广东省地税局网络设计方案

广东省地税局网络设计方案 广东省地税局网络设计方案 /webmoney 2 目 录 一、前言 . 5 二、广东省地税局全省网络系统设计方案概述 . 6 2.1 需求分析 . 6 2.2 网络设计原则 . 7 2.3 全省网络总体拓扑图 . 8 三、网络方案详细设计 .11 3.1 网络设计概述 .11 3.1.1 局域网技术的选择 . 12 3.1.2 广域网的线路选择 . 13 3.1.3 广域网接入设备 . 16 3.2 省局网络中心的设计 . 17 3.2.1 广东省地税局网络中心拓扑图 . 18 3.2.2 局域网的设计 . 18 3.2.3 广域网的设计 . 22 3.2.4 省中心负载均衡及故障处理设计 . 25 3.3 地市分局网络分中心的设计 . 27 3.3.1 地市分局网络结构拓扑图 . 27 3.3.2 地市分局网络中心局域网总体设计 . 30 3.3.3 广域网的设计 . 33 3.4 县级网络中心、征管所及城区征管分局网络设计 . 46 3.4.1 县级分局与城区分局配置 . 46 3.4.1 征管所设备配置 . 47 3.5 语音系统设计 . 48 3.6 IP 地址分配方案 . 49 3.6.1 IP 地址的分配原则 . 50 3.6.2 税务总局关于系统内 IP 地址分配的规定 . 51 3.6.3 IP 地址分配方案 . 53 3.6.4 IP 地址管理 . 58 3.7 全省网络路由设计 . 59 四、网络安全和网络管理 . 60 4.1 网络安全技术 . 60 4.1.1 网络安全结构划分 . 60 4.1.2 安全策略的制定 . 60 4.1.3Cisco 网络安全技术 . 62 4.2 地税网络安全设计 . 70 4.2.1 地税内部网络安全 . 71 4.2.2 外部网的接入安全控制 . 72 4.2.3 网络安全防范 . 76 广东省地税局网络设计方案 /webmoney 3 4.3 网管系统的设计 . 76 4.3.1 网管管理的功能 . 77 4.3.2 网络管理系统的组成 . 78 4.3.3 网络管理实现方案 . 78 4.3.4 网络设备管理 . 78 五、工程报价及设备配置清单 . 80 5.1 工程报价 . 80 5.2 网络设备配置清单 . 81 六、 项目规范化施工组织管理计划 . 84 6.1 工程实施方式及 组织 . 84 6.1.1 领导小组人员与职责 : . 84 6.1.2 深圳市 XXXX 实业发展有限公司项目经理的职责 . 85 6.1.3 广东地税网络项目负责人的职责 . 85 6.1.4XXXX 公司工程组职责 . 86 6.1.5XXXX 公司技术支持组人员与职责 . 86 6.1.6 实施组职责 . 87 6.1.7 测试组职责 . 87 6.2 项目管理 . 87 6.3 工程验收 . 88 6.3.1 产品设备到货验收 . 88 6.3.2 网络系统验收 . 89 6.4 集成非本项目采购产品 . 90 七、工程实施计划 . 91 7.1 工程进度计划 . 92 7.2 规范化施工 . 92 7.3 工程阶段划分和实施步骤 . 93 八、服务 . 94 8.1 系统 安装服务 . 94 8.2 设备维护服务： . 94 8.3 技术支持服务 . 96 8.4 用户跟踪维护服务 . 97 8.5 系统扩充升级服务 . 97 九、 技 术 培 训 . 98 9.1 国内培训 . 98 9.2 国外培训 . 102 附录一、 设备安装要求及建议 . 103 1.1 机房环境及安装要求 . 103 1.2 配套工作的责任分工及要求 . 103 1.3 人员要求 . 104 1.4 配合要求 . 104 广东省地税局网络设计方案 /webmoney 4 附录 二、 测试计划 . 105 2.1 测试说明 . 105 2.2 检测目的 . 105 2.3 电源工程 . 105 2.4 主路由器与局域网交换机 . 106 2.4.1 各主路由器及网络连接 . 106 2.5 备份用 CISCO 3600 测试 . 107 2.5.1 CISCO 3600 系统安全 . 107 2.5.2 拨号认证测试 . 107 2.5.3 备份拨号测试 . 107 2.5.4 网络连通性测试 . 108 2.6 PIX . 108 2.6.1 PIX 自身安全性测试 . 108 2.6.2 PIX NAT 测试 . 108 2.6.3 PIX 流量过滤测试 . 108 2.6.4 PIX 的安全审计测试 . 108 2.7 网络管理 . 108 2.7.1 网络拓扑视图测试 . 108 2.7.2 网络性能视图测试 . 108 2.7.3 网络审计功能测试 . 109 2.7.4 网络告警功能测试 . 109 2.7.5 配置管理功能测试 . 109 附录三、 技术文档 . 错误 !未定义书签。 附录四、 Cisco 公司技术支持与服务简介 . 错误 !未定义书签。 附录五、 深圳市 XXXX 实业发展有限公司的项目组主要成员 . 错误 !未定义书签。 附录六、 产品介绍 . 错误 !未定义书签。 Catalyst6509 高性能交换机 . 错误 !未定义书签。 Cisco7507 简介 . 错误 !未定义书签。 Catalyst4000 系列 LAN 交换机 . 错误 !未定义书签。 Cisco 7200 系列高端路由器 . 错误 !未定义书签。 Cisco 3600 系列模块化多服务接入路由器 . 错误 !未定义书签。 Cisco 2600 系列模块化接入路由器 . 错误 !未定义书签。 Cisco Secure 接入访问认证控制器 . 错误 !未定义书签。 /webmoney 5 一、前言 为了推进国家税务总局确定的“以纳税申报和优化服务为基础，以计算机网络为依托，集中征收，重点稽查”新征管模式的全面应用， 广东省 地方税务局提出了自己的全省税务征管数据大集中方案。本着数据集中， 网络先行的原则，为保证全省税务征管数据大集中目标的顺利实现， 广东省 地税局提出了 广东省 地税系统全省网络建设的需求。作为系统集成商，我们深圳 XXXX 公司非常高兴能为 广东省 的税务建设尽力，以下是我们为 广东省 地税局此次全省网络建设所精心设计的网络方案。网络设计方案包括以下几部分内容：第一章是前言；第二章是方案的整体概述，包括用户需求分析、网络设计原则、网络总体拓扑图；第三章是方案的详细设计，包括对 广东省 地税局网络中心、各二级地市地税局网络中心的局域网和广域网的设计、网络设备的选择、路由协议的设计、语音系统的设计等内 容；第四章描述了对网管系统的设计和对网络的安全性分析；第五章是整个系统的配置清单，第六章是项目规范化管理；第七章是项目实施计划；第八章是培训及售后服务；文尾有相关的附录。最后，祝 广东省 地税局此次网络建设取得圆满成功！ /webmoney 6 二、 广东省 地税局全省网络系统设计方案 概述 2.1 需求分析 为了推进国家税务总局确定的“以纳税申报和优化服务为基础，以计算机网络为依托，集中征收，重点稽查”新征管模式的全面应用， 广东省 地方税务局提出了全省征收数据大集中方案，并本着数据集中，网络先行的原则，进一步提出了全省地 税网络系统建设项目。根据 广东省 地方税务系统电子化进程的实际情况， 广东省地方税务局按照统一规划、分步实施的原则，要求此次网络系统建设： 在 2000 年年底之前完成省局与各市局骨干网的联网建设； 2001 年 6 月 1 日前，完成汕头、潮州、惠州、佛山、顺德、东莞、江门、湛江、珠海、中山的市、县、乡镇的网络建设，肇庆、韶关、梅州、茂名、清远、汕尾、河源、云浮、阳江、揭阳的城区网络建设；在 2001 年底完成其余的网络建设。全 面完成地税广域网 省、市、县（区）、乡镇四级的全省联网 。 在 广东省 地税局全省网络系统建成之后，将实现以下目标 ： 1、实现全省各级地方税务机关的网络互连，满足地税全省税务集中征管后征管业务对数据传输的要求，并同时满足全省地税系统办公自动化的网络需求； 2、可以广泛开展网上税收征管业务，实现税银连网和电子申报； 3、实现与国税、财政、工商、劳动、社保等相关政府部门的联网，实时交流信息，提高工作效率 ； 4、广泛开展 Internet 应用和服务； 5、实现 广东省 地税系统的 VOIP 应用和视频会议应用。整个网络不存在瓶颈并留有余地，网络有良好的扩展性。 整体来看， 广东省 地税局全省网络系统是一大型的广域网互连系统，网络主干线路将采用 XX 电 信的帧中继，将全省二十二个地市级地税局、县市征管分局及其下属征管所互联起来。网络要保证 广东省 税务征管大集中后的业务需求，同时还要支持多媒体应用，需要与公网互联，因此，保证网络应用的服务质量，保证网络的安全与可靠将是设计该网络的重点。 广东省地税局网络设计方案 /webmoney 7 2.2 网络设计原则 广东省 地税局全省网络系统将作为各项应用系统的基础网络设施，其建设应该高度重视安全性和可靠性，既要注重网络整体性能的提高，也要注重投资保护。在设计中应充分考虑 广东省 地税系统计算机系统现状和业务情况。在整个网络系统的设计中，我们遵循了以下的原则： 开放性原 则。 所有的设备和系统要支持国际标准，以便于实现多厂商产品的互联，满足将来系统升级的要求，保护已有的投资。 统一规划原则。 统一规划网络对于网络的建设和管理有非常关键的作用。 首先是减少投资成本，防止重复建设。其次，保证整个网络系统端到端的一致性，利于优化网络，便于日后的网络管理和维护，能有效地减少管理成本。 从技术方面来看，不同厂家在技术的实现方面存在一些差异，使得互联问题以及由此带来的维护成本变得不可忽略。 扩充性原则 。网络实施按步骤、分阶段，不断地改进和完善，系统规模及升级扩充能力应能适应 广东省 地税 局的业务规模的不断发展 技术先进性、成熟性原则。 