思科网络解决方案(江西地税网建设技术方案建议书).doc

江西省地税网络建设方案建议书江西省地税网建设技术方案建议书思科系统(中国)网络技术有限公司2004-4Cisco Confidential 请注意保密目录第一章 前言5第二章 江西省地税网络建设目标和原则72.1网络建设目标72.2网络设计原则8第三章 方案设计103.1 网络方案设计要点103.2 网络方案设计综述123.2.1地税广域网的设计143.2.2地税中心大楼局域网的设计233.2.3灾备中心、南昌地税局的网络设计333.2.4IP地址规划353.2.5网络安全策略的设计373.2.6QoS的保证443.2.7网络管理50第四章 Cisco方案特点和优点544.1 大型网络建设经验与丰富的路由协议支持544.2 网络设计的高度可靠性544.3 独特的流量管理和QOS控制544.4 网络的安全性544.5 网络的可管理性55第五章 服务及培训565.1 服务565.2 培训58第六章 产品介绍61第一章 前言CISCO公司非常荣幸地参与江西省地税网络建设项目的设计。我们确信通过与江西省地税局的合作将使我们建立长期的战略伙伴关系，并将进一步促进双方事业的发展。 在依据贵方向我们提出的具体需求的基础上，现向江西省地税局的专家递交我们的方案建议书 。 在我们提供的技术方案中，省中心大楼局域网部分主要由Catalyst 6509交换机构成，6509交换机处理性能（720G交换容量）高，接入密度大（有11个业务插槽，单机可接入500多个GE端口，44个10G接口），具有良好的扩展性，可满足未来3到5年的带宽要求以及业务接入端口容量的需求，无需更换设备和中央处理单元，只需配置万兆以太网接口模块便可平滑升级到万兆以太网，具有良好的投资保护能力。此外由Catalyst 6509交换机组建的大楼局域网还有很高的安全性，可以充分保证江西地税中心网络免受黑客的攻击和网络病毒的影响，Catalyst 6509是通过该交换机上的防火墙处理引擎和IDS入侵检测处理引擎来保证网络安全性的，Catalyst 6509上的防火墙处理引擎具有强大的防火墙处理功能，完全可以承担起对核心网络特别是核心服务器的保护，避免核心网络遭受来自外界的非法访问和黑客攻击，另外该防火墙模块具有很高的处理性能（吞吐量为5.5Gbps）,不会产生以往防火墙的网络瓶颈问题（以往的防火墙吞吐多小于1Gbps，这对于核心网络和基于千兆连接的服务器群来说会产生网络瓶颈）。6509通过IDS入侵检测模块来消除网络病毒的影响。广域网部分省中心节点由Cisco 7609路由器担当， 7609集局域网的交换能力和广域网的接入能力于一体，可以提供从64K到10G的连接带宽，同时具备720Gbps的交换能力及多个2M专线的接入功能，不但能够适应目前2M专线接入的现状，而且具备向今后155M甚至千兆广域网骨干升级的能力，其超强的可扩展能够充分满足江西省地税局在今后年内网络的发展的需求，具备最大程度的投资保护。地市中心节点由Cisco的7304路由器来担当，Cisco 7304是一个性价比很高的路由器，背板处理能力为3.2Gbps（全双工），包转发能力为3.5Mpps，接入速率从64k，Nx64K,2M,155M,到GE，2.5Gbps, 不但能够适应目前2M专线接入的现状，而且具备向今后155M甚至千兆广域网骨干升级的能力，其超强的可扩展能够充分满足江西省地税局在今后年内网络的发展的需求，具备最大程度的投资保护。目前Cisco公司在中国已经有多个成功实施的基于Cisco 7600路由器的骨干网，如：公安部“金盾”工程全国骨干网内蒙古自治区国税局江苏南京地税网络CerNet全国骨干网江苏电信城域网浙江移动城域网合肥市电信城域网黑龙江省政府公务网福建省政府公务网 广州电力局城域网CISCO 公司非常重视参加江西省地税网络建设项目的建设，将诚心、努力地提供业界一流的技术与服务，使整个项目得以顺利圆满的实施。第二章 江西省地税网络建设目标和原则2.1网络建设目标2002年7月3日，国家信息化领导小组第2次会议审议通过了我国电子政务建设指导意见。在其中明确要求加快推进12个重点业务系统。这12个重点业务系统分为三类，一类是加强监管、提高效率和推进公共服务起到核心作用的办公业务资源系统、宏观经济管理系统；二类是增强政府收入能力、保证公共支出合理性的金税、金关、金财、金融监管、金审等5个业务系统；三类是保障社会秩序、为国民经济和社会发展打下坚实基础的金盾、社会保障、金农、金水、金质等5个业务系统。这三大类业务系统，具有各自特点，并且相互渗透和交融，合在一起，初步构成我国电子政务建设的基本框架。在“金税三期”工程中地税网络将占据重要的地位，为实现国家税务总局提出的“以申报纳税和优化服务为基础，以计算机网络为依托，集中征收，重点稽查”的征管模式，配合全省地税统一征管软件在广域网（城域网）上的推广应用，实现征管数据的高度集中处理，江西省地税局局域网、广域网都将进行升级以进一步适应今后税收征管业务的发展。