X市国税局网络技术方案.docx
《X市国税局网络技术方案.docx》由会员分享,可在线阅读,更多相关《X市国税局网络技术方案.docx(20页珍藏版)》请在冰豆网上搜索。
X市国税局网络技术方案
XX市国税局网络建设技术方案建议书
目录
第一章综述2
第二章总体方案建议3
1.工程描述及总体要求3
1.1建设目标3
1.2工程概述4
2.核心及核心网络方案建议及设计8
2.1**市国税局网络建设工程设计原则8
2.2拓扑设计9
2.3选用设备10
2.4网络设计与策略11
2.5 IP地址规划13
2.6组播设计16
3.区县网络及接入设备17
4.移动办公接入设备18
5.LinkManager全中文图形化网络管理18
6.网络安全19
第三章设备配置清单21
第一章综述
**市国税局网络工程建设的主要内容之一是建设国税网络专网平台。
国税网络建设专网平台由网络通信平台、基础传输平台和应用系统平台三个层次构成。
基础传输平台通过光纤、数字微波、电缆等物理介质,以广泛使用的FastEthernet、GigaEthernet等传输技术,构成了连接全地区的传输平台。
网络通信平台建立在传输平台上,以TCP/IP协议为基础,来管理、配置站点间的通信协议,控制主机或终端的访问权限。
应用系统是国税网络建设专网的核心,提供电子邮件系统、网络电话系统、辅助办公系统、税务信息服务系统、视频资料系统和会议系统。
本次方案建议以国际通用标准为依据,结合市场需求和现有条件,网络的建设原则是高速、高带宽、高可靠性、技术先进、简单实用、节省投资。
**市国税局网络建设网络平台建设的主要目标:
建立一个开放的、基于标准的、统一的国税网络宽带专网平台,实现全地区上下各级部门之间的信息交换和资源共享。
面向各部门提供服务,增强国税各部门工作的透明度,提高效率。
同时支持数据、语音和视频业务,承载全地区各级国税系统的OA办公自动化、远程音频、视频会议,满足各级国税系统固定或移动办公信息传输的需求。
第二章总体方案建议
1.工程描述及总体要求
1.1建设目标
本建议书以国际通用规范为依据,结合用户实际需求和现有条件,网络的建设原则是高速、高带宽、高可靠性、技术先进、简单实用、节省投资。
近年来随着我国电子政务的发展及政府信息化的不断提高,对国税信息化网络平台的建设提出了新的要求,国税网络建设工程的主体是依托国家通信基础设施,采用IP和Intranet技术构建的国税系统内部专用的信息网络系统。
**市国税局网络建设体系分为内网和外网两个完全物理隔离的网络系统,本次工程为**市国税局网络建设内网的建设,要求内网与因特网完全物理隔离,为国税系统内部提供电子化、网络化服务。
外网建设要考虑为社会公众提供信息服务,并且要考虑为国税系统内部提供Internet接入服务,建议初期各单位在市局指导下沿用原有Internet接入模式,待到内部专网完全运行起来后,再由市局统一规划、统一安排,提供唯一的Internet出口,既最大程度上解决了各单位上外网的安全问题,又能够为社会公众提供统一的数据库信息服务,并且还节约了各个单位的外部网络预算费用。
**市国税局内网网络平台建设的主要目标是:
建立一个开放的、基于标准的、统一的国税内网宽带专网平台,实现全地区上下各级国税系统之间的信息交换和资源共享。
面向国税系统内部提供服务,并为将来外网的社会公众信息服务奠定数字化基础,增强各级部门工作的透明度,提高效率。
同时支持数据、语音和视频业务,承载全地区各级国税系统的业务应用,满足各级国税系统固定和移动办公的信息传输需求。
1.2工程概述
1.2.1概述
根据用户的需求,在全面满足要求的前提下,以高性能、高可靠性、功能全面、性能/价格比最优为原则,特提供以下方案:
市局中心采用高性能运营商级核心路由交换机DCRS-7508,冗余电源,冗余管理模块,全热插拔I/O槽位和模块,自动温度监控、报警。
