省财政信息网网络扩容及改造项目整体实施方案_精品文档Word格式文档下载.doc
《省财政信息网网络扩容及改造项目整体实施方案_精品文档Word格式文档下载.doc》由会员分享,可在线阅读,更多相关《省财政信息网网络扩容及改造项目整体实施方案_精品文档Word格式文档下载.doc(76页珍藏版)》请在冰豆网上搜索。
3.2网络扩容改造步骤 8
3.3省中心局域网改造 8
3.3.1 需求分析 8
3.3.2 USG5550防火墙规划 8
3.3.3 改造步骤 9
3.4QUIDWAYLSVPN搭建(配置案例详见附件三、四) 10
3.4.1新购设备物理拓扑搭建 11
3.4.2SDH线路时隙分配 11
3.4.3配置IGP 15
3.4.4配置QUIDWAYLS 15
3.4.5配置VRF 15
3.4.6配置QUIDWAY-BGP 16
3.5IP地址过渡实现 16
3.5.1IP地址使用现状 16
3.5.2IP地址过渡第一阶段 16
3.5.3IP地址过渡第二阶段 17
3.5.4IP地址过渡实现的难点 17
3.6过渡期间新旧网络互通实现 17
3.7结算类VPN访问实现 18
3.8上联集团公司线路访问实现 19
3.9NAT实现财务类IP访问集团公司金融业务平台 21
3.10割接前网络测试 22
3.11试点市州网点割接 22
3.11.1市州汇接中心网络结构核心区域 22
3.11.2市州广域网拓扑结构 23
3.11.3试点县局/网点割接 24
3.11.4线路备份走向 25
3.11.5市州主备路由器及主备交换机配置 26
第四章 网络切换方案 28
4.1网络改造人员以及分工安排 28
4.2割接整体思路 28
4.3省中心局域网割接 28
4.3.1网络现状 28
4.3.2过渡连接描述 29
4.3.3割接过渡方案 30
4.4市州中心局域网割接 30
4.4.1网络现状 30
4.4.2过渡连接描述 30
4.5网点割接 31
4.5.1网络现状 31
4.5.2过渡连接描述 31
第五章 应急预案 33
5.1改造过程的相关工作 33
5.1.1检查现有网络情况 33
5.1.2备份现有网络中设备的参数配置 33
5.1.3检查线缆标签 33
5.1.4省、市州中心局域网改造完成后的验证和不成功回退 33
5.1.5网点割接后的验证和不成功回退 33
5.2应急反应小组组成及分工 33
5.3应急处理预案 34
5.3.1实施过程中紧急情况的应急预案 34
5.3.2割接过程中的紧急情况的应急预案 34
5.3.3使用过程中的紧急情况的应急预案 34
附录一各市州IP地址分配表 35
附录二工程实施进度表 36
附录三QUIDWAYLSVPN在华为设备上的实现 41
3.3.4 骨干网络的配置步骤 41
3.3.5 R2-PE1设备完整配置 43
3.3.6 R3-P设备完整配置 48
3.3.7 R4-PE2设备完整配置 52
3.3.8 R1-CE-RED-1设备备完整配置 56
3.3.9 R5-CE-RED-2设备备完整配置 59
3.3.10 R6-CE-Green-1设备备完整配置 62
3.3.11 R5-CE-Green-2设备备完整配置 65
附录四QUIDWAYLSVPN在迈普设备上的实现 68
3.3.12 关键配置如下(AR4680):
68
3.3.13 设备在QUIDWAYLS网络中完整配置案例如下:
71
第一章 概述
1.1文档目的
本文档是xx省财政信息网网络扩容改造工程项目实施方案文档,旨在构建一个更加标准、稳固、可靠、安全的企业网接入网络架构,以支持xx财政目前和今后的业务需求。
本实施方案在实施过程中也将逐步调整和完善,以进一步适应财政业务发展的需要。
1.2适用范围
本文档的适用范围是xx省财政信息网网络扩容改造一期工程的实施。
1.3设计思路概述
按照中国财政集团公司下发的《关于财政信息网省内网建设工作的指导意见》(中国财政[2007]520号)(以下简称《指导意见》)要求,以及xx省财政信息网安全规范要求,省公司计划对我省财政信息网网络进行扩容改造,同时考虑网络安全系统及增值业务建设,内容包括:
省信息中心改造、市州汇接中心改造及城市网改造。
根据xx省财政信息网的业务需求,总体设计思路将整网采用QUIDWAYLSVPN技术进行业务隔离,划分为金融类VPN、财务类VPN、结算类VPN、综合类VPN(含视频会议、IP语音和OA、人力、财务、量收等)及借用线路第三方VPN。
改造后我省财政信息网将成为高速(高带宽)、稳定(设备及链路备份)、安全(使用VPN等安全技术)、可靠(使用802.1x认证技术),集数据、视频、语音为一体的综合信息网,可满足今后三年左右的业务发展需求。
1.4项目组联系人
单位名称
姓名
电话
电子财件
第二章 网络基本构架
2.1项目背景
我省财政信息网经过2004和2006年两次扩容改造后,省、市县及网点各级汇接的覆盖范围、网络带宽和传输能力得到了极大的提升,现已形成覆盖全省所有市州、支撑绝大部分财政业务的信息网络,并为提升我省财政服务水平、促进业务发展提供了有力保障。
从2005年开始,随着财政业务持续发展和财政信息化应用的不断深入,集团公司逐步开始进行综合类系统(B/S架构)的建设,截止目前我省已陆续有业务量收管理、人力资源和财务管理系统等综合类系统上线。
