DB51-T 3121-2023 電子政務(wù)外網(wǎng)技術(shù)規(guī)范

ICS

35.240.01CCS

L

70DB51 DB51/T

3121—2023電子政務(wù)外網(wǎng)技術(shù)規(guī)范 發(fā)

布DB51/T

3121—2023 前言

.................................................................................II1

范圍

................................................................................ 12

規(guī)范性引用文件

...................................................................... 13

術(shù)語和定義

.......................................................................... 14

縮略語

.............................................................................. 25

總體要求

............................................................................ 36

網(wǎng)絡(luò)技術(shù)架構(gòu)

........................................................................ 36.16.26.36.4

網(wǎng)絡(luò)總體架構(gòu)

.................................................................... 3省級政務(wù)外網(wǎng)

.................................................................... 3市級政務(wù)外網(wǎng)

.................................................................... 5縣級政務(wù)外網(wǎng)

.................................................................... 77

IP

地址分配.......................................................................... 97.17.27.37.4

地址管理

........................................................................ 9分配原則

....................................................................... 10IPv4

地址....................................................................... 10

地址....................................................................... 108

自治域及路由

....................................................................... 108.1

自治域

.........................................................................108.2

........................................................................... 119

虛擬專用網(wǎng)

......................................................................... 119.19.29.39.4

總體要求

....................................................................... 11MPLS

或

SRv6

........................................................... 11部門自建

IPsec

VPN

技術(shù)

......................................................... 11網(wǎng)絡(luò)切片技術(shù)

................................................................... 1110

部門局域網(wǎng)接入

.................................................................... 1210.1

局域網(wǎng)接入架構(gòu)

................................................................ 1210.2

局域網(wǎng)接入

.................................................................... 1310.3

終端

.......................................................................... 1311

政務(wù)外網(wǎng)機房

...................................................................... 1312

...................................................................... 1312.1

網(wǎng)絡(luò)運維體系

.................................................................. 1412.2

安全監(jiān)測體系

.................................................................. 14附錄

A（規(guī)范性）

政務(wù)外網(wǎng)核心網(wǎng)絡(luò)設(shè)備要求

............................................ 15參考文獻

............................................................................. 16DB51/T

3121—2023 本文件按照GB/T

—《標(biāo)準(zhǔn)化工作導(dǎo)則第1部分：標(biāo)準(zhǔn)化文件的結(jié)構(gòu)和起草規(guī)則》的規(guī)定起草。本文件由四川省大數(shù)據(jù)中心提出、歸口并解釋。術(shù)有限公司。本文件主要起草人：唐志恩、周學(xué)立、陳雅維、鄭暢、谷磊、劉偉、杜勇、李艷芳、楊超、劉宏、李茂春、武林、豐春霞、王永江、曲凱飛、陳冉、張勇、鄒昌盛、耿文鑫、龐明君、劉林濤、王嬋、張藝帆。本文件為首次發(fā)布。IIDB51/T

3121—20231 范圍絡(luò)技術(shù)架構(gòu)、IP系建設(shè)。本文件適用于指導(dǎo)四川省行政范圍內(nèi)，省級、市級、縣級政務(wù)外網(wǎng)網(wǎng)絡(luò)的設(shè)計、建設(shè)和運維管理。2 規(guī)范性引用文件文件。GB/T

21061

國家電子政務(wù)網(wǎng)絡(luò)技術(shù)和運行管理規(guī)范GB/T

22239

信息安全技術(shù)

網(wǎng)絡(luò)安全等級保護基本要求GB/T

25069

信息安全技術(shù)

術(shù)語GB/T

25647

電子政務(wù)術(shù)語GB/T

數(shù)據(jù)中心

資源利用

第3部分：電能能效要求和測量方法GB

50174—2017

數(shù)據(jù)中心設(shè)計規(guī)范3 術(shù)語和定義GB/T

25069、GB/T

25647界定的以及下列術(shù)語和定義適用于本文件。3.1電子政務(wù)外網(wǎng)

network會管理和公共服務(wù)等方面需要的政務(wù)公用網(wǎng)絡(luò)。3.2廣域網(wǎng)

wide

area

長途線路組成的網(wǎng)絡(luò)。3.3城域網(wǎng)

metropolitan

network城域網(wǎng)通過縱向廣域網(wǎng)實現(xiàn)互聯(lián)。3.4IPv6

單棧

IPv6

single

stackIPv6IPv4單棧模式、IPv4和IPv63.5威脅情報

intelligenceDB51/T

3121—2023收集、評估和應(yīng)用關(guān)于安全威脅、威脅分子、攻擊利用、惡意軟件、漏洞和漏洞指標(biāo)的數(shù)據(jù)集合。3.6Option

