全国政府专网情况介绍PPT课件

.,1,政府专网技术专题培训,全国政府专网情况介绍,.,2,政府专网概述政府专网网络架构各部门接入网络架构介绍IP地址规划域名防火墙政府专网运行状态检查,.,3,政府专网概述,全国政府系统办公业务资源网（简称“政府专网”）是政府系统内部的办公业务网络，与互联网物理隔离，满足政府系统内部办公、管理、协调、监督和决策的需要。政府专网于1998年开始建设，1999年投入使用。截至目前，政府专网目前共联接单位141家，其中47家副省级以上地方政府，94家国务院部门及在京有关单位。,.,4,政府专网网络架构,政府专网采用星型网络架构，以国办为枢纽，在京联接国务院各部门的内部办公网络，京外联接47家副省级以下地方政府的省级政府专网。政府专网分为中央城域网、中央广域网及地方省级政府专网三部份。,.,5,政府专网网络架构,政府专网网络架构图,.,6,中央城域网中央广域网地方省级政府专网,政府专网网络架构,.,7,一、中央城域网,中央城域网是指在京的以国办为枢纽，联接在京国务院部门及有关单位的政府专网部分。中央城域网采用中南海电信局的红机专线直连方式构建,.,8,构建方式主要有两种：1、UAS接入模式2、红机拨号模式除上述两种主要模式之外，还存在单机异步拨号模式，但使用单位极少。,一、中央城域网,.,9,UAS接入模式,通过同步调制解调器及UAS设备构建一条64K的数据传输通道，保持7X24小时的线路畅通。,UAS接入模式示意图,.,10,红机拨号模式,通过异步调制解调器及拨号服务器构建一条56K的数据传输通道，当有数据传输时，该通道即被建立。,红机拨号模式示意图,.,11,二、中央广域网,中央广域网是指以国办为枢纽，联接47个副省级以上地方政府的政府专网部分。中央广域网租用中国网通和中国电信的帧中继线路，带宽为2M。,.,12,中央城域网连接方式示意图,二、中央广域网,.,13,三、地方省级政府专网,地方省级政府专网是指以省级政府办公厅为枢纽，在本地构建的联接本级政府组成部门及各地、市政府的政府专网。地方省级政府专网建设工作由各地方政府办公厅负责，具体建设方式及网络架构各异，此处不再详细介绍。,.,14,各部门接入网络架构介绍,各部门接入网络架构图,.,15,各部门内部局域网络通过防火墙接入中央城域网。防火墙主要用于保护部门内部局域网络和共享应用区及内网的对外访问控制。内网中的应用主要是供部门内部人员办公使用，不对外公开，外部人员无法访问到内部网络。共享应用区部署面向外部人员的应用系统，包括部门的专网网站等，外部人员可以透过防火墙访问共享应用区内部应用系统。,各部门接入网络架构介绍,.,16,如下图所示，在部分部门，存在着另一种联接方式，即防火墙只保护内网，而共享应用区没有被保护。该方式下，共享应用区完全开放给外部用户，各共享应用系统没在得到基本的保护。,各部门接入网络架构介绍,.,17,各部门接入网络架构介绍,.,18,IP地址规划,国办在1998年做了政府专网全网的IP地址规划。每个部门和地方分配三段IP地址段：内网IP地址段、共享应用区IP地址段和网络互联IP地址段,.,19,IP地址规划的原则,政府专网是政府内部办公网络，与互联网物理隔离。所有的IP地址段均使用。共享应用区是实现信息共享的关键，各单位内网IP地址修改难度较大，但共享应用区的IP地址必须统一规划。充分尊重现状。国办在90年代初期曾经在部分省市做过IP地址规划试点，部分省市已经在全省使用了国办部署的IP地址段。,.,20,IP地址规划详情,各省（区、市）内网IP地址段使用133的33个A类地址段，共享应用区使用222.1222.33的33个B类地址段。副省级城市内网IP地址段使用34.134.10的10个B类地址段，共享应用区使用222.34.1222.34.10的10个C类地址段。计划单列市内网IP地址段使用35.135.6的6个B类地址段，共享应用区使用222.35.1222.35.6的6个C类地址段。,.,21,IP地址规划详情,国务院各部委内网IP地址段使用4068的29个A类地址段，共享应用区使用222.40222.68的29个B类地址段。国务院直属机构内网IP地址段使用69.169.17的18个B类地址段，共享应用区使用222.69.1222.69.17的18个C类地址段。国务院办事机构内网IP地址段使用70.170.8的8个B类地址段，共享应用区使用222.70.1222.70.8的8个C类地址段。,注：222的A类地址段是共享应用区的专用地址段，223的A类地址段是网络互联的专用地址段。