金保工程部省联网实施方案

附件1

金保工程部省联网实施方案

为实施金保工程全国联网，制订此方案，供部省联网遵照执行、各省市联网参照执行。

一、网络联接方式

劳动保障部(部网络中心节点，简称部中心节点)与各省(省网络中心节点，简称省中心节点)的联接以SDH电路作为主用线路，以ISDN拨号作为备份。对于主用线路，部端采用１*155M STM-1接口，省端采用１*2M G.703接口。对于备份线路，部端采用２*PRI接口，省端采用4*BRI接口。

部省广域网络联接示意见图1所示，部省市三级网络结构见图2所示。

二、设备配置

(一)主机设备

省端联网主机设备包括交换库服务器和前置机服务器。数据库服务器可采用小型机或PC 服务器，操作系统可为Unix /Windows 2000 Server或以上版本，数据库系统须为Oracle8.0以上版本。前置机须采用PC服务器，操作系统须配置Windows 2000 Server或以上版本。如果数据库服务器和前置机服务器共用一台服务器，须选择PC服务器以支持前置机中数据传输软件的运行。

(二)客户机配置

客户机用于本地交换库和下级交换库信息的查询，可采用PC机，操作系统为Windows98或以上版本，安装Oracle客户端软件(与服务器端版本一致)，采用中文字符集(SIMPLIFIED CHINESE_CHINA.ZHS16GBK)，安装Office97以上版本(推荐使用，打印效果会更好)。

(三)路由设备

部省广域网络设备选择华为路由器。配置如下：

1．主路由设备

R3680E-RPS：双电源；２*E1/CE1接口；2*FE 接口。

图1 劳动保障系统部省广域网络联接示意

7

图2 劳动保障系统部省市三级网络结构

8

2. 备份路由设备

R3680E-RPS：双电源；4*BRI接口；2*FXS语音接口(8路IP话音)；2*FE 接口。

(四)电话机

在部省联网中，将同时开通IP电话业务。省端可配置最多8台普通电话机。

(五)交换机和安全设备

交换机设备要求为支持100Mbps速率的以太网交换机。

本方案中对网络安全设备暂仅配置防火墙，数据传输加密和身份认证等安全设备配置方案另行提出。防火墙要求具有２穴以上接口，如果具有动态端口功能，则必须支持部省联网软件所需的扩展FTP命令(REST 参数；CHKM 参数；INIF 参数；FLST 参数；WLOG 参数；GINF 参数；GSUM 参数；GDTL 参数)；如果不具有动态端口功能，则无限制，但需在包过滤规则中将防火墙的20和21端口同时打开,安全性上要差一些。

三、设备命名

(一)路由设备命名

路由设备的命名遵循下列原则:

1．部级网络路由设备命名为：Rxy.MOLSS；

2．省级网络路由设备命名为：Rxy.省级地名缩写；

3．市级网络路由设备命名为：Rxy.市级地名缩写.省级地名缩写。

x为路由器联接线路用途缩写，如主路由P、备份路由B；

y为路由器联接线路类型缩写，如SDH、ISDN、FR、PSTN、DDN、ETH；

省级地名缩写和市级地名缩写按照国家标准《中华人民共和国行政区划代码》(GB/T2260-2002)命名。详见附表1-1省级行政区划名和市级行政区划名缩写表。市级行政区划有变化的，请将变化情况报部信息中心，由部信息中心商国家质检总局确定缩写名。

例如, 部级网络主路由设备命名为：RPSDH.MOLSS ; 与部联接的山东省劳动保障部门备份路由设备命名为RBISDN.SD ; 与山东省联接的烟台市劳动保障部门主路由设备命名为：RPDDN.YNT.SD。

(二)主机系统命名

互联主机设备的命名遵循下列原则:

1．部级网络主机设备命名为：Sx.MOLSS；

2．省级网络主机设备命名为：Sx.省级地名缩写；

3．市级网络主机设备命名为：Sx.市级地名缩写. 省级地名缩写。

x为主机用途缩写，如交换库服务器取SIDB,前置机服务器取SIAPP，当交换库服务器与前置机合用一台机器时取SI。

省级地名缩写、市级地名缩写同路由设备命名。

例如，辽宁省劳动保障部门交换库服务器命名为SSIDB.LN；辽宁省劳动保障部门前置机命名为SSIAPP.LN。

四、网关、主机等设备地址

(一)联接方式

部省联网省端网络联接方式有两种：

1．省端配有防火墙。建议将前置机放到防火墙的DMZ网段，交换库服务器放到内网段，见图3所示。

2．省端暂未配防火墙时，省端网络的联接方式见图4所示。

X.X.X.240/24 内部网

VRRP

资源区

(X.X.X.0-31/27）

交换库服务器 地址：Y.Y.Y.Y/N 网关：Y.Y.Y.Y/N

前置机 图3 省端配置防火墙的连接方式

内部网

VRRP

资源区

(X.X.X.0-31/24)

图4 省端未配防火墙的连接方式

(二)地址分配

各省、自治区和直辖市根据《劳动保障业务专网IP地址规划方案》(劳社信息函[2003]7号)，从省本级地址空间中，为广域网的接入分配并上报1个C类地址空间(x.x.x.1-x.x.x.255/24)。地址空间的分配原则：从大到小分配网关地址，如果采用VRRP 双路由器，虚地址使用高地址，实地址使用低地址；从小到大分配主机地址，如果采用双机，虚地址使用低地址，实地址使用高地址。

1．省端配有防火墙的地址分配

2．省端暂未配防火墙的地址分配

(三)上报地址

请各省联网单位上报下列地址：

１．为省端广域网接入分配的1个C类地址空间(x.x.x.1-x.x.x.255/24)。