胡海濤,周 黎

(攀枝花市生態(tài)環(huán)境信息與技術(shù)評估服務(wù)中心，四川 攀枝花 617000)

前 言

隨著我國經(jīng)濟建設(shè)的迅猛發(fā)展，隨之帶來了生態(tài)環(huán)境污染問題，生態(tài)環(huán)境保護工作的重要性日益凸顯，而生態(tài)環(huán)境信息化是實現(xiàn)生態(tài)環(huán)境管理轉(zhuǎn)型、促進環(huán)保事業(yè)發(fā)展、實現(xiàn)生態(tài)環(huán)境現(xiàn)代化的有效途徑。近些年，攀枝花市生態(tài)環(huán)境局從自身業(yè)務(wù)實際出發(fā)，積極開展了一系列生態(tài)環(huán)境信息化建設(shè)，形成了三種網(wǎng)絡(luò)，分別是互聯(lián)網(wǎng)、電子政務(wù)外網(wǎng)、環(huán)保專網(wǎng)。結(jié)合“十八大”以后生態(tài)環(huán)境系統(tǒng)機構(gòu)改革的新形勢，要求市縣兩級生態(tài)環(huán)境機構(gòu)進行更緊密的協(xié)作，亟需將整個攀枝花市生態(tài)環(huán)境系統(tǒng)的網(wǎng)絡(luò)整合為一個整體。本文從以下幾個方面探討網(wǎng)絡(luò)策略設(shè)計。

1 網(wǎng)絡(luò)現(xiàn)狀

攀枝花市生態(tài)環(huán)境系統(tǒng)網(wǎng)絡(luò)經(jīng)過多年的建設(shè)，形成了一套較為穩(wěn)定的基礎(chǔ)網(wǎng)絡(luò)系統(tǒng)，保障著環(huán)保系統(tǒng)業(yè)務(wù)的正常運行?？傮w網(wǎng)絡(luò)由環(huán)保專網(wǎng)、辦公局域網(wǎng)、互聯(lián)網(wǎng)、電子政務(wù)外網(wǎng)組成。市局網(wǎng)絡(luò)劃分了網(wǎng)絡(luò)域，分為DMZ區(qū)、安管區(qū)、局域網(wǎng)區(qū)、環(huán)保專網(wǎng)區(qū)、存儲網(wǎng)絡(luò)，各網(wǎng)絡(luò)區(qū)域邊界通過防火墻進行邏輯隔離，保障網(wǎng)絡(luò)安全。區(qū)縣生態(tài)環(huán)境部門通過專線接入環(huán)保專網(wǎng)。網(wǎng)絡(luò)現(xiàn)狀拓撲圖見圖1。

圖1 網(wǎng)絡(luò)現(xiàn)狀拓撲圖Fig.1 Topological diagram of network status

網(wǎng)絡(luò)系統(tǒng)問題分析：隨著生態(tài)環(huán)境系統(tǒng)機構(gòu)改革，生態(tài)環(huán)境工作越來越多，越來越重要。為了提高溝通效率，各級生態(tài)環(huán)境部門使用了統(tǒng)一的電子政務(wù)和數(shù)據(jù)共享平臺，處理公文、通知、環(huán)保業(yè)務(wù)等各種數(shù)據(jù)，以保證上級的指示能快速的得到傳達，下級的信息能及時得到反饋。同時市級要指導(dǎo)縣區(qū)運維網(wǎng)絡(luò)和應(yīng)用系統(tǒng)，以增強區(qū)縣信息化技術(shù)力量。但我市市級和縣區(qū)生態(tài)環(huán)境網(wǎng)絡(luò)結(jié)構(gòu)是相互隔離的，原有的網(wǎng)路系統(tǒng)已不能滿足新形勢下的工作要求，亟需改造，解決如下問題：骨干鏈路沒有冗余備份、市局與區(qū)縣生態(tài)環(huán)境局辦公網(wǎng)絡(luò)直連互通問題、區(qū)縣生態(tài)環(huán)境局多個網(wǎng)絡(luò)相互隔離、千兆網(wǎng)絡(luò)到桌面的要求、辦公區(qū)域無線網(wǎng)沒有覆蓋等。