广域网、局域网升级的目的是将网络系统建设成为江西省地税系统的信息高速公路，特别是作为税收征管业务网，承载全省集中模式的税收征管信息系统，实现数据集中存储、集中处理和集中管理，提高征管数据利用效果、保障地方税收入、加强税务机关内外部管理、促进征管改革、强化依法治税；同时为各级地方税务机关行政管理系统提供数字化、网络化的信息支持，提高全省地税系统的工作效率，为各级地税部门决策的规范化提供支持。根据国税总局“在2010年以前最终完成以总局为主、省局为辅高度集中处理信息”的总体建设目标要求，我们建议通过这次网络项目建设后将省地税局的骨干网建成一个兼容目前2M专线等窄带链路，并可以随时升级为155M或百兆/千兆等宽带技术的具备相当强可扩展能力的高性能网络，并保证建成的主干网在今后的3-5年内保证产品及技术的领先性。除了实现税务征收大集中的目标之外，我们还将江西地税网建成一个集数据、话音和视频三网合一的网络平台，在该网络平台之上，我们可以构建一个全省地税系统的IP电话话音网络，实现地税系统内部之间的免费通话功能，省去地税系统内部通话的长话费用。Cisco提供一整套完善的IP电话解决方案，该解决方案构建在有Qos服务质量保证机制和安全保证机制的Cisco的IP骨干网络之上，可以保证高质量的可靠的话音业务。同样，还可在江西地税网络平台上构建的视频会议系统，有关IP电话解决方案和视频会议系统的方案详见Cisco IP电话解决方案和视频会议系统一文。江西省地税局大楼系统集成项目的建设目标是：建立起江西省地方税务局信息交换与共享的高速网络平台，为实现全省地税系统数据省级集中提供有力的支撑。具体包括以下几个方面： 建成千兆光纤主干，百兆全交换到桌面的高速大楼局域网； 建成全省地税广域网的中心节点，提供广域网核心路由平台； 建立起严格安全机制，确保系统数据的完整、安全。参见第一章前言，我们通过核心交换机6509和中心节点路由器7609来实现高速大楼局域网，并保证该网络的安全，确保系统数据的完整和安全。2.2网络设计原则随着省地税局各部门信息化工作的深入，特别是一些集中式关键业务系统的展开和实施，对网络系统将提出了新的要求，以上这些业务系统不但要求网络系统有很高的性能，而且对可靠性、安全性、可管理性等方面也存在众多的需求，为满足这些需求，结合现有省地税局骨干网络的建设，对江西省地税局网络升级建设提出以下总体建设原则。开放性和标准化：江西地税网络系统是全省地税系统内部的信息交换平台，同时还需要同其他相关部门及因特网实现互连，因此在设计时必须采用国际标准通用的网络协议，保证与现有的其他网络实现平滑连接互通。高性能和可扩展性：支持各种高速网络技术（如快速以太网、千兆以太网等），支持多种协议并存，灵活构建不同的系统。能够根据未来业务扩展和变化，平滑扩充和升级，同时保证未来网络的扩展，能够与不同厂商的不同网络设备实现互连和互操作最大程度减少对网络构架和现有设备的调整。安全性和可靠性：统一制定网络安全策略，防止来自系统外部的非法入侵；严格制定划分权限管理，防止未经授权人员的越级访问等。整个网络系统应具有很高的安全可靠性，必须满足724小时连续运行的要求，并且应具备强大的容错能力，对于重要部件采用冗余设计。可管理性和可维护性：对网络实行集中监控、分权管理。选用先进的网络管理软件，远程监控、管理网络设备，调节网络流量，优化网络配置，节省管理成本，实现一体化的网络管理。第三章 方案设计3.1 网络方案设计要点层次化设计原则：将网络系统划分层次，分清各层主要功能，建立合理的网络结构，是网络系统设计成功的关键。合理清晰的层次划分和设计，可以保证网络系统稳定可靠、接入安全、便于扩充和管理、易于故障隔离和排除。网络可扩展性：根据目前地税行业各单位的业务需求，全网将建成无阻塞的高速网络，能够承载多协议多业务。这种业务趋势和网络规模发展要求网络具有良好的可扩展性，以适应不断增长的业务需求，保护本次网络建设的投资。 因此，我们在设计网络时从以下几方面考虑网络扩展能力： 网络协议的设计； 地址的分配； 地址的汇总； 网络可靠性：除了设备本身具有的高可靠性以外，网络设计应考虑租用不同的服务供应商的通讯线路以构造冗余的网络连接、在网络建设时采用环行、网状或部分网状的网络拓扑及路由协议的快速收敛； 网络的结构和性能优化：网络结构的IP优化。网络体系结构以IP为设计基础，体现在网络层的层次化体系结构，可以减少对传统传输体系的依赖。IP路由协议的优化。IP包转发的优化。提供高速路由查找和包转发机制。带宽优化。在合理的QoS控制下，最大限度的利用广域网的带宽。完整的网络管理系统。可提供完整的网络管理，计费管理，服务管理。3.2 网络方案设计综述根据江西省地税局各级单位机构组成，江西省地税局网络广域网部分在网络结构上将分省、市、区县、征收所四级结构，地税网络的四级广域网以省局为中心，连接11个设市区市、108个县区局、556个基层分局，实现征管核心软件的数据在省局的集中处理，为功能覆盖各级地税机关税收业务、行政管理、决策支持、外部信息应用等所有职能的江西省地方税务信息系统建立高速广域网络平台。