XXXX有限公司
市国税局网络建设各种业务及全网的路由交换,为保证核心层的安全性、稳定性、高带宽,核心网络设备与其他主要设备以光纤方式组网,互联接口采用性价比极高的GE链路互联。
各区县网络中心既可以利用原有的L2/L3交换机,也可采用新设备,主要完成辖区内国税系统内部局域网的可靠通信和对外部数据流的收敛、汇聚。
接入层由可管理的智能交换机组成,完成对用户的接入、认证、带宽控制等多种功能,对全网的用户实现管理和控制,充分保证**市国税局网络建设的网络安全。
各个区县国税,根据各自的资金预算和实际应用需求,可以扩建自己内部的办公网络。
2.3 选用设备
由于**市国税局网络建设建设工程对核心路由交换机的要求背板交换容量不低于128G,同时,市局中心要求最高级别的可靠性、先进性和安全性,因此我们选用了神州数码网络公司的DCRS-7508核心路由交换机作为核心设备。下面,我们将对所选用的设备做以简要的说明。
2.3.1 DCRS-7500核心路由交换机
DCRS-7500路由交换机紧凑的设计提供了极高的性能及端口密度。DCRS-7500路由器具有丰富的功能使其在竞争中独具优势。
神州数码DCRS-7500系列交换机是具有运营商级容错能力的高性能大型网络核心交换机,可为企业和运营商提供基于领先技术的卓越性能和可靠性。DCRS-7500系列交换机专为发挥千兆以太网潜在的强大交换能力而设计,超大容量的交换背板使得每个端口具备全带宽交换能力,确保在巨大的网络通信负载下始终能够轻松实现线速的第二层和第三层交换,是城域网、数据中心、智能大厦及企业网络骨干级核心路由交换机的理想选择。
DCRS-7500系列交换机具有三种型号,包括15插槽的DCRS-7515、8插槽的DCRS-7508和4插槽的DCRS-7504,除DCRS-7515专用的大功率电源模块外,该系列交换机的所有管理模块、交换模块以及电源模块都可互换使用,而且管理模块、电源模块等还可实现冗余备份,温度传感器可以随时监控各个部件的工作温度,从而提供运营商级的可靠性。
第 11 页
XXXX有限公司
神州数码网络公司认为DCRS-7500核心路由交换机完全能够满足**市国税局网络建设建设工程核心设备的要求,并具有很强的可扩展能力。具体设备细节请参看设备资料。
2.3.2 DCR-3660高性能路由器
神州数码DCR-3660路由器是神州网络推出的多协议模块化中心级网际路由平台,它具有高密度、模块化的特点,提供了6个网络/语音模块扩展插槽。DCR-3660路由器面向中高档应用,可靠性高,支持服务质量(QoS),支持拨号备份,可选择多种局域网、广域网以及语音模块,能够提供非常强大的处理能力及扩展能力,支持大规模的广域网,为用户提供了安全、可靠、稳定和可扩展的解决方案,广泛适用于国税、电信、政府、金融、邮政以及企业级网络中心的应用。DCR-3660路由器具有全中文帮助界面,更加适合国内用户应用。
2.3.3 DCFW-1800防火墙
神州数码DCFW-1800防火墙是一款功能强大、性能卓越的的网络安全设备。DCFW-1800基于高速稳定的硬件平台,并采用经过安全加固的专用操作系统,因此具备极高的安全性和可靠性。除了提供强大的多级过滤功能外,DCFW-1800还具备时间段控制访问、应用代理、地址转换、地址映射、MAC地址绑定、入侵检测、完整的日志审计、双机热备份、流量控制、带宽管理等完备的功能,真正的透明接入方式可以在不更改现有网络配置的情况下安装或卸载防火墙,并可使防火墙免遭黑客攻击;支持与第三方IDS产品互动,可以有效防止各种网络攻击行为;防病毒接口可使防火墙与外挂的网络防病毒产品InterScan密切配合,防止病毒的侵入。DCFW-1800支持VPN加密,使得用户可以利用Internet建立安全加密通道,在享有灵活性、安全性的同时节省昂贵的专线费用。
DCFW-1800防火墙性价比极高,将高速的数据处理能力、高度的安全性及简单易用等特性有机地结合在一起,为政府、军队、企业和国税等各行各业的网络提供坚实可靠的保护。
第 12 页
XXXX有限公司
2.4 网络设计与策略
**市国税局网络建设的网络设计与策略可以分为以下几个部分来分别予以考虑: 网络结构的设计 IP分配和路由策略 功能安全区域划分策略
2.4.1 网络结构的设计
