童永強(qiáng)，何建成

浙江慶元縣氣象局，浙江 麗水 323800

1 設(shè)計要求

隨著社會經(jīng)濟(jì)的發(fā)展，廣大人民群眾以及各企事業(yè)單位對氣象信息的要求越來越高，大部分基層縣級氣象部門原有的信息網(wǎng)絡(luò)已經(jīng)成為制約其發(fā)展的瓶頸。為加快發(fā)展充分發(fā)揮部門職能，對信息網(wǎng)絡(luò)進(jìn)行重新設(shè)計建設(shè)十分必要。

1.1 局域網(wǎng)基礎(chǔ)網(wǎng)絡(luò)規(guī)劃

縣級氣象部門的信息網(wǎng)絡(luò)是一個以信息服務(wù)為主體的應(yīng)用系統(tǒng)。功能上分為內(nèi)部應(yīng)用、外部公共服務(wù)；應(yīng)用涉眾方面，分為電子政務(wù)，收發(fā)郵件及公文，公眾服務(wù)，并與其他政府職能系統(tǒng)進(jìn)行資源共享，互聯(lián)網(wǎng)訪問等多個層次；信息安全方面，分為涉密信息和非涉密信息等。因此，需要將網(wǎng)絡(luò)系統(tǒng)劃分為多區(qū)域、多層級結(jié)構(gòu)。設(shè)計將整個網(wǎng)絡(luò)劃分為內(nèi)、外網(wǎng)兩大部分，內(nèi)網(wǎng)與外網(wǎng)物理隔離，外網(wǎng)與因特網(wǎng)邏輯隔離,內(nèi)網(wǎng)為氣象業(yè)務(wù)網(wǎng)。

作為一個滿足未來縣級氣象業(yè)務(wù)應(yīng)用的支撐網(wǎng)絡(luò)，需要能支持更多電子化的辦公服務(wù)。這些策略化的應(yīng)用需要更高的帶寬、更好的網(wǎng)絡(luò)可靠性以及較好的應(yīng)用響應(yīng)時間。這就需要將氣象部門內(nèi)各種不同應(yīng)用的信息資源，通過高性能的網(wǎng)絡(luò)設(shè)備能夠做到互聯(lián)互通，需采用高性能千兆以太網(wǎng)技術(shù)，以充分滿足應(yīng)用發(fā)展對主干帶寬的需求。鑒于以上，網(wǎng)絡(luò)需要實現(xiàn)“百兆桌面，千兆骨干”的網(wǎng)絡(luò)，為文件傳輸、多媒體應(yīng)用以及視頻監(jiān)控等服務(wù)提供充足的桌面帶寬。

1.2 局域網(wǎng)安全及穩(wěn)定要求

根據(jù)不同的業(yè)務(wù)狀況建立了內(nèi)外局域網(wǎng)，內(nèi)外網(wǎng)處于不連接狀態(tài)。搭建整個安全系統(tǒng)，并針對應(yīng)用和信息密級對安全子系統(tǒng)和安全邊界進(jìn)行劃分，對不同的安全子系統(tǒng)，提出相應(yīng)的安全策略和

內(nèi)外網(wǎng)核心交換機(jī)能夠?qū)崿F(xiàn)高可靠性，否則面臨“核心出現(xiàn)故障，全網(wǎng)癱瘓”的局面，因此核心交換機(jī)實現(xiàn)雙引擎，冗余電源和風(fēng)扇。

1.3 網(wǎng)絡(luò)管理

建設(shè)后的網(wǎng)絡(luò)涉及到的設(shè)備種類、數(shù)量較多，要求維護(hù)人員耗費很多時間在日常管理中。因此，迫切需要建立統(tǒng)一的網(wǎng)絡(luò)管理平臺，能夠集成第三方的設(shè)備及網(wǎng)絡(luò)管理系統(tǒng)，實現(xiàn)設(shè)備和網(wǎng)絡(luò)的管理，保證整個網(wǎng)絡(luò)的正常運行。

2 網(wǎng)絡(luò)建設(shè)方案

根據(jù)設(shè)計要求，整個網(wǎng)絡(luò)采用扁平化設(shè)計理念，分成核心層、接入層，同時根據(jù)用途不同劃分為光纖接入、6類線接入這幾個區(qū)塊。

2.1 核心層

為了保證核心層的高性能、高可靠性，核心層采用高性能千兆路由交換機(jī)，該設(shè)備處于網(wǎng)絡(luò)的核心位置，可提供線速千兆接口，并可向更高容量平滑擴(kuò)展。該設(shè)備要求基于分布式的硬件轉(zhuǎn)發(fā)和無阻塞交換技術(shù)，具有RRPP等可靠性保護(hù)機(jī)制，有效保證了全網(wǎng)運行的高速可靠。具備電信級可靠性，滿足不斷增長的數(shù)據(jù)和互聯(lián)網(wǎng)業(yè)務(wù)對網(wǎng)絡(luò)骨干設(shè)備的需求，可實現(xiàn)IPv4向IPv6的平滑過渡，是 IP全網(wǎng)向?qū)拵Щ踩?、業(yè)務(wù)化發(fā)展的重要源動力。

