网络基础知识培训

网络基础及新技术学习内容提要1网络基础知识2常见网络技术及应用3103工程讲解OSI参考模型OSIRM：开放系统互连参考模型（OpenSystemInterconnectionReferenceModel）网络世界的通信证!保证不同应用间的数据区分用户接口数据表示加密等特殊处理过程TelnetHTTPASCIIEBCDICJPEGOperatingSystem/ApplicationAccessScheduling传输层数据链路层网络层物理层例子会话层表示层应用层应用层作用TCPUDPSPX802.3/802.2HDLCEIA/TIA-232

V.35IPIPX例子数据流层的作用传输层数据链路层物理层可靠或不可靠的数据传输数据重传前的错误纠正将比特组合成字节进而组合成帧用MAC地址访问介质错误发现但不能纠正设备间接收或发送比特流说明电压、线速和线缆等网络层提供路由器用来决定路径的逻辑寻址传输层数据链路层物理层网络层上层数据上层数据TCP头数据IP头数据LLC头0101110101001000010数据MAC头表示层应用层会话层段包比特帧PDUFCSFCSOSI与网络硬件的关系路由器和交换机上的内容智能服务器的负载均衡和第四层交换机第三层交换机和路由器第二层交换机和集线器中继器典型网络模型贺岁大片——《网络帝国》路由器（男主角）网络中最重要的设备，提供最丰富的接口连接、软件特性，也是构建网络的核心力量。以太网设备（L2/L3/LAN接入）（女主角）提供各种以太网接口类型的线速转发功能，是构建局域网和城域网的核心力量。路由交换设备（反串）提供LAN交换板的路由器；提供增强型引擎的交换机——路由器和交换机的融合趋势越来越明显。其他设备（配角）网管、安全、语音、视讯设备，提供网络的管理或业务增值功能。二层或物理层交换设备（剧务）ATM交换机、FR、X.25交换机、DDN节点机、传输设备。对各种物理端口进行带宽或时隙的拆分。交换机每段有自己的冲突域广播信息向所有段转发MAC地址表转发缓冲区交换路由器路由器的核心作用是实现网络互连分组数据转发路由（寻径）：路由表建立、刷新、查找子网间的速率适配隔离网络，防止网络风暴，指定访问规则（防火墙）不同网段或者异种网络互连WAN路由器工作流程IPETHPPP以太口串口IPETHPPP以太口串口协议封装路由选择协议转换路由器路由器WAN传送拆包LAN1LAN2接收发送工作过程运营级网络的规划流程设备选型物理连通IP连通路由规划拓扑规划MPLS/VPN规划QOS规划板卡规划IP地址规划业务隔离及关键业务确保带宽及流量控制网络安全部署网管规划可运营可管理的安全网络策略路由高级路由协议规划网络的层次划分核心层交换数据包，实现高速的数据流量运转，核心层的设备不但需要容量大，转发快，而且需要具备高稳定性。但通常对业务的需求高。汇聚层隔离拓朴结构变化、控制路由表的大小及控制流量、端口的收敛。实现丰富的业务特性。接入层将终端用户接入到网络中，大量的端口，强大的接入能力。实现丰富的业务特性。几点说明在小型的网络中，层次不一定这么明显，很可能只有两个甚至一个层次的设备。在一些大型网络中，层次可能划分的更细：例如，增加了边缘接入层、和骨干核心层。在某个范围之内的核心层，在上一级网络中很可能只是汇聚层。举例：黑龙江省国家税务局网络内容提要1网络基础知识2常见网络技术及应用3103工程讲解以太网技术的发展趋势企业以太网城域以太网Stackwise/IRFMSTPWLANVoiceVLANIDS联动可信准入

