安徽廣電微波鏈路網(wǎng)絡(luò)規(guī)劃和設(shè)計(jì)

汪達(dá) 安徽廣播電視臺(tái)微波總站

安徽廣電微波鏈路網(wǎng)絡(luò)規(guī)劃和設(shè)計(jì)

汪達(dá) 安徽廣播電視臺(tái)微波總站

隨著安徽全省站點(diǎn)的不斷增多，增強(qiáng)地市臺(tái)站與省中心臺(tái)站的聯(lián)絡(luò)，需要建立一個(gè)內(nèi)部網(wǎng)絡(luò)，及時(shí)將每天信息上傳到省中心站，以便更好的掌握地市各臺(tái)站傳輸和接收節(jié)目的頻率以及微波通道的誤碼率。

DDN OSPF

一、網(wǎng)絡(luò)設(shè)計(jì)方案

經(jīng)過反復(fù)論證與綜合比較，并考慮到目前全省微波線路的運(yùn)行狀況，我們綜合了思科、邁普、銳捷通信提供的網(wǎng)絡(luò)解決方案，最終選擇了銳捷系列網(wǎng)絡(luò)設(shè)備，設(shè)計(jì)整個(gè)系統(tǒng)的網(wǎng)絡(luò)拓?fù)?。整個(gè)系統(tǒng)分2級(jí)，一級(jí)在省中心站，二級(jí)在各個(gè)地市臺(tái)站。

首先，在省中心站采用路由器、2層交換機(jī)設(shè)備連接數(shù)據(jù)中心服務(wù)器、網(wǎng)管工作站等。路由器的以太網(wǎng)口接交換機(jī)，廣域網(wǎng)口接電信2M設(shè)備的入口，采用DDN專線下連各地市臺(tái)站。

在各地市臺(tái)站，選用了銳捷低端路由器，通過同步口接2M的DDN上連省中心站，以太網(wǎng)口接低端8口交換機(jī)。整個(gè)鏈路采用動(dòng)態(tài)OSPF協(xié)議。

整個(gè)網(wǎng)絡(luò)框架采用上下兩級(jí)形成互聯(lián)。主交換和低端8口交換機(jī)均采用DHCP自動(dòng)獲取地址的方式進(jìn)行工作。

二、性能和安全性

在網(wǎng)絡(luò)通訊中，我們采取了軟件和硬件方面的措施來保證系統(tǒng)的性能和安全性。

2.1 設(shè)置防火墻

設(shè)置防火墻，只允許范圍內(nèi)的IP地址進(jìn)行訪問。防火墻設(shè)計(jì)的三個(gè)基本原則如下：

（1）簡單實(shí)用

對(duì)防火墻環(huán)境設(shè)計(jì)來講，首要是簡單實(shí)用。簡單的實(shí)現(xiàn)方式，容易理解和使用，防火墻的安全功能容易得到保證，管理也更可靠和簡便。每種產(chǎn)品在開發(fā)前都會(huì)有其主要功能定位，比如防火墻產(chǎn)品的初衷就是實(shí)現(xiàn)網(wǎng)絡(luò)之間的安全控制，入侵檢測產(chǎn)品主要針對(duì)網(wǎng)絡(luò)非法行為進(jìn)行監(jiān)控。隨著技術(shù)的成熟和發(fā)展，這些產(chǎn)品在原來的主要功能之外或多或少地增加了一些增值功能，比如在防火墻上增加了查殺病毒、入侵檢測等功能，在入侵檢測上增加了病毒查殺功能。但是這些增值功能并不是所有應(yīng)用環(huán)境都需要，在配置時(shí)我們也可針對(duì)具體應(yīng)用環(huán)境進(jìn)行配置，不必要對(duì)每一功能都全部配置。過多的功能配置會(huì)增加配置難度，同時(shí)還可能因各方面配置不協(xié)調(diào)，引起新的安全漏洞。

（2）防護(hù)體系

單一的防御措施難以保障系統(tǒng)的安全，只有采用全面的、多層次的深層防御戰(zhàn)略體系才能實(shí)現(xiàn)系統(tǒng)的真正安全。在防火墻配置中，應(yīng)系統(tǒng)地評(píng)估整個(gè)網(wǎng)絡(luò)的安全防護(hù)體系，盡量使各方面的配置相互加強(qiáng)，從深層次上防護(hù)整個(gè)系統(tǒng)。這可體現(xiàn)在兩個(gè)方面：一方面體現(xiàn)在防火墻系統(tǒng)的部署上，多層次的防火墻部署體系，即采用集互聯(lián)網(wǎng)邊界防火墻、部門邊界防火墻和主機(jī)防火墻于一體的層次防御；另一方面將入侵檢測、網(wǎng)絡(luò)加密、病毒查殺等多種安全措施結(jié)合在一起的多層安全體系。

