1、目 录第I章前言4第II章系统需求分析62.1 网络需求分析62.2 应用系统需求分析72.2.1 工作模式分析72.2.2 数据流量分析92.3 解决方案分析10第III章广域网系统总体设计133.1 广域网系统的设计原则和目标133.1.1 系统要安全可靠133.1.2 系统的高性能133.1.3 通信系统的扩充性133.1.4 系统的开放性和标准化143.1.5 具有较好的性能价格比143.1.6 易于网络管理143.2 系统的弹性设计143.2.1 弹性设计的内容143.2.2 WAN的弹性设计153.2.3 通信设备的弹性设计153.2.4 LAN的弹性设计163.3 系统安全性设计
2、163.3.1 防火墙技术173.3.2 加密技术173.3.3 本地网的安全措施183.4 IP地址规划和域名服务183.4.1 设计原则183.4.2 IP网络地址分配193.4.3 域名管理193.5 系统的性能设计193.6 广域网系统总体方案20第IV章广域网系统方案214.1 系统整体结构214.2 市局通信系统214.3 二级机构的通信系统224.4 网络管理系统224.4.1 网管系统概述224.4.2 基于SUN工作站的网络管理系统234.4.3 基于PC机的网络管理系统254.4.4 网管系统选型26第V章产品选型分析285.1 路由器产品总体选型285.2 市局路由器产品
3、选型295.3 分局路由器产品选型305.4 备份线路通信终端设备选型32第VI章系统实施336.1 项目的组织336.2 项目的实施34第VII章服务与支持35第VIII章设备清单及工程预算398.1 主要设备清单及报价398.2 几点说明40附件一 局域网设计421.1 技术概要421.1.1 解决方案选择431.1.2 关于ATM网络模型431.1.3 ATM的优势441.1.4 ATM的问题441.1.5 千兆以太网网络模型441.1.6 千兆以太网的优势451.1.7 千兆以太网的问题451.2 网络部署方法461.2.1 配置途径471.2.2 方案设计48第I章 前言前言近年来,
4、计算机、信息和通讯技术以惊人速度不断发展,为建立信息管理系统提供了坚实的基础。Internet/Intranet在全球的日益普及,使信息更方便地进入每个人的工作中。 新会市国家税务局是担负着全市范围内的纳税户管理和税款征收任务。拟定中的计算机网络系统将连接包括市局、分局的二级网络架构。因此计算机系统将结合局域网技术和网络互连的广域网技术。拟建成的系统除实现全市各部门的信息资源共享,便于及时掌握各方面的动态,使管理工作更加高效化、规范化、科学化外,还将是联系省局、市政府、地税、工商、银行、海关等部门的桥梁。 广州市公司是一家以从事软件系统开发和网络系统集成为主要经营方向的高新技术企业,在软件的开
5、发和系统集成方面拥有丰富的经验。如山西省电力厅网络工程、海南大学校园网、广州赛马会网络工程(含各地市远程投注)、广东证券广域网工程等都是本公司负责建设。在广东省国税方面,参与了省统一征管软件的开发,承担了集中式统一征管软件的改造工作,完成了广州市国税局网络工程(全市四级网络)、清远市国税局网络工程(全市四级网络)、东莞市国税局网络工程(全市三级网络)、三水市国税局网络工程(全市二级网络)。在本方案建议书中,xx公司依据对国税应用系统的了解,通过对各应用系统(征管系统、行政办公及办公自动化系统、交叉稽核、重点税源管理、领导辅助决策及为纳税户服务系统等)的工作模式及数据流量的分析,结合对其他国税系
6、统网络工程的经验,建议了一套先进的计算机与网络系统方案,充分利用了计算机科学与网络技术的最新发展成果,考虑了系统的实用性,可管理性以及灵活扩展能力,并对方案的具体实施提出了参考建议。系统将在数据传输、设备选型、系统容错、性能价格等方面达到平衡。在可靠性、先进性、安全性和简单且易维护方面得到保障。xx公司相信,通过与新会市国税局的密切合作,一定能够建设一个高标准的国税税务电脑网络系统,为将来长期的友好合作关系打下良好的基础。第II章 系统需求分析2.1 网络需求分析新会市国税局计算机网络系统将连接包括市局、分局的二级网络架构。该系统将结合局域网技术和网络互连的广域网技术,实现全市国税范围内各部门
