省财政信息网网络扩容及改造项目整体实施方案Word文件下载.doc

省财政信息网网络扩容及改造项目整体实施方案Word文件下载.doc

《省财政信息网网络扩容及改造项目整体实施方案Word文件下载.doc》由会员分享，可在线阅读，更多相关《省财政信息网网络扩容及改造项目整体实施方案Word文件下载.doc（76页珍藏版）》请在冰点文库上搜索。

3.7结算类VPN访问实现 18

3.8上联集团公司线路访问实现 19

3.9NAT实现财务类IP访问集团公司金融业务平台 21

3.10割接前网络测试 22

3.11试点市州网点割接 22

3.11.1市州汇接中心网络结构核心区域 22

3.11.2市州广域网拓扑结构 23

3.11.3试点县局/网点割接 24

3.11.4线路备份走向 25

3.11.5市州主备路由器及主备交换机配置 26

第四章　网络切换方案 28

4.1网络改造人员以及分工安排 28

4.2割接整体思路 28

4.3省中心局域网割接 28

4.3.1网络现状 28

4.3.2过渡连接描述 29

4.3.3割接过渡方案 30

4.4市州中心局域网割接 30

4.4.1网络现状 30

4.4.2过渡连接描述 30

4.5网点割接 31

4.5.1网络现状 31

4.5.2过渡连接描述 31

第五章　应急预案 33

5.1改造过程的相关工作 33

5.1.1检查现有网络情况 33

5.1.2备份现有网络中设备的参数配置 33

5.1.3检查线缆标签 33

5.1.4省、市州中心局域网改造完成后的验证和不成功回退 33

5.1.5网点割接后的验证和不成功回退 33

5.2应急反应小组组成及分工 33

5.3应急处理预案 34

5.3.1实施过程中紧急情况的应急预案 34

5.3.2割接过程中的紧急情况的应急预案 34

5.3.3使用过程中的紧急情况的应急预案 34

附录一各市州IP地址分配表 35

附录二工程实施进度表 36

附录三QUIDWAYLSVPN在华为设备上的实现 41

3.3.4 骨干网络的配置步骤 41

3.3.5 R2-PE1设备完整配置 43

3.3.6 R3-P设备完整配置 48

3.3.7 R4-PE2设备完整配置 52

3.3.8 R1-CE-RED-1设备备完整配置 56

3.3.9 R5-CE-RED-2设备备完整配置 59

3.3.10 R6-CE-Green-1设备备完整配置 62

3.3.11 R5-CE-Green-2设备备完整配置 65

附录四QUIDWAYLSVPN在迈普设备上的实现 68

3.3.12 关键配置如下（AR4680）:

68

3.3.13 设备在QUIDWAYLS网络中完整配置案例如下:

71

第一章　概述

1.1文档目的

本文档是xx省财政信息网网络扩容改造工程项目实施方案文档，旨在构建一个更加标准、稳固、可靠、安全的企业网接入网络架构，以支持xx财政目前和今后的业务需求。

本实施方案在实施过程中也将逐步调整和完善，以进一步适应财政业务发展的需要。

1.2适用范围

本文档的适用范围是xx省财政信息网网络扩容改造一期工程的实施。

1.3设计思路概述

按照中国财政集团公司下发的《关于财政信息网省内网建设工作的指导意见》（中国财政［2007］520号）（以下简称《指导意见》）要求，以及xx省财政信息网安全规范要求，省公司计划对我省财政信息网网络进行扩容改造，同时考虑网络安全系统及增值业务建设，内容包括：

省信息中心改造、市州汇接中心改造及城市网改造。

根据xx省财政信息网的业务需求，总体设计思路将整网采用QUIDWAYLSVPN技术进行业务隔离，划分为金融类VPN、财务类VPN、结算类VPN、综合类VPN（含视频会议、IP语音和OA、人力、财务、量收等）及借用线路第三方VPN。

改造后我省财政信息网将成为高速（高带宽）、稳定（设备及链路备份）、安全（使用VPN等安全技术）、可靠（使用802.1x认证技术），集数据、视频、语音为一体的综合信息网，可满足今后三年左右的业务发展需求。

