廣東省地稅局網絡設計方案廣東省地稅局網絡設計方案目 錄一、前言5二、廣東省地稅局全省網絡系統設計方案概述62.1 需求分析62.2 網絡設計原則72.3 全省網絡總體拓撲圖8三、網絡方案詳細設計113.1 網絡設計概述113.1.1局域網技術的選擇123.1.2 廣域網的線路選擇133.1.3 廣域網接入設備163.2 省局網絡中心的設計173.2.1 廣東省地稅局網絡中心拓撲圖183.2.2 局域網的設計183.2.3 廣域網的設計223.2.4 省中心負載均衡及故障處理設計253.3 地市分局網絡分中心的設計273.3.1地市分局網絡結構拓撲圖273.3.2 地市分局網絡中心局域網總體設計303.3.3 廣域網的設計333.4 縣級網絡中心、征管所及城區征管分局網絡設計463.4.1縣級分局與城區分局配置463.4.1征管所設備配置473.5 語音系統設計483.6 IP地址分配方案493.6.1 IP地址的分配原則503.6.2 稅務總局關于系統內IP地址分配的規定513.6.3 IP地址分配方案533.6.4 IP地址管理583.7 全省網絡路由設計59四、網絡安全和網絡管理604.1網絡安全技術604.1.1網絡安全結構劃分604.1.2安全策略的制定604.1.3Cisco網絡安全技術624.2 地稅網絡安全設計704.2.1 地稅內部網絡安全714.2.2 外部網的接入安全控制724.2.3 網絡安全防范764.3 網管系統的設計764.3.1 網管管理的功能774.3.2 網絡管理系統的組成784.3.3 網絡管理實現方案784.3.4網絡設備管理78五、工程報價及設備配置清單805.1工程報價805.2網絡設備配置清單81六、項目規范化施工組織管理計劃846.1工程實施方式及組織846.1.1領導小組人員與職責:846.1.2深圳市XXXX實業發展有限公司項目經理的職責856.1.3廣東地稅網絡項目負責人的職責856.1.4XXXX公司工程組職責866.1.5XXXX公司技術支持組人員與職責866.1.6實施組職責876.1.7測試組職責876.2項目管理876.3工程驗收886.3.1產品設備到貨驗收886.3.2網絡系統驗收896.4集成非本項目采購產品90七、工程實施計劃917.1 工程進度計劃927.2規范化施工927.3工程階段劃分和實施步驟93八、服務948.1 系統安裝服務948.2 設備維護服務：948.3 技術支持服務968.4 用戶跟蹤維護服務978.5 系統擴充升級服務97九、 技 術 培 訓989.1國內培訓989.2國外培訓102附錄一、 設備安裝要求及建議1031.1 機房環境及安裝要求1031.2 配套工作的責任分工及要求1031.3 人員要求1041.4 配合要求104附錄二、 測試計劃1052.1測試說明1052.2檢測目的1052.3電源工程1052.4主路由器與局域網交換機1062.4.1各主路由器及網絡連接1062.5備份用CISCO 3600測試1072.5.1 CISCO 3600系統安全1072.5.2撥號認證測試1072.5.3備份撥號測試1082.5.4網絡連通性測試1082.6 PIX1082.6.1 PIX自身安全性測試1082.6.2 PIX NAT 測試1082.6.3 PIX流量過濾測試1082.6.4 PIX 的安全審計測試1082.7網絡管理1092.7.1網絡拓撲視圖測試1092.7.2網絡性能視圖測試1092.7.3網絡審計功能測試1092.7.4網絡告警功能測試1092.7.5配置管理功能測試109附錄三、 技術文檔110附錄四、 Cisco公司技術支持與服務簡介111附錄五、 深圳市XXXX實業發展有限公司的項目組主要成員115附錄六、 產品介紹120Catalyst6509高性能交換機120Cisco7507簡介122Catalyst4000系列LAN交換機124Cisco 7200系列高端路由器127Cisco 3600系列模塊化多服務接入路由器129Cisco 2600系列模塊化接入路由器132Cisco Secure接入訪問認證控制器133109/webmoney一、前言為了推進國家稅務總局確定的“以納稅申報和優化服務為基礎，以計算機網絡為依托，集中征收，重點稽查”新征管模式的全面應用，廣東省地方稅務局提出了自己的全省稅務征管數據大集中方案。本著數據集中，網絡先行的原則，為保證全省稅務征管數據大集中目標的順利實現，廣東省地稅局提出了廣東省地稅系統全省網絡建設的需求。作為系統集成商，我們深圳XXXX公司非常高興能為廣東省的稅務建設盡力，以下是我們為廣東省地稅局此次全省網絡建設所精心設計的網絡方案。網絡設計方案包括以下幾部分內容：第一章是前言；第二章是方案的整體概述，包括用戶需求分析、網絡設計原則、網絡總體拓撲圖；第三章是方案的詳細設計，包括對廣東省地稅局網絡中心、各二級地市地稅局網絡中心的局域網和廣域網的設計、網絡設備的選擇、路由協議的設計、語音系統的設計等內容；第四章描述了對網管系統的設計和對網絡的安全性分析；第五章是整個系統的配置清單，第六章是項目規范化管理；第七章是項目實施計劃；第八章是培訓及售后服務；文尾有相關的附錄。