ICS 35.240.20 CCS L 67 黑 DB23 龙 江 省 地 方 标 准 DB23/T 2831-2021 电子政务外网网络技术规范 2021- 04 - 13 发布 黑龙 江省 市场 监督管 理局 2021 - 05 - 12 实施 发布 DB23/T 2831-2021 前 言 本文件按照GB/T 1.1-2020给出的规则起草。 本文件由黑龙江省营商环境建设监督局提出并归口。 本文件起草单位：黑龙江省营商环境建设监督局、黑龙江省政务大数据中心、黑龙江省标准化研究 院、哈尔滨工业大学软件工程股份有限公司。 本文件主要起草人：史春光、杨建敏、胡茹、王锋、王军、张海龙、藏爱英、林妍初、马旭春、姜 永刚、陈要武、杨大志、吕猛、王磊、李严、王艳君。 I DB23/T 2831-2021 电子政务外网网络技术规范 1 范围 本文件规定了黑龙江省电子政务外网网络技术要求，描述了IP地址、自治域及路由、虚拟专用网络、 服务质量和运营商节点机房等。。 本文件适用于指导黑龙江省电子政务外网网络建设。 2 规范性引用文件 下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中，注日期的引用文件， 仅该日期对应的版本适用于本文件；不注日期的引用文件，其最新版本（包括所有的修改单）适用于本 文件。 GB/T 21061-2007 国家电子政务网络技术和运行管理规范 GB/T 25647-2010 电子政务术语 GB/T 32910.3-2016 数据中心 资源利用 第3部分：电能能效要求和测量方法 GB/T 50174-2017 数据中心设计规范 GW 0103-2014 国家电子政务外网安全等级保护基本要求 GW 0202-2014 国家电子政务外网安全接入平台技术规范 GW 0206-2014 接入政务外网的局域网安全技术规范 GW 0206-2015 国家电子政务外网IPv4地址规划 GW 0207-2015 国家电子政务外网IPv4地址地方分配部署指南 3 术语和定义 GB/T 25647-2010、GB/T 21061-2007、GW 0202-2014 和 GW 0206-2015 界定的术语和定义适用于 本文件。 4 总体架构 4.1 网络架构 黑龙江省电子政务外网按照省、市、县三级政务网络全覆盖模式建设，网络总体架构如图 1 所示， 具体内容如下： a) 省级网络：省级广域网核心节点横向连接至省级城域网核心节点和省级政务云平台，纵向上联 至中央广域网接入节点，下联至市广域网核心节点； b) 市级网络：市级广域网核心节点横向连接至市级城域网核心节点，纵向上联至省级广域网核心 节点，下联至县级广域网核心节点； c) 县级网络：县级广域网核心节点横向连接至县级城域网核心节点，纵向上联至市级广域网核心 节点，乡镇（街道）、村（社区）等单位接入至县级城域网。 1 DB23/T 2831-2021 图1 4.2 黑龙江省电子政务外网总体架构图 业务区划分 根据接入单位业务承载需要，黑龙江省电子政务外网逻辑上划分为“2+N”个业务网络，其中， “2” 是指公用网络区和互联网接入区， “N”是指接入单位根据业务需求开设的多个虚拟业务专网。黑龙江省 电子政务外网业务承载模型示意图如图 2 所示，具体内容如下： a) 公用网络区：是实现各级接入单位之间互联互通的逻辑业务网络，公用网络区承载跨地区、跨 2 DB23/T 2831-2021 b) c) 单位的业务，提供认证、目录交换和公共应用等共性支撑服务； 互联网接入区：是实现政务外网连接互联网的逻辑业务网络或网络区域，互联网接入区承载接 入单位面向企业和公众服务的业务，同时提供接入单位工作人员访问互联网资源的网络通道； 互联网接入区应部署安全接入平台，通过安全接入平台访问公用网络区或专用网络区的资源； 省、市、县三级设置互联网接入区，所使用的公网注册地址从本级互联网服务提供商处申请获 取，并由地方政务外网管理机构自行分配管理；政务外网广域网原则上不承载互联网接入区的 流量； 专用网络区：是“N”个虚拟接入单位业务专网的集合，主要承载接入单位特定需求的业务。 图2 4.3 黑龙江省电子政务外网业务承载模型示意图 广域网 4.3.1 拓扑结构 广域网整体拓扑结构如图 3 所示，具体内容如下： a) 广域网采用统一模式建设，分成省—市广域网和市—县广域网，县级以下不划分广域网层级； b) 广域网主要承载电子政务的数据、音视频和图像等相关业务，跨单位、跨市（地）和跨县（区） 的业务协同及信息共享系统，能够直接在政务外网的广域网上传输业务信息； c) 省级广域网原则上不承载和传输直接访问互联网的业务，接入政务外网的接入单位访问互联网 时，应由本级城域网负责； d) 广域核心节点采用双设备冗余结构，广域网线路采用双链路冗余； e) 省级政务云平台接入省级广域网核心层节点。 