A

方式

Option

A

mode一種MPLS/SRv6VPN接入設(shè)備。4 縮略語以下縮略語適用于本文件。ARP：地址解析協(xié)議（

Resolution

Protocol）AS：自治系統(tǒng)（

System）BGP：邊界網(wǎng)關(guān)協(xié)議（

Gateway

Protocol）BGP-LS:

邊界網(wǎng)關(guān)協(xié)議鏈路狀態(tài)（Border

Gateway

Protocol

）EVPN：下一代虛擬專用網(wǎng)絡(luò)（Ethernet

Network）FlexE：靈活以太網(wǎng)（Flexible

Ethernet）GRE：通用路由封裝協(xié)議（Generic

Encapsulation）H-QoS：分層服務(wù)質(zhì)量（Hierarchical

Quality

of

Service）IDC：互聯(lián)網(wǎng)數(shù)據(jù)中心（Internet

Data

Center）iFIT：隨流檢測（in-situ

Flow

Information

Telemetry）ISIS：中間系統(tǒng)到中間系統(tǒng)（Intermediate

to

Intermediate

）IPSec

VPN：互聯(lián)網(wǎng)協(xié)議安全協(xié)議虛擬專用網(wǎng)絡(luò)（Internet

Protocol

security

virtual

network）IPv4：互聯(lián)網(wǎng)協(xié)議第4版

Protocol

4)IPv6：互聯(lián)網(wǎng)協(xié)議第6版

Protocol

6)IPv6+：基于IPv6下一代互聯(lián)網(wǎng)的升級（IPv6

Plus）LACP：鏈路匯聚控制協(xié)議（Link

Aggregation

Protocol）LDP：標(biāo)簽分發(fā)協(xié)議（

Distribution

Protocol）MPLS：多協(xié)議標(biāo)記交換（Multi-Protocol

Label

Switching）MSTP：多業(yè)務(wù)傳送平臺（Multi-Service

Transport

Platform）NAT：網(wǎng)絡(luò)地址轉(zhuǎn)換（

）OSPF：開放式最短路徑優(yōu)先（Open

Shortest

Path

First）OTN：光傳送網(wǎng)（Optical

Transport

Network）QoS：服務(wù)質(zhì)量（Quality

of

Service）RSVP-TE：基于流量工程擴展的資源預(yù)留協(xié)議（Resource

Engineering）SDH：同步數(shù)字體系（

）SDN：軟件定義網(wǎng)絡(luò)（Soft

Defined

）SLA：服務(wù)級別協(xié)議（

Level

Agreement）SNMP：簡單網(wǎng)絡(luò)管理協(xié)議（Simple

Protocol）SRv6：IPv6段路由（IPv6

Segment

）VLAN：虛擬局域網(wǎng)（

Local

Area

Network）VPN：虛擬專用網(wǎng)絡(luò)（

）VRRP：虛擬路由冗余協(xié)議（Virtual

Router

Protocol）DB51/T

3121—2023VRRPv3：虛擬路由冗余協(xié)議第三版（VRRP

version

3）5 總體要求5.1 政務(wù)外網(wǎng)應(yīng)采用扁平化網(wǎng)絡(luò)架構(gòu)，減少網(wǎng)絡(luò)層級，并具備可擴展性、開放性和兼容性。5.2 政務(wù)外網(wǎng)應(yīng)具備高可用性、高可靠性、高安全性、高可管理性，并具備向

單棧的演進能力。5.3 省級和市級政務(wù)外網(wǎng)應(yīng)符合

GB/T

22239

第三級安全要求，縣級政務(wù)外網(wǎng)應(yīng)符合

GB/T

22239

級安全要求。6 網(wǎng)絡(luò)技術(shù)架構(gòu)6.1 網(wǎng)絡(luò)總體架構(gòu)域網(wǎng)，網(wǎng)絡(luò)總體架構(gòu)如圖1所示。圖1 政務(wù)外網(wǎng)網(wǎng)絡(luò)總體架構(gòu)圖6.2 省級政務(wù)外網(wǎng)6.2.1 網(wǎng)絡(luò)架構(gòu)6.2.1.1 網(wǎng)絡(luò)架構(gòu)圖DB51/T

