贵州省人工影响天气办公室网络维护解决方案研究

李怀志,曾 勇,李 皓

(贵州省人工影响天气办公室，贵州 贵阳 550081)

0 引言

现代计算机系统的功能越来越复杂，网络功能也越来越强大，它们对社会各行各业都产生了巨大而深远的影响。同时，由于其开放性，安全问题变得越来越突出。但是，随着人们越来越依赖计算机网络，网络安全也变得越来越重要。网络安全性是指网络系统的硬件、软件及其系统中的数据受到保护，不因偶然的或者恶意的原因而遭到破坏、更改、泄露，系统连续可靠正常地运行，网络服务不中断。具体来说，网络安全必须做到：保护个人隐私，控制对网络资源的访问，确保信息在网络上传输的机密性、完整性和真实性[1]。

人工影响天气技术是自20世纪四五十年代由美国科学家开创的一项科学技术,目的是通过科学人工的手段对局部的天气造成影响,使得天气为人类的生产生活需求而服务。这门科学实施难度高,同时对人类生产生活的意义非常重大,在对水资源的保护和补充以及减少恶劣天气对农业生产影响的方面有着明显的作用[2]。自20世纪80年代开始，贵州省就组织开展人工影响天气作业，人工防雹增雨已成为粮食和烤烟等生产的“保护伞”，是农民从事农业生产的“定心丸”。近年来，贵州省人工影响天气工作取得较大发展，政策环境不断优化，作业规模不断扩大，服务领域不断拓展，综合实力显著提升，防灾减灾效益明显。

随着人工影响天气业务的不断发展，对于服务产品的集成、信息共享等服务的需求也在不断增加，人工影响天气业务得到相应改善。但是，生产环境与测试环境数据混用、研发网络与办公和业务网络联通等，不但对数据安全造成了极大的威胁，也对实际业务正常运行带来很大的隐患[3]。构建安全保护系统可提高人工影响天气办公室中网络安全服务的性能，确保安全和顺畅的通信，并确保传输，交换和共享天气信息的效率、完整性和有效性。对于办公区域，计算机的利用率非常高，例如报告工作、发布文档、报告批准、在线学习等，但是所有这些工作活动都与网络的正常运行密不可分。

1 办公区的网络现状

目前，贵州省人工影响天气办公室的办公区主要存在以下问题。

1.1 线路混乱

6楼办公区的一部分内网办公的网线通过了2楼交换机的1根网线连到了2楼的楼层交换机上，导致线路不明。

1.2 没有合理的VLAN划分

VLAN是利用交换机虚拟划分功能,将网络划分成逻辑上相互独立的子网。子网划分实现不在同一子网内的主机不能通信,不同区域的主机保持一定独立性。没有合理的VLAN划分使所有办公区的网络线路在同一VLAN上，导致一个VLAN区域的线路问题就会影响到其他所有的线路。

1.3 没有IP的限制

IP地址是网络中连接到Internet的每个主机的唯一标识符。合理地为办公室区域中的主机分配IP地址以及如何有效管理这些地址是网络稳定性的先决条件。虽然各个办公室有划分IP使用地址段，但是因为在同一VLAN区域，所以个人可以随意改变自己的IP地址，如果IP地址占用以后，可能导致其他需要使用该IP地址的设备无法正常使用。而往往又因为设备归属不清或者其他历史原因，导致无法找到该IP地址的终端位置[2]。

1.4 缺少网络拓扑图

同时大楼内部各单位共用同一VLAN，导致在网络内拥有大量终端的时候容易导致IP地址混乱不易于管理。所以对网络进行整改，整改后拓扑以及设备管理地址如图1 所示。

图1 整改后的办公区网络拓扑图Fig.1 Network topology map of the office area after rectification

2 具体维护办法

2.1 VLAN及地址规划

重新划分VLAN，规划各单位VLAN使用范围，所有单位达成协议，只能使用本单位VLAN划分范围的IP地址，以达到最大限度减少因个人更改地址对其他终端造成的影响[4]。

2.2 线路排查

在部分接入交换机端口插入的跳线缺少标签，所以无法确认交换机的某些端口具体接入到哪个办公室的终端，给接入交换机的配置带来困难，所以在对设备进行配置之前还需要网络物理线路进行排查和确认。

2.3 设备配置

在此次网络更改中，主要内容分别是更改终端的静态地址、二层接入交换机端口的VLAN划分以及核心交换机中网关和VLAN地址配置。在设备配置的过程中会造成大量办公网络中断，因划分VLAN和地址较多，且需要配置各个接入交换机，所以无法在短时间内全部完成，尽量在不影响大楼正常办公的情况下完成设备配置[5]。