7、的信息资源共享,便于及时掌握各方面的动态,使管理工作更加高效化、规范化、科学化外,还将是联系省局、市政府、企业、地税、工商、银行、海关等部门的桥梁。对外可接入Internet网。网络技术发展到今天,出现了:一、 以双绞线为传输介质结合集线器构成的星型以太网结构取代单一的以铜舳电缆为传输介质的总线型网络;二、 交换技术引入计算机网络,出现了以交换取代共享的局面;三、 多种高速传输技术的产生,包括:FastEthernet,GigaEthernet,ATM等网络传输技术;四、 从计算机局域网到广域网的一体化解决方案的不断发展。以上四点反映了网络技术的发展趋势。在早期总线型结构以太网实践中,出现的可
8、靠性差,维护困难等问题,导致10BASE-T结构网络的产生,并形成结构化布线的基础,但随着网络规模和网络信息量的增大,虽然通过增加网段的方式可增加和工作站间的通信频宽,减少每个网段的工作站数,提高服务器和工作站通信速度,但由于服务器必须对网段进行管理处理服务器由各网段的包接收发送请求,协调网段间的工作,因此随着网段数的增加,服务器的负荷越来越重,直接影响到服务器的处理能力,引发网络整体速度慢,导致网络阻塞,特别是网络主干上的阻塞,在这种情况下只有新的更高速的网络技术才能彻底解决网络阻塞问题,交换式以太网技术就是在此基础上,以多频道技术,配给高速总线动态交换数据,从而获得最大的有效频宽,提高网络
9、的数据传输速度;交换技术发展到现在,交换不仅是交换式以太网,也可发生在多种网络技术之间,如:Ethernet,FastEthernet,FDDI和ATM;随着Switch、Fast Ethernet、ATM技术的产生,丰富了高速网络技术。新会市国税广域网络系统既有一般广域网的特点,同时又具有明显的特殊性:1 网络的规模较大 新会市国税广域网系统的网络接点数包括全市23个分局,数据量包含全市所有纳税户的数据信息。因此,设备的选型应充分考虑税务应用系统的特点及今后的发展趋势。我公司在这方面有一定的经验。2. 机构正在调整 当前,税务机关正在进行机构改革、机构分设,如征收点的合并及撤消等,设备的选型
10、应考虑到这些特点。3. 已有一定数量的应用系统正在运行 市国税局正推广使用全国统一征管软件,办公自动化系统,要充分分析其数据分布及网上的数据流量。新会市国税广域网络系统的建设,应该是围绕着应用展开的网络建设。网络的一切建设思想应该首先考虑应用。该系统的建设,主要是围绕建设税务信息管理系统,兼而考虑Internet/Intranet、办公自动化等最新应用技术与管理模式。该网络系统工程的建设,应围绕应用类型、应用规模、数据流量来考虑设备选型。下面对税局应用系统需求进行简单分析。2.2 应用系统需求分析2.2.1 工作模式分析 新会市国税局网络承担的各项应用系统可归类为:数据库管理系统、综合办公事务
11、处理系统、为纳税户服务及领导辅助决策系统。该三类系统的应用工作模式及流程的情况如下:数据库管理系统一个分布式的数据库管理系统可以把同一网上不管是局域网或广域网上的多个数据库看成一个逻辑整体,实现分布式查询、分布式更新、分布式的事务管理,用户可以透明地操作不同地点的不同数据库系统所管理的数据,这要求:网络透明性使用一种网络通信协议的工作站,透明地与使用另一种网络通信协议的服务器通信。位置的透明性保持一个全局的数据字典,将各数据元素与分布式实体,用户可以象访问单个数据库那样访问分布式数据,而不考虑如何存储及存储在哪里。SQL透明性用户使用一种SQL语言解决异构数据的定义、查询、修改,而不必知道不同
12、RDBMS所使用的SQL语言的差别。厂商的透明性用户面向一个逻辑数据库进行操作,透明地访问存储在多种DBMS中的数据,不必关心每一数据库的特殊工作方式。综合办公事务处理系统综合办公事务处理系统面向税局办公自动化、网络化和员工协同工作,目的是使企业内部信息交流和办公水平更加高效化、规范化、科学化。综合办公事务处理系统应包括非结构化多媒体文档信息的管理和共享、工作流、电子邮件、电子会议和计划图表等功能,在此基础上实现个人办公管理、领导办公管理、公文管理、政务信息管理、签报、报告管理、会议管理、值班管理、日程安排、大事管理、公共信息服务等系统功能。OA系统包括系统层和数据层二大部分。数据层是系统信息