链路聚合MPLSVPNQinQMulti-VRF10GRPR/DPTIPV6千兆接入三层到桌面EPONMPLS-TP/MacinMacPOE100G以太网虚拟交换机内容提要1Vlan、VoiceVlan、PVlan等2VRRP3802.1x4ACL5QoS6ARP攻击、DDOS攻击7OSPF协议简介VLAN发展----起源L2L2L2L2L2广播域广播报文VLAN发展----起源L2L2L2L2L2广播域广播报文使用路由器隔离广播域，减少广播报文对网络的影响L2L2L2L2L2广播报文VLAN2VLAN3VLAN4一个VLAN，一个广播域VLAN发展----起源VLAN的引入，为解决广播报文的泛滥提供了新的方法限制广播域，抑制广播报文隔离用户，保证网络安全虚拟工作组，超越传统网络的工作组方式VLAN发展----划分方法基于MAC地址基于交换机端口基于协议基于IP子网VLAN与二层交换----链路类型干道链路接入链路跨越交换机的VLAN报文转发Trunk端口Trunk端口Access端口Access端口VLAN与二层交换---标签化的报文VLAN10VLAN10VLAN20VLAN20VLAN20标签报文VLAN10标签报文无标签报文VLAN与二层交换----交换规则主机和交换机之间传送的是untagged报文交换机之间用干道链路（Trunk）连接交换机用Tag来标识报文所属的VLAN干道链路上传输的是TaggedFrame不同VLAN之间在二层不能相互通讯VLAN发展----VLAN与三层路由不同VLAN之间是隔离一个VLAN原则上对应一个IP子网（PVLAN，VLAN聚合除外）VLAN之间互通需要三层路由VLAN与三层路由----三层交换机+=每一个VLAN对应一个IP网段，在二层上，VLAN之间是隔离的。不同的IP网段之间的访问要跨越VLAN，可以使用三层转发引擎提供的VLAN间路由功能。三层转发引擎就相当于传统路由器的路由功能，当VLAN之间相互通信时也要，需要在三层交换引擎上分配一个路由虚接口，三层交换机上的路由虚接口与路由器的接口不同，不特定于某个物理端口。在三层交换机上为VLAN指定路由虚接口的操作就是为VLAN指定一个IP地址、子网掩码和MAC地址，MAC地址是由设备制造过程中分配的，在配置过程中由交换机自动配置。+VLANVLAN应用——PVLAN

PVLAN：PrimaryVLAN，即私有VLAN优点：节约交换机VLAN的使用数量特点：PVLAN是个纯二层的概念，在单个交换机上配置的VLAN对于其他交换机是不可见的,不能与Trunk同时使用PVLAN-实现原理

使用两层VLAN隔离的方法，只有上层VLAN全局可见，相当于在一个VLAN内实现用户隔离，达到端口隔离的效果VLAN应用——VLAN聚合

VLANAggregation：RFC3069——SuperVLAN，SubVLAN概念：在一个物理网络内，用VLAN隔离广播域，不同的VLAN属于同一个子网。优点：节约大量的IP地址：子网地址、广播地址、网关地址，扩展容易VLAN聚合--工作原理

正常情况下，一个VLAN对应一个IP子网

VLAN聚合中，SuperVLAN对应的路由虚接口，作为所有其SubVLAN包含的端口下挂的主机的网关地址。不同SubVLAN下的主机是不能互通的，如果互通，需要在SuperVLAN上配置ARPProxy。241Subvlan3Subvlan2Subvlan43SuperVLAN1路由接口/24LanSwitchIP地址：/24网关：IP地址：/24网关：VoiceVLAN背景随着语音技术的日益发展，IP电话、IAD（IntegratedAccessDevice，综合接入设备）应用越来越广泛，尤其在宽带小区，网络中经常同时存在语音数据和业务数据两种流量。语音数据在传输时需要具有比业务数据更高的优先级，以减少传输过程中可能产生的时延和丢包现象。提高语音数据传输优先级的传统处理方法是使用ACL对语音数据进行区分，并使用QoS保证传输质量。为简化用户配置、更方便的管理语音流的传输策略，交换机提供了VoiceVLAN功能。VoiceVLAN的主要特点就是可以通过报文的源MAC地址自动识别出语音流量，并将语音流量分发到特定的VLAN（VoiceVLAN）中传输。VoiceVLAN技术优势相对于使用ACL/QoS来区分语音流的方法，VoiceVLAN对语音流的管理具有以下一些优势：配置简单：用户只需要在全局和端口下进行简单的配置，开启VoiceVLAN功能，即可对语音数据进行分类处理，而不需要配置复杂的二层ACL和QoS，也不必关心各规则的匹配顺序以及下发至端口造成的其他问题。便于维护：用户可以在全局配置对语音数据的匹配规则（VoiceVLANOUI地址）进行修改，在新增IP语音设备的情况下，各端口能够迅速根据更新的匹配规则识别语音流，用户不需要配置新的二层ACL和QoS策略。实现灵活：相对于ACL/QoS的纯手工静态配置，VoiceVLAN功能在全局提供了安全/普通两种模式，端口上又可以分为自动/手动模式，实现更为灵活，用户可以根据自己需要进行组合，最大限度满足用户的需求。VoiceVLAN组网应用内容提要1Vlan、VoiceVlan、QinQ、PVlan等2VRRP3802.1x4ACL5QoS6ARP攻击、DDOS攻击7OSPF协议简介VRRP工作原理VRRP负载和网络流量均衡内容提要1Vlan、VoiceVlan、QinQ、PVlan等2VRRP3802.1x4ACL5QoS6ARP攻击、DDOS攻击7OSPF协议简介802.1X的背景和概念

