电子政务外网是国家明确规定要建设的政务网络平台，主要用于运行政务部门内部的办公业务和政务部门面向社会的服务型业务，为政务部门的业务系统提供网络、信息、安全等支撑业务，为社会公众提供政务信息服务。电子政务外网是根据政府的行政区划和管理机制分级、分层部署的，省级电子政务外网纵向上联至国家电子政务外网，向下延伸至全省所有地市、区县电子政务外网，横向连接各级政府部门。

VLAN、MPLS-VPN、Multi-VRF可以实现对网络访问的隔离，并且虚拟化分割的逻辑网络内部有独立的数据通道。即便这样，在每个逻辑网络内部仍然存在着对安全控制的要求。尤其是对于数据中心而言，访问数据流从外部进入到数据中心，并且这些数据在不同安全等级的区域之间流转，因此，就更有必要在网络上提供逻辑网络内的安全策略。更何况，不同的逻辑网络对安全策略也有着各自独立的要求，这时就可以通过虚拟化技术将一台安全设备分割成若干台逻辑安全设备(成为多个实例)，从而更好地满足实施网络虚拟化后对安全控制的要求。在新形势下，对省级政务外网骨干网的需求主要表现表现在以下几个方面：

网络接入全覆盖

政务外网省级骨干承载网是一个纵向T型结构，地域跨度大，横向需满足省直部门（包含二级单位、中直单位、大专院校、国有大型企业等）、省数据中心接入，纵向要覆盖到市县（包含市级单位、县级及以下单位），满足市县区域网络接入。

省级骨干网分为省、市、县三级核心节点。按照分层接入原则，省级单位接入到省级核心路由器，市级单位接入到市级核心路由器，县级单位接入到县级核心路由器。对于垂直厅局，内部各级单位对应的接入到省、市、县三级核心节点路由器上，从而实现在外网的基础上某一厅局的纵向贯通。

业务安全隔离

由于在一张物理网络上承载多个政府部门的业务，不同部门业务之间需要进行独立运行、独立管理、独立安全防护。仅靠传统的MPLS VPN不足以保障不同业务之间的安全隔离。为了增强不同业务的安全性，通过路由器虚拟化技术，把一张物理网络，虚拟成多个网络平面，来承载不同部门的业务运行，从而达到各部门业务独立运行，互相之间安全隔离。

带宽动态调整

骨干网需要解决纵向带宽不能按需灵活调整的问题，纵向带宽要实现随需动态调整，达到既不浪费带宽资源又能满足不断增长的带宽需要，既能方便接入现有市县网络又能迅速部署省市县三级纵向应用的目的。

高可靠性

需要能保障政府业务不受互联网的影响，提高复杂业务环境下的稳定性，保障各类业务的通行/通信方式能够稳定有序的运行。需要兼容多应用、多技术、多厂商背景下的业务融合特性。

解决方案

网络设计原则

结合路由器虚拟化技术和MPLS VPN技术构建一网多平面的省级政务骨干网。

省市县三级城域网灵活接入

对原网尽可能少改动，以减少对已建城域网中各委办局业务运行的影响；

已建城域网做整网接入，原城域核心路由器直接接入新建的同级广域核心路由器，作为广域核心的接入节点；

未建城域网各委办局自行接入同级广域骨干，通过城域专线直接接入同级广域骨干节点的方式进行接入。

各厅局专网灵活接入

要尽可能减少对各厅局原有专网的改动，同时为实现同级委办局的方便共享，建议对省、市、县委办局分别横向接入同级广域骨干核心节点。针对不同的厅局划分不同的网络平面。对于安全性要求较高的部门，采用虚拟网络平面构建，对于常规办公的部门，采用MPLS VPN网络平面构建。

同互联网安全隔离

要能保障机关业务不受互联网的影响，互联网一旦出现中断，政务业务要能正常办理。省市两级设统一的互联网出口，至少两个运营商线路互备。

网络带宽动态调整

纵向带宽按需灵活调整，达到既不浪费带宽资源又能满足不断增长的带宽需要。骨干网业务的负荷分担是通过骨干设备间路由的负荷分担来实现，如：市县核心存在两条等价路由到省核心，MPLS流量会通过等价路由负荷分担到骨干网络。