2 網(wǎng)絡(luò)系統(tǒng)設(shè)計

為實現(xiàn)全市生態(tài)環(huán)境系統(tǒng)信息網(wǎng)絡(luò)大統(tǒng)一的總體目標，需要對生態(tài)環(huán)境系統(tǒng)網(wǎng)絡(luò)進行整體規(guī)劃，形成萬兆核心和千兆接入的交換網(wǎng)絡(luò)，滿足網(wǎng)絡(luò)大統(tǒng)一后的網(wǎng)絡(luò)交換性能和高可用的需求。全市生態(tài)環(huán)境系統(tǒng)網(wǎng)絡(luò)拓撲改造目標見圖2。

圖2 網(wǎng)絡(luò)拓撲圖Fig.2 Network topology diagram

2.1 核心網(wǎng)冗余改造

網(wǎng)絡(luò)冗余設(shè)計允許通過設(shè)置雙重網(wǎng)絡(luò)元素來滿足網(wǎng)絡(luò)的可用性需求，冗余降低了網(wǎng)絡(luò)的單點時效，其目標是重復(fù)設(shè)置網(wǎng)絡(luò)組件，以避免單個組件的失效而導(dǎo)致應(yīng)用失效[1]。對市生態(tài)環(huán)境局辦公互聯(lián)網(wǎng)核心交換網(wǎng)絡(luò)進行改造，形成萬兆核心和千兆接入的交換網(wǎng)絡(luò)，從接入交換機至互聯(lián)網(wǎng)(含政務(wù)外網(wǎng))、環(huán)保專網(wǎng)的骨干鏈路、核心設(shè)備均采用冗余設(shè)計，任何鏈路或設(shè)備的中斷都不會影響整網(wǎng)運行。核心網(wǎng)冗余改造拓撲圖見圖3。

圖3 互聯(lián)網(wǎng)接入?yún)^(qū)與核心冗余結(jié)構(gòu)圖Fig.3 Structure diagram of internet access zone and core redundancy

兩臺核心交換機通過HSRP協(xié)議組成冗余備份，它們組成一個“熱備份組”，這個組形成一個虛擬設(shè)備。在同一時刻，一個組內(nèi)只有一個設(shè)備是活動的，并由它來轉(zhuǎn)發(fā)數(shù)據(jù)包，如果活動設(shè)備發(fā)生了故障，將選擇另一個備份設(shè)備來替代活動設(shè)備，但是從本網(wǎng)絡(luò)內(nèi)的主機看來，虛擬設(shè)備沒有改變。所以主機仍然保持連接，不會受到故障的影響。

2.2 環(huán)保城域網(wǎng)建設(shè)

利用現(xiàn)有市局到區(qū)縣環(huán)保專網(wǎng)鏈路組建全市環(huán)保城域網(wǎng)，取消到區(qū)縣環(huán)保專網(wǎng)。區(qū)縣生態(tài)環(huán)境局信息化力量薄弱，難以對網(wǎng)絡(luò)和安全設(shè)備進行運維，環(huán)保城域網(wǎng)的建設(shè)，既能方便區(qū)縣用戶訪問市局發(fā)布的應(yīng)用和服務(wù)，也能方便市局運維人員直接管理區(qū)縣的網(wǎng)絡(luò)和安全設(shè)備。環(huán)保城域網(wǎng)邏輯圖見圖4。

圖4 環(huán)保城域網(wǎng)邏輯圖Fig.4 environmental protection MAN logic diagram

2.3 網(wǎng)絡(luò)融合建設(shè)

為區(qū)縣配置多wan口路由器，作為網(wǎng)絡(luò)出口，分別連接互聯(lián)網(wǎng)、電子政務(wù)外網(wǎng)、環(huán)保城域網(wǎng)。通過路由選路分別訪問互聯(lián)網(wǎng)、電子政務(wù)外網(wǎng)，通過環(huán)保城域網(wǎng)訪問市局提供的業(yè)務(wù)應(yīng)用和環(huán)保專網(wǎng)。區(qū)縣網(wǎng)絡(luò)融合拓撲見圖5。

