一、電子政務簡介

    電子政務（e-Government affair）是政府在其管理和服務職能中運用現(xiàn)代信息和通信技術，實現(xiàn)政府組織結(jié)構(gòu)和工程流程的重組優(yōu)化，超越時間、空間、和部門分割的制約，全方位地向社會提供優(yōu)質(zhì)、規(guī)范、透明的服務，是政府管理手段的變革。

    電子政務應用涵蓋政府內(nèi)部辦公和面對公眾的信息服務兩大方面。就政府內(nèi)部辦公而言，電子政務系統(tǒng)涉及到部門與部門之間、上下級之間、地區(qū)與地區(qū)間的公文流轉(zhuǎn)，這些公文的信息往往涉及到機密等級的問題，應予以嚴格保密。因此，在信息傳遞過程中，必須采取適當?shù)募用芊椒▽π畔⑦M行加密?；贗Psec的加密方式正被廣泛采用，其優(yōu)點顯而易見：IPSEC對應用系統(tǒng)透明且具有極強的安全性，這一點對于要開發(fā)龐大應用的電子政務來說，就顯得極有好處了，應用系統(tǒng)開發(fā)商不必為數(shù)據(jù)傳輸過程中的加密做過多的考慮。IPsec有多種應用方式，采用IPsec網(wǎng)關是比較理想的選擇，它同時也易于部署和維護。

    電子政務對安全的特殊需求實際上就是要合理地解決網(wǎng)絡開放性與安全性之間的矛盾。在電子政務系統(tǒng)信息暢通的基礎上，有效阻止非法訪問和攻擊對系統(tǒng)的破壞。

    二、電子政務外網(wǎng)對IPv6的需求

    作為國家電子政務骨干網(wǎng)的電子政務網(wǎng)外網(wǎng)，承載各政府部門的多種業(yè)務，卻大量使用著私網(wǎng)地址和地址轉(zhuǎn)換技術。

    目前在電子政務外網(wǎng)內(nèi)存在三類地址：

    類是公網(wǎng)地址，作為資源共享區(qū)和互聯(lián)網(wǎng)區(qū)的服務器地址，每個省分配1個公網(wǎng)B類地址，每個縣分配一個C類地址，遠不夠各地方政府使用；

    第二類是10網(wǎng)段地址，作為電子政務外網(wǎng)的私網(wǎng)地址使用，在電子政務外網(wǎng)內(nèi)統(tǒng)一規(guī)劃，到互聯(lián)網(wǎng)需要進行地址轉(zhuǎn)換；

    第三類是各接入部門內(nèi)部的局域網(wǎng)地址，一般是192網(wǎng)段，由各部門自行規(guī)劃，或根據(jù)縱向業(yè)務接入要求進行規(guī)劃，訪問資源共享區(qū)域需要進行地址轉(zhuǎn)換。

    可見即使在電子政務外網(wǎng)的辦公應用方面，都需要部署大量的設備提供地址轉(zhuǎn)換功能。

    此外，作為我國電子政務的骨干網(wǎng)，將有越來越多的應用接入電子政務外網(wǎng)，一些復雜新業(yè)務的開展也受到IP地址的制約。比如應急指揮業(yè)務，涉及大量的監(jiān)控、視頻會議、通信設備等終端，必然會占用大量的IP地址，我們不得不投入較大的人力、物力在如何有效的分配IP地址和進行地址轉(zhuǎn)換上。在環(huán)境與生態(tài)監(jiān)測、交通控制等領域，使用傳感器協(xié)作地監(jiān)控不同位置的物理或環(huán)境狀況，進行統(tǒng)一的分析或決策指示。比如地震監(jiān)測、水文監(jiān)測等，跨地域廣泛分布的傳感器網(wǎng)絡正在形成，這些設備同樣面臨IP地址的有效分配問題。

