李懷志,曾 勇,李 皓

(貴州省人工影響天氣辦公室，貴州 貴陽 550081)

0 引言

現(xiàn)代計算機系統(tǒng)的功能越來越復雜，網(wǎng)絡功能也越來越強大，它們對社會各行各業(yè)都產(chǎn)生了巨大而深遠的影響。同時，由于其開放性，安全問題變得越來越突出。但是，隨著人們越來越依賴計算機網(wǎng)絡，網(wǎng)絡安全也變得越來越重要。網(wǎng)絡安全性是指網(wǎng)絡系統(tǒng)的硬件、軟件及其系統(tǒng)中的數(shù)據(jù)受到保護，不因偶然的或者惡意的原因而遭到破壞、更改、泄露，系統(tǒng)連續(xù)可靠正常地運行，網(wǎng)絡服務不中斷。具體來說，網(wǎng)絡安全必須做到：保護個人隱私，控制對網(wǎng)絡資源的訪問，確保信息在網(wǎng)絡上傳輸?shù)臋C密性、完整性和真實性[1]。

人工影響天氣技術(shù)是自20世紀四五十年代由美國科學家開創(chuàng)的一項科學技術(shù),目的是通過科學人工的手段對局部的天氣造成影響,使得天氣為人類的生產(chǎn)生活需求而服務。這門科學實施難度高,同時對人類生產(chǎn)生活的意義非常重大,在對水資源的保護和補充以及減少惡劣天氣對農(nóng)業(yè)生產(chǎn)影響的方面有著明顯的作用[2]。自20世紀80年代開始，貴州省就組織開展人工影響天氣作業(yè)，人工防雹增雨已成為糧食和烤煙等生產(chǎn)的“保護傘”，是農(nóng)民從事農(nóng)業(yè)生產(chǎn)的“定心丸”。近年來，貴州省人工影響天氣工作取得較大發(fā)展，政策環(huán)境不斷優(yōu)化，作業(yè)規(guī)模不斷擴大，服務領域不斷拓展，綜合實力顯著提升，防災減災效益明顯。

隨著人工影響天氣業(yè)務的不斷發(fā)展，對于服務產(chǎn)品的集成、信息共享等服務的需求也在不斷增加，人工影響天氣業(yè)務得到相應改善。但是，生產(chǎn)環(huán)境與測試環(huán)境數(shù)據(jù)混用、研發(fā)網(wǎng)絡與辦公和業(yè)務網(wǎng)絡聯(lián)通等，不但對數(shù)據(jù)安全造成了極大的威脅，也對實際業(yè)務正常運行帶來很大的隱患[3]。構(gòu)建安全保護系統(tǒng)可提高人工影響天氣辦公室中網(wǎng)絡安全服務的性能，確保安全和順暢的通信，并確保傳輸，交換和共享天氣信息的效率、完整性和有效性。對于辦公區(qū)域，計算機的利用率非常高，例如報告工作、發(fā)布文檔、報告批準、在線學習等，但是所有這些工作活動都與網(wǎng)絡的正常運行密不可分。

1 辦公區(qū)的網(wǎng)絡現(xiàn)狀

目前，貴州省人工影響天氣辦公室的辦公區(qū)主要存在以下問題。

1.1 線路混亂

6樓辦公區(qū)的一部分內(nèi)網(wǎng)辦公的網(wǎng)線通過了2樓交換機的1根網(wǎng)線連到了2樓的樓層交換機上，導致線路不明。

1.2 沒有合理的VLAN劃分

VLAN是利用交換機虛擬劃分功能,將網(wǎng)絡劃分成邏輯上相互獨立的子網(wǎng)。子網(wǎng)劃分實現(xiàn)不在同一子網(wǎng)內(nèi)的主機不能通信,不同區(qū)域的主機保持一定獨立性。沒有合理的VLAN劃分使所有辦公區(qū)的網(wǎng)絡線路在同一VLAN上，導致一個VLAN區(qū)域的線路問題就會影響到其他所有的線路。

