為了推進(jìn)全市行政權(quán)力網(wǎng)上公開(kāi)透明運(yùn)行工作,筆者所在市的電子政務(wù)中心按照上級(jí)要求,最近開(kāi)始了電子政務(wù)內(nèi)網(wǎng)平臺(tái)的建設(shè);這次的內(nèi)網(wǎng)平臺(tái)建設(shè),包括了市平臺(tái)到各個(gè)縣、市(區(qū))分平臺(tái)的廣域網(wǎng)建設(shè)和市中心自身局域網(wǎng)的建設(shè)。為了讓電子政務(wù)內(nèi)網(wǎng)建設(shè)成本兼顧功效,現(xiàn)在筆者就把我市電子政務(wù)內(nèi)網(wǎng)建設(shè)過(guò)程中總結(jié)出來(lái)的一些體會(huì)貢獻(xiàn)出來(lái),與大家進(jìn)行共享交流!
內(nèi)網(wǎng)建設(shè)初步規(guī)劃
市中心和經(jīng)濟(jì)開(kāi)發(fā)區(qū)在地理位置上靠得比較近,我們?cè)谠O(shè)計(jì)電子政務(wù)內(nèi)網(wǎng)建設(shè)規(guī)劃時(shí),特意將市中心和經(jīng)濟(jì)開(kāi)發(fā)區(qū)作為一個(gè)園區(qū)網(wǎng)來(lái)建設(shè)的。由于電子政務(wù)內(nèi)網(wǎng)是為了運(yùn)行行政權(quán)力網(wǎng)上公開(kāi)透明系統(tǒng)而新創(chuàng)建的一個(gè)通信網(wǎng)絡(luò),而不是對(duì)一個(gè)已經(jīng)存在的通信網(wǎng)絡(luò)進(jìn)行升級(jí)、改造,受到一些主、客觀條件的限制,我們想讓這個(gè)即將建設(shè)的園區(qū)網(wǎng)絡(luò)符合冗余、穩(wěn)定、平滑升級(jí)的特性。在規(guī)劃園區(qū)網(wǎng)的建設(shè)時(shí),我們采用了現(xiàn)在非常流行的三層網(wǎng)絡(luò)結(jié)構(gòu)作為整個(gè)網(wǎng)絡(luò)的架構(gòu),也就是說(shuō)采用核心層、匯聚層以及接入層這三層網(wǎng)絡(luò)結(jié)構(gòu),來(lái)確保整個(gè)網(wǎng)絡(luò)能夠持續(xù)、穩(wěn)定地運(yùn)行,每一層的相互連接全部采用冗余設(shè)計(jì),具體地說(shuō)就是核心層、匯聚層以及接入層之間的通信連接全部采用的是雙鏈路.
由于核心層是整個(gè)網(wǎng)絡(luò)的傳輸主干道,它的工作狀態(tài)直接影響著整個(gè)網(wǎng)絡(luò)的運(yùn)行性能,為了保證電子政務(wù)內(nèi)網(wǎng)平臺(tái)的高效、穩(wěn)定運(yùn)行,核心層應(yīng)該具有冗余性、可靠性、低延時(shí)性、高效性、容錯(cuò)性等特點(diǎn)。為了達(dá)到這種要求,核心層設(shè)備全部采用雙機(jī)冗余熱備份接入方式,也可以通過(guò)負(fù)載均衡技術(shù)實(shí)現(xiàn)高速設(shè)備的接入。我們考慮到核心層是整個(gè)園區(qū)網(wǎng)的樞紐中心,在核心設(shè)備的采購(gòu)上選擇了兩臺(tái)H3C S8500路由交換機(jī),進(jìn)行雙機(jī)冗余熱備份。