其中全省地税网广域网部分拓扑如下图所示，区县局网络以及征收所网络拓扑参照下图，网络设计主要包含以下几个内容： 地税广域网的设计：广域网组网结构，设备选型、传输考虑。 地税中心大楼局域网（包含两部分网络）的设计：中心大楼局域网的组网结构包括税收核心网络和外部应用网的组网设计，智能化小区的设计，设备选型。大楼局域网的安全考虑。 灾备中心的设计，：备份中心和前台备份网络的设计，南昌局的网络设计。3.2.1 地税广域网的设计 组网结构：参照上图所示，江西省地税广域网分省中心、地市、区县、征收所四层结构，采用基于星形的分层结构组网，包括1个省中心，11个地市局，108个区县局，556个征收所。省中心节点路由器采用Cisco 7609，7609通过GE千兆端口与省中心大楼的局域网相连，与地市的连接则通过租用电信的E1 2M电路以及政府信息网的MPLS VPN以太网电路与11个地市局的节点路由器连接。地市局的节点路由器采用Cisco 7304路由器，地市局的局域网由Catalyst3750交换机组建，节点路由器和局域网交换机之间采用GE千兆连接，也可采用FE百兆连接，地市节点路由器7304上联通过电信E1 2M电路或通过光纤接口接省政务网，然后通过MPLS VPN与省中心节点连通。地市节点与区县局的连接方式类也是采用2M电路和政务网VPN电路相结合的方式。区县局的节点路由器采用Cisco 2611XM路由器，区县局的局域网交换机采用Catalyst 2950，区县局节点路由器与局域网之间的连接采用FE以太网，区县局节点路由器通过2M电路和政务网MPLS VPN与地市局连通，下联征收所的网络则完全通过电信的2M电路。征收所的节点路由器采用Cisco 1760路由器，征收所得局域网交换机采用Catalyst 2950,节点路由器和局域网之间采用以太网连接。 广域网传输方式考虑：省中心到地市局：采用租用电信2M电路和政务网MPLS VPN传输链路相结合的策略。省中心到11个地市局之间的传输以上两种方式可以同时采用，这两种传输链路可以互为备份，也可以负载分担。政务网MPLS VPN传输链路的实现方式是由政务网拉出一条10M或100M速率的光纤链路与节点路由器连接，通过政务网的MPLS VPN业务实现省中心和地市之间的连通，其中政务网到省中心节点路由器7609的MPLS VPN传输电路可以基于GE千兆速率，因为省中心节点路由器起着汇聚11个地市局的作用。电信2M电路的实现方式是由电信提供基于G.703接口的2M透明电路实现省中心到地市局的连通，每个地市节点路由器上联到省中心可以采用一个2M电路，也可采用两个或多个2M电路，根据所需带宽和可靠性要求而定，省中心节点路由器7609的2M电路数量这要求等于所有地市上联所需的2M电路数的总和，省中心7609上2M接入设计还有一种办法就是采用信道化155M的方法，7609有一个模块称为MutiChannel STM-1接口模块，具有将一个155M拆分成若干个2M电路的功能，这样我们在省中心节点路由器7609上只需配置一个这样的接口模块便可支持所有地市的2M上联，为网络实施和运维提供了极大的方便，节省网络运维费用，一个信道化的155M模块可以最大支持63个2M电路的上联，当然在这种前提下要求电信为省中心节点路由器提供一个155M的电路。地市局到区县局：采用租用电信2M电路为主政务网MPLS VPN传输链路为辅的策略。地市局到区县局的连接即地市局节点路由器7304到区县局2611路由器的连接，传输电路采用以租用电信网的2M电路为主，然后结合政务网MPLS VPN传输电路为辅的方针，因为目前政务网在地市到区县这一层还未实现全面覆盖，有些区县还无法提供政务网的传输电路，所以我们在总体设计的时候采用以电信2M电路为主的策略，不过我们也要考虑到将来政务网的全面覆盖并能够全面提供政务网的传输电路，所以在这次组网时也为政务网预留接口，那些可以提供政务网电路的地区这次网络建设中，在以电信2M电路为主的同时，将政务网的传输电路作为备用电路，当然也可根据需要实现负载分担。区县局到征收所：采用租用电信2M电路为唯一的传输手段。区县局到征收所的连接即区县局节点路由器2611到征收所1760路由器的连接，传输电路采用以租用电信网的2M电路为唯一手段，考虑到政务网尚无实现区县以下的网络覆盖，所以在这一层次只采用电信的2M电路。 广域网设备选型及设备配置：省中心核心节点路由器：采用Cisco 7609路由器，我们在第一章前言部分已经对7609路由器的优点作过介绍，7609路由器是Cisco的高档路由器，该设备采用模块化设计，有9个插槽，可配置冗余的电源和冗余的交换引擎，以提高系统的可靠性，本次方案中，我们采用7609最新一代的引擎第三代引擎SUP720，该引擎具有目前最先进的处理性能，交换容量达720G，包转发能力为400Mpps，同时SUP720引擎于II代引擎相比（二代引擎交换容量256G），价格保持不变，所以SUP720引擎具有很好的性价比。