版权说明:本文档由用户提供并上传,收益归属内容提供方,若内容存在侵权,请进行举报或认领
文档简介
1、广东省地税局网络设计方案目 录一、前言5二、广东省地税局全省网络系统设计方案概述62.1 需求分析62.2 网络设计原则72.3 全省网络总体拓扑图8三、网络方案详细设计113.1 网络设计概述113.1.1局域网技术的选择123.1.2 广域网的线路选择133.1.3 广域网接入设备163.2 省局网络中心的设计173.2.1 广东省地税局网络中心拓扑图183.2.2 局域网的设计183.2.3 广域网的设计223.2.4 省中心负载均衡及故障处理设计253.3 地市分局网络分中心的设计273.3.1地市分局网络结构拓扑图273.3.2 地市分局网络中心局域网总体设计303.3.3 广域网的
2、设计333.4 县级网络中心、征管所及城区征管分局网络设计463.4.1县级分局与城区分局配置463.4.1征管所设备配置473.5 语音系统设计483.6 ip地址分配方案493.6.1 ip地址的分配原则503.6.2 税务总局关于系统内ip地址分配的规定513.6.3 ip地址分配方案533.6.4 ip地址管理583.7 全省网络路由设计59四、网络安全和网络管理604.1网络安全技术604.1.1网络安全结构划分604.1.2安全策略的制定604.1.3cisco网络安全技术624.2 地税网络安全设计704.2.1 地税内部网络安全714.2.2 外部网的接入安全控制724.2.3
3、 网络安全防范764.3 网管系统的设计764.3.1 网管管理的功能774.3.2 网络管理系统的组成784.3.3 网络管理实现方案784.3.4网络设备管理78五、工程报价及设备配置清单805.1工程报价805.2网络设备配置清单81六、项目规范化施工组织管理计划846.1工程实施方式及组织846.1.1领导小组人员与职责:846.1.2深圳市xxxx实业发展有限公司项目经理的职责856.1.3广东地税网络项目负责人的职责856.1.4xxxx公司工程组职责866.1.5xxxx公司技术支持组人员与职责866.1.6实施组职责876.1.7测试组职责876.2项目管理876.3工程验收8
4、86.3.1产品设备到货验收886.3.2网络系统验收896.4集成非本项目采购产品90七、工程实施计划917.1 工程进度计划927.2规范化施工927.3工程阶段划分和实施步骤93八、服务948.1 系统安装服务948.2 设备维护服务:948.3 技术支持服务968.4 用户跟踪维护服务978.5 系统扩充升级服务97九、 技 术 培 训989.1国内培训989.2国外培训102附录一、 设备安装要求及建议1031.1 机房环境及安装要求1031.2 配套工作的责任分工及要求1031.3 人员要求1041.4 配合要求104附录二、 测试计划1052.1测试说明1052.2检测目的105
5、2.3电源工程1052.4主路由器与局域网交换机1062.4.1各主路由器及网络连接1062.5备份用cisco 3600测试1072.5.1 cisco 3600系统安全1072.5.2拨号认证测试1072.5.3备份拨号测试1082.5.4网络连通性测试1082.6 pix1082.6.1 pix自身安全性测试1082.6.2 pix nat 测试1082.6.3 pix流量过滤测试1082.6.4 pix 的安全审计测试1082.7网络管理1092.7.1网络拓扑视图测试1092.7.2网络性能视图测试1092.7.3网络审计功能测试1092.7.4网络告警功能测试1092.7.5配置管
6、理功能测试109附录三、 技术文档110附录四、 cisco公司技术支持与服务简介111附录五、 深圳市xxxx实业发展有限公司的项目组主要成员115附录六、 产品介绍120catalyst6509高性能交换机120cisco7507简介122catalyst4000系列lan交换机124cisco 7200系列高端路由器127cisco 3600系列模块化多服务接入路由器129cisco 2600系列模块化接入路由器132cisco secure接入访问认证控制器133一、前言为了推进国家税务总局确定的“以纳税申报和优化服务为基础,以计算机网络为依托,集中征收,重点稽查”新征管模式的全面应用
7、,广东省地方税务局提出了自己的全省税务征管数据大集中方案。本着数据集中,网络先行的原则,为保证全省税务征管数据大集中目标的顺利实现,广东省地税局提出了广东省地税系统全省网络建设的需求。作为系统集成商,我们深圳xxxx公司非常高兴能为广东省的税务建设尽力,以下是我们为广东省地税局此次全省网络建设所精心设计的网络方案。网络设计方案包括以下几部分内容:第一章是前言;第二章是方案的整体概述,包括用户需求分析、网络设计原则、网络总体拓扑图;第三章是方案的详细设计,包括对广东省地税局网络中心、各二级地市地税局网络中心的局域网和广域网的设计、网络设备的选择、路由协议的设计、语音系统的设计等内容;第四章描述了
