王孝一
[摘要]營房在面臨各種問題的情況下如何根據(jù)自身條件將網(wǎng)絡(luò)建成高性能、可擴展、可管理的實用而安全穩(wěn)定的網(wǎng)絡(luò),是自始至終關(guān)注的問題,也是網(wǎng)絡(luò)建設(shè)的目標。
[關(guān)鍵詞]營房網(wǎng)絡(luò)拓撲安全三層交換機
中圖分類號:TP3文獻標識碼:A文章編號:1671—7597(2009)1010067—01
營房的網(wǎng)絡(luò)架設(shè)以軍地網(wǎng)絡(luò)系統(tǒng)為依托,由服務(wù)器、終端機、數(shù)據(jù)庫、千兆位以太網(wǎng)口交換機、路由器以及網(wǎng)線組成。為官兵提供快速瀏覽軍地兩網(wǎng)信息的平臺。
一、網(wǎng)絡(luò)設(shè)計原則
(一)安全性。眾所周知軍營的信息安全是重中之重,為了防止內(nèi)部信息流落到外網(wǎng),應(yīng)提高安全標準,相應(yīng)的提高防火墻的安全等級,集成包過濾防火墻、電路層防火墻和應(yīng)用防火墻三種技術(shù),只有符合安全規(guī)則的網(wǎng)絡(luò)連接和訪問才可以通過防火墻,保障數(shù)據(jù)的安全性。以及做到內(nèi)外網(wǎng)不在同一計算機上共用,存儲器分開管理的措施,防止非法訪問者通過互聯(lián)網(wǎng)絡(luò)對網(wǎng)絡(luò)節(jié)點進行攻擊。從網(wǎng)絡(luò)設(shè)備來講,防止外部攻擊主要靠入侵設(shè)備和路由器實現(xiàn)。
(二)實用性。實用就是說營房應(yīng)根據(jù)自身的實際情況充分考慮將來的發(fā)展需求,在進行網(wǎng)絡(luò)設(shè)計時既要對已有的設(shè)備加以利用,保護原有投資,又要集中財力,提高新購設(shè)備的檔次,獲得良好的性價比。以節(jié)省開支為基礎(chǔ)盡量爭取獲得無償?shù)馁澲?/p>
(三)穩(wěn)定性。網(wǎng)絡(luò)建設(shè)的最終目的是保證網(wǎng)絡(luò)能穩(wěn)定地運作。決定網(wǎng)絡(luò)穩(wěn)定性的因素很多,首先是網(wǎng)絡(luò)結(jié)構(gòu)設(shè)計及網(wǎng)絡(luò)布線是否合理;其次是設(shè)備的性能和穩(wěn)定性,特別是核心設(shè)各;再次是冗余部件,如電源冗余、管理模塊冗余、鏈路冗余等;除此之外,還有網(wǎng)絡(luò)節(jié)點管理、網(wǎng)絡(luò)安全防范等。
(四)可擴展。隨著營房不斷的完善和擴展,起始組建的網(wǎng)絡(luò)就面臨不斷地完善和擴充。網(wǎng)絡(luò)核心設(shè)備及布線是今后網(wǎng)絡(luò)運行的根本。如果所建網(wǎng)絡(luò)不能滿足將來一定時期內(nèi)的需求,那么今后再改造網(wǎng)絡(luò)、更換設(shè)備及重復(fù)土木工程的費用將會很高,造成資源浪費。
二、網(wǎng)絡(luò)設(shè)計與實現(xiàn)
(一)機房的規(guī)劃及實施要求。對于雙有線局域網(wǎng)來說,需要對機房和辦公樓進行科學(xué)合理的布線。因此設(shè)計網(wǎng)絡(luò)時必須考慮到機房的設(shè)備布局和布線系統(tǒng)的合理搭配。為了確保網(wǎng)絡(luò)、計算機系統(tǒng)穩(wěn)定、安全可靠地運行,以及保障機房工作人員有良好的工作環(huán)境,做到技術(shù)先進、經(jīng)濟合理、安全適用,符合部隊頒布的《電子計算機機房設(shè)計規(guī)范》標準要求。