    三、電子政務外網(wǎng)IPv4向IPv6過渡之路

    電子政務外網(wǎng)目前運行的是IPv4業(yè)務，并采用MPLSVPN技術來隔離不同的業(yè)務，技術實現(xiàn)上較為復雜?？紤]到IPv6規(guī)范制定尚不完善，IPv6技術應用并不成熟，在國內(nèi)也只有IPv6實驗網(wǎng)絡，還沒有真正意義上的商用IPv6網(wǎng)絡出現(xiàn)，因此在電子政務外網(wǎng)不適宜建設大規(guī)模的IPv6網(wǎng)絡，可采取先試點，再推廣的方式進行。

    在國家電子政務外網(wǎng)和少數(shù)幾個部委、少數(shù)省電子政務外網(wǎng)先進行試點IPv6建設，試點單位的終端主機升級為IPv6/IPv4雙棧；逐步增加IPv6業(yè)務系統(tǒng)，先增加一部分IPv6/IPv4雙棧業(yè)務，既能支持新增IPv6終端主機的訪問，也支持未能升級的IPv4終端主機的訪問。

    試點網(wǎng)絡的建設應兼容IPv4和IPv6兩種協(xié)議，考慮到國家電子信息產(chǎn)業(yè)振興規(guī)劃強調(diào)推進下一代網(wǎng)絡（IPv6）的試驗和推廣，在政務外網(wǎng)上的網(wǎng)絡升級應采用更為先進的技術--雙棧技術實現(xiàn)，為后續(xù)建設純IPv6網(wǎng)絡進行技術積累。在技術設計上，先在共享資源區(qū)試點IPv6的IP地址分配、路由規(guī)劃等基本的IPv6技術，然后再試點IPv6MPLS  VPN技術，將部分縱向VPN切換到IPv6網(wǎng)絡運行。

    四、實現(xiàn)IPv6三個系統(tǒng)的升級

    在電子政務外網(wǎng)上實現(xiàn)端到端的IPv6涉及到三個系統(tǒng)的升級，分別是業(yè)務系統(tǒng)、終端系統(tǒng)和網(wǎng)絡網(wǎng)絡。

    1、業(yè)務系統(tǒng)

    業(yè)務系統(tǒng)（包括業(yè)務系統(tǒng)軟件及相應的數(shù)據(jù)庫、中間件）。

    因為涉及到尋址，所以需要進行升級。以數(shù)字監(jiān)控系統(tǒng)為例，就涉及監(jiān)控終端、編解碼器等的IPv6地址升級，以及服務器端尋址方式的升級。目前我國僅在教育科研網(wǎng)進行了IPv6建設，業(yè)務應用多以游戲、視頻點播等校園應用為主，適合政務應用的IPv6資源和業(yè)務很少。因此在政務外網(wǎng)上可考慮逐步開發(fā)適合政務應用的IPv6業(yè)務，如公文交換、郵件系統(tǒng)等。

    2、終端系統(tǒng)

    如果操作系統(tǒng)是windowsVista及以上系統(tǒng)，默認支持IPv6并且可以支持DHCPv6,無需升級；如是Windows其他版本或其他操作系統(tǒng)，雖可以升級為支持IPv6,但升級后不能支持DHCPv6,因此建議操作系統(tǒng)采用windows  Vista或以上系統(tǒng)。通過升級，使個人終端變成雙棧主機，即可以同時訪問IPv4資源和IPv6資源。

    3、網(wǎng)絡系統(tǒng)

    目前主要有兩種IPv4->IPv6的過渡技術。一種是隧道技術，即將IPv6協(xié)議封裝在IPv4報文中穿越IPv4網(wǎng)絡，適合為較少的互相獨立的IPv6網(wǎng)絡（或終端）提供聯(lián)通性。另一種是雙棧技術，網(wǎng)絡設備必須同時支持IPv4/IPv6協(xié)議棧，這種過渡方式能兼容目前IPv4和IPv6共存的現(xiàn)狀，同時又可以平滑的從IPv4升級到IPv6.

