【導讀】CISCO公司非常榮幸地參與江西省地稅網(wǎng)絡建設(shè)項目的設(shè)計。進雙方事業(yè)的發(fā)展。交我們的方案建議書。兆以太網(wǎng)，具有良好的投資保護能力。此外由Catalyst6509交換機組建的。兆連接的服務器群來說會產(chǎn)生網(wǎng)絡瓶頸）。6509通過IDS入侵檢測模塊來消除。網(wǎng)絡病毒的影響。求，具備最大程度的投資保護。地市中心節(jié)點由Cisco的7304路由器來擔當，Cisco7304是一個性價比很高的路由器，背板處理能力為（全雙工），公安部“金盾”工程全國骨干網(wǎng)。內(nèi)蒙古自治區(qū)國稅局。合肥市電信城域網(wǎng)。黑龍江省政府公務網(wǎng)。廣州電力局ＩＰ城域網(wǎng)

　　

【正文】 ，配置與省中心節(jié)點路由器相當。 該 7609 與省中心節(jié)點路由器之間建議通過直連光纖連通，當然也可象其他地市局一樣采用 2M 電路和政 務網(wǎng)的傳輸電路與省中心連通。 對于區(qū)縣局路由器的選擇，由于南昌地區(qū)下屬節(jié)點較多，我們可以酌情考慮采用 Cisco 3745 路由器作為區(qū)縣節(jié)點路由器。而其他地市的區(qū)縣路由器采用 Cisco 2611XM 路由器。 二） 南昌市地稅局域網(wǎng)的設(shè)計 ： 南昌市地稅局域網(wǎng)同樣兼有備份中心的職責，所有在南昌地稅中心局域網(wǎng)配置 2 臺 4506 交換機，用于連接備份的數(shù)據(jù)中心。 三） 災備中心 的設(shè)計 ： 災備中心網(wǎng)絡主用包括后臺網(wǎng)絡和前臺網(wǎng)絡兩部分，前臺網(wǎng)絡即數(shù)據(jù)網(wǎng)絡部分，在本方案中有上面一）、二）兩部分構(gòu)成。 后臺網(wǎng)絡包括存儲設(shè)備，存儲網(wǎng)絡 SAN（包括 FC 光纖交換機，波分復用產(chǎn)品）構(gòu)成，后臺網(wǎng)絡的建設(shè)目前一般有專門的存儲廠商 EMC， IBM， HP等給客戶提供一整套解決方案，我們在這里就不作詳細介紹。 江西省地稅網(wǎng)絡建設(shè)方案建議書 33 IP 地址規(guī)劃 IP 地址空間的分配與合理使用與網(wǎng)絡拓撲結(jié)構(gòu)、網(wǎng)絡組織及路由策略有非常密切的關(guān)系，將對網(wǎng)絡骨干網(wǎng)的可用性、可靠性與高效性產(chǎn)生顯著影響。本期工程將建設(shè)省地稅系統(tǒng)網(wǎng)絡骨干網(wǎng)，在對骨干網(wǎng) IP 地址進行規(guī)劃建設(shè)的同時，應充分考慮本地網(wǎng)對 IP 地址的需求，以滿足未來業(yè)務發(fā)展對 IP 地址的需求。 IP 地址規(guī)劃遵循以下幾點： ?IP 地址的規(guī)劃與劃分應該考 慮到金稅網(wǎng)絡的飛速發(fā)展，能夠滿足金稅網(wǎng)絡未來發(fā)展的需要；即要滿足本期工程對 IP 地址的需求，同時要充分考慮未來業(yè)務發(fā)展，預留相應的地址段； ?IP 地址的分配需要有足夠的靈活性，能夠滿足各種用戶接入如撥號、專線用戶等的需要； ?地址分配是由業(yè)務驅(qū)動，按照業(yè)務量的大小分配各地的地址段； ?IP 地址的分配必須采用 VLSM 技術(shù)，保證 IP 地址的利用效率； ?采用 CIDR 技術(shù)，這樣可以減小路由器路由表的大小，加快路由器路由的收斂速度，也可以減小網(wǎng)絡中廣播的路由信息的大?。? ?充分合理利用地址空間，提高地址的利用效率。 IP 地址分配原則 地稅局網(wǎng)絡 IP 地址的分配可以根據(jù)以下幾個層次考慮： 第一層：以網(wǎng)絡匯接區(qū)域來劃分 ?根據(jù)網(wǎng)絡匯接分布的地理區(qū)域來劃分大塊連續(xù)的 IP 地址空間；有利于路由協(xié)議的計算和地址匯聚。 ?在金稅網(wǎng)絡骨干網(wǎng)的首期網(wǎng)絡工程內(nèi)的地址劃分需要考慮網(wǎng)絡的接入層的擴展；需要為網(wǎng)絡的擴展預留地址空間。 