--传统局域网的缺陷安全性问题：1.用户只要能接入局域网设备,就可以访问网中的设备或资源;2.WLAN的安全性问题更显得突出;运营管理问题：1.IEEE802LAN协议定义的局域网不提供接入认证;2.对于电信接入、写字楼、移动办公等应用需要对用户的接入进行认证、计费和配置；802.1X简介

802.1X协议是IEEE在2001.6通过的正式标准，标准的起草者包括Microsoft，Cisco，Extreme，Nortel等802.1X协议是基于Client/Server的访问控制和认证协议。它可以限制未经授权的用户/设备通过接入端口访问LAN/WLAN。在获得交换机或LAN提供的各种业务之前，802.1X对连接到交换机端口上的用户/设备进行认证。在认证通过之前，802.1X只允许EAPoL（基于局域网的扩展认证协议）数据通过设备连接的交换机端口；认证通过以后，正常的数据可以顺利地通过以太网端口。802.1X工作过程802.1X特点基于以太网端口认证的802.1x协议有如下特点：IEEE802.1X协议为二层协议，不需要到达三层，对设备的整体性能要求不高，可以有效降低建网成本；借用了在RAS系统中常用的EAP（扩展认证协议），可以提供良好的扩展性和适应性，实现对传统PPP认证架构的兼容；802.1X的认证体系结构中采用了“可控端口”和“不可控端口”的逻辑功能，从而可以实现业务与认证的分离，由RADIUS和交换机利用不可控的逻辑端口共同完成对用户的认证与控制，业务报文直接承载在正常的二层报文上通过可控端口进行交换，通过认证之后的数据包是无需封装的纯数据包；可以使用现有的后台认证系统降低部署的成本，并有丰富的业务支持；可以映射不同的用户认证等级到不同的VLAN；可以使交换端口和无线LAN具有安全的认证接入功能。

802.1X与其他认证方式的简单比较

802.1XPPPoEWeb认证是否需要安装客户端软件

是是否

XP不需要业务报文效率高低，有封装开销高组播支持能力好低，对设备要求高好有线网上的安全性扩展后可用可用可用

设备端的要求低高较高处理流程清晰清晰较复杂802.1X认证的优势简洁高效：纯以太网技术内核，保持了IP网络无连接特性，不需要进行协议间的多层封装，去除了不必要的开销和冗余；消除网络认证计费瓶颈和单点故障，易于支持多业务和新兴流媒体业务。

容易实现：可在普通L3、L2、IPDSLAM上实现，网络综合造价成本低，保留了传统AAA认证的网络架构，可以利用现有的RADIUS设备。

安全可靠：在二层网络上实现用户认证，结合MAC、端口、账户、VLAN和密码等；绑定技术具有很高的安全性，在无线局域网网络环境中802.1x结合EAP－TLS，EAP－TTLS,可以实现对WEP证书密钥的动态分配，克服无线局域网接入中的安全漏洞。

行业标准：IEEE标准，和以太网标准同源，可以实现和以太网技术的无缝融合，几乎所有的主流数据设备厂商在其设备，包括路由器、交换机和无线AP上都提供对该协议的支持。在客户端方面微软WindowsXP操作系统内置支持，Linux也提供了对该协议的支持。

应用灵活：可以灵活控制认证的颗粒度，用于对单个用户连接、用户ID或者是对接入设备进行认证，认证的层次可以进行灵活的组合，满足特定的接入技术或者是业务的需要。

易于运营：控制流和业务流完全分离，易于实现跨平台多业务运营，少量改造传统包月制等单一收费制网络即可升级成运营级网络，而且网络的运营成本也有望降低。

802.1X在大中型网络中的应用模式AAA/DHCP/DNS支持802.1X设备端支持802.1X设备端802.1X客户端802.1X认证服务器802.1X客户端内容提要1Vlan、VoiceVlan、QinQ、PVlan等2VRRP3802.1x4ACL5QoS6ARP攻击、DDOS攻击7OSPF协议简介访问控制列表（AccessControlList，ACL）ACL简介： 访问控制列表（AccessControlList，ACL）是路由器和交换机接口的指令列表，用来控制端口进出的数据包。ACL适用于所有的被路由协议，如IP、IPX、AppleTalk等。这张表中包含了匹配关系、条件和查询语句，表只是一个框架结构，其目的是为了对某种访问进行控制。