3121—2023省級政務(wù)外網(wǎng)應(yīng)分為省級廣域網(wǎng)和省級城域網(wǎng)，網(wǎng)絡(luò)架構(gòu)如圖2所示。中央廣域網(wǎng)

省級政務(wù)云

運維管理區(qū)

政務(wù)云接入?yún)^(qū)

互聯(lián)網(wǎng)安全接入?yún)^(qū)

省級城域網(wǎng)核心路由器

省級城域網(wǎng)省級單位市級廣域網(wǎng)圖2省級政務(wù)外網(wǎng)架構(gòu)圖6.2.1.2 省級廣域網(wǎng)省級廣域網(wǎng)由省-市節(jié)點的設(shè)備組成，廣域網(wǎng)核心路由器應(yīng)采用雙設(shè)備冗余結(jié)構(gòu)，省級廣域網(wǎng)核心路由器縱向上連接中央廣域網(wǎng)，向下連接市級廣域網(wǎng)，橫向連接省級城域網(wǎng)。6.2.1.3 省級城域網(wǎng)區(qū)域：a)

政務(wù)云接入?yún)^(qū)1)

政務(wù)云接入?yún)^(qū)用于連接本級政務(wù)云數(shù)據(jù)中心、省級部門整合云數(shù)據(jù)中心；2)

各數(shù)據(jù)中心宜通過專線，采用雙設(shè)備雙鏈路方式連接至政務(wù)云接入?yún)^(qū)匯聚設(shè)備。b)

省級單位接入?yún)^(qū)1)

省級城域網(wǎng)核心路由器直連到省級廣域網(wǎng)核心路由器，應(yīng)采用冗余設(shè)備組網(wǎng)；2)

接入設(shè)備應(yīng)采用支持

SRv6

的路由器，滿足政務(wù)外網(wǎng)向

IPv6

單棧演進；DB51/T

3121—20233)

根據(jù)各省級接入單位業(yè)務(wù)類型和需求，可采用單線路或雙線路接入。c)

互聯(lián)網(wǎng)安全接入?yún)^(qū)1)

互聯(lián)網(wǎng)安全接入?yún)^(qū)連接本地通信運營商，為不具備專線接入條件的接入單位和有移動接入需求的單位提供接入政務(wù)外網(wǎng)的服務(wù)；2)

接入用戶可通過互聯(lián)網(wǎng)、移動通信網(wǎng)等基礎(chǔ)網(wǎng)絡(luò)連接到互聯(lián)網(wǎng)安全接入?yún)^(qū)，經(jīng)安全接入平臺訪問政務(wù)外網(wǎng)；3)

安全接入平臺建設(shè)應(yīng)參照

GW

0202

中規(guī)定的要求，安全設(shè)備應(yīng)支持國產(chǎn)密碼算法，滿足自主可控要求。d)

運維管理區(qū)1)

運維管理區(qū)是集中建設(shè)的獨立運維管理區(qū)域，應(yīng)包括運維管理平臺和安全管理平臺，運維管理區(qū)與城域網(wǎng)核心設(shè)備相連；2)

運維管理區(qū)流量與其他網(wǎng)絡(luò)流量邏輯隔離，宜采用帶外管理；3)

部署運維管理平臺，對各網(wǎng)絡(luò)設(shè)備進行統(tǒng)一運維管理，對運維管理行為進行審計；4)

部署安全管理平臺，通過流量采集、日志采集、獲取威脅情報等方式，實時監(jiān)測政務(wù)外網(wǎng)安全運行狀態(tài)，智能分析安全趨勢，及時對網(wǎng)絡(luò)安全事件告警，對網(wǎng)絡(luò)安全風(fēng)險進行預(yù)警。6.2.2 通信線路及帶寬6.2.2.1 省級廣域網(wǎng)建設(shè)符合以下要求：a)

省到市（州）廣域網(wǎng)線路總帶寬應(yīng)不低于

3Gbps，帶寬使用率不高于

；b)

省級廣域網(wǎng)核心路由器應(yīng)采用兩條及以上的不同運營商的物理線路下聯(lián)各市（州）落地路由器；c)

線路類型可選擇

OTN、、

或裸光纖等；d)

