地震數據災備中心組網設計與安全維護探討

◆牛詩川

（中國地震局第二監測中心 陜西 710054）

數據中心是數據存儲、計算和交互的場所，在各行各業的信息化進程中都起到了至關重要的作用，也是當前我國大力發展的新基建方向之一。組網技術是連通數據中心中各個節點以及服務對象的橋梁。本文將對地震數據災備中心組網設計過程中涉及的關鍵技術及安全維護等方面內容進行探討。

1 地震數據災備中心組網關鍵技術

地震數據災備中心的主要功能是實現國家地震觀測數據異地安全備份容災和提供地震云計算服務，必須依靠一套標準完備網絡架構和組網策略，才能更好地服務信息化現代化防震減災的業務需求。組網設計整體網絡拓撲架構如圖1 所示，包括地震行業網接入、數據中心核心網絡設計、科研辦公網絡接入配置等關鍵技術模塊。

圖1 地震數據災備中心網絡拓撲圖

1.1 地震行業網接入

部分地震業務例如速報業務和測震業務等數據傳輸不能中斷，甚至有時業務響應時間達到秒級，因此在網絡傳輸上，地震數據災備中心采用兩條百兆數據鏈路專線形成主備模式自動切換，避免一條鏈路出現故障從而中斷業務造成嚴重后果，因此主備雙鏈路組網方式可有效避免出現網絡鏈路或網絡系統單點故障，從而極大提高了網絡數據傳輸的可靠性。兩條鏈路配置不同的ⅠP 地址和路由信息，且不能有等價路由出現。OSPF 協議非常適合對地震行業網，主要體現在收斂速度、帶寬占用、路徑選擇、網絡規模支持、穩定性和安全性高等方面等優勢[1]。地震數據備份中心采用OSPF 路由協議設定整個鏈路的開銷值，即COST 值，選擇開銷值最小的路由路徑作為最優的路徑，因此兩條鏈路中只要一條COST 值大于原默認COST 值就可以使之成為備份鏈路，便可防止等價路由的出現，配置信息如表1 所示。

表1 行業網鏈路配置信息表

1.2 數據中心核心網絡設計

在地震行業網鏈路分節點上，為了降低數據中心網絡復雜性，提高性能、利用率和可靠性，滿足數據中心數據橫向流動大于縱向的特性，使用僅包括核心層和接入層的二層扁平化網絡結構，并結合CSS（Cluster Switch System）集群技術，是目前地震數據災備中心的組網優化方案。CSS 集群技術通過將多臺交換機虛擬為一臺的方式，具備了簡化網絡結構、易于維護管理、穩定高效運行等特點[2]。利用CSS 技術，部署2 臺CE12808 核心交換機虛擬成一臺邏輯交換機，接入層交換機CE5850 采用冗余和鏈路聚合技術，分別于核心層交換機兩兩互連（如圖2），簡化網絡管理，充分保證地震數據傳輸高性能和高可用性。

圖2 核心網絡連接圖

1.3 科研辦公網絡接入配置

考慮到數據災備中心所運行和存儲的不同密級的業務和數據，需要對各類科研辦公部門接入訪問權限進行劃分。根據地震業務科室和處室不同功能，在交換機上劃分不同的VLAN，根據有線網和無線網不同接入方式的安全性來進行具體訪問權限配置。

有線網采納GPON 為首選解決方案，GPON 技術定義為針對1 Gbit/s 以上的PON 標準，這種標準首先能支持更高速率傳輸，其次具備支持全業務、組網效率更高等特點，是目前地震行業內網通架構接入網的一種理想解決方式。使用高寬帶傳輸能力的GPON 無源光網絡技術結合LAN 的布線技術來設計辦公建筑網絡，PON 技術實現光纖到辦公室（FFTo），不同的ONT 下透傳不同VLAN 從而精細控制用戶訪問請求。

無線網絡采用目前主流的無線控制器+瘦AP 架構進行無縫覆蓋，能夠對無線網絡靈活管理配置，提高網絡維護效率，認證方式為802.1x 和Portal 等多種認證方式，輸入用戶名密碼即可完成驗證。AC 使用銳捷W5320 和認證服務器SMP 連接互聯網核心交換機，核心交換下連24 口POE，所有AP 均采用POE 供電。