ACL具体的执行流程：数据包只有在跟第一个判断条件不匹配时，它才被交给ACL中的下一个条件判断语句进行比较。如果匹配（假设为允许发送），则不管是第一条还是最后一条语句，数据都会立即发送到目的接口。如果所有的ACL判断语句都检测完毕，仍没有匹配的语句出口，则该数据包将视为被拒绝而被丢弃。

注意：一个端口执行哪条ACL，这需要按照列表中的条件语句执行顺序来判断。如果一个数据包的报头跟表中某个条件判断语句相匹配，那么后面的语句就将被忽略，不再进行检查。ACL作用1.ACL可以限制网络流量、提高网络性能。例如，ACL可以根据数据包的协议，指定数据包的优先级。

2.ACL提供对通信流量的控制手段。例如，ACL可以限定或简化路由更新信息的长度，从而限制通过路由器某一网段的通信流量。

3.ACL是提供网络安全访问的基本手段。ACL允许主机A访问人力资源网络，而拒绝主机B访问。

4.

ACL可以在路由器端口处决定哪种类型的通信流量被转发或被阻塞。例如，用户可以允许E-mail通信流量被路由，拒绝所有的Telnet通信流量。某部门要求只能使用WWW这个功能，就可以通过ACL实现；又例如，为了某部门的保密性，不允许其访问外网，也不允许外网访问它，就可以通过ACL实现。

这里要注意，ACL不能对本路由器产生的数据包进行控制。ACL分类目前有两种主要的ACL:标准（standard）ACL和扩展（extended）ACL标准的ACL使用1~99

以及1300~1999之间的数字作为表号扩展的ACL使用100~199以及2000~2699之间的数字作为表号

标准ACL可以阻止来自某一网络的所有通信流量，或者允许来自某一特定网络的所有通信流量，或者拒绝某一协议簇（比如IP）的所有通信流量。

扩展ACL比标准ACL提供了更广泛的控制范围。例如，网络管理员如果希望做到“允许外来的Web通信流量通过，拒绝外来的FTP和Telnet等通信流量”，那么，他可以使用扩展ACL来达到目的，标准ACL不能控制这么精确。从IOS12.0开始，思科（CISCO）路由器新增加了一种基于时间的访问列表。通过它，可以根据一天中的不同时间，或者根据一星期中的不同日期，或二者相结合来控制网络数据包的转发。

内容提要1Vlan、VoiceVlan、QinQ、PVlan等2VRRP3802.1x4ACL5QoS6ARP攻击、DDOS攻击7OSPF协议简介QOS简介什么叫QOSQoS（QualityofService），又称服务质量，是指为使用户在吞吐量、延迟抖动、延迟，丢包率等方面获得预期服务水平所采取的一系列技术的集合。更简单地说：QoS就是针对各种不同需求，提供不同服务质量的网络服务。现状传统IP网采用了FIFO，对报文的吞吐量、延迟、延迟抖动、丢包率等都不能预期，可能很好，也可能极差，一切都要视网络状况而定。QOS模型QoS的实现模型主要有集成服务模型（IntegratedService）和差别服务模型（DifferentiatedService）。集成服务模型是端到端的基于流的QoS技术，它通过信令向网络申请特定的QoS服务，网络在流量参数描述的范围内，预留资源以承诺满足该请求。差别服务模型是一种基于类的QoS技术，它在网络边界将数据流按QoS要求进行简单分类，并根据业务的不同服务等级约定，有差别地进行流量控制和转发来解决拥塞问题。QoS（QualityofService）QoS概念： QoS是一种控制机制，它提供了针对不同用户或者不同数据流才用相应不同的优先级，或者是根据应用程序的要求，保证数据流的性能达到一定的水准。QoS的保证对于容量有限的网络来说是十分重要的，特别是对于串流多媒体应用，例如VoIP和IPTV等，因为这些应用常常需要固定的传输率，对延时也比较敏感。

内容提要1Vlan、VoiceVlan、QinQ、PVlan等3VRRP4802.1x5ACL2IPv66QoS7ARP攻击、DDOS攻击8OSPF协议简介ARP协议介绍

