◆李 楠 孙青然 吕 博 席晓彤

聊城市气象局网络结构优化及双线热备的设计

◆李 楠 孙青然 吕 博 席晓彤

（聊城市气象局 山东 252000）

聊城气象局存在多套业务系统，网络接入多家单位，网络环境较为复杂。结合业务系统对网络进行优化调整，使其更好地适应业务系统发展的需求。前期的网络建设和运维过程中没有做合理的全局规划，造成现网的故障频发和管理困难，通过统一规划设计全网路由、VLAN和IP地址，确保了数据转发路径合理、通畅，同时也确保了网络的安全可靠运行。双线热备在原有的联通网络专线的基础上增加了一条移动专线，保持原有的设备，应用链路聚合的方式增加了链路带宽及实时热备线路，实现了各区县气象局至聊城市气象局业务的实时热备互连互通。

网络优化；链路聚合；气象业务

0 引言

计算机网络从20世纪60年代诞生到现在，一直伴随着计算机和通信技术的发展及相互渗透，这种结合的同时也促进了计算机网络的快速发展[1]。计算机网络对信息的收集、传输、存储和处理起着非常重要的作用[2]。网络是气象事业的公共技术基础设施，是气象信息传输和气象资料共享的基础平台，是气象信息交换的先决条件[3]。气象部门的网络经历了从无到有、从专用到通用，县级和地市级都建立了小型局域网，县局的局域网通过专线与市局和省局网络互联。

1 网络结构

市局核心层使用华为S7700系列交换机，做为整网核心节点，承担起全网数据的高速交换和转发任务；接入层设备为华为S5700交换机三台，互联网防火墙使用华为防火墙USG6530，主要用于1NAT转换和安全策略部署，实现内网用户的安全及访问互联网的需求。同时通过IP地址的转换和映射，实现区域自动站与内网服务器间的通信；市县之间的互联，通过重新规划和配置调整，实现市县间三层路由互通，县局单位的网关在各自的交换机上，这样每个县局的二层流量就终结在各自县局的交换机上，不会对核心交换机造成冲击；在进行VLAN规划时，按功能和业务系统进行分区分块，对业务系统进行VLAN规划时，其所占的VLAN区间应具备可扩展性。一个IP网络中不能出现采用相同的IP地址这样保证了地址的唯一性；连续的地址在分层结构的网络中易于进行路由聚合，大大缩减路由表，提高路由算法的效率[4]；地址分配在每一层都留有余量，这样可以在网络规模扩展时能保证连续性[5]。

优化之前县局的网关均部署在市局的核心交换机上，县局本身的交换机相当于接入层设备，市县网络为二层交换架构，这种组网方式结构简单，易于管理，但因市局网络没有汇聚层设备，各接入交换机直接互联核心交换机，且网关终结在核心交换机上，即各接入交换机的二层流量也会终结在核心交换机上，二层广播风暴及病毒等都会对核心交换机造成冲击[6]。单个县局单位出现的问题可能会对核心造成影响，继而影响其他县局网络的正常运行。优化后市局和县局之间采用三层路由组网，每个县局将网关终结在各自的交换机上。

由于市局网络内部路由节点不是特别多，且考虑市局和县局间为10 MBPSSDH及备线路10 MBPSPTN线路的可能性，直接使用OSPF路由协议，这样可以做到链路检测及未来的主备线负载备份。骨干网和每个县局接入单位作为一个单独的OSPF区域。到其它单位的网络一般采用静态路由方式，通过将静态路由重分布到OSPF进程。

图1 聊城市气象局网络拓扑图

2 OSPF规划

RouteID规划采用的是Loopback接口IP地址，OSPF核心区域骨干网设备作为OSPF的Area 0，每个接入单位与骨干网设备组网部署为不同的OSPF Area 1，2，…N。OSPF边缘区域设计每个县局接入单位的交换机与骨干交换机组网部署为不同的OSPF Area 1，2，…，N区域。与原先的普通的完全OSPF区域相比，通过规划减少LSA在区域间的传播，减少路由条数，与stub区域相比较部署的路由协议更加灵活。还可以通过区域汇总限制区域间传播的LSA条目。边缘区域使用NSSA区域，能精简骨干区域路由器的路由表，减少骨干区域内OSPF交互的信息量，提高路由表项的稳定性。一个区域的路由计算和网络调整不会影响其它区域，因故障引起的路由震荡被隔离在区域内部[7]。

电子政务县级网络的OSPF规划如下：在现有网络中，由于业务众多和复杂，不同类型的业务对网络质量要求不一样。不仅需要保证用户业务的流量带宽要求，也需要根据流量中的业务类型（如语音业务、视频业务、关键数据业务、普通上网业务等）来保证各种业务的带宽和时延要求。在多业务共存的网络中需要采用QoS技术对关键业务的网络质量进行差异化保障。针对带宽、时延、抖动、丢包率等要求，QoS可以通过优先级映射、流量监管、流量整形、队列调度、拥塞避免等技术提升网络服务质量[8]。

