文｜西安旭龍電子技術(shù)有限責(zé)任公司 武永斌

近年來，信息技術(shù)發(fā)展迅猛，成果矚目，“信息化”這幾個字被稱作發(fā)展的翅膀、高科技的象征，隨處可見。全社會都在響應(yīng)政府號召，齊力建設(shè)信息化的載體和標志——網(wǎng)絡(luò)。那么如何針對不同的應(yīng)用和環(huán)境建設(shè)符合自身條件的定制網(wǎng)絡(luò)呢？筆者通過在陜西省圖書館網(wǎng)絡(luò)的建設(shè)中，對實現(xiàn)網(wǎng)絡(luò)的安全、可靠和可管理性，保障網(wǎng)絡(luò)的正常運行方面頗有心得，整理此文與大家分享。

陜西省圖書館新館建筑面積4.7萬平方米，藏書500余萬冊，其建設(shè)規(guī)模在全國省級公共圖書館名列前茅。配套的陜西省圖書館管理信息系統(tǒng)除了實現(xiàn)圖書館五大基本業(yè)務(wù)模塊的全部自動化外，還具有數(shù)字化信息的采集、存儲及加工處理的功能，這些數(shù)字化的信息存儲在書目數(shù)據(jù)庫、特色文獻數(shù)據(jù)庫及讀者數(shù)據(jù)庫等專業(yè)數(shù)據(jù)庫中，通過Web網(wǎng)站24小時為全世界的讀者提供服務(wù)。該網(wǎng)絡(luò)投資規(guī)模大，設(shè)備檔次高，有一定的代表性。在此，就系統(tǒng)的冗余和內(nèi)網(wǎng)安全特性方面加以分析。

1 冗余特性

為了保證整個系統(tǒng)的可靠性，最大限度地縮短宕機時間，我們在設(shè)計和實施中突出了冗余性和模塊化兩個特點。為了實現(xiàn)網(wǎng)絡(luò)的冗余性，我們選用兩臺配置相同的Cisco Catalyst 6509做中心交換機，各配備雙引擎，兩臺交換機通過兩條千兆光纖互連同時運行，四塊引擎分擔(dān)交換和VLAN路由工作。當某臺交換機宕機時，另一臺立即接管它的全部作業(yè)，而接管的過程對用戶是透明的。二級交換機選用Cisco Catalyst 3512，分別用千兆光纖連接兩臺中心交換機，這樣即使某臺6509或某根光纖中斷，網(wǎng)絡(luò)還能保證暢通。由于采用冗余鏈路設(shè)計，網(wǎng)絡(luò)主干存在環(huán)路，為了在鏈路層解決環(huán)路問題，在所有主干交換機上運行生成樹協(xié)議，保證在任意時刻，在某兩臺交換機的同一VLAN之間只有一條激活的鏈路，從而防止環(huán)路出現(xiàn)。

網(wǎng)絡(luò)的冗余實現(xiàn)了，作為應(yīng)用核心的服務(wù)器又是怎么實現(xiàn)冗余的？本項目共配備五臺IBM RS/6000系列企業(yè)服務(wù)器，分別為H80兩臺、B80一臺、B50兩臺。為了保證24小時在線，所有服務(wù)器都配置雙網(wǎng)卡，分別連接兩臺中心交換機，形成冗余連接，連接方法如圖1所示。其中兩臺H80做雙應(yīng)用互備雙機系統(tǒng)，保證主要應(yīng)用軟件的不間斷服務(wù)。

2 內(nèi)網(wǎng)安全

圖1 主機連接圖

大家都在強調(diào)安全，都在注視著尼姆達、木馬及黑客的遠程攻擊，卻往往忽視了最安全的也是最危險的地方——內(nèi)網(wǎng)。如何保證內(nèi)網(wǎng)的安全和秩序？我們采用了防火墻和VLAN相結(jié)合的解決方案。利用VLAN技術(shù)，可以邏輯劃分廣播域，有效地控制廣播風(fēng)暴，提升網(wǎng)絡(luò)整體性能，還可將不同權(quán)限的用戶群有效地隔離開來，防止內(nèi)部無關(guān)人員非法訪問受保護的信息。實施時，首先建立多個VLAN，每個VLAN對應(yīng)一組安全級別相同的用戶，然后為每個VLAN分配一個獨立的IP網(wǎng)段，最重要的是一定要將用戶接入的交換機端口劃分到相應(yīng)的VLAN中，這樣做的優(yōu)點是可以防止用戶私自改換IP地址到別的IP網(wǎng)段，盜用IP地址。在中心交換機的第三層路由模塊上設(shè)置不同VLAN之間的訪問策略，從而使各VLAN之間的訪問完全在管理員的控制之下。

