我国加快了政府部门的信息化进程,为了提高政府系统的整体工作效率,建设一个安全可靠的政府综合管理信息系统,提供一个快速、高效、网络化的工作环境势在必行。笔者最近参与了某政府部门的网络信息化建设,在组网的过程中有许多收获,不敢独享,现将工作笔记整理成文,供其他政府部门或中小企业的计算机网络人士参考。
一、现有网络分析:
组网前应对内部光缆主干的需求、Internet接入的需求、应用需求(包括办公自动化系统、内部WEB网站建立的需求)、网络流量的需求、网络安全需求、设备及性能需求、网管需求和系统整体需求这八个方面进行细致的分析。
1. 内部光缆主干的需求:要求分析布线系统是否完成,网络设备的现状和分支机构的接入方式等几个问题。
2. Internet接入的需求:采用128KDDN、ISDN接入。分支机构采用拨号方式接入外网,实现Internet访问。应注意的是,为适应市场需求增长、协调现有通信能力与信息流通的需要,要备份冗余光纤,保护现有投资。
3. 应用需求:为了能够让公务人员从繁重的文字处理中解脱出来,用计算机信息系统交流和处理日常事务、构建公文系统、日常办公系统、档案系统、电子邮件系统等功能,且需要操作简单,适合政府部门使用,从而有效地提高工作效率。
4. 网络流量的需求:要求网络有足够的吞吐量,保证信息高质量、高效率的传输。
5. 网络安全需求:政府部门要求有完善的政府安全管理体制,能确保网络内部的安全可靠,防止来自外部和内部的入侵和非法访问,保证关键数据系统中信息的安全。
而其余几方面需求的分析则由组网方自由掌握,在此笔者不一一介绍。
二、系统设计原则:
组建政府信息化系统时我们应严格遵循以下原则设计系统:
实用性、开放性、可靠性、先进性、安全性、可管理性、可扩充性。
三、网络设计方案:
根据当今网络发展方向可将网络划分为内部网、外部网两部分。要特别注意的是应将内外网络进行物理隔离。
1. 内部网架构:内部网络的核心是整个系统的中心,它提供一个千兆以太网的网络通信平台以及网络核心管理服务。整个网络的核心应设在网络管理中心内,用于高速局域网汇聚设备的连接,网络管理工作站和网络应用服务器也将直接连入到核心设备上,实现内部的局域网。
2. 外部网架构:在外部网络,通过外部网交换机构建整个网络平台。通过配置访问路由器提供DDN、ISDN接入和多个用户远程拨号接入。分别实现外部网络对internet的访问和分支机构拨号接入局域网。
四、产品选购分析:
在产品选购之前一定要经过认真的分析,笔者这次参与组网的机构选用美国Cisco公司的Catalyst 6506作为数据网络系统的内部核心交换机,Catalyst 6506是大容量的具有高交换能力的第三层模块化交换机,Catalyst 6506的交换容量以及端口数量等技术指标足以满足网络目前的需求。选择Catalyst 3548作为外网交换机。选择Cisco Catalyst 3524和Catalyst 3548交换机作为局域网汇聚层设备,Cisco Catalyst 3524和Catalyst 3548交换机因其良好的性价比非常适合于作为局域网汇聚层的设备,可以通过千兆的光纤链路连接到核心交换机,而所有的用户终端可以通过10/100M自适应通道接入到Cisco Catalyst 3524和Catalyst 3548交换机上。选择Catalyst 3524和Catalyst 3548作为计算机网络系统的二级汇聚交换机,为终端用户提供10/100M到桌面。选择Cisco 3662作为计算机网络系统DDN、ISDN访问路由器,既可以满足上级单位Internet的DDN、ISDN接入的需求,又可以满足继续扩展的需求。同时Cisco 3662作为计算机网络系统的拨号服务器,提供分支机构的拨号接入。
