地市级气象网络架构的应用

周丽丽 王洪祥 李永超

摘要 为实现气象内网与互联网的双网隔离，保障通信质量及信息安全，大连市气象信息中心设计规划并建设完成了覆盖全局的双网隔离任务。基于双网双机物理隔离、单机安装隔离卡及WLAN 无线全覆盖等网络技术方案，形成了较为完善的大连气象通信网络新格局，实现了满足业务应用需求与国家气象局相关要求的双重目标。本文简要介绍了项目建设相关技术的工作原理，并阐述了其在大连市气象局的设计方案和应用效益。

关键词 气象内网；互联网；双网隔离；隔离卡；WLAN；网络安全

中图分类号 TP393；P409 文献标识码 A 文章编号 1007-5739（2018）04-0168-01

Abstract In order to realize the dual network isolation between the meteorological Intranet and the Internet，ensure the communication quality and information security，an all-round dual network isolation was designed and constructed in Dalian Meteorological Information Center. Based on the network technology schemes such as physical isolation of dual network and dual machine，isolation card of single-machine and full coverage of WLAN wireless，a relatively perfect and new pattern of Dalian meteorological communication network has been formed，the dual goal of meeting the requirements of the business application and the related requirements of the international meteorological bureau has been realized. In this paper，the working principle of related technology for project construction was briefly introduced，and its design scheme and application benefit were elaborated in Dalian Meteorological Bureau.

Key words meteorological Intranet；Internet；dual network isolation；isolation card；WLAN；network security

目前，大連市气象局信息化建设正在不断完善，已经建成覆盖大连市8个区、市、县局的双运营商高速专用网络以及具备高可用、高性能的计算数据中心和资源池。近年来，随着气象业务的发展，气象数据传输网络由气象内网扩大到互联网，形成了以CMACast卫星接收、同城光纤、VPN专线和MSTP线路为主，以移动、联通、电子政务外网为辅的综合业务通信网络体系。因此，为保障大连市气象网络的安全、高效，根据有关要求，在确保不影响业务正常运行的基础上实现双网隔离，建成集数据安全、信息安全、移动办公、服务质量为一体的综合气象网络新格局。

1 关键技术工作原理

1.1 隔离卡

隔离卡又称安全隔离卡，是能够使一台电脑同时接入2个网络，通过手工切换实现双网互相转化的物理设备。隔离卡安装在主机主板上，有2个网络接口与内、外网连接。为实现双网隔离时的数据安全，还需要安装一个独立的硬盘，实现系统和存储完全独立。另外，双网共享内存和CPU，无需关机即可实现双网间的切换。相比双网物理隔离的方式，使用隔离卡在网络安全方面有一定的不足之处。

1.2 WLAN

WLAN（wireless local area networks），即无线局域网络，是一种利用射频技术进行数据传输的系统。其弥补了有线局域网络的不足，达到了延伸扩展网络覆盖面的目的。WLAN网络规划流程按时间顺利分为调研及勘查、覆盖设计、频率规划、容量规划和网络优化5个步骤。其中，覆盖设计阶段根据现场环境特点参数进行链路预算，初步确定AP（access point）的分布；频率规划阶段要尽量规避频率干扰，如果无法合理规划频点，可以通过调整AP的点位或数量完成最优化搭建[1]。

2 设计与部署

2.1 设计目标

基于预防内网保密资料泄露、建立信息安全网络架构的需要，大连市气象局依托大连市气象信息中心为建设单位，拟定按计划完成双网隔离改造任务。根据用户上网安全要求级别划分了3种用户类型，在保证用户基本业务工作正常开展的基础上，通过综合布线、布设路由器和布设交换机等网络设备完成内外网的线路分离。通过综合利用上述3种隔离技术手段，在完成国家气象局要求的网络安全保密工作任务的同时，还能够为地市级气象业务发展提供计算资源和支撑，在技术创新和综合运用的基础上，推动气象信息现代化发展。由于双网隔离造成的内网机器系统漏洞无法修复等问题，可通过购买第三方软件服务的方式解决。

2.2 架构设计

2.2.1 双网双机物理隔离架构。采用不同的网络设备和线路，建立2套完全独立的网络，即内网和外网。其中内网用于传输、储存或处理气象内部数据信息，确保气象内部数据的安全和设备的稳定；外网中一部分用于为气象服务器提供外部访问服务，另一部分用于局机关用户的网络办公或其他业务访问互联网。

2.2.2 WLAN无线外网架构。整个系统采用“锐捷有线+无线”一体化设计方案，通过FIT+AC的组网结构在各业务楼层的走廊天花板上方安装11N吸顶式无线AP，密度基本控制为6～8 m间隔。每个楼层的AP上联至接入层交换机，再汇聚接入核心交换机。用户移动设备接收AP无线信号上网时，需（下转第170页）

（上接第168页）

经过与核心相连的AC（access control）设备接入互联网。核心交换机旁接AP控制器，可实现对所有AP设备的管理[2-3]。

3 典型应用实例

经过需求分析与方案设计部署，大连市气象局紧紧围绕相关规定要求完善了气象内网，巩固了互联网安全防护措施，实现了双网隔离的目标。

3.1 移动终端应用

大连市气象局在部署WLAN项目以前，为了解决手机等移动终端设备上外网，许多业务人员办公室纷纷购买安装家庭式路由器，通过内网接入实现WIFI上网。然而，家庭式WIFI存在诸多缺陷，如无线信号覆盖空间小、信号穿透性弱、上网行为无法审计、内网安全存在隐患等。100 M移动宽带WLAN建设完成后，形成了独立的外网线路。各楼层走廊天花板顶部安装密度适当的AP，手机、笔记本等移动终端设备实现全局范围内无线信号覆盖。

3.2 网络设备负载应用

在内外网混用的网络架构中，无论用户访问内网或外网均经过同一条线路连接至同一台接入层交换机，继而接入到核心交换机。通常外網传输的是大量图片、视频等，而内网传输的多为文本类业务数据，数据量较小但重要程度较高、时效性强。外网集中访问时，数据流量猛增，核心及接入交换机负载压力变大，容易引起设备端口暂时堵塞，影响业务运行，实现双网分离架构后则有效解决了这一难题[4]。

4 参考文献

[1] 纪兆琳.内外网双网隔离方案浅析[J].内燃机车，2011，9（9）：131-134.

[2] 贾晨刚，李珍，王垒，等.浅析陕西省气象局双网隔离解决方案[J].网络安全技术与应用，2013（2）：71-72.

[3] 王国海.政府内网与外网隔离探讨[J].琼州大学学报，2003，10（5）：53-55.

[4] 钱峥，曹艳艳，赵科科，等.私有云在市级气象业务平台的实现与应用[J].气象科技，2014，42（8）：641-646.