1.3 沒有IP的限制

IP地址是網(wǎng)絡中連接到Internet的每個主機的唯一標識符。合理地為辦公室區(qū)域中的主機分配IP地址以及如何有效管理這些地址是網(wǎng)絡穩(wěn)定性的先決條件。雖然各個辦公室有劃分IP使用地址段，但是因為在同一VLAN區(qū)域，所以個人可以隨意改變自己的IP地址，如果IP地址占用以后，可能導致其他需要使用該IP地址的設備無法正常使用。而往往又因為設備歸屬不清或者其他歷史原因，導致無法找到該IP地址的終端位置[2]。

1.4 缺少網(wǎng)絡拓撲圖

同時大樓內(nèi)部各單位共用同一VLAN，導致在網(wǎng)絡內(nèi)擁有大量終端的時候容易導致IP地址混亂不易于管理。所以對網(wǎng)絡進行整改，整改后拓撲以及設備管理地址如圖1 所示。

圖1 整改后的辦公區(qū)網(wǎng)絡拓撲圖Fig.1 Network topology map of the office area after rectification

2 具體維護辦法

2.1 VLAN及地址規(guī)劃

重新劃分VLAN，規(guī)劃各單位VLAN使用范圍，所有單位達成協(xié)議，只能使用本單位VLAN劃分范圍的IP地址，以達到最大限度減少因個人更改地址對其他終端造成的影響[4]。

2.2 線路排查

在部分接入交換機端口插入的跳線缺少標簽，所以無法確認交換機的某些端口具體接入到哪個辦公室的終端，給接入交換機的配置帶來困難，所以在對設備進行配置之前還需要網(wǎng)絡物理線路進行排查和確認。

2.3 設備配置

在此次網(wǎng)絡更改中，主要內(nèi)容分別是更改終端的靜態(tài)地址、二層接入交換機端口的VLAN劃分以及核心交換機中網(wǎng)關和VLAN地址配置。在設備配置的過程中會造成大量辦公網(wǎng)絡中斷，因劃分VLAN和地址較多，且需要配置各個接入交換機，所以無法在短時間內(nèi)全部完成，盡量在不影響大樓正常辦公的情況下完成設備配置[5]。

2.4 網(wǎng)絡設備升級與更新

2.4.1 核心交換機 以前內(nèi)外網(wǎng)分別使用一臺以太網(wǎng)交換機作為核心交換機,該系列交換機為老一代產(chǎn)品，交換機容量為960 Gbps,轉(zhuǎn)發(fā)率為720 Mpps,隨著網(wǎng)絡發(fā)展的趨勢，已有的核心交換機性能滿足不了辦公區(qū)的使用需求，而且都是單臺核心，萬一出現(xiàn)故障，整個網(wǎng)絡將癱瘓。故此次配置一臺7503E-M高端多業(yè)務路由交換機作為內(nèi)網(wǎng)的核心層交換機備用機。該交換機基于H3C自主知識產(chǎn)權(quán)的Comware V5 /V7操作系統(tǒng)，并使用IRF2(智能彈性框架2，第二代智能靈活體系結(jié)構(gòu))和IRF3(智能彈性框架3，第三代智能靈活體系結(jié)構(gòu))技術(shù)作為系統(tǒng)的基礎。虛擬化軟件系統(tǒng)，支持云數(shù)據(jù)集中所需的TRILL，EVB，F(xiàn)CoE和MDC(一個虛擬多個)技術(shù)，與40GE和100GE以太網(wǎng)標準完全兼容，并進一步集成了MPLS VPN，IPv6，網(wǎng)絡安全、無線、無源光纖網(wǎng)絡和其他網(wǎng)絡服務，提供不間斷的轉(zhuǎn)發(fā)，不間斷的升級，平穩(wěn)重啟，環(huán)形網(wǎng)絡保護和其他高可靠性技術(shù)，轉(zhuǎn)發(fā)性能≥2 880 Mpps，交換容量≥19.2 Tbps，并虛擬化了2臺核心交換機以滿足未來5～10 a的需求發(fā)展需求。