由于我们建议的高性能核心路由交换机DCRS-7500系列采用世界上最领先的ASIC设计,真正实现了全分布式的三层交换CrossPoint,所以,首先,全分布式交换不再有所谓的交换引擎,也不再有插卡时的位置限制,可以实现任意时间、任意槽位的热插拔;其次,单板交换容量高,目前最少也有32G/板卡,真正实现高速、稳定的三层交换。
市局与各个区县通过高性能路由器DCR-3660和DCR-2650进行互联,除了租用高可靠的专线外,还为每台路由设备单独设置了拨号备份链路,以便防止意外的主线路故障。
每台路由设备全面支持VPN功能,为国税局内部数据传输再添安全保障。
市局信息中心存储了高度重要的核心数据库信息,本方案强烈建议在市局与各区县互联总出口处放置高性能防火墙DCFW-1800,以便防止意外的安全事件,例如:
区县某工作站无意中拨号连入了不安全的Internet外网。
在工作站的接入上,我们推荐DCS-3726系列智能宽带L2/L4交换机。
支持基于IP地址、MAC地址、端口号、协议号、VLANID的线速包过滤,支持第四层交换和带宽限制,支持多种安全特性,例如:
RADIUS、TACACS+、SSL、SSH和IEEE802.1x端口认证,另外还支持端口聚合、镜像和负载均衡。
整个网络支持LinkManager全中文网络管理系统。
并且,在基于国际通用标准SNMP协议下,可以和国际著名网络管理软件进行无缝集成,例如:
HP公司的OpenView等。
考虑到基础建设的连续性和投资效益最大化,我们公司建议**市国税局内网网络建设工程分期、分批逐步实施。
这样,随着网络应用的逐步增加,国税局的信息高速公路主干道首期建设铺设好,再分期、分批逐步进行各个支干道的延伸建设。
**市国税局一期网络建设方案示意图如下:
在上图中,各个区县内部已有网络设备全部沿用。
原来已经有L3交换机的区县,仍然以其现有L3核心设备为网络中心,实现跨VLAN的交换访问,新增的部分DCS-3726系列智能宽带L2/L4交换机可以实现初步的精细网络控制。
原来没有L3交换设备的区县,在初期可以通过高性能的DCR-2650路由器实现跨安全区域的访问,在后续建设中,再采用更好的路由交换机,例如:
DCRS-6512路由交换机。
网络基础建设要充分考虑平滑的、连续的扩容和升级,所以,本建设方案在充分考虑用户投资收益比的前提下,建议逐步实现全系统整体的安全冗余:
冗余的核心交换设备,冗余的中心路由设备,冗余的防火墙安全设备,冗余的物理链路。
本方案设计的架构和建议采用的所有中心设备都支持双机备份,充分实现要害部门——市国税局信息中心的7×24小时不间断服务。
建议的网络整体架构如下图所示:
因此,在二期的后续建设中,市局中心平滑实现最高级别的稳定、安全,区县内部实现更高速的三层路由交换和更精细的流量控制。
整体网络建设投资除了分期实施,符合长期基础建设的一般规律外,还能在很大程度上节约整体的网络建设投资,保持网络整体和局部的先进性。
例如:
网络产品和各种电子产品必然的逐步升级换代。
1.2.2建设方案总体要求
**市国税局网络建设,必须遵循实用性、可管理性、高安全性、可扩展性、稳定性、先进性和成熟性等有关原则。
**市国税局网络内网建设核心层设备全面支持高密度的1Gbps链接,市局中心与12个区县节点之间建议遵循现有模式,通过高性能路由器DCR-3660和DCR-2650,采用2M专线相连。
用户终端采用100M接入,并且本次建议的用户端智能宽带交换机DCS-3726系列满足IEEE802.1Q协议,提供基于国际标准的VLAN,支持基于IP地址、MAC地址、端口号、协议号、VLANID的线速包过滤,支持端口聚合、镜像和负载均衡,支持第四层交换和带宽限制,支持多种安全特性,可以为本地区国税系统各部门提供纵横通讯的专网通道,为数据、音频和视频等多媒体信息提供质量可保证的专用传输。
