為了推進(jìn)全市行政權(quán)力網(wǎng)上公開透明運(yùn)行工作，筆者所在市的電子政務(wù)中心按照上級要求，最近開始了電子政務(wù)內(nèi)網(wǎng)平臺的建設(shè);這次的內(nèi)網(wǎng)平臺建設(shè)，包括了市平臺到各個縣、市(區(qū))分平臺的廣域網(wǎng)建設(shè)和市中心自身局域網(wǎng)的建設(shè)。為了讓電子政務(wù)內(nèi)網(wǎng)建設(shè)成本兼顧功效，現(xiàn)在筆者就把我市電子政務(wù)內(nèi)網(wǎng)建設(shè)過程中總結(jié)出來的一些體會貢獻(xiàn)出來，與大家進(jìn)行共享交流!

內(nèi)網(wǎng)建設(shè)初步規(guī)劃

市中心和經(jīng)濟(jì)開發(fā)區(qū)在地理位置上靠得比較近，我們在設(shè)計電子政務(wù)內(nèi)網(wǎng)建設(shè)規(guī)劃時，特意將市中心和經(jīng)濟(jì)開發(fā)區(qū)作為一個園區(qū)網(wǎng)來建設(shè)的。由于電子政務(wù)內(nèi)網(wǎng)是為了運(yùn)行行政權(quán)力網(wǎng)上公開透明系統(tǒng)而新創(chuàng)建的一個通信網(wǎng)絡(luò)，而不是對一個已經(jīng)存在的通信網(wǎng)絡(luò)進(jìn)行升級、改造，受到一些主、客觀條件的限制，我們想讓這個即將建設(shè)的園區(qū)網(wǎng)絡(luò)符合冗余、穩(wěn)定、平滑升級的特性。在規(guī)劃園區(qū)網(wǎng)的建設(shè)時，我們采用了現(xiàn)在非常流行的三層網(wǎng)絡(luò)結(jié)構(gòu)作為整個網(wǎng)絡(luò)的架構(gòu)，也就是說采用核心層、匯聚層以及接入層這三層網(wǎng)絡(luò)結(jié)構(gòu)，來確保整個網(wǎng)絡(luò)能夠持續(xù)、穩(wěn)定地運(yùn)行，每一層的相互連接全部采用冗余設(shè)計，具體地說就是核心層、匯聚層以及接入層之間的通信連接全部采用的是雙鏈路，整個網(wǎng)絡(luò)的初步規(guī)劃拓?fù)鋱D為如圖1所示。

由于核心層是整個網(wǎng)絡(luò)的傳輸主干道，它的工作狀態(tài)直接影響著整個網(wǎng)絡(luò)的運(yùn)行性能，為了保證電子政務(wù)內(nèi)網(wǎng)平臺的高效、穩(wěn)定運(yùn)行，核心層應(yīng)該具有冗余性、可靠性、低延時性、高效性、容錯性等特點。為了達(dá)到這種要求，核心層設(shè)備全部采用雙機(jī)冗余熱備份接入方式，也可以通過負(fù)載均衡技術(shù)實現(xiàn)高速設(shè)備的接入。我們考慮到核心層是整個園區(qū)網(wǎng)的樞紐中心，在核心設(shè)備的采購上選擇了兩臺H3C S8500路由交換機(jī)，進(jìn)行雙機(jī)冗余熱備份。

作為核心層和接入層的臨界點，匯聚層的主要功能就是進(jìn)行數(shù)據(jù)包過濾操作，所以我們應(yīng)該選用運(yùn)行性能稍微好一些的三層交換機(jī)來作為匯聚交換機(jī)使用，在選購這一層的交換設(shè)備時我們打算采用性能比較好一些的H3C S3610園區(qū)產(chǎn)品，同時打算在每個匯聚接入點配備兩臺這樣的設(shè)備作為冗余。在匯聚層交換機(jī)上，我們打算按照單位劃分設(shè)置VLAN信息，所有的VLAN信息全部終結(jié)在這一層上。為了保證匯聚層的工作穩(wěn)定性，位于每個匯聚層的兩臺交換機(jī)同時采用HSRP通信協(xié)議進(jìn)行相互備份;同時為了順利進(jìn)行數(shù)據(jù)包過濾操作，我們在這一層上需要創(chuàng)建訪問控制列表。考慮到最近一段時間ARP病毒比較猖獗，我們準(zhǔn)備在匯聚層啟用DAI等功能，來預(yù)防ARP病毒的泛濫。

