《金保工程交换区软件实施网络部分培训》由会员分享,可在线阅读,更多相关《金保工程交换区软件实施网络部分培训(31页珍藏版)》请在金锄头文库上搜索。
1、 一、网络结构和设备配置 二、DNS规范和实施方案 三、设备和应用命名 四、IP地址规划和分配 五、防火墙访问控制策略 六、实施商要提交的信息 七、各省工作要求 主要内容:部省市网络结构省端设备配置一、网络结构和设备配置广域网主路由器备份路由器部中心节点部中心节点内部网资源区电话视频设备广域网市中心节点市中心节点内部网市中心节点市中心节点内部网资源区省中心节点省中心节点资源区内部网电话视频终端资源区广域网省中心节点省中心节点资源区内部网电话视频终端市中心节点市中心节点内部网市中心节点市中心节点内部网资源区资源区部省市网络结构省端设备配置(一)主用路由器 华为R3680E-RPS:双电源;1*F
2、E接口;2*FE 接口。 (二)备份路由器 华为R3680E-RPS:双电源;2*E1接口;2*FXS语音接口(8路 IP话音);2*FE 接口。 (三)以太网交换机 华为3COM LS-5024P-LI-AC:双电源;20GE+4Combo Structure。 (四)防火墙 华为3COM NS-SecPath 500F-AC:双电源;4GE/2Slot。 (五)视频终端 华为ViewPoint 8020Plus或华为ViewPoint 8030mBox。二、DNS规范和实施方案DNS规范域名体系部级域与省级域同为顶级域;地市级为二级域。 (一)部级域命名规则 部级区域包括人力资源和社会保障
3、部及其所属事业单位。人力资源 和社会保障部拥有业务专网的根域(.)和顶级域的域名。 人力资源和社会保障部域名为:mohrss。 (二)省级域命名规则 省级区域包括各省人力资源和社会保障部门及其所属事业单位。省 级人力资源和社会保障部门拥有业务专网顶级域的域名。 省级人力资源和社会保障部门域名为:省级地名缩写,如山东省人 力资源和社会保障部门域名:sd。 (三)地市级域命名规则 地市级区域包括地市级人力资源和社会保障部门及其所属事业单位 。地市级人力资源和社会保障部门拥有业务专网二级域的域名。 地市级人力资源和社会保障部门域名为:地市级地名缩写.省级地名 缩写,如山东省青岛市人力资源和社会保障部
4、门域名:qd.sd。DNS规范域名管理(一)部信息中心负责业务专网根域和部级域的管理和 维护;向省端发布部级域名服务器IP地址。(二)省级信息化综合管理机构负责省级域的管理和维 护;向部端和市端发布省级域名服务器IP地址。市端未建立 域名服务器的,由省端为其提供域名解析服务。(三)市级信息化综合管理机构负责市级域的管理和维 护;向省端发布市级域名服务器IP地址。市端未建立域名服 务器的,向省端申请域名解析服务。(四)域名服务器IP地址的发布、变更及域名解析服务 的申请应加盖单位公章,传真或邮寄到相关的单位。各级部 门收到相关的信息并确认其真实性后,应在三天内完成相关 的配置,使之生效。 实施方
5、案部级域名服务器规划实施方案省级域名服务器规划转发器等待时间15秒实施方案市级域名服务器规划转发器等待时间15秒实施方案- DNS解析过程实施方案域名服务器地址发布 部生产中心主DNS服务器IP地址: 10.1.149.1 部生产中心辅DNS服务器IP地址: 10.1.149.3 部同城灾备中心主DNS服务器IP地址:10.209.22.1 部同城灾备中心辅DNS服务器IP地址:10.209.22.3各省在金保工程部分软件的部署中,确定本省域名服务器地 址并通知部信息中心和所辖地市级信息化综合管理机构。 各市在金保工程部分软件的部署中,确定本市域名服务器地 址并通知省信息化综合管理机构,或向省
6、端申请域名解析服务。今后各级DNS服务器的变更应及时进行发布,以保障业务专 网部署的各应用的正常运行。路由设备命名防火墙设备命名主机设备命名应用命名地名缩写三、设备和应用命名路由设备命名例如:与部连接的山东省劳动保障部门备份路由设备命名为 :RBSDH.SD ; 与山东省连接的烟台市劳动保障部门主路由 设备命名为:RPDDN.YNT.SD。规则 省级对部端路由器:Rx.省级地名缩写 省级对市端路由器:Rxy.省级地名缩写 市级路由器:Rxy.市级地名缩写.省级地名缩写 x为: x为路由器连接线路用途缩写,如主路由P、备份路由B; y为路由器连接线路类型缩写,如MSTP、SDH、ISDN、FR、
7、 PSTN、DDN、ETH、MPLS;主机设备命名 规则 部级:Sx.mohrss 省级:Sx.省级地名缩写 市级:Sx.市级地名缩写.省级地名缩写 x为: 主机应用1缩写-主机应用2缩写-用途缩写 专用DNS服务器为DNS防火墙命名规则 部级: FWx.mohrss 省级: FWx.省级地名缩写 市级: FWx.市级地名缩写.省级地名缩写 x为: 双防火墙序号,如防火墙1、防火墙2应用命名规则 部级:应用系统缩写.mohrss 省级:应用系统缩写.省级地名缩写 市级:应用系统缩写.市级地名缩写.省级地名缩写 地名缩写 省级地名缩写和地市级地名缩写按照 中华人民共和国行政区划代码( GB/T2
