為了推進全市行政權力網上公開透明運行工作,筆者所在市的電子政務中心按照上級要求,最近開始了電子政務內網平臺的建設;這次的內網平臺建設,包括了市平臺到各個縣、市(區)分平臺的廣域網建設和市中心自身局域網的建設。為了讓電子政務內網建設成本兼顧功效,現在筆者就把我市電子政務內網建設過程中總結出來的一些體會貢獻出來,與大家進行共享交流!
內網建設初步規劃
市中心和經濟開發區在地理位置上靠得比較近,我們在設計電子政務內網建設規劃時,特意將市中心和經濟開發區作為一個園區網來建設的。由于電子政務內網是為了運行行政權力網上公開透明系統而新創建的一個通信網絡,而不是對一個已經存在的通信網絡進行升級、改造,受到一些主、客觀條件的限制,我們想讓這個即將建設的園區網絡符合冗余、穩定、平滑升級的特性。在規劃園區網的建設時,我們采用了現在非常流行的三層網絡結構作為整個網絡的架構,也就是說采用核心層、匯聚層以及接入層這三層網絡結構,來確保整個網絡能夠持續、穩定地運行,每一層的相互連接全部采用冗余設計,具體地說就是核心層、匯聚層以及接入層之間的通信連接全部采用的是雙鏈路.
由于核心層是整個網絡的傳輸主干道,它的工作狀態直接影響著整個網絡的運行性能,為了保證電子政務內網平臺的高效、穩定運行,核心層應該具有冗余性、可靠性、低延時性、高效性、容錯性等特點。為了達到這種要求,核心層設備全部采用雙機冗余熱備份接入方式,也可以通過負載均衡技術實現高速設備的接入。我們考慮到核心層是整個園區網的樞紐中心,在核心設備的采購上選擇了兩臺H3C S8500路由交換機,進行雙機冗余熱備份。
作為核心層和接入層的臨界點,匯聚層的主要功能就是進行數據包過濾操作,所以我們應該選用運行性能稍微好一些的三層交換機來作為匯聚交換機使用,在選購這一層的交換設備時我們打算采用性能比較好一些的H3C S3610園區產品,同時打算在每個匯聚接入點配備兩臺這樣的設備作為冗余。在匯聚層交換機上,我們打算按照單位劃分設置VLAN信息,所有的VLAN信息全部終結在這一層上。為了保證匯聚層的工作穩定性,位于每個匯聚層的兩臺交換機同時采用HSRP通信協議進行相互備份;同時為了順利進行數據包過濾操作,我們在這一層上需要創建訪問控制列表。考慮到最近一段時間ARP病毒比較猖獗,我們準備在匯聚層啟用DAI等功能,來預防ARP病毒的泛濫。
接入層主要功能就是為終端用戶網絡接入提供服務,這一層需要進行VLAN動態分配以及網絡接入控制操作。在動態分配VLAN信息時,只要依照單位員工在域中的部門信息來自動完成,當某員工連接到園區網中時,接入層能夠依照用戶的登錄信息,動態地將這位員工劃分到對應員工所在部門的VLAN中,這就意味著任何員工無論在園區網的任何位置處,都能接入到自己所屬部門的VLAN中,并擁有對應部門的訪問權限。這一層的設備采購,我們選用的是H3C S3050交換機。
初步規劃不足之處
電子政務內網初步規劃應該可以算得上是一種非常理想的組網架構,這也是很多單位經常選用的一種設計方案,這樣的規劃方案有利于提高整個網絡的運行效率,便于提升網絡的運行穩定性和運行安全性,同時也能方便網管人員進行管理維護。可是,在實際組網的過程中,我們卻發現初步規劃方案存在明顯不足之處:
首先,在初步規劃方案中,對核心層、匯聚層以及接入層之間的相互連接,全部采用的是冗余的雙鏈路設計,這無疑會大幅增加組網成本,為了讓組網成本控制在一個可承受的范圍內,我們在實際組網的時候只對匯聚層到核心層之間的鏈路進行了冗余的雙鏈路設計,同時核心層的設備也進行了冗余,而匯聚層由原先兩臺H3C S3610園區交換機的冗余配置調整成了單臺的配置,所以位于匯聚層的單臺交換機上就不需要配置HSRP通信協議了;
