新会市国家税务局广域网系统建议方案探析

新会市国家税务局广域网系统 建议方案 目 录 第I章前言.4 第II章系统需求分析.6 2.1 网络需求分析 .6 2.2 应用系统需求分析 .7 2.2.1 工作模式分析.7 2.2.2 数据流量分析.9 2.3 解决方案分析10 第III章广域网系统总体设计.13 3.1 广域网系统的设计原则和目标 .13 3.1.1 系统要安全可靠.13 3.1.2 系统的高性能.13 3.1.3 通信系统的扩充性.13 3.1.4 系统的开放性和标准化.14 3.1.5 具有较好的性能价格比.14 3.1.6 易于网络管理.14 3.2 系统的弹性设计 .14 3.2.1 弹性设计的内容.14 3.2.2 WAN的弹性设计15 3.2.3 通信设备的弹性设计.15 3.2.4 LAN的弹性设计 .16 3.3 系统安全性设计 .16 3.3.1 防火墙技术.17 3.3.2 加密技术.17 3.3.3 本地网的安全措施.18 3.4 IP地址规划和域名服务.18 3.4.1 设计原则.18 3.4.2 IP网络地址分配19 3.4.3 域名管理.19 3.5 系统的性能设计 .19 3.6 广域网系统总体方案 .20 第IV章广域网系统方案.21 4.1 系统整体结构 .21 4.2 市局通信系统 .21 4.3 二级机构的通信系统 .22 4.4 网络管理系统 .22 4.4.1 网管系统概述.22 4.4.2 基于SUN工作站的网络管理系统.23 4.4.3 基于PC机的网络管理系统25 4.4.4 网管系统选型.26 第V章产品选型分析.28 5.1 路由器产品总体选型 .28 5.2 市局路由器产品选型 .29 5.3 分局路由器产品选型 .30 5.4 备份线路通信终端设备选型 .32 第VI章系统实施.33 6.1 项目的组织 .33 6.2 项目的实施 .34 第VII章服务与支持.35 第VIII章 设备清单及工程预算.39 8.1 主要设备清单及报价 .39 8.2 几点说明 .40 附件一 局域网设计 .42 1.1 技术概要 .42 1.1.1 解决方案选择.43 1.1.2 关于ATM网络模型43 1.1.3 ATM的优势.44 1.1.4 ATM的问题.44 1.1.5 千兆以太网网络模型.44 1.1.6 千兆以太网的优势.45 1.1.7 千兆以太网的问题.45 1.2 网络部署方法 .46 1.2.1 配置途径.47 1.2.2 方案设计.48 第I章前言 前言 近年来，计算机、信息和通讯技术以惊人速度不断发展，为建立信息管理 系统提供了坚实的基础。Internet/Intranet在全球的日益普及，使信息更方便地进 入每个人的工作中。 新会市国家税务局是担负着全市范围内的纳税户管理和税款征收任务。拟 定中的计算机网络系统将连接包括市局、分局的二级网络架构。因此计算机系 统将结合局域网技术和网络互连的广域网技术。拟建成的系统除实现全市各部 门的信息资源共享，便于及时掌握各方面的动态，使管理工作更加高效化、规 范化、科学化外，还将是联系省局、市政府、地税、工商、银行、海关等部门 的桥梁。 广州市公司是一家以从事软件系统开发和网络系统集成为主要经营方向的 高新技术企业，在软件的开发和系统集成方面拥有丰富的经验。 如山西省电力厅网络工程、海南大学校园网、广州赛马会网络工程（含各地市 远程投注）、广东证券广域网工程等都是本公司负责建设。在广东省国税方面， 参与了省统一征管软件的开发，承担了集中式统一征管软件的改造工作，完成 了广州市国税局网络工程（全市四级网络）、清远市国税局网络工程（全市四 级网络）、东莞市国税局网络工程（全市三级网络）、三水市国税局网络工程 （全市二级网络）。在本方案建议书中，xx公司依据对国税应用系统的了解， 通过对各应用系统（征管系统、行政办公及办公自动化系统、交叉稽核、重点 税源管理、领导辅助决策及为纳税户服务系统等）的工作模式及数据流量的分 析，结合对其他国税系统网络工程的经验，建议了一套先进的计算机与网络系 统方案,充分利用了计算机科学与网络技术的最新发展成果,考虑了系统的实用性,可 管理性以及灵活扩展能力,并对方案的具体实施提出了参考建议。 系统将在数据传输、设备选型、系统容错、性能价格等方面达到平衡。在 可靠性、先进性、安全性和简单且易维护方面得到保障。xx公司相信,通过与新 会市国税局的密切合作，一定能够建设一个高标准的国税税务电脑网络系统， 为将来长期的友好合作关系打下良好的基础。 第II章系统需求分析 2.1 网络需求分析 新会市国税局计算机网络系统将连接包括市局、分局的二级网络架构。该 系统将结合局域网技术和网络互连的广域网技术，实现全市国税范围内各部门 的信息资源共享，便于及时掌握各方面的动态，使管理工作更加高效化、规范 化、科学化外，还将是联系省局、市政府、企业、地税、工商、银行、海关等 部门的桥梁。对外可接入Internet网。网络技术发展到今天，出现了： 一、以双绞线为传输介质结合集线器构成的星型以太网结构取代单一的 以铜舳电缆为传输介质的总线型网络； 二、交换技术引入计算机网络，出现了以交换取代共享的局面； 三、多种高速传输技术的产生，包括： FastEthernet，GigaEthernet，ATM等网络传输技术； 四、从计算机局域网到广域网的一体化解决方案的不断发展。 