聊城市氣象局網(wǎng)絡(luò)結(jié)構(gòu)優(yōu)化及雙線熱備的設(shè)計

◆李 楠 孫青然 呂 博 席曉彤

聊城市氣象局網(wǎng)絡(luò)結(jié)構(gòu)優(yōu)化及雙線熱備的設(shè)計

◆李 楠 孫青然 呂 博 席曉彤

（聊城市氣象局 山東 252000）

聊城氣象局存在多套業(yè)務(wù)系統(tǒng)，網(wǎng)絡(luò)接入多家單位，網(wǎng)絡(luò)環(huán)境較為復(fù)雜。結(jié)合業(yè)務(wù)系統(tǒng)對網(wǎng)絡(luò)進行優(yōu)化調(diào)整，使其更好地適應(yīng)業(yè)務(wù)系統(tǒng)發(fā)展的需求。前期的網(wǎng)絡(luò)建設(shè)和運維過程中沒有做合理的全局規(guī)劃，造成現(xiàn)網(wǎng)的故障頻發(fā)和管理困難，通過統(tǒng)一規(guī)劃設(shè)計全網(wǎng)路由、VLAN和IP地址，確保了數(shù)據(jù)轉(zhuǎn)發(fā)路徑合理、通暢，同時也確保了網(wǎng)絡(luò)的安全可靠運行。雙線熱備在原有的聯(lián)通網(wǎng)絡(luò)專線的基礎(chǔ)上增加了一條移動專線，保持原有的設(shè)備，應(yīng)用鏈路聚合的方式增加了鏈路帶寬及實時熱備線路，實現(xiàn)了各區(qū)縣氣象局至聊城市氣象局業(yè)務(wù)的實時熱備互連互通。

網(wǎng)絡(luò)優(yōu)化；鏈路聚合；氣象業(yè)務(wù)

0 引言

計算機網(wǎng)絡(luò)從20世紀(jì)60年代誕生到現(xiàn)在，一直伴隨著計算機和通信技術(shù)的發(fā)展及相互滲透，這種結(jié)合的同時也促進了計算機網(wǎng)絡(luò)的快速發(fā)展[1]。計算機網(wǎng)絡(luò)對信息的收集、傳輸、存儲和處理起著非常重要的作用[2]。網(wǎng)絡(luò)是氣象事業(yè)的公共技術(shù)基礎(chǔ)設(shè)施，是氣象信息傳輸和氣象資料共享的基礎(chǔ)平臺，是氣象信息交換的先決條件[3]。氣象部門的網(wǎng)絡(luò)經(jīng)歷了從無到有、從專用到通用，縣級和地市級都建立了小型局域網(wǎng)，縣局的局域網(wǎng)通過專線與市局和省局網(wǎng)絡(luò)互聯(lián)。

1 網(wǎng)絡(luò)結(jié)構(gòu)

市局核心層使用華為S7700系列交換機，做為整網(wǎng)核心節(jié)點，承擔(dān)起全網(wǎng)數(shù)據(jù)的高速交換和轉(zhuǎn)發(fā)任務(wù)；接入層設(shè)備為華為S5700交換機三臺，互聯(lián)網(wǎng)防火墻使用華為防火墻USG6530，主要用于1NAT轉(zhuǎn)換和安全策略部署，實現(xiàn)內(nèi)網(wǎng)用戶的安全及訪問互聯(lián)網(wǎng)的需求。同時通過IP地址的轉(zhuǎn)換和映射，實現(xiàn)區(qū)域自動站與內(nèi)網(wǎng)服務(wù)器間的通信；市縣之間的互聯(lián)，通過重新規(guī)劃和配置調(diào)整，實現(xiàn)市縣間三層路由互通，縣局單位的網(wǎng)關(guān)在各自的交換機上，這樣每個縣局的二層流量就終結(jié)在各自縣局的交換機上，不會對核心交換機造成沖擊；在進行VLAN規(guī)劃時，按功能和業(yè)務(wù)系統(tǒng)進行分區(qū)分塊，對業(yè)務(wù)系統(tǒng)進行VLAN規(guī)劃時，其所占的VLAN區(qū)間應(yīng)具備可擴展性。一個IP網(wǎng)絡(luò)中不能出現(xiàn)采用相同的IP地址這樣保證了地址的唯一性；連續(xù)的地址在分層結(jié)構(gòu)的網(wǎng)絡(luò)中易于進行路由聚合，大大縮減路由表，提高路由算法的效率[4]；地址分配在每一層都留有余量，這樣可以在網(wǎng)絡(luò)規(guī)模擴展時能保證連續(xù)性[5]。