其次,初步規劃中的核心層到匯聚層之間的三層連接,在實際建設的時候,也存在一些問題。在整個電子政務園區網建設過程中,我們采用的是 802.1x技術來實現VLAN信息動態分配和用戶網絡接入控制目的的,不過這種實現思路與三層核心網絡的設計理念存在明顯沖突。初步規劃方案中規定核心層到匯聚層之間的鏈路設計屬于三層網絡連接,所有VLAN信息動態分配和用戶網絡接入控制只能在匯聚層中完成,那么當單位員工在自己所屬部門的匯聚點范圍內改變上網位置時,不會存在任何位置,員工仍然可以自動被劃分到對應部門的VLAN中,同時擁有對應部門的訪問權限。然而當員工調整到另外一個匯聚點范圍時,他就不能被自動劃分到自己所屬部門的VLAN中了,這是因為核心層到匯聚層之間的連接屬于三層網絡連接,核心層不會保留二層信息,那么核心層自然也就不會把一個匯聚層中的VLAN信息轉發到另外一個匯聚層中,所以另外一個匯聚點范圍內就沒有目標員工所屬部門的VLAN信息,那么對應匯聚層的交換機自然也就不會為目標員工動態分配VLAN信息。當然,需要提醒各位注意的是,三層網絡連接并不是不能進行VLAN信息的傳播、轉發,只是實現起來相對比較復雜,而且也不利于日后的網絡平滑升級。
第三,由于電子政務園區網中還有類似電子監察監控之類的網絡應用,依照這些應用提供商的方案設計,各個應用終端系統都分布在各自所屬的VLAN中,同時都是隨意分布在不同的交換區域中,這與VLAN信息的動態分配一樣,也存在電子監察監控的VLAN調整位置的問題。
第四,初步規劃中要求將電子政務內網中的所有服務器系統,全部通過匯聚層交換機連接到園區網中,但是這種規劃明顯與組網預算有沖突;為此,我們在實際組網的時候,不得不取消連接服務器的匯聚層交換機,直接讓所有服務器系統連接到園區網的核心交換機上,那樣一來就必須在核心層為這些服務器系統設置VLAN信息了,此時核心層上就保留有VLAN等二層信息了,這顯然與之前的規劃相違背。
合理優化建設規劃
既然電子政務內網建設初步規劃存在這么多不足之處,我們現在經過仔細分析研究,對初步規劃方案提出了如下修改變動:
首先為了解決各類網絡應用的VLAN信息能夠跨越匯聚層交換機的問題,我們通過設置將匯聚層交換機與核心層交換機的網絡連接,全部調整為 TRUNK工作模式,這樣一來所有VLAN信息都能上傳到核心交換機上,并通過核心交換機傳播給其他匯聚點接入范圍,那樣的話就能真正實現任何員工無論在園區網的任何位置處,都能接入到自己所屬部門的VLAN中的目的了,這個問題的解決也能提高網絡管理的便利性。
其次由于所有服務器系統直接接入到核心交換機上,為了對服務器的VLAN信息進行冗余設計,我們必須對核心層的兩臺H3C S8500路由交換機啟用配置HSRP協議,同時將兩臺核心交換機之間的互聯通道修改為TRUNK工作模式。此外,每一臺服務器系統中都要同時安裝兩塊網卡設備,每塊網卡與一臺核心交換機進行直接連接,同時在網卡設備上設計TEAM,這樣既能實現冗余備份目的,又能實現負載均衡目的。
經過調整后的網絡規劃方案,不但可以有效降低組網成本費用,而且也能順利解決VLAN問題跨越匯聚交換機的問題;當然,修改后的網絡規劃方案也不是非常完美的,它雖然兼顧了組網成本和運行功效,但是這種方案是以犧牲網絡的可用性為代價的。通過這次電子政務內網平臺的建設,筆者認為理想的網絡規劃方案與實際的組網環境還是有一定差距的,網絡的應用、網絡的結構以及網絡的建設成本這三者之間往往是存在矛盾的。在實際組網的時候,我們為了盡可能降低組網成本和滿足多種不同網絡應用需求,往往在組網結構上不得不做出一些妥協、讓步,在妥協、讓步之后對網絡運行造成的影響在短時間內又無法覺察出來,這就給日后網絡的穩定運行帶來隱患。
