市級(jí)煙草公司廣域網(wǎng)設(shè)計(jì)與安全管理

孫福國

（滁州市煙草專賣局，安徽滁州 239000）

市級(jí)煙草公司廣域網(wǎng)設(shè)計(jì)與安全管理

孫福國

（滁州市煙草專賣局，安徽滁州 239000）

計(jì)算機(jī)網(wǎng)絡(luò)已經(jīng)成為信息化建設(shè)的重要內(nèi)容和主要支撐，計(jì)算機(jī)網(wǎng)絡(luò)從技術(shù)角度來說是一種布局，將不同地點(diǎn)但密切相關(guān)的節(jié)點(diǎn)用通信線路聯(lián)系在一起，但是計(jì)算機(jī)網(wǎng)絡(luò)建設(shè)不僅是簡單的傳統(tǒng)意義上的組網(wǎng)模式，更需要關(guān)注網(wǎng)絡(luò)的安全性和可靠性。本文以筆者所在單位為例對(duì)市、縣兩級(jí)網(wǎng)絡(luò)的組建模式以及如何加強(qiáng)網(wǎng)絡(luò)管理和安全建設(shè)兩個(gè)方面分析，并闡述煙草地市級(jí)廣域網(wǎng)的設(shè)計(jì)和規(guī)劃。

計(jì)算機(jī)網(wǎng)絡(luò)；設(shè)計(jì)；管理；安全

1 引言

1.1 項(xiàng)目背景

隨著計(jì)算機(jī)網(wǎng)絡(luò)的不斷發(fā)展，網(wǎng)絡(luò)的開放性、共享性、互聯(lián)性隨之?dāng)U大。特別是互聯(lián)網(wǎng)的迅速發(fā)展，局域網(wǎng)、廣域網(wǎng)、互聯(lián)網(wǎng)的交互使用，使得計(jì)算機(jī)網(wǎng)絡(luò)安全性問題日趨嚴(yán)重。現(xiàn)階段煙草地市級(jí)網(wǎng)絡(luò)建設(shè)中信息安全工作薄弱，水平不高，信息安全滯后于信息化發(fā)展，甚至阻礙了信息化發(fā)展，通信線路單點(diǎn)故障、網(wǎng)絡(luò)安全事件無法及時(shí)發(fā)現(xiàn)和審計(jì)缺失等等問題，需要建立一個(gè)高效率、便于管理以及安全性高的廣域網(wǎng)。

1.2 現(xiàn)狀分析

一個(gè)良好的設(shè)計(jì)方案除體現(xiàn)網(wǎng)絡(luò)的優(yōu)越性能外，還體現(xiàn)在應(yīng)用的實(shí)用性、網(wǎng)絡(luò)的安全性、易于管理性和未來的可擴(kuò)展性。因此，設(shè)計(jì)時(shí)要考慮的以下問題：

a.要適應(yīng)未來網(wǎng)絡(luò)的擴(kuò)展和拓?fù)浣Y(jié)構(gòu)的變化；

b.要為特定的用戶組提供訪問路徑；

c.要保證網(wǎng)絡(luò)不間斷地運(yùn)行；

d.能較多的支持網(wǎng)絡(luò)協(xié)議，擴(kuò)大應(yīng)用范圍；e.較高的網(wǎng)絡(luò)安全性。

1.3 設(shè)計(jì)目標(biāo)

基于我單位的以上現(xiàn)狀和具體情況，以市局本級(jí)為中心，其它縣局、分支機(jī)構(gòu)為節(jié)點(diǎn)，組建一個(gè)廣域網(wǎng)，同時(shí)，為提高網(wǎng)絡(luò)安全性和易管理性，將改變傳統(tǒng)的廣域網(wǎng)組建模式。具體實(shí)現(xiàn)以下功能：

a.我單位和所轄縣局、專賣中隊(duì)管理所實(shí)現(xiàn)網(wǎng)絡(luò)資源共享。

b.網(wǎng)絡(luò)優(yōu)化程度達(dá)到最大。（后文似乎沒有涉及）

c.所有網(wǎng)絡(luò)節(jié)點(diǎn)通過市局到省局的專線，能訪問省局、國家局等行業(yè)網(wǎng)資源。

d.實(shí)現(xiàn)市局、縣局、辦事處等網(wǎng)絡(luò)出入口匯總為一條，設(shè)在市局中心機(jī)房，減少網(wǎng)絡(luò)臨界設(shè)備，便于管理。

