聊城市氣象局網絡結構優化及雙線熱備的設計

◆李 楠 孫青然 呂 博 席曉彤

聊城市氣象局網絡結構優化及雙線熱備的設計

◆李 楠 孫青然 呂 博 席曉彤

（聊城市氣象局 山東 252000）

聊城氣象局存在多套業務系統，網絡接入多家單位，網絡環境較為復雜。結合業務系統對網絡進行優化調整，使其更好地適應業務系統發展的需求。前期的網絡建設和運維過程中沒有做合理的全局規劃，造成現網的故障頻發和管理困難，通過統一規劃設計全網路由、VLAN和IP地址，確保了數據轉發路徑合理、通暢，同時也確保了網絡的安全可靠運行。雙線熱備在原有的聯通網絡專線的基礎上增加了一條移動專線，保持原有的設備，應用鏈路聚合的方式增加了鏈路帶寬及實時熱備線路，實現了各區縣氣象局至聊城市氣象局業務的實時熱備互連互通。

網絡優化；鏈路聚合；氣象業務

0 引言

計算機網絡從20世紀60年代誕生到現在，一直伴隨著計算機和通信技術的發展及相互滲透，這種結合的同時也促進了計算機網絡的快速發展[1]。計算機網絡對信息的收集、傳輸、存儲和處理起著非常重要的作用[2]。網絡是氣象事業的公共技術基礎設施，是氣象信息傳輸和氣象資料共享的基礎平臺，是氣象信息交換的先決條件[3]。氣象部門的網絡經歷了從無到有、從專用到通用，縣級和地市級都建立了小型局域網，縣局的局域網通過專線與市局和省局網絡互聯。

1 網絡結構

市局核心層使用華為S7700系列交換機，做為整網核心節點，承擔起全網數據的高速交換和轉發任務；接入層設備為華為S5700交換機三臺，互聯網防火墻使用華為防火墻USG6530，主要用于1NAT轉換和安全策略部署，實現內網用戶的安全及訪問互聯網的需求。同時通過IP地址的轉換和映射，實現區域自動站與內網服務器間的通信；市縣之間的互聯，通過重新規劃和配置調整，實現市縣間三層路由互通，縣局單位的網關在各自的交換機上，這樣每個縣局的二層流量就終結在各自縣局的交換機上，不會對核心交換機造成沖擊；在進行VLAN規劃時，按功能和業務系統進行分區分塊，對業務系統進行VLAN規劃時，其所占的VLAN區間應具備可擴展性。一個IP網絡中不能出現采用相同的IP地址這樣保證了地址的唯一性；連續的地址在分層結構的網絡中易于進行路由聚合，大大縮減路由表，提高路由算法的效率[4]；地址分配在每一層都留有余量，這樣可以在網絡規模擴展時能保證連續性[5]。

優化之前縣局的網關均部署在市局的核心交換機上，縣局本身的交換機相當于接入層設備，市縣網絡為二層交換架構，這種組網方式結構簡單，易于管理，但因市局網絡沒有匯聚層設備，各接入交換機直接互聯核心交換機，且網關終結在核心交換機上，即各接入交換機的二層流量也會終結在核心交換機上，二層廣播風暴及病毒等都會對核心交換機造成沖擊[6]。單個縣局單位出現的問題可能會對核心造成影響，繼而影響其他縣局網絡的正常運行。優化后市局和縣局之間采用三層路由組網，每個縣局將網關終結在各自的交換機上。

由于市局網絡內部路由節點不是特別多，且考慮市局和縣局間為10 MBPSSDH及備線路10 MBPSPTN線路的可能性，直接使用OSPF路由協議，這樣可以做到鏈路檢測及未來的主備線負載備份。骨干網和每個縣局接入單位作為一個單獨的OSPF區域。到其它單位的網絡一般采用靜態路由方式，通過將靜態路由重分布到OSPF進程。

圖1 聊城市氣象局網絡拓撲圖

2 OSPF規劃

RouteID規劃采用的是Loopback接口IP地址，OSPF核心區域骨干網設備作為OSPF的Area 0，每個接入單位與骨干網設備組網部署為不同的OSPF Area 1，2，…N。OSPF邊緣區域設計每個縣局接入單位的交換機與骨干交換機組網部署為不同的OSPF Area 1，2，…，N區域。與原先的普通的完全OSPF區域相比，通過規劃減少LSA在區域間的傳播，減少路由條數，與stub區域相比較部署的路由協議更加靈活。還可以通過區域匯總限制區域間傳播的LSA條目。邊緣區域使用NSSA區域，能精簡骨干區域路由器的路由表，減少骨干區域內OSPF交互的信息量，提高路由表項的穩定性。一個區域的路由計算和網絡調整不會影響其它區域，因故障引起的路由震蕩被隔離在區域內部[7]。

電子政務縣級網絡的OSPF規劃如下：在現有網絡中，由于業務眾多和復雜，不同類型的業務對網絡質量要求不一樣。不僅需要保證用戶業務的流量帶寬要求，也需要根據流量中的業務類型（如語音業務、視頻業務、關鍵數據業務、普通上網業務等）來保證各種業務的帶寬和時延要求。在多業務共存的網絡中需要采用QoS技術對關鍵業務的網絡質量進行差異化保障。針對帶寬、時延、抖動、丟包率等要求，QoS可以通過優先級映射、流量監管、流量整形、隊列調度、擁塞避免等技術提升網絡服務質量[8]。