1.4项目组联系人

单位名称

姓名

电话

电子财件

第二章　网络基本构架

2.1项目背景

我省财政信息网经过2004和2006年两次扩容改造后，省、市县及网点各级汇接的覆盖范围、网络带宽和传输能力得到了极大的提升，现已形成覆盖全省所有市州、支撑绝大部分财政业务的信息网络，并为提升我省财政服务水平、促进业务发展提供了有力保障。

从2005年开始，随着财政业务持续发展和财政信息化应用的不断深入，集团公司逐步开始进行综合类系统（B/S架构）的建设，截止目前我省已陆续有业务量收管理、人力资源和财务管理系统等综合类系统上线。

由于管理类系统与生产类系统在系统架构、数据访问、应用方式等方面存在较大差异，因此这两类系统在同一生产网上运行表现出一些弊端，具体体现在以下三个方面：

（一）、带宽不足。

目前我省财政信息网的管理类信息系统均采用B/S（浏览器/服务器）结构，特点是界面美观、操作简便，但系统访问占用较大带宽。

目前我省省内网的规模是：

13个市州局分别通过主备各一条2Mbps电路接入省信息中心，省会兰州局以局域网方式接入省信息中心。

根据集团公司近期下发的《关于财政信息网省内网建设工作的指导意见》（中国财政［2007］520号）要求，省内网通信带宽要求最低为3×

2Mbps，推荐为6×

2Mbps；

网络设备配置应满足省中心到市州未来20Mbps的通信带宽需求；

网点带宽建议为一般网点64Kbps，骨干网点为512Kbps，特别骨干网点为2Mbps，网络设备配置要能满足未来4Mbps通信带宽的需求。

我省财政信息网各级网络汇接带宽与集团公司要求不符。

（二）、安全性不符合最新规范。

目前我省财政省中心和市州中心网络采用ACL等策略区分金融类、财务类、速递类等业务，集团公司最新规范明确要求必须采用VPN等技术区分不同财政业务数据。

同时，我省信息网绝大部分的网络设备系2002年以前配置，已超过折旧年限，设备本身的不稳定增大了安全运行的难度。

（三）、省内网尚未开发网络增值业务。

我省财政生产、调度等功能都依赖于电信运营商提供的PSTN网来实现。

财政在向电信运营商缴纳数据业务网使用费同时，还需缴纳语音网使用费。

如在省内网上开发IP语音等增值业务，可以大大节省全省财政语音网通信话费。

综上所述，随着全国财政信息化进程的快速推进，目前我省财政信息网不论从网络架构、网络带宽，还是从安全防范管理及增值业务的应用等方面已无法满足集团公司提出的相关要求及今后业务发展需要，因此建议对我省财政信息网网络进行扩容改造，同时考虑进行网络安全系统及增值业务的建设。

如下图所示，我省财政信息网骨干网为省中心、市州两级汇接，骨干网所有网络设备均是1998年至2000年省内绿卡网和综合网机房建设初期配置的。

2004年第一次全省财政信息网骨干网扩容改造工程后，以上设备可扩展模块全部使用，设备及配件已停产，而且所有设备保修期已过。

因此，全省财政骨干网现有网络设备既无法满足扩容需求，也无法确保网络处于高稳定、高可靠性的运行。

此外，我省财政虽采用2条互为备份的2M线路作为骨干网数字电路，但仅为同一运营商提供，不符合集团公司双运营商要求；

而且我省所有财政业务系统均共用物理线路，没有使用VPN等隔离技术，仅使用访问控制列表等基本安全要求，不符合集团公司对网络安全的推荐要求。

骨干网网络拓扑如下图示：

2.2建设目标

我省财政信息网将采用QUIDWAYLSVPN技术对运行在信息网内的系统进行隔离，分为金融类VPN、财务类VPN、结算类VPN、综合类VPN（含视频会议、IP语音和OA、人力、财务、量收等）和借用线路第三方VPN，也可根据今后业务开办和系统功能不同实际需要进行更为细致的划分。

