县区政务信息网设计实现.docVIP

县区政务信息网设计实现 　　摘要：完善的网络体系是信息化和电子政务的基石，县区政务信息网的统一设计、统一部署有助于建设一个更有效、更合理、更安全的网络平台，本文以成功经验阐述县区政务信息网的设计与实现。 　　关键词：政务信息网；核心层；汇聚层；接入层；网络安全 　　中图分类号：TP393.1 　　文献标识码：A 　　 　　1　概述 　　 　　县区政务信息网主要实现县区与各个街道(镇)、社区(村)之间网络互连以及县区和省、市的上行连接，同时提供了互联网接入。县区政务信息网的设计方案必须从以人为本、功能实用、技术先进、运行可靠、经济合理、施工维修方便、可扩展等各方面考虑，使整个县区政务网具有良好的可扩展性、可升级性，并合理控制投资成本。下面以作者参与的政务信息网建设为例，阐述县区政务信息网的设计与实现。 　　 　　2　网络设计 　　 　　县区政务信息网必须易管理、易扩展，在网络设计时我们采用了模块化设计：即将县区政务信息网分为核心层、汇聚层、接入层、广域网接入部分和服务器接入部分。 　　 　　2.1核心层设计 　　核心层顾名思义是整个县区政务信息网的核心，县区政务信息网大部分应用的数据交换都在这里进行，其性能将决定整个县区政务信息网的性能。 　　在核心层我们使用的是一台华为S8505万兆路由交换机，并且配置了两块XR－CoreEngine I300G的高性能交换引擎。两块引擎采用热备的形式进行工作。正常情况下，主引擎为工作状态，备用引擎处于待机状态。在主引擎发生故障时，备用引擎接替主引擎的工作，切换到运行状态。由此确保网络核心层的高速安全持续的运行。另外，我们还为S8505配置了两个电源模块，进一步的确保了核心层交换设备运行的高可靠性。 　　 　　2.2汇聚层设计 　　汇聚层是网络接入层和核心层之间的分界点。汇聚层也帮助定义和区分网络核心层。该分层提供了边界定义，并在该处对潜在的费力的数据包操作进行处理。汇聚层交换机提供众多功能：VLAN的划分；部门级或工作组的接入；广播域或多点广播域的定义：VLAN之间的路由；访问控制列表的制订。 　　由于来自各街道办事处(镇)、社区(村)的接入点较多，而且分散到县区地域范围内，所以我们放置一台三层千兆光纤交换机作为汇聚层设备。汇聚交换机通过千兆光纤链路和核心层交换机相连。 　　 　　2.3接入层设计 　　网络的接入层是最终用户被许可接入网络的点。按地理位置不同主要有3种接入方式：1、行政中心园区内各单位用户直接通过5类双绞线接入各个楼层接入交换机。2、已经光纤到位的各街道办事处(镇)、社区(村)、驻外单位用户通过光纤接入各小区基站接入交换机。3、对于光纤暂时无法到位的外单位(含地理位置较远的社区、村等)采用则采用基于ADSL线路的远端VPDN接入。 　　 　　2.4广域网接入部分设计 　　县区政务信息网有独立的互联网出口，同时还必须和省、市政务信息网互联互通。我们选用了华为S1800F防火墙作为互联网接入设备，其主要作用是实现网络地址转换(NAT)。核心交换机通过光纤线路与南昌市政务信息网连通，中间通过网络防火墙对一些常用病毒端口加以关闭，上行端连接设备是市政务信息网广域网路由设备，我们直接使用静态路由方式进行三层网络路由，并在核心交换机上通过路由重分配的方法，实现县区政务信息网与省市政务信息网的连通。 　　 　　2.5服务器接入部分 　　服务器分为两个服务器群： 　　1、内部服务器群，主要运行对内服务的业务系统(如办公平台、社区管理系统等)。内部服务器群通过千兆防火墙接到核心交换机，可考虑加入安全审计服务器以进一步保证内部服务器群的信息安全。 　　2、对外服务器群，包括网站服务器和邮件服务器等，对外服务器群也对内部用户开放。为保证对外服务器群的信息安全，对外服务器群通过防火墙接入互联网，并将防火墙配置为只允许用户访问特定业务端口。 　　 　　2.6IP地址规划 　　统一有效的规划、分配和管理IP地址，这样便于保持IP地址分配的唯一性，同时便于整个网络系统的维护和管理；通过采取合理的地址分配方法，可以减少通信开销、提高路由器的工作效率和便于网络管理。在大型的骨干网络中，采用连续合理的地址分配方案，即可以节约IP地址空间，又可以将局部的路由变化限制在一个单一的网络区域中，不会因为单一的网络通断引起骨干路由不停的重新运算，从而影响路由的运行效率。 　　 　　3　网络安全 　　 　　网络安全是一个系统工程，涉及到整体策略选取、使用者安全意识以及规章制度建设等。但是对于初期网络建设阶段合理的网络安全设计更为重要。 　　 　　3.1网络安全的整体结构 　　网络系统安全应遵循以下原则：需求、风险、代价平衡分析原则；综合性、