8、对网管系统的设计和对网络的安全性分析;第五章是整个系统的配置清单,第六章是项目规范化管理;第七章是项目实施计划;第八章是培训及售后服务;文尾有相关的附录。最后,祝广东省地税局此次网络建设取得圆满成功!二、广东省地税局全省网络系统设计方案概述2.1 需求分析为了推进国家税务总局确定的“以纳税申报和优化服务为基础,以计算机网络为依托,集中征收,重点稽查”新征管模式的全面应用,广东省地方税务局提出了全省征收数据大集中方案,并本着数据集中,网络先行的原则,进一步提出了全省地税网络系统建设项目。根据广东省地方税务系统电子化进程的实际情况,广东省地方税务局按照统一规划、分步实施的原则,要求此次网络系统建设
9、:在2000年年底之前完成省局与各市局骨干网的联网建设;2001年6月1日前,完成汕头、潮州、惠州、佛山、顺德、东莞、江门、湛江、珠海、中山的市、县、乡镇的网络建设,肇庆、韶关、梅州、茂名、清远、汕尾、河源、云浮、阳江、揭阳的城区网络建设;在2001年底完成其余的网络建设。全面完成地税广域网省、市、县(区)、乡镇四级的全省联网。在广东省地税局全省网络系统建成之后,将实现以下目标:1、实现全省各级地方税务机关的网络互连,满足地税全省税务集中征管后征管业务对数据传输的要求,并同时满足全省地税系统办公自动化的网络需求;2、可以广泛开展网上税收征管业务,实现税银连网和电子申报;3、实现与国税、财政、工
10、商、劳动、社保等相关政府部门的联网,实时交流信息,提高工作效率;4、广泛开展internet应用和服务;5、实现广东省地税系统的voip应用和视频会议应用。整个网络不存在瓶颈并留有余地,网络有良好的扩展性。整体来看,广东省地税局全省网络系统是一大型的广域网互连系统,网络主干线路将采用xx电信的帧中继,将全省二十二个地市级地税局、县市征管分局及其下属征管所互联起来。网络要保证广东省税务征管大集中后的业务需求,同时还要支持多媒体应用,需要与公网互联,因此,保证网络应用的服务质量,保证网络的安全与可靠将是设计该网络的重点。 2.2 网络设计原则广东省地税局全省网络系统将作为各项应用系统的基础网络设施
11、,其建设应该高度重视安全性和可靠性,既要注重网络整体性能的提高,也要注重投资保护。在设计中应充分考虑广东省地税系统计算机系统现状和业务情况。在整个网络系统的设计中,我们遵循了以下的原则:开放性原则。所有的设备和系统要支持国际标准,以便于实现多厂商产品的互联,满足将来系统升级的要求,保护已有的投资。 统一规划原则。统一规划网络对于网络的建设和管理有非常关键的作用。 首先是减少投资成本,防止重复建设。其次,保证整个网络系统端到端的一致性,利于优化网络,便于日后的网络管理和维护,能有效地减少管理成本。从技术方面来看,不同厂家在技术的实现方面存在一些差异,使得互联问题以及由此带来的维护成本变得不可忽略
12、。 扩充性原则。网络实施按步骤、分阶段,不断地改进和完善,系统规模及升级扩充能力应能适应广东省地税局的业务规模的不断发展技术先进性、成熟性原则。方案设计应采用先进、成熟的网络技术和通讯线路,并紧跟当前网络技术的发展,能在较长时期内为技术的更新和业务的发展提供完好支持,实现网络多服务功能,网络的稳定性得到保障。可靠性、可用性原则。网络作为业务运行的运载平台,需要有良好的可靠性和可用性,具体到运行网,要求采用先进的高主干带宽技术,同时要求有物理层、数据链路层和网络层的备份技术 。 安全性原则。系统应建立完善的安全保障体系,既能防止外部的非法破坏,也能阻止来自内部的蓄意攻击 可管理性原则。实现全面的
13、网络管理。网管人员通过网管软件能随时监视网络的运行状况,一旦出现故障,可以自动报告出错位置和出错原因,管理人员可以迅速发现故障并及时维护扩展性原则。系统要有良好的升级扩充能力。随着业务的增长和应用水平的提高,网络中的数据和信息流将按指数增长,需要网络有很好的可扩展性,并能 随着技术的发展不断升级。qos保证: 当今网络中关键业务及多媒体的应用越来越多, 如 voip应用对服务质量的要求较高,新的网络系统应能保证qos,以支持这类应用。网络结构的层次化原则。层次化的网络有利于网络的管理,便于采用各种网络优化技术实现网络优化;同时符合广东省地税局的行政管理层次结构,与应用实际相吻合。2.3 全省网
14、络总体拓扑图根据对广东省地税局计算机网络系统现状和业务情况的详细、深入的分析,考虑广东省地税局数据集中后的应用对网络通信的要求,我们建议整个网络系统采用图一所示的拓扑图。整个网络系统采用四层结构为主(省局数据中心-地市分局分中心-县局-网点),特殊地区采用三层结构(省局数据中心-地市分局分中心-网点),骨干网采用省局数据中心-地市分局分中心的两层结构:广东省地税局全省网络系统采用四层树状分层结构,拓扑结构图如图一所示。1、省局数据中心位于顶层的省局数据中心系统包括征管业务主机、办公自动化服务器、核心交换机、pix防火墙和核心cisco路由器等。省局数据中心局域网核心由两台cisco的高端千兆交
15、换机catalyst6509构成。这两台交换机以千兆光纤相连,互为备份且负载均衡,可保证当系统或网络发生单台路由器故障时,业务数据的传送不受影响。到桌面系统的连接为10/100m的交换以太网或交换快速以太网。catalyst6509交换机可划分vlan,并提供vlan之间的三层交换,保证各项业务系统和oa系统互不干扰,并保证业务数据的安全性。广域网核心由两台互为备份的cisco高端企业级路由器cisco7507构成,以帧中继为主干线路连接各地市分中心。 拨号备份服务器和语音网关由一台cisco3662来完成。cisco3662将连接isdn,一旦连接各二级地市的帧中继线路发生故障,各二级地市的