ARP——AddressResolutionProtocol地址解释协议，RFC826为IP地址到MAC地址提供动态映射，定位到目的IP的对应MAC才能实现数据交换以太网目的地址以太网源地址帧类型硬件地址协议类型硬件地址长度协议地址长度OP发送端以太网地址目的以太网地址发送端IP地址目的IP地址662222116644以太网首部28字节ARP请求/应答谁是？告诉我MAC地址

的MAC地址是AARP请求ARP应答免费ARP

的MAC地址是CMACAMACBMACCMACDARP欺骗攻击—仿冒网关攻击者发送伪造的网关ARP报文，可广播给同网段内的所有其他主机主机访问网关的流量，被重定向到错误的MAC地址，无法正常访问外网是最常见的ARP攻击方式，导致网络瘫痪，甚至数据被窃取用户A的ARP表项IPAddressMACTypeGDynamicBDynamicBDynamic目的MAC源MAC目的IP源IP5-5-5A用户A的上网流量被错误的发送到攻击者B攻击者BIP：MAC：B用户AIP：MAC：A网关GIP：MAC：G

的MAC地址是BARP欺骗攻击—欺骗网关攻击者伪造虚假的用户ARP报文，发给网关网关发给该用户的数据重定向到错误的MAC地址，该用户收不到网关返回的数据而无法正常访问外网目的MAC源MAC目的IP源IP5-5-5G网关发给用户A的流量被错误的发送到攻击者B攻击者BIP：MAC：B用户AIP：MAC：A网关GIP：MAC：G网关的ARP表项IPAddressMACTypeADynamicBDynamicBDynamic

的MAC地址是BARP欺骗攻击—欺骗终端用户攻击者伪造虚假的用户ARP报文，发送给网段内的其他主机网段内的其他主机发给该用户的数据被重定向到错误的MAC地址，该用户与其他主机无法互访目的MAC源MAC目的IP源IP5-5-5A网关发给用户A的流量被错误的发送到攻击者B攻击者BIP：MAC：B用户AIP：MAC：A网关GIP：MAC：G用户CIP：MAC：C用户A的ARP表项IPAddressMACTypeGDynamicBDynamicCDynamicBDynamic

的MAC地址是BARP泛洪攻击攻击者伪造大量不同ARP报文在网段内进行广播导致网关ARP表项被占满，无法正常学习合法用户的ARP，网络瘫痪大量广播报文消耗交换机和网络资源，网络明显变慢大量的ARP广播报文攻击者BIP：MAC：B用户AIP：MAC：A网关GIP：MAC：GARP广播报文对应的MAC是A无法学习！网关的ARP表项(存在大量虚假ARP)IPAddressMACType0-0-1Dynamic0-0-2Dynamic0-0-3Dynamic0-0-4Dynamic……DynamicARP攻击防御的三个控制点网关G用户接入设备网关防御合法ARP绑定，防御网关被欺骗

VLAN内的ARP学习数量限制，防御ARP泛洪攻击1接入设备防御将合法网关IP-MAC进行绑定，防御仿冒网关攻击

ARP入侵检测

ARP限速，防止大流量ARP报文冲击网络绑定用户的静态MAC2客户端防御合法网关ARP绑定，防止网关仿冒攻击绑定该主机的合法IP-MAC，过滤掉所有非法ARP报文ARP限速3根据前述ARP攻击原理，解决ARP欺骗攻击有以下三个控制点：ARP攻击防御总结部署方式预防类型实现方式部署位置部署要求A：ARP限速4限制端口下ARP报文速率，避免大量虚假ARP占用网络带宽，导致网络设备CPU负载过重接入交换机支持ARP限速特性B：DHCP监控1，2，3，4监控DHCP过程，自动建立绑定表项，通过ARPDetection防止虚假ARP在网络中传播接入交换机支持DHCP监控模式特性C：1x认证监控1，2，3，4监控1x认证过程，自动建立绑定表项，通过ARPDetection防止虚假ARP在网络中传播接入交换机支持1x认证监控模式D：手工静态绑定1，2，3，4对不采用DHCP、1x认证的端口，手工配置ARPDectection绑定表项接入交换机支持手工静态绑定特性E：普通认证方式1，4认证服务器向接入终端下发对应网关的IP-MAC绑定，终端PC生成静态表项；可进行终端ARP流量检测，超过阈值自动下线认证服务器、接入客户端配置网关的IP-MAC绑定列表，接入终端支持ARPF：简单网关绑定1接入终端若发送带有网关IP的ARP报文，进行丢弃接入交换机支持简单网关绑定特性G：ARP一致性检查2，4检查ARP报文的源MAC与以太头中的源MAC是否一致，不一致则不学习和更新ARP表项网关支持ARP一致性检查特性预防类型：1.仿冒网关2.欺骗网关3.欺骗终端用户4.ARP泛洪内容提要1Vlan、VoiceVlan、QinQ、PVlan等3VRRP4802.1x5ACL2IPv66QoS7ARP攻击、DDOS攻击8OSPF协议简介OSPF简介OSPF（OpenShortestPathFirst，开放最短路径优先协议）是一种基于链路状态路由选择算法的内部网关路由协议。OSPF的版本有OSPFv1、OSPFv2和OSPFv3，前两者用于IPv4，OSPFv3用于IPv6。OSPF的功能比RIP强大的多，适用于比较大型的网络，但也很复杂。OSPF的发展历史1989年的RFC1131是描述OSPF的第1个IETF标准，这个版本被称为OSPFv1。