1,確定各網(wǎng)絡(luò)總線拓撲結(jié)構(gòu)。總線網(wǎng)絡(luò)的拓撲結(jié)構(gòu)是指用現(xiàn)場總線網(wǎng)絡(luò)互連的各種現(xiàn)場設(shè)備的物理布局,網(wǎng)絡(luò)的拓撲和波特率一起決定了網(wǎng)絡(luò)的可用性、可靠性和實時性。一旦網(wǎng)絡(luò)通信電纜敷設(shè)完畢?,F(xiàn)場條件的限制使重新修改網(wǎng)絡(luò)拓撲變得困難,必須在整個設(shè)計工作的開始階段就重視網(wǎng)絡(luò)拓撲的設(shè)計。
本方案使用總線型、樹型、星型、菊花鏈型連接及以上方式的混合結(jié)構(gòu)構(gòu)建PROFIBUS網(wǎng)絡(luò)在高波特率通信下。DP網(wǎng)段嚴禁出現(xiàn)就地DP設(shè)備到總線主干網(wǎng)的連接分支線。應(yīng)使用菊花鏈型連接PA網(wǎng)段容許使用分支線連接就地PA設(shè)備和總線主干網(wǎng)。就地PA設(shè)備和PA分配器構(gòu)成星型連接。PA分配器之間形成總線型連接。
2,防患。首先防靜電。靜電會對計算機運行造成隨機故障,而且還會導(dǎo)致某些元器件、雙級性電路等被擊穿和毀壞。其次防火。在機房設(shè)計時,重點要考慮機房的消防滅火方案。設(shè)計時可以根據(jù)消防防火級別來確定機房的設(shè)計方案。防潮濕。機房里的濕度應(yīng)保持在20%~50%為宜,機房的溫度應(yīng)保持在15℃~35℃攝氏度,安裝空調(diào)來調(diào)節(jié)溫、濕度是解決此問題最好的辦法。鑒于停電會造成空調(diào)關(guān)機,我們還應(yīng)裝空調(diào)來電自動啟動裝置。
3,供電及機柜安裝。供電系統(tǒng)和制冷系統(tǒng)是計算機機房的兩個重要部分。在供電系統(tǒng)中,一般采用在線的LPS供電方式。網(wǎng)絡(luò)設(shè)備采用機架式的結(jié)構(gòu),如交換機、路由器、硬件防火墻等。全部安裝在一個大型的立式標準機柜中。這樣做的好處非常明顯:一方面可以使設(shè)備占用最小的空間,另一方面則便于與其它網(wǎng)絡(luò)設(shè)備的連接和管理,同時機房內(nèi)也會顯得整潔、美觀。
(二)布線系統(tǒng)的規(guī)劃及實施要求。機房是網(wǎng)絡(luò)布局的基礎(chǔ),網(wǎng)絡(luò)布線是網(wǎng)絡(luò)建設(shè)的根本,通過網(wǎng)絡(luò)布線將機房和各區(qū)域信息點的網(wǎng)絡(luò)設(shè)備互聯(lián)起來,使網(wǎng)絡(luò)正常運行。由于營區(qū)館節(jié)點較多,所以我們可以采取交換層、匯聚層、接入層三個網(wǎng)絡(luò)層次的設(shè)計,在此基礎(chǔ)上進行布線。布線是連接網(wǎng)絡(luò)接八層、匯聚層、交換層和網(wǎng)絡(luò)節(jié)點的重要環(huán)節(jié)。在布線時,最好使用專門的通道,而且不要與電源線,空調(diào)線等具有輻射的線路混合布線。