方案设计应采用先进、成熟的网络技术和通讯线路，并紧跟当前网络技术的发展，能在较长时期内为技术的更新和业务的发展提供完好支持，实现网络多服务功能，网络的稳定性得到保障。 可靠性、可用性原则 。网络作为业务运行的运载平台，需要有良好的可靠性和可用性，具体到运行网，要求采用先进的高主干带宽技术，同时要求有物理层、数据链路层和网络层的备份技术 。 安全性原则。 系统应建立完善的安全保障体系，既能防止外部的非法破坏，也能阻止来自内部的蓄意攻击 可管理性原则。 实现 全面的网络管理。网管人员通过网管软件能随时监视网络的运行状况，一旦出现故障，可以自动报告出错位置和出错原因，管理人员可以迅速发现故障并及时维护 扩展性原则。 系统要有良好的升级扩充能力。随着业务的增长和应用水平广东省地税局网络设计方案 /webmoney 8 的提高 ,网络中的数据和信息流将按指数增长 ,需要网络有很好的可扩展性 ,并能 随着技术的发展不断升级。 QoS 保证 : 当今网络中关键业务及多媒体的应用越来越多 , 如 VOIP 应用对服务质量的要求较高 ,新的网络系统应能保证 QoS,以支持这类应用。 网络结构的层次化原则。 层次化的网络有利于网络的管理，便 于采用各种网络优化技术实现网络优化；同时符合 广东省 地税局的行政管理层次结构，与应用实际相吻合。 2.3 全省网络总体拓扑图 根据对 广东省 地税局计算机网络系统现状和业务情况的详细、深入的分析，考虑 广东省 地税局数据集中后的应用对网络通信的要求，我们建议整个网络系统采用图一所示的拓扑图。整个网络系统采用四层结构为主（省局数据中心 -地市分局分中心 -县局 -网点），特殊地区采用三层结构（省局数据中心 -地市分局分中心 -网点），骨干网采用省局数据中心 -地市分局分中心的两层结构： 广东省 地税局全省网络系统采用四层树状分层结构，拓扑结构图如图一所示。 1、省局数据中心 位于顶层的省局数据中心系统包括征管业务主机、办公自动化服务器、核心交换机、 PIX 防火墙和核心 CISCO 路由器等。 省局数据中心局域网核心由两台 CISCO的高端千兆交换机 Catalyst6509构成。这两台交换机以千兆光纤相连，互为备份且负载均衡，可保证当系统或网络发生单台路由器故障时，业务数据的传送不受影响。到桌面系统的连接为 10/100M的交换以太网或交换快速以太网。 Catalyst6509交换机可划分 VLAN，并提供 VLAN之间的三层交换，保证各项业务系统和 OA系统互不干扰，并保证业务数据的安全性。 广域网核心由两台互为备份的 CISCO高端企业级路由器 CISCO7507构成，以帧中继为主干线路连接各地市分中心。 拨号备份服务器和语音网关由一台CISCO3662来完成。 CISCO3662将连接 ISDN，一旦连接各二级地市的帧中继线路发生故障，各二级地市的路由器就会自动拨号与其建立连接，保证业务不中断。另广东省地税局网络设计方案 /webmoney 9 外， CISCO3662将连接市话网，实现 IP网络上的语音传送。 目前， XX地税已有自己的 WWW网站对外提供服务。在接入 Internet时，为保证地税内部网的安全，采用 CISCO公司的高性能的 PIX防火墙分隔内部和外部网络，PIX防火墙的使用可保证 XX地税在提供 Internet服务的同时，确保内部网络的安全性。对于其他外部网络的接入，也通过 PIX防火墙实现内外网络的隔离，保证其他外部网络的安全接入。 数据中心配有 CISCO的网管软件 CiscoWorks2000。该软件基于 WEB界面，可集中管理全省网络中的所有 CISCO设备，可实时监控网络线路的状况和设备运行的情况，更改网络配置，管理 VLAN，提交统计报表等，能够有效地帮助网络 管理人员维护、管理和使用网络。 2、地市分局网络分中心 所有地市分局网络分中心的设备位于整个树状结构的第二层，其功能主要是本地市数据的汇聚和跨地域数据的转发。二级地市网络中心的广域网设备包括一台CISCO7206和一台提供备份的 3662路由器，或是两台互为备份的 CISCO3662路由器（具体设备配置参见网络设备配置清单）。地市分局网络分中心通过帧中继连接省局数据中心和其管辖地域的各征管分局和征管所，拨号备份及语音网关的功能由提供备份的 CISCO3662来实现。网络分中心的局域网交换由一台 Catalyst6509交换机完成（为保证网络的可靠性，可考虑在各地市分中心放置一台 Catalyst3524交换机做备用，一旦 6509出现故障，可用它临时代用；若资金允许，最好随后增加一台Catalyst4000系列以上的交换机作双机备份， VLAN路由可由分中心路由器实现。）。到桌面系统的连接为 10/100M的交换以太网或交换快速以太网。 Catalyst6509交换机可划分 VLAN，并提供 VLAN之间的三层交换，保证各项业务系统和 OA系统互不干扰，并保证业务数据的安全性。同时，考虑各地市分局网络和外部网络的连接，需要时采用一台 PIX防火墙保证外部网络的安全接入。目前可通过路由器的安全功能进行安全接入控制。 3、县、区征管分局及征管所 各个地市分局下属的县征管分局以及市内的征管分局和征管所位于整个网络系广东省地税局网络设计方案 /webmoney 10 统的第三层。县局的网络中心则是县局下属征管所的网络的汇聚中心，其下属的征管所位于网络的第四层。根据各地市广域网线路的实际情况，也可将县局下属的征管所直接连接到地市分局网络分中心。县征管分局以及市内的征管分局网络设备包括一台 CISCO 3640 和一台提供语音功能兼做设备备份的 CISCO 1750 路由器，CISCO 3640 同时完成到地 市分局和网点的帧中继主线路连接和拨号备份连接。局域网接入可视实际情况采用 HUB 或一台 CISCO 低端交换机 Catalyst 3524（或Catalyst 2924）实现。税所使用一台 CISCO1750 路由器实现帧中继接入和拨号备份，局域网接入采用 HUB 或一台 CISCO 低端交换机实现。 另外，为了有效地利用广域网的带宽，降低 XX 地税局日常办公的长话费用，在省局中心、各地市分局中心和县中心都支持 VOIP 功能。如需要，征管所网点的 CISCO1750 也支持语音接入，只需增加语音模块即可实现。 图一、广东省地税局全省网络拓扑图 地市分局网络中心 Catalyst6509 F.R 县（市）局下属征管所 CISCO1750-2V 县（市）征管分局 CISCO1750 城区征管分局 城区征管所 Cisco3640 PSTN CISCO 3640 SiCISCO 3662 CISCO1750 CISCO3662 INTERNET Ciscoworks 2000 PIX F.R ISDN CISCO 7507 Catalyst 6509 CISCO 3640 省地税局网络中心 PSTN 市话网 ISDN F.R Si SiSiSiSiCISCO1750-2V CISCO7206/3662 外连 CISCO2621 PIX CISCO 7507 广东省地税局网络设计方案 /webmoney 11 三、网络方案详细设 计 XX 地税局的组织结构分为四级结构：省地税局 地市级地税分局 县（市）级分局 征管所网点，全省网络结构也分为同样的四级结构。 广东省 地税局下属 22 个市级地税局，每个二级地市分局有城区的征管分局及征管所网点，以及多个县（市）分局，每个县（市）下属有不同数目的征管所。 下面针对四级网络结构对网络进行总体的规划和设计。 3.1 网络设计概述 XX 地税网络系统分为四级，是一个典型的层次结构的网络，在方案中我们将按照分层次设计的方法，将 XX 地税的网络划分为核心层、分布层、接入层。 核心层： 核心层作为层次结构网络的资 源中心，在功能上需要达到可靠、冗余、可扩展、可管理和安全等要求。在 XX 地税的整个网络中，我们把省局网络中心定义为整个网络的核心层。 分布层： 分布层是下属节点数据的区域转发中心，在功能上需要达到：数据链路失败后快速的网络收敛、数据接入核心层时的安全检查。我们把地市分局的网络中心和县（市）级分局网络中心定义为网络的汇聚层。 接入层： 作为网络的最低层，它的功能是能够以尽量低的设备造价和通信费用，满足节点的用户设备对网络中心的资源访问。在网络层次结构中的所有的末端网络节点都属于接入层。 从网络的连接距离来划分，每 个网络中心又可划分为局域网和广域网两个部分。下面分别予以考虑。 广东省地税局网络设计方案 /webmoney 12 3.1.1 局域网技术的选择 1、局域网技术 从技术实现上，可用的骨干局域网技术主要有 FDDI、 ATM、快速以太网、千兆以太网等几种。但由于技术的发展性、与原有网络技术的兼容性以及使用成本等因素，目前常用的局域网技术主要集中为 FastEthernet 快速以太网技术和 Gigabit Ethernet 千兆以太网技术。其中： 1）、快速以太网技术 快速以太网是基于传统的 l0M 以太网技术，采用与 10M 以太网同样的访问方式和同样的帧结构，所以大量传统的基于 以太网环境下开发的应用不需要修改就可运行。快速以太网可以通过全双工 (Full Duplex)获得 200Mbps 的带宽，特别是随着交换机的出现，全交换连接的以太网完全消除了 CSM/CD 技术在共享式以太网中存在的碰撞和冲突问题，网络传输效率大大提高，经 Cisco 公司测试，在交换以太网环境下，快速以太网可利用 99%的 200Mbps 带宽。 Cisco 的局域网交换机还具有虚拟连网支持功能，可以通过 802.1Q 或 Cisco 的 ISL(lnterswitch Link)技术通过快速以太网实现跨交换机的虚拟网连接。同时，它的使 用成本较低。 