每年應(yīng)對帶寬使用率進行評估，并根據(jù)需求適時對帶寬進行擴容。6.2.2.2 省級城域網(wǎng)建設(shè)應(yīng)符合以下要求：a)

省級城域網(wǎng)核心路由器與省級廣域網(wǎng)核心路由器之間的連接線路總帶寬應(yīng)不低于

；b)

省級城域網(wǎng)核心路由器之間相互連接的線路總帶寬應(yīng)不低于

；c)

省級接入單位接入到省級城域網(wǎng)核心路由器的單條物理線路帶寬應(yīng)不低于

；d)

省級城域網(wǎng)核心路由器與政務(wù)云接入設(shè)備采用口字形互連，總帶寬應(yīng)不低于

20Gbps；e)

線路類型可選擇

OTN、、

或裸光纖等；f)

每年應(yīng)對帶寬使用率進行評估，并根據(jù)需求適時對帶寬進行擴容。6.2.3 網(wǎng)絡(luò)設(shè)備省級政務(wù)外網(wǎng)核心網(wǎng)絡(luò)設(shè)備應(yīng)支持表A.1所述功能和要求。6.3 市級政務(wù)外網(wǎng)6.3.1 網(wǎng)絡(luò)架構(gòu)6.3.1.1 網(wǎng)絡(luò)架構(gòu)圖DB51/T

3121—2023市級政務(wù)外網(wǎng)應(yīng)分為市級廣域網(wǎng)和市級城域網(wǎng)，網(wǎng)絡(luò)架構(gòu)如圖3所示。省級廣域網(wǎng)

市級政務(wù)云

接入?yún)^(qū)

接入?yún)^(qū)

互聯(lián)網(wǎng)管理區(qū)

政務(wù)云

安全接入?yún)^(qū)

市級城域網(wǎng)核心路由器

市級城域網(wǎng)市級單位縣級廣域網(wǎng)圖3 市級政務(wù)外網(wǎng)架構(gòu)圖6.3.1.2 市級廣域網(wǎng)下連接縣級廣域網(wǎng)，橫向連接市級城域網(wǎng)。6.3.1.3 市級城域網(wǎng)市級城域網(wǎng)扁平化部署，市級城域網(wǎng)核心路由器應(yīng)采用冗余設(shè)備組網(wǎng)，可建設(shè)如下業(yè)務(wù)區(qū)域：a)

政務(wù)云接入?yún)^(qū)方式連接至政務(wù)云接入?yún)^(qū)匯聚設(shè)備。b)

互聯(lián)網(wǎng)安全接入?yún)^(qū)1)

互聯(lián)網(wǎng)安全接入?yún)^(qū)連接本地通信運營商，為不具備專線接入條件的接入單位和有移動接入需求的單位提供接入政務(wù)外網(wǎng)的服務(wù)；DB51/T

3121—20232)

接入用戶可通過互聯(lián)網(wǎng)、移動通信網(wǎng)等基礎(chǔ)網(wǎng)絡(luò)連接到互聯(lián)網(wǎng)安全接入?yún)^(qū)，經(jīng)安全接入平臺訪問政務(wù)外網(wǎng)；3)

安全接入平臺建設(shè)應(yīng)參照

GW

0202

要求，安全設(shè)備應(yīng)支持國產(chǎn)密碼算法。c)

統(tǒng)一互聯(lián)網(wǎng)出口1)

市級政務(wù)外網(wǎng)可根據(jù)本地實際建設(shè)統(tǒng)一互聯(lián)網(wǎng)出口，為接入單位提供互聯(lián)網(wǎng)訪問服務(wù)；2)

統(tǒng)一互聯(lián)網(wǎng)出口應(yīng)由兩家及以上通信運營商提供互聯(lián)網(wǎng)接入服務(wù)；3)

統(tǒng)一互聯(lián)網(wǎng)出口應(yīng)配置防火墻、入侵防御、防病毒、行為審計等安全設(shè)備，應(yīng)與政務(wù)外網(wǎng)實現(xiàn)邏輯隔離。d)

運維管理區(qū)1)

運維管理區(qū)是集中建設(shè)的獨立運維管理區(qū)域，應(yīng)包括運維管理平臺和安全管理平臺，運維管理區(qū)與城域網(wǎng)核心設(shè)備相連；2)

運維管理區(qū)流量與其他網(wǎng)絡(luò)流量邏輯隔離，條件允許的情況下，宜采用帶外管理；3)

