新会市国家税务局广域网系统建议方案探析

1、蔼新会市国家税务案局广域网系统建议方案目 录TOC o 1-3罢第耙I半章暗邦前言颁背 PAGERE稗F _Toc4暗9219664哀1 h 柏4鞍第罢II盎章拌皑系统需求分析袄 PAGEREF _Toc492196642 h 罢6肮2.1 摆网络需求分析氨 PAGEREF _Toc492196643 h 艾6奥2.2 阿应用系统需求分扒析白 PAGEREF _Toc492196644 h 昂7敖2.2.1 瓣工作模式分析奥 PAGEREF _Toc492196645 h 袄7埃2.2.2 柏数据流量分析班 PAGEREF _Toc492196646 h 拌9啊2.3 扮解决方案分析背 PAG

2、EREF _Toc492196647 h 傲10敖第鞍III颁章埃埃广域网系统总体跋设计傲 PAGEREF _Toc492196648 h 摆13胺3.1 坝广域网系统的设埃计原则和目标背 PAGEREF _Toc492196649 h 板13拜3.1.1 翱系统要安全可翱靠皑 PAGEREF _Toc492196650 h 拔13奥3.1.2 邦系统的高性能案 PAGEREF _Toc492196651 h 拔13拜3.1.3 岸通信系统的扩充啊性般 PAGEREF _Toc492196652 h 跋13盎3.1.4 叭系统的开放性和唉标准化柏 PAGEREF _Toc492196653 h

3、 板14艾3.1.5 斑具有较好的性能奥价格比鞍 PAGEREF _Toc492196654 h 拜14案3.1.6 扳易于网络管理案 PAGEREF _Toc492196655 h 胺14翱3.2 傲系统的弹性设计巴 PAGEREF _Toc492196656 h 霸14柏3.2.1 昂弹性设计的内容哀 PAGEREF _Toc492196657 h 案14靶3.2.2 W傲AN霸的弹性设计坝 PAGEREF _Toc492196658 h 肮15阿3.2.3 败通信设备的弹性搬设计案 PAGEREF _Toc492196659 h 阿15班3.2.4 L霸AN盎的弹性设计哀 PAGEREF

4、 _Toc492196660 h 败16碍3哀.3 版系统安全性设计柏 PAGEREF _Toc492196661 h 叭16芭3.3.1 皑防火墙技术按 PAGEREF _Toc492196662 h 案17板3.3.2 盎加密技术背 PAGEREF _Toc492196663 h 佰17懊3.3.3 隘本地网的安全措百施澳 PAGEREF _Toc492196664 h 隘18瓣3.4 IP般地址规划和域名奥服务翱 PAGEREF _Toc492196665 h 碍18绊3.4.1 蔼设计原则爱 PAGEREF _Toc492196666 h 碍18绊3.4.2 I败P八网络地址分配岸 P

5、AGEREF _Toc492196667 h 袄19白3.4.3 拌域名管理拜 PAGEREF _Toc492196668 h 背19袄3.5 爱系统的性能设计背 PAGEREF _Toc492196669 h 傲19靶3.6 爸广域网系统总体隘方案疤 PAGEREF _Toc492196670 h 唉20霸第巴IV肮章案坝广域网系统方案懊 PAGEREF _Toc492196671 h 白21百4.1 拜系统整霸体结熬构岸 PAGEREF _Toc492196672 h 爱21般4.2 昂市局通信系统埃 PAGEREF _Toc492196673 h 伴21盎4.3 埃二级机构的通信背系统伴

6、 PAGEREF _Toc492196674 h 扳22案4.4 拜网络管理系统岸 PAGEREF _Toc492196675 h 皑22昂4.4.1 拜网管系统概述暗 PAGEREF _Toc492196676 h 鞍22盎4.4.2 白基于扒SUN疤工作站的网络管暗理系统罢 PAGEREF _Toc492196677 h 版23翱4.4.3 摆基于斑PC癌机的网络管理系绊统绊 PAGEREF _Toc492196678 h 癌25哀4.4.4 柏网管系统选型伴 PAGEREF _Toc492196679 h 暗26巴第爸V暗章百安产品选型分析唉 PAGEREF _Toc492196680

7、h 艾28啊5.1 笆路由器产品总体熬选型盎 PAGEREF _Toc492196681 h 凹28叭5.2 半市局路由器产品傲选型翱 PAGEREF _Toc492196682 h 熬29背5.3盎 懊分局路由器产品碍选型吧 PAGEREF _Toc492196683 h 背30按5.4 扮备份线路通信终办端设备选型板 PAGEREF _Toc492196684 h 佰32蔼第蔼VI靶章颁啊系统实施柏 PAGEREF _Toc492196685 h 靶33袄6.1 爱项目的组织癌 PAGEREF _Toc492196686 h 白33敖6.2 矮项目的实施邦 PAGEREF _Toc4921

8、96687 h 拔34斑第翱VII百章靶办服务与支持拔 PAGEREF _Toc492196688 h 办35捌第唉VIII班章霸八设备清单及工程袄预算岸 PAGEREF _Toc492196689 h 扮39败8.1 昂主要设备清单及斑报价肮 PAGEREF _Toc492196690 h 般39袄8.2 罢几点说明敖 PAGEREF _Toc492196691 h 耙40盎附件一般 百局域网设计暗 PAGEREF _Toc492196692 h 暗42案1.1 爱技术概要半 PAGEREF _Toc492196693 h 跋42拌1.1.1 碍解决方案选择埃 PAGEREF _Toc492

9、196694 h 邦43佰1.1.2 搬关于搬ATM颁网络模型爱 PAGEREF _Toc492196695 h 凹43耙1.1.3 A肮TM捌的优势唉 PAGEREF _Toc492196696 h 澳44霸1.1.4 A稗TM哀的问题昂 PAGEREF _Toc492196697 h 耙44巴1.1.5 伴千兆以太网网络跋模型摆 PAGEREF _Toc492196698 h 翱44疤1.1.6 办千兆以太网的优爸势澳 PAGEREF _Toc492196699 h 盎45扳1.1.7 凹千兆以太网的问敖题芭 PAGEREF _Toc492196700 h 爸45办1.2 瓣网络部署方法昂

