長(zhǎng)江科學(xué)院科研局域網(wǎng)規(guī)劃建設(shè)與運(yùn)行維護(hù)

周力峰，李青松，王 奔

(長(zhǎng)江科學(xué)院科技成果推廣及信息中心，武漢 430010)

信息化是水利科研現(xiàn)代化的標(biāo)志之一，計(jì)算機(jī)網(wǎng)絡(luò)(簡(jiǎn)稱網(wǎng)絡(luò))是信息化的基礎(chǔ)設(shè)施。長(zhǎng)江科學(xué)院(以下簡(jiǎn)稱“長(zhǎng)科院”)歷來重視網(wǎng)絡(luò)建設(shè)，從20世紀(jì)90年代初開始，先后經(jīng)歷了總線網(wǎng)、星型網(wǎng)、樹型網(wǎng)等階段，經(jīng)過近20年的不斷發(fā)展，形成了目前規(guī)模適度、功能比較齊備、性能穩(wěn)定、安全度較高的科研局域網(wǎng)［1］。回顧長(zhǎng)科院科研局域網(wǎng)的建設(shè)發(fā)展里程，有些經(jīng)驗(yàn)值得總結(jié)，一些主要技術(shù)問題需要研究分析。

網(wǎng)絡(luò)建設(shè)要以規(guī)劃為先導(dǎo)。隨著信息技術(shù)日新月異的發(fā)展，網(wǎng)絡(luò)需求也在不斷變化，規(guī)劃不能一成不變，必須分階段與時(shí)俱進(jìn)地適應(yīng)需求按專題來進(jìn)行。這些年來，長(zhǎng)科院從規(guī)劃、設(shè)計(jì)、到實(shí)施，比較注意滿足科研主體需求，比較注意優(yōu)化網(wǎng)絡(luò)結(jié)構(gòu)擴(kuò)充網(wǎng)絡(luò)功能，同時(shí)，更注重提高網(wǎng)絡(luò)性能，主要是保障其暢通性、安全性、可靠性、穩(wěn)定性及可擴(kuò)展性［2］。本文主要論述這些問題。

1 網(wǎng)絡(luò)結(jié)構(gòu)與布線

網(wǎng)絡(luò)建設(shè)要注重結(jié)構(gòu)、合理劃分層次。首先要確定網(wǎng)絡(luò)拓?fù)洌匆鶕?jù)本單位的地理分布情況、用戶分布規(guī)模等來具體確定網(wǎng)絡(luò)結(jié)構(gòu)。長(zhǎng)科院科研局域網(wǎng)的網(wǎng)絡(luò)拓?fù)淙鐖D1所示，總體為樹型結(jié)構(gòu)，即復(fù)合的星型結(jié)構(gòu)。樹型結(jié)構(gòu)與目前的結(jié)構(gòu)化布線技術(shù)、網(wǎng)絡(luò)交換設(shè)備水平相適應(yīng)，能較好地滿足網(wǎng)絡(luò)功能性能要求。

1.1 網(wǎng)絡(luò)主干

如圖1所示，科研局域網(wǎng)為“1+4結(jié)構(gòu)”，即由院本部、加上4個(gè)科研基地(九萬方、沌口、宜昌、重慶)的子網(wǎng)所組成。

院本部的核心交換機(jī)(千兆級(jí)標(biāo)準(zhǔn))為科研局域網(wǎng)的中心節(jié)點(diǎn)，通過城域?qū)＞€(千兆)與九萬方科研基地相聯(lián)，滿足水利部巖土力學(xué)與工程重點(diǎn)實(shí)驗(yàn)室、國(guó)家大壩安全工程技術(shù)研究中心等單位的需要;通過城域網(wǎng)的VPN與漢陽的沌口科研基地相聯(lián)，滿足水利部水工程安全與病害防治工程技術(shù)研究中心等單位基于長(zhǎng)江防洪模型的科研需要;通過廣域網(wǎng)的VPN與宜昌、重慶的科研基地相聯(lián)，滿足長(zhǎng)科院在三峽前方及重慶開發(fā)中的水利科研需要。

1.2 子 網(wǎng)