1998年形成了OSPFv2的最终标准RFC2328。

IETF在1999年12月发布了基于IPv6的OSPF路由协议标准——RFC2740，被称为OSPFv3。

OSPF的基本思想每个OSPF路由器都维护一个用于跟踪网络状态的链路状态数据库（LSDB），各路由器通过链路状态信息的交换实现LSDB的一致。

OPSF基于Dijkstra算法和自治系统中路由器的链路状态进行路由计算，得到最短路径。OSPF的特点基于链路状态路由算法支持多种度量方法收敛速度快划分3个区域的自治系统OSPF区域划分区域划分的目的降低LSDB的大小。减少LSA交互的数量。减轻路由计算量。区域的分类主干域（0域）普通域（非0域）虚连接区域划分中的注意事项不同区域的LSDB是不一样的；某个区域的详细拓扑结构对其他区域来说是不可见的；区域边界路由器可以同时属于多个域，其中肯定有主干域。OSPF路由器分类区域内部路由器（InternalRouter，IR）区域边界路由器（AreaBorderRouter，ABR）主干路由器

（BackboneRouter，BR）

自治系统边界路由器

（ASBoundaryRouter，ASBR）

OSPF路由器分类

OSPF路由选择分类

域内路由域间路由自治系统外部路由

域内路由

OSPF路由选择分类

域间路由

OSPF路由选择分类

OSPF数据包简介近邻关系的建立过程有时也被称为交换协议。一般来讲，在点对点网络、虚拟链路网络和点对多点网络中，邻居之间都可以建立近邻关系；而在广播网络和NBMA网络中，只有DR（BDR）和邻居之间才能建立近邻关系。邻居之间建立近邻关系的过程，就是它们进行链路状态数据库LSDB的交互，并最终实现LSDB同步的过程。四种数据包

数据库描述DD（DatabaseDescription）包链路状态请求LSR（LinkStateRequest）包链路状态更新LSU（LinkStateUpdate）包链路状态确认LSAck（LinkStateAcknowledge）包

内容提要1网络基础知识2常见网络技术及应用3103工程讲解103工程背景

金税三期工程的总体规划，本次工程广域网是一个覆盖总部、省局、地市、区县和税务分局（所）等各级国、地税税务机关的综合性通信平台。主要用于承载税务系统各类业务应用和网络其他应用两大类业务，服务对象涉及全国以及税务系统内部工作人员。103工程建设要求建设要求103工程实施目标103工程网络拓扑103工程设备介绍-SR6608H3CSR6608路由器在本次工程中用于各个市局节点的路由器，根据行政区划，和设备办卡的不同，分为RT5路由器和RT6路由器，2-1包共计使用了226台该型号路由器（一般1个地市安装1-2台路由器）103工程设备介绍-MSR5040H3CSR5040路由器在本次工程中用于各个县局节点的路由器，根据行政区划，做为RT7A路由器，2-1包共计使用了20台该型号路由器（一般1个区县安装1-2台路由器）103工程设备介绍-MSR3020H3CSR3020路由器在本次工程中用于各个县局节点的路由器，根据行政区划，作为RT7B路由器，2-1包共计使用了920台该型号路由器（一般1个区县局安装1-2台路由器）103工程设备介绍-MSR3010H3CMSR3010路由器在本次工程中用于各个税务所级节点的路由器，根据行政区划，作为RT8路由器，2-1包共计使用了423台该型号路由器（一般1个税