1,交換層。交換層是整個網(wǎng)絡(luò)的核心,因此該設(shè)備選擇是最關(guān)鍵的。本次方案所采用的所有交換機都支持802.1認證??紤]認證的效率,本次認證建議采用E系列接入層交換機來完成。并能夠提供強大的AC地址綁定等功能。交換層設(shè)備分別與軍地兩條主干用千兆光纖連接,這就要求交換層設(shè)備必須有千兆以上的網(wǎng)絡(luò)吞吐量,而且還必須擔(dān)任路由器的角色。一些新型館選用三層交換機作為交換層設(shè)備。為了提高網(wǎng)絡(luò)帶寬,可以將兩對以上光纖設(shè)置成端口聚合鏈路(Trunk)連接到網(wǎng)絡(luò),也可避免因單點故障導(dǎo)致網(wǎng)絡(luò)癱瘓。
2,匯聚層。匯聚層設(shè)備是營房整體網(wǎng)絡(luò)的核心部分,負責(zé)接入層設(shè)各的匯聚,是業(yè)務(wù)的高速轉(zhuǎn)發(fā)和網(wǎng)絡(luò)服務(wù)質(zhì)量的保障。在建網(wǎng)時采用千兆光纖連接到交換層交換機和接入層設(shè)備?;诂F(xiàn)有網(wǎng)絡(luò)業(yè)務(wù)并考慮網(wǎng)絡(luò)的發(fā)展,使用兩臺匯聚設(shè)備之間采用多個千兆端口聚合鏈路連接,形成互為備份、負載均衡的網(wǎng)絡(luò)核心交換體系,保證在任何一臺核心交換機損壞的情況下,網(wǎng)絡(luò)仍可以正常工作。同時為了方便管理和維護網(wǎng)絡(luò)以及日后網(wǎng)絡(luò)升級和改造,建網(wǎng)時選擇支持網(wǎng)絡(luò)管理功能的匯聚層網(wǎng)絡(luò)設(shè)備。
3,接入層。接入層連接著匯聚層和網(wǎng)絡(luò)節(jié)點,是決定我們整體網(wǎng)絡(luò)傳輸質(zhì)量的重要環(huán)節(jié)。每臺交換機通過兩條千兆鏈路分別連接到兩臺匯聚交換機上,把其中一條鏈路作為備份鏈路。目前千兆網(wǎng)絡(luò)技術(shù)非常成熟,營房接入層到終端的網(wǎng)絡(luò)設(shè)備選千兆帶寬。
(三)網(wǎng)絡(luò)安全設(shè)計。傳統(tǒng)的安全防護是通過防火墻來實現(xiàn),只能對網(wǎng)絡(luò)的L3-L4層數(shù)據(jù)進行病毒防護,但是不能對應(yīng)用層進行抵御。入侵防御系統(tǒng)可以實施在線部署,并可以實現(xiàn)在線檢測和實時阻斷,對內(nèi)網(wǎng)的病毒傳播進行有效的抑制,對外網(wǎng)病毒攻擊和來自應(yīng)用層的黑客攻擊可以實施在線阻斷。具體功能如下:1,應(yīng)用層保護。保護數(shù)據(jù)服務(wù)器的應(yīng)用軟件和操作系統(tǒng),0應(yīng)用LO/S和VOIP應(yīng)用,有效抵制來自蠕蟲病毒,特洛伊木馬,DDS攻擊和內(nèi)部攻擊等。2,基礎(chǔ)設(shè)施保護。保護所有在線網(wǎng)絡(luò)設(shè)備,如,路由器,交換機,防火墻等,有效抵制來自各種病毒,DDS攻擊,S-F攻擊和異常流量等。3,性能保護。保護出網(wǎng)帶寬,服務(wù)器以及關(guān)鍵的應(yīng)用和流量,有效抵制P2P應(yīng)用,未授權(quán)的應(yīng)用和DDS攻擊。
(四)網(wǎng)絡(luò)管理。要實現(xiàn)安全穩(wěn)定的網(wǎng)絡(luò)建設(shè),實時可靠的管理是密不可分的因此,就要相應(yīng)的網(wǎng)絡(luò)管理員進行培訓(xùn)已達到要求。除此之外綜合網(wǎng)絡(luò)管理軟件的使用也很重要。