江西省地税网建设技术方案建议书

江西省地税网建设技术方案建议书内容摘要：

，降低融合应用的部署难度，适应不断变化的业务需求。 此外， Cisco Catalyst 3750系列针对高密度千兆位以太网部署进行了专门的优化，其中包含多种可以满足接入、汇聚或者小型网络骨干网连接需求的交换机。 图 1 Cisco Catalyst 3750 系列交换机 配置  Cisco Catalyst 3750G24TS24个以太网 10/100/1000 端口和 4条 SFP上行链路  Cisco Catalyst 3750G24T24个以太网 10/100/1000 端口  Cisco Catalyst 375048TS48 个以太网 10/100 端口和 4 条 SFP 上行链路  Cisco Catalyst 375024TS24 个以太网 10/100 端口和 2 条小型可插拔（ SFP）上行链路 Cisco Catalyst 3750 系列可以使用标准多层软件镜像（ SMI）或者增强多层软件镜像（ EMI）。 SMI 功能集包括先进的服务质量（ QoS）、速率限制、访问控制列表（ ACL）和基本的静态和路由信息协议（ RIP）路由功能。 EMI 可以提供一组更加丰富的企业级功能，包括先进的、基于硬件的 IP 单播和组播路 江西省地税网络建设方案建议书 17 由。 思科 StackWise 技术 可堆叠弹性的新标准 思科 StackWise 技术是一种针对千兆位以太网优化的、先进的堆叠架构。 该技术的设计目的是及时 地对设备添加、移除和重新部署做出反应，同时保持稳定的性能。 利用特殊的堆叠互联电缆和堆叠软件，思科 StackWise 技术最多可以将 9台单独的 Cisco Catalyst 3750 交换机连接到一个统一的逻辑单元中。 堆叠相当于一个单一的交换单元，由一个从成员交换机中选出的主交换机管理。 主交换机可以自动地创建和升级所有的交换信息和可选的路由表。 一个工作中的堆叠可以在不中断服务的情况下，添加新的成员或者移除旧的成员。 主要特性和优点 可用性 不中断的第二层和第三层性能 Cisco Catalyst 3750 系 列可以提高可堆叠交换机的可用性。 每个交换机可以充当主控制器和转发处理器。 堆叠中的每台交换机都可以充当一个主交换机，从而为网络控制创建了一种 1:N 的可用性机制。 在某个单元发生故障时（尽管发生这种情况的可能性很小），所有其他单元都可以继续转发流量和保持正常运行。 便于使用 即插即用 配置 一个工作中的堆叠可以自行管理和配置。 在用户添加或者移除交换机时，主交换机会自动地更新所有的路由表，及时地反应堆叠结构的变化。 升级信息将同时发送给堆叠的所有成员。 江西省地税网络建设方案建议书 18 可扩展性 快速以太网到千兆位以太网 Cisco Catalyst 3750 系列最多可以将 9 个交换机堆叠在一起，构成一个统一的逻辑单元，其中总共包含 468 个以太网 10/100 端口或者 252 个以太网10/100/1000 端口。 各个 10/100 和 10/100/1000 单元可以根据网络的需要任意组合。 混和搭配的交换机类型 根据您扩建网络的速度支付相应的费用 堆叠可以由 Cisco Catalyst 3750 交换机的任意组合构成。 需要混用10/100 和 10/100/1000 端口的客户可以逐步地发展接入环境，即只为他们需要的功能付费。 智能组播 将融合网络的效率提高 到一个新的水平 利用思科 StackWise 技术， Cisco Catalyst 3750 系列可以为组播应用（例如视频）提供更高的效率。 每个数据分组只需要在堆叠互联上发送一次，从而可以为更多的数据流提供更加有效的支持。 出色的服务质量 覆盖堆栈和线速 Cisco Catalyst 3750 系列可以提供千兆位以太网速度和智能化的服务，从而可以保持所有数据的平稳传输 即使在十倍于正常网络速度时。 业界领先的标记、分类和调度机制可以为数据、语音和视频流量提供业界最佳的性能 全部都以线速提供。 安全性 对接入 环境的精确控制 Cisco Catalyst 3750 系列支持一组针对连接性和接入控制、全面的安全功能，其中包括 ACL、身份认证、端口级安全和基于身份识别的的、支持 及其扩展的网络服务。 