我國加快了政府部門的信息化進程,為了提高政府系統(tǒng)的整體工作效率,建設一個安全可靠的政府綜合管理信息系統(tǒng),提供一個快速、高效、網絡化的工作環(huán)境勢在必行。筆者最近參與了某政府部門的網絡信息化建設,在組網的過程中有許多收獲,不敢獨享,現(xiàn)將工作筆記整理成文,供其他政府部門或中小企業(yè)的計算機網絡人士參考。
一、現(xiàn)有網絡分析:
組網前應對內部光纜主干的需求、Internet接入的需求、應用需求(包括辦公自動化系統(tǒng)、內部WEB網站建立的需求)、網絡流量的需求、網絡安全需求、設備及性能需求、網管需求和系統(tǒng)整體需求這八個方面進行細致的分析。
1. 內部光纜主干的需求:要求分析布線系統(tǒng)是否完成,網絡設備的現(xiàn)狀和分支機構的接入方式等幾個問題。
2. Internet接入的需求:采用128KDDN、ISDN接入。分支機構采用撥號方式接入外網,實現(xiàn)Internet訪問。應注意的是,為適應市場需求增長、協(xié)調現(xiàn)有通信能力與信息流通的需要,要備份冗余光纖,保護現(xiàn)有投資。
3. 應用需求:為了能夠讓公務人員從繁重的文字處理中解脫出來,用計算機信息系統(tǒng)交流和處理日常事務、構建公文系統(tǒng)、日常辦公系統(tǒng)、檔案系統(tǒng)、電子郵件系統(tǒng)等功能,且需要操作簡單,適合政府部門使用,從而有效地提高工作效率。
4. 網絡流量的需求:要求網絡有足夠的吞吐量,保證信息高質量、高效率的傳輸。
5. 網絡安全需求:政府部門要求有完善的政府安全管理體制,能確保網絡內部的安全可靠,防止來自外部和內部的入侵和非法訪問,保證關鍵數(shù)據系統(tǒng)中信息的安全。
而其余幾方面需求的分析則由組網方自由掌握,在此筆者不一一介紹。
二、系統(tǒng)設計原則:
組建政府信息化系統(tǒng)時我們應嚴格遵循以下原則設計系統(tǒng):
實用性、開放性、可靠性、先進性、安全性、可管理性、可擴充性。
三、網絡設計方案:
根據當今網絡發(fā)展方向可將網絡劃分為內部網、外部網兩部分。要特別注意的是應將內外網絡進行物理隔離。
1. 內部網架構:內部網絡的核心是整個系統(tǒng)的中心,它提供一個千兆以太網的網絡通信平臺以及網絡核心管理服務。整個網絡的核心應設在網絡管理中心內,用于高速局域網匯聚設備的連接,網絡管理工作站和網絡應用服務器也將直接連入到核心設備上,實現(xiàn)內部的局域網。
2. 外部網架構:在外部網絡,通過外部網交換機構建整個網絡平臺。通過配置訪問路由器提供DDN、ISDN接入和多個用戶遠程撥號接入。分別實現(xiàn)外部網絡對internet的訪問和分支機構撥號接入局域網。
四、產品選購分析:
在產品選購之前一定要經過認真的分析,筆者這次參與組網的機構選用美國Cisco公司的Catalyst 6506作為數(shù)據網絡系統(tǒng)的內部核心交換機,Catalyst 6506是大容量的具有高交換能力的第三層模塊化交換機,Catalyst 6506的交換容量以及端口數(shù)量等技術指標足以滿足網絡目前的需求。選擇Catalyst 3548作為外網交換機。選擇Cisco Catalyst 3524和Catalyst 3548交換機作為局域網匯聚層設備,Cisco Catalyst 3524和Catalyst 3548交換機因其良好的性價比非常適合于作為局域網匯聚層的設備,可以通過千兆的光纖鏈路連接到核心交換機,而所有的用戶終端可以通過10/100M自適應通道接入到Cisco Catalyst 3524和Catalyst 3548交換機上。選擇Catalyst 3524和Catalyst 3548作為計算機網絡系統(tǒng)的二級匯聚交換機,為終端用戶提供10/100M到桌面。選擇Cisco 3662作為計算機網絡系統(tǒng)DDN、ISDN訪問路由器,既可以滿足上級單位Internet的DDN、ISDN接入的需求,又可以滿足繼續(xù)擴展的需求。同時Cisco 3662作為計算機網絡系統(tǒng)的撥號服務器,提供分支機構的撥號接入。