以上四点反映了网络技术的发展趋势。在早期总线型结构以太网实践中， 出现的可靠性差，维护困难等问题，导致10BASE-T结构网络的产生，并形成结 构化布线的基础，但随着网络规模和网络信息量的增大，虽然通过增加网段的 方式可增加和工作站间的通信频宽，减少每个网段的工作站数，提高服务器和 工作站通信速度，但由于服务器必须对网段进行管理处理服务器由各网段的包 接收发送请求，协调网段间的工作，因此随着网段数的增加，服务器的负荷越 来越重，直接影响到服务器的处理能力，引发网络整体速度慢，导致网络阻塞， 特别是网络主干上的阻塞，在这种情况下只有新的更高速的网络技术才能彻底 解决网络阻塞问题，交换式以太网技术就是在此基础上，以多频道技术，配给 高速总线动态交换数据，从而获得最大的有效频宽，提高网络的数据传输速度； 交换技术发展到现在，交换不仅是交换式以太网，也可发生在多种网络技术之 间，如：Ethernet,FastEthernet,FDDI和ATM；随着Switch、Fast Ethernet、ATM 技术的产生，丰富了高速网络技术。 新会市国税广域网络系统既有一般广域网的特点，同时又具有明显的特殊 性： 1网络的规模较大 新会市国税广域网系统的网络接点数包括全市23个分局，数据量包 含全市所有纳税户的数据信息。因此，设备的选型应充分考虑税务应用 系统的特点及今后的发展趋势。我公司在这方面有一定的经验。 2. 机构正在调整 当前，税务机关正在进行机构改革、机构分设，如征收点的合并及 撤消等，设备的选型应考虑到这些特点。 3. 已有一定数量的应用系统正在运行 市国税局正推广使用全国统一征管软件，办公自动化系统，要充分 分析其数据分布及网上的数据流量。 新会市国税广域网络系统的建设，应该是围绕着应用展开的网络建设。网 络的一切建设思想应该首先考虑应用。该系统的建设，主要是围绕建设税务信 息管理系统，兼而考虑Internet/Intranet、办公自动化等最新应用技术与管理模式。 该网络系统工程的建设，应围绕应用类型、应用规模、数据流量来考虑设备选 型。下面对税局应用系统需求进行简单分析。 2.2 应用系统需求分析 2.2.1 工作模式分析 新会市国税局网络承担的各项应用系统可归类为：数据库管理系统、综合 办公事务处理系统、为纳税户服务及领导辅助决策系统。该三类系统的应用工 作模式及流程的情况如下： 数据库管理系统 一个分布式的数据库管理系统可以把同一网上不管是局域网或广域网上的 多个数据库看成一个逻辑整体，实现分布式查询、分布式更新、分布式的事务 管理，用户可以透明地操作不同地点的不同数据库系统所管理的数据，这要求： 网络透明性 使用一种网络通信协议的工作站，透明地与使用另一种网络通信协议的 服务器通信。 位置的透明性 保持一个全局的数据字典，将各数据元素与分布式实体，用户可以象 访问单个数据库那样访问分布式数据，而不考虑如何存储及存储在哪里。 SQL透明性 用户使用一种SQL语言解决异构数据的定义、查询、修改，而不必知 道不同RDBMS所使用的SQL语言的差别。 厂商的透明性 用户面向一个逻辑数据库进行操作，透明地访问存储在多种DBMS中 的数据，不必关心每一数据库的特殊工作方式。 综合办公事务处理系统 综合办公事务处理系统面向税局办公自动化、网络化和员工协同工作，目 的是使企业内部信息交流和办公水平更加高效化、规范化、科学化。 综合办公事务处理系统应包括非结构化多媒体文档信息的管理和共享、工 作流、电子邮件、电子会议和计划图表等功能，在此基础上实现个人办公管理、 领导办公管理、公文管理、政务信息管理、签报、报告管理、会议管理、值班 管理、日程安排、大事管理、公共信息服务等系统功能。 OA系统包括系统层和数据层二大部分。数据层是系统信息、文件等的存放 场所；系统层包括公文管理、信息交换、个人事务等三大模块。公文管理模块 实现进口文件报告的登记、分发、催办、归档、查询以及出口文件报告的起文、 审批、分发、归档、查询等功能，其核心是工作流引擎（Workflow Engine）。 信息交换模块包括电子邮件交换、新闻系统和电子公告系统，其核心是电子邮 件系统；个人事务模块，包括个人桌面文字处理、电子表格、日程管理等辅助 办公工具。 为纳税户服务及决策支持系统 综合办公事务处理和专业管理信息系统只是INTRANET的初级和中级应用 阶段，为使INTRANET对管理工作作出实质性的贡献，并取得更大的经济效益， 应包含更高级的为纳税户服务及为领导决策支持服务系统的应用。 SDSS（服务决策支持系统）在半结构化和非结构化决策活动过程中，通过 人机对话，向纳税户和决策者提供信息，并为决策者提供一个分析问题、构 选模型和模拟决策过程及其效果的决策环境，协助决策者发现和分析问题，探 索解决方案，评价、预测和选择方案，提高决策人员的决策技能和决策质量。 由于SDSS需要处理的数据类型复杂、格式化程度底，并且包含大量的历史数据 和企业外部数据，建议采用数据仓库技术存储和管理数据；又由于SDSS对信息 加工的要求比较复杂，并且具有很大的随机性，建议采用专业统计分析软件包 和OLAP（联机分析处理）技术来解决。 