16、路由器就会自动拨号与其建立连接,保证业务不中断。另外,cisco3662将连接市话网,实现ip网络上的语音传送。目前,xx地税已有自己的www网站对外提供服务。在接入internet时,为保证地税内部网的安全,采用cisco公司的高性能的pix防火墙分隔内部和外部网络,pix防火墙的使用可保证xx地税在提供internet服务的同时,确保内部网络的安全性。对于其他外部网络的接入,也通过pix防火墙实现内外网络的隔离,保证其他外部网络的安全接入。数据中心配有cisco的网管软件ciscoworks2000。该软件基于web界面,可集中管理全省网络中的所有cisco设备,可实时监控网络线路的状况和
17、设备运行的情况,更改网络配置,管理vlan,提交统计报表等,能够有效地帮助网络管理人员维护、管理和使用网络。2、地市分局网络分中心所有地市分局网络分中心的设备位于整个树状结构的第二层,其功能主要是本地市数据的汇聚和跨地域数据的转发。二级地市网络中心的广域网设备包括一台cisco7206和一台提供备份的3662路由器,或是两台互为备份的cisco3662路由器(具体设备配置参见网络设备配置清单)。地市分局网络分中心通过帧中继连接省局数据中心和其管辖地域的各征管分局和征管所,拨号备份及语音网关的功能由提供备份的cisco3662来实现。网络分中心的局域网交换由一台catalyst6509交换机完成
18、(为保证网络的可靠性,可考虑在各地市分中心放置一台catalyst3524交换机做备用,一旦6509出现故障,可用它临时代用;若资金允许,最好随后增加一台catalyst4000系列以上的交换机作双机备份,vlan路由可由分中心路由器实现。)。到桌面系统的连接为10/100m的交换以太网或交换快速以太网。catalyst6509交换机可划分vlan,并提供vlan之间的三层交换,保证各项业务系统和oa系统互不干扰,并保证业务数据的安全性。同时,考虑各地市分局网络和外部网络的连接,需要时采用一台pix防火墙保证外部网络的安全接入。目前可通过路由器的安全功能进行安全接入控制。3、县、区征管分局及征
19、管所各个地市分局下属的县征管分局以及市内的征管分局和征管所位于整个网络系统的第三层。县局的网络中心则是县局下属征管所的网络的汇聚中心,其下属的征管所位于网络的第四层。根据各地市广域网线路的实际情况,也可将县局下属的征管所直接连接到地市分局网络分中心。县征管分局以及市内的征管分局网络设备包括一台cisco 3640和一台提供语音功能兼做设备备份的cisco 1750路由器,cisco 3640同时完成到地市分局和网点的帧中继主线路连接和拨号备份连接。局域网接入可视实际情况采用hub或一台cisco低端交换机catalyst 3524(或catalyst 2924)实现。税所使用一台cisco17
20、50路由器实现帧中继接入和拨号备份,局域网接入采用hub或一台cisco低端交换机实现。另外,为了有效地利用广域网的带宽,降低xx地税局日常办公的长话费用,在省局中心、各地市分局中心和县中心都支持voip功能。如需要,征管所网点的cisco1750也支持语音接入,只需增加语音模块即可实现。图一、广东省地税局全省网络拓扑图地市分局网络中心catalyst6509f.r 县(市)局下属征管所cisco1750-2v县(市)征管分局cisco1750城区征管分局城区征管所cisco3640pstncisco 3640cisco 3662cisco1750cisco3662internetciscow
21、orks 2000pixf.risdncisco 7507catalyst 6509cisco 3640省地税局网络中心pstn市话网isdnf.rcisco1750-2vcisco7206/3662外连cisco2621pixcisco 7507三、网络方案详细设计xx地税局的组织结构分为四级结构:省地税局地市级地税分局县(市)级分局征管所网点,全省网络结构也分为同样的四级结构。广东省地税局下属22个市级地税局,每个二级地市分局有城区的征管分局及征管所网点,以及多个县(市)分局,每个县(市)下属有不同数目的征管所。下面针对四级网络结构对网络进行总体的规划和设计。3.1 网络设计概述xx地税网
22、络系统分为四级,是一个典型的层次结构的网络,在方案中我们将按照分层次设计的方法,将xx地税的网络划分为核心层、分布层、接入层。核心层:核心层作为层次结构网络的资源中心,在功能上需要达到可靠、冗余、可扩展、可管理和安全等要求。在xx地税的整个网络中,我们把省局网络中心定义为整个网络的核心层。分布层:分布层是下属节点数据的区域转发中心,在功能上需要达到:数据链路失败后快速的网络收敛、数据接入核心层时的安全检查。我们把地市分局的网络中心和县(市)级分局网络中心定义为网络的汇聚层。 接入层:作为网络的最低层,它的功能是能够以尽量低的设备造价和通信费用,满足节点的用户设备对网络中心的资源访问。在网络层次
