电子政务网IP地址的规划研究
1 前言
电子政务就是政府机构运用现代计算机技术和网络技术,将其管理和服务的职能转移到网络上完成,同时实现政府组织结构和工作流程的重组优化,超越时间、空间和部门分隔的制约,向全社会提供高效、优质、规范、透明和全方位的管理与服务。
国家电子政务网的建立可以帮助在各个政府职能部门实现更为高效、快捷的信息共享和资源调配,消除地域的限制,增强各个职能部门的协调性,也能使政府工作人员及时地了解到普通老百姓时下最关心的问题,使政府部门制定出的政策法规目的性更加明确,能够提高政府的办事效率,树立政府廉洁高效的形象,拉近政府与百姓之间的距离,搞好干部和群众关系,维护社会稳定。
国家电子政务网建设完成后,在网络性能上应当能满足政府开展业务的需求,即广域网办公、视频会议、电子邮件传送、政府信息发布等。电子政务网络连接了包括各级省委、省人大、省局、省厅等大量重要信息点,涉及行政管理、行政办公、视频会议和互联网的访问等大量业务,因此要求电子政务信息网络必须是一个实用、高可靠、高效率、高扩展性、高安全性的系统。为达到政务网的目标要求,在网络设计构建中,应始终坚持高可靠性、安全性、实用性、标准的统一与开放、可扩展性、经济性和可管理性等建网原则。
2 电子政务网逻辑结构
国家电子政务网由政务内网和政务外网构成。政务内网主要是副省级以上政务部门的办公网,与副省级以下的办公网物理隔离。政务外网是政府的业务专网,主要运行政务部门内部的专业性业务流程和不需要在内网上运行的业务。政务内网和政务外网物理隔离;政务外网和互联网逻辑隔离。
电子政务网与其他网络之间的逻辑结构图如下:
图1 网络关系图
政务内网:连接副省级以上的政务部门的政务网络,与政务外网之间物理隔离。
政务外网:政务外网是政府的业务专网,主要运行政务部门内部的专业性业务流程和不需要在内网上运行的业务。
各省内网:指各省政府自己建立的政务内网,其连接政务单位由各省自己确定,原则上与政务内网、政务外网、等其他网络物理隔离
各政务单位局域网:各政务单位自己内部的局域网络,与其他网络物理隔离。可通过一些安全手段交互信息。
互联网:现有的面向大众的互联网,政务外网在互联网上设立门户网站来进行政务服务。
3 IP地址规划的重要性
IP地址和域名的合理规划是网络设计中的重要一环,对大型数据网络就尤为重要。IP 地址规划的好坏,不仅影响到网络路由协议算法的效率、网络性能、网络的管理、网络扩展,还直接影响到网络应用的进一步发展。
随着传输技术的发展,网络带宽越来越宽,但是,信息的发展是爆炸式的,其发展的速度远高于网络带宽的速度,所以即使是在宽带网络上也要做最优的网络设计以保证各种应用有充分的带宽。IP地址的规划对网络资源的利用起着非常重要的作用,合理的IP地址规划,可以减少路由表的扩大,可以减少网络控制信息的流量,还可以使各种信息走最
短,最快捷的路径,由此可以减少在网络设备的投资,节约整个网络的成本和各种费用。因此数据网络设计中非常重要的一项就是IP地址的规划,合理的IP地址规划,是网络建设的关键。
4 IP地址规划的一般原则
对数据网络的IP地址规划要考虑网络的目前需求、网络的未来发展、现有的资源、网络的管理和维护等,一般来说,IP地址规划应该遵守以下原则:
(1) IP地址的唯一性
IP地址是区分网络主机的唯一标示,所以网络上任何两台主机都不同的IP地址,否则无法相互通信。在网络设计时要充分考虑IP地址的唯一性。
(2) IP地址规划的简单性
IP地址的规划应该本着简单的原则,避免在网络的主干采用复杂的网络掩码形式。
(3)IP规划的层次性
IP地址的规划应尽可能和网络层次相对应,应该是自顶向下的一种规划。
