王孝一

[摘要]營房在面臨各種問題的情況下如何根據(jù)自身條件將網(wǎng)絡(luò)建成高性能、可擴展、可管理的實用而安全穩(wěn)定的網(wǎng)絡(luò)，是自始至終關(guān)注的問題，也是網(wǎng)絡(luò)建設(shè)的目標。

[關(guān)鍵詞]營房網(wǎng)絡(luò)拓撲安全三層交換機

中圖分類號：TP3文獻標識碼：A文章編號：1671—7597(2009)1010067—01

營房的網(wǎng)絡(luò)架設(shè)以軍地網(wǎng)絡(luò)系統(tǒng)為依托，由服務(wù)器、終端機、數(shù)據(jù)庫、千兆位以太網(wǎng)口交換機、路由器以及網(wǎng)線組成。為官兵提供快速瀏覽軍地兩網(wǎng)信息的平臺。

一、網(wǎng)絡(luò)設(shè)計原則

(一)安全性。眾所周知軍營的信息安全是重中之重，為了防止內(nèi)部信息流落到外網(wǎng)，應(yīng)提高安全標準，相應(yīng)的提高防火墻的安全等級，集成包過濾防火墻、電路層防火墻和應(yīng)用防火墻三種技術(shù)，只有符合安全規(guī)則的網(wǎng)絡(luò)連接和訪問才可以通過防火墻，保障數(shù)據(jù)的安全性。以及做到內(nèi)外網(wǎng)不在同一計算機上共用，存儲器分開管理的措施，防止非法訪問者通過互聯(lián)網(wǎng)絡(luò)對網(wǎng)絡(luò)節(jié)點進行攻擊。從網(wǎng)絡(luò)設(shè)備來講，防止外部攻擊主要靠入侵設(shè)備和路由器實現(xiàn)。

(二)實用性。實用就是說營房應(yīng)根據(jù)自身的實際情況充分考慮將來的發(fā)展需求，在進行網(wǎng)絡(luò)設(shè)計時既要對已有的設(shè)備加以利用，保護原有投資，又要集中財力，提高新購設(shè)備的檔次，獲得良好的性價比。以節(jié)省開支為基礎(chǔ)盡量爭取獲得無償?shù)馁澲?/p>

(三)穩(wěn)定性。網(wǎng)絡(luò)建設(shè)的最終目的是保證網(wǎng)絡(luò)能穩(wěn)定地運作。決定網(wǎng)絡(luò)穩(wěn)定性的因素很多，首先是網(wǎng)絡(luò)結(jié)構(gòu)設(shè)計及網(wǎng)絡(luò)布線是否合理；其次是設(shè)備的性能和穩(wěn)定性，特別是核心設(shè)各；再次是冗余部件，如電源冗余、管理模塊冗余、鏈路冗余等；除此之外，還有網(wǎng)絡(luò)節(jié)點管理、網(wǎng)絡(luò)安全防范等。

(四)可擴展。隨著營房不斷的完善和擴展，起始組建的網(wǎng)絡(luò)就面臨不斷地完善和擴充。網(wǎng)絡(luò)核心設(shè)備及布線是今后網(wǎng)絡(luò)運行的根本。如果所建網(wǎng)絡(luò)不能滿足將來一定時期內(nèi)的需求，那么今后再改造網(wǎng)絡(luò)、更換設(shè)備及重復(fù)土木工程的費用將會很高，造成資源浪費。

二、網(wǎng)絡(luò)設(shè)計與實現(xiàn)

(一)機房的規(guī)劃及實施要求。對于雙有線局域網(wǎng)來說，需要對機房和辦公樓進行科學(xué)合理的布線。因此設(shè)計網(wǎng)絡(luò)時必須考慮到機房的設(shè)備布局和布線系統(tǒng)的合理搭配。為了確保網(wǎng)絡(luò)、計算機系統(tǒng)穩(wěn)定、安全可靠地運行，以及保障機房工作人員有良好的工作環(huán)境，做到技術(shù)先進、經(jīng)濟合理、安全適用，符合部隊頒布的《電子計算機機房設(shè)計規(guī)范》標準要求。

