DB51-T 3121-2023 電子政務(wù)外網(wǎng)技術(shù)規(guī)范

DB51I II 1 1 1 2 3 3 3 3 5 7 9 9 10 10 10 10 10 11 11 11 11 11 11 12 12 13 13 13 13 14 14 15 16本文件按照GB/T1.1—2020《標準化工作導(dǎo)則第1部分：標準化文件的結(jié)構(gòu)和起草規(guī)則》的規(guī)定本文件主要起草人：唐志恩、周學(xué)立、陳雅維、鄭暢、谷磊、劉偉、杜勇、李艷芳、楊超、劉宏、李茂春、武林、豐春霞、王永江、曲凱飛、陳冉、張勇、鄒昌盛、耿文鑫、龐明君、1電子政務(wù)外網(wǎng)技術(shù)規(guī)范GB/T22239信息安全技術(shù)網(wǎng)絡(luò)安全等級保GB/T32910.3數(shù)據(jù)中心資源利用第3部分：電能能效要求和測量方法GB50174—2017數(shù)據(jù)中心設(shè)城域網(wǎng)metropolitanarean24縮略語ARP：地址解析協(xié)議（AddressResAS：自治系統(tǒng)（AutonomousSystem）BGP：邊界網(wǎng)關(guān)協(xié)議（BorderGatewayProtocBGP-LS:邊界網(wǎng)關(guān)協(xié)議鏈路狀態(tài)（BorderGatewayProtocEVPN：下一代虛擬專用網(wǎng)絡(luò)（EthernetVirtualPrivateNetworFlexE：靈活以太網(wǎng)（FlexibleEthernGRE：通用路由封裝協(xié)議（GenericRoH-QoS：分層服務(wù)質(zhì)量（HierarchicalQuIDC：互聯(lián)網(wǎng)數(shù)據(jù)中心（InternetDataCenter）iFIT：隨流檢測（in-situFlowIISIS：中間系統(tǒng)到中間系統(tǒng)（IntermediateSystemtoInIPSecVPN：互聯(lián)網(wǎng)協(xié)議安全協(xié)議虛擬專用網(wǎng)絡(luò)（InternetProtocolsecurityvirtuaIPv4：互聯(lián)網(wǎng)協(xié)議第4版(InternetIPv6：互聯(lián)網(wǎng)協(xié)議第6版(InternetLACP：鏈路匯聚控制協(xié)議（LinkAggregationLDP：標簽分發(fā)協(xié)議（LabelDistributionProMPLS：多協(xié)議標記交換（Multi-ProtocolLabelSwitching）MSTP：多業(yè)務(wù)傳送平臺（Multi-ServiceTransNAT：網(wǎng)絡(luò)地址轉(zhuǎn)換（NetworkAddressTranslation）OSPF：開放式最短路徑優(yōu)先（OpenOTN：光傳送網(wǎng)（OpticalTransportNeQoS：服務(wù)質(zhì)量（QualityofSerRSVP-TE：基于流量工程擴展的資源預(yù)留協(xié)議（ResourceReservationProtocol-TrafficSDH：同步數(shù)字體系（SynchronousDigitalHSDN：軟件定義網(wǎng)絡(luò)（SoftDefinedSLA：服務(wù)級別協(xié)議（ServiceLevelAgSNMP：簡單網(wǎng)絡(luò)管理協(xié)議（SimpleNetworkSRv6：IPv6段路由（IPv6SegmentVLAN：虛擬局域網(wǎng)（VirtualLoVPN：虛擬專用網(wǎng)絡(luò)（VirtualPrivateNetwoVRRP：虛擬路由冗余協(xié)議（VirtualRouterRedundancyProtocol）3VRRPv3：虛擬路由冗余協(xié)議第三版（VRRPversion5.1政務(wù)外網(wǎng)應(yīng)采用扁平化網(wǎng)絡(luò)架構(gòu)，減少網(wǎng)絡(luò)層級，并具備可5.3省級和市級政務(wù)外網(wǎng)應(yīng)符合GB/T22239第三級安全要求，縣級政務(wù)外網(wǎng)應(yīng)符合GB/T22239第二4互聯(lián)網(wǎng)互聯(lián)網(wǎng)省級政務(wù)云省級廣域網(wǎng)省級廣域網(wǎng)核心路由器落地路由器中央廣域網(wǎng)省級政務(wù)云省級廣域網(wǎng)省級廣域網(wǎng)核心路由器落地路由器中央廣域網(wǎng)省級城域網(wǎng)省級城域網(wǎng)省級城域網(wǎng)核心路由器省級單位省級單位市級廣域網(wǎng)市級廣域網(wǎng)省級廣域網(wǎng)由省-市節(jié)點的設(shè)備組成，廣域網(wǎng)核心路由器應(yīng)采用雙設(shè)備冗余結(jié)構(gòu)，省級廣域網(wǎng)核心路由器縱向上連接中央廣域網(wǎng)，向下連接市級廣域網(wǎng)，橫向連接省級a)政務(wù)云接入?yún)^(qū)1)政務(wù)云接入?yún)^(qū)用于連接本級政務(wù)云數(shù)據(jù)中心2)各數(shù)據(jù)中心宜通過專線，采用雙設(shè)備雙鏈路1)省級城域網(wǎng)核心路由器直連到省級廣域網(wǎng)核心53)根據(jù)各省級接入單位業(yè)務(wù)類型和需求，可采用單線路或雙線路接1)互聯(lián)網(wǎng)安全接入?yún)^(qū)連接本地通信運營商，為不具備專線接入條件的接入單位和有移動接2)接入用戶可通過互聯(lián)網(wǎng)、移動通信網(wǎng)等基礎(chǔ)網(wǎng)絡(luò)連接到互聯(lián)網(wǎng)安全接入?yún)^(qū)，經(jīng)安全接入3)安全接入平臺建設(shè)應(yīng)參照GW0202中規(guī)定的要求，安全設(shè)備1)運維管理區(qū)是集中建設(shè)的獨立運維管理區(qū)域，應(yīng)包括運維管理平臺和安全管理平臺，運4)部署安全管理平臺，通過流量采集、日志采集、獲取威脅情報等方式，實時監(jiān)測政務(wù)外網(wǎng)安全運行狀態(tài)，智能分析安全趨勢，及時對網(wǎng)絡(luò)安全事件告警，對網(wǎng)絡(luò)安全風(fēng)險進行a)省到市（州）廣域網(wǎng)線路總帶寬應(yīng)b)省級廣域網(wǎng)核心路由器應(yīng)采用兩條及以上的不同運營商的物理線路下聯(lián)各市（州）落地路由a)省級城域網(wǎng)核心路由器與省級廣域網(wǎng)核心路由器之間的連接線路總帶寬應(yīng)不低b)省級城域網(wǎng)核心路由器之間相互連接的線路總帶寬應(yīng)不低于40Gbpd)省級城域網(wǎng)核心路由器與政務(wù)云接入設(shè)備采用口字形互連，總帶寬應(yīng)不低于20Gbps；6互聯(lián)網(wǎng)市級政務(wù)云市級廣域網(wǎng)核心路由器互聯(lián)網(wǎng)市級政務(wù)云市級廣域網(wǎng)核心路由器縣級廣域網(wǎng)省級廣域網(wǎng)核心路由器核心路由器市級城域網(wǎng)扁平化部署，市級城域網(wǎng)核心路由器應(yīng)采用冗余設(shè)備組網(wǎng)，可建設(shè)如a)政務(wù)云接入?yún)^(qū)1)互聯(lián)網(wǎng)安全接入?yún)^(qū)連接本地通信運營商，為不具備專線接入條件的接入單位和有移動接72)接入