（3）內(nèi)外兼顧

防火墻的一個(gè)特點(diǎn)是防外不防內(nèi)，在現(xiàn)實(shí)的網(wǎng)絡(luò)環(huán)境中，80%以上的威脅都來自內(nèi)部。我們要樹立防內(nèi)的觀念，從根本上改變過去那種防外不防內(nèi)的傳統(tǒng)觀念。對(duì)內(nèi)部威脅可以采取其它安全措施，比如入侵檢測、主機(jī)防護(hù)、漏洞掃描、病毒查殺。這方面體現(xiàn)在防火墻配置方面就是要引入全面防護(hù)的觀念，最好能部署與上述內(nèi)部防護(hù)手段一起聯(lián)動(dòng)的機(jī)制。目前來說，要做到這一點(diǎn)比較困難。

2.2 采用終端遠(yuǎn)程方式訪問服務(wù)器

利用mstsc的命令遠(yuǎn)程登錄服務(wù)器進(jìn)行訪問，運(yùn)行截圖見圖1、圖2。

2.3 選擇性能優(yōu)良服務(wù)器的原則

（1）標(biāo)準(zhǔn)化原則

符合ISO和ANSI標(biāo)準(zhǔn)、SVRV4標(biāo)準(zhǔn)及中國有關(guān)計(jì)算機(jī)技術(shù)標(biāo)準(zhǔn)，選擇當(dāng)今業(yè)界較為流行的主要產(chǎn)品。

（2）高性能原則

保證所選購的服務(wù)器不僅能滿足運(yùn)營系統(tǒng)的運(yùn)行和業(yè)務(wù)處理的需要，而且能夠滿足一定時(shí)期的業(yè)務(wù)量增長的需要。計(jì)算出所需的服務(wù)器TpmC值，比較IDC公布的權(quán)威測算的廠商服務(wù)器TpmC值，選擇相應(yīng)的機(jī)型。同時(shí)，用服務(wù)器的市場價(jià)/報(bào)價(jià)除計(jì)算出的TpmC值，得出單位TpmC值的價(jià)格，從而選擇高性能價(jià)格比的服務(wù)器。

圖1 終端遠(yuǎn)程方式訪問服務(wù)器

圖2 終端遠(yuǎn)程方式訪問服務(wù)器

（3）可靠性原則

可靠性原則是在所有選擇設(shè)備和系統(tǒng)時(shí)都需考慮的。尤其是在大型的、有大量處理要求的、需要長期運(yùn)行的系統(tǒng)?？紤]服務(wù)器系統(tǒng)的可靠性，不僅要考慮服務(wù)器單個(gè)節(jié)點(diǎn)的可靠性或穩(wěn)定性，而且要考慮服務(wù)器與相關(guān)輔助系統(tǒng)之間連接的整體可靠性，如：網(wǎng)絡(luò)系統(tǒng)、安全系統(tǒng)、遠(yuǎn)程打印系統(tǒng)等。在必要時(shí)，還應(yīng)考慮對(duì)關(guān)鍵服務(wù)器采用集群技術(shù)，如：雙機(jī)熱備份或集群并行訪問的N+n技術(shù)，甚至采用可能的完全容錯(cuò)機(jī)。保證系統(tǒng)（硬件和操作系統(tǒng)）在99.98%的時(shí)間內(nèi)都能夠正常運(yùn)作（包括維修時(shí)間），故障停機(jī)時(shí)間六個(gè)月不超過0.5個(gè)小時(shí)。服務(wù)器需7×24小時(shí)連續(xù)運(yùn)行，因而要求其具有很高的安全可靠性。系統(tǒng)整機(jī)平均無故障時(shí)間（MTBF）不低于80000小時(shí)。服務(wù)器如出現(xiàn)CPU損壞或其它機(jī)械故障，都能在20分鐘內(nèi)由備用的CPU和機(jī)器自動(dòng)代替工作，無須人員操作，保證數(shù)據(jù)完整。