作為核心層和接入層的臨界點(diǎn),匯聚層的主要功能就是進(jìn)行數(shù)據(jù)包過(guò)濾操作,所以我們應(yīng)該選用運(yùn)行性能稍微好一些的三層交換機(jī)來(lái)作為匯聚交換機(jī)使用,在選購(gòu)這一層的交換設(shè)備時(shí)我們打算采用性能比較好一些的H3C S3610園區(qū)產(chǎn)品,同時(shí)打算在每個(gè)匯聚接入點(diǎn)配備兩臺(tái)這樣的設(shè)備作為冗余。在匯聚層交換機(jī)上,我們打算按照單位劃分設(shè)置VLAN信息,所有的VLAN信息全部終結(jié)在這一層上。為了保證匯聚層的工作穩(wěn)定性,位于每個(gè)匯聚層的兩臺(tái)交換機(jī)同時(shí)采用HSRP通信協(xié)議進(jìn)行相互備份;同時(shí)為了順利進(jìn)行數(shù)據(jù)包過(guò)濾操作,我們?cè)谶@一層上需要?jiǎng)?chuàng)建訪問(wèn)控制列表。考慮到最近一段時(shí)間ARP病毒比較猖獗,我們準(zhǔn)備在匯聚層啟用DAI等功能,來(lái)預(yù)防ARP病毒的泛濫。
接入層主要功能就是為終端用戶網(wǎng)絡(luò)接入提供服務(wù),這一層需要進(jìn)行VLAN動(dòng)態(tài)分配以及網(wǎng)絡(luò)接入控制操作。在動(dòng)態(tài)分配VLAN信息時(shí),只要依照單位員工在域中的部門信息來(lái)自動(dòng)完成,當(dāng)某員工連接到園區(qū)網(wǎng)中時(shí),接入層能夠依照用戶的登錄信息,動(dòng)態(tài)地將這位員工劃分到對(duì)應(yīng)員工所在部門的VLAN中,這就意味著任何員工無(wú)論在園區(qū)網(wǎng)的任何位置處,都能接入到自己所屬部門的VLAN中,并擁有對(duì)應(yīng)部門的訪問(wèn)權(quán)限。這一層的設(shè)備采購(gòu),我們選用的是H3C S3050交換機(jī)。
初步規(guī)劃不足之處
電子政務(wù)內(nèi)網(wǎng)初步規(guī)劃應(yīng)該可以算得上是一種非常理想的組網(wǎng)架構(gòu),這也是很多單位經(jīng)常選用的一種設(shè)計(jì)方案,這樣的規(guī)劃方案有利于提高整個(gè)網(wǎng)絡(luò)的運(yùn)行效率,便于提升網(wǎng)絡(luò)的運(yùn)行穩(wěn)定性和運(yùn)行安全性,同時(shí)也能方便網(wǎng)管人員進(jìn)行管理維護(hù)?墒牵趯(shí)際組網(wǎng)的過(guò)程中,我們卻發(fā)現(xiàn)初步規(guī)劃方案存在明顯不足之處:
首先,在初步規(guī)劃方案中,對(duì)核心層、匯聚層以及接入層之間的相互連接,全部采用的是冗余的雙鏈路設(shè)計(jì),這無(wú)疑會(huì)大幅增加組網(wǎng)成本,為了讓組網(wǎng)成本控制在一個(gè)可承受的范圍內(nèi),我們?cè)趯?shí)際組網(wǎng)的時(shí)候只對(duì)匯聚層到核心層之間的鏈路進(jìn)行了冗余的雙鏈路設(shè)計(jì),同時(shí)核心層的設(shè)備也進(jìn)行了冗余,而匯聚層由原先兩臺(tái)H3C S3610園區(qū)交換機(jī)的冗余配置調(diào)整成了單臺(tái)的配置,所以位于匯聚層的單臺(tái)交換機(jī)上就不需要配置HSRP通信協(xié)議了;
