我國(guó)加快了政府部門(mén)的信息化進(jìn)程，為了提高政府系統(tǒng)的整體工作效率，建設(shè)一個(gè)安全可靠的政府綜合管理信息系統(tǒng)，提供一個(gè)快速、高效、網(wǎng)絡(luò)化的工作環(huán)境勢(shì)在必行。筆者最近參與了某政府部門(mén)的網(wǎng)絡(luò)信息化建設(shè)，在組網(wǎng)的過(guò)程中有許多收獲，不敢獨(dú)享，現(xiàn)將工作筆記整理成文，供其他政府部門(mén)或中小企業(yè)的計(jì)算機(jī)網(wǎng)絡(luò)人士參考。

一、現(xiàn)有網(wǎng)絡(luò)分析：

組網(wǎng)前應(yīng)對(duì)內(nèi)部光纜主干的需求、Internet接入的需求、應(yīng)用需求(包括辦公自動(dòng)化系統(tǒng)、內(nèi)部WEB網(wǎng)站建立的需求)、網(wǎng)絡(luò)流量的需求、網(wǎng)絡(luò)安全需求、設(shè)備及性能需求、網(wǎng)管需求和系統(tǒng)整體需求這八個(gè)方面進(jìn)行細(xì)致的分析。

1. 內(nèi)部光纜主干的需求：要求分析布線系統(tǒng)是否完成，網(wǎng)絡(luò)設(shè)備的現(xiàn)狀和分支機(jī)構(gòu)的接入方式等幾個(gè)問(wèn)題。

2. Internet接入的需求：采用128KDDN、ISDN接入。分支機(jī)構(gòu)采用撥號(hào)方式接入外網(wǎng)，實(shí)現(xiàn)Internet訪問(wèn)。應(yīng)注意的是，為適應(yīng)市場(chǎng)需求增長(zhǎng)、協(xié)調(diào)現(xiàn)有通信能力與信息流通的需要，要備份冗余光纖，保護(hù)現(xiàn)有投資。

3. 應(yīng)用需求：為了能夠讓公務(wù)人員從繁重的文字處理中解脫出來(lái)，用計(jì)算機(jī)信息系統(tǒng)交流和處理日常事務(wù)、構(gòu)建公文系統(tǒng)、日常辦公系統(tǒng)、檔案系統(tǒng)、電子郵件系統(tǒng)等功能，且需要操作簡(jiǎn)單，適合政府部門(mén)使用，從而有效地提高工作效率。

4. 網(wǎng)絡(luò)流量的需求：要求網(wǎng)絡(luò)有足夠的吞吐量，保證信息高質(zhì)量、高效率的傳輸。

5. 網(wǎng)絡(luò)安全需求：政府部門(mén)要求有完善的政府安全管理體制，能確保網(wǎng)絡(luò)內(nèi)部的安全可靠，防止來(lái)自外部和內(nèi)部的入侵和非法訪問(wèn)，保證關(guān)鍵數(shù)據(jù)系統(tǒng)中信息的安全。

而其余幾方面需求的分析則由組網(wǎng)方自由掌握，在此筆者不一一介紹。

二、系統(tǒng)設(shè)計(jì)原則：

組建政府信息化系統(tǒng)時(shí)我們應(yīng)嚴(yán)格遵循以下原則設(shè)計(jì)系統(tǒng)：

實(shí)用性、開(kāi)放性、可靠性、先進(jìn)性、安全性、可管理性、可擴(kuò)充性。

三、網(wǎng)絡(luò)設(shè)計(jì)方案：

根據(jù)當(dāng)今網(wǎng)絡(luò)發(fā)展方向可將網(wǎng)絡(luò)劃分為內(nèi)部網(wǎng)、外部網(wǎng)兩部分。要特別注意的是應(yīng)將內(nèi)外網(wǎng)絡(luò)進(jìn)行物理隔離。

1. 內(nèi)部網(wǎng)架構(gòu)：內(nèi)部網(wǎng)絡(luò)的核心是整個(gè)系統(tǒng)的中心，它提供一個(gè)千兆以太網(wǎng)的網(wǎng)絡(luò)通信平臺(tái)以及網(wǎng)絡(luò)核心管理服務(wù)。整個(gè)網(wǎng)絡(luò)的核心應(yīng)設(shè)在網(wǎng)絡(luò)管理中心內(nèi)，用于高速局域網(wǎng)匯聚設(shè)備的連接，網(wǎng)絡(luò)管理工作站和網(wǎng)絡(luò)應(yīng)用服務(wù)器也將直接連入到核心設(shè)備上，實(shí)現(xiàn)內(nèi)部的局域網(wǎng)。

