攀枝花市县两级生态环境系统网络架构设计与思考

2021-08-26胡海涛

四川环境 2021年4期

胡海涛,周黎

(攀枝花市生态环境信息与技术评估服务中心，四川攀枝花 617000)

前言

随着我国经济建设的迅猛发展，随之带来了生态环境污染问题，生态环境保护工作的重要性日益凸显，而生态环境信息化是实现生态环境管理转型、促进环保事业发展、实现生态环境现代化的有效途径。近些年，攀枝花市生态环境局从自身业务实际出发，积极开展了一系列生态环境信息化建设，形成了三种网络，分别是互联网、电子政务外网、环保专网。结合“十八大”以后生态环境系统机构改革的新形势，要求市县两级生态环境机构进行更紧密的协作，亟需将整个攀枝花市生态环境系统的网络整合为一个整体。本文从以下几个方面探讨网络策略设计。

1 网络现状

攀枝花市生态环境系统网络经过多年的建设，形成了一套较为稳定的基础网络系统，保障着环保系统业务的正常运行。总体网络由环保专网、办公局域网、互联网、电子政务外网组成。市局网络划分了网络域，分为DMZ区、安管区、局域网区、环保专网区、存储网络，各网络区域边界通过防火墙进行逻辑隔离，保障网络安全。区县生态环境部门通过专线接入环保专网。网络现状拓扑图见图1。

图1 网络现状拓扑图Fig.1 Topological diagram of network status

网络系统问题分析：随着生态环境系统机构改革，生态环境工作越来越多，越来越重要。为了提高沟通效率，各级生态环境部门使用了统一的电子政务和数据共享平台，处理公文、通知、环保业务等各种数据，以保证上级的指示能快速的得到传达，下级的信息能及时得到反馈。同时市级要指导县区运维网络和应用系统，以增强区县信息化技术力量。但我市市级和县区生态环境网络结构是相互隔离的，原有的网路系统已不能满足新形势下的工作要求，亟需改造，解决如下问题：骨干链路没有冗余备份、市局与区县生态环境局办公网络直连互通问题、区县生态环境局多个网络相互隔离、千兆网络到桌面的要求、办公区域无线网没有覆盖等。

2 网络系统设计

为实现全市生态环境系统信息网络大统一的总体目标，需要对生态环境系统网络进行整体规划，形成万兆核心和千兆接入的交换网络，满足网络大统一后的网络交换性能和高可用的需求。全市生态环境系统网络拓扑改造目标见图2。

图2 网络拓扑图Fig.2 Network topology diagram

2.1 核心网冗余改造

网络冗余设计允许通过设置双重网络元素来满足网络的可用性需求，冗余降低了网络的单点时效，其目标是重复设置网络组件，以避免单个组件的失效而导致应用失效[1]。对市生态环境局办公互联网核心交换网络进行改造，形成万兆核心和千兆接入的交换网络，从接入交换机至互联网(含政务外网)、环保专网的骨干链路、核心设备均采用冗余设计，任何链路或设备的中断都不会影响整网运行。核心网冗余改造拓扑图见图3。

图3 互联网接入区与核心冗余结构图Fig.3 Structure diagram of internet access zone and core redundancy

两台核心交换机通过HSRP协议组成冗余备份，它们组成一个“热备份组”，这个组形成一个虚拟设备。在同一时刻，一个组内只有一个设备是活动的，并由它来转发数据包，如果活动设备发生了故障，将选择另一个备份设备来替代活动设备，但是从本网络内的主机看来，虚拟设备没有改变。所以主机仍然保持连接，不会受到故障的影响。

2.2 环保城域网建设

利用现有市局到区县环保专网链路组建全市环保城域网，取消到区县环保专网。区县生态环境局信息化力量薄弱，难以对网络和安全设备进行运维，环保城域网的建设，既能方便区县用户访问市局发布的应用和服务，也能方便市局运维人员直接管理区县的网络和安全设备。环保城域网逻辑图见图4。

图4 环保城域网逻辑图Fig.4 environmental protection MAN logic diagram

2.3 网络融合建设

为区县配置多wan口路由器，作为网络出口，分别连接互联网、电子政务外网、环保城域网。通过路由选路分别访问互联网、电子政务外网，通过环保城域网访问市局提供的业务应用和环保专网。区县网络融合拓扑见图5。