1，確定各網(wǎng)絡(luò)總線拓撲結(jié)構(gòu)。總線網(wǎng)絡(luò)的拓撲結(jié)構(gòu)是指用現(xiàn)場總線網(wǎng)絡(luò)互連的各種現(xiàn)場設(shè)備的物理布局，網(wǎng)絡(luò)的拓撲和波特率一起決定了網(wǎng)絡(luò)的可用性、可靠性和實時性。一旦網(wǎng)絡(luò)通信電纜敷設(shè)完畢?，F(xiàn)場條件的限制使重新修改網(wǎng)絡(luò)拓撲變得困難，必須在整個設(shè)計工作的開始階段就重視網(wǎng)絡(luò)拓撲的設(shè)計。

本方案使用總線型、樹型、星型、菊花鏈型連接及以上方式的混合結(jié)構(gòu)構(gòu)建PROFIBUS網(wǎng)絡(luò)在高波特率通信下。DP網(wǎng)段嚴禁出現(xiàn)就地DP設(shè)備到總線主干網(wǎng)的連接分支線。應(yīng)使用菊花鏈型連接PA網(wǎng)段容許使用分支線連接就地PA設(shè)備和總線主干網(wǎng)。就地PA設(shè)備和PA分配器構(gòu)成星型連接。PA分配器之間形成總線型連接。

2，防患。首先防靜電。靜電會對計算機運行造成隨機故障，而且還會導(dǎo)致某些元器件、雙級性電路等被擊穿和毀壞。其次防火。在機房設(shè)計時，重點要考慮機房的消防滅火方案。設(shè)計時可以根據(jù)消防防火級別來確定機房的設(shè)計方案。防潮濕。機房里的濕度應(yīng)保持在20％～50％為宜，機房的溫度應(yīng)保持在15℃～35℃攝氏度，安裝空調(diào)來調(diào)節(jié)溫、濕度是解決此問題最好的辦法。鑒于停電會造成空調(diào)關(guān)機，我們還應(yīng)裝空調(diào)來電自動啟動裝置。

3，供電及機柜安裝。供電系統(tǒng)和制冷系統(tǒng)是計算機機房的兩個重要部分。在供電系統(tǒng)中，一般采用在線的LPS供電方式。網(wǎng)絡(luò)設(shè)備采用機架式的結(jié)構(gòu)，如交換機、路由器、硬件防火墻等。全部安裝在一個大型的立式標準機柜中。這樣做的好處非常明顯：一方面可以使設(shè)備占用最小的空間，另一方面則便于與其它網(wǎng)絡(luò)設(shè)備的連接和管理，同時機房內(nèi)也會顯得整潔、美觀。

(二)布線系統(tǒng)的規(guī)劃及實施要求。機房是網(wǎng)絡(luò)布局的基礎(chǔ)，網(wǎng)絡(luò)布線是網(wǎng)絡(luò)建設(shè)的根本，通過網(wǎng)絡(luò)布線將機房和各區(qū)域信息點的網(wǎng)絡(luò)設(shè)備互聯(lián)起來，使網(wǎng)絡(luò)正常運行。由于營區(qū)館節(jié)點較多，所以我們可以采取交換層、匯聚層、接入層三個網(wǎng)絡(luò)層次的設(shè)計，在此基礎(chǔ)上進行布線。布線是連接網(wǎng)絡(luò)接八層、匯聚層、交換層和網(wǎng)絡(luò)節(jié)點的重要環(huán)節(jié)。在布線時，最好使用專門的通道，而且不要與電源線，空調(diào)線等具有輻射的線路混合布線。

