聊城市氣象局網(wǎng)絡(luò)結(jié)構(gòu)優(yōu)化及雙線熱備的設(shè)計(jì)

◆李 楠 孫青然 呂 博 席曉彤

聊城市氣象局網(wǎng)絡(luò)結(jié)構(gòu)優(yōu)化及雙線熱備的設(shè)計(jì)

◆李 楠 孫青然 呂 博 席曉彤

（聊城市氣象局 山東 252000）

聊城氣象局存在多套業(yè)務(wù)系統(tǒng)，網(wǎng)絡(luò)接入多家單位，網(wǎng)絡(luò)環(huán)境較為復(fù)雜。結(jié)合業(yè)務(wù)系統(tǒng)對(duì)網(wǎng)絡(luò)進(jìn)行優(yōu)化調(diào)整，使其更好地適應(yīng)業(yè)務(wù)系統(tǒng)發(fā)展的需求。前期的網(wǎng)絡(luò)建設(shè)和運(yùn)維過程中沒有做合理的全局規(guī)劃，造成現(xiàn)網(wǎng)的故障頻發(fā)和管理困難，通過統(tǒng)一規(guī)劃設(shè)計(jì)全網(wǎng)路由、VLAN和IP地址，確保了數(shù)據(jù)轉(zhuǎn)發(fā)路徑合理、通暢，同時(shí)也確保了網(wǎng)絡(luò)的安全可靠運(yùn)行。雙線熱備在原有的聯(lián)通網(wǎng)絡(luò)專線的基礎(chǔ)上增加了一條移動(dòng)專線，保持原有的設(shè)備，應(yīng)用鏈路聚合的方式增加了鏈路帶寬及實(shí)時(shí)熱備線路，實(shí)現(xiàn)了各區(qū)縣氣象局至聊城市氣象局業(yè)務(wù)的實(shí)時(shí)熱備互連互通。

網(wǎng)絡(luò)優(yōu)化；鏈路聚合；氣象業(yè)務(wù)

0 引言

計(jì)算機(jī)網(wǎng)絡(luò)從20世紀(jì)60年代誕生到現(xiàn)在，一直伴隨著計(jì)算機(jī)和通信技術(shù)的發(fā)展及相互滲透，這種結(jié)合的同時(shí)也促進(jìn)了計(jì)算機(jī)網(wǎng)絡(luò)的快速發(fā)展[1]。計(jì)算機(jī)網(wǎng)絡(luò)對(duì)信息的收集、傳輸、存儲(chǔ)和處理起著非常重要的作用[2]。網(wǎng)絡(luò)是氣象事業(yè)的公共技術(shù)基礎(chǔ)設(shè)施，是氣象信息傳輸和氣象資料共享的基礎(chǔ)平臺(tái)，是氣象信息交換的先決條件[3]。氣象部門的網(wǎng)絡(luò)經(jīng)歷了從無到有、從專用到通用，縣級(jí)和地市級(jí)都建立了小型局域網(wǎng)，縣局的局域網(wǎng)通過專線與市局和省局網(wǎng)絡(luò)互聯(lián)。

1 網(wǎng)絡(luò)結(jié)構(gòu)

市局核心層使用華為S7700系列交換機(jī)，做為整網(wǎng)核心節(jié)點(diǎn)，承擔(dān)起全網(wǎng)數(shù)據(jù)的高速交換和轉(zhuǎn)發(fā)任務(wù)；接入層設(shè)備為華為S5700交換機(jī)三臺(tái)，互聯(lián)網(wǎng)防火墻使用華為防火墻USG6530，主要用于1NAT轉(zhuǎn)換和安全策略部署，實(shí)現(xiàn)內(nèi)網(wǎng)用戶的安全及訪問互聯(lián)網(wǎng)的需求。同時(shí)通過IP地址的轉(zhuǎn)換和映射，實(shí)現(xiàn)區(qū)域自動(dòng)站與內(nèi)網(wǎng)服務(wù)器間的通信；市縣之間的互聯(lián)，通過重新規(guī)劃和配置調(diào)整，實(shí)現(xiàn)市縣間三層路由互通，縣局單位的網(wǎng)關(guān)在各自的交換機(jī)上，這樣每個(gè)縣局的二層流量就終結(jié)在各自縣局的交換機(jī)上，不會(huì)對(duì)核心交換機(jī)造成沖擊；在進(jìn)行VLAN規(guī)劃時(shí)，按功能和業(yè)務(wù)系統(tǒng)進(jìn)行分區(qū)分塊，對(duì)業(yè)務(wù)系統(tǒng)進(jìn)行VLAN規(guī)劃時(shí)，其所占的VLAN區(qū)間應(yīng)具備可擴(kuò)展性。一個(gè)IP網(wǎng)絡(luò)中不能出現(xiàn)采用相同的IP地址這樣保證了地址的唯一性；連續(xù)的地址在分層結(jié)構(gòu)的網(wǎng)絡(luò)中易于進(jìn)行路由聚合，大大縮減路由表，提高路由算法的效率[4]；地址分配在每一層都留有余量，這樣可以在網(wǎng)絡(luò)規(guī)模擴(kuò)展時(shí)能保證連續(xù)性[5]。