图5 区县网络融合拓扑图Fig.5 Network convergence topology diagram

2.4 无线网络设计

无线局域网是无线通信技术与网络技术相结合的产物，通过无线信道来实现网络设备之间的通信，实现通信的移动化、个性化和宽带化[2]。在各区县办公区域部署支持802.11ac协议的无线AP，实现千兆速率无线网络覆盖，无线AP通过接入层POE交换机接入网络。在市本级核心交换机上部署一台无线控制器，通过无线控制器实现集中管控和下发策略。无线网络拓扑见图6。

图6 无线网络拓扑结构图Fig.6 Wireless network topology structure diagram

无线安全：除了对终端访问无线网络权限进行规范外，主要从以下两个方面提高无线安全：(1)实名认证系统。实名认证系统旁挂在汇聚交换机上，通过本地账号密码认证方式对人员访问进行管理和控制。(2)安全策略。包括MAC地址准入、SSID准入管理、WEP加密、支持AES加密等。

2.5 综合布线

综合布线是一种模块化的、灵活性极高的建筑物内或建筑群之间的信息传输通道。通过它可使话音设备、数据设备、交换设备及各种控制设备与信息管理系统连接起来，同时也使这些设备与外部通信网络相连的综合布线[3]。综合布线由不同系列和规格的部件组成，其中包括：传输介质、相关连接硬件(如配线架、连接器、插座、插头、适配器)以及电气保护设备等。

综合布线完成以下内容：(1)将原有超五类网线升级为六类非屏蔽双绞线。(2)链路改造，包括设备接入间网络标准化施工，更换老旧线路，线路标识。设备接入间到办公桌线路改造。(3)对局机关办公区域进行网络标准化布线，确保楼层交换机到每个办公室有4根网线接口，网线使用六类非屏蔽双绞线，网线开槽埋入墙中或放入明管、明槽中。

2.6 路由策略

在统一规划城域网后，各单位内部设备互联网络结构较为固定，采用静态路由的方式能最大限度的提高网络转发效率。城域网互联和变化多的环保专网，启用OSPF动态路由[4]，宣告各自路由信息，能尽可能的降低维护难度。

2.6.1 市局路由策略

核心交换机配置静态路由通过上网行为管理、防火墙、入侵防御到出口路由器；连接区县的下联路由器配置到城域网的OSPF路由。市局路由器配置到电信、移动运营商的目的地址路由；配置到电子政务外网的目的地址路由。市局连接环保专网的防火墙配置OSPF路由，宣告环保专网业务系统地址，并将路由信息交换给其他区县。

2.6.2 区县路由策略

核心交换机默认静态路由经上网行为管理器、防火墙、入侵防御到出口路由器；出口路由器配置到互联网和电子政务外网的策略路由。配置到城域网OSPF路由。

2.6.3 故障切换

当区县互联网、电子政务外网线路故障时，通过配置OSPF策略优先级，自动切换路由到城域网中，临时通过市局访问互联网或电子政务外网。当市局故障时，也可临时借用区县链路。以达到故障切换线路的能力。

3 新旧网络拓扑比较

相较于旧的网络拓扑，新网络拓扑解决和完善了以下问题。

3.1 完善了骨干链路冗余备份问题。核心交换机到出口的网络是整个网络的骨干，如发生故障将导致整个网络服务中断，建立骨干网络冗余链路，提高了网络的健壮性、稳定性。

3.2 建设环保城域网，直接将市局与区县生态环境局办公网络直连互通，区县生态环境局可以直接访问市局DMZ区应用和服务，市局也可直接管理区县网络设备，提高运维效率。同时加强了市县两级生态环境部门的数据交换效率，提高文件转发速度，为新的生态环境信息化应用系统如统一的电子政务平台、视频会议系统等提供了基础网络环境。

3.3 解决区县生态环境局多个网络融合问题。达到了区县办公终端不用切换网络就可同时访问互联网、电子政务外网、环保专网的业务需求。

3.4 综合布线改造。采用六类非屏蔽双绞线连接接入交换机和办公终端，满足千兆到桌面的要求，降低了网络故障发生率和维护难度。

3.5 办公区域无线信号全覆盖。实现无线AP的统一管控和策略下发，结合实名认证系统，保障终端接入安全，同时杜绝私自安装无线路由设备接入网络的情况，为移动生态环境应用的推广使用建立良好的网络基础。

3.6 采用动态的路由协议将减少运维工作量。

3.7 网络区域划分更为明确。网络区域划分为互联网接入区、局域网区、安全管理区、业务区、环保专网区、环保城域网区。在各个区域的边界部署防护设备，提高网络安全防护能力。