哈尔滨市电子政务外网技术指南

二层交换机  时间:2021-02-20  阅读:()

范围本指南适用于哈尔滨市电子政务外网网络规划设计、设备选型、建设实施、运行维护和管理,为全市电子政务外网各级建设运维单位、各级政务外网接入单位提供指导和参考.

规范性引用文件下列文件中的条款通过本指南的引用而成为本指南的条款.
凡是注明日期的引用文件,其随后所有的修改单(不包括勘误的内容)或修订版均不适用于本指南.
凡是不注明日期的引用文件,其最新版本适用于本指南.

《中共中央办公厅国务院办公厅关于转发国家信息化领导小组关于我国电子政务建设指导意见的通知》(中办发〔2002〕17号)《中共中央办公厅国务院办公厅关于转发国家信息化领导小组关于推进国家电子政务网络建设的意见的通知》(中办发〔2006〕18号)《国家发展改革委财政部关于推进国家电子政务外网建设工作的通知》(发改高技〔2009〕988号)国家发展改革委、公安部、财政部、国家保密局、国家电子政务内网建设和管理协调小组办公室《关于进一步加强国家电子政务网络建设和应用工作的通知》(发改高技〔2012〕1986号)《国家电子政务外网安全等级保护基本要求(试行)》《国家电子政务外网IPSecVPN安全接入技术要求与实施指南》术语和定义下列术语和定义适用于本指南.
政务外网根据中办发〔2002〕17号和中办发〔2006〕18号文件,政务外网是指覆盖中央、省、地市、区县(市)的政务部门的专网,主要满足各级政务部门社会管理、公共服务等面向社会服务的需要,与互联网安全逻辑隔离.

哈尔滨市电子政务外网哈尔滨市电子政务外网是黑龙江省电子政务外网的组成部分,属于非涉密网络,纵向连接省、市、区县(市),横向连接各级党委、人大、政府、政协、法院和检察院及所属部门及有关单位,与互联网安全逻辑隔离,主要满足本市各级政务部门及有关单位社会管理、公共服务等面向社会服务的需要.

骨干网骨干网用于纵向连接市、区县(市)各层级行政区域、上联省级,由各级行政区域内纵向骨干节点设备和之间长途线路组成.

层级网本指南所指层级网,是指用于实现本级行政区域内的党政机关及有关单位的横向连接网,包括市级、区县(市)级层级网.

市级的层级网由连接市直机关及有关单位的网络构成.
区县(市)级的层级网由连接本级党政机关及有关单位、乡镇/街道、社区的网络构成.

各级层级网通过纵向骨干网实现互联.
部门接入网本指南所指部门接入网,是指政务外网接入用户自行建设和管理的本地局域网或部门业务网.

IP物理网IP物理网是实现数据、语音、视频传输的物理网络平台,由IP层网络设备(骨干路由器、接入路由器、交换机等等设备)和传输线路组成.

逻辑业务网逻辑业务网是在IP物理网络基础上,通过采用标签或密码技术建立的网络.
一个IP物理网络平台可以划分多个不同的逻辑业务网络,来满足承载不同类型业务的需要.

公共IP地址哈尔滨市政务外网公共IP地址包括国家公共IP和省政务外网公共IP.
国家公共IP地址是指国家电子政务外网管理中心统一申请、规划、分配、管理,实现政务部门网络全国互联互通的公网IP地址.
国家公共IP范围是:59.
192.
0.
0-59.
255.
255.
255.
其中59.
252.
0.
0/16段中部分IP地址已经用于面向互联网服务.
59.
192.
0.
0/16是黑龙江的地址,59.
255.
0.
0/16是国家的地址.

黑龙江省公共IP地址是指由黑龙江省电子政务外网管理中心规划、分配、管理,用于实现黑龙江省政务外网范围内互联互通的IP地址.

哈尔滨市公共IP地址执行省政务外网公共IP地址体系.
管理地址管理地址是指网络、安全等设备的Loopback地址和设备互联接口地址.
业务地址除管理地址以外的IP地址,包括用户单位接入政务外网使用的地址、各类服务器的地址以及其他各种业务应用设备所需地址.

公共主机设备需要在政务外网范围内被访问的设备,如信息共享服务器、视频终端等,需部署公共IP地址.

网管中心网管中心是支撑网络正常运行、实现有效运维管理的设备设施的集合,主要包括网络运行监控、网络故障处理、IP地址和域名管理等功能.

缩略语汇聚网:为距离政务网骨干设备较远的各个政务单位连接政务外网而建设的网络.

综合网:多部门合驻一个办公楼或者多个办公楼办公,为该楼或者楼群内统一建设的网络.

