黃倩

摘要：衛(wèi)生局?jǐn)?shù)據(jù)中心網(wǎng)絡(luò)平臺(tái)承載著區(qū)域公共衛(wèi)生資源共享、業(yè)務(wù)串聯(lián)和協(xié)同的工作，隨著衛(wèi)生部門內(nèi)部信息資源和共享需求的迅速提升，需要對(duì)原有網(wǎng)絡(luò)進(jìn)行重新規(guī)劃和升級(jí)，以提高網(wǎng)絡(luò)平臺(tái)的健壯性和安全性。規(guī)劃工作包括網(wǎng)絡(luò)拓?fù)湟?guī)劃、局域網(wǎng)規(guī)劃、IP地址規(guī)劃、路由規(guī)劃、安全規(guī)劃、網(wǎng)管規(guī)劃等，根據(jù)規(guī)劃實(shí)施網(wǎng)絡(luò)配置，項(xiàng)目實(shí)施后進(jìn)行總結(jié)。

關(guān)鍵詞：優(yōu)化；網(wǎng)絡(luò)規(guī)劃；網(wǎng)絡(luò)安全

中圖分類號(hào)：TP393 文獻(xiàn)標(biāo)識(shí)碼：A 文章編號(hào)：1009-3044（2017）30-0008-02

筆者在浙江省臺(tái)州市金點(diǎn)信息技術(shù)有限公司進(jìn)行為期兩年的行業(yè)企業(yè)實(shí)踐鍛煉，期間參與了臺(tái)州市黃巖區(qū)衛(wèi)生局?jǐn)?shù)據(jù)中心網(wǎng)絡(luò)平臺(tái)的優(yōu)化工程建設(shè)項(xiàng)目。

隨著互聯(lián)網(wǎng)日益發(fā)展和滲透，各地政府部門將大量的業(yè)務(wù)投入到互聯(lián)網(wǎng)上運(yùn)行，衛(wèi)生局?jǐn)?shù)據(jù)中心網(wǎng)絡(luò)平臺(tái)是區(qū)域衛(wèi)生信息系統(tǒng)的核心，承擔(dān)了整個(gè)區(qū)域衛(wèi)生系統(tǒng)內(nèi)部信息資源交換與共享，網(wǎng)絡(luò)壓力嚴(yán)重，一旦出現(xiàn)故障將造成不可挽回的后果。因此數(shù)據(jù)中心委托臺(tái)州金點(diǎn)信息技術(shù)有限公司對(duì)中心網(wǎng)絡(luò)平臺(tái)進(jìn)行合理優(yōu)化，以期提高網(wǎng)絡(luò)平臺(tái)的健壯性與安全性，保證業(yè)務(wù)的連續(xù)性。

1 項(xiàng)目背景

目前衛(wèi)生局雖然已擁有獨(dú)立的數(shù)據(jù)中心網(wǎng)絡(luò)平臺(tái)，但平臺(tái)創(chuàng)建已近十年，設(shè)備老舊，性能低下，無法承受住巨大的數(shù)據(jù)吞吐量。中心設(shè)備工作多年，不堪重負(fù)，隨著網(wǎng)絡(luò)平臺(tái)的業(yè)務(wù)量逐步提升，負(fù)擔(dān)逐漸加重，同時(shí)內(nèi)部人員上網(wǎng)需求不斷提升，數(shù)據(jù)中心網(wǎng)絡(luò)平臺(tái)時(shí)常出現(xiàn)各種問題，已無法很好地提供服務(wù)。

設(shè)備中心原先的運(yùn)行的網(wǎng)絡(luò)系統(tǒng)，主要存在以下問題：設(shè)備老舊、鏈路帶寬不足、安全措施不到位、網(wǎng)絡(luò)備份不足等。其中設(shè)備老舊導(dǎo)致網(wǎng)絡(luò)性能較差，轉(zhuǎn)發(fā)數(shù)據(jù)錯(cuò)誤率居高不下，甚至有時(shí)還會(huì)導(dǎo)致設(shè)備死機(jī)，造成網(wǎng)絡(luò)癱瘓；鏈路帶寬不足導(dǎo)致數(shù)據(jù)傳輸?shù)倪^程中過于擁擠，從而引起高網(wǎng)絡(luò)延遲，甚至于數(shù)據(jù)傳輸失敗等情況的發(fā)生；安全措施的不到位則使得網(wǎng)絡(luò)易于被攻擊；網(wǎng)絡(luò)備份不足則會(huì)導(dǎo)致當(dāng)網(wǎng)絡(luò)設(shè)備出現(xiàn)故障的時(shí)候，整個(gè)網(wǎng)絡(luò)便會(huì)癱瘓，造成難以想象的巨大損失。

