省财政信息网网络扩容及改造项目整体实施方案_精品文档Word格式文档下载.doc

1、3.2网络扩容改造步骤83.3省中心局域网改造83.3.1需求分析83.3.2USG5550防火墙规划83.3.3改造步骤93.4 QUIDWAYLS VPN搭建（配置案例详见附件三、四）103.4.1 新购设备物理拓扑搭建113.4.2 SDH线路时隙分配113.4.3 配置IGP153.4.4 配置QUIDWAYLS153.4.5 配置VRF153.4.6 配置QUIDWAY-BGP163.5 IP地址过渡实现163.5.1 IP地址使用现状163.5.2 IP地址过渡第一阶段163.5.3 IP地址过渡第二阶段173.5.4 IP地址过渡实现的难点173.6 过渡期间新旧网络互通实现17

2、3.7结算类VPN访问实现183.8上联集团公司线路访问实现193.9 NAT实现财务类IP访问集团公司金融业务平台213.10割接前网络测试223.11试点市州网点割接223.11.1市州汇接中心网络结构核心区域223.11.2市州广域网拓扑结构233.11.3试点县局/网点割接243.11.4线路备份走向253.11.5市州主备路由器及主备交换机配置26第四章网络切换方案284.1网络改造人员以及分工安排284.2割接整体思路284.3省中心局域网割接284.3.1网络现状284.3.2过渡连接描述294.3.3割接过渡方案304.4市州中心局域网割接304.4.1网络现状304.4.2过

3、渡连接描述304.5网点割接314.5.1网络现状314.5.2过渡连接描述31第五章应急预案335.1改造过程的相关工作335.1.1检查现有网络情况335.1.2备份现有网络中设备的参数配置335.1.3检查线缆标签335.1.4省、市州中心局域网改造完成后的验证和不成功回退335.1.5网点割接后的验证和不成功回退335.2应急反应小组组成及分工335.3应急处理预案345.3.1实施过程中紧急情况的应急预案345.3.2割接过程中的紧急情况的应急预案345.3.3使用过程中的紧急情况的应急预案34附录一 各市州IP地址分配表35附录二 工程实施进度表36附录三 QUIDWAYLS VP

4、N在华为设备上的实现413.3.4骨干网络的配置步骤413.3.5R2-PE1设备完整配置433.3.6R3-P设备完整配置483.3.7R4-PE2设备完整配置523.3.8R1-CE-RED-1设备备完整配置563.3.9R5-CE-RED-2设备备完整配置593.3.10R6-CE-Green-1设备备完整配置623.3.11R5-CE-Green-2设备备完整配置65附录四 QUIDWAYLS VPN在迈普设备上的实现683.3.12关键配置如下（AR4680）:683.3.13设备在QUIDWAYLS网络中完整配置案例如下:71第一章概述1.1文档目的本文档是xx省财政信息网网络扩容

5、改造工程项目实施方案文档，旨在构建一个更加标准、稳固、可靠、安全的企业网接入网络架构，以支持xx财政目前和今后的业务需求。本实施方案在实施过程中也将逐步调整和完善，以进一步适应财政业务发展的需要。1.2适用范围本文档的适用范围是xx省财政信息网网络扩容改造一期工程的实施。1.3设计思路概述按照中国财政集团公司下发的关于财政信息网省内网建设工作的指导意见（中国财政2007520号）（以下简称指导意见）要求，以及xx省财政信息网安全规范要求，省公司计划对我省财政信息网网络进行扩容改造，同时考虑网络安全系统及增值业务建设，内容包括：省信息中心改造、市州汇接中心改造及城市网改造。根据xx省财政信息网的

6、业务需求，总体设计思路将整网采用QUIDWAYLS VPN技术进行业务隔离，划分为金融类VPN、财务类VPN、结算类VPN、综合类VPN（含视频会议、IP语音和OA、人力、财务、量收等）及借用线路第三方VPN。改造后我省财政信息网将成为高速（高带宽）、稳定（设备及链路备份）、安全（使用VPN等安全技术）、可靠（使用802.1x认证技术），集数据、视频、语音为一体的综合信息网，可满足今后三年左右的业务发展需求。1.4项目组联系人单位名称姓名电话电子财件第二章网络基本构架2.1项目背景我省财政信息网经过2004和2006年两次扩容改造后，省、市县及网点各级汇接的覆盖范围、网络带宽和传输能力得到了极

7、大的提升，现已形成覆盖全省所有市州、支撑绝大部分财政业务的信息网络，并为提升我省财政服务水平、促进业务发展提供了有力保障。从2005年开始，随着财政业务持续发展和财政信息化应用的不断深入，集团公司逐步开始进行综合类系统（B/S架构）的建设，截止目前我省已陆续有业务量收管理、人力资源和财务管理系统等综合类系统上线。由于管理类系统与生产类系统在系统架构、数据访问、应用方式等方面存在较大差异，因此这两类系统在同一生产网上运行表现出一些弊端，具体体现在以下三个方面：（一）、带宽不足。目前我省财政信息网的管理类信息系统均采用B/S（浏览器/服务器）结构，特点是界面美观、操作简便，但系统访问占用较大带宽。