2.2.2 数据流量分析 由于各项应用系统中数据流量最大为统一征管软件系统，该系统已经建立， 采用Client/Server方式，原主服务器位于中心分局或区局，多个应用系统的数据 库建立在运行于中心服务器的Sybase关系数据库之上。在Client/Server的运行模 式下，客户端的程序只负责将用户的操作转换为对服务器端应用程序的调用， 并将应用程序执行的结果或页面文件的形式返回给用户。这就意味这对中心服 务器大量的访问，从而对中心服务器的处理能力和广域网带宽造成压力。而办 公自动化系统有一定的局部性，在各个分部之间及上下级之间主要是电子邮件 的和少量文件的传输，由于该两种传输具有随机性，一般不会对网络带宽造成 持续的影响，因此在带宽估算上不把二者作为主要因素，而是在估算后带宽上 增加一些冗余作为解决方法。 因此在广域网带宽设计上需注意满足以下容易形成网络通信瓶颈的方面： 征收点访问区局时区局中心的广域网带宽形成瓶颈。 中心分局访问区局时区局中心的广域网带宽形成瓶颈。 中心分局的广域网出口带宽形成瓶颈。 通常，由于本系统是一个新建立的网络，市国税原先没有建立互连的税局 内部网络，在得不到日常工作中的网络流量数据的情况下，不能运用排队论进 行计算求得广域网带宽需求，只能根据经验结合纳税户数及接点数进行大致的 估算。 为了对市局和各个区（县）局的广域网带宽进行估算，首先需确定对每台 客户机（PC）在Client/Server的模式下对带宽需求的最小值。 同时还要考虑到在同一个局域网内部，所有的对区局本部的访问都需通过 唯一一个广域网端口。以太网CSMA/CD的对通信信道争抢方式，使网络的利用 率约为30%，由于各地局域网都使用交换技术，因此利用率可达50%以上。 由于Frame Relay的带宽常用的有19.2K，64K，128K，256K，1M，2M等， 考虑到整个市国税的应用是个逐步的过程，而线路的租费是逐步下调的趋势， 建议DTU设备采购较高速率，分局、区（县）局采用64K/128K Frame Relay(待 应用基本上运用后可进行排队论计算),市局采用1个2M Frame Relay。 2.3 解决方案分析 通过以上分析，新会市国税局网络采用何种网络体系结构，首先必须了解 当今计算机体系结构模式的分类及其特点： 计算机体系结构主要有四种模式：分时（time-sharing）方式、资源共享 (resourse-sharing)方式、客户/服务器（client-server）、WWW方式。 分时系统（time-sharing） 分时系统通常由两大部分组成：系统主机与用户终端。整个系统的所有处 理均在主机上运行，分时使用主机资源。 资源共享方式 资源共享方式的系统也由两大部分组成：系统主机与用户端工作站。 系统主机在这里充当资源服务器（如文件、打印服务等）的角色，一般只 提供资源共享服务，不作数据处理。 用户端工作站通常是微机，用户输入、屏幕输出、数据处理等工作全部在 工作站上完成。其常见的例子是一个计算机局域网系统，常见的NETWARE NOVELL即是典型例子。 客户/服务器 客户/服务器技术是融合了分时系统与资源共享方式的优点的基础上发展起 来的。它有效地解决了前两种方式存在的问题。它将一个系统分成两大部分， 并在两部分内协调工作，达到最佳效果。前端处理所有的屏幕和用户的输入/输 出；后端系统提供数据处理、信息共享、高级管理及安全服务。税务信息系统 的核心系统统一征管软件系统采用的就是该种模式，对新会国税统一征管软件 系统而言，其数据库的分布显得很关键： 大多数的分布式网络系统应用都会面临一个艰难的选择：采用集中式的数 据处理还是采用分布式的数据处理。以下是数据集中处理与数据分布处理在性 能、安全性、应用开发难度、投资、可管理性、和易维护性等方面的比较。 集中式数据处理 集中式数据处理的优点： 技术非常成熟，避免了分布式处理所带来的诸多技术难题； 应用软件的开发工作相对简单； 数据库系统容易维护，管理简单； 系统初期投资、实现成本和运行成本低: 初期投资包含对数据库系统软件的投资、主机服务器投资和各数据中心间 的高速通讯线路。实现成本包含软件开发成本和为分布式数据管理配备管理机 构。运行成本包含通讯费用，运行维护费用和管理人员费用等； 适合于集中管理的企业组织和业务模式。 集中式数据处理的缺点： 系统中各节点依赖广网络，当广域网发生故障时，节点无法工作； 系统依赖于数据中心，当数据中心发生故障时，整个系统瘫痪； 物理数据远离用户，远程节点的响应时间较长。 分布式数据处理 分布式数据处理的优点： 较之集中式数据处理技术先进、高效、灵活、易扩充、全局安全性高； 适合于分散形式的企业组织和业务模式； 系统中的各节点对广域网的依赖较小，当某数据中心出现故障时，除部分 全局业务功能受影响外，其他业务受影响程度教小； 物理数据接近用户，响应时间较短； 适合于分布或合作关系的企业组织模式。 分布式数据处理的缺点： 技术尚未完全成熟，分布式算法的实现效率较低，如分布式更新、复制、 备份、分布式快照、全局一致性保障等； 应用软件的开发难度和工作量较大，尤其在故障恢复时和保障全局一致性 时，设计和实现难度较大，系统实现存在难以预见的风险因素； 数据库系统维护要求人员多，对人员素质要求高，系统管理和维护复杂； 系统初期投资、实现成本和运行成本较高； 数据库在市局一级会使数据库系统的管理维护工作得到保证，节约区（县） 一级的计算机系统投资与维护工作。