用戶可通過互聯(lián)網(wǎng)、移動通信網(wǎng)等基礎(chǔ)網(wǎng)絡(luò)連接到互聯(lián)網(wǎng)安全接入?yún)^(qū)，經(jīng)安全接入3)安全接入平臺建設(shè)應(yīng)參照GW0203)統(tǒng)一互聯(lián)網(wǎng)出口應(yīng)配置防火墻、入侵防御、防病毒、行為審計等安全設(shè)備，應(yīng)與政務(wù)外1)運維管理區(qū)是集中建設(shè)的獨立運維管理區(qū)域，應(yīng)包括運維管理平臺和安全管理平臺，運3)部署運維管理平臺，對各網(wǎng)絡(luò)設(shè)備進行統(tǒng)一運維管理，對運維管理行為進行審計；4)部署安全管理平臺，通過流量采集、日志采集、獲取威脅情報等方式，實時監(jiān)測政務(wù)外1)市級城域網(wǎng)核心路由器直連到市級廣域網(wǎng)核心路3)根據(jù)各市級接入單位業(yè)務(wù)類型和重要程度，可采用單線路或雙線路接b)市級廣域網(wǎng)核心路由器宜采用兩條及以上不同運營商的物理線路下連各縣級廣域網(wǎng)核心路由a)市級城域網(wǎng)核心路由器與本級廣域網(wǎng)核心路由器b)城域網(wǎng)核心路由器之間相互連接的線路總帶寬應(yīng)不低于208互聯(lián)網(wǎng)互聯(lián)網(wǎng)縣級廣域網(wǎng)核心路由器市級廣域網(wǎng)縣級城域網(wǎng)核心路由器1)互聯(lián)網(wǎng)安全接入?yún)^(qū)連接本地通信運營商，為不具備專線接入條件的接入單位、不具備專2)接入用戶可通過互聯(lián)網(wǎng)、移動通信網(wǎng)等基礎(chǔ)網(wǎng)絡(luò)連接到互聯(lián)網(wǎng)安全接入?yún)^(qū)，經(jīng)安全接入3)安全接入平臺建設(shè)應(yīng)參照GW02091)縣級政務(wù)外網(wǎng)根據(jù)本地實際可建設(shè)統(tǒng)一互聯(lián)網(wǎng)出口，為接入單位、鄉(xiāng)鎮(zhèn)、村社提供互聯(lián)3)統(tǒng)一互聯(lián)網(wǎng)出口應(yīng)配置防火墻、入侵防御、防病毒、行為審計等安全設(shè)備，應(yīng)與政務(wù)外1)運維管理區(qū)是集中建設(shè)的獨立運維管理區(qū)域，應(yīng)包括運維管理系統(tǒng)和必要的安全設(shè)備，3)有條件的縣級政務(wù)外網(wǎng)可部署運維管理平臺，對各網(wǎng)絡(luò)設(shè)備進行統(tǒng)一運維管理，對運維4)有條件的縣級政務(wù)外網(wǎng)可部署安全管理平臺，通過流量采集、日志采集、獲取威脅情報等方式，實時監(jiān)測政務(wù)外網(wǎng)安全運行狀態(tài)，對網(wǎng)絡(luò)安全事件告警，對網(wǎng)絡(luò)安全風(fēng)險進行1)根據(jù)各縣級接入單位業(yè)務(wù)類型和重要程度，可采用單線路或雙線路直接接入城域網(wǎng)核心3)鄉(xiāng)鎮(zhèn)、村社統(tǒng)一接入縣級城域網(wǎng)，可根據(jù)基礎(chǔ)通信設(shè)施情況，結(jié)合業(yè)務(wù)需求，采用專線4)采用專線接入的鄉(xiāng)鎮(zhèn)、村社，可根據(jù)接入數(shù)量采用直接接入城域網(wǎng)核心路由器或先統(tǒng)一a)縣級城域網(wǎng)核心路由器與本級廣域網(wǎng)核心路由器b)設(shè)備管理地址作為網(wǎng)絡(luò)設(shè)備全局管理地址，主要用于網(wǎng)絡(luò)設(shè)備的互聯(lián)和管理；b)如市級或縣級政務(wù)外網(wǎng)統(tǒng)一做地址轉(zhuǎn)