8、目前我省省内网的规模是：13个市州局分别通过主备各一条2Mbps电路接入省信息中心，省会兰州局以局域网方式接入省信息中心。根据集团公司近期下发的关于财政信息网省内网建设工作的指导意见（中国财政2007520号）要求，省内网通信带宽要求最低为32Mbps，推荐为62Mbps；网络设备配置应满足省中心到市州未来20Mbps的通信带宽需求；网点带宽建议为一般网点64Kbps，骨干网点为512Kbps，特别骨干网点为2Mbps，网络设备配置要能满足未来4Mbps通信带宽的需求。我省财政信息网各级网络汇接带宽与集团公司要求不符。（二）、安全性不符合最新规范。目前我省财政省中心和市州中心网络采用ACL等策

9、略区分金融类、财务类、速递类等业务，集团公司最新规范明确要求必须采用VPN等技术区分不同财政业务数据。同时，我省信息网绝大部分的网络设备系2002年以前配置，已超过折旧年限，设备本身的不稳定增大了安全运行的难度。（三）、省内网尚未开发网络增值业务。我省财政生产、调度等功能都依赖于电信运营商提供的PSTN网来实现。财政在向电信运营商缴纳数据业务网使用费同时，还需缴纳语音网使用费。如在省内网上开发IP语音等增值业务，可以大大节省全省财政语音网通信话费。综上所述，随着全国财政信息化进程的快速推进，目前我省财政信息网不论从网络架构、网络带宽，还是从安全防范管理及增值业务的应用等方面已无法满足集团公司提

10、出的相关要求及今后业务发展需要，因此建议对我省财政信息网网络进行扩容改造，同时考虑进行网络安全系统及增值业务的建设。如下图所示，我省财政信息网骨干网为省中心、市州两级汇接，骨干网所有网络设备均是1998年至2000年省内绿卡网和综合网机房建设初期配置的。2004年第一次全省财政信息网骨干网扩容改造工程后，以上设备可扩展模块全部使用，设备及配件已停产，而且所有设备保修期已过。因此，全省财政骨干网现有网络设备既无法满足扩容需求，也无法确保网络处于高稳定、高可靠性的运行。此外，我省财政虽采用2条互为备份的2M线路作为骨干网数字电路，但仅为同一运营商提供，不符合集团公司双运营商要求；而且我省所有财政业

11、务系统均共用物理线路，没有使用VPN等隔离技术，仅使用访问控制列表等基本安全要求，不符合集团公司对网络安全的推荐要求。骨干网网络拓扑如下图示：2.2建设目标我省财政信息网将采用QUIDWAYLS VPN技术对运行在信息网内的系统进行隔离，分为金融类VPN、财务类VPN、结算类VPN、综合类VPN（含视频会议、IP语音和OA、人力、财务、量收等）和借用线路第三方VPN，也可根据今后业务开办和系统功能不同实际需要进行更为细致的划分。省信息中心及各市州汇接中心改造所需的网络设备配置应考虑冗余，杜绝单点故障的发生；省到市州的骨干网线路按照集团公司相关指导意见要求将采用不同运营商的线路，且省信息中心及各

12、市州汇接中心的运营商光纤线路应尽量采用双路由双局向模式引入。在资金允许的情况下在省中心及市州信息中心采用光纤接入设备，以减少汇接中可能出现的故障点；网点线路视运营商资费情况而定，县局及部分业务量较大的网点建议采用2M数字电路接入为主，64K或128K DDN电路接入为备用线路的方式。第三章网络改造基本架构3.1网络扩容改造方案原则一、对现有网络影响最小，平稳过渡。二、业务割接前应形成详细的割接方案。三、割接方案可逆，以便最短时间恢复。四、改造工作必须统一协调部署。五、割接时间应选择在业务量最小的时候。3.2网络扩容改造步骤一、省中心局域网改造。二、QUIDWAYLS VPN 网络搭建。三、新旧

13、网络之间互通实现。四、试点市州网点业务切割。五、总结试点经验并全省推广。3.3省中心局域网改造3.3.1 需求分析现有省中心局域网拓扑如下图所示：财政金融业务、综合网、综合业务平台、第三方业务平台通过两台主备的华为 T3000防火墙接入全省财政信息网，为全省网点提供业务访问。为配合现有网络向QUIDWAYLS VPN网络平滑过渡，需对省中心局域网按业务系统进行归类，并将各业务系统隔离，分别为金融类、结算类、财务类、综合类四种业务系统及上联集团公司类。3.3.2 USG5550防火墙规划一、虚拟防火墙规划根据业务系统的分类，我们建议此次规划四个Context（虚拟通透式防火墙），分别为Admin、结算、结算-金融、结算-财务。Context_Admin：系统管理专用，建议绑定1-2个子接口用于系统管理。Context_结算：结算VPN到各个业务系统服务器平台之间数据交换中心，绑定六个子接口，分别为：Interfac_结算:连接结算服务器业务平台。Interfac_vrf_结算：用于下联QUIDWAYLS VPN网络的结算vrf。Interfac_金融：连接金融服务器业务平台。Interfac_财务：连接财务服务器业务平台。Int