10、 PAGEREF _Toc492196701 h 埃46搬1.2.1 瓣配置途径捌 PAGEREF _Toc492196702 h 耙47斑1.2.2 昂方案设计安 PAGEREF _Toc492196703 h 耙48前言前言爱近年来，计算机百、信息和通讯技啊术以惊人速度不凹断发展，为建立按信息管理系统提澳供了坚实的基础暗。I伴nternet吧/Intr碍a吧net啊在全球的日益普氨及，使信息更方哀便地进入每个人办的工作中。般 新会市肮国家税务局是担爱负着全市范围内疤的纳税户管理和佰税款征收任务。跋拟定中的计算机叭网络系统将连接疤包括市局、分局俺的二级网络架构柏。因此计算机系绊统将结合局域网

11、拌技术和网络互连澳的广域网技术。隘拟建成的系统除碍实现全市各部门矮的信息资源共享袄，便于及时掌握肮各方面的动态，跋使管理工作更加捌高效化、规范化矮、科学化外，还百将是联系省局、邦市政府、地税、哎工商、银行、海暗关等部门的桥梁板。疤 广州市公司是唉一家以从事软件案系统开发和网络拌系统集成为主要半经营方向的高新拔技术企业，在软唉件的开发和系跋统集拔成方面拥有丰富奥的经验。叭如山西省电力厅拔网络工程、海南办大学校园网、广佰州赛马会网络工疤程（含各地市远罢程投注）、广东般证券广域网工程办等都是本公司负百责建设。在广东白省国税方面，参扒与了省统一征管捌软件的开发，承笆担了集中式统一蔼征管软件的改造安工作

12、，完成了广半州市国税局网络叭工程（全市四级案网络）、清远市稗国税局网络工程瓣（全市四级网络般）、东莞市国税皑局网络工程（全阿市三级网络）、扮三水市国税局网耙络工程（全市二芭级网络）。在本袄方案建议书中，敖xx公司依据对熬国税应用系统的版了解，通过对各按应用系统（征管隘系统、行政办公搬及办公自动化系俺统、交叉稽核、背重点税源拌管理柏、领导辅助决策板及为纳税户服务爸系统等）的工作扮模式及数据流量百的分析，结合对蔼其他国税系统网跋络工程的经验，安建议了一套先进芭的计算机与网络癌系统方案疤,捌充分利用了计算凹机科学与网络技捌术的最新发展成盎果啊,翱考虑了系统的实把用性拌,叭可管理性以及灵捌活扩展能力罢

13、,把并对方案的具体俺实施提出了参考巴建议。版白系统将在数据传拜输、设备选型、敖系统容错、性能翱价格等方面达到癌平衡。在可靠性斑、先进性、安全胺性和简单且易维扒护方面得到保障氨。xx公司相信巴,扒通过与新会市国哀税局的密切合作唉，一定能够建设背一个高标准的国皑税税务电脑网络芭系统，为将来长败期的友好合作关鞍系打下良好的基班础爸。系统需求分析凹2.1百 网络需求分析罢新会市国税局计俺算机网络系统将捌连接包括市局、伴分局的二级网络邦架构。该系统将懊结合局域网技术挨和网络互连的广俺域网技术，实现般全市国税范围内挨各部门的信息资疤源共享，便于及拔时掌握各方面的矮动态，使管理工爱作更加高效化、靶规范化、科

14、学化澳外，还将是联系半省局、市政府、版企业、地税、工伴商、银行、海关佰等部门的桥梁。笆对外可接入I奥nternet碍网。网络技术发巴展到今天，出现白了：把以双绞线为传输版介质结合集线器隘构成的星型以太熬网结构取代单一爱的以铜舳电缆为疤传输介质的总线挨型网络；案交换技术引入计鞍算机网络，出现吧了以交芭换取办代共享的局面；霸多种高速传输技蔼术的产生，包括扮：F败astEthe耙rnet靶，爱GigaEth盎ernet捌，ATM等网络爸传输技术；伴从计算机局域网昂到广域网的一体扳化解决方案的不八断发展。按以上四点反映了盎网络技术的发展拔趋势。在早期总笆线型结构以太网安实践中，出现的矮可靠性差，维护捌

15、困难等问题，导澳致10BASE傲-T结构网络的碍产生，并形成结唉构化布线的基础氨，但随着网络规拔模和网络信息量敖的增大，虽然通芭过增加网段的方邦式可增加和工作啊站间的通信频宽艾，减少每个网段白的工作站数，提佰高服务器和工作拔站通信速度，但捌由于服务器必须芭对网段进行管理邦处理服务器由伴各网扮段的包接收发送鞍请求，协调网段板间的工作，因此癌随着网段数的增奥加，服务器的负碍荷越来越重，直啊接影响到服务器伴的处理能力，引熬发网络整体速度癌慢，导致网络阻佰塞，特别是网络癌主干上的阻塞，爸在这种情况下只拜有新的更高速的懊网络技术才能彻岸底解决网络阻塞哎问题，交换式以盎太网技术就是在阿此基础上，以多袄频道

16、技术，配给疤高速总线动态交凹换数据，从而获摆得最大的有效频案宽，提高网络的熬数据传输速度；岸交换技术发展到柏现在，交换不仅拜是交换式以太网爱，也可发生在多败种网络技术之间敖，如：E唉thernet爸,氨F背ast巴E败thernet叭,佰FDDI和AT隘M；随着S捌witch败、F瓣a哀st 拜E敖thernet岸、ATM技术的般产生，丰富了高澳速网络技术。般新会市国税广域八网络系统既有一拜般广域网的特点暗，同时又具有明熬显的特殊性：网络的规模较大蔼 新会市爸国税广域网系统耙的网络接点数包佰括全市23个分笆局，数据量包含扒全市所有纳税户颁的数据信息。因巴此，设备的选型傲应充分考虑税务坝应用系统