2）、千兆以太网技术 千兆以太网是基于传统的 100M 以太网技术发展而来，采用与 100M 以太网同样的访问方式。与 FastEthernet 相同，全交换连接的以太网完全消除了 CSM/CD技术在共享式以太网中存在的碰撞和冲突问题，特别是随着第三层交换机的出现，网络传输效率大大提高，经 IDC 测试，在交换以太网环境下，千兆以太网可利用99%千兆的带宽。 千兆位以太网是超高速主干网的一种极具竞争力的选择方案。在数据、话音、视频等实时业务方面它虽然不能提供真正意义上的服务质量 (QOS)，但千兆位以太网频宽高， 结合交换技术，可以提供极高的性能、吞吐量和服务保证等特性。 由于快速以太网和千兆以太网完全兼容以前的 l0BaseT 技术，是传统以太网的最自然的升级选择，根据 广东省 地税系统目前的实际情况和今后网络技术的发展广东省地税局网络设计方案 /webmoney 13 趋势，我们建议 XX 地税局的网络系统在局域网实现上，采用千兆以太网作为主干，快速以太网作为桌面接入。 2、 VLAN 和 VLAN 路由技术 局域网技术的选择中，另外值得一提的是 VLAN 和 VLAN 路由技术。 VLAN虚网是将一个物理上连接的网络在逻辑上完全分开，这种隔离不仅是数据访问的隔离，也是广播域的隔离，就如同是物 理上完全分离的网络一样，是一种安全的防护，所以 VLAN 功能对于网络建设意义重大，在各种系统都连到中心局域网后，可通过把不同的系统划分在不同的 VLAN 的方式，将各系统完全隔离，以实现对跨部门访问的控制，既保证了安全性，也提高了可管理性。跨交换机的 VLAN 技术 ISL（ Inter-Switch Link）或 802.1Q 使得对局域网的规划、管理和控制更加方便、灵活。 对于不同 VLAN 间需要进行控制访问时，可以通过 VLAN 间的路由来实现访问的连通性和对访问的安全控制。 CISCO 的网络设备提供了这方面完善的访问与 控制功能。 VLAN 之间的路由可通过三层交换模块或 cisco7206 或 cisco3662 来实现。 3.1.2 广域网的线路选择 广域网的功能是实现不同地域的网络互连。 广域网的设计首先是对广域网的线路的选择。目前广域网的线路可由电信局和广电部提供。下面分别介绍： 1、信局提供的广域网线路 现有的广域网线路主要依赖于电信局提供。电信网络经过多年的建设，能够提供如下的数据接入业务： 1）公用电话交换网 (PSTN) 由于公用电话交换网传输的是模拟信号，数据误码率高、可靠性低、联接速率不高、经常会出现通信中断现 象，且以按次计时方式计费，长时间连接的通信费用高。如市话是 4 元 /小时，以每天工作 10 小时计，每月的通信费用为 1200 元。如果以农话、长话连接，费用更高。因此 PSTN 不适合作为主用通信线路，但适合作为备份线路。同时作为传统 PSTN 的扩展，电信部门全面推出了 ISDN 业务，基于广东省地税局网络设计方案 /webmoney 14 PSTN 基础设施， ISDN 能够既支持话音业务又支持非话音业务的交换式数字服务。用户可以在同一个交换连接上传输话音、数据和图象，提供交换的、按需的、全数字的网络传输。目前 ISDN 主要用于访问远端对业务流要求较小的公司及对其它广域连接的热备份。 相比 PSTN，它连接速度快，可用带宽更高。 2)分组交换公用数据网 (X.25) 分组交换作为一种较为成熟的数据通信技术，具有较高质量的传输性能，可在节点交换机和分组终端用户之间实现误码率小于 4x10-15 的数据传输， 此外，它还具有可靠性高、支持多种规程、信道利用率高、经济性好等特点，通信费用与占用通信线路的时间和通信量有关，与通信距离无关。但由于数据采用分组交换，传输过程中经过不确定的若干节点交换机，数据传输有比较大的延时。 分组交换适于作为数据量不大的征管所网点进行跨地区长途通信的主用通信线路。目前公 用分组交换网已经覆盖全国县级以上城市。 3)数字数据网 (DDN) DDN是利用数据信道提供半永久性连接电路，主要提供高速率、高质量的点对点连接。通信费用是固定月租， DDN的通信费用与占用时间和通信信息量无关，只收取固定的月租费， DDN 提供的是半永久性的数字连接，沿途不进行复杂的软件处理，因此延时较短，避免了分组网中传输延时大且不固定的缺点。 DDN 提供的通信速率从 2.4kbit/s 到 2Mbit/s。 DDN所具有的特点： DDN是同步数据传输网，且不具备交换功能；传输速率高，网络延时小； DDN为全透明网；网 络运行管理方便。 4)、 Frame-Relay 帧中继是一种新的服务，它能够为高速的基于帧的突发数据业务提供有效和高性能的数据通信手段。准确的说，帧中继是从传统的基于帧的服务（如 X.25）发展而来的，然而与 X.25 不同的是，依赖于低出错率的高速数据传输介质，如 T1/E1、T3/E3 以及更高速的光纤技术，帧中继的定义中去掉了 X.25 的第三层，而且不进行差错控制和复杂的流量控制，而是将这些工作交给端系统完成，所以可以提供极高的传输速率。 广东省地税局网络设计方案 /webmoney 15 有一点非常重要，帧中继和 X.25 一样，只是数据网络中关于接口标准的定义。因 此，它只定义数据以何种格式提交给帧中继网络进行传输，而不管帧中继网络如何将数据从一个节点传送至另一个节点，其实现的细节留给了帧中继网络设备制造商。作为用户和网络之间的接口标准，帧中继提供了一种统计复用手段，使得同一物理链路上可以有多个逻辑数据会话 (称为虚电路 )，这不同于纯粹的时分复用，帧中继的统计复用提供了对带宽更灵活更有效的利用。 2、广电部提供的广域网的线路 广电部的有线电视网络经过多年的建设，在城市和乡村铺设了大量的光纤和铜轴电缆，除了为用户提供传统的电视节目外，也能够提供如下的数据通讯业务： 1） 10/100/1000M 以太网的接入服务 ： 有线电视台目前在城市内铺设有大量的光纤到社区，到大楼，除了用于视频传输外，还有大量的光纤闲置，可全部用于数据通信。这些光纤可被大的企业或集团租用。为了对中小企业提供服务，他们在大楼内安装了局域网交换机，让用户以 10 兆速率或 100 兆的速率接入他们的网络。 2） Cable Modem 的接入服务 ： 对于铜轴电缆已经铺设到的家庭用户或企业办公室，可以采用 Cable Modem接入有线电视台的宽带网络。 Cable Modem 的上行的最高速率可达 3-10 兆，下行速率可达 27 兆。 结论： 在 XX 地税的网络设计中，考虑到电信和广电线路的情况和地税网络应用的实际情况，电信的网络分布广，技术支援实力雄厚，有大量的应用实例可供参考，建议主干线路选用电信线路；同时，电信帧中继线路与 DDN 线路相比，速率不低，但价格更有优势。因此，建议在省地税局到地市分局的骨干网上采用以帧中继作为主用线路，以 ISDN 作为备份线路；在各地市分局的网络中，建议采用以帧中继作为主用线路，城区征管分局和县分局以 ISDN 以作为备份线路，所有的征管所 PSTN 作为备份线路。对于局部没有所需线路的地方，根据实际情况选用相 应线路。由于 CISCO 设备支持各种线路连接，局部线路连接的改变不影响设备的选择。广东省地税局网络设计方案 /webmoney 16 对于广电网络建设较完善的地方，也可考虑采用广电的宽带网作为广域网线路。 3.1.3 广域网接入设备 根据线路的选择，由用户 DTE 设备到电信局端需要相应的接入设备。其中 帧中继的接入需要基带 MODEM 或 DTU 设备，对于采用 E1 帧中继线路速率的需要高速MODEM 或光纤接入设备 -光端机；拨号备份线路需要选择相应速率的拨号 MODEM。由于帧中继线路接入设备的选择涉及与电信局端设备的兼容性问题，同时要考虑所申请的线路速率和接入线路的介 质，必须根据地税部门的实际线路情况，与当地电信部门协商，根据当地电信部门的设备情况选择适当型号的接入设备。遵循的原则是： 1）、所选接入设备与当地电信局端设备兼容。 2）、接入设备的最高传输速率大于所申请的线路的 PVC 端口速率，并预留线路扩容的余地。 3）、接入设备的接口类型必须与局端接入线路接口类型、用户端路由器的接口类型相对应。 4）、接入设备的数量根据申请的线路端口数量确定。 目前，根据市场的情况，常用的基带 MODEM 和 DTU 设备主要为： ASCOM 的基带MODEM、高速 MODEM；新桥的 DTU； RAD 的基带 MODEM、高速 MODEM；国内也有几家，如成都迈普有各种速率的基带 MODEM，实达各种型号的 MODEM 及吉山的 MODEM 等品牌。据我们了解， 广东省 各地市电信部门使用的设备略有不同，总体讲使用 ASCOM的设备较多。根据 广东省 地税局的网络建设安排，随后将进行接入设备的统一选型，在此我们只加以简单说明。 广东省地税局网络设计方案 /webmoney 17 3.2 省局网络中心的设计 省局网络中心作为整个 XX 地税网络的核心层主干，在功能上有以下的要求： 1、 可靠性 省中心网络作为整个网络结构的中心和骨干，网络必须提供可靠的不间断运行，所以可靠性非常重要。 2、 高速率 网络设备应提供高速的背板交换，网络的局域网应实现高速连接，广域网需采用电信的高速连接网络实现高速的广域网互连。 3、 可扩展性 网络建设充分考虑网络的发展，设备本身可做进一步的升级。 4、 负载均衡 由于省局网络中心是资源的汇聚中心，在中心进行着多种业务和多种应用的处理，这些往往是通过多台网络设备在多台主机上同时进行的，采用必要的手段将各种汇聚来的负载分布在几个处理机上进行，是保证系统的可用性和高效性的一个重要手段。 XX 地税局数据集中后，所有的业务数据都将集中到省局中心，因此省中心网络系统的可靠性显的 非常重要，为提高系统的可靠性，在设计中： 根据 XX 地税的网络应用情况，我们建议利用省局原有的一台 Catalyst6509，省局中心局域网再配一台 Catalyst6509，使用两台 Cisco 公司的 Catalyst6509 交换机组成的局域网主干核心。