王孝一

[摘要]營(yíng)房在面臨各種問(wèn)題的情況下如何根據(jù)自身?xiàng)l件將網(wǎng)絡(luò)建成高性能、可擴(kuò)展、可管理的實(shí)用而安全穩(wěn)定的網(wǎng)絡(luò)，是自始至終關(guān)注的問(wèn)題，也是網(wǎng)絡(luò)建設(shè)的目標(biāo)。

[關(guān)鍵詞]營(yíng)房網(wǎng)絡(luò)拓?fù)浒踩龑咏粨Q機(jī)

中圖分類(lèi)號(hào)：TP3文獻(xiàn)標(biāo)識(shí)碼：A文章編號(hào)：1671—7597(2009)1010067—01

營(yíng)房的網(wǎng)絡(luò)架設(shè)以軍地網(wǎng)絡(luò)系統(tǒng)為依托，由服務(wù)器、終端機(jī)、數(shù)據(jù)庫(kù)、千兆位以太網(wǎng)口交換機(jī)、路由器以及網(wǎng)線(xiàn)組成。為官兵提供快速瀏覽軍地兩網(wǎng)信息的平臺(tái)。

一、網(wǎng)絡(luò)設(shè)計(jì)原則

(一)安全性。眾所周知軍營(yíng)的信息安全是重中之重，為了防止內(nèi)部信息流落到外網(wǎng)，應(yīng)提高安全標(biāo)準(zhǔn)，相應(yīng)的提高防火墻的安全等級(jí)，集成包過(guò)濾防火墻、電路層防火墻和應(yīng)用防火墻三種技術(shù)，只有符合安全規(guī)則的網(wǎng)絡(luò)連接和訪(fǎng)問(wèn)才可以通過(guò)防火墻，保障數(shù)據(jù)的安全性。以及做到內(nèi)外網(wǎng)不在同一計(jì)算機(jī)上共用，存儲(chǔ)器分開(kāi)管理的措施，防止非法訪(fǎng)問(wèn)者通過(guò)互聯(lián)網(wǎng)絡(luò)對(duì)網(wǎng)絡(luò)節(jié)點(diǎn)進(jìn)行攻擊。從網(wǎng)絡(luò)設(shè)備來(lái)講，防止外部攻擊主要靠入侵設(shè)備和路由器實(shí)現(xiàn)。

(二)實(shí)用性。實(shí)用就是說(shuō)營(yíng)房應(yīng)根據(jù)自身的實(shí)際情況充分考慮將來(lái)的發(fā)展需求，在進(jìn)行網(wǎng)絡(luò)設(shè)計(jì)時(shí)既要對(duì)已有的設(shè)備加以利用，保護(hù)原有投資，又要集中財(cái)力，提高新購(gòu)設(shè)備的檔次，獲得良好的性?xún)r(jià)比。以節(jié)省開(kāi)支為基礎(chǔ)盡量爭(zhēng)取獲得無(wú)償?shù)馁澲?/p>

(三)穩(wěn)定性。網(wǎng)絡(luò)建設(shè)的最終目的是保證網(wǎng)絡(luò)能穩(wěn)定地運(yùn)作。決定網(wǎng)絡(luò)穩(wěn)定性的因素很多，首先是網(wǎng)絡(luò)結(jié)構(gòu)設(shè)計(jì)及網(wǎng)絡(luò)布線(xiàn)是否合理；其次是設(shè)備的性能和穩(wěn)定性，特別是核心設(shè)各；再次是冗余部件，如電源冗余、管理模塊冗余、鏈路冗余等；除此之外，還有網(wǎng)絡(luò)節(jié)點(diǎn)管理、網(wǎng)絡(luò)安全防范等。

(四)可擴(kuò)展。隨著營(yíng)房不斷的完善和擴(kuò)展，起始組建的網(wǎng)絡(luò)就面臨不斷地完善和擴(kuò)充。網(wǎng)絡(luò)核心設(shè)備及布線(xiàn)是今后網(wǎng)絡(luò)運(yùn)行的根本。如果所建網(wǎng)絡(luò)不能滿(mǎn)足將來(lái)一定時(shí)期內(nèi)的需求，那么今后再改造網(wǎng)絡(luò)、更換設(shè)備及重復(fù)土木工程的費(fèi)用將會(huì)很高，造成資源浪費(fèi)。

二、網(wǎng)絡(luò)設(shè)計(jì)與實(shí)現(xiàn)

(一)機(jī)房的規(guī)劃及實(shí)施要求。對(duì)于雙有線(xiàn)局域網(wǎng)來(lái)說(shuō)，需要對(duì)機(jī)房和辦公樓進(jìn)行科學(xué)合理的布線(xiàn)。因此設(shè)計(jì)網(wǎng)絡(luò)時(shí)必須考慮到機(jī)房的設(shè)備布局和布線(xiàn)系統(tǒng)的合理搭配。為了確保網(wǎng)絡(luò)、計(jì)算機(jī)系統(tǒng)穩(wěn)定、安全可靠地運(yùn)行，以及保障機(jī)房工作人員有良好的工作環(huán)境，做到技術(shù)先進(jìn)、經(jīng)濟(jì)合理、安全適用，符合部隊(duì)頒布的《電子計(jì)算機(jī)機(jī)房設(shè)計(jì)規(guī)范》標(biāo)準(zhǔn)要求。