最后，祝廣東省地稅局此次網絡建設取得圓滿成功！二、廣東省地稅局全省網絡系統設計方案概述2.1 需求分析為了推進國家稅務總局確定的“以納稅申報和優化服務為基礎，以計算機網絡為依托，集中征收，重點稽查”新征管模式的全面應用，廣東省地方稅務局提出了全省征收數據大集中方案，并本著數據集中，網絡先行的原則，進一步提出了全省地稅網絡系統建設項目。根據廣東省地方稅務系統電子化進程的實際情況，廣東省地方稅務局按照統一規劃、分步實施的原則，要求此次網絡系統建設：在2000年年底之前完成省局與各市局骨干網的聯網建設；2001年6月1日前，完成汕頭、潮州、惠州、佛山、順德、東莞、江門、湛江、珠海、中山的市、縣、鄉鎮的網絡建設，肇慶、韶關、梅州、茂名、清遠、汕尾、河源、云浮、陽江、揭陽的城區網絡建設；在2001年底完成其余的網絡建設。全面完成地稅廣域網省、市、縣（區）、鄉鎮四級的全省聯網。在廣東省地稅局全省網絡系統建成之后，將實現以下目標：1、實現全省各級地方稅務機關的網絡互連，滿足地稅全省稅務集中征管后征管業務對數據傳輸的要求，并同時滿足全省地稅系統辦公自動化的網絡需求；2、可以廣泛開展網上稅收征管業務，實現稅銀連網和電子申報；3、實現與國稅、財政、工商、勞動、社保等相關政府部門的聯網，實時交流信息，提高工作效率；4、廣泛開展Internet應用和服務；5、實現廣東省地稅系統的VOIP應用和視頻會議應用。整個網絡不存在瓶頸并留有余地，網絡有良好的擴展性。整體來看，廣東省地稅局全省網絡系統是一大型的廣域網互連系統，網絡主干線路將采用XX電信的幀中繼，將全省二十二個地市級地稅局、縣市征管分局及其下屬征管所互聯起來。網絡要保證廣東省稅務征管大集中后的業務需求，同時還要支持多媒體應用，需要與公網互聯，因此，保證網絡應用的服務質量，保證網絡的安全與可靠將是設計該網絡的重點。 2.2 網絡設計原則廣東省地稅局全省網絡系統將作為各項應用系統的基礎網絡設施，其建設應該高度重視安全性和可靠性，既要注重網絡整體性能的提高，也要注重投資保護。在設計中應充分考慮廣東省地稅系統計算機系統現狀和業務情況。在整個網絡系統的設計中，我們遵循了以下的原則：開放性原則。所有的設備和系統要支持國際標準，以便于實現多廠商產品的互聯，滿足將來系統升級的要求，保護已有的投資。 統一規劃原則。統一規劃網絡對于網絡的建設和管理有非常關鍵的作用。 首先是減少投資成本，防止重復建設。其次，保證整個網絡系統端到端的一致性，利于優化網絡，便于日后的網絡管理和維護，能有效地減少管理成本。從技術方面來看，不同廠家在技術的實現方面存在一些差異，使得互聯問題以及由此帶來的維護成本變得不可忽略。 擴充性原則。網絡實施按步驟、分階段，不斷地改進和完善，系統規模及升級擴充能力應能適應廣東省地稅局的業務規模的不斷發展技術先進性、成熟性原則。方案設計應采用先進、成熟的網絡技術和通訊線路，并緊跟當前網絡技術的發展，能在較長時期內為技術的更新和業務的發展提供完好支持，實現網絡多服務功能，網絡的穩定性得到保障。可靠性、可用性原則。網絡作為業務運行的運載平臺，需要有良好的可靠性和可用性，具體到運行網，要求采用先進的高主干帶寬技術，同時要求有物理層、數據鏈路層和網絡層的備份技術 。 安全性原則。系統應建立完善的安全保障體系，既能防止外部的非法破壞，也能阻止來自內部的蓄意攻擊 可管理性原則。實現全面的網絡管理。網管人員通過網管軟件能隨時監視網絡的運行狀況，一旦出現故障，可以自動報告出錯位置和出錯原因，管理人員可以迅速發現故障并及時維護擴展性原則。系統要有良好的升級擴充能力。隨著業務的增長和應用水平的提高,網絡中的數據和信息流將按指數增長,需要網絡有很好的可擴展性,并能 隨著技術的發展不斷升級。QoS保證: 當今網絡中關鍵業務及多媒體的應用越來越多, 如 VOIP應用對服務質量的要求較高,新的網絡系統應能保證QoS,以支持這類應用。網絡結構的層次化原則。層次化的網絡有利于網絡的管理，便于采用各種網絡優化技術實現網絡優化；同時符合廣東省地稅局的行政管理層次結構，與應用實際相吻合。2.3 全省網絡總體拓撲圖根據對廣東省地稅局計算機網絡系統現狀和業務情況的詳細、深入的分析，考慮廣東省地稅局數據集中后的應用對網絡通信的要求，我們建議整個網絡系統采用圖一所示的拓撲圖。整個網絡系統采用四層結構為主（省局數據中心-地市分局分中心-縣局-網點），特殊地區采用三層結構（省局數據中心-地市分局分中心-網點），骨干網采用省局數據中心-地市分局分中心的兩層結構：廣東省地稅局全省網絡系統采用四層樹狀分層結構，拓撲結構圖如圖一所示。1、省局數據中心位于頂層的省局數據中心系統包括征管業務主機、辦公自動化服務器、核心交換機、PIX防火墻和核心CISCO路由器等。