熊雄 李顯風 李志鵬 鄧衛(wèi)華 江西省氣象信息中心 南昌 330046

0、引言

近年來，信息網絡已經遍布和滲透在全省氣象現(xiàn)代化體系的各個領域、各個層面和各個環(huán)節(jié)，氣象信息網絡系統(tǒng)是現(xiàn)代氣象業(yè)務體系的重要基礎支撐，是現(xiàn)代氣象業(yè)務的中樞和紐帶。作為全面實現(xiàn)全省氣象現(xiàn)代化的標志之一，氣象信息網絡的基礎支撐作用的重要性更為凸顯，當前江西省氣象部門正在緊鑼密鼓地開展省防災減災科技中心新大樓各相關業(yè)務系統(tǒng)的設計和建設，筆者通過對新大樓網絡系統(tǒng)方案設計中采取的一些總體思路進行總結，探討在系統(tǒng)設計中的相關設計理念和方法。

1、設計原則

1.1 架構通用性、預見性和可擴充性

省級氣象信息大樓網絡系統(tǒng)設計的一個最重要的基本原則就是規(guī)劃時系統(tǒng)架構需滿足現(xiàn)代氣象業(yè)務可持續(xù)發(fā)展需求，設計必須具備一定的架構通用性和前瞻性，對于可預見的發(fā)展趨勢，網絡架構必須從當前設計中給予充分考慮，并提供無須進行大的改變而能適應未來5-10年網絡升級的通用架構，最大限度保護投資，獲得總投資成本優(yōu)勢。

目前，網絡向多平臺、多協(xié)議、異構型網絡共存方向發(fā)展，其目標是將不同操作系統(tǒng)的終端、不同網絡類型連成一個可協(xié)同工作的網絡系統(tǒng)整體，所以大樓網絡系統(tǒng)設計所選網絡設備的通信協(xié)議要符合國際標準，而并不是一味追求高配置、高速率，在保證網絡先進性的同時，選擇具有良好擴展性和升級能力的網絡設備，為今后系統(tǒng)的繼續(xù)升級、擴展打下良好的基礎。所以需考慮以下幾點：

1.1.1、選用具有良好開放性的網絡協(xié)議和平臺，易于今后的擴充和升級。

1.1.2、系統(tǒng)采用結構化布線，并在匯聚/接入層分別利用三層/二層交換機組網，可方便地通過端口級聯(lián)、插板擴充以及設備堆疊等方式滿足網絡系統(tǒng)內部信息點的增加，并今后還可根據氣象業(yè)務發(fā)展需要，通過更換高配置的交換機來繼續(xù)提高網絡的傳輸速率。

1.1.3、針對新大樓網絡系統(tǒng)信息流的特點，網絡拓撲設計可采用樹型結構，交換機的速率和其他性能總體上由高到低，方便今后高一級的設備被更高性能設備取代后，此設備可降級使用，方便利用已有設備資源。

1.1.4、通過網絡管理、漏洞掃描、補丁分發(fā)等各種系統(tǒng)管理軟件，可實現(xiàn)從內網中某一點對全網的網絡軟件、操作系統(tǒng)、數(shù)據庫系統(tǒng)以及信息服務軟件的更新和升級。

1.2、安全性、可靠性和穩(wěn)定性

整個網絡系統(tǒng)必須具有高安全性和一定程度的冗余。由于目前大多數(shù)省級氣象信息網絡仍是以邏輯隔離為主，物理隔離為輔，新大樓網絡系統(tǒng)與互聯(lián)網之間仍會進行數(shù)據交換，所以，建立高可靠、雙核心、雙路由的省級核心網絡安全及信息安全防范體系就顯得尤為關鍵。

1.3、可維護性和可管理性

省級氣象信息新大樓網絡系統(tǒng)是一個龐大而復雜的系統(tǒng)，其建成后的網絡維護和管理十分關鍵，直接關系到整個網絡能否穩(wěn)定而可靠的運行。在網絡架構設計時除需采用統(tǒng)一、成熟、可靠的建網模式，在繪制結構清晰的網絡拓撲圖之外，還需建立和規(guī)范全網的運行管理系統(tǒng)，實現(xiàn)網絡資源的統(tǒng)一監(jiān)控、管理和調度，為網絡高效運行管理提供分析和決策依據。