e.加強(qiáng)網(wǎng)絡(luò)安全管理，保證網(wǎng)絡(luò)暢通和內(nèi)部服務(wù)器數(shù)據(jù)安全。

2 網(wǎng)絡(luò)設(shè)計(jì)方案

2.1 網(wǎng)絡(luò)線路通訊實(shí)現(xiàn)方式

2.1.1 市局到省局的主干網(wǎng)絡(luò)線路

市局到省局的主干網(wǎng)絡(luò)線路采用帶寬為10M的SDH專線，市局一端采用兩臺(tái)路由器，劃分為6M＋4M兩條線路，實(shí)現(xiàn)冗余和負(fù)載分流。

2.1.2 市局到縣局的主干網(wǎng)絡(luò)線路

市局到縣局的主干網(wǎng)絡(luò)線路利用運(yùn)營商（電信、移動(dòng)）線路采用MSTP（Multi－Service Transfer Platform）技術(shù)，實(shí)現(xiàn)端到端的透明傳輸通道。終端使用三層交換機(jī)接入。

2.1.3 同城異地網(wǎng)絡(luò)線路

同城異地網(wǎng)絡(luò)線路采用光纖直連方式，終端使用千兆模塊接入到三層交換機(jī)。

2.1.4 辦事處、移動(dòng)辦公網(wǎng)絡(luò)連接方式

辦事處、移動(dòng)辦公網(wǎng)絡(luò)連接使用VPN技術(shù)，接入到市局中心機(jī)房。

2.2 網(wǎng)絡(luò)拓?fù)鋱D設(shè)計(jì)

圖1 拓?fù)鋱D設(shè)計(jì)

2.3 網(wǎng)絡(luò)設(shè)計(jì)說明及設(shè)備選型

市局到省局的主干網(wǎng)絡(luò)線路采用SDH專線線路，市局使用兩臺(tái)路由器作為接入路由器，其作用既為冗余互備，又為負(fù)載分?jǐn)?。以專線帶寬10M為例，將路由器1接入帶到寬位6M的線路，將路由器2接入到帶寬為4 M的線路，可按照數(shù)據(jù)流量大小來分配。（最后一句可結(jié)合拓?fù)鋱D來說明）

為實(shí)現(xiàn)縣局到市局（不同城市）的網(wǎng)絡(luò)通信以及保障通信質(zhì)量和安全，縣局到市局主干網(wǎng)絡(luò)采用MSTP（Multi－Service Transfer Platform）技術(shù)，具體實(shí)現(xiàn)方案有以下幾點(diǎn)：

一是縣局和市局通信專線使用MSTP技術(shù)的透明傳輸，相比傳統(tǒng)的SDH專線，減少電信環(huán)節(jié)的眾多節(jié)點(diǎn)，降低不合法用戶通過這些節(jié)點(diǎn)進(jìn)入專線網(wǎng)絡(luò)的可能性，增強(qiáng)網(wǎng)絡(luò)的安全性。

二是市局和縣局兩個(gè)終端使用三層交換機(jī)接入，相比傳統(tǒng)的路由器接入，突破了傳統(tǒng)的外接路由器接口速率的限制。由于縣局到市局網(wǎng)絡(luò)流量相對(duì)較小，路由交換比較簡單，同時(shí)，為了網(wǎng)絡(luò)安全，需將每個(gè)縣局劃分為一個(gè)獨(dú)立的網(wǎng)段，以便減少廣播風(fēng)暴。但不同網(wǎng)段之間存在大量的互訪，單純使用二層交換機(jī)沒辦法實(shí)現(xiàn)網(wǎng)段間的互訪，而單純使用路由器則由于端口數(shù)量有限，路由速度較慢，限制了網(wǎng)絡(luò)的規(guī)模和訪問速度，這種環(huán)境下由二層交換技術(shù)和路由技術(shù)結(jié)合而成的三層交換機(jī)就最為適合，既能達(dá)到路由過程效率的提高，又能使得數(shù)據(jù)交換加速，既節(jié)約成本又便于管理。

