xx国税局网络改造方案建议书

xx国税局网络改造方案建议书内容摘要：

x 国税网络改造方案建议书 17 基于安全方面以及隔离广播域的考虑，现在在局域网中都划分有VLAN，这就对 中心交换机的三层交换能力提出了非常高的要求。 一般VLAN 的划分思路为：服务器划分在一个单独的 VLAN 内，各楼层的 PC机按楼层划分 VLAN，或者按部门划分 VLAN。 现在市局大楼共有 6 个楼层交换机，假设每个楼层交换机都是以 1 个千兆端口上联到中心交换机。 另外，采用数据大集中模式后，主要服务器有三台：生产主机、查询主机、 OA 服务器。 这三台服务器都是以千兆网卡连接到中心交换机。 由此可见，中心交换机需要的三层交换能力至少为： 6*1G+3*1G=9G bit/s 以 1 字节（ byte） =8 位（ bit） ,1 个数据包 =64 字节（ byte） 来计算，可得出以上信息量相当于如下数据包： 9000M/(8*64)= pps 考虑到 35 年的投资保护、系统的扩展能力，以及其他各种不确定因素的影响（一般地，技术白皮书中给出的技术指标都是在实验室里以一种非常理想化的状态得出的，而且机器的配置本身往往处于最优配置，比如内存加到最大， Supervisor Engine 用最高档一款的，等等。 而在实际环境中，情况往往不是如此，而且此时处理器往往也不仅仅只做包转发这种工作，还有 accesslist 控制列表判断等等。 因此，实际环境中 的处理能力往往比技术白皮书中所列的性能指标打一定的折扣），我们一般建议将上面计算得出的包转发值，再乘以 5倍，作为最终的参考值。 于是，得到中心交换机的包转发值应为： *5= pps 参考前面“ CISCO 网络设备的性能指标”那张表，可以得出中心交换机的合适选型为 Catalyst 6509 xxxx 国税网络改造方案建议书 18 中心路由器性能计算及选型： 中心路由器有两个 100M 的以太网端口，一个用于接入本地局域网，一个用于接入 IP 宽带网。 由此可见，中心路由器需要的三层交换能力至少为： 100M*2=200M pps 以 1 字节（ byte） =8 位（ bit） ,1 个数据包 =64 字节（ byte） 来计算，可得出以上信息量相当于如下数据包： 200M/(8*64)= pps= pps 考虑到 35 年的投资保护、系统的扩展能力，以及其他各种不确定因素的影响 , 我们一般建议将上面计算得出的包转发值，再乘以 5倍，作为最终的参考值。 于是，得到中心交换机的包转发值应为： *5=1953k pps= pps 参考前面“ CISCO 网络设备的性能指标”那张表，可以得出中心交换机的合适选型为 cisco 7507 分局 IP 宽带网接入设备性能计算及选型： 分局 IP 宽带网接入设备有两个 10M 的以太网端口，一个用于接入本地局域网，一个用于接入 IP 宽带网。 由此可见，分局 IP 宽带网接入设备需要的三层交换能力至少为： 10M*2=20M pps 以 1 字节（ byte） =8 位（ bit） ,1 个数据包 =64 字节（ byte） 来计算，可得出以上信息量相当于如下数据包： 20M/(8*64)= pps=39k pps 考虑到 35 年的投资保护、系统的扩展能力，以及其他各种不确定因素的影响 , 我们一般建议将上面计算 得出的包转发值，再乘以 5 xxxx 国税网络改造方案建议书 19 倍，作为最终的参考值。 于是，得到中心交换机的包转发值应为： 39k*5=195k pps 参考前面“ CISCO 网络设备的性能指标”那张表，可以得出 分局 IP 宽带网接入设备 的合适选型为 cisco 7206 或 Catalyst 2948GL3。 但一台 CISCO 7206（配置有 1 个 4 口 10M 以太网模块）的美金公开报价为 17250，一台 Catalyst 2948GL3 的美金公开报价为 14993，而 Catalyst 2948GL3 三层交换能力却比CISCO 7206 大许多。 