2. 外部網(wǎng)架構(gòu)：在外部網(wǎng)絡(luò)，通過(guò)外部網(wǎng)交換機(jī)構(gòu)建整個(gè)網(wǎng)絡(luò)平臺(tái)。通過(guò)配置訪問(wèn)路由器提供DDN、ISDN接入和多個(gè)用戶遠(yuǎn)程撥號(hào)接入。分別實(shí)現(xiàn)外部網(wǎng)絡(luò)對(duì)internet的訪問(wèn)和分支機(jī)構(gòu)撥號(hào)接入局域網(wǎng)。

四、產(chǎn)品選購(gòu)分析：

在產(chǎn)品選購(gòu)之前一定要經(jīng)過(guò)認(rèn)真的分析，筆者這次參與組網(wǎng)的機(jī)構(gòu)選用美國(guó)Cisco公司的Catalyst 6506作為數(shù)據(jù)網(wǎng)絡(luò)系統(tǒng)的內(nèi)部核心交換機(jī)，Catalyst 6506是大容量的具有高交換能力的第三層模塊化交換機(jī)，Catalyst 6506的交換容量以及端口數(shù)量等技術(shù)指標(biāo)足以滿足網(wǎng)絡(luò)目前的需求。選擇Catalyst 3548作為外網(wǎng)交換機(jī)。選擇Cisco Catalyst 3524和Catalyst 3548交換機(jī)作為局域網(wǎng)匯聚層設(shè)備，Cisco Catalyst 3524和Catalyst 3548交換機(jī)因其良好的性價(jià)比非常適合于作為局域網(wǎng)匯聚層的設(shè)備，可以通過(guò)千兆的光纖鏈路連接到核心交換機(jī)，而所有的用戶終端可以通過(guò)10/100M自適應(yīng)通道接入到Cisco Catalyst 3524和Catalyst 3548交換機(jī)上。選擇Catalyst 3524和Catalyst 3548作為計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)的二級(jí)匯聚交換機(jī)，為終端用戶提供10/100M到桌面。選擇Cisco 3662作為計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)DDN、ISDN訪問(wèn)路由器，既可以滿足上級(jí)單位Internet的DDN、ISDN接入的需求，又可以滿足繼續(xù)擴(kuò)展的需求。同時(shí)Cisco 3662作為計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)的撥號(hào)服務(wù)器，提供分支機(jī)構(gòu)的撥號(hào)接入。

網(wǎng)絡(luò)核心層：用一臺(tái)Cisco的高端三層交換機(jī)Catalyst 6506作為整個(gè)交換系統(tǒng)的核心，由網(wǎng)絡(luò)中心網(wǎng)絡(luò)管理員統(tǒng)一調(diào)度，從而使計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)成為一個(gè)具有整合的千兆以太網(wǎng)主干并具備第三層交換功能的綜合網(wǎng)絡(luò)通信平臺(tái)。其中配置兩個(gè)電源同時(shí)供電，彼此分擔(dān)負(fù)荷并互為備份。一塊WS-X6K-S1A-MSFC2交換引擎是交換機(jī)的心臟，它控制交換機(jī)的尋址、數(shù)據(jù)轉(zhuǎn)發(fā)、模塊控制等。 Catalyst6506交換機(jī)引擎卡上的MSFC2 (Multilayer Switching Feature Card)卡具有極強(qiáng)的三層交換能力，利用Cisco特有的Netflow技術(shù)，完全滿足核心線性三層交換的能力。另一塊WS-X6408-GBIC 的8端口千兆以太光纖模塊將所有的匯聚層設(shè)備、接入層設(shè)備、網(wǎng)管工作站及網(wǎng)絡(luò)應(yīng)用服務(wù)器都直接連入到核心層設(shè)備上去。

匯聚層：在分配線間分別設(shè)立Cisco Catalyst 3524和Catalyst 3548作為計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)匯聚層設(shè)備，匯聚層設(shè)備將通過(guò)光纜以千兆以太網(wǎng)為主干連接到核心層設(shè)備Catalyst 6506上去，終端用戶可以通過(guò)超5類UTP線纜連接到各層交換機(jī)中去，可以實(shí)現(xiàn)10/100M的自適應(yīng)通道連接到局域網(wǎng)中去。

接入層：在網(wǎng)絡(luò)接入層中，我們選用了一臺(tái)Cisco 3660路由器作為廣域互連和外部用戶撥號(hào)訪問(wèn)網(wǎng)關(guān)，其中主要采用了兩種接入方式分別實(shí)現(xiàn)各自功能：