三是市局到縣局專線線路采用兩家不同運(yùn)營商線路，分別為電信和移動(dòng)專線。實(shí)現(xiàn)原理：兩條線路同時(shí)接入到接入設(shè)備（三層交換機(jī)）不同端口，在接入設(shè)備配置ethtrunk進(jìn)行端口聚合，從而達(dá)到兩條線路同時(shí)進(jìn)行數(shù)據(jù)傳輸。當(dāng)一條線路出現(xiàn)故障或者接入設(shè)備的一個(gè)端口出現(xiàn)故障時(shí)，數(shù)據(jù)傳輸能夠自動(dòng)切換到另一條正常的線路，保證業(yè)務(wù)的不間斷。②在兩條線路同時(shí)使用時(shí)，會(huì)自動(dòng)分配傳輸流量，使每條線路傳輸數(shù)據(jù)流量平衡，達(dá)到負(fù)載均衡的效果。

四是MSTP可以將傳統(tǒng)的SDH復(fù)用器、數(shù)字交叉鏈接器（DXC）、WDM終端、網(wǎng)絡(luò)二層交換機(jī)和IP邊緣路由器等多個(gè)獨(dú)立的設(shè)備集成為一個(gè)網(wǎng)絡(luò)設(shè)備，即基于SDH技術(shù)的多業(yè)務(wù)傳送平臺(tái)（MSTP），進(jìn)行統(tǒng)一控制和管理。使用該技術(shù)（的優(yōu)點(diǎn)在于：

a.投入減少，縣局端和市局端均用以太網(wǎng)接入三層交換機(jī)，不需要路由器作為接入設(shè)備，不僅減少單位硬件的投入，還降低了維護(hù)成本。

b.便于管理。在這種模式下，可以把縣局作為市局網(wǎng)絡(luò)的一個(gè)子網(wǎng)，從拓?fù)鋱D上可以看出內(nèi)網(wǎng)和外網(wǎng)出入口均在市局，在與行業(yè)網(wǎng)和互聯(lián)網(wǎng)（Internet）接入點(diǎn)處架設(shè)防火墻、上網(wǎng)行為管理、防病毒網(wǎng)關(guān)等設(shè)備，統(tǒng)一監(jiān)控，加強(qiáng)網(wǎng)絡(luò)安全的管理。

c.提高網(wǎng)絡(luò)利用率。從接入方式上看，實(shí)現(xiàn)了從匯聚層的SDH網(wǎng)直至用戶業(yè)務(wù)接口層的全光網(wǎng)絡(luò)接入，省去了過去一級(jí)級(jí)的電口轉(zhuǎn)接，極大提高了接入效率；從提供業(yè)務(wù)看，方便數(shù)據(jù)業(yè)務(wù)的直接接入。

d.節(jié)約維護(hù)成本。由于故障點(diǎn)減少并可有效網(wǎng)管，可通過運(yùn)維響應(yīng)速度的提高而提升工作效率和降低維護(hù)成本。）

2.3.1 VLAN（Virtual Local Area Network）劃分

市局內(nèi)部局域網(wǎng)在核心交換機(jī)CISCO4507上基于IP地址劃分6個(gè)VLAN，分別對(duì)應(yīng)于六個(gè)縣局。（VLAN（Virtual Local Area Network）即虛擬局域網(wǎng)，是一種將局域網(wǎng)內(nèi)的設(shè)備邏輯地分成不同的網(wǎng)段。VLAN能夠很好地解決以太網(wǎng)的廣播問題和安全性問題。它在以太網(wǎng)幀的基礎(chǔ)上增加了VLAN頭，用VLAN ID把用戶劃分為更小的工作組，限制不同工作組間的用戶二層互訪，每個(gè)工作組就是一個(gè)虛擬局域網(wǎng)。虛擬局域網(wǎng)的好處是可以限制廣播范圍，并能夠形成虛擬工作組，動(dòng)態(tài)管理網(wǎng)絡(luò)。一個(gè)VLAN內(nèi)部的廣播和單播流量都不會(huì)轉(zhuǎn)發(fā)到其他VLAN中，即使是兩臺(tái)計(jì)算機(jī)有著同樣的網(wǎng)段，但是它們卻沒有相同的VLAN號(hào)，它們各自的廣播流也不會(huì)相互轉(zhuǎn)發(fā)，從而有助于控制流量、減少設(shè)備投資、簡化網(wǎng)絡(luò)管理、提高網(wǎng)絡(luò)的安全性。既然VLAN隔離了廣播風(fēng)暴，同時(shí)也隔離了各個(gè)不同的VLAN之間的通訊，所以不同的VLAN之間的通訊是需要有路由來完成的。）

