)關(guān)指標(biāo)要求 166.4C類VPN網(wǎng)關(guān)指標(biāo)要求 167. 接入設(shè)備指標(biāo)要求 167.1接入設(shè)備總體要求 167.2A類接入設(shè)備指標(biāo)： 177.3B類接入設(shè)備指標(biāo)： 177.4C類接入設(shè)備指標(biāo)： 178. 網(wǎng)絡(luò)管理系統(tǒng)指標(biāo)要求 18前言國家電子政務(wù)外網(wǎng)（以下簡稱政務(wù)外網(wǎng)）是中辦發(fā)[2002]17號文件明確規(guī)定要建設(shè)的政務(wù)網(wǎng)絡(luò)平臺。政務(wù)外網(wǎng)與政務(wù)內(nèi)網(wǎng)物理隔離，與互聯(lián)網(wǎng)邏輯隔離，主要用于運(yùn)行政務(wù)部門不需要在內(nèi)網(wǎng)上運(yùn)行的業(yè)務(wù)和政務(wù)部門面向社會的專業(yè)性服務(wù)，為政務(wù)部門的業(yè)務(wù)系統(tǒng)提供網(wǎng)絡(luò)、信息、安全等支撐服務(wù)，為社會公眾提供政務(wù)信息服務(wù)。為保證省各級電子政務(wù)外網(wǎng)與國家電子政務(wù)外網(wǎng)的互聯(lián)互通，本文對各省網(wǎng)絡(luò)關(guān)鍵節(jié)點(diǎn)設(shè)備及網(wǎng)絡(luò)管理軟件等提出了最低的功能和性能要求，各省的電子政務(wù)外網(wǎng)設(shè)網(wǎng)絡(luò)關(guān)鍵節(jié)點(diǎn)設(shè)備選型應(yīng)滿足或優(yōu)于本文所述要求。國家政務(wù)外網(wǎng)總體設(shè)計2.1總體框架國家電子政務(wù)外網(wǎng)總體框架如圖所示。 圖SEQ圖\*ARABIC\s11國家政務(wù)外網(wǎng)總體框架國家政務(wù)外網(wǎng)主要包含標(biāo)準(zhǔn)統(tǒng)一的網(wǎng)絡(luò)平臺，支持相關(guān)政府部門的專網(wǎng)接入，建設(shè)政務(wù)外網(wǎng)安全保障體系和外網(wǎng)管理中心，形成統(tǒng)一的外網(wǎng)服務(wù)體系，建設(shè)政務(wù)外網(wǎng)數(shù)據(jù)交換中心和外網(wǎng)網(wǎng)站，促進(jìn)電子政務(wù)業(yè)務(wù)應(yīng)用系統(tǒng)的互聯(lián)互通、資源共享。國家政務(wù)外網(wǎng)包括：政務(wù)外網(wǎng)廣域骨干網(wǎng)：構(gòu)建政務(wù)外網(wǎng)寬帶骨干網(wǎng)，實現(xiàn)中央與32個省級單位的互聯(lián)，并進(jìn)一步向下延伸，實現(xiàn)中央、省、地、縣四級互通。中央城域網(wǎng)：組建中央城域網(wǎng)，實現(xiàn)與中央相關(guān)政務(wù)部門的互聯(lián)，支持相關(guān)政府部門的網(wǎng)絡(luò)接入和VPN貫通?；ヂ?lián)網(wǎng)安全接入平臺：提供整個政務(wù)外網(wǎng)的互聯(lián)網(wǎng)出口，既是整個政務(wù)外網(wǎng)用戶訪問互聯(lián)網(wǎng)的出口，也是公眾訪問政務(wù)外網(wǎng)統(tǒng)一開放服務(wù)的通道。政務(wù)外網(wǎng)中央網(wǎng)管中心：建設(shè)政務(wù)外網(wǎng)中央網(wǎng)管中心，提供域名、郵件等網(wǎng)絡(luò)基礎(chǔ)服務(wù)，負(fù)責(zé)網(wǎng)絡(luò)運(yùn)行維護(hù)和管理等。省市接入網(wǎng)：全國32個省、自治區(qū)、直轄市、新疆生產(chǎn)建設(shè)兵團(tuán)根據(jù)自身情況，按照統(tǒng)一標(biāo)準(zhǔn)規(guī)范，建設(shè)國家政務(wù)外網(wǎng)地方節(jié)點(diǎn)，實現(xiàn)和政務(wù)外網(wǎng)廣域骨干網(wǎng)對接。2.2網(wǎng)絡(luò)架構(gòu)國家政務(wù)外網(wǎng)按照管理層次劃分，可分為一級網(wǎng)、二級網(wǎng)、三級網(wǎng)。一級網(wǎng)絡(luò)主要指中央廣域骨干網(wǎng)、中央城域網(wǎng)。二級網(wǎng)絡(luò)主要指省級廣域骨干網(wǎng)、省級城域網(wǎng)。三級網(wǎng)絡(luò)主要指地市級廣域骨干網(wǎng)、地市級城域網(wǎng)。按照網(wǎng)絡(luò)業(yè)務(wù)劃分，可分為承載網(wǎng)和接入網(wǎng)。