1.4、設備兼容利舊性

在新大樓網絡系統(tǒng)設計中，需要考慮到對現(xiàn)有業(yè)務系統(tǒng)的兼容性，兼顧新舊系統(tǒng)的升級過渡，并充分利用原有系統(tǒng)的成功經驗，確保業(yè)務的穩(wěn)定運行；對老大樓網絡系統(tǒng)中購置年代較新、設備性能較好的核心設備可采取在新大樓中降級使用的合理利舊策略，以最大可能節(jié)省項目投資。

2、網絡架構布局設計

通過對省局各業(yè)務應用單位和機關處室的廣泛調研，逐一分析各單位網絡應用需求，本著務實、節(jié)約、高效原則，筆者對新大樓網絡系統(tǒng)的整體規(guī)劃采取的總體設計策略是：高可靠的設計思想融合在結構設計、路由設計、應用服務設計的各個層面；針對業(yè)務網絡應用需求實施全模塊劃分若干功能區(qū)設計；依照各區(qū)域特點對整網劃分成三層或二層體系結構。

2.1、網絡分區(qū)設計

省級氣象信息大樓網絡系統(tǒng)應合理劃分網絡區(qū)域，明確各分區(qū)邊界防護，有利于故障排查和系統(tǒng)維護。一般來說，根據不同的省級氣象業(yè)務應用需求劃分為以下主要功能區(qū)：基礎業(yè)務區(qū)、數(shù)據中心區(qū)、辦公接入區(qū)、網絡運維區(qū)、外聯(lián)接入區(qū)、廣域網接入區(qū)（又稱寬帶網接入區(qū)）、互聯(lián)網接入區(qū)和視頻會議中心，這其中有些功能區(qū)又可根據實際情況和經費條件進行合理的邏輯合并。如圖1所示。

圖1 省級氣象信息大樓網絡系統(tǒng)分區(qū)設計結構圖

2.2、網絡分層設計

系統(tǒng)設計中需對省級新大樓網絡系統(tǒng)平臺層次結構劃分出清晰的核心層、匯聚層、接入層三層結構（在特殊區(qū)域，匯聚和接入層可扁平化設計），才能保證網絡的穩(wěn)定性、健壯性和可擴展性，以適應氣象業(yè)務的不斷發(fā)展。如圖2所示。

圖2 省級新大樓信息網絡系統(tǒng)分層設計結構圖

2.2.1 核心層

核心層構成了整個省級數(shù)據高速交換的核心，為各個功能分區(qū)提供高可靠、高穩(wěn)定和支持快速愈合的第三層接入服務。省級氣象的業(yè)務應用特點決定了網絡核心層設計在具備大業(yè)務流量承載能力的同時，還需具有高可靠性和必要的冗余度。為保證網絡的可靠性，核心層應采用兩臺具備萬兆業(yè)務流量承載能力的支持多架構和核心部件冗余的高端框式三層交換機。

2.2.2 匯聚層

匯聚層既是省級局域網各功能分區(qū)的交換核心，又提供各分區(qū)內部接入層的匯聚，作為各分區(qū)對外連接點，集中實現(xiàn)接入控制和安全控制。每個網絡功能區(qū)域相對應一個匯聚層區(qū)域，根據每個匯聚層區(qū)域業(yè)務重要程度，可以采用一臺或兩臺匯聚層交換機。省級局域網根據每個網絡功能區(qū)域劃分出相對獨立的匯聚層區(qū)域，根據所承載業(yè)務的重要程度和規(guī)模大小，匯聚層內部區(qū)域可獨立設計自己的結構，將匯聚、接入層分開，也可采用扁平化結構設計將此兩個區(qū)域合并。

2.2.3 接入層

接入層位于各網絡分區(qū)主機和服務器的接入點，具有高密度的接入能力，支持基于主機端口的訪問控制，并針對接入的數(shù)據流進行標記工作，便于傳輸過程中逐級實現(xiàn)針對流量的QoS控制策略。省級氣象信息大樓網絡系統(tǒng)的接入類型分為無線接入、有線接入和基于互聯(lián)網的VPN撥號接入。有線接入可實現(xiàn)局域網內的IP與MAC綁定，有效防止局域網內的ARP攻擊；無線接入則可通過無線控制器的用戶認證、傳輸加密、安全策略控制等多種方式提高局域網內無線用戶接入的安全性（新大樓應要求只能采用無線瘦AP進行統(tǒng)一管理）；VPN撥號接入可通過SSL VPN接入設備劃分用戶區(qū)域，根據用戶名和密碼的不同分級別提供訪問不同內網資源的權限。

