XX财政支付平台网络系统方案4-26-1.docVIP

网络系统 网络系统需求 根据前面项目的需求分析，并结合现有情况，奉贤区财政支付平台网络总体拓扑如图所示： 整个系统将部署在区政务外网区域： 支付平台网络拓扑 网络总体拓扑说明： 系统的接入主要由各个预算单位通过区政务外网实现，是一个范围较小、边界清晰的核心业务系统，该区域为系统的核心区域，内部有大量的重要数据（部分涉密），需要采用强化的安全手段保证系统安全，即该区域设计以安全性为核心。整个网络通过一条1000MB带宽的光纤和政务外网连接。 本系统建设内容还包括，一级预算单位通过政务外网接入支付平台，通过利用MPLS VPN一级预算单位可以实现平台的安全通信；为部分财政内网用户提供应用。 本系统还需要和部署在财政内网的区财政局SMF系统实现数据交流。通过在两个区域间添加两台前置机，以电子开关实现数据交换。 本系统还必须实现异地灾备，灾备地点为区政务外网核心机房。 整个财政支付平台采用以一台千兆防火墙为安全核心的网络架构，通过该千兆防火墙隔离WEB区域和核心服务器区域，保证网络的内部都可以得到防火墙的保护。 财政支付平台核心交换区域和核心交换设备采用一台具有多个业务槽位、支持冗余扩展的高性能核心网络交换机，以千兆以太网线接入千兆防火墙，提供稳定、高效的网络交换处理能力，保证在高峰时段也可以正常运行。 两台WEB服务器以千兆以太网线接入一台负载均衡设备，该负载均衡设备还承担SSL加速服务；该负载均衡服务器以千兆以太网线接入核心交换机。 数据库服务器、应用服务器和平台备份服务器通过千兆以太网线接入到核心交换机，由交换机承担数据交换的工作，充分发挥了交换机的数据交换能力，同时也避免了网络阻塞的发生。 数据库服务器2GB光纤通道接入光纤交换机，备份服务器通过2GB光纤通道接入光纤交换机，带库和磁盘阵列通过2GB光纤通道接入光纤交换机。 其他服务器通过千兆以太网线接入核心交换机。 网络逻辑设计与性能优化 VLAN划分 本系统适合使用固定端口的VLAN模式，依据服务器用途至少需要划分为，WEB，应用、数据库和管理区域四个VLAN。 IP地址规划 IP地址规划遵循以下原则： IP地址的规划与划分应该考虑到业务发展，能够满足未来发展的需要；预留相应的地址段； IP地址的分配需要有足够的灵活性，能够满足各种用户的接入； IP地址的分配可以采用VLSM技术，以保证IP地址的利用效率； 充分合理利用已申请的地址空间，提高地址的利用效率。 在财政支付平台内部的IP分配主要用C类IP地址。 网络系统的IP分配 为了保证网络系统的IP管理便利，同时又保证系统发展的有序性，因此做好IP分配方案是及其重要的，其基本原则是： 服务器地址分配从小到大； 客户地址分配从小到大的； 网络设备分配从大到小的地址。 域名规划 财政支付平台的域名规划按照国家电子政务的统一原则进行，并满足上海市和奉贤区的相关规定。 链路负载均衡 财政支付平台通过一条线路与区政务外网连接，不进行链路负载均衡。 QoS服务质量保障 在本项目中，需要保证的重要应用主要是数据库及应用服务器区域的业务。 网络设备选型 在财政支付系统的建设过程中需要增加以下网络设备： 因为财政内网交换机端口已经接近饱和，需要添加一台汇聚交换机，用于接入财政内网数据库服务器和应用服务器。 需增加网络设备清单 设备名称 单位 数量 配置要求 核心交换机 （财政支付平台） 台 1 双电源，背板带宽96Gbps，包转发率72Mpps，48个10/100/1000M RJ45接口，4个SPF光纤模块插槽 汇聚交换机 （财政内网） 台 1 背板带宽32Gbps，包转发率38.7 Mpps，48个10/100/1000M RJ45接口，4个SPF光纤模块插槽 服务器和存储系统 核心服务器规划 目前主流的应用模式是采用台服务器，一台为前端的Web服务器，另一台的数据库服务器作为后台，Web服务器可置于防火墙的DMZ区，而后台的数据库服务器则可置于防火墙保护中的内部网络。前端Web服务器承载实现Web，数据库服务器主要承载后端的数据库应用，实现访问时的数据库调用。 应用服务器 需要采用新型PC服务器CPU，同时为了保证系统的高可用性，需要采用2个CPU的1台PC server。 部分工作在财政内网的用户，由于财政内网和政务外网是物理隔离，因此需要一台独立的应用服务器为这些用户提供服务，需要采用2个CPU的1台PC server。 服务器规划 在整个系统规划中，当然还包括一些服务器如：网管服务器、防病毒服务器等。由于这些服务器在整个系统架构中处于非核心地位，因此在性能方面要求有所降低，但还是要保证安全性及可靠性。从业务类型及投资方面考虑，此类服务器均采用PC服务器。 存储设备 数据库服务器使用一台本地磁盘阵列作为数据存储。采用一