比起分布式方案会依赖于网络通讯条件。 对广域网的要求要高。 WWW（Brower/Server）方式 Brower/Server方式实质也是基于Client/Server计算体系结构，是多层次 Client/Server结构，它是随着Internet/Intranet技术发展而来；从抽象的角度上看， Web已经发展成为一种新的计算平台；基于Web的应用程序通过Web服务器可 提供各种服务，从简单的信息查询到复杂的事物处理；统一、标准的前端交互 工具，表现为Web页面的、简单易用的用户界面，易于实现的通讯协议，成熟 的广域网访问技术，数字签名提供的可靠的安全性保证，使得Web成为为纳税 户服务、税局办公自动化及辅助决策系统的最佳模式。 第III章广域网系统总体设计 3.1 广域网系统的设计原则和目标 根据新会市国家税务局的要求，要达到系统的目标，高水平高起点建设好 新会国税广域网，必须在以下几个方面出发来设计方案。 3.1.1 系统要安全可靠 在实时性较强的应用系统中，安全可靠性是系统是否实用的关键。在我们 设计的系统中，主要就中心路由器的可靠性和线路的容错来实现。 中心路由器采用Cisco公司的高性能路由器4500，在下一级与上一级机构通 信时，建立FrameRelay线路相应的拨号电话或ISDN备份线路，通信线路故障时 系统会自动启动备份线路建立连接并维持通信，保证系统运行不受影响。 同时，网络路由器的既连通、又控制的功能也为系统安全性提供了有力的 保证。 3.1.2 系统的高性能 系统必须具备很强的系统性能，满足联机事务处理的要求，能够支持分布 式的Client/Server模式的数据库管理系统。 3.1.3 通信系统的扩充性 通信设备(路由器)的端口能够支持包括拨号电话线、电话专线、数据专线、 X.25、DDN网、FrameRelay等各种不同的通信线路，因此系统的可扩充性要很 好。当条件许可，可以启用更好的通信线路时，所有的通信设备的硬件不用作 任何更改或增加，只要重新设定软件配置，就可以在更好的线路上提供更高的 速率和更多的通信服务。当各机构不断增加而使得通信量加大时，系统中所采 用的通信设备将不会成为系统的瓶颈。 Cisco的路由设备满足对线路类型的适应性。而且中心路由器4500有3个可用 的扩展槽，每个扩展槽都可任意选配，能够满足系统以后的扩展需求。 3.1.4 系统的开放性和标准化 网络通信协议和接口要遵循国际标准，支持多种机型，多操作系统的网络 互联。 根据要求系统至少提供IPX、TCP/IP和SNA三种协议支持，基本满足 NOVELL NetWare、UNIX和AS/400等平台的网络互联。 3.1.5 具有较好的性能价格比 系统根据不同的线路条件和网络环境选用不同设备，力求最符合新会国税 局的应用环境，并且有较好的性能价格比。 3.1.6 易于网络管理 一个大型的网络系统而言，一个有效网络管理系统对系统运行的监控、系 统性能分析和故障诊断都是相当重要的。因此系统必须配备合适的网管系统。 3.2 系统的弹性设计 对于一个网络系统来说，弹性就是对应用程序和数据的有效支持。可以说 有弹性的网络系统就是当有人或某事试图破坏它时，还能连续支持用户的应用 程序，即系统的可靠性。在实际应用中，提高网络的弹性能力的可行方法是消 除故障孤点,特别是单点故障。 3.2.1 弹性设计的内容 弹性设计包含三方面的内容： 物理可靠：指系统对关键硬件设备（如CPU、存储介质等）损坏、不可遇 见性灾难（如地震、飓风、陨石、强磁场等）、对硬件、数据库及服务资 源等的人为破坏的耐受能力。 逻辑可靠：包含操作系统可靠，数据库管理系统可靠，应用程序可靠等。 健壮性：指系统在故障情况下的恢复容易程度。 对关键硬件设备的损坏，我们将采取一定程度的容错措施。根据经验，系 统最可能出现的故障原因依次为：电源故障；雷击；线路连接；火灾失效。 我们在此方案中，考虑系统的弹性包括：WAN的弹性设计，通信设备的 弹性设计。 3.2.2 WAN的弹性设计 网间网即WAN的弹性包括冗余的WAN线路及其所带来的额外开销。一种主 要的方法是连接备份线路，可以避免重复路由保持和再计算。在此方案中，路 由器通过FrameRelay连接主干的通信线路。当主干线路出现故障时，路由器可 以自动通过PSTN或ISDN拨入中心路由。 在此方案中，WAN的弹性设计包括：线路的备份，中心路由器的备份。系 统中以上两个部件出现故障时，系统能够自动地在约5秒中内切换到备份部件上， 而无需人工干预。 3.2.3 通信设备的弹性设计 随着租用线路服务可靠性的增强及其使用ISDN/PSTN作为后备策略的成熟， 系统的可靠性已经很大程度上转移到通信设备连接的弹性上。 通信设备的损坏的一个很好的解决方案就是使用双机热备份。 3.2.4 LAN的弹性设计 随着通信线路和通信设备的可靠性提高，系统的可靠性已经很大程度上转 移到LAN连接的弹性上。 一个很好的解决方案就是使用双LAN服务。主机与两个LAN适配器相连， 每个适配器连接到一个单独的HUB或交换机上，这样主机与主干交换设备之间 的关键连接是弹性的。 3.3 系统安全性设计 系统的安全性主要是因为网络经过公共通信网（如帧中继，Internet）后所 引起的对系统的蓄意破坏和对信息的窃取。 