江西省地税网络建设方案建议书 19 单一 IP 管理 多台交换机共享一个 IP 地址 每个 Cisco Catalyst 3750 系列堆叠都作为一个统一的对象进行管理，拥有一个单一的 IP 地址。 单一 IP 管理可以支持故障检测、虚拟 LAN 创建和更改、安全和 QoS 控制等功能。 大型帧 为要求很高的应用提供支持 Cisco Catalyst 3750 系列可以在 10/100/1000 配置上支持大型帧，为那些需要使用很大数据帧的高级数据和视频应用提供支持。 支持 IPv6为将来做好准备 Catalyst 3750 可以通过基于硬件的 IPv6 路由，获得最大限度的性能。 随着网络设备的增长和对于更大的地址空间和更高的安全性的需求变得日益迫切， Catalyst 3750 将可以满足人们的需求。 管理选项 Cisco Catalyst 3750 系列可以提供一个用于精确配置、出色的命令行界面（ CLI）和用于根据预设模板进行快速配置的思科集群管理套件（ CMS）软件，这是一种基于 Web 的工具。 此外， CiscoWorks 也可以在整个网络范围内对 Cisco Catalyst 3750 系列进行管理。 图 2 Cisco Catalyst 3750 系列 江西省地税网络建设方案建议书 20 区县局节点路由器和交换机 ： 区县局节点路由器采用 Cisco 2611XM 路由器， 2611XM 路由器配置 2 个 10/100M 以太网接口，同时 2611XM 路由器最多可配置 8 个 2M 接口，用于上联地市局以及下联征收所，若某些区县局下联的征收所超过 7 个，则可将区县局的节点路由器换成 3725 路由器，局域网交换机采用 295048 或 295024。 征收所节点路由器和交换机 ： 征收所节点路由器采用 Cisco 1760 路由器，1760路由器带有一个以太网接口，可配置 1到 2个 2M接口用于广域网的连接。 局域网交换机采用 Catalyst 2950。 江西省地税网络建设方案建议书 21 地税中心大楼局域网的设计 核 心 节 点 路 由 器C I S C O 7 6 0 9 地税中心大楼局域网的设计采用分层结构的思想， 以下简要描 述不同层次所执行的功能： 核心层一般是一个高速的交换主干网，能尽快地交换数据包。 一般不作数据包处理，例如访问控制和过滤，这些都可能降低数据包的交换速度。 功能  地址或区域集合  部门或工作组接入  广播和多目广播域定义  VLAN 交换 江西省地税网络建设方案建议书 22  任何可能的介质传输  安全  共享带宽  交换带宽  MAC 层过滤 根据 江西省地税局办公大楼 计算机网络系统需求 , 分层结构并不一定要有 十分 清楚的物理实体 ，有的交换机即可以工作在分布层，同时也可作为接入层的交换设备。 因此我们可以 根据投资规模等省略分 布层设备，整个网络由核心层和接入层构造， 用一个典型层次化的园区网网设计方案来说明我们的设计思路： 一、 核心层网络建设： 在网络核心层 在 内 网 和外 网 各 配 置 一台 中 心 交 换 机 Cisco Catalyst6509， Catalyst6509 是三层千兆交换机，通过 1000M 光纤端口连接各楼层的接人交换机，并且提供足够 10M/100M 以太网络接口提供路由器、服务器等设备的接入。 综合考虑整个网络的可靠性、性能及投资等多方面的因素，在网络建设的初期我们建议在 Catalyst 6509 核心交换机上配置冗余的电源模块、冗余的交换 引擎， 交换引擎采用最新的第 III 代引擎 SUP720,该引擎具有720G 的交换能力， 400Mpps 的包转发性能。 除了 公共模块外另配置一个 16端口千兆位以太网 GBIC 模块和一个 48 端口 10M/100M 以太网接口模块。 a. 服务器群的连接 ：本次方案我们出于安全性和扩展性的考虑建议采用 Catalyst3750 交换机连接服务器群，然后通过 GE 上联到汇聚到核心交换机 6509 上，本次配置 3750 交换机有 48 个10M/100M/1000M 以太网接口。 