广域网的核心采用两台 Cisco7507 路由器，构成一个冗余、可靠的主干结构；而拨号备份和语音网关由一台 Cisco3662 路由器来实现。为保证网络不受外部网的破坏，采用两台互为热备份的 CISCO 的 PIX 防火墙实现地税内外部网的隔离，保证地税网络对外的安全连接。 广东省地税局网络设计方案 /webmoney 18 3.2.1 广东省 地税局网络中心拓扑图 3.2.2 局域网的设计 1、局域网设计 局域网核心交换平台设计： 1） 给省局中心交换平台配置了 2 台对称的核心交换机，即使一台中心交换机发生故障，整个系统也可以保证正常的使用，消除了系统的单机故障； 2）采用全交换网络消除局域网的碰撞，实现高可用性； 3） 2 台交换机间相互连接，实现负载分流； 4）为业务主机的双机备份功能提供良好支持，中心服务器主机采用双网卡，分别连接两台交换机，当主机一块网卡出现故障时，通过主机软件和交换机的切换，将 IP 地址和业务 流量转移至另一块网卡上，无须主机间切换。当一台交换机出现故障时，业务流量被转移到另一台交换机上进行。只有当一台主机发生故障时才将业务流量切换至另一台主机，使主机的双机系统具有良好的容错功能和最少的故障恢复时间。 5）核心路由器分别通过 2 个以太口连接两台交换机，利用交换技术，结合交换机本身的桥接生成树（ SPANNING TREE）算法，消除到局域网接入的单点故障。配合主机系统的故障热切换技术，实现一个CISCO 3662 省地税局网络中心 INTERNET CISCO 7206 Si SiCatalyst 6509 Ciscoworks 2000 PIX FR ISDN Si SiCISCO 7507 Catalyst 6509 WWWCISCO 3640 CISCO 3662 Catalyst6509 Si Si市 话网 CISCO 3662 CISCO 3662 地市分局网络中心 地市分局网络中心 广东省地税局网络设计方案 /webmoney 19 消除了单点故障、安全可靠的中心局域网交换平台。 设备选择及配置： 局域网使用 2 台 Cisco Catalyst6509 交换机组成主干核心交换机，两台交换机互为备份。 Catalyst6509 交换机基于千兆交换的高速备板结构， 是目前业界端口密度最高、性能最佳的交换机之一，支持多种类型的网络接口，具有第二层至第四层的交换和控制功能，是智能型的多层交换机，可达到 256Gbps的背板交换带宽和 150Mpps 的多层交换能力。其设计采用 CEF 改进型路由算法和独特的路由模块、交换模块分离式设计方法，大大提高了传统的第三层、第四层交换能力，达到了线速的包处理能力。其高智能、高性能的特点非常适合作为大的园区网或大楼网的网络核心设备。下面是 Catalyst6509 的配置表： 模块 描述 功能 WS-C6509 6509 的机箱 WS-CAC-1300W 6509 的第一个交流电源 提供机箱电源 WS-CAC-1300W/2 6509 的第二个交流电源 提供机箱电源和第一个电源的备份 WS-X6K-SUP1A-MSFC 6509 的交换引擎，支持三层交换路由，带两个千兆的以太网口 提供整个交换机的交换处理 WS-X6K-S1A-MSFC/2 6509 的第二个交换引擎，带两个千兆的以太网口 第一个交换引擎的备份 WS-X6248-RJ-45 6509的 48口的 10/100M的模块 提供局域网的连接 MEM-C6K-FLC24M Flash Memory 24M 存放 IOS 软件 WS-G5484 6509 的千兆口连接模块 提供多模光纤连接 1）、两台交换机采用相同的配置，每台以下面的方式实现可靠性和可用性 ： 配置两块 Supervisor Engine 交换处理模块，两块模块之间互为备份，平时位于第一个槽位的 SupervisorEngine 以 Primary 的方式工作，位于第二个槽位的SupervisorEngine 以 Slave 的方式工作，随时监听 Primary 的 SupervisorEngine的工作状态，一旦 Primay方式的 SupervisorEngine 发生故障，工作于 Slave 方式的 SupervisorEngine 自动接管工作。 2）、配置两个电源模块 两块电源模块之间互为备份，实施时，电源采用两路电路供电，两个电源模块一块接市电、一块接 UPS 电源，分别接两路电源。任何的一路电源都可以担负整个设备的电源供给工作，平时两路电源同时工作，实现负载分担，一旦一路电源掉广东省地税局网络设计方案 /webmoney 20 电，另外的一路将自动的担负整个设备的电源供应。一路电源的失效将 不会影响设备的正常工作。 3）、两台交换机之间实现 GiGabitChannel 的连接 两台交换机之间通过 Supervisor Engine 上的两个千兆口用光纤互连，实现Cisco 公司独有的 GigabitChannel 的捆绑方式，两个千兆的口互连速率可达到四千兆，从而使在两个主干交换机之间的传输速度很快，提供主干的高速传输。 2、局域网设计的实施配置说明 IP 地址的配置需根据地税局网络中心的具体情况进行配置，局域网 VLAN 划分及路由协议配置如图所示： VLAN 2 省局网络中心局域网配置示意 CISCO 3662 SiPIX CISCO 7507 WWW 服务器 Si HSRP GigaBit Channel VLAN 4 VLAN 1 VLAN n Catalyst 6509 VLAN 3 OSPF 广东省地税局网络设计方案 /webmoney 21 1）根据省地税局 的网络拓扑，我们建议在中心交换机上划分 VLAN 时，把前置处理机和中心主机划分为一个 VLAN；外连网络划分为一个 VLAN；与路由器连接的接口划分一个 VLAN；其他 VLAN 的可根据地税局的不同部门或应用来划分。保证各应用的访问安全。 VLAN 间的路由通过 6509 的三层交换模块实现，并可采用访问列表进行访问控制； 2）、连接到主干交换机上的设备（路由器、主机等）都分别连接到两台交换机，任何的一台交换机或者线路出现问题都不影响网络的连接。在正常情况下，数据通讯在两台交换机上实现负载均衡，对某一连接在主干交换机上的设备 而言，一台交换机是其主交换机，另一台作为备份，一旦主交换机链路失效，则连接在备份交换机上的链路自动启用，保证网络的正常连通；一台核心交换机出现故障时，其上原有的工作负载自动转移至另一台交换机，由一台交换机承担，整个网络连通性不受影响，实现高可靠性。 3）由于到广域网路由器的连接存在冗余路径，交换机路的由模块上，在与路由器相连的 VLAN 接口和广域网路由器的局域网口上运行 OSPF 动态路由协议； 4）两台 6509 交换机间配置 GigabitChannel 捆绑，实现高速通信； 5）在三层交换模块上运行 CISCO 的 HSRP 协议实现双机热备份，对主机侧呈现一个虚拟的 IP 地址，主机侧路由只需配置一个缺省网关而实现链路冗余。在正常状态下，两台交换机的交换模块独立工作，实现负载均分，一旦一个失效，另一个交换模块会在短时间内（隐含值 3 秒）内接管该模块的工作，维护 VLAN 及对外通讯的畅通，整个过程对主机是透明的； 6）对外部网的连接需要进行防火墙的安全配置。 整个配置主要包括以下几个方面： 交换机 IP 地址和缺省网关 VLAN 的划分 GigaBit Channel 配置 VLAN TRUNK 冗余 广东省地税局网络设计方案 /webmoney 22 配置 Ethernet, Fast Ethernet, and Gigabit Ethernet Switching 配置 Spanning Tree 配置 Spanning-Tree PortFast, UplinkFast, and BackboneFast 配置 VTP 配置 Redundant Supervisor Engines 配置 Layer 3 Protocol Filtering 配置 IP Permit List 配置 Port Security 配置 SNMP 3.2.3 广域网的设计 广域网的 设计包括下面的几个部分： 1、广域网的线路 帧中继能够为高速的基于帧的突发数据业务提供有效和高性能的数据通信手段，具有高吞吐量、低延迟和费用较低、支持多点传输的优点。所以我们建议从省局中心到地市分中心的广域网主干线路采用帧中继线路，以 ISDN 作为备份线路。根据线路的估算，中心到地市分局约需要 6 个 E1 端口，实施中将他们分为两组分别连接中心的两台核心路由器，实现地市分局网络数据在两台路由器上的负载均分，同时一旦一台路由器出现故障，可减小影响。备份线路连接在中心的拨号备份路由器 CISCO 3662 上，实现对主线路 的备份。 具体的端口数需求和速率和 PVC 设计方案见 广域网的带宽设计一节。 2、广域网的设计 中心广域网路由核心设计 ：作为广域网接入的汇聚中心，省中心的广域网接入核心的可靠性与高可用性直接关系整个网络的性能。在设计中采用 2 台对等的核心路由器，在两台核心路由器上做对等配置， 即使一台中心交换机发生故障，整个系统也可以保证正常的使用，消除了系统的单机故障。配置拨号备份的接入，作为对帧中继主线路的备份。 广东省地税局网络设计方案 /webmoney 23 设备选择配置： 核心路由器选用 2 台当今业界高性能的 Cisco 7507 路由器产品。中心 2 台路由器上作同 样的配置，防止了单台路由器的单点故障。