省局數據中心局域網核心由兩臺CISCO的高端千兆交換機Catalyst6509構成。這兩臺交換機以千兆光纖相連，互為備份且負載均衡，可保證當系統或網絡發生單臺路由器故障時，業務數據的傳送不受影響。到桌面系統的連接為10/100M的交換以太網或交換快速以太網。Catalyst6509交換機可劃分VLAN，并提供VLAN之間的三層交換，保證各項業務系統和OA系統互不干擾，并保證業務數據的安全性。廣域網核心由兩臺互為備份的CISCO高端企業級路由器CISCO7507構成，以幀中繼為主干線路連接各地市分中心。 撥號備份服務器和語音網關由一臺CISCO3662來完成。CISCO3662將連接ISDN，一旦連接各二級地市的幀中繼線路發生故障，各二級地市的路由器就會自動撥號與其建立連接，保證業務不中斷。另外，CISCO3662將連接市話網，實現IP網絡上的語音傳送。目前，XX地稅已有自己的WWW網站對外提供服務。在接入Internet時，為保證地稅內部網的安全，采用CISCO公司的高性能的PIX防火墻分隔內部和外部網絡，PIX防火墻的使用可保證XX地稅在提供Internet服務的同時，確保內部網絡的安全性。對于其他外部網絡的接入，也通過PIX防火墻實現內外網絡的隔離，保證其他外部網絡的安全接入。數據中心配有CISCO的網管軟件CiscoWorks2000。該軟件基于WEB界面，可集中管理全省網絡中的所有CISCO設備，可實時監控網絡線路的狀況和設備運行的情況，更改網絡配置，管理VLAN，提交統計報表等，能夠有效地幫助網絡管理人員維護、管理和使用網絡。2、地市分局網絡分中心所有地市分局網絡分中心的設備位于整個樹狀結構的第二層，其功能主要是本地市數據的匯聚和跨地域數據的轉發。二級地市網絡中心的廣域網設備包括一臺CISCO7206和一臺提供備份的3662路由器，或是兩臺互為備份的CISCO3662路由器（具體設備配置參見網絡設備配置清單）。地市分局網絡分中心通過幀中繼連接省局數據中心和其管轄地域的各征管分局和征管所，撥號備份及語音網關的功能由提供備份的CISCO3662來實現。網絡分中心的局域網交換由一臺Catalyst6509交換機完成（為保證網絡的可靠性，可考慮在各地市分中心放置一臺Catalyst3524交換機做備用，一旦6509出現故障，可用它臨時代用；若資金允許，最好隨后增加一臺Catalyst4000系列以上的交換機作雙機備份，VLAN路由可由分中心路由器實現。）。到桌面系統的連接為10/100M的交換以太網或交換快速以太網。Catalyst6509交換機可劃分VLAN，并提供VLAN之間的三層交換，保證各項業務系統和OA系統互不干擾，并保證業務數據的安全性。同時，考慮各地市分局網絡和外部網絡的連接，需要時采用一臺PIX防火墻保證外部網絡的安全接入。目前可通過路由器的安全功能進行安全接入控制。3、縣、區征管分局及征管所各個地市分局下屬的縣征管分局以及市內的征管分局和征管所位于整個網絡系統的第三層。縣局的網絡中心則是縣局下屬征管所的網絡的匯聚中心，其下屬的征管所位于網絡的第四層。根據各地市廣域網線路的實際情況，也可將縣局下屬的征管所直接連接到地市分局網絡分中心?？h征管分局以及市內的征管分局網絡設備包括一臺CISCO 3640和一臺提供語音功能兼做設備備份的CISCO 1750路由器，CISCO 3640同時完成到地市分局和網點的幀中繼主線路連接和撥號備份連接。局域網接入可視實際情況采用HUB或一臺CISCO低端交換機Catalyst 3524（或Catalyst 2924）實現。稅所使用一臺CISCO1750路由器實現幀中繼接入和撥號備份，局域網接入采用HUB或一臺CISCO低端交換機實現。另外，為了有效地利用廣域網的帶寬，降低XX地稅局日常辦公的長話費用，在省局中心、各地市分局中心和縣中心都支持VOIP功能。如需要，征管所網點的CISCO1750也支持語音接入，只需增加語音模塊即可實現。圖一、廣東省地稅局全省網絡拓撲圖地市分局網絡中心Catalyst6509F.R 縣（市）局下屬征管所CISCO1750-2V縣（市）征管分局CISCO1750城區征管分局城區征管所Cisco3640PSTNCISCO 3640CISCO 3662CISCO1750CISCO3662INTERNETCiscoworks 2000PIXF.RISDNCISCO 7507Catalyst 6509CISCO 3640省地稅局網絡中心PSTN市話網ISDNF.RCISCO1750-2VCISCO7206/3662外連CISCO2621PIXCISCO 7507三、網絡方案詳細設計XX地稅局的組織結構分為四級結構：省地稅局地市級地稅分局縣（市）級分局征管所網點，全省網絡結構也分為同樣的四級結構。廣東省地稅局下屬22個市級地稅局，每個二級地市分局有城區的征管分局及征管所網點，以及多個縣（市）分局，每個縣（市）下屬有不同數目的征管所。