攀枝花市縣兩級(jí)生態(tài)環(huán)境系統(tǒng)網(wǎng)絡(luò)架構(gòu)設(shè)計(jì)與思考

胡海濤,周 黎

(攀枝花市生態(tài)環(huán)境信息與技術(shù)評(píng)估服務(wù)中心，四川 攀枝花 617000)

前 言

隨著我國(guó)經(jīng)濟(jì)建設(shè)的迅猛發(fā)展，隨之帶來(lái)了生態(tài)環(huán)境污染問(wèn)題，生態(tài)環(huán)境保護(hù)工作的重要性日益凸顯，而生態(tài)環(huán)境信息化是實(shí)現(xiàn)生態(tài)環(huán)境管理轉(zhuǎn)型、促進(jìn)環(huán)保事業(yè)發(fā)展、實(shí)現(xiàn)生態(tài)環(huán)境現(xiàn)代化的有效途徑。近些年，攀枝花市生態(tài)環(huán)境局從自身業(yè)務(wù)實(shí)際出發(fā)，積極開(kāi)展了一系列生態(tài)環(huán)境信息化建設(shè)，形成了三種網(wǎng)絡(luò)，分別是互聯(lián)網(wǎng)、電子政務(wù)外網(wǎng)、環(huán)保專(zhuān)網(wǎng)。結(jié)合“十八大”以后生態(tài)環(huán)境系統(tǒng)機(jī)構(gòu)改革的新形勢(shì)，要求市縣兩級(jí)生態(tài)環(huán)境機(jī)構(gòu)進(jìn)行更緊密的協(xié)作，亟需將整個(gè)攀枝花市生態(tài)環(huán)境系統(tǒng)的網(wǎng)絡(luò)整合為一個(gè)整體。本文從以下幾個(gè)方面探討網(wǎng)絡(luò)策略設(shè)計(jì)。

1 網(wǎng)絡(luò)現(xiàn)狀

攀枝花市生態(tài)環(huán)境系統(tǒng)網(wǎng)絡(luò)經(jīng)過(guò)多年的建設(shè)，形成了一套較為穩(wěn)定的基礎(chǔ)網(wǎng)絡(luò)系統(tǒng)，保障著環(huán)保系統(tǒng)業(yè)務(wù)的正常運(yùn)行?？傮w網(wǎng)絡(luò)由環(huán)保專(zhuān)網(wǎng)、辦公局域網(wǎng)、互聯(lián)網(wǎng)、電子政務(wù)外網(wǎng)組成。市局網(wǎng)絡(luò)劃分了網(wǎng)絡(luò)域，分為DMZ區(qū)、安管區(qū)、局域網(wǎng)區(qū)、環(huán)保專(zhuān)網(wǎng)區(qū)、存儲(chǔ)網(wǎng)絡(luò)，各網(wǎng)絡(luò)區(qū)域邊界通過(guò)防火墻進(jìn)行邏輯隔離，保障網(wǎng)絡(luò)安全。區(qū)縣生態(tài)環(huán)境部門(mén)通過(guò)專(zhuān)線接入環(huán)保專(zhuān)網(wǎng)。網(wǎng)絡(luò)現(xiàn)狀拓?fù)鋱D見(jiàn)圖1。