另加一台CISCO 3662 作为拨号备份路由器，三台路由器分别通过两个快速以太网端口以全双工方式连接两台 Catalyst 6509 交换机实现到中心的冗余连接。根据线路申请情况，将各地市分局分组分别连接在两台路由器上，实现负载分流。 CISCO 7507 的配置如下 ： 模块名 描述 数量 功能 CISCO7507/4X2 7507 的机箱，两块 RSP4 处理器模块 1 机箱 VIP2-50 第二代通用接口处理器模块 2 提供分布式路由 PA-FE-TX 2 口的快速以太网模块 2 快速以太网连接 PA-4E1G/75 4 口的 E1 的端口 2 FR 的连接 7507 上提供冗余电源支持 ,可热插拔的两个电源互为备份； 7507 提供 7 个插槽，其中两个用于插 CISCO 的 RSP4 模块达到负载均衡的目的，并互为备份；选用两口的 PA-2FETX 的快速以太网模块，分别与两台 6509 相连；配置通用的VIP 的模块， CISCO 的 VIP2 的模块是 CISCO 为提高 7500 的处理能力和扩展能力的子处理模块，每个 VIP2 的模块提供两个用户插槽，可插两块子卡。 另外一台 Cisco 3662 配置 ISDN 拨号备份模块和语音模块，实现省中心到各地市间帧中继主干线路的备份和语音功能。 采用两台互为热备份的 CISCO 高性能的 PIX 防火墙实现地税内部网络对外部网络和对 INTERNET 的安全接入，保护内部网和主机不受非法攻击。 3、广域网设计的实施配置说明 1）省局中心的 IP 地址分配根据省局的统一规划进行配置； 2）路由协议上，由于在网络中心的局域网连接中采用了冗余连接，所以在路由器的局域网口上必须采用 OSPF 或 EIGRP 动态路由协议才能满足负载均衡和快速收敛；而在到地市分局的广域网的连接中，整个网络系统的层次结构简 单清晰，同时使用分层 IP地址结构，到每个地市分局的所有 IP 地址可汇总为一到两个 B 类地址，所以采广东省地税局网络设计方案 /webmoney 24 用静态路由协议。为了减少中心路由器的路由表的大小，简化路由，在省、地市主干路由器必须采用相应的汇总路由，且二者必须一致。配置通过备份线路到地市分局的路由，实现线路备份；配置路由保证到地市分局语音网络能连通。配置方案如下图所示： 3）每台核心路由器各上，同一接口上连接的地市分局网络共享一个 E1 端口的速率，在此路由器接口上，根据所连接的地市，划分子接口，进行帧中继封装，并对应到相应地市的 PVC 的 DLCI号。子接口上根据 IP 地址规划配置点对点地址或使用 IP Unnumbered 地址。 4）在语音网关和备份路由器上，在备份接口上进行相应地市的拨号备份配置，在语音接口上进行相应的语音配置，并在路由器上配置路由。 5）两台路由器上作相同的配置，未使用的接口也进行相应的配置， 平时可以把广域网接入线路均分到两台路由器上实现负载均分，提高可用性。当一台路由器上的端口或者路由器损坏时，在备份线路启用的同时，将此台路由器上相应端口的主干线路人工切换到另一台路由器上即可使主干线路恢复通讯，备份线路自动断开，在 不增加线路费用的情况下，保证了网络的高可用性和可靠性。 WWW 服务器 省局网络中心广域网配置示意 CISCO 3662 SiPIX CISCO 7507 Si HSRP GigaBit Channel Catalyst 6509 OSPF 配缺省网关 F.R ISDN 静态路由 外连 广东省地税局网络设计方案 /webmoney 25 6）采用两台 CISCO 高性能的 PIX 防火墙实现地税内部网络对外部网络和对 INTERNET 的安全接入，保护内部网和主机不受非法攻击。防火墙的安全配置说明详见第四章网络安全部分。 3.2.4 省中心负载均衡及故障处理设计 1、负载均衡 作为整个网络的汇聚核心，省局网络中心的可靠性、高效性尤其重要。根据上述的网络设计： 局域网： 采用两台高性能的核心交换机，在两台交换机的配置上采用 VLAN划分、 HSRP、 OSPF 动态路由、访问列表访问控制等技术，实现对应用主 机的冗余链路和双机热备份。同时，通过使用上述技术，在两台交换机都正常工作时，将中心局域网上的流量分配在两台交换机上，实现负载均衡，提高网络处理效率。 广域网接入： 同样采用两台高性能的核心交换机，对各地市广域网的接入均分在两台路由器上，以便提高效率。同时采用备份线路接入作为主线路的备份，并且两台核心使用对等配置，一旦一台路由器出现故障，另一台可完全接替该路由器所有的接入负载，实现了高可靠性。 另外值得考虑的一点是，由于 广东省 地税局数据集中后，所有的数据处理集中在省中心，数据量大，应用种类多，中心主机 的处理能力和中心网络的交换能力将面临更大的压力。在网络方面我们已作了充分的考虑，使用多路径负载均分实现网络的高性能传输和路径的可靠性；对于主机，往往采用多台主机并行处理的方式以提高处理速度，同时增强可靠性。对于数据流量在主机间的分流， CISCO的 LocalDirector 具有流量分析，自动分配负载的功能。它能按照一定的负载均衡算法，将 TCP/IP 信息流进行分类，并影射到不同的 IP地址。实现多台主机间数据处理的负载均分。我们建议地税局在必要的时候，配置一台以增强主机的处理能力。使用 LocalDirector 可 实现对主机透明负载均衡，拓扑结构如下图所示： 广东省地税局网络设计方案 /webmoney 26 2、故障处理 尽管方案设计中已充分考虑了网络的可靠性和冗余备份，但对于主设备和备份设备同时出现故障的情况，已超出了网络冗余设计的考虑范围，需要进行灾难备份的考虑。由于此种情况发生的可能性极小，地税此次网络建设也暂未考虑，这里不作详细说明。下面仅对网络能够自愈的几种故障加以说明： 1）、主干帧中继线路出现故障或两台核心路由器故障 若帧中继线路出现故障，对应的地市分局路由器将自动拨号启用备份链路，中心的备份路由器将保证通信正常实现。 2） 、一台交换机故障 由于关键主机和路由器均采用两个以太网口分别连接两台交换机，原先各地市分局通过故障交换机对中心的访问流量将自动由另一台交换机接替完成。中心局域网 VLAN 间的路由也将由另一台交换机完成。对主机一侧而言，主机将自动启用连接另一台交换机的网卡，由于两台交换机的三层模块运行 HSRP 协议，路由对主机是透明的。但是，原先只连接故障交换机的部分非关键用户必须通过人工物理查拔接口线，连接到另一台交换机的剩余端口上，才能实现正常连接。 3）、一台核心路由器故障 Catalyst 6509 Local Director 多负载均衡 Cisco 7507 Frame Relay 应用前置机群 Cisco 3662 Si Si Si Si主机 ISDN/PSTN 广东省地税局网络设计方案 /webmoney 27 如前所述，广域网的主线路均分在两台路由器上，因此 连接故障路由器的地市分局将自动拨号起用备份 ISDN 线路，保证连通性。由于两台路由器作了对等的配置，所以只需将连接故障路由器的主线路拔插到另一台路由器，就能恢复主线路的通信，同时在配置时间内自动断开备份线路。整个处理过程对主机侧是透明的，处理动作也十分简单。 4）、一台主机故障 由于两台主机是双机热备份的，网络交换平台又从网络通信路径支持外部设备通过不同路径访问主机，因此，任意一台主机出现故障，它的工作将被另一台主机接管，保证应用处理的顺利完成。 对于以上几种故障的组合，中心网络平台将综合使用几种自愈技术实现 故障自愈，保证了中心的高可靠性。 3.3 地市分局网络分中心的设计 3.3.1 地市分局网络结构拓扑图 在参加网络建设的地市分局中，各地网络状况有较大差别，其中中山、东莞、惠州、顺德已完成地市分局内部的网络建设，只需在地市分局网络中心根据需要增加部分设备实现到省局的网络连接，地市分局内部的网络几乎不用改动；对于尚未进行网络建设的地市分局，各地市网络中心到县级网络中心、城区地税分局和征管所及县级中心到下属网点的主干线路采用帧中继或 ATM 接入，县分局、城区分局的备份线路使用 ISDN，网点备份用 PSTN。各地市分局 的网络结构采用图三或图四所示的拓扑结构；在图中，根据具体情况，县级分局下属的网点也可以直接连接到地市分局网络中心，不经过县分局的汇总。 地市网络中心设备的选择方案为：除广州、深圳、中山、东莞、顺德已进行过网络建设，有足够设备的地市外，其余每地市配置一台 Catalyst6509（或根据资金另再加 Catalyst4003）作为局域网交换机，有条件的采用两台中心交换机；对于地市分局网络分中心广域网的接入，在汕头、佛山、江门、湛江、惠州、茂名、韶关、广东省地税局网络设计方案 /webmoney 28 潮州、梅州 9 个较大的地市采用一台 Cisco7206 作为广域网主路由 器，另用一台Cisco3662 作为拨号访问服务器和 VOIP 语音网关；在肇庆、云浮、汕尾、清远、河源、揭阳、阳江采用一台 Cisco3662 作为广域网主路由器，另用一台 Cisco3662作为拨号访问服务器和 VOIP 的语音网关；在顺德、珠海 2 地市增加一台 Cisco3662作为原有主路由器的备份路由器和语音网关。在图示的结构中，由于需要对外部网的连接，必要时可配置一台 PIX 防火墙及 CISCO2621 实现安全接入。 另外，在实施配置上，由于地市分局作为本地市数据汇聚的中心，其作用同样十分重要，各地市需要根据实际设备配 置情况，尽可能多采用与中心相似的网络技术实现地市分中心网络的可靠性和高可用性。对于各地市分局网络中心的设计，我们只从总体上给以阐述。 