虚拟网络平面管理

不同的网络平面承载不同政府部门的具体业务系统，网络平面具有独立性，可以交给政府部门自管理，随时查看虚拟网络资源的使用情况和网络质量管理与带宽控制。

设备利旧设计原则

对于现网中已经建设完成的网络部分，如省市县各级城域网、厅局专网等，则把其中的核心路由器或者交换机设备，作为一个汇聚设备，连接到对应各级的核心路由器上。

总体方案设计

华为公司可提供从高端到低端完整的路由器产品，提供了完整的从省核心—地市核心—县核心，乡镇接入一体化的骨干网纵向互联解决方案。省级核心节点采用最高端的NE5000E-X16作为核心路由器，市级采用NE20E-S8作为核心路由器，市县级采用NE20E-S4作为核心路由器。如下图所示：

传输链路设计

对广域骨干专线和城域接入专线，当前运营商有两类专线，一种是SDH，一种为MSTP，其中SDH是应用最广泛的光传输专线，而MSTP是在SDH的基础上，增加对ATM、以太网等业务承载的支持多种以太接口速率的传输技术。

SDH要求用户端的路由器必须支持CPOS接口，且其单位带宽为155M，155M以下带宽需要在客户端设备和传输之间增加光端机和协议转换器，155M以上带宽有622M、2.5G、10G等几种，带宽可调整的范围小。

MSTP可以通过FE/GE接口直接连接用户端路由器，对用户端路由器接口没有特殊的要求，带宽也支持10M，100M，1000M等多个档次，带宽调整范围灵活。MSTP优势体现于城域网的接入和汇聚层，不但提供IP、ATM和SDH多业务的接入能力，而且能够对数据业务进行统计复用，提高带宽的利用率。

• 省-市广域链路

  省-市链路选择SDH，纵向骨干两台省核心路由器分别出2*155M POS口下行连接SDH传输，市级两台核心路由器上行链路分别出155M POS口接SDH传输。并预留将来地市上行链路升级到622M链路余地。

• 市-县广域链路

  市-县链路如果有MSTP链路，则选择MSTP链路，方便根据业务流量及时调整租用带宽，节约链路费用。如果没有，则选择SDH。市级两台核心路由器分别出2 * 155M POS链路下行，县级核心路由器上行链路根据业务需求出1或者N条155M POS链路连接到SDH传输网。市级下行接口带宽预留将来区县上行链路升级到622M余地。

• 横向接入链路

  横向城域接入链路上，建议采用MSTP专线，其中两台省核心PE路由器通过10G MSTP链路接入传输网，MSTP支持虚拟链路功能（EVPL，Ethernet Virtual Private Line以太网虚拟专线），可以在一条以太链路上承载多条虚拟MSTP链路，实现省核心PE路由器城域接入链路的聚合（不同虚拟链路之间需要通过VLAN进行隔离），从而节省PE路由器的端口数要求。

  市核心路由器10G MSTP专线接入传输，县核心路由器1G MSTP专线接入传输，都启用虚拟链路功能。

  厅局端接入链路根据实际情况选择2M、10M或其他更大带宽的专线接入核心PE路由器。

省核心节点设计

省级核心节点采用双核心高端万兆路由器方式配置，支持虚拟化技术，用一套NE5000E集群设备，可虚拟出多套路由器，分别承载政务外网和专网的业务，并能从单板和端口物理层面、路由控制与转发层面、管理与配置层面分别进行安全特性的隔离。

省级核心节点采用P+PE模式进行建设，P节点连接省政府机关单位、省级数据中心、省级城域网、互联网出口。PE节点连接省直厅局、省级公务专网、中直单位、国有企业、大专院校等单位。

省核心节点通过P设备连接地市级骨干网核心节点。

市核心节点设计

市级核心节点，部署2套NE20E-S8作为核心P节点，和省级核心路由器连接。均采用主备链路155M接入。

PE设备上连接市级数据中心、市政府各级单位、市级公务专网、中直单位、国有企业、大专院校等单位。

县核心节点设计

县级核心节点，部署1套NE20E-S4或者NE20E-S4作为核心P节点，S7700作为核心PE设备，连接县政府各机关单位、县级数据中心、县级公务专网等。

负载均衡设计

骨干网络核心路由器之间的数据转发为MPLS标签转发，通过LDP根据路由来建立LSP路径，数据报文通过LSP穿越MPLS网络。

骨干网业务的负荷分担是通过骨干设备间路由的负荷分担来实现，，比如上图县核心存在两条等价路由到省核心，MPLS流量会通过等价路由负荷分担到骨干网络。

QoS保障设计

在多业务共存的电子政务网络中需要采用QoS技术对关键业务的网络质量进行差异化保障。针对带宽、时延、抖动、丢包率等要求，QoS可以通过优先级映射、流量监管、流量整形、队列调度、拥塞避免等技术提升网络服务质量，满足用户在有限的资源限制情况下，获得多业务部署的最佳体验。