2.4.2 數(shù)據(jù)中心交換機 現(xiàn)有網(wǎng)絡的服務器接入?yún)^(qū)2臺交換機交換容量有限，且接口已經(jīng)用盡，不利于業(yè)務的開展。為避免在突發(fā)流量的情況下，網(wǎng)絡轉(zhuǎn)發(fā)丟包，服務器流量吃緊，本次配置了2臺高性能融合以太網(wǎng)交換機作為服務器區(qū)到核心交換機的轉(zhuǎn)接站。該交換機提供10/100/1000Base-T自適應以太網(wǎng)端口或10GE SFP+光口，并通過子卡可支持10GE電口、40GE QSFP+光口。向下可以提供千兆接入最終用戶或匯接低端交換機，向上可以通過萬兆或40GE光纖或者鏈路聚合匯聚到核心交換機。

S5560X-EI系列以太網(wǎng)交換機支持創(chuàng)新的VxLAN技術(shù)，可以同時支持VxLAN二三層網(wǎng)關，轉(zhuǎn)發(fā)性能≥222 Mpps,交換容量≥598 Gbps。保證服務器到核心交換機之間的數(shù)據(jù)流暢。

2.4.3 接入層交換機 接入層交換機考慮到以后的拓展需求，本次配置高性能千兆以太網(wǎng)交換機。轉(zhuǎn)發(fā)性能≥144 Mbbps,交換容量≥432 Gpps.提供4萬兆接口上行，貴州乃高原地區(qū)，雷雨季節(jié)較多，此款產(chǎn)品提供業(yè)界最高10 kV防雷。

2.4.4 光模塊 本次光膜塊考慮千兆光模塊和萬兆光模塊，數(shù)據(jù)中心到核心交換機使用萬兆光模塊，接入層交換機到核心交換機采用千兆光模塊，都使用雙鏈路上行的形式。

2.4.5 防火墻 防火墻是一種隔離技術(shù)，目的是實現(xiàn)安全的訪問控制，將內(nèi)部網(wǎng)絡和外部網(wǎng)絡分為兩部分。針對機房網(wǎng)絡的現(xiàn)狀，增加了防火墻。防火墻NGAF構(gòu)建了融合安全保護系統(tǒng)。通過集成安全功能，可以實現(xiàn)風險前預測、事件期間的全面保護以及事件后的檢測和響應的閉環(huán)。同時，安全功能的集成用于集中安全功能和數(shù)據(jù)，以避免防御缺陷并阻止高級威脅[8]。

2.5 互聯(lián)網(wǎng)行為管理

在辦公室區(qū)的機房中部署了在線運營管理設備，以滿足監(jiān)視、控制和管理網(wǎng)絡運營的需求。每臺計算機的MAC地址都綁定到一個IP地址，能有效地防止人們未經(jīng)授權(quán)訪問和使用可以訪問互聯(lián)網(wǎng)的網(wǎng)絡設備，同時解決了IP地址私自更改導致的IP沖突問題[6]。

2.6 堡壘機

一種合規(guī)性控制系統(tǒng)，用于控制和審核業(yè)務環(huán)境中的操作和維護操作。在辦公區(qū)域內(nèi)部署了堡壘機，以加強對業(yè)務運營的監(jiān)督，以確保業(yè)務系統(tǒng)的正常運行[9]。

2.7 日志服務器

將防火墻、網(wǎng)關日志發(fā)送到日志服務器，通過對日志的深入分析，可以識別系統(tǒng)運行問題，為解決問題提供有用的信息；它還可以檢查信息系統(tǒng)安全機制的有效性。

3 結(jié)論

通過此次網(wǎng)絡維護，達到了如下效果：

①將每個樓層的線路按樓層劃分，例如：6樓的網(wǎng)絡線路歸為6樓交換機使用。

②重新劃分VLAN，規(guī)劃各單位VLAN使用范圍，達到互不影響效果。

③所有單位達成協(xié)議，只能使用本單位VLAN劃分范圍的IP地址。

④梳理出所有的網(wǎng)絡終端，畫出完整的拓撲圖。

⑤保障辦公區(qū)內(nèi)部計算機內(nèi)網(wǎng)網(wǎng)絡系統(tǒng)整體平穩(wěn)、高效地運行。