部署運維管理平臺，對各網(wǎng)絡(luò)設(shè)備進行統(tǒng)一運維管理，對運維管理行為進行審計；4)

部署安全管理平臺，通過流量采集、日志采集、獲取威脅情報等方式，實時監(jiān)測政務(wù)外網(wǎng)安全運行狀態(tài)，網(wǎng)絡(luò)安全事件告警，對網(wǎng)絡(luò)安全風(fēng)險進行預(yù)警。e)

市級單位接入?yún)^(qū)1)

市級城域網(wǎng)核心路由器直連到市級廣域網(wǎng)核心路由器，應(yīng)采用冗余設(shè)備組網(wǎng)；2)

接入設(shè)備應(yīng)采用支持

SRv6

的路由器，滿足政務(wù)外網(wǎng)向

IPv6

單棧演進；3)

根據(jù)各市級接入單位業(yè)務(wù)類型和重要程度，可采用單線路或雙線路接入。6.3.2 通信鏈路及帶寬6.3.2.1 市級廣域網(wǎng)建設(shè)應(yīng)符合以下要求：a)

市級到縣級廣域網(wǎng)線路總帶寬宜不低于

1Gbps；b)

市級廣域網(wǎng)核心路由器宜采用兩條及以上不同運營商的物理線路下連各縣級廣域網(wǎng)核心路由器；c)

線路類型可選擇

MSTP、

或裸光纖等；d)

每年應(yīng)對帶寬使用率進行評估，并根據(jù)需求適時對帶寬進行擴容。6.3.2.2 市級城域網(wǎng)建設(shè)應(yīng)符合以下要求：a)

市級城域網(wǎng)核心路由器與本級廣域網(wǎng)核心路由器之間的連接線路總帶寬應(yīng)不低于

；b)

城域網(wǎng)核心路由器之間相互連接的線路總帶寬應(yīng)不低于

；c)

市級接入單位與城域網(wǎng)核心路由器之間的線路總帶寬應(yīng)不低于

100Mbps，宜達到

1Gbps；d)

線路類型可選擇

OTN、、

或裸光纖等；e)

每年應(yīng)對帶寬使用率進行評估，并根據(jù)需求適時對帶寬進行擴容。6.3.3 網(wǎng)絡(luò)設(shè)備市級政務(wù)外網(wǎng)核心網(wǎng)絡(luò)設(shè)備應(yīng)支持表A.1所述功能和要求。6.4 縣級政務(wù)外網(wǎng)6.4.1 網(wǎng)絡(luò)架構(gòu)DB51/T

3121—20236.4.1.1 網(wǎng)絡(luò)架構(gòu)圖網(wǎng)絡(luò)架構(gòu)如圖4所示。市級廣域網(wǎng)

運維管理區(qū)

互聯(lián)網(wǎng)安全接入?yún)^(qū)

縣

級

廣

域

網(wǎng)

縣級單位鄉(xiāng)鎮(zhèn)、村社圖4縣級政務(wù)外網(wǎng)架構(gòu)圖6.4.1.2縣級廣域網(wǎng)向連接縣級城域網(wǎng)。6.4.1.3 縣級城域網(wǎng)況建設(shè)以下業(yè)務(wù)區(qū)域：a)

互聯(lián)網(wǎng)安全接入?yún)^(qū)1)

互聯(lián)網(wǎng)安全接入?yún)^(qū)連接本地通信運營商，為不具備專線接入條件的接入單位、不具備專線接入條件的鄉(xiāng)鎮(zhèn)、村社以及有移動接入需求的單位提供接入政務(wù)外網(wǎng)的服務(wù)；2)

接入用戶可通過互聯(lián)網(wǎng)、移動通信網(wǎng)等基礎(chǔ)網(wǎng)絡(luò)連接到互聯(lián)網(wǎng)安全接入?yún)^(qū)，經(jīng)安全接入平臺訪問政務(wù)外網(wǎng)；3)

安全接入平臺建設(shè)應(yīng)參照

GW

0202

要求，安全設(shè)備應(yīng)支持國產(chǎn)密碼算法。b)

統(tǒng)一互聯(lián)網(wǎng)出口DB51/T

3121—20231)

縣級政務(wù)外網(wǎng)根據(jù)本地實際可建設(shè)統(tǒng)一互聯(lián)網(wǎng)出口，為接入單位、鄉(xiāng)鎮(zhèn)、村社提供互聯(lián)網(wǎng)訪問服務(wù)；2)