下面針對四級網絡結構對網絡進行總體的規劃和設計。3.1 網絡設計概述XX地稅網絡系統分為四級，是一個典型的層次結構的網絡，在方案中我們將按照分層次設計的方法，將XX地稅的網絡劃分為核心層、分布層、接入層。核心層：核心層作為層次結構網絡的資源中心，在功能上需要達到可靠、冗余、可擴展、可管理和安全等要求。在XX地稅的整個網絡中，我們把省局網絡中心定義為整個網絡的核心層。分布層：分布層是下屬節點數據的區域轉發中心，在功能上需要達到：數據鏈路失敗后快速的網絡收斂、數據接入核心層時的安全檢查。我們把地市分局的網絡中心和縣（市）級分局網絡中心定義為網絡的匯聚層。 接入層：作為網絡的最低層，它的功能是能夠以盡量低的設備造價和通信費用，滿足節點的用戶設備對網絡中心的資源訪問。在網絡層次結構中的所有的末端網絡節點都屬于接入層。從網絡的連接距離來劃分，每個網絡中心又可劃分為局域網和廣域網兩個部分。下面分別予以考慮。3.1.1局域網技術的選擇1、局域網技術從技術實現上，可用的骨干局域網技術主要有FDDI、ATM、快速以太網、千兆以太網等幾種。但由于技術的發展性、與原有網絡技術的兼容性以及使用成本等因素，目前常用的局域網技術主要集中為FastEthernet快速以太網技術和Gigabit Ethernet千兆以太網技術。其中：1）、快速以太網技術快速以太網是基于傳統的l0M以太網技術，采用與10M以太網同樣的訪問方式和同樣的幀結構，所以大量傳統的基于以太網環境下開發的應用不需要修改就可運行。快速以太網可以通過全雙工(Full Duplex)獲得200Mbps的帶寬，特別是隨著交換機的出現，全交換連接的以太網完全消除了CSM/CD技術在共享式以太網中存在的碰撞和沖突問題，網絡傳輸效率大大提高，經Cisco公司測試，在交換以太網環境下，快速以太網可利用99%的200Mbps帶寬。Cisco的局域網交換機還具有虛擬連網支持功能，可以通過802.1Q或Cisco的ISL(lnterswitch Link)技術通過快速以太網實現跨交換機的虛擬網連接。同時，它的使用成本較低。2）、千兆以太網技術千兆以太網是基于傳統的100M以太網技術發展而來，采用與100M以太網同樣的訪問方式。與FastEthernet相同，全交換連接的以太網完全消除了CSM/CD技術在共享式以太網中存在的碰撞和沖突問題，特別是隨著第三層交換機的出現，網絡傳輸效率大大提高，經IDC測試，在交換以太網環境下，千兆以太網可利用99%千兆的帶寬。千兆位以太網是超高速主干網的一種極具競爭力的選擇方案。在數據、話音、視頻等實時業務方面它雖然不能提供真正意義上的服務質量(QOS)，但千兆位以太網頻寬高，結合交換技術，可以提供極高的性能、吞吐量和服務保證等特性。由于快速以太網和千兆以太網完全兼容以前的l0BaseT技術，是傳統以太網的最自然的升級選擇，根據廣東省地稅系統目前的實際情況和今后網絡技術的發展趨勢，我們建議XX地稅局的網絡系統在局域網實現上，采用千兆以太網作為主干，快速以太網作為桌面接入。2、VLAN和VLAN路由技術局域網技術的選擇中，另外值得一提的是VLAN和VLAN路由技術。VLAN虛網是將一個物理上連接的網絡在邏輯上完全分開，這種隔離不僅是數據訪問的隔離，也是廣播域的隔離，就如同是物理上完全分離的網絡一樣，是一種安全的防護，所以VLAN功能對于網絡建設意義重大，在各種系統都連到中心局域網后，可通過把不同的系統劃分在不同的VLAN的方式，將各系統完全隔離，以實現對跨部門訪問的控制，既保證了安全性，也提高了可管理性?？缃粨Q機的VLAN技術ISL（Inter-Switch Link）或802.1Q使得對局域網的規劃、管理和控制更加方便、靈活。對于不同VLAN間需要進行控制訪問時，可以通過VLAN 間的路由來實現訪問的連通性和對訪問的安全控制。CISCO 的網絡設備提供了這方面完善的訪問與控制功能。VLAN之間的路由可通過三層交換模塊或cisco7206或cisco3662來實現。3.1.2 廣域網的線路選擇 廣域網的功能是實現不同地域的網絡互連。 廣域網的設計首先是對廣域網的線路的選擇。目前廣域網的線路可由電信局和廣電部提供。下面分別介紹：1、信局提供的廣域網線路 現有的廣域網線路主要依賴于電信局提供。電信網絡經過多年的建設，能夠提供如下的數據接入業務：1）公用電話交換網(PSTN)由于公用電話交換網傳輸的是模擬信號，數據誤碼率高、可靠性低、聯接速率不高、經常會出現通信中斷現象，且以按次計時方式計費，長時間連接的通信費用高。如市話是4元/小時，以每天工作10小時計，每月的通信費用為1200元。如果以農話、長話連接，費用更高。因此PSTN不適合作為主用通信線路，但適合作為備份線路。同時作為傳統PSTN的擴展，電信部門全面推出了ISDN業務，基于PSTN基礎設施，ISDN能夠既支持話音業務又支持非話音業務的交換式數字服務。用戶可以在同一個交換連接上傳輸話音、數據和圖象，提供交換的、按需的、全數字的網絡傳輸。