因此，我们认为 最终合适的选型为 Catalyst 2948GL3. xxxx 国税网络改造方案建议书 20 IP 宽带网组网方式选择 目前，在 xxxx 市内宽带连接方式很多。 仅仅在税务系统就有非常多的实施案例。 综合来看，宽带连接方式可以分为以下几种模式： １、 ATM LANE ２、 ATM over IP ３、 SDH ４、 MPLS PVlan ５、 MPLS L3 Switch ６、 Fiber Connect ７、 GRE Tunnel 在使用中，常见的模式为前面６种， GRE Tunnel 方式因为组网方式比较单一，不适合现在的需求，比较少在税务中 使用。 下面就一一对这些宽带方式进行分析。 xxxx 国税网络改造方案建议书 21 １、 ATM LANE ATM ＬＡＮＥ是电信利用传统的ＡＴＭ网作为传输骨干，在网络接入的边缘上则使用局域网仿真方式，将ＡＴＭ接口转变为简单的以太网接口。 用户仅仅需要简单的交换机设备就可以享受到１０Ｍ的速率。 优点： １、接入便宜、方便，投资较少； ２、线路带宽可以得到保证； 缺点： １、电信投入比较大，在网络节点较多的情况下，电信资源不足； ２、一般的以太网交换机没有服务质量保证（ＱｏＳ），在多种应用时，无法满足不同业务的需求； 今后的发展是向ＭＰＬＳ Ｐ－ Ｖｌａｎ作升级 税务宽带网络应用： A T M L A N ESiSiL A N E 路由器A T M C l o u dL A N E 路由器A T M 交换机M I S 系统R R R网管 安全认证 网络扫描C T A I SS e r v e r金税S e r v e r系统系统系统网管 安全认证 网络扫描网管 安全认证 网络扫描金税R R RR R R xxxx 国税网络改造方案建议书 22 ２、 ATM over IP ATM over IP 是电信利用传统的ＡＴＭ网作为传输骨干，在网络接入的边缘上则使用ＲＦＣ１４８３网桥，将ＡＴＭ接口转变为简单的以太网接口。 用户仅仅需要简单的交换机设备就可以享受到２Ｍ－１０Ｍ不等的速率。 优点： １、接入便宜、方便，投资较少； ２、线路带宽升级容易； 缺点： １、安全存在较大隐患，用户端安全完全借用电信的设置。 如果电信局开错了电路，则其它单位的用户可以看到我们的信息内容； ２、一般的以太网交换机没有服务质量保证（ＱｏＳ），在多种应用时， 无法满足不同业务的需求； 在多网并存的情况下，自动备份、自动切换实现较麻烦。 今后的发展是向ＭＰＬＳ Ｐ－Ｖｌａｎ作升级 税务宽带网络应用： A T M o v e r I PA T M C lo u dR R RL2 交换机L2 交换机A T M 交换机M I S 系统R R R网管 安全认证 网络扫描C T A I SS e r v e r金税S e r v e r系统系统系统网管 安全认证 网络扫描网管 安全认证 网络扫描金税P V CR R R xxxx 国税网络改造方案建议书 23 ３、 SDH SDH 是电信利用时分技术，直接从 SDH 传输环上分出一段链路，提供给用户使用。 ＳＤＨ组网方式和传统的ＤＤＮ类似，都是点对点的连接方式。 但是，由于ＳＤＨ是一个双环网，安全可靠性要高很多，效率也不错； 优点： １、传输效率高、提供可靠的服务质量保证； ２、网络具有很好的安全性； 缺点： １、投资较大（包括设备、线路等等）； ２、在升级扩容时，速率受到限制； 如果今后 需要高速的网络接入，ＳＤＨ方式可以平滑的向ＭＰＬＳ Ｌ３方式过渡。 xxxx 国税网络改造方案建议书 24 ４、 MPLS PVlan ＭＰＬＳ Ｐ－ＶＬＡＮ是新型的交换网。 用户使用局域网接口接入电信局端。 由局端进行映射，然后将此用户在各地的局域网接口连接起来，形成一个大的 Private VLAN。 