優(yōu)化之前縣局的網(wǎng)關(guān)均部署在市局的核心交換機(jī)上，縣局本身的交換機(jī)相當(dāng)于接入層設(shè)備，市縣網(wǎng)絡(luò)為二層交換架構(gòu)，這種組網(wǎng)方式結(jié)構(gòu)簡單，易于管理，但因市局網(wǎng)絡(luò)沒有匯聚層設(shè)備，各接入交換機(jī)直接互聯(lián)核心交換機(jī)，且網(wǎng)關(guān)終結(jié)在核心交換機(jī)上，即各接入交換機(jī)的二層流量也會(huì)終結(jié)在核心交換機(jī)上，二層廣播風(fēng)暴及病毒等都會(huì)對(duì)核心交換機(jī)造成沖擊[6]。單個(gè)縣局單位出現(xiàn)的問題可能會(huì)對(duì)核心造成影響，繼而影響其他縣局網(wǎng)絡(luò)的正常運(yùn)行。優(yōu)化后市局和縣局之間采用三層路由組網(wǎng)，每個(gè)縣局將網(wǎng)關(guān)終結(jié)在各自的交換機(jī)上。

由于市局網(wǎng)絡(luò)內(nèi)部路由節(jié)點(diǎn)不是特別多，且考慮市局和縣局間為10 MBPSSDH及備線路10 MBPSPTN線路的可能性，直接使用OSPF路由協(xié)議，這樣可以做到鏈路檢測(cè)及未來的主備線負(fù)載備份。骨干網(wǎng)和每個(gè)縣局接入單位作為一個(gè)單獨(dú)的OSPF區(qū)域。到其它單位的網(wǎng)絡(luò)一般采用靜態(tài)路由方式，通過將靜態(tài)路由重分布到OSPF進(jìn)程。

圖1 聊城市氣象局網(wǎng)絡(luò)拓?fù)鋱D

2 OSPF規(guī)劃

RouteID規(guī)劃采用的是Loopback接口IP地址，OSPF核心區(qū)域骨干網(wǎng)設(shè)備作為OSPF的Area 0，每個(gè)接入單位與骨干網(wǎng)設(shè)備組網(wǎng)部署為不同的OSPF Area 1，2，…N。OSPF邊緣區(qū)域設(shè)計(jì)每個(gè)縣局接入單位的交換機(jī)與骨干交換機(jī)組網(wǎng)部署為不同的OSPF Area 1，2，…，N區(qū)域。與原先的普通的完全OSPF區(qū)域相比，通過規(guī)劃減少LSA在區(qū)域間的傳播，減少路由條數(shù)，與stub區(qū)域相比較部署的路由協(xié)議更加靈活。還可以通過區(qū)域匯總限制區(qū)域間傳播的LSA條目。邊緣區(qū)域使用NSSA區(qū)域，能精簡骨干區(qū)域路由器的路由表，減少骨干區(qū)域內(nèi)OSPF交互的信息量，提高路由表項(xiàng)的穩(wěn)定性。一個(gè)區(qū)域的路由計(jì)算和網(wǎng)絡(luò)調(diào)整不會(huì)影響其它區(qū)域，因故障引起的路由震蕩被隔離在區(qū)域內(nèi)部[7]。