圖1 網(wǎng)絡(luò)現(xiàn)狀拓?fù)鋱DFig.1 Topological diagram of network status

網(wǎng)絡(luò)系統(tǒng)問(wèn)題分析：隨著生態(tài)環(huán)境系統(tǒng)機(jī)構(gòu)改革，生態(tài)環(huán)境工作越來(lái)越多，越來(lái)越重要。為了提高溝通效率，各級(jí)生態(tài)環(huán)境部門(mén)使用了統(tǒng)一的電子政務(wù)和數(shù)據(jù)共享平臺(tái)，處理公文、通知、環(huán)保業(yè)務(wù)等各種數(shù)據(jù)，以保證上級(jí)的指示能快速的得到傳達(dá)，下級(jí)的信息能及時(shí)得到反饋。同時(shí)市級(jí)要指導(dǎo)縣區(qū)運(yùn)維網(wǎng)絡(luò)和應(yīng)用系統(tǒng)，以增強(qiáng)區(qū)縣信息化技術(shù)力量。但我市市級(jí)和縣區(qū)生態(tài)環(huán)境網(wǎng)絡(luò)結(jié)構(gòu)是相互隔離的，原有的網(wǎng)路系統(tǒng)已不能滿(mǎn)足新形勢(shì)下的工作要求，亟需改造，解決如下問(wèn)題：骨干鏈路沒(méi)有冗余備份、市局與區(qū)縣生態(tài)環(huán)境局辦公網(wǎng)絡(luò)直連互通問(wèn)題、區(qū)縣生態(tài)環(huán)境局多個(gè)網(wǎng)絡(luò)相互隔離、千兆網(wǎng)絡(luò)到桌面的要求、辦公區(qū)域無(wú)線網(wǎng)沒(méi)有覆蓋等。

2 網(wǎng)絡(luò)系統(tǒng)設(shè)計(jì)

為實(shí)現(xiàn)全市生態(tài)環(huán)境系統(tǒng)信息網(wǎng)絡(luò)大統(tǒng)一的總體目標(biāo)，需要對(duì)生態(tài)環(huán)境系統(tǒng)網(wǎng)絡(luò)進(jìn)行整體規(guī)劃，形成萬(wàn)兆核心和千兆接入的交換網(wǎng)絡(luò)，滿(mǎn)足網(wǎng)絡(luò)大統(tǒng)一后的網(wǎng)絡(luò)交換性能和高可用的需求。全市生態(tài)環(huán)境系統(tǒng)網(wǎng)絡(luò)拓?fù)涓脑炷繕?biāo)見(jiàn)圖2。

圖2 網(wǎng)絡(luò)拓?fù)鋱DFig.2 Network topology diagram

2.1 核心網(wǎng)冗余改造

網(wǎng)絡(luò)冗余設(shè)計(jì)允許通過(guò)設(shè)置雙重網(wǎng)絡(luò)元素來(lái)滿(mǎn)足網(wǎng)絡(luò)的可用性需求，冗余降低了網(wǎng)絡(luò)的單點(diǎn)時(shí)效，其目標(biāo)是重復(fù)設(shè)置網(wǎng)絡(luò)組件，以避免單個(gè)組件的失效而導(dǎo)致應(yīng)用失效[1]。對(duì)市生態(tài)環(huán)境局辦公互聯(lián)網(wǎng)核心交換網(wǎng)絡(luò)進(jìn)行改造，形成萬(wàn)兆核心和千兆接入的交換網(wǎng)絡(luò)，從接入交換機(jī)至互聯(lián)網(wǎng)(含政務(wù)外網(wǎng))、環(huán)保專(zhuān)網(wǎng)的骨干鏈路、核心設(shè)備均采用冗余設(shè)計(jì)，任何鏈路或設(shè)備的中斷都不會(huì)影響整網(wǎng)運(yùn)行。核心網(wǎng)冗余改造拓?fù)鋱D見(jiàn)圖3。

圖3 互聯(lián)網(wǎng)接入?yún)^(qū)與核心冗余結(jié)構(gòu)圖Fig.3 Structure diagram of internet access zone and core redundancy

兩臺(tái)核心交換機(jī)通過(guò)HSRP協(xié)議組成冗余備份，它們組成一個(gè)“熱備份組”，這個(gè)組形成一個(gè)虛擬設(shè)備。在同一時(shí)刻，一個(gè)組內(nèi)只有一個(gè)設(shè)備是活動(dòng)的，并由它來(lái)轉(zhuǎn)發(fā)數(shù)據(jù)包，如果活動(dòng)設(shè)備發(fā)生了故障，將選擇另一個(gè)備份設(shè)備來(lái)替代活動(dòng)設(shè)備，但是從本網(wǎng)絡(luò)內(nèi)的主機(jī)看來(lái)，虛擬設(shè)備沒(méi)有改變。所以主機(jī)仍然保持連接，不會(huì)受到故障的影響。

2.2 環(huán)保城域網(wǎng)建設(shè)