17、的特点澳及今后的发展趋笆势。我公司在这懊方面有一定的经岸验。机构正在调整霸 当前，阿税务机关正在进啊行机构改革、机瓣构分设，如征收柏点的合并及撤消斑等，设备的选型败应考虑到这些特岸点。爸已有一定数量的唉应用系统正在运翱行爱 靶市国税局瓣正推扒广使用全国统一鞍征管软件，办公俺自动化系统，要矮充分分析其数据傲分布及网上的数翱据流量。稗新会市国税广域芭网络系统的建设挨，应该是围绕着把应用展开的网络扳建设。网络的一八切建设思想应该般首先考虑应用。疤该系统的建设，跋主要是围绕建设叭税务信息管理系哎统，兼而考虑I澳nternet颁/Intran靶et翱、办公自动化等半最新应用技术与办管理模式。该网疤络系统

18、工程的建跋设，应围绕应用罢类型、应用规模拔、数据流量来考矮虑设备选型。下扳面对税局应用系埃统需求进行简单柏分析。懊2.啊2 应用系统需按求分析胺2.2.1 耙工作模式分析柏 新会市芭国税局网络承担傲的各项应用系岸统可蔼归类为：数据库罢管理系统、综合伴办公事务处理系俺统、为纳税户服奥务及领导辅助决吧策系统。该三类阿系统的应用工作搬模式及流程的情挨况如下：数据库管理系统熬一个分布式的数背据库管理系统可哀以把同一网上不盎管是局域网或广哎域网上的多个数皑据库看成一个逻瓣辑整体，实现分把布式查询、分布摆式更新、分布式唉的事务管理，用办户可以透明地操八作不同地点的不唉同数据库系统所白管理的数据，这懊要求：

19、网络透明性爸使用一种网络通瓣信协议的工作站碍，透明地与使用霸另一种网络通信盎协议的服务器通凹信。位置的透明性矮保持一个全局的拔数据字典，将各懊数据元素与分布伴式实体，用户可跋以象搬访问阿单个数据库那样凹访问分布式数据跋，而不考虑如何巴存储及存储在哪拌里。SQL透明性熬用户使用一种S挨QL语言解决异柏构数据的定义、百查询、修改，而稗不必知道不同R靶DBMS所使用伴的SQL语言的敖差别。厂商的透明性按用户面向一个逻盎辑数据库进行操爱作，透明地访问办存储在多种DB摆MS中的数据，蔼不必关心每一数爸据库的特殊工作扮方式。肮综合办公事务处疤理系统鞍综合办公事务处扒理系统面向税局蔼办公自动化、网八络化和员

20、工协同阿工作，目的是使八企业内部信息交按流和办公水平更把加高效化、规范斑化、科学化。般综合办公事务处稗理系统应包括非背结构化多媒体文埃档信息的管斑理和靶共享、工作流、耙电子邮件、电子坝会议和计划图表跋等功能，在此基翱础上实现个人办碍公管理、领导办绊公管理、公文管瓣理、政务信息管笆理、签报、报告叭管理、会议管理白、值班管理、日艾程安排、大事管按理、公共信息服瓣务等系统功能。胺OA系统包括系败统层和数据层二埃大部分。数据层叭是系统信息、文芭件等的存放场所啊；系统层包括公碍文管理、信息交罢换、个人事务等办三大模块。公文板管理模块实现进隘口文件报告的登鞍记、分发、催办埃、归档、查询以氨及出口文件报告耙

21、的起文、审批、邦分发、归档、查佰询等功能，其核蔼心是工作流引擎癌（W吧orkflow安 E霸ngine唉）。信息交换模扮块包括电子邮扳件交版换、新闻系统和办电子公告系统，坝其核心是电子邮靶件系统；个人事埃务模块，包括个巴人桌面文字处理白、电子表格、日爱程管理等辅助办耙公工具。阿为纳税户服务及颁决策支持系统罢综合办公事务处叭理和专业管理信蔼息系统只是IN奥TRANET的半初级和中级应用昂阶段，为使IN暗TRANET对艾管理工作作出实哎质性的贡献，并巴取得更大的经济颁效益，应包含更哀高级的为纳税户蔼服务及为领导决爸策支持服务系统按的应用。暗SDSS（服务霸决策支持系统）跋在半结构化和非阿结构化决策

22、活动氨过程中，通过人斑机对话，向纳吧税户和决策者提挨供信息，并为决按策者提供一个分阿析问题、构选模疤型和模拟决伴策过哎程及其效果的决邦策环境，协助决坝策者发现和分析拜问题，探索解决扮方案，评价、预耙测和选择方案，澳提高决策人员的颁决策技能和决策扒质量。由于SD敖SS需要处理的熬数据类型复杂、肮格式化程度底，板并且包含大量的昂历史数据和企业傲外部数据，建议半采用数据仓库技捌术存储和管理数瓣据；又由于SD哀SS对信息加工柏的要求比较复杂叭，并且具有很大邦的随机性，建议靶采用专业统计分耙析软件包和OL碍AP（联机分析阿处理）技术来解案决。佰2.2.2 挨数据流量分析坝由于各项应用系罢统中数据流量最鞍

23、大为统一征管软扮件系统，该系统疤已经建立，采用拔Client/版Server奥方式，原主服务鞍器澳位于疤中心分局或区局笆，多个应用系统俺的数据库建立在凹运行于中心服务埃器的袄Sybase佰关系数据库之上靶。在捌Client/癌Server澳的运行模式下，癌客户端的程序只百负责将用户的操百作转换为对服务颁器端应用程序的蔼调用，并将应用把程序执行的结果懊或页面文件的形懊式返回给用户。白这就意味这对中唉心服务器大量的艾访问，从而对中跋心服务器的处理瓣能力和广域网带耙宽造成压力。而邦办公自动化系统翱有一定的局部性蔼，在各个分部之罢间及上下级之间安主要是电子邮件坝的和少量文件的耙传输，由于该两哎种传输具

24、有随机巴性，一般不会对啊网络带宽造成持袄续的影响，因此搬在带宽估算上不坝把二者作为主要把因素熬，而是在估算后艾带宽上增加一些埃冗余作为解决方邦法。芭因此在广域网带办宽设计上需注意扳满足以下容易形碍成网络通信瓶颈蔼的方面：柏征收点访问区局阿时区局中心的广隘域网带宽形成瓶半颈。办中心分局访问区般局时区局中心的胺广域网带宽形成八瓶颈。败中心分局的广域笆网出口带宽形成爱瓶颈。绊通常，由于本系拔统是一个新建立挨的网络，市国税巴原先没有建立互啊连的税局内部网扒络，在得不到日把常工作中的网络靶流量数据的情况唉下，不能运用排白队论进行计算求胺得广域网带宽需办求，只能根据经背验结合纳税户数熬及接点数进行大唉致的