1，確定各網(wǎng)絡(luò)總線(xiàn)拓?fù)浣Y(jié)構(gòu)。總線(xiàn)網(wǎng)絡(luò)的拓?fù)浣Y(jié)構(gòu)是指用現(xiàn)場(chǎng)總線(xiàn)網(wǎng)絡(luò)互連的各種現(xiàn)場(chǎng)設(shè)備的物理布局，網(wǎng)絡(luò)的拓?fù)浜筒ㄌ芈室黄饹Q定了網(wǎng)絡(luò)的可用性、可靠性和實(shí)時(shí)性。一旦網(wǎng)絡(luò)通信電纜敷設(shè)完畢?，F(xiàn)場(chǎng)條件的限制使重新修改網(wǎng)絡(luò)拓?fù)渥兊美щy，必須在整個(gè)設(shè)計(jì)工作的開(kāi)始階段就重視網(wǎng)絡(luò)拓?fù)涞脑O(shè)計(jì)。

本方案使用總線(xiàn)型、樹(shù)型、星型、菊花鏈型連接及以上方式的混合結(jié)構(gòu)構(gòu)建PROFIBUS網(wǎng)絡(luò)在高波特率通信下。DP網(wǎng)段嚴(yán)禁出現(xiàn)就地DP設(shè)備到總線(xiàn)主干網(wǎng)的連接分支線(xiàn)。應(yīng)使用菊花鏈型連接PA網(wǎng)段容許使用分支線(xiàn)連接就地PA設(shè)備和總線(xiàn)主干網(wǎng)。就地PA設(shè)備和PA分配器構(gòu)成星型連接。PA分配器之間形成總線(xiàn)型連接。

2，防患。首先防靜電。靜電會(huì)對(duì)計(jì)算機(jī)運(yùn)行造成隨機(jī)故障，而且還會(huì)導(dǎo)致某些元器件、雙級(jí)性電路等被擊穿和毀壞。其次防火。在機(jī)房設(shè)計(jì)時(shí)，重點(diǎn)要考慮機(jī)房的消防滅火方案。設(shè)計(jì)時(shí)可以根據(jù)消防防火級(jí)別來(lái)確定機(jī)房的設(shè)計(jì)方案。防潮濕。機(jī)房里的濕度應(yīng)保持在20％～50％為宜，機(jī)房的溫度應(yīng)保持在15℃～35℃攝氏度，安裝空調(diào)來(lái)調(diào)節(jié)溫、濕度是解決此問(wèn)題最好的辦法。鑒于停電會(huì)造成空調(diào)關(guān)機(jī)，我們還應(yīng)裝空調(diào)來(lái)電自動(dòng)啟動(dòng)裝置。

3，供電及機(jī)柜安裝。供電系統(tǒng)和制冷系統(tǒng)是計(jì)算機(jī)機(jī)房的兩個(gè)重要部分。在供電系統(tǒng)中，一般采用在線(xiàn)的LPS供電方式。網(wǎng)絡(luò)設(shè)備采用機(jī)架式的結(jié)構(gòu)，如交換機(jī)、路由器、硬件防火墻等。全部安裝在一個(gè)大型的立式標(biāo)準(zhǔn)機(jī)柜中。這樣做的好處非常明顯：一方面可以使設(shè)備占用最小的空間，另一方面則便于與其它網(wǎng)絡(luò)設(shè)備的連接和管理，同時(shí)機(jī)房?jī)?nèi)也會(huì)顯得整潔、美觀。

(二)布線(xiàn)系統(tǒng)的規(guī)劃及實(shí)施要求。機(jī)房是網(wǎng)絡(luò)布局的基礎(chǔ)，網(wǎng)絡(luò)布線(xiàn)是網(wǎng)絡(luò)建設(shè)的根本，通過(guò)網(wǎng)絡(luò)布線(xiàn)將機(jī)房和各區(qū)域信息點(diǎn)的網(wǎng)絡(luò)設(shè)備互聯(lián)起來(lái)，使網(wǎng)絡(luò)正常運(yùn)行。由于營(yíng)區(qū)館節(jié)點(diǎn)較多，所以我們可以采取交換層、匯聚層、接入層三個(gè)網(wǎng)絡(luò)層次的設(shè)計(jì)，在此基礎(chǔ)上進(jìn)行布線(xiàn)。布線(xiàn)是連接網(wǎng)絡(luò)接八層、匯聚層、交換層和網(wǎng)絡(luò)節(jié)點(diǎn)的重要環(huán)節(jié)。在布線(xiàn)時(shí)，最好使用專(zhuān)門(mén)的通道，而且不要與電源線(xiàn)，空調(diào)線(xiàn)等具有輻射的線(xiàn)路混合布線(xiàn)。