目前ISDN主要用于訪問遠端對業務流要求較小的公司及對其它廣域連接的熱備份。相比PSTN，它連接速度快，可用帶寬更高。2)分組交換公用數據網(X.25)分組交換作為一種較為成熟的數據通信技術，具有較高質量的傳輸性能，可在節點交換機和分組終端用戶之間實現誤碼率小于4x10-15的數據傳輸， 此外，它還具有可靠性高、支持多種規程、信道利用率高、經濟性好等特點，通信費用與占用通信線路的時間和通信量有關，與通信距離無關。但由于數據采用分組交換，傳輸過程中經過不確定的若干節點交換機，數據傳輸有比較大的延時。分組交換適于作為數據量不大的征管所網點進行跨地區長途通信的主用通信線路。目前公用分組交換網已經覆蓋全國縣級以上城市。3)數字數據網(DDN)DDN是利用數據信道提供半永久性連接電路，主要提供高速率、高質量的點對點連接。通信費用是固定月租， DDN的通信費用與占用時間和通信信息量無關，只收取固定的月租費，DDN提供的是半永久性的數字連接，沿途不進行復雜的軟件處理，因此延時較短，避免了分組網中傳輸延時大且不固定的缺點。DDN提供的通信速率從2.4kbit/s到2Mbit/s。DDN所具有的特點：DDN是同步數據傳輸網，且不具備交換功能；傳輸速率高，網絡延時小；DDN為全透明網；網絡運行管理方便。4)、Frame-Relay幀中繼是一種新的服務，它能夠為高速的基于幀的突發數據業務提供有效和高性能的數據通信手段。準確的說，幀中繼是從傳統的基于幀的服務（如X.25）發展而來的，然而與X.25不同的是，依賴于低出錯率的高速數據傳輸介質，如T1/E1、T3/E3以及更高速的光纖技術，幀中繼的定義中去掉了X.25的第三層，而且不進行差錯控制和復雜的流量控制，而是將這些工作交給端系統完成，所以可以提供極高的傳輸速率。有一點非常重要，幀中繼和X.25一樣，只是數據網絡中關于接口標準的定義。因此，它只定義數據以何種格式提交給幀中繼網絡進行傳輸，而不管幀中繼網絡如何將數據從一個節點傳送至另一個節點，其實現的細節留給了幀中繼網絡設備制造商。作為用戶和網絡之間的接口標準，幀中繼提供了一種統計復用手段，使得同一物理鏈路上可以有多個邏輯數據會話(稱為虛電路)，這不同于純粹的時分復用，幀中繼的統計復用提供了對帶寬更靈活更有效的利用。2、廣電部提供的廣域網的線路 廣電部的有線電視網絡經過多年的建設，在城市和鄉村鋪設了大量的光纖和銅軸電纜，除了為用戶提供傳統的電視節目外，也能夠提供如下的數據通訊業務：1）10/100/1000M以太網的接入服務：有線電視臺目前在城市內鋪設有大量的光纖到社區，到大樓，除了用于視頻傳輸外，還有大量的光纖閑置，可全部用于數據通信。這些光纖可被大的企業或集團租用。為了對中小企業提供服務，他們在大樓內安裝了局域網交換機，讓用戶以10兆速率或100兆的速率接入他們的網絡。2）Cable Modem的接入服務：對于銅軸電纜已經鋪設到的家庭用戶或企業辦公室，可以采用Cable Modem接入有線電視臺的寬帶網絡。Cable Modem的上行的最高速率可達3-10兆，下行速率可達27兆。結論：在XX地稅的網絡設計中，考慮到電信和廣電線路的情況和地稅網絡應用的實際情況，電信的網絡分布廣，技術支援實力雄厚，有大量的應用實例可供參考，建議主干線路選用電信線路；同時，電信幀中繼線路與DDN線路相比，速率不低，但價格更有優勢。因此，建議在省地稅局到地市分局的骨干網上采用以幀中繼作為主用線路，以ISDN作為備份線路；在各地市分局的網絡中，建議采用以幀中繼作為主用線路，城區征管分局和縣分局以ISDN以作為備份線路，所有的征管所PSTN作為備份線路。對于局部沒有所需線路的地方，根據實際情況選用相應線路。由于CISCO設備支持各種線路連接，局部線路連接的改變不影響設備的選擇。對于廣電網絡建設較完善的地方，也可考慮采用廣電的寬帶網作為廣域網線路。3.1.3 廣域網接入設備根據線路的選擇，由用戶DTE設備到電信局端需要相應的接入設備。其中幀中繼的接入需要基帶MODEM或DTU設備，對于采用E1幀中繼線路速率的需要高速MODEM或光纖接入設備-光端機；撥號備份線路需要選擇相應速率的撥號MODEM。由于幀中繼線路接入設備的選擇涉及與電信局端設備的兼容性問題，同時要考慮所申請的線路速率和接入線路的介質，必須根據地稅部門的實際線路情況，與當地電信部門協商，根據當地電信部門的設備情況選擇適當型號的接入設備。遵循的原則是：1）、所選接入設備與當地電信局端設備兼容。2）、接入設備的最高傳輸速率大于所申請的線路的PVC端口速率，并預留線路擴容的余地。3）、接入設備的接口類型必須與局端接入線路接口類型、用戶端路由器的接口類型相對應。4）、接入設備的數量根據申請的線路端口數量確定。目前，根據市場的情況，常用的基帶MODEM和DTU設備主要為：ASCOM的基帶MODEM、高速MODEM；新橋的DTU；RAD的基帶MODEM、高速MODEM；國內也有幾家，如成都邁普有各種速率的基帶MODEM，實達各種型號的MODEM及吉山的MODEM等品牌。