李懷志,曾 勇,李 皓

(貴州省人工影響天氣辦公室，貴州 貴陽 550081)

0 引言

現(xiàn)代計(jì)算機(jī)系統(tǒng)的功能越來越復(fù)雜，網(wǎng)絡(luò)功能也越來越強(qiáng)大，它們對(duì)社會(huì)各行各業(yè)都產(chǎn)生了巨大而深遠(yuǎn)的影響。同時(shí)，由于其開放性，安全問題變得越來越突出。但是，隨著人們?cè)絹碓揭蕾囉?jì)算機(jī)網(wǎng)絡(luò)，網(wǎng)絡(luò)安全也變得越來越重要。網(wǎng)絡(luò)安全性是指網(wǎng)絡(luò)系統(tǒng)的硬件、軟件及其系統(tǒng)中的數(shù)據(jù)受到保護(hù)，不因偶然的或者惡意的原因而遭到破壞、更改、泄露，系統(tǒng)連續(xù)可靠正常地運(yùn)行，網(wǎng)絡(luò)服務(wù)不中斷。具體來說，網(wǎng)絡(luò)安全必須做到：保護(hù)個(gè)人隱私，控制對(duì)網(wǎng)絡(luò)資源的訪問，確保信息在網(wǎng)絡(luò)上傳輸?shù)臋C(jī)密性、完整性和真實(shí)性[1]。

人工影響天氣技術(shù)是自20世紀(jì)四五十年代由美國科學(xué)家開創(chuàng)的一項(xiàng)科學(xué)技術(shù),目的是通過科學(xué)人工的手段對(duì)局部的天氣造成影響,使得天氣為人類的生產(chǎn)生活需求而服務(wù)。這門科學(xué)實(shí)施難度高,同時(shí)對(duì)人類生產(chǎn)生活的意義非常重大,在對(duì)水資源的保護(hù)和補(bǔ)充以及減少惡劣天氣對(duì)農(nóng)業(yè)生產(chǎn)影響的方面有著明顯的作用[2]。自20世紀(jì)80年代開始，貴州省就組織開展人工影響天氣作業(yè)，人工防雹增雨已成為糧食和烤煙等生產(chǎn)的“保護(hù)傘”，是農(nóng)民從事農(nóng)業(yè)生產(chǎn)的“定心丸”。近年來，貴州省人工影響天氣工作取得較大發(fā)展，政策環(huán)境不斷優(yōu)化，作業(yè)規(guī)模不斷擴(kuò)大，服務(wù)領(lǐng)域不斷拓展，綜合實(shí)力顯著提升，防災(zāi)減災(zāi)效益明顯。

隨著人工影響天氣業(yè)務(wù)的不斷發(fā)展，對(duì)于服務(wù)產(chǎn)品的集成、信息共享等服務(wù)的需求也在不斷增加，人工影響天氣業(yè)務(wù)得到相應(yīng)改善。但是，生產(chǎn)環(huán)境與測(cè)試環(huán)境數(shù)據(jù)混用、研發(fā)網(wǎng)絡(luò)與辦公和業(yè)務(wù)網(wǎng)絡(luò)聯(lián)通等，不但對(duì)數(shù)據(jù)安全造成了極大的威脅，也對(duì)實(shí)際業(yè)務(wù)正常運(yùn)行帶來很大的隱患[3]。構(gòu)建安全保護(hù)系統(tǒng)可提高人工影響天氣辦公室中網(wǎng)絡(luò)安全服務(wù)的性能，確保安全和順暢的通信，并確保傳輸，交換和共享天氣信息的效率、完整性和有效性。對(duì)于辦公區(qū)域，計(jì)算機(jī)的利用率非常高，例如報(bào)告工作、發(fā)布文檔、報(bào)告批準(zhǔn)、在線學(xué)習(xí)等，但是所有這些工作活動(dòng)都與網(wǎng)絡(luò)的正常運(yùn)行密不可分。

1 辦公區(qū)的網(wǎng)絡(luò)現(xiàn)狀

目前，貴州省人工影響天氣辦公室的辦公區(qū)主要存在以下問題。

1.1 線路混亂

6樓辦公區(qū)的一部分內(nèi)網(wǎng)辦公的網(wǎng)線通過了2樓交換機(jī)的1根網(wǎng)線連到了2樓的樓層交換機(jī)上，導(dǎo)致線路不明。

1.2 沒有合理的VLAN劃分

VLAN是利用交換機(jī)虛擬劃分功能,將網(wǎng)絡(luò)劃分成邏輯上相互獨(dú)立的子網(wǎng)。子網(wǎng)劃分實(shí)現(xiàn)不在同一子網(wǎng)內(nèi)的主機(jī)不能通信,不同區(qū)域的主機(jī)保持一定獨(dú)立性。沒有合理的VLAN劃分使所有辦公區(qū)的網(wǎng)絡(luò)線路在同一VLAN上，導(dǎo)致一個(gè)VLAN區(qū)域的線路問題就會(huì)影響到其他所有的線路。