圖SEQ圖\*ARABIC\s12國家政務(wù)外網(wǎng)整體網(wǎng)絡(luò)架構(gòu)2.3業(yè)務(wù)模型根據(jù)國家政務(wù)外網(wǎng)所承載的業(yè)務(wù)和系統(tǒng)服務(wù)的類型的不同，在邏輯上，國家政務(wù)外網(wǎng)劃分為專用網(wǎng)絡(luò)區(qū)、公用網(wǎng)絡(luò)區(qū)和互聯(lián)網(wǎng)接入?yún)^(qū)三個功能域，分別提供專用VPN業(yè)務(wù)，政務(wù)外網(wǎng)互聯(lián)互通業(yè)務(wù)和互聯(lián)網(wǎng)業(yè)務(wù)。圖SEQ圖\*ARABIC\s13國家政務(wù)外網(wǎng)邏輯區(qū)域劃分圖其中：1、公用網(wǎng)絡(luò)區(qū)：即采用國家政務(wù)外網(wǎng)注冊地址（59地址）的網(wǎng)絡(luò)區(qū)域，是國家政務(wù)外網(wǎng)的主干道，實現(xiàn)各部門、各地區(qū)互聯(lián)互通，為跨地區(qū)、跨部門的業(yè)務(wù)應(yīng)用提供支撐平臺；國家政務(wù)外網(wǎng)承載網(wǎng)只路由國家政務(wù)外網(wǎng)注冊地址。2、專用網(wǎng)絡(luò)區(qū)：是依托國家政務(wù)外網(wǎng)基礎(chǔ)設(shè)施，開辟地為有特定需求的部門或業(yè)務(wù)設(shè)置的VPN網(wǎng)絡(luò)區(qū)域，實現(xiàn)不同部門或不同業(yè)務(wù)之間的相互隔離，VPN業(yè)務(wù)主要為少數(shù)中央部門的敏感數(shù)據(jù)傳輸提供安全通道。中央級政務(wù)外網(wǎng)采用MPLSVPN技術(shù)將敏感業(yè)務(wù)數(shù)據(jù)與其他數(shù)據(jù)安全隔離，用于滿足“自上而下”及“自下而上”的業(yè)務(wù)需求，為中央政務(wù)部門與各省、市、自治區(qū)相關(guān)部門的互聯(lián)互通提供安全通道。該區(qū)域主要采用私有地址，在骨干網(wǎng)上采取標(biāo)簽進(jìn)行交換。3、互聯(lián)網(wǎng)接入?yún)^(qū)是各級政務(wù)部門通過邏輯隔離安全接入互聯(lián)網(wǎng)的網(wǎng)絡(luò)區(qū)域，滿足各級政務(wù)部門利用互聯(lián)網(wǎng)的需要。同時也是移動辦公的公務(wù)人員通過數(shù)字證書認(rèn)證，安全接入政務(wù)外網(wǎng)的途徑。在互聯(lián)網(wǎng)接入?yún)^(qū)，采取了綜合的安全防護(hù)措施，采用防火墻系統(tǒng)、入侵防御系統(tǒng)和網(wǎng)絡(luò)防病毒系統(tǒng)，對互聯(lián)網(wǎng)接入業(yè)務(wù)提供一定的安全防護(hù)。中央和地方分級出口，中央政務(wù)外網(wǎng)采取BGP協(xié)議與主要運(yùn)營商進(jìn)行互聯(lián)，為中央部門單位提供互聯(lián)網(wǎng)業(yè)務(wù)服務(wù)，各地政務(wù)外網(wǎng)自行出口，采取NAT技術(shù)，通過靜態(tài)路由連接本地互聯(lián)網(wǎng)。國家政務(wù)外網(wǎng)主干網(wǎng)不路由互聯(lián)網(wǎng)業(yè)務(wù)。國家政務(wù)外網(wǎng)總體要求3.1組網(wǎng)基本原則為保證國家政務(wù)外網(wǎng)全網(wǎng)的業(yè)務(wù)暢通、安全及穩(wěn)定，在規(guī)劃和建設(shè)各地方政務(wù)外網(wǎng)時，需要遵循以下原則：層次化組網(wǎng)原則：各地方宜采用層次化組網(wǎng)結(jié)構(gòu)，在網(wǎng)絡(luò)層次上原則上分為核心層、匯聚層和接入層。核心層主要承擔(dān)高速數(shù)據(jù)交換的任務(wù)，同時提供到政務(wù)外網(wǎng)和互聯(lián)網(wǎng)的連接。匯聚層的主要任務(wù)是把大量來自接入層的訪問路徑進(jìn)行匯聚和集中，承擔(dān)路由聚合和訪問控制的任務(wù)。接入層的主要任務(wù)是完成用戶的接入，它直接和用戶連接，并提供靈活的用戶管理手段。局域網(wǎng)在規(guī)劃時需遵循但不限于上述層次結(jié)構(gòu)，對于規(guī)模比較小的地方外網(wǎng)可以只設(shè)置核心層和接入層?？煽啃裕簽楸ＷC各項業(yè)務(wù)應(yīng)用，網(wǎng)絡(luò)必須具有高可靠性。在網(wǎng)絡(luò)設(shè)計時合理設(shè)計網(wǎng)絡(luò)冗余拓?fù)浣Y(jié)構(gòu)，制訂可靠的網(wǎng)絡(luò)備份策略，保證網(wǎng)絡(luò)具有故障自愈的能力，在關(guān)鍵節(jié)點(diǎn)的設(shè)計中，選用高可靠性網(wǎng)絡(luò)產(chǎn)品，關(guān)鍵部件配置冗余。