優(yōu)化之前縣局的網(wǎng)關(guān)均部署在市局的核心交換機上，縣局本身的交換機相當(dāng)于接入層設(shè)備，市縣網(wǎng)絡(luò)為二層交換架構(gòu)，這種組網(wǎng)方式結(jié)構(gòu)簡單，易于管理，但因市局網(wǎng)絡(luò)沒有匯聚層設(shè)備，各接入交換機直接互聯(lián)核心交換機，且網(wǎng)關(guān)終結(jié)在核心交換機上，即各接入交換機的二層流量也會終結(jié)在核心交換機上，二層廣播風(fēng)暴及病毒等都會對核心交換機造成沖擊[6]。單個縣局單位出現(xiàn)的問題可能會對核心造成影響，繼而影響其他縣局網(wǎng)絡(luò)的正常運行。優(yōu)化后市局和縣局之間采用三層路由組網(wǎng)，每個縣局將網(wǎng)關(guān)終結(jié)在各自的交換機上。

由于市局網(wǎng)絡(luò)內(nèi)部路由節(jié)點不是特別多，且考慮市局和縣局間為10 MBPSSDH及備線路10 MBPSPTN線路的可能性，直接使用OSPF路由協(xié)議，這樣可以做到鏈路檢測及未來的主備線負(fù)載備份。骨干網(wǎng)和每個縣局接入單位作為一個單獨的OSPF區(qū)域。到其它單位的網(wǎng)絡(luò)一般采用靜態(tài)路由方式，通過將靜態(tài)路由重分布到OSPF進程。

圖1 聊城市氣象局網(wǎng)絡(luò)拓?fù)鋱D

2 OSPF規(guī)劃

RouteID規(guī)劃采用的是Loopback接口IP地址，OSPF核心區(qū)域骨干網(wǎng)設(shè)備作為OSPF的Area 0，每個接入單位與骨干網(wǎng)設(shè)備組網(wǎng)部署為不同的OSPF Area 1，2，…N。OSPF邊緣區(qū)域設(shè)計每個縣局接入單位的交換機與骨干交換機組網(wǎng)部署為不同的OSPF Area 1，2，…，N區(qū)域。與原先的普通的完全OSPF區(qū)域相比，通過規(guī)劃減少LSA在區(qū)域間的傳播，減少路由條數(shù)，與stub區(qū)域相比較部署的路由協(xié)議更加靈活。還可以通過區(qū)域匯總限制區(qū)域間傳播的LSA條目。邊緣區(qū)域使用NSSA區(qū)域，能精簡骨干區(qū)域路由器的路由表，減少骨干區(qū)域內(nèi)OSPF交互的信息量，提高路由表項的穩(wěn)定性。一個區(qū)域的路由計算和網(wǎng)絡(luò)調(diào)整不會影響其它區(qū)域，因故障引起的路由震蕩被隔離在區(qū)域內(nèi)部[7]。

