上海市政务外网建设谈(一):网络对接模式的实践
政务外网是中办发[2002]17号文明确规定要建设的政务网络平台。上海市政务外网对应于国家政务外网,与上海市公务网物理隔离、与互联网逻辑隔离,属非涉密网性质;是政府的业务专网,主要运行政务部门面向社会的专业性">服务业务和不需在内网上运行的业务。上海市政务外网是通过将各区县政务外网和市级委办局及其直属单位的业务网接入至以统一的物理传输网络为基础的骨干网络平台而形成的。根据上海市政务外网建设总体要求,本市政务外网以公众服务为导向、政务应用为重点,为政府各部门网上协同办事提供后台网络支撑和构建各自的业务专网提供公共网络服务。
一、上海市政务外网建设初期状况
上海市政务外网在建设初期存在着诸多困难和问题,主要是由电子政务建设的现状造成的。突出表现为:各个政务部门已经形成了以内部局域网为后台支撑、办公自动化为应用基础、信息资源库为决策辅助的政府社会管理和公共服务业务体系;政务部门之间的网络建设各自为政,没有统一的规划和技术标准,网络之间互不相连,形成一个个信息孤岛,网上协同办公实施困难。
在规划各政务部门接入市政务外网骨干网时,由于各市级委办局、区县内的政务外网已经构建并运行,原先已完成建设的区县政务外网内各条线单位的网络接入情况比较复杂,有的是借助有线网络完成接入,另有的则是通过电信网络完成接入,各自在接入模式以及IP地址规划上存在很多的不确定性,主要包括以下几种情况:
1、部分区县政务网已经建设完成并投入应用,网络建设方式多样化,网络结构相互不统一,区县内IP地址规划各异甚至相互重复,部分区县单位的上联链路接口IP地址都使用了与市政务外网规划IP地址重复的10.x.x.x/8的IP地址段。例如上海市某区,区内各条线单位上联接口地址原来使用了10.8.x.x/16和10.9.x.x/16的地址。
2、绝大多数市级委办局局域网已经建成,部分委办局网络已经上联国家部委办、下联区县、街道相应条线单位,开展了各种办公业务应用;有些委办局单位原先已经通过网络服务商的MPLS/VPN网络完成了网络接入,而其上联链路接口IP地址也使用了10.x.x.x/8的IP地址段。
3、部分已经接入各区县政务外网的条线应用单位的实际IP地址使用情况比较混乱,缺乏统一的规划和管理,甚至相互重复和冲突。
二、上海市政务外网网络对接的几种模式
上海市政务外网的物理网络平台由专业的网络运营商承建,是在其原有的城域网资源基础上,利用MPLS-VPN(多协议标签交换虚拟专网)技术构建的与互联网逻辑隔离的政务专用网络平台,即上海市政务外网骨干网。
上海市政务外网结构示意图
根据上海市电子政务建设现状,需要对整个上海市政务外网进行地址统一规划,保证全网地址的唯一性,同时出于充分利用其现有网络资源,避免重复建设,以及保持各区县政务外网稳定运行的考虑,需要保留原有各市级委办局、区县政务外网内部接入结构不变,整体接入市政务外网骨干网,实现在统一物理网络平台基础上的互联互通。
针对区县、市级委办局的实际网络情况,按照上海市政务外网建设的统一标准及规范,在实现上海市政务外网骨干网与区县及市级委办局政务网对接时,主要使用以下三种对接模式:
1、路由模式
针对部分新建网络或将进行网络调整的区县及市级委办局单位采用路由模式进行对接。在这种对接模式中,整个对接网络采用市政务外网统一规划IP地址作为业务地址,通过三层网络设备将规划地址路由出去,防火墙在对接中仅起到市区两级政务外网的安全隔离和对区县或委办局政务网络的安全防护作用。
路由模式的网络拓扑图如下:
采用路由模式对接,各单位内部网络需按照政务外网统一地址规划要求配置IP地址,这种情况下没有地址冲突,符合统一分配原则,并可实现快速故障定位、事件追查等,但需要在其网络出入口做好必要的安全防护措施和路由策略。