13、、文件等的存放场所;系统层包括公文管理、信息交换、个人事务等三大模块。公文管理模块实现进口文件报告的登记、分发、催办、归档、查询以及出口文件报告的起文、审批、分发、归档、查询等功能,其核心是工作流引擎(Workflow Engine)。信息交换模块包括电子邮件交换、新闻系统和电子公告系统,其核心是电子邮件系统;个人事务模块,包括个人桌面文字处理、电子表格、日程管理等辅助办公工具。为纳税户服务及决策支持系统综合办公事务处理和专业管理信息系统只是INTRANET的初级和中级应用阶段,为使INTRANET对管理工作作出实质性的贡献,并取得更大的经济效益,应包含更高级的为纳税户服务及为领导决策支持服务
14、系统的应用。SDSS(服务决策支持系统)在半结构化和非结构化决策活动过程中,通过人机对话,向纳税户和决策者提供信息,并为决策者提供一个分析问题、构选模型和模拟决策过程及其效果的决策环境,协助决策者发现和分析问题,探索解决方案,评价、预测和选择方案,提高决策人员的决策技能和决策质量。由于SDSS需要处理的数据类型复杂、格式化程度底,并且包含大量的历史数据和企业外部数据,建议采用数据仓库技术存储和管理数据;又由于SDSS对信息加工的要求比较复杂,并且具有很大的随机性,建议采用专业统计分析软件包和OLAP(联机分析处理)技术来解决。2.2.2 数据流量分析由于各项应用系统中数据流量最大为统一征管软件
15、系统,该系统已经建立,采用Client/Server方式,原主服务器位于中心分局或区局,多个应用系统的数据库建立在运行于中心服务器的Sybase关系数据库之上。在Client/Server的运行模式下,客户端的程序只负责将用户的操作转换为对服务器端应用程序的调用,并将应用程序执行的结果或页面文件的形式返回给用户。这就意味这对中心服务器大量的访问,从而对中心服务器的处理能力和广域网带宽造成压力。而办公自动化系统有一定的局部性,在各个分部之间及上下级之间主要是电子邮件的和少量文件的传输,由于该两种传输具有随机性,一般不会对网络带宽造成持续的影响,因此在带宽估算上不把二者作为主要因素,而是在估算后带
16、宽上增加一些冗余作为解决方法。因此在广域网带宽设计上需注意满足以下容易形成网络通信瓶颈的方面:u 征收点访问区局时区局中心的广域网带宽形成瓶颈。u 中心分局访问区局时区局中心的广域网带宽形成瓶颈。u 中心分局的广域网出口带宽形成瓶颈。通常,由于本系统是一个新建立的网络,市国税原先没有建立互连的税局内部网络,在得不到日常工作中的网络流量数据的情况下,不能运用排队论进行计算求得广域网带宽需求,只能根据经验结合纳税户数及接点数进行大致的估算。为了对市局和各个区(县)局的广域网带宽进行估算,首先需确定对每台客户机(PC)在Client/Server的模式下对带宽需求的最小值。同时还要考虑到在同一个局域
17、网内部,所有的对区局本部的访问都需通过唯一一个广域网端口。以太网CSMA/CD的对通信信道争抢方式,使网络的利用率约为30%,由于各地局域网都使用交换技术,因此利用率可达50%以上。由于Frame Relay的带宽常用的有19.2K,64K,128K,256K,1M,2M等,考虑到整个市国税的应用是个逐步的过程,而线路的租费是逐步下调的趋势,建议DTU设备采购较高速率,分局、区(县)局采用64K/128K Frame Relay(待应用基本上运用后可进行排队论计算),市局采用1个2M Frame Relay。2.3 解决方案分析 通过以上分析,新会市国税局网络采用何种网络体系结构,首先必须了解
18、当今计算机体系结构模式的分类及其特点:计算机体系结构主要有四种模式:分时(time-sharing)方式、资源共享(resourse-sharing)方式、客户/服务器(client-server)、WWW方式。分时系统(time-sharing)分时系统通常由两大部分组成:系统主机与用户终端。整个系统的所有处理均在主机上运行,分时使用主机资源。资源共享方式资源共享方式的系统也由两大部分组成:系统主机与用户端工作站。系统主机在这里充当资源服务器(如文件、打印服务等)的角色,一般只提供资源共享服务,不作数据处理。用户端工作站通常是微机,用户输入、屏幕输出、数据处理等工作全部在工作站上完成。其常见