由于管理类系统与生产类系统在系统架构、数据访问、应用方式等方面存在较大差异,因此这两类系统在同一生产网上运行表现出一些弊端,具体体现在以下三个方面:
(一)、带宽不足。
目前我省财政信息网的管理类信息系统均采用B/S(浏览器/服务器)结构,特点是界面美观、操作简便,但系统访问占用较大带宽。
目前我省省内网的规模是:
13个市州局分别通过主备各一条2Mbps电路接入省信息中心,省会兰州局以局域网方式接入省信息中心。
根据集团公司近期下发的《关于财政信息网省内网建设工作的指导意见》(中国财政[2007]520号)要求,省内网通信带宽要求最低为3×
2Mbps,推荐为6×
2Mbps;
网络设备配置应满足省中心到市州未来20Mbps的通信带宽需求;
网点带宽建议为一般网点64Kbps,骨干网点为512Kbps,特别骨干网点为2Mbps,网络设备配置要能满足未来4Mbps通信带宽的需求。
我省财政信息网各级网络汇接带宽与集团公司要求不符。
(二)、安全性不符合最新规范。
目前我省财政省中心和市州中心网络采用ACL等策略区分金融类、财务类、速递类等业务,集团公司最新规范明确要求必须采用VPN等技术区分不同财政业务数据。
同时,我省信息网绝大部分的网络设备系2002年以前配置,已超过折旧年限,设备本身的不稳定增大了安全运行的难度。
(三)、省内网尚未开发网络增值业务。
我省财政生产、调度等功能都依赖于电信运营商提供的PSTN网来实现。
财政在向电信运营商缴纳数据业务网使用费同时,还需缴纳语音网使用费。
如在省内网上开发IP语音等增值业务,可以大大节省全省财政语音网通信话费。
综上所述,随着全国财政信息化进程的快速推进,目前我省财政信息网不论从网络架构、网络带宽,还是从安全防范管理及增值业务的应用等方面已无法满足集团公司提出的相关要求及今后业务发展需要,因此建议对我省财政信息网网络进行扩容改造,同时考虑进行网络安全系统及增值业务的建设。
如下图所示,我省财政信息网骨干网为省中心、市州两级汇接,骨干网所有网络设备均是1998年至2000年省内绿卡网和综合网机房建设初期配置的。
2004年第一次全省财政信息网骨干网扩容改造工程后,以上设备可扩展模块全部使用,设备及配件已停产,而且所有设备保修期已过。
因此,全省财政骨干网现有网络设备既无法满足扩容需求,也无法确保网络处于高稳定、高可靠性的运行。
此外,我省财政虽采用2条互为备份的2M线路作为骨干网数字电路,但仅为同一运营商提供,不符合集团公司双运营商要求;
而且我省所有财政业务系统均共用物理线路,没有使用VPN等隔离技术,仅使用访问控制列表等基本安全要求,不符合集团公司对网络安全的推荐要求。
骨干网网络拓扑如下图示:
2.2建设目标
我省财政信息网将采用QUIDWAYLSVPN技术对运行在信息网内的系统进行隔离,分为金融类VPN、财务类VPN、结算类VPN、综合类VPN(含视频会议、IP语音和OA、人力、财务、量收等)和借用线路第三方VPN,也可根据今后业务开办和系统功能不同实际需要进行更为细致的划分。
省信息中心及各市州汇接中心改造所需的网络设备配置应考虑冗余,杜绝单点故障的发生;
省到市州的骨干网线路按照集团公司相关指导意见要求将采用不同运营商的线路,且省信息中心及各市州汇接中心的运营商光纤线路应尽量采用双路由双局向模式引入。
在资金允许的情况下在省中心及市州信息中心采用光纤接入设备,以减少汇接中可能出现的故障点;
网点线路视运营商资费情况而定,县局及部分业务量较大的网点建议采用2M数字电路接入为主,64K或128KDDN电路接入为备用线路的方式。
第三章 网络改造基本架构
3.1网络扩容改造方案原则
一、对现有网络影响最小,平稳过渡。
二、业务割接前应形成详细的割接方案。
三、割接方案可逆,以便最短时间恢复。
四、改造工作必须统一协调部署。
五、割接时间应选择在业务量最小的时候。
3.2网络扩容改造步骤
一、省中心局域网改造。
二、QUIDWAYLSVPN网络搭建。
三、新旧网络之间互通实现。
四、试点市州网点业务切割。
五、总结试点经验并全省推广。
3.3省中心局域网改造
3.3.1需求分析
现有省中心局域网拓扑如下图所示:
财政金融业务、综合网、综合业务平台、第三方业务平台通过两台主备的华为T3000防火墙接入全省财政信息网,为全省网点提供业务访问。
为配合现有网络向QUIDWAYLSVPN网络平滑过渡,需对省中心局域网按业务系统进行归类,并将各业务系统隔离,分别为金融类、结算类、财务类、综合类四种业务系统及上联集团公司类。
3.3.2USG5550防火墙规划
一、虚拟防火墙规划
根据业务系统的分类,我们建议此次规划四个Context(虚拟通透式防火墙),分别为Admin、结算、结算-金融、结算-财务。
Context_Admin:
系统管理专用,建议绑定1-2个子接口用于系统管理。
Context_结算:
结算VPN到各个业务系统服务器平台之间数据交换中心,绑定六个子接口,分别为:
Interfac_结算:
连接结算服务器业务平台。
Interfac_vrf_结算:
用于下联QUIDWAYLSVPN网络的结算vrf。
Interfac_金融:
连接金融服务器业务平台。
Interfac_财务:
连接财务服务器业务平台。
Int
升级会员 