地震數(shù)據(jù)災(zāi)備中心組網(wǎng)設(shè)計(jì)與安全維護(hù)探討

◆牛詩(shī)川

（中國(guó)地震局第二監(jiān)測(cè)中心 陜西 710054）

數(shù)據(jù)中心是數(shù)據(jù)存儲(chǔ)、計(jì)算和交互的場(chǎng)所，在各行各業(yè)的信息化進(jìn)程中都起到了至關(guān)重要的作用，也是當(dāng)前我國(guó)大力發(fā)展的新基建方向之一。組網(wǎng)技術(shù)是連通數(shù)據(jù)中心中各個(gè)節(jié)點(diǎn)以及服務(wù)對(duì)象的橋梁。本文將對(duì)地震數(shù)據(jù)災(zāi)備中心組網(wǎng)設(shè)計(jì)過程中涉及的關(guān)鍵技術(shù)及安全維護(hù)等方面內(nèi)容進(jìn)行探討。

1 地震數(shù)據(jù)災(zāi)備中心組網(wǎng)關(guān)鍵技術(shù)

地震數(shù)據(jù)災(zāi)備中心的主要功能是實(shí)現(xiàn)國(guó)家地震觀測(cè)數(shù)據(jù)異地安全備份容災(zāi)和提供地震云計(jì)算服務(wù)，必須依靠一套標(biāo)準(zhǔn)完備網(wǎng)絡(luò)架構(gòu)和組網(wǎng)策略，才能更好地服務(wù)信息化現(xiàn)代化防震減災(zāi)的業(yè)務(wù)需求。組網(wǎng)設(shè)計(jì)整體網(wǎng)絡(luò)拓?fù)浼軜?gòu)如圖1 所示，包括地震行業(yè)網(wǎng)接入、數(shù)據(jù)中心核心網(wǎng)絡(luò)設(shè)計(jì)、科研辦公網(wǎng)絡(luò)接入配置等關(guān)鍵技術(shù)模塊。

圖1 地震數(shù)據(jù)災(zāi)備中心網(wǎng)絡(luò)拓?fù)鋱D

1.1 地震行業(yè)網(wǎng)接入

部分地震業(yè)務(wù)例如速報(bào)業(yè)務(wù)和測(cè)震業(yè)務(wù)等數(shù)據(jù)傳輸不能中斷，甚至有時(shí)業(yè)務(wù)響應(yīng)時(shí)間達(dá)到秒級(jí)，因此在網(wǎng)絡(luò)傳輸上，地震數(shù)據(jù)災(zāi)備中心采用兩條百兆數(shù)據(jù)鏈路專線形成主備模式自動(dòng)切換，避免一條鏈路出現(xiàn)故障從而中斷業(yè)務(wù)造成嚴(yán)重后果，因此主備雙鏈路組網(wǎng)方式可有效避免出現(xiàn)網(wǎng)絡(luò)鏈路或網(wǎng)絡(luò)系統(tǒng)單點(diǎn)故障，從而極大提高了網(wǎng)絡(luò)數(shù)據(jù)傳輸?shù)目煽啃浴蓷l鏈路配置不同的ⅠP 地址和路由信息，且不能有等價(jià)路由出現(xiàn)。OSPF 協(xié)議非常適合對(duì)地震行業(yè)網(wǎng)，主要體現(xiàn)在收斂速度、帶寬占用、路徑選擇、網(wǎng)絡(luò)規(guī)模支持、穩(wěn)定性和安全性高等方面等優(yōu)勢(shì)[1]。地震數(shù)據(jù)備份中心采用OSPF 路由協(xié)議設(shè)定整個(gè)鏈路的開銷值，即COST 值，選擇開銷值最小的路由路徑作為最優(yōu)的路徑，因此兩條鏈路中只要一條COST 值大于原默認(rèn)COST 值就可以使之成為備份鏈路，便可防止等價(jià)路由的出現(xiàn)，配置信息如表1 所示。

表1 行業(yè)網(wǎng)鏈路配置信息表

1.2 數(shù)據(jù)中心核心網(wǎng)絡(luò)設(shè)計(jì)

在地震行業(yè)網(wǎng)鏈路分節(jié)點(diǎn)上，為了降低數(shù)據(jù)中心網(wǎng)絡(luò)復(fù)雜性，提高性能、利用率和可靠性，滿足數(shù)據(jù)中心數(shù)據(jù)橫向流動(dòng)大于縱向的特性，使用僅包括核心層和接入層的二層扁平化網(wǎng)絡(luò)結(jié)構(gòu)，并結(jié)合CSS（Cluster Switch System）集群技術(shù)，是目前地震數(shù)據(jù)災(zāi)備中心的組網(wǎng)優(yōu)化方案。CSS 集群技術(shù)通過將多臺(tái)交換機(jī)虛擬為一臺(tái)的方式，具備了簡(jiǎn)化網(wǎng)絡(luò)結(jié)構(gòu)、易于維護(hù)管理、穩(wěn)定高效運(yùn)行等特點(diǎn)[2]。利用CSS 技術(shù)，部署2 臺(tái)CE12808 核心交換機(jī)虛擬成一臺(tái)邏輯交換機(jī)，接入層交換機(jī)CE5850 采用冗余和鏈路聚合技術(shù)，分別于核心層交換機(jī)兩兩互連（如圖2），簡(jiǎn)化網(wǎng)絡(luò)管理，充分保證地震數(shù)據(jù)傳輸高性能和高可用性。