1.DDN接入方式，

2. 撥號(hào)電話接入方式。

五、虛擬網(wǎng)設(shè)計(jì)方案：

由于整個(gè)網(wǎng)絡(luò)較大，所以必須通過(guò)劃分VLAN來(lái)實(shí)現(xiàn)流量的合理分配、內(nèi)部網(wǎng)絡(luò)的安全。通常VLAN的實(shí)現(xiàn)有以下幾種方法：

●基于端口的虛擬工作組，

●基于MAC、協(xié)議、子網(wǎng)的虛擬工作組，

●Tagged VLAN：通過(guò)在數(shù)據(jù)幀中增加VLAN標(biāo)記位來(lái)區(qū)分不同的工作組。

我們選用的Catalyst 6506等交換機(jī)都支持以上各種VLAN的劃分方法。

BR>設(shè)計(jì)建議：

雖然三種方式各有千秋,但是從實(shí)際出發(fā)，采用基于交換端口的VLAN劃分方式是一種理想的選擇,也是目前實(shí)際中普遍采用的劃分方式。

考慮到網(wǎng)絡(luò)安全性的需要，還可以在路由交換機(jī)上進(jìn)行相應(yīng)的設(shè)置，實(shí)現(xiàn)網(wǎng)絡(luò)訪問(wèn)控制。比如我們可以限制哪些用戶擁有訪問(wèn)中心服務(wù)器的權(quán)利，哪些則沒(méi)有。

根據(jù)以上思想，我們可以將計(jì)算機(jī)網(wǎng)絡(luò)(根據(jù)不同的部門(mén)劃分)劃分成幾個(gè)不同的虛擬網(wǎng)，并賦予不同的IP子網(wǎng)地址。

六、IP地址規(guī)劃：

由于系統(tǒng)的特殊性，整個(gè)網(wǎng)絡(luò)采用的是專用的網(wǎng)段70.xx.xx.xx，可以配合虛擬網(wǎng)的劃分，給不同的虛擬網(wǎng)配置不同的子網(wǎng)段，整個(gè)網(wǎng)絡(luò)可以非常方便地劃分為幾個(gè)子網(wǎng)，子網(wǎng)之間的通信由中心路由式交換機(jī)來(lái)實(shí)現(xiàn)，具體可以采用OSPF路由協(xié)議。

七、網(wǎng)管方案：

在計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)中，我們選用Cisco Works Windows 5.0作為網(wǎng)絡(luò)管理平臺(tái)。Cisco Works Windows 5.0是套智能網(wǎng)絡(luò)管理軟件，Cisco Works Windows 5.0提供了強(qiáng)大的管理工具，可以輕易地管理中小型網(wǎng)絡(luò)或工作組。Cisco路由器、交換機(jī)、集線器和訪問(wèn)服務(wù)器的各種信息都可以智能設(shè)置，還可以鏡像打印機(jī)、工作站、服務(wù)器和重要的網(wǎng)絡(luò)服務(wù)。

八、網(wǎng)絡(luò)的安全性：

由于是政府部門(mén)，所以對(duì)網(wǎng)絡(luò)的安全要求非常高。為了得到最好的安全性，我們可以通過(guò)配置Cisco PIX防火墻實(shí)現(xiàn)內(nèi)部網(wǎng)絡(luò)與外部網(wǎng)絡(luò)物理上的隔離。

九、辦公網(wǎng)絡(luò)系統(tǒng)的應(yīng)用：

政府辦公網(wǎng)絡(luò)系統(tǒng)主要是為了讓公務(wù)人員從繁重的文字處理中解脫出來(lái)，用計(jì)算機(jī)信息系統(tǒng)交流和處理日常事務(wù)，能夠?qū)崿F(xiàn)公文管理、領(lǐng)導(dǎo)日程安排、會(huì)議管理、公共信息傳輸、信息公告、個(gè)人工作計(jì)劃、檔案管理、電子郵件等功能，從而可以有效地提高工作效率。

整個(gè)政府辦公自動(dòng)化軟件系統(tǒng)采用了Intranet設(shè)計(jì)原則，用TCP/IP協(xié)議。軟件系統(tǒng)體系結(jié)構(gòu)為B/S結(jié)構(gòu)。整個(gè)系統(tǒng)對(duì)于網(wǎng)絡(luò)用戶來(lái)說(shuō)是一個(gè)統(tǒng)一的整體，用戶無(wú)須了解和安裝各種網(wǎng)絡(luò)應(yīng)用軟件子系統(tǒng)，就可以查詢網(wǎng)絡(luò)上的所有資源。