靈活性和可擴(kuò)展性：網(wǎng)絡(luò)系統(tǒng)是一個不斷發(fā)展的系統(tǒng)，網(wǎng)絡(luò)不僅需要保持對以前技術(shù)的兼容性，還必須具有良好的靈活性和可擴(kuò)展性，具備支持多種應(yīng)用系統(tǒng)的能力，能夠根據(jù)未來業(yè)務(wù)的增長和變化，平滑的擴(kuò)充和升級現(xiàn)有的網(wǎng)絡(luò)覆蓋范圍、擴(kuò)大網(wǎng)絡(luò)容量和提高網(wǎng)絡(luò)的各層次節(jié)點(diǎn)的功能，最大程度的減少對網(wǎng)絡(luò)架構(gòu)和現(xiàn)有設(shè)備的調(diào)整。實用性和先進(jìn)性：在網(wǎng)絡(luò)設(shè)計中把先進(jìn)的技術(shù)與現(xiàn)有的成熟技術(shù)、標(biāo)準(zhǔn)和設(shè)備結(jié)合起來，充分考慮到電子政務(wù)網(wǎng)絡(luò)應(yīng)用的需求和未來的發(fā)展趨勢，盡可能采用先進(jìn)的網(wǎng)絡(luò)技術(shù)以適應(yīng)更高的數(shù)據(jù)、語音、視頻（多媒體）的傳輸需要，使整個系統(tǒng)在相當(dāng)一段時期內(nèi)保持技術(shù)先進(jìn)性，以適應(yīng)未來信息化的發(fā)展的需要。易操作性和易管理性：在網(wǎng)絡(luò)設(shè)計中，須建立有效的網(wǎng)絡(luò)管理解決方案。能夠?qū)崿F(xiàn)監(jiān)控、監(jiān)測整個網(wǎng)絡(luò)的運(yùn)行情況，合理分配網(wǎng)絡(luò)資源、動態(tài)配置網(wǎng)絡(luò)負(fù)載、可以迅速確定網(wǎng)絡(luò)故障等。通過先進(jìn)的管理策略、管理工具提高網(wǎng)絡(luò)的運(yùn)行性能、可靠性，簡化網(wǎng)絡(luò)的維護(hù)工作。3.2設(shè)備選型原則本文中要求達(dá)到的有關(guān)指標(biāo)值均為設(shè)備實際應(yīng)達(dá)到的，各省需采用成熟產(chǎn)品，在選型時可參考各廠家的產(chǎn)品說明書、權(quán)威機(jī)構(gòu)的測試結(jié)果、電子政務(wù)外網(wǎng)案例應(yīng)用等證明文件。充分考慮現(xiàn)有中央政務(wù)外網(wǎng)和各地政務(wù)外網(wǎng)網(wǎng)絡(luò)建設(shè)現(xiàn)狀，具有良好的可擴(kuò)展能力和互聯(lián)互通互操作特性。關(guān)鍵設(shè)備符合電信級設(shè)備要求，全部網(wǎng)絡(luò)設(shè)備均符合國家和國際標(biāo)準(zhǔn)，具有國家頒發(fā)的網(wǎng)絡(luò)設(shè)備入網(wǎng)證件。安全設(shè)備應(yīng)具有相應(yīng)主管部門頒發(fā)的生產(chǎn)許可證。網(wǎng)絡(luò)設(shè)備自身具有一定的安全防護(hù)特性。優(yōu)先考慮使用國產(chǎn)設(shè)備。需選擇技術(shù)領(lǐng)先、市場和技術(shù)前景良好、明確的廠家的產(chǎn)品，選擇有穩(wěn)定的服務(wù)隊伍的設(shè)備廠商，提供持續(xù)的設(shè)備升級和維護(hù)能力。具有多個組網(wǎng)成功案例，具備大型組網(wǎng)能力3.3功能要求各地方電子政務(wù)外網(wǎng)建設(shè)應(yīng)滿足如下要求：網(wǎng)絡(luò)業(yè)務(wù)承載實現(xiàn)國家部委和省級各廳局以及向下延伸的網(wǎng)絡(luò)業(yè)務(wù)承載。實現(xiàn)國家部委和省級各廳局以及向下延伸的VPN業(yè)務(wù)承載。提供公眾通過互聯(lián)網(wǎng)對各級政府單位公共資源的訪問，同時也提供各級政府單位內(nèi)用戶對互聯(lián)網(wǎng)的訪問。支持暫時沒有政務(wù)外網(wǎng)的單位和出差用戶利用互聯(lián)網(wǎng)，通過安全接入平臺實現(xiàn)遠(yuǎn)程接入訪問服務(wù)。支持視頻、語音、數(shù)據(jù)業(yè)務(wù)的傳輸。互通性網(wǎng)絡(luò)建設(shè)應(yīng)具有良好的互通性，需按照電子政務(wù)外網(wǎng)相關(guān)規(guī)范進(jìn)行建設(shè)，可實現(xiàn)與國家電子政務(wù)外網(wǎng)在內(nèi)各級政務(wù)部門的互聯(lián)互通、信息共享、數(shù)據(jù)交換和業(yè)務(wù)互動。需采用標(biāo)準(zhǔn)、成熟的產(chǎn)品和協(xié)議，以保證路由協(xié)議、MPLSVPN的兼容與互通。需遵循電子政務(wù)外網(wǎng)統(tǒng)一的IP地址定義規(guī)范，需提供地址轉(zhuǎn)換（NAT）功能，支持雙向NAT、NAT多實例等技術(shù)，滿足各部門私有地址訪問電子政務(wù)外網(wǎng)的需求。