DB14-T 3196-2024 电子政务外网市县网络架构规范

ICS35.240.01CCSL6714IDB14/T3196—2024前言 2规范性引用文件 3术语和定义 4缩略语 25总体要求 26网络层次 27广域网网络 3概述 3统一模式 3分级模式 48市级城域网网络 5网络架构 5业务区域 59县级城域网网络 7网络架构 7业务区域 8 8统一模式 8分级模式 911通信线路及带宽 9广域网 9市级城域网 9县级城域网 9参考文献 DB14/T3196—2024本文件按照GB/T1.1—2020《标准化工作导则第1部分：标准化文件的结构和起草规则》的规定起草。本文件由山西省政务信息管理局提出、组织实施和监督检查。山西省市场监督管理局对标准的组织实施情况进行监督检查。本文件由山西省电子政务信息标准化技术委员会（SXS/TC17）归口。本文件起草单位：山西省数字政府服务中心、武汉大学计算机学院、晋城市数据局、晋城市数字政府服务中心。本文件主要起草人：张胜、贾磊、张健、杨俊芳、卢宏荣、任露旭、王薇、王杰斌、秦淑娅、姚峥、谭克。1DB14/T3196—2024电子政务外网市县网络架构规范本文件规定了电子政务外网市县网络架构的总体要求、网络层次、广域网网络、市级城域网网络、县级城域网网络、网络对接、通信线路及带宽。本文件适用于市县电子政务外网的网络架构规划和设计。2规范性引用文件下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中，注日期的引用文件，仅该日期对应的版本适用于本文件；不注日期的引用文件，其最新版本（包括所有的修改单）适用于本文件。GB/T22239信息安全技术网络安全等级保护基本要求3术语和定义下列术语和定义适用于本文件。3.1电子政务外网承载各级政务部门用于经济调节、市场监管、社会管理和公共服务等非涉及国家秘密的业务应用系统的政务公用网络。国家电子政务外网纵向覆盖中央、省、地（市）、县（区），横向连接各级党委、人大、政府、政协、法院和检察院等政务部门。3.2广域网用于纵向覆盖中央、省、地（市）、县各层级行政区域，由各级行政区域内广域骨干节点设备和之间长途线路组成。3.3城域网用于实现本级行政区域内的政务部门的横向连接，包括中央、省、地市、县四级城域网，各级城域网通过统一的互联网出口与国际互联网连接。各级城域网通过纵向广域网实现互联。3.4移动政务专网利用运营商4G、5G等移动通信基础设施，在公共网络中通过网络切片、专用DNN等技术构建，能独享网络资源的移动政务专网，是电子政务外网城域网的组成部分。3.5部门政务外网各级政务部门工作人员的重要办公网络，由各级政务部门自行建设和维护，网络覆盖范围和功能区规划由各单位根据业务需要确定。2DB14/T3196—20244缩略语下列缩略语适用于本文件。VPN：虚拟专用网络（VirtualPrivateNetwork）UPF：用户面功能（UserPlaneFunction）DNN：数据网络名称（DataNetworkName）MSTP：多业务传送平台（Multi-ServicesTransferPlatform）IPv4：互联网协议第4版（InternetProtocolVersion4）IPv6：互联网协议第6版（InternetProtocolVersion6）OTN：光传送网（OpticalTransportNetwork）5总体要求5.1电子政务外网应采用集约化网络架构，具备可扩展性、开放性和兼容性。5.2电子政务外网应具备高可用性、高安全性、高可管理性，并具备向IPv6单栈的演进能力。5.3省级和市级电子政务外网应符合GB/T22239中网络安全等级保护第三级相关要求，县级电子政务外网应符合GB/T22239中网络安全等级保护第二级安全要求。6网络层次6.1电子政务外网由省级、地（市）、县（区）三级网络平台组成。6.2在网络物理结构上，分为广域网和城域网，广域网用于纵向覆盖各级行政区划，城域网用于横向连接本级政务部门。电子政务外网网络层次结构见图1。3DB14/T3196—2024图1电子政务外网网络层次结构7广域网网络7.1概述广域网有两种模式，省级统建统管的统一模式和省、市分建分管的市县一体化分级模式。