其次,初步規(guī)劃中的核心層到匯聚層之間的三層連接,在實(shí)際建設(shè)的時(shí)候,也存在一些問(wèn)題。在整個(gè)電子政務(wù)園區(qū)網(wǎng)建設(shè)過(guò)程中,我們采用的是 802.1x技術(shù)來(lái)實(shí)現(xiàn)VLAN信息動(dòng)態(tài)分配和用戶網(wǎng)絡(luò)接入控制目的的,不過(guò)這種實(shí)現(xiàn)思路與三層核心網(wǎng)絡(luò)的設(shè)計(jì)理念存在明顯沖突。初步規(guī)劃方案中規(guī)定核心層到匯聚層之間的鏈路設(shè)計(jì)屬于三層網(wǎng)絡(luò)連接,所有VLAN信息動(dòng)態(tài)分配和用戶網(wǎng)絡(luò)接入控制只能在匯聚層中完成,那么當(dāng)單位員工在自己所屬部門的匯聚點(diǎn)范圍內(nèi)改變上網(wǎng)位置時(shí),不會(huì)存在任何位置,員工仍然可以自動(dòng)被劃分到對(duì)應(yīng)部門的VLAN中,同時(shí)擁有對(duì)應(yīng)部門的訪問(wèn)權(quán)限。然而當(dāng)員工調(diào)整到另外一個(gè)匯聚點(diǎn)范圍時(shí),他就不能被自動(dòng)劃分到自己所屬部門的VLAN中了,這是因?yàn)楹诵膶拥絽R聚層之間的連接屬于三層網(wǎng)絡(luò)連接,核心層不會(huì)保留二層信息,那么核心層自然也就不會(huì)把一個(gè)匯聚層中的VLAN信息轉(zhuǎn)發(fā)到另外一個(gè)匯聚層中,所以另外一個(gè)匯聚點(diǎn)范圍內(nèi)就沒(méi)有目標(biāo)員工所屬部門的VLAN信息,那么對(duì)應(yīng)匯聚層的交換機(jī)自然也就不會(huì)為目標(biāo)員工動(dòng)態(tài)分配VLAN信息。當(dāng)然,需要提醒各位注意的是,三層網(wǎng)絡(luò)連接并不是不能進(jìn)行VLAN信息的傳播、轉(zhuǎn)發(fā),只是實(shí)現(xiàn)起來(lái)相對(duì)比較復(fù)雜,而且也不利于日后的網(wǎng)絡(luò)平滑升級(jí)。
第三,由于電子政務(wù)園區(qū)網(wǎng)中還有類似電子監(jiān)察監(jiān)控之類的網(wǎng)絡(luò)應(yīng)用,依照這些應(yīng)用提供商的方案設(shè)計(jì),各個(gè)應(yīng)用終端系統(tǒng)都分布在各自所屬的VLAN中,同時(shí)都是隨意分布在不同的交換區(qū)域中,這與VLAN信息的動(dòng)態(tài)分配一樣,也存在電子監(jiān)察監(jiān)控的VLAN調(diào)整位置的問(wèn)題。
第四,初步規(guī)劃中要求將電子政務(wù)內(nèi)網(wǎng)中的所有服務(wù)器系統(tǒng),全部通過(guò)匯聚層交換機(jī)連接到園區(qū)網(wǎng)中,但是這種規(guī)劃明顯與組網(wǎng)預(yù)算有沖突;為此,我們?cè)趯?shí)際組網(wǎng)的時(shí)候,不得不取消連接服務(wù)器的匯聚層交換機(jī),直接讓所有服務(wù)器系統(tǒng)連接到園區(qū)網(wǎng)的核心交換機(jī)上,那樣一來(lái)就必須在核心層為這些服務(wù)器系統(tǒng)設(shè)置VLAN信息了,此時(shí)核心層上就保留有VLAN等二層信息了,這顯然與之前的規(guī)劃相違背。
合理優(yōu)化建設(shè)規(guī)劃
既然電子政務(wù)內(nèi)網(wǎng)建設(shè)初步規(guī)劃存在這么多不足之處,我們現(xiàn)在經(jīng)過(guò)仔細(xì)分析研究,對(duì)初步規(guī)劃方案提出了如下修改變動(dòng):