3 DB23/T 2831-2021 图3 4.3.2 黑龙江省电子政务外网广域网组网拓扑示意图 设备要求 广域网核心节点设备应符合表 1 要求： 表1 序号 广域网核心节点路由设备技术要求 属性 技术要求 电信级设计架构，支持虚拟化、SDN 等技术，支持网络分片技术，支持网络分片在线 1 设备架构 扩容，支持可扩展，支持 RIP/OSPF/IS-IS/BGP4/多播路由等路由协议，支持明/密文 认证 省级不少于 20 路万兆接口转发能力，市级不少于 10 路千兆和 10 路万兆接口转发能 2 设备性能 力，县级不少于 10 路千兆接口转发能力；省市级不低于 110Tbps 交换容量，县级不 低于 75Tbps 交换容量，支持 10GE、40GE、100GE 接口 3 设备可靠性 4 硬件支持部件冗余，设备系统软件支持虚拟化集群、软件热补丁，支持 IP、LDP 快速 收敛协议等 虚拟专用网络（VPN） L2VPN/L3VPN/组播/组播 VPN/MPLS TE/SRv6/QoS 5 服务质量保证 6 配置管理 4.4 支持 QoS 技术，支持多层嵌套的 QoS 机制 支持流量统计分析 城域网 4.4.1 省级城域网 省级城域网分为核心层、汇聚层和接入层。省级城域网拓扑结构如图 4 所示：其中： a) 核心层设备做高速的数据转发，要求采用冗余核心设备组网，核心层速率为 40/100G，满足城 域网核心高速数据交换的要求； b) 汇聚层设备用于接入单位的汇接，汇聚层到核心层采用双冗余线路连接，分担接入单位业务流 量对核心设备的压力； c) 接入层设备部署于接入单位机房，用于单位局域网的接入，采取就近接入的原则，上联至汇聚 4 DB23/T 2831-2021 d) 层，设备端口使用以太网端口，宜采用双设备双链路方式提高可靠性； 统一互联网出口平台连接本地 ISP，为本级接入单位提供互联网出口服务。 图4 4.4.2 黑龙江省电子政务外网省级城域网拓扑图 市级城域网 市级城域网应根据建设规模，采用“核心—接入”二层架构或“核心—汇聚—接入”三层架构。核 心层节点应采用双核心结构，双链路下联汇聚层节点，互联各个接入单位。政务云平台接入城域网核心 节点。市级城域网部署统一互联网出口，统一互联网出口平台连接本地 ISP，为本级接入单位提供互联 网服务，市级城域网拓扑结构如图 5 所示： 图5 4.4.3 黑龙江省电子政务外网市级城域网拓扑图 县级城域网 5 DB23/T 2831-2021 对于县级城域网节点，核心层节点应采用双核心结构，对于合驻办公和大规模接入单位园区采用双 链路接入，对于小型接入单位园区采用单链路接入。考虑到县级直属单位接入点少，结构简单，应采用 “核心—接入”二层架构。乡镇（街道）、村（社区）接入作为县级城域网的一部分，考虑到乡镇（街 道）、村（社区）接入数量较大，宜采用“核心-汇聚-接入”三层架构。县级城域网部署统一互联网出 口，统一互联网出口平台连接本地 ISP，为本级接入单位提供互联网服务, 县级城域网拓扑结构如图 6 所示： 图6 4.4.4 黑龙江省电子政务外网县级城域网拓扑图 城域网技术要求 城域网技术要求具体如下： a) 省、市、县三级政务外网城域网具备多业务统一承载能力，城域网中公用网络区、互联网接入 区和专用网络区逻辑隔离； b) 省级城域网与黑龙江省广域网规划在同一个自治域内，省级政务外网管理部门负责在广域网内 规划部署省、市、县纵向三层虚拟专用网络。 4.4.5 城域网设备要求 城域网核心节点设备应符合表 2 要求： 表2 6 城域网核心节点路由设备技术要求 DB23/T 2831-2021 序号 属性 1 设备架构 技术要求 电信级设计架构，支持虚拟化、SDN 等技术，支持网络分片技术，支持网络分片在线扩 容，支持可扩展，支持 RIP/OSPF/IS-IS/BGP4/多播路由等路由协议，支持明/密文认证 省级支持不少于 330 路千兆接口转发能力，市级不少于 200 路千兆接口转发能力，县级 2 设备性能 不少于 100 路千兆接口转发能力；省市级不低于 110Tbps 交换容量，县级不低于 75Tbps 交换容量，支持 10GE、40GE、100GE 接口 3 设备可靠性 4 硬件支持部件冗余，设备系统软件支持虚拟化集群、软件热补丁，支持 IP、LDP 快速收 敛协议等 虚拟专用网络（VPN） L2VPN/L3VPN/组播/组播 VPN/MPLS TE/SRv6/QoS 5 服务质量保证 6 配置管理 4.5 支持 QoS 技术，支持多层嵌套的 QoS 机制 支持流量统计分析 单位接入网 具体要求如下： a) 接入单位参照 GW 0206-2014 接入政务外网的局域网安全技术规范的要求做好本单位接入网 的安全防护工作； b) 省、市、县各级城域网接入层设备与接入单位的接入设备共同组成接入单位区域边界，各级城 域网接入层设备统一安装至各接入单位，各接入单位应配备接入路由器、防火墙等网络及安全 设备与本级城域网接入层设备完成对接。 4.6 统一互联网出口平台 统一互联网出口平台应符合以下要求： a) 遵循 GW 0103-2014 国家电子政务外网安全等级保护基本要求，归并互联网出口，逐步实现互 联网集中接入和安全管理； b) 依托政务外网城域网，建设省、市、县三级统一互联网出口平台。有条件的市（地）可建设市 县一体化互联网出口平台，县（区）以下各级单位统一接入县级互联网出口平台或市县一体化 互联网出口平台； c) 各级统一互联网出