纵网:在哈市政务外网内通过技术构建的单一部门逻辑业务网,具备中央省市区县垂直贯通的私有专网特性,支持私有IP应用.

横网:在哈市政务外网内通过技术构建的跨部门逻辑业务网,具备跨部门共享功能,同时支持本市及省内跨地域共享功能,还具备访问国家提供的共享服务器功能.

总体架构网络层次结构哈尔滨市电子政务外网由市、区县(市)两级网络组成.
乡镇、街道办事处及社区接入区县(市)网络,是区县(市)电子政务外网组成部分.

市级政务外网由市级纵向骨干网、市级横向层级网、市级部门接入网组成.

区县(市)级政务外网由区县(市)横向级层级网、区县(市)级部门接入网、乡镇(街道)及社区接入网组成.

图5.
1政务外网网络层次示意图网络功能平面政务外网网络平台逻辑上可以分为业务应用层、业务网络(业务域)层和IP物理网络层三个功能平面.
其中,业务应用层是指承载的各种业务应用,如各部门部署的业务系统、政务外网统一部署的公共应用系统、门户网站等;业务网络层在网管中心的管理控制下为各种业务、服务的部署提供逻辑网络环境;IP物理网络层提供统一的物理网络平台,支持业务网络的逻辑划分,从而承载上层不同类型业务应用.
网管中心提供政务外网整体的网络运维管理、网络安全、业务开通、应用部署管理等功能,保障网络的运行和业务畅通.

图5.
2政务外网网络功能平面示意图业务承载模型为了满足不同类型业务的承载需要,政务外网采用VPN技术将一套物理网络平台逻辑上划分为"1+N+1"个业务网络,其中,第一个"1"是指公共网络区(横网)"N"是指根据政务部门业务需求开设的多个虚拟业务专网(纵网),后面的"1"是指互联网接入区.

图5.
3政务外网虚拟逻辑业务网示意图公共网络区(横网)公共网络区是在政务外网内通过MPLS-VPN技术构建的虚拟网络,是实现各级政务部门之间互联互通的逻辑业务网络.
在我市政务外网内习惯称为"横网",承载跨地区、跨部门的业务,并提供认证、目录交换、公共应用等共性支撑服务.

横网IP地址需遵循黑龙江省政务外网规划和国家电子政务外网规划,只有使用国家电子政务外网IP地址规划方可实现与国家公共IP地址互相访问和通信,使用黑龙江省政务外网IP地址规划可单向访问国家电子政务外网.

虚拟业务专网区虚拟业务专网区是"N"个部门的虚拟业务网(在我市政务外网内习惯称为"纵网")集合.
纵网采用MPLSVPN技术构建,主要承载政务部门特定需求的业务.
虚拟业务网区一般采用业务部门自行规划的IP地址.
互联网接入区互联网接入区是实现政务外网安全连接互联网的逻辑业务网络或网络区域.
互联网接入区承载政务部门面向企业和公众服务的业务,提供政务部门工作人员访问互联网资源的网络通道.
互联网接入区通过部署安全接入平台,实现工作人员通过互联网方式安全接入并访问公用网络区或专用网络区的资源,也是社区工作人员接入的主要接入平台.

互联网接入区在全市政务外网分级设置,所使用的互联网注册地址从本级互联网服务提供商处申请获取,并由申请部门自行分配管理.

政务外网纵向骨干网原则上不承载互联网接入区的流量.
横网与互联网接入区之间的隔离方式市级、区县(市)公共网络区和互联网接入区采用建设安全的独立接入平台方式,根据选择互联网逻辑隔离技术不同,建议互联网接入区应能够承载MPLS-VPN协议.

隔离方式应按照等级保护规定建设.
区县(市)以下互联网逻辑隔离可以使用防火墙隔离方式.
网络结构总体结构市电子政务外网IP网络按照管理层次,由市、区县(市)两级网络平台组成,上联省级.
在网络物理结构上,可以分为纵向的骨干网和横向的层级网,纵向的骨干网用于纵向覆盖市级和区县(市)行政区划,并通过市级骨干上联,层级网用于横向连接本级党政机关和有关部门,其中区县(市)层级网负责下级的乡镇/街道、社区的接入.

图6.
1市电子政务外网总体结构纵向骨干网结构基本模式纵向的骨干网采取分级模式.
也就是是骨干网由市级和区县(市)政务外网机构分级建设和运行管理的模式.

基本要求纵向的骨干网核心设备应采用双设备双冗余结构(如电源、引擎、交换网络板等).
骨干网线路设计推荐采用双链路结构,可先实施为单链路结构,有高可靠性业务需求情况下,骨干网建设为市级双设备和市到区县(市)双链路结构.