1.3 沒有IP的限制

IP地址是網(wǎng)絡(luò)中連接到Internet的每個(gè)主機(jī)的唯一標(biāo)識(shí)符。合理地為辦公室區(qū)域中的主機(jī)分配IP地址以及如何有效管理這些地址是網(wǎng)絡(luò)穩(wěn)定性的先決條件。雖然各個(gè)辦公室有劃分IP使用地址段，但是因?yàn)樵谕籚LAN區(qū)域，所以個(gè)人可以隨意改變自己的IP地址，如果IP地址占用以后，可能導(dǎo)致其他需要使用該IP地址的設(shè)備無法正常使用。而往往又因?yàn)樵O(shè)備歸屬不清或者其他歷史原因，導(dǎo)致無法找到該IP地址的終端位置[2]。

1.4 缺少網(wǎng)絡(luò)拓?fù)鋱D

同時(shí)大樓內(nèi)部各單位共用同一VLAN，導(dǎo)致在網(wǎng)絡(luò)內(nèi)擁有大量終端的時(shí)候容易導(dǎo)致IP地址混亂不易于管理。所以對(duì)網(wǎng)絡(luò)進(jìn)行整改，整改后拓?fù)湟约霸O(shè)備管理地址如圖1 所示。

圖1 整改后的辦公區(qū)網(wǎng)絡(luò)拓?fù)鋱DFig.1 Network topology map of the office area after rectification

2 具體維護(hù)辦法

2.1 VLAN及地址規(guī)劃

重新劃分VLAN，規(guī)劃各單位VLAN使用范圍，所有單位達(dá)成協(xié)議，只能使用本單位VLAN劃分范圍的IP地址，以達(dá)到最大限度減少因個(gè)人更改地址對(duì)其他終端造成的影響[4]。

2.2 線路排查

在部分接入交換機(jī)端口插入的跳線缺少標(biāo)簽，所以無法確認(rèn)交換機(jī)的某些端口具體接入到哪個(gè)辦公室的終端，給接入交換機(jī)的配置帶來困難，所以在對(duì)設(shè)備進(jìn)行配置之前還需要網(wǎng)絡(luò)物理線路進(jìn)行排查和確認(rèn)。

2.3 設(shè)備配置

在此次網(wǎng)絡(luò)更改中，主要內(nèi)容分別是更改終端的靜態(tài)地址、二層接入交換機(jī)端口的VLAN劃分以及核心交換機(jī)中網(wǎng)關(guān)和VLAN地址配置。在設(shè)備配置的過程中會(huì)造成大量辦公網(wǎng)絡(luò)中斷，因劃分VLAN和地址較多，且需要配置各個(gè)接入交換機(jī)，所以無法在短時(shí)間內(nèi)全部完成，盡量在不影響大樓正常辦公的情況下完成設(shè)備配置[5]。

2.4 網(wǎng)絡(luò)設(shè)備升級(jí)與更新

2.4.1 核心交換機(jī) 以前內(nèi)外網(wǎng)分別使用一臺(tái)以太網(wǎng)交換機(jī)作為核心交換機(jī),該系列交換機(jī)為老一代產(chǎn)品，交換機(jī)容量為960 Gbps,轉(zhuǎn)發(fā)率為720 Mpps,隨著網(wǎng)絡(luò)發(fā)展的趨勢(shì)，已有的核心交換機(jī)性能滿足不了辦公區(qū)的使用需求，而且都是單臺(tái)核心，萬一出現(xiàn)故障，整個(gè)網(wǎng)絡(luò)將癱瘓。故此次配置一臺(tái)7503E-M高端多業(yè)務(wù)路由交換機(jī)作為內(nèi)網(wǎng)的核心層交換機(jī)備用機(jī)。該交換機(jī)基于H3C自主知識(shí)產(chǎn)權(quán)的Comware V5 /V7操作系統(tǒng)，并使用IRF2(智能彈性框架2，第二代智能靈活體系結(jié)構(gòu))和IRF3(智能彈性框架3，第三代智能靈活體系結(jié)構(gòu))技術(shù)作為系統(tǒng)的基礎(chǔ)。虛擬化軟件系統(tǒng)，支持云數(shù)據(jù)集中所需的TRILL，EVB，F(xiàn)CoE和MDC(一個(gè)虛擬多個(gè))技術(shù)，與40GE和100GE以太網(wǎng)標(biāo)準(zhǔn)完全兼容，并進(jìn)一步集成了MPLS VPN，IPv6，網(wǎng)絡(luò)安全、無線、無源光纖網(wǎng)絡(luò)和其他網(wǎng)絡(luò)服務(wù)，提供不間斷的轉(zhuǎn)發(fā)，不間斷的升級(jí)，平穩(wěn)重啟，環(huán)形網(wǎng)絡(luò)保護(hù)和其他高可靠性技術(shù)，轉(zhuǎn)發(fā)性能≥2 880 Mpps，交換容量≥19.2 Tbps，并虛擬化了2臺(tái)核心交換機(jī)以滿足未來5～10 a的需求發(fā)展需求。