23、结构中的所有的末端网络节点都属于接入层。从网络的连接距离来划分,每个网络中心又可划分为局域网和广域网两个部分。下面分别予以考虑。3.1.1局域网技术的选择1、局域网技术从技术实现上,可用的骨干局域网技术主要有fddi、atm、快速以太网、千兆以太网等几种。但由于技术的发展性、与原有网络技术的兼容性以及使用成本等因素,目前常用的局域网技术主要集中为fastethernet快速以太网技术和gigabit ethernet千兆以太网技术。其中:1)、快速以太网技术快速以太网是基于传统的l0m以太网技术,采用与10m以太网同样的访问方式和同样的帧结构,所以大量传统的基于以太网环境下开发的应用不需要修改
24、就可运行。快速以太网可以通过全双工(full duplex)获得200mbps的带宽,特别是随着交换机的出现,全交换连接的以太网完全消除了csm/cd技术在共享式以太网中存在的碰撞和冲突问题,网络传输效率大大提高,经cisco公司测试,在交换以太网环境下,快速以太网可利用99%的200mbps带宽。cisco的局域网交换机还具有虚拟连网支持功能,可以通过802.1q或cisco的isl(lnterswitch link)技术通过快速以太网实现跨交换机的虚拟网连接。同时,它的使用成本较低。2)、千兆以太网技术千兆以太网是基于传统的100m以太网技术发展而来,采用与100m以太网同样的访问方式。与
25、fastethernet相同,全交换连接的以太网完全消除了csm/cd技术在共享式以太网中存在的碰撞和冲突问题,特别是随着第三层交换机的出现,网络传输效率大大提高,经idc测试,在交换以太网环境下,千兆以太网可利用99%千兆的带宽。千兆位以太网是超高速主干网的一种极具竞争力的选择方案。在数据、话音、视频等实时业务方面它虽然不能提供真正意义上的服务质量(qos),但千兆位以太网频宽高,结合交换技术,可以提供极高的性能、吞吐量和服务保证等特性。由于快速以太网和千兆以太网完全兼容以前的l0baset技术,是传统以太网的最自然的升级选择,根据广东省地税系统目前的实际情况和今后网络技术的发展趋势,我们建
26、议xx地税局的网络系统在局域网实现上,采用千兆以太网作为主干,快速以太网作为桌面接入。2、vlan和vlan路由技术局域网技术的选择中,另外值得一提的是vlan和vlan路由技术。vlan虚网是将一个物理上连接的网络在逻辑上完全分开,这种隔离不仅是数据访问的隔离,也是广播域的隔离,就如同是物理上完全分离的网络一样,是一种安全的防护,所以vlan功能对于网络建设意义重大,在各种系统都连到中心局域网后,可通过把不同的系统划分在不同的vlan的方式,将各系统完全隔离,以实现对跨部门访问的控制,既保证了安全性,也提高了可管理性。跨交换机的vlan技术isl(inter-switch link)或802
27、.1q使得对局域网的规划、管理和控制更加方便、灵活。对于不同vlan间需要进行控制访问时,可以通过vlan 间的路由来实现访问的连通性和对访问的安全控制。cisco 的网络设备提供了这方面完善的访问与控制功能。vlan之间的路由可通过三层交换模块或cisco7206或cisco3662来实现。3.1.2 广域网的线路选择 广域网的功能是实现不同地域的网络互连。 广域网的设计首先是对广域网的线路的选择。目前广域网的线路可由电信局和广电部提供。下面分别介绍:1、信局提供的广域网线路 现有的广域网线路主要依赖于电信局提供。电信网络经过多年的建设,能够提供如下的数据接入业务:1)公用电话交换网(pst
28、n)由于公用电话交换网传输的是模拟信号,数据误码率高、可靠性低、联接速率不高、经常会出现通信中断现象,且以按次计时方式计费,长时间连接的通信费用高。如市话是4元/小时,以每天工作10小时计,每月的通信费用为1200元。如果以农话、长话连接,费用更高。因此pstn不适合作为主用通信线路,但适合作为备份线路。同时作为传统pstn的扩展,电信部门全面推出了isdn业务,基于pstn基础设施,isdn能够既支持话音业务又支持非话音业务的交换式数字服务。用户可以在同一个交换连接上传输话音、数据和图象,提供交换的、按需的、全数字的网络传输。目前isdn主要用于访问远端对业务流要求较小的公司及对其它广域连接
29、的热备份。相比pstn,它连接速度快,可用带宽更高。2)分组交换公用数据网(x.25)分组交换作为一种较为成熟的数据通信技术,具有较高质量的传输性能,可在节点交换机和分组终端用户之间实现误码率小于4x10-15的数据传输, 此外,它还具有可靠性高、支持多种规程、信道利用率高、经济性好等特点,通信费用与占用通信线路的时间和通信量有关,与通信距离无关。但由于数据采用分组交换,传输过程中经过不确定的若干节点交换机,数据传输有比较大的延时。分组交换适于作为数据量不大的征管所网点进行跨地区长途通信的主用通信线路。目前公用分组交换网已经覆盖全国县级以上城市。3)数字数据网(ddn)ddn是利用数据信道提供
