扫一扫
分享文章到微信
扫一扫
关注官方公众号
至顶头条
为了推进全市行政权力网上公开透明运行工作,笔者所在市的电子政务中心按照上级要求,最近开始了电子政务内网平台的建设;这次的内网平台建设,包括了市平台到各个县、市(区)分平台的广域网建设和市中心自身局域网的建设。为了让电子政务内网建设成本兼顾功效,现在笔者就把我市电子政务内网建设过程中总结出来的一些体会贡献出来,与大家进行共享交流!
内网建设初步规划
市中心和经济开发区在地理位置上靠得比较近,我们在设计电子政务内网建设规划时,特意将市中心和经济开发区作为一个园区网来建设的。由于电子政务内网是为了运行行政权力网上公开透明系统而新创建的一个通信网络,而不是对一个已经存在的通信网络进行升级、改造,受到一些主、客观条件的限制,我们想让这个即将建设的园区网络符合冗余、稳定、平滑升级的特性。在规划园区网的建设时,我们采用了现在非常流行的三层网络结构作为整个网络的架构,也就是说采用核心层、汇聚层以及接入层这三层网络结构,来确保整个网络能够持续、稳定地运行,每一层的相互连接全部采用冗余设计,具体地说就是核心层、汇聚层以及接入层之间的通信连接全部采用的是双链路,整个网络的初步规划拓扑图为如图1所示。
由于核心层是整个网络的传输主干道,它的工作状态直接影响着整个网络的运行性能,为了保证电子政务内网平台的高效、稳定运行,核心层应该具有冗余性、可靠性、低延时性、高效性、容错性等特点。为了达到这种要求,核心层设备全部采用双机冗余热备份接入方式,也可以通过负载均衡技术实现高速设备的接入。我们考虑到核心层是整个园区网的枢纽中心,在核心设备的采购上选择了两台H3C S8500路由交换机,进行双机冗余热备份。
作为核心层和接入层的临界点,汇聚层的主要功能就是进行数据包过滤操作,所以我们应该选用运行性能稍微好一些的三层交换机来作为汇聚交换机使用,在选购这一层的交换设备时我们打算采用性能比较好一些的H3C S3610园区产品,同时打算在每个汇聚接入点配备两台这样的设备作为冗余。在汇聚层交换机上,我们打算按照单位划分设置VLAN信息,所有的VLAN信息全部终结在这一层上。为了保证汇聚层的工作稳定性,位于每个汇聚层的两台交换机同时采用HSRP通信协议进行相互备份;同时为了顺利进行数据包过滤操作,我们在这一层上需要创建访问控制列表。考虑到最近一段时间ARP病毒比较猖獗,我们准备在汇聚层启用DAI等功能,来预防ARP病毒的泛滥。
接入层主要功能就是为终端用户网络接入提供服务,这一层需要进行VLAN动态分配以及网络接入控制操作。在动态分配VLAN信息时,只要依照单位员工在域中的部门信息来自动完成,当某员工连接到园区网中时,接入层能够依照用户的登录信息,动态地将这位员工划分到对应员工所在部门的VLAN中,这就意味着任何员工无论在园区网的任何位置处,都能接入到自己所属部门的VLAN中,并拥有对应部门的访问权限。这一层的设备采购,我们选用的是H3C S3050交换机。
初步规划不足之处
电子政务内网初步规划应该可以算得上是一种非常理想的组网架构,这也是很多单位经常选用的一种设计方案,这样的规划方案有利于提高整个网络的运行效率,便于提升网络的运行稳定性和运行安全性,同时也能方便网管人员进行管理维护。可是,在实际组网的过程中,我们却发现初步规划方案存在明显不足之处:
首先,在初步规划方案中,对核心层、汇聚层以及接入层之间的相互连接,全部采用的是冗余的双链路设计,这无疑会大幅增加组网成本,为了让组网成本控制在一个可承受的范围内,我们在实际组网的时候只对汇聚层到核心层之间的链路进行了冗余的双链路设计,同时核心层的设备也进行了冗余,而汇聚层由原先两台H3C S3610园区交换机的冗余配置调整成了单台的配置,所以位于汇聚层的单台交换机上就不需要配置HSRP通信协议了;
