程艷芳

(太原市氣象局，山西 太原 030082)

0 引言

隨著氣象現(xiàn)代化業(yè)務的推進，氣象觀測已經(jīng)由人工觀測轉(zhuǎn)變?yōu)樽詣佑^測、網(wǎng)絡(luò)傳輸，氣象預報業(yè)務也逐漸走向智能網(wǎng)格預報，氣象數(shù)據(jù)種類不斷增多，時空分辨率不斷提高，對市級氣象網(wǎng)絡(luò)的可靠性、及時性、安全性都提出了新的要求。

1 市級氣象網(wǎng)絡(luò)業(yè)務介紹

市級氣象業(yè)務網(wǎng)承擔著接收氣象衛(wèi)星資料、接收和傳輸氣象雷達資料、發(fā)布氣象預報預警信息、支持氣象業(yè)務系統(tǒng)正常運行，以及接收、存儲來自市、縣兩級上百個自動氣象觀測站的觀測數(shù)據(jù)，并向省級氣象部門轉(zhuǎn)發(fā)的任務。自動氣象觀測站的觀測頻次由過去的1小時一次加密至5分鐘一次，氣象衛(wèi)星資料逐年增加，現(xiàn)在每天需接收200G以上的衛(wèi)星資料，氣象雷達以每六分鐘一次的掃描頻次實時向省市兩級氣象部門提供掃描圖像。越來越豐富的數(shù)據(jù)業(yè)務對市級氣象網(wǎng)絡(luò)提出了新的要求，現(xiàn)有的氣象網(wǎng)絡(luò)已不能滿足目前的氣象業(yè)務發(fā)展需要。

2 太原市氣象局網(wǎng)絡(luò)現(xiàn)狀

太原市氣象局內(nèi)部局域網(wǎng)的核心交換機為一臺H3C S7506E-S交換機，一臺博達BDCOM7208路由器連接六個縣級氣象局，每個縣局有移動、聯(lián)通兩條2M的E1專線互為備份，另一臺相同型號和配置的路由器作為冷備。一條自行架設(shè)的光纖通過核心交換機與省局氣象網(wǎng)絡(luò)連接，另外還有一條2M的聯(lián)通專線作為通往省局的備份線路。

存在的問題：

1) 通往省局和各縣局的傳輸線路有備份，但核心交換機沒有備份，備份路由器處于冷備狀態(tài)，設(shè)備和帶寬利用率低，可靠性差，如果出現(xiàn)故障，不能在短時間內(nèi)及時更換設(shè)備，將對數(shù)據(jù)的及時上傳造成影響。

2) 目前的線路帶寬已經(jīng)不能滿足大量數(shù)據(jù)的收發(fā)以及新的基于網(wǎng)絡(luò)的業(yè)務系統(tǒng)的需求，對視頻會議的正常進行也已經(jīng)造成了一定的影響。

3) 太原市氣象雷達站和氣象預警中心的建成，使得原有的網(wǎng)絡(luò)結(jié)構(gòu)已經(jīng)不能滿足新的需求，隨著網(wǎng)絡(luò)中心的搬遷，網(wǎng)絡(luò)的整體架構(gòu)需要重新部署。

3 網(wǎng)絡(luò)總體規(guī)劃設(shè)計

3.1 硬件及線路升級

升級后的太原市氣象網(wǎng)絡(luò)由太原市氣象局機關(guān)、雷達站、太原市氣象預警中心、下屬六縣局組成，網(wǎng)絡(luò)中心設(shè)在太原市氣象預警中心，由于資金投入有限，升級改造在保留部分原有設(shè)備的同時增加新設(shè)備，數(shù)據(jù)傳輸實時性要求高的網(wǎng)絡(luò)設(shè)備采用雙機熱備份，對實時性沒有要求的部分不采用雙機熱備。