2.3.2 VPN（Virtual Private Network）管理

在實(shí)際工作中，經(jīng)常需要在不固定場所使用行業(yè)網(wǎng)絡(luò)，要從國際互聯(lián)網(wǎng)連接到行業(yè)廣域網(wǎng)，通常采用VPN連接。在實(shí)際工作應(yīng)用中，具有代表性的VPN有兩種方式：

a.使用L2TP協(xié)議建立VPN。駐點(diǎn)中隊(duì)由于地點(diǎn)偏遠(yuǎn)，租用專線成本較高，針對(duì)全市14個(gè)駐點(diǎn)中隊(duì)使用VPN技術(shù)，各中隊(duì)能通過光纖撥號(hào)到我單位的內(nèi)部網(wǎng)絡(luò)，訪問內(nèi)部資源，為加強(qiáng)網(wǎng)絡(luò)安全，各中隊(duì)電腦限制不能訪問互聯(lián)網(wǎng)。

實(shí)現(xiàn)方式：（各個(gè)接入用戶通過電信等運(yùn)營商光纖撥號(hào)到單位的CISCO3745路由器，并在CISCO3745上進(jìn)行認(rèn)證，認(rèn)證成功的用戶也是由CISCO3745分配內(nèi)部IP地址，技術(shù)實(shí)現(xiàn)原理就是使用L2TP（VPN）協(xié)議，即在CISCO3745和電信的BAS之間配置L2TP協(xié)議，在它們之間通過INTERNET建立L2TP（VPN）隧道。隧道建立成功以后，BAS下掛的設(shè)備撥號(hào)到BAS，由BAS通過隧道向CISCO3745發(fā)送這些認(rèn)證，并將認(rèn)證通過的用戶所獲取的IP地址送給用戶。用戶獲取IP地址以后就成為合法內(nèi)部用戶，為這部分IP設(shè)置路由參數(shù)，使其不但能正常使用公司的網(wǎng)絡(luò)資源也可訪問行業(yè)網(wǎng)的資源。）

b.使用PPTP協(xié)議建立VPN。對(duì)于出差人員可以利用PPTP建立的VPN訪問單位網(wǎng)絡(luò)資源進(jìn)行辦公。

實(shí)現(xiàn)方式：利用防火墻中自帶PPTP協(xié)議建立VPN通道，為需要使用VPN的用戶建立合法賬號(hào)和密碼。使用者需要二次撥號(hào)，即首先和互聯(lián)網(wǎng)（INTERNET）連接，再把我單位互聯(lián)網(wǎng)（INTERNET）固定地址作為目的地址，進(jìn)行二次撥號(hào)，經(jīng)過防火墻認(rèn)證即可。

2.3.3 內(nèi)網(wǎng)管理

市局、縣局、駐點(diǎn)中隊(duì)訪問省局、國家局、其他地市公司的網(wǎng)絡(luò)，均從市局CISCO3745路由器和CISCO3845路由器出口，在路由器和核心交換機(jī)之前架設(shè)防火墻，設(shè)置部分策略允許省局IP地址訪問我單位網(wǎng)絡(luò)，允許其他地市公司訪問我單位部分資源，如網(wǎng)站（開放此服務(wù)器80端口）。

