项目背景和建设目标
佛山市政府网工程是佛山市信息网络互联平台的重要组成部分。佛山市信息网络互联平台是在佛山市政府领导下,为实现佛山市信息网络的互联互通,资源共享等目标,由佛山政府网、佛山视聆通、佛山禅通多媒体宽带信息网、佛山金科网、佛山教育科研网等五个专业网组成的网络互联平台。
此次项目的主要建设目标是建立一个供佛山市党政机关上公众网和外界用户了解佛山市政务工作的硬件支撑平台。
网络设计
佛山市政府公众网是佛山市党政机关上公众网的硬件支撑平台。在规划公众网的结构时,我们遵循了以下原则:
· 选择功能强大的网络设备搭建高速、稳定的硬件平台
· 运用成熟先进的网络技术优化网络结构、减少消耗、提高效率
· 制定完备的安全控制策略,保障网络安全
技术方案设计主要包括三个方面的设计
☆ 交换网络的设计
☆ 路由策略的设计
☆ 安全控制策略的设计
交换网络设计
由于佛山市政府公众网具有支持政府各部门访问互联网的功能,因此在网络设计的过程中必须保证全部近50个单位之间的互连和通过中心网络访问Internet的功能,并且要处理交换网络中的IP资源分配和网络广播风暴和数据传输包碰撞的控制。
在具体的技术实现工程中,我们使用Vlan技术和Catalyst 5509支持的三层交换功能来实现。利用Vlan 技术具有以下优点:
☆ 通过Vlan设定分割的广播域和冲突域,限制广播风暴的出现。
☆ 通过Vlan划分,赋予每个子网单独的IP段,保证网络资源的分配合理化和层次性。
☆ 用Vlan技术可以实现在交换网络上的安全控制。
结合佛山市信息中心的现状,我们用如下方法实现:
1) 进行合理IP资源计划分配,为每个政府部门提供一个独立的保留IP网段,在Catalyst 5509上为合法IP网段和部门独立网段设定一个Vlan接口,为5509RSM提供路由接口。
2) 利用Cisco公司提供的Vlan Trunk技术,使大楼交换设备Cisco Catalyst 2924C与中心交换机5509的Vlan配置信息同步,在2924上指定各Vlan的端口。保证各单位的WEB服务器能以合法IP为公众访问提供服务。
3) 在中心交换机5509的RSM模块上实现各部门的独立Vlan之间的路由和访问控制。
 |
路由策略的实现
佛山市政府公众网的路由策略主要包括两方面
☆ 内部各部门之间的互通,包括与合法IP的Vlan的互连
☆ 内部各部门与Internet的互通
实现上述要求,我们采取两层策略,一是在5509 RSM模块上实现各Vlan之间的互通,在接入路由器3640端实现5509 RSM负责的各保留IP子网与Internet的连接,包括与佛山市五网互连中心、佛山禅通网、广东省信息中心等Internet节点之间的连接和导入Internet。
考虑信息中心申请的合法IP资源有限这一事实,在综合衡量使用Proxy Server和在路由器上的NAT地址转换的资源利用和带宽等各种因素后,我们选择使用NAT地址转换的方式将保留IP地址转换成合法IP访问Internet。该转换功能在3640上实现。
安全策略的考虑
访问Internet必然涉及到网络安全问题,佛山市政府公众网的安全问题。
