我國加快了政府部門的信息化進(jìn)程，為了提高政府系統(tǒng)的整體工作效率，建設(shè)一個安全可靠的政府綜合管理信息系統(tǒng)，提供一個快速、高效、網(wǎng)絡(luò)化的工作環(huán)境勢在必行。筆者最近參與了某政府部門的網(wǎng)絡(luò)信息化建設(shè)，在組網(wǎng)的過程中有許多收獲，不敢獨(dú)享，現(xiàn)將工作筆記整理成文，供其他政府部門或中小企業(yè)的計算機(jī)網(wǎng)絡(luò)人士參考。

一、現(xiàn)有網(wǎng)絡(luò)分析：

組網(wǎng)前應(yīng)對內(nèi)部光纜主干的需求、Internet接入的需求、應(yīng)用需求(包括辦公自動化系統(tǒng)、內(nèi)部WEB網(wǎng)站建立的需求)、網(wǎng)絡(luò)流量的需求、網(wǎng)絡(luò)安全需求、設(shè)備及性能需求、網(wǎng)管需求和系統(tǒng)整體需求這八個方面進(jìn)行細(xì)致的分析。

1. 內(nèi)部光纜主干的需求：要求分析布線系統(tǒng)是否完成，網(wǎng)絡(luò)設(shè)備的現(xiàn)狀和分支機(jī)構(gòu)的接入方式等幾個問題。

2. Internet接入的需求：采用128KDDN、ISDN接入。分支機(jī)構(gòu)采用撥號方式接入外網(wǎng)，實(shí)現(xiàn)Internet訪問。應(yīng)注意的是，為適應(yīng)市場需求增長、協(xié)調(diào)現(xiàn)有通信能力與信息流通的需要，要備份冗余光纖，保護(hù)現(xiàn)有投資。

3. 應(yīng)用需求：為了能夠讓公務(wù)人員從繁重的文字處理中解脫出來，用計算機(jī)信息系統(tǒng)交流和處理日常事務(wù)、構(gòu)建公文系統(tǒng)、日常辦公系統(tǒng)、檔案系統(tǒng)、電子郵件系統(tǒng)等功能，且需要操作簡單，適合政府部門使用，從而有效地提高工作效率。

4. 網(wǎng)絡(luò)流量的需求：要求網(wǎng)絡(luò)有足夠的吞吐量，保證信息高質(zhì)量、高效率的傳輸。

5. 網(wǎng)絡(luò)安全需求：政府部門要求有完善的政府安全管理體制，能確保網(wǎng)絡(luò)內(nèi)部的安全可靠，防止來自外部和內(nèi)部的入侵和非法訪問，保證關(guān)鍵數(shù)據(jù)系統(tǒng)中信息的安全。

而其余幾方面需求的分析則由組網(wǎng)方自由掌握，在此筆者不一一介紹。

二、系統(tǒng)設(shè)計原則：

組建政府信息化系統(tǒng)時我們應(yīng)嚴(yán)格遵循以下原則設(shè)計系統(tǒng)：

實(shí)用性、開放性、可靠性、先進(jìn)性、安全性、可管理性、可擴(kuò)充性。

三、網(wǎng)絡(luò)設(shè)計方案：

根據(jù)當(dāng)今網(wǎng)絡(luò)發(fā)展方向可將網(wǎng)絡(luò)劃分為內(nèi)部網(wǎng)、外部網(wǎng)兩部分。要特別注意的是應(yīng)將內(nèi)外網(wǎng)絡(luò)進(jìn)行物理隔離。

1. 內(nèi)部網(wǎng)架構(gòu)：內(nèi)部網(wǎng)絡(luò)的核心是整個系統(tǒng)的中心，它提供一個千兆以太網(wǎng)的網(wǎng)絡(luò)通信平臺以及網(wǎng)絡(luò)核心管理服務(wù)。整個網(wǎng)絡(luò)的核心應(yīng)設(shè)在網(wǎng)絡(luò)管理中心內(nèi)，用于高速局域網(wǎng)匯聚設(shè)備的連接，網(wǎng)絡(luò)管理工作站和網(wǎng)絡(luò)應(yīng)用服務(wù)器也將直接連入到核心設(shè)備上，實(shí)現(xiàn)內(nèi)部的局域網(wǎng)。