建立了VLAN后，如何將分散在各個交換機上的VLAN和屬于同一VLAN而分散在多個交換機上的用戶邏輯的組合起來，實現(xiàn)統(tǒng)一管理？在本系統(tǒng)中，我們采用Cisco提出的VTP解決方案，將中心交換機設(shè)置為VTP Server，建立VTP域“Shengtu”，將所有二級交換機設(shè)置為VTP Client，加入VTP域，將連接中心交換機和二級交換機的鏈路設(shè)置為802.1Q Trunk，這樣VTP的環(huán)境就搭建起來了。實施中先統(tǒng)一在VTP Server即中心交換機上建立VLAN，然后通過Trunk將VLAN更新信息傳遞到VTP Client即二級交換機上，接著就可以將交換機的端口根據(jù)需要劃分到相應(yīng)的VLAN，最后只要VTP Server和VTP Client間定期的傳遞更新，這樣就實現(xiàn)了全圖書館所有VLAN的統(tǒng)一管理。

上面描述的主要是針對內(nèi)網(wǎng)用戶間的安全措施，另外我們還使用了硬件防火墻來實現(xiàn)針對外網(wǎng)的保護措施。在防火墻上共安裝四塊網(wǎng)卡，分別連接外網(wǎng)、內(nèi)網(wǎng)、撥號接入用戶和對外服務(wù)的Web、E-Mail等服務(wù)器。在防火墻上通過配置實現(xiàn)四個接口間的訪問策略，可以有效的保護來自外網(wǎng)和內(nèi)網(wǎng)等對服務(wù)器的安全威脅。

因為內(nèi)網(wǎng)和服務(wù)器首先連接6509，然后再上聯(lián)防火墻。如何在6509上將這兩個區(qū)域完全隔離，使它們之間只能通過防火墻進行訪問，且不會出現(xiàn)重復(fù)的路由？我們特意在6509上將服務(wù)器連接接口全部劃分到一個VLAN中，然后在6509的第三層路由模塊上，不為該VLAN建立虛擬子接口，使其與其余VLAN之間不可能通過第三層路由模塊通信，只能通過網(wǎng)關(guān)即防火墻。經(jīng)過測試，這種方法完全可行，內(nèi)網(wǎng)用戶必須通過防火墻才能訪問服務(wù)器，實現(xiàn)隔離。

3 結(jié)束語

網(wǎng)絡(luò)的建設(shè)工作不應(yīng)該僅僅是網(wǎng)絡(luò)設(shè)備的簡單互連和即插即用，除了可以互相ping通和可以訪問Internet外，還應(yīng)該對安全、性能和可管理性等方面加以設(shè)計，使網(wǎng)絡(luò)不僅僅是設(shè)備的互連，更應(yīng)該是建設(shè)者們思想的體現(xiàn)、辛勤的勞作和智慧的結(jié)晶。

每天，大大小小類似陜西省圖書館的計算機網(wǎng)絡(luò)系統(tǒng)都在繁忙地為信息的傳遞而運行著、服務(wù)著。在黑客攻擊之前都是安全的，沒有發(fā)生類似丟失數(shù)據(jù)或用戶之間無法訪問的事件。雖然我們不能保證這樣的事情絕對不會發(fā)生，但至少我們看到了危險的存在，并為阻止這種事情的發(fā)生而努力著。

網(wǎng)絡(luò)作為信息的載體，是快捷的、便利的，但同時也是開放的、脆弱的。它需要我們?nèi)ソㄔO(shè)，更需要我們?nèi)ケＷo。