熊雄 李显风 李志鹏 邓卫华 江西省气象信息中心 南昌 330046

0、引言

近年来，信息网络已经遍布和渗透在全省气象现代化体系的各个领域、各个层面和各个环节，气象信息网络系统是现代气象业务体系的重要基础支撑，是现代气象业务的中枢和纽带。作为全面实现全省气象现代化的标志之一，气象信息网络的基础支撑作用的重要性更为凸显，当前江西省气象部门正在紧锣密鼓地开展省防灾减灾科技中心新大楼各相关业务系统的设计和建设，笔者通过对新大楼网络系统方案设计中采取的一些总体思路进行总结，探讨在系统设计中的相关设计理念和方法。

1、设计原则

1.1 架构通用性、预见性和可扩充性

省级气象信息大楼网络系统设计的一个最重要的基本原则就是规划时系统架构需满足现代气象业务可持续发展需求，设计必须具备一定的架构通用性和前瞻性，对于可预见的发展趋势，网络架构必须从当前设计中给予充分考虑，并提供无须进行大的改变而能适应未来5-10年网络升级的通用架构，最大限度保护投资，获得总投资成本优势。

目前，网络向多平台、多协议、异构型网络共存方向发展，其目标是将不同操作系统的终端、不同网络类型连成一个可协同工作的网络系统整体，所以大楼网络系统设计所选网络设备的通信协议要符合国际标准，而并不是一味追求高配置、高速率，在保证网络先进性的同时，选择具有良好扩展性和升级能力的网络设备，为今后系统的继续升级、扩展打下良好的基础。所以需考虑以下几点：

1.1.1、选用具有良好开放性的网络协议和平台，易于今后的扩充和升级。

1.1.2、系统采用结构化布线，并在汇聚/接入层分别利用三层/二层交换机组网，可方便地通过端口级联、插板扩充以及设备堆叠等方式满足网络系统内部信息点的增加，并今后还可根据气象业务发展需要，通过更换高配置的交换机来继续提高网络的传输速率。

1.1.3、针对新大楼网络系统信息流的特点，网络拓扑设计可采用树型结构，交换机的速率和其他性能总体上由高到低，方便今后高一级的设备被更高性能设备取代后，此设备可降级使用，方便利用已有设备资源。

1.1.4、通过网络管理、漏洞扫描、补丁分发等各种系统管理软件，可实现从内网中某一点对全网的网络软件、操作系统、数据库系统以及信息服务软件的更新和升级。

1.2、安全性、可靠性和稳定性

整个网络系统必须具有高安全性和一定程度的冗余。由于目前大多数省级气象信息网络仍是以逻辑隔离为主，物理隔离为辅，新大楼网络系统与互联网之间仍会进行数据交换，所以，建立高可靠、双核心、双路由的省级核心网络安全及信息安全防范体系就显得尤为关键。

1.3、可维护性和可管理性

省级气象信息新大楼网络系统是一个庞大而复杂的系统，其建成后的网络维护和管理十分关键，直接关系到整个网络能否稳定而可靠的运行。在网络架构设计时除需采用统一、成熟、可靠的建网模式，在绘制结构清晰的网络拓扑图之外，还需建立和规范全网的运行管理系统，实现网络资源的统一监控、管理和调度，为网络高效运行管理提供分析和决策依据。

1.4、设备兼容利旧性

在新大楼网络系统设计中，需要考虑到对现有业务系统的兼容性，兼顾新旧系统的升级过渡，并充分利用原有系统的成功经验，确保业务的稳定运行；对老大楼网络系统中购置年代较新、设备性能较好的核心设备可采取在新大楼中降级使用的合理利旧策略，以最大可能节省项目投资。

2、网络架构布局设计

通过对省局各业务应用单位和机关处室的广泛调研，逐一分析各单位网络应用需求，本着务实、节约、高效原则，笔者对新大楼网络系统的整体规划采取的总体设计策略是：高可靠的设计思想融合在结构设计、路由设计、应用服务设计的各个层面；针对业务网络应用需求实施全模块划分若干功能区设计；依照各区域特点对整网划分成三层或二层体系结构。

2.1、网络分区设计

省级气象信息大楼网络系统应合理划分网络区域，明确各分区边界防护，有利于故障排查和系统维护。一般来说，根据不同的省级气象业务应用需求划分为以下主要功能区：基础业务区、数据中心区、办公接入区、网络运维区、外联接入区、广域网接入区（又称宽带网接入区）、互联网接入区和视频会议中心，这其中有些功能区又可根据实际情况和经费条件进行合理的逻辑合并。如图1所示。