CISCO 3662 图三、二级地市地税局广域网络方案一 市地税局数据中心 Si SiF.R PSTN/ISDN C I S C O 7 2 0 6 或 3662 Catalyst6509 F.R 征管所 Catalyst 3524/2924 县地税分局 Catalyst 2924 Si城区地税局分局 城区征管所 Cisco 3640 PSTN CISCO 3640 SiCISCO 1750 外连 Cisco 2621 Cisco 1750 Cisco 1750 Cisco 1750 广东省地税局网络设计方案 /webmoney 29 图四、二级地市地税局广域网络方案二 Catalyst6509 CISCO 1750-2V 县（市）分局中心 城区征管所 CISCO 3640 Si CISCO 1750 ISDN F.R SiCISCO 3662 CISCO 7206/3662 PSTN CISCO 1750-2V 城区征管分局 CISCO 3640 SiSi 县（市）局下属征管所 地市地税分局数据中心 CISCO 1750 外连 CISCO2621 PIX Catalyst3524/ 2924 Catalyst3524/ 2924 广东省地税局网络设计方案 /webmoney 30 3.3.2 地市分局网络中心局域网总体设计 1、局域网设计 为了提高各二级地市网络中心的局域网网络性能，对每个地市分局都配置一台高性能的 CISCO 6509 交换机作为核心交换机，为保证网络的可靠性，可考虑在各地市分中心放置一台 Catalyst3524 或 Catalyst2924 交换机做备用，一旦 6509 出现故障，可用它临时代用；若资金允许，最好随 后增加一台 Catalyst4000 系列以上的交换机作双机备份， VLAN 路由可由分中心路由器实现。 Catalyst6509 交换机基于千兆交换的高速备板结构，其高智能、高性能的特点非常适合作为大的园区网或大楼网的网络核心设备，在将来地市分局建大楼局域网时，可升级为大楼网核心交换机。下面是 Catalyst6509 的配置表： 模块 描述 功能 WS-C6509 6509 的机箱 WS-CAC-1300W 6509 的第一个交流电源 提供机箱电源 WS-CAC-1300W/2 6509 的第二个交流 电源 提供机箱电源和第一个电源的备份 WS-X6K-SUP1A-MSFC 6509 的交换引擎，支持三层交换路由，带两个千兆的以太网口 提供整个交换机的交换处理 WS-X6248-RJ-45 6509 的 48 口的 10/100M的模块 提供局域网的连接 MEM-C6K-FLC24M Flash Memory 24M 存放 IOS 软件 WS-G5484 6509 的千兆口连接模块 提供多模光纤连接 1）、配置两个电源模块 两块电源模块之间互为备份，实施时，电源采用两路电路供电，两个电源模块一块接市电、一块接 UPS 电源，分别接两路电源。任何的一路电源都可以担负整个设备的电源供给工作，平时两路电源同时工作，实现负载分担，一旦一路电源掉电，另外的一路将自动的担负整个设备的电源供应。一路电源的失效将不会影响设备的正常工作。 2）、对采用两台交换机的地市分局，连接到主干交换机上的关键设备（路由器、广东省地税局网络设计方案 /webmoney 31 主机等）都分别连接到两台交换机，任何的一台交换机或者线路出现问题都不影响网络的连接。在正常情况下，数据通讯在两台交换机上实现负载均衡，对某一连接在主干交换机上的设备而言，一台交换机是其主交换机，另一台作为备份，一旦主交换机链路 失效，则连接在备份交换机上的链路自动启用，保证网络的正常连通；一台核心交换机出现故障时，其上原有的工作负载自动转移至另一台交换机，由一台交换机承担，整个网络连通性不受影响，实现高可靠性。 4）、实施中， 6509 交换机上将根据需要进行 VLAN 划分，将不同的应用分为不同的区域，不同应用的主机接入所属 VLAN 对应的交换机端口，保证不同应用间的安全性。 VLAN 间的访问通过 Catalyst6509 多层交换模块实现。 CISCO 路由器具有强大的 VLAN 功能的划分，对使用两台交换机的地市分局，在实际的 VLAN 规划中可以按照 网络的功能和部门的不同，跨交换机划分 VLAN。 2、局域网实施配置说明 IP 地址的配置需根据地市分局网络中心的具体情况进行配置，对已经有网络的地市分局，根据原有地址分配，将增加的设备加入旧有网络中心即可。对有两台交换机的地市分局，可采用与前述省局网络中心相同的实施方案。对只有一台交换机的地市，只需去除涉及两台交换机间配置的部分，局域网 VLAN 划分及路由协议配置如下图所示： VLAN 2 地市网络中心局域网配置示意 CISCO 3662 PIX CISCO 7206/3662 WWW 服务器 SiVLAN 4 VLAN 1 VLAN n Catalyst 6509 VLAN 3 OSPF 广东省地税局网络设计方案 /webmoney 32 与省局网络中心相似，我们建议在交换机上划分 VLAN 时，把中心主机划分为一个 VLAN；外连网络划分为一个 VLAN；与路由器连接的接口划分一个 VLAN；其他 VLAN 的可根据地税局的不同部门或应用来划分。保各应用的访问安全。 VLAN间的路由通过 6509 的三层交换模块实现（对于有两台交换机，但交换机无三层交换能力的，在与交换机相连路由器的一个局域网口上封装 TRUNK，通过路由器实现 VLAN 间的通信），并可采用访问列表进行访问控制；交换机路的由模块上，在与路由器相连的 VLAN 接口和广域网路由器的局域网口上运行 OSPF 动态路由协议；有两台交换机的地市，交换机间采用 GigabitChannel 捆绑连接实现高速通信，并运行 CISCO 的 HSRP 协议实现双机热备份；对外部网的连接需要进行防火墙的安全配置。同样，整个配置主要包括以下几个方面： 交换机 IP 地址和缺省网关 VLAN 的划分 GigaBit Channel 配置 VLAN TRUNK 冗余 配置 Ethernet, Fast Ethernet, and Gigabit Ethernet Switching 配置 Spanning Tree 配置 Spanning-Tree PortFast, UplinkFast, and BackboneFast 配置 VTP 配置 Layer 3 Protocol Filtering 配置 IP Permit List 配置 Port Security 配置 SNMP 广东省地税局网络设计方案 /webmoney 33 3.3.3 广域网的设计 由前面对广域网线路选择的比较说明，此次网络建设中将采用帧中继网络作为广域网接入的主线路。帧中继和分组交换类似，但却以比分组容量大的帧为单位而不是以分组为单位进行数据传输；而且，它在网络上的中间节点对数据不进行误码纠错。帧中继技术在保持了分组交换技术的灵活及较低的费用的同时，缩短了传输时延，提高了传输速度。因此，它成为了当今实现局域 网（ LAN）互连、局域网与广域网（ WAN）连接等应用的理想解决方案。其优点是： 按需分配带宽，网络资源利用率高，网络费用低廉。 采用虚电路技术，适用于突发性业务的 使用。 不采用存储转发技术，时延小、传输速率高、数据吞吐量大。 兼容 X.25、 SNA、 DECNET、 TCP/IP 等多种网络协议，可为各种网络提供快速、稳定的连接 。 以下是帧中继与现有其他网络技术的特点比较： 项目 交换电路 租用电路 分组交换 帧中继 高速率 较差 较好 较差 较好 按需分配带宽 无 无 较好 较好 一点到多点 较差 可以 较好 较好 网络灵活性 较好 较差 较好 较好 费用 较低 较高 较低 较低 时延 较低 较低 较长 较低 综合考虑各个方面， 广东省 地税局各地市分局连接省中心的广域网骨干线路将广东省地税局网络设计方案 /webmoney 34 采用 F.R，备份采用 ISDN 拨号备份，速率为 64K 至 512K；下连的主干线路主要为 F.R 和少量其他 线路如 ATM、 DDN，县局备份采用 ISDN，其它节点以 PSTN 作为备份线路。 广域网的带宽设计 广域网的带宽需求涉及到性能、费用、接入方式、与电信的协调等各个方面的问题，所以必须统筹考虑，不可偏废。下面，我们将从对各个二级地市的基层单位数、业务量的大小分析入手，通过对数据流量的分析，最终确定各二级地市的广域网的带宽需求。下表是各二级地市的征管分局及征管所网点的统计数： 地市 基层单位数 说明 汕头 120 汕尾 84 韶关 144 肇庆 89 云浮 77 湛江 155 清远 45 梅州 83 江门 115 河源 40 佛山 56 东莞 33 网络已建 潮州 62 揭阳 94 阳江 58 惠州 117 网络已建 茂名 145 广州 广东省地税局网络设计方案 /webmoney 35 中山 26 网络已建 珠海 31 网络已建 顺德 10 网络已建 总计： 1584 下面我们对三个二级地市的网点数和业务量进行分析。我们采用了如下的假设： 1、每笔交易所需传输的字节数为 840 个字节。假定每笔交易平均传输上行两个包，下行两个包，所有的数据包都是采用 ISO 8583 的打包格式。上行的数据包一般包含三磁道的信息，包长度大约为 200 个字节，下行包不包含三磁道的信息，包长度大约为 140 个字节，再加上 TCP/IP 数据包 40 个字节的包头封装开销，一笔交易所需传输的字节数为 200*2+140*2+40*4=840 个字节。 2、假设一个征管分局或征管所有 10 个营业柜台，在每天的交易高峰期，每个柜台的交易笔数是一分钟两笔。 3、假设平均每 20 个网点中，有一个网点在通过 VOIP 打电话，而一路电话所花费的带宽为 11K。 