2.4 网络设备升级与更新

2.4.1 核心交换机 以前内外网分别使用一台以太网交换机作为核心交换机,该系列交换机为老一代产品，交换机容量为960 Gbps,转发率为720 Mpps,随着网络发展的趋势，已有的核心交换机性能满足不了办公区的使用需求，而且都是单台核心，万一出现故障，整个网络将瘫痪。故此次配置一台7503E-M高端多业务路由交换机作为内网的核心层交换机备用机。该交换机基于H3C自主知识产权的Comware V5 /V7操作系统，并使用IRF2(智能弹性框架2，第二代智能灵活体系结构)和IRF3(智能弹性框架3，第三代智能灵活体系结构)技术作为系统的基础。虚拟化软件系统，支持云数据集中所需的TRILL，EVB，FCoE和MDC(一个虚拟多个)技术，与40GE和100GE以太网标准完全兼容，并进一步集成了MPLS VPN，IPv6，网络安全、无线、无源光纤网络和其他网络服务，提供不间断的转发，不间断的升级，平稳重启，环形网络保护和其他高可靠性技术，转发性能≥2 880 Mpps，交换容量≥19.2 Tbps，并虚拟化了2台核心交换机以满足未来5～10 a的需求发展需求。

2.4.2 数据中心交换机 现有网络的服务器接入区2台交换机交换容量有限，且接口已经用尽，不利于业务的开展。为避免在突发流量的情况下，网络转发丢包，服务器流量吃紧，本次配置了2台高性能融合以太网交换机作为服务器区到核心交换机的转接站。该交换机提供10/100/1000Base-T自适应以太网端口或10GE SFP+光口，并通过子卡可支持10GE电口、40GE QSFP+光口。向下可以提供千兆接入最终用户或汇接低端交换机，向上可以通过万兆或40GE光纤或者链路聚合汇聚到核心交换机。

S5560X-EI系列以太网交换机支持创新的VxLAN技术，可以同时支持VxLAN二三层网关，转发性能≥222 Mpps,交换容量≥598 Gbps。保证服务器到核心交换机之间的数据流畅。

2.4.3 接入层交换机 接入层交换机考虑到以后的拓展需求，本次配置高性能千兆以太网交换机。转发性能≥144 Mbbps,交换容量≥432 Gpps.提供4万兆接口上行，贵州乃高原地区，雷雨季节较多，此款产品提供业界最高10 kV防雷。

2.4.4 光模块 本次光膜块考虑千兆光模块和万兆光模块，数据中心到核心交换机使用万兆光模块，接入层交换机到核心交换机采用千兆光模块，都使用双链路上行的形式。

2.4.5 防火墙 防火墙是一种隔离技术，目的是实现安全的访问控制，将内部网络和外部网络分为两部分。针对机房网络的现状，增加了防火墙。防火墙NGAF构建了融合安全保护系统。通过集成安全功能，可以实现风险前预测、事件期间的全面保护以及事件后的检测和响应的闭环。同时，安全功能的集成用于集中安全功能和数据，以避免防御缺陷并阻止高级威胁[8]。

2.5 互联网行为管理

在办公室区的机房中部署了在线运营管理设备，以满足监视、控制和管理网络运营的需求。每台计算机的MAC地址都绑定到一个IP地址，能有效地防止人们未经授权访问和使用可以访问互联网的网络设备，同时解决了IP地址私自更改导致的IP冲突问题[6]。

2.6 堡垒机

一种合规性控制系统，用于控制和审核业务环境中的操作和维护操作。在办公区域内部署了堡垒机，以加强对业务运营的监督，以确保业务系统的正常运行[9]。

2.7 日志服务器

将防火墙、网关日志发送到日志服务器，通过对日志的深入分析，可以识别系统运行问题，为解决问题提供有用的信息；它还可以检查信息系统安全机制的有效性。

3 结论

通过此次网络维护，达到了如下效果：

①将每个楼层的线路按楼层划分，例如：6楼的网络线路归为6楼交换机使用。

②重新划分VLAN，规划各单位VLAN使用范围，达到互不影响效果。

③所有单位达成协议，只能使用本单位VLAN划分范围的IP地址。

④梳理出所有的网络终端，画出完整的拓扑图。

⑤保障办公区内部计算机内网网络系统整体平稳、高效地运行。