图1 省级气象信息大楼网络系统分区设计结构图

2.2、网络分层设计

系统设计中需对省级新大楼网络系统平台层次结构划分出清晰的核心层、汇聚层、接入层三层结构（在特殊区域，汇聚和接入层可扁平化设计），才能保证网络的稳定性、健壮性和可扩展性，以适应气象业务的不断发展。如图2所示。

图2 省级新大楼信息网络系统分层设计结构图

2.2.1 核心层

核心层构成了整个省级数据高速交换的核心，为各个功能分区提供高可靠、高稳定和支持快速愈合的第三层接入服务。省级气象的业务应用特点决定了网络核心层设计在具备大业务流量承载能力的同时，还需具有高可靠性和必要的冗余度。为保证网络的可靠性，核心层应采用两台具备万兆业务流量承载能力的支持多架构和核心部件冗余的高端框式三层交换机。

2.2.2 汇聚层

汇聚层既是省级局域网各功能分区的交换核心，又提供各分区内部接入层的汇聚，作为各分区对外连接点，集中实现接入控制和安全控制。每个网络功能区域相对应一个汇聚层区域，根据每个汇聚层区域业务重要程度，可以采用一台或两台汇聚层交换机。省级局域网根据每个网络功能区域划分出相对独立的汇聚层区域，根据所承载业务的重要程度和规模大小，汇聚层内部区域可独立设计自己的结构，将汇聚、接入层分开，也可采用扁平化结构设计将此两个区域合并。

2.2.3 接入层

接入层位于各网络分区主机和服务器的接入点，具有高密度的接入能力，支持基于主机端口的访问控制，并针对接入的数据流进行标记工作，便于传输过程中逐级实现针对流量的QoS控制策略。省级气象信息大楼网络系统的接入类型分为无线接入、有线接入和基于互联网的VPN拨号接入。有线接入可实现局域网内的IP与MAC绑定，有效防止局域网内的ARP攻击；无线接入则可通过无线控制器的用户认证、传输加密、安全策略控制等多种方式提高局域网内无线用户接入的安全性（新大楼应要求只能采用无线瘦AP进行统一管理）；VPN拨号接入可通过SSL VPN接入设备划分用户区域，根据用户名和密码的不同分级别提供访问不同内网资源的权限。

此外，在最常见的48口和24口接入交换机的选择时，笔者认为如在数据量相对较小的办公接入区，可选用密度更高的48口全千兆接入交换机，以节约IDF设备间网络机柜的空间和接入设备的购置经费；但作为可能存在较大量数据交换的业务接入区，接入设备则建议采用24口全千兆接入交换机，以有效减少接入交换机的上行口瓶颈和减少单设备突发故障时的业务影响面。

2.3、网络物理设备部署

省级新大楼网络系统中的网络设备应该总体上按照网络设备和应用主机之间就近接入的原则。由于性价比最高的双绞线只有100M以内有效传输距离的限制，如需尽可能多采用此线缆进行网络接入连接，则离大楼主机房较远的终端信息点，最佳连接方式是通过最近的楼层IDF间接入到网络当中。为了提高IDF间接入设备的利用率，可以考虑2-3个楼层配置一个IDF间，在重要的区域还可采用双汇聚、双链路上行的部署方式。骨干核心交换机必须放置在安装了精密空调的主机房，并尽量放置在不同的机柜中，保证核心交换设备电源通过不同路的市电线路接入，为保证后期维护管理的便捷，两个机柜不应距离太远，最佳方法是并排部署，也方便后期核心交换设备通过多模光纤线实现虚拟化部署。

3、网络布线系统设计

新大楼网络布线系统是气象智能化楼宇建设数字化信息系统的网络基础设施，连接线缆作为传输信息的介质，材料的合理选择既决定了大楼内部气象信息传输的效率，又一定程度上影响了新大楼网络系统建设的资金投入。

在综合系统布线中，双绞线的单位部署成本最低、但传输距离近（≦100M）；多模光纤部署成本和传输距离（≦500M）中等；单模光纤部署成本高、传输距离远（≦10KM）。网络布线由于是隐蔽部署，后期改造非常困难，因此其前期规划非常重要。按照国际布线标准ISO11801规定，布线系统的期望寿命至少为10年，作为一种长期的基本投资，综合布线应充分考虑网络的潜在需求和布线系统的发展。在网络布线系统中，考虑到水平布线距离相对较近，走向复杂，且光纤方式成本高，气象部门也无使用屏蔽线缆（屏蔽双绞线费用远高于同速率的非屏蔽双绞线）的明确要求，因此同一楼层内部的水平布线可采用性价比较高的六类非屏蔽双绞线；在新大楼楼层间由于传输距离稍远，因此干线（垂直）布线采用价格适中的多模光纤线连接；而在园区网的楼宇间由于相隔距离较远，则需采用传输性能最佳的单模光纤线进行连接。结合当前省级气象信息新大楼“万兆核心、万兆汇聚、接入千兆”的网络带宽普遍要求，垂直子系统和楼宇子系统应采用万兆连接。

