為了推進(jìn)全市行政權(quán)力網(wǎng)上公開透明運行工作��,筆者所在市的電子政務(wù)中心按照上級要求���,最近開始了電子政務(wù)內(nèi)網(wǎng)平臺的建設(shè);這次的內(nèi)網(wǎng)平臺建設(shè)��,包括了市平臺到各個縣�、市(區(qū))分平臺的廣域網(wǎng)建設(shè)和市中心自身局域網(wǎng)的建設(shè)�。為了讓電子政務(wù)內(nèi)網(wǎng)建設(shè)成本兼顧功效,現(xiàn)在筆者就把我市電子政務(wù)內(nèi)網(wǎng)建設(shè)過程中總結(jié)出來的一些體會貢獻(xiàn)出來����,與大家進(jìn)行共享交流!
內(nèi)網(wǎng)建設(shè)初步規(guī)劃
市中心和經(jīng)濟(jì)開發(fā)區(qū)在地理位置上靠得比較近,我們在設(shè)計電子政務(wù)內(nèi)網(wǎng)建設(shè)規(guī)劃時��,特意將市中心和經(jīng)濟(jì)開發(fā)區(qū)作為一個園區(qū)網(wǎng)來建設(shè)的��。由于電子政務(wù)內(nèi)網(wǎng)是為了運行行政權(quán)力網(wǎng)上公開透明系統(tǒng)而新創(chuàng)建的一個通信網(wǎng)絡(luò)����,而不是對一個已經(jīng)存在的通信網(wǎng)絡(luò)進(jìn)行升級�����、改造,受到一些主����、客觀條件的限制,我們想讓這個即將建設(shè)的園區(qū)網(wǎng)絡(luò)符合冗余��、穩(wěn)定�����、平滑升級的特性�。在規(guī)劃園區(qū)網(wǎng)的建設(shè)時,我們采用了現(xiàn)在非常流行的三層網(wǎng)絡(luò)結(jié)構(gòu)作為整個網(wǎng)絡(luò)的架構(gòu)�����,也就是說采用核心層��、匯聚層以及接入層這三層網(wǎng)絡(luò)結(jié)構(gòu)���,來確保整個網(wǎng)絡(luò)能夠持續(xù)�、穩(wěn)定地運行�����,每一層的相互連接全部采用冗余設(shè)計,具體地說就是核心層����、匯聚層以及接入層之間的通信連接全部采用的是雙鏈路.
由于核心層是整個網(wǎng)絡(luò)的傳輸主干道,它的工作狀態(tài)直接影響著整個網(wǎng)絡(luò)的運行性能����,為了保證電子政務(wù)內(nèi)網(wǎng)平臺的高效、穩(wěn)定運行�����,核心層應(yīng)該具有冗余性�、可靠性、低延時性�����、高效性��、容錯性等特點�。為了達(dá)到這種要求,核心層設(shè)備全部采用雙機冗余熱備份接入方式,也可以通過負(fù)載均衡技術(shù)實現(xiàn)高速設(shè)備的接入��。我們考慮到核心層是整個園區(qū)網(wǎng)的樞紐中心�,在核心設(shè)備的采購上選擇了兩臺H3C S8500路由交換機�,進(jìn)行雙機冗余熱備份。
作為核心層和接入層的臨界點����,匯聚層的主要功能就是進(jìn)行數(shù)據(jù)包過濾操作,所以我們應(yīng)該選用運行性能稍微好一些的三層交換機來作為匯聚交換機使用���,在選購這一層的交換設(shè)備時我們打算采用性能比較好一些的H3C S3610園區(qū)產(chǎn)品���,同時打算在每個匯聚接入點配備兩臺這樣的設(shè)備作為冗余。在匯聚層交換機上�,我們打算按照單位劃分設(shè)置VLAN信息,所有的VLAN信息全部終結(jié)在這一層上�。為了保證匯聚層的工作穩(wěn)定性,位于每個匯聚層的兩臺交換機同時采用HSRP通信協(xié)議進(jìn)行相互備份;同時為了順利進(jìn)行數(shù)據(jù)包過濾操作��,我們在這一層上需要創(chuàng)建訪問控制列表����。考慮到最近一段時間ARP病毒比較猖獗,我們準(zhǔn)備在匯聚層啟用DAI等功能����,來預(yù)防ARP病毒的泛濫。
