我國加快了政府部門的信息化進程，為了提高政府系統(tǒng)的整體工作效率，建設一個安全可靠的政府綜合管理信息系統(tǒng)，提供一個快速、高效、網(wǎng)絡化的工作環(huán)境勢在必行。筆者最近參與了某政府部門的網(wǎng)絡信息化建設，在組網(wǎng)的過程中有許多收獲，不敢獨享，現(xiàn)將工作筆記整理成文，供其他政府部門或中小企業(yè)的計算機網(wǎng)絡人士參考。

一、現(xiàn)有網(wǎng)絡分析：

組網(wǎng)前應對內(nèi)部光纜主干的需求、Internet接入的需求、應用需求(包括辦公自動化系統(tǒng)、內(nèi)部WEB網(wǎng)站建立的需求)、網(wǎng)絡流量的需求、網(wǎng)絡安全需求、設備及性能需求、網(wǎng)管需求和系統(tǒng)整體需求這八個方面進行細致的分析。

1. 內(nèi)部光纜主干的需求：要求分析布線系統(tǒng)是否完成，網(wǎng)絡設備的現(xiàn)狀和分支機構(gòu)的接入方式等幾個問題。

2. Internet接入的需求：采用128KDDN、ISDN接入。分支機構(gòu)采用撥號方式接入外網(wǎng)，實現(xiàn)Internet訪問。應注意的是，為適應市場需求增長、協(xié)調(diào)現(xiàn)有通信能力與信息流通的需要，要備份冗余光纖，保護現(xiàn)有投資。

3. 應用需求：為了能夠讓公務人員從繁重的文字處理中解脫出來，用計算機信息系統(tǒng)交流和處理日常事務、構(gòu)建公文系統(tǒng)、日常辦公系統(tǒng)、檔案系統(tǒng)、電子郵件系統(tǒng)等功能，且需要操作簡單，適合政府部門使用，從而有效地提高工作效率。

4. 網(wǎng)絡流量的需求：要求網(wǎng)絡有足夠的吞吐量，保證信息高質(zhì)量、高效率的傳輸。

5. 網(wǎng)絡安全需求：政府部門要求有完善的政府安全管理體制，能確保網(wǎng)絡內(nèi)部的安全可靠，防止來自外部和內(nèi)部的入侵和非法訪問，保證關(guān)鍵數(shù)據(jù)系統(tǒng)中信息的安全。

而其余幾方面需求的分析則由組網(wǎng)方自由掌握，在此筆者不一一介紹。

二、系統(tǒng)設計原則：

組建政府信息化系統(tǒng)時我們應嚴格遵循以下原則設計系統(tǒng)：

實用性、開放性、可靠性、先進性、安全性、可管理性、可擴充性。

三、網(wǎng)絡設計方案：

根據(jù)當今網(wǎng)絡發(fā)展方向可將網(wǎng)絡劃分為內(nèi)部網(wǎng)、外部網(wǎng)兩部分。要特別注意的是應將內(nèi)外網(wǎng)絡進行物理隔離。

1. 內(nèi)部網(wǎng)架構(gòu)：內(nèi)部網(wǎng)絡的核心是整個系統(tǒng)的中心，它提供一個千兆以太網(wǎng)的網(wǎng)絡通信平臺以及網(wǎng)絡核心管理服務。整個網(wǎng)絡的核心應設在網(wǎng)絡管理中心內(nèi)，用于高速局域網(wǎng)匯聚設備的連接，網(wǎng)絡管理工作站和網(wǎng)絡應用服務器也將直接連入到核心設備上，實現(xiàn)內(nèi)部的局域網(wǎng)。

2. 外部網(wǎng)架構(gòu)：在外部網(wǎng)絡，通過外部網(wǎng)交換機構(gòu)建整個網(wǎng)絡平臺。通過配置訪問路由器提供DDN、ISDN接入和多個用戶遠程撥號接入。分別實現(xiàn)外部網(wǎng)絡對internet的訪問和分支機構(gòu)撥號接入局域網(wǎng)。

四、產(chǎn)品選購分析：

在產(chǎn)品選購之前一定要經(jīng)過認真的分析，筆者這次參與組網(wǎng)的機構(gòu)選用美國Cisco公司的Catalyst 6506作為數(shù)據(jù)網(wǎng)絡系統(tǒng)的內(nèi)部核心交換機，Catalyst 6506是大容量的具有高交換能力的第三層模塊化交換機，Catalyst 6506的交換容量以及端口數(shù)量等技術(shù)指標足以滿足網(wǎng)絡目前的需求。選擇Catalyst 3548作為外網(wǎng)交換機。選擇Cisco Catalyst 3524和Catalyst 3548交換機作為局域網(wǎng)匯聚層設備，Cisco Catalyst 3524和Catalyst 3548交換機因其良好的性價比非常適合于作為局域網(wǎng)匯聚層的設備，可以通過千兆的光纖鏈路連接到核心交換機，而所有的用戶終端可以通過10/100M自適應通道接入到Cisco Catalyst 3524和Catalyst 3548交換機上。選擇Catalyst 3524和Catalyst 3548作為計算機網(wǎng)絡系統(tǒng)的二級匯聚交換機，為終端用戶提供10/100M到桌面。選擇Cisco 3662作為計算機網(wǎng)絡系統(tǒng)DDN、ISDN訪問路由器，既可以滿足上級單位Internet的DDN、ISDN接入的需求，又可以滿足繼續(xù)擴展的需求。同時Cisco 3662作為計算機網(wǎng)絡系統(tǒng)的撥號服務器，提供分支機構(gòu)的撥號接入。