第二層： 在區(qū)域接入網(wǎng)內(nèi)，以網(wǎng)絡功能來劃分 江西省地稅網(wǎng)絡建設(shè)方案建議書 34 可以根據(jù)不同的應用和網(wǎng)絡功能來劃分，如：各單位用戶網(wǎng)絡接入地址；數(shù)據(jù)服務器地址空間和網(wǎng)絡管理操作?？梢詮牡刂飞献R別出應用和功能； 網(wǎng)絡骨干網(wǎng)地址空間設(shè)計 金稅網(wǎng) 絡骨干網(wǎng)的地址空間需求分為 IP 骨干網(wǎng)絡地址和以后接入地址。 其中 IP 骨干網(wǎng)絡地址分為以下幾類： ?點到點的鏈路：需要 30 位地址掩碼的最小子網(wǎng)，這是有兩個地址空間的子網(wǎng)。 ?路由器 loopback 地址：每臺路由器需要一個 32 位掩碼的 IP 地址。 Loopback 地址是為路由協(xié)議和網(wǎng)絡管理而定義，確保當鏈路故障時網(wǎng)絡操作依然可以訪問路由器。 ?局域網(wǎng)地址：即江西省地稅系統(tǒng)各單位的用戶網(wǎng)絡地址，應按照主機接入數(shù)量和設(shè)備數(shù)量來分配子網(wǎng)空間。 江西省地稅網(wǎng)絡建設(shè)方案建議書 35 網(wǎng)絡安全 策略 的設(shè)計 1）網(wǎng)絡安全概述 省地稅網(wǎng)絡的網(wǎng)絡安全涉及到地稅 系統(tǒng)的信息及應用的安全性，在整個網(wǎng)絡建設(shè)中，網(wǎng)絡的設(shè)計和建設(shè)必須防止針對大多數(shù)影響珍貴的信息資源和網(wǎng)絡資源的網(wǎng)絡攻擊，處于安全中的網(wǎng)絡必須繼續(xù)提供用戶所希望的關(guān)鍵服務，適當?shù)木W(wǎng)絡安全和良好的網(wǎng)絡功能應該可以同時提供。 在網(wǎng)絡設(shè)計和建設(shè)的許多階段，需要在使用一個網(wǎng)絡設(shè)備中的集成化通用設(shè)備和使用專用功能設(shè)備之間作出選擇。集成化通用設(shè)備如路由器、交換機等通常富有吸引力，因為它能夠在現(xiàn)有設(shè)備上實施，或者其特性能夠與設(shè)備的其他部分互操作，因而提供更好的功能解決方案。通常在所需的功能非常先進或有性能要求需要使用專用硬件 時。選擇設(shè)備必須根據(jù)設(shè)施的容量和功能性與設(shè)備的集成優(yōu)勢作出。例如，有時可以選擇一個帶有 IOS防火墻軟件的更高容量集成化 IOS路由器，而不是一獨立的防火墻和一個小 IOS路由器。在該體系結(jié)構(gòu)中，使用了兩種類型的系統(tǒng)。由于大型企業(yè)網(wǎng)絡的性能要求，大多數(shù)關(guān)鍵安全功能遷移到了專用設(shè)施。 針對于大多數(shù)和金稅網(wǎng)絡類似的大型用戶的需求， Cisco專門提出了有關(guān)于企業(yè)網(wǎng)絡安全的一系列產(chǎn)品及相應的解決方案－ SAFE，即企業(yè)網(wǎng)絡安全構(gòu)架，其主要目標是為用戶提供設(shè)計和實施安全網(wǎng)絡方面的最佳實踐信息。 SAFE是那些考慮其 Cisco網(wǎng) 絡安全要求的網(wǎng)絡設(shè)計人員的指南，它采用一種深入防御網(wǎng)絡安全方案。這種設(shè)計重點關(guān)注預計威脅及其解決方法，而不是“在這里放上防火墻，在那里放上 IDS”。從而給整個網(wǎng)絡帶來了一個分層的安全方案。 Cisco認為，一個部署全面的網(wǎng)絡安全包括五個關(guān)鍵因素： 網(wǎng)絡周邊安全 , 安全監(jiān)視 , 身份標識 , 數(shù)據(jù)私密性和策略管理。 網(wǎng)絡周邊安全 是用于提供對金稅網(wǎng)絡中關(guān)鍵應用、數(shù)據(jù)和業(yè)務的接入手段的控制 , 它只允許合法的用戶和信息可以通過網(wǎng)絡。防火墻、配備防火墻的路由器、訪問控制列表（ ACL）和部分交換機都可以提供這種控制，配套的 江西省地稅網(wǎng)絡建設(shè)方案建議書 36 工具 包括病毒掃描器和內(nèi)容過濾器。 安全監(jiān)視： 要想使金稅網(wǎng)絡一直處于安全狀態(tài)下，就必須定期測試并監(jiān)視安全狀態(tài)。