25、估算。邦为了对市局和各八个区（县）局的昂广域网带宽进行般估算，首先芭需确岸定对每台客户机坝（坝PC办）在盎Client/芭Server挨的模式下对带宽吧需求的最小值。把同时还要考虑到瓣在同一个局域网邦内部，所有的对凹区局本部的访问安都需通过唯一一皑个广域网端口。奥以太网敖CSMA/CD百的对通信信道争氨抢方式，使网络吧的利用率约为捌30%扳，由于各地局域凹网都使用交换技暗术，因此利用率按可达靶50%暗以上。傲由于敖Frame R安elay笆的带宽常用的有案19.2K案，奥64K板，拌128K癌，256K，1盎M，肮2M澳等，考虑到整个皑市国税的应用是安个逐步的过程，氨而线路的租费是败逐步下调的

26、趋势俺，建议DTU设阿备采购较高速率凹，分局、区（县哀）局采用64K艾/办1蔼28K 笆F皑rame Re懊lay(癌待应用基本上运巴用后可进行排队般论计算)扒,班市局采用1个2拜M F拔rame Re矮lay绊。班2叭.3 傲解决方案分析跋 通过白以上分析，新会奥市国税局网络采挨用何种网络体系百结构，首先必须稗了解当今计算机傲体系结构模式的败分类及其特点：柏计算机体系结构瓣主要有四种模式翱：分时（芭time-sh芭aring蔼）方式、资源共埃享败(resour傲se-shar隘ing)佰方式、客户/服盎务器（版client-啊server胺）、WWW方式傲。背分时系统（班time-sh矮ar

27、ing白）奥分时系统通常由盎两大部分组成：扒系统主机与用户氨终般端。罢整个系统的所有佰处理均在主机上跋运行，分时使用扮主机资源。资源共享方式佰资源共享方式的把系统也由两大部埃分组成：系统主哎机与用户端工作叭站。凹系统主机在这里疤充当资源服务器绊（如文件、打印八服务等）的角色颁，一般只提供资耙源共享服务，不白作数据处理。把用户端工作站通拌常是微机，用户埃输入、屏幕输出哀、数据处理等工捌作全部在工作站敖上完成。其常见盎的例子是一个计埃算机局域网系统胺，常见的NET翱WARE NO靶VELL即是典搬型例子。客户/服务器蔼客户/服务器技板术是融合了分时搬系统与资源共享翱方式的优点的基敖础上发展起来的背

28、。它有效地解决哀了前两种方式存霸在的按问题爱。它将一个系统艾分成两大部分，颁并在两部分内协肮调工作，达到最柏佳效果。前端处百理所有的屏幕和般用户的输入/输皑出；后端系统提邦供数据处理、信暗息共享、高级管邦理及安全服务。般税务信息系统的暗核心系统统一征蔼管软件系统采用埃的就是该种模式凹，对新会国税统八一征管软件系统搬而言，其数据库柏的分布显得很关白键：扳大多数的分布式叭网络系统应用都案会面临一个艰难般的选择：采用集叭中式的数据处理吧还是采用分布式哀的数据处理。以版下是数据集中处挨理与数据分布处瓣理在性能、安全傲性、应用开发难艾度、投资、可管捌理性、和易维护凹性等方面的比较颁。集中式数据处理隘集中

29、式数据处理袄的优点凹：碍技术非常成熟，罢避免了分布式处耙理所带来的诸多隘技术难题；版应用软件的开发俺工作相对简单；埃数据库系统容易熬维护，管理简单摆；绊系统初期投资、隘实现成本和运行搬成本低耙:霸初期投资包含对凹数据库系统软件俺的投资、主机服搬务器投资和各数爸据中心间的高速伴通讯线路。实现白成本包含软件开扳发成本和为分布斑式数据管理配备坝管理机构。运行背成本包含通讯费矮用，运行维护费按用和管理人员费安用等；碍适合于集中管理半的企业组织和业盎务模式。霸集中式数据处理按的缺点：澳系统中各节点依按赖广网络，当广耙域网发生故障时鞍，节点无法工作办；挨系统依赖于数据傲中心，当数据中跋心发生故障时，蔼整个

30、白系统瘫痪；哎物理数据远离用傲户，远程节点的扮响应时间较长。八 扮分布式数据处理靶 分布式数胺据处理的优点：巴较之集中式数据疤处理技术先进、鞍高效、灵活、易吧扩充、全局安全碍性高；半适合于分散形式岸的企业组织和业叭务模式；翱系统中的各节点版对广域网的依赖奥较小，当某数据袄中心出现故障时俺，除部分全局业版务功能受影响外瓣，其他业务受影颁响程度教小；稗物理数据接近用俺户，响应时间较爱短；白适合于分布或合啊作关系的企业组跋织模式。吧分布式数据处理案的缺点：敖技术尚未完全成班熟，分布式算法凹的实现效率较低拜，如分布式更新暗、复制、备份、埃分布式快照、全坝局一傲致性鞍保障等；案应用软件的开发敖难度和工作

31、量较白大，尤其在故障翱恢复时和保障全皑局一致性时，设挨计和实现难度较坝大，系统实现存斑在难以预见的风佰险因素；阿数据库系统维护敖要求人员多，对俺人员素质要求高拜，系统管理和维靶护复杂；埃系统初期投资、阿实现成本和运行耙成本较高；板数据库在市局一艾级会使数据库系敖统的管理维护工爸作得到保证，节安约区（县）一级芭的计算机系统投跋资与维护工作。白比起分布式方案拜会依赖于网络通罢讯条件。对广域扮网的要求要高。跋WWW（B皑rower/S白erver按）方式隘B叭rower/S把erver蔼方式实质也是基搬于C俺lient/S佰erve敖r奥计算体系结构，昂是多层次C艾lient/S爸erver埃结构，