利用現(xiàn)有市局到區(qū)縣環(huán)保專(zhuān)網(wǎng)鏈路組建全市環(huán)保城域網(wǎng)，取消到區(qū)縣環(huán)保專(zhuān)網(wǎng)。區(qū)縣生態(tài)環(huán)境局信息化力量薄弱，難以對(duì)網(wǎng)絡(luò)和安全設(shè)備進(jìn)行運(yùn)維，環(huán)保城域網(wǎng)的建設(shè)，既能方便區(qū)縣用戶(hù)訪問(wèn)市局發(fā)布的應(yīng)用和服務(wù)，也能方便市局運(yùn)維人員直接管理區(qū)縣的網(wǎng)絡(luò)和安全設(shè)備。環(huán)保城域網(wǎng)邏輯圖見(jiàn)圖4。

圖4 環(huán)保城域網(wǎng)邏輯圖Fig.4 environmental protection MAN logic diagram

2.3 網(wǎng)絡(luò)融合建設(shè)

為區(qū)縣配置多wan口路由器，作為網(wǎng)絡(luò)出口，分別連接互聯(lián)網(wǎng)、電子政務(wù)外網(wǎng)、環(huán)保城域網(wǎng)。通過(guò)路由選路分別訪問(wèn)互聯(lián)網(wǎng)、電子政務(wù)外網(wǎng)，通過(guò)環(huán)保城域網(wǎng)訪問(wèn)市局提供的業(yè)務(wù)應(yīng)用和環(huán)保專(zhuān)網(wǎng)。區(qū)縣網(wǎng)絡(luò)融合拓?fù)湟?jiàn)圖5。

圖5 區(qū)縣網(wǎng)絡(luò)融合拓?fù)鋱DFig.5 Network convergence topology diagram

2.4 無(wú)線網(wǎng)絡(luò)設(shè)計(jì)

無(wú)線局域網(wǎng)是無(wú)線通信技術(shù)與網(wǎng)絡(luò)技術(shù)相結(jié)合的產(chǎn)物，通過(guò)無(wú)線信道來(lái)實(shí)現(xiàn)網(wǎng)絡(luò)設(shè)備之間的通信，實(shí)現(xiàn)通信的移動(dòng)化、個(gè)性化和寬帶化[2]。在各區(qū)縣辦公區(qū)域部署支持802.11ac協(xié)議的無(wú)線AP，實(shí)現(xiàn)千兆速率無(wú)線網(wǎng)絡(luò)覆蓋，無(wú)線AP通過(guò)接入層POE交換機(jī)接入網(wǎng)絡(luò)。在市本級(jí)核心交換機(jī)上部署一臺(tái)無(wú)線控制器，通過(guò)無(wú)線控制器實(shí)現(xiàn)集中管控和下發(fā)策略。無(wú)線網(wǎng)絡(luò)拓?fù)湟?jiàn)圖6。

圖6 無(wú)線網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)圖Fig.6 Wireless network topology structure diagram

無(wú)線安全：除了對(duì)終端訪問(wèn)無(wú)線網(wǎng)絡(luò)權(quán)限進(jìn)行規(guī)范外，主要從以下兩個(gè)方面提高無(wú)線安全：(1)實(shí)名認(rèn)證系統(tǒng)。實(shí)名認(rèn)證系統(tǒng)旁掛在匯聚交換機(jī)上，通過(guò)本地賬號(hào)密碼認(rèn)證方式對(duì)人員訪問(wèn)進(jìn)行管理和控制。(2)安全策略。包括MAC地址準(zhǔn)入、SSID準(zhǔn)入管理、WEP加密、支持AES加密等。

2.5 綜合布線

綜合布線是一種模塊化的、靈活性極高的建筑物內(nèi)或建筑群之間的信息傳輸通道。通過(guò)它可使話音設(shè)備、數(shù)據(jù)設(shè)備、交換設(shè)備及各種控制設(shè)備與信息管理系統(tǒng)連接起來(lái)，同時(shí)也使這些設(shè)備與外部通信網(wǎng)絡(luò)相連的綜合布線[3]。綜合布線由不同系列和規(guī)格的部件組成，其中包括：傳輸介質(zhì)、相關(guān)連接硬件(如配線架、連接器、插座、插頭、適配器)以及電氣保護(hù)設(shè)備等。

