ICS35.240.01CCSICS35.240.01CCSL70四 川 省 地 方 標 準DB51/T3121—2023電子政務外網(wǎng)技術規(guī)范2023-102023-10112023-1112四川省市場監(jiān)督管理局發(fā)布目 次前言 II1范圍 12規(guī)性用件 13術和義 14縮語 25總要求 36網(wǎng)技架構 3絡體構 3級務網(wǎng) 3級務網(wǎng) 5級務網(wǎng) 77IP地分配 97.1址理 97.2配則 107.3IPv4地址 107.4IPv6地址 108自域路由 108.1治域 108.2119虛專網(wǎng) 119.1體求 11MPLS或SRv6VPN11門建IPsecVPN技術 11絡片術 1110門域接入 12局網(wǎng)入構 12局網(wǎng)入 1310.3終端 1311務網(wǎng)房 1312維測13網(wǎng)運體系 14安監(jiān)體系 14附錄A（范）政網(wǎng)核網(wǎng)設要求 15參考獻 16前 言本文件按照GB/T1.1—2020《標準化工作導則第1部分：標準化文件的結構和起草規(guī)則》的規(guī)定起草。本文件由四川省大數(shù)據(jù)中心提出、歸口并解釋。宏、李茂春、武林、豐春霞、王永江、曲凱飛、陳冉、張勇、鄒昌盛、耿文鑫、龐明君、劉林濤、王嬋、張藝帆。本文件為首次發(fā)布。電子政務外網(wǎng)技術規(guī)范范圍（IP本文件適用于指導四川省行政范圍內，省級、市級、縣級政務外網(wǎng)網(wǎng)絡的設計、建設和運維管理。（GB/T21061國家電子政務網(wǎng)絡技術和運行管理規(guī)范GB/T22239信息安全技術網(wǎng)絡安全等級保護基本要求GB/T25069信息安全技術術語GB/T25647電子政務術語GB50174—2017數(shù)據(jù)中心設計規(guī)范3術語和定義GB/T25069、GB/T25647界定的以及下列術語和定義適用于本文件。GB50174—2017數(shù)據(jù)中心設計規(guī)范3術語和定義GB/T25069、GB/T25647界定的以及下列術語和定義適用于本文件。3.1電子政務外網(wǎng)E-governmentnetwork3.2廣域網(wǎng)wideareanetwork3.3城域網(wǎng)metropolitanareanetwork3.4IPv6單棧IPv6singlestackIPv6IPv4IPv4和IPv63.5威脅情報threatintelligence收集、評估和應用關于安全威脅、威脅分子、攻擊利用、惡意軟件、漏洞和漏洞指標的數(shù)據(jù)集合。3.6OptionA方式OptionAmode一種MPLS/SRv6不同域之間對接的方式，即本區(qū)域邊界路由器把其他區(qū)域邊界路由器看作自己的VPN接入設備。4縮略語以下縮略語適用于本文件。ARP：地址解析協(xié)議（AddressResolutionProtocol）AS：自治系統(tǒng)（AutonomousSystem）BGP：邊界網(wǎng)關協(xié)議（BorderGatewayProtocol）BGP-LS（BorderGatewayProtocolLink-state）EVPN（EthernetVirtualPrivateNetwork）FlexE（FlexibleEthernet）GRE：通用路由封裝協(xié)議（GenericRoutingEncapsulation）H-QoS：分層服務質量（HierarchicalQualityofService）IDC：互聯(lián)網(wǎng)數(shù)據(jù)中心（InternetDataCenter）iFIT：隨流檢測（in-situFlowInformationTelemetry）ISIS：中間系統(tǒng)到中間系統(tǒng)（IntermediateSystemtoIntermediateSystem）IPSecVPN：互聯(lián)網(wǎng)協(xié)議安全協(xié)議虛擬專用網(wǎng)絡（InternetProtocolsecurityvirtualprivatenetwork）IPv4：互聯(lián)網(wǎng)協(xié)議第4版(InternetProtocolversion4)IPv6：互聯(lián)網(wǎng)協(xié)議第6版(InternetProtocolversion6)IPv6+：基于IPv6下一代互聯(lián)網(wǎng)的升級（IPv6Plus）LACP（LinkAggregationControlProtocol）LDP（LabelDistributionProtocol）MPLS（Multi-ProtocolLabelSwitching）MSTP（Multi-ServiceTransportPlatform）NAT（NetworkAddressTranslation）OSPF：開放式最短路徑優(yōu)先（OpenShortestPathFirst）OTN：光傳送網(wǎng)（OpticalTransportNetwork）QoS：服務質量（QualityofService）RSVP-TE：基于流量工程擴展的資源預留協(xié)議（ResourceReservationProtocol-TrafficEngineering）SDH：同步數(shù)字體系（SynchronousDigitalHierarchy）SDN：軟件定義網(wǎng)絡（SoftDefinedNetwork）SLA：服務級別協(xié)議（ServiceLevelAgreement）SNMP：簡單網(wǎng)絡管理協(xié)議（SimpleNetworkManagementProtocol）SRv6：IPv6段路由（IPv6SegmentRouting）VLAN：虛擬局域網(wǎng)（VirtualLocalAreaNetwork）VPN：虛擬專用網(wǎng)絡（VirtualPrivateNetwork）VRRP：虛擬路由冗余協(xié)議（VirtualRouterRedundancyProtocol）VRRPv3：虛擬路由冗余協(xié)議第三版（VRRPversion3）IPv6GB/T22239GB/T22239級安全要求。圖1政務外網(wǎng)網(wǎng)絡總體架構圖省級政務外網(wǎng)應分為省級廣域網(wǎng)和省級城域網(wǎng)，網(wǎng)絡架構如圖2所示。運維管理區(qū)中央廣域網(wǎng)省級政務云運維管理區(qū)中央廣域網(wǎng)省級政務云互聯(lián)網(wǎng)政務云接入?yún)^(qū)互聯(lián)網(wǎng)安全接入?yún)^(qū)省級廣域網(wǎng) 省級城域網(wǎng)省級單位市級廣域網(wǎng)市（州）圖2省級政務外網(wǎng)架構圖省級廣域網(wǎng)由省-市節(jié)點的設備組成，廣域網(wǎng)核心路由器應采用雙設備冗余結構，省級廣域網(wǎng)核心路由器縱向上連接中央廣域網(wǎng)，向下連接市級廣域網(wǎng)，橫向連接省級城域網(wǎng)。SRv6IPv63)根據(jù)各省級接入單位業(yè)務類型和需求，可采用單線路或雙線路接入。GW0202預警。建設符合以下要求：（）3Gbps60%；省級廣域網(wǎng)核心路由器應采用兩條及以上的不同運營商的物理線路下聯(lián)各市（州）OTN、MSTP、SDH建設應符合以下要求：20Gbps；40Gbps；1Gbps；20Gbps；OTN、MSTP、SDH省級政務外網(wǎng)核心網(wǎng)絡設備應支持表A.1所述功能和要求。市級政務外網(wǎng)應分為市級廣域網(wǎng)和市級城域網(wǎng)，網(wǎng)絡架構如圖3所示。省級廣域網(wǎng)市級政務云省級廣域網(wǎng)市級政務云互聯(lián)網(wǎng)運維管理區(qū)政務云接入?yún)^(qū)互聯(lián)網(wǎng)安全接入?yún)^(qū)市級廣域 市級城域網(wǎng)核心路由器市級城域網(wǎng)市級單位縣級廣域網(wǎng)圖3市級政務外網(wǎng)架構圖市級城域網(wǎng)扁平化部署，市級城域網(wǎng)核心路由器應采用冗余設備組網(wǎng)，可建設如下業(yè)務區(qū)域：GW0202SRv6IPv6建設應符合以下要求：建設應符合以下要求：1Gbps；MSTP、SDH建設應符合以下要求：10Gbps；20Gbps；100Mbps1Gbps；OTN、MSTP、SDH市級政務外網(wǎng)核心網(wǎng)絡設備應支持表A.1所述功能和要求。6.4.1網(wǎng)絡架構運維管理區(qū)市級廣域網(wǎng)運維管理區(qū)市級廣域網(wǎng)互聯(lián)網(wǎng)互聯(lián)網(wǎng)安全接入?yún)^(qū) 縣級城域網(wǎng)核心路由器縣級廣域網(wǎng)縣級城域網(wǎng)縣級單位鄉(xiāng)鎮(zhèn)、村社圖4縣級政務外網(wǎng)架構圖GW0202預警。SRv6IPv6VPNVPN建設應符合以下要求：10Gbps；10Gbps；100Mbps；MSTP、SDH縣級政務外網(wǎng)核心網(wǎng)絡設備應支持表A.1所述功能和要求。IPIP地址的總體規(guī)劃應由省級政務外網(wǎng)管理單位負責，并符合以下要求：IPIPIPIPIPGW0207GW0209政務外網(wǎng)IP地址分配應遵循如下原則：IP州（州）（市、區(qū)）分配使用的地址段應連續(xù)；IPIPv4政務外網(wǎng)IPv4地址應分為全局業(yè)務地址、設備管理地址和省內地址三大類：（IPMCUIP（NAT技術將10段地址轉換為59段地址。