,.,22,IP地址规划详情,国务院直属事业单位内网IP地址段使用71.171.11的11个B类地址段，共享应用区使用222.71.1222.71.11的11个C类地址段。部委管理的国家局内网IP地址段使用80.180.21的21个B类地址段，共享应用区使用222.80.1222.80.21的21个C类地址段。其他单位内网IP地址段使用8184中的部分地址，共享应用区使用222.81222.84中的部分地址段。,.,23,域名规划域名解析,域名,.,24,政府专网采用英文域名解析，设根域CN。二级域名若干，具体而言：地方政府使用GOV。国务院部委使用MIN。国务院直属机构使用AIN。国务院办事机构使用WIN。国务院直属事业单位使用PIN。部委管理的国家局使用ADM。其他还包括COM、CCP。三级域名统一使用汉语拼音简拼，对于重复者，原则上按以下方法处理：地方政府中的重复者，在简拼后加上该地方的简称。例如河南的三级域名为HNY，湖南的三级域名为HNX。部门中的重复者，一个使用全称，一个使用简称。例如旅游局的三级域名为LYJ，林业局的三级域名为GJLYJ。,域名规划,.,25,政府专网的域名规划示意图,域名规划,.,26,域名解析,原则：一级和二级域名解析服务器设在国办，三级和三级以下域名解析服务器设在各地区、各部门，数据由各地区、各部门自已负责维护和更新。,.,27,政府专网的域名解析图,域名解析,.,28,域名解析,根域名解析服务器。设置在国办，通过NS记录将二级域名的解析指向各二级域名服务器。二级域名服务器。设置在国办，通过NS记录将三级域名的解析指向三级域名服务器。三级域名服务器。设置在各地区、各部门，具体承担域名的解析工作。三级域名服务器又分为内网域名服务器和专网域名服务器。内网域名服务器。主要是为内网用户提供域名解析服务，仅供内网用户使用。专网域名服务器。主要是为专网的外部用户提供域名解析服务，目前该功能由防火墙承担。,.,29,域名解析,由于内网域名服务器和专网域名服务器属于同一级的域名服务器，存在冲突，因此两者是重复的关系，而非上、下级或互补关系。用户在配置记录时，特别是共享应用区的服务器记录时，除在专网域名服务器上配置外，还必须在内网域名服务器上配置，否则，内网用户将无法通过域名成功访问该服务器。,.,30,防火墙,保护各单位内部局域网和共享应用区。保护防火墙后的内部网络是防火墙产品最基本的功能，目前政府专网上的防火墙通过关闭端口、控制访问等手段，有效地保护各单位内部局域网。IP地址转换（NAT）。虽然国办制订了IP地址规划，但由于各单位内部局域网建设较早，目前仍有部分单位未使用国办统一规划的IP地址。为确保用户能够访问政府专网资源，未使用统一IP地址的内网设备在访问专网通过防火墙时，防火墙将对该设备的IP地址进行转换，以保证IP地址在政府专网上的合法性和唯一性和网络通畅。旧的防火墙产品只支持多对一的IP地址转换，升级后基本都能够支持一对一的IP地址转换，这对后期实现用户端到端的业务需求非常重要。,.,31,防火墙,电子邮件转发。为防止电子邮件携带病毒对内网的破坏，外部用户发来的电子邮件都无法直接进入内部网络，而需要由防火墙先接收，检查后再转发至内部用户。用户邮件发出进也是如此，先发到防火墙上，再由防火墙发往指定用户。域名解析服务器。防火墙自身也是1台域名解析服务器，承担着对外部用户的域名解析工作。对外所有本级域名的域名解析工作都由防火墙完成。,.,32,政府专网状态检查,经常性地对政府专网运行状态进行检查，对于确保各种业务应用的正常开展至为重要，下面我们简单介绍一下政府专网运行状态检查及故障判断简易办法。,.,33,检查政府专网运行状态,检查政府专网运行状态可直接通过应用系统是否正常运转进行判断。举例而言，通过访问国办政府专网网站判断网络联接状况。在微机浏览器地址栏中键入国办专网网站的域名WWW.GB.GOV.CN或IP地址“”，如果浏览器中出现了国办专网网站页面，则表示网络联接正常，反之，则表示网络联接不正常。,.,34,判断故障点,网络联接不正常情况下，首先应该先判断故障点。通常情况下，可通过PINGIP地址的方法,.,35,判断故障点,通过上图，我们可以看到几个关键的IP地址点。A点国办中心路由器的局域网口IP地址（54）。B点本单位路由器的局域网口IP地址（X.X.X.254）。C点本单位防火墙服务器接内部局域网的IP地址（X.X.X.253）。通过PING上述几个关键点的IP地