電子政務(wù)縣級網(wǎng)絡(luò)的OSPF規(guī)劃如下：在現(xiàn)有網(wǎng)絡(luò)中，由于業(yè)務(wù)眾多和復(fù)雜，不同類型的業(yè)務(wù)對網(wǎng)絡(luò)質(zhì)量要求不一樣。不僅需要保證用戶業(yè)務(wù)的流量帶寬要求，也需要根據(jù)流量中的業(yè)務(wù)類型（如語音業(yè)務(wù)、視頻業(yè)務(wù)、關(guān)鍵數(shù)據(jù)業(yè)務(wù)、普通上網(wǎng)業(yè)務(wù)等）來保證各種業(yè)務(wù)的帶寬和時延要求。在多業(yè)務(wù)共存的網(wǎng)絡(luò)中需要采用QoS技術(shù)對關(guān)鍵業(yè)務(wù)的網(wǎng)絡(luò)質(zhì)量進行差異化保障。針對帶寬、時延、抖動、丟包率等要求，QoS可以通過優(yōu)先級映射、流量監(jiān)管、流量整形、隊列調(diào)度、擁塞避免等技術(shù)提升網(wǎng)絡(luò)服務(wù)質(zhì)量[8]。

市局到省局之間有兩條20的MSTP線路，需承載數(shù)據(jù)類業(yè)務(wù)和語音視頻類業(yè)務(wù)，此時，省市路由器上需配置QOS，將關(guān)鍵數(shù)據(jù)類業(yè)務(wù)劃分到AF隊列，確保其在網(wǎng)絡(luò)擁塞情況下的不丟包；視頻類業(yè)務(wù)數(shù)據(jù)流使用EF隊列，確保其優(yōu)先轉(zhuǎn)發(fā)，使得數(shù)據(jù)能夠?qū)崟r傳輸，獲得更好的感官體驗。此外，使用路由策略，使數(shù)據(jù)類業(yè)務(wù)流優(yōu)先選擇主線路進行傳輸，主線路故障時使用備線路傳輸；使視頻類業(yè)務(wù)流優(yōu)先選擇備線路進行傳輸，備線路故障時使用主線路傳輸，這樣可以最大程度地利用線路使其實現(xiàn)負(fù)載，同時具備冗余備份功能[9]。

3 安全管理

氣象局目前內(nèi)外網(wǎng)沒有做到物理隔離，網(wǎng)絡(luò)中的終端安全風(fēng)險較高，病毒、木馬及其它惡意攻擊行為對網(wǎng)絡(luò)影響較大，可在以下幾個方面加強終端的安全管理：明確終端安全使用規(guī)范，終端上必須安裝防病毒軟件或防火墻，定期對終端進行病毒、木馬查殺及安全檢查；終端使用靜態(tài)IP地址，個人不得隨意更換IP地址。可在交換機上配置IP+MAC+端口綁定，在出現(xiàn)終端安全問題時可以迅速定位，便于問題排查；在巡檢過程中，可對端口流量異常的終端進行隔離或手動關(guān)閉該端口，待問題解決后再將其接入網(wǎng)絡(luò)。對于內(nèi)網(wǎng)運行的多個業(yè)務(wù)系統(tǒng)之間，如無互相訪問的需求或關(guān)鍵型業(yè)務(wù)系統(tǒng)只有特定的人員主機能夠訪問，需在交換機上部署訪問控制列表ACL，對各vlan間或各終端主機間的訪問進行安全控制，對一些病毒木馬的攻擊行為，ACL也有一定的防范作用，互聯(lián)網(wǎng)防火墻使用華為防火墻USG6530，集防火墻、IPS、AV、VPN、上網(wǎng)行為管理和強大的路由功能于一體，提供安全、靈活、便捷的一體化組網(wǎng)和接入解決方案。SG6530作為互聯(lián)網(wǎng)出口防火墻，主要任務(wù)是對內(nèi)網(wǎng)用戶或服務(wù)器進行地址轉(zhuǎn)換或映射，使其能訪問互聯(lián)網(wǎng)資源或互聯(lián)網(wǎng)用戶訪問氣象局服務(wù)器等。防火墻還配置了IPS、AV防病毒、上網(wǎng)行為管理特性，可對網(wǎng)絡(luò)邊界發(fā)現(xiàn)的攻擊行為進行有效防護，同時對內(nèi)網(wǎng)用戶進行審計控制。