2 網(wǎng)絡(luò)規(guī)劃設(shè)計(jì)

2.1 網(wǎng)絡(luò)建設(shè)目標(biāo)

衛(wèi)生局?jǐn)?shù)據(jù)中心網(wǎng)絡(luò)平臺(tái)承擔(dān)了整個(gè)區(qū)域的衛(wèi)生系統(tǒng)內(nèi)部資源共享、業(yè)務(wù)串聯(lián)和協(xié)同工作的任務(wù)，有可能達(dá)到TB級(jí)的數(shù)據(jù)交互量，對(duì)設(shè)備的鏈路帶寬、交換容量等提出了巨大的要求，需要提供大容量的數(shù)據(jù)帶寬。同時(shí)數(shù)據(jù)中心網(wǎng)絡(luò)平臺(tái)為整個(gè)區(qū)域的衛(wèi)生互聯(lián)網(wǎng)服務(wù)提供網(wǎng)絡(luò)基礎(chǔ)，承擔(dān)巨大的訪問量的同時(shí)，也要對(duì)外網(wǎng)的攻擊起到安全防護(hù)的作用。

優(yōu)化后的網(wǎng)絡(luò)平臺(tái)架構(gòu)，需要具備高可用性、穩(wěn)定、高效的特點(diǎn)，足以支撐黃巖區(qū)整個(gè)區(qū)域衛(wèi)生系統(tǒng)信息交換和對(duì)外的安全防護(hù)，具體建設(shè)目標(biāo)包括：

1） 升級(jí)網(wǎng)絡(luò)帶寬，達(dá)到萬兆骨干，百兆獨(dú)立享到桌面；

2） 增強(qiáng)網(wǎng)絡(luò)的可靠性及可用性。網(wǎng)絡(luò)不會(huì)因?yàn)閱吸c(diǎn)故障而導(dǎo)致全網(wǎng)癱瘓，設(shè)備、拓?fù)涞纫锌煽啃员Ｕ?，不?huì)因雷擊而出現(xiàn)故障；

3） 網(wǎng)絡(luò)要易于管理、升級(jí)和擴(kuò)展。要滿足5年內(nèi)因人員增加、機(jī)構(gòu)增加而擴(kuò)展網(wǎng)絡(luò)的需求；

4） 確保內(nèi)網(wǎng)安全及同部門之間交互數(shù)據(jù)的安全。

2.2 網(wǎng)絡(luò)拓?fù)湟?guī)劃

根據(jù)現(xiàn)有網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)，結(jié)合建設(shè)目標(biāo)及實(shí)際需求，新規(guī)劃的拓?fù)浣Y(jié)構(gòu)如圖1：

圖1 網(wǎng)絡(luò)拓?fù)鋱D

本拓?fù)鋱D的核心網(wǎng)絡(luò)區(qū)域有四臺(tái)交換機(jī)設(shè)備其中右側(cè)兩臺(tái)設(shè)備進(jìn)行IRF虛擬化配置，將這兩臺(tái)交換機(jī)虛擬成一臺(tái)交換機(jī)，從而保證設(shè)備的可靠性。各臺(tái)交換機(jī)都互相連接其他的交換機(jī)，配置0SPF。在所有設(shè)備上都配置STP技術(shù)來保證無二層環(huán)路，防止廣播風(fēng)暴的發(fā)生。樓層交換機(jī)通過兩條鏈路鏈接到兩臺(tái)不同的交換機(jī)上，達(dá)到備份效果，同時(shí)路由器也通過兩條鏈路連接至交換機(jī)設(shè)備上，進(jìn)行鏈路備份，這樣當(dāng)某一個(gè)鏈路故障的時(shí)候也可以通過另外一條鏈路進(jìn)行通信。服務(wù)器區(qū)與IRF交換機(jī)直接連接，必要的設(shè)備通過鏈路聚合鏈接到交換機(jī)上，保證足夠的交換帶寬。