圖2 核心網(wǎng)絡(luò)連接圖

1.3 科研辦公網(wǎng)絡(luò)接入配置

考慮到數(shù)據(jù)災(zāi)備中心所運(yùn)行和存儲(chǔ)的不同密級(jí)的業(yè)務(wù)和數(shù)據(jù)，需要對(duì)各類科研辦公部門接入訪問權(quán)限進(jìn)行劃分。根據(jù)地震業(yè)務(wù)科室和處室不同功能，在交換機(jī)上劃分不同的VLAN，根據(jù)有線網(wǎng)和無線網(wǎng)不同接入方式的安全性來進(jìn)行具體訪問權(quán)限配置。

有線網(wǎng)采納GPON 為首選解決方案，GPON 技術(shù)定義為針對(duì)1 Gbit/s 以上的PON 標(biāo)準(zhǔn)，這種標(biāo)準(zhǔn)首先能支持更高速率傳輸，其次具備支持全業(yè)務(wù)、組網(wǎng)效率更高等特點(diǎn)，是目前地震行業(yè)內(nèi)網(wǎng)通架構(gòu)接入網(wǎng)的一種理想解決方式。使用高寬帶傳輸能力的GPON 無源光網(wǎng)絡(luò)技術(shù)結(jié)合LAN 的布線技術(shù)來設(shè)計(jì)辦公建筑網(wǎng)絡(luò)，PON 技術(shù)實(shí)現(xiàn)光纖到辦公室（FFTo），不同的ONT 下透?jìng)鞑煌琕LAN 從而精細(xì)控制用戶訪問請(qǐng)求。

無線網(wǎng)絡(luò)采用目前主流的無線控制器+瘦AP 架構(gòu)進(jìn)行無縫覆蓋，能夠?qū)o線網(wǎng)絡(luò)靈活管理配置，提高網(wǎng)絡(luò)維護(hù)效率，認(rèn)證方式為802.1x 和Portal 等多種認(rèn)證方式，輸入用戶名密碼即可完成驗(yàn)證。AC 使用銳捷W5320 和認(rèn)證服務(wù)器SMP 連接互聯(lián)網(wǎng)核心交換機(jī)，核心交換下連24 口POE，所有AP 均采用POE 供電。

2 網(wǎng)絡(luò)安全防護(hù)措施

數(shù)據(jù)中心信息安全的目標(biāo)核心是：保密性、完整性、可用性、可控性和不可否認(rèn)性五個(gè)安全目標(biāo)[3]。而現(xiàn)階段數(shù)據(jù)中心存在的網(wǎng)絡(luò)安全風(fēng)險(xiǎn)問題種類繁多，例如系統(tǒng)漏洞、網(wǎng)絡(luò)病毒、黑客惡意攻擊等都會(huì)給地震行業(yè)造成不可估量的后果?；诳赡艽嬖诘母鞣N網(wǎng)絡(luò)安全風(fēng)險(xiǎn)問題，網(wǎng)絡(luò)安全防護(hù)主要采用入侵防御系統(tǒng)（ⅠPS）、下一代防火墻（NGFW）、用戶行為管理與審計(jì)系統(tǒng)等。

地震數(shù)據(jù)災(zāi)備中心均采用單機(jī)透明部署，分別作用在互聯(lián)網(wǎng)出口和行業(yè)網(wǎng)出口上，同時(shí)針對(duì)WEB 系統(tǒng)使用WEB 應(yīng)用防火墻，所有關(guān)鍵設(shè)備都采用雙機(jī)部署，保證系統(tǒng)的高可用性。同時(shí)配備漏洞掃描系統(tǒng)，對(duì)系統(tǒng)安全脆弱性檢查，防止?jié)B透攻擊等行為。

（1）入侵防御系統(tǒng)由兩塊ⅠPS 板卡組成，并通過HA 線纜連接，組成高可用的防御系統(tǒng)，通過系統(tǒng)自帶的規(guī)則庫(kù)去主動(dòng)防御各類攻擊行為，可有效減少來自互聯(lián)網(wǎng)的各種攻擊。