如今Internet火爆全球,可令人头疼的问题也随之而来,那就是由于“黑客“在网 上的活动极具危害性和破坏性,所以网络安全问题已成为网络管理员关心的大事, 它也是决定Internet 命运的重要因素。 然而从根本意义上讲,绝对安全的计算机系统是根本不存在的,绝对安全的计 算机网络也是不可能有的。只有存放在一个无人知晓的秘室里,而又不插电的计 算机才可以称之为安全。只要使用,就或多或少存在着安全问题,只是程度不同而 已。美国国防部制定的 “可靠计算机标准评估准则“ (Trusted Computing Standards Evaluation Criteria) 将计算机安全划分为从A到D四个级别,每个级别之 内还可以再细分。A1级为最高,但除了放在一个无人知晓的地方且未插电的计算 机可以算得上A1级,再没有计算机可以享此殊荣。标准的Unix(只具有login口令、 文件保护等几项安全措施)被定为C1级,DOS被定为D1级。目前还很少有操作系 统能够符合B级标准。 我们在探讨网络安全的时候,实际上是指一定程度的网络安全。而到底需要 多大的安全性,却要完全依据实际需要及自身能力而定。网络安全性越高,就越意 味着对网络使用的不便。因此,网络管理员在考虑网络安全时,必须两者兼顾。 3.3.1 防火墙技术 一个使用很广泛的网络安全技术就是防火墙技术,即在Internet和内部网络之 间设一个防火墙。 目前在全球连入Internet的计算机中约有1/3是处于防火墙保护之下。 那么什么是防火墙呢?顾名思义,防火墙是用来阻挡外部(Internet)火情影响内 部网络的(Internal network)屏障。无论外部世界多么错综复杂,良莠不齐,经过防 火墙的过滤,内部网络大可隔岸观火,不受火灾危害。 用专业语言来描述,防火墙的主要目的就是防止外部网络的未授权访问。如 果决定某个网络设防火墙,那么首先需要由网络决策人员及网络专家共同决定本 网络的安全策略,即确定什么类型的信息允许通过防火墙,什么类型的信息不允许 通过防火墙。防火墙的职责就是根据本单位的安全策略,对外部网络与内部网络 交流的数据进行检查,符合的予以放行,不符合的拒之门外。另外,还要确定防火 墙类型,即防火墙拓扑。 防火墙的技术实现通常是基于 “包过滤“ (Packet Filtering) 。而进行包过 滤的标准通常就是根据安全策略制定的。在防火墙产品中,包过滤的标准一般是 靠网络管理员在防火墙设备的访问控制清单 (Access Control List)中设定的。 需要说明的是网络的安全性通常是以网络服务的开放性、便利性和灵活性 为代价的。对防火墙的设置也不例外,由于防火墙的隔断作用,一方面加强了内部 网络的安全, 另一方面却使内部网络与外部网络(Internet )的信息交流受到阻碍, 必须在防火墙上附加各种信息服务的代理软件来代理内部网络与外部的信息交 流,这样不仅增大了网络管理开销,而且也减慢了信息传递速率。 因此,一般而言,只有对个体网络安全有特别要求,而又需要和Internet联网的 企业网,才建议使用防火墙。 另外,防火墙只能阻截来自外部网络的侵扰,而对于内部网络的安全还需要通 过对内部网络的有效控制和管理来实现。 3.3.2 加密技术 网络安全的另一个非常重要的手段就是加密技术(cryptography)。它的思想 核心就是既然网络本身并不安全可靠,那么所有重要信息全部通过加密处理。 3.3.3 本地网的安全措施 目前,在Unix/NT上发现的大多数问题,都归因于一些编程漏洞及管理不善,如 果每个网络及系统管理员都能注意到以下几点,即可在现有条件下,将网络安全风 险降至最低。 口令管理 目前发现的漏洞,大多是由于口令管理不严,使“黑客“得以乘虚而入。因此口 令的有效管理是非常基本的,也是非常重要的。 用户帐号管理 在为用户建立帐号时, 应注意保证每个用户的UID是唯一的,应避免使用公 用帐号,对于过期的帐号要及时封闭,对于长期不用的帐号要定期检查,必要时封 闭。(因为这样的帐号通常是“黑客“袭击的目标,他们可以在上面大做手脚而很长 时间不被发现)。 拨号用户的安全策略 通过电话线拨号访问网络，采用Radius或TACAS安全认证和授权标准来确 保对系统资源的访问。 通过回叫(Dial-back)功能可以确保拨入的位置和站点的安全许可。 3.4 IP地址规划和域名服务 3.4.1 设计原则 Internet网域名管理及网络地址的分配将遵循INTERNET的有关规则来设计。 Intranet的每个网络和主机都有唯一的IP地址和与之对应的名字（即域名）。 3.4.2 IP网络地址分配 当用户申请的IP 地址超过一定数量时，建议由用户直接向亚太Intranet网络 信息中心（APNIC）申请。用户申请IP地址应按要求填写申请表，说明自己的 网络情况和IP地址的需求。 IP地址的分配原则是： 1用户本身不是网络时，可根据需要按单个IP地址分配。 2用户是以网络方式上网时，视业务需要分配一组IP地址。 3内部网地址最好使用Internet的保留地址，通过代理服务器/防火墙等设 备将内部地址进行翻译，达到连接Internet的目的。 