網(wǎng)絡安全掃描程序可以預先識別網(wǎng)絡的脆弱的區(qū)域；入侵檢測系統(tǒng)可以進行監(jiān)視并在發(fā)生安全事件時作出相應的反映。使用安全監(jiān)視方案后金稅網(wǎng)絡的管理人員可以比以前更加了解網(wǎng)絡數(shù)據(jù)流和網(wǎng)絡的安全情況。Cisco Secure IDS 傳感器是一種高速網(wǎng)絡安全監(jiān)視設(shè)備，它能夠通過實時分析流量，檢測出網(wǎng)絡上的非法活動，如黑客攻擊等，從而保證用戶快速地對安全漏洞進行響應。當非法活動被檢測到以后，傳感器向管理控制臺發(fā)出帶有活動詳 細內(nèi)容的告警信息，然后控制其它系統(tǒng)，如路由器等，斷開非法對話。 身份標識 指在金稅網(wǎng)絡計算機網(wǎng)絡中對用戶、主機、應用、業(yè)務和資源等的準確、肯定的標識。進行身份標識的標準技術(shù)包括鑒別協(xié)議，如 RADIUS、 TACACS+、 Kerberos 和一次性口令工具等。數(shù)字證書、智能卡和目錄服務等新技術(shù)正逐步在身份標識解決方案中扮演越來越重要的角色。 數(shù)據(jù)私密性 在金稅網(wǎng)絡計算機系統(tǒng)中對于某些信息屬保密信息不能被竊取或篡改時，網(wǎng)絡是否能夠提供保密通信則至關(guān)重要。有時利用隧道技術(shù)，如通用路由封裝（ GRE）或 L2TP將數(shù)據(jù)分離開 來可以提供有效的數(shù)據(jù)私密性。但是信息如果需要額外的私密性保證，則需要使用數(shù)字加密技術(shù)和協(xié)議，此時 IPSEC成為一種重要的選擇。 策略管理 ：隨著省金稅網(wǎng)絡在規(guī)模和復雜性方面的確不斷增長，網(wǎng)絡管理人員對可以利用集中的策略管理工具管理網(wǎng)絡安全的需求也將隨之而來。可以通過瀏覽器圖形化界面來定義、分配、執(zhí)行策略并審查安全性狀態(tài)的工具能夠增強網(wǎng)絡安全解決方案的可用性和實效性。 在整個金稅網(wǎng)絡建設(shè)中，除以上幾個因素外，我們將更加關(guān)注以下內(nèi)容： 江西省地稅網(wǎng)絡建設(shè)方案建議書 37 2)協(xié)議的安全性 在網(wǎng)絡中運行著很多網(wǎng)絡協(xié)議，包括路由協(xié)議和各種為上層應用服務 的廣域網(wǎng)，局域網(wǎng)絡協(xié)議等，路由器上也存在著很多服務，有些服務是網(wǎng)絡運行所必需的，必須打開它，而有些服務是對網(wǎng)絡運行無關(guān)緊要或無用的，可以關(guān)閉。正是這些網(wǎng)絡協(xié)議或服務，確保了網(wǎng)絡系統(tǒng)的正常運行，因此，我們首先應確保這些網(wǎng)絡協(xié)議或服務的安全性。 3)應用服務協(xié)議的安全 對這些路由協(xié)議和各種上層應用服務的協(xié)議，我們應區(qū)別對待。首先，對于網(wǎng)絡運行所必需的協(xié)議，如路由協(xié)議等，我們不但應正常運行，而且必須加以保護，以防止非法路由器加入或偽造的路由信息，系統(tǒng)如何能夠鑒別出哪些路由信息是可靠的呢，就必須采用一些加密技術(shù)或鄰 機校驗方法，以完成認證，對于網(wǎng)絡運行無關(guān)緊要或無用的協(xié)議，則應嚴格限制或關(guān)閉，而對于對網(wǎng)絡運行有危害或本身有安全缺陷的協(xié)議，則應關(guān)閉，例如 finger等。 對于具體網(wǎng)絡環(huán)境，我們建議采用以下命令關(guān)閉一些應用或服務： no service finger /* disable finger, no use no service pad /* disable PAD no service udpsmallservers no service tcpsmallservers no ip bootp server 在具體網(wǎng)絡接口下，可關(guān)閉以下一些服務： no ip source routing no ip redirects no ip directedbroadcast no ip proxyarp 同時，為增強安全性，應打開以下一些標記時間和密碼加密，設(shè)置系統(tǒng)LOG 功能等的服務， service timestamps debug datetime msec /* logging with date amp。 