市局到省局之间有两条20的MSTP线路，需承载数据类业务和语音视频类业务，此时，省市路由器上需配置QOS，将关键数据类业务划分到AF队列，确保其在网络拥塞情况下的不丢包；视频类业务数据流使用EF队列，确保其优先转发，使得数据能够实时传输，获得更好的感官体验。此外，使用路由策略，使数据类业务流优先选择主线路进行传输，主线路故障时使用备线路传输；使视频类业务流优先选择备线路进行传输，备线路故障时使用主线路传输，这样可以最大程度地利用线路使其实现负载，同时具备冗余备份功能[9]。

3 安全管理

气象局目前内外网没有做到物理隔离，网络中的终端安全风险较高，病毒、木马及其它恶意攻击行为对网络影响较大，可在以下几个方面加强终端的安全管理：明确终端安全使用规范，终端上必须安装防病毒软件或防火墙，定期对终端进行病毒、木马查杀及安全检查；终端使用静态IP地址，个人不得随意更换IP地址。可在交换机上配置IP+MAC+端口绑定，在出现终端安全问题时可以迅速定位，便于问题排查；在巡检过程中，可对端口流量异常的终端进行隔离或手动关闭该端口，待问题解决后再将其接入网络。对于内网运行的多个业务系统之间，如无互相访问的需求或关键型业务系统只有特定的人员主机能够访问，需在交换机上部署访问控制列表ACL，对各vlan间或各终端主机间的访问进行安全控制，对一些病毒木马的攻击行为，ACL也有一定的防范作用，互联网防火墙使用华为防火墙USG6530，集防火墙、IPS、AV、VPN、上网行为管理和强大的路由功能于一体，提供安全、灵活、便捷的一体化组网和接入解决方案。SG6530作为互联网出口防火墙，主要任务是对内网用户或服务器进行地址转换或映射，使其能访问互联网资源或互联网用户访问气象局服务器等。防火墙还配置了IPS、AV防病毒、上网行为管理特性，可对网络边界发现的攻击行为进行有效防护，同时对内网用户进行审计控制。

4 市-县备份链路

双线路备份一般可以分为两种类型，双线单设备及双线双设备。如图1，聊城市气象局采用的是双线单设备，气象局在原有联通专线基础上在市局核心交换机及各县局交换机上接入移动PTN线路，当任何一方设备及线路出现故障时不会影响业务数据的传送。采用的是LAG链路聚合组协议，将—组相同速率的物理以太网接口捆绑在一起作为一个逻辑接口来增加带宽，并提供链路保护[10]。链路聚合的优势在于增加链路带宽，提高链路可靠性，当一条链路失效时，其他链路将重新对业务进行分担，此外还可实现负载分担，流量分担到聚合组的各条链路上。以太网LAG保护可以实现端口的负载分担。在负载分担模式下，设置链路聚合组后，设备会自动将逻辑端口上的流量负载分担到组中的多个物理端口上。当其中一个物理端口发生故障时，故障端口上的流量会自动分担到其他物理端口上。当故障恢复后，流量会重新分配，保证流量在汇聚的各端口之间的负载分担，实现了各县气象局至聊城市气象局数据业务的互联互通及专网实时热备，对气象业务数据起到了双重保护的功能。

[1]吴学进.计算机网络安全技术在网络安全维护中的应用探讨[J].数字通信世界, 2017.

[2]申健, 周倩芳.神经网络在计算机网络安全评价中的应用研究[J].网络安全技术与应用,2017.

[3]张淯舒, 王慧强, 冯光升等.基于两阶段聚类的机会社会网络路由算法[J].电子科技大学学报, 2017.

[4]王松.基于蚁群优化多路径路由算法的研究与设计[D].山东大学, 2016.

[5]王有东.机会网络的路由研究与节点设计[D].东南大学, 2016.

[6]赵勇, 赵淑芳.市级气象局通信网络高可靠性设计与构建[J].气象科技, 2011.

[7]佀冉.内蒙古联通IP网络优化方案设计与实施[D].内蒙古大学, 2011.

[8]陈伟杰.基于主动队列管理的拥塞控制策略及其稳定性研究[D].浙江工业大学, 2011.

[9]穆秀玫.双频分级Ad hoc网络的组网协议设计与实现[D].电子科技大学, 2011.

[10]李杰.基于Chord算法的P2P路由表安全的研究[D].北京邮电大学, 2009.

聊城市创新团队（基于ArcGis的灾害性天气识别跟踪与自动报警系统）。