路由實現(xiàn)各地方電子政務(wù)外網(wǎng)的路由設(shè)計需按照網(wǎng)絡(luò)層次劃分路由網(wǎng)絡(luò)，根據(jù)各省實際情況，可選擇劃分為一個自治系統(tǒng)（AS），或由多個AS構(gòu)建，需采用適當(dāng)?shù)膮^(qū)域內(nèi)路由協(xié)議和區(qū)域間路由協(xié)議。區(qū)域劃分需考慮路由信息安全因素和對路由交換的限制管理。IGP路由協(xié)議需支持OSPF、IS-IS等協(xié)議，廣域骨干網(wǎng)路由協(xié)議應(yīng)支持由OSPF+BGP4路由協(xié)議（或者是靜態(tài)路由）進(jìn)行規(guī)劃。端到端的MPLSVPN技術(shù)采用MPLS/BGPVPN作為實現(xiàn)基本MPLSVPN業(yè)務(wù)的技術(shù)路線，包括建立各廳局的垂直縱向網(wǎng)絡(luò)，實現(xiàn)各部委縱向跨自治域的VPN訪問；建立公眾服務(wù)專網(wǎng)對因特網(wǎng)公眾提供服務(wù)，通過網(wǎng)絡(luò)安全系統(tǒng)與因特網(wǎng)邏輯相連。支持MPLSMPLSL2和L3VPN，提供MPLSL2VPN的支持能力，包括支持VPLS（多點(diǎn)的MPLSL2VPN）能力。同樣在考慮部署MPLSL2VPN的時候也必須支持跨自治域AS的能力。支持BGP/MPLSVPN三種跨自治域方式，QoS技術(shù)支持IPQoS機(jī)制，支持基于MPLS/BGP實現(xiàn)QoS控制，為VPN用戶實現(xiàn)端到端的QOS服務(wù)。支持在邊緣網(wǎng)絡(luò)中定義IPQOS級別，對接入層業(yè)務(wù)進(jìn)行“細(xì)分和區(qū)分服務(wù)，并繼承到MPLS域中，實現(xiàn)端到端的QOS，提供基于業(yè)務(wù)的時延、抖動等的保障。網(wǎng)絡(luò)可用性支持多種方式保證網(wǎng)絡(luò)可用性，關(guān)鍵節(jié)點(diǎn)設(shè)備冗余備份，關(guān)鍵鏈路冗余備份，采用高可靠性技術(shù)、協(xié)議如VRRP、堆疊、鏈路捆綁、BFD、FRR等，保障網(wǎng)絡(luò)的持續(xù)可用和故障恢復(fù)時間。安全性在系統(tǒng)設(shè)計中，既要考慮信息資源的充分共享，還要注意信息的保護(hù)和隔離，因此系統(tǒng)應(yīng)分別針對不同的應(yīng)用和不同的網(wǎng)絡(luò)通信環(huán)境，采取不同的措施，包括系統(tǒng)安全機(jī)制，數(shù)據(jù)存取的權(quán)限控制、網(wǎng)段的劃分、網(wǎng)絡(luò)邊界安全等等。可通過網(wǎng)絡(luò)設(shè)備自身安全功能、部署集成防火墻、IPS等安全板卡或獨(dú)立式防火墻、IPS等安全設(shè)備等多種方式實現(xiàn)。應(yīng)支持通過身份鑒別和授權(quán)、安全監(jiān)測、策略管理等方法保障網(wǎng)絡(luò)的安全性。嵌套業(yè)務(wù)實現(xiàn)支持各接入單位根據(jù)業(yè)務(wù)部門和業(yè)務(wù)種類（例如OA，視頻會議，IP電話，公文流轉(zhuǎn)等）再自行規(guī)劃和設(shè)計子VPN，支持通過嵌套VPN技術(shù)解決VPN層次化的問題。IPv6技術(shù)考慮到IPv6的發(fā)展趨勢，應(yīng)具備基于硬件支持IPv6的能力，支持豐富的IPv4向IPv6的各種過渡技術(shù)，支持通過IPv6技術(shù)構(gòu)建MPLSVPN網(wǎng)絡(luò)。網(wǎng)絡(luò)管理電子政務(wù)外網(wǎng)將是一個跨部門，跨區(qū)域的大型的分布式網(wǎng)絡(luò)應(yīng)用系統(tǒng)，因此必須有完善的系統(tǒng)監(jiān)控管理解決方案。為便于后續(xù)電子政務(wù)外網(wǎng)網(wǎng)絡(luò)的統(tǒng)一運(yùn)維與分級、分權(quán)管理，各省級電子政務(wù)外網(wǎng)應(yīng)采用標(biāo)準(zhǔn)、開放的網(wǎng)絡(luò)管理系統(tǒng)，提供網(wǎng)絡(luò)集中監(jiān)視、故障管理、性能管理、VPN管理等功能。3.4參考模型各地政務(wù)外網(wǎng)絡(luò)結(jié)構(gòu)按照組網(wǎng)層次分為以下三層：核心層、匯聚層、接入層。核心層是政務(wù)外網(wǎng)的骨干，作為政務(wù)外網(wǎng)內(nèi)部的高速數(shù)據(jù)交換以及到下級政務(wù)外網(wǎng)的連接。核心層建議使用高性能的路由器組建，支持虛擬專網(wǎng)，支持多條邏輯鏈路劃分，并采用高可靠的冗余組網(wǎng)結(jié)構(gòu)。組網(wǎng)時可以根據(jù)實際需求情況及節(jié)點(diǎn)重要性，選擇兩個或多個核心節(jié)點(diǎn)實現(xiàn)設(shè)備的冗余。