19、的例子是一个计算机局域网系统,常见的NETWARE NOVELL即是典型例子。客户/服务器客户/服务器技术是融合了分时系统与资源共享方式的优点的基础上发展起来的。它有效地解决了前两种方式存在的问题。它将一个系统分成两大部分,并在两部分内协调工作,达到最佳效果。前端处理所有的屏幕和用户的输入/输出;后端系统提供数据处理、信息共享、高级管理及安全服务。税务信息系统的核心系统统一征管软件系统采用的就是该种模式,对新会国税统一征管软件系统而言,其数据库的分布显得很关键:大多数的分布式网络系统应用都会面临一个艰难的选择:采用集中式的数据处理还是采用分布式的数据处理。以下是数据集中处理与数据分布处理在性能
20、、安全性、应用开发难度、投资、可管理性、和易维护性等方面的比较。集中式数据处理集中式数据处理的优点: 技术非常成熟,避免了分布式处理所带来的诸多技术难题; 应用软件的开发工作相对简单; 数据库系统容易维护,管理简单; 系统初期投资、实现成本和运行成本低:初期投资包含对数据库系统软件的投资、主机服务器投资和各数据中心间的高速通讯线路。实现成本包含软件开发成本和为分布式数据管理配备管理机构。运行成本包含通讯费用,运行维护费用和管理人员费用等; 适合于集中管理的企业组织和业务模式。 集中式数据处理的缺点: 系统中各节点依赖广网络,当广域网发生故障时,节点无法工作; 系统依赖于数据中心,当数据中心发生
21、故障时,整个系统瘫痪; 物理数据远离用户,远程节点的响应时间较长。 分布式数据处理 分布式数据处理的优点: 较之集中式数据处理技术先进、高效、灵活、易扩充、全局安全性高; 适合于分散形式的企业组织和业务模式; 系统中的各节点对广域网的依赖较小,当某数据中心出现故障时,除部分全局业务功能受影响外,其他业务受影响程度教小; 物理数据接近用户,响应时间较短; 适合于分布或合作关系的企业组织模式。分布式数据处理的缺点: 技术尚未完全成熟,分布式算法的实现效率较低,如分布式更新、复制、备份、分布式快照、全局一致性保障等; 应用软件的开发难度和工作量较大,尤其在故障恢复时和保障全局一致性时,设计和实现难度
22、较大,系统实现存在难以预见的风险因素; 数据库系统维护要求人员多,对人员素质要求高,系统管理和维护复杂; 系统初期投资、实现成本和运行成本较高;数据库在市局一级会使数据库系统的管理维护工作得到保证,节约区(县)一级的计算机系统投资与维护工作。比起分布式方案会依赖于网络通讯条件。对广域网的要求要高。WWW(Brower/Server)方式Brower/Server方式实质也是基于Client/Server计算体系结构,是多层次Client/Server结构,它是随着Internet/Intranet技术发展而来;从抽象的角度上看,Web已经发展成为一种新的计算平台;基于Web的应用程序通过Web
23、服务器可提供各种服务,从简单的信息查询到复杂的事物处理;统一、标准的前端交互工具,表现为Web页面的、简单易用的用户界面,易于实现的通讯协议,成熟的广域网访问技术,数字签名提供的可靠的安全性保证,使得Web成为为纳税户服务、税局办公自动化及辅助决策系统的最佳模式。第III章 广域网系统总体设计3.1 广域网系统的设计原则和目标根据新会市国家税务局的要求,要达到系统的目标,高水平高起点建设好新会国税广域网,必须在以下几个方面出发来设计方案。3.1.1 系统要安全可靠在实时性较强的应用系统中,安全可靠性是系统是否实用的关键。在我们设计的系统中,主要就中心路由器的可靠性和线路的容错来实现。中心路由器
24、采用Cisco公司的高性能路由器4500,在下一级与上一级机构通信时,建立FrameRelay线路相应的拨号电话或ISDN备份线路,通信线路故障时系统会自动启动备份线路建立连接并维持通信,保证系统运行不受影响。同时,网络路由器的既连通、又控制的功能也为系统安全性提供了有力的保证。3.1.2 系统的高性能系统必须具备很强的系统性能,满足联机事务处理的要求,能够支持分布式的Client/Server模式的数据库管理系统。3.1.3 通信系统的扩充性通信设备(路由器)的端口能够支持包括拨号电话线、电话专线、数据专线、X.25、DDN网、FrameRelay等各种不同的通信线路,因此系统的可扩充性要很