该网络的软、硬件必须具备升级功能,能进行该网络的横向主干带宽和纵向主干带宽的扩充(带宽至少能进行1倍以上的扩大)。
关键设备要可以支持热备份引擎、关键板卡冗余和链路冗余。
能有效传输数据、语音和图象,能满足视频会议传输图象的恒定带宽传输要求。
所有网络设备必须具有近端和远端管理功能,并由统一的网管系统进行管理。
2.核心及核心网络方案建议及设计
2.1**市国税局网络建设工程设计原则
**市国税局网络建设是一个重要的国税系统网络平台,因此设计上需要满足有效性、先进性、普遍性、统一性、可扩充性、安全性及可管理性原则:
有效性:
网络的有效性是网络设计首要考虑的原则,网络的设计必须能够达到预期的目标与目的。
从用户角度来考虑,如果网络不可用,则该网络就失去了其存在的意义与实际价值。
先进性:
网络应采用业界先进的高端路由交换机,能与FE/GE宽带传输交换平台充分互联,能够承载和交换各种信息并将其接入终端用户。
普遍性:
网络必须考虑到用户的实际情况,以相应的可接受的接入成本向用户提供不同接入服务的方法。
统一性:
**市国税局网络建设必须遵循网络建设方案及规划,科学地统一建设。
可扩充性:
**市国税局网络建设必须随着需求的变化,充分留有扩充余地。
安全性及可管理性:
建设**市国税局网络建设应注意保证整个系统的可管理性和整个系统的安全性、可靠性。
在满足上述一般网络设计要求的基础上,**市国税局网络建设作为新型的高性能IP网络还需要满足城域网的可靠性、QoS、扩展性、网络互联、通信协议、网管与安全等方面的要求:
可靠性
核心路由交换设备的所有模块和环境部件应具备1+1或1+N热备份的功能,切换时间足够小。
所有模块具备热插拔的功能。
系统具备99.99%以上的可用性。
网络的结构设计应提供足够的冗余功能,以便在线路和设备出现故障的情况下数据流应能寻找其他路径到达目的地址。
在一个足够复杂的网络环境中,网络连接发生变化时,网络的收敛时间应足够小。
拥塞控制与服务质量保障
拥塞控制和服务质量保障(QoS)是多业务网的重要品质。
由于接入方式、接入速率、应用方式、数据性质的丰富多样,大规模应用下的网络数据流量突发是不可避免的,因此,网络对拥塞的控制和对不同性质数据流的不同处理和关键性业务的保证是十分重要的。
通信协议的支持
以支持TCP/IP协议为主。
设备商应提供服务营运级别的网络通信软件和网际操作系统。
支持RIPv1/v2、OSPF等多种国际标准的路由协议。
支持IEEE802.1q标准,提供完备的VLAN支持。
支持丰富的组播协议。
网络管理与安全体系
支持整个网络系统各种网络设备的snmp网络管理。
支持故障管理、记帐管理、配置管理、性能管理和安全管理五大功能。
支持系统级的管理,包括系统分析、系统规划等;支持基于策略的管理,对策略的修改能够立即反应到所有相关设备中。
网络设备支持多级管理权限,支持RADIUS、TACACS+、802.1Q端口认证等认证机制。
支持安全监控和控制机制,当发现存在安全漏洞和遭到攻击时,应及时通知网络管理人员,并应自动采取适当的措施予以保护。
2.2拓扑设计
**市国税局网络建设在核心层建议由两台可选的核心网络设备(第一期采用一台自身全冗余核心设备)组成,采用神州数码公司的DCRS-7500高端核心路由交换机,完成**市国税局网络建设各种业务及全网的路由交换,为保证核心层的安全性、稳定性、高带宽,核心网络设备与其他主要设备以光纤方式组网,互联接口采用性价比极高的GE链路互联。
各区县网络中心既可以利用原有的L2/L3交换机,也可采用新设备,主要完成辖区内国税系统内部局域网的可靠通信和对外部数据流的收敛、汇聚。
接入层由可管理的智能交换机组成,完成对用户的接入、认证、带宽控制等多种功能,对全网的用户实现管理和控制,充分保证**市国税局网络建设的网络安全。
各个区县国税,根据各自的资金预算和实际应用需求,可以扩建自己内部的办公网络。