電子政務(wù)縣級(jí)網(wǎng)絡(luò)的OSPF規(guī)劃如下：在現(xiàn)有網(wǎng)絡(luò)中，由于業(yè)務(wù)眾多和復(fù)雜，不同類型的業(yè)務(wù)對(duì)網(wǎng)絡(luò)質(zhì)量要求不一樣。不僅需要保證用戶業(yè)務(wù)的流量帶寬要求，也需要根據(jù)流量中的業(yè)務(wù)類型（如語音業(yè)務(wù)、視頻業(yè)務(wù)、關(guān)鍵數(shù)據(jù)業(yè)務(wù)、普通上網(wǎng)業(yè)務(wù)等）來保證各種業(yè)務(wù)的帶寬和時(shí)延要求。在多業(yè)務(wù)共存的網(wǎng)絡(luò)中需要采用QoS技術(shù)對(duì)關(guān)鍵業(yè)務(wù)的網(wǎng)絡(luò)質(zhì)量進(jìn)行差異化保障。針對(duì)帶寬、時(shí)延、抖動(dòng)、丟包率等要求，QoS可以通過優(yōu)先級(jí)映射、流量監(jiān)管、流量整形、隊(duì)列調(diào)度、擁塞避免等技術(shù)提升網(wǎng)絡(luò)服務(wù)質(zhì)量[8]。

市局到省局之間有兩條20的MSTP線路，需承載數(shù)據(jù)類業(yè)務(wù)和語音視頻類業(yè)務(wù)，此時(shí)，省市路由器上需配置QOS，將關(guān)鍵數(shù)據(jù)類業(yè)務(wù)劃分到AF隊(duì)列，確保其在網(wǎng)絡(luò)擁塞情況下的不丟包；視頻類業(yè)務(wù)數(shù)據(jù)流使用EF隊(duì)列，確保其優(yōu)先轉(zhuǎn)發(fā)，使得數(shù)據(jù)能夠?qū)崟r(shí)傳輸，獲得更好的感官體驗(yàn)。此外，使用路由策略，使數(shù)據(jù)類業(yè)務(wù)流優(yōu)先選擇主線路進(jìn)行傳輸，主線路故障時(shí)使用備線路傳輸；使視頻類業(yè)務(wù)流優(yōu)先選擇備線路進(jìn)行傳輸，備線路故障時(shí)使用主線路傳輸，這樣可以最大程度地利用線路使其實(shí)現(xiàn)負(fù)載，同時(shí)具備冗余備份功能[9]。

3 安全管理

氣象局目前內(nèi)外網(wǎng)沒有做到物理隔離，網(wǎng)絡(luò)中的終端安全風(fēng)險(xiǎn)較高，病毒、木馬及其它惡意攻擊行為對(duì)網(wǎng)絡(luò)影響較大，可在以下幾個(gè)方面加強(qiáng)終端的安全管理：明確終端安全使用規(guī)范，終端上必須安裝防病毒軟件或防火墻，定期對(duì)終端進(jìn)行病毒、木馬查殺及安全檢查；終端使用靜態(tài)IP地址，個(gè)人不得隨意更換IP地址?？稍诮粨Q機(jī)上配置IP+MAC+端口綁定，在出現(xiàn)終端安全問題時(shí)可以迅速定位，便于問題排查；在巡檢過程中，可對(duì)端口流量異常的終端進(jìn)行隔離或手動(dòng)關(guān)閉該端口，待問題解決后再將其接入網(wǎng)絡(luò)。對(duì)于內(nèi)網(wǎng)運(yùn)行的多個(gè)業(yè)務(wù)系統(tǒng)之間，如無互相訪問的需求或關(guān)鍵型業(yè)務(wù)系統(tǒng)只有特定的人員主機(jī)能夠訪問，需在交換機(jī)上部署訪問控制列表ACL，對(duì)各vlan間或各終端主機(jī)間的訪問進(jìn)行安全控制，對(duì)一些病毒木馬的攻擊行為，ACL也有一定的防范作用，互聯(lián)網(wǎng)防火墻使用華為防火墻USG6530，集防火墻、IPS、AV、VPN、上網(wǎng)行為管理和強(qiáng)大的路由功能于一體，提供安全、靈活、便捷的一體化組網(wǎng)和接入解決方案。SG6530作為互聯(lián)網(wǎng)出口防火墻，主要任務(wù)是對(duì)內(nèi)網(wǎng)用戶或服務(wù)器進(jìn)行地址轉(zhuǎn)換或映射，使其能訪問互聯(lián)網(wǎng)資源或互聯(lián)網(wǎng)用戶訪問氣象局服務(wù)器等。防火墻還配置了IPS、AV防病毒、上網(wǎng)行為管理特性，可對(duì)網(wǎng)絡(luò)邊界發(fā)現(xiàn)的攻擊行為進(jìn)行有效防護(hù)，同時(shí)對(duì)內(nèi)網(wǎng)用戶進(jìn)行審計(jì)控制。