省信息中心及各市州汇接中心改造所需的网络设备配置应考虑冗余，杜绝单点故障的发生；

省到市州的骨干网线路按照集团公司相关指导意见要求将采用不同运营商的线路，且省信息中心及各市州汇接中心的运营商光纤线路应尽量采用双路由双局向模式引入。

在资金允许的情况下在省中心及市州信息中心采用光纤接入设备，以减少汇接中可能出现的故障点；

网点线路视运营商资费情况而定，县局及部分业务量较大的网点建议采用2M数字电路接入为主，64K或128KDDN电路接入为备用线路的方式。

第三章　网络改造基本架构

3.1网络扩容改造方案原则

一、对现有网络影响最小，平稳过渡。

二、业务割接前应形成详细的割接方案。

三、割接方案可逆，以便最短时间恢复。

四、改造工作必须统一协调部署。

五、割接时间应选择在业务量最小的时候。

3.2网络扩容改造步骤

一、省中心局域网改造。

二、QUIDWAYLSVPN网络搭建。

三、新旧网络之间互通实现。

四、试点市州网点业务切割。

五、总结试点经验并全省推广。

3.3省中心局域网改造

3.3.1需求分析

现有省中心局域网拓扑如下图所示：

财政金融业务、综合网、综合业务平台、第三方业务平台通过两台主备的华为T3000防火墙接入全省财政信息网，为全省网点提供业务访问。

为配合现有网络向QUIDWAYLSVPN网络平滑过渡，需对省中心局域网按业务系统进行归类，并将各业务系统隔离，分别为金融类、结算类、财务类、综合类四种业务系统及上联集团公司类。

3.3.2USG5550防火墙规划

一、虚拟防火墙规划

根据业务系统的分类，我们建议此次规划四个Context（虚拟通透式防火墙），分别为Admin、结算、结算-金融、结算-财务。

Context_Admin：

系统管理专用，建议绑定1-2个子接口用于系统管理。

Context_结算：

结算VPN到各个业务系统服务器平台之间数据交换中心，绑定六个子接口，分别为：

Interfac_结算:

连接结算服务器业务平台。

Interfac_vrf_结算：

用于下联QUIDWAYLSVPN网络的结算vrf。

Interfac_金融：

连接金融服务器业务平台。

Interfac_财务：

连接财务服务器业务平台。

Interfac_vrf_集团公司：

用于下联QUIDWAYLSVPN网络的集团公司vrf。

Interfac_集团公司：

用于上联集团公司。

Context_结算-金融：

用于保护结算服务器平台访问金融业务服务器，绑定两个子接口，分别为：

Interface_结算：

连接结算服务器平台。

Interface_金融：

连接金融服务器平台。

Context_结算-财务：

用于保护结算服务器平台访问财务业务服务器，绑定两个子接口，分别为：

Interface_财务：

连接财务服务器平台。

二、防火墙Failover规划

两台USG5550通过Failover实现网络的高可用性，可选模型为A/A和A/S。

A/A可以实现性能负载的功能，但缺点是实现复杂，维护成本高，排错不易，考虑到USG55505540本身性能强大，因此本次项目建议使用A/S模式来实现Failover。