1) 市局網(wǎng)絡(luò)中心的路由器上接省局局域網(wǎng)，下接各縣局局域網(wǎng)，各縣局的氣象觀測數(shù)據(jù)和雷達站掃描數(shù)據(jù)經(jīng)過市局的路由器傳輸?shù)绞【?，?shù)據(jù)傳輸?shù)膶崟r性和穩(wěn)定性是首要要求，因此市局信息中心在原有的博達路由器BDCOM7208的基礎(chǔ)上新增一臺華為路由器NE08E-S6，實現(xiàn)與原有博達路由器的熱備份。六縣局各新增一臺華為AR2204-27GE-P路由器，與原有的博達BSR2800路由器組成熱備，雷達站配置兩臺華為AR2204-27GE-P路由器，做雙機熱備份。

2) 市局網(wǎng)絡(luò)中心每天需接收大量衛(wèi)星、雷達數(shù)據(jù)以及自動站實時觀測數(shù)據(jù)，同時承擔著全市天氣預報業(yè)務的數(shù)據(jù)收集、上傳任務，故新增一臺h3c S7506E-S核心交換機與原有的核心交換機形成雙機熱備，保障市級氣象業(yè)務穩(wěn)定運行。

3) 通往省局的聯(lián)通線路升級為20M的MSTP線路，移動線路作為備份，仍采用E1線路且?guī)捝墳?0M，通往縣局的聯(lián)通線路也采取同樣的鏈路方式，帶寬由原來的2M升級為6M，移動線路保持2M不變。

升級后的網(wǎng)絡(luò)拓撲圖如圖1所示。

圖1 網(wǎng)絡(luò)拓撲圖

3.2 路由器配置

華為路由器連接聯(lián)通MSTP線路，博達路由器連接移動E1線路，業(yè)務系統(tǒng)以聯(lián)通線路作為主要通信線路，移動線路做備份，視頻會議系統(tǒng)以移動線路為主通信線路，聯(lián)通線路做備份。兩臺路由器采用VRRP協(xié)議(虛擬路由冗余協(xié)議)實現(xiàn)雙機熱備。配置兩個VRRP組，第一組將華為路由器設(shè)為高優(yōu)先級，第二組將博達路由器設(shè)為高優(yōu)先級，通過在核心交換機上配置策略路由，使氣象數(shù)據(jù)采集等關(guān)鍵業(yè)務以第一組VRRP虛擬地址作為默認路由地址，視頻會議系統(tǒng)以第二組VRRP虛擬地址作為默認路由地址，實現(xiàn)關(guān)鍵業(yè)務與視頻業(yè)務走不同的通道和設(shè)備，且兩條鏈路互為備份、負載均衡。

太原市縣兩級局域網(wǎng)組成全省氣象寬帶網(wǎng)的一個OSPF區(qū)域，市局路由器為區(qū)域的邊界路由器。路由協(xié)議采用BFD(雙向轉(zhuǎn)發(fā)檢測協(xié)議)與OSPF(開放式最短路徑優(yōu)先協(xié)議)相結(jié)合的方式，BFD用于快速檢測鏈路的連通性，BFD能實現(xiàn)毫秒級的快速檢測，當一條鏈路中斷后，BFD協(xié)議及時通知OSPF協(xié)議，使得OSPF協(xié)議及時對路由表進行重新計算，實現(xiàn)鏈路的快速自動切換。

