河南省水利系統廣域網管理維護方案探究

□趙新強 □李 亞 □李 婧（河南省水利信息中心）

1 概述

河南省水利系統廣域網依托河南省山洪災害防治縣級監測預警平臺項目實現了省、市、縣三級網絡連接，目前，網絡已覆蓋了省水利廳、18個市水利局、6座省管大型水庫、24個廳屬單位、134個縣（區）水利局、10個市管大中型水庫和5座節制閘，網絡用戶達3000余人。各級聯網單位主要通過租用河南省聯通公司10MMPLS-VPN電路實現連接。濮陽市、開封市、周口市、商丘市、漯河市等5個市的34個縣（區）水利局通過租用河南省電信公司10MMPLS-VPN電路連接到市水利局。

河南省水利系統廣域網絡作為各級水利主管部門數據、語音和視頻業務傳輸的主要載體，實現了全省水雨情、工情和旱情信息的傳輸共享，并20min內將全部報訊站的信息收集、傳輸到中央，為防汛抗旱指揮調度提供科學手段；實現了辦公文件、各種應用系統數據的傳輸；實現了語音IP電話和視頻監控等業務的實時傳輸。網絡的重要性愈發明顯，愈需要規范的網絡管理和維護。

2 網絡拓撲

河南省水利系統廣域網架構如圖1所示，以租用聯通公司電路為例，縣水利局用戶從本地交換機連接到防火墻，接入光電轉換器，通過縣聯通公司10MMPLS-VPN電路匯總到市聯通公司，然后通過100MMPLS-VPN電路接入各市水利局光電轉換器，再接入市水利局防火墻2，通過局域網交換機接入市水利局防火墻1，再接入光電轉換器，最后通過市聯通公司10MMPLS-VPN電路匯總到省聯通公司，通過1000MMPLS-VPN光纖電路接入河南省水利廳防火墻，從而實現全省各水利部門的互聯互通。

圖1 河南省水利系統廣域網拓撲圖

從數據流向來說，由于租用河南省聯通公司MPLS-VPN電路，每個聯網單位和聯通公司之間都有成對出現的路由，并且雙方均需要配置路由，實現互指，缺一不可。各單位可以在拓撲圖上標明各網絡設備的IP地址，含路由出口地址，這樣對數據流向便一目了然。

3 網絡管理維護

3.1 管理模式

河南省水利系統廣域網絡采用分級管理的模式，以“責任管理分散，職能管理集中”為原則，責任和職能劃分如下：

聯網單位對各自網絡區域進行管理和維護，并負責各自區域網絡安全。

河南省水利信息中心負責全省水利系統網絡的職能管理工作，如IP規劃、路由網絡規劃、網絡信息安全管理體系的建設等，負責對市級網絡節點骨干網的管理和監視，負責對全省聯網單位進行技術指導。

各市水利局網絡管理部門為廣域網絡二級分中心，在全網統一規劃的基礎上對下聯單位進行進一步細化管理，負責對縣級網絡節點骨干網的管理和監視，負責對全市聯網單位進行技術指導。

3.2 管理制度

完善、嚴密的管理制度是網絡管理規范化、高效化的基礎，以確保人人各司其職，各盡其責。目前，國家安全部門對各單位的安全建設明確要求有規范健全的管理制度。河南省水利信息中心主要的規章制度有網絡中心管理制度、機房管理制度、值班制度、資產管理制度、信息安全保密制度、應急預案制度等。各聯網單位根據自己實際情況制定切實可行的管理制度，加強用戶管理和安全管理，定期檢查網絡和設備的狀態，維護機房環境、保證網絡健康正常的運行。

3.3 安全管理

網絡安全管理從物理與環境安全考慮，做好防火、防水、防雷措施，加強機房出入控制；從網絡安全考慮，加強防火墻安全配置，關閉常見病毒攻擊端口，啟用設備防DDOS攻擊功能，對服務器要劃分專區重點防護，只開放服務器對外端口，如果有對外web服務，還可以配置web防火墻；從系統安全考慮，加強服務器安全配置，盡可能關閉服務器無關端口，定期對服務器殺毒，做漏洞掃描，清除隱患；從用戶安全考慮，對用戶進行準入控制，身份登記，要求用戶必須安裝殺毒軟件，加強用戶上網行為管理與日志審計。

3.4 運維管理

網絡運維管理主要指實行7×24 h網絡值班制度，監控網絡運行情況。利用網絡管理軟件，定制網絡拓撲圖，并在拓撲圖上的每臺設備圖標上均設置管理地址，通過ping、https、telnet等工具進行網絡探測，定期檢查網絡通斷。如有網絡異常可通過聲音、郵件等方式報警，從而實現基本的監視、定位、檢測、追蹤等功能。同時還可以通過網絡管理軟件自定義更多的端口來偵測服務器運行狀況，例如網站服務器偵測80或者8080端口，郵件服務器偵測smtp服務25端口或者pop3服務110端口；ftp服務器避偵測21端口等，避免了網絡正常但服務故障的情況，更直接的監視服務器運行。圖2即市水利局監控到各縣水利局骨干網的拓撲圖。網絡管理軟件很多，比較常見的有FriendlyPinger、北塔、廣通、網強等。

3.5 故障應急處理

防汛無小事，擔負著關鍵數據傳輸的網絡也顯得尤為重要，需要制定一套完整的故障應急處理預案，避免有故障時手忙腳亂。平時就需要做好準備工作，如制作本單位網絡拓撲圖，注明設備IP地址，理清網絡數據流向，在關鍵設備和網線上要貼好標簽，標明端口，做到條理、規范。

圖2 網絡監控圖

在網絡出現故障時要沉著冷靜，用ping、tracert等命令按數據流向逐級排查，縮小范圍快速定位，再細心排查，就能查到故障點。通常步驟處理如下：

第一，首先ping自己單位網關和防火墻出口路由地址，不通則是局域網問題，執行第二步；通則執行第四步。

第二，確定防火墻、交換機、協議轉換器等設備有無故障，通過目測接口狀態指示燈確定硬件設備有無告警。如果協議轉換器比平時多亮了紅燈，可聯系聯通公司讓檢查線路；如果防火墻、交換機設備有問題，聯系設備廠商解決。

第三，設備無異常，將防火墻、交換機、協議轉換器等設備斷電2min后再開機，再查看連接。重啟后正常則說明設備死機；重啟后仍不通，可以斷開所有內部網絡連接設備，用單機（筆記本電腦）接入防火墻局域網口，看能否ping通網關，通說明局域網內有嚴重病毒或交換機有故障；不通說明防火墻有故障。

第四，ping防火墻出口對應聯通路由地址，不通說明聯通線路或者光電轉換器有故障，聯系當地聯通公司進行檢查；通則可能是聯通路由問題、上聯單位網絡問題等原因，聯系上聯單位協助解決。

4 結語

河南省水利系統廣域網從2001年開始，經過建設、升級、發展，逐步建立了覆蓋全省的三級骨干網絡。多年來，通過不斷學習、總結，已形成了一套規范有效的網絡管理維護體系，希望可以在各聯網單位推廣應用，更安全有效的保障網絡運行，為河南省水利事業做出更大的貢獻。

洪偉.基于MPLSVPN技術的行業專網(J).計算機與現代化，2003(9).