8、260-2007)命名。 新疆生产建设兵团地名缩写为“bt”。 省端网络连接 IP地址规划 IP地址分配四、IP地址规划和分配省端网络连接电话部省广域网防火墙备份路由器视频设备接入区省市广域网主路由器主路由器备份路由器X.X.X.253/25 VRRP X.X.X.254/25X.X.X.252/25X.X.X.249/25资源区 (X.X.X.0/26)x.x.x.62/26前置机(异地总线) X.X.X.8/26应用、数据库服务器 地址:Y.Y.Y.Y/N 网关:Y.Y.Y.Y/NX.X.X.246/25X.X.X.247/25 VRRP X.X.X.248/25(X.X.X.128/25
9、)X.X.X.126/30X.X .X.125/30X.X.X.122/30X.X .X.121/30内部网SDH 2MMPLS 2/4/6/8M各省、自治区和直辖市已从省本级地址空间中为广域网的接 入分配了1个C类地址空间(x.x.x.1-x.x.x.255/24)接入区(防火墙外网段)分配其中1/2个C类地址空间( x.x.x.128-x.x.x.255/25);资源区(防火墙DMZ网段)分配其中1/4个C类地址空间( x.x.x.0-x.x.x.63/26)。主机地址从小到大分配,如果采用双机,虚地址使用低地址 ,实地址使用高地址。IP地址规划IP地址分配位置地址范围围地址分配 资源区(
10、防火墙DMZ网段)x.x.x.0-x.x.x.63/26 网段:x.x.x.0/26防火墙VRRP地址:x.x.x.62/26 防火墙双机地址1:x.x.x.61/26 防火墙双机地址2:x.x.x.60/26 异地总线前置机:x.x.x.8/26 基金报表应用服务器:x.x.x.9/26 省级系统集中部署的,在资源区 确定其他应用服务器地址、掩码 及其服务器网关地址。 内部网(内部网交换机各网 段)访问业务专 网的 所有内部网的网段省级系统分散部署的,在内部网 确定其他应用服务器的地址、掩 码及其服务器网关地址; 在内部网确定各应用的数据库服 务器的地址、掩码及其服务器网 关地址。 业务流向
11、 防火墙策略 配置规则示例五、防火墙访问控制策略 业务流向本次实施软件业务流向参考金保工程交换区部分应用软件集成部署方案业务流向部分DNS服务业务流向(使用TCP/UDP 53端口)部端DNS服务器省端DNS服务器市端DNS服务器省端DNS服务器市端DNS服务器部端DNS服务器省端需要域名解析的主机-省端DNS服务器市端需要域名解析的主机-市端DNS服务器市端需要域名解析的主机-省端DNS服务器(如市端无DNS 服务器)省端网络连接电话部省广域网防火墙备份路由器视频设备接入区省市广域网主路由器主路由器备份路由器X.X.X.253/25 VRRP X.X.X.254/25X.X.X.252/25
12、X.X.X.249/25资源区 (X.X.X.0/26)x.x.x.62/26前置机(异地总线) X.X.X.8/26应用、数据库服务器 地址:Y.Y.Y.Y/N 网关:Y.Y.Y.Y/NX.X.X.246/25X.X.X.247/25 VRRP X.X.X.248/25(X.X.X.128/25)X.X.X.126/30X.X .X.125/30X.X.X.122/30X.X .X.121/30内部网SDH 2MMPLS 2/4/6/8M防火墙策略(一)网络划分为如下3个区域,并通过防火墙实现 各区域间的访问控制:接入区资源区内部网(二)防火墙默认策略:开通 内部网-接入区开通 资源区-接入
13、区其他区域间不允许通讯配置规则示例联网软件业务流向: (省级系统集中部署,应用服务器部署在资源区,前置机部署在资源区、数据库服 务器部署在内部网) 部端应用服务器省端数据库服务器: JDBC(端口1521、1526)部端数据库服务器省端数据库服务器:Oracle SQL Net(端口1521、1526)省端应用服务器省前置机:FTP(端口20、21) 省端应用服务器省端数据库服务器:JDBC(端口1521、1526)省端客户机(最终浏览用户)省端应用服务器:HTTP(端口7015)系统在省级集中部署的情况下:市端客户机省端应用服务器:HTTP(端口 7015)访问 源访问 目标访问 方向协 议
14、端口号联网软件部端应用服务器联网软件省端数据库服务 器接入区-内部网TCP1521、1526联网软件部端数据库服务 器联网软件省端数据库服务 器接入区-内部网TCP1521、1526联网软件省端应用服务器联网软件省端数据库服务 器资源区-内部 网TCP1521、1526联网软件省端客户机联网软件省端应用服务器内部网-资源 区TCP7015联网软件市端客户机联网软件省端应用服务器接入区-资源 区TCP7015配置规则:六、实施商要提交的信息软件集成商实施后要提交的信息:网络拓扑图(含服务器地址)服务器信息主机名、用途、IP地址、DNS记录名、型号、 配置、操作系统DNS安装配置文档(含记录信息)
15、防火墙配置规则七、各省工作要求 (一)各省协助金保工程部分软件的部署集成商进行本 省DNS服务器配置,协调所辖地市完成DNS解析相关工作。 (二)各省市应确保其域名服务器24小时正常工作,以 保障业务专网各应用系统的正常运行。 (三)已实现省市联网、尚未与部网络互联的地区,配 合部里确定的集成商(劳社信息函20082号关于金保 工程部省联网线路调整和部省市网络互联系统集成商的通 知),尽快完成部省市三级网络互联工作。 (四)已建省市视频会议系统、与部视频会议系统尚未 互联的地区,与部信息中心联系,开展部省市视频会议系 统的互连工作。尚未建设省市视频会议系统的地区,应尽 快建设省市视频会议系统。谢谢!