2.4.2 數(shù)據(jù)中心交換機(jī) 現(xiàn)有網(wǎng)絡(luò)的服務(wù)器接入?yún)^(qū)2臺(tái)交換機(jī)交換容量有限，且接口已經(jīng)用盡，不利于業(yè)務(wù)的開展。為避免在突發(fā)流量的情況下，網(wǎng)絡(luò)轉(zhuǎn)發(fā)丟包，服務(wù)器流量吃緊，本次配置了2臺(tái)高性能融合以太網(wǎng)交換機(jī)作為服務(wù)器區(qū)到核心交換機(jī)的轉(zhuǎn)接站。該交換機(jī)提供10/100/1000Base-T自適應(yīng)以太網(wǎng)端口或10GE SFP+光口，并通過子卡可支持10GE電口、40GE QSFP+光口。向下可以提供千兆接入最終用戶或匯接低端交換機(jī)，向上可以通過萬兆或40GE光纖或者鏈路聚合匯聚到核心交換機(jī)。

S5560X-EI系列以太網(wǎng)交換機(jī)支持創(chuàng)新的VxLAN技術(shù)，可以同時(shí)支持VxLAN二三層網(wǎng)關(guān)，轉(zhuǎn)發(fā)性能≥222 Mpps,交換容量≥598 Gbps。保證服務(wù)器到核心交換機(jī)之間的數(shù)據(jù)流暢。

2.4.3 接入層交換機(jī) 接入層交換機(jī)考慮到以后的拓展需求，本次配置高性能千兆以太網(wǎng)交換機(jī)。轉(zhuǎn)發(fā)性能≥144 Mbbps,交換容量≥432 Gpps.提供4萬兆接口上行，貴州乃高原地區(qū)，雷雨季節(jié)較多，此款產(chǎn)品提供業(yè)界最高10 kV防雷。

2.4.4 光模塊 本次光膜塊考慮千兆光模塊和萬兆光模塊，數(shù)據(jù)中心到核心交換機(jī)使用萬兆光模塊，接入層交換機(jī)到核心交換機(jī)采用千兆光模塊，都使用雙鏈路上行的形式。

2.4.5 防火墻 防火墻是一種隔離技術(shù)，目的是實(shí)現(xiàn)安全的訪問控制，將內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)分為兩部分。針對(duì)機(jī)房網(wǎng)絡(luò)的現(xiàn)狀，增加了防火墻。防火墻NGAF構(gòu)建了融合安全保護(hù)系統(tǒng)。通過集成安全功能，可以實(shí)現(xiàn)風(fēng)險(xiǎn)前預(yù)測(cè)、事件期間的全面保護(hù)以及事件后的檢測(cè)和響應(yīng)的閉環(huán)。同時(shí)，安全功能的集成用于集中安全功能和數(shù)據(jù)，以避免防御缺陷并阻止高級(jí)威脅[8]。

2.5 互聯(lián)網(wǎng)行為管理

在辦公室區(qū)的機(jī)房中部署了在線運(yùn)營管理設(shè)備，以滿足監(jiān)視、控制和管理網(wǎng)絡(luò)運(yùn)營的需求。每臺(tái)計(jì)算機(jī)的MAC地址都綁定到一個(gè)IP地址，能有效地防止人們未經(jīng)授權(quán)訪問和使用可以訪問互聯(lián)網(wǎng)的網(wǎng)絡(luò)設(shè)備，同時(shí)解決了IP地址私自更改導(dǎo)致的IP沖突問題[6]。

2.6 堡壘機(jī)

一種合規(guī)性控制系統(tǒng)，用于控制和審核業(yè)務(wù)環(huán)境中的操作和維護(hù)操作。在辦公區(qū)域內(nèi)部署了堡壘機(jī)，以加強(qiáng)對(duì)業(yè)務(wù)運(yùn)營的監(jiān)督，以確保業(yè)務(wù)系統(tǒng)的正常運(yùn)行[9]。

2.7 日志服務(wù)器

將防火墻、網(wǎng)關(guān)日志發(fā)送到日志服務(wù)器，通過對(duì)日志的深入分析，可以識(shí)別系統(tǒng)運(yùn)行問題，為解決問題提供有用的信息；它還可以檢查信息系統(tǒng)安全機(jī)制的有效性。

3 結(jié)論

通過此次網(wǎng)絡(luò)維護(hù)，達(dá)到了如下效果：

①將每個(gè)樓層的線路按樓層劃分，例如：6樓的網(wǎng)絡(luò)線路歸為6樓交換機(jī)使用。

②重新劃分VLAN，規(guī)劃各單位VLAN使用范圍，達(dá)到互不影響效果。

③所有單位達(dá)成協(xié)議，只能使用本單位VLAN劃分范圍的IP地址。

④梳理出所有的網(wǎng)絡(luò)終端，畫出完整的拓?fù)鋱D。

⑤保障辦公區(qū)內(nèi)部計(jì)算機(jī)內(nèi)網(wǎng)網(wǎng)絡(luò)系統(tǒng)整體平穩(wěn)、高效地運(yùn)行。