圖5 區(qū)縣網(wǎng)絡(luò)融合拓撲圖Fig.5 Network convergence topology diagram

2.4 無線網(wǎng)絡(luò)設(shè)計

無線局域網(wǎng)是無線通信技術(shù)與網(wǎng)絡(luò)技術(shù)相結(jié)合的產(chǎn)物，通過無線信道來實現(xiàn)網(wǎng)絡(luò)設(shè)備之間的通信，實現(xiàn)通信的移動化、個性化和寬帶化[2]。在各區(qū)縣辦公區(qū)域部署支持802.11ac協(xié)議的無線AP，實現(xiàn)千兆速率無線網(wǎng)絡(luò)覆蓋，無線AP通過接入層POE交換機接入網(wǎng)絡(luò)。在市本級核心交換機上部署一臺無線控制器，通過無線控制器實現(xiàn)集中管控和下發(fā)策略。無線網(wǎng)絡(luò)拓撲見圖6。

圖6 無線網(wǎng)絡(luò)拓撲結(jié)構(gòu)圖Fig.6 Wireless network topology structure diagram

無線安全：除了對終端訪問無線網(wǎng)絡(luò)權(quán)限進行規(guī)范外，主要從以下兩個方面提高無線安全：(1)實名認證系統(tǒng)。實名認證系統(tǒng)旁掛在匯聚交換機上，通過本地賬號密碼認證方式對人員訪問進行管理和控制。(2)安全策略。包括MAC地址準入、SSID準入管理、WEP加密、支持AES加密等。

2.5 綜合布線

綜合布線是一種模塊化的、靈活性極高的建筑物內(nèi)或建筑群之間的信息傳輸通道。通過它可使話音設(shè)備、數(shù)據(jù)設(shè)備、交換設(shè)備及各種控制設(shè)備與信息管理系統(tǒng)連接起來，同時也使這些設(shè)備與外部通信網(wǎng)絡(luò)相連的綜合布線[3]。綜合布線由不同系列和規(guī)格的部件組成，其中包括：傳輸介質(zhì)、相關(guān)連接硬件(如配線架、連接器、插座、插頭、適配器)以及電氣保護設(shè)備等。

綜合布線完成以下內(nèi)容：(1)將原有超五類網(wǎng)線升級為六類非屏蔽雙絞線。(2)鏈路改造，包括設(shè)備接入間網(wǎng)絡(luò)標準化施工，更換老舊線路，線路標識。設(shè)備接入間到辦公桌線路改造。(3)對局機關(guān)辦公區(qū)域進行網(wǎng)絡(luò)標準化布線，確保樓層交換機到每個辦公室有4根網(wǎng)線接口，網(wǎng)線使用六類非屏蔽雙絞線，網(wǎng)線開槽埋入墻中或放入明管、明槽中。

2.6 路由策略

在統(tǒng)一規(guī)劃城域網(wǎng)后，各單位內(nèi)部設(shè)備互聯(lián)網(wǎng)絡(luò)結(jié)構(gòu)較為固定，采用靜態(tài)路由的方式能最大限度的提高網(wǎng)絡(luò)轉(zhuǎn)發(fā)效率。城域網(wǎng)互聯(lián)和變化多的環(huán)保專網(wǎng)，啟用OSPF動態(tài)路由[4]，宣告各自路由信息，能盡可能的降低維護難度。

2.6.1 市局路由策略

核心交換機配置靜態(tài)路由通過上網(wǎng)行為管理、防火墻、入侵防御到出口路由器；連接區(qū)縣的下聯(lián)路由器配置到城域網(wǎng)的OSPF路由。市局路由器配置到電信、移動運營商的目的地址路由；配置到電子政務(wù)外網(wǎng)的目的地址路由。市局連接環(huán)保專網(wǎng)的防火墻配置OSPF路由，宣告環(huán)保專網(wǎng)業(yè)務(wù)系統(tǒng)地址，并將路由信息交換給其他區(qū)縣。

2.6.2 區(qū)縣路由策略

核心交換機默認靜態(tài)路由經(jīng)上網(wǎng)行為管理器、防火墻、入侵防御到出口路由器；出口路由器配置到互聯(lián)網(wǎng)和電子政務(wù)外網(wǎng)的策略路由。配置到城域網(wǎng)OSPF路由。

2.6.3 故障切換

當區(qū)縣互聯(lián)網(wǎng)、電子政務(wù)外網(wǎng)線路故障時，通過配置OSPF策略優(yōu)先級，自動切換路由到城域網(wǎng)中，臨時通過市局訪問互聯(lián)網(wǎng)或電子政務(wù)外網(wǎng)。當市局故障時，也可臨時借用區(qū)縣鏈路。以達到故障切換線路的能力。