統(tǒng)一互聯(lián)網(wǎng)出口應(yīng)由兩家及以上通信運營商提供互聯(lián)網(wǎng)接入服務(wù)；3)

統(tǒng)一互聯(lián)網(wǎng)出口應(yīng)配置防火墻、入侵防御、防病毒、行為審計等安全設(shè)備，應(yīng)與政務(wù)外網(wǎng)實現(xiàn)邏輯隔離。c)

運維管理區(qū)1)

運維管理區(qū)是集中建設(shè)的獨立運維管理區(qū)域，應(yīng)包括運維管理系統(tǒng)和必要的安全設(shè)備，運維管理區(qū)與城域網(wǎng)核心設(shè)備相連；2)

運維管理區(qū)流量與其他網(wǎng)絡(luò)流量邏輯隔離，條件允許的情況下，宜采用帶外管理；3)

有條件的縣級政務(wù)外網(wǎng)可部署運維管理平臺，對各網(wǎng)絡(luò)設(shè)備進行統(tǒng)一運維管理，對運維管理行為進行審計；4)

有條件的縣級政務(wù)外網(wǎng)可部署安全管理平臺，通過流量采集、日志采集、獲取威脅情報等方式，實時監(jiān)測政務(wù)外網(wǎng)安全運行狀態(tài)，對網(wǎng)絡(luò)安全事件告警，對網(wǎng)絡(luò)安全風(fēng)險進行預(yù)警。d)

縣級單位、鄉(xiāng)鎮(zhèn)、村社接入?yún)^(qū)1)

根據(jù)各縣級接入單位業(yè)務(wù)類型和重要程度，可采用單線路或雙線路直接接入城域網(wǎng)核心路由器；2)

接入設(shè)備應(yīng)采用支持

SRv6

的路由器，滿足政務(wù)外網(wǎng)向

IPv6

單棧演進；3)

鄉(xiāng)鎮(zhèn)、村社統(tǒng)一接入縣級城域網(wǎng)，可根據(jù)基礎(chǔ)通信設(shè)施情況，結(jié)合業(yè)務(wù)需求，采用專線或

VPN

方式接入；4)

采用專線接入的鄉(xiāng)鎮(zhèn)、村社，可根據(jù)接入數(shù)量采用直接接入城域網(wǎng)核心路由器或先統(tǒng)一匯聚后再接入城域網(wǎng)核心路由器；5)

采用

方式接入的鄉(xiāng)鎮(zhèn)、村社，統(tǒng)一接入到互聯(lián)網(wǎng)安全接入?yún)^(qū)。6.4.2 通信鏈路及帶寬建設(shè)應(yīng)符合以下要求：a)

縣級城域網(wǎng)核心路由器與本級廣域網(wǎng)核心路由器之間的連接線路總帶寬應(yīng)不低于

；b)

縣級城域網(wǎng)核心路由器之間相互連接的線路總帶寬應(yīng)不低于

；c)

城域網(wǎng)接入層設(shè)備與核心層設(shè)備之間的線路總帶寬應(yīng)不低于

；d)

線路類型可選擇

MSTP、

或裸光纖等；e)

每年應(yīng)對帶寬使用率進行評估，并根據(jù)需求適時對帶寬進行擴容。6.4.3 網(wǎng)絡(luò)設(shè)備縣級政務(wù)外網(wǎng)核心網(wǎng)絡(luò)設(shè)備應(yīng)支持表A.1所述功能和要求。7 IP

地址分配7.1 地址管理IP地址的總體規(guī)劃應(yīng)由省級政務(wù)外網(wǎng)管理單位負(fù)責(zé)，并符合以下要求：a)

省級政務(wù)外網(wǎng)管理單位負(fù)責(zé)全省政務(wù)外網(wǎng)

IP

地址分配工作；b)

市級政務(wù)外網(wǎng)管理單位負(fù)責(zé)本級及以下網(wǎng)絡(luò)

地址資源的二次分配和管理工作；DB51/T

3121—2023c)

各級接入單位接入政務(wù)外網(wǎng)使用的

IP

地址原則上向本級政務(wù)外網(wǎng)管理單位申請，鄉(xiāng)鎮(zhèn)、村社接入單位接入政務(wù)外網(wǎng)使用的

地址向縣級政務(wù)外網(wǎng)管理單位申請；d)