纵向骨干网链路的选择可根据当地运营商可提供的链路资源情况,采用POS、MSTP、裸光纤等链路类型,尽量不采用Nx2MSDH的捆绑链路.
层级网结构遵循层次化设计的原则,根据网络规模大小,采用二层或三层的结构.
市、区县(市)需考虑合驻办公接入,减小网络规模和接入链路费用.
市级层级网市层级网由市委、市政府等多个楼(群)内综合网及江南汇聚网组成.
哈尔滨市层级网采用"核心-汇聚-接入"三层架构.
市级层级网的综合网和汇聚网的建设,核心层节点应采用双核心、双冗余结构,双链路下联汇聚层核心节点,来连接接入设备从而联通各个部门接入网.

数据中心、网管中心、应用平台等功能节点接入层级网核心节点.
综合网部署统一互联网出口.
区县(市)级层级网区县(市)级层级网至少由区县(市)政府综合网、中心平台汇聚网、楼外汇聚网组成.

对于区县(市)级层级网连接楼外单位的汇聚网,可以采用一台核心交换机作为核心设备,来互联各个委办局,对于初期县级节点接入点少,结构简单,可以采用"核心—接入"二层架构.
当接入节点多时,升级为采用"核心-汇聚-接入"三层架构.
对于区县(市)层级网中的综合网,应采用统一网络模式建设,构建高性能的楼内或楼群局域网,统一通过中心平台汇聚网络连接.

对于区县(市)层级网中的中心平台汇聚网,应使用两台核心交换机中间夹接入设备组成.

区县(市)综合网部署统一互联网出口.
带宽哈尔滨市政务外网接入,各个部位带宽如下:区县(市)到市级:20M-----100M之间,接口类型MSTP.
乡镇/街道到区县(市):2M-----20M之间,特殊业务带宽以满足需要为准.
社区上联:可根据网络运行业务内容不同选择带宽在2M---10M之间,特殊业务带宽以满足需要为准.

市级汇聚网到骨干节点:至少2个千兆捆绑或者万兆.
市级综合网到骨干节点:千兆或者万兆.
区县(市)汇聚网到骨干节点:不低于1000M.
区县(市)级综合办公网到骨干节点:不低于1000M.
区县(市)委办局上联:不低于10M.
互联网总出口:市级1000M.
区县(市)级最低500M.
VPN联网网关:VPN网关带宽应保证至少100M可用,并多运营商引入,与政务网联网接口满足千兆.

区县(市)政务外网中心平台区县(市)中心平台由骨干层路由器、汇聚交换机、接入路由器组、下联(汇聚)骨干交换机、VPN网关等基本网络设备构建,对上连接市级,为本级各个政务单位提供联网支撑,对下提供乡镇/街道、社区的联网平台,是哈市电子政务外网的关键节点和边界.
在中心平台还包括互联网统一出口、应用业务平台等各种基础功能的部分.

图6.
2区县(市)中心平台物理架构用户局域网接入区县(市)标准接入模型图7.
1区县(市)用户接入标准模型示意图区县(市)单位接入时,从简化技术实现、节省投资角度,采用该接入模型.
该模型中,接入路由器在区县(市)中心统一部署,本地使用防火墙为接入边界设备.
该方式为目前依然存在的本地互联网连接提供了预留.

简单接入模型建议用于以下场景:市级接入单位只有单个业务网络访问需求(只有横网没有纵网)区县(市)级接入单位市级标准接入模型图9.
2用户接入标准模型示意图对于用户局域网的标准接入模型,如上图所示,主要分为如下几个部分:接入路由器:主要有两个用途,一是将该设备作为政务外网接入的技术边界,二是用于接入政务外网的路由访问和QoS控制.
该设备上联侧按需配置多个子接口,用以实现政务外网不同业务域的贯通.
该设备推荐使用路由器或路由功能较强的交换机.
该设备建议由政务外网提供并负责管理.

防火墙:主要有两个用途,一是逻辑隔离,可将对外服务的公共主机部署到防火墙DMZ区,使用政务外网公用IP对外提供服务,二是地址转换,可将接入局域网内部地址转换成政务外网公共IP.

标准接入模型建议用于以下场景:市级接入单位有多个业务网络访问需求终端接入局域网内的终端接入由各部门自行管理,并遵循本地政务外网的接入要求.
各地可结合实际,通过采用终端准入控制、证书认证、网关型web认证、虚拟安全桌面等技术手段,阻止非法用户接入政务外网,减少终端不安全因素,避免终端成为从互联网外部攻击政务外网内部应用系统的跳板.

