李佳輯，次卓嘎，土旦次仁，許　亮，次仁多吉，高錦瑞

(西藏自治區(qū)地震局，西藏　拉薩　850000)

?

·技術(shù)交流·

西藏自治區(qū)地震網(wǎng)絡(luò)優(yōu)化改造分析研究

李佳輯，次卓嘎，土旦次仁，許亮，次仁多吉，高錦瑞

(西藏自治區(qū)地震局，西藏拉薩850000)

詳細(xì)闡述了西藏自治區(qū)地震信息網(wǎng)絡(luò)存在的問題與不足，利用西藏地震信息支撐平臺項目，在充分使用和保護(hù)原有部分網(wǎng)絡(luò)系統(tǒng)和硬件資源的前提下，采用硬件升級改造、系統(tǒng)重新集成、網(wǎng)絡(luò)合理劃分和優(yōu)化網(wǎng)絡(luò)結(jié)構(gòu)等措施，提高行業(yè)骨干網(wǎng)絡(luò)應(yīng)對突發(fā)事件的能力。

網(wǎng)絡(luò)優(yōu)化改造；核心設(shè)備；IRF堆疊

0　引言

西藏自治區(qū)地震信息網(wǎng)絡(luò)平臺主要依托于“十五”數(shù)字地震觀測網(wǎng)絡(luò)項目建成，2007年正式全網(wǎng)運(yùn)行至今。隨著網(wǎng)絡(luò)科技的不斷發(fā)展，新型網(wǎng)絡(luò)技術(shù)及觀測技術(shù)不斷更新，信息時代的網(wǎng)絡(luò)互連已不是簡單地將計算機(jī)以物理的方式連接，而是合理地規(guī)劃及設(shè)計整個網(wǎng)絡(luò)系統(tǒng)，充分利用現(xiàn)有資源，建立一套高效快捷且易于維護(hù)的網(wǎng)絡(luò)體系。

隨著西藏地震信息網(wǎng)絡(luò)規(guī)模不斷擴(kuò)大，核心設(shè)備不斷增加，組網(wǎng)方式日趨復(fù)雜，硬件及網(wǎng)絡(luò)系統(tǒng)的維護(hù)工作量和難度進(jìn)一步增加，現(xiàn)在的組網(wǎng)方式已無法應(yīng)對日常維護(hù)及突發(fā)事件后的故障解決。

1　網(wǎng)絡(luò)優(yōu)化改造背景

西藏地震信息網(wǎng)絡(luò)系統(tǒng)平臺是正式投入運(yùn)行以來，經(jīng)多年建設(shè)成為一個承載地震監(jiān)測預(yù)報、地震前兆數(shù)據(jù)分析研究、地震應(yīng)急救援等工作的信息支撐平臺。隨著近幾年中國地震背景場探測項目、社會服務(wù)工程項目及大陸構(gòu)造環(huán)境監(jiān)測網(wǎng)絡(luò)等項目的建設(shè)實(shí)施，目前所使用的網(wǎng)絡(luò)系統(tǒng)已無法滿足業(yè)務(wù)發(fā)展需求。原因如下：(1) 數(shù)據(jù)量成倍增加，存儲設(shè)備老化、空間不足，存儲設(shè)備網(wǎng)絡(luò)接入方式不明確，存在光纖和網(wǎng)線同時接入的情況；(2) 核心設(shè)備老化、性能的不足直接影響整個網(wǎng)絡(luò)的數(shù)據(jù)傳輸；(3) 網(wǎng)絡(luò)系統(tǒng)混亂、核心網(wǎng)絡(luò)節(jié)點(diǎn)復(fù)雜、故障點(diǎn)明顯增加，極易造成故障點(diǎn)判斷不明，維護(hù)困難；(4) 部分服務(wù)器使用雙網(wǎng)卡雙鏈路接入核心交換，存在回路及IP地址沖突問題。對現(xiàn)有網(wǎng)絡(luò)進(jìn)行統(tǒng)一管理成為目前迫切需要解決的問題。

2　網(wǎng)絡(luò)現(xiàn)狀

西藏數(shù)字地震觀測網(wǎng)絡(luò)為星型結(jié)構(gòu)(見第22頁圖1)，業(yè)務(wù)運(yùn)行和各項目數(shù)據(jù)交換全部依托于現(xiàn)有網(wǎng)絡(luò)系統(tǒng)平臺。網(wǎng)絡(luò)系統(tǒng)經(jīng)過多次擴(kuò)展改造，造成網(wǎng)絡(luò)設(shè)備與種類品牌復(fù)雜、設(shè)備老化嚴(yán)重、組網(wǎng)方式混亂及網(wǎng)絡(luò)布局、布線不規(guī)范等問題。

