李懷志,曾 勇,李 皓
(貴州省人工影響天氣辦公室,貴州 貴陽 550081)
現(xiàn)代計(jì)算機(jī)系統(tǒng)的功能越來越復(fù)雜,網(wǎng)絡(luò)功能也越來越強(qiáng)大,它們對(duì)社會(huì)各行各業(yè)都產(chǎn)生了巨大而深遠(yuǎn)的影響。同時(shí),由于其開放性,安全問題變得越來越突出。但是,隨著人們?cè)絹碓揭蕾囉?jì)算機(jī)網(wǎng)絡(luò),網(wǎng)絡(luò)安全也變得越來越重要。網(wǎng)絡(luò)安全性是指網(wǎng)絡(luò)系統(tǒng)的硬件、軟件及其系統(tǒng)中的數(shù)據(jù)受到保護(hù),不因偶然的或者惡意的原因而遭到破壞、更改、泄露,系統(tǒng)連續(xù)可靠正常地運(yùn)行,網(wǎng)絡(luò)服務(wù)不中斷。具體來說,網(wǎng)絡(luò)安全必須做到:保護(hù)個(gè)人隱私,控制對(duì)網(wǎng)絡(luò)資源的訪問,確保信息在網(wǎng)絡(luò)上傳輸?shù)臋C(jī)密性、完整性和真實(shí)性[1]。
人工影響天氣技術(shù)是自20世紀(jì)四五十年代由美國科學(xué)家開創(chuàng)的一項(xiàng)科學(xué)技術(shù),目的是通過科學(xué)人工的手段對(duì)局部的天氣造成影響,使得天氣為人類的生產(chǎn)生活需求而服務(wù)。這門科學(xué)實(shí)施難度高,同時(shí)對(duì)人類生產(chǎn)生活的意義非常重大,在對(duì)水資源的保護(hù)和補(bǔ)充以及減少惡劣天氣對(duì)農(nóng)業(yè)生產(chǎn)影響的方面有著明顯的作用[2]。自20世紀(jì)80年代開始,貴州省就組織開展人工影響天氣作業(yè),人工防雹增雨已成為糧食和烤煙等生產(chǎn)的“保護(hù)傘”,是農(nóng)民從事農(nóng)業(yè)生產(chǎn)的“定心丸”。近年來,貴州省人工影響天氣工作取得較大發(fā)展,政策環(huán)境不斷優(yōu)化,作業(yè)規(guī)模不斷擴(kuò)大,服務(wù)領(lǐng)域不斷拓展,綜合實(shí)力顯著提升,防災(zāi)減災(zāi)效益明顯。
隨著人工影響天氣業(yè)務(wù)的不斷發(fā)展,對(duì)于服務(wù)產(chǎn)品的集成、信息共享等服務(wù)的需求也在不斷增加,人工影響天氣業(yè)務(wù)得到相應(yīng)改善。但是,生產(chǎn)環(huán)境與測(cè)試環(huán)境數(shù)據(jù)混用、研發(fā)網(wǎng)絡(luò)與辦公和業(yè)務(wù)網(wǎng)絡(luò)聯(lián)通等,不但對(duì)數(shù)據(jù)安全造成了極大的威脅,也對(duì)實(shí)際業(yè)務(wù)正常運(yùn)行帶來很大的隱患[3]。構(gòu)建安全保護(hù)系統(tǒng)可提高人工影響天氣辦公室中網(wǎng)絡(luò)安全服務(wù)的性能,確保安全和順暢的通信,并確保傳輸,交換和共享天氣信息的效率、完整性和有效性。對(duì)于辦公區(qū)域,計(jì)算機(jī)的利用率非常高,例如報(bào)告工作、發(fā)布文檔、報(bào)告批準(zhǔn)、在線學(xué)習(xí)等,但是所有這些工作活動(dòng)都與網(wǎng)絡(luò)的正常運(yùn)行密不可分。
目前,貴州省人工影響天氣辦公室的辦公區(qū)主要存在以下問題。
6樓辦公區(qū)的一部分內(nèi)網(wǎng)辦公的網(wǎng)線通過了2樓交換機(jī)的1根網(wǎng)線連到了2樓的樓層交換機(jī)上,導(dǎo)致線路不明。
VLAN是利用交換機(jī)虛擬劃分功能,將網(wǎng)絡(luò)劃分成邏輯上相互獨(dú)立的子網(wǎng)。子網(wǎng)劃分實(shí)現(xiàn)不在同一子網(wǎng)內(nèi)的主機(jī)不能通信,不同區(qū)域的主機(jī)保持一定獨(dú)立性。沒有合理的VLAN劃分使所有辦公區(qū)的網(wǎng)絡(luò)線路在同一VLAN上,導(dǎo)致一個(gè)VLAN區(qū)域的線路問題就會(huì)影響到其他所有的線路。