在电子政务网络中，QoS策略主要通过骨干网来实现，采用Diff-Serv模型，其核心思想是为不同类型的流量提供有差别的服务。

在电子政务骨干网中通常采用BGP/MPLS IP VPN技术，因此可以再部署MPLS HQoS提供一个完整的VPN QoS解决方案，来满足VPN用户多样化和精细化的QoS需求。具体的实现方法如下：

• 基于VPN实例和对端PE在骨干网侧实现层次化QoS（L2VPN/L3VPN）
• 基于VPN实例在骨干网侧实现层次化QoS（L2VPN/L3VPN/MVPN）
• 基于VPN实例的CE侧接口实现层次化QoS（L2VPN/L3VPN）

基于VPN实例在骨干网侧实现层次化QoS，在入口PE上针对VPN实例指定特定的带宽和业务服务优先级约定。例如对于VPNA，带宽约定为30M，并支持在这30M带宽中优先保证高优先级的业务（如视频业务），在PE网络侧流量按VPN做队列调度，保证和限制整个VPN的带宽。

可靠性设计

可靠性反映了网络设备本身的稳定性以及网络保持业务不中断的能力，主要包括设备级可靠性、网络级可靠性和业务级可靠性三个层次。其中，业务级可靠性更多的是从业务管理的层面来要求的，要求业务不中断，与网络关联不大。

设备级可靠性的技术很多，常用的有热插拔技术、冗余备份技术和不间断转发技术等。这些技术一方面可以提供组件的冗余备份，另一方面可以保证在设备出现故障时，即使控制层面出现故障，业务仍然能够不间断转发。

网络中的核心网络设备，通常要求具有电信级的可靠性。华为的核心网络设备具有电信级高可靠性，系列路由器支持如下设备级可靠性措施：

• 主控1:1备份
• 交换网1+1/1:1两种方式
• DC电源1+1备份；AC电源1+1/2+2备份
• 模块化的风扇设计，高端配置支持单风扇失效
• 无源背板，高可靠性
• 独立的设备监控单元，和主控解耦
• 所有模块支持热插拔
• 完善的告警功能
• 设备管理1:1备份

网络级可靠性由双设备、链路冗余来保证。对于双设备、链路冗余的网络，采用三层路由的方式，并通过等价路径再辅助部署BFD（Bidirectional Forwarding Detection）快速检测故障，就能够保证链路或设备故障时能够快速切换，同时也能够充分利用冗余链路。

核心层链路是网络的主干链路，采用MSTP或者SDH双线互联省市县核心，网络为星型拓扑结构，可以保障核心层的可靠性，实现50毫秒倒换的电信级可靠性。骨干网核心路由器与城域网设备两两互联，确保任一设备都有2条以上链路可达。骨干网核心与地市路由器采用主备份的连接，使地市路由器到核心层实现链路的冗余。

方案亮点

• 路由器虚拟化：通过省、市、县三级核心节点路由器的虚拟化技术，实现承载多个独立业务的一网多平面。
• 自管理性：多个网络平面具有独立完善的故障定位、故障排查等功能，为网络日常维护管理、网络优化提供依据，同时提供VPN策略部署工具，简化管理、降低维护成本，对网络实行集中监测、分权管理。
• 先进性：支持新特性、新业务提供，支持IPv4/IPv6双栈技术，最大限度地保护现网投资，满足可持续发展的要求，能够支持GE/10GE/40GE/100GE端口。
• 高可靠性：网络架构设计合理，具有可靠的网络备份策略，保证网络具有故障自愈的能力。设备实现路由引擎、转发引擎完全分离，且主控、交换网板、电源、风扇均有主备冗余配置，切换保护能力核心层具备50ms级别故障保护能力，全网具备1s左右的故障切换保护能力。
• 可扩展性：网络设备可根据未来业务的增长和变化，实现平滑地扩充和升级，最大程度的减少对网络架构和现有设备的调整。
• 经济性：网络设备能够与现有设备实现互联互通，且具有高性价比，同一系列的设备的主要模块能够互换应用，原有业务板卡能够利旧应用以节省投资。