接入層主要功能就是為終端用戶網(wǎng)絡(luò)接入提供服務(wù)��,這一層需要進(jìn)行VLAN動態(tài)分配以及網(wǎng)絡(luò)接入控制操作�。在動態(tài)分配VLAN信息時,只要依照單位員工在域中的部門信息來自動完成�,當(dāng)某員工連接到園區(qū)網(wǎng)中時,接入層能夠依照用戶的登錄信息�����,動態(tài)地將這位員工劃分到對應(yīng)員工所在部門的VLAN中����,這就意味著任何員工無論在園區(qū)網(wǎng)的任何位置處,都能接入到自己所屬部門的VLAN中�,并擁有對應(yīng)部門的訪問權(quán)限。這一層的設(shè)備采購�����,我們選用的是H3C S3050交換機�����。
初步規(guī)劃不足之處
電子政務(wù)內(nèi)網(wǎng)初步規(guī)劃應(yīng)該可以算得上是一種非常理想的組網(wǎng)架構(gòu),這也是很多單位經(jīng)常選用的一種設(shè)計方案��,這樣的規(guī)劃方案有利于提高整個網(wǎng)絡(luò)的運行效率�,便于提升網(wǎng)絡(luò)的運行穩(wěn)定性和運行安全性,同時也能方便網(wǎng)管人員進(jìn)行管理維護(hù)����?墒��,在實際組網(wǎng)的過程中��,我們卻發(fā)現(xiàn)初步規(guī)劃方案存在明顯不足之處:
首先�����,在初步規(guī)劃方案中�,對核心層�、匯聚層以及接入層之間的相互連接,全部采用的是冗余的雙鏈路設(shè)計���,這無疑會大幅增加組網(wǎng)成本��,為了讓組網(wǎng)成本控制在一個可承受的范圍內(nèi)���,我們在實際組網(wǎng)的時候只對匯聚層到核心層之間的鏈路進(jìn)行了冗余的雙鏈路設(shè)計����,同時核心層的設(shè)備也進(jìn)行了冗余���,而匯聚層由原先兩臺H3C S3610園區(qū)交換機的冗余配置調(diào)整成了單臺的配置�����,所以位于匯聚層的單臺交換機上就不需要配置HSRP通信協(xié)議了;
其次�,初步規(guī)劃中的核心層到匯聚層之間的三層連接���,在實際建設(shè)的時候��,也存在一些問題�����。在整個電子政務(wù)園區(qū)網(wǎng)建設(shè)過程中���,我們采用的是 802.1x技術(shù)來實現(xiàn)VLAN信息動態(tài)分配和用戶網(wǎng)絡(luò)接入控制目的的���,不過這種實現(xiàn)思路與三層核心網(wǎng)絡(luò)的設(shè)計理念存在明顯沖突。初步規(guī)劃方案中規(guī)定核心層到匯聚層之間的鏈路設(shè)計屬于三層網(wǎng)絡(luò)連接�,所有VLAN信息動態(tài)分配和用戶網(wǎng)絡(luò)接入控制只能在匯聚層中完成,那么當(dāng)單位員工在自己所屬部門的匯聚點范圍內(nèi)改變上網(wǎng)位置時�,不會存在任何位置,員工仍然可以自動被劃分到對應(yīng)部門的VLAN中�����,同時擁有對應(yīng)部門的訪問權(quán)限�。然而當(dāng)員工調(diào)整到另外一個匯聚點范圍時��,他就不能被自動劃分到自己所屬部門的VLAN中了����,這是因為核心層到匯聚層之間的連接屬于三層網(wǎng)絡(luò)連接,核心層不會保留二層信息�����,那么核心層自然也就不會把一個匯聚層中的VLAN信息轉(zhuǎn)發(fā)到另外一個匯聚層中���,所以另外一個匯聚點范圍內(nèi)就沒有目標(biāo)員工所屬部門的VLAN信息�,那么對應(yīng)匯聚層的交換機自然也就不會為目標(biāo)員工動態(tài)分配VLAN信息。當(dāng)然����,需要提醒各位注意的是,三層網(wǎng)絡(luò)連接并不是不能進(jìn)行VLAN信息的傳播���、轉(zhuǎn)發(fā)����,只是實現(xiàn)起來相對比較復(fù)雜����,而且也不利于日后的網(wǎng)絡(luò)平滑升級。