據我們了解，廣東省各地市電信部門使用的設備略有不同，總體講使用ASCOM的設備較多。根據廣東省地稅局的網絡建設安排，隨后將進行接入設備的統一選型，在此我們只加以簡單說明。3.2 省局網絡中心的設計省局網絡中心作為整個XX地稅網絡的核心層主干，在功能上有以下的要求：1、 可靠性省中心網絡作為整個網絡結構的中心和骨干，網絡必須提供可靠的不間斷運行，所以可靠性非常重要。2、 高速率網絡設備應提供高速的背板交換，網絡的局域網應實現高速連接，廣域網需采用電信的高速連接網絡實現高速的廣域網互連。3、 可擴展性網絡建設充分考慮網絡的發展，設備本身可做進一步的升級。4、 負載均衡由于省局網絡中心是資源的匯聚中心，在中心進行著多種業務和多種應用的處理，這些往往是通過多臺網絡設備在多臺主機上同時進行的，采用必要的手段將各種匯聚來的負載分布在幾個處理機上進行，是保證系統的可用性和高效性的一個重要手段。XX地稅局數據集中后，所有的業務數據都將集中到省局中心，因此省中心網絡系統的可靠性顯的非常重要，為提高系統的可靠性，在設計中：根據XX地稅的網絡應用情況，我們建議利用省局原有的一臺Catalyst6509，省局中心局域網再配一臺Catalyst6509，使用兩臺Cisco公司的Catalyst6509交換機組成的局域網主干核心。廣域網的核心采用兩臺Cisco7507路由器，構成一個冗余、可靠的主干結構；而撥號備份和語音網關由一臺Cisco3662路由器來實現。為保證網絡不受外部網的破壞，采用兩臺互為熱備份的CISCO的PIX防火墻實現地稅內外部網的隔離，保證地稅網絡對外的安全連接。CISCO 3662省地稅局網絡中心INTERNETCISCO 7206Catalyst 6509Ciscoworks 2000PIXFRISDNCISCO 7507Catalyst 6509CISCO 3640CISCO 3662Catalyst6509市話網CISCO 3662CISCO 3662地市分局網絡中心地市分局網絡中心3.2.1 廣東省地稅局網絡中心拓撲圖 3.2.2 局域網的設計1、局域網設計局域網核心交換平臺設計： 1）給省局中心交換平臺配置了2臺對稱的核心交換機，即使一臺中心交換機發生故障，整個系統也可以保證正常的使用，消除了系統的單機故障；2）采用全交換網絡消除局域網的碰撞，實現高可用性；3）2臺交換機間相互連接，實現負載分流；4）為業務主機的雙機備份功能提供良好支持，中心服務器主機采用雙網卡，分別連接兩臺交換機，當主機一塊網卡出現故障時，通過主機軟件和交換機的切換，將IP地址和業務流量轉移至另一塊網卡上，無須主機間切換。當一臺交換機出現故障時，業務流量被轉移到另一臺交換機上進行。只有當一臺主機發生故障時才將業務流量切換至另一臺主機，使主機的雙機系統具有良好的容錯功能和最少的故障恢復時間。5）核心路由器分別通過2個以太口連接兩臺交換機，利用交換技術，結合交換機本身的橋接生成樹（SPANNING TREE）算法，消除到局域網接入的單點故障。配合主機系統的故障熱切換技術，實現一個消除了單點故障、安全可靠的中心局域網交換平臺。設備選擇及配置：局域網使用2臺Cisco Catalyst6509交換機組成主干核心交換機，兩臺交換機互為備份。Catalyst6509交換機基于千兆交換的高速備板結構， 是目前業界端口密度最高、性能最佳的交換機之一，支持多種類型的網絡接口，具有第二層至第四層的交換和控制功能，是智能型的多層交換機，可達到256Gbps的背板交換帶寬和150Mpps的多層交換能力。其設計采用CEF改進型路由算法和獨特的路由模塊、交換模塊分離式設計方法，大大提高了傳統的第三層、第四層交換能力，達到了線速的包處理能力。其高智能、高性能的特點非常適合作為大的園區網或大樓網的網絡核心設備。下面是Catalyst6509的配置表： 模塊描述功能WS-C65096509的機箱WS-CAC-1300W6509的第一個交流電源提供機箱電源WS-CAC-1300W/26509的第二個交流電源提供機箱電源和第一個電源的備份WS-X6K-SUP1A-MSFC6509的交換引擎，支持三層交換路由，帶兩個千兆的以太網口提供整個交換機的交換處理WS-X6K-S1A-MSFC/26509的第二個交換引擎，帶兩個千兆的以太網口第一個交換引擎的備份WS-X6248-RJ-456509的48口的10/100M的模塊提供局域網的連接MEM-C6K-FLC24MFlash Memory 24M存放IOS軟件WS-G54846509的千兆口連接模塊提供多模光纖連接1）、兩臺交換機采用相同的配置，每臺以下面的方式實現可靠性和可用性：配置兩塊SupervisorEngine交換處理模塊，兩塊模塊之間互為備份，平時位于第一個槽位的SupervisorEngine以Primary的方式工作，位于第二個槽位的SupervisorEngine以Slave的方式工作，隨時監聽Primary的SupervisorEngine的工作狀態，一旦Primay方式的SupervisorEngine發生故障，工作于Slave方式的SupervisorEngine自動接管工作。