在某個核心節(jié)點(diǎn)出現(xiàn)故障時，其它核心節(jié)點(diǎn)可接替承擔(dān)失效節(jié)點(diǎn)的功能，并通過鏈路自動切換，保持到外部網(wǎng)絡(luò)的聯(lián)通性（即具有故障自愈性）。匯聚層建議使用高性能的路由交換機(jī)，提供千兆/萬兆以太網(wǎng)上聯(lián)和千兆以太網(wǎng)匯聚能力。匯聚點(diǎn)的位置和數(shù)量可根據(jù)樓群分布、綜合布線系統(tǒng)設(shè)計、行政機(jī)構(gòu)類別等因素綜合考慮確定。為提高匯聚層網(wǎng)絡(luò)的可靠性，建議每個匯聚點(diǎn)部署兩臺匯聚交換機(jī)，同時匯聚層通過鏈路雙歸屬的模式上行接入雙機(jī)核心節(jié)點(diǎn)。匯聚層提供接入層VLAN終結(jié)和路由網(wǎng)關(guān)功能，并實現(xiàn)到核心層的路由交換，同時提供各接入單位的業(yè)務(wù)安全訪問控制策略（ACL訪問控制列表）。接入層可以使用多臺接入交換機(jī)堆疊、安全智能交換、百兆/千兆到桌面等多種技術(shù)實現(xiàn)網(wǎng)絡(luò)終端接入。各級政務(wù)部門通過匯聚路由器接入各地政務(wù)外網(wǎng)平臺，接入方式包括城域光纖以太網(wǎng)、MSTP多業(yè)務(wù)傳輸平臺、SDH專線、ATM、ADSL以及ISDN/PSTN撥號等方式。各級政務(wù)部門在接入國家政務(wù)外網(wǎng)時，為保證網(wǎng)絡(luò)的安全性，要求在網(wǎng)絡(luò)出口部署防火墻和安全防御系統(tǒng)，并能夠通過虛擬專網(wǎng)技術(shù)或多邏輯鏈路劃分技術(shù)實現(xiàn)不同業(yè)務(wù)系統(tǒng)之間的安全隔離。根據(jù)分級負(fù)責(zé)的原則，各級政務(wù)外網(wǎng)應(yīng)建立統(tǒng)一的互聯(lián)網(wǎng)出口，在互聯(lián)網(wǎng)出口必須部署防火墻和入侵防御等安全設(shè)備，避免來自互聯(lián)網(wǎng)對政務(wù)外網(wǎng)的安全威脅。在各級政務(wù)外網(wǎng)內(nèi)，特別是地市一級政務(wù)外網(wǎng)，建議根據(jù)實際需求和管理現(xiàn)狀，建設(shè)統(tǒng)一的數(shù)據(jù)中心，將政務(wù)外網(wǎng)內(nèi)部不同的委辦局的服務(wù)器集中部署在數(shù)據(jù)中心內(nèi)，提供統(tǒng)一的政務(wù)外網(wǎng)服務(wù)器和互聯(lián)網(wǎng)服務(wù)器托管服務(wù)，有利于數(shù)據(jù)資源共享和統(tǒng)一安全策略，節(jié)省建設(shè)維護(hù)成本。數(shù)據(jù)中心通過安全防御系統(tǒng)后連接到政務(wù)外網(wǎng)的核心交換設(shè)備時，根據(jù)政務(wù)外網(wǎng)和互聯(lián)網(wǎng)不同的安全防護(hù)需求，配置防火墻設(shè)備，制定相應(yīng)的安全策略。各地政務(wù)外網(wǎng)既是國家政務(wù)外網(wǎng)的有機(jī)組成部分，同時也是相對獨(dú)立運(yùn)行的城域網(wǎng)絡(luò)系統(tǒng)，需要部署有效的網(wǎng)絡(luò)管理系統(tǒng)，在滿足各地政務(wù)外網(wǎng)可運(yùn)行可管理需求的同時，應(yīng)為上級統(tǒng)一網(wǎng)管平臺提供標(biāo)準(zhǔn)接口和關(guān)鍵數(shù)據(jù)報送能力。核心和匯聚路由器指標(biāo)要求4.1基本要求政務(wù)外網(wǎng)所涉及的關(guān)鍵路由器根據(jù)網(wǎng)絡(luò)層次，可以劃分為三類：第一類：省級廣域骨干網(wǎng)核心路由器第二類：省級城域網(wǎng)匯聚路由器、市級廣域骨干網(wǎng)核心路由器第三類：市級城域網(wǎng)匯聚路由器和縣級核心路由器各地可根據(jù)各地實際情況、鏈路情況以及資金情況，選用適當(dāng)路由設(shè)備。所有關(guān)鍵路由器應(yīng)滿足以下基本功能要求：路由協(xié)議：支持RIP、OSPF、IS-IS、BGP-4等路由協(xié)議；MPLSVPN技術(shù)：支持MPLSL2和L3VPN,支持RFC2547bis標(biāo)準(zhǔn)，支持MPLSTE，MPLSTEQOS功能；支持分層PE；組播特性：支持PIM/MSDP，支持VPN組播；支持視頻會議、應(yīng)急監(jiān)控等多媒體業(yè)務(wù)的組播轉(zhuǎn)發(fā)；QoS特性：支持QoS及VPN下的QoS能力，支持層次化QoS技術(shù)，支持PQ/LLQ/CQ/WFQ/CBWFQ等隊列調(diào)度機(jī)制；可靠性：采用穩(wěn)定可靠的硬件、軟件架構(gòu)，支持BFD，F(xiàn)RR、負(fù)載分擔(dān)等協(xié)議，充分考慮冗余、容錯能力；統(tǒng)一網(wǎng)管：支持SNMP、RMON等協(xié)議；支持網(wǎng)絡(luò)流量分析技術(shù)，支持IPv4、MPLSVPN和IPv6的報文統(tǒng)計功能，可以針對不同的流信息進(jìn)行獨(dú)立的數(shù)據(jù)統(tǒng)計；IPV6特性：支持IPV6技術(shù)和IPv4向IPv6的過渡技術(shù)；安全性：支持集中的安全策略控制功能，支持用戶的認(rèn)證和路由協(xié)議的驗證，支持抗流量攻擊技術(shù)等；地址轉(zhuǎn)換：支持NAT功能，以解決VPN地址沖突問題。