32、它是随着爸I板nternet安/Intran阿et阿技术发展而来；袄从抽象的角度上扳看，W胺eb笆已经发展成为一皑种新的计算平台柏；基于W俺eb哀的应用程序通过般W唉eb盎服务器可提供各俺种服务，从简单耙的信息查询到复罢杂的事物处理；板统一、标准的前哀端交互败工具，表现为W八eb袄页面的、简单易白用的用户界面，熬易于实现的通讯扮协议，成熟的广芭域网访问技术，爸数字签名提供的扳可靠的安全性保搬证，使得W柏eb稗成为为纳税户服背务、税局办公自凹动化及辅助决策叭系统的最佳模式碍。俺广域网系统总体颁设计鞍3挨.拌1 安广域网系统的设芭计原则和目标跋皑根据新会市国家蔼税务局的要求，暗要达到系统的目靶标，

33、高水平高起盎点建设好新会国绊税广域网，必须班在以下几个方面肮出发来设计方案笆。昂3蔼.1.1 盎系统要安全可靠办按在实时性较强的氨应用系统中，安敖全可靠性是系统颁是否实用的关键哎。在我们设计的笆系统中，主要就俺中心路由器的可阿靠性和线路的容哎错来实现。班凹中心路由器采用傲Cisco安公司的高性能路捌由器4500，佰在下一级与上一绊级机构通信时，白建立扳FrameRe肮lay癌线路相应的拨号胺电话或ISDN胺备份线路，通信艾线路故障时系统扮会自动启动备份绊线路建立连接并扒维持通信，保鞍证系绊统运行不受影响佰。扳柏同时，网络路由氨器的既连通、又岸控制的功能也为凹系统安全性提供稗了有力的保证。碍3半

34、.1.2 背系统的高性能案癌系统必须具备很矮强的系统性能，背满足联机事务处唉理的要求，能够敖支持分布式的岸Client/邦Server白模式的数据库管哎理系统。哎3案.1.3 半通信系统的扩充安性暗胺通信设备捌(板路由器蔼)蔼的端口能够支持癌包括拨号电话线凹、电话专线、数佰据专线、扮X.25盎、疤DDN昂网、Frame奥Relay等各安种不同的通信线蔼路，因此系统的氨可扩充性要很好扮。当条件许可，艾可以启用更好的斑通信线路时，所背有的通信设备的白硬件不用作任何翱更改或增加，爱只要澳重新设定软件配板置，就可以在更半好的线路上提供耙更高的速率和更拔多的通信服务。稗当各机构不断增岸加而使得通信量昂加

35、大时，系统中安所采用的通信设阿备将不会成为系阿统的瓶颈。白隘Cisco扳的路由设备满足癌对线路类型的适佰应性。而且中心奥路由器4500跋有3个可用的扩碍展槽，每个扩展摆槽都可任意选配叭，能够满足系统捌以后的扩展需求隘。艾3昂.1.4 艾系统的开放性和肮标准化白跋网络通信协议和般接口要遵循国际爱标准，支持多种佰机型，多操作系盎统的网络互联。爸班根据要求系统至八少提供挨IPX爱、坝TCP/IP昂和班SNA奥三种协议支持，皑基本满足白NOVELL 跋NetWare败、扳UN吧I俺X挨和熬AS/400背等平台的网络互爸联。氨3艾.1.5 摆具有较好的性能氨价格比罢澳系统根据不同的肮线路条件和网络蔼环境

36、选用不同设斑备，力求最符合绊新会国税局的应斑用环境，并且有鞍较好的性能价格奥比。吧3斑.1.6 扒易于网络管理盎版一个大型的网络跋系统而言，一个叭有效网络管理系俺统对系统运行的敖监控、系统性能伴分析和故障诊断拌都是相当重要的敖。因此系统必须蔼配备合适的网管敖系统。坝3白.碍2吧 背系统的弹性设计搬对于一个网络系矮统来说，弹性就八是对应用程序和肮数据的有效支持败。可以说有弹性坝的网络系统就是翱当有人或某事试芭图破坏它时，还绊能连续支持用户颁的应用程序，即摆系统埃的可靠性。在实把际应用中，提高碍网络的弹性能力般的可行方法是消半除故障孤点扒,拌特别是单点故障埃。扮3隘.2.1 瓣弹性设计的内容颁弹性

37、设计包含三拜方面的内容：啊物理可靠：指系拜统对关键硬件设傲备（如罢CPU懊、存储介质等）耙损坏、不可遇见芭性灾难（如地震斑、飓风、陨石、颁强磁场等）、对疤硬件、数据库及把服务资源等的人霸为破坏的耐受能扒力。昂逻辑可靠：包含叭操作系统可靠，鞍数据库管理系统罢可靠，应用程序般可靠等。翱健壮性：指系统唉在故障情况下的隘恢复容易程度。艾对关键硬件设备芭的损坏，我们将拜采取一定程度的凹容错措施。根据熬经验，系统最可芭能出现的故障原埃因依次为：电蔼源故半障；雷击；线路蔼连接；火灾失效稗。爱我们在此方案中唉，考虑系统的弹疤性包括：鞍WAN澳的弹性设计，通耙信设备的弹性设艾计。百3埃.盎2翱.2 WAN瓣的弹

38、性设计把网间网即岸WAN氨的弹性包括冗余罢的胺WAN皑线路及其所带来盎的额外开销。一扳种主要的方法是奥连接备份线路，罢可以避免重复路八由保持和再计算百。在此方案中，芭路由器通过柏FrameRe百lay颁连接主干的通信奥线路。当主干线把路出现故障时，捌路由器可以自动白通过肮PSTN背或ISDN拨入安中心路由。摆在此方案中，蔼WAN百的弹性设计包括袄：线路的备份，佰中心路由器的备挨份。系统中以上白两个部件出现故按障时，系统能够艾自动地懊在约霸5捌秒中内切换到备翱份部件上，而无翱需人工干预。懊3靶.盎2摆.3 拌通信设备的弹性稗设计敖随着租用线路服哎务可靠性的增强胺及其使用靶ISDN/PS凹TN坝作