数据网络的规划,通常是首先把整个网络划分为几个大区域,划分的方法是根据地域或者设备分布来划分,每个区域的用户数量(总数)可以估算出来,对这几个大区域从地址资源里进行地址划分(可考虑预留部分地址);类似的,每个大区域又可以分为几个小区域,每个子区域从它的上一级区域里获取IP地址段(子网段)。这种方式,充分考虑了网络层次和路由协议的规划,通过聚合网络减少网络中路由的数目和地址维护的数量,某个局部的变动也不会影响到上层和全局,这种方式充分体现了分层管理的思想。
(4)IP地址的连续性
IP地址规划是数据网络整体规划的一部分,即IP地址规划不仅要和网络层次规划相联系,还要和路由协议规划、流量规划等结合起来考虑。相同区域的IP地址连续可以实现地址的最大聚合,相应减少路由表的大小,进而减少网络中流量。
(5)IP地址规划的可扩展性
在IP地址的实际规划中要充分考虑到网络的可扩展性,好的IP地址规划,在网络扩容中队现有的网络改动较少,同时改造后的路由表的大小不变,方便网络的维护,节约网络的投资。由此,在网络的规划设计中应充分考虑到一段时间内的网络发展,并在可能的情况下为网络的扩展保留充分的余地,在主机数量增加的情况下仍旧能够保证地址的连续性。
(6)IP地址规划的灵活性
IP地址规划不应基于某个网络路由策略的优化方案,而是便于多数路由策略在该地址分配方案上实现优化。
(7)网络的安全性
网络内部应按照不同的应用划分不同的网段,以便进行不同级别的管理。
5 政务内网的IP地址规划分析
由于政务内网与其他网络都是物理隔离,其网络结构比较简单,所以对政务内网的IP 地址规划考虑比较简单,一般采用保留IP地址,根据网络的具体需求和上面讨论的IP地址规划原则进行规划就可以。
6 政务外网的IP地址规划分析
地址的采取
政务外网的地址采用可以选择保留地址,也可以采用共有地址。
(1)采用私有地址:
满足政务外网对IP地址的需求量大的要求:政务外网地覆盖范围大,向上到中央,向下到县,还要考虑未来的发展,所以对IP地址的需求量极大,采用私有地址可以有充足的IP地址使用,可以充分的考虑网络的管理、维护和扩展等其他问题。
满足政务外网对IP地址需求的不确定性:政务外网是一个涉及到全国的网络,其变
更改动是肯定的,需求也是经常变动的。采用地址资源丰富的私有地址,可以充分的利用网络分层的原理来划分IP地址,这样,部分的需求的改动不会涉及到上层和全局的改动,为网络的建设减少了难度,也方便了网络的管理和维护。
我们国家没有对公有IP地址的操纵权:共有IP地址的操纵权被掌握在以美国为首的西方国家的手中,所以IP地址的匮乏也是相对的,对数据网络发展较晚的国家IP地址就比较匮乏,而对美国等数据网络发展较早的国家,其IP地址资源则极为丰富,这是一个
不可调和的矛盾。另外,即便能够使用足够的IP地址,共有IP地址的使用也要向西方国家的相关管理机构申请,其工作的效率和态度可能会直接影响到我们国家电子政务网络的建设。采用私有的IP地址,一切自主权在我们自己的手中,可以保证我国建设国家电子
政务网的进度,也保证了网络的保密性和安全性。
(2)采用共有地址:
便于开展业务:使用外部地址可以方便的在互联网上建设政务网的门户网站,方便民众的接入,加快政务建设的电子化。
共有地址有一定的范围可用:在Ipv4地址将要被用尽之际,负责管理IP地址的机构IANA突然发现,不知是何种原因,有几十个A类地址没有被使用,这无疑是为将要走向尽头Ipv4注射了新鲜的活力,利用现在科学的管理方式,Ipv4的地址将还可以用很长的
时间。
便于整合现有业务:目前已有的政务外网部分多为共有地址,全国政务外网使用共有地址,可以方便的将现有的网络连接起来