在本次方案中我们为这台7609配置至少16个GE接口用于和中心大楼局域网的连接以及通过政务网MPLS VPN的光纤接入实现于地市局的连通，配置一个MultiChannel STM-1接口模块用于实现通过采用2M电路方式与地市局的连通，该MultiChannel STM1模块一个接口可最多支持63个2M电路的连通，采用该接口的好处是，网络实施和运维都很方便，当然如果电信无法提供155M的传输电路，或者地市2M上联的电路不多（比如小于16个），那我们建议在核心节点7609上还是采用配置N个2M电路的实现方式，除了接口模块之外，我们还在7609上配置一个防火墙模块，用于实现对地市局，区县局乃至征收所网络的接入过滤，因为核心节点负责连接全省地税的广域网和省地税中心大楼局域网，通过在配置这个防火墙模块，我们可以确保中心大楼局域网不会受到来自内部分支机构的非法访问和黑客攻击，此外这个核心节点路由器还负责连接中心大楼局域网的内网和外网，这个防火墙模块也可实现内网和外网有限连通环境下的内网对于外网的隔离和保护。关于7609的详细介绍，参见产品附录7609产品附录。总结来看我们之所以采用7609作为核心节点路由器出于以下几个原因：17609是目前业界最先进的产品，7609的采用标志着江西地税网络的领先低位。2.7609具有很好的扩展性和投资保护，可以满足未来3到5年的使用要求，无需更换设备和网络架构，可平滑升级到万兆网络，投资保护好，节省网络建设成本。3.7609具有业界最广泛的网络适应性和接入能力，可以支持高密度的以太网接入能力（每槽口可支持48个GE接口，96个10/100M以太网接口），同时7609还可以接入速率从64K，2M，155M，2.5G到10G的各种类型的接口，非常符合本次网络建设中采用电信2M传输和政务网VPN光纤接入相结合的传输环境。4.可以通过防火墙模块，在核心节点7609上提供高性能，功能强大的安全控制机制，可以灵活的实施安全控制策略，确保地税核心网络免受内部分支机构网络的非法访问，也可实现中心大楼内网和外网之间的有限连通和有效隔离。地市局节点路由器和交换机：在本次建设中，我们采用Cisco的7304路由器作为节点路由器，局域网交换机采用Catalyst 3750.Cisco 7304路由器是一个高性能的专门定位于分支机构的路由器产品。该路由器有4个业务槽口，背板处理能力3Gbps，包转发能力为3.5Mpps，本次配置2个GE接口，2个FE接口，用于实现与本地局域网的连接以及政务网光纤接入，另外配置一个8端口的2M接口PA模块用于完成和省中心以及区县的2M连接，可根据实际的端口数量的要求，配置相应数量的2M接口。关于Cisco 7304路由器的详细介绍参见产品附件Cisco 7304产品介绍。地市局交换机采用Catalyst 3750,思科新推出的Cisco Catalyst 3750系列交换机是一个创新的产品系列，它结合业界领先的易用性和最高的冗余性，里程碑地提升了堆叠式交换机在局域网中的工作效率。这个新的产品系列采用了最新的思科StackWise技术，不但实现高达32Gbps的堆叠互联，还从物理上到逻辑上使若干独立交换机在堆叠时集成在一起，便于用户建立一个统一、高度灵活的交换系统-就好像是一整台交换机一样。这代表了堆叠式交换机新的工业技术水平和标准。对于中型组织和企业分支机构而言，Cisco Catalyst 3750系列可以通过提供配置灵活性，支持融合网络模式，已经自动配置智能化网络服务，降低融合应用的部署难度，适应不断变化的业务需求。此外，Cisco Catalyst 3750系列针对高密度千兆位以太网部署进行了专门的优化，其中包含多种可以满足接入、汇聚或者小型网络骨干网连接需求的交换机。图1 Cisco Catalyst 3750系列交换机配置 Cisco Catalyst 3750G-24TS-24个以太网10/100/1000端口和4条SFP上行链路 Cisco Catalyst 3750G-24T-24个以太网10/100/1000端口 Cisco Catalyst 3750-48TS-48个以太网10/100端口和4条SFP上行链路 Cisco Catalyst 3750-24TS-24个以太网10/100端口和2条小型可插拔（SFP）上行链路 Cisco Catalyst 3750系列可以使用标准多层软件镜像（SMI）或者增强多层软件镜像（EMI）。SMI功能集包括先进的服务质量（QoS）、速率限制、访问控制列表（ACL）和基本的静态和路由信息协议（RIP）路由功能。EMI可以提供一组更加丰富的企业级功能，包括先进的、基于硬件的IP单播和组播路由。思科StackWise技术-可堆叠弹性的新标准思科StackWise技术是一种针对千兆位以太网优化的、先进的堆叠架构。该技术的设计目的是及时地对设备添加、移除和重新部署做出反应，同时保持稳定的性能。利用特殊的堆叠互联电缆和堆叠软件，思科StackWise技术最多可以将9台单独的Cisco Catalyst 3750交换机连接到一个统一的逻辑单元中。堆叠相当于一个单一的交换单元，由一个从成员交换机中选出的主交换机管理。