綜合布線完成以下內(nèi)容：(1)將原有超五類(lèi)網(wǎng)線升級(jí)為六類(lèi)非屏蔽雙絞線。(2)鏈路改造，包括設(shè)備接入間網(wǎng)絡(luò)標(biāo)準(zhǔn)化施工，更換老舊線路，線路標(biāo)識(shí)。設(shè)備接入間到辦公桌線路改造。(3)對(duì)局機(jī)關(guān)辦公區(qū)域進(jìn)行網(wǎng)絡(luò)標(biāo)準(zhǔn)化布線，確保樓層交換機(jī)到每個(gè)辦公室有4根網(wǎng)線接口，網(wǎng)線使用六類(lèi)非屏蔽雙絞線，網(wǎng)線開(kāi)槽埋入墻中或放入明管、明槽中。

2.6 路由策略

在統(tǒng)一規(guī)劃城域網(wǎng)后，各單位內(nèi)部設(shè)備互聯(lián)網(wǎng)絡(luò)結(jié)構(gòu)較為固定，采用靜態(tài)路由的方式能最大限度的提高網(wǎng)絡(luò)轉(zhuǎn)發(fā)效率。城域網(wǎng)互聯(lián)和變化多的環(huán)保專(zhuān)網(wǎng)，啟用OSPF動(dòng)態(tài)路由[4]，宣告各自路由信息，能盡可能的降低維護(hù)難度。

2.6.1 市局路由策略

核心交換機(jī)配置靜態(tài)路由通過(guò)上網(wǎng)行為管理、防火墻、入侵防御到出口路由器；連接區(qū)縣的下聯(lián)路由器配置到城域網(wǎng)的OSPF路由。市局路由器配置到電信、移動(dòng)運(yùn)營(yíng)商的目的地址路由；配置到電子政務(wù)外網(wǎng)的目的地址路由。市局連接環(huán)保專(zhuān)網(wǎng)的防火墻配置OSPF路由，宣告環(huán)保專(zhuān)網(wǎng)業(yè)務(wù)系統(tǒng)地址，并將路由信息交換給其他區(qū)縣。

2.6.2 區(qū)縣路由策略

核心交換機(jī)默認(rèn)靜態(tài)路由經(jīng)上網(wǎng)行為管理器、防火墻、入侵防御到出口路由器；出口路由器配置到互聯(lián)網(wǎng)和電子政務(wù)外網(wǎng)的策略路由。配置到城域網(wǎng)OSPF路由。

2.6.3 故障切換

當(dāng)區(qū)縣互聯(lián)網(wǎng)、電子政務(wù)外網(wǎng)線路故障時(shí)，通過(guò)配置OSPF策略?xún)?yōu)先級(jí)，自動(dòng)切換路由到城域網(wǎng)中，臨時(shí)通過(guò)市局訪問(wèn)互聯(lián)網(wǎng)或電子政務(wù)外網(wǎng)。當(dāng)市局故障時(shí)，也可臨時(shí)借用區(qū)縣鏈路。以達(dá)到故障切換線路的能力。

3 新舊網(wǎng)絡(luò)拓?fù)浔容^

相較于舊的網(wǎng)絡(luò)拓?fù)洌戮W(wǎng)絡(luò)拓?fù)浣鉀Q和完善了以下問(wèn)題。

3.1 完善了骨干鏈路冗余備份問(wèn)題。核心交換機(jī)到出口的網(wǎng)絡(luò)是整個(gè)網(wǎng)絡(luò)的骨干，如發(fā)生故障將導(dǎo)致整個(gè)網(wǎng)絡(luò)服務(wù)中斷，建立骨干網(wǎng)絡(luò)冗余鏈路，提高了網(wǎng)絡(luò)的健壯性、穩(wěn)定性。