3.4.3 域名管理 由于IP地址是用一长串数字来表示网络和主机，即使对管理人员及专业人 员来说也是很难记忆，更何况对一般使用Intranet的用户。因此用和IP地址相对 应的域名来表示网络和主机，能极大的方便记忆和使用。 全国税务系统IP地址及域名编码规范正是根据以上原理编制，该规范 按地域、分层次为全国税务系统（含国、地税）各级机构采用TCP/IP互连技术 的计算机网络制定统一的编码范围和规则。新会市国税局广域网的IP地址及域 名编码当然采用该规范。 3.5 系统的性能设计 在Intranet和Client/Server体系结构下，对系统性能的影响主要体现在网络 通信的性能上。 对网络系统主要是采用快速交换式以太网技术增加LAN的带宽。而对 WAN而言，由于WAN的带宽限制，提高性能主要采用以下策略： 限制广播区域：ARP，RARP，BOOTP和路由协议在路由器处终止； 高效路由协议：主干WAN采用IP通信协议，能够发挥寻径能力。在有限 带宽的情况下，我们可以采用静态路由。如果需要动态路由，Cisco公司的 OSPF和IGRP等都是高效的路由算法。如果需要实现自治系统边界功能，可以 利用路由过滤器限制BGP4路由更新的大小。 高速缓存。 优先级特性：在TCP/IP协议中，对于交互式的通信类型设置高级的通信 优先级，而对于批处理的通信类型，可设置低优先级。保证交互式的应用能够 得到适当的带宽。 使用高速的主干，将规划ATM或GigaEthernet来实现市局、区县局的主干 局域网。 3.6 广域网系统总体方案 本方案致力于建立新会市国家税务局企业级网络系统，完成市局及下属各 分局的全市范围联网，实现网络的资源共享，加快数据和信息的流通，同时加 强局内的内部管理和办公自动化应用，以高起点建设新会市国税内部的网络通 信系统。 新会市国家税务局的机构设置为典型的树型结构，共分为二级：市局为第 一级，分局为第二级。与此相同，整个网络系统在结构也相应地分为两个层次。 在本方案中，新会市国家税务局市局是整个网络系统的数据处理和网络管 理中心，将配置有UNIX和NT主机，网络协议为TCP/IP，通过FrameRelay线路 连接各地的二级机构。 每个二级机构作为市局的分支节点，同时又作为所属地区的分部数据处理 与网络管理中心，配置相应的NT主机，通过FrameRelay专线与市局互连。 第IV章广域网系统方案 广域网通信系统是连接市局及各分支机构电脑网络系统的关键，通信系统 性能的好坏，将会直接影响到整个网络的运行，因此本方案在各方面都予以了 仔细的考虑。 4.1 系统整体结构 按照新会市国家税务局的组织架构，分为市局和分局两个层次，通信系统 的整体结构，也是基于这种树型结构，将整个通信系统划分为两个层次，按照 每个层次的不同大小和规模分别进行考虑，同时从全局的角度出发，将各个层 次紧密地融合在一起，从而形成一个完整的广域网通信系统。考虑到机构调整， “瘦基层，大集中”也会成为可能，设备的选型也应考虑到这一点。 4.2 市局通信系统 市局的通信系统负责完成市局总部与下属二级机构的通信，通信线路采用 FrameRealy帧中继线路。 总部选用一台模块化的Cisco 4500路由器（或Cisco 3640路由器），通过选 配的两个以太网模块分别连接总部局域网环境中的两个子网，一般为两个独立 的交换机，每个交换机设定为一个子网，或者是一台交换机中的两个虚拟网 VLAN，这样防止本地局域网出现故障（如电源失效，或交换机坏），远程网 对服务器的访问不受影响，当然相应的服务器也应配备两个网卡，分别连接到 两个不同的子网，（在局域网未实现多子网前，可只连接一个以太网接口）。 通过选配的同步通信模块连接各个二级机构，由于帧中继可以实现一点对多点 的通信，Cisco 4500/3640上只需一个信道化E1接口即可实现总部对所有二级机 构的通信。 总部通信系统的备份系统，是在总部放置一台Cisco 2610模块化拨号访问 服务器，既可通过MODEM连接PSTN电话交换网，位于各二级机构的Cisco 1720或Quidway 2501则通过MODEM连接到PSTN网上，以拨号备份的方式实现 通信线路的容错。也可连接ISDN实现ISDN备份。 在业务量未达到饱和的初期，可以将主路由器和备份路由器合一，在主路 由器上加插备份线路的支持模块，即只实现线路备份，不做路由器设备备份。 作为整个广域网通信系统的管理、监视、控制中心网管系统，也位于总 部的网络中，有关网管部分请参考本方案中的相应部分。 4.3 二级机构的通信系统 二级机构通信系统完成二级机构与总部的通信。二级机构选配Cisco 1720 或Quidway 2501路由器，同步端口连接帧中继线路，通过异步端口加MODEM 连接PSTN网，把PSTN网作为帧中继的备份线路。也可通过ISDN模块完成ISDN 备份。 市局与二级机构的连网结构见图3。 4.4 网络管理系统 4.4.1 网管系统概述 通信系统的管理分为三部分：一是网络通信连接设备即 DTE设备的管理， 本系统中包括所有 Cisco 路由器和 Cisco通信服务器；二是线路连接设备即 DCE设备的管理，其中包括由电信局提供的 DTU(Data Termination Units) 数字 终端单元和带宽管理器等设备的管理；三是线路的管理。 