该接口可以实现 10M， 100M 和 江西省地税网络建设方案建议书 23 1000M 的自适应，不仅可以用于接入桌面的 PC 设备， 还可以实现高密度的 1000M 电口到桌面的连接，可以连接服务器，我们知道现有的服务器大都缺省配有 GE 电口的网卡，所以通过该模块的千兆电口完成服务器群的连接是一个性价比最好的解决方案。 b. 骨干路由器的连接 ： 通过 16 端口千兆 GBIC 模块完成，该模块可以实现无阻塞的千兆传输，同时可以完成长距离的 GE 连接。 c. 接入交换机的连接 ： 通过 16 端口千兆 GBIC 模块来完成。 核心 网络 安全设计 ： 1）内网和外网单独建设的考虑， 现在典型的税务内部的网络建设多内、外网分离的建设模式，即建两套网络，一个是内网专门用于内部税务征收业务信息 的应用和处理，一个外网用于 OA 和上网，这两套网络从物理上完全分类，内网的出口可以通过一个防火墙连接江西政务网，外网的出口可以通过一个防火墙连入Inter。 2）防火墙的考虑 出于安全的考虑，我们一般的设计会在网络的出口处部署一台防火墙设备，比如 Cisco 的 PIX 525 或 PIX535，这些 PIX 防火墙的设备性能一般再几百兆或 1Gbps 左右，因为网络的出口带宽一般会小于 155 兆，所以这样的防火墙设备其处理性能足以满足用户的需求。 但是随着越来越多的网络病毒的产生，现在的网络攻击往往会产生于网络的内部，这样 仅仅在网络的出口处部署防火墙设备是不够的，现在一种更可靠的设计模式是在服务器群和核心交换机之间部署防火墙设备，用于保证服务器设备的安全，如上图所示，而且这种方案已经越来越多地被我们政府企业网所接受。 但随之产生的是一个防火墙的性能问题，因为服务器一般都是通过千兆接口连入网络系统，那么一个服务器群整个所需的网络吞吐量在几个 G比特甚至更高的带宽，这样传统的千兆或千兆以下的防火墙设备是无法满足这种网络的设计要求的。 在这里，我们推荐一款最新的 Cisco 的防火墙设备，那就是 6509 上的 PIX 防火墙模块，该模块可以直接 插在 6509而无需单独配置专门的防火墙设备即可实现防火墙的功能，同时这个防火墙模块的性能非常高，其网络的吞吐能力是 ,是 PIX535 的 3到 4 倍，同时其所支持的最大连接数为 100 万，每秒可产生 10 万个新建的连接，同时该防火墙模块还可以支持动态路由协议比如 OSPF 等， 江西省地税网络建设方案建议书 24 所以我们认为用于连接服务器和核心交换机之间所需的防火墙设备，6509 的防火墙模块是最佳的选择。 我们建议在内网的核心交换机 6509上配置一块防火墙模块用于保证核心服务器的安全。 Catalyst 6509 交换机上的防火墙模块 图 1 Catalyst 6509 交换机 的防火墙服务模块（ FWSM）是一种高速的、集成化的服务模块，可以提供业界最快防火墙数据传输速率： 5Gb的吞吐量， 10000 CPS，以及 1M 并发连接数。 在一个设备中最多可以安装 4块 FWSM，因而每个设备可以提供 20Gb的吞吐量。 作为 Cisco PIX防火墙系列的一部分， FWSM可以为大型企业和服务提供商提供无以伦比的安全性、可靠性和性能。 FWSM采用了 Cisco PIX 技术，并且运行 Cisco PIX操作系统，一种实时的、牢固的嵌入式系统，可以消除安全漏洞，防止各种可能导致性能降低的损耗。 这个系统的核心是一种基于自适应安全算法（ ASA）的保护机制，它可以提供面向连接的全状态的防火墙功能。 利用 ASA， FWSM 可以根据源地址和目的地址，随机的 TCP 序列号，端口号，以及其它 TCP 标志，为一个会话流创建一个连接表条目。 FWSM 可以通过对这些连接 表条目实施安全策略，控制所有输入和输出的流量。 FWSM 的主要优点 防火墙的传统角色已经发生了变化，今天的防火墙不仅可以保护企业网络不受未经授权的外部接入的攻击，还可以防止未经授权的用户接入企业网络的子网、工作组和 LAN。 FBI 的统计数据显示， 70%的安全问题都来自于企业内部。 大部分专家都认为，大多数网络入侵活动都没有被检测出来。 集成模块 FWSM 安装在 Catalyst 6509 交换机 内部，让这些设备的任何端口都可以充当防火墙端口，并且在网络基础设施中集成了状态防火墙安全特性。 对于那些机架空间非常有限的 系统来说，这种功能非常重要。 Catalyst 6509 真正成。