2.3.4 外網(wǎng)管理

市局、縣局、專賣管理所連接互聯(lián)網(wǎng)均共享市局公司的100 M光纖寬帶，在市局公司到互聯(lián)網(wǎng)節(jié)點(diǎn)處架設(shè)防火墻、上網(wǎng)行為管理以及防病毒網(wǎng)關(guān)。對(duì)內(nèi)部用戶瀏覽INTERNET互聯(lián)網(wǎng)權(quán)限和范圍進(jìn)行設(shè)置，在滿足工作的前提下，避免黑客和病毒的入侵，保證網(wǎng)絡(luò)的安全。

2.3.5 無線接入管理

無線技術(shù)的發(fā)展，增加了信息化運(yùn)用的靈活性。在工作和生產(chǎn)中涉及到無線技術(shù)的應(yīng)用，需要對(duì)無線AP（Access Point）等相關(guān)設(shè)備加強(qiáng)管理，對(duì)通過無線設(shè)備接入網(wǎng)絡(luò)的用戶進(jìn)行認(rèn)證和嚴(yán)格授權(quán)。

3 網(wǎng)絡(luò)安全管理

信息安全是一個(gè)涉及面很廣的問題，安全是相對(duì)的，不安全才是絕對(duì)的，要想真正確保安全，就必須從制度、管理和技術(shù)三個(gè)層次采取有效措施。

3.1 加大信息安全建設(shè)，提升信息安全級(jí)別

a.隨著網(wǎng)絡(luò)的發(fā)展，無線網(wǎng)絡(luò)、VPN網(wǎng)絡(luò)、手機(jī)網(wǎng)絡(luò)的應(yīng)用，帶來新的網(wǎng)絡(luò)安全問題，為此要加強(qiáng)這些網(wǎng)絡(luò)傳輸?shù)男畔踩ㄔO(shè)，建立有效的驗(yàn)證和授權(quán)機(jī)制。

b.完善內(nèi)部網(wǎng)絡(luò)布局，在和外網(wǎng)臨界處設(shè)置上網(wǎng)行為管理和防病毒網(wǎng)關(guān)。限制員工隨意瀏覽可能帶來的安全隱患。目前使用的網(wǎng)絡(luò)防病毒軟件由于病毒庫過大，有很大的局限性，具有云計(jì)算功能的防病毒網(wǎng)關(guān)會(huì)對(duì)病毒檢測更全面，對(duì)數(shù)據(jù)包的過濾更徹底。做到行業(yè)網(wǎng)和互聯(lián)網(wǎng)物流隔離，關(guān)鍵崗位計(jì)算機(jī)做到“涉密計(jì)算機(jī)不上網(wǎng)，上網(wǎng)計(jì)算機(jī)不涉密”。

c.網(wǎng)絡(luò)監(jiān)控管理。網(wǎng)絡(luò)安全是一個(gè)綜合的、復(fù)雜的工程，任何網(wǎng)絡(luò)安全措施都不能保證萬無一失。因此，對(duì)于一些重要的部門，一旦網(wǎng)絡(luò)遭到攻擊，如何亡羊補(bǔ)牢，如何追蹤網(wǎng)絡(luò)攻擊，追查到攻擊者并將其繩之以法，是十分必要的。通常受攻擊的安全產(chǎn)品的日志都會(huì)在攻擊后被刪除，為有效保存這些重要的日志，可以使用遠(yuǎn)程的日志審計(jì)服務(wù)器來存儲(chǔ)防火墻的監(jiān)控日志。使用單獨(dú)的日志服務(wù)器，日志查詢和審計(jì)的功能就可以做得非常強(qiáng)大和細(xì)致，處理的數(shù)據(jù)量也大。

d.建立個(gè)人信息安全機(jī)制，引進(jìn)CA系統(tǒng)數(shù)據(jù)簽名機(jī)制和加密機(jī)制等技術(shù)手段保證數(shù)據(jù)傳輸?shù)陌踩?/p>

3.2 完善信息安全制度，加強(qiáng)信息安全教育

（1）完善各種安全管理制度，建立各種相應(yīng)的網(wǎng)絡(luò)安全管理辦法，加強(qiáng)內(nèi)部管理。

（2）加強(qiáng)應(yīng)用系統(tǒng)維護(hù)，特別是核心業(yè)務(wù)系統(tǒng)。通過每天的檢測、維護(hù)和數(shù)據(jù)備份等措施，減少系統(tǒng)中潛在的危險(xiǎn)，降低數(shù)據(jù)安全風(fēng)險(xiǎn)。