這里的子網(wǎng)是指以樓宇為單元的局域網(wǎng)。長(zhǎng)科院樓宇按標(biāo)準(zhǔn)(ANSI/EIA—568—A商業(yè)建筑電信布線標(biāo)準(zhǔn))實(shí)施結(jié)構(gòu)化布線工程，每個(gè)子網(wǎng)內(nèi)部也為星型結(jié)構(gòu)。全院在核心交換機(jī)之下，共有匯聚層交換機(jī)4臺(tái)，樓層(桌面)交換機(jī)60余臺(tái)，連接終端節(jié)點(diǎn)1 200余個(gè)，劃分為13個(gè)VLAN。另外，長(zhǎng)科院還為水工河工模型實(shí)驗(yàn)大廳、主要會(huì)議室配備了內(nèi)部無線網(wǎng)(Aruba設(shè)備)。對(duì)有特殊保密要求的財(cái)務(wù)、人事、空間信息等單位建設(shè)了與科研局域網(wǎng)物理隔離的專業(yè)子網(wǎng)。子網(wǎng)的主干為千兆單模光纜，樓宇內(nèi)綜合布線為超5類線。子網(wǎng)匯聚交換為具有千兆級(jí)標(biāo)準(zhǔn)，目前使用為百兆。用戶終端為百兆到桌面。

1.3 院網(wǎng)絡(luò)出口

網(wǎng)絡(luò)出口指科研局域網(wǎng)的Internet出口。為了保障科研人員與部委及社會(huì)的科技交流，同時(shí)保證出口的高可靠性，長(zhǎng)科院采用中國(guó)電信等2家運(yùn)營(yíng)商提供互聯(lián)網(wǎng)咨詢服務(wù)，分別提供帶寬并互為鏈路備份。在出口處，使用綜合網(wǎng)關(guān)限制訪問內(nèi)容，使用行為管理軟件限制科研局域網(wǎng)用戶的上網(wǎng)行為(在首先保證IE瀏覽速度之后，再依次滿足流媒體播放、數(shù)據(jù)下載的需要)，使用負(fù)載均衡設(shè)備調(diào)節(jié)2條出口鏈路的流量達(dá)到合理的均衡程度。

圖1 科研局域網(wǎng)主干結(jié)構(gòu)圖Fig.1 Structure of the intranet backbone

2 網(wǎng)絡(luò)主要業(yè)務(wù)應(yīng)用

長(zhǎng)江科學(xué)院作為國(guó)家公益性水利科研機(jī)構(gòu)，科研的前瞻性、開放性要求科研局域網(wǎng)要便捷、暢通、穩(wěn)定、安全。在院本部設(shè)有中心機(jī)房，統(tǒng)一處理對(duì)外信息交換;在4個(gè)科研基地都設(shè)有核心機(jī)房，承擔(dān)各區(qū)域內(nèi)的科研與管理業(yè)務(wù)。科研局域網(wǎng)承載的主要業(yè)務(wù)是科學(xué)實(shí)驗(yàn)、綜合管理信息系統(tǒng)及科技(公共)信息服務(wù)。目前科研局域網(wǎng)能夠較好滿足科研的要求。

2.1 科學(xué)實(shí)驗(yàn)系統(tǒng)［3］

水利科研的研究手段主要是模型試驗(yàn)與數(shù)值計(jì)算。

在模型試驗(yàn)中，近些年普遍采用了基于網(wǎng)絡(luò)的計(jì)算機(jī)數(shù)據(jù)采集技術(shù)，實(shí)現(xiàn)了從數(shù)據(jù)采集、傳輸、數(shù)據(jù)處理與分析一條龍的信息化實(shí)驗(yàn)流程，在數(shù)據(jù)處理的基礎(chǔ)上還開展了數(shù)值仿真，大大提高了試驗(yàn)成果的可視化程度。

數(shù)值計(jì)算采用工程計(jì)算與分析軟件，定量研究工程水利、生態(tài)水利中的科研問題。近年，長(zhǎng)科院基于網(wǎng)絡(luò)的水資源分布、空間信息處理等取得了長(zhǎng)足進(jìn)展。引進(jìn)了曙光TC4000L、曙光PHCP100等3臺(tái)高性能并行計(jì)算系統(tǒng)，在有限元法、差分法與DDA計(jì)算方面也發(fā)揮了重要的作用。

長(zhǎng)科院基于網(wǎng)絡(luò)的計(jì)算機(jī)軟件應(yīng)用與開發(fā)很普及，2012年審核使用的有效版本軟件達(dá)到132項(xiàng)。

2.2 綜合管理信息系統(tǒng)