下面，我们对湛江、肇庆、佛山的带宽进行分析： 地市 网点数 交易高峰期的每分钟笔数 交易高峰期的带宽需求（ KBPS） VOIP 所需要的线路的带宽（ KBPS） 合计的线路速率（ KBPS） 实际可申请的线路速率（ KBPS） 湛江 155 3100 347 88 436 512K 肇庆 89 1780 199 55 254 256K 佛山 56 1120 125 33 158 256K 从以上的分析可以看出，对于湛江、肇庆、佛山分别只需要 512K、 256K、256K 的上连带宽就可满足日常交易以及 VOIP 的峰值带宽要求。 我们再计算一下一个城区征管分局或一个 征管所需要的连接市网络中心所需要的带宽。除了上面的三条假设，再加一条，假设所有的柜台在两秒内都提交了一笔作业，则所需要的带宽为 840*8*10/2=33.6K。所以我们建议所有的城区征广东省地税局网络设计方案 /webmoney 36 管分局或征管所申请的线路的带宽为 64K。 以下表格是我们根据各二级地市的网点数为其确定的连接省中心的带宽以及所需要的连接网点和省中心所需的 E1 端口数（仅为估算，具体带宽的申请需在实施前进行具体业务考察后确定）： 地市 基层单位数 带宽需求 E1 端口数 汕头 120 512 5 汕尾 84 256 4 韶关 144 512 5 肇庆 89 256 4 云浮 77 256 3 湛江 155 512 6 清远 45 128 2 梅州 83 256 3 江门 115 512 5 河源 40 128 2 佛山 56 256 3 东莞 33 128 2 潮州 62 256 3 揭阳 94 256 3 阳江 58 256 3 惠州 117 512 5 茂名 145 512 6 广州 512 1 中山 26 128 1 珠海 31 128 2 顺德 10 128 0 总计： 1584 68 广东省地税局网络设计方案 /webmoney 37 广域网线路的费用计算 根据以上对骨干网的端口数与速率的估算，下面计算一下广域网中骨干线路的费用。以下是广州电信的帧中继业务资费标准 一、端口安装调测费（含工料费）： 1000 元 /端口 二、 PVC 电路调测费： 50 元 /条 三、接入端口月租费 端口速率 64K 128K 256K 384K 512K 768K 1M 2M 月租费 (元 /端 ) 420 635 823 1130 1475 2075 2780 3930 四、 PVC 月租 费 本地网营业区间内 本地网营业区间 省内 省际 800 公里内 省际 800 公里外 8K 480 720 900 1120 1400 16K 532 800 1080 1344 1680 32K 578 869 1260 1568 1960 48K 625 938 1440 1792 2240 64K 672 1008 1620 2016 2520 96K 844 1152 2040 2534 3164 128K 1016 1296 2460 3052 3808 192K 1166 1636 3026 4046 5068 256K 1316 1976 3592 5040 6328 320K 1562 2346 4136 6000 7514 384K 1808 2716 4680 6960 8700 512K 2360 3540 5744 9072 11340 640K 2840 4284 6852 10982 13728 768K 3320 5028 7960 12892 16116 1M 4448 6668 10040 17080 21360 1.5M 5368 8734 14340 24920 30680 2M 6288 10800 18640 32760 40000 广东省地税局网络设计方案 /webmoney 38 说明： （ 1）帧中继资费包括一次性费用和月租费两部分，一次性费用即端口安装调测费和 PVC 电路 调测费：月租费即端口月租费和 PVC 电路月租费。 （ 2）申请开通或更改 PVC 收取 50元 /条电路调测费。 （ 3）每个端口每月只收一次端口月租费（无论开多少条 PVC），省际省内长途、本地网间和 本地网内的帧中继端口月租费相同。 根据各地对线路的需求情况， 经计算，全省网络的总的初装费估算为 1,867,350元，总的月租费为 1,535， 717 元。 以下为线路费用计算的具体说明： 省骨干网的线路费用计算如下： 省骨干网将 开通 6 个 2M速率的线路（每条线路的 PVC 的 CIR 总和约为 1M，以便于为以后的提速作好预留），除顺德外的其它市局网络中心上连的端口物理速率也为 2M, 其中 7条 PVC的速率为 512K, 8条 PVC速率为 256K, 6条 PVC速率为 128K （此处的速率是指 PVC 的 CIR 即保证速率，目前 XX 电信的帧中继业务尚不提供CAR 即超额突发速率）。 通信费用 ： 1、 线路安装费用（一次性付费）： 省局中心点： 6个 2M 端口，安装调测费为 6000 元 市局分中心点： 20 个 2M 端口加 1个 768K端口，安装调测费为 21000 元 ，PVC 开通费为 1050 元 2、 线路月租费：包括端口月租费和 PVC 月租费 省局中心点： 6个 2M 端口，月租为 15327 元 市局分中心点： 20 个 2M 端口，月租费为 51090 元， 1 个 768K 端口，月租费为 1349 元， 21 条 PVC 月租费为 （ 3540*1+5744*6+ 3592*8+2460*6） *0.65=52975 元 综上，省局支付初装费用 6,000 元，每月月租 15,327 元。各市支付初装费22,050 元，月租 105， 414 元。 二级地市广域网的费用计算如下 ： 广东省地税局网络设计方案 /webmoney 39 二级地市网络将开通 68个 2M 速率的线路和 1个 768K速率的线路（顺德），其中每个县（市）局将开通一条上连速率为 128K 速率（ CIR）的 PVC 到中心，而每个网点将开通一条上连速率为 64K 速率（ CIR）的 PVC 到县支点或到市局分中心。 通信费用： 线路安装费用（一次性付费）： 市局分中心点： 48 个 2M 端口，安装调测费为 48000 元 县局支点： 122 个 256K 端口，安装调测费为 122000 元， PVC 开通费为6100 元 征收节点： 1584 个 64K端口，安装调测费为 1584000 元， PVC 开通费为79200 元 线路月租费：包括端口月租费和 PVC 月租费 市局分中心点： 48 个 2M 端口，月租为 122616 元 县局支点： 122 个 256K 端口，月租费为 65264 元， 122 条 128K 速率的PVC 月租费为 102773 元 征收节点： 1584 个 64K端口，月租费为 432432 元， 1584 条 64K速率的PVC 月租费为 691891 元 广域网路由器选择与配置 1、广域网设备 二级地市网络中心是所辖基层网点与省数据中心之间数据通信的交通枢纽，与省网络中心的数据通信量很大。为了保证高性能、高可靠性，及良好的可扩充性，在产品选型上，选择高 中档的产品。由于各二级地市的网络建设情况、网点规模、业务量、线路情况有较大的差别，所以根据具体情况选择了相应的产品搭配方案。对已进行了网络建设的地市，根据已有路由设备情况相应增加部分路由器；对没有广域网路由器的地市，在网点多或业务量大的分行使用 CISCO 7206 路由器，在网点较少或业务量也小的地市采用 CISCO 3662 路由器。 具体为： 1）、对汕头、湛江、江门、惠州、茂名、韶关、潮州、梅州 7 个地市分局，广域网的主干设备选择一台 Cisco7206 的路由器，另配一台 CISCO3662 做备份路由器广东省地税局网络设计方案 /webmoney 40 和语音网 关； Cisco7206 配置两个电源，局域网通过快速以太网模块连接到Catalyst6509，广域网的接入选用的是四口的 E1 模块。 湛江 7206 配置 模块 描述 功能 CISCO7206VXR/300 7206 的机箱、电源和处理模块带一个快速以太网口 PWR-7200/2 冗余电源 PA-2FEISL-TX 2 口的快速以太网模块 PA-4E1G/75 4 口的 G.703 接口的 E1 串行接口适配器 连接 FR 网络 PA-8B-S/T 8 口的 ISDN 网络适配器 备份线路 其它 Cisco7206 的配 置表： 模块 描述 功能 CISCO7206VXR/300 7206 的机箱、电源和处理模块带一个快速以太网口 PWR-7200/2 冗余电源 PA-2FEISL-TX 2 口的快速以太网模块 PA-4T+ 4 口的串行接口模块 连接 FR 网络 PA-8B-S/T 8 口的 ISDN 网络模块 备份线路 用作备份线路拨号服务器以及 VOIP 语音网关的 Cisco3662 路由器，其配置如下 ： 湛江 3662 配置 模块 描述 数量 CISCO3662-AC 3662 的机箱 1 PWR-3660-AC 3662 的第二块电源 1 NM-2CE1U 2 口的 Channelized E1 模块 1 NM-16AM 16 口的模拟拨号 modem 模块 1 NM-8B-S/T 8 口的 ISDN 模块 1 广东省地税局网络设计方案 /webmoney 41 NM-2V 提供电话卡的插槽 1 VIC-2FXS 接入 2 路电话 2 其他 3662 配置 模块 描述 数量 CISCO3662-AC 3662 的机箱 1 PWR-3660-AC 3662 的第二块电源 1 NM-4T 4 口的串行接口模块 1 NM-2CE1U 2 口的 Channelized E1 模块 1 NM-16AM 16 口的模拟拨号 modem 模块 1 NM-8B-S/T 8 口的 ISDN 模块 1 NM-2V 提供电话卡的插槽 1 VIC-2FXS 接入 2 路电话 2 2）对佛山地税局，拟采用 ATM 线路实现下属网点的接入，上连省局使用FR 线路。