（4）可擴(kuò)展性原則

保證所選購的服務(wù)器具有優(yōu)秀的可擴(kuò)展性原則，因?yàn)榉?wù)器是所有系統(tǒng)處理的核心。要求服務(wù)器具有大數(shù)據(jù)吞吐速率，包括：I/O速率和網(wǎng)絡(luò)通訊速率；服務(wù)器需要能夠處理一定時(shí)期的業(yè)務(wù)發(fā)展所帶來的數(shù)據(jù)量；服務(wù)器能夠在相應(yīng)時(shí)間對(duì)其自身根據(jù)業(yè)務(wù)發(fā)展的需要進(jìn)行相應(yīng)的升級(jí)，如：CPU型號(hào)升級(jí)、內(nèi)存擴(kuò)大、硬盤擴(kuò)大、更換網(wǎng)卡、增加終端數(shù)目、掛接磁盤陣列或與其他服務(wù)器組成對(duì)集中數(shù)據(jù)的并發(fā)訪問的集群系統(tǒng)等。這都需要所選購的服務(wù)器在整體上具有一個(gè)良好的可擴(kuò)充余地。一般數(shù)據(jù)庫和計(jì)費(fèi)應(yīng)用服務(wù)器在大型計(jì)費(fèi)系統(tǒng)的設(shè)計(jì)中會(huì)采用集群方式來增加可靠性，其中掛接的磁盤存儲(chǔ)系統(tǒng)根據(jù)數(shù)據(jù)量和投資考慮，可以采用DAS、NAS或SAN等實(shí)現(xiàn)技術(shù)。對(duì)于Redius Server可以依靠Redius協(xié)議采用雙機(jī)互備，但不需要專門購買的集群軟件。

（5）安全性原則

服務(wù)器處理的大都是相關(guān)系統(tǒng)的核心數(shù)據(jù)，其上存放和運(yùn)行著關(guān)鍵的交易和重要的數(shù)據(jù)。這些交易和數(shù)據(jù)對(duì)于擁有者來說是一筆重要的資產(chǎn)，其安全性十分重要。服務(wù)器的安全性與系統(tǒng)的整體安全性密不可分，如：網(wǎng)絡(luò)系統(tǒng)的安全、數(shù)據(jù)加密、密碼體制等。服務(wù)器需要在其軟硬件從安全的角度上設(shè)計(jì)考慮，在借助外界安全設(shè)施保障下，更要保證服務(wù)器自身的高安全性。

三、網(wǎng)絡(luò)系統(tǒng)特點(diǎn)

對(duì)于規(guī)模巨大的網(wǎng)絡(luò)，通常將網(wǎng)絡(luò)劃分成多個(gè)OSPF區(qū)域，并只要求路由器與同一區(qū)域的路由器交換鏈路狀態(tài)，而在區(qū)域邊界路由器上交換區(qū)域內(nèi)的匯總鏈路狀態(tài)，這樣可以減少傳播的信息量，且使最短路徑計(jì)算強(qiáng)度減少。在區(qū)域劃分時(shí)，必須要有一個(gè)骨干區(qū)域（即區(qū)域0），其它非0或非骨干區(qū)域與骨干區(qū)域必須要有物理或者邏輯連接。當(dāng)有物理連接時(shí)，必須有一個(gè)路由器，它的一個(gè)接口在骨干區(qū)，而另一個(gè)接口在非骨干區(qū)。當(dāng)非骨干區(qū)不可能物理連接到骨干區(qū)時(shí)，必須定義一個(gè)邏輯的或虛擬鏈路。虛擬鏈路由兩個(gè)端點(diǎn)和一個(gè)傳輸區(qū)來定義，其中一個(gè)端點(diǎn)是路由器接口，是骨干區(qū)域的一部分，另一端點(diǎn)也是一個(gè)路由器接口，但在與骨干區(qū)沒有物理連接的非骨干區(qū)域中。傳輸區(qū)是一個(gè)區(qū)域，介于骨干區(qū)域與非骨干區(qū)域之間。

OSPF協(xié)議保證了某地市臺(tái)站與省中心臺(tái)站的互連不受其他任何一個(gè)臺(tái)站的影響，提高了整個(gè)網(wǎng)絡(luò)的可靠性。整個(gè)網(wǎng)絡(luò)簡單、配置容易，易管理，易維護(hù)。

四、項(xiàng)目實(shí)施效果

全省微波鏈路網(wǎng)絡(luò)系統(tǒng)的建立，不僅提高了微波中心站的服務(wù)效率和業(yè)務(wù)處理能力，樹立了微波中心站的新形象，同時(shí)還為及時(shí)排查全省微波鏈路故障、險(xiǎn)形奠定了技術(shù)基礎(chǔ)。