2.3选用设备
由于**市国税局网络建设建设工程对核心路由交换机的要求背板交换容量不低于128G,同时,市局中心要求最高级别的可靠性、先进性和安全性,因此我们选用了神州数码网络公司的DCRS-7508核心路由交换机作为核心设备。
下面,我们将对所选用的设备做以简要的说明。
2.3.1DCRS-7500核心路由交换机
DCRS-7500路由交换机紧凑的设计提供了极高的性能及端口密度。
DCRS-7500路由器具有丰富的功能使其在竞争中独具优势。
神州数码DCRS-7500系列交换机是具有运营商级容错能力的高性能大型网络核心交换机,可为企业和运营商提供基于领先技术的卓越性能和可靠性。
DCRS-7500系列交换机专为发挥千兆以太网潜在的强大交换能力而设计,超大容量的交换背板使得每个端口具备全带宽交换能力,确保在巨大的网络通信负载下始终能够轻松实现线速的第二层和第三层交换,是城域网、数据中心、智能大厦及企业网络骨干级核心路由交换机的理想选择。
DCRS-7500系列交换机具有三种型号,包括15插槽的DCRS-7515、8插槽的DCRS-7508和4插槽的DCRS-7504,除DCRS-7515专用的大功率电源模块外,该系列交换机的所有管理模块、交换模块以及电源模块都可互换使用,而且管理模块、电源模块等还可实现冗余备份,温度传感器可以随时监控各个部件的工作温度,从而提供运营商级的可靠性。
神州数码网络公司认为DCRS-7500核心路由交换机完全能够满足**市国税局网络建设建设工程核心设备的要求,并具有很强的可扩展能力。
具体设备细节请参看设备资料。
2.3.2DCR-3660高性能路由器
神州数码DCR-3660路由器是神州网络推出的多协议模块化中心级网际路由平台,它具有高密度、模块化的特点,提供了6个网络/语音模块扩展插槽。
DCR-3660路由器面向中高档应用,可靠性高,支持服务质量(QoS),支持拨号备份,可选择多种局域网、广域网以及语音模块,能够提供非常强大的处理能力及扩展能力,支持大规模的广域网,为用户提供了安全、可靠、稳定和可扩展的解决方案,广泛适用于国税、电信、政府、金融、邮政以及企业级网络中心的应用。
DCR-3660路由器具有全中文帮助界面,更加适合国内用户应用。
2.3.3DCFW-1800防火墙
神州数码DCFW-1800防火墙是一款功能强大、性能卓越的的网络安全设备。
DCFW-1800基于高速稳定的硬件平台,并采用经过安全加固的专用操作系统,因此具备极高的安全性和可靠性。
除了提供强大的多级过滤功能外,DCFW-1800还具备时间段控制访问、应用代理、地址转换、地址映射、MAC地址绑定、入侵检测、完整的日志审计、双机热备份、流量控制、带宽管理等完备的功能,真正的透明接入方式可以在不更改现有网络配置的情况下安装或卸载防火墙,并可使防火墙免遭黑客攻击;支持与第三方IDS产品互动,可以有效防止各种网络攻击行为;防病毒接口可使防火墙与外挂的网络防病毒产品InterScan密切配合,防止病毒的侵入。
DCFW-1800支持VPN加密,使得用户可以利用Internet建立安全加密通道,在享有灵活性、安全性的同时节省昂贵的专线费用。
DCFW-1800防火墙性价比极高,将高速的数据处理能力、高度的安全性及简单易用等特性有机地结合在一起,为政府、军队、企业和国税等各行各业的网络提供坚实可靠的保护。
2.4网络设计与策略
**市国税局网络建设的网络设计与策略可以分为以下几个部分来分别予以考虑:
网络结构的设计
IP分配和路由策略
功能安全区域划分策略
2.4.1网络结构的设计
严格按照网络工业核心层、汇聚层、接入层三层架构设计规范,充分考虑到**国税市局中心的高可靠性、高稳定性、先进性、易管理性和安全性,同时,兼顾用户投资保护,降低用户总体拥有成本TCO。
一期建设完成后,**市国税系统将建成一个涵盖12个区县的高速、稳定、安全、易管理的内部专网系统,形成一个完备的内部高速信息公路系统。