4.2A檔核心路由器指標(biāo)要求主要用于省級廣域骨干網(wǎng)核心路由器，除了滿足總體功能要求，還需要滿足以下要求。整機(jī)包轉(zhuǎn)發(fā)率大于400Mpps，最少提供8個業(yè)務(wù)插槽，支持雙主控，雙電源，支持關(guān)鍵組件熱插拔；支持155MPOS，155MCPOS，2.5GPOS，10GPOS，GE，10GE，等多種接口；支持BGP/MPLSVPN三種跨自治域方式：VRF-VRF(Option1)，MP-BGP(Option2)，MultiHop-BGP(Option3)；支持增強(qiáng)的網(wǎng)絡(luò)安全性，可通過擴(kuò)容防火墻安全板卡等方式提供集中的安全策略、單向訪問控制功能。支持IPV6技術(shù)，包括RIPng、OSPFv3等，支持IPv4向IPv6的過渡技術(shù)，如隧道技術(shù)、雙棧技術(shù)、6PE等。支持NAT多實例和雙向NAT功能，支持各部門私網(wǎng)IP地址接入VPN網(wǎng)絡(luò)；支持同一臺設(shè)備能夠?qū)崿F(xiàn)不同VPN（包括地址重疊的VPN）之間的NAT轉(zhuǎn)換，以實現(xiàn)不同政府部門之間特殊業(yè)務(wù)互訪。支持用戶的認(rèn)證和路由協(xié)議的驗證，支持虛擬分片重組，防止分片報文攻擊，支持ACL報文過濾，支持URPF，支持DHCPSnooping支持抗DOS/DDOS攻擊、防ARP攻擊技術(shù)等。4.3B檔路由器指標(biāo)要求B類路由器可以作為省級匯聚、地市級核心路由器，屬于高配。整機(jī)包轉(zhuǎn)發(fā)率大于100Mpps，最少提供4個業(yè)務(wù)插槽，支持雙主控，雙電源；支持155MPOS，155MCPOS，2.5GPOS，GE，10GE，等多種接口；支持BGP/MPLSVPN三種跨自治域方式：VRF-VRF(Option1)，MP-BGP(Option2)，MultiHop-BGP(Option3)；支持增強(qiáng)的網(wǎng)絡(luò)安全性，可通過擴(kuò)容防火墻安全板卡等方式提供集中的安全策略、單向訪問控制功能。支持NAT多實例和雙向NAT功能。支持IPV6技術(shù)，包括RIPng、OSPFv3等，支持IPv4向IPv6的過渡技術(shù)，如隧道技術(shù)、雙棧技術(shù)、6PE等。支持用戶的認(rèn)證和路由協(xié)議的驗證，支持虛擬分片重組，防止分片報文攻擊，支持ACL報文過濾，支持URPF，支持DHCPSnooping支持抗DOS/DDOS攻擊、防ARP攻擊技術(shù)等。4.4C檔路由器指標(biāo)要求C類路由器可以作為省級匯聚、地市級核心路由器，屬于低配，也可以作為市級匯聚、縣級核心，屬于高配。整機(jī)包轉(zhuǎn)發(fā)率大于20Mpps，最少提供4個業(yè)務(wù)插槽，支持雙主控，雙電源；支持155MPOS，155MCPOS，2.5GPOS，GE，10GE，等多種接口；支持BGP/MPLSVPN三種跨自治域方式：VRF-VRF(Option1)，MP-BGP(Option2)，MultiHop-BGP(Option3)；支持增強(qiáng)的網(wǎng)絡(luò)安全性，可通過擴(kuò)容防火墻安全板卡等方式提供集中的安全策略、單向訪問控制功能。支持NAT多實例和雙向NAT功能。支持IPV6技術(shù)，包括RIPng、OSPFv3等，支持IPv4向IPv6的過渡技術(shù)，如隧道技術(shù)、雙棧技術(shù)、6PE等。4.5D檔路由器指標(biāo)要求D類路由器可以作為市級匯聚、縣級核心，屬于低配。整機(jī)包轉(zhuǎn)發(fā)率要求大于2Mpps以上，最少支持2個業(yè)務(wù)擴(kuò)展插槽，支持E1，F(xiàn)E等多種接口；支持SNMP、RMON等協(xié)議；支持Web網(wǎng)管，能在Web網(wǎng)管中實現(xiàn)訪問控制、防火墻及P2P限流的快速配置。支持NAT多實例。核心交換機(jī)指標(biāo)要求省級數(shù)據(jù)中心核心交換機(jī)、市級政務(wù)大樓核心交換機(jī)、以及匯聚層交換機(jī)可根據(jù)各省實際情況按照交換機(jī)A類或交換機(jī)B類要求進(jìn)行選型，具體要求如下。