乡镇/街道局域网接入接入方式乡镇/街道以专线方式接入为主,专线联网实现的确有困难的,可采用端到端互联网安全隧道方式临时接入.

总体原则乡镇/街道专线联网的,技术上支持纵网和横网的应用.
乡镇/街道采用互联网端到端VPN方式接入的,上端接入网关原则上设立在区县(市).
该方式联网只支持一个纵网和横网应用,独立构成虚拟网,只开通横网服务.

技术要求专线接入乡镇/街道可通过MSTP、以太网、ADSL等有线网络以专线方式接入区县(市)政务外网.
乡镇/街道接入侧部署防火墙且支持虚拟防火墙功能,实现多CE功能,进入哈尔滨市政务外网骨干,局域网交换机应支持VLAN划分.
横网访问技术上借用上级部门的横网IP地址,本地终端IP地址原则上支持使用互联网保留地址段.
纵网应用的终端执行部门统一规划.

利用互联网接入的端到端的VPN接入在乡镇/街道部署一台网关设备,通过在互联网上开通IPSecVPN的方式,将乡镇网络连接到区县(市)级接入平台中.
该方式只能访问横网,并需要按照统一IP地址规划执行.

在区县(市)级建立统一的安全接入平台,在乡镇/街道部署接入网关,与接入平台建立网关对网关的互联;如乡镇/街道接入终端很少,也可由终端直接连接安全接入平台.

具体接入技术要求参见《国家电子政务外网IPSecVPN技术要求与实施指南》.
社区接入接入方式社区以点到端互联网VPN方式或专线方式接入.
总体原则在乡镇/街道按照专线方式连接政务外网情况下,社区可采用专线方式接入到乡镇/街道进入政务外网,也可根据需要直接接入到区县(市)中心平台.
接入后均视作为乡镇街道或者区县(市)的一个部门或者多个部门,实现功能与区县(市)级部门相同.

各区县(市)中心平台设立VPN接入网关,解决社区终端接入政务网络.
技术要求专线接入社区可通过MSTP、以太网、ADSL等有线网络以专线方式接入乡镇街道或者区县(市),通过区县(市)纵向骨干网连接政务外网.
社区出口要部署二层交换机.
当上联对端是街道乡镇时,进入其局域网内作为其附属成员,通过乡镇街道的上联接入政务外网.
当上联对端时区县(市)时,进入区县层级网内,社区终端可按照归属划分到不同的部门内.
以上情况下都应遵循区县、乡镇和街道的统一IP地址规划.

互联网接入在社区本地能够访问互联网的前提下,社区终端通过部署在区县(市)的VPN网关在互联网上开通的IPSecVPN的方式,连接到政务外网内,可访问横网或特定的纵网.
通过该方式联网的终端,使用其访问互联网的IP地址,必须为192.
168.
X.
X段.
必须使用KEY认证方式.
接入方式可以为有线互联网或者无线互联网等多种.
具体接入技术要求参见《国家电子政务外网IPSecVPN技术要求与实施指南》.
IP地址IP地址体系电子政务外网范围内规划使用的IP地址包括:政务外网公共IP地址(横网IP地址).
包括国家公共IP和黑龙江省公共IP地址.

互联网公有IP地址.
政务外网的互联网公有IP一般从本地ISP获取.
部门纵网VPN网内部IP地址(简称部门VPN内地址).
部门局域网内部IP地址(简称局域网地址).
IP地址管理原则哈尔滨市政务外网公共IP地址(横网IP地址)执行省级统一规划,具体使用分配管理由哈尔滨市电子政务主管部门负责分配管理.

互联网公有IP由各个申请使用部门自行分配管理.
部门VPN内地址由业务发起部门自行规划、分配和管理,但不允许使用192和59段地址.

骨干网设备IP、横网接口跨域等地址规范由哈尔滨市电子政务主管部门负责分配管理;部门的纵网MPLSVPN跨域接口地址、PE-CE接口地址应遵循部门业务系统的统一IP地址规划,从业务IP地址段中划分.

IP地址分配原则唯一性:一个IP网络中不能有两个主机采用相同的IP地址;可管理性:为便于网络设备的统一管理,分配一段独立的IP地址段做网络互连地址和loopback地址;地址段的分配遵循2n的原则分配连续的地址段,从而易于路由聚合,缩减路由表的大小,提高路由算法的效率.

IP地址划分的层次性应体现出网络结构的层次性,如设备互联地址的规划,可使网络层次高的所用地址为较小值,层次低的为较大值.

充分利用无类别域间路由(CIDR)技术和变长子网掩码(VLSM)技术,合理高效地使用IP地址.