time service timestamps log datetime msec /* logging with date amp。 time service passwordencryption logging buffered 16384 debugging /* logging to router buffer logging trap debugging /* define syslog level 江西省地稅網(wǎng)絡建設(shè)方案建議書 38 logging sourceinterface Loopback0 /* define source sent to syslog logging 4)路由協(xié)議的安全 在路由協(xié)議安全性方面，我們可以采用路由器鄰居相互校驗，校驗方式可以是明碼方式或 MD5 加密方式，對于 OSPF 可采用 MD5 校驗方式，也可以采用明碼方式。 通過明碼或 MD5 加密方式校驗，可以確保只有有效的路由器才能加入到網(wǎng)絡，從而能夠避免非法的路由器或偽造的路由信息加入到網(wǎng)絡中，使路由出錯，導致網(wǎng)絡癱瘓。 若網(wǎng)絡采用 OSPF 路由協(xié)議，我們可以采用如下命令設(shè)置 OSPF 整個自治域校驗或一個區(qū) 域的校驗： area areaid authentication area areaid authentication messagedigest 也可以針對某個具體端口對不同的路由級別設(shè)置不同的密碼； ip ospf authenticationkey key ip ospf messagedigestkey keyid md5 key ip ospf authentication [messagedigest | null] 5）網(wǎng)管 SNMP 的安全性 SNMP 是另一種訪問網(wǎng)絡設(shè)備的方式。使用 SNMP，你可以收集網(wǎng)絡設(shè)備的狀態(tài)，配置網(wǎng)絡設(shè)備。 Getrequest、 getnextrequest 消息用來 收集狀態(tài)信息， setrequest 消息用來配置網(wǎng)絡設(shè)備。在每臺路由器都要配置munity string，每一個 SNMP 消息都有一個 munity string 來進 行校驗，每個網(wǎng)絡設(shè)備的 SNMP 代理上可以進行配置不同的 munity string 來進行讀模式和寫模式的訪問。 SNMPv1 的 munity string 是采用 明文方式 江西省地稅網(wǎng)絡建設(shè)方案建議書 39 傳輸?shù)模?SNMPv2 的 munity string 采用 MD5 來進行加密，同 時 SNMP 可以和訪問列表結(jié)合起 來，使指定的的 IP 地址或端口才可以訪問到網(wǎng)管信息。 我們可以采用以下命令，結(jié)合訪問列表來設(shè)置 SNMP 的安全性，其中，string 可以是用戶定義的任何字符串，訪問列表指定了只有, SNMP 信息，并且要進行 Trap 校驗 : snmpserver munity string RO 98 /* enable SNMP and define string /* the following 4 lines only needed if router need to send trap to SNMP server*/ snmpserver trapsource Loopback0 /* define source sent to trap server snmpserver trapauthentication snmpserver host string /* define trap server snmpserver host string accesslist 98 permit /* ACL limit SNMP server accesslist 98 permit accesslist 98 deny any 同時，我們也可以用 snmpserver enable traps 命令來打開所需要 的Trap 功能，未被