此外，由于气象业务应用的特点，核心交换机和数据中心交换机之间还可采用多链路捆绑的方式，提高链路可靠性的同时，还增加了链路的带宽。

4、网络安全设计

省级新大楼网络安全系统的设计应当从“网络基础设施保护”和“区域边界保护”两方面考虑，前者主要是交换机和路由器，无线AP点和无线控制器等物理设备的部署和安全策略的设定，后者则是防火墙、入侵防御、流量控制、VPN等安全控制设备的架设和配套使用。

省级新大楼网络系统的安全设计分为两个层次：设备级安全和网络级安全。

设备级安全是指省级局域网中的网络专用设备及相关辅助设备必须采用经过公安部、工信部等权威部门认证的设备。网络级安全则通过网络基础设施在提供连通性服务的基础上所增值的安全服务，在网络平台上直接实现这些安全功能比采用独立的物理主机实现具有更为强的灵活性、更好的性能和更方便的管理，设计应包括：进行网络设备和用户接入认证、授权和审计，以防止非法的接入；进行传输加密，以防止信息的泄漏和窥测；进行安全划分和隔离，以防止非授权的访问等。

由于安全设备是串行在重要的网络设备之间，目前众多的安全设备不具备故障绕开技术（Bypass功能），如果网络数据通信设备采用了双设备的方式，安全也应当考虑设备冗余部署，避免网络中出现单点故障；此外，在考虑设备可靠性的同时，还应当充分考虑安全设备的接口和性能问题，避免出现数据传输的瓶颈，因此串行部署的安全设备还要考虑接口带宽和吞吐量性能等因素。例如：对数据中心区边界区则必须高性能双台万兆防火墙冗余部署，并且采用虚拟化冗余的网络设备必须采用同一品牌。当然，并不建议所有不同类别的安全产品全部采用同一品牌，因为底层技术都一样(通常同一厂商的安全产品操作系统是一样的，开发平台是一样的)，如果黑客攻破了某一类产品，那么同一品牌的其他类产品也很容易失去防护。另外所有安全设备需要提供日志输出功能，便于安全管理设备集中采集日志，进行统一存储、分析，以及安全事件报警。

5、网络管理设计

考虑到省级气象部门大楼网络系统建设经费一次性投入有限，省级新大楼信息网络系统的建设可以在加强网络平台综合管理水平的基础上，采取分阶段、有步骤地逐渐搭建一个覆盖省级气象信息大楼网络系统的网络安全监控管理平台，实现全网统一、集中监控管理。网络安全管理软件应能实现配置管理、性能管理、故障管理、安全管理和日志管理等五大功能。网络管理人员可以直观的从管理平台看到所有被监控系统的当前运行状态和服务状态。

加强对网络数据流的监视，利用网络设备自身的七元组数据流统计，进行集中的统计、收集和多角度的深入分析。同时，在依靠具备以上功能的商用网管软件的同时，还需加强基于开源软件的自主开发，能够结合网络层次结构对网络设备进行层次化的监视布局，对业务系统依赖的底层网络资源情况能够形象和直观地展现。

6、结语

笔者通过对在江西省级气象信息新大楼网络系统设计过程中遇到的一些问题进行总结，提出以上设计思想进行探讨。目前，新大楼网络系统的设计已经完成，系统实现也即将展开。在今后新大楼网络系统建成后，无论是对使用者还是网络管理员而言，其管理理念也需要随之改变、更新和完善。俗话说“三分建设、七分管理”，随着新大楼网络系统业务应用的逐渐展开，相信不久，针对如何管理和安全使用新大楼网络系统将成为下一个值得我们深入探讨的问题。

［1］陈晓宇,王晓明,孙鹏.浅谈广东省气象局网络安全防护体系的部署[J].广东气象, 2004,(3):37-39.

［2］汤宁,汪华,易丁.贵州省气象局大院网络结构浅析[J].贵州气象,2005,(B12):62-64.

［3］周琰.骨干网络安全防护技术探讨[J].气象科技,2006,(B09):65-68.

［4］杨晓鹏.辽宁教育电视台网络安全建设[J].广播与电视技术,2008,(4):69-72.

［5］熊雄,熊凌云,刘小刚等.江西省气象局信息网络安全探讨[J].科技广场,2010,(7):68-70.

［6］宋文文，龚文涛.基于核心冗余的核心层网络架构设计[J].信息技术,2013,(1):166-169.

［7］徐勇，张轶群.电子政府网络架构设计综合解决方案[J].数字通信,2013,40(2):76-80.