IP地址是網(wǎng)絡(luò)中連接到Internet的每個(gè)主機(jī)的唯一標(biāo)識(shí)符。合理地為辦公室區(qū)域中的主機(jī)分配IP地址以及如何有效管理這些地址是網(wǎng)絡(luò)穩(wěn)定性的先決條件。雖然各個(gè)辦公室有劃分IP使用地址段,但是因?yàn)樵谕籚LAN區(qū)域,所以個(gè)人可以隨意改變自己的IP地址,如果IP地址占用以后,可能導(dǎo)致其他需要使用該IP地址的設(shè)備無法正常使用。而往往又因?yàn)樵O(shè)備歸屬不清或者其他歷史原因,導(dǎo)致無法找到該IP地址的終端位置[2]。
同時(shí)大樓內(nèi)部各單位共用同一VLAN,導(dǎo)致在網(wǎng)絡(luò)內(nèi)擁有大量終端的時(shí)候容易導(dǎo)致IP地址混亂不易于管理。所以對(duì)網(wǎng)絡(luò)進(jìn)行整改,整改后拓?fù)湟约霸O(shè)備管理地址如圖1 所示。
圖1 整改后的辦公區(qū)網(wǎng)絡(luò)拓?fù)鋱DFig.1 Network topology map of the office area after rectification
重新劃分VLAN,規(guī)劃各單位VLAN使用范圍,所有單位達(dá)成協(xié)議,只能使用本單位VLAN劃分范圍的IP地址,以達(dá)到最大限度減少因個(gè)人更改地址對(duì)其他終端造成的影響[4]。
在部分接入交換機(jī)端口插入的跳線缺少標(biāo)簽,所以無法確認(rèn)交換機(jī)的某些端口具體接入到哪個(gè)辦公室的終端,給接入交換機(jī)的配置帶來困難,所以在對(duì)設(shè)備進(jìn)行配置之前還需要網(wǎng)絡(luò)物理線路進(jìn)行排查和確認(rèn)。
在此次網(wǎng)絡(luò)更改中,主要內(nèi)容分別是更改終端的靜態(tài)地址、二層接入交換機(jī)端口的VLAN劃分以及核心交換機(jī)中網(wǎng)關(guān)和VLAN地址配置。在設(shè)備配置的過程中會(huì)造成大量辦公網(wǎng)絡(luò)中斷,因劃分VLAN和地址較多,且需要配置各個(gè)接入交換機(jī),所以無法在短時(shí)間內(nèi)全部完成,盡量在不影響大樓正常辦公的情況下完成設(shè)備配置[5]。
2.4.1 核心交換機(jī) 以前內(nèi)外網(wǎng)分別使用一臺(tái)以太網(wǎng)交換機(jī)作為核心交換機(jī),該系列交換機(jī)為老一代產(chǎn)品,交換機(jī)容量為960 Gbps,轉(zhuǎn)發(fā)率為720 Mpps,隨著網(wǎng)絡(luò)發(fā)展的趨勢(shì),已有的核心交換機(jī)性能滿足不了辦公區(qū)的使用需求,而且都是單臺(tái)核心,萬一出現(xiàn)故障,整個(gè)網(wǎng)絡(luò)將癱瘓。故此次配置一臺(tái)7503E-M高端多業(yè)務(wù)路由交換機(jī)作為內(nèi)網(wǎng)的核心層交換機(jī)備用機(jī)。該交換機(jī)基于H3C自主知識(shí)產(chǎn)權(quán)的Comware V5 /V7操作系統(tǒng),并使用IRF2(智能彈性框架2,第二代智能靈活體系結(jié)構(gòu))和IRF3(智能彈性框架3,第三代智能靈活體系結(jié)構(gòu))技術(shù)作為系統(tǒng)的基礎(chǔ)。虛擬化軟件系統(tǒng),支持云數(shù)據(jù)集中所需的TRILL,EVB,F(xiàn)CoE和MDC(一個(gè)虛擬多個(gè))技術(shù),與40GE和100GE以太網(wǎng)標(biāo)準(zhǔn)完全兼容,并進(jìn)一步集成了MPLS VPN,IPv6,網(wǎng)絡(luò)安全、無線、無源光纖網(wǎng)絡(luò)和其他網(wǎng)絡(luò)服務(wù),提供不間斷的轉(zhuǎn)發(fā),不間斷的升級(jí),平穩(wěn)重啟,環(huán)形網(wǎng)絡(luò)保護(hù)和其他高可靠性技術(shù),轉(zhuǎn)發(fā)性能≥2 880 Mpps,交換容量≥19.2 Tbps,并虛擬化了2臺(tái)核心交換機(jī)以滿足未來5~10 a的需求發(fā)展需求。