25、好。当条件许可,可以启用更好的通信线路时,所有的通信设备的硬件不用作任何更改或增加,只要重新设定软件配置,就可以在更好的线路上提供更高的速率和更多的通信服务。当各机构不断增加而使得通信量加大时,系统中所采用的通信设备将不会成为系统的瓶颈。Cisco的路由设备满足对线路类型的适应性。而且中心路由器4500有3个可用的扩展槽,每个扩展槽都可任意选配,能够满足系统以后的扩展需求。3.1.4 系统的开放性和标准化网络通信协议和接口要遵循国际标准,支持多种机型,多操作系统的网络互联。根据要求系统至少提供IPX、TCP/IP和SNA三种协议支持,基本满足NOVELL NetWare、UNIX和AS/400
26、等平台的网络互联。3.1.5 具有较好的性能价格比系统根据不同的线路条件和网络环境选用不同设备,力求最符合新会国税局的应用环境,并且有较好的性能价格比。3.1.6 易于网络管理一个大型的网络系统而言,一个有效网络管理系统对系统运行的监控、系统性能分析和故障诊断都是相当重要的。因此系统必须配备合适的网管系统。3.2 系统的弹性设计对于一个网络系统来说,弹性就是对应用程序和数据的有效支持。可以说有弹性的网络系统就是当有人或某事试图破坏它时,还能连续支持用户的应用程序,即系统的可靠性。在实际应用中,提高网络的弹性能力的可行方法是消除故障孤点,特别是单点故障。3.2.1 弹性设计的内容弹性设计包含三方
27、面的内容:l 物理可靠:指系统对关键硬件设备(如CPU、存储介质等)损坏、不可遇见性灾难(如地震、飓风、陨石、强磁场等)、对硬件、数据库及服务资源等的人为破坏的耐受能力。l 逻辑可靠:包含操作系统可靠,数据库管理系统可靠,应用程序可靠等。l 健壮性:指系统在故障情况下的恢复容易程度。对关键硬件设备的损坏,我们将采取一定程度的容错措施。根据经验,系统最可能出现的故障原因依次为:电源故障;雷击;线路连接;火灾失效。我们在此方案中,考虑系统的弹性包括:WAN的弹性设计,通信设备的弹性设计。3.2.2 WAN的弹性设计网间网即WAN的弹性包括冗余的WAN线路及其所带来的额外开销。一种主要的方法是连接备
28、份线路,可以避免重复路由保持和再计算。在此方案中,路由器通过FrameRelay连接主干的通信线路。当主干线路出现故障时,路由器可以自动通过PSTN或ISDN拨入中心路由。在此方案中,WAN的弹性设计包括:线路的备份,中心路由器的备份。系统中以上两个部件出现故障时,系统能够自动地在约5秒中内切换到备份部件上,而无需人工干预。3.2.3 通信设备的弹性设计随着租用线路服务可靠性的增强及其使用ISDN/PSTN作为后备策略的成熟,系统的可靠性已经很大程度上转移到通信设备连接的弹性上。通信设备的损坏的一个很好的解决方案就是使用双机热备份。3.2.4 LAN的弹性设计随着通信线路和通信设备的可靠性提高
29、,系统的可靠性已经很大程度上转移到LAN连接的弹性上。一个很好的解决方案就是使用双LAN服务。主机与两个LAN适配器相连,每个适配器连接到一个单独的HUB或交换机上,这样主机与主干交换设备之间的关键连接是弹性的。3.3 系统安全性设计系统的安全性主要是因为网络经过公共通信网(如帧中继,Internet)后所引起的对系统的蓄意破坏和对信息的窃取。如今Internet火爆全球,可令人头疼的问题也随之而来,那就是由于黑客在网上的活动极具危害性和破坏性,所以网络安全问题已成为网络管理员关心的大事,它也是决定Internet 命运的重要因素。然而从根本意义上讲,绝对安全的计算机系统是根本不存在的,绝对安