    在電子政務外網(wǎng)可采用雙棧技術和隧道技術結(jié)合的方式，在骨干網(wǎng)和部分試驗局域網(wǎng)采用雙棧技術，在投資有限的單位局域網(wǎng)可采用隧道技術。

    五、電子政務外網(wǎng)IPv6方案

    電子政務外網(wǎng)IPv6骨干網(wǎng)絡建議分階段建設，先基于雙棧技術，建設基礎IPv6網(wǎng)絡，待技術積累成熟、網(wǎng)絡運行穩(wěn)定后，再進行IPv6MPLSVPN的建設。電子政務外網(wǎng)基礎IPv6網(wǎng)絡建設可以考慮兩種建設模式，一是新建IPv6/IPv4雙棧網(wǎng)絡，二是現(xiàn)有IPv4網(wǎng)絡升級為雙棧。下面逐一加以介紹。

    1、新建IPv6/IPv4雙棧網(wǎng)絡

    新建IPv6/IPv4雙棧網(wǎng)絡可與現(xiàn)有IPv4骨干網(wǎng)規(guī)模相同，但鏈路帶寬略低，兩張骨干網(wǎng)同時運行。新建骨干網(wǎng)絡承載IPv4和IPv6協(xié)議，后續(xù)該新建網(wǎng)絡可作為IPv6骨干網(wǎng)專門承載IPv6協(xié)議。

    可試點將共享資源區(qū)的業(yè)務逐步切換到IPv6,在電子政務外網(wǎng)IPv4網(wǎng)絡依舊承載縱向VPN和Internet業(yè)務，如圖1.

    圖1 IPv4網(wǎng)絡、IPv6/IPv4雙棧網(wǎng)絡業(yè)務規(guī)劃

    在新建雙轉(zhuǎn)網(wǎng)絡中，建立雙棧業(yè)務服務器，網(wǎng)絡中的所有雙棧設備均具有IPv4/IPv6兩種地址。由路由器鏈路層解析出接收到的數(shù)據(jù)包的數(shù)據(jù)段，拆開并檢查包頭。如果IPv4/IPv6包頭中的個字段，即IP包的版本號是4,該包就由IPv4的協(xié)議棧來處理；如果版本號是6,則由IPv6的協(xié)議棧處理。

    雙棧路由器可通過雙棧主機的目的訪問地址尋徑路由到IPv4資源或IPv6資源，如圖2.如果雙棧主機訪問縱向VPN或Internet,雙棧主機將其歸屬到IPv4網(wǎng)絡，按照原IPv4網(wǎng)絡的方式轉(zhuǎn)發(fā)報文；如果雙棧主機訪問IPv6地址，則雙棧主機將在雙棧網(wǎng)絡尋址資源。

    圖2 雙棧主機訪問方式

    因為服務器資源為雙棧，網(wǎng)絡中沒有升級雙棧的IPv4主機可以通過IPv4協(xié)議訪問該雙棧資源，如圖3.

    圖3 IPv4主機訪問方式

    電子政務外網(wǎng)IPv6路由協(xié)議規(guī)劃可采用類似IPv4網(wǎng)絡的方式，包括域間路由協(xié)議（EGP）和域內(nèi)路由協(xié)議（IGP）。對于EGP,采用IPv6 BGP.IPv6 EBGP用于廣域骨干網(wǎng)進行互聯(lián)，IPv6 IBGP用于承載城域網(wǎng)（AS）內(nèi)部的用戶路由和MPLS VPN的建立。IGP在廣域骨干網(wǎng)和中央城域網(wǎng)中主要承載網(wǎng)絡設備間的互聯(lián)路由，采用OSPF v3協(xié)議實現(xiàn)。在省級電子政務外網(wǎng)可采取同樣的規(guī)劃方式規(guī)劃省電子政務外網(wǎng)路由。如圖4.

    圖4  IPv6路由規(guī)劃

    電子政務外網(wǎng)新建雙棧網(wǎng)絡的地址分配需全網(wǎng)統(tǒng)一規(guī)劃，并與網(wǎng)絡層次規(guī)劃、路由協(xié)議規(guī)劃、流量規(guī)劃等結(jié)合起來考慮。需規(guī)劃IPv4和IPv6兩種地址，網(wǎng)絡設備轉(zhuǎn)發(fā)IPv4報文，路由尋址需要IPv4地址，IPv6路由協(xié)議OSPFv3中的ROUTER ID等也需IPv4地址，同時需要在雙棧設備上配置IPv6地址供IPv6協(xié)議尋址。由于IPv6地址長度是128位，比IPv4地址復雜的多，如何分配和管理IPv6地址就成為一個重要問題。IPv6協(xié)議本身支持自動進行地址配置來降低網(wǎng)絡管理難度，但由于采用DHCP v6方式式分配地址可以讓網(wǎng)絡管理員知道哪些設備連接到網(wǎng)絡上，以及他們的IP地址，更有利于維護網(wǎng)絡的安全性，因此新建雙棧網(wǎng)絡的IPv6地址分配建議采用DHCP v6方式。