2.4.2 數(shù)據(jù)中心交換機(jī) 現(xiàn)有網(wǎng)絡(luò)的服務(wù)器接入?yún)^(qū)2臺(tái)交換機(jī)交換容量有限,且接口已經(jīng)用盡,不利于業(yè)務(wù)的開展。為避免在突發(fā)流量的情況下,網(wǎng)絡(luò)轉(zhuǎn)發(fā)丟包,服務(wù)器流量吃緊,本次配置了2臺(tái)高性能融合以太網(wǎng)交換機(jī)作為服務(wù)器區(qū)到核心交換機(jī)的轉(zhuǎn)接站。該交換機(jī)提供10/100/1000Base-T自適應(yīng)以太網(wǎng)端口或10GE SFP+光口,并通過子卡可支持10GE電口、40GE QSFP+光口。向下可以提供千兆接入最終用戶或匯接低端交換機(jī),向上可以通過萬兆或40GE光纖或者鏈路聚合匯聚到核心交換機(jī)。
S5560X-EI系列以太網(wǎng)交換機(jī)支持創(chuàng)新的VxLAN技術(shù),可以同時(shí)支持VxLAN二三層網(wǎng)關(guān),轉(zhuǎn)發(fā)性能≥222 Mpps,交換容量≥598 Gbps。保證服務(wù)器到核心交換機(jī)之間的數(shù)據(jù)流暢。
2.4.3 接入層交換機(jī) 接入層交換機(jī)考慮到以后的拓展需求,本次配置高性能千兆以太網(wǎng)交換機(jī)。轉(zhuǎn)發(fā)性能≥144 Mbbps,交換容量≥432 Gpps.提供4萬兆接口上行,貴州乃高原地區(qū),雷雨季節(jié)較多,此款產(chǎn)品提供業(yè)界最高10 kV防雷。
2.4.4 光模塊 本次光膜塊考慮千兆光模塊和萬兆光模塊,數(shù)據(jù)中心到核心交換機(jī)使用萬兆光模塊,接入層交換機(jī)到核心交換機(jī)采用千兆光模塊,都使用雙鏈路上行的形式。
2.4.5 防火墻 防火墻是一種隔離技術(shù),目的是實(shí)現(xiàn)安全的訪問控制,將內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)分為兩部分。針對(duì)機(jī)房網(wǎng)絡(luò)的現(xiàn)狀,增加了防火墻。防火墻NGAF構(gòu)建了融合安全保護(hù)系統(tǒng)。通過集成安全功能,可以實(shí)現(xiàn)風(fēng)險(xiǎn)前預(yù)測(cè)、事件期間的全面保護(hù)以及事件后的檢測(cè)和響應(yīng)的閉環(huán)。同時(shí),安全功能的集成用于集中安全功能和數(shù)據(jù),以避免防御缺陷并阻止高級(jí)威脅[8]。
在辦公室區(qū)的機(jī)房中部署了在線運(yùn)營管理設(shè)備,以滿足監(jiān)視、控制和管理網(wǎng)絡(luò)運(yùn)營的需求。每臺(tái)計(jì)算機(jī)的MAC地址都綁定到一個(gè)IP地址,能有效地防止人們未經(jīng)授權(quán)訪問和使用可以訪問互聯(lián)網(wǎng)的網(wǎng)絡(luò)設(shè)備,同時(shí)解決了IP地址私自更改導(dǎo)致的IP沖突問題[6]。
一種合規(guī)性控制系統(tǒng),用于控制和審核業(yè)務(wù)環(huán)境中的操作和維護(hù)操作。在辦公區(qū)域內(nèi)部署了堡壘機(jī),以加強(qiáng)對(duì)業(yè)務(wù)運(yùn)營的監(jiān)督,以確保業(yè)務(wù)系統(tǒng)的正常運(yùn)行[9]。
將防火墻、網(wǎng)關(guān)日志發(fā)送到日志服務(wù)器,通過對(duì)日志的深入分析,可以識(shí)別系統(tǒng)運(yùn)行問題,為解決問題提供有用的信息;它還可以檢查信息系統(tǒng)安全機(jī)制的有效性。
通過此次網(wǎng)絡(luò)維護(hù),達(dá)到了如下效果:
①將每個(gè)樓層的線路按樓層劃分,例如:6樓的網(wǎng)絡(luò)線路歸為6樓交換機(jī)使用。
②重新劃分VLAN,規(guī)劃各單位VLAN使用范圍,達(dá)到互不影響效果。
③所有單位達(dá)成協(xié)議,只能使用本單位VLAN劃分范圍的IP地址。
④梳理出所有的網(wǎng)絡(luò)終端,畫出完整的拓?fù)鋱D。
⑤保障辦公區(qū)內(nèi)部計(jì)算機(jī)內(nèi)網(wǎng)網(wǎng)絡(luò)系統(tǒng)整體平穩(wěn)、高效地運(yùn)行。