2. 外部網(wǎng)架構(gòu)：在外部網(wǎng)絡(luò)，通過外部網(wǎng)交換機(jī)構(gòu)建整個網(wǎng)絡(luò)平臺。通過配置訪問路由器提供DDN、ISDN接入和多個用戶遠(yuǎn)程撥號接入。分別實(shí)現(xiàn)外部網(wǎng)絡(luò)對internet的訪問和分支機(jī)構(gòu)撥號接入局域網(wǎng)。

四、產(chǎn)品選購分析：

在產(chǎn)品選購之前一定要經(jīng)過認(rèn)真的分析，筆者這次參與組網(wǎng)的機(jī)構(gòu)選用美國Cisco公司的Catalyst 6506作為數(shù)據(jù)網(wǎng)絡(luò)系統(tǒng)的內(nèi)部核心交換機(jī)，Catalyst 6506是大容量的具有高交換能力的第三層模塊化交換機(jī)，Catalyst 6506的交換容量以及端口數(shù)量等技術(shù)指標(biāo)足以滿足網(wǎng)絡(luò)目前的需求。選擇Catalyst 3548作為外網(wǎng)交換機(jī)。選擇Cisco Catalyst 3524和Catalyst 3548交換機(jī)作為局域網(wǎng)匯聚層設(shè)備，Cisco Catalyst 3524和Catalyst 3548交換機(jī)因其良好的性價比非常適合于作為局域網(wǎng)匯聚層的設(shè)備，可以通過千兆的光纖鏈路連接到核心交換機(jī)，而所有的用戶終端可以通過10/100M自適應(yīng)通道接入到Cisco Catalyst 3524和Catalyst 3548交換機(jī)上。選擇Catalyst 3524和Catalyst 3548作為計算機(jī)網(wǎng)絡(luò)系統(tǒng)的二級匯聚交換機(jī)，為終端用戶提供10/100M到桌面。選擇Cisco 3662作為計算機(jī)網(wǎng)絡(luò)系統(tǒng)DDN、ISDN訪問路由器，既可以滿足上級單位Internet的DDN、ISDN接入的需求，又可以滿足繼續(xù)擴(kuò)展的需求。同時Cisco 3662作為計算機(jī)網(wǎng)絡(luò)系統(tǒng)的撥號服務(wù)器，提供分支機(jī)構(gòu)的撥號接入。

網(wǎng)絡(luò)核心層：用一臺Cisco的高端三層交換機(jī)Catalyst 6506作為整個交換系統(tǒng)的核心，由網(wǎng)絡(luò)中心網(wǎng)絡(luò)管理員統(tǒng)一調(diào)度，從而使計算機(jī)網(wǎng)絡(luò)系統(tǒng)成為一個具有整合的千兆以太網(wǎng)主干并具備第三層交換功能的綜合網(wǎng)絡(luò)通信平臺。其中配置兩個電源同時供電，彼此分擔(dān)負(fù)荷并互為備份。一塊WS-X6K-S1A-MSFC2交換引擎是交換機(jī)的心臟，它控制交換機(jī)的尋址、數(shù)據(jù)轉(zhuǎn)發(fā)、模塊控制等。 Catalyst6506交換機(jī)引擎卡上的MSFC2 (Multilayer Switching Feature Card)卡具有極強(qiáng)的三層交換能力，利用Cisco特有的Netflow技術(shù)，完全滿足核心線性三層交換的能力。另一塊WS-X6408-GBIC 的8端口千兆以太光纖模塊將所有的匯聚層設(shè)備、接入層設(shè)備、網(wǎng)管工作站及網(wǎng)絡(luò)應(yīng)用服務(wù)器都直接連入到核心層設(shè)備上去。

匯聚層：在分配線間分別設(shè)立Cisco Catalyst 3524和Catalyst 3548作為計算機(jī)網(wǎng)絡(luò)系統(tǒng)匯聚層設(shè)備，匯聚層設(shè)備將通過光纜以千兆以太網(wǎng)為主干連接到核心層設(shè)備Catalyst 6506上去，終端用戶可以通過超5類UTP線纜連接到各層交換機(jī)中去，可以實(shí)現(xiàn)10/100M的自適應(yīng)通道連接到局域網(wǎng)中去。

接入層：在網(wǎng)絡(luò)接入層中，我們選用了一臺Cisco 3660路由器作為廣域互連和外部用戶撥號訪問網(wǎng)關(guān)，其中主要采用了兩種接入方式分別實(shí)現(xiàn)各自功能：