網絡核心層:用一臺Cisco的高端三層交換機Catalyst 6506作為整個交換系統(tǒng)的核心,由網絡中心網絡管理員統(tǒng)一調度,從而使計算機網絡系統(tǒng)成為一個具有整合的千兆以太網主干并具備第三層交換功能的綜合網絡通信平臺。其中配置兩個電源同時供電,彼此分擔負荷并互為備份。一塊WS-X6K-S1A-MSFC2交換引擎是交換機的心臟,它控制交換機的尋址、數(shù)據轉發(fā)、模塊控制等。 Catalyst6506交換機引擎卡上的MSFC2 (Multilayer Switching Feature Card)卡具有極強的三層交換能力,利用Cisco特有的Netflow技術,完全滿足核心線性三層交換的能力。另一塊WS-X6408-GBIC 的8端口千兆以太光纖模塊將所有的匯聚層設備、接入層設備、網管工作站及網絡應用服務器都直接連入到核心層設備上去。
匯聚層:在分配線間分別設立Cisco Catalyst 3524和Catalyst 3548作為計算機網絡系統(tǒng)匯聚層設備,匯聚層設備將通過光纜以千兆以太網為主干連接到核心層設備Catalyst 6506上去,終端用戶可以通過超5類UTP線纜連接到各層交換機中去,可以實現(xiàn)10/100M的自適應通道連接到局域網中去。
接入層:在網絡接入層中,我們選用了一臺Cisco 3660路由器作為廣域互連和外部用戶撥號訪問網關,其中主要采用了兩種接入方式分別實現(xiàn)各自功能:
1.DDN接入方式,
2. 撥號電話接入方式。
五、虛擬網設計方案:
由于整個網絡較大,所以必須通過劃分VLAN來實現(xiàn)流量的合理分配、內部網絡的安全。通常VLAN的實現(xiàn)有以下幾種方法:
●基于端口的虛擬工作組,
●基于MAC、協(xié)議、子網的虛擬工作組,
●Tagged VLAN:通過在數(shù)據幀中增加VLAN標記位來區(qū)分不同的工作組。
我們選用的Catalyst 6506等交換機都支持以上各種VLAN的劃分方法。
BR>設計建議:
雖然三種方式各有千秋,但是從實際出發(fā),采用基于交換端口的VLAN劃分方式是一種理想的選擇,也是目前實際中普遍采用的劃分方式。
考慮到網絡安全性的需要,還可以在路由交換機上進行相應的設置,實現(xiàn)網絡訪問控制。比如我們可以限制哪些用戶擁有訪問中心服務器的權利,哪些則沒有。
根據以上思想,我們可以將計算機網絡(根據不同的部門劃分)劃分成幾個不同的虛擬網,并賦予不同的IP子網地址。
六、IP地址規(guī)劃:
由于系統(tǒng)的特殊性,整個網絡采用的是專用的網段70.xx.xx.xx,可以配合虛擬網的劃分,給不同的虛擬網配置不同的子網段,整個網絡可以非常方便地劃分為幾個子網,子網之間的通信由中心路由式交換機來實現(xiàn),具體可以采用OSPF路由協(xié)議。
七、網管方案:
在計算機網絡系統(tǒng)中,我們選用Cisco Works Windows 5.0作為網絡管理平臺。Cisco Works Windows 5.0是套智能網絡管理軟件,Cisco Works Windows 5.0提供了強大的管理工具,可以輕易地管理中小型網絡或工作組。Cisco路由器、交換機、集線器和訪問服務器的各種信息都可以智能設置,還可以鏡像打印機、工作站、服務器和重要的網絡服務。
八、網絡的安全性:
由于是政府部門,所以對網絡的安全要求非常高。為了得到最好的安全性,我們可以通過配置Cisco PIX防火墻實現(xiàn)內部網絡與外部網絡物理上的隔離。
九、辦公網絡系統(tǒng)的應用:
政府辦公網絡系統(tǒng)主要是為了讓公務人員從繁重的文字處理中解脫出來,用計算機信息系統(tǒng)交流和處理日常事務,能夠實現(xiàn)公文管理、領導日程安排、會議管理、公共信息傳輸、信息公告、個人工作計劃、檔案管理、電子郵件等功能,從而可以有效地提高工作效率。
整個政府辦公自動化軟件系統(tǒng)采用了Intranet設計原則,用TCP/IP協(xié)議。軟件系統(tǒng)體系結構為B/S結構。整個系統(tǒng)對于網絡用戶來說是一個統(tǒng)一的整體,用戶無須了解和安裝各種網絡應用軟件子系統(tǒng),就可以查詢網絡上的所有資源。