39、为后备策略的版成熟，系统的可霸靠性已经很大程摆度上转移到通信碍设备连接的弹性澳上。伴通信设备的损坏熬的一个很好的解办决方案就是使用叭双机热备份。阿3芭.百2背.绊4啊 LAN案的弹性设计疤随着通信线路和癌通信设备的可靠肮性提高，系统的半可靠性已经很大矮程度上转移到邦LAN傲连接的弹性上。翱一个很好的解决背方案就是使用双袄LAN霸服务。主机与两班个班LAN稗适配器相连，每搬个适配器连接到霸一个单独的安HUB爱或交换机上，这般样主把机与盎主干交换设备之巴间的关键连接是鞍弹性的。捌3班.败3拜 扮系统安全性设计盎瓣系统的安全性主笆要是因为网络经败过公共通信网（佰如帧中继，懊Interne绊t版）后所

40、引起的对凹系统的蓄意破坏败和对信息的窃取拌。班如今胺Interne唉t肮火爆全球巴,隘可令人头疼的问按题也随之而来跋,奥那就是由于把搬黑客拌隘在网上的活动极鞍具危害性和破坏鞍性坝,柏所以网络安全问氨题已成为网络管蔼理员关心的大事扮,埃它也是决定叭Interne皑t 挨命运的重要因素俺。耙然而从根本意义澳上讲氨,搬绝对安全的计算哀机系统是根本不版存在的哀,翱绝对安全的计算扳机网络也是不可肮能有的。只有存班放在一个无人知扒晓的秘室里耙,坝而又柏不插皑电的计算机才可阿以称之为安全。摆只要使用艾,瓣就或多或少存在柏着安全问题败,搬只是程度不同而按已。美国国防部拔制定的按 氨可靠计算机标准阿评估准则八

41、(Tru按sted Co安mputing瓣 Standa昂rds Eva安luation凹 Criter百ia) 凹将计算机安全划扮分为从佰A安到芭D暗四个级别碍,哎每个级别之内还白可以再细分。班A1邦级为最高瓣,拜但除了放在一个败无人知晓的地方岸且未插电的计算爱机可以算得上昂A1搬级碍,绊再没有计算机可爱以享此殊荣。标巴准的百Unix(扳只具有皑login疤口令、坝 背文件保护等几项敖安全措施叭)案被定为靶C1巴级捌,DOS般被定为案D1扮级。目前还很少捌有操作佰系统板能够符合摆B邦级标准。靶 柏我们在探讨网络阿安全的时候暗,版实际上是指一定阿程度的网络安全唉。而到底需要多八大的安全性疤,傲

42、却要完全依据实俺际需要及自身能澳力而定。网络安安全性越高佰,百就越意味着对网败络使用的不便。氨因此阿,半网络管理员在考袄虑网络安全时扒,半必须两者兼顾。艾3傲.伴3蔼.1 扳防火墙技术败 懊一个使用很广泛拜的网络安全技术蔼就是防火墙技术敖,挨即在拜Interne碍t盎和内部网络之间瓣设一个防火墙。敖 暗目前在全球连入扮Interne伴t半的计算机中约有版1/3背是处于防火墙保稗护之下。熬 版那么什么是防火俺墙呢昂?癌顾名思义稗,胺防火墙是用来阻版挡外部袄(芭Interne拔t)翱火情影响内部网扳络的哎(Intern把al netw埃ork)胺屏障。无论外部罢世界多么错综复盎杂瓣,奥良莠不齐办,

43、瓣经过防火墙的过唉滤班,疤内部网络大可隔扳岸观火奥,唉不受火灾危害。笆用专业语言来描皑述耙,艾防火墙的主要目凹的就是防止外部拔网络的未授权访哎问。如果决定某扳个网络设防火墙捌,澳那么首先需要由挨网络决策人员及艾网络专家共同决鞍定本网络的安全办策略班,肮即确定什么类型八的信息允许通过蔼防火墙扳,翱什么类型的信息败不允许通过防火捌墙。防火墙的职稗责就是根据本单奥位的安全策略鞍,瓣对外部网络与内皑部网络交流的数扳据进行检查哀,八符合的予以放行翱,肮不符合的拒之门背外。另外般,败还拔要确百定防火墙类型稗,哀即防火墙拓扑。半防火墙的技术实暗现通常是基于颁 霸包过滤斑 (拜P傲acket按 办Filter

44、i疤ng) 叭。而进行包过滤扒的标准通常就是颁根据安全策略制盎定的。在防火墙敖产品中皑,半包过滤的标准一肮般是靠网络管理耙员在防火墙设备叭的访问控制清单颁 (Acces懊s Contr佰ol List耙)隘中设定的。捌需要说明的是网拜络的安全性通常八是以网络服务的摆开放性、便利性昂和灵活性为代价安的。对防火墙的扮设置也不例外翱,埃由于防火墙的隔疤断作用盎,把一方面加强了内癌部网络的安全白, 挨另一方面却使内按部网络与外部网霸络隘(Intern班et )爸的信息交流受到爸阻碍哀,拜必须在防火墙上巴附加各种信息服半务的代理软件来爸代理内部网络与班外部的信息交流挨,拔这样不仅增大了吧网络管理开销稗,

45、暗而且也减慢了信哎息传递速率。拔 胺因此捌,摆一般而言伴,伴只有对个体网络霸安全有特别要求疤,挨而又需要和敖Interne班t般联网的企业网按,斑才建议使用防火叭墙。鞍 扒另外俺,伴防火墙只能阻截懊来自外部网络的扳侵扰巴,班而对于内部网络袄的安全还需要通艾过对内部网络的跋有效控制和管理靶来实现。埃3氨.敖3跋.2 碍加密技术奥网络安全的另一柏个非常重要的手芭段就是加密技术艾(crypto啊graphy)扮。它的思想核心颁就是既然网络本盎身并不安全可靠巴,版那么所有重要信爱息全靶部通过加密处理背。摆3把.昂3癌.3 巴本地网的安全措扳施挨目前白,癌在版Unix/NT佰上发现的大多数版问题柏,胺都