5.1總體要求接口支持：支持10M/100M/1000M以太網(wǎng)電口，支持100M、1000M以太網(wǎng)光接口，支持10G以太網(wǎng)光接口。二層協(xié)議：支持IEEE802.1q、802.1p、802.3z、802.1d、802.3u、802.1X等協(xié)議。路由協(xié)議：支持靜態(tài)、RIPv1/v2、OSPF、IS-IS、BGP等路由協(xié)議。MPLSVPN：支持三層MPLSVPN，支持二層VPN，支持MCE，符合RFC2547bis協(xié)議?？煽啃裕褐С譄嵫a(bǔ)丁，支持GRforOSPF/BGP/IS-IS，支持VRRP協(xié)議，支持多臺不同的物理設(shè)備虛擬化為一臺統(tǒng)一的設(shè)備，支持多臺設(shè)備單一IP的集中式管理，實現(xiàn)多臺設(shè)備跨設(shè)備鏈路聚合，減少單點(diǎn)故障對網(wǎng)絡(luò)的影響。組播：支持IGMPv1/v2/v3，支持IGMPv1/v2/v3Snooping，支持PIM-SM/PIM-DM/PIM-SSMQoS：提供完善的QoS機(jī)制、支持隊列調(diào)度機(jī)制，包括SP、WRR、SP+WRR、CBWFQ，支持分層QoS，支持多級隊列調(diào)度。IPv6：支持OSPFv3、RIPng等IPv6路由協(xié)議，支持IPv4向IPv6的過渡技術(shù)如隧道技術(shù)等。安全性：支持SSH，支持Telnet的登錄和口令機(jī)制；支持融合的安全防護(hù)功能，支持通過硬件板卡或其他形式，實現(xiàn)基于狀態(tài)的防火墻安全功能和4~7層的安全防護(hù)功能。5.2A檔交換機(jī)指標(biāo)能要求在滿足總體功能要求的同時，A檔交換機(jī)屬于高配，應(yīng)提供基于硬件的全分布式線速轉(zhuǎn)發(fā)，整機(jī)交換容量不低于700Gbps，包轉(zhuǎn)發(fā)率不低于400Mpps。支持4k個VLAN，支持16KMAC地址。提供豐富的可擴(kuò)展接口資源，提供無源背板設(shè)計，支持主控板、電源系統(tǒng)的冗余備份。5.3B檔交換機(jī)指標(biāo)能要求滿足總體功能要求的同時，B檔交換機(jī)屬于低配，應(yīng)提供基于硬件的全分布式線速轉(zhuǎn)發(fā)，整機(jī)交換容量不低于300Gbps，包轉(zhuǎn)發(fā)率不低于180Mpps。支持4k個VLAN，支持8KMAC地址。提供豐富的可擴(kuò)展接口資源。VPN網(wǎng)關(guān)指標(biāo)要求國家政務(wù)外網(wǎng)支持暫時沒有接入政務(wù)外網(wǎng)的單位以及移動出差用戶，利用互聯(lián)網(wǎng)通道，利用安全接入平臺訪問國家政務(wù)外網(wǎng)資源，可根據(jù)各省實際情況按照對VPN設(shè)備要求進(jìn)行選型，具體要求如下。6.1VPN網(wǎng)關(guān)總體要求支持VPN類型：采用IPsecVPN，支持L2TP、PPTP等隧道協(xié)議。產(chǎn)品架構(gòu)：高配硬件平臺（A類VPN網(wǎng)關(guān)）要求使用非x86架構(gòu)，所采用的核心操作系統(tǒng)穩(wěn)定可靠。產(chǎn)品可靠性：支持雙機(jī)熱備、多線路捆綁、集群部署等技術(shù)、備份與切換等技術(shù)保證不間斷的網(wǎng)絡(luò)應(yīng)用；支持隧道斷線自動重建，在VPN隧道異常斷開或者超時之后，只要接收到需要進(jìn)入隧道的數(shù)據(jù)報文，可自動進(jìn)行VPN隧道協(xié)商，恢復(fù)VPN隧道通信；VPN隧道支持狀態(tài)同步，即便設(shè)備進(jìn)行了切換，VPN隧道連接也不會斷線；具備單機(jī)雙電源冗余，減少電源故障造成的業(yè)務(wù)中斷。安全性：支持VPN協(xié)議的標(biāo)準(zhǔn)性、數(shù)據(jù)的傳輸安全性、移動用戶的接入控制和訪問控制等。支持標(biāo)準(zhǔn)IPSec協(xié)議框架，數(shù)字證書支持標(biāo)準(zhǔn)X.509證書格式，支持國密局SM1算法以及其他標(biāo)準(zhǔn)的數(shù)據(jù)加密算法，如3DES、DES、AES等，支持標(biāo)準(zhǔn)的數(shù)據(jù)認(rèn)證算法，如MD5、SHA1等。支持隧道模式和傳輸模式，支持SSH安全管理協(xié)議，支持防火墻功能；基于標(biāo)準(zhǔn)IPSEC協(xié)議開發(fā)，并嚴(yán)格遵循國家密碼管理局制定的《IPSECVPN技術(shù)規(guī)范》。采用自動密鑰協(xié)商機(jī)制，硬件設(shè)備間互聯(lián)校驗采取預(yù)共享密鑰方式?；ネ嫒菪裕号c其它經(jīng)國家密碼管理局檢測的其它IPSECVPN產(chǎn)品能夠互聯(lián)互通，；支持NAT穿越，采用標(biāo)準(zhǔn)協(xié)議，能夠雙向穿透NAT設(shè)備，具有良好的兼容性。