设备loopback地址规划时,可以使用末尾奇偶的不同代表设备类型的不同,比如路由器使用偶数值,交换机使用奇数值.

哈市区县(市)以上横网IP地址规范市、区县(市)以上政务单位横网IP地址规范为IPV4体系,规范为192.
X.
Y.
n.
其中:X代表不同的政务部门,按全省统一规划.
Y代表不同的行政区划,按全省统一规划.
n为主机和终端使用的地址,范围为1-254,由使用部门内部管理.
哈尔滨市IP规划192.
X.
Y.
n规范中第二位X值规定:单位XVPN号单位XVPN号政府办公厅(室)1VPN-1法制办公室46VPN-46参事室、文史馆2VPN-2研究室47VPN-47发展计划委员会3VPN-3物价局48VPN-48经济合作促进局4VPN-4监狱管理局49VPN-49工业和信息化委员会5VPN-5劳动教养管理局50VPN-50教育厅(局)6VPN-6畜牧局51VPN-51科学技术厅(局)7VPN-7国防工办52VPN-52民族事物委员会8VPN-8经济体制改革办公室53VPN-53民族宗教局9VPN-9人民防空办公室54VPN-54公安厅(局)10VPN-10旅游局55VPN-55交警总队11VPN-11档案局56VPN-56国家安全厅(局、站)12VPN-12农业开发办公室57VPN-57监察厅(局)13VPN-13航务管理局58VPN-58民政厅(局)14VPN-14接待办公室59VPN-59司法厅(局)15VPN-15保密局60VPN-60财政厅(局)16VPN-16省(市、县、区)委61VPN-61人事厅(局)(人社局)17VPN-17人大62VPN-62劳动和社会保障厅(局)18VPN-18政协63VPN-63国土资源厅(局)19VPN-19纪检64VPN-64建设厅(局)20VPN-20残疾人联合会*65VPN-65交通厅(局)21VPN-21森工总局66VPN-66公路局22VPN-22防汛抗旱67VPN-67信息产业厅(局)23VPN-23测绘局68VPN-68农业委员会24VPN-24农垦检察院69VPN-69水利厅(局)(水务局)25VPN-25检察院70VPN-70林业厅(局)26VPN-26供销社71VPN-71商务(厅)局27VPN-27高开区72VPN-72文化和新闻出版局(局)28VPN-28安全生产监督管理局73VPN-73卫生厅(局)(卫计委)29VPN-29气象局74VPN-74计划生育委员会30VPN-30地震局75VPN-75审计厅(局)31VPN-31信访办76VPN-76地方税务局32VPN-32地方志77VPN-77环境保护局33VPN-33经研中心78VPN-78广播电视局34VPN-34社科院79VPN-79体育局35VPN-35煤炭工业局80VPN-80统计局36VPN-36城市管理行政执法局81VPN-81工商行政管理局(市场监管局)37VPN-37人民银行(含兴安证券)82VPN-82新闻出版局(含日报社)38VPN-38科学(专家)顾问委员会83VPN-83质量技术监督局39VPN-39政府采购中心84VPN-84食品药品监督管理局40VPN-40城市规划局85VPN-85直属机关局41VPN-41民航86VPN-86中小企业局42VPN-42房产住宅管理局87VPN-87粮食局43VPN-43法院88VPN-88农垦总局44VPN-44银监局(中国银行业监督管理委员会)89VPN-89省烟草专卖局101VPN-101公用事业管理局146VPN-146未定102VPN-102未定147VPN-147太平洋财产保险公司103VPN-103未定148VPN-148中国储备粮管理总公司104VPN-104未定149VPN-149未定105VPN-105征政审批中心150VPN-150国家开发银行106VPN-106国资委151VPN-151未定107VPN-107招商局152VPN-152铁路局108VPN-108省总工会153VPN-153有色金属地质勘查局109VPN-109妇联154VPN-154国税局110VPN-110网通公司155VPN-155煤矿安全监察局111VPN-111无线电管理委员会156VPN-156出入境检验检疫局112VPN-112邮政局157VPN-157未定113VPN-113中国电信158VPN-158工商银行114VPN-114城信社159VPN-159农业银行115VPN-115商业银行160VPN-160农业发展银行116VPN-116农机局161VPN-161交通银行117VPN-117编委办162VPN-162中国长城资产管理公司118VPN-118贸促会163VPN-163中国证监会特派办119VPN-119扶贫办164VPN-164中国人民保险公司/中国人民财产保险股份有限公司120VPN-120文联165VPN-165通信管理局121VPN-121供热办(含供热集团)166VPN-166电力公司122VPN-122水产局167VPN-167黄金局123VPN-123未定168VPN-168中国银行124VPN-124图书馆169VPN-169光大银行*125VPN-125住房公积金管理中心170VPN-170海关*126VPN-126知识产权局171VPN-171中国人寿保险公司127VPN-127新华社(分社)172VPN-172太平洋人寿保险公司*128VPN-128哈尔滨(商业)银行173VPN-173建设银行129VPN-129未定174VPN-174电子总公司130VPN-130未定175VPN-175市建工集团131VPN-131未定176VPN-176燃气办132VPN-132未定177VPN-177哈药集团133VPN-133未定178VPN-178商委134VPN-134未定179VPN-179建工局135VPN-135未定180VPN-180机械局136VPN-136未定181VPN-181老龄委137VPN-137未定182VPN-182中国财产保险138VPN-138未定183VPN-183移动通信公司139VPN-139未定184VPN-184石油公司140VPN-140未定185VPN-185通信公司141VPN-141未定186VPN-186爱国卫生办(红十字)142VPN-142未定187VPN-187军分区143VPN-143未定188VPN-188国资总公司144VPN-144未定189VPN-189市场物业处145VPN-145未定190VPN-190哈尔滨市IP规划192.
X.
Y.
n规范中第三位Y值规定:哈尔滨市4、5、6、7道里区8尚志市18道外区9五常市19南岗区10方正县20香坊区12巴彦县21平房区14宾县23松北新区15依兰县24阿城区16延寿县25呼兰区22木兰县26双城区17通河县27哈市区县(市)以下IP地址规范乡镇/街道横网IP地址分配,使用192.
2.
4.
0到192.
2.
27.
255的政务外网横网IP地址,分配给各个乡镇,按照每个乡镇/街道8个地址分配,该段可分配出700多个8个地址长度的地址段,每个乡镇/街道使用的地址段,需由市级政务外网管理单位统一规划,由各区县(市)提出使用申请后配发.
该部分横网IP地址只用于地址转换.