46、归因于一些编绊程漏洞及管理不版善爱,肮如果每个网络及把系统管理员都能盎注意到以下几点敖,罢即可在现有条件伴下绊,矮将网络安全风险跋降至最低。口令管理阿 拌目前发现的漏洞耙,耙大多是由于口令邦管理不严扳,哀使瓣傲黑客扒摆得以乘虚而入。敖因此口令的有效奥管理是非常基本斑的吧,案也是非常重要的按。 用户帐号管理邦 哀在为用户建立帐霸号时邦, 哎应注意保证每个哀用户的翱UID氨是唯一的般,耙应避免使用公用肮帐号扒,隘对于过期的帐号耙要及时封闭案,扒对于长期不用的拔帐号要定期检耙查背,爸必要时封闭。哀(八因为这样的帐号啊通常是隘隘黑客蔼摆袭击的目标八,摆他们可以在上面俺大做手脚而很长笆时间不被发现叭)白

47、。隘拨号用户的安全百策略隘按通过电话线拨号罢访问网络，采用稗Radius败或笆TACAS班安全认证和授权爱标准来确保对系靶统资源的访问。袄氨通过回叫哀(Dial-b按ack)昂功能可以确保拨半入的位置和站点摆的安全许可。般3岸.4昂 IP地址规划艾和域名服务扮3鞍.4.1 鞍设计原则拜 Inte芭rnet网域名袄管理及网络地址叭的分配将遵循I敖NTERNET巴的有关规则来设伴计。Intra笆net的每个网鞍络和主机都有唯唉一的IP地址和坝与之对应的名字艾（即笆域名袄）。般3.4.2 八IP网络地址分办配柏当用户申请的I败P 地址超过一吧定数量时，建议跋由用户直接向亚颁太Intran背et网络信

48、息中艾心（APNIC版）申请。用户申扮请IP地址应按拌要求填写申请表矮，说明自己的网按络情况和IP地吧址的需求。背 IP地址的版分配原则是：艾 1把啊用户本身不是网傲络时，可根据需胺要按单个IP地袄址分配。班用户是以网络方霸式上网时，视业挨务需要分配一组跋IP地址。唉内部网地址最好办使用昂Interne懊t斑的保留地址，通隘过代理服务器/坝防火墙等设备将佰内部地址进行翻白译，达到连接败Interne办t翱的目的。背3.4.3 坝域叭名管背理伴 柏由于IP地址是伴用一长串数字来办表示网络和主机凹，即使对管理人隘员及专业人员来背说也是很难记忆叭，更何况对一般扒使用Intra板net的用户。爱因此用

49、和IP地阿址相对应的域名把来表示网络和主安机，能极大的方坝便记忆和使用。敖 拌全国税务系统胺IP地址及域名盎编码规范正是挨根据以上原理编疤制，该规范按地暗域、分层次为全办国税务系统（含昂国、地税）各级半机构采用TCP癌/IP互连技术肮的计算机网络制袄定统一的编码范瓣围和规则。新会吧市国税局广域网皑的IP地址及域捌名编码当然采用鞍该规范。坝3懊.熬5吧 把系统的性能设计败袄在佰Intrane版t俺和胺Clien巴t柏/Server按体系结构下，对捌系统性能的影响吧主要体现在网络坝通信的性能上。霸芭对网络系统主要瓣是采用快速交换靶式以太网技术增氨加白LAN罢的带宽。而对蔼WAN盎靶而言，由于百WA

50、N背的带宽限制，提扮高性能主要采用靶以下策略：扳限制广播区域：拜ARP疤，隘RARP案，跋BOOTP澳和路由协议在路扮由器处终止；爸高效路由协议：挨主干稗WAN八采用拌IP奥通信协议，能够半发挥寻径能力。拜在有限带宽的情按况下，我们可以隘采用静态路由。阿如果需要动态路霸由，伴Cisco袄公司的佰OSPF胺和艾IGRP笆等都是高效的路哀由算法。如果需皑要实现自治系统罢边界功能，可以八利用路由过滤器靶限制碍BGP4澳路由啊更新芭的大小。高速缓存。懊优先级特性：在暗TCP/IP邦协议中，对于交奥互式的通信类型拜设置高级的通信邦优先级，而对于颁批处理的通信类疤型，可设置低优拔先级。保证交互坝式的应用能

51、够得般到适当的带宽。隘使用高速的主干稗，将规划ATM哀或蔼GigaEth靶ernet背来实现市局、区跋县局的主干局域摆网。啊3岸.瓣6笆 叭广域网系统总体伴方案绊案本方案致力于建案立新会市国家税绊务局企业级网络吧系统，完成市局澳及下属各分局的扳全市范围联网，颁实现网络的资源巴共享，加快数据熬和信息的流通，伴同时加强局内的皑内部管理和办公挨自动化应用，以版高起点建设新会背市国税内部的网肮络通信系统。败搬新会市国家税务案局的机构设置为凹典型的树型结构稗，共分为二级：罢市局为第一级，澳分局为第二级。跋与此相同，整个袄网络系统在结构瓣也相应地分为两绊个层次。摆碍在本方案中，新唉会市国家税务局盎市局是整

52、个网络扮系统的数据处理翱和网络管理中心版，将配置有背UNIX疤和NT主机，网八络协议为案TCP/IP柏，通过昂FrameRe隘lay蔼线路连接各地的靶二级机构。安坝每个二级机构作疤为市局的分支节白点，同时又作为八所属地区的分部跋数据处理与网络笆管理中心，配置办相应的版NT扒主机，通过癌FrameRe把lay艾专线与市局互连爱。广域网系统方案败广域网通信系统懊是连接市局及各安分败支机吧构电脑网络系统爸的关键，通信系懊统性能的好坏，稗将会直接影响到碍整个网络的运行岸，因此本方案在佰各方面都予以了八仔细的考虑。拔4哀.1 肮系统整体结构胺按照新会市国家隘税务局的组织架把构，分为市局和坝分局两个层次，

53、凹通信系统的整体拜结构，也是基于拌这种树型结构，邦将整个通信系统靶划分为两个层次爱，按照每个层次摆的不同大小和规霸模分别进行考虑爱，同时从全局的百角度出发，将各岸个层次紧密地融百合在一起，从而爸形成一个完整的氨广域网通信系统靶。考虑到机构调半整，“瘦基层，胺大集中”也会成笆为可能，设备的哎选型也应考虑到挨这一点。罢4挨.2 摆市局通信系统捌市局的通信系八统负办责完成市局总部板与下属二级机构拔的通信，通信线摆路采用爸FrameRe袄aly翱帧中继线路。版总部选用一台模阿块化的芭Cisco 俺4500路由器肮（或Cisco挨 3640路由拔器），通过选配阿的两个以太网模碍块分别连接总部氨局域网环境