核心路由器為一臺Cisco(思科)3845，設(shè)備出現(xiàn)老化使端口配置無法進(jìn)行，造成臺站數(shù)據(jù)傳輸頻繁中斷。核心交換機(jī)為兩臺華為S6506，未配置形成雙機(jī)熱備模式，測震、前兆、信息和應(yīng)急服務(wù)器分別接入兩臺核心交換機(jī)，接入方式全部為雙網(wǎng)卡雙鏈路接入，未進(jìn)行雙網(wǎng)卡綁定及鏈路捆綁，極易造成回路及IP地址沖突故障，導(dǎo)致整個網(wǎng)絡(luò)系統(tǒng)癱瘓。樓層交換、服務(wù)器等核心設(shè)備的網(wǎng)絡(luò)鏈路通過配線架進(jìn)行匯聚后接入核心交換機(jī)，缺失規(guī)范的線路標(biāo)識，一旦網(wǎng)絡(luò)運(yùn)行出現(xiàn)故障，需對兩端鏈路進(jìn)行逐一排查。若無法在第一時間找到故障點(diǎn)，既增加網(wǎng)絡(luò)傳輸?shù)牟环€(wěn)定性，也增加線路排查的工作量。未劃分DMZ區(qū)，無法實(shí)現(xiàn)內(nèi)部網(wǎng)絡(luò)的有效防護(hù)。

3　網(wǎng)絡(luò)結(jié)構(gòu)優(yōu)化調(diào)整

在網(wǎng)絡(luò)優(yōu)化改造實(shí)施階段，提前對網(wǎng)絡(luò)架構(gòu)進(jìn)行了優(yōu)化設(shè)計，購置部分核心設(shè)備，對原有核心設(shè)備進(jìn)行替換，各骨干接點(diǎn)采用路由器及交換機(jī)作為匯集。為避免IP地址沖突，對業(yè)務(wù)和樓層用戶進(jìn)行了VLAN劃分。虛擬局域網(wǎng)(VLAN)可提高網(wǎng)絡(luò)運(yùn)行效率，有效防止網(wǎng)絡(luò)風(fēng)暴且便于資源的分類管理。各骨干接點(diǎn)與省地震局中心網(wǎng)絡(luò)通過路由設(shè)備進(jìn)行直連，收縮各自下屬節(jié)點(diǎn)的局域網(wǎng)網(wǎng)關(guān)，并用VLAN實(shí)現(xiàn)各局域網(wǎng)的隔離，形成一個3層的明晰架構(gòu)[1]。區(qū)域中心各分項服務(wù)器采用三層交換機(jī)進(jìn)行匯聚，用VLAN技術(shù)對網(wǎng)段地址隔離。利用防火墻設(shè)備劃分隔離區(qū)(DMZ區(qū))，內(nèi)網(wǎng)和DMZ區(qū)在防火墻外口作SNAT訪問internet，DMZ區(qū)通過DNAT為外部用戶提供WWW等服務(wù)[2](見圖2)。

圖1　西藏數(shù)字地震觀測網(wǎng)絡(luò)星型拓?fù)鋱DFig.1　Star topology of Tibet digital seismic observation network

圖2　西藏數(shù)字地震觀測網(wǎng)絡(luò)優(yōu)化改造設(shè)計圖Fig.2　Optimization design of Tibet digital seismic observation network

4　網(wǎng)絡(luò)優(yōu)化實(shí)施

(1) 網(wǎng)絡(luò)優(yōu)化改造實(shí)施中，使用一臺華三(H3C)S6608作為核心路由器，兩臺華三(H3C)7506E為核心交換機(jī)。兩臺核心交換機(jī)之間用萬兆以太網(wǎng)口進(jìn)行互聯(lián)，使用集群交換中的IRF堆疊技術(shù)，將多臺網(wǎng)絡(luò)交換設(shè)備通過堆疊口連接形成一臺“聯(lián)合設(shè)備”。用戶只要通過對該“聯(lián)合設(shè)備”進(jìn)行管理，就可實(shí)現(xiàn)對堆疊中的所有設(shè)備進(jìn)行管理，既簡化了管理，又有強(qiáng)大的擴(kuò)展能力為網(wǎng)絡(luò)系統(tǒng)提供高可靠性的運(yùn)轉(zhuǎn)環(huán)境。