主交换机可以自动地创建和升级所有的交换信息和可选的路由表。一个工作中的堆叠可以在不中断服务的情况下，添加新的成员或者移除旧的成员。主要特性和优点可用性-不中断的第二层和第三层性能Cisco Catalyst 3750系列可以提高可堆叠交换机的可用性。每个交换机可以充当主控制器和转发处理器。堆叠中的每台交换机都可以充当一个主交换机，从而为网络控制创建了一种1:N的可用性机制。在某个单元发生故障时（尽管发生这种情况的可能性很小），所有其他单元都可以继续转发流量和保持正常运行。便于使用-即插即用配置一个工作中的堆叠可以自行管理和配置。在用户添加或者移除交换机时，主交换机会自动地更新所有的路由表，及时地反应堆叠结构的变化。升级信息将同时发送给堆叠的所有成员。可扩展性-快速以太网到千兆位以太网Cisco Catalyst 3750系列最多可以将9个交换机堆叠在一起，构成一个统一的逻辑单元，其中总共包含468个以太网10/100端口或者252个以太网10/100/1000端口。各个10/100和10/100/1000单元可以根据网络的需要任意组合。混和搭配的交换机类型-根据您扩建网络的速度支付相应的费用堆叠可以由Cisco Catalyst 3750交换机的任意组合构成。需要混用10/100和10/100/1000端口的客户可以逐步地发展接入环境，即只为他们需要的功能付费。智能组播-将融合网络的效率提高到一个新的水平利用思科StackWise技术，Cisco Catalyst 3750系列可以为组播应用（例如视频）提供更高的效率。每个数据分组只需要在堆叠互联上发送一次，从而可以为更多的数据流提供更加有效的支持。出色的服务质量-覆盖堆栈和线速Cisco Catalyst 3750系列可以提供千兆位以太网速度和智能化的服务，从而可以保持所有数据的平稳传输-即使在十倍于正常网络速度时。业界领先的标记、分类和调度机制可以为数据、语音和视频流量提供业界最佳的性能-全部都以线速提供。安全性-对接入环境的精确控制Cisco Catalyst 3750系列支持一组针对连接性和接入控制、全面的安全功能，其中包括ACL、身份认证、端口级安全和基于身份识别的的、支持802.1x及其扩展的网络服务。单一IP管理-多台交换机共享一个IP地址每个Cisco Catalyst 3750系列堆叠都作为一个统一的对象进行管理，拥有一个单一的IP地址。单一IP管理可以支持故障检测、虚拟LAN创建和更改、安全和QoS控制等功能。大型帧-为要求很高的应用提供支持Cisco Catalyst 3750系列可以在10/100/1000配置上支持大型帧，为那些需要使用很大数据帧的高级数据和视频应用提供支持。支持IPv6-为将来做好准备Catalyst 3750可以通过基于硬件的IPv6路由，获得最大限度的性能。随着网络设备的增长和对于更大的地址空间和更高的安全性的需求变得日益迫切，Catalyst 3750将可以满足人们的需求。管理选项Cisco Catalyst 3750系列可以提供一个用于精确配置、出色的命令行界面（CLI）和用于根据预设模板进行快速配置的思科集群管理套件（CMS）软件，这是一种基于Web的工具。此外，CiscoWorks也可以在整个网络范围内对Cisco Catalyst 3750系列进行管理。图2 Cisco Catalyst 3750系列区县局节点路由器和交换机：区县局节点路由器采用Cisco 2611XM路由器，2611XM路由器配置2个10/100M以太网接口，同时2611XM路由器最多可配置8个2M接口，用于上联地市局以及下联征收所，若某些区县局下联的征收所超过7个，则可将区县局的节点路由器换成3725路由器，局域网交换机采用2950-48或2950-24。征收所节点路由器和交换机：征收所节点路由器采用Cisco 1760路由器，1760路由器带有一个以太网接口，可配置1到2个2M接口用于广域网的连接。局域网交换机采用Catalyst 2950。3.2.2 地税中心大楼局域网的设计地税中心大楼局域网的设计采用分层结构的思想，以下简要描述不同层次所执行的功能：1.核心层功能核心层一般是一个高速的交换主干网，能尽快地交换数据包。一般不作数据包处理，例如访问控制和过滤，这些都可能降低数据包的交换速度。2.分布层功能u 地址或区域集合u 部门或工作组接入u 广播和多目广播域定义u VLAN交换u 任何可能的介质传输u 安全3.接入层功能u 共享带宽u 交换带宽u MAC层过滤根据江西省地税局办公大楼计算机网络系统需求, 分层结构并不一定要有十分清楚的物理实体，有的交换机即可以工作在分布层，同时也可作为接入层的交换设备。因此我们可以根据投资规模等省略分布层设备，整个网络由核心层和接入层构造，用一个典型层次化的园区网网设计方案来说明我们的设计思路：一、 核心层网络建设：在网络核心层在内网和外网各配置一台中心交换机Cisco Catalyst6509，Catalyst6509是三层千兆交换机，通过1000M光纤端口连接各楼层的接人交换机，并且提供足够10M/100M以太网络接口提供路由器、服务器等设备的接入。