IP

GW

0207

和

0209

的規(guī)定執(zhí)行。7.2 分配原則政務(wù)外網(wǎng)IP地址分配應(yīng)遵循如下原則：a)

政務(wù)外網(wǎng)

IP

地址的分配應(yīng)以省、市（州）、縣（市、區(qū)）為基本單元，市（州）及其下轄縣（市、區(qū)）分配使用的地址段應(yīng)連續(xù)；b)

IP

VLSM需求的，由接入單位提出申請。7.3 IPv4

地址7.3.1 地址類型政務(wù)外網(wǎng)IPv4地址應(yīng)分為全局業(yè)務(wù)地址、設(shè)備管理地址和省內(nèi)地址三大類：a)

IP

存儲、端等）的

IP

地址，包括國家各部委要求部署的國家到省、市、縣特殊縱向業(yè)務(wù)（如視頻會議

資源池等；b)

設(shè)備管理地址作為網(wǎng)絡(luò)設(shè)備全局管理地址，主要用于網(wǎng)絡(luò)設(shè)備的互聯(lián)和管理；c)

技術(shù)將

10

段地址轉(zhuǎn)換為

段地址。7.3.2 地址轉(zhuǎn)換政務(wù)外網(wǎng)地址轉(zhuǎn)換應(yīng)遵循如下原則：a)

宜在用戶接入端網(wǎng)絡(luò)邊界設(shè)備做地址轉(zhuǎn)換，在分配給用戶的地址段中取

1

個

59

段地址作為轉(zhuǎn)換地址池，用于單個用戶單位訪問政務(wù)外網(wǎng)；b)

如市級或縣級政務(wù)外網(wǎng)統(tǒng)一做地址轉(zhuǎn)換，可在邊界設(shè)備或核心設(shè)備上實現(xiàn)地址轉(zhuǎn)換，在本級59

IP

外網(wǎng)；c)

地址轉(zhuǎn)換設(shè)備的地址轉(zhuǎn)換記錄日志應(yīng)保存

180

天以上，宜設(shè)立專用的日志服務(wù)器進行存儲。7.3.3 虛擬專網(wǎng)地址虛擬專網(wǎng)區(qū)內(nèi)的IP地址由業(yè)務(wù)應(yīng)用部門負(fù)責(zé)規(guī)劃，原則上不得采用59地址段、100地址段和10段。7.4 IPv6

地址政務(wù)外網(wǎng)網(wǎng)絡(luò)及安全設(shè)備應(yīng)支持IPv6協(xié)議，IPv6地址編址參照GW

0209。8 自治域及路由8.1 自治域10DB51/T

3121—2023AS64905—64934則如下：a)

各市級政務(wù)外網(wǎng)自治域號碼由省級政務(wù)外網(wǎng)管理單位在國家規(guī)劃的基礎(chǔ)上進行統(tǒng)一管理和二次分配；b)

政務(wù)外網(wǎng)自治域號碼不應(yīng)重復(fù)。8.2路由IPa)

政務(wù)外網(wǎng)域內(nèi)路由協(xié)議宜采用靜態(tài)路由、OSPF

ISIS，域間路由協(xié)議宜采用

BGP；b)

路由應(yīng)支持向

IPv6

IPv6+

SRv6

技術(shù)同時承載

、IPv6

業(yè)務(wù)，宜采用支持

SDN

的網(wǎng)絡(luò)架構(gòu)。9 虛擬專用網(wǎng)9.1 總體要求虛擬專用網(wǎng)是政務(wù)外網(wǎng)內(nèi)部采用MPLS

VPN、SRv6

、IPsec

或網(wǎng)絡(luò)切片等技術(shù)將各業(yè)務(wù)隔離支撐省、市、縣三級縱向虛擬專用網(wǎng)的能力。9.2 MPLS

或

SRv6

體要求如下：a)

省、市、縣三級縱向虛擬專用網(wǎng)的規(guī)劃部署由省級政務(wù)外網(wǎng)管理單位統(tǒng)一負(fù)責(zé)；b)

省、市、縣級路由器的管理、配置和維護由本級政務(wù)外網(wǎng)管理單位負(fù)責(zé)；c)

虛擬專網(wǎng)業(yè)務(wù)跨域?qū)右瞬捎?/p>

A

方式。9.3 部門自建

IPsec

VPN

技術(shù)政務(wù)部門可根據(jù)自身需求，依托政務(wù)外網(wǎng)建設(shè)自有IPsec

隧道，并滿足以下要求：a)