30、全的计算机网络也是不可能有的。只有存放在一个无人知晓的秘室里,而又不插电的计算机才可以称之为安全。只要使用,就或多或少存在着安全问题,只是程度不同而已。美国国防部制定的 可靠计算机标准评估准则 (Trusted Computing Standards Evaluation Criteria) 将计算机安全划分为从A到D四个级别,每个级别之内还可以再细分。A1级为最高,但除了放在一个无人知晓的地方且未插电的计算机可以算得上A1级,再没有计算机可以享此殊荣。标准的Unix(只具有login口令、 文件保护等几项安全措施)被定为C1级,DOS被定为D1级。目前还很少有操作系统能够符合B级标准。 我们
31、在探讨网络安全的时候,实际上是指一定程度的网络安全。而到底需要多大的安全性,却要完全依据实际需要及自身能力而定。网络安全性越高,就越意味着对网络使用的不便。因此,网络管理员在考虑网络安全时,必须两者兼顾。3.3.1 防火墙技术 一个使用很广泛的网络安全技术就是防火墙技术,即在Internet和内部网络之间设一个防火墙。 目前在全球连入Internet的计算机中约有1/3是处于防火墙保护之下。 那么什么是防火墙呢?顾名思义,防火墙是用来阻挡外部(Internet)火情影响内部网络的(Internal network)屏障。无论外部世界多么错综复杂,良莠不齐,经过防火墙的过滤,内部网络大可隔岸观火
32、,不受火灾危害。用专业语言来描述,防火墙的主要目的就是防止外部网络的未授权访问。如果决定某个网络设防火墙,那么首先需要由网络决策人员及网络专家共同决定本网络的安全策略,即确定什么类型的信息允许通过防火墙,什么类型的信息不允许通过防火墙。防火墙的职责就是根据本单位的安全策略,对外部网络与内部网络交流的数据进行检查,符合的予以放行,不符合的拒之门外。另外,还要确定防火墙类型,即防火墙拓扑。防火墙的技术实现通常是基于 包过滤 (Packet Filtering) 。而进行包过滤的标准通常就是根据安全策略制定的。在防火墙产品中,包过滤的标准一般是靠网络管理员在防火墙设备的访问控制清单 (Access
33、Control List)中设定的。需要说明的是网络的安全性通常是以网络服务的开放性、便利性和灵活性为代价的。对防火墙的设置也不例外,由于防火墙的隔断作用,一方面加强了内部网络的安全, 另一方面却使内部网络与外部网络(Internet )的信息交流受到阻碍,必须在防火墙上附加各种信息服务的代理软件来代理内部网络与外部的信息交流,这样不仅增大了网络管理开销,而且也减慢了信息传递速率。 因此,一般而言,只有对个体网络安全有特别要求,而又需要和Internet联网的企业网,才建议使用防火墙。 另外,防火墙只能阻截来自外部网络的侵扰,而对于内部网络的安全还需要通过对内部网络的有效控制和管理来实现。3.
34、3.2 加密技术网络安全的另一个非常重要的手段就是加密技术(cryptography)。它的思想核心就是既然网络本身并不安全可靠,那么所有重要信息全部通过加密处理。3.3.3 本地网的安全措施目前,在Unix/NT上发现的大多数问题,都归因于一些编程漏洞及管理不善,如果每个网络及系统管理员都能注意到以下几点,即可在现有条件下,将网络安全风险降至最低。l 口令管理 目前发现的漏洞,大多是由于口令管理不严,使黑客得以乘虚而入。因此口令的有效管理是非常基本的,也是非常重要的。 l 用户帐号管理 在为用户建立帐号时, 应注意保证每个用户的UID是唯一的,应避免使用公用帐号,对于过期的帐号要及时封闭,对
35、于长期不用的帐号要定期检查,必要时封闭。(因为这样的帐号通常是黑客袭击的目标,他们可以在上面大做手脚而很长时间不被发现)。l 拨号用户的安全策略通过电话线拨号访问网络,采用Radius或TACAS安全认证和授权标准来确保对系统资源的访问。通过回叫(Dial-back)功能可以确保拨入的位置和站点的安全许可。3.4 IP地址规划和域名服务3.4.1 设计原则 Internet网域名管理及网络地址的分配将遵循INTERNET的有关规则来设计。Intranet的每个网络和主机都有唯一的IP地址和与之对应的名字(即域名)。3.4.2 IP网络地址分配当用户申请的IP 地址超过一定数量时,建议由用户直接