4 市-縣備份鏈路

雙線路備份一般可以分為兩種類型，雙線單設(shè)備及雙線雙設(shè)備。如圖1，聊城市氣象局采用的是雙線單設(shè)備，氣象局在原有聯(lián)通專線基礎(chǔ)上在市局核心交換機及各縣局交換機上接入移動PTN線路，當(dāng)任何一方設(shè)備及線路出現(xiàn)故障時不會影響業(yè)務(wù)數(shù)據(jù)的傳送。采用的是LAG鏈路聚合組協(xié)議，將—組相同速率的物理以太網(wǎng)接口捆綁在一起作為一個邏輯接口來增加帶寬，并提供鏈路保護[10]。鏈路聚合的優(yōu)勢在于增加鏈路帶寬，提高鏈路可靠性，當(dāng)一條鏈路失效時，其他鏈路將重新對業(yè)務(wù)進行分擔(dān)，此外還可實現(xiàn)負(fù)載分擔(dān)，流量分擔(dān)到聚合組的各條鏈路上。以太網(wǎng)LAG保護可以實現(xiàn)端口的負(fù)載分擔(dān)。在負(fù)載分擔(dān)模式下，設(shè)置鏈路聚合組后，設(shè)備會自動將邏輯端口上的流量負(fù)載分擔(dān)到組中的多個物理端口上。當(dāng)其中一個物理端口發(fā)生故障時，故障端口上的流量會自動分擔(dān)到其他物理端口上。當(dāng)故障恢復(fù)后，流量會重新分配，保證流量在匯聚的各端口之間的負(fù)載分擔(dān)，實現(xiàn)了各縣氣象局至聊城市氣象局?jǐn)?shù)據(jù)業(yè)務(wù)的互聯(lián)互通及專網(wǎng)實時熱備，對氣象業(yè)務(wù)數(shù)據(jù)起到了雙重保護的功能。

[1]吳學(xué)進.計算機網(wǎng)絡(luò)安全技術(shù)在網(wǎng)絡(luò)安全維護中的應(yīng)用探討[J].數(shù)字通信世界, 2017.

[2]申健, 周倩芳.神經(jīng)網(wǎng)絡(luò)在計算機網(wǎng)絡(luò)安全評價中的應(yīng)用研究[J].網(wǎng)絡(luò)安全技術(shù)與應(yīng)用,2017.

[3]張淯舒, 王慧強, 馮光升等.基于兩階段聚類的機會社會網(wǎng)絡(luò)路由算法[J].電子科技大學(xué)學(xué)報, 2017.

[4]王松.基于蟻群優(yōu)化多路徑路由算法的研究與設(shè)計[D].山東大學(xué), 2016.

[5]王有東.機會網(wǎng)絡(luò)的路由研究與節(jié)點設(shè)計[D].東南大學(xué), 2016.

[6]趙勇, 趙淑芳.市級氣象局通信網(wǎng)絡(luò)高可靠性設(shè)計與構(gòu)建[J].氣象科技, 2011.

[7]佀冉.內(nèi)蒙古聯(lián)通IP網(wǎng)絡(luò)優(yōu)化方案設(shè)計與實施[D].內(nèi)蒙古大學(xué), 2011.

[8]陳偉杰.基于主動隊列管理的擁塞控制策略及其穩(wěn)定性研究[D].浙江工業(yè)大學(xué), 2011.

[9]穆秀玫.雙頻分級Ad hoc網(wǎng)絡(luò)的組網(wǎng)協(xié)議設(shè)計與實現(xiàn)[D].電子科技大學(xué), 2011.

[10]李杰.基于Chord算法的P2P路由表安全的研究[D].北京郵電大學(xué), 2009.

聊城市創(chuàng)新團隊（基于ArcGis的災(zāi)害性天氣識別跟蹤與自動報警系統(tǒng)）。