路由器接口配置如下：

華為路由器主要配置

與博達路由器互聯(lián)端口

interface GigabitEthernet0/2/7

description To- BD7208-F0/0

undo shutdown

ip address 10.56.126.21 255.255.255.252

ospf network-type p2p

與核心交換機連接端口

interface GigabitEthernet0/2/6

description To-S7506

undo shutdown

ip address 172.18.78.251 255.255.255.0

vrrp vrid 1 virtual-ip 172.18.78.19

vrrp vrid 1 priority 120

vrrp vrid 2 virtual-ip 172.18.78.20

博達路由器主要配置

與華為路由器互聯(lián)端口

interface FastEthernet0/0

description To-NE08E

ip address 10.56.126.22 255.255.255.252

no ip directed-broadcast

ip ospf network point-to-point

與核心交換機連接端口

interface GigaEthernet0/2

description To-S7506

ip address 172.18.78.252 255.255.255.0

no ip directed-broadcast

vrrp 1 associate 172.18.78.19 255.255.255.0

vrrp 2 associate 172.18.78.20 255.255.255.0

vrrp 2 priority 120

3.3 核心交換機配置

核心交換機為兩臺H3C交換機，故采用H3C自主研發(fā)的軟件虛擬化技術(shù)IRF2(Intelligent Resilient Framework 2，智能彈性架構(gòu))將兩臺交換機虛擬化為一臺設(shè)備，實現(xiàn)雙機熱備。為提高可靠性，兩臺核心交換機采用兩條光纖連接，連接兩條光纖的端口聚合成一個IRF端口，既可提高帶寬，又可互為備份。將新增的h3c S7506E-S交換機設(shè)為高優(yōu)先級，使其作為Master設(shè)備，負責管理整個IRF，原有交換機作為Slave設(shè)備，當Master設(shè)備故障時，Slave設(shè)備會自動變?yōu)镸aster設(shè)備，繼續(xù)進行數(shù)據(jù)轉(zhuǎn)發(fā)。

在核心交換機上通過策略路由和QOS相結(jié)合的方式實現(xiàn)業(yè)務分流、負載均衡，用acl(訪問控制列表) 分別定義視頻數(shù)據(jù)、業(yè)務數(shù)據(jù)訪問控制列表，不同類型的數(shù)據(jù)通過策略路由指向不同的路由器進行數(shù)據(jù)轉(zhuǎn)發(fā)。配置如下：

Acl number 2001

Rule 1 permit ip source 172.18.78.11 0.0.0.0

Rule 1 permit ip source 172.18.78.13 0.0.0.0

Acl number 2002

Rule 1 permit ip source 172.18.78.0 0.0.0.255

If-match acl 2001

Apply ip-address next-hop 172.18.78.20

If-match acl 2002

Apply ip-address next-hop 172.18.78.19

4 網(wǎng)絡(luò)安全設(shè)計升級

網(wǎng)絡(luò)安全方面，原有的安全設(shè)備有防火墻、入侵檢測、上網(wǎng)行為管理，滿足了基本的網(wǎng)絡(luò)安全需求，為保證氣象內(nèi)網(wǎng)的數(shù)據(jù)安全，采取了內(nèi)網(wǎng)和外網(wǎng)徹底物理隔離的方式，但有些業(yè)務系統(tǒng)需要同時連接內(nèi)外網(wǎng)，并沒有實現(xiàn)徹底的內(nèi)外網(wǎng)隔離，存在較大安全隱患。為使得內(nèi)網(wǎng)計算機能更安全的連接互聯(lián)網(wǎng)，在外網(wǎng)出口新增一臺網(wǎng)閘，從物理上隔離、阻斷具有潛在攻擊可能的一切連接。數(shù)據(jù)中心新增身份認證網(wǎng)關(guān)，對登陸太原市國家突發(fā)事件預警系統(tǒng)、氣象預報預警發(fā)布系統(tǒng)等多個應用系統(tǒng)的用戶進行身份認證。

5 結(jié)論

在盡量保留原有網(wǎng)絡(luò)設(shè)備的條件下，對氣象寬帶網(wǎng)絡(luò)的升級改造，提高了氣象網(wǎng)絡(luò)的可靠性，降低了網(wǎng)絡(luò)故障，同時，在網(wǎng)絡(luò)的安全性和用戶使用的便捷性方面得到了平衡，新的網(wǎng)絡(luò)架構(gòu)能夠更好的適應氣象事業(yè)的發(fā)展，為氣象業(yè)務的正常運行提供有利保障。