严格按照网络工业核心层、汇聚层、接入层三层架构设计规范,充分考虑到**国税市局中心的高可靠性、高稳定性、先进性、易管理性和安全性,同时,兼顾用户投资保护,降低用户总体拥有成本TCO。
一期建设完成后,**市国税系统将建成一个涵盖12个区县的高速、稳定、安全、易管理的内部专网系统,形成一个完备的内部高速信息公路系统。二期建设主要是进一步增加原有系统的冗余度,并逐步将原来各个区县的老设备进行更新换代。
2.4.2 IP分配和路由策略
建议采用DHCP协议进行全网动态IP分配。
IP子网连续划分,连续分配,便于路由的汇聚。简便了日常维护、运行,便于全网平滑扩容、升级。
根据有关技术规范的要求,**市国税局网络建设路由协议建议根据实际需求使用OSPF协议或者采用静态路由。
静态路由的好处就是简洁、安全,清楚明了。
内部路由协议OSPF是IETF标准。在OSPF中,域是用来分隔路由广播的方式。一个网络必须要有一个核心域,其它的域都必须与核心域相连。OSPF协议有下列优点:
第 13 页
XXXX有限公司
节省网络带宽:OSPF属于链路状态协议,只有当网络连接状态发生变化时才彼此更新变化了的拓扑信息,而并非整个网络的LSDB,从而大大节省了网络带宽,这对于大型的广域网来说很重要。
支持VLSM:OSPF LSA(Link State Advertisement)中包含子网掩码。
支持层次化的网络结构设计:网络设计人员可以把一个大型OSPF网络分成若干域(Area),其中一个是主干域(Backbone Area, Area ID 0.0.0.0),其它非主干域均与主干域相连,并通过主干域交换LSDB。
支持路由总结(Route Summary):OSPF ABR具有路由总结的功能,如果连续地分配IP地址空间,则ABR仅向主干域广播总结后的路由信息,抑制那些具体的路由信息的广播,从而大大减小了其它域中路由器LSDB及路由表的大小。
没有路由跳数限制:OSFF路由表是基于LSDB运行Dijkstra算法计算出来的,没有跳数限制。
没有路由环路问题:OSPF属于Link-State路由协议,没有环路问题。
2.4.3 功能安全区域划分策略
**市国税局网络建设根据网络的发展需求和实际情况可以划分出基于不同部门、不同功能区域的安全自治区域。
具体实现技术是基于IEEE802.1q标准协议,划分全网统一分配的VLAN号码和IP子网号码。
所有本地安全事件都被局限在本地,不会扩散到全网,并且,还可以在全网形成高速、高效的虚拟局域网Virtual LAN。
2.5 IP地址规划
2.5.1 网络地址规划的原则
IP地址的合理分配是保证网络顺利运行和网络资源有效利用的关键。对于**市国税局网络建设的IP地址的分配应该尽可能地利用申请到的地址空间,充分考虑到地址空间
第 14 页
XXXX有限公司
的合理使用,保证实现最佳的网络内地址分配及业务流量的均匀分布。
IP地址空间的分配与合理使用与网络拓扑结构、网络组织及路由政策有非常密切的关系,将对网络的可用性、可靠性与有效性产生显著影响,充分考虑本地网对IP地址的需求,满足未来业务发展对IP地址的需求。
IP地址规划遵循以下原则:
1. IP地址的规划与划分应该考虑到网络的业务飞速发展,能够满足未来发展的需要;即要满足本期工程对IP地址的需求,同时要充分考虑未来业务发展,预留相应的地址段;
2. IP地址的分配需要有足够的灵活性,能够满足各种用户接入如拨号、专网用户等的需要;
3. 地址分配是由业务驱动,按照业务量的大小分配各地的地址段; 4. IP地址的分配必须采用VLSM技术,保证IP地址的利用效率;
5. 采用CIDR技术,这样可以减小路由器路由表的大小,加快路由器路由的收敛速度,也可以减小网络中广播的路由信息的大小;
6. 合理利用已申请的地址空间,提高地址的利用效率。在地址资源有限的时候,可以结合实际业务情况采用公有地址和私有地址结合的方式。
IP地址为32 位,包括两个部分:网络地址和端机地址,如下图所示:
IP 地址包括五种不同的级别,由左端高位的比特来表示不同的级别, 如下表所示:
其中A、B、C 级别是国际互联网上公共分配的地址,每一种级别网 络地址与主机地
第 15 页