1.DDN接入方式，

2. 撥號電話接入方式。

五、虛擬網(wǎng)設(shè)計方案：

由于整個網(wǎng)絡(luò)較大，所以必須通過劃分VLAN來實(shí)現(xiàn)流量的合理分配、內(nèi)部網(wǎng)絡(luò)的安全。通常VLAN的實(shí)現(xiàn)有以下幾種方法：

●基于端口的虛擬工作組，

●基于MAC、協(xié)議、子網(wǎng)的虛擬工作組，

●Tagged VLAN：通過在數(shù)據(jù)幀中增加VLAN標(biāo)記位來區(qū)分不同的工作組。

我們選用的Catalyst 6506等交換機(jī)都支持以上各種VLAN的劃分方法。

BR>設(shè)計建議：

雖然三種方式各有千秋,但是從實(shí)際出發(fā)，采用基于交換端口的VLAN劃分方式是一種理想的選擇,也是目前實(shí)際中普遍采用的劃分方式。

考慮到網(wǎng)絡(luò)安全性的需要，還可以在路由交換機(jī)上進(jìn)行相應(yīng)的設(shè)置，實(shí)現(xiàn)網(wǎng)絡(luò)訪問控制。比如我們可以限制哪些用戶擁有訪問中心服務(wù)器的權(quán)利，哪些則沒有。

根據(jù)以上思想，我們可以將計算機(jī)網(wǎng)絡(luò)(根據(jù)不同的部門劃分)劃分成幾個不同的虛擬網(wǎng)，并賦予不同的IP子網(wǎng)地址。

六、IP地址規(guī)劃：

由于系統(tǒng)的特殊性，整個網(wǎng)絡(luò)采用的是專用的網(wǎng)段70.xx.xx.xx，可以配合虛擬網(wǎng)的劃分，給不同的虛擬網(wǎng)配置不同的子網(wǎng)段，整個網(wǎng)絡(luò)可以非常方便地劃分為幾個子網(wǎng)，子網(wǎng)之間的通信由中心路由式交換機(jī)來實(shí)現(xiàn)，具體可以采用OSPF路由協(xié)議。

七、網(wǎng)管方案：

在計算機(jī)網(wǎng)絡(luò)系統(tǒng)中，我們選用Cisco Works Windows 5.0作為網(wǎng)絡(luò)管理平臺。Cisco Works Windows 5.0是套智能網(wǎng)絡(luò)管理軟件，Cisco Works Windows 5.0提供了強(qiáng)大的管理工具，可以輕易地管理中小型網(wǎng)絡(luò)或工作組。Cisco路由器、交換機(jī)、集線器和訪問服務(wù)器的各種信息都可以智能設(shè)置，還可以鏡像打印機(jī)、工作站、服務(wù)器和重要的網(wǎng)絡(luò)服務(wù)。

八、網(wǎng)絡(luò)的安全性：

由于是政府部門，所以對網(wǎng)絡(luò)的安全要求非常高。為了得到最好的安全性，我們可以通過配置Cisco PIX防火墻實(shí)現(xiàn)內(nèi)部網(wǎng)絡(luò)與外部網(wǎng)絡(luò)物理上的隔離。

九、辦公網(wǎng)絡(luò)系統(tǒng)的應(yīng)用：

政府辦公網(wǎng)絡(luò)系統(tǒng)主要是為了讓公務(wù)人員從繁重的文字處理中解脫出來，用計算機(jī)信息系統(tǒng)交流和處理日常事務(wù)，能夠?qū)崿F(xiàn)公文管理、領(lǐng)導(dǎo)日程安排、會議管理、公共信息傳輸、信息公告、個人工作計劃、檔案管理、電子郵件等功能，從而可以有效地提高工作效率。

整個政府辦公自動化軟件系統(tǒng)采用了Intranet設(shè)計原則，用TCP/IP協(xié)議。軟件系統(tǒng)體系結(jié)構(gòu)為B/S結(jié)構(gòu)。整個系統(tǒng)對于網(wǎng)絡(luò)用戶來說是一個統(tǒng)一的整體，用戶無須了解和安裝各種網(wǎng)絡(luò)應(yīng)用軟件子系統(tǒng)，就可以查詢網(wǎng)絡(luò)上的所有資源。