附件1金保工程部省联网实施方案为实施金保工程全国联网，制订此方案，供部省联网遵照执行、各省市联网参照执行。

一、网络联接方式劳动保障部(部网络中心节点，简称部中心节点)与各省(省网络中心节点，简称省中心节点)的联接以SDH电路作为主用线路，以ISDN拨号作为备份。

对于主用线路，部端采用１*155M STM-1接口，省端采用１*2M G.703接口。

对于备份线路，部端采用２*PRI接口，省端采用4*BRI接口。

部省广域网络联接示意见图1所示，部省市三级网络结构见图2所示。

二、设备配置(一)主机设备省端联网主机设备包括交换库服务器和前置机服务器。

数据库服务器可采用小型机或PC 服务器，操作系统可为Unix /Windows 2000 Server或以上版本，数据库系统须为Oracle8.0以上版本。

前置机须采用PC服务器，操作系统须配置Windows 2000 Server或以上版本。

如果数据库服务器和前置机服务器共用一台服务器，须选择PC服务器以支持前置机中数据传输软件的运行。

(二)客户机配置客户机用于本地交换库和下级交换库信息的查询，可采用PC机，操作系统为Windows98或以上版本，安装Oracle客户端软件(与服务器端版本一致)，采用中文字符集(SIMPLIFIED CHINESE_CHINA.ZHS16GBK)，安装Office97以上版本(推荐使用，打印效果会更好)。

(三)路由设备部省广域网络设备选择华为路由器。

配置如下：1．主路由设备R3680E-RPS：双电源；２*E1/CE1接口；2*FE 接口。

图1 劳动保障系统部省广域网络联接示意7图2 劳动保障系统部省市三级网络结构82. 备份路由设备R3680E-RPS：双电源；4*BRI接口；2*FXS语音接口(8路IP话音)；2*FE 接口。

(四)电话机在部省联网中，将同时开通IP电话业务。

省端可配置最多8台普通电话机。

(五)交换机和安全设备交换机设备要求为支持100Mbps速率的以太网交换机。

本方案中对网络安全设备暂仅配置防火墙，数据传输加密和身份认证等安全设备配置方案另行提出。

防火墙要求具有２穴以上接口，如果具有动态端口功能，则必须支持部省联网软件所需的扩展FTP命令(REST 参数；CHKM 参数；INIF 参数；FLST 参数；WLOG 参数；GINF 参数；GSUM 参数；GDTL 参数)；如果不具有动态端口功能，则无限制，但需在包过滤规则中将防火墙的20和21端口同时打开,安全性上要差一些。

三、设备命名(一)路由设备命名路由设备的命名遵循下列原则:1．部级网络路由设备命名为：Rxy.MOLSS；2．省级网络路由设备命名为：Rxy.省级地名缩写；3．市级网络路由设备命名为：Rxy.市级地名缩写.省级地名缩写。

x为路由器联接线路用途缩写，如主路由P、备份路由B；y为路由器联接线路类型缩写，如SDH、ISDN、FR、PSTN、DDN、ETH；省级地名缩写和市级地名缩写按照国家标准《中华人民共和国行政区划代码》(GB/T2260-2002)命名。

详见附表1-1省级行政区划名和市级行政区划名缩写表。

市级行政区划有变化的，请将变化情况报部信息中心，由部信息中心商国家质检总局确定缩写名。

例如, 部级网络主路由设备命名为：RPSDH.MOLSS ; 与部联接的山东省劳动保障部门备份路由设备命名为RBISDN.SD ; 与山东省联接的烟台市劳动保障部门主路由设备命名为：RPDDN.YNT.SD。

(二)主机系统命名互联主机设备的命名遵循下列原则:1．部级网络主机设备命名为：Sx.MOLSS；2．省级网络主机设备命名为：Sx.省级地名缩写；3．市级网络主机设备命名为：Sx.市级地名缩写. 省级地名缩写。

x为主机用途缩写，如交换库服务器取SIDB,前置机服务器取SIAPP，当交换库服务器与前置机合用一台机器时取SI。

省级地名缩写、市级地名缩写同路由设备命名。

例如，辽宁省劳动保障部门交换库服务器命名为SSIDB.LN；辽宁省劳动保障部门前置机命名为SSIAPP.LN。

四、网关、主机等设备地址(一)联接方式部省联网省端网络联接方式有两种：1．省端配有防火墙。

建议将前置机放到防火墙的DMZ网段，交换库服务器放到内网段，见图3所示。

2．省端暂未配防火墙时，省端网络的联接方式见图4所示。

X.X.X.240/24 内部网VRRP资源区(X.X.X.0-31/27）交换库服务器 地址：Y.Y.Y.Y/N 网关：Y.Y.Y.Y/N前置机 图3 省端配置防火墙的连接方式内部网VRRP资源区(X.X.X.0-31/24)图4 省端未配防火墙的连接方式(二)地址分配各省、自治区和直辖市根据《劳动保障业务专网IP地址规划方案》(劳社信息函[2003]7号)，从省本级地址空间中，为广域网的接入分配并上报1个C类地址空间(x.x.x.1-x.x.x.255/24)。

地址空间的分配原则：从大到小分配网关地址，如果采用VRRP 双路由器，虚地址使用高地址，实地址使用低地址；从小到大分配主机地址，如果采用双机，虚地址使用低地址，实地址使用高地址。

1．省端配有防火墙的地址分配2．省端暂未配防火墙的地址分配(三)上报地址请各省联网单位上报下列地址：１．为省端广域网接入分配的1个C类地址空间(x.x.x.1-x.x.x.255/24)。