(2) 使用多臺華三(H3C)S5600交換機(jī)將各分項服務(wù)器進(jìn)行集中匯集，然后用VLAN劃分出服務(wù)器及工作端接入的兩個子網(wǎng)段，配置兩網(wǎng)段實(shí)現(xiàn)互通。在核心交換機(jī)中，使用VLAN劃分出不同子網(wǎng)，分別接入各分項交換機(jī)，保證各業(yè)務(wù)分項的相對獨(dú)立，使網(wǎng)絡(luò)管理更加安全靈活。

(3) 使用現(xiàn)有網(wǎng)神防火墻劃分出隔離區(qū)(DMZ區(qū))。在防火墻內(nèi)配置網(wǎng)絡(luò)地址轉(zhuǎn)換(NAT)訪問控制策略及安全規(guī)則，將一個網(wǎng)段通過地址映射轉(zhuǎn)換為外網(wǎng)地址以實(shí)現(xiàn)外網(wǎng)對內(nèi)網(wǎng)進(jìn)行WWW等服務(wù)的訪問，達(dá)到隱蔽真實(shí)地址、控制訪問的目的。

(4) 將原有網(wǎng)絡(luò)配線架拆除，分項服務(wù)器端與交換機(jī)匯聚點(diǎn)進(jìn)行直連，可以大幅減少中間故障點(diǎn)并提高網(wǎng)絡(luò)故障排查效率。

(5) 使用bonding技術(shù)對linux服務(wù)器雙網(wǎng)卡進(jìn)行綁定，綁定后的雙網(wǎng)卡提供負(fù)載均衡和冗余保護(hù)作用。多塊網(wǎng)卡綁定后，服務(wù)器的訪問流量被平均分配到每一塊網(wǎng)卡以減小其負(fù)載，當(dāng)其中一塊網(wǎng)卡出現(xiàn)故障時，另一塊網(wǎng)卡正常工作[3]并在交換機(jī)進(jìn)行鏈路捆綁，防止造成網(wǎng)絡(luò)回路及IP地址沖突等。

5　實(shí)施過程注意事項

建立DMZ區(qū)，應(yīng)注意配置訪問安全策略，禁止在防火墻中添加DMZ區(qū)到內(nèi)網(wǎng)區(qū)的全通規(guī)則，不然DMZ區(qū)就失去了防護(hù)意義。在網(wǎng)神防火墻中設(shè)置安全策略并進(jìn)行NAT源地址轉(zhuǎn)換后，需將設(shè)置進(jìn)行上移，保證設(shè)置及時生效。

服務(wù)器使用雙網(wǎng)卡雙鏈路接入交換機(jī)時，需要先在服務(wù)器進(jìn)行雙網(wǎng)卡綁定，交換機(jī)同時進(jìn)行鏈路捆綁，防止造成網(wǎng)絡(luò)回路及IP地址沖突。

6　結(jié)論

西藏自治區(qū)地震信息網(wǎng)絡(luò)平臺的優(yōu)化改造提升了網(wǎng)絡(luò)運(yùn)行效能及辦公效率，滿足了社會服務(wù)工程項目、背景場探測項目和藏東南地震監(jiān)測中心等多個項目的地震數(shù)據(jù)傳輸共享能力，大幅提升了行業(yè)骨干網(wǎng)絡(luò)突發(fā)事件的應(yīng)對解決能力，在西藏數(shù)字地震觀測網(wǎng)絡(luò)中發(fā)揮了重要作用。

[1]馬曉蘭，孫春玲，白占孝.淺析青海地震信息網(wǎng)絡(luò)優(yōu)化改造[J].高原地震,2013(4):51-53.

[2]閆新惠.網(wǎng)絡(luò)安全與DMZ的設(shè)計[J].科技信息,2013(23):101-112.

[3]曹連剛，由德凱，關(guān)慧.Linux下雙網(wǎng)卡綁定技術(shù)的實(shí)現(xiàn)[J].甘肅科技,2008(1):43-44.

Analysis and Study on Optimization of Seismic Network in Tibet Autonomous Region

LI Jia-ji, Cizhuoga, Tudanciren, XU Liang, Cirenduoji, GAO Jin-rui

(Earthquake Administration of Tibet Autonomous Region, Lhasa, Tibet 850000, China)

In this paper, the problems and deficiencies of the seismic information network in Tibet autonomous region are described in detail. Using the Tibet seismic information supporting platform project, The measures such as hardware upgrading, system integration, network partitioning and optimization of network structure are adopted under the premise of full use of the original part of the network system and hardware resources. These measures improve the ability to respond to emergencies in backbone network.

Network optimization and improvement; Core equipment; IRF stacking

1000-6265(2016)03-0021-03

2016-06-10

李佳輯(1981—)，男，山西省昔陽人。2001年畢業(yè)于防災(zāi)技術(shù)高等?？茖W(xué)校，工程師。

P315.69

A