政府部門網絡建設解決方案全過程

【文章摘要】

我國加快了政府部門的信息化進程，爲了提升政府系統的總體工做效率，建設一個安全可靠的計算機網絡綜合管理信息系統，提供一個快速、高效、網絡化的工做環境勢在必行。筆者最近參與了某政府部門的網絡信息化建設，在組網的過程當中有許多收穫，不敢獨享，現將工做筆記整理成文，供其餘政府部門或中小企業的計算機網絡人士參考。1、現有網絡分析：組網前應對內部光纜主幹的需求、 Internet 接入的需求、應用需求（包括辦公自動 ……

【文章正文】
我國加快了政府部門的信息化進程，爲了提升政府系統的總體工做效率，建設一個安全可靠的計算機網絡綜合管理信息系統，提供一個快速、高效、網絡化的工做環境勢在必行。筆者最近參與了某政府部門的網絡信息化建設，在組網的過程當中有許多收穫，不敢獨享，現將工做筆記整理成文，供其餘政府部門或中小企業的計算機網絡人士參考。   

1、現有網絡分析：   

組網前應對內部光纜主幹的需求、 Internet 接入的需求、應用需求（包括辦公自動化系統、內部 WEB 網站創建的需求）、網絡流量的需求、網絡安全需求、設備及性能需求、 網管 需求和系統總體需求這八個方面進行細緻的分析。   

1. 內部光纜主幹的需求：要求分析佈線系統是否完成，網絡設備的現狀和分支機構的接入方式等幾個問題。   

2. Internet 接入的需求：採用 128KDDN 、 ISDN 接入。分支機構採用撥號方式接入外網，實現 Internet 訪問。應注意的是，爲適應市場需求增加、協調現有通訊能力與信息流通的須要，要備份冗餘光纖，保護現有投資。   

3. 應用需求：爲了可以讓公務人員從繁重的文字處理中解脫出來，用計算機信息系統交流和處理平常事務、構建公文系統、平常辦公系統、檔案系統、電子郵件系統等功能，且須要操做簡單，適合政府部門使用，從而有效地提升工做效率。   

4. 網絡流量的需求：要求網絡有足夠的吞吐量，保證信息高質量、高效率的傳輸。   

5. 網絡安全需求：政府部門要求有完善的安全管理體制，能確保網絡內部的安全可靠，防止來自外部和內部的***和非法訪問，保證關鍵數據系統中信息的安全。   

而其他幾方面需求的分析則由組網方自由掌握，在此筆者不一一介紹。   

2、系統設計原則：   

組建網絡信息化系統時咱們應嚴格遵循如下原則設計系統：   

實用性、開放性、可靠性、先進性、安全性、可管理性、可擴充性。   

3、網絡設計方案：   

根據當今網絡發展方向可將網絡劃分爲內部網、外部網兩部分。要特別注意的是應將內外網絡進行物理隔離。   

1. 內部網架構：內部網絡的核心是整個系統的中心，它提供一個千兆以太網的網絡通訊平臺以及網絡核心管理服務。整個網絡的核心應設在網絡管理中心內，用於高速局域網匯聚設備的鏈接，網絡管理工做站和網絡應用服務器也將直接連入到核心設備上，實現內部的局域網。   

2. 外部網架構：在外部網絡，經過外部網交換機構建整個網絡平臺。經過配置訪問路由器提供 DDN 、 ISDN 接入和多個用戶遠程撥號接入。分別實現外部網絡對 internet 的訪問和分支機構撥號接入局域網。     

4、產品選購分析：   

在產品選購以前必定要通過認真的分析，筆者此次參與組網的機構選用美國 Cisco 公司的 Catalyst 6506 做爲數據網絡系統的內部核心交換機， Catalyst 6506 是大容量的具備高交換能力的第三層模塊化交換機， Catalyst 6506 的交換容量以及端口數量等技術指標足以知足網絡目前的需求。選擇 Catalyst 3548 做爲外網交換機。選擇 Cisco Catalyst 3524 和 Catalyst 3548 交換機做爲局域網匯聚層設備， Cisco Catalyst 3524 和 Catalyst 3548 交換機因其良好的性價比很是適合於做爲局域網匯聚層的設備，能夠經過千兆的光纖鏈路鏈接到核心交換機，而全部的用戶終端能夠經過 10/100M 自適應通道接入到 Cisco Catalyst 3524 和 Catalyst 3548 交換機上。選擇 Catalyst 3524 和 Catalyst 3548 做爲計算機網絡系統的二級匯聚交換機，爲終端用戶提供 10/100M 到桌面。選擇 Cisco 3662 做爲計算機網絡系統 DDN 、 ISDN 訪問路由器，既能夠知足上級單位 Internet 的 DDN 、 ISDN 接入的需求，又能夠知足繼續擴展的需求。同時 Cisco 3662 做爲計算機網絡系統的撥號服務器，提供分支機構的撥號接入。   