    2.現(xiàn)有IPv4網(wǎng)絡升級為雙棧

    另一種方式是將現(xiàn)有IPv4網(wǎng)絡直接升級為IPv6/IPv4雙棧網(wǎng)絡，這樣可以節(jié)省鏈路費用，但是需充分考慮新增IPv6業(yè)務是否會影響現(xiàn)有IPv4業(yè)務的風險。

    在網(wǎng)絡中采用逐步將共享資源業(yè)務從IPv4切換到IPv6/IPv4雙棧的方式，其他業(yè)務仍然采用IPv4協(xié)議。如圖5.

    圖5 IPv6/IPv4網(wǎng)絡承載業(yè)務

    雙棧主機訪問雙棧資源時通過IPv6協(xié)議，訪問IPv4資源時通過IPv4協(xié)議。IPv4主機訪問所有資源均可通過IPv4協(xié)議。如圖6.

    圖6 IPv4主機、雙棧主機訪問方式

    路由規(guī)劃采用與新建雙棧網(wǎng)絡相同，IP地址規(guī)劃同樣采用DHCP v6方式，在雙棧設備上新增IPv6地址。

    3.IPv6 MPLS VPN實現(xiàn)

    考慮到MPLS VPN技術在現(xiàn)有電子政務外網(wǎng)的應用，可在實現(xiàn)IPv6/IPv4雙棧網(wǎng)絡試點后，進一步試點IPv6 MPLS VPN技術。無論是新建雙棧網(wǎng)絡方案還是現(xiàn)網(wǎng)升級方案，采用技術相同?？稍圏c少數(shù)部委開啟縱向VPN,通過MPLS VPN技術進行不同業(yè)務間的隔離?？煽紤]通過在雙棧PE設備上啟用6VPE技術，建立IPv6的MPLS VPN連接。

    6VPE（IPv6 VPN Provider Edge）可為電子政務外網(wǎng)IPv6用戶提供BGP MPLS VPN服務，通過VPN技術實現(xiàn)不同IPv6業(yè)務間的邏輯隔離。6VPE技術使用MP-BGP承載VPN-IPv6路由信息，在為IPv6網(wǎng)絡提供VPN服務的同時也可以在其它接口或子接口上為普通的IPv4用戶提供MPLS VPN業(yè)務，即在6VPE有可能同時存在IPv6 VRF和IPv4 VRF.在6VPE技術中用戶網(wǎng)絡（CE）采用的地址族也可以是IPv4也可以是IPv6,骨干網(wǎng)同樣可以是IPv4網(wǎng)絡也可以是IPv6網(wǎng)絡。

    在電子政務外網(wǎng)的下一代網(wǎng)絡建設中，建議在初期先采用PE升級為6VPE設備，在骨干網(wǎng)絡仍采用IPv4傳輸路由標簽的方式，如圖7所示。

    圖7 IPv6/IPv4雙棧網(wǎng)絡 MPLS VPN拓撲

    六、小結(jié)

    雖然關于IPv6的實踐已經(jīng)多年，但IPv6的標準并沒有完全制定完成，標準化進程還在繼續(xù)。電子政務外網(wǎng)的IPv6建設過程一定是長期而復雜的，而它的成功實現(xiàn)對我國實踐IPv6技術、參與國際/內(nèi)IPv6標準的制定，都將具有非常重要的意義。H3C作為Cernet 2的主要承建廠商，積累了大量的IPv6建設經(jīng)驗，將協(xié)助政府各級部門實現(xiàn)IPv6在電子政務外網(wǎng)領域更廣泛的應用。