可以节约投资:使用共有地址,可以省略接入互联网络的地址翻译部分的投资。
横向和纵向的选择
我国政府的组织架构决定任何一个部门都在横向上与地方政府有着行政隶属关系,同时又在纵向上与上一级部门有着业务往来。
(3)按照横向系统进行划分,并采取切实措施保证部委纵向业务系统实现:这样做符合我国政府组织结构的特点。因为各部门与地方政府有着更为紧密的关系。另外可以有效减少骨干网的路由条目,提高路由寻址的效率。
(4)按照纵向系统划分:这样做可以充分保证各部委和其他政务机关各自的纵向业务联系,相对增加了骨干网上的路由条目。
对现有政务外网子系统的处理
我国许多政务部门已经建设了自己的政务网络,建设全国性的政务网络,对现有政务网络的整合,也是一个必须考虑的问题。
(1)现有系统IP地址逐步向全国统一规划过渡:由于国家电子政务网IP地址规划涉及到全国的范围,而全国各省市各部委电子政务发展水平不一,许多省市已经建成了省一级的政务网络,许多国家部委也已经建成了覆盖全国的纵向业务系统网。在此基础上做电子政务网络的IP地址规划应充分考虑如何与现有的网络IP地址兼容。最终的IP地址规划方案应尽量避免对现有IP地址的大规模的修改,应该允许在一定时期内通过地址转换等技术手段来实现现有IP地址与新规划地址的互联互通,并要求现存网络在今后的改造、升级过程中逐步采用全国统一的电子政务IP地址规划实施框架。
(2)保留现有政务外网子系统:这样做可以使政务外网的建设不影响现有系统,现有的子系统接入到全国骨干时需要采用网关和翻译的方式,会牺牲一定的效率。
7 实施框架
根据上节相关问题的讨论,电子政务网的地址规划可以按照以下框架来实施。
IP地址统一规划
全国电子政务网络的建设,主要目的是实现中央及各省、市、自市区、直辖市、各部委之间的互联互通和信息交流,所以在全国电子政务外网IP地址规划中,只考虑各组成单位与全国电子政务网络和其它部门之间的信息交换服务器地址及各级单位内部局域网接
入全国电子政务外网的出口转换地址。其中,信息交换服务器是指各部委、省、市、区县党政单位专门或主要面向电子政务外网发布信息、接受信息或提供某种服务的计算机服务器组。国家电子政务网络将保证所有信息交换服务器地址之间以及各级党政单位与信息交换服务器地址之间在网络层的互连互通,以确保电子政务业务流程及资源共享的实现。
各单位在政务外网上对外发布信息或提供服务的计算机服务器组采用全国统一规划的IP地址,而各单位其他的办公用计算机IP地址可沿用,不强制统一。各单位向外访问电
子政务外网时,应先经过地址转换,将其内部局域网地址转换为统一分配的出口转换地址。
与现有已建成系统地址的兼容
为了能更好的推行全国电子政务外网IP地址统一规划,实现现已建成系统的最少改动,我们需要在广泛调查的基础上找出一段不与大多数单位所采用IP地址相同的地址段。如果冲突无法避免,对于小部分系统可采用双向IP地址转换和DNS解析相结合的技术,在牺牲一定效率的前提下解决地址冲突的问题。
IP地址按需动态分配
在实际应用中,政务外网的IP地址要按照按需动态分配的原则进行使用,以确保高
效的使用有限的IP资源,政务内网也要参照这一条原则:
在做IP地址统一规划时,应根据不同单位和部门的实际需求按地区集中进行地址划分,并对地区范围内的单位部门按需动态分配;根据地区覆盖范围内各单位、部门的发展需求按地区实现地址预留;同时中央保留一部分地址,在预留给某些地区的地址用完后可以增加分配给该地区。在实际应用中,按照按需分配的原则,需要时按照正常手续提出申请,批准后才可以使用,而不用时再由相关的管理部门将其收回,保证将来的再利用。这样,不仅能够节约资源,还能够做到IP地址的高效再利用。