30、半永久性连接电路,主要提供高速率、高质量的点对点连接。通信费用是固定月租, ddn的通信费用与占用时间和通信信息量无关,只收取固定的月租费,ddn提供的是半永久性的数字连接,沿途不进行复杂的软件处理,因此延时较短,避免了分组网中传输延时大且不固定的缺点。ddn提供的通信速率从2.4kbit/s到2mbit/s。ddn所具有的特点:ddn是同步数据传输网,且不具备交换功能;传输速率高,网络延时小;ddn为全透明网;网络运行管理方便。4)、frame-relay帧中继是一种新的服务,它能够为高速的基于帧的突发数据业务提供有效和高性能的数据通信手段。准确的说,帧中继是从传统的基于帧的服务(如x.25
31、)发展而来的,然而与x.25不同的是,依赖于低出错率的高速数据传输介质,如t1/e1、t3/e3以及更高速的光纤技术,帧中继的定义中去掉了x.25的第三层,而且不进行差错控制和复杂的流量控制,而是将这些工作交给端系统完成,所以可以提供极高的传输速率。有一点非常重要,帧中继和x.25一样,只是数据网络中关于接口标准的定义。因此,它只定义数据以何种格式提交给帧中继网络进行传输,而不管帧中继网络如何将数据从一个节点传送至另一个节点,其实现的细节留给了帧中继网络设备制造商。作为用户和网络之间的接口标准,帧中继提供了一种统计复用手段,使得同一物理链路上可以有多个逻辑数据会话(称为虚电路),这不同于纯粹的
32、时分复用,帧中继的统计复用提供了对带宽更灵活更有效的利用。2、广电部提供的广域网的线路 广电部的有线电视网络经过多年的建设,在城市和乡村铺设了大量的光纤和铜轴电缆,除了为用户提供传统的电视节目外,也能够提供如下的数据通讯业务:1)10/100/1000m以太网的接入服务:有线电视台目前在城市内铺设有大量的光纤到社区,到大楼,除了用于视频传输外,还有大量的光纤闲置,可全部用于数据通信。这些光纤可被大的企业或集团租用。为了对中小企业提供服务,他们在大楼内安装了局域网交换机,让用户以10兆速率或100兆的速率接入他们的网络。2)cable modem的接入服务:对于铜轴电缆已经铺设到的家庭用户或企业
33、办公室,可以采用cable modem接入有线电视台的宽带网络。cable modem的上行的最高速率可达3-10兆,下行速率可达27兆。结论:在xx地税的网络设计中,考虑到电信和广电线路的情况和地税网络应用的实际情况,电信的网络分布广,技术支援实力雄厚,有大量的应用实例可供参考,建议主干线路选用电信线路;同时,电信帧中继线路与ddn线路相比,速率不低,但价格更有优势。因此,建议在省地税局到地市分局的骨干网上采用以帧中继作为主用线路,以isdn作为备份线路;在各地市分局的网络中,建议采用以帧中继作为主用线路,城区征管分局和县分局以isdn以作为备份线路,所有的征管所pstn作为备份线路。对于局
34、部没有所需线路的地方,根据实际情况选用相应线路。由于cisco设备支持各种线路连接,局部线路连接的改变不影响设备的选择。对于广电网络建设较完善的地方,也可考虑采用广电的宽带网作为广域网线路。3.1.3 广域网接入设备根据线路的选择,由用户dte设备到电信局端需要相应的接入设备。其中帧中继的接入需要基带modem或dtu设备,对于采用e1帧中继线路速率的需要高速modem或光纤接入设备-光端机;拨号备份线路需要选择相应速率的拨号modem。由于帧中继线路接入设备的选择涉及与电信局端设备的兼容性问题,同时要考虑所申请的线路速率和接入线路的介质,必须根据地税部门的实际线路情况,与当地电信部门协商,根
35、据当地电信部门的设备情况选择适当型号的接入设备。遵循的原则是:1)、所选接入设备与当地电信局端设备兼容。2)、接入设备的最高传输速率大于所申请的线路的pvc端口速率,并预留线路扩容的余地。3)、接入设备的接口类型必须与局端接入线路接口类型、用户端路由器的接口类型相对应。4)、接入设备的数量根据申请的线路端口数量确定。目前,根据市场的情况,常用的基带modem和dtu设备主要为:ascom的基带modem、高速modem;新桥的dtu;rad的基带modem、高速modem;国内也有几家,如成都迈普有各种速率的基带modem,实达各种型号的modem及吉山的modem等品牌。据我们了解,广东省各
36、地市电信部门使用的设备略有不同,总体讲使用ascom的设备较多。根据广东省地税局的网络建设安排,随后将进行接入设备的统一选型,在此我们只加以简单说明。3.2 省局网络中心的设计省局网络中心作为整个xx地税网络的核心层主干,在功能上有以下的要求:1、 可靠性省中心网络作为整个网络结构的中心和骨干,网络必须提供可靠的不间断运行,所以可靠性非常重要。2、 高速率网络设备应提供高速的背板交换,网络的局域网应实现高速连接,广域网需采用电信的高速连接网络实现高速的广域网互连。3、 可扩展性网络建设充分考虑网络的发展,设备本身可做进一步的升级。4、 负载均衡由于省局网络中心是资源的汇聚中心,在中心进行着多种
37、业务和多种应用的处理,这些往往是通过多台网络设备在多台主机上同时进行的,采用必要的手段将各种汇聚来的负载分布在几个处理机上进行,是保证系统的可用性和高效性的一个重要手段。xx地税局数据集中后,所有的业务数据都将集中到省局中心,因此省中心网络系统的可靠性显的非常重要,为提高系统的可靠性,在设计中:根据xx地税的网络应用情况,我们建议利用省局原有的一台catalyst6509,省局中心局域网再配一台catalyst6509,使用两台cisco公司的catalyst6509交换机组成的局域网主干核心。广域网的核心采用两台cisco7507路由器,构成一个冗余、可靠的主干结构;而拨号备份和语音网关由一