54、中的百两个子网，一般奥为两个独立的交白换机，每个交换鞍机设定为一个子柏网，或者是一台案交换机中的两个艾虚拟网VLAN疤，这样防止本地埃局域网出现故障胺（如电源失效，搬或交换机坏），半远程网对服务器扮的访问不受影响巴，当然相应的服俺务器也应配备两板个网卡，分别连懊接到两个不同的瓣子网，（在局域佰网未实现多子网八前，可只连接一般个以太网接口）澳。把通过跋选配的同步通信稗模块连接各个二埃级机构，岸由于帧中继可以哎实现一点对多点版的通信，巴Cisco 唉4500/36盎40上只需一个把信道化E1接口柏即可实现总部对岸所有二级机构的爱通信。坝总部通信系统的摆备份系统，是在鞍总部放置一台拌Cisco 跋2

55、610模块化昂拨号访问服务器绊，既可通过伴MODEM昂连接笆PSTN稗电话交换网，位吧于各二级机构的罢Cisco 班1720或Qu柏idway 2半501则通过靶MODEM癌连接到阿PSTN矮网上，以拨号备挨份的方式实现通版信线路的容错。俺也可连接ISD稗N实现ISDN班备份。叭在业务量未达到啊饱和的初期，可唉以将主路由器和版备份路由器癌合一啊，在主路由器上巴加插备份线路的翱支持模块，即只敖实现线路备份，摆不做路由器设备翱备份。阿作为整个广域网扒通信系统的管理哀、监视、控制中哀心网管系统，爸也位于总部的网爱络中，有关网管癌部分请参考本方罢案中的相应部分班。斑4叭.3 扒二级机构的通信袄系统岸二

56、级机构通信系吧统完成二级机构靶与总部的通信。瓣二级机构选配C靶isco 17半20 或Qui挨dway 25摆01路由器，同罢步端口连接帧中袄继线路，通过异罢步端口加俺MODEM叭连接跋PSTN拌网，把案PSTN白网作为帧中继的扒备份线路。也可昂通过ISDN模邦块完成ISDN笆备份。班市局与二级机构罢的连网结构见图摆3。百4扳.叭4坝 班网络管理系统巴4俺.扮4按.1 百网管系统概述班挨通信系统的管理白分为三部分：一吧是网络通信连接昂设备即斑 DTE笆设备的管理，本背系统中包括所有版 Cisco 芭路由器和傲 Cisco八通信服务器；二埃是线路连接设备敖即阿 DCE拜设备的管理，其澳中包括由电

57、信局懊提供的案 DTU(Da伴ta Term癌ination拜 Units)隘 把数字终端单元和爸带宽管理器等设跋备的管理；三是颁线路的管理。矮伴传统上是将第二爱、三部分由电信岸部门进行管理，唉但这种情况下，挨每当通信线路或按 DCE 阿设备故障时，甚稗至当无法判断是肮 DCE 爱还是斑 DTE 艾出现故障时，电耙脑管埃理人员完全处于敖被动状态。在网俺管中心内，不但奥可以做到及时发敖现故障并及时排袄除故障；更重要般的是，通过对系败统的监控与分析背，及时发现和预暗见系统可能出现芭的问题，比如，板通过观察分析各皑条线路上的带宽爱利用率，可以及拜时对带宽进行调背整，避免因带宽斑利用率过高产生版瓶颈，

58、导致通信唉的中断。挨新会国税广域网百全部完成后将使奥全市范围的一百胺多个分支机构全拔部联网，其整个扒网络系统将是十瓣分庞大的，要使跋整个系统能高速白正常地工作，必懊须建立一套功能吧齐备的网络管理挨系统。网络管理埃系统的主要管理绊任务有：艾哀保证网络系统熬能正常工作，减碍少网络故障对系跋统的冲击。哀鞍自动查询网络班上的设备并构造哎现有网络的拓扑瓣结构图，监视网佰络性能，检测网氨络或系统的早期捌故障，通过百LAN胺和罢WAN奥性能的监视，减罢少网络瓶颈。昂敖管理、检测、板修复或解决网络把硬件或软件故障哀。氨霸保护重要信息白，维护数据的完澳整性和一致性，爸监视和防止非法斑访问网络系统资拌源。摆安新会

59、国税广域网芭网络管理系统将案直接管理新会市芭国税局内部的所般有主机、工作站俺、路由器、集线爱器和其他网络连癌接设备。网络中盎心可通过网络管鞍理系统看到整个翱网络结构白(板物理上的和逻辑罢上的半)俺图，可以动态地埃发现、映象和监昂视网络资源，实败时跟踪系统资源肮的变化；在故障百检测方面暗，网络管理系统埃会自动地连续地隘检查设备的连接柏性，拓扑结构的版改变也会反映出霸来，同时，还可邦以用如唉PING扮这样的工具测试扮有问题的节点。扳办网络管理系统由搬两部分组成：网稗络管理硬件平台佰和网络管理软件疤。网络管理硬件板平台一般分为各背类高档靶UNIX巴工作站和普通拌PC扳机两种，根据硬哎件平台的不同，阿

60、相应的网络管理癌软件也有两种选爱择，基于各类胺UNIX拜工作站和基于普矮通跋PC扳机唉Windows啊的网管软件。版4俺.挨4傲.2 班基于办SUN疤工作站的网络管白理系统柏翱基于爱SUN皑工作站的网管系懊统由一台叭SUN爸工作站和相应的案网管软件邦CiscoWo埃rks巴组成。颁耙C靶isco氨公司提供的吧CiscoWo矮rks熬网管软件功能包跋括：摆败自动安装管理跋器俺唉可自动将集中存靶贮的路由器配置扳文件下载到一台矮新的霸Cisco隘路由器上。当用斑AutoIns氨tall败设置一个新的路埃由器时，在远地疤的管理员仅仅只芭需物理地连接敖LAN/WAN蔼 袄接口电缆，然后巴打开路由器电源澳