1，交換層。交換層是整個(gè)網(wǎng)絡(luò)的核心，因此該設(shè)備選擇是最關(guān)鍵的。本次方案所采用的所有交換機(jī)都支持802.1認(rèn)證。考慮認(rèn)證的效率，本次認(rèn)證建議采用E系列接入層交換機(jī)來(lái)完成。并能夠提供強(qiáng)大的AC地址綁定等功能。交換層設(shè)備分別與軍地兩條主干用千兆光纖連接，這就要求交換層設(shè)備必須有千兆以上的網(wǎng)絡(luò)吞吐量，而且還必須擔(dān)任路由器的角色。一些新型館選用三層交換機(jī)作為交換層設(shè)備。為了提高網(wǎng)絡(luò)帶寬，可以將兩對(duì)以上光纖設(shè)置成端口聚合鏈路(Trunk)連接到網(wǎng)絡(luò)，也可避免因單點(diǎn)故障導(dǎo)致網(wǎng)絡(luò)癱瘓。

2，匯聚層。匯聚層設(shè)備是營(yíng)房整體網(wǎng)絡(luò)的核心部分，負(fù)責(zé)接入層設(shè)各的匯聚，是業(yè)務(wù)的高速轉(zhuǎn)發(fā)和網(wǎng)絡(luò)服務(wù)質(zhì)量的保障。在建網(wǎng)時(shí)采用千兆光纖連接到交換層交換機(jī)和接入層設(shè)備?；诂F(xiàn)有網(wǎng)絡(luò)業(yè)務(wù)并考慮網(wǎng)絡(luò)的發(fā)展，使用兩臺(tái)匯聚設(shè)備之間采用多個(gè)千兆端口聚合鏈路連接，形成互為備份、負(fù)載均衡的網(wǎng)絡(luò)核心交換體系，保證在任何一臺(tái)核心交換機(jī)損壞的情況下，網(wǎng)絡(luò)仍可以正常工作。同時(shí)為了方便管理和維護(hù)網(wǎng)絡(luò)以及日后網(wǎng)絡(luò)升級(jí)和改造，建網(wǎng)時(shí)選擇支持網(wǎng)絡(luò)管理功能的匯聚層網(wǎng)絡(luò)設(shè)備。

3，接入層。接入層連接著匯聚層和網(wǎng)絡(luò)節(jié)點(diǎn)，是決定我們整體網(wǎng)絡(luò)傳輸質(zhì)量的重要環(huán)節(jié)。每臺(tái)交換機(jī)通過(guò)兩條千兆鏈路分別連接到兩臺(tái)匯聚交換機(jī)上，把其中一條鏈路作為備份鏈路。目前千兆網(wǎng)絡(luò)技術(shù)非常成熟，營(yíng)房接入層到終端的網(wǎng)絡(luò)設(shè)備選千兆帶寬。

(三)網(wǎng)絡(luò)安全設(shè)計(jì)。傳統(tǒng)的安全防護(hù)是通過(guò)防火墻來(lái)實(shí)現(xiàn)，只能對(duì)網(wǎng)絡(luò)的L3-L4層數(shù)據(jù)進(jìn)行病毒防護(hù)，但是不能對(duì)應(yīng)用層進(jìn)行抵御。入侵防御系統(tǒng)可以實(shí)施在線(xiàn)部署，并可以實(shí)現(xiàn)在線(xiàn)檢測(cè)和實(shí)時(shí)阻斷，對(duì)內(nèi)網(wǎng)的病毒傳播進(jìn)行有效的抑制，對(duì)外網(wǎng)病毒攻擊和來(lái)自應(yīng)用層的黑客攻擊可以實(shí)施在線(xiàn)阻斷。具體功能如下：1，應(yīng)用層保護(hù)。保護(hù)數(shù)據(jù)服務(wù)器的應(yīng)用軟件和操作系統(tǒng)，0應(yīng)用LO／S和VOIP應(yīng)用，有效抵制來(lái)自蠕蟲(chóng)病毒，特洛伊木馬，DDS攻擊和內(nèi)部攻擊等。2，基礎(chǔ)設(shè)施保護(hù)。保護(hù)所有在線(xiàn)網(wǎng)絡(luò)設(shè)備，如，路由器，交換機(jī)，防火墻等，有效抵制來(lái)自各種病毒，DDS攻擊，S-F攻擊和異常流量等。3，性能保護(hù)。保護(hù)出網(wǎng)帶寬，服務(wù)器以及關(guān)鍵的應(yīng)用和流量，有效抵制P2P應(yīng)用，未授權(quán)的應(yīng)用和DDS攻擊。

(四)網(wǎng)絡(luò)管理。要實(shí)現(xiàn)安全穩(wěn)定的網(wǎng)絡(luò)建設(shè)，實(shí)時(shí)可靠的管理是密不可分的因此，就要相應(yīng)的網(wǎng)絡(luò)管理員進(jìn)行培訓(xùn)已達(dá)到要求。除此之外綜合網(wǎng)絡(luò)管理軟件的使用也很重要。