綜合管理信息系統(tǒng)是長(zhǎng)科院于2009年正式投入使用的管理軟件，其包括院務(wù)、科研、人事、財(cái)務(wù)、資產(chǎn)、黨群、科技信息及后勤服務(wù)等8個(gè)子系統(tǒng)，同時(shí)設(shè)有綜合查詢模塊、個(gè)人中心模塊。該系統(tǒng)基本涵蓋了長(zhǎng)科院科研管理內(nèi)容，為流程化運(yùn)作。流程運(yùn)作的實(shí)時(shí)性對(duì)網(wǎng)絡(luò)的速度及可靠性提出了很高的要求。在該系統(tǒng)運(yùn)行以后，長(zhǎng)科院對(duì)網(wǎng)絡(luò)性能做了新的評(píng)估，并擴(kuò)展增加了備份服務(wù)器、主輔網(wǎng)絡(luò)存儲(chǔ)設(shè)備等關(guān)鍵設(shè)備。

此外，作為綜合管理信息系統(tǒng)的配套工程，長(zhǎng)科院還建設(shè)了基于網(wǎng)絡(luò)的一卡通工程，使用“長(zhǎng)江卡”實(shí)現(xiàn)食堂進(jìn)餐、考勤與會(huì)議簽到、門禁、車閘等。一卡通數(shù)據(jù)中心由1臺(tái)數(shù)據(jù)服務(wù)器(linx操作系統(tǒng))及2臺(tái)前置服務(wù)器組成，通過專用網(wǎng)關(guān)連至各前段設(shè)備。

2.3 科技(公共)信息服務(wù)

為滿足科研人員網(wǎng)絡(luò)辦公的需要，長(zhǎng)科院自主開發(fā)了《長(zhǎng)江水利科技網(wǎng)》(院外網(wǎng))、《長(zhǎng)江科學(xué)院辦公網(wǎng)》(院內(nèi)網(wǎng))，引進(jìn)了敏迅電子郵件系統(tǒng)、深圳大學(xué)圖書館系統(tǒng)、騰訊通(RTX)即時(shí)通訊軟件等。為滿足科研人員需求，長(zhǎng)科院訂購(gòu)了若干套專業(yè)相關(guān)的中英文數(shù)據(jù)庫(kù)，并引進(jìn)了5萬余冊(cè)超星電子圖書，開通了科技檔案資料的網(wǎng)絡(luò)查詢。

3 網(wǎng)絡(luò)安全

網(wǎng)絡(luò)安全是近些年受到廣泛關(guān)注的問題。使用TIP/IP協(xié)議的互聯(lián)網(wǎng)在給人們帶來前所未有的開放性同時(shí)，也在保護(hù)信息安全方面顯現(xiàn)出弱點(diǎn)。科研局域網(wǎng)的科研環(huán)境，對(duì)網(wǎng)絡(luò)安全性要求極高。長(zhǎng)科院在網(wǎng)絡(luò)安全方面，著重考慮內(nèi)網(wǎng)安全、出口安全2方面的問題，按照水利部的2級(jí)網(wǎng)絡(luò)安全等級(jí)達(dá)標(biāo)建設(shè)［4］。

3.1 內(nèi)網(wǎng)安全

內(nèi)網(wǎng)安全是根本。長(zhǎng)科院從線路保障、子網(wǎng)管理、病毒防范等方面加強(qiáng)內(nèi)網(wǎng)安全保護(hù)。

首先，嚴(yán)格采用標(biāo)準(zhǔn)的結(jié)構(gòu)化布線技術(shù)，構(gòu)造科研局域網(wǎng)，網(wǎng)絡(luò)主干線路采用單模光纜并復(fù)線架設(shè)。子網(wǎng)間光纜走弱電地溝或弱電豎井，相對(duì)封閉以防止損壞。各樓宇布線垂直與水平系統(tǒng)嚴(yán)格按規(guī)范架設(shè)，并保證防雷擊設(shè)施到位。

長(zhǎng)科院內(nèi)網(wǎng)被劃分為13個(gè)VLAN。VLAN劃分可以有效抑制廣播風(fēng)暴，提高內(nèi)網(wǎng)數(shù)據(jù)交換效率，控制病毒傳播，并為專業(yè)用戶、特殊用戶(如視頻會(huì)議)使用指定IP，提供有效帶寬。長(zhǎng)科院部署在綜合管理信息系統(tǒng)、網(wǎng)站等多臺(tái)服務(wù)器上安裝了瑞星網(wǎng)絡(luò)防病毒軟件(企業(yè)版)，從網(wǎng)絡(luò)服務(wù)的角度抑制病毒的侵害。

3.2 網(wǎng)絡(luò)出口安全

網(wǎng)絡(luò)出口是內(nèi)網(wǎng)安全威脅的主要來源。針對(duì)網(wǎng)絡(luò)出口直接面對(duì)黑客攻擊、非法訪問、病毒侵襲等危險(xiǎn)，長(zhǎng)科院采用防火墻技術(shù)、入侵檢測(cè)技術(shù)、行為管理技術(shù)等對(duì)科研局域網(wǎng)實(shí)施重點(diǎn)防范與保障。