此外，在最常見的48口和24口接入交換機的選擇時，筆者認為如在數(shù)據量相對較小的辦公接入區(qū)，可選用密度更高的48口全千兆接入交換機，以節(jié)約IDF設備間網絡機柜的空間和接入設備的購置經費；但作為可能存在較大量數(shù)據交換的業(yè)務接入區(qū)，接入設備則建議采用24口全千兆接入交換機，以有效減少接入交換機的上行口瓶頸和減少單設備突發(fā)故障時的業(yè)務影響面。

2.3、網絡物理設備部署

省級新大樓網絡系統(tǒng)中的網絡設備應該總體上按照網絡設備和應用主機之間就近接入的原則。由于性價比最高的雙絞線只有100M以內有效傳輸距離的限制，如需盡可能多采用此線纜進行網絡接入連接，則離大樓主機房較遠的終端信息點，最佳連接方式是通過最近的樓層IDF間接入到網絡當中。為了提高IDF間接入設備的利用率，可以考慮2-3個樓層配置一個IDF間，在重要的區(qū)域還可采用雙匯聚、雙鏈路上行的部署方式。骨干核心交換機必須放置在安裝了精密空調的主機房，并盡量放置在不同的機柜中，保證核心交換設備電源通過不同路的市電線路接入，為保證后期維護管理的便捷，兩個機柜不應距離太遠，最佳方法是并排部署，也方便后期核心交換設備通過多模光纖線實現(xiàn)虛擬化部署。

3、網絡布線系統(tǒng)設計

新大樓網絡布線系統(tǒng)是氣象智能化樓宇建設數(shù)字化信息系統(tǒng)的網絡基礎設施，連接線纜作為傳輸信息的介質，材料的合理選擇既決定了大樓內部氣象信息傳輸?shù)男剩忠欢ǔ潭壬嫌绊懥诵麓髽蔷W絡系統(tǒng)建設的資金投入。

在綜合系統(tǒng)布線中，雙絞線的單位部署成本最低、但傳輸距離近（≦100M）；多模光纖部署成本和傳輸距離（≦500M）中等；單模光纖部署成本高、傳輸距離遠（≦10KM）。網絡布線由于是隱蔽部署，后期改造非常困難，因此其前期規(guī)劃非常重要。按照國際布線標準ISO11801規(guī)定，布線系統(tǒng)的期望壽命至少為10年，作為一種長期的基本投資，綜合布線應充分考慮網絡的潛在需求和布線系統(tǒng)的發(fā)展。在網絡布線系統(tǒng)中，考慮到水平布線距離相對較近，走向復雜，且光纖方式成本高，氣象部門也無使用屏蔽線纜（屏蔽雙絞線費用遠高于同速率的非屏蔽雙絞線）的明確要求，因此同一樓層內部的水平布線可采用性價比較高的六類非屏蔽雙絞線；在新大樓樓層間由于傳輸距離稍遠，因此干線（垂直）布線采用價格適中的多模光纖線連接；而在園區(qū)網的樓宇間由于相隔距離較遠，則需采用傳輸性能最佳的單模光纖線進行連接。結合當前省級氣象信息新大樓“萬兆核心、萬兆匯聚、接入千兆”的網絡帶寬普遍要求，垂直子系統(tǒng)和樓宇子系統(tǒng)應采用萬兆連接。

此外，由于氣象業(yè)務應用的特點，核心交換機和數(shù)據中心交換機之間還可采用多鏈路捆綁的方式，提高鏈路可靠性的同時，還增加了鏈路的帶寬。

4、網絡安全設計

省級新大樓網絡安全系統(tǒng)的設計應當從“網絡基礎設施保護”和“區(qū)域邊界保護”兩方面考慮，前者主要是交換機和路由器，無線AP點和無線控制器等物理設備的部署和安全策略的設定，后者則是防火墻、入侵防御、流量控制、VPN等安全控制設備的架設和配套使用。

省級新大樓網絡系統(tǒng)的安全設計分為兩個層次：設備級安全和網絡級安全。

設備級安全是指省級局域網中的網絡專用設備及相關輔助設備必須采用經過公安部、工信部等權威部門認證的設備。網絡級安全則通過網絡基礎設施在提供連通性服務的基礎上所增值的安全服務，在網絡平臺上直接實現(xiàn)這些安全功能比采用獨立的物理主機實現(xiàn)具有更為強的靈活性、更好的性能和更方便的管理，設計應包括：進行網絡設備和用戶接入認證、授權和審計，以防止非法的接入；進行傳輸加密，以防止信息的泄漏和窺測；進行安全劃分和隔離，以防止非授權的訪問等。