36、向亚太Intranet网络信息中心(APNIC)申请。用户申请IP地址应按要求填写申请表,说明自己的网络情况和IP地址的需求。 IP地址的分配原则是: 1用户本身不是网络时,可根据需要按单个IP地址分配。2 用户是以网络方式上网时,视业务需要分配一组IP地址。3 内部网地址最好使用Internet的保留地址,通过代理服务器/防火墙等设备将内部地址进行翻译,达到连接Internet的目的。3.4.3 域名管理 由于IP地址是用一长串数字来表示网络和主机,即使对管理人员及专业人员来说也是很难记忆,更何况对一般使用Intranet的用户。因此用和IP地址相对应的域名来表示网络和主机,能极大的方便记忆
37、和使用。 全国税务系统IP地址及域名编码规范正是根据以上原理编制,该规范按地域、分层次为全国税务系统(含国、地税)各级机构采用TCP/IP互连技术的计算机网络制定统一的编码范围和规则。新会市国税局广域网的IP地址及域名编码当然采用该规范。3.5 系统的性能设计在Intranet和Client/Server体系结构下,对系统性能的影响主要体现在网络通信的性能上。对网络系统主要是采用快速交换式以太网技术增加LAN的带宽。而对WAN而言,由于WAN的带宽限制,提高性能主要采用以下策略:l 限制广播区域:ARP,RARP,BOOTP和路由协议在路由器处终止;l 高效路由协议:主干WAN采用IP通信协议
38、,能够发挥寻径能力。在有限带宽的情况下,我们可以采用静态路由。如果需要动态路由,Cisco公司的OSPF和IGRP等都是高效的路由算法。如果需要实现自治系统边界功能,可以利用路由过滤器限制BGP4路由更新的大小。l 高速缓存。l 优先级特性:在TCP/IP协议中,对于交互式的通信类型设置高级的通信优先级,而对于批处理的通信类型,可设置低优先级。保证交互式的应用能够得到适当的带宽。l 使用高速的主干,将规划ATM或GigaEthernet来实现市局、区县局的主干局域网。3.6 广域网系统总体方案本方案致力于建立新会市国家税务局企业级网络系统,完成市局及下属各分局的全市范围联网,实现网络的资源共享
39、,加快数据和信息的流通,同时加强局内的内部管理和办公自动化应用,以高起点建设新会市国税内部的网络通信系统。新会市国家税务局的机构设置为典型的树型结构,共分为二级:市局为第一级,分局为第二级。与此相同,整个网络系统在结构也相应地分为两个层次。在本方案中,新会市国家税务局市局是整个网络系统的数据处理和网络管理中心,将配置有UNIX和NT主机,网络协议为TCP/IP,通过FrameRelay线路连接各地的二级机构。每个二级机构作为市局的分支节点,同时又作为所属地区的分部数据处理与网络管理中心,配置相应的NT主机,通过FrameRelay专线与市局互连。第IV章 广域网系统方案广域网通信系统是连接市局
40、及各分支机构电脑网络系统的关键,通信系统性能的好坏,将会直接影响到整个网络的运行,因此本方案在各方面都予以了仔细的考虑。4.1 系统整体结构按照新会市国家税务局的组织架构,分为市局和分局两个层次,通信系统的整体结构,也是基于这种树型结构,将整个通信系统划分为两个层次,按照每个层次的不同大小和规模分别进行考虑,同时从全局的角度出发,将各个层次紧密地融合在一起,从而形成一个完整的广域网通信系统。考虑到机构调整,“瘦基层,大集中”也会成为可能,设备的选型也应考虑到这一点。4.2 市局通信系统市局的通信系统负责完成市局总部与下属二级机构的通信,通信线路采用FrameRealy帧中继线路。总部选用一台模
41、块化的Cisco 4500路由器(或Cisco 3640路由器),通过选配的两个以太网模块分别连接总部局域网环境中的两个子网,一般为两个独立的交换机,每个交换机设定为一个子网,或者是一台交换机中的两个虚拟网VLAN,这样防止本地局域网出现故障(如电源失效,或交换机坏),远程网对服务器的访问不受影响,当然相应的服务器也应配备两个网卡,分别连接到两个不同的子网,(在局域网未实现多子网前,可只连接一个以太网接口)。通过选配的同步通信模块连接各个二级机构,由于帧中继可以实现一点对多点的通信,Cisco 4500/3640上只需一个信道化E1接口即可实现总部对所有二级机构的通信。总部通信系统的备份系统,