換，可在邊界設(shè)備或核心設(shè)備上實現(xiàn)地址轉(zhuǎn)換，在本級虛擬專網(wǎng)區(qū)內(nèi)的IP地址由業(yè)務(wù)應(yīng)用部門負責(zé)規(guī)劃，原則上不得采用59地址段、100地址段和10地址政務(wù)外網(wǎng)網(wǎng)絡(luò)及安全設(shè)備應(yīng)支持IPv6協(xié)議，IPv6地址編址參照GW020a)各市級政務(wù)外網(wǎng)自治域號碼由省級政務(wù)外網(wǎng)管理單位在國家規(guī)劃的基礎(chǔ)上進行統(tǒng)一管理和二9虛擬專用網(wǎng)虛擬專用網(wǎng)是政務(wù)外網(wǎng)內(nèi)部采用MPLSVPN、SRv6VPN、IPsecVPN或網(wǎng)絡(luò)切片等技術(shù)將各業(yè)務(wù)隔離a)省、市、縣三級縱向虛擬專用網(wǎng)的規(guī)劃部署由省級政務(wù)外網(wǎng)管理單位統(tǒng)一負責(zé)；b)省、市、縣級路由器的管理、配置和維護由本級政務(wù)外網(wǎng)管理單位負責(zé)；c)虛擬專網(wǎng)業(yè)務(wù)跨域?qū)右瞬捎肙ptionA方式。政務(wù)部門可根據(jù)自身需求，依托政務(wù)外網(wǎng)建設(shè)自有IPsecVPN隧道，并滿足以下要a)IPsecVPN業(yè)務(wù)由用戶部門自行建9.4.1采用技術(shù)原則對政務(wù)外網(wǎng)中敏感數(shù)據(jù)和SLA要求高的業(yè)務(wù)，可采用網(wǎng)絡(luò)切片技術(shù)，將網(wǎng)絡(luò)劃分為多個獨立的邏輯9.4.2基于業(yè)務(wù)類型分類根據(jù)業(yè)務(wù)類型分為四類切片，即政務(wù)服務(wù)、視頻監(jiān)控、視頻會議、辦公服務(wù)，見各級政務(wù)部門辦公、具有統(tǒng)一互聯(lián)網(wǎng)出口的政務(wù)外網(wǎng)為用9.4.3基于保障級別分類共享帶寬，網(wǎng)絡(luò)時延<30ms，丟包率<10-3，抖動<2保障帶寬，網(wǎng)絡(luò)時延<10ms，丟包率<10-4，抖動獨享帶寬，網(wǎng)絡(luò)時延<5ms，丟包率<10-5，接入單位接入政務(wù)外網(wǎng)，應(yīng)采用防火墻等安全設(shè)備做到安全隔離與防護，結(jié)構(gòu)見圖電子政務(wù)外網(wǎng)電子政務(wù)外網(wǎng)防火墻接入單位接入單位局域網(wǎng)a)防火墻由接入單位提供，主要有兩個用途：2）地址轉(zhuǎn)換：將接入單位局域網(wǎng)內(nèi)部地址b)互聯(lián)網(wǎng)隔離要求：如接入單位有獨立互聯(lián)網(wǎng)出口，則互聯(lián)網(wǎng)和政務(wù)外網(wǎng)之間應(yīng)通過安全設(shè)備a)機房節(jié)能應(yīng)符合GB/T32910.3的規(guī)定，電能能效要求和測量方法中的一級節(jié)能要求或同類標b)機房應(yīng)支持多家運營商線路接入；1)對政務(wù)外網(wǎng)運行狀態(tài)的監(jiān)控，包括對網(wǎng)絡(luò)設(shè)備、安全設(shè)備、主機、存儲設(shè)備、數(shù)據(jù)庫、c)省級和市級政務(wù)外網(wǎng)應(yīng)建設(shè)本級運維管理平臺，縣級政務(wù)外網(wǎng)可建設(shè)本級運維管理平臺；d)本級運維管理平臺應(yīng)與上級運維管理平臺進行對接，上報相關(guān)運行數(shù)據(jù)。建設(shè)省-市兩級安全監(jiān)測平臺，對運行環(huán)境、網(wǎng)絡(luò)設(shè)備、安全設(shè)備