1，交換層。交換層是整個網(wǎng)絡(luò)的核心，因此該設(shè)備選擇是最關(guān)鍵的。本次方案所采用的所有交換機都支持802.1認證?？紤]認證的效率，本次認證建議采用E系列接入層交換機來完成。并能夠提供強大的AC地址綁定等功能。交換層設(shè)備分別與軍地兩條主干用千兆光纖連接，這就要求交換層設(shè)備必須有千兆以上的網(wǎng)絡(luò)吞吐量，而且還必須擔(dān)任路由器的角色。一些新型館選用三層交換機作為交換層設(shè)備。為了提高網(wǎng)絡(luò)帶寬，可以將兩對以上光纖設(shè)置成端口聚合鏈路(Trunk)連接到網(wǎng)絡(luò)，也可避免因單點故障導(dǎo)致網(wǎng)絡(luò)癱瘓。

2，匯聚層。匯聚層設(shè)備是營房整體網(wǎng)絡(luò)的核心部分，負責(zé)接入層設(shè)各的匯聚，是業(yè)務(wù)的高速轉(zhuǎn)發(fā)和網(wǎng)絡(luò)服務(wù)質(zhì)量的保障。在建網(wǎng)時采用千兆光纖連接到交換層交換機和接入層設(shè)備?；诂F(xiàn)有網(wǎng)絡(luò)業(yè)務(wù)并考慮網(wǎng)絡(luò)的發(fā)展，使用兩臺匯聚設(shè)備之間采用多個千兆端口聚合鏈路連接，形成互為備份、負載均衡的網(wǎng)絡(luò)核心交換體系，保證在任何一臺核心交換機損壞的情況下，網(wǎng)絡(luò)仍可以正常工作。同時為了方便管理和維護網(wǎng)絡(luò)以及日后網(wǎng)絡(luò)升級和改造，建網(wǎng)時選擇支持網(wǎng)絡(luò)管理功能的匯聚層網(wǎng)絡(luò)設(shè)備。

3，接入層。接入層連接著匯聚層和網(wǎng)絡(luò)節(jié)點，是決定我們整體網(wǎng)絡(luò)傳輸質(zhì)量的重要環(huán)節(jié)。每臺交換機通過兩條千兆鏈路分別連接到兩臺匯聚交換機上，把其中一條鏈路作為備份鏈路。目前千兆網(wǎng)絡(luò)技術(shù)非常成熟，營房接入層到終端的網(wǎng)絡(luò)設(shè)備選千兆帶寬。

(三)網(wǎng)絡(luò)安全設(shè)計。傳統(tǒng)的安全防護是通過防火墻來實現(xiàn)，只能對網(wǎng)絡(luò)的L3-L4層數(shù)據(jù)進行病毒防護，但是不能對應(yīng)用層進行抵御。入侵防御系統(tǒng)可以實施在線部署，并可以實現(xiàn)在線檢測和實時阻斷，對內(nèi)網(wǎng)的病毒傳播進行有效的抑制，對外網(wǎng)病毒攻擊和來自應(yīng)用層的黑客攻擊可以實施在線阻斷。具體功能如下：1，應(yīng)用層保護。保護數(shù)據(jù)服務(wù)器的應(yīng)用軟件和操作系統(tǒng)，0應(yīng)用LO／S和VOIP應(yīng)用，有效抵制來自蠕蟲病毒，特洛伊木馬，DDS攻擊和內(nèi)部攻擊等。2，基礎(chǔ)設(shè)施保護。保護所有在線網(wǎng)絡(luò)設(shè)備，如，路由器，交換機，防火墻等，有效抵制來自各種病毒，DDS攻擊，S-F攻擊和異常流量等。3，性能保護。保護出網(wǎng)帶寬，服務(wù)器以及關(guān)鍵的應(yīng)用和流量，有效抵制P2P應(yīng)用，未授權(quán)的應(yīng)用和DDS攻擊。

(四)網(wǎng)絡(luò)管理。要實現(xiàn)安全穩(wěn)定的網(wǎng)絡(luò)建設(shè)，實時可靠的管理是密不可分的因此，就要相應(yīng)的網(wǎng)絡(luò)管理員進行培訓(xùn)已達到要求。除此之外綜合網(wǎng)絡(luò)管理軟件的使用也很重要。