政务外网是中办发[2002]17号文明确规定要建设的政务网络平台。上海市政务外网对应于国家政务外网，与上海市公务网物理隔离、与互联网逻辑隔离，属非涉密网性质；是政府的业务专网，主要运行政务部门面向社会的专业性服务业务和不需在内网上运行的业务。上海市政务外网是通过将各区县政务外网和市级委办局及其直属单位的业务网接入至以统一的物理传输网络为基础的骨干网络平台而形成的。根据上海市政务外网建设总体要求，上海市政务外网以公众服务为导向、政务应用为重点，为政府各部门网上协同办事提供后台网络支撑和构建各自的业务专网提供公共网络服务。

一、上海市政务外网建设初期状况

    上海市政务外网在建设初期存在着诸多困难和问题，主要是由电子政务建设的现状造成的。突出表现为：各个政务部门已经形成了以内部局域网为后台支撑、办公自动化为应用基础、信息资源库为决策辅助的政府社会管理和公共服务业务体系；政务部门之间的网络建设各自为政，没有统一的规划和技术标准，网络之间互不相连，形成一个个信息孤岛，网上协同办公实施困难。在规划各政务部门接入市政务外网骨干网时，由于各市级委办局、区县内的政务外网已经构建并运行，原先已完成建设的区县政务外网内各条线单位的网络接入情况比较复杂，有的是借助有线网络完成接入，另有的则是通过电信网络完成接入，各自在接入模式以及IP地址规划上存在很多的不确定性，主要包括以下几种情况：

    1、部分区县政务网已经建设完成并投入应用，网络建设方式多样化，网络结构相互不统一，区县内IP地址规划各异甚至相互重复,部分区县单位的上联链路接口IP地址都使用了与市政务外网规划IP地址重复的10.x.x.x/8的IP地址段。例如上海市某区，区内各条线单位上联接口地址原来使用了10.8.x.x/16和10.9.x.x/16的地址。

    2、绝大多数市级委办局局域网已经建成，部分委办局网络已经上联国家部委办、下联区县、街道相应条线单位，开展了各种办公业务应用；有些委办局单位原先已经通过网络服务商的MPLS/VPN网络完成了网络接入，而其上联链路接口IP地址也使用了10.x.x.x/8的IP地址段。

    3、部分已经接入各区县政务外网的条线应用单位的实际IP地址使用情况比较混乱,缺乏统一的规划和管理，甚至相互重复和冲突。

二、上海市政务外网网络对接的几种模式

    上海市政务外网的物理网络平台由专业的网络运营商承建，是在其原有的城域网资源基础上，利用MPLS-VPN（多协议标签交换虚拟专网）技术构建的与互联网逻辑隔离的政务专用网络平台，即上海市政务外网骨干网。

上海市政务外网结构示意图

    根据上海市电子政务建设现状，需要对整个上海市政务外网进行地址统一规划，保证全网地址的唯一性,同时出于充分利用其现有网络资源，避免重复建设，以及保持各区县政务外网稳定运行的考虑，需要保留原有各市级委办局、区县政务外网内部接入结构不变，整体接入市政务外网骨干网，实现在统一物理网络平台基础上的互联互通。

    针对区县、市级委办局的实际网络情况，按照上海市政务外网建设的统一标准及规范，在实现上海市政务外网骨干网与区县及市级委办局政务网对接时，主要使用以下三种对接模式：

    1、路由模式

    针对部分新建网络或将进行网络调整的区县及市级委办局单位采用路由模式进行对接。在这种对接模式中，整个对接网络采用市政务外网统一规划IP地址作为业务地址，通过三层网络设备将规划地址路由出去，防火墙在对接中仅起到市区两级政务外网的安全隔离和对区县或委办局政务网络的安全防护作用。

路由模式的网络拓扑图如下：

    采用路由模式对接，各单位内部网络需按照政务外网统一地址规划要求配置IP地址，这种情况下没有地址冲突，符合统一分配原则，并可实现快速故障定位、事件追查等，但需要在其网络出入口做好必要的安全防护措施和路由策略。

    2、NAT转换模式

    针对部分已建网络的区县及市级委办局单位，由于其业务已经构建并运行，实施IP地址更改比较困难，需要采用IP地址转换方式来进行网络对接。在这种网络对接模式中，各个单位内部网络私有IP地址通过防火墙进行NAT转换，NAT转换可以根据业务要求将内部网络私有地址一对一、一对多转换成政务外网统一规划地址，然后经三层网络设备路由到政务外网，这里防火墙起到NAT转换和安全防护双重作用。

该模式的网络拓扑图如下：

    采用NAT转换模式进行网络对接，避免了各单位更改内部IP地址的繁重工作，使得政务外网网络的管理界面清晰，接入单位内部网络的路由抖动将不会影响政务外网骨干网络运行。

    采用防火墙进行NAT转换，目的是使防火墙在提供网络访问的同时，通过硬件的方式快速实现地址转换的双重控制功能。而路由器用于NAT转换模式时，会影响路由器本身的性能，甚至还会使网络拥塞的时间变长，特别是当通过路由器的每一个包必须参考无数访问列表时，访问列表会加重CPU的负担。

    3、通道模式

    对于如视频信息等某些特殊的业务应用，由于其无法经过防火墙设备开展应用，需要从对接三层网络设备提供一条到用户内网的网络通道连接（如采取trunk或VLAN技术方式），以便让此类应用数据流能够绕开防火墙设备，通过提供的通道传输进入到内网业务应用点。

该模式的网络拓扑图如下：

    通过提供通道，为一些特殊业务应用提供了方便，但同时对网络的运维和管理带来了一定难度。

    需要说明的是，由于前期电子政务建设的杂乱性和后期业务应用的复杂性，以上三种网络对接模式，在实际的网络建设与对接中通常是混合使用的。

三、网络对接模式的实践意义

    以上三种网络对接模式，已应用和指导于上海市政务外网的建设。在上海市政务外网骨干网络建设完成后的一年多时间里，根据以上这三种网络对接模式，完成了以下网络对接：

    1、已经完成包括市发改委、市人事局、市财政局、市科委等60多家市级委办局和100多家市级委办局直属单位的网络对接。

    2、完成了19个区县政务外网与市政务外网骨干网的汇接，形成了市区两级政务外网管理体系，保留和拓展了原区县政务网的业务应用范围。

    3、完成了市政务外网与国家政务外网的对接，为实现中央到地方的业务应用提供了网络通道。

    4、在业务应用上，基于政务外网开展了政府信息公开申请网上处理系统、上海市企业基础信息共享与应用系统项目、上海市进出口领域企业基础信息交换试点项目、市发改委有关审批业务、市人大信息中心关于区县街道选民信息登记系统、市统计条线业务、市环保条线业务、市交通条线业务、市社工委与社会服务局的 “两新”组织业务工作平台、居住证系统业务、市卫生局“突发公卫应急系统”项目等20多个市级协同业务、条线业务和试点项目应用。

    上海市政务外网统一物理网络平台建设及在此基础上开展的业务正常运行表明，基于以上三种网络对接模式，上海市已经构建起一个纵向到底、横向到边、互联互通、条块结合，满足各种应用需求，统一的本市政务外网网络平台，达到了统一规划、分级管理、资源共享、推进政务应用的目标，为实现政务一体化、管理科学化、办事高效化、服务规范化，到2007年构建起一个可亲、可信、可靠的电子政府框架夯实了牢固的基础。