第三�,由于電子政務(wù)園區(qū)網(wǎng)中還有類似電子監(jiān)察監(jiān)控之類的網(wǎng)絡(luò)應(yīng)用,依照這些應(yīng)用提供商的方案設(shè)計����,各個應(yīng)用終端系統(tǒng)都分布在各自所屬的VLAN中,同時都是隨意分布在不同的交換區(qū)域中����,這與VLAN信息的動態(tài)分配一樣,也存在電子監(jiān)察監(jiān)控的VLAN調(diào)整位置的問題���。
第四��,初步規(guī)劃中要求將電子政務(wù)內(nèi)網(wǎng)中的所有服務(wù)器系統(tǒng)�,全部通過匯聚層交換機連接到園區(qū)網(wǎng)中,但是這種規(guī)劃明顯與組網(wǎng)預(yù)算有沖突;為此��,我們在實際組網(wǎng)的時候����,不得不取消連接服務(wù)器的匯聚層交換機,直接讓所有服務(wù)器系統(tǒng)連接到園區(qū)網(wǎng)的核心交換機上�����,那樣一來就必須在核心層為這些服務(wù)器系統(tǒng)設(shè)置VLAN信息了���,此時核心層上就保留有VLAN等二層信息了,這顯然與之前的規(guī)劃相違背�。
合理優(yōu)化建設(shè)規(guī)劃
既然電子政務(wù)內(nèi)網(wǎng)建設(shè)初步規(guī)劃存在這么多不足之處,我們現(xiàn)在經(jīng)過仔細(xì)分析研究�,對初步規(guī)劃方案提出了如下修改變動:
首先為了解決各類網(wǎng)絡(luò)應(yīng)用的VLAN信息能夠跨越匯聚層交換機的問題,我們通過設(shè)置將匯聚層交換機與核心層交換機的網(wǎng)絡(luò)連接��,全部調(diào)整為 TRUNK工作模式�,這樣一來所有VLAN信息都能上傳到核心交換機上�����,并通過核心交換機傳播給其他匯聚點接入范圍���,那樣的話就能真正實現(xiàn)任何員工無論在園區(qū)網(wǎng)的任何位置處,都能接入到自己所屬部門的VLAN中的目的了�����,這個問題的解決也能提高網(wǎng)絡(luò)管理的便利性�。
其次由于所有服務(wù)器系統(tǒng)直接接入到核心交換機上,為了對服務(wù)器的VLAN信息進(jìn)行冗余設(shè)計���,我們必須對核心層的兩臺H3C S8500路由交換機啟用配置HSRP協(xié)議�����,同時將兩臺核心交換機之間的互聯(lián)通道修改為TRUNK工作模式��。此外���,每一臺服務(wù)器系統(tǒng)中都要同時安裝兩塊網(wǎng)卡設(shè)備,每塊網(wǎng)卡與一臺核心交換機進(jìn)行直接連接�,同時在網(wǎng)卡設(shè)備上設(shè)計TEAM�����,這樣既能實現(xiàn)冗余備份目的�����,又能實現(xiàn)負(fù)載均衡目的�����。
經(jīng)過調(diào)整后的網(wǎng)絡(luò)規(guī)劃方案���,不但可以有效降低組網(wǎng)成本費用,而且也能順利解決VLAN問題跨越匯聚交換機的問題;當(dāng)然����,修改后的網(wǎng)絡(luò)規(guī)劃方案也不是非常完美的,它雖然兼顧了組網(wǎng)成本和運行功效���,但是這種方案是以犧牲網(wǎng)絡(luò)的可用性為代價的。通過這次電子政務(wù)內(nèi)網(wǎng)平臺的建設(shè)����,筆者認(rèn)為理想的網(wǎng)絡(luò)規(guī)劃方案與實際的組網(wǎng)環(huán)境還是有一定差距的����,網(wǎng)絡(luò)的應(yīng)用��、網(wǎng)絡(luò)的結(jié)構(gòu)以及網(wǎng)絡(luò)的建設(shè)成本這三者之間往往是存在矛盾的��。在實際組網(wǎng)的時候�����,我們?yōu)榱吮M可能降低組網(wǎng)成本和滿足多種不同網(wǎng)絡(luò)應(yīng)用需求����,往往在組網(wǎng)結(jié)構(gòu)上不得不做出一些妥協(xié)、讓步�,在妥協(xié)、讓步之后對網(wǎng)絡(luò)運行造成的影響在短時間內(nèi)又無法覺察出來�,這就給日后網(wǎng)絡(luò)的穩(wěn)定運行帶來隱患。