2.2 接入層

網(wǎng)絡(luò)布6類線，且設(shè)備整體使用年限較長（10年～20年），設(shè)備具備大容量，達(dá)到單臺32G以上的背板容量，同時要具備完善的高可靠保護(hù)機(jī)制；支持BFD鏈路快速檢測，能為多種協(xié)議提供毫秒級檢測機(jī)制，提高網(wǎng)絡(luò)可靠性。能滿足用戶和設(shè)備安全管理需要，能保證了話音、視頻和數(shù)據(jù)等網(wǎng)絡(luò)業(yè)務(wù)質(zhì)量。同時支持多種安全技術(shù)，為網(wǎng)絡(luò)穿上堅實的保護(hù)衣。

3 安全建設(shè)方案

信息安全系統(tǒng)是信息化建設(shè)的重點工作之一，是信息安全的基本保障。針對網(wǎng)絡(luò)安全威脅分析，網(wǎng)絡(luò)安全系統(tǒng)主要從以下幾個方面入手：

1）部署網(wǎng)閘

內(nèi)外網(wǎng)使用網(wǎng)閘嚴(yán)格物理隔離。為了徹底隔絕來自外網(wǎng)的攻擊以及病毒，內(nèi)、外網(wǎng)嚴(yán)格物理隔離并做好屏蔽保護(hù)。服務(wù)器、網(wǎng)絡(luò)連接設(shè)備、終端計算機(jī)均不在內(nèi)、外網(wǎng)混合使用。并通過網(wǎng)管軟件監(jiān)測網(wǎng)絡(luò)使用及設(shè)備服務(wù)情況。

2）核心防火墻系統(tǒng)

在內(nèi)外網(wǎng)入口處設(shè)置防火墻。防火墻可以確定哪些內(nèi)部服務(wù)允許外部訪問，哪些外人被許可訪問所允許的內(nèi)部服務(wù)，哪些外部服務(wù)可由內(nèi)部人員訪問。服務(wù)器區(qū)設(shè)置硬件防火墻確保服務(wù)器內(nèi)數(shù)據(jù)不被非法篡改。并且防火墻本身具有較強(qiáng)的抗攻擊能力。它是提供信息安全服務(wù)，實現(xiàn)網(wǎng)絡(luò)和信息安全的基礎(chǔ)設(shè)施。

3）核心IPS系統(tǒng)

內(nèi)外網(wǎng)建立入侵防御系統(tǒng)（IPS）。IPS（Intrusion Prevention System）即入侵防御系統(tǒng)對網(wǎng)絡(luò)七個層次進(jìn)行全面檢測以及防護(hù)的軟、硬結(jié)合的系統(tǒng)。部署入侵保護(hù)系統(tǒng)，能夠有效監(jiān)控和審計各種網(wǎng)絡(luò)訪問行為，保證網(wǎng)絡(luò)系統(tǒng)的安全穩(wěn)定運行，同時能夠及時掌握內(nèi)網(wǎng)的安全隱患，采取措施，解決安全問題。在內(nèi)外網(wǎng)中部署2臺入侵防御系統(tǒng)，綜合多種檢測和分析技術(shù)，最大限度降低了漏報和誤報發(fā)生的概率，實現(xiàn)針對這些核心交換機(jī)上的數(shù)據(jù)流進(jìn)行深層分析，監(jiān)控和審計這些線路上的網(wǎng)絡(luò)異常流量和異常網(wǎng)絡(luò)使用行為。

4 網(wǎng)絡(luò)管理方案

本文所描述網(wǎng)絡(luò)的網(wǎng)絡(luò)管理軟件和網(wǎng)絡(luò)硬件設(shè)備對SNMP網(wǎng)絡(luò)管理協(xié)議都必須有完備的支持，而且所支持的所有SNMP管理信息庫（MIB）的定義都可以免費提供給用戶或第三方。網(wǎng)絡(luò)管理軟件無須修改便能運行于當(dāng)前主流的操作系統(tǒng)之上。包括Windows 2000 Server、SUN Solaris。通過使用面板管理，可以實現(xiàn)實時、歷史等多層面的性能監(jiān)控和流量趨勢分析，從而對網(wǎng)絡(luò)調(diào)優(yōu)、故障定位、擴(kuò)容升級提供合理依據(jù)。運營商和客戶都十分關(guān)心業(yè)務(wù)的運行狀況，業(yè)務(wù)管理系統(tǒng)提供這些數(shù)據(jù)報表有利于雙方了解業(yè)務(wù)運行狀況，將大大提高運營商的客戶滿意度。

5 結(jié)論

本文所述的局域網(wǎng)絡(luò)規(guī)劃、設(shè)計方案完全遵循當(dāng)前縣級氣象部門的發(fā)展要求。隨著縣級氣象部門對業(yè)務(wù)網(wǎng)絡(luò)的重視，當(dāng)前的局域網(wǎng)規(guī)劃設(shè)計是一項系統(tǒng)工程，本文淺談了滿足縣級氣象業(yè)務(wù)發(fā)展的局域網(wǎng)的需求分析和性能分析，最后提出解決方案，對局域網(wǎng)進(jìn)行了總體結(jié)構(gòu)設(shè)計。

[1]羅弘.局域網(wǎng)網(wǎng)絡(luò)安全建設(shè)中需要把握的三個技術(shù)環(huán)節(jié)[J].空中交通管理，2010，8：41-43.

[2]鄧鋒.企業(yè)局域網(wǎng)絡(luò)安全策略分析[J].科園月刊，2010，4：29-30.