2 網絡安全防護措施

數據中心信息安全的目標核心是：保密性、完整性、可用性、可控性和不可否認性五個安全目標[3]。而現階段數據中心存在的網絡安全風險問題種類繁多，例如系統漏洞、網絡病毒、黑客惡意攻擊等都會給地震行業造成不可估量的后果?；诳赡艽嬖诘母鞣N網絡安全風險問題，網絡安全防護主要采用入侵防御系統（ⅠPS）、下一代防火墻（NGFW）、用戶行為管理與審計系統等。

地震數據災備中心均采用單機透明部署，分別作用在互聯網出口和行業網出口上，同時針對WEB 系統使用WEB 應用防火墻，所有關鍵設備都采用雙機部署，保證系統的高可用性。同時配備漏洞掃描系統，對系統安全脆弱性檢查，防止滲透攻擊等行為。

（1）入侵防御系統由兩塊ⅠPS 板卡組成，并通過HA 線纜連接，組成高可用的防御系統，通過系統自帶的規則庫去主動防御各類攻擊行為，可有效減少來自互聯網的各種攻擊。

（2）防火墻采用下一代防火墻設備，透明橋接在網絡中，主要用來定義安全邊界，整個網絡系統被分為可信區、非可信區和DMZ區，不同區域使用不同的安全策略。完成非可信區域訪問可信區域的安全要求。并通過工作在雙機負載分擔模式，無單點故障。配置系統時只需配置其中一臺防火墻，配置將會同步到另外一臺設備上，保證安全的同時并且高可用。

（3）使用行為管理和內容審計系統，通過對時間段、用戶組、應用等進行管理，可精確管理應用特征庫的任何應用，并對用戶的操作內容進行審計，可追蹤可溯源。

（4）漏洞掃描系統遠程安全評估，主要包含主機漏洞掃描和WEB 應用系統掃描兩大功能模塊，可對地震行業網內所有單位的主機或者WEB 應用系統進行掃描，主動發現漏洞，及時修復。系統采用旁路部署，可對地震行業用戶進行集中或者定制化掃描服務。

3 維護技術與措施

3.1 網絡系統維護策略和步驟

正常情況下網絡運維人員需通過運維審計系統（堡壘機）來管理目標網絡設備，通過目標設備提供的管理方式進行管理。

（1）配置定期備份：定期對各個網絡設備的配置定期備份，利用TFTP 工具將配置文件直接傳至FTP 服務器。

（2）變更步驟：當設備配置需要變更時，首先相關技術人員對變更方案進行論證，確認無誤后，定制緊急預案，然后進行變更，變更完成后，需觀察相關業務系統運行狀況，如有異常及時回滾原配置。

（3）網絡設備割接或升級：提前做好預案，論證割接過程，確保業務系統不受影響或者受影響的時間盡量短。

3.2 日常檢測方式

（1）使用Nagios[4]和Cacti 對地震信息行業網絡流量進行監控，及時發現網絡問題。

（2）通過運維管理平臺對每個網絡設備進行輪詢監測，發現問題將用短信、郵件進行告警。運維系統通過每天的檢測數據形成設備的運行基線，設定閾值，當網絡設備運行參數偏離基線數據值的時候觸發告警。

（3）定期去機房內部人工巡檢，監測各設備的工作狀態，發現物理故障及時處理。

4 結語

本文基于地震數據災備中心網絡安全性和可靠性的基本要求，統一規劃設計了包括行業網分節點專線、核心網架構、科研辦公網等主要單元的建設方案，合理應用行業網主備雙鏈路、CSS 集群技術、VLAN 權限劃分等關鍵技術，并對災備中心網絡安全防護系統和后期維護策略等做了深入探討，以確保國家地震觀測數據異地安全備份容災和地震云計算服務的順利開展。此外，本設計方案和技術探討也可以為各行業的數據中心組網建設提供有效參考，以推動我國新基建建設發展。