（2）防火墻采用下一代防火墻設(shè)備，透明橋接在網(wǎng)絡(luò)中，主要用來定義安全邊界，整個(gè)網(wǎng)絡(luò)系統(tǒng)被分為可信區(qū)、非可信區(qū)和DMZ區(qū)，不同區(qū)域使用不同的安全策略。完成非可信區(qū)域訪問可信區(qū)域的安全要求。并通過工作在雙機(jī)負(fù)載分擔(dān)模式，無單點(diǎn)故障。配置系統(tǒng)時(shí)只需配置其中一臺(tái)防火墻，配置將會(huì)同步到另外一臺(tái)設(shè)備上，保證安全的同時(shí)并且高可用。

（3）使用行為管理和內(nèi)容審計(jì)系統(tǒng)，通過對(duì)時(shí)間段、用戶組、應(yīng)用等進(jìn)行管理，可精確管理應(yīng)用特征庫(kù)的任何應(yīng)用，并對(duì)用戶的操作內(nèi)容進(jìn)行審計(jì)，可追蹤可溯源。

（4）漏洞掃描系統(tǒng)遠(yuǎn)程安全評(píng)估，主要包含主機(jī)漏洞掃描和WEB 應(yīng)用系統(tǒng)掃描兩大功能模塊，可對(duì)地震行業(yè)網(wǎng)內(nèi)所有單位的主機(jī)或者WEB 應(yīng)用系統(tǒng)進(jìn)行掃描，主動(dòng)發(fā)現(xiàn)漏洞，及時(shí)修復(fù)。系統(tǒng)采用旁路部署，可對(duì)地震行業(yè)用戶進(jìn)行集中或者定制化掃描服務(wù)。

3 維護(hù)技術(shù)與措施

3.1 網(wǎng)絡(luò)系統(tǒng)維護(hù)策略和步驟

正常情況下網(wǎng)絡(luò)運(yùn)維人員需通過運(yùn)維審計(jì)系統(tǒng)（堡壘機(jī)）來管理目標(biāo)網(wǎng)絡(luò)設(shè)備，通過目標(biāo)設(shè)備提供的管理方式進(jìn)行管理。

（1）配置定期備份：定期對(duì)各個(gè)網(wǎng)絡(luò)設(shè)備的配置定期備份，利用TFTP 工具將配置文件直接傳至FTP 服務(wù)器。

（2）變更步驟：當(dāng)設(shè)備配置需要變更時(shí)，首先相關(guān)技術(shù)人員對(duì)變更方案進(jìn)行論證，確認(rèn)無誤后，定制緊急預(yù)案，然后進(jìn)行變更，變更完成后，需觀察相關(guān)業(yè)務(wù)系統(tǒng)運(yùn)行狀況，如有異常及時(shí)回滾原配置。

（3）網(wǎng)絡(luò)設(shè)備割接或升級(jí)：提前做好預(yù)案，論證割接過程，確保業(yè)務(wù)系統(tǒng)不受影響或者受影響的時(shí)間盡量短。

3.2 日常檢測(cè)方式

（1）使用Nagios[4]和Cacti 對(duì)地震信息行業(yè)網(wǎng)絡(luò)流量進(jìn)行監(jiān)控，及時(shí)發(fā)現(xiàn)網(wǎng)絡(luò)問題。

（2）通過運(yùn)維管理平臺(tái)對(duì)每個(gè)網(wǎng)絡(luò)設(shè)備進(jìn)行輪詢監(jiān)測(cè)，發(fā)現(xiàn)問題將用短信、郵件進(jìn)行告警。運(yùn)維系統(tǒng)通過每天的檢測(cè)數(shù)據(jù)形成設(shè)備的運(yùn)行基線，設(shè)定閾值，當(dāng)網(wǎng)絡(luò)設(shè)備運(yùn)行參數(shù)偏離基線數(shù)據(jù)值的時(shí)候觸發(fā)告警。

（3）定期去機(jī)房?jī)?nèi)部人工巡檢，監(jiān)測(cè)各設(shè)備的工作狀態(tài)，發(fā)現(xiàn)物理故障及時(shí)處理。

4 結(jié)語

本文基于地震數(shù)據(jù)災(zāi)備中心網(wǎng)絡(luò)安全性和可靠性的基本要求，統(tǒng)一規(guī)劃設(shè)計(jì)了包括行業(yè)網(wǎng)分節(jié)點(diǎn)專線、核心網(wǎng)架構(gòu)、科研辦公網(wǎng)等主要單元的建設(shè)方案，合理應(yīng)用行業(yè)網(wǎng)主備雙鏈路、CSS 集群技術(shù)、VLAN 權(quán)限劃分等關(guān)鍵技術(shù)，并對(duì)災(zāi)備中心網(wǎng)絡(luò)安全防護(hù)系統(tǒng)和后期維護(hù)策略等做了深入探討，以確保國(guó)家地震觀測(cè)數(shù)據(jù)異地安全備份容災(zāi)和地震云計(jì)算服務(wù)的順利開展。此外，本設(shè)計(jì)方案和技術(shù)探討也可以為各行業(yè)的數(shù)據(jù)中心組網(wǎng)建設(shè)提供有效參考，以推動(dòng)我國(guó)新基建建設(shè)發(fā)展。