2）、配置兩個電源模塊兩塊電源模塊之間互為備份，實施時，電源采用兩路電路供電，兩個電源模塊一塊接市電、一塊接UPS電源，分別接兩路電源。任何的一路電源都可以擔負整個設備的電源供給工作，平時兩路電源同時工作，實現負載分擔，一旦一路電源掉電，另外的一路將自動的擔負整個設備的電源供應。一路電源的失效將不會影響設備的正常工作。3）、兩臺交換機之間實現GiGabitChannel的連接兩臺交換機之間通過SupervisorEngine上的兩個千兆口用光纖互連，實現Cisco公司獨有的GigabitChannel的捆綁方式，兩個千兆的口互連速率可達到四千兆，從而使在兩個主干交換機之間的傳輸速度很快，提供主干的高速傳輸。2、局域網設計的實施配置說明IP地址的配置需根據地稅局網絡中心的具體情況進行配置，局域網VLAN劃分及路由協議配置如圖所示：VLAN 2省局網絡中心局域網配置示意CISCO 3662PIXCISCO 7507WWW 服務器HSRPGigaBit ChannelVLAN 4VLAN 1VLAN nCatalyst 6509VLAN 3OSPF1）根據省地稅局的網絡拓撲，我們建議在中心交換機上劃分VLAN時，把前置處理機和中心主機劃分為一個VLAN；外連網絡劃分為一個VLAN；與路由器連接的接口劃分一個VLAN；其他VLAN的可根據地稅局的不同部門或應用來劃分。保證各應用的訪問安全。VLAN間的路由通過6509的三層交換模塊實現，并可采用訪問列表進行訪問控制；2）、連接到主干交換機上的設備（路由器、主機等）都分別連接到兩臺交換機，任何的一臺交換機或者線路出現問題都不影響網絡的連接。在正常情況下，數據通訊在兩臺交換機上實現負載均衡，對某一連接在主干交換機上的設備而言，一臺交換機是其主交換機，另一臺作為備份，一旦主交換機鏈路失效，則連接在備份交換機上的鏈路自動啟用，保證網絡的正常連通；一臺核心交換機出現故障時，其上原有的工作負載自動轉移至另一臺交換機，由一臺交換機承擔，整個網絡連通性不受影響，實現高可靠性。3）由于到廣域網路由器的連接存在冗余路徑，交換機路的由模塊上，在與路由器相連的VLAN接口和廣域網路由器的局域網口上運行OSPF動態路由協議；4）兩臺6509交換機間配置GigabitChannel捆綁，實現高速通信；5）在三層交換模塊上運行CISCO的HSRP協議實現雙機熱備份，對主機側呈現一個虛擬的IP地址，主機側路由只需配置一個缺省網關而實現鏈路冗余。在正常狀態下，兩臺交換機的交換模塊獨立工作，實現負載均分，一旦一個失效，另一個交換模塊會在短時間內（隱含值3秒）內接管該模塊的工作，維護VLAN及對外通訊的暢通，整個過程對主機是透明的；6）對外部網的連接需要進行防火墻的安全配置。整個配置主要包括以下幾個方面：交換機IP地址和缺省網關VLAN的劃分GigaBit Channel 配置VLAN TRUNK冗余配置Ethernet, Fast Ethernet, and Gigabit Ethernet Switching 配置Spanning Tree 配置Spanning-Tree PortFast, UplinkFast, and BackboneFast 配置VTP 配置Redundant Supervisor Engines 配置Layer 3 Protocol Filtering 配置IP Permit List 配置Port Security 配置SNMP3.2.3 廣域網的設計廣域網的設計包括下面的幾個部分：1、廣域網的線路幀中繼能夠為高速的基于幀的突發數據業務提供有效和高性能的數據通信手段，具有高吞吐量、低延遲和費用較低、支持多點傳輸的優點。所以我們建議從省局中心到地市分中心的廣域網主干線路采用幀中繼線路，以ISDN作為備份線路。根據線路的估算，中心到地市分局約需要6個E1端口，實施中將他們分為兩組分別連接中心的兩臺核心路由器，實現地市分局網絡數據在兩臺路由器上的負載均分，同時一旦一臺路由器出現故障，可減小影響。備份線路連接在中心的撥號備份路由器CISCO 3662上，實現對主線路的備份。具體的端口數需求和速率和PVC設計方案見廣域網的帶寬設計一節。2、廣域網的設計中心廣域網路由核心設計：作為廣域網接入的匯聚中心，省中心的廣域網接入核心的可靠性與高可用性直接關系整個網絡的性能。在設計中采用2臺對等的核心路由器，在兩臺核心路由器上做對等配置，即使一臺中心交換機發生故障，整個系統也可以保證正常的使用，消除了系統的單機故障。配置撥號備份的接入，作為對幀中繼主線路的備份。設備選擇配置：核心路由器選用2臺當今業界高性能的Cisco 7507路由器產品。中心2臺路由器上作同樣的配置，防止了單臺路由器的單點故障。