文｜西安旭龍電子技術有限責任公司 武永斌

近年來，信息技術發(fā)展迅猛，成果矚目，“信息化”這幾個字被稱作發(fā)展的翅膀、高科技的象征，隨處可見。全社會都在響應政府號召，齊力建設信息化的載體和標志——網絡。那么如何針對不同的應用和環(huán)境建設符合自身條件的定制網絡呢？筆者通過在陜西省圖書館網絡的建設中，對實現網絡的安全、可靠和可管理性，保障網絡的正常運行方面頗有心得，整理此文與大家分享。

陜西省圖書館新館建筑面積4.7萬平方米，藏書500余萬冊，其建設規(guī)模在全國省級公共圖書館名列前茅。配套的陜西省圖書館管理信息系統(tǒng)除了實現圖書館五大基本業(yè)務模塊的全部自動化外，還具有數字化信息的采集、存儲及加工處理的功能，這些數字化的信息存儲在書目數據庫、特色文獻數據庫及讀者數據庫等專業(yè)數據庫中，通過Web網站24小時為全世界的讀者提供服務。該網絡投資規(guī)模大，設備檔次高，有一定的代表性。在此，就系統(tǒng)的冗余和內網安全特性方面加以分析。

1 冗余特性

為了保證整個系統(tǒng)的可靠性，最大限度地縮短宕機時間，我們在設計和實施中突出了冗余性和模塊化兩個特點。為了實現網絡的冗余性，我們選用兩臺配置相同的Cisco Catalyst 6509做中心交換機，各配備雙引擎，兩臺交換機通過兩條千兆光纖互連同時運行，四塊引擎分擔交換和VLAN路由工作。當某臺交換機宕機時，另一臺立即接管它的全部作業(yè)，而接管的過程對用戶是透明的。二級交換機選用Cisco Catalyst 3512，分別用千兆光纖連接兩臺中心交換機，這樣即使某臺6509或某根光纖中斷，網絡還能保證暢通。由于采用冗余鏈路設計，網絡主干存在環(huán)路，為了在鏈路層解決環(huán)路問題，在所有主干交換機上運行生成樹協(xié)議，保證在任意時刻，在某兩臺交換機的同一VLAN之間只有一條激活的鏈路，從而防止環(huán)路出現。

網絡的冗余實現了，作為應用核心的服務器又是怎么實現冗余的？本項目共配備五臺IBM RS/6000系列企業(yè)服務器，分別為H80兩臺、B80一臺、B50兩臺。為了保證24小時在線，所有服務器都配置雙網卡，分別連接兩臺中心交換機，形成冗余連接，連接方法如圖1所示。其中兩臺H80做雙應用互備雙機系統(tǒng)，保證主要應用軟件的不間斷服務。

2 內網安全

圖1 主機連接圖

大家都在強調安全，都在注視著尼姆達、木馬及黑客的遠程攻擊，卻往往忽視了最安全的也是最危險的地方——內網。如何保證內網的安全和秩序？我們采用了防火墻和VLAN相結合的解決方案。利用VLAN技術，可以邏輯劃分廣播域，有效地控制廣播風暴，提升網絡整體性能，還可將不同權限的用戶群有效地隔離開來，防止內部無關人員非法訪問受保護的信息。實施時，首先建立多個VLAN，每個VLAN對應一組安全級別相同的用戶，然后為每個VLAN分配一個獨立的IP網段，最重要的是一定要將用戶接入的交換機端口劃分到相應的VLAN中，這樣做的優(yōu)點是可以防止用戶私自改換IP地址到別的IP網段，盜用IP地址。在中心交換機的第三層路由模塊上設置不同VLAN之間的訪問策略，從而使各VLAN之間的訪問完全在管理員的控制之下。

建立了VLAN后，如何將分散在各個交換機上的VLAN和屬于同一VLAN而分散在多個交換機上的用戶邏輯的組合起來，實現統(tǒng)一管理？在本系統(tǒng)中，我們采用Cisco提出的VTP解決方案，將中心交換機設置為VTP Server，建立VTP域“Shengtu”，將所有二級交換機設置為VTP Client，加入VTP域，將連接中心交換機和二級交換機的鏈路設置為802.1Q Trunk，這樣VTP的環(huán)境就搭建起來了。實施中先統(tǒng)一在VTP Server即中心交換機上建立VLAN，然后通過Trunk將VLAN更新信息傳遞到VTP Client即二級交換機上，接著就可以將交換機的端口根據需要劃分到相應的VLAN，最后只要VTP Server和VTP Client間定期的傳遞更新，這樣就實現了全圖書館所有VLAN的統(tǒng)一管理。

上面描述的主要是針對內網用戶間的安全措施，另外我們還使用了硬件防火墻來實現針對外網的保護措施。在防火墻上共安裝四塊網卡，分別連接外網、內網、撥號接入用戶和對外服務的Web、E-Mail等服務器。在防火墻上通過配置實現四個接口間的訪問策略，可以有效的保護來自外網和內網等對服務器的安全威脅。

因為內網和服務器首先連接6509，然后再上聯防火墻。如何在6509上將這兩個區(qū)域完全隔離，使它們之間只能通過防火墻進行訪問，且不會出現重復的路由？我們特意在6509上將服務器連接接口全部劃分到一個VLAN中，然后在6509的第三層路由模塊上，不為該VLAN建立虛擬子接口，使其與其余VLAN之間不可能通過第三層路由模塊通信，只能通過網關即防火墻。經過測試，這種方法完全可行，內網用戶必須通過防火墻才能訪問服務器，實現隔離。

3 結束語

網絡的建設工作不應該僅僅是網絡設備的簡單互連和即插即用，除了可以互相ping通和可以訪問Internet外，還應該對安全、性能和可管理性等方面加以設計，使網絡不僅僅是設備的互連，更應該是建設者們思想的體現、辛勤的勞作和智慧的結晶。

每天，大大小小類似陜西省圖書館的計算機網絡系統(tǒng)都在繁忙地為信息的傳遞而運行著、服務著。在黑客攻擊之前都是安全的，沒有發(fā)生類似丟失數據或用戶之間無法訪問的事件。雖然我們不能保證這樣的事情絕對不會發(fā)生，但至少我們看到了危險的存在，并為阻止這種事情的發(fā)生而努力著。

網絡作為信息的載體，是快捷的、便利的，但同時也是開放的、脆弱的。它需要我們去建設，更需要我們去保護。