传统上是将第二、三部分由电信部门进行管理，但这种情况下，每当通信 线路或 DCE 设备故障时，甚至当无法判断是 DCE 还是 DTE 出现故障时， 电脑管理人员完全处于被动状态。在网管中心内，不但可以做到及时发现故障 并及时排除故障；更重要的是，通过对系统的监控与分析，及时发现和预见系 统可能出现的问题，比如，通过观察分析各条线路上的带宽利用率，可以及时 对带宽进行调整，避免因带宽利用率过高产生瓶颈，导致通信的中断。 新会国税广域网全部完成后将使全市范围的一百多个分支机构全部联网， 其整个网络系统将是十分庞大的，要使整个系统能高速正常地工作，必须建立 一套功能齐备的网络管理系统。网络管理系统的主要管理任务有： 保证网络系统能正常工作，减少网络故障对系统的冲击。 自动查询网络上的设备并构造现有网络的拓扑结构图，监视网络性能，检 测网络或系统的早期故障，通过LAN和WAN性能的监视，减少网络瓶颈。 管理、检测、修复或解决网络硬件或软件故障。 保护重要信息，维护数据的完整性和一致性，监视和防止非法访问网络系 统资源。 新会国税广域网网络管理系统将直接管理新会市国税局内部的所有主机、 工作站、路由器、集线器和其他网络连接设备。网络中心可通过网络管理系统 看到整个网络结构(物理上的和逻辑上的)图，可以动态地发现、映象和监视网 络资源，实时跟踪系统资源的变化；在故障检测方面，网络管理系统会自动地 连续地检查设备的连接性，拓扑结构的改变也会反映出来，同时，还可以用如 PING这样的工具测试有问题的节点。 网络管理系统由两部分组成：网络管理硬件平台和网络管理软件。网络管 理硬件平台一般分为各类高档UNIX工作站和普通PC机两种，根据硬件平台的 不同，相应的网络管理软件也有两种选择，基于各类UNIX工作站和基于普通 PC机Windows的网管软件。 4.4.2 基于SUN工作站的网络管理系统 基于SUN工作站的网管系统由一台SUN工作站和相应的网管软件 CiscoWorks组成。 Cisco公司提供的CiscoWorks网管软件功能包括： 自动安装管理器 可自动将集中存贮的路由器配置文件下载到一台新的Cisco路由器上。当用 AutoInstall设置一个新的路由器时，在远地的管理员仅仅只需物理地连接 LAN/WAN 接口电缆，然后打开路由器电源，其余所有事情将由网络运行中心 直接控制，中心管理员采用AutoInstall Manager后，只需输入新路由器的名字及 口令，然后CiscoWorks将发送一个完整的配文件给远地新的路由器，免去了派 技术人员到每个地点进行安装的金钱与时间上的花费。 CiscoConnect 提供跟踪、配置、网络拓朴结构等信息，加快对网络故障的分析。同时可 以通过CIO（Cisco Information Online）获得与本网络有关的有关性能及一些错 误纠正。 CiscoView 提供有关Cisco产品的动态状态、统计数据及配置信息。有监控功能和部分 简单的排错功能。能够以图形界面形象地显示出每个物理设备。 Configuration File Management 跟踪对路由器的任何修改及修改时间，防止非法对系统配置的修改。 Contacts 管理设备操作员的信息，包括名称、电话、地址等。 Device Management 建立及保持一个完整的资产登记数据库，包括网络上硬件、软件、部件的 版本，负责管理这些设备的人名及联系地址。 Global Command Facility 用于自动配置大部分路由器中相同的部分，简化配置过程。 Health Monitor 监控某个设备的状态，包括：缓冲区、CPU 负载、内存的可用度，以及正 在使用的接口和协议。 Offline Network Analysis 收集网络历史数据，用于对性能趋势及传输模式的下线分析。集成的Sybase SQL 关系数据库服务器可存贮 SNMP 管理信息库(Management Information Base) 变量(字节数，数据包数等)，供管理员查询及建立图表。 Online Help System CiscoWorks提供完整的在线式帮助系统。 Path Tool 观察和分析两个设备间的路径。同时在这个路径上收集线路利用率及出错 数据的情况。 Security Manager 在大型的互联网中，管理员需要把对网络数据的访问限制在一些被授权的 人中。Cisco Work 的安全性管理可控制对关键信息的访问，同时给网络上的人 或组分派不同的优先权。 Software Manager 简化对整个网络系统路由软件的升级，包括软件库、软件查询管理、设备 软件管理等功能。 Workgroup Director 在 SNMP 平台上监控网络设备的环境及接口统计信息。 4.4.3 基于PC机的网络管理系统 基于PC机的网管系统由一台普通PC机和相应的网管软件CiscoWorks for Windows组成，是Cisco公司推荐用于中型网络或使用4到50个Cisco设备的远程 工作组的网管系统，包括Configuration Builder，Show Commands，Health Monitor和CiscoView四部分。