综合考虑整个网络的可靠性、性能及投资等多方面的因素，在网络建设的初期我们建议在Catalyst 6509核心交换机上配置冗余的电源模块、冗余的交换引擎，交换引擎采用最新的第III代引擎SUP720,该引擎具有720G的交换能力，400Mpps的包转发性能。除了公共模块外另配置一个16端口千兆位以太网GBIC模块和一个48端口10M/100M以太网接口模块。a. 服务器群的连接：本次方案我们出于安全性和扩展性的考虑建议采用Catalyst3750交换机连接服务器群，然后通过GE上联到汇聚到核心交换机6509上，本次配置3750交换机有48个10M/100M/1000M以太网接口。该接口可以实现10M，100M和1000M的自适应，不仅可以用于接入桌面的PC设备，还可以实现高密度的1000M电口到桌面的连接，可以连接服务器，我们知道现有的服务器大都缺省配有GE电口的网卡，所以通过该模块的千兆电口完成服务器群的连接是一个性价比最好的解决方案。b. 骨干路由器的连接：通过16端口千兆GBIC模块完成，该模块可以实现无阻塞的千兆传输，同时可以完成长距离的GE连接。c. 接入交换机的连接：通过16端口千兆GBIC模块来完成。核心网络安全设计：1）内网和外网单独建设的考虑，现在典型的税务内部的网络建设多内、外网分离的建设模式，即建两套网络，一个是内网专门用于内部税务征收业务信息的应用和处理，一个外网用于OA和上网，这两套网络从物理上完全分类，内网的出口可以通过一个防火墙连接江西政务网，外网的出口可以通过一个防火墙连入Internet。2）防火墙的考虑出于安全的考虑，我们一般的设计会在网络的出口处部署一台防火墙设备，比如Cisco的PIX 525或PIX535，这些PIX防火墙的设备性能一般再几百兆或1Gbps左右，因为网络的出口带宽一般会小于155兆，所以这样的防火墙设备其处理性能足以满足用户的需求。但是随着越来越多的网络病毒的产生，现在的网络攻击往往会产生于网络的内部，这样仅仅在网络的出口处部署防火墙设备是不够的，现在一种更可靠的设计模式是在服务器群和核心交换机之间部署防火墙设备，用于保证服务器设备的安全，如上图所示，而且这种方案已经越来越多地被我们政府企业网所接受。但随之产生的是一个防火墙的性能问题，因为服务器一般都是通过千兆接口连入网络系统，那么一个服务器群整个所需的网络吞吐量在几个G比特甚至更高的带宽，这样传统的千兆或千兆以下的防火墙设备是无法满足这种网络的设计要求的。在这里，我们推荐一款最新的Cisco的防火墙设备，那就是6509上的PIX防火墙模块，该模块可以直接插在6509而无需单独配置专门的防火墙设备即可实现防火墙的功能，同时这个防火墙模块的性能非常高，其网络的吞吐能力是5.5Gbps,是PIX535的3到4倍，同时其所支持的最大连接数为100万，每秒可产生10万个新建的连接，同时该防火墙模块还可以支持动态路由协议比如OSPF等，所以我们认为用于连接服务器和核心交换机之间所需的防火墙设备，6509的防火墙模块是最佳的选择。我们建议在内网的核心交换机6509上配置一块防火墙模块用于保证核心服务器的安全。Catalyst 6509交换机上的防火墙模块图1Catalyst 6509交换机的防火墙服务模块（FWSM）是一种高速的、集成化的服务模块，可以提供业界最快防火墙数据传输速率：5Gb的吞吐量，10000 CPS，以及1M并发连接数。在一个设备中最多可以安装4块FWSM，因而每个设备可以提供20Gb的吞吐量。作为Cisco PIX防火墙系列的一部分，FWSM可以为大型企业和服务提供商提供无以伦比的安全性、可靠性和性能。FWSM采用了Cisco PIX技术，并且运行Cisco PIX操作系统，一种实时的、牢固的嵌入式系统，可以消除安全漏洞，防止各种可能导致性能降低的损耗。这个系统的核心是一种基于自适应安全算法（ASA）的保护机制，它可以提供面向连接的全状态的防火墙功能。利用ASA，FWSM可以根据源地址和目的地址，随机的TCP序列号，端口号，以及其它TCP标志，为一个会话流创建一个连接表条目。FWSM可以通过对这些连接表条目实施安全策略，控制所有输入和输出的流量。FWSM的主要优点防火墙的传统角色已经发生了变化，今天的防火墙不仅可以保护企业网络不受未经授权的外部接入的攻击，还可以防止未经授权的用户接入企业网络的子网、工作组和LAN。FBI的统计数据显示，70%的安全问题都来自于企业内部。大部分专家都认为，大多数网络入侵活动都没有被检测出来。集成模块FWSM安装在Catalyst 6509交换机内部，让这些设备的任何端口都可以充当防火墙端口，并且在网络基础设施中集成了状态防火墙安全特性。对于那些机架空间非常有限的系统来说，这种功能非常重要。Catalyst 6509真正成为那些需要各种智能化服务（例如防火墙接入、入侵检测、虚拟专用网和多层LANWANMAN交换功能的客户的首选IP服务路由交换设备。