3.3.3改造步骤

1、综合网（财务类）平台分别连接至统一接入交换机和新网核心交换机。

统一接入交换机与旧网华为7206汇接路由器互联，新网核心交换机与两台新网核心设备NE80E路由器互联，实现新旧网络同时访问财务类业务系统。

2、结算类系统平台由综合业务平台和第三方业务平台整合形成。

综合业务平台交换机启用三层路由，第三方业务系统更改为连接至综合业务平台交换机，原有第三方地址转换移至该交换机。

第三方访问策略移至安氏防火墙或新增Netscreen防火墙。

结算类系统平台交换机分别连接至统一接入交换机和华为USG55505540防火墙，该防火墙再连接至新网核心交换机。

统一接入交换机与旧网华为7206汇接路由器互联，新网核心交换机与两台新网核心设备NE80E路由器互联，实现新旧网络同时访问结算类系统。

3、综合类系统分别连接至统一接入交换机和新网核心交换机。

统一接入交换机与旧网华为7206汇接路由器互联，新网核心交换机与两台新网核心设备NE80E路由器互联，实现新旧网络同时访问综合类系统。

4、财政金融业务系统相关设备通过两台Failover的华为T3000防火墙不同端口连接至统一接入交换机和新网核心交换机。

统一接入交换机与旧网华为7206汇接路由器互联，新网核心交换机与两台新网核心设备NE80E路由器互联，实现新旧网络同时访问财政金融系统。

5、将集团公司灾备路由器华为7604从综合网移出至与上联集团公司华为3640路由器同一网段，并将上联集团公司所有路由器连接至新网核心交换机，划分单独的VLAN。

将新网核心交换机上与统一接入交换机连接的端口划入该VLAN，实现新旧网络同时访问上联集团公司路由器。

6、四种业务系统及上联集团公司类在统一接入交换机及新网核心交换机上使用VLAN进行隔离，并且禁止启用SVI接口，以避免各种业务系统在交换机上互通。

7、结算业务平台访问金融业务平台和财务业务平台通过华为USG55505540防火墙上建立不同的虚拟防火墙（结算类至金融类、结算类至财务类）实现保护。

此外，在该防火墙上还建立一个虚拟防火墙用于对结算类系统平台的防护。

8、在原省中心汇接华为7206路由器及新网核心设备NE80E路由器上以子接口的方式实现与四种业务系统互联及集团公司线路的上联。

省汇接路由器华为7206及其他业务系统的三层设备上修改路由及访问控制列表。

3.4QUIDWAYLSVPN搭建（配置案例详见附件三、四）

3.4.1新购设备物理拓扑搭建

1、机房内电源、防雷接地等基础配套实施完成。

2、相关广域网线路与局域网线路铺设完成，调试无误。

3、所有新设备进行加电单机测试。

4、在接口配置IP并以Ping大包的方式测试线路质量。

3.4.2SDH线路时隙分配

1、NE80ACPOS时隙分配（假设CPOS模块在NE80上的接口编号为S2/1/1）

序号

时隙

子接口

远端地址/30

本端地址/30

下联单位名

1

S2/1/1.1/1/1/1:

甘南、平凉、庆阳

2

22

S2/1/1.1/1/1/2:

3

43

S2/1/1.1/1/1/3:

4

S2/1/1.1/1/2/1:

5

25

S2/1/1.1/1/2/2:

6

46

S2/1/1.1/1/2/3:

7

S2/1/1.1/1/3/1:

8

28

S2/1/1.1/1/3/2:

9

49

S2/1/1.1/1/3/3:

10

S2/1/1.1/1/4/1:

11

31

S2/1/1.1/1/4/2:

12

52

S2/1/1.1/1/4/3:

13

S2/1/1.1/1/5/1:

14

34

S2/1/1.1/1/5/2:

15

55

S2/1/1.1/1/5/3:

16

S2/1/1.1/1/6/1:

17

AR46

S2/1/1.1/1/6/2:

18

58

S2/1/1.1/1/6/3:

19

S2/1/1.1/1/7/1:

20

40

S2/1/1.1/1/7/2:

21

61

S2/1/1.1/1/7/3:

S2/1/1.1/2/1/1:

23

S2/1/1.1/2/1/2:

24

44

S2/1/1.1/2/1/3:

S2/1/1.1/2/2/1:

26

S2/1/1.1/2/2/2:

27

47

S2/1/1.1/2/2/3:

S2/1/1.1/2/3/1:

29

S2/1/1.1/2/3/2:

30

50

S2/1/1.1/2/3/3:

S2/1/1.1/2/4/1:

32

S2/1/1.1/2/4/2:

33

53

S2/1/1.1/2/4/3:

S2/1/1.1/2/5/1:

35

S2/1/1.1/2/5/2:

36

56

S2/1/1.1/2/5/3:

S2/1/1.1/2/6/1:

38

S2/1/1.1/2/6/2:

39

59

S2/1/1.1/2/6/3:

S2/1/1.1/2/7/1:

41

S2/1/1.1/2/7/2:

42

62

S2/1/1.1/2/7/3:

S2/1/1.1/3/1/1:

S2/1/1.1/3/1/2:

45

S2/1/1.1/3/1/3:

S2/1/1.1/3/2/1:

S2/1/1.1/3/2/2:

48

S2/1/1.1/3/2/3:

S2/1/1.1/3/3/1:

S2/1/1.1/3/3/2:

51

S2/1/1.1/3/3/3:

S2/1/1.1/3/4/1:

S2/1/1.1/3/4/2:

54

S2/1/1.1/3/4/3:

S2/1/1.1/3/5/1:

S2/1/1.1/3/5/2:

57

S2/1/1.1/3/5/3:

S2/1/1.1/3/6/1:

S2/1/1.1/3/6/2:

60

S2/1/1.1/3/6/3:

S2/1/1.1/3/7/1:

S2/1/1.1/3/7/2:

63

S2/1/1.1/3/7/3:

2、NE80BCPOS时隙分配（假设CPOS模块在NE80上的接口编号为S2/1/1）