优点： １、可以对不同的应用进行不同的ＶＬＡＮ映射，区分流量； ２、投资较小，设备性能要求不高 缺点： １、理论上仍存在网络的安全性，需要其它方法补充； ２、广域网的传输效率不能达到１００％； 税务宽带网络应用： MP L S P V L A NSiSiC T A I SS e r v e r金税S e r v e rM I S 系统系统系统R R R网管 安全认证 网络扫描网管 安全认证 网络扫描SiSiSiSiM P L S V P NR R RL2 交换机L2 交换机L3 交换机 QR R R xxxx 国税网络改造方案建议书 25 ５、 MPLS L3 Switch ＭＰＬＳ L3 Switch 是新型的路由器网。 用户使用路由器接口接入电信局端。 由局端进行使用虚拟路由器和用户路由信息的传递，然后将此用户在各地的广域网接口连接起来，形成一个大的核心交换机； 优点： １、在网络上进行数据传递时，不会出现信息的多次传递，传输效率高； ２、可以针对不同的应用分流，制订相应的策略和服务保证； 缺点： １、投资较大（包括设备、线路等等）； 税务宽带网络应用： MP L S L 3 S w i t c hSiSiC T A I SS e r v e r金税S e r v e rM I S 系统系统系统R R R网管 安全认证 网络扫描网管 安全认证 网络扫描SiSiM P L S V P NR R R虚拟路由器虚拟路由器虚拟路由器R R RSiSi xxxx 国税网络改造方案建议书 26 ６ 、 Fiber Connect Fiber Connect 电信部门利用裸光纤在用户的各个节点间进行光纤互连 ； 优点： １、专 网专用，安全、保密性好； ２、传输效率好，带宽能够很好扩展； 缺点： １、组网方式必须是点对点； ２、受限于电信部门的光纤资源，费用比较高； xxxx 国税网络改造方案建议书 27 根据 xxxx 电信部门的介绍，综合 xxxx 国税的具体情况，我们认为xxxx 国税的宽带网络模型应该使用 MPLS Pvlan 模式，同时，在安全性、可靠性、服务质量上了进行加强。 以下为我们建议的 xxxx 国税IP 宽带网网络结构示意图： xxxx 国税网络改造方案建议书 28 IP 宽带网运营商选择 在各地，主要的 IP 宽带网运营商有电信局和广电局，另外还有一些新兴的运营商如广东盈 通。 我们认为在选择运营商时，应综合考虑以下几个因素： 运营商的技术支持力量： 有强大的技术支持力量，才能保证线路的稳定以及故障的及时排除，这两者是相辅相成的。 相对而言，电信局历史悠久，其技术力量较为雄厚，尤其在较为偏远的地方。 价格： 各地差异较大，需要与当地各运营商洽谈。 相对而言，新兴运营商的价格较为优惠。 安全性： 采用 IP 宽带网时，不同的租户的数据同时在运营商的 IP 宽带网上跑，各租户的各自局域网通过 IP 宽带网，看起来就象组成了一个大的局域网，如何保证彼此之间的系统安全（比如路由信息不会泄密）和相 关应用的带宽预留，是 IP 宽带网的最大问题。 安全性与采用的组网方式有很大的关系，相对而言， MPLS L3 三层交换的组网方式比较安全，问题在于当地运营商能否提供这种组网方式，以及对这种技术的掌握程度（否则回造成线路的不稳定）。 另外，用户端的接入设备选型也比较重要，一般建议选择三层交换机或路由器，这样才可以保证用户在用户端有自己的安全控制手段。 具体如何做，需要与运营商好好协商。 成功案例 ：参观运营商的成功案例，并了解其线路的运行情况，是作出正确选择的有效手段。 结论 ：如果网络系统的覆盖面比较广，我们建议还是 选择电信局，这样才能保证日后系统的技术支持；如果网络系统集中在一个大城市范围内，而且该运营商在当地又有较为成功的案例，则可以选择广电局或其他新兴运营商。 另外，我们认为，如果可以从广电局或新兴运营商那里谈到一个很好的价钱折扣（比如租用一条 10M 的 IP 宽带网线路，比起租用一条电信局的 128K/。