其中Configuration Builder可以运行在PC机的 Windows平台或HP OpenView for Windows平台；Show Commands、Health Monitor和CiscoView只能运行在HP OpenView for Windows或HP OpenView for Windows Workgroup Node Manager平台。 值得注意的是，在TCP/IP环境中的Windows平台上运行时需要WINSOCK 1.1或相应软件的支持。 CiscoWorks for Windows网管软件功能如下： Configuration Builder 可对多个Cisco设备建立配置文件，而不需要记忆每个设备复杂的命令行参 数，可以很容易地设置新的参数。主要特点如下： - 可以同时对多个设备进行配置。 - 可以很容易地对多个配置文件进行优先级、存取控制及过滤设置。 - 对配置文件及路由地址进行重复性检查。 - 有指导性配置方式。 - 自动检查硬件的配置。 - 可以进行远程配置。 - 支持访问服务器和HUB。 Show Commands 快速显示Cisco设备的详细系统参数和协议信息，而不需要记住复杂的命令 行参数和格式。 Health Monitor 基于SNMP的动态的故障和性能管理工具，提供实时的设备性能统计、接口 状态、错误和协议利用率，并且通过颜色的变化来表示CPU和环境的状态变化。 CiscoView 形象地显示设备的后面板物理结构，实时显示每个接口的状态，并且通过 每个接口颜色的变化来表示接口的状态变化，同样基于SNMP协议。 4.4.4 网管系统选型 根据以上对两种网管系统的分析，可以归纳如下： 1、基于SUN工作站的网管系统能够提供更多的功能，真正实现网管在网络 中的重要作用，而基于PC机的网管系统只能提供部分网管功能，而且需要一些 第三方的产品，如WinSock等。 2、基于SUN工作站的网管系统能够同时运行其它的软件，可以实现对网络 其它设备的管理，如IBM AS/400，而基于PC机的网管工作站只能作为Cisco产 品的网管工作站，不能升级为网络其它设备的网管工作站。 3、由于基于SUN工作站的网管系统的硬件平台是一台SUN工作站，从硬件 投资上要比基于PC机的硬件投资大一些。 4、由于两种网管系统的硬件平台不同，无法在以后对硬件平台升级后再对 网管软件进行升级，而只能再购买一套新的网管软件。 因此，我们在方案中选用基于SUN工作站的网管系统作为整个广域网通信 系统的网管系统。 第V章产品选型分析 5.1 路由器产品总体选型 在通信系统中，我们选用了美国 Cisco 公司的 Cisco 路由器作为完成整 个远程通信系统的主要通信设备。 通过几年来对 Cisco 路由器及其它一些厂家相应产品的测试、比较与应 用，我们认为 Cisco 不愧为世界上排行第一的路由器厂家。Cisco 公司为当今 日益增长的各种联网需求提供了全线产品。Cisco 产品所特有的分布式系统处 理结构，功能强大的软件和极高的端口处理能力，使得几千个复杂网络的连接 成为可能。同时，Cisco公司凭借各方面的雄厚实力，一直都是世界最新网络通 信技术的领导者。 Cisco公司是目前世界上最著名的路由器生产厂家， 其生产销售的路由器 占世界市场的50以上。 Cisco公司藉着其长期生产销售路由器的宝贵经验， 经过不断的产品更新 换代，因而生产出品质超群、功能完善的路由器。 Cisco产品的平均无故障运行时间高达七年。 所有Cisco产品都带有标准的网管功能，可以通过Cisco网管工作站或其 它厂家的网管工作站统一管理。 Cisco产品有齐全的接口，包括E1/T1、FDDI和ATM。 用FLASH MEMORY存放操作系统，启动速度快，可方便地升级操作系 统。 总线速度快，处理能力强。 其中Cisco 7010达533M的总线速度， Cisco7500系列有两条高达1GB的Cisco总线，上面还带有一个交换处理机，可以 独立交换数据包。Cisco一般的同步接口支持的速率为4M，Cisco 7500系列同步 接口支持的速率为8M，其高速同步接口支持的速率更高达52M。Cisco7000系列 的处理能力高达250KPPS。 拥有IGRP/EIGRP等自己特有的路由协议，并且这些协议能与标准协议共 存，这些路由协议在大型网络中显示了很高的效率。IGRP/EIGRP还支持Load Balancing，必要时可以通过增加线路数量来分担负荷。 强大的安全性控制功能。 支持ON LINE软件配置修改，毋须重新启动新配置就可即时生效。 具有Dial Backup和Dial_On_Demand功能。 具有LAPB和X.25的数据压缩功能，从而大大地提高了有效通信速率。 支持线路HOT STANDBY（热备份）功能。 Cisco路由器能够支持的协议最多，这使它在多协议异种机联网时显得灵 活方便。 由于Cisco路由器的处理能力很强，通过选择较宽的通信通道， 可以实现 高速数据传送。在局域网连接中，可以很容易实现从10M的以太网到100M的快 速以太网或100M的FDDI，直至155M的ATM的升级。 下面分别对新会市国税网络通信系统中的两个层次进行产品选型。 5.2 市局路由器产品选型 市局作为整个网络结构的最高机构，同时也作为整个通信系统的核心，使 得总部路由器的选型问题非常重要。从Cisco的路由器产品来看，有两种系列的 产品可以加以考虑