網絡核心層：用一臺 Cisco 的高端三層交換機 Catalyst 6506 做爲整個交換系統的核心，由網絡中心 網絡管理員 統一調度，從而使計算機網絡系統成爲一個具備整合的千兆以太網主幹並具有第三層交換功能的綜合網絡通訊平臺。其中配置兩個電源同時供電，彼此分擔負荷並互爲備份。一塊 WS-X6K-S1A-MSFC2 交換引擎是交換機的心臟，它控制交換機的尋址、數據轉發、模塊控制等。 Catalyst6506 交換機引擎卡上的 MSFC2 (Multilayer Switching Feature Card) 卡具備極強的三層交換能力，利用 Cisco 特有的 Netflow 技術，徹底知足核心線性三層交換的能力。另外一塊 WS-X6408-GBIC 的 8 端口千兆以太光纖模塊將全部的匯聚層設備、接入層設備、 網管 工做站及網絡應用服務器都直接連入到核心層設備上去。   

匯聚層：在分配線間分別設立 Cisco Catalyst 3524 和 Catalyst 3548 做爲計算機網絡系統匯聚層設備，匯聚層設備將經過光纜以千兆以太網爲主幹鏈接到核心層設備 Catalyst 6506 上去，終端用戶能夠經過超 5 類 UTP 線纜鏈接到各層交換機中去，能夠實現 10/100M 的自適應通道鏈接到局域網中去。   

接入層：在網絡接入層中，咱們選用了一臺 Cisco 3660 路由器做爲廣域互連和外部用戶撥號訪問網關，其中主要採用了兩種接入方式分別實現各自功能：   

1.DDN 接入方式，   

2. 撥號電話接入方式。   

5、虛擬網設計方案：   

因爲整個網絡較大，因此必須經過劃分 VLAN 來實現流量的合理分配、內部網絡的安全。一般 VLAN 的實現有如下幾種方法：   

● 基於端口的虛擬工做組，   

● 基於 MAC 、協議、子網的虛擬工做組，   

●Tagged VLAN ：經過在數據幀中增長 VLAN 標記位來區分不一樣的工做組。   

咱們選用的 Catalyst 6506 等交換機都支持以上各類 VLAN 的劃分方法。   

BR> 設計建議：   

雖然三種方式各有千秋 , 可是從實際出發，採用基於交換端口的 VLAN 劃分方式是一種理想的選擇 , 也是目前實際中廣泛採用的劃分方式。   

考慮到網絡安全性的須要，還能夠在路由交換機上進行相應的設置，實現網絡訪問控制。好比咱們能夠限制哪些用戶擁有訪問中心服務器的權利，哪些則沒有。   

根據以上思想，咱們能夠將計算機網絡（根據不一樣的部門劃分）劃分紅幾個不一樣的虛擬網，並賦予不一樣的 IP 子網地址。   

6、 IP 地址規劃：   

因爲系統的特殊性，整個網絡採用的是專用的網段 70.xx.xx.xx ，能夠配合虛擬網的劃分，給不一樣的虛擬網配置不一樣的子網段，整個網絡能夠很是方便地劃分爲幾個子網，子網之間的通訊由中心路由式交換機來實現，具體能夠採用 OSPF 路由協議。   

7、 網管 方案：   

在計算機網絡系統中，咱們選用 Cisco Works Windows 5.0 做爲網絡管理平臺。 Cisco Works Windows 5.0 是套智能網絡管理軟件， Cisco Works Windows 5.0 提供了強大的管理工具，能夠輕易地管理中小型網絡或工做組。 Cisco 路由器、交換機、集線器和訪問服務器的各類信息均可以智能設置，還能夠鏡像打印機、工做站、服務器和重要的網絡服務。   

8、網絡的安全性：   

因爲是政府部門，因此對網絡的安全要求很是高。爲了獲得最好的安全性，咱們能夠經過配置 Cisco PIX 防火牆實現內部網絡與外部網絡物理上的隔離。   

9、辦公網絡系統的應用：   

辦公網絡系統主要是爲了讓公務人員從繁重的文字處理中解脫出來，用計算機信息系統交流和處理平常事務，可以實現公文管理、領導日程安排、會議管理、公共信息傳輸、信息公告、我的工做計劃、檔案管理、電子郵件等功能，從而能夠有效地提升工做效率。   

整個辦公自動化軟件系統採用了 Intranet 設計原則，用 TCP/IP 協議。軟件系統體系結構爲 B/S 結構。整個系統對於網絡用戶來講是一個統一的總體，用戶無須瞭解和安裝各類網絡應用軟件子系統，就能夠查詢網絡上的全部資源。   

到此，政府部門組網解決方案的全流程就給你們介紹完畢了。但願廣大讀者可以經過我介紹的組網方案觸類旁通，從而組建本身所須要的實用網絡系統。