42、是在总部放置一台Cisco 2610模块化拨号访问服务器,既可通过MODEM连接PSTN电话交换网,位于各二级机构的Cisco 1720或Quidway 2501则通过MODEM连接到PSTN网上,以拨号备份的方式实现通信线路的容错。也可连接ISDN实现ISDN备份。在业务量未达到饱和的初期,可以将主路由器和备份路由器合一,在主路由器上加插备份线路的支持模块,即只实现线路备份,不做路由器设备备份。作为整个广域网通信系统的管理、监视、控制中心网管系统,也位于总部的网络中,有关网管部分请参考本方案中的相应部分。4.3 二级机构的通信系统二级机构通信系统完成二级机构与总部的通信。二级机构选配Cisc
43、o 1720 或Quidway 2501路由器,同步端口连接帧中继线路,通过异步端口加MODEM连接PSTN网,把PSTN网作为帧中继的备份线路。也可通过ISDN模块完成ISDN备份。市局与二级机构的连网结构见图3。4.4 网络管理系统4.4.1 网管系统概述通信系统的管理分为三部分:一是网络通信连接设备即 DTE设备的管理,本系统中包括所有 Cisco 路由器和 Cisco通信服务器;二是线路连接设备即 DCE设备的管理,其中包括由电信局提供的 DTU(Data Termination Units) 数字终端单元和带宽管理器等设备的管理;三是线路的管理。传统上是将第二、三部分由电信部门进行管
44、理,但这种情况下,每当通信线路或 DCE 设备故障时,甚至当无法判断是 DCE 还是 DTE 出现故障时,电脑管理人员完全处于被动状态。在网管中心内,不但可以做到及时发现故障并及时排除故障;更重要的是,通过对系统的监控与分析,及时发现和预见系统可能出现的问题,比如,通过观察分析各条线路上的带宽利用率,可以及时对带宽进行调整,避免因带宽利用率过高产生瓶颈,导致通信的中断。新会国税广域网全部完成后将使全市范围的一百多个分支机构全部联网,其整个网络系统将是十分庞大的,要使整个系统能高速正常地工作,必须建立一套功能齐备的网络管理系统。网络管理系统的主要管理任务有:保证网络系统能正常工作,减少网络故障对
45、系统的冲击。自动查询网络上的设备并构造现有网络的拓扑结构图,监视网络性能,检测网络或系统的早期故障,通过LAN和WAN性能的监视,减少网络瓶颈。管理、检测、修复或解决网络硬件或软件故障。保护重要信息,维护数据的完整性和一致性,监视和防止非法访问网络系统资源。新会国税广域网网络管理系统将直接管理新会市国税局内部的所有主机、工作站、路由器、集线器和其他网络连接设备。网络中心可通过网络管理系统看到整个网络结构(物理上的和逻辑上的)图,可以动态地发现、映象和监视网络资源,实时跟踪系统资源的变化;在故障检测方面,网络管理系统会自动地连续地检查设备的连接性,拓扑结构的改变也会反映出来,同时,还可以用如PI
46、NG这样的工具测试有问题的节点。网络管理系统由两部分组成:网络管理硬件平台和网络管理软件。网络管理硬件平台一般分为各类高档UNIX工作站和普通PC机两种,根据硬件平台的不同,相应的网络管理软件也有两种选择,基于各类UNIX工作站和基于普通PC机Windows的网管软件。4.4.2 基于SUN工作站的网络管理系统基于SUN工作站的网管系统由一台SUN工作站和相应的网管软件CiscoWorks组成。Cisco公司提供的CiscoWorks网管软件功能包括:自动安装管理器可自动将集中存贮的路由器配置文件下载到一台新的Cisco路由器上。当用AutoInstall设置一个新的路由器时,在远地的管理员仅仅只需物理地连接LAN/WAN 接口电缆,然后打开路由器电源,其余所有事情将由网络运行中心直接控制,中心管理员采用AutoInstall Manager后,只需输入新路由器的名字及口令,然后CiscoWorks将发送一个完整的配文件给远地新的路由器,免去了派技术人员到每个地点进行安装的金钱与时间上的花费。CiscoConnect提供跟踪、配置、网络拓朴结构等信息,加快对网络故障的分析。同时可以通过CIO(Cisco Information Online)获得与本网络有关的有关性能及一些错误纠正。CiscoView提供有关Cisco产品的动态状态、统
浙ICP备2021020529号-1 | 浙B2-20240490 