乡镇/街道内部网络,有纵网访问需要和规划的,使用纵网规划,没有纵网使用规划的使用172.
16.
0.
0到172.
16.
31.
255段IP地址.

社区联网,直接连接到乡镇/街道的,使用乡镇/街道的地址段;直接连接到乡镇/街道并通过防火墙或者路由器连接的,前端口使用乡镇/街道的地址段,本地使用192.
168.
X.
n地址段.
社区联网直接连接区县(市)的,使用区县(市)的相应部门的IP地址段.

其他国家公共IP地址在中央、省级和市级可以按部门进行分配;县级不按具体部门进行分配,不打散使用.
哈尔滨市国家公共IP地址只在政务外网上的共享业务平台、与上级并网的横网下的视频终端等使用,由哈尔滨市政务外网管理部门向省级申请.

国家公共IP路由指向设置国家电子政务外网管理中心从CNNIC申请64个B类IP地址(59.
192.
0.
0/10),用于国家电子政务外网IP地址规划建设.
其中,中央政务外网使用59.
255.
0.
0/16这1个B类地址用于国家公共IP,使用59.
252.
0.
0/16这1个B类IP地址用于互联网公有IP.
在剩余IP地址中,为各省分配不少于1个B类地址用于国家公共IP.

为了确保各级政务外网用户能够正确访问中央政务外网的互联网IP地址资源和国家公共IP地址资源,对于拥有双出口(同时访问政务外网和互联网)的节点,必须在边界路由器上配置两条路由,一条粗路由(59.
192.
0.
0/10)指向政务外网出口,一条细路由(59.
252.
0.
0/16)指向互联网出口.

IP地址转换在国家公共IP、地方公共IP、用户局域网地址共存的情况下,应分别按照以下要求进行IP地址转换,确保网络互联互通:接入用户局域网地址自行规划时,接入政务外网前由用户自行转换成政务外网公共IP地址.

省级出口为192地址访问中央政务外网59.
255.
x.
地址实施了地址转换.
在哈尔滨市政务外网区县(市)自治域边界为乡镇/街道联网,横网部分需进行IP地址转换时,推荐采用独立的NAT设备,或在路由器/交换机上配置独立的NAT硬件部件.

DNS服务器、语音、视频等业务可能会受到地址转换的影响,尽量采用统一的IP地址规划,不进行地址转换.

主机资源需要被访问时,采用1对1地址转换方式;用户终端访问外部资源时,采用多对一或多对多的地址转换方式.