广域网的主干设备选择一台 Cisco7206 的路由器，另配一台CISCO3662 做备份路由器和语音网关；配置如下： 模块 描述 功能 CISCO7206VXR/300 7206 的机箱、电源和处理模块带一个快速以太网口 PA-FE-TX 1 口的快速以太网模块 PA-4E 4 口的快速以太网模块 PA-4T+ 4 口的串口模块 连接 FR 网络 模块 描述 数量 CISCO3662-AC 3662 的机箱 1 PWR-3660-AC 3662 的第二块电源 1 NM-4E 4 口的快速以太网模块 1 NM-4T 4 口的串行接口模块 广东省地税局网络设计方案 /webmoney 42 NM-8B-S/T 8 口的 ISDN 模块 1 NM-8AM 8 口的模拟拨号 modem 模块 1 NM-2V 提供电话卡的插槽 1 VIC-2E/M 接入 2 路电话 2 地市下属部分单位通过 ATM 线路用路由器以太网口实现接入。 3） 肇庆、云浮、汕尾、清远、河源、揭阳、阳江 7 个地市分局广域网，由于其网点数较少或业务量较小，采用两台 CISCO 3662 实现广域网连接。一台用做主线路连接，另一台实现拨号备份及语音网关，配置为： 揭阳、阳江 2 个地市使用如下配置： 模块 描述 数量 CISCO3662-AC 3662 的机箱 1 PWR-3660-AC 3662 的第二块电源 1 NM-4T 4 口的高速串行模块 2 NM-16AM 16 口的模拟拨号 modem 模块 1 NM-8B-S/T 8 口的 ISDN 模块 1 NM-2V 提供电话卡的插 槽 1 VIC-2FXS 接入 2 路电话 2 模块 描述 数量 CISCO3662-AC 3662 的机箱 1 PWR-3660-AC 3662 的第二块电源 1 NM-4T 4 口的高速串行模块，连接省中心和网点 2 其他地市使用如下配置 : 模块 描述 数量 CISCO3662-A 3662 的机箱 1 广东省地税局网络设计方案 /webmoney 43 C PWR-3660-AC 3662 的第二块电源 1 NM-4T 4 口的高速串行模块 1 NM-16AM 16 口的模拟拨号 modem 模块 1 NM-2CE1U 2 口的 Channelized E1 模块 1 NM-8B-S/T 8 口的 ISDN 模块 1 NM-2V 提供电话卡的插槽 1 VIC-2FXS 接入 2 路电话 2 模块 描述 数量 CISCO3662-AC 3662 的机箱 1 PWR-3660-AC 3662 的第二块电源 1 NM-4T 4 口的高速串行模块，连接省中心和网点 1 NM-8B-S/T 8 口的 ISDN 模块 1 4） 对于已经进行了网络建设的顺德、中山、珠海、东莞 4 个地市分局，根据实际情况，只在顺德、珠海两市增加一台 实现备份及语音网关的 CISCO 3662；使骨干网全部采用 CISCO 设备，便于统一管理；配置为： 模块 描述 数量 CISCO3662-AC 3662 的机箱 1 PWR-3660-AC 3662 的第二块电源 1 NM-4T 4 口的高速串行模块 1 NM-16AM 16 口的模拟拨号 modem 模块 1 NM-2CE1U 2 口的 Channelized E1 模块 1 NM-8B-S/T 8 口的 ISDN 模块 1 NM-2V 提供电话卡的插槽 1 VIC-2FXS 接入 2 路电话 2 硬件连接按网络拓扑图进行连接，主线路连接主路由 器，备份线路连接备份路广东省地税局网络设计方案 /webmoney 44 由器。语音连接在语音网关上。对于有两台交换机的地市，参见省局中心的连接方式。 2、广域网实施配置说明 1）地市分局中心的 IP 地址分配根据省局的统一规划进行配置； 2）路由协议上， 在路由器的局域网口上和与路由器相连的交换机上 VLA N 对应路由接口上采用 OSPF 或 E IGRP 动态路由协议。 到省局和下属单位的广域网连接使用缺省路由和静态路由。 整个网络系统的层次结构简单清晰，同时使用分层 IP 地址结构， IP 地址可以汇总，所以采用静态路由协议已足够。 3）中心主机和各 应用主机配置缺省路由，指向交换机上三层交换模块上对应 VLAN 的路由接口的 IP 地址（或提供 VLAN 路由的交换机的 TRUNK 接口地址）。 4）对已进行网络建设的地市，对下属单位的网络连接可不变，对省局的连地市分局网络中心广域网配置示意 F.R ISDN CISCO 3662 PIX CISCO7206 WWW 服务器 SiVLAN 4 VLAN 1 VLAN n Catalyst 6509 VLAN 3 OSPF VLAN 2 静态路由 广东省地税局网络设计方案 /webmoney 45 接则配置连接主 FR 线路的路由器接口，配置进行拨号备份的备份路由器接口和提供语音功能的路由器语音接口； 5）对新建网络的地市，对省局的连接配置同上述配置。对下属单位的连接，根据地址分配方案， 在网络结构为两层的地市分局，其下属的 FR 广域网上采用一个 C类子网，在整个 ISDN 和 PSTN 拨号网上采用另一个 C 类子网；在网络结 构为三层的地市分局，其下属的 FR 广域网上使用点到点地址分配，用一到三个 C 类子网用 30 位掩码细分子网，每条链路使用一个 30 位掩码细分后的子网（或使用 IP Unnumbered 地址， FR 网上使用一个子网），在整个 ISDN 和 PSTN 拨号网上则采用另几个 C 类子网进行细分，使地市分局到各城区网点和区、县分局在同一子网，每个区、县分局的下属税所在一个子网中。配置时， 在核心路由器同一接口上连接的（省局）县分局、城区分局和网点网络共享一个 E1 端口的速率（或其他速率的端口），在接此端口的路由器接口上，根据所连接的网点，划分 子接口，进行帧中继封装，并配置到相应网点的 PVC DLCI号。子接口上根据 IP 地址规划配置点对点地址或使用 IP Unnumbered 地址。需要注意的是，在到各县分局网络的静态路由配置中，注意使用各县分局的汇总地址，配置通过备份线路到各网点的路由，且保证到县分局和网点的办公网、业务网及语音网络都能连通。 6）在语音网关和备份路由器上，在备份接口上进行相应到省局和网点的拨号备份配置，在语音接口上进行相应的语音配置，并在路由器上配置路由。 另外，在准备使用 ATM 实现地市广域网连接的佛山，其路由器的配置也有所不同。对 省局的连接方式和路由配置与其他地市相同；下属基层单位的接入，使用路由器的以太网口实现，中心可使用光纤直接接入交换机。网络地址分配上，各网点连接 ATM 网的路由器端口使用同一个子网内的地址，类似局域网连接。路由配置上基本与地市采用两层结构的方式相同。需注意的是，对采用局域网方式接入的地市，若考虑安全性，可升级各网点的路由器，使用 CISCO 的 IP SEC 安全特性，实现连接安全防护。 广东省地税局网络设计方案 /webmoney 46 3.4 县级网络中心、征管所及城区征管分局网络设计 3.4.1 县级分局与城区分局配置 县（市）级网络中心和城区分局的网络设备的选择为 ： Cisco3640 作为广域网路由器，选择一台 1750 作为语音网关，同时兼做设备备份，在 3640 出现故障时，将主干线路拔插到 1750 上，可保证主链路的连通。在局域网接入方面，使用一台CISCO 的低端交换机 Catalyst 3524 或 Catalyst 2924，或者 HUB 与路由器的局域网口相连。路由器配置如下： 模块 描述 功能 CISCO3640 3640 的机箱 WIC-2T 2 口的高速串行模块 提供帧中继连接 NM-4B-S/T 4 口的 ISDN 模块 拨号备份 NM-2FE2W 2 快速以太口 2 广域网插槽 NM-8AM 8 口模拟 MODEM 模块 拨号备份 模块 描述 功能 CISCO1750-2V 1750 机箱 WIC-1T 1 口的高速串行模块 VIC-2FXS 接入 2 路电话 语音 佛山下属县市分局路由器配置略有不同： 模块 描述 功能 CISCO3640 3640 的机箱 NM-4B-S/T 4 口的 ISDN 模块 拨号备份 NM-2FE2W 2 快速以太口 2 广域网插槽 NM-8AM 8 口模拟 MODEM 模块 拨号备份 在线路上，对没有帧中继的县市，可采用 DDN 或拨号 接入。对个别下属单位较多的县市，要申请较高速率的帧中继端口以满足接入要求。 广东省地税局网络设计方案 /webmoney 47 在实施中：配置局域网交换机的分局可进行必要的 VLAN 划分， VLAN 间的路由通过与之相连的路由器实现。由于县市或城区分局的安全性要求相对较低，也可根据需要，不划分 VLAN，以提局域网访问的效率，减小路由器负担。对于广域网的配置分为两种情况： 1）对没有下属单位连接的县、区分局（城区分局或采用两级结构的地市），只需配置上连的帧中继接口，配置到地市分局的缺省路由，但要注意有语音的分局，要配置相应语音数据的路由，语音网关上进行语音接口的配 置； 2） 有下连网点的县分局 A、下属的 FR 广域网上，使用点到点地址分配，用一到二个 C 类子网用 30 位掩码细分子网，每条链路使用一个 30 位掩码细分后的子网（或使用 IP Unnumbered地址， FR 网上使用一个子网）；配置时， 在县分局路由器连接帧中继网的接口上，到地市分局的连接和到网点的连接共享一个帧中继端口速率；在路由器接口上，根据所连接的地市分局和网点，划分子接口，进行帧中继封装，并配置到相应的 PVC DLCI号。子接口上根据 IP 地址规划配置点对点地址或使用 IP Unnumbered 地址。 B、在整个 ISDN 和 PSTN 拨号网上采用另一个 C类子网进行细分，县分局备份端口使用