1.2 技术方案设计

1.2.1 网络结构设计

1.广域网设计

（1）省局到地市局广域网设计

省局到地市局之间的广域网规划设计如下。

省局新增2台路由器下连地市局的1台新增路由器和1台交换机，实现双设备双线路从地市局到省局。线路类型为联通MSTP线路20M（原有）和电信SDH线路捆绑10个E1 （新增），示意图如图1-2所示。

（2）地市局到区县局广域网设计

地市局到区县局之间的广域网链路采用两条线路连接各区县局，线路类型为1条SDH线路（新增）、一条MSTP（4M，原有）线路，示意图如图1-3所示。

（3）区县局到分局广域网设计

分局现有网络结构基本不变，即分局交换机采用MSTP线路连接到县局广域网核心交换机或者地市广域网核心交换机。

2.局域网设计

局域网设计包括省局局域网设计、地市局局域网设计、县局局域网设计、分局局域网设计，其网络拓扑结构略。

3.网络改造完成后整体拓扑图

网络改造完成后整体拓扑图如图1-4所示。

1.2.2 网络路由规划

1.整体路由规划

根据省网架构的设计，省-地市-县-所四级结构的路由总体设计如图1-5所示。

骨干接入路由器与省核心路由器之间建立EBGP邻居关系，相互交换视频/语音业务、税务业务、办公业务及其他业务路由，EBGP路由边界在骨干接入路由器、省核心路由器上。

在省-地市-县之间运行OSPF动态路由，省至市在骨干区域0中，区域0延伸至地市路由器和交换机上行广域网口。每个地市分配一个OSPF区域，每个区域从地市延伸到县局路由器、交换机的广域网口。县局路由器、交换机到分局交换机采用静态路由，并重分布至OSPF区域里。

分局采用默认路由指向上连路由器或交换机，即保持现有方式不变。

2.动态路由协议OSPF规划

整个省网的广域网、局域网在同一个OSPF进程中。省核心路由器与相应的地（市）路由器之间的广域网接口和互连接口划分在骨干区域Area 0中，省和地市的路由器作为ABR，地（市）与所属的区（县）路由器划分在非骨干区域的Area N中。这样划分区域的好处在于：把ABR分散到地市核心路由器上，避免省核心路由器上区域和子接口过多，分担省核心路由器压力，提高稳定性。

两台地市核心路由器互联采用2个接口，一个划分到Area 0中，一个划分到Area N中。这样的好处在于避免线路故障情况下，形成区域孤岛引起选路绕行。

所有互联的广域网接口以及互联的局域网接口，设置OSPF network类型为点到点（Point-to-Point），避免DR/BDR选举过程，加快邻居Full速度。

在局域网的三层边缘设备上对连接业务网段的接口设置为Passive模式，避免建立过多OSPF邻居，影响选路。

所有路由器和三层交换机上创建一个Loopback接口，并用Loopback的地址作为OSPF的Router ID。

1.2.3 数据流向设计

首先，需对各广域网以及各级路由器横向链路的开销（Cost）进行合理的设置，设置原则如下。

（1）广域网线路各级主备线路Cost设置成相同的数据，两边需要对称，目的是数据在上、下行时保证在广域网上直上直下，不至于在设备横向线路上绕行。

（2）各级路由器之间横向链路Cost从下到上一级比一级高，这样设置的目的是对于需要在不同链路上传输的数据尽可能在最下端就分开，实现分流目的。

经过上述规范设置之后，对于省网访问地市、区县、分局（所）的数据分流，通过在省核心两台路由器上设置策略路由来实现，源IP为征税业务的数据从省局数据处理中心省核心路由器向下转发，源IP为行政办公视频业务的数据从市局的数据处理中心省核心路由器向下转发，实现两类业务数据下行分流。

对于地市、区县、所访问省网服务器的上行数据分流，因为到不同的中心有不同的线路，只要OSPF设置好，就能实现分流和备份的要求。具体数据流向如图1-6所示。

1.2.4 可靠性设计

网络的可靠性是一个从端到端的全程概念，单纯提高某一层面的可靠性并不能对网络整体的可靠性有很大改善。

网络的可靠性最终要从设备、网络、协议、应用等各层次保证。

1.设备级可靠性设计

金税网络的设备级可靠性主要从设备自身可靠性，设备间热备份两个方面考虑。省级以下网络中的关键设备，如各地市核心交换机，地市级核心路由器等。所有关键器件，如主控板、电源、交换网板等都采用冗余设计；业务模块支持热插拔，更换板卡等操作更加平滑；网络核心设备为双设备并互为备份，当主设备故障后，备份设备可以快速接替工作。

2.网络级可靠性设计

双星型的网络拓扑，金税三期工程网络实际上采用的是双星型拓扑，以两个总局数据中心为核心，两个中心互为备份。线路冗余备份，在网络的关键处采用链路冗余备份设计，如省、地市、区县广域网和局域网核心。适当采用线路捆绑技术。对可靠性要求较高的链路，可以采用线路捆绑技术。

3.协议级可靠性设计

合理规划路由协议和策略，充分考虑路由收敛的性能。金税三期工程省级以下网络建议采用OSPF路由协议，在AS内部可以进行路由汇总，这样外部路由振荡将不会传导到网络内部。各区域间也可以考虑使用路由汇总，其他区域的路由振荡不会影响区域内部。充分利用多条链路带宽的同时，做到路由多路径备份。当主链路的路由失效后，备份路由接替主路由工作。在局域网边缘的三层交换机启动VRRP技术，实现双机热备份：在局域网三层交换机上启动VRRP技术，从而实现双机热备份。它保证当主机的下一跳设备故障时可以及时地由另一设备来代替，从而保持通信的连续性和可靠性。

1.2.5 网络安全设计

1.设备安全

（1）网络设备只开放必要的网络服务：网络设备可以提供很多网络服务，有些服务可能成为网络攻击的对象。为了提供网络设备的安全级别，尽可能关闭不必要的服务，降低网络攻击的风险。

（2）用户认证：在VTY和Console接口上启用用户认证，认证方式为本地认证。

（3）Telnet接入安全：Telnet是对网络设备进行管理的主要手段，可以对设备进行最为有效的操作，为了确保Telnet访问的合法性和安全性。

（4）路由协议安全：在OSPF广域网接口上启用基于接口的MD5验证，保证OSPF邻居关系的合法建立。鉴于目前网络中大量的旧设备可能不支持此特性，此MD5验证建议暂时不开启。

2.业务安全

为了提高局域网内部的安全性，需要在局域网内部的关键业务区部署专业的安全设备，如防火墙和IDS，对网络流量进行实时监控和控制，及时发现网络攻击行为，然后采取适当的应对措施。

国税同级结点之间不允许互访，因此需要对通过路由和ACL控制同级结点的访问控制。

在各结点局域网三层边缘配置访问控制列表，通过五元组信息限制只能访问上级局，不允许同级访问。

（1）为防止地市之间的互访，在两台地市核心路由器上启用ACL，控制只能访问总局、省局、本地市内的网段；应用在路由器端口入方向。

（2）为防止区县（分局）之间的互访，在区县接入路由器上启用ACL，控制只能访问总局、省局、地市局、本县内的网段，应用在路由器端口入方向，如图1-7所示。