我國(guó)加快了政府部門(mén)的信息化進(jìn)程,為了提高政府系統(tǒng)的整體工作效率,建設(shè)一個(gè)安全可靠的計(jì)算機(jī)網(wǎng)絡(luò)綜合治理信息系統(tǒng),提供一個(gè)快速、高效、網(wǎng)絡(luò)化的工作環(huán)境勢(shì)在必行。筆者最近參與了某政府部門(mén)的網(wǎng)絡(luò)信息化建設(shè),在組網(wǎng)的過(guò)程中有許多收獲,不敢獨(dú)享,現(xiàn)將工作筆記整理成文,供其他政府部門(mén)或中小企業(yè)的計(jì)算機(jī)網(wǎng)絡(luò)人士參考。
一、現(xiàn)有網(wǎng)絡(luò)分析:
組網(wǎng)前應(yīng)對(duì)內(nèi)部光纜主干的需求、Internet接入的需求、應(yīng)用需求(包括辦公自動(dòng)化系統(tǒng)、內(nèi)部WEB網(wǎng)站建立的需求)、網(wǎng)絡(luò)流量的需求、網(wǎng)絡(luò)安全需求、設(shè)備及性能需求、網(wǎng)管需求和系統(tǒng)整體需求這八個(gè)方面進(jìn)行細(xì)致的分析。
1. 內(nèi)部光纜主干的需求:要求分析布線系統(tǒng)是否完成,網(wǎng)絡(luò)設(shè)備的現(xiàn)狀和分支機(jī)構(gòu)的接入方式等幾個(gè)問(wèn)題。
2. Internet接入的需求:采用128KDDN、ISDN接入。分支機(jī)構(gòu)采用撥號(hào)方式接入外網(wǎng),實(shí)現(xiàn)Internet訪問(wèn)。應(yīng)注重的是,為適應(yīng)市場(chǎng)需求增長(zhǎng)、協(xié)調(diào)現(xiàn)有通信能力與信息流通的需要,要備份冗余光纖,保護(hù)現(xiàn)有投資。
3. 應(yīng)用需求:為了能夠讓公務(wù)人員從繁重的文字處理中解脫出來(lái),用計(jì)算機(jī)信息系統(tǒng)交流和處理日常事務(wù)、構(gòu)建公文系統(tǒng)、日常辦公系統(tǒng)、檔案系統(tǒng)、電子郵件系統(tǒng)等功能,且需要操作簡(jiǎn)單,適合政府部門(mén)使用,從而有效地提高工作效率。
4. 網(wǎng)絡(luò)流量的需求:要求網(wǎng)絡(luò)有足夠的吞吐量,保證信息高質(zhì)量、高效率的傳輸。
5. 網(wǎng)絡(luò)安全需求:政府部門(mén)要求有完善的安全治理體制,能確保網(wǎng)絡(luò)內(nèi)部的安全可靠,防止來(lái)自外部和內(nèi)部的入侵和非法訪問(wèn),保證要害數(shù)據(jù)系統(tǒng)中信息的安全。
而其余幾方面需求的分析則由組網(wǎng)方自由把握,在此筆者不一一介紹。
二、系統(tǒng)設(shè)計(jì)原則:
組建網(wǎng)絡(luò)信息化系統(tǒng)時(shí)我們應(yīng)嚴(yán)格遵循以下原則設(shè)計(jì)系統(tǒng):
實(shí)用性、開(kāi)放性、可靠性、先進(jìn)性、安全性、可治理性、可擴(kuò)充性。
三、網(wǎng)絡(luò)設(shè)計(jì)方案:
根據(jù)當(dāng)今網(wǎng)絡(luò)發(fā)展方向可將網(wǎng)絡(luò)劃分為內(nèi)部網(wǎng)、外部網(wǎng)兩部分。要非凡注重的是應(yīng)將內(nèi)外網(wǎng)絡(luò)進(jìn)行物理隔離。
1. 內(nèi)部網(wǎng)架構(gòu):內(nèi)部網(wǎng)絡(luò)的核心是整個(gè)系統(tǒng)的中心,它提供一個(gè)千兆以太網(wǎng)的網(wǎng)絡(luò)通信平臺(tái)以及網(wǎng)絡(luò)核心治理服務(wù)。整個(gè)網(wǎng)絡(luò)的核心應(yīng)設(shè)在網(wǎng)絡(luò)治理中心內(nèi),用于高速局域網(wǎng)匯聚設(shè)備的連接,網(wǎng)絡(luò)治理工作站和網(wǎng)絡(luò)應(yīng)用服務(wù)器也將直接連入到核心設(shè)備上,實(shí)現(xiàn)內(nèi)部的局域網(wǎng)。
2. 外部網(wǎng)架構(gòu):在外部網(wǎng)絡(luò),通過(guò)外部網(wǎng)交換機(jī)構(gòu)建整個(gè)網(wǎng)絡(luò)平臺(tái)。通過(guò)配置訪問(wèn)路由器提供DDN、ISDN接入和多個(gè)用戶(hù)遠(yuǎn)程撥號(hào)接入。分別實(shí)現(xiàn)外部網(wǎng)絡(luò)對(duì)internet的訪問(wèn)和分支機(jī)構(gòu)撥號(hào)接入局域網(wǎng)。