IPsec

VPN

業(yè)務(wù)由用戶部門自行建設(shè)和維護；b)

政務(wù)外網(wǎng)應(yīng)支持承載

VPN

業(yè)務(wù)；c)

建設(shè)技術(shù)規(guī)范應(yīng)參照

GW

0201

的規(guī)定執(zhí)行。9.4 網(wǎng)絡(luò)切片技術(shù)9.4.1 采用技術(shù)原則對政務(wù)外網(wǎng)中敏感數(shù)據(jù)和要求高的業(yè)務(wù)，可采用網(wǎng)絡(luò)切片技術(shù)，將網(wǎng)絡(luò)劃分為多個獨立的邏輯義網(wǎng)絡(luò)切片模型，宜采用基于業(yè)務(wù)類型的分類。9.4.2基于業(yè)務(wù)類型分類根據(jù)業(yè)務(wù)類型分為四類切片，即政務(wù)服務(wù)、視頻監(jiān)控、視頻會議、辦公服務(wù)，見表1。11切片類型業(yè)務(wù)描述各政務(wù)單位對外服務(wù)，如社保、公積金、車管等各類服務(wù)各級政務(wù)部門內(nèi)、部門之間高品質(zhì)視頻會議通訊服務(wù)各級政務(wù)部門辦公、具有統(tǒng)一互聯(lián)網(wǎng)出口的政務(wù)外網(wǎng)為用戶提供互聯(lián)網(wǎng)訪問服務(wù)保障等級保障要求-3共享帶寬，網(wǎng)絡(luò)時延<30ms<10

-4保障帶寬，網(wǎng)絡(luò)時延<10ms<10

-5獨享帶寬，網(wǎng)絡(luò)時延<5ms<10

DB51/T

3121—2023表1基于業(yè)務(wù)類型的網(wǎng)絡(luò)切片9.4.3 基于保障級別分類網(wǎng)絡(luò)保障級別分為1、2、32/業(yè)務(wù)都可以按照3個級別根據(jù)用戶需求基于網(wǎng)絡(luò)切片進行保障。表2 基于保障級別的網(wǎng)絡(luò)切片10 部門局域網(wǎng)接入10.1 局域網(wǎng)接入架構(gòu)接入單位接入政務(wù)外網(wǎng)，應(yīng)采用防火墻等安全設(shè)備做到安全隔離與防護，結(jié)構(gòu)見圖5。12DB51/T

3121—2023接入單位圖5局域網(wǎng)接入架構(gòu)圖10.2 局域網(wǎng)接入接入政務(wù)外網(wǎng)的局域網(wǎng)應(yīng)滿足以下要求：a)

防火墻由接入單位提供，主要有兩個用途：1） 邏輯隔離：配置安全訪問策略，將接入單位局域網(wǎng)與政務(wù)外網(wǎng)進行安全隔離；2）地址轉(zhuǎn)換：將接入單位局域網(wǎng)內(nèi)部地址轉(zhuǎn)換成政務(wù)外網(wǎng)IP地址。b)

互聯(lián)網(wǎng)隔離要求：如接入單位有獨立互聯(lián)網(wǎng)出口，則互聯(lián)網(wǎng)和政務(wù)外網(wǎng)之間應(yīng)通過安全設(shè)備做到邏輯隔離和安全防護。10.3 終端終端應(yīng)滿足以下要求：a)

接入單位應(yīng)采用安全技術(shù)手段，阻止非法用戶接入政務(wù)外網(wǎng)；b)

終端管理由各接入單位負(fù)責(zé)；c)

移動智能終端接入政務(wù)外網(wǎng)應(yīng)參照

0206

標(biāo)準(zhǔn)要求。11 政務(wù)外網(wǎng)機房應(yīng)滿足以下要求：a)

機房節(jié)能應(yīng)符合

GB/T

32910.3

的規(guī)定，電能能效要求和測量方法中的一級節(jié)能要求或同類標(biāo)準(zhǔn)要求；b)

機房應(yīng)支持多家運營商線路接入；c)

機房可采用自建、租用具備獨立管理區(qū)域的

機房等方式；d)

省級政務(wù)外網(wǎng)機房標(biāo)準(zhǔn)應(yīng)符合

50174—2017

中