（3）建立安全恢復(fù)機(jī)制。沒有百分之百的安全，在網(wǎng)絡(luò)、信息安全收到攻擊、破壞事件的情況下，能盡快恢復(fù)網(wǎng)絡(luò)、系統(tǒng)應(yīng)用、信息數(shù)據(jù)等十分關(guān)鍵。因此建立核心業(yè)務(wù)的數(shù)據(jù)級(jí)、應(yīng)用級(jí)的災(zāi)備，普通數(shù)據(jù)的備份等機(jī)制。

（4）加強(qiáng)培訓(xùn)，提高員工信息安全意識(shí)。提高員工個(gè)人計(jì)算機(jī)安全性，設(shè)置較為復(fù)雜的各種應(yīng)用系統(tǒng)密碼、安裝殺毒軟件、及時(shí)補(bǔ)全系統(tǒng)漏洞補(bǔ)丁、養(yǎng)成良好的上網(wǎng)行為。

4 結(jié)束語

煙草信息化網(wǎng)絡(luò)建設(shè)作為一項(xiàng)重要的系統(tǒng)工程，它是所有業(yè)務(wù)運(yùn)行的前提，牽涉到多個(gè)方面、各種技術(shù)，既有網(wǎng)絡(luò)技術(shù)、工程施工技術(shù)，也有管理制度等各個(gè)方面。本設(shè)計(jì)從本單位的網(wǎng)絡(luò)建設(shè)現(xiàn)狀、目標(biāo)、選用的網(wǎng)絡(luò)技術(shù)等多方面進(jìn)行論述，重點(diǎn)考慮了網(wǎng)絡(luò)的管理和安全性。

［1］Michael Palmer（美）.局域網(wǎng)與廣域網(wǎng)的設(shè)計(jì)與實(shí)現(xiàn)［M］.北京：機(jī)械工業(yè)出版社，2000.

［2］黃 慧.淺談校園網(wǎng)的安全［J］.網(wǎng)絡(luò)安全技術(shù)與應(yīng)用，2011，（8）.

［3］夏棟梁，劉玉坤.校園網(wǎng)安全系統(tǒng)的設(shè)計(jì)與實(shí)現(xiàn)［J］.數(shù)字技術(shù)與應(yīng)用，2011，（8）.

［4］劉 洋.廣域網(wǎng)分布式計(jì)算系統(tǒng)透明內(nèi)存設(shè)計(jì)與實(shí)現(xiàn)［J］.計(jì)算機(jī)工程與設(shè)計(jì)，2010，（21）.

［5］范 君.倉儲(chǔ)物流集團(tuán)廣域網(wǎng)設(shè)計(jì)與實(shí)現(xiàn)［J］.微計(jì)算機(jī)應(yīng)用，2010，（08）.

［6］周 成.廣域網(wǎng)建筑協(xié)同設(shè)計(jì)平臺(tái)安全性與適用性研究［J］.土木建筑工程信息技術(shù)2010，（02）.

［7］李君義.CPE廣域網(wǎng)管理協(xié)議客戶端的設(shè)計(jì)研究［J］.西安郵電學(xué)院學(xué)報(bào)2010，（01）.

On the Design of Wide Area Network and Safety Management of Municipal Level Tobacco Plants

Sun Fuguo
（Chuzhou Tobacco Monopoly Bureau，Chuzhou 239000，China）

Computer network has become an important content and main support in the construction of informationization.In view of technology，computer network links the different related nodal points closely together，but it is not only the traditional simple model of net construction，but its network safety and reliability should also be considered.The article makes the analyses on how to strengthen the network management and safety construction based on network building model from municipal and county levels closely related the author＇s own work unit，and also describes the design of Wide Area Network and safety management of municipal level tobacco plants.

computer network；design；management；safety

TN915.07

A

1673－1794（2011）05－0032－03

孫福國（1980－），男，滁州市煙草專賣局網(wǎng)絡(luò)管理員，研究方向：企業(yè)管理。

2011－06－30