統(tǒng)一智能管理：支持實現(xiàn)對VPN設(shè)備的集中監(jiān)控和管理，支持XML日志格式轉(zhuǎn)發(fā)，提供安全管理平臺采集與配置管理接口；支持外部認(rèn)證用戶基于角色的授權(quán)，支持對外部認(rèn)證用戶分組授權(quán)。性能管理：支持有效監(jiān)視IPSec設(shè)備的運(yùn)行性能，提供豐富的性能管理功能。包括支持對IPSecVPN網(wǎng)關(guān)CPU利用率等關(guān)鍵指標(biāo)的監(jiān)視；集中監(jiān)控隧道狀態(tài)、設(shè)備狀態(tài)和移動用戶狀態(tài)；支持對用戶關(guān)心的性能參數(shù)設(shè)定閾值，當(dāng)超過設(shè)定的閾值后，系統(tǒng)將會發(fā)送性能告警，使網(wǎng)絡(luò)管理人員及時發(fā)現(xiàn)和消除網(wǎng)絡(luò)中的隱患。證書認(rèn)證：支持政務(wù)外網(wǎng)證書認(rèn)證，支持X.509協(xié)議。支持通過LDAP協(xié)議認(rèn)證CA證書，支持自動下載CRL。支持離線驗證模式，可實現(xiàn)VPN設(shè)備直接校驗用戶CA的合法性。資質(zhì)要求：具備中華人民共和國公安部頒發(fā)的《計算機(jī)信息系統(tǒng)安全專用產(chǎn)品銷售許可證》；具備國家密碼管理局頒發(fā)的《國家商用密碼生產(chǎn)定點(diǎn)單位證書》；具備國家密碼管理局頒發(fā)的《國家商用密碼銷售許可證》；提供國家密碼管理局產(chǎn)品檢測報告。6.2A類VPN網(wǎng)關(guān)指標(biāo)要求支持總體功能要求的同時，A類VPN設(shè)備可用于省級，屬于高配，應(yīng)支持以下要求：支持千兆光、電接口，按需要支持萬兆口擴(kuò)展。主要性能指標(biāo)如下：IPsecVPN隧道數(shù)≥5000個；SM1加密性能≥300Mbps；3DES加密性能≥1Gbps；最大并發(fā)連接數(shù)≥200萬；認(rèn)證時間小于10s；隧道建立時間小于20s；吞吐量≥2Gbps；延時小于50ms。6.3B類VPN網(wǎng)關(guān)指標(biāo)要求支持總體功能要求的同時，B類VPN設(shè)備可用于省級，屬于低配，還可用于地市級，屬于高配，應(yīng)支持以下要求：支持不少于6個千兆電口，主要性能指標(biāo)如下：IPsecVPN隧道數(shù)≥3500個；SM1加密性能≥100Mbps；3DES加密性能≥200Mbps；最大并發(fā)連接數(shù)≥100萬；認(rèn)證時間小于10s；隧道建立時間小于20s；吞吐量≥800Mbps；延時小于50ms。6.4C類VPN網(wǎng)關(guān)指標(biāo)要求支持總體功能要求的同時，C類VPN設(shè)備可用于地市級，屬于低配，還可用于縣級，屬于高配，應(yīng)支持以下要求：支持不少于4個千兆電口，主要性能指標(biāo)如下：IPsecVPN隧道數(shù)≥1000個；SM1加密性能≥50Mbps；3DES加密性能≥100Mbps；最大并發(fā)連接數(shù)≥50萬；認(rèn)證時間小于10s；隧道建立時間小于20s；吞吐量≥200Mbps；延時小于50ms。接入設(shè)備指標(biāo)要求7.1接入設(shè)備總體要求接入設(shè)備主要用于各級政務(wù)部門接入當(dāng)?shù)卣?wù)外網(wǎng)所使用。各級機(jī)構(gòu)可以根據(jù)政務(wù)部門的規(guī)模、接入方式、應(yīng)用類型及應(yīng)用開展的方式等進(jìn)行選擇，接入設(shè)備應(yīng)當(dāng)滿足如下要求：接口支持：支持10M/100M/1000M以太網(wǎng)電口；可靠性：采用穩(wěn)定可靠的硬件、軟件架構(gòu)，充分考慮冗余、容錯能力；IPV6特性：支持IPV6技術(shù)和IPv4向IPv6的過渡技術(shù)；安全性：支持集中的安全策略控制功能，支持用戶的認(rèn)證和路由協(xié)議的驗證，支持抗流量攻擊技術(shù)等；地址轉(zhuǎn)換：支持NAT功能，以解決VPN地址沖突問題。7.2A類接入設(shè)備指標(biāo)：A類接入設(shè)備適用于采用專線方式接入當(dāng)?shù)卣?wù)外網(wǎng)，在本局內(nèi)部署應(yīng)用，并向其他廳局提供服務(wù)的政務(wù)機(jī)構(gòu)，屬于高配，設(shè)備選型可為小型路由器或三層交換機(jī)。在滿足總體要求的前提下，A類接入設(shè)備還應(yīng)支持路由協(xié)議：靜態(tài)路由，支持RIP、OSPF、IS-IS、BGP等動態(tài)路由協(xié)議；MPLS：支持三層MPLSVPN，支持二層VPN，支持MCE；QoS：支持QoS及VPN下的QoS能力，支持層次化QoS技術(shù)，支持PQ/LLQ/CQ/WFQ/CB