２．部省联网防火墙在内网段上的地址及其掩码。

３．若交换库服务器与资源区不在相同网段中，则上报其实际地址及其掩码。

如果到交换库服务器还存在其他网关，则上报所有相关网关地址。

４．其他所有要与部网络通信的主机地址。

如果到这些主机间还存在其他网关，则上报所有相关网关地址。

五、广域网地址(一)广域网接口地址劳动保障部与各省的联接以SDH作为主用线路，以ISDN拨号作为备份线路。

两端主路由器、备份路由器广域网地址分别占１个C类地址。

金保工程部省联网广域网地址分配表见附件5。

(二)Loopback地址部省广域网接入区路由器Loopback地址占１个C类地址空间(10.3.2.0-x.x.x.255/32)。

每个节点分配4个地址,从低至高依次为:主路由器、备份路由器及接入区联接下级网络路由器Loopback地址。

金保工程部省联网广域网Loopback地址分配表见附件5。

六、路由策略部省广域网采用的路由协议为OSPF与静态路由相结合的模式。

根据劳动保障系统网络结构的特点，OSPF域划分为两级，部中心节点到省级网络为骨干域(0)，各省中心节点到市级网络为一个二级子域,使用省会城市长途区号作为域的标识。

OSPF域标识见下表所示，路由策略模式见图5所示。

1718图5 劳动保障系统路由区域规划(一)部省广域网络系统在部省两端主路由器的广域网接口、局域网接口、备份路由器的局域网接口上启用OSPF，并纳入OSPF (0) 区域。

同时分别在部省两端备份路由器的广域网接口上启用静态路由，作为OSPF的备份。

设置备份路由的优先级低于OSPF路由条目的优先级，在主线路发生故障时，路由器自动切换到备份路由。

(二)省市广域网络系统省中心节点与市级网络的联接方式如下：1．在省中心节点接入区中增加路由器，联接市级网络。

2．在省市两端主路由器的局域网接口、备份路由器的局域网接口上启用OSPF，并纳入OSPF(０)区域。

在省市两端主路由器的广域网接口上启用OSPF，并纳入OSPF 二级子域。

同时在省市两端备份路由器的广域网接口上启用静态路由，作为OSPF的备份。

3．在省中心节点路由器中对其下级市级网络路由表进行路由汇聚，将汇聚后的路由条目加入到部省联网路由系统内，减少网络核心区域路由表的数量，提高网络的性能。

七、路由器配置和管理(一)网络基础路由部省市广域联接网段典型结构参见图6所示，路由条目的配置要实现相关网段的互联互访。

内部网资源区图6 部省市广域联接网段典型结构1.部中心节点网络层设备需添加的路由条目2. 省中心节点网络层设备需添加的路由条目3. 与省联接的市节点网络层设备需添加的路由条目(二) QoS策略劳动保障部省广域网需要传输数据、视频和语音信息，是个多业务融合网络。

为保证各类信息的传输质量，使用CQ(定制队列)技术，为数据、视频和语音信息分配适当比例的带宽。

在网络拥塞的时候，每种信息流都有正常带宽传输的保障；在网络流量不大的时候，每种信息流自由分配带宽。

为实现QoS质量保证，在部省联网主干路由器的广域网接口上分配业务信息带宽比例为：语音12%,视频40%,数据48%。

(三) 路由器的管理路由器的管理通过不同级别用户来进行：1．管理员用户，能够做设备的配置和管理的所有任务，具有最高权限。

2．查询用户，只能做基本的设备状态查询，不能做任何配置任务。

对于部省广域网两端路由器的管理，采用集中管理、分布查询的管理模式。

部端具有管理员用户权限，各省端具有查询用户权限。

八、VoIP电话配置(一) 电话号码规则IP电话号码规则以不与电信的拨号规则相冲突为原则。

劳动和社会保障部具有PBX交换机，普通电话具备VoIP功能，其市内电话和长途电话还是按以前正常方式拔打；但其IP 电话拨号规则：IP功能号+长途区号+本地号码。

无PBX交换机的省市劳动保障部门，IP电话拨号规划：长途区号+本地号码。

长途区号为3或4位；劳动保障部本地号码采用原号码形式，如84201187；省市劳动保障部门本地号码采用3位短号，从001-100为与部联接的省中心节点单位的号码，目前设备配置只支持8个号码，从低位号码开始使用；省本级其他单位和省会城市使用101-999预留地址。

下表为部省IP电话号码分配表：在各省本单位内部拨打IP电话时,可采用缩位拨号,只需拨后3位本地号码即可。

(二) 话音质量控制为实现对VoIP话音质量的控制，需要从以下几方面进行整体优化配置：1．配置舒适噪音功能2．配置专线自动振铃功能3．配置回拨抵消功能和回波持续时间长度4．配置语音输入增益、输出增益5．配置检测DTMF码的灵敏度等级6．配置被叫侧语音用户线的拨号时间参数7．启动语音数据快速收发8．启动语音数据统计9．配置Jitter Buffer深度10．配置全局范围内语音数据包的优先级11．配置快速联接12．配置隧道功能13．配置DTMF码的传输方式九、边界防火墙部署为防止外部网络不安全信息流入内部网络和限制内部网络的重要信息流到外部网络, 部省市网络边界设置防火墙。

防火墙部署在主、备路由器以内，分别联接内部网、接入区和资源区，见图7所示。

内部网图7 防火墙部署(一)访问控制策略1. 养老保险联网应用软件占用的TCP端口资源为FTP 应用的5000、20、21、90端口，Oracle应用的1521和1526端口。