7.2统一模式该模式下，省-市-县广域网由省广域核心设备、市广域核心设备、县广域核心设备及两级长途线路组成，各级广域网核心设备应采用冗余设备组网，可部署在不同的机房。统一模式下广域网基本结构见图2。4DB14/T3196—2024图2统一模式下广域网基本结构7.3分级模式市县一体化分级模式下，广域网由省广域网-市县广域网分建网络组成，基本结构见图3。具体要求包括：a)广域网由省广域核心设备、市广域核心设备、市广域网接入设备、市县广域设备和长途线路组成；b)省级部署省广域核心设备和市广域核心设备，市级部署市广域网接入设备并建设市县广域网链路，县级部署县广域网核心和县城域核心设备；c)各级广域网核心设备应采用冗余设备组网，可部署在不同的机房。图3市县一体化分级模式下广域网基本结构5DB14/T3196—20248市级城域网网络8.1网络架构市级城域网网络可采用核心层、汇聚层、接入层三层结构组成，网络架构见图4，具体要求包括：a)市级城域网核心路由设备和汇聚路由设备可采用冗余设备组网；b)市级城域网核心路由设备横向与广域网市核心路由设备连接，构成“口”字形组网；c)市级城域网核心路由设备向下与汇聚路由设备连接，汇聚路由设备向下与部门外网接入区或企业接入网连接。图4市级城域网网络架构图8.2业务区域市级城域网可建设如下业务区域，包括政务云接入区、互联网出口区、运维管理区、移动政务专网接入区、市级部门外网接入区及企业接入区。8.2.1政务云接入区具体要求包括：a)市级政务云接入区用于连接本级政务云数据中心；b)政务云数据中心可通过专线接入；c)采用双设备双链路方式连接至政务云接入区汇聚设备。8.2.2互联网出口区具体要求包括：6DB14/T3196—2024a)互联网出口区为本级用户提供互联网服务，或同时为本级及县级用户提供互联网服务；b)安全接入平台部署在互联网出口，安全接入平台为本级用户提供远程接入服务，或同时为本级及县级用户提供远程接入服务；c)互联网出口区与城域网核心设备采用“口”字型相连，出口可采用负载均衡连接两条及以上运营商互联网链路。8.2.3运维管理区具体要求包括：a)运维管理区是集中建设的独立运维管理区域；b)运维管理区与城域网核心设备采用“口”字型相连，实现网络管理、运维系统和安全管理等平台的连接；c)运维管理区可包括智能网络管理软件、运维管理系统、支撑系统、安全管理平台、统一身份认证平台以及抵御各类安全风险的设备；d)运维管理区流量应与其他网络流量进行逻辑隔离，以保障运维管理的安全性和可控性。隔离措施应确保运维管理流量不会与其他业务流量混合，防止潜在的安全威胁和性能干扰。同时，条件允许的情况下，可采用带外管理方式，将运维管理流量与数据流量物理分离，进一步提升安全性和可靠性；e)部署智能网络管理软件，用于网络服务质量分析、IPv6流量分析、容量预测和路由分析，提供网络配置布放和路径优化等自动布放服务；f)部署运维管理系统，对各网络和安全设备进行统一运维管理，对运维管理行为进行审计；g)部署支撑系统，提供地址分配、地址管理、域名解析、IPv6发展监测平台等IP网络支撑服务。其中IPv6发展监测平台专注于对IPv6在各级电子政务网络中的部署情况进行实时监控和分析，它既可以独立部署，也可以对接到上级电子政务网络的统一管理平台由上级平台授权使用；h)部署安全管理平台，通过流量采集、日志采集、获取威胁情报等方式，实时监测电子政务外网安全运行状态，对网络安全风险进行预警；i)部署电子政务外网统一身份认证平台，可新建或利旧电子政务外网的电子认证系统，实现身份认证和身份信息管理；j)部署抵御各类安全风险设备，包括不限于态势感知，防止恶意攻击，及时发现检测攻击行为并处置，发现重要的安全漏洞并进行修复，自身遭到损害时能够迅速恢复核心能力。8.2.4移动政务专网接入区具体要求包括：a)移动政务专网接入区提供电子政务外网4G、5G等移动接入服务；b)支持为接入终端设备分配IPv4和IPv6地址；c)终端用户可通过移动客户终端设备接入电子政务外网场景，应支持移动客户终端与政务外网设备部署SRv6隧道穿越运营商网络；d)移动政务专区部署接入路由和边界防火墙，防火墙设备与城域网核心设备采用“口”字型相连，接入路由设备应通过运营商政务专用UPF对接，应使用独立的物理端口，可采用双设备双链路方式连接至政务云接入区。