国家电子政务外网(一期工程)项目新疆节点实施方案
附件:省政务外网接入分类及技术建议
1.1 省网接入国家政务外网广域骨干网
国家政务外网广域骨干网的实施过程中,需要广域骨干网省节点Rd路由器与省政务外网连接,并完成省政务外网接入国家政务外网网络的工作。根据调研情况,目前网络接入情况可分为三大类:
第一类接入情况:省政务外网满足接入国家政务外网条件
条件包含物理设备和线路接入及路由协议互通两方面的接入。在下发Rd设备能够安装、调试的情况下,省政务外网线路接入可以满足与Rd路由器100M以太网电口、或者1000M以太网电口及1000M单模光纤3种接口(除北京、江西、新疆)的连接;路由协议互通接入方面,省政务外网能采用BGP协议与Rd路由器互联的为完全满足接入条件,不能采用BGP协议,但可以采用静态路由协议的为基本满足接入条件。省政务外网按以上两种方式满足接入国家政务外网条件后,对MPLS/VPN建设不会产生影响。
1) 完全满足国家政务外网接入条件拓扑结构图:
R10 R9 155/8M 2M Rd 设备 国家政务外网 100M/1000M电口 EBGP协议 或1000M单模光纤 省政务外网 省外网上联设备 省政务外网
26
国家电子政务外网(一期工程)项目新疆节点实施方案
2) 基本满足国家政务外网接入条件拓扑结构图:
R10 R9 155/8M 2M Rd 设备 国家政务外网 100M/1000M电口 静态协议 或1000M单模光纤 省政务外网 省外网上联设备 省政务外网
27
国家电子政务外网(一期工程)项目新疆节点实施方案
第二类接入情况:已有省政务外网但目前接入国家政务外网有难度
省里已建有省政务外网,但由于国家政务外网落地单位与省政务外网不属于同一个单位,且由于双方之间的沟通、协调等目前存在一定的难度,导致省政务外网接入国家政务外网有一定困难,因此无法实现省政务外网接入国家政务外网。在协调解决双方沟通、协调的问题后,可以列为上述第一类的接入情况。
第三类接入情况:省政务外网没有进行建设
新建设省政务外网的过程中同时要考虑接入国家政务外网的需求,需要注意的要点如下:
? 省网IP设计可以参考《国家电子政务外网IP地址及域名管理规范》分配的公
有地址的使用;DNS域名规划设计可以参考《国家电子政务外网IP地址及域名管理规范》。
? 省网建设采用建议采用可实现VPN或其它隔离技术的设备,进行业务网络隔
离。VPN技术其它隔离技术主要有:MPLS/VPN技术、IP Sec VPN技术、ATM PVC隔离技术、XJH隔离技术等。建议采用MPLS/VPN技术。 ? DNS域名系统构建的技术方式可以参考下一小节省网DNS实施部署。
1.2 省网DNS实施部署
国家政务外网设计使用 CEGN 域名,定义为国家外网一级域名;各省政务外网设计使用 *.XXX.CEGN 域名,定义为国家外网二级域名;以下图示均为示例(包含其它域名),为了更清晰的表示该区域。省政务外网DNS实施部署共分为3类情况:
第一类接入情况:在省政务外网已有的DNS服务器上建立国家外网二级域名服务 省外网已有DNS服务器按不同使用情况也分为两种,一种是与互联网有连接,同时提供解析;另一种是与互联网无连接,只用作内部网解析。
1) 与互联网有连接,部署示意图如下:
28
国家电子政务外网(一期工程)项目新疆节点实施方案
部署方法:
1. 在省政务外网已有的DNS服务器上建立国家外网二级域名域名服务
2. DNS服务器上按区域增加1条forward到为cegn (国家信息中心)DNS服务器 说明: 终端的配置不变,仅cegn域的DNS解析通过国家信息中心DNS服务器,其它网络解析维持原有配置。
注意:支持按区域forward功能的DNS服务软件包含:Bind 9.1.0以上版本及Windows 2003 Server自带DNS组件,如果不支持该功能需要进行软件升级或者采用“第二类接入情况构建国家外网二级域名服务”。
2) 与互联网无连接,部署示意图如下:
29
国家电子政务外网(一期工程)项目新疆节点实施方案
部署方法:
1. 在省政务外网已有的DNS服务器上建立国家外网二级域名服务
2. DNS服务器上按区域(或不按区域)增加1条forward到为cegn (国家信息中心)DNS服务器
说明: 终端的配置不变,仅 cegn域(或全部)的DNS解析通过国家信息中心DNS服务器,其它网络解析维持原有配置。
注意: 目前的DNS服务软件基本上都支持forward功能,如果DNS服务软件也支持按区域forward功能,建议在该DNS服务软件上做按区域forward的功能,便于今后省政务外网DNS服务的扩展。
第二类接入情况:在省政务外网新的DNS服务器上建立国家外网二级域名域名服务 在省政务外网新的DNS服务器上建立国家外网二级域名域名服务示意图:
30