政務外網(wǎng)地址轉換應遵循如下原則：技術將10段地址轉換為59段地址。政務外網(wǎng)地址轉換應遵循如下原則：159如市級或縣級政務外網(wǎng)統(tǒng)一做地址轉換，可在邊界設備或核心設備上實現(xiàn)地址轉換，在本級59IP180虛擬專網(wǎng)區(qū)內的IP地址由業(yè)務應用部門負責規(guī)劃，原則上不得采用59地址段、100地址段和10地址段。IPv6政務外網(wǎng)網(wǎng)絡及安全設備應支持IPv6協(xié)議，IPv6地址編址參照GW0209。8自治域及路由8.1自治域AS路由路由設計應反映整個網(wǎng)絡的層次結構，并與自治域、各地子網(wǎng)的IP地址分配相契合，具體要求如下：OSPFISISBGP；IPv6IPv6SRv6IPv4IPv6SDNMPLSVPNSRv6VPN、IPsecVPNMPLSSRv6VPNOptionAIPsecVPN政務部門可根據(jù)自身需求，依托政務外網(wǎng)建設自有IPsecVPN隧道，并滿足以下要求：IPsecVPNIPsecVPNGW0201SLA根據(jù)業(yè)務類型分為四類切片，即政務服務、視頻監(jiān)控、視頻會議、辦公服務，見表1。表1基于業(yè)務類型的網(wǎng)絡切片切片類型業(yè)務描述政務服務各政務單位對外服務，如社保、公積金、車管等各類服務視頻監(jiān)控各級部門視頻監(jiān)控業(yè)務的接入和調閱服務視頻會議各級政務部門內、部門之間高品質視頻會議通訊服務辦公服務各級政務部門辦公、具有統(tǒng)一互聯(lián)網(wǎng)出口的政務外網(wǎng)為用戶提供互聯(lián)網(wǎng)訪問服務12/3表2基于保障級別的網(wǎng)絡切片保障等級保障要求1級共享帶寬，網(wǎng)絡時延<30ms，丟包率<10-3，抖動<20ms2級保障帶寬，網(wǎng)絡時延<10ms，丟包率<10-4，抖動<10ms3級獨享帶寬，網(wǎng)絡時延<5ms，丟包率<10-5，抖動<5ms10部門局域網(wǎng)接入10部門局域網(wǎng)接入10.1局域網(wǎng)接入架構接入單位接入政務外網(wǎng)，應采用防火墻等安全設備做到安全隔離與防護，結構見圖5。電子政務外網(wǎng)防火墻電子政務外網(wǎng)防火墻接入單位局域網(wǎng)圖5局域網(wǎng)接入架構圖接入政務外網(wǎng)的局域網(wǎng)應滿足以下要求：IP互聯(lián)網(wǎng)隔離要求：如接入單位有獨立互聯(lián)網(wǎng)出口，則互聯(lián)網(wǎng)和政務外網(wǎng)之間應通過安全設備終端終端應滿足以下要求：GW0206應滿足以下要求：GB/T32910.3IDCGB50174—2017AGB50174—2017B網(wǎng)絡運維體系建設應遵循如下原則：GB/T21061建設省-市兩級安全監(jiān)測平臺，對運行環(huán)境、網(wǎng)絡設備、安全設備、操作系統(tǒng)、應用系統(tǒng)等資源進行實時安全監(jiān)測，形成覆蓋省、市、縣政務外網(wǎng)三級安全監(jiān)測體系，并符合以下要求：GW0203GW0204f)下級安全監(jiān)測平臺可從上級平臺中獲取相關推送信息。附錄A（規(guī)范性）政務外網(wǎng)核心網(wǎng)絡設備要求政務外網(wǎng)核心網(wǎng)絡設備要求見表A.1。表A.1政務外網(wǎng)核心網(wǎng)絡設備要求表項目技術要求業(yè)務板接口類型支持所選擇的通信鏈路網(wǎng)絡互連局域網(wǎng)協(xié)議支持以太網(wǎng)協(xié)議、基本VLAN等鏈路層協(xié)議支持LACP等網(wǎng)絡協(xié)議IP服務支持ARP、IP包過濾、策略路由等IP路由支持OSPF、OSPFv3、IS-IS、IS-ISv6、BGPv4、BGP4+等IPv6特性支持IPv6的IP服務和IP路由功能業(yè)務隧道SRv6支持SRv6-TEPolicy，SRv6BE等協(xié)議和轉發(fā)能力MPLS支持LDP、RSVP-TE等MPLS標簽分發(fā)協(xié)議VPN支持GRE、BGP-VPN、BGP-EVPN、MPLSVPN等設備可靠性冗余雙主控、電源模塊冗余其他特性支持VRRP、VRRPv3服務質量保障QoS支持層次化QoS（H-QoS）網(wǎng)絡切片支持FlexE、信道化子接口業(yè)務質量檢測支持iFIT隨流檢測技術網(wǎng)絡管理管理協(xié)議支持SDN、Telemetry、BGP-LS、SNMP等參考文獻GW0015—2022GW0201IPsecVP