由于安全設備是串行在重要的網絡設備之間，目前眾多的安全設備不具備故障繞開技術（Bypass功能），如果網絡數(shù)據通信設備采用了雙設備的方式，安全也應當考慮設備冗余部署，避免網絡中出現(xiàn)單點故障；此外，在考慮設備可靠性的同時，還應當充分考慮安全設備的接口和性能問題，避免出現(xiàn)數(shù)據傳輸?shù)钠款i，因此串行部署的安全設備還要考慮接口帶寬和吞吐量性能等因素。例如：對數(shù)據中心區(qū)邊界區(qū)則必須高性能雙臺萬兆防火墻冗余部署，并且采用虛擬化冗余的網絡設備必須采用同一品牌。當然，并不建議所有不同類別的安全產品全部采用同一品牌，因為底層技術都一樣(通常同一廠商的安全產品操作系統(tǒng)是一樣的，開發(fā)平臺是一樣的)，如果黑客攻破了某一類產品，那么同一品牌的其他類產品也很容易失去防護。另外所有安全設備需要提供日志輸出功能，便于安全管理設備集中采集日志，進行統(tǒng)一存儲、分析，以及安全事件報警。

5、網絡管理設計

考慮到省級氣象部門大樓網絡系統(tǒng)建設經費一次性投入有限，省級新大樓信息網絡系統(tǒng)的建設可以在加強網絡平臺綜合管理水平的基礎上，采取分階段、有步驟地逐漸搭建一個覆蓋省級氣象信息大樓網絡系統(tǒng)的網絡安全監(jiān)控管理平臺，實現(xiàn)全網統(tǒng)一、集中監(jiān)控管理。網絡安全管理軟件應能實現(xiàn)配置管理、性能管理、故障管理、安全管理和日志管理等五大功能。網絡管理人員可以直觀的從管理平臺看到所有被監(jiān)控系統(tǒng)的當前運行狀態(tài)和服務狀態(tài)。

加強對網絡數(shù)據流的監(jiān)視，利用網絡設備自身的七元組數(shù)據流統(tǒng)計，進行集中的統(tǒng)計、收集和多角度的深入分析。同時，在依靠具備以上功能的商用網管軟件的同時，還需加強基于開源軟件的自主開發(fā)，能夠結合網絡層次結構對網絡設備進行層次化的監(jiān)視布局，對業(yè)務系統(tǒng)依賴的底層網絡資源情況能夠形象和直觀地展現(xiàn)。

6、結語

筆者通過對在江西省級氣象信息新大樓網絡系統(tǒng)設計過程中遇到的一些問題進行總結，提出以上設計思想進行探討。目前，新大樓網絡系統(tǒng)的設計已經完成，系統(tǒng)實現(xiàn)也即將展開。在今后新大樓網絡系統(tǒng)建成后，無論是對使用者還是網絡管理員而言，其管理理念也需要隨之改變、更新和完善。俗話說“三分建設、七分管理”，隨著新大樓網絡系統(tǒng)業(yè)務應用的逐漸展開，相信不久，針對如何管理和安全使用新大樓網絡系統(tǒng)將成為下一個值得我們深入探討的問題。

［1］陳曉宇,王曉明,孫鵬.淺談廣東省氣象局網絡安全防護體系的部署[J].廣東氣象, 2004,(3):37-39.

［2］湯寧,汪華,易丁.貴州省氣象局大院網絡結構淺析[J].貴州氣象,2005,(B12):62-64.

［3］周琰.骨干網絡安全防護技術探討[J].氣象科技,2006,(B09):65-68.

［4］楊曉鵬.遼寧教育電視臺網絡安全建設[J].廣播與電視技術,2008,(4):69-72.

［5］熊雄,熊凌云,劉小剛等.江西省氣象局信息網絡安全探討[J].科技廣場,2010,(7):68-70.

［6］宋文文，龔文濤.基于核心冗余的核心層網絡架構設計[J].信息技術,2013,(1):166-169.

［7］徐勇，張軼群.電子政府網絡架構設計綜合解決方案[J].數(shù)字通信,2013,40(2):76-80.