8.2.5市级部门政务外网接入区及企业接入区具体要求包括：7DB14/T3196—2024a)市级部门外网接入区的外网接入设备上联汇聚路由设备，下联市级部门外网接入网；b)市级部门二级单位原则上通过部门政务外网接入区接入。c)推荐部门和企业部署独立的汇聚路由器，部门接入到部门汇聚路由器，企业自行配备接入路由后接入汇聚路由器。d)根据各市级接入部门业务类型和重要程度，部门外网接入区路由设备可单路路由或冗余配置，线路可采用单线路或双线路。9县级城域网网络9.1网络架构县级城域网络架构可采用核心层、汇聚层、接入层的三层结构，也可采用核心层和接入层的两层结构。县级城域网网络架见图5，具体要求包括：a)县级城域网核心路由设备可采用冗余组网；b)县级城域网核心路由设备纵向与广域县核心路由设备连接，构成“口”字形组网；c)县级城域网核心路由设备横向与汇聚路由或接入路由设备连接，构成“口”字形组网。图5县级城域网网络架图8DB14/T3196—20249.2业务区域县级城域网可建设如下业务区域，包括互联网出口区、运维管理区、移动政务专网接入区、县级部门接入区及乡镇街道、村/社区部门政务外网接入区。9.2.1互联网出口区具体要求包括：a)互联网出口区为本级用户提供互联网服务；b)安全接入平台部署在互联网出口区，安全接入平台为本级用户提供远程接入服务；c)互联网出口区接入设备与城域网核心设备采用“口”字型相连，出口可采用负载均衡连接两条及以上运营商互联网链路；d)县级互联网出口区推荐由县本级负责建设、独立接入使用，根据各地市实际情况也可由市级城域网统筹建设，为县级用户提供互联网服务。9.2.2运维管理区具体要求包括：a)运维管理区是集中建设的独立运维管理区域；b)运维管理区与城域网核心设备采用“口”字型相连；c)运维管理区可部署智能网络管理软件、支撑系统、安全管理平台、统一身份认证平台以及抵御各类安全风险的设备；d)根据实际情况，可独立部署或对接市级平台相关网络管理支撑服务系统授权使用。9.2.3移动政务专网接入区具体要求包括：a)移动政务专网接入区提供电子政务外网4G、5G等移动接入服务；b)县级移动政务专网接入区推荐由县本级负责建设、独立接入使用；c)根据各地市实际情况，也可由市级城域网统建，为县级用户提供4G、5G移动接入服务。9.2.4县级部门接入区及乡镇街道、村/社区部门政务外网接入区具体要求包括：a)根据县级接入部门业务类型和重要程度，部门政务外网接入区可采用单线路或双线路直接接入城域网核心路由器；b)乡镇、村社网络推荐采用专线方式接入，同时村社网络接入方案应支持VPN、5G、EVPN等多种方式接入方式，并根据接入方式和安全需求实施分级安全接入策略，最终实现统一安全管理，保障网络安全可靠；c)采用专线接入的乡镇、村社，可根据接入单位规模数量和当地实际情况，直接接入县级城域网核心路由器或接入汇聚路由器后再接入县级城域网核心路由器。10网络对接10.1统一模式广域网与市级城域网在不同的自治域，域间对接采用OptionA方式。广域网与县级城域网在不同的自治域，域间对接采用OptionA方式。9DB14/T3196—202410.2分级模式市广域网设备与市自建的广域网接入设备对接，县级城域网核心设备可兼做县广域网核心设备。广域网与市县一体化城域网在不同的自治域，广域网和市县级城域网域间对接采用OptionA方式。11通信线路及带宽11.1广域网具体要求包括：a)省级广域网核心路由器应采用两条及以上的不同运营商的物理线路下联各市广域网路由器，省到市广域网主线路总带宽应不低于10Gbps，带宽使用率不高于60%，备用线路带宽不低于b)市级广域网核心路由器应采用两条及以上的不同运营商的物理线路下联各县广域网路由器，市到县（市、区）广域网线路总带宽应不低于1Gbps，带宽使用率不高于60%，备用线路带宽不低于0.5Gbps；c)省级及市级广域网通信线路应能为政务外网IPv4、IPv6业务提供专用的二层点对点形式线路，线路类型可选择OTN、MSTP、裸光纤等。11.2市级城域网具体要求包括：a)市级城域网核心路由设备与市级广