38、台cisco3662路由器来实现。为保证网络不受外部网的破坏,采用两台互为热备份的cisco的pix防火墙实现地税内外部网的隔离,保证地税网络对外的安全连接。cisco 3662省地税局网络中心internetcisco 7206catalyst 6509ciscoworks 2000pixfrisdncisco 7507catalyst 6509cisco 3640cisco 3662catalyst6509市话网cisco 3662cisco 3662地市分局网络中心地市分局网络中心3.2.1 广东省地税局网络中心拓扑图 3.2.2 局域网的设计1、局域网设计局域网核心交换平台设计: 1)
39、给省局中心交换平台配置了2台对称的核心交换机,即使一台中心交换机发生故障,整个系统也可以保证正常的使用,消除了系统的单机故障;2)采用全交换网络消除局域网的碰撞,实现高可用性;3)2台交换机间相互连接,实现负载分流;4)为业务主机的双机备份功能提供良好支持,中心服务器主机采用双网卡,分别连接两台交换机,当主机一块网卡出现故障时,通过主机软件和交换机的切换,将ip地址和业务流量转移至另一块网卡上,无须主机间切换。当一台交换机出现故障时,业务流量被转移到另一台交换机上进行。只有当一台主机发生故障时才将业务流量切换至另一台主机,使主机的双机系统具有良好的容错功能和最少的故障恢复时间。5)核心路由器分
40、别通过2个以太口连接两台交换机,利用交换技术,结合交换机本身的桥接生成树(spanning tree)算法,消除到局域网接入的单点故障。配合主机系统的故障热切换技术,实现一个消除了单点故障、安全可靠的中心局域网交换平台。设备选择及配置:局域网使用2台cisco catalyst6509交换机组成主干核心交换机,两台交换机互为备份。catalyst6509交换机基于千兆交换的高速备板结构, 是目前业界端口密度最高、性能最佳的交换机之一,支持多种类型的网络接口,具有第二层至第四层的交换和控制功能,是智能型的多层交换机,可达到256gbps的背板交换带宽和150mpps的多层交换能力。其设计采用ce
41、f改进型路由算法和独特的路由模块、交换模块分离式设计方法,大大提高了传统的第三层、第四层交换能力,达到了线速的包处理能力。其高智能、高性能的特点非常适合作为大的园区网或大楼网的网络核心设备。下面是catalyst6509的配置表: 模块描述功能ws-c65096509的机箱ws-cac-1300w6509的第一个交流电源提供机箱电源ws-cac-1300w/26509的第二个交流电源提供机箱电源和第一个电源的备份ws-x6k-sup1a-msfc6509的交换引擎,支持三层交换路由,带两个千兆的以太网口提供整个交换机的交换处理ws-x6k-s1a-msfc/26509的第二个交换引擎,带两个千
42、兆的以太网口第一个交换引擎的备份ws-x6248-rj-456509的48口的10/100m的模块提供局域网的连接mem-c6k-flc24mflash memory 24m存放ios软件ws-g54846509的千兆口连接模块提供多模光纤连接1)、两台交换机采用相同的配置,每台以下面的方式实现可靠性和可用性:配置两块supervisorengine交换处理模块,两块模块之间互为备份,平时位于第一个槽位的supervisorengine以primary的方式工作,位于第二个槽位的supervisorengine以slave的方式工作,随时监听primary的supervisorengine的工
43、作状态,一旦primay方式的supervisorengine发生故障,工作于slave方式的supervisorengine自动接管工作。2)、配置两个电源模块两块电源模块之间互为备份,实施时,电源采用两路电路供电,两个电源模块一块接市电、一块接ups电源,分别接两路电源。任何的一路电源都可以担负整个设备的电源供给工作,平时两路电源同时工作,实现负载分担,一旦一路电源掉电,另外的一路将自动的担负整个设备的电源供应。一路电源的失效将不会影响设备的正常工作。3)、两台交换机之间实现gigabitchannel的连接两台交换机之间通过supervisorengine上的两个千兆口用光纤互连,实现c
44、isco公司独有的gigabitchannel的捆绑方式,两个千兆的口互连速率可达到四千兆,从而使在两个主干交换机之间的传输速度很快,提供主干的高速传输。2、局域网设计的实施配置说明ip地址的配置需根据地税局网络中心的具体情况进行配置,局域网vlan划分及路由协议配置如图所示:vlan 2省局网络中心局域网配置示意cisco 3662pixcisco 7507www 服务器hsrpgigabit channelvlan 4vlan 1vlan ncatalyst 6509vlan 3ospf1)根据省地税局的网络拓扑,我们建议在中心交换机上划分vlan时,把前置处理机和中心主机划分为一个vla