防火墻是網(wǎng)絡(luò)安全領(lǐng)域首要的基礎(chǔ)性設(shè)備，利用防火墻可以有效地劃分網(wǎng)絡(luò)不同安全級(jí)別區(qū)域間的邊界，并在邊界上對(duì)不同區(qū)域間的訪問實(shí)施訪問控制、身份鑒別和審計(jì)等安全功能;入侵檢測(cè)系統(tǒng)是一種主動(dòng)保護(hù)網(wǎng)絡(luò)資源的網(wǎng)絡(luò)安全系統(tǒng)，它從計(jì)算機(jī)網(wǎng)絡(luò)中的關(guān)鍵點(diǎn)收集信息，并進(jìn)行分析，查看網(wǎng)絡(luò)中是否有違反安全策略的行為和受到攻擊的跡象。入侵檢測(cè)設(shè)備是防火墻的合理補(bǔ)充，能幫助系統(tǒng)對(duì)付網(wǎng)絡(luò)攻擊。長(zhǎng)科院使用天融信綜合網(wǎng)關(guān)(TopGate500)，實(shí)現(xiàn)防火墻功能，同時(shí)還實(shí)現(xiàn)網(wǎng)絡(luò)入侵檢測(cè)、防病毒網(wǎng)關(guān)等出口風(fēng)險(xiǎn)控制管理。

針對(duì)科研局域網(wǎng)眾多用戶同時(shí)上網(wǎng)，需要在網(wǎng)絡(luò)出口處限制上網(wǎng)行為。要配備相應(yīng)管理設(shè)備，防止非法訪問，產(chǎn)生行為日志，通過限制行為，保障有效工作帶寬。長(zhǎng)科院使用深信服AC系列上網(wǎng)行為管理器，較好地實(shí)現(xiàn)網(wǎng)頁過濾、行為控制、流量管理、防止內(nèi)網(wǎng)泄密、防范法規(guī)風(fēng)險(xiǎn)、互聯(lián)網(wǎng)訪問行為記錄等。

4 網(wǎng)絡(luò)運(yùn)行維護(hù)

網(wǎng)絡(luò)運(yùn)行維護(hù)是與網(wǎng)絡(luò)規(guī)劃建設(shè)同等重要的工作，因?yàn)榫W(wǎng)絡(luò)的效力只有在高效、穩(wěn)定、安全的運(yùn)行中才能得到體現(xiàn)。長(zhǎng)科院科研局域網(wǎng)運(yùn)行維護(hù)包括2方面的工作:一是明確網(wǎng)絡(luò)管理要素，二是動(dòng)態(tài)實(shí)施網(wǎng)絡(luò)升級(jí)改造。

4.1 網(wǎng)絡(luò)管理要素

明確網(wǎng)絡(luò)的管理要素主要包括，健全規(guī)章制度，完善運(yùn)行管理機(jī)制，配備網(wǎng)絡(luò)管理軟件，落實(shí)運(yùn)行維護(hù)費(fèi)等。

長(zhǎng)科院為保障網(wǎng)絡(luò)設(shè)施的正常運(yùn)行，編制發(fā)布了《長(zhǎng)江科學(xué)院網(wǎng)絡(luò)與通訊管理辦法》。為了防范突發(fā)故障，制訂了《長(zhǎng)江科學(xué)院網(wǎng)絡(luò)安全事故應(yīng)急預(yù)案》。院信息中心是網(wǎng)絡(luò)運(yùn)行維護(hù)的責(zé)任單位，使用13種運(yùn)行維護(hù)記錄表(如表1所示)，常年堅(jiān)持規(guī)范化管理。

表1 科研局域網(wǎng)運(yùn)行維護(hù)記錄清單Table 1 List of intranet operation and maintenance records

長(zhǎng)科院科研局域網(wǎng)的規(guī)模與性質(zhì)，需要實(shí)行正規(guī)的網(wǎng)絡(luò)管理。長(zhǎng)科院引進(jìn)了北塔網(wǎng)絡(luò)運(yùn)維管理系統(tǒng)(BTNM 3.9.2)，可以將全院的IT設(shè)備納入到統(tǒng)一物理拓?fù)鋱D進(jìn)行管理，能可視化地實(shí)時(shí)顯示各網(wǎng)段的流量分布情況及負(fù)載飽和度，同時(shí)在拓?fù)鋱D上可以對(duì)設(shè)備的狀況及性能進(jìn)行相應(yīng)管理，通過關(guān)聯(lián)分析能夠提示網(wǎng)絡(luò)可能存在的故障點(diǎn)，預(yù)知告警，有效提高網(wǎng)絡(luò)和業(yè)務(wù)系統(tǒng)的健康運(yùn)行率。此外，報(bào)表運(yùn)行管理還能提供網(wǎng)絡(luò)歷史數(shù)據(jù)的分析報(bào)告，為IT投資和優(yōu)化架構(gòu)提供參考數(shù)據(jù)。