网络核心层:用一台Cisco的高端三层交换机Catalyst 6506作为整个交换系统的核心,由网络中心网络管理员统一调度,从而使计算机网络系统成为一个具有整合的千兆以太网主干并具备第三层交换功能的综合网络通信平台。其中配置两个电源同时供电,彼此分担负荷并互为备份。一块WS-X6K-S1A-MSFC2交换引擎是交换机的心脏,它控制交换机的寻址、数据转发、模块控制等。 Catalyst6506交换机引擎卡上的MSFC2 (Multilayer Switching Feature Card)卡具有极强的三层交换能力,利用Cisco特有的Netflow技术,完全满足核心线性三层交换的能力。另一块WS-X6408-GBIC 的8端口千兆以太光纤模块将所有的汇聚层设备、接入层设备、网管工作站及网络应用服务器都直接连入到核心层设备上去。
汇聚层:在分配线间分别设立Cisco Catalyst 3524和Catalyst 3548作为计算机网络系统汇聚层设备,汇聚层设备将通过光缆以千兆以太网为主干连接到核心层设备Catalyst 6506上去,终端用户可以通过超5类UTP线缆连接到各层交换机中去,可以实现10/100M的自适应通道连接到局域网中去。
接入层:在网络接入层中,我们选用了一台Cisco 3660路由器作为广域互连和外部用户拨号访问网关,其中主要采用了两种接入方式分别实现各自功能:
1.DDN接入方式,
2. 拨号电话接入方式。
五、虚拟网设计方案:
由于整个网络较大,所以必须通过划分VLAN来实现流量的合理分配、内部网络的安全。通常VLAN的实现有以下几种方法:
●基于端口的虚拟工作组,
●基于MAC、协议、子网的虚拟工作组,
●Tagged VLAN:通过在数据帧中增加VLAN标记位来区分不同的工作组。
我们选用的Catalyst 6506等交换机都支持以上各种VLAN的划分方法。
BR>设计建议:
虽然三种方式各有千秋,但是从实际出发,采用基于交换端口的VLAN划分方式是一种理想的选择,也是目前实际中普遍采用的划分方式。
考虑到网络安全性的需要,还可以在路由交换机上进行相应的设置,实现网络访问控制。比如我们可以限制哪些用户拥有访问中心服务器的权利,哪些则没有。
根据以上思想,我们可以将计算机网络(根据不同的部门划分)划分成几个不同的虚拟网,并赋予不同的IP子网地址。
六、IP地址规划:
由于系统的特殊性,整个网络采用的是专用的网段70.xx.xx.xx,可以配合虚拟网的划分,给不同的虚拟网配置不同的子网段,整个网络可以非常方便地划分为几个子网,子网之间的通信由中心路由式交换机来实现,具体可以采用OSPF路由协议。
七、网管方案:
在计算机网络系统中,我们选用Cisco Works Windows 5.0作为网络管理平台。Cisco Works Windows 5.0是套智能网络管理软件,Cisco Works Windows 5.0提供了强大的管理工具,可以轻易地管理中小型网络或工作组。Cisco路由器、交换机、集线器和访问服务器的各种信息都可以智能设置,还可以镜像打印机、工作站、服务器和重要的网络服务。
八、网络的安全性:
由于是政府部门,所以对网络的安全要求非常高。为了得到最好的安全性,我们可以通过配置Cisco PIX防火墙实现内部网络与外部网络物理上的隔离。
九、办公网络系统的应用:
政府办公网络系统主要是为了让公务人员从繁重的文字处理中解脱出来,用计算机信息系统交流和处理日常事务,能够实现公文管理、领导日程安排、会议管理、公共信息传输、信息公告、个人工作计划、档案管理、电子邮件等功能,从而可以有效地提高工作效率。
整个政府办公自动化软件系统采用了Intranet设计原则,用TCP/IP协议。软件系统体系结构为B/S结构。整个系统对于网络用户来说是一个统一的整体,用户无须了解和安装各种网络应用软件子系统,就可以查询网络上的所有资源。