以横向为主分配地址的情况下纵向业务通信的实现
目前,根据我国政务流程的特点,IP地址按照横向分配为主的原则进行划分。从安全性考虑,按照横向分配的地址虽然可以保证网络层面上纵向间的互联互通和信息交流,但
会造成纵向系统的信息不仅仅局限在本系统内部,而是能够被外系统获得。对于这个问题,建议两种解决方案。
第一方案:
全国电子政务网采用VPN方式组网:通过链路层、网络层VPN技术限制VPN 路由
的传播和实现信息包加密传送,确保信息包仅在VPN成员内部获得或可识别,是一种较
好的解决纵向系统数据安全问题的网络技术手段,目前该技术手段已在部分省市进行应用。但在全国范围内建立统一的VPN网络规划和协调的难度较大。
第二方案:
在应用层解决纵向系统间的安全隔离问题:政府各个业务系统间有着错综复杂的关系,电子政务的业务流程复杂并且会经常有所调整,在网络层面上对各个业务系统进行保护实现起来较为复杂,不易维护管理且会严重影响网络效率。因此建议在网络上保证所有单位的互联互通,而在应用层上利用数字签名、身份认证等技术实现对纵向系统内部信息安全的保护。
总的来说国家电子政务网可以将VPN作为基本的网络纵向业务实现的方法,同时使
用其他多种手段。对于业务紧密联系的可考虑使用VPN;对于其他跨部门业务可考虑采
用应用层解决方案。
8 “十二五规划”IPv6地址技术迁移
基于IPv4(国际互联网协议第4 版)的现有互联网,用于标识全球网络设备和终端设备的网络地址约有40 亿个,目前已基本分配殆尽。基于IPv6(国际互联网协议第6 版)
的下一代互联网,地址空间是现有互联网的1029 倍,目前根域名服务器已实现对IPv6 的支持,全球互联网管理机构对IPv6 地址的分配速度日益加快,IPv6 已具备广泛应用的基础。推动互联网由IPv4 向IPv6 演进过渡,并在此基础上发展下一代互联网已成为全球共识。
“十二五”期间,互联网普及率达到45%以上,推动实现三网融合,IPv6宽带接入用户数超过2500 万,实现IPv4和IPv6主流业务互通,IPv6地址获取量充分满足用户需求。
现网商用试点阶段(2013年底前)。开展IPv6网络小规模商用试点,向用户和应用
优先分配IPv6 地址,形成成熟的商业模式和技术演进路线,为全面部署IPv6网络做好准备,加快推进新型网络体系架构及技术研发工作。
全面商用部署阶段(2014-2015年)。开展IPv6网络大规模部署和商用,逐步停止向
新用户和应用分配IPv4地址,推动实现三网融合,组织新型网络体系架构及技术的规模
验证,为“十三五”期间产业创新发展做好准备。
在“十二五”期间,规定要求国内访问流量排名前100 位的商业网站系统支持IPv6,约70%的中央企业及地市级以上政府外网网站系统支持IPv6,“211”工程学校外网网站
系统全部支持IPv6,电信运营企业新开展的业务基本支持IPv6,新增上网固定终端和移
动终端基本支持IPv6。
IPv4地址由32位组成,而IPv6地址则由128位组成,下表是IPv4地址和IPv6地址
的对比:
同时,大多数人不熟悉IPv6地址,因其复杂,很难用电子表格软件纪录跟踪IPv6地址。同时IPv6网络的表达格式不如IPv4易于操作,容易出错。与IPv4地址相比,IPv6
的主要改变就是地址的长度为128位,也就是说可以有2的128次方的IP地址,相当于
10的后面有38个零。这么庞大的地址空间,手工管理IPv6地址存在很大的难度。
9 结语
电子政务网的具体IP地址规划,应由国务院信息化办公室的相关小组组织专家讨论确定,在具体实施中会遇到多种问题和情况,具体的实施方案还需进一步细化。积极的开展对政务网络建设的研究对我国电子政务的发展有很大的意义。