首先為了解決各類網(wǎng)絡(luò)應(yīng)用的VLAN信息能夠跨越匯聚層交換機(jī)的問(wèn)題,我們通過(guò)設(shè)置將匯聚層交換機(jī)與核心層交換機(jī)的網(wǎng)絡(luò)連接,全部調(diào)整為 TRUNK工作模式,這樣一來(lái)所有VLAN信息都能上傳到核心交換機(jī)上,并通過(guò)核心交換機(jī)傳播給其他匯聚點(diǎn)接入范圍,那樣的話就能真正實(shí)現(xiàn)任何員工無(wú)論在園區(qū)網(wǎng)的任何位置處,都能接入到自己所屬部門的VLAN中的目的了,這個(gè)問(wèn)題的解決也能提高網(wǎng)絡(luò)管理的便利性。
其次由于所有服務(wù)器系統(tǒng)直接接入到核心交換機(jī)上,為了對(duì)服務(wù)器的VLAN信息進(jìn)行冗余設(shè)計(jì),我們必須對(duì)核心層的兩臺(tái)H3C S8500路由交換機(jī)啟用配置HSRP協(xié)議,同時(shí)將兩臺(tái)核心交換機(jī)之間的互聯(lián)通道修改為TRUNK工作模式。此外,每一臺(tái)服務(wù)器系統(tǒng)中都要同時(shí)安裝兩塊網(wǎng)卡設(shè)備,每塊網(wǎng)卡與一臺(tái)核心交換機(jī)進(jìn)行直接連接,同時(shí)在網(wǎng)卡設(shè)備上設(shè)計(jì)TEAM,這樣既能實(shí)現(xiàn)冗余備份目的,又能實(shí)現(xiàn)負(fù)載均衡目的。
經(jīng)過(guò)調(diào)整后的網(wǎng)絡(luò)規(guī)劃方案,不但可以有效降低組網(wǎng)成本費(fèi)用,而且也能順利解決VLAN問(wèn)題跨越匯聚交換機(jī)的問(wèn)題;當(dāng)然,修改后的網(wǎng)絡(luò)規(guī)劃方案也不是非常完美的,它雖然兼顧了組網(wǎng)成本和運(yùn)行功效,但是這種方案是以犧牲網(wǎng)絡(luò)的可用性為代價(jià)的。通過(guò)這次電子政務(wù)內(nèi)網(wǎng)平臺(tái)的建設(shè),筆者認(rèn)為理想的網(wǎng)絡(luò)規(guī)劃方案與實(shí)際的組網(wǎng)環(huán)境還是有一定差距的,網(wǎng)絡(luò)的應(yīng)用、網(wǎng)絡(luò)的結(jié)構(gòu)以及網(wǎng)絡(luò)的建設(shè)成本這三者之間往往是存在矛盾的。在實(shí)際組網(wǎng)的時(shí)候,我們?yōu)榱吮M可能降低組網(wǎng)成本和滿足多種不同網(wǎng)絡(luò)應(yīng)用需求,往往在組網(wǎng)結(jié)構(gòu)上不得不做出一些妥協(xié)、讓步,在妥協(xié)、讓步之后對(duì)網(wǎng)絡(luò)運(yùn)行造成的影響在短時(shí)間內(nèi)又無(wú)法覺(jué)察出來(lái),這就給日后網(wǎng)絡(luò)的穩(wěn)定運(yùn)行帶來(lái)隱患。
北京 | 天津 | 上海 | 江蘇 | 山東 |
安徽 | 浙江 | 江西 | 福建 | 深圳 |
廣東 | 河北 | 湖南 | 廣西 | 河南 |
海南 | 湖北 | 四川 | 重慶 | 云南 |
貴州 | 西藏 | 新疆 | 陜西 | 山西 |
寧夏 | 甘肅 | 青海 | 遼寧 | 吉林 |
黑龍江 | 內(nèi)蒙古 |