接入層主要功能就是為終端用戶網(wǎng)絡(luò)接入提供服務(wù)，這一層需要進(jìn)行VLAN動態(tài)分配以及網(wǎng)絡(luò)接入控制操作。在動態(tài)分配VLAN信息時，只要依照單位員工在域中的部門信息來自動完成，當(dāng)某員工連接到園區(qū)網(wǎng)中時，接入層能夠依照用戶的登錄信息，動態(tài)地將這位員工劃分到對應(yīng)員工所在部門的VLAN中，這就意味著任何員工無論在園區(qū)網(wǎng)的任何位置處，都能接入到自己所屬部門的VLAN中，并擁有對應(yīng)部門的訪問權(quán)限。這一層的設(shè)備采購，我們選用的是H3C S3050交換機(jī)。#p#

初步規(guī)劃不足之處

電子政務(wù)內(nèi)網(wǎng)初步規(guī)劃應(yīng)該可以算得上是一種非常理想的組網(wǎng)架構(gòu)，這也是很多單位經(jīng)常選用的一種設(shè)計方案，這樣的規(guī)劃方案有利于提高整個網(wǎng)絡(luò)的運(yùn)行效率，便于提升網(wǎng)絡(luò)的運(yùn)行穩(wěn)定性和運(yùn)行安全性，同時也能方便網(wǎng)管人員進(jìn)行管理維護(hù)。可是，在實際組網(wǎng)的過程中，我們卻發(fā)現(xiàn)初步規(guī)劃方案存在明顯不足之處：

首先，在初步規(guī)劃方案中，對核心層、匯聚層以及接入層之間的相互連接，全部采用的是冗余的雙鏈路設(shè)計，這無疑會大幅增加組網(wǎng)成本，為了讓組網(wǎng)成本控制在一個可承受的范圍內(nèi)，我們在實際組網(wǎng)的時候只對匯聚層到核心層之間的鏈路進(jìn)行了冗余的雙鏈路設(shè)計，同時核心層的設(shè)備也進(jìn)行了冗余，而匯聚層由原先兩臺H3C S3610園區(qū)交換機(jī)的冗余配置調(diào)整成了單臺的配置，所以位于匯聚層的單臺交換機(jī)上就不需要配置HSRP通信協(xié)議了;

其次，初步規(guī)劃中的核心層到匯聚層之間的三層連接，在實際建設(shè)的時候，也存在一些問題。在整個電子政務(wù)園區(qū)網(wǎng)建設(shè)過程中，我們采用的是802.1x技術(shù)來實現(xiàn)VLAN信息動態(tài)分配和用戶網(wǎng)絡(luò)接入控制目的的，不過這種實現(xiàn)思路與三層核心網(wǎng)絡(luò)的設(shè)計理念存在明顯沖突。初步規(guī)劃方案中規(guī)定核心層到匯聚層之間的鏈路設(shè)計屬于三層網(wǎng)絡(luò)連接，所有VLAN信息動態(tài)分配和用戶網(wǎng)絡(luò)接入控制只能在匯聚層中完成，那么當(dāng)單位員工在自己所屬部門的匯聚點范圍內(nèi)改變上網(wǎng)位置時，不會存在任何位置，員工仍然可以自動被劃分到對應(yīng)部門的VLAN中，同時擁有對應(yīng)部門的訪問權(quán)限。然而當(dāng)員工調(diào)整到另外一個匯聚點范圍時，他就不能被自動劃分到自己所屬部門的VLAN中了，這是因為核心層到匯聚層之間的連接屬于三層網(wǎng)絡(luò)連接，核心層不會保留二層信息，那么核心層自然也就不會把一個匯聚層中的VLAN信息轉(zhuǎn)發(fā)到另外一個匯聚層中，所以另外一個匯聚點范圍內(nèi)就沒有目標(biāo)員工所屬部門的VLAN信息，那么對應(yīng)匯聚層的交換機(jī)自然也就不會為目標(biāo)員工動態(tài)分配VLAN信息。當(dāng)然，需要提醒各位注意的是，三層網(wǎng)絡(luò)連接并不是不能進(jìn)行VLAN信息的傳播、轉(zhuǎn)發(fā)，只是實現(xiàn)起來相對比較復(fù)雜，而且也不利于日后的網(wǎng)絡(luò)平滑升級。