網(wǎng)絡核心層：用一臺Cisco的高端三層交換機Catalyst 6506作為整個交換系統(tǒng)的核心，由網(wǎng)絡中心網(wǎng)絡管理員統(tǒng)一調(diào)度，從而使計算機網(wǎng)絡系統(tǒng)成為一個具有整合的千兆以太網(wǎng)主干并具備第三層交換功能的綜合網(wǎng)絡通信平臺。其中配置兩個電源同時供電，彼此分擔負荷并互為備份。一塊WS-X6K-S1A-MSFC2交換引擎是交換機的心臟，它控制交換機的尋址、數(shù)據(jù)轉(zhuǎn)發(fā)、模塊控制等。 Catalyst6506交換機引擎卡上的MSFC2 (Multilayer Switching Feature Card)卡具有極強的三層交換能力，利用Cisco特有的Netflow技術(shù)，完全滿足核心線性三層交換的能力。另一塊WS-X6408-GBIC 的8端口千兆以太光纖模塊將所有的匯聚層設備、接入層設備、網(wǎng)管工作站及網(wǎng)絡應用服務器都直接連入到核心層設備上去。

匯聚層：在分配線間分別設立Cisco Catalyst 3524和Catalyst 3548作為計算機網(wǎng)絡系統(tǒng)匯聚層設備，匯聚層設備將通過光纜以千兆以太網(wǎng)為主干連接到核心層設備Catalyst 6506上去，終端用戶可以通過超5類UTP線纜連接到各層交換機中去，可以實現(xiàn)10/100M的自適應通道連接到局域網(wǎng)中去。

接入層：在網(wǎng)絡接入層中，我們選用了一臺Cisco 3660路由器作為廣域互連和外部用戶撥號訪問網(wǎng)關(guān)，其中主要采用了兩種接入方式分別實現(xiàn)各自功能：

1.DDN接入方式，

2. 撥號電話接入方式。

五、虛擬網(wǎng)設計方案：

由于整個網(wǎng)絡較大，所以必須通過劃分VLAN來實現(xiàn)流量的合理分配、內(nèi)部網(wǎng)絡的安全。通常VLAN的實現(xiàn)有以下幾種方法：

●基于端口的虛擬工作組，

●基于MAC、協(xié)議、子網(wǎng)的虛擬工作組，

●Tagged VLAN：通過在數(shù)據(jù)幀中增加VLAN標記位來區(qū)分不同的工作組。

我們選用的Catalyst 6506等交換機都支持以上各種VLAN的劃分方法。

BR>設計建議：

雖然三種方式各有千秋,但是從實際出發(fā)，采用基于交換端口的VLAN劃分方式是一種理想的選擇,也是目前實際中普遍采用的劃分方式。

考慮到網(wǎng)絡安全性的需要，還可以在路由交換機上進行相應的設置，實現(xiàn)網(wǎng)絡訪問控制。比如我們可以限制哪些用戶擁有訪問中心服務器的權(quán)利，哪些則沒有。

根據(jù)以上思想，我們可以將計算機網(wǎng)絡(根據(jù)不同的部門劃分)劃分成幾個不同的虛擬網(wǎng)，并賦予不同的IP子網(wǎng)地址。

六、IP地址規(guī)劃：

由于系統(tǒng)的特殊性，整個網(wǎng)絡采用的是專用的網(wǎng)段70.xx.xx.xx，可以配合虛擬網(wǎng)的劃分，給不同的虛擬網(wǎng)配置不同的子網(wǎng)段，整個網(wǎng)絡可以非常方便地劃分為幾個子網(wǎng)，子網(wǎng)之間的通信由中心路由式交換機來實現(xiàn)，具體可以采用OSPF路由協(xié)議。

七、網(wǎng)管方案：

在計算機網(wǎng)絡系統(tǒng)中，我們選用Cisco Works Windows 5.0作為網(wǎng)絡管理平臺。Cisco Works Windows 5.0是套智能網(wǎng)絡管理軟件，Cisco Works Windows 5.0提供了強大的管理工具，可以輕易地管理中小型網(wǎng)絡或工作組。Cisco路由器、交換機、集線器和訪問服務器的各種信息都可以智能設置，還可以鏡像打印機、工作站、服務器和重要的網(wǎng)絡服務。

八、網(wǎng)絡的安全性：

由于是政府部門，所以對網(wǎng)絡的安全要求非常高。為了得到最好的安全性，我們可以通過配置Cisco PIX防火墻實現(xiàn)內(nèi)部網(wǎng)絡與外部網(wǎng)絡物理上的隔離。

九、辦公網(wǎng)絡系統(tǒng)的應用：

政府辦公網(wǎng)絡系統(tǒng)主要是為了讓公務人員從繁重的文字處理中解脫出來，用計算機信息系統(tǒng)交流和處理日常事務，能夠?qū)崿F(xiàn)公文管理、領(lǐng)導日程安排、會議管理、公共信息傳輸、信息公告、個人工作計劃、檔案管理、電子郵件等功能，從而可以有效地提高工作效率。

整個政府辦公自動化軟件系統(tǒng)采用了Intranet設計原則，用TCP/IP協(xié)議。軟件系統(tǒng)體系結(jié)構(gòu)為B/S結(jié)構(gòu)。整個系統(tǒng)對于網(wǎng)絡用戶來說是一個統(tǒng)一的整體，用戶無須了解和安裝各種網(wǎng)絡應用軟件子系統(tǒng)，就可以查詢網(wǎng)絡上的所有資源。