45、n;外连网络划分为一个vlan;与路由器连接的接口划分一个vlan;其他vlan的可根据地税局的不同部门或应用来划分。保证各应用的访问安全。vlan间的路由通过6509的三层交换模块实现,并可采用访问列表进行访问控制;2)、连接到主干交换机上的设备(路由器、主机等)都分别连接到两台交换机,任何的一台交换机或者线路出现问题都不影响网络的连接。在正常情况下,数据通讯在两台交换机上实现负载均衡,对某一连接在主干交换机上的设备而言,一台交换机是其主交换机,另一台作为备份,一旦主交换机链路失效,则连接在备份交换机上的链路自动启用,保证网络的正常连通;一台核心交换机出现故障时,其上原有的工作负载自动转移至
46、另一台交换机,由一台交换机承担,整个网络连通性不受影响,实现高可靠性。3)由于到广域网路由器的连接存在冗余路径,交换机路的由模块上,在与路由器相连的vlan接口和广域网路由器的局域网口上运行ospf动态路由协议;4)两台6509交换机间配置gigabitchannel捆绑,实现高速通信;5)在三层交换模块上运行cisco的hsrp协议实现双机热备份,对主机侧呈现一个虚拟的ip地址,主机侧路由只需配置一个缺省网关而实现链路冗余。在正常状态下,两台交换机的交换模块独立工作,实现负载均分,一旦一个失效,另一个交换模块会在短时间内(隐含值3秒)内接管该模块的工作,维护vlan及对外通讯的畅通,整个过程
47、对主机是透明的;6)对外部网的连接需要进行防火墙的安全配置。整个配置主要包括以下几个方面:交换机ip地址和缺省网关vlan的划分gigabit channel 配置vlan trunk冗余配置ethernet, fast ethernet, and gigabit ethernet switching 配置spanning tree 配置spanning-tree portfast, uplinkfast, and backbonefast 配置vtp 配置redundant supervisor engines 配置layer 3 protocol filtering 配置ip permit
48、 list 配置port security 配置snmp3.2.3 广域网的设计广域网的设计包括下面的几个部分:1、广域网的线路帧中继能够为高速的基于帧的突发数据业务提供有效和高性能的数据通信手段,具有高吞吐量、低延迟和费用较低、支持多点传输的优点。所以我们建议从省局中心到地市分中心的广域网主干线路采用帧中继线路,以isdn作为备份线路。根据线路的估算,中心到地市分局约需要6个e1端口,实施中将他们分为两组分别连接中心的两台核心路由器,实现地市分局网络数据在两台路由器上的负载均分,同时一旦一台路由器出现故障,可减小影响。备份线路连接在中心的拨号备份路由器cisco 3662上,实现对主线路的备
49、份。具体的端口数需求和速率和pvc设计方案见广域网的带宽设计一节。2、广域网的设计中心广域网路由核心设计:作为广域网接入的汇聚中心,省中心的广域网接入核心的可靠性与高可用性直接关系整个网络的性能。在设计中采用2台对等的核心路由器,在两台核心路由器上做对等配置,即使一台中心交换机发生故障,整个系统也可以保证正常的使用,消除了系统的单机故障。配置拨号备份的接入,作为对帧中继主线路的备份。设备选择配置:核心路由器选用2台当今业界高性能的cisco 7507路由器产品。中心2台路由器上作同样的配置,防止了单台路由器的单点故障。另加一台cisco 3662作为拨号备份路由器,三台路由器分别
50、通过两个快速以太网端口以全双工方式连接两台catalyst 6509交换机实现到中心的冗余连接。根据线路申请情况,将各地市分局分组分别连接在两台路由器上,实现负载分流。cisco 7507的配置如下:模块名描述数量功能cisco7507/4x27507的机箱,两块rsp4处理器模块1机箱vip2-50第二代通用接口处理器模块2提供分布式路由pa-fe-tx2口的快速以太网模块2快速以太网连接pa-4e1g/754口的e1的端口2fr的连接 7507上提供冗余电源支持,可热插拔的两个电源互为备份;7507 提供7个插槽,其中两个用于插cisco的rsp4模块达到负载均衡的目的,并互为备份;选用两
51、口的pa-2fetx的快速以太网模块,分别与两台6509相连;配置通用的vip的模块,cisco的vip2的模块是cisco为提高7500的处理能力和扩展能力的子处理模块,每个vip2的模块提供两个用户插槽,可插两块子卡。另外一台cisco 3662配置isdn拨号备份模块和语音模块,实现省中心到各地市间帧中继主干线路的备份和语音功能。采用两台互为热备份的cisco 高性能的pix防火墙实现地税内部网络对外部网络和对internet的安全接入,保护内部网和主机不受非法攻击。3、广域网设计的实施配置说明1)省局中心的ip地址分配根据省局的统一规划进行配置;2)路由协议上,由于在网络中心的局域网连
52、接中采用了冗余连接,所以在路由器的局域网口上必须采用ospf或eigrp动态路由协议才能满足负载均衡和快速收敛;而在到地市分局的广域网的连接中,整个网络系统的层次结构简单清晰,同时使用分层ip地址结构,到每个地市分局的所有ip地址可汇总为一到两个b类地址,所以采用静态路由协议。为了减少中心路由器的路由表的大小,简化路由,在省、地市主干路由器必须采用相应的汇总路由,且二者必须一致。配置通过备份线路到地市分局的路由,实现线路备份;配置路由保证到地市分局语音网络能连通。配置方案如下图所示:省局网络中心广域网配置示意cisco 3662pixcisco 7507hsrpgigabit channelc