4 市-縣備份鏈路

雙線路備份一般可以分為兩種類型，雙線單設(shè)備及雙線雙設(shè)備。如圖1，聊城市氣象局采用的是雙線單設(shè)備，氣象局在原有聯(lián)通專線基礎(chǔ)上在市局核心交換機(jī)及各縣局交換機(jī)上接入移動(dòng)PTN線路，當(dāng)任何一方設(shè)備及線路出現(xiàn)故障時(shí)不會(huì)影響業(yè)務(wù)數(shù)據(jù)的傳送。采用的是LAG鏈路聚合組協(xié)議，將—組相同速率的物理以太網(wǎng)接口捆綁在一起作為一個(gè)邏輯接口來增加帶寬，并提供鏈路保護(hù)[10]。鏈路聚合的優(yōu)勢(shì)在于增加鏈路帶寬，提高鏈路可靠性，當(dāng)一條鏈路失效時(shí)，其他鏈路將重新對(duì)業(yè)務(wù)進(jìn)行分擔(dān)，此外還可實(shí)現(xiàn)負(fù)載分擔(dān)，流量分擔(dān)到聚合組的各條鏈路上。以太網(wǎng)LAG保護(hù)可以實(shí)現(xiàn)端口的負(fù)載分擔(dān)。在負(fù)載分擔(dān)模式下，設(shè)置鏈路聚合組后，設(shè)備會(huì)自動(dòng)將邏輯端口上的流量負(fù)載分擔(dān)到組中的多個(gè)物理端口上。當(dāng)其中一個(gè)物理端口發(fā)生故障時(shí)，故障端口上的流量會(huì)自動(dòng)分擔(dān)到其他物理端口上。當(dāng)故障恢復(fù)后，流量會(huì)重新分配，保證流量在匯聚的各端口之間的負(fù)載分擔(dān)，實(shí)現(xiàn)了各縣氣象局至聊城市氣象局?jǐn)?shù)據(jù)業(yè)務(wù)的互聯(lián)互通及專網(wǎng)實(shí)時(shí)熱備，對(duì)氣象業(yè)務(wù)數(shù)據(jù)起到了雙重保護(hù)的功能。

[1]吳學(xué)進(jìn).計(jì)算機(jī)網(wǎng)絡(luò)安全技術(shù)在網(wǎng)絡(luò)安全維護(hù)中的應(yīng)用探討[J].數(shù)字通信世界, 2017.

[2]申健, 周倩芳.神經(jīng)網(wǎng)絡(luò)在計(jì)算機(jī)網(wǎng)絡(luò)安全評(píng)價(jià)中的應(yīng)用研究[J].網(wǎng)絡(luò)安全技術(shù)與應(yīng)用,2017.

[3]張淯舒, 王慧強(qiáng), 馮光升等.基于兩階段聚類的機(jī)會(huì)社會(huì)網(wǎng)絡(luò)路由算法[J].電子科技大學(xué)學(xué)報(bào), 2017.

[4]王松.基于蟻群優(yōu)化多路徑路由算法的研究與設(shè)計(jì)[D].山東大學(xué), 2016.

[5]王有東.機(jī)會(huì)網(wǎng)絡(luò)的路由研究與節(jié)點(diǎn)設(shè)計(jì)[D].東南大學(xué), 2016.

[6]趙勇, 趙淑芳.市級(jí)氣象局通信網(wǎng)絡(luò)高可靠性設(shè)計(jì)與構(gòu)建[J].氣象科技, 2011.

[7]佀冉.內(nèi)蒙古聯(lián)通IP網(wǎng)絡(luò)優(yōu)化方案設(shè)計(jì)與實(shí)施[D].內(nèi)蒙古大學(xué), 2011.

[8]陳偉杰.基于主動(dòng)隊(duì)列管理的擁塞控制策略及其穩(wěn)定性研究[D].浙江工業(yè)大學(xué), 2011.

[9]穆秀玫.雙頻分級(jí)Ad hoc網(wǎng)絡(luò)的組網(wǎng)協(xié)議設(shè)計(jì)與實(shí)現(xiàn)[D].電子科技大學(xué), 2011.

[10]李杰.基于Chord算法的P2P路由表安全的研究[D].北京郵電大學(xué), 2009.

聊城市創(chuàng)新團(tuán)隊(duì)（基于ArcGis的災(zāi)害性天氣識(shí)別跟蹤與自動(dòng)報(bào)警系統(tǒng)）。