第三，由于電子政務(wù)園區(qū)網(wǎng)中還有類似電子監(jiān)察監(jiān)控之類的網(wǎng)絡(luò)應(yīng)用，依照這些應(yīng)用提供商的方案設(shè)計，各個應(yīng)用終端系統(tǒng)都分布在各自所屬的VLAN中，同時都是隨意分布在不同的交換區(qū)域中，這與VLAN信息的動態(tài)分配一樣，也存在電子監(jiān)察監(jiān)控的VLAN調(diào)整位置的問題。

第四，初步規(guī)劃中要求將電子政務(wù)內(nèi)網(wǎng)中的所有服務(wù)器系統(tǒng)，全部通過匯聚層交換機(jī)連接到園區(qū)網(wǎng)中，但是這種規(guī)劃明顯與組網(wǎng)預(yù)算有沖突;為此，我們在實際組網(wǎng)的時候，不得不取消連接服務(wù)器的匯聚層交換機(jī)，直接讓所有服務(wù)器系統(tǒng)連接到園區(qū)網(wǎng)的核心交換機(jī)上，那樣一來就必須在核心層為這些服務(wù)器系統(tǒng)設(shè)置VLAN信息了，此時核心層上就保留有VLAN等二層信息了，這顯然與之前的規(guī)劃相違背。#p#

合理優(yōu)化建設(shè)規(guī)劃

既然電子政務(wù)內(nèi)網(wǎng)建設(shè)初步規(guī)劃存在這么多不足之處，我們現(xiàn)在經(jīng)過仔細(xì)分析研究，對初步規(guī)劃方案提出了如下修改變動：

首先為了解決各類網(wǎng)絡(luò)應(yīng)用的VLAN信息能夠跨越匯聚層交換機(jī)的問題，我們通過設(shè)置將匯聚層交換機(jī)與核心層交換機(jī)的網(wǎng)絡(luò)連接，全部調(diào)整為TRUNK工作模式，這樣一來所有VLAN信息都能上傳到核心交換機(jī)上，并通過核心交換機(jī)傳播給其他匯聚點接入范圍，那樣的話就能真正實現(xiàn)任何員工無論在園區(qū)網(wǎng)的任何位置處，都能接入到自己所屬部門的VLAN中的目的了，這個問題的解決也能提高網(wǎng)絡(luò)管理的便利性。

其次由于所有服務(wù)器系統(tǒng)直接接入到核心交換機(jī)上，為了對服務(wù)器的VLAN信息進(jìn)行冗余設(shè)計，我們必須對核心層的兩臺H3C S8500路由交換機(jī)啟用配置HSRP協(xié)議，同時將兩臺核心交換機(jī)之間的互聯(lián)通道修改為TRUNK工作模式。此外，每一臺服務(wù)器系統(tǒng)中都要同時安裝兩塊網(wǎng)卡設(shè)備，每塊網(wǎng)卡與一臺核心交換機(jī)進(jìn)行直接連接，同時在網(wǎng)卡設(shè)備上設(shè)計TEAM，這樣既能實現(xiàn)冗余備份目的，又能實現(xiàn)負(fù)載均衡目的，圖2所示的結(jié)構(gòu)圖就是修改后的園區(qū)網(wǎng)絡(luò)拓?fù)鋱D。

經(jīng)過調(diào)整后的網(wǎng)絡(luò)規(guī)劃方案，不但可以有效降低組網(wǎng)成本費(fèi)用，而且也能順利解決VLAN問題跨越匯聚交換機(jī)的問題;當(dāng)然，修改后的網(wǎng)絡(luò)規(guī)劃方案也不是非常***的，它雖然兼顧了組網(wǎng)成本和運(yùn)行功效，但是這種方案是以犧牲網(wǎng)絡(luò)的可用性為代價的。通過這次電子政務(wù)內(nèi)網(wǎng)平臺的建設(shè)，筆者認(rèn)為理想的網(wǎng)絡(luò)規(guī)劃方案與實際的組網(wǎng)環(huán)境還是有一定差距的，網(wǎng)絡(luò)的應(yīng)用、網(wǎng)絡(luò)的結(jié)構(gòu)以及網(wǎng)絡(luò)的建設(shè)成本這三者之間往往是存在矛盾的。在實際組網(wǎng)的時候，我們?yōu)榱吮M可能降低組網(wǎng)成本和滿足多種不同網(wǎng)絡(luò)應(yīng)用需求，往往在組網(wǎng)結(jié)構(gòu)上不得不做出一些妥協(xié)、讓步，在妥協(xié)、讓步之后對網(wǎng)絡(luò)運(yùn)行造成的影響在短時間內(nèi)又無法覺察出來，這就給日后網(wǎng)絡(luò)的穩(wěn)定運(yùn)行帶來隱患。