自治域和路由自治域自治域规划骨干网分级模式下,区县(市)级MPLSVPN业务的开通、配置、维护均由区县(市)级政务外网机构负责.
区县(市)外网机构和市级政务外网机构PE设备统一配置,统一管理,MPLSVPN统一部署与管理.
区县(市)政务外网与市级政务外网使用同一的自治域.
区县(市)政务外网可以为一个独立自治域.
该模式中,MPLSVPN终结在区县(市)骨干网核心设备上.
自治域号码市级政务外网自治域号码为451.
区县(市)如果需要使用的独立自治域,需向市级政务外网管理部门申请后统一分配.

路由路由协议政务外网域内路由协议采用OSPFv2;域间路由协议采用BGPv4或MP-BGP协议.
路由策略总体要求政务外网路由策略的总体要求为:市和区县(市)政务外网应实现承载网路由和用户路由分离,承载网路由由OSPF负责承载,包括内部互联地址路由、LOOPBACK地址路由、网管中心地址路由等,用户路由由BGP或MP-BGP承载,包括用户业务地址路由、数据中心业务地址路由等.
其好处是避免用户网络的业务路由的振荡影响承载网路由.
管理上层次分明,局部的变动不影响上层路由配置和全局路由配置.

路由设计能够反映出整个网络的层次结构,并与自治域、各结点子网的IP地址分配相结合,做到合理的路由聚合,减少路由表的长度,减轻路由更新给网络带来的负荷,提高路由稳定性.

在同一AS内,应根据网络流量分担、分布与路由备份需要,统一规划路由Metric值,实现路由策略.

合理规划IGP区域,规模较大时,应将OSPF划分多个区域.
区县(市)由实施参考模型统一自治域模式下路由实施该模式下,市、区县(市)骨干网为一个独立自治域.
IGP路由实施市到区县(市)的骨干网核心的设备统一规划到OSPF的AREA0中.
BGP路由实施在自治域内,所有PE路由器需运行MP-BGP协议,以承载VPNv4路由,所有PE之间建立iBGP关系,采用RR技术减少iBGP的连接数量.
在自治域边界ASBR设备上,建立eBGP连接.

分级自治域模式下路由实施该模式下,市级政务外网为一个独立自治域,区县(市)政务外网为一个独立自治域.

在各自域内根据规模自行划分IGP路由区域.
如在市级自治域中,市级到各区县(市)的广域网核心的设备统一规划到OSPF的AREA0中,区县(市)的自治域中单独规划到AREA1内.
用户路由在各个自治域内发布,在自治域边界进行跨域互联.
MPLSVPN总体要求市电子政务外网采用MPLS作为统一的多业务平台承载技术,提供三层MPLSVPN的开通服务.
VPN执行全省统一规划,相关VPN规划参数由省级统一管理,需要时可通过市级申请.

地市和区县(市)政务外网使用同域或者跨域对接.
跨域对接可以采用OPTIONA和OPTIONB两种方式.
采用OPTIONA方式时,上下级PE设备互相视同对端设备为CE设备,可以采用基于802.
1Q的不同Vlan子接口方式,实现一条物理链路承载多个VPN业务.
子接口链路地址由上级自治域分配,建议使用VPN业务地址.
OPTIONA方式无须统一RD/RT规划.
采用OPTIONB方式时,上下级PE设备之间只有一个MP-EBGP的连接,下级自治域的RD和RT值需要遵从上级自治域的规划.
对于下级自治域已经建好的VPN和上级自治域对接时,需要在下级ASBR上进行RT属性的替换.
根据显式样声明VRF方式只允许交换对接VPN的路由,并在VRF式样声明每个VRF允许接受的路由(禁止配置nobgpdefaultroute-targetfilter否则将接受所有VPN路由).
RD/RT规则RD规则推荐使用16位AS号+32位用户自定义格式的RD,即AS:nn.
对于需要全国互联的VPN,RD由国家电子政务外网管理中心统一下发,AS号使用中央政务外网公有AS号(37937).
对于需要跨市通信的本省内VPN,AS号使用黑龙江省的AS号.
对于需要全省互联的VPN,用户自定义的32位数由省政务外网建设单位进行分配.

RT规则建议RT与RD保持一致.
对于已经建设好VPN的区县(市),在进行B类跨域互连时,需要进行RT属性的替换.

VRF名称规则VPN名称建议使用:VPN+编号或者类型方式.
VPN类型定义如下:纵网:VPN-1、VPN-3……;对应N个横网:VPN-P;小范围使用的:VPN-teshu.
"teshu"自行定义与前不重复即可.
QoS总体原则政务外网承载了各级政务部门的不同类型业务,在流量较大时可能产生网络拥塞,为保障重要业务的服务质量,必须具备提供QoS保障的服务能力,QoS总体原则如下:采用DiffServ作为网络突发拥塞时QoS保证的主要方式,确保高等级业务优先转发.
纵向骨干网采用适度轻载方式保障网络服务质量,链路带宽能够保证各部门的重要业务不存在带宽抢占.