四、產(chǎn)品選購(gòu)分析:
在產(chǎn)品選購(gòu)之前一定要經(jīng)過(guò)認(rèn)真的分析,筆者這次參與組網(wǎng)的機(jī)構(gòu)選用美國(guó)Cisco公司的Catalyst 6506作為數(shù)據(jù)網(wǎng)絡(luò)系統(tǒng)的內(nèi)部核心交換機(jī),Catalyst 6506是大容量的具有高交換能力的第三層模塊化交換機(jī),Catalyst 6506的交換容量以及端口數(shù)量等技術(shù)指標(biāo)足以滿(mǎn)足網(wǎng)絡(luò)目前的需求。選擇Catalyst 3548作為外網(wǎng)交換機(jī)。選擇Cisco Catalyst 3524和Catalyst 3548交換機(jī)作為局域網(wǎng)匯聚層設(shè)備,Cisco Catalyst 3524和Catalyst 3548交換機(jī)因其良好的性?xún)r(jià)比非常適合于作為局域網(wǎng)匯聚層的設(shè)備,可以通過(guò)千兆的光纖鏈路連接到核心交換機(jī),而所有的用戶(hù)終端可以通過(guò)10/100M自適應(yīng)通道接入到Cisco Catalyst 3524和Catalyst 3548交換機(jī)上。選擇Catalyst 3524和Catalyst 3548作為計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)的二級(jí)匯聚交換機(jī),為終端用戶(hù)提供10/100M到桌面。選擇Cisco 3662作為計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)DDN、ISDN訪問(wèn)路由器,既可以滿(mǎn)足上級(jí)單位Internet的DDN、ISDN接入的需求,又可以滿(mǎn)足繼續(xù)擴(kuò)展的需求。同時(shí)Cisco 3662作為計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)的撥號(hào)服務(wù)器,提供分支機(jī)構(gòu)的撥號(hào)接入。
網(wǎng)絡(luò)核心層:用一臺(tái)Cisco的高端三層交換機(jī)Catalyst 6506作為整個(gè)交換系統(tǒng)的核心,由網(wǎng)絡(luò)中心網(wǎng)絡(luò)治理員統(tǒng)一調(diào)度,從而使計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)成為一個(gè)具有整合的千兆以太網(wǎng)主干并具備第三層交換功能的綜合網(wǎng)絡(luò)通信平臺(tái)。其中配置兩個(gè)電源同時(shí)供電,彼此分擔(dān)負(fù)荷并互為備份。一塊WS-X6K-S1A-MSFC2交換引擎是交換機(jī)的心臟,它控制交換機(jī)的尋址、數(shù)據(jù)轉(zhuǎn)發(fā)、模塊控制等。 Catalyst6506交換機(jī)引擎卡上的MSFC2 (Multilayer Switching Feature Card)卡具有極強(qiáng)的三層交換能力,利用Cisco特有的Netflow技術(shù),完全滿(mǎn)足核心線性三層交換的能力。另一塊WS-X6408-GBIC 的8端口千兆以太光纖模塊將所有的匯聚層設(shè)備、接入層設(shè)備、網(wǎng)管工作站及網(wǎng)絡(luò)應(yīng)用服務(wù)器都直接連入到核心層設(shè)備上去。
匯聚層:在分配線間分別設(shè)立Cisco Catalyst 3524和Catalyst 3548作為計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)匯聚層設(shè)備,匯聚層設(shè)備將通過(guò)光纜以千兆以太網(wǎng)為主干連接到核心層設(shè)備Catalyst 6506上去,終端用戶(hù)可以通過(guò)超5類(lèi)UTP線纜連接到各層交換機(jī)中去,可以實(shí)現(xiàn)10/100M的自適應(yīng)通道連接到局域網(wǎng)中去。
接入層:在網(wǎng)絡(luò)接入層中,我們選用了一臺(tái)Cisco 3660路由器作為廣域互連和外部用戶(hù)撥號(hào)訪問(wèn)網(wǎng)關(guān),其中主要采用了兩種接入方式分別實(shí)現(xiàn)各自功能:
1.DDN接入方式,
2. 撥號(hào)電話接入方式。
五、虛擬網(wǎng)設(shè)計(jì)方案:
由于整個(gè)網(wǎng)絡(luò)較大,所以必須通過(guò)劃分VLAN來(lái)實(shí)現(xiàn)流量的合理分配、內(nèi)部網(wǎng)絡(luò)的安全。通常VLAN的實(shí)現(xiàn)有以下幾種方法:
●基于端口的虛擬工作組,
●基于MAC、協(xié)議、子網(wǎng)的虛擬工作組,
●Tagged VLAN:通過(guò)在數(shù)據(jù)幀中增加VLAN標(biāo)記位來(lái)區(qū)分不同的工作組。
我們選用的Catalyst 6506等交換機(jī)都支持以上各種VLAN的劃分方法。
<BR> 設(shè)計(jì)建議:
雖然三種方式各有千秋,但是從實(shí)際出發(fā),采用基于交換端口的VLAN劃分方式是一種理想的選擇,也是目前實(shí)際中普遍采用的劃分方式。
考慮到網(wǎng)絡(luò)安全性的需要,還可以在路由交換機(jī)上進(jìn)行相應(yīng)的設(shè)置,實(shí)現(xiàn)網(wǎng)絡(luò)訪問(wèn)控制。比如我們可以限制哪些用戶(hù)擁有訪問(wèn)中心服務(wù)器的權(quán)利,哪些則沒(méi)有。
根據(jù)以上思想,我們可以將計(jì)算機(jī)網(wǎng)絡(luò)(根據(jù)不同的部門(mén)劃分)劃分成幾個(gè)不同的虛擬網(wǎng),并賦予不同的ip子網(wǎng)地址。
六、IP地址規(guī)劃:
由于系統(tǒng)的非凡性,整個(gè)網(wǎng)絡(luò)采用的是專(zhuān)用的網(wǎng)段70.xx.xx.xx,可以配合虛擬網(wǎng)的劃分,給不同的虛擬網(wǎng)配置不同的子網(wǎng)段,整個(gè)網(wǎng)絡(luò)可以非常方便地劃分為幾個(gè)子網(wǎng),子網(wǎng)之間的通信由中心路由式交換機(jī)來(lái)實(shí)現(xiàn),具體可以采用OSPF路由協(xié)議。
七、網(wǎng)管方案:
在計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)中,我們選用Cisco Works Windows 5.0作為網(wǎng)絡(luò)治理平臺(tái)。Cisco Works Windows 5.0是套智能網(wǎng)絡(luò)治理軟件,Cisco Works Windows 5.0提供了強(qiáng)大的治理工具,可以輕易地治理中小型網(wǎng)絡(luò)或工作組。Cisco路由器、交換機(jī)、集線器和訪問(wèn)服務(wù)器的各種信息都可以智能設(shè)置,還可以鏡像打印機(jī)、工作站、服務(wù)器和重要的網(wǎng)絡(luò)服務(wù)。
八、網(wǎng)絡(luò)的安全性:
由于是政府部門(mén),所以對(duì)網(wǎng)絡(luò)的安全要求非常高。為了得到最好的安全性,我們可以通過(guò)配置Cisco PIX防火墻實(shí)現(xiàn)內(nèi)部網(wǎng)絡(luò)與外部網(wǎng)絡(luò)物理上的隔離。
九、辦公網(wǎng)絡(luò)系統(tǒng)的應(yīng)用:
辦公網(wǎng)絡(luò)系統(tǒng)主要是為了讓公務(wù)人員從繁重的文字處理中解脫出來(lái),用計(jì)算機(jī)信息系統(tǒng)交流和處理日常事務(wù),能夠?qū)崿F(xiàn)公文治理、領(lǐng)導(dǎo)日程安排、會(huì)議治理、公共信息傳輸、信息公告、個(gè)人工作計(jì)劃、檔案治理、電子郵件等功能,從而可以有效地提高工作效率。
整個(gè)辦公自動(dòng)化軟件系統(tǒng)采用了Intranet設(shè)計(jì)原則,用TCP/IP協(xié)議。軟件系統(tǒng)體系結(jié)構(gòu)為B/S結(jié)構(gòu)。整個(gè)系統(tǒng)對(duì)于網(wǎng)絡(luò)用戶(hù)來(lái)說(shuō)是一個(gè)統(tǒng)一的整體,用戶(hù)無(wú)須了解和安裝各種網(wǎng)絡(luò)應(yīng)用軟件子系統(tǒng),就可以查詢(xún)網(wǎng)絡(luò)上的所有資源。
到此,政府部門(mén)組網(wǎng)解決方案的全流程就給大家介紹完畢了。希望廣大讀者能夠通過(guò)我介紹的組網(wǎng)方案舉一反三,從而組建自己所需要的實(shí)用網(wǎng)絡(luò)系統(tǒng)。
新聞熱點(diǎn)
疑難解答
圖片精選
網(wǎng)友關(guān)注