二期建设主要是进一步增加原有系统的冗余度,并逐步将原来各个区县的老设备进行更新换代。
2.4.2IP分配和路由策略
建议采用DHCP协议进行全网动态IP分配。
IP子网连续划分,连续分配,便于路由的汇聚。
简便了日常维护、运行,便于全网平滑扩容、升级。
根据有关技术规范的要求,**市国税局网络建设路由协议建议根据实际需求使用OSPF协议或者采用静态路由。
静态路由的好处就是简洁、安全,清楚明了。
内部路由协议OSPF是IETF标准。
在OSPF中,域是用来分隔路由广播的方式。
一个网络必须要有一个核心域,其它的域都必须与核心域相连。
OSPF协议有下列优点:
节省网络带宽:
OSPF属于链路状态协议,只有当网络连接状态发生变化时才彼此更新变化了的拓扑信息,而并非整个网络的LSDB,从而大大节省了网络带宽,这对于大型的广域网来说很重要。
支持VLSM:
OSPFLSA(LinkStateAdvertisement)中包含子网掩码。
支持层次化的网络结构设计:
网络设计人员可以把一个大型OSPF网络分成若干域(Area),其中一个是主干域(BackboneArea,AreaID0.0.0.0),其它非主干域均与主干域相连,并通过主干域交换LSDB。
支持路由总结(RouteSummary):
OSPFABR具有路由总结的功能,如果连续地分配IP地址空间,则ABR仅向主干域广播总结后的路由信息,抑制那些具体的路由信息的广播,从而大大减小了其它域中路由器LSDB及路由表的大小。
没有路由跳数限制:
OSFF路由表是基于LSDB运行Dijkstra算法计算出来的,没有跳数限制。
没有路由环路问题:
OSPF属于Link-State路由协议,没有环路问题。
2.4.3功能安全区域划分策略
**市国税局网络建设根据网络的发展需求和实际情况可以划分出基于不同部门、不同功能区域的安全自治区域。
具体实现技术是基于IEEE802.1q标准协议,划分全网统一分配的VLAN号码和IP子网号码。
所有本地安全事件都被局限在本地,不会扩散到全网,并且,还可以在全网形成高速、高效的虚拟局域网VirtualLAN。
2.5 IP地址规划
2.5.1网络地址规划的原则
IP地址的合理分配是保证网络顺利运行和网络资源有效利用的关键。
对于**市国税局网络建设的IP地址的分配应该尽可能地利用申请到的地址空间,充分考虑到地址空间的合理使用,保证实现最佳的网络内地址分配及业务流量的均匀分布。
IP地址空间的分配与合理使用与网络拓扑结构、网络组织及路由政策有非常密切的关系,将对网络的可用性、可靠性与有效性产生显著影响,充分考虑本地网对IP地址的需求,满足未来业务发展对IP地址的需求。
IP地址规划遵循以下原则:
1.IP地址的规划与划分应该考虑到网络的业务飞速发展,能够满足未来发展的需要;即要满足本期工程对IP地址的需求,同时要充分考虑未来业务发展,预留相应的地址段;
2.IP地址的分配需要有足够的灵活性,能够满足各种用户接入如拨号、专网用户等的需要;
3.地址分配是由业务驱动,按照业务量的大小分配各地的地址段;
4.IP地址的分配必须采用VLSM技术,保证IP地址的利用效率;
5.采用CIDR技术,这样可以减小路由器路由表的大小,加快路由器路由的收敛速度,也可以减小网络中广播的路由信息的大小;
6.合理利用已申请的地址空间,提高地址的利用效率。
在地址资源有限的时候,可以结合实际业务情况采用公有地址和私有地址结合的方式。
IP地址为32位,包括两个部分:
网络地址和端机地址,如下图所示:
IP地址包括五种不同的级别,由左端高位的比特来表示不同的级别,如下表所示:
其中A、B、C级别是国际互联网上公共分配的地址,每一种级别网络地址与主机地址占用的位数见下图所示:
一个IP地址可以很容易地从其第一个十进制数字上识别出来,是属于那一个级别,各级别分别有一定的数值范围,如下表所示:
在每一个IP地址级别中又可以分出多个IP子网地址,子网地址给属于同一个IP地址的网络带来了灵活性和有效性。
例如,一个用户被分配以网络地址171.16.0.0,那么,采用IP子网地址又可以分出:
172.16.2.0,172.16.3.0,172.16.3.0等子网地址,子网地址由用户自己管理:
IP地址可分为合法IP地址和保留IP地址,保留IP地址范围如下:
10.0.0.0–10.255.255.255
172.16.0.0–172.31.255.255
192.168.0.0–192.168.255.255
2.5.2**市国税局网络建设的网络地址规划
IP地址的合理分配是保证**市国税局网络建设顺利运行和网络资源有效利用的关键。
对于**市国税局网络建设IP地址的分配,应该充分考虑到地址空间的合理使用,保证实现最佳的网络内地址分配及业务流量的均匀分布。
IP地址空间的分配与合理使用与网络拓扑结构、网络组织及路由策略有非常密切的关系,将对**市国税局网络建设的可用性、可靠性与有效性产生显著影响。
在对核心层IP地址进行规划建设的同时,应充分考虑各汇聚层对IP地址的需求增长,以满足未来业务发展对IP地址的需求。
对于所有连接在网络中的设备及链路,由于要求在网络中都可以访问,因此建议使用合法IP地址,对与链路地址建议使用30位掩码,而对于每台设备建议分配相应的ID以供更为方便的识别,这些地址段应为特殊的地址段,以区别与其他普通业务的地址空间。
根据业务量的不同,可以为不同地区分配不同大小的IP地址空间,同时还要考虑具有一定的可扩展能力。
由于各部门和区县国税局可能已有自己的内部办公网(仍然放在国税网络建设上),全部采用内部的保留IP地址,这部分地址难以统一规划且变动频繁,为了减少管理维护成本和复杂性,对于接入用户的地址分配,应尽量合理的沿用地址规划;同时对直接进入全网路由的地址采用统一规划的方式。
具体的IP规划我方将配合贵方根据详细用户情况共同制订。
2.6组播设计
组播能力可以最大程度地节省网络带宽资源,它可以使同样的数据无需在网络中传送多次即可到达终端用户。
越来越多的因特网运营商看到了采用组播能力所能带来的潜在收入,在网络初期的网络应用中,主要包括视频会议,OA办公自动化等,未来的网络应用包括视频会议,网上办公,公文信息流转等。
本方案通过神州数码核心路由交换机和高性能路由器提供高性能的组播支持。
组播协议包括组管理协议IGMP和组播路由协议(DVMRP、MOSPF、PIM等)。
IGMP负责本地设备到直接与它相连的子网的组播分组的发送,并不关心设备间或跨越中间网络的组播分组转发。
组播路由协议则完成路由器间和跨网络的组播分组的转发任务。
终端用户通过IGMP协议通知有关设备所希望加入的组播组,有关设备确定出每个组播组内的用户所在的位置。
根据网络的实际情况,有两大类组播路由协议:
密集模式和稀疏模式。
两者之间没有固定的界限。
一般说来,可以从两个方面详细区分:
组员分布非常广泛或组员占总用户数的比例较小时,建议采用稀疏模式。
密集模式适用于小型网络,其假设是全网有非常"密集"的组员存在,采用广播+剪枝的工作策略。
密集模式的路由协议包括DVMRP、MOSPF和PIMDM。
稀疏模式默认所有机器都不需要收多播包,只有明确指定需要的才予以转发。
稀疏方式的路由协议包括PIMSM。
由于大量的基于组播技术的网络应用涉及视频和音频的应用,因而如何保证基于组播的服务质量的要求也至关重要。
神州数码公司先进的QoS技术可以保证对组播的服务质量。
3.区县网络及接入设备
此次**市国税局网络建设中,对于**市区内的汇聚层设备考虑采用高性能L2或L3交换机设备,实现对国税网络用户业务的收敛及和核心层的互联,具体的端口配置需求详见本次工程的建设需求部分。
采用动态的地址分配,可以减少用
升级会员 