适应未来的需求FWSM可以支持5Gb的吞吐量，因而可以提供无以伦比的性能，让用户无须对系统进行彻底的升级，就可以满足未来的要求。在1台Cisco 7600上最多可以添加3块FWSM，以满足用户不断发展的需求。可靠性FWSM建立在Cisco PIX技术的基础之上，并且使用了同一种经过时间检验的Cisco PIX操作系统-一种安全的、实时的操作系统。FWSM可以利用行之有效的Cisco PIX技术检测分组，从而可以在同一个平台上提供性能和安全的独特组合。低廉的整体运营成本FWSM可以提供所有防火墙中最佳的性能价格比。由于FWSM是基于Cisco PIX防火墙的，所以培训和管理成本都很低，而且由于它是集成在设备内部的，所以大大减少了需要管理的设备的数量。易用性Cisco PIX设备管理器的直观的图形化用户界面（GUI）可以用于管理和配置FWSM。在配置和监控方面，FWSM可以获得Cisco管理框架和Cisco AVVID合作伙伴的支持。FWSM特性主要特性优点性能 5 Gbps 一百万个并发连接 每秒建立和断开超过10万个连接多种接口 最多支持100防火墙VLAN任何Catalyst 4000 上的VLAN都可以充当防火墙 VLAN 支持 802.1q和ISL协议切入型代理 对每个VLAN实施安全策略配置支持 控制台到命令行界面（CLI） Telnet到Cisco PIX防火墙内部接口 基于IPSec的Telnet到Cisco PIX防火墙的外部接口 SSH到CLI SSL到Cisco PIX设备管理器 AAA 支持 通过TACACS+和RADIUS支持，集成常见的身份认证、授权和记帐服务NAT/PAT支持提供动态/静态的网络地址解析（NAT） 和端口地址解析（PAT）Cisco PIX 设备管理器 (PDM) 简便、直观、基于Web的GUI可以支持远程防火墙的管理 多种基于实时数据和历史数据的报告可以提供使用趋势、基于性能和安全事件等信息安全网络管理 安全的、采用三重数据加密标准（3DES）加密的网络管理接入访问控制列表 最多支持128000条访问控制列表 URL 过滤在服务器中设定策略，并利用Websense 软件检查输出的URL请求命令授权对所有CLI设置优先级，创建与这些优先级对应的用户帐号或者登陆环境对象群组 能够组合网络对象（例如主机）和服务（例如 ftp和http）防范 DoS DNS保护 Flood Defender Flood Guard TCP阻截 单播反向路径发送 Mail Guard FragGuard和虚拟重组 路由 静态路由 动态路由；例如RIP协议和OSPF协议 高可用性 状态故障恢复设备内部和设备之间日志全面系统日志、 FTP、 URL和ACL日志其它协议 H.323 V2 NetBios over IP RAS Version 2 RTSP SIP XDMCP Skinny 3）入侵检测的考虑目前，如何防御网络病毒已经成为现有的网络设计中一个不可忽视的环节，一个没有入侵检测和抵御的网络是一个不完整和不成熟的网络。因此我们建议在该网络中，部署Cisco的IDS入侵检测系统来完善在网络设计中的这个重要的环节。Cisco的IDS入侵检测系统可以在第一时间发现网络攻击的源头，然后我们可以通过隔离攻击源来避免和减少网络攻击对整个网络的可用性的影响，Cisco的IDS系统可以采用IDS的探针4200系统来实现，也可以采用6509上的专门的IDS模块来实现，当然Cisco的3700，3600，2600等系列的路由器也有相应的IDS入侵检测模块。部署一个IDS网络是一个非常综合的方案，简单的做法是在网络的核心部署相应的入侵检测模块，所以在本方案中，我们建议在内网的核心交换机6509上部署一个IDS入侵检测模块来完成对整个网络的入侵检测工作。网络核心层设计详述和其他安全设计：下面我们将从L2、L3、高可用性等方面分别介绍：1）网络第二层的设计：核心网络采用千兆以太网技术,可以按照实际情况采用思科的增值GEC技术，一方面可用获得最多达16Gbps（全双工）的交换机之间连接带宽，另一方面可以在交换机之间提供可以在几秒内由故障链路切换到其余正常链路的高速备份能力；2）网络第三层设计及IP路由协议的选择：通过使用可快速恢复的动态路由协议，如OSPF 、 RIP等，可以实现路由备份及负载均衡，并保证当网络出现故障时，可快速实现备份路由寻找并由备份路由传输数据流量。3）高可用性设计：网络核心层与分布层交换机均使用冗余及高可靠性配置，网络核心层与分布层交换机通过环形连接构成多重回路，通过IP路由协议实施网络冗余，从而提供稳定可靠的网络传输核心，为整个网络提供不间断的服务。4）网络安全：对于网络上核心交换机之间分发的路由，可以采用MD5认证算法来防止欺骗性路由，Cisco的路由产品都支持MD5认证。在核心层网络设备的选择上，我们使用业界性能及可靠性最高的Cisco Catalyst6500交换机，它具有6槽或9槽的机箱，下面是对它的一些简要描述：业界最强的QoS和Policing的功能：Catalyst 6500支持基于MAC地址、IP地址、VLAN的速率限制；它能够限制单个流的带宽和整个流的带宽，所有的这些处理均通过PFC硬件来进行线速处理，具有很高的处理效率。