财政局网络设计方案
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
目录
第一章财政局财政网络需求分析 (2)
第二章财政网络系统设计 (3)
2.1总体架构设计 (3)
2.2外网设计 (3)
2.2.1 外网核心层部分设计 (4)
2.2.2 外网汇聚层部分设计 (5)
2.2.3 外网接入层部分设计 (5)
2.2.4 外网防火墙设计 (5)
2.3内网设计 (6)
2.4网络管理 (8)
2.5网络安全 (9)
2.5.1 物理隔绝 (9)
2.5.2 设备访问控制安全 (9)
2.5.3 防火墙 (9)
第三章设备的性能指标和报价 (10)
第一章财政局财政网络需求分析
财政局是人民政府的重要组成部门,是主管全县财政收支、财税政策、国有资本金基础工作的宏观调控部门,担负着在全县范围内拟定和执行财政、税收的发展战略、方针政策、中长期规划、改革方案及其它有关政策等职能。因此,实现全县财政系统的信息化是财政搞好管理现代化、科学化的重要基础。财政信息化建设就是要把科学技术和现代化管理手段运用到财政管理体制、运行机制、业务流程和工作方式中去,从而全面实现财政管理电子化。
财政局网属于国家机关网性质,与市局财政网直接相连,间接连接省和国家财政网,对财政内网安全的最高要求是内网的信息可以通过正当途径(如新闻发布)传播,决不允许内网信息与外网信息有任何交换,外网的信息不允许进入内网,内外网之间的绝对物理隔离是保障政府机关网络安全性的唯一途径,内网的信息在公安部门的监控下严格按照国家有关保密法律法规进行操作。
财政局局域网是财政局内部信息高速路。连接对象是本单位的计算机,局域网的功能是实现本单位计算机的联网,同时在该局域网上运行各种财政应用系统。
财政局主要有18个科室股,分别是:办公室、研究室、预算科、农财科、农税科、企财科、社保科、政府采购办、监督检查科、国库资金中心、会计核算中心、会计培训中心、会计科、国有资产管理中心、会计管理办公室、农业税收稽查大队、招商办、信息中心。
共有职工人数人,共计有PC机台。
对网络的要求:
1. 平时办公文件的共享传输;
2. 需要连接国际互联网进行一些资料数据的相关查询;
3. 需要连接财政内网进行资料数据的上传下载;
4. 对内网的带宽要求至少100Mbps;
5. 外网内网物理隔绝,绝对禁止内外网之间进行通信。
第二章财政网络系统设计
本方案是为财政局设计接入互联网和政府内网的局域网系统,财政局属于政府机关,人员少,机器少,对网络应用的要求不高且单一,对网络安全的要求很高,所以本方案仍然按照主流设计思想对网络方案,设备选型等进行标准化设计,并且充分考虑了内网网络安全问题。
2.1 总体架构设计
因为安全性原因,本方案在设计时,内外网之间相互隔离,使用两套设备进行网络的设计实现。
外网和内网之间物理隔离,外网设计按照典型设计理念,实行三层设计,内网为两层。
内网和外网接入交换机均为四台,都可满足全部PC机的接入要求,每台PC 机均分到两根网线,一根内网,一根外网,为了安全性的要求,每台PC机同时只能接入一个网,网络切换可以使用网线切换器,这在综合布线环节得到体现。
本方案中的外网指的是公共网络,比如国际互联网。内网专指国家财政内网。
2.2 外网设计
为了确保网络能满足目前的网络应用, 并考虑到单位今后的发展要求, 在设计中采用目前一些网络常用的网络层次化结构, 将网络分为核心层、汇聚层和接入层。核心层负责网络核心数据的交换, 不在核心层实施策略,以加速数据交换, 同时将一些主要服务器放置在核心层中,以适应目前网络发展的新趋势; 汇聚层采用带路由功能的三层交换机, 以便于实施一些安全策略、组策略, 同时将网络数据流量尽量限制在汇聚层中, 减少对核心层的依赖; 接入层采用二层交换技术, 尽可能做到高速交换。
在网络链路方面,由于单位信息点相对较少, 但是政府网络对网络的安全性可靠性的要求很高,同时考虑单位的资金水平以及发展要求,可以采用核心层单
核心、汇聚层双核心、星型网络设计方案。在网络运用中, 为了便于管理,可以使用VLAN技术。
单位的网络,物理跨度局限在一栋楼之内,通过核心万兆交换机(锐捷RG-S7600系列RG-S7610)在主干网络上提供10000M的独享带宽,通过下级两台汇聚层交换机(锐捷RG-S3250系列RG-S3250-24)与各部门的接入交换机(锐捷STAR-S2100系列STAR-S2126G)连结,为之提供1000M的独享带宽, 并提供冗余功能,增加可靠度。接入交换机与各台PC机相连,提供100M到桌面,并且可以根据实际情况划分虚网,提升性能,提高安全性。利用与核心交换机连结的路由器(锐捷RSR50-80),所有用户均可访问Internet。路由器与核心交换机之间连接防火墙(H3C SecPath F1000 系列SecPath F1000-C)公司局域网按访问区域可以划分为三个主要的区域:Internet区域、内部网络、公开服务器区域。
从联通公司(原网通公司)接入一条光纤专线,提供单位和Internet的连接,专线和数据光端转换器均由联通公司提供。
2.2.1 外网核心层部分设计
核心层使用锐捷RG-S7610交换机一台,S7610是面向下一代网络的万兆骨干路由交换机,在提供稳定、可靠、安全的高性能L2/L3层交换服务基础上,具有强大组播功能、基于策略的QOS、有效的安全管理机制和电信级的高可靠设计,满足现代网络的多种业务承载融合和业务灵活分类、分流的组网需求。
路由器使用锐捷RSR50-80路由器一台,RSR50E-80可信多业务路由器是锐捷公司历经多年自主研发,具有2个主控引擎插槽和8个业务插槽。可以满足中小型企业网核心高可用性的要求;具有很强的可伸缩性、可配置性,支持Ipv6、BGP、IPSec、MPLS VPN、QoS、组播等技术。
其中国资管理平台因为要与上下级单位连接,置于防火墙DMZ区,方便外界访问以及内部管理,单位内部服务器与核心交换机直接相连,提供各种服务。