其次,初步规划中的核心层到汇聚层之间的三层连接,在实际建设的时候,也存在一些问题。在整个电子政务园区网建设过程中,我们采用的是802.1x技术来实现VLAN信息动态分配和用户网络接入控制目的的,不过这种实现思路与三层核心网络的设计理念存在明显冲突。初步规划方案中规定核心层到汇聚层之间的链路设计属于三层网络连接,所有VLAN信息动态分配和用户网络接入控制只能在汇聚层中完成,那么当单位员工在自己所属部门的汇聚点范围内改变上网位置时,不会存在任何位置,员工仍然可以自动被划分到对应部门的VLAN中,同时拥有对应部门的访问权限。然而当员工调整到另外一个汇聚点范围时,他就不能被自动划分到自己所属部门的VLAN中了,这是因为核心层到汇聚层之间的连接属于三层网络连接,核心层不会保留二层信息,那么核心层自然也就不会把一个汇聚层中的VLAN信息转发到另外一个汇聚层中,所以另外一个汇聚点范围内就没有目标员工所属部门的VLAN信息,那么对应汇聚层的交换机自然也就不会为目标员工动态分配VLAN信息。当然,需要提醒各位注意的是,三层网络连接并不是不能进行VLAN信息的传播、转发,只是实现起来相对比较复杂,而且也不利于日后的网络平滑升级。
第三,由于电子政务园区网中还有类似电子监察监控之类的网络应用,依照这些应用提供商的方案设计,各个应用终端系统都分布在各自所属的VLAN中,同时都是随意分布在不同的交换区域中,这与VLAN信息的动态分配一样,也存在电子监察监控的VLAN调整位置的问题。
第四,初步规划中要求将电子政务内网中的所有服务器系统,全部通过汇聚层交换机连接到园区网中,但是这种规划明显与组网预算有冲突;为此,我们在实际组网的时候,不得不取消连接服务器的汇聚层交换机,直接让所有服务器系统连接到园区网的核心交换机上,那样一来就必须在核心层为这些服务器系统设置VLAN信息了,此时核心层上就保留有VLAN等二层信息了,这显然与之前的规划相违背。
合理优化建设规划
既然电子政务内网建设初步规划存在这么多不足之处,我们现在经过仔细分析研究,对初步规划方案提出了如下修改变动:
首先为了解决各类网络应用的VLAN信息能够跨越汇聚层交换机的问题,我们通过设置将汇聚层交换机与核心层交换机的网络连接,全部调整为TRUNK工作模式,这样一来所有VLAN信息都能上传到核心交换机上,并通过核心交换机传播给其他汇聚点接入范围,那样的话就能真正实现任何员工无论在园区网的任何位置处,都能接入到自己所属部门的VLAN中的目的了,这个问题的解决也能提高网络管理的便利性。
其次由于所有服务器系统直接接入到核心交换机上,为了对服务器的VLAN信息进行冗余设计,我们必须对核心层的两台H3C S8500路由交换机启用配置HSRP协议,同时将两台核心交换机之间的互联通道修改为TRUNK工作模式。此外,每一台服务器系统中都要同时安装两块网卡设备,每块网卡与一台核心交换机进行直接连接,同时在网卡设备上设计TEAM,这样既能实现冗余备份目的,又能实现负载均衡目的,图2所示的结构图就是修改后的园区网络拓扑图。
经过调整后的网络规划方案,不但可以有效降低组网成本费用,而且也能顺利解决VLAN问题跨越汇聚交换机的问题;当然,修改后的网络规划方案也不是非常完美的,它虽然兼顾了组网成本和运行功效,但是这种方案是以牺牲网络的可用性为代价的。通过这次电子政务内网平台的建设,笔者认为理想的网络规划方案与实际的组网环境还是有一定差距的,网络的应用、网络的结构以及网络的建设成本这三者之间往往是存在矛盾的。在实际组网的时候,我们为了尽可能降低组网成本和满足多种不同网络应用需求,往往在组网结构上不得不做出一些妥协、让步,在妥协、让步之后对网络运行造成的影响在短时间内又无法觉察出来,这就给日后网络的稳定运行带来隐患。
如果您非常迫切的想了解IT领域最新产品与技术信息,那么订阅至顶网技术邮件将是您的最佳途径之一。
现场直击|2021世界人工智能大会
直击5G创新地带,就在2021MWC上海
5G已至 转型当时——服务提供商如何把握转型的绝佳时机
寻找自己的Flag
华为开发者大会2020(Cloud)- 科技行者