53、atalyst 6509ospf配缺省网关f.risdn静态路由外连www 服务器3)每台核心路由器各上,同一接口上连接的地市分局网络共享一个e1端口的速率,在此路由器接口上,根据所连接的地市,划分子接口,进行帧中继封装,并对应到相应地市的pvc的dlci号。子接口上根据ip地址规划配置点对点地址或使用ip unnumbered地址。4)在语音网关和备份路由器上,在备份接口上进行相应地市的拨号备份配置,在语音接口上进行相应的语音配置,并在路由器上配置路由。5)两台路由器上作相同的配置,未使用的接口也进行相应的配置,平时可以把广域网接入线路均分到两台路由器上实现负载均分,提高可用性。当一台路由器
54、上的端口或者路由器损坏时,在备份线路启用的同时,将此台路由器上相应端口的主干线路人工切换到另一台路由器上即可使主干线路恢复通讯,备份线路自动断开,在不增加线路费用的情况下,保证了网络的高可用性和可靠性。6)采用两台cisco 高性能的pix防火墙实现地税内部网络对外部网络和对internet的安全接入,保护内部网和主机不受非法攻击。防火墙的安全配置说明详见第四章网络安全部分。3.2.4 省中心负载均衡及故障处理设计1、负载均衡作为整个网络的汇聚核心,省局网络中心的可靠性、高效性尤其重要。根据上述的网络设计:局域网:采用两台高性能的核心交换机,在两台交换机的配置上采用vlan划分、hsrp、os
55、pf动态路由、访问列表访问控制等技术,实现对应用主机的冗余链路和双机热备份。同时,通过使用上述技术,在两台交换机都正常工作时,将中心局域网上的流量分配在两台交换机上,实现负载均衡,提高网络处理效率。 广域网接入:同样采用两台高性能的核心交换机,对各地市广域网的接入均分在两台路由器上,以便提高效率。同时采用备份线路接入作为主线路的备份,并且两台核心使用对等配置,一旦一台路由器出现故障,另一台可完全接替该路由器所有的接入负载,实现了高可靠性。另外值得考虑的一点是,由于广东省地税局数据集中后,所有的数据处理集中在省中心,数据量大,应用种类多,中心主机的处理能力和中心网络的交换能力将面临更大的压力。在
56、网络方面我们已作了充分的考虑,使用多路径负载均分实现网络的高性能传输和路径的可靠性;对于主机,往往采用多台主机并行处理的方式以提高处理速度,同时增强可靠性。对于数据流量在主机间的分流,cisco的localdirector具有流量分析,自动分配负载的功能。它能按照一定的负载均衡算法,将tcp/ip信息流进行分类,并影射到不同的ip地址。实现多台主机间数据处理的负载均分。我们建议地税局在必要的时候,配置一台以增强主机的处理能力。使用localdirector可实现对主机透明负载均衡,拓扑结构如下图所示:catalyst 6509 local director 多负载均衡cisco 7507frame relay应用前置机群
温馨提示
- 1. 本站所有资源如无特殊说明,都需要本地电脑安装OFFICE2007和PDF阅读器。图纸软件为CAD,CAXA,PROE,UG,SolidWorks等.压缩文件请下载最新的WinRAR软件解压。
- 2. 本站的文档不包含任何第三方提供的附件图纸等,如果需要附件,请联系上传者。文件的所有权益归上传用户所有。
- 3. 本站RAR压缩包中若带图纸,网页内容里面会有图纸预览,若没有图纸预览就没有图纸。
- 4. 未经权益所有人同意不得将文件中的内容挪作商业或盈利用途。
- 5. 人人文库网仅提供信息存储空间,仅对用户上传内容的表现方式做保护处理,对用户上传分享的文档内容本身不做任何修改或编辑,并不能对任何下载内容负责。
- 6. 下载文件中如有侵权或不适当内容,请与我们联系,我们立即纠正。
- 7. 本站不保证下载资源的准确性、安全性和完整性, 同时也不承担用户因使用这些下载资源对自己和他人造成任何形式的伤害或损失。
最新文档
- 保险公司基本药物报销方案
- 铁路运输安全隐患治理方案
- 村级保洁员协议书(2篇)
- 物业公司品牌形象提升方案
- 家装行业合同回款管理制度
- 期中测试卷(1~3单元)2024-2025学年人教版数学五年级上册
- 工程钢管租赁合同模板(2篇)
- 上市公司投资资产探析
- 小区回填土方合同范本(2篇)
- 环保会议会务工作总结与思考
- 2024-2030年中国新型电力系统行业发展展望及投资前景预测研究报告
- 2024自动导引车AGV技术规范
- 广东某办公楼改造装饰工程施工组织设计方案
- 《20世纪的科学伟人爱因斯坦》参考课件2
- 八年级道德与法治上册 第一单元 走进社会生活 单元复习课件
- 设计师会议管理制度
- 三年级上册数学说课稿《5.笔算多位数乘一位数(连续进位)》人教新课标
- 行贿受贿检讨书
- 人教版《劳动教育》六上 劳动项目二《晾晒被子》教学设计
- (正式版)QC∕T 1208-2024 燃料电池发动机用氢气循环泵
- 中外合作办学规划方案
评论
0/150
提交评论