在各级层级网的接入、汇聚层配置接入业务的识别、标记和调度策略,在接入链路发生拥塞时优先保障重要业务.

业务调度采用PQ队列方式,重要业务进PQ队列调度,普通业务进默认队列尽力转发.

分类标记政务外网使用8个QoS标记,其中,6和7保留暂不使用,5为中央和地方全网统一信任的优先级标记,0~4为地方本地信任的优先级标记.
具体分类见下表:表12.
1QoS分类标记表等级优先级用途优先级标记(IPPre/Exp)保留111保留110中央与地方统一标记101地方信任标记100地方信任标记011地方信任标记010地方信任标记001地方信任标记000对于需要执行全网统一调度策略的重要业务,IP优先级应设置为101.
对于仅需要在地方外网本地执行调度策略的重要业务,IP优先级应设置为000~100,各地可根据实际网络状况和业务需求,进一步细化本地优先级标记的不同用途,以达到更好的服务质量保证效果.

与国家政务外网对接哈尔滨市政务外网执行黑龙江省政务外网统一技术和规划,哈市与省级平台连接后,纵网和横网与国家政务外网的对接均在省级平台,主要参照省政府.

市电子政务外网的安全体系本指南侧重在市电子政务外网网络技术部分,有关网络安全仅在边界处有防火墙的要求,未涉及安全方面的详细设计,有关安全方面的市电子政务外网的安全体系,应执行信息安全等级保护规定.
对于政务外网、互联网等应用建设,应依据国家安全标准要求进行设计和实施.

瓜云互联:全场9折优惠,香港CN2、洛杉矶GIA高防vps套餐,充值最高返300元

瓜云互联怎么样?瓜云互联之前商家使用的面板为WHMCS,目前商家已经正式更换到了魔方云的面板,瓜云互联商家主要提供中国香港和美国洛杉矶机房的套餐,香港采用CN2线路直连大陆,洛杉矶为高防vps套餐,三网回程CN2 GIA,提供超高的DDOS防御,瓜云互联商家承诺打死退款,目前商家提供了一个全场9折和充值的促销,有需要的朋友可以看看。点击进入:瓜云互联官方网站瓜云互联促销优惠:9折优惠码:联系在线客...

gcorelabs:美国GPU服务器,8张RTX2080Ti,2*Silver-4214/256G内存/1T SSD/

gcorelabs提供美国阿什本数据中心的GPU服务器(显卡服务器),默认给8路RTX2080Ti,服务器网卡支持2*10Gbps(ANX),CPU为双路Silver-4214(24核48线程),256G内存,1Gbps独享带宽仅需150欧元、10bps带宽仅需600欧元,不限流量随便跑吧。 官方网站 :https://gcorelabs.com/hosting/dedicated/gpu/ ...

RAKsmart美国VPS上市,活动期间5折抢购仅$30,$1.99/月

RAKsmart机房将于7月1日~7月31日推出“年中大促”活动,多重惊喜供您选择;爆款I3-2120仅30美金秒杀、V4新品上市,活动期间5折抢购、爆款产品持续热卖、洛杉矶+硅谷+香港+日本站群恢复销售、G口不限流量产品超低价热卖。美国VPS、日本VPS及香港VPS享全场7折优惠;爆款VPS $ 1.99/月限量秒杀,10台/天,售完即止, VPS 7折优惠码:VPS-TP-disRAKsmar...

二层交换机为你推荐
阿里云系统阿里云系统怎么样好用吗?易pc华硕易PC这款本本值不值的买勒?bbsxpdvbbs bbsxp LeadBBS 对比51自学网站网上自学网站有哪些?最好是免费的,我想学习网页设计天天酷跑刷积分教程最近一直有人说天天酷跑刷积分,怎么刷的。伪静态如何设置伪静态规则手机区号打电话怎么加区号?苹果5怎么越狱苹果5怎么越狱网易公开课怎么下载哪位高手指导一下,如何下载网易公开课啊?网易公开课怎么下载怎么下载网易公开课里的视频 .......
商家促销 发包服务器 国外网站代理服务器 网通ip 美国十次啦服务器 域名转向 web服务器的架设 美国网站服务器 最漂亮的qq空间 中国电信网络测速 阿里云免费邮箱 smtp服务器地址 免费asp空间申请 永久免费空间 lamp的音标 电信宽带测速软件 腾讯网盘 攻击服务器 winserver2008 标准机柜 更多