4.2 網(wǎng)絡(luò)升級(jí)改造

隨著網(wǎng)絡(luò)行為的豐富、用戶數(shù)量的增加，科研局域網(wǎng)所承載的業(yè)務(wù)也在不斷發(fā)展。最近幾年，在水利部的直接安排下，長(zhǎng)科院先后實(shí)施了“長(zhǎng)江科學(xué)院沌口科研基地信息系統(tǒng)升級(jí)項(xiàng)目配置”、“長(zhǎng)江科學(xué)院九萬方科研基地網(wǎng)絡(luò)通訊與電力增容改造項(xiàng)目”［5］等，并在每年安排信息化專項(xiàng)經(jīng)費(fèi)，每隔1～2年就要更換或增加網(wǎng)絡(luò)交換設(shè)備、網(wǎng)絡(luò)服務(wù)器等，同時(shí)配合新建樓宇實(shí)施網(wǎng)絡(luò)建設(shè)工程。

5 結(jié)語

在2003年科研體制改革之后，長(zhǎng)科院科研局域網(wǎng)作為科研十分重要的基礎(chǔ)設(shè)施，規(guī)模不斷增加，檔次逐步提高，通過規(guī)范管理與運(yùn)行維護(hù)，穩(wěn)定性、可靠性、安全性不斷提高，較好地滿足科研與管理的需要。

但是，在運(yùn)行過程中我們感覺也存在一些薄弱環(huán)節(jié)，如長(zhǎng)科院科研局域網(wǎng)沒有形成與部委多樣化的對(duì)外通道，對(duì)外提供的公益性水利科研基礎(chǔ)信息較少，網(wǎng)絡(luò)的安全等級(jí)評(píng)估還沒有完成等，這些都需要我們?cè)诮窈笳J(rèn)真研究解決。

［1］周力峰.以信息化應(yīng)用技術(shù)促進(jìn)管理現(xiàn)代化［G］∥科技治江成就輝煌.武漢:長(zhǎng)江出版社，2011:257－266.(ZHOU Li-feng.Information Technology to Enhance the Modernization of Management［G］∥Science and Technology to Achieve Splendid River Management.Wuhan:Changjiang Press，2011:257－266.(in Chinese))

［2］周力峰.2010—2011年長(zhǎng)江水利委員會(huì)長(zhǎng)江科學(xué)院信息化建設(shè)概況［G］∥湖北信息年鑒.武漢:湖北科學(xué)技術(shù)出版社，2011:194－197.(ZHOU Li-feng.Overview of the CRSRI’s Informatization from 2010 to 2011［G］∥ Yearbook of Hubei Information.Wuhan:Hubei Science and Technology Press，2011:194－197.(in Chinese))

［3］郭熙靈，林紹忠，周力峰.扎實(shí)推進(jìn)信息化建設(shè) 努力構(gòu)建創(chuàng)新型強(qiáng)院［J］.人民長(zhǎng)江，2009，(4):10－12.(GUO Xi-ling，LIN Shao-zhong，ZHOU Li-feng.Informatization to Build a Strong Scientific Research Institute［J］.Yangtze River，2009，(4):10－12.(in Chinese))

［4］周維續(xù)，付 靜.淺析水利部信息系統(tǒng)安全等級(jí)保護(hù)工作［J］.信息網(wǎng)絡(luò)安全，2011，(12):18－19.(ZHOU Wei-xu，F(xiàn)U Jing.Protection of Information System Security of the Ministry of Water Resources［J］.Netinfo Security，2011，(12):18－19.(in Chinese))

［5］武漢城市建筑設(shè)計(jì)院.長(zhǎng)江科學(xué)院九萬方科研基地網(wǎng)絡(luò)通訊與電力增容改造項(xiàng)目設(shè)計(jì)報(bào)告［R］.武漢:長(zhǎng)江科學(xué)院，2011.(CITIC General Institute of Architectural Design and Research.Report on the Design of Networking Improvement and Power Capacity Expansion for Jiuwanfang Research Base of CRSRI［R］.Wuhan:Yangtze River Scientific Research Institute，2011.(in Chinese))