G省地税网络改造项目

　　一、 项目背景

　　目前国家税务总局正加快推动金税三期建设，对于全国地税系统进行金税三期的指导性建议形成，全国地税系统正在积极迎接“金税三期”建设，需要强化自身的网络建设为将来接入金税三期骨干网做好准备。

　　G省地税网络改造项目针对目前网络现状，并参照金税工程三期网络建设的要求进行技术设计部署。同时根据国家税务总局金税工程三期及G省地税省级大集中业务相关要求，针对G省地税现有全省骨干广域网带宽低、可靠性不高、安全防护薄弱、可管理性差的现状，进行技术改造。在重新建设新的骨干网同时，也对省局局域网(包括省局数据处理中心核心局域网和省局机关局域网)、网络安全基础设施以及应用负载均衡等进行改造建设。最终为全省地税大集中工程构建高效、安全、可靠的网络运行环境。

　　本次G省地税广域网工程网络建设改造涉及到1个省中心局、x个地州市局、xx个县(区)局。

　　二、 网络现状

　　G省地税局原有网络已运行多年，从省级到地市完全由省局统一建设，采用电信MSTP线路，单链路、单设备，缺乏备份网络。设备档次来说相对已经较低，存在性能提升的需求。目前在日常网络运作过程中，出现了性能不足、冗余不足、可靠性低、路由选择方案功能不强以及缺乏完善的服务质量保证等诸多问题。

　　三、 网络设计方案

　　3.1. 骨干网设计

　　G省地税骨干网络由个1个省地税局中心节点、x个地市地税局节点、xx个县(区)地税局节点构成，根据G省地税的上下级的隶属关系及大集中后的业务模式，G省地税骨干网的业务流向以省局ßà 地市局、地市局ßà区县局、区县局ßà税务所这样的纵向流为主，根据业务走向，最适合的网络模型是星型组网。

　　整个网络分为三级结构，省局ßà 地市局定义为二级网，地市局 ßà区县局定义为三级网，区县局ßà税务所定义为四级网。组网拓扑如下：

　　改造后，G省地税骨干网采用层次化星型网络拓扑结构，具有以下特点：

　　1) 符合大网建设的要求：分层的模块化设计使得网络成长更加方便。升级的费用和复杂度限制在整个网络的小范围内，当局部网络环境发生变化时不影响其它无关的层次。便于发现和隔离故障，有助于故障点的识别。

　　2) 可靠性高：可以保证在任何一个链路出现故障时，都不会中断全局通信，因此，网络具有很高的可靠性。

　　3) 建设和维护成本合理：网络分层次建设，不同层次的带宽选择可以分别考虑。根据流量需求，主干层采用比较高的带宽，而接入层采用相对低一些的带宽，可以极大提高网络主干层的性能，网络的可实施性，同时又增加了带宽分配的合理性，避免带宽资源的浪费，节约了建设和维护成本。

　　4) 路由效率高：模块化、层次化拓扑结构便于路由协议分层设计，减少了路由选择协议在网络链路上的开销，以及路由器的处理时间。

　　3.2. 局域网设计

　　3.2.1. 省中心局域网设计

　　随着税务大集中的业务模型的确立，省局数据中心负责全省的税务信息流量的处理以及存储等，并负责与总局进行数据交互。省局的网络建设考虑到高可靠、高可用以及业务高可控制等特性，采用分层、模块化设计思想。组网拓扑如下：

　　如图中所示，部署2台高性能交换机组成双核心、双归属的健壮核心架构。同时在局域网部署VRRP、MSTP等技术，提高局域网用户的可靠性，并在核心交换机上配置SecBlade防火墙插卡，对内网各个VLAN之间的访问进行精细化的控制。

　　在服务器群前端增加两台高端的IPS主动防御系统，对应用层增强防御;并在关键服务器前端增加负载均衡器，保障各种应用的负载分担。

　　3.2.2. 地州市局域网设计

　　此次x个地市局域网分别采用1台高端路由器、1台高端防火墙与1台高端交换机通过千兆电口互联，并通过防火墙实现网络安全隔离。具体组网拓扑如下：

　　四、 解决方案特点

　　4.1. 网络拓扑灵活扩展

　　采用星树型、分层结构设计，网络层次清晰，达到骨干与接入分离、广域与局域分离的建设效果，利于全省大集中的建设，网络扩展能力、灵活性强。如：G地税系统的骨干网为此次网络改造的核心部分，以省到地市骨干网为核心进行全网拓扑的演进为将来进行统一数据中心、容灾中心等建设提供良好的技术基础。

　　4.2. 技术先进、适用

　　此次建设选用国际标准化，开放的技术协议，兼顾用户自身技术运用状况，采用适用的动态路由、定制化QOS等技术实施，配合先进成熟技术包括快速收敛(OSPF路由协议快速收敛)、快速检测(BFD)等技术部署，使得网络更加智能、高效，并具备良好的自愈能力，为G省地税的核心业务不间断转发提供技术保证。

　　4.3. 高速平台具备高扩展能力

　　省到地市、地市到区县的广域网线路采用了两条链路，省到地市达到4M，地市与区县达到4M带宽，此次选择的H3C设备具备高带宽扩展能力，省核心路由器采用具备十兆、百兆、千兆、万兆的扩展能力、地市/区县节点采用设备具备百兆、千兆的扩展能力。为整体G省地税的高速网络平台提供强大扩展能力，具备良好使用性价比。

　　4.4. 可靠性技术保证

　　G省地税用户流量近年增长迅速，在征收期流量占据当月流量近70%，需要具备7*24的网络支撑能力，此次改造充分考虑到这一点，从设备选型、技术部署等方面均做了充分准备。如设备选型，所有节点均采用同档次设备，省级核心设备具备路由引擎冗余、交换网冗余，单板热插拔，全分布式的硬件体系架构，达到电信级水准。在各级局域网部署VRRP协议，为局域网用户提供可靠保证。先进的IP FRR技术可以实现对于广域中任意节点的保护，达到毫秒级的快速链路切换，确保业务不中断。

　　4.5. 全网端到端的QOS策略

　　此次网络改造后，在两条新建主干链路上，部署基于类的QOS策略部署，如CBQ、LLQ以及基于类的防拥塞控制WRED、SARED等技术部署，为地税核心业务部署“绿色通道”。解决了以往无法实现全网QOS策略的问题，业务流量传输效率低等问题。

　　4.6. 管理全面高效

　　此次网络改造对于网络管理提升到了一个全新层次，网络管理任务关注到了基本网络拓扑、设备管理之外，还涵盖了网络流量管理，包括设备端口采集的七元组信息、核心业务流的带宽利用信息统计等。同时此次采用的管理软件非常容易集成到H3C公司的IMC智能管理中心平台，可以统一进行边缘准入认证(EAD)、ACL Manger等集中部署,将网络管理的任务进行了全面提升和丰富，为G省地税网管人员提供全面的可参考管理的信息。

　　4.7. 建设和维护成本合理性

　　从建设和维护成本上来分析，网络分层次建设，不同层次的带宽选择可以分别考虑。根据流量需求，骨干网采用比较高的带宽、较高档次设备，而接入节点采用相对低一些的带宽、较低档次设备，可以极大提高网络建设成本的合理性，网络的可实施性，同时又增加了带宽分配的合理性，避免带宽资源的浪费，节约了建设和维护成本。

2016年01月