另加一臺CISCO 3662作為撥號備份路由器，三臺路由器分別通過兩個快速以太網端口以全雙工方式連接兩臺Catalyst 6509交換機實現到中心的冗余連接。根據線路申請情況，將各地市分局分組分別連接在兩臺路由器上，實現負載分流。CISCO 7507的配置如下：模塊名描述數量功能CISCO7507/4X27507的機箱，兩塊RSP4處理器模塊1機箱VIP2-50第二代通用接口處理器模塊2提供分布式路由PA-FE-TX2口的快速以太網模塊2快速以太網連接PA-4E1G/754口的E1的端口2FR的連接 7507上提供冗余電源支持,可熱插拔的兩個電源互為備份；7507 提供7個插槽，其中兩個用于插CISCO的RSP4模塊達到負載均衡的目的，并互為備份；選用兩口的PA-2FETX的快速以太網模塊，分別與兩臺6509相連；配置通用的VIP的模塊，CISCO的VIP2的模塊是CISCO為提高7500的處理能力和擴展能力的子處理模塊，每個VIP2的模塊提供兩個用戶插槽，可插兩塊子卡。另外一臺Cisco 3662配置ISDN撥號備份模塊和語音模塊，實現省中心到各地市間幀中繼主干線路的備份和語音功能。采用兩臺互為熱備份的CISCO 高性能的PIX防火墻實現地稅內部網絡對外部網絡和對INTERNET的安全接入，保護內部網和主機不受非法攻擊。3、廣域網設計的實施配置說明1）省局中心的IP地址分配根據省局的統一規劃進行配置；2）路由協議上，由于在網絡中心的局域網連接中采用了冗余連接，所以在路由器的局域網口上必須采用OSPF或EIGRP動態路由協議才能滿足負載均衡和快速收斂；而在到地市分局的廣域網的連接中，整個網絡系統的層次結構簡單清晰，同時使用分層IP地址結構，到每個地市分局的所有IP地址可匯總為一到兩個B類地址，所以采用靜態路由協議。為了減少中心路由器的路由表的大小，簡化路由，在省、地市主干路由器必須采用相應的匯總路由，且二者必須一致。配置通過備份線路到地市分局的路由，實現線路備份；配置路由保證到地市分局語音網絡能連通。配置方案如下圖所示：省局網絡中心廣域網配置示意CISCO 3662PIXCISCO 7507HSRPGigaBit ChannelCatalyst 6509OSPF配缺省網關F.RISDN靜態路由外連WWW 服務器3）每臺核心路由器各上，同一接口上連接的地市分局網絡共享一個E1端口的速率，在此路由器接口上，根據所連接的地市，劃分子接口，進行幀中繼封裝，并對應到相應地市的PVC的DLCI號。子接口上根據IP地址規劃配置點對點地址或使用IP Unnumbered地址。4）在語音網關和備份路由器上，在備份接口上進行相應地市的撥號備份配置，在語音接口上進行相應的語音配置，并在路由器上配置路由。5）兩臺路由器上作相同的配置，未使用的接口也進行相應的配置，平時可以把廣域網接入線路均分到兩臺路由器上實現負載均分，提高可用性。當一臺路由器上的端口或者路由器損壞時，在備份線路啟用的同時，將此臺路由器上相應端口的主干線路人工切換到另一臺路由器上即可使主干線路恢復通訊，備份線路自動斷開，在不增加線路費用的情況下，保證了網絡的高可用性和可靠性。6）采用兩臺CISCO 高性能的PIX防火墻實現地稅內部網絡對外部網絡和對INTERNET的安全接入，保護內部網和主機不受非法攻擊。防火墻的安全配置說明詳見第四章網絡安全部分。3.2.4 省中心負載均衡及故障處理設計1、負載均衡作為整個網絡的匯聚核心，省局網絡中心的可靠性、高效性尤其重要。根據上述的網絡設計：局域網：采用兩臺高性能的核心交換機，在兩臺交換機的配置上采用VLAN劃分、HSRP、OSPF動態路由、訪問列表訪問控制等技術，實現對應用主機的冗余鏈路和雙機熱備份。同時，通過使用上述技術，在兩臺交換機都正常工作時，將中心局域網上的流量分配在兩臺交換機上，實現負載均衡，提高網絡處理效率。 廣域網接入：同樣采用兩臺高性能的核心交換機，對各地市廣域網的接入均分在兩臺路由器上，以便提高效率。同時采用備份線路接入作為主線路的備份，并且兩臺核心使用對等配置，一旦一臺路由器出現故障，另一臺可完全接替該路由器所有的接入負載，實現了高可靠性。另外值得考慮的一點是，由于廣東省地稅局數據集中后，所有的數據處理集中在省中心，數據量大，應用種類多，中心主機的處理能力和中心網絡的交換能力將面臨更大的壓力。在網絡方面我們已作了充分的考慮，使用多路徑負載均分實現網絡的高性能傳輸和路徑的可靠性；對于主機，往往采用多臺主機并行處理的方式以提高處理速度，同時增強可靠性。對于數據流量在主機間的分流，CISCO的LocalDirector具有流量分析，自動分配負載的功能。它能按照一定的負載均衡算法，將TCP/IP信息流進行分類，并影射到不同的IP地址。實現多臺主機間數據處理的負載均分。我們建議地稅局在必要的時候，配置一臺以增強主機的處理能力。使用LocalDirector可實現對主機透明負載均衡，拓撲結構如下圖所示：Catalyst 6509 Local