市局到省局之間有兩條20的MSTP線路，需承載數據類業務和語音視頻類業務，此時，省市路由器上需配置QOS，將關鍵數據類業務劃分到AF隊列，確保其在網絡擁塞情況下的不丟包；視頻類業務數據流使用EF隊列，確保其優先轉發，使得數據能夠實時傳輸，獲得更好的感官體驗。此外，使用路由策略，使數據類業務流優先選擇主線路進行傳輸，主線路故障時使用備線路傳輸；使視頻類業務流優先選擇備線路進行傳輸，備線路故障時使用主線路傳輸，這樣可以最大程度地利用線路使其實現負載，同時具備冗余備份功能[9]。

3 安全管理

氣象局目前內外網沒有做到物理隔離，網絡中的終端安全風險較高，病毒、木馬及其它惡意攻擊行為對網絡影響較大，可在以下幾個方面加強終端的安全管理：明確終端安全使用規范，終端上必須安裝防病毒軟件或防火墻，定期對終端進行病毒、木馬查殺及安全檢查；終端使用靜態IP地址，個人不得隨意更換IP地址。可在交換機上配置IP+MAC+端口綁定，在出現終端安全問題時可以迅速定位，便于問題排查；在巡檢過程中，可對端口流量異常的終端進行隔離或手動關閉該端口，待問題解決后再將其接入網絡。對于內網運行的多個業務系統之間，如無互相訪問的需求或關鍵型業務系統只有特定的人員主機能夠訪問，需在交換機上部署訪問控制列表ACL，對各vlan間或各終端主機間的訪問進行安全控制，對一些病毒木馬的攻擊行為，ACL也有一定的防范作用，互聯網防火墻使用華為防火墻USG6530，集防火墻、IPS、AV、VPN、上網行為管理和強大的路由功能于一體，提供安全、靈活、便捷的一體化組網和接入解決方案。SG6530作為互聯網出口防火墻，主要任務是對內網用戶或服務器進行地址轉換或映射，使其能訪問互聯網資源或互聯網用戶訪問氣象局服務器等。防火墻還配置了IPS、AV防病毒、上網行為管理特性，可對網絡邊界發現的攻擊行為進行有效防護，同時對內網用戶進行審計控制。

4 市-縣備份鏈路

雙線路備份一般可以分為兩種類型，雙線單設備及雙線雙設備。如圖1，聊城市氣象局采用的是雙線單設備，氣象局在原有聯通專線基礎上在市局核心交換機及各縣局交換機上接入移動PTN線路，當任何一方設備及線路出現故障時不會影響業務數據的傳送。采用的是LAG鏈路聚合組協議，將—組相同速率的物理以太網接口捆綁在一起作為一個邏輯接口來增加帶寬，并提供鏈路保護[10]。鏈路聚合的優勢在于增加鏈路帶寬，提高鏈路可靠性，當一條鏈路失效時，其他鏈路將重新對業務進行分擔，此外還可實現負載分擔，流量分擔到聚合組的各條鏈路上。以太網LAG保護可以實現端口的負載分擔。在負載分擔模式下，設置鏈路聚合組后，設備會自動將邏輯端口上的流量負載分擔到組中的多個物理端口上。當其中一個物理端口發生故障時，故障端口上的流量會自動分擔到其他物理端口上。當故障恢復后，流量會重新分配，保證流量在匯聚的各端口之間的負載分擔，實現了各縣氣象局至聊城市氣象局數據業務的互聯互通及專網實時熱備，對氣象業務數據起到了雙重保護的功能。

[1]吳學進.計算機網絡安全技術在網絡安全維護中的應用探討[J].數字通信世界, 2017.

[2]申健, 周倩芳.神經網絡在計算機網絡安全評價中的應用研究[J].網絡安全技術與應用,2017.

[3]張淯舒, 王慧強, 馮光升等.基于兩階段聚類的機會社會網絡路由算法[J].電子科技大學學報, 2017.

[4]王松.基于蟻群優化多路徑路由算法的研究與設計[D].山東大學, 2016.

[5]王有東.機會網絡的路由研究與節點設計[D].東南大學, 2016.

[6]趙勇, 趙淑芳.市級氣象局通信網絡高可靠性設計與構建[J].氣象科技, 2011.

[7]佀冉.內蒙古聯通IP網絡優化方案設計與實施[D].內蒙古大學, 2011.

[8]陳偉杰.基于主動隊列管理的擁塞控制策略及其穩定性研究[D].浙江工業大學, 2011.

[9]穆秀玫.雙頻分級Ad hoc網絡的組網協議設計與實現[D].電子科技大學, 2011.

[10]李杰.基于Chord算法的P2P路由表安全的研究[D].北京郵電大學, 2009.

聊城市創新團隊（基于ArcGis的災害性天氣識別跟蹤與自動報警系統）。