2.3 局域網(wǎng)規(guī)劃

局域網(wǎng)規(guī)劃包含VLAN規(guī)劃、鏈路聚合規(guī)劃以及端口隔離、地址捆挷規(guī)劃幾個(gè)部分。

1） VLAN規(guī)劃

使用VLAN來組建局域網(wǎng)，組網(wǎng)方案靈活，配置管理簡(jiǎn)單，降低了管理維護(hù)的成本。同時(shí)VLAN可以減小廣播域的范圍，減少LAN內(nèi)的廣播流量，是高效率、低成本的方案。

在本數(shù)據(jù)中心優(yōu)化方案中，服務(wù)器區(qū)及普通用戶區(qū)，部門之間需要進(jìn)行訪問控制，所以要進(jìn)行VLAN劃分。

網(wǎng)絡(luò)主要分為兩個(gè)部分，其一為服務(wù)器區(qū)，為服務(wù)器所屬區(qū)域，通常服務(wù)器區(qū)的物理主機(jī)數(shù)據(jù)不多，所以將IRF1和IRF2上的25-48一共48個(gè)端口劃給服務(wù)器區(qū)已經(jīng)夠用。其二為普通樓層區(qū)，為內(nèi)部用戶所在樓層的網(wǎng)絡(luò)，統(tǒng)一劃分為VLAN1403。

VLAN的劃分如下表1所示：

鏈路聚合是以太網(wǎng)交換機(jī)所實(shí)現(xiàn)的一種非常重要的高可靠性技術(shù)。通過鏈路聚合，多個(gè)物理以太網(wǎng)鏈路在一起形成一個(gè)邏輯上的聚合端口組，起到增加鏈路帶寬，提高鏈路可靠性的作用。

在本數(shù)據(jù)中心優(yōu)化方案中，對(duì)交換機(jī)進(jìn)行鏈路聚合后，上層實(shí)體把同一聚合組內(nèi)的多條物理鏈路視為一條邏輯鏈路，系統(tǒng)可以把不同的數(shù)據(jù)流分布到各成員端口中，從而實(shí)現(xiàn)負(fù)載分擔(dān)，大大提升了數(shù)據(jù)帶寬。鏈路聚合也提供了高可靠性，如若鏈路聚合組中某個(gè)端口出現(xiàn)故障，設(shè)備會(huì)從新計(jì)算每個(gè)端口分配的數(shù)據(jù)，而不會(huì)對(duì)網(wǎng)絡(luò)整體功能產(chǎn)生影響。

3） 端口隔離、地址捆綁規(guī)劃

在本數(shù)據(jù)中心網(wǎng)絡(luò)規(guī)劃中，對(duì)管理核心機(jī)密數(shù)據(jù)的服務(wù)器使用端口隔離技術(shù)，嚴(yán)格控制外部的訪問，并針對(duì)內(nèi)網(wǎng)中出現(xiàn)的ARP病毒等現(xiàn)象，在核心交換機(jī)上進(jìn)行端口捆綁。

2.4 IP地址規(guī)劃

在原先的數(shù)據(jù)中心網(wǎng)絡(luò)中，每個(gè)地方都使用的是192.168.0.0/24 網(wǎng)段，在新的網(wǎng)絡(luò)中需要對(duì)IP地址進(jìn)行重新規(guī)劃，采用可變長(zhǎng)子網(wǎng)掩碼和無類域間路由來節(jié)約IP地址空間。

子網(wǎng)和IP地址的劃分如表2所示。

2.5 路由規(guī)劃與安全規(guī)劃

為了未來網(wǎng)絡(luò)規(guī)劃擴(kuò)展考慮，采用OSPF（開放式最短路徑優(yōu)先）動(dòng)態(tài)協(xié)議。在網(wǎng)絡(luò)出口配置默認(rèn)路由，以便訪問外網(wǎng)，該路由下一跳為運(yùn)營(yíng)商路由器的接口地址。

在出口路由器上部署NAT，這樣不僅解決了網(wǎng)絡(luò)地址不足的問題，而且會(huì)將內(nèi)網(wǎng)IP地址屏蔽，在網(wǎng)絡(luò)上只有統(tǒng)一的對(duì)外公網(wǎng)IP，保障了內(nèi)網(wǎng)的安全。同時(shí)采用端口映射技術(shù)，將外網(wǎng)主機(jī)IP的一個(gè)端口映射到內(nèi)網(wǎng)之中的一臺(tái)服務(wù)器上，當(dāng)外網(wǎng)用戶訪問這個(gè)端口時(shí)，實(shí)質(zhì)上是在訪問內(nèi)部的服務(wù)器。通俗地講就是將一臺(tái)內(nèi)網(wǎng)主機(jī)映射到一個(gè)公網(wǎng)地址上，當(dāng)用戶訪問這個(gè)端口時(shí)，路由器會(huì)將這個(gè)請(qǐng)求轉(zhuǎn)發(fā)到內(nèi)網(wǎng)處理這個(gè)請(qǐng)求的服務(wù)器上。