3.2 建設(shè)環(huán)保城域網(wǎng)，直接將市局與區(qū)縣生態(tài)環(huán)境局辦公網(wǎng)絡(luò)直連互通，區(qū)縣生態(tài)環(huán)境局可以直接訪問(wèn)市局DMZ區(qū)應(yīng)用和服務(wù)，市局也可直接管理區(qū)縣網(wǎng)絡(luò)設(shè)備，提高運(yùn)維效率。同時(shí)加強(qiáng)了市縣兩級(jí)生態(tài)環(huán)境部門(mén)的數(shù)據(jù)交換效率，提高文件轉(zhuǎn)發(fā)速度，為新的生態(tài)環(huán)境信息化應(yīng)用系統(tǒng)如統(tǒng)一的電子政務(wù)平臺(tái)、視頻會(huì)議系統(tǒng)等提供了基礎(chǔ)網(wǎng)絡(luò)環(huán)境。

3.3 解決區(qū)縣生態(tài)環(huán)境局多個(gè)網(wǎng)絡(luò)融合問(wèn)題。達(dá)到了區(qū)縣辦公終端不用切換網(wǎng)絡(luò)就可同時(shí)訪問(wèn)互聯(lián)網(wǎng)、電子政務(wù)外網(wǎng)、環(huán)保專(zhuān)網(wǎng)的業(yè)務(wù)需求。

3.4 綜合布線改造。采用六類(lèi)非屏蔽雙絞線連接接入交換機(jī)和辦公終端，滿(mǎn)足千兆到桌面的要求，降低了網(wǎng)絡(luò)故障發(fā)生率和維護(hù)難度。

3.5 辦公區(qū)域無(wú)線信號(hào)全覆蓋。實(shí)現(xiàn)無(wú)線AP的統(tǒng)一管控和策略下發(fā)，結(jié)合實(shí)名認(rèn)證系統(tǒng)，保障終端接入安全，同時(shí)杜絕私自安裝無(wú)線路由設(shè)備接入網(wǎng)絡(luò)的情況，為移動(dòng)生態(tài)環(huán)境應(yīng)用的推廣使用建立良好的網(wǎng)絡(luò)基礎(chǔ)。

3.6 采用動(dòng)態(tài)的路由協(xié)議將減少運(yùn)維工作量。

3.7 網(wǎng)絡(luò)區(qū)域劃分更為明確。網(wǎng)絡(luò)區(qū)域劃分為互聯(lián)網(wǎng)接入?yún)^(qū)、局域網(wǎng)區(qū)、安全管理區(qū)、業(yè)務(wù)區(qū)、環(huán)保專(zhuān)網(wǎng)區(qū)、環(huán)保城域網(wǎng)區(qū)。在各個(gè)區(qū)域的邊界部署防護(hù)設(shè)備，提高網(wǎng)絡(luò)安全防護(hù)能力。

4 總 結(jié)

4.1 攀枝花市生態(tài)環(huán)境系統(tǒng)業(yè)務(wù)網(wǎng)絡(luò)設(shè)計(jì)以網(wǎng)絡(luò)大一統(tǒng)為目標(biāo)，遵循了高可靠性的基本原則，通過(guò)生態(tài)環(huán)境業(yè)務(wù)網(wǎng)的建設(shè)，加快了環(huán)保系統(tǒng)內(nèi)部的數(shù)據(jù)交換，提高了網(wǎng)絡(luò)訪問(wèn)速度，提升網(wǎng)絡(luò)服務(wù)能力。

4.2 利用原有的市縣兩級(jí)環(huán)保專(zhuān)網(wǎng)，組建了全市的城域網(wǎng)，直接連通兩級(jí)的辦公網(wǎng)絡(luò)，即滿(mǎn)足了區(qū)縣生態(tài)環(huán)境部門(mén)訪問(wèn)市級(jí)應(yīng)用服務(wù)，也使得市級(jí)技術(shù)人員能遠(yuǎn)程維護(hù)區(qū)縣的網(wǎng)絡(luò)設(shè)備，解決了區(qū)縣網(wǎng)絡(luò)運(yùn)維技術(shù)力量薄弱的問(wèn)題。

4.3 通過(guò)多WAN口路由器，配置路由策略，使每個(gè)計(jì)算機(jī)終端在不切換網(wǎng)絡(luò)的情況下，能同時(shí)訪問(wèn)多個(gè)邏輯隔離的網(wǎng)絡(luò)，為工作提供了便利。