在网络模块的硬件端口上提供多个输入及输出队列，以提供对QoS的处理，如CoS、DSCP等，并能够实现在它们之间的互相映射。独特的Private VLAN功能：极大的方便了VLAN的划分和管理，减少和简化了IP地址管理和所需的IP子网数量，减少了网络上所需的VLAN的数量。高效率的三层路由交换处理：Catalyst6500支持基于Cisco专有的CEF（Cisco Express Forwarding）的路由交换处理，它比基于Flow的方式具有更高的处理效率，树型路由表查找技术可以更快得到目标出口，CEF较Flow方式更适合应用于在路由交换机中存活时间较短的数据流，如WEB，E-COMMERCE等。而较早的Catalyst 6000也支持基于Flow的交换，其交换引擎的路由处理能力和Flow的建立能力也是业界功能最强的。Catalyst6500三层交换能力可以达到100Mpps之上。VACL（VLAN ACL）：Catalyst6x00的VACL具有非常强大的处理能力。它能够基于2，3，4层的信息对用户的信息和访问进行控制。不仅能够作虚网之间的控制，还能够作一个虚网内部的访问控制。所有的访问控制表均由硬件来进行线速处理，有很高的处理效率。高可用性：Catalyst6500具有业界领先的高可用性，其冗余引擎的切换可以在3秒种内完成；高的端口密度和丰富的网络模块类型：Catalyst6500具有目前业界最高的端口密度，384 个10/100端口，128个千兆端口，具有非常多的支持多服务的接口模块，如：8端口语音E1服务模块、24端口FXS模块、FlexWAN模块、内容交换模块、IDS入侵检测模块、多模/单模OC-12 ATM模块，以及可应用于电信领域的各种OSM光纤服务模块等等；二、 接入层网络建设接入层网络分布于各楼层的配线间，配置Cisco Catalyst2950-48二层交换机通过1000M以太网络接口接入核心层交换机Catalyst6509；提供足够的10/100M以太网络接口连接桌面计算机设备。网络接入层设计详述：在网络建设中，各个接入层交换机的功能是解决多服务信息流的分流及汇聚，一方面，网络接入层通过和分布层及核心网络的连接，将各下级单位内的所有信息点连接起来，另一方面，各种形式的网络信息都汇聚起来，向核心输送，这里也是网络管理员应用网络策略隔离网络流量之处，包括安全、路由汇聚、网络故障隔离等。网络接入层还负责将用户流量引入网络，并且实现接入控制，包括接入速度限制等。我们建议采用Cisco Catalyst 2950二层交换机系列。Catalyst2950系列交换机有多种型号可以提供12，24和48个10/100M以太网用户接入，并且具有两个千兆端口的，在用户数增加时可以采用可扩展的堆叠特性，最大可堆叠16台。它们能够提供超值的性能、可管理性、灵活性，同时能够出色地保护客户的投资。10.8 Gbps的交换背板和最高8.0 Mpps的转发速率使这些交换机成为建立高性能局域网的理想选择。为了更有效地对接入的用户提供管理和安全控制，我们推荐在接入层划分VLAN（虚拟网），让不同功能的部门、用户分布在不同的虚拟网上，虚拟网间的通信主要由分布层和核心层的Catalyst 6500多层交换机来实现。要实现在不同虚拟网用户之间，甚至同一虚拟网内部不同用户之间的的访问控制，可在Catalyst6500上设置访问控制列表 (Access Control List) 来实现。配合Catalyst6500上的PFC和MSFC，我们可以在实现L3交换的同时，线速进行ACL的处理。3.2.3 灾备中心、南昌地税局的网络设计南昌地税网络由于兼作全省地税网络的备份中心，所以南昌地税网络的设计区别于其他地税局网络设计，主用区别在以下几个方面，1) 南昌市地税节点路由器的选择2) 南昌市地税局域网的设计3) 灾备中心的设计一） 南昌市地税节点路由器的选择：其他地市局的节点路由器都采用7304路由器，然而南昌地税节点路由器兼作全省的灾备中心，所有其他地地市局除了要与省地税中心连之外，还需与灾备中心连通，即所有其他地市的节点路由器都要与南昌地市局节点路由器相连，因此我们也采用Cisco 7609路由器作为南昌地税局的节点路由器，配置与省中心节点路由器相当。该7609与省中心节点路由器之间建议通过直连光纤连通，当然也可象其他地市局一样采用2M电路和政务网的传输电路与省中心连通。对于区县局路由器的选择，由于南昌地区下属节点较多，我们可以酌情考虑采用Cisco 3745路由器作为区县节点路由器。而其他地市的区县路由器采用Cisco 2611XM路由器。二） 南昌市地税局域网的设计：南昌市地税局域网同样兼有备份中心的职责，所有在南昌地税中心局域网配置2台4506交换机，用于连接备份的数据中心。三） 灾备中心的设计：灾备中心网络主用包括后台网络和前台网络两部分，前台网络即数据网络部分，在本方案中有上面一）、二）两部分构成。后台网络包括存储