安全規(guī)劃中還包括在路由器上通過ACL訪問控制列表來實(shí)現(xiàn)訪問控制。配置ACL后，可以限制網(wǎng)絡(luò)流量，允許特定設(shè)備訪問，指定轉(zhuǎn)發(fā)特定端口數(shù)據(jù)包等。

2.6 網(wǎng)管系統(tǒng)規(guī)劃

網(wǎng)管系統(tǒng)采用SNMP簡(jiǎn)單網(wǎng)絡(luò)管理協(xié)議和設(shè)備回環(huán)地址進(jìn)行管理，每個(gè)設(shè)備上配置Telnet為開啟狀態(tài)，方便設(shè)備的遠(yuǎn)程管理。

3 網(wǎng)絡(luò)配置實(shí)施

為了具象表現(xiàn)網(wǎng)絡(luò)配置實(shí)施過程，這里用H3C云實(shí)驗(yàn)室模擬器模擬搭建網(wǎng)絡(luò)環(huán)境。

按照設(shè)計(jì)方案，圖2所示搭建了一個(gè)網(wǎng)絡(luò)環(huán)境，現(xiàn)在HOSTA可以訪問外網(wǎng)即路由RTONET之外的網(wǎng)絡(luò)，同時(shí)可以訪問WebServer1；HOSTB可以訪問內(nèi)網(wǎng)服務(wù)器WebServer2，不可訪問WebServer1；WebServer1只有HOSTA能夠訪問。SW1、SW2、IRF1、IRF2上都使用了OSPF協(xié)議、TELNET、STP協(xié)議等技術(shù)，保障了網(wǎng)絡(luò)的高效性與可靠性。

4 總結(jié)

經(jīng)歷半個(gè)月的前期調(diào)研、網(wǎng)絡(luò)規(guī)劃、項(xiàng)目實(shí)施，順利完成了黃巖區(qū)衛(wèi)生局?jǐn)?shù)據(jù)中心網(wǎng)絡(luò)平臺(tái)優(yōu)化的建設(shè)工作，完成后效果比較滿意，達(dá)到了原先預(yù)定的目標(biāo)。

通過全程參與這個(gè)項(xiàng)目，積累了項(xiàng)目實(shí)戰(zhàn)的經(jīng)驗(yàn)，學(xué)習(xí)和了解了行業(yè)最新的技術(shù)和動(dòng)態(tài)，有利于推動(dòng)高等學(xué)校與企業(yè)合作，開發(fā)校企合作的課程內(nèi)容，也為下一個(gè)校企合作項(xiàng)目——嵊州市公安局網(wǎng)絡(luò)升級(jí)改造（網(wǎng)絡(luò)設(shè)備系統(tǒng)）規(guī)劃設(shè)計(jì)與順利實(shí)施打下了技術(shù)基礎(chǔ)。

參考文獻(xiàn)：

[1] 謝希仁.計(jì)算機(jī)網(wǎng)絡(luò)[M].北京：電子工業(yè)出版社，2013.

[2] 王云，黃曉彤，楊陟卓，楊威.網(wǎng)絡(luò)工程設(shè)計(jì)與系統(tǒng)集成[M].北京：人民郵電出版社，2010.

[3] 洪學(xué)銀.中小企業(yè)網(wǎng)絡(luò)構(gòu)建[M].北京：清華大學(xué)出版社，2013.

[4] 杭州華三通信有限公司.路由交換技術(shù)[M]. 北京：清華大學(xué)出版社，2016.

[5] 易建勛.計(jì)算機(jī)網(wǎng)絡(luò)設(shè)計(jì)[M].北京：人民郵電出版社，2011.

[6] 譚亮，何紹華.構(gòu)建中小型企業(yè)網(wǎng)絡(luò)[M].北京：電子工業(yè)出版社，2012.

[7] 張殿明，楊輝.計(jì)算機(jī)網(wǎng)絡(luò)安全[M].北京：清華大學(xué)出版社，2014.

[8] 程慶梅.網(wǎng)絡(luò)安全與防護(hù)[M].杭州：浙江大學(xué)出版社，2015.endprint