3 新舊網(wǎng)絡(luò)拓撲比較

相較于舊的網(wǎng)絡(luò)拓撲，新網(wǎng)絡(luò)拓撲解決和完善了以下問題。

3.1 完善了骨干鏈路冗余備份問題。核心交換機到出口的網(wǎng)絡(luò)是整個網(wǎng)絡(luò)的骨干，如發(fā)生故障將導(dǎo)致整個網(wǎng)絡(luò)服務(wù)中斷，建立骨干網(wǎng)絡(luò)冗余鏈路，提高了網(wǎng)絡(luò)的健壯性、穩(wěn)定性。

3.2 建設(shè)環(huán)保城域網(wǎng)，直接將市局與區(qū)縣生態(tài)環(huán)境局辦公網(wǎng)絡(luò)直連互通，區(qū)縣生態(tài)環(huán)境局可以直接訪問市局DMZ區(qū)應(yīng)用和服務(wù)，市局也可直接管理區(qū)縣網(wǎng)絡(luò)設(shè)備，提高運維效率。同時加強了市縣兩級生態(tài)環(huán)境部門的數(shù)據(jù)交換效率，提高文件轉(zhuǎn)發(fā)速度，為新的生態(tài)環(huán)境信息化應(yīng)用系統(tǒng)如統(tǒng)一的電子政務(wù)平臺、視頻會議系統(tǒng)等提供了基礎(chǔ)網(wǎng)絡(luò)環(huán)境。

3.3 解決區(qū)縣生態(tài)環(huán)境局多個網(wǎng)絡(luò)融合問題。達到了區(qū)縣辦公終端不用切換網(wǎng)絡(luò)就可同時訪問互聯(lián)網(wǎng)、電子政務(wù)外網(wǎng)、環(huán)保專網(wǎng)的業(yè)務(wù)需求。

3.4 綜合布線改造。采用六類非屏蔽雙絞線連接接入交換機和辦公終端，滿足千兆到桌面的要求，降低了網(wǎng)絡(luò)故障發(fā)生率和維護難度。

3.5 辦公區(qū)域無線信號全覆蓋。實現(xiàn)無線AP的統(tǒng)一管控和策略下發(fā)，結(jié)合實名認證系統(tǒng)，保障終端接入安全，同時杜絕私自安裝無線路由設(shè)備接入網(wǎng)絡(luò)的情況，為移動生態(tài)環(huán)境應(yīng)用的推廣使用建立良好的網(wǎng)絡(luò)基礎(chǔ)。

3.6 采用動態(tài)的路由協(xié)議將減少運維工作量。

3.7 網(wǎng)絡(luò)區(qū)域劃分更為明確。網(wǎng)絡(luò)區(qū)域劃分為互聯(lián)網(wǎng)接入?yún)^(qū)、局域網(wǎng)區(qū)、安全管理區(qū)、業(yè)務(wù)區(qū)、環(huán)保專網(wǎng)區(qū)、環(huán)保城域網(wǎng)區(qū)。在各個區(qū)域的邊界部署防護設(shè)備，提高網(wǎng)絡(luò)安全防護能力。

4 總 結(jié)

4.1 攀枝花市生態(tài)環(huán)境系統(tǒng)業(yè)務(wù)網(wǎng)絡(luò)設(shè)計以網(wǎng)絡(luò)大一統(tǒng)為目標，遵循了高可靠性的基本原則，通過生態(tài)環(huán)境業(yè)務(wù)網(wǎng)的建設(shè)，加快了環(huán)保系統(tǒng)內(nèi)部的數(shù)據(jù)交換，提高了網(wǎng)絡(luò)訪問速度，提升網(wǎng)絡(luò)服務(wù)能力。

4.2 利用原有的市縣兩級環(huán)保專網(wǎng)，組建了全市的城域網(wǎng)，直接連通兩級的辦公網(wǎng)絡(luò)，即滿足了區(qū)縣生態(tài)環(huán)境部門訪問市級應(yīng)用服務(wù)，也使得市級技術(shù)人員能遠程維護區(qū)縣的網(wǎng)絡(luò)設(shè)備，解決了區(qū)縣網(wǎng)絡(luò)運維技術(shù)力量薄弱的問題。

4.3 通過多WAN口路由器，配置路由策略，使每個計算機終端在不切換網(wǎng)絡(luò)的情況下，能同時訪問多個邏輯隔離的網(wǎng)絡(luò)，為工作提供了便利。