蔣安國(guó) 杜豐平 邊晉煒

摘 要：隨著互聯(lián)網(wǎng)快速發(fā)展，針對(duì)互聯(lián)網(wǎng)數(shù)據(jù)傳輸很容易遭到篡改、竊取與攻擊，地域性相互獨(dú)立的服務(wù)支撐、資料共享、學(xué)習(xí)能力提升、監(jiān)控?cái)?shù)據(jù)分析不能形成有效的資源整合問(wèn)題，本文提出了分布式服務(wù)支撐系統(tǒng)的設(shè)計(jì)與實(shí)現(xiàn)，此系統(tǒng)通過(guò)建立安全加密專網(wǎng)，使用IPSec鏈路安全加密傳輸，實(shí)現(xiàn)總部職能部門與各分支機(jī)構(gòu)人員信息同步共享；通過(guò)安全加密專網(wǎng)，提供快速、安全、高效的遠(yuǎn)程支撐服務(wù)；使用分布式監(jiān)控系統(tǒng)，將分布在全國(guó)的業(yè)務(wù)平臺(tái)進(jìn)行集中網(wǎng)管監(jiān)控管理。

關(guān)鍵詞：分布式；Zabbix；華為USG；Juniper

中圖分類號(hào)：TP393.05 文獻(xiàn)標(biāo)識(shí)碼：A 文章編號(hào)：2096-4706（2019）02-0108-03

Abstract：With the rapid development of the internet，the data transmission on the internet is easy to be tampered with，stolen and attacked，and the problems of regional independent service support，data sharing，improvement of learning ability and monitoring data analysis can not form effective resource integration are discussed. The design and implementation of distributed service support system are proposed in this paper. By establishing a secure encryption private network and using IPSec link to secure transmission，the system can realize the synchronous sharing of information between headquarters functional departments and personnel of various branches. It provides fast，safe and efficient remote support services through secure and encrypted private network，and centralizes network management monitoring and management on business platforms distributed throughout the country by using distributed monitoring system.

Keywords：distributed；Zabbix；HUAWEI USG；Juniper

0 引 言

一般而言，隨著公司業(yè)務(wù)不斷發(fā)展，公司會(huì)由地方性公司發(fā)展為全國(guó)性公司，公司職能部門分化為總部職能部門、分公司、辦事處。本文基于“互聯(lián)網(wǎng)+”背景，提出一種“分布式服務(wù)支撐系統(tǒng)”的設(shè)計(jì)方案，以滿足各個(gè)分支機(jī)構(gòu)之間的信息同步共享、涉密數(shù)據(jù)的加密傳輸、全國(guó)業(yè)務(wù)平臺(tái)的集中網(wǎng)管監(jiān)控需求，提高工作效率。

1 系統(tǒng)的總體架構(gòu)設(shè)計(jì)

該系統(tǒng)主要架構(gòu)分為安全加密層、應(yīng)用服務(wù)層、交互服務(wù)層，涉及的系統(tǒng)模塊有平臺(tái)接入專網(wǎng)、圖書(shū)館系統(tǒng)、在線考試系統(tǒng)、分布式監(jiān)控系統(tǒng)。

1.1 總體架構(gòu)網(wǎng)絡(luò)圖

系統(tǒng)總體網(wǎng)絡(luò)架構(gòu)如圖1所示。

1.2 架構(gòu)說(shuō)明

（1）安全加密層。安全加密層由IPSec VPN服務(wù)器、L2TP over IPSec VPN終端設(shè)備，防火墻服務(wù)組成，通過(guò)數(shù)據(jù)加密、賬號(hào)認(rèn)證和資源訪問(wèn)控制實(shí)現(xiàn)系統(tǒng)安全加密防護(hù)。為了滿足“互聯(lián)網(wǎng)+”業(yè)務(wù)需求，系統(tǒng)專網(wǎng)開(kāi)放互聯(lián)網(wǎng)接入服務(wù)，與視頻會(huì)議系統(tǒng)、微信服務(wù)等對(duì)接。

（2）應(yīng)用服務(wù)層。應(yīng)用服務(wù)層提供面向用戶、平臺(tái)系統(tǒng)、支撐工程師、營(yíng)銷人員、財(cái)務(wù)人員、項(xiàng)目經(jīng)理等對(duì)象的支撐服務(wù)功能集。涉及能力提升系統(tǒng)、分布式監(jiān)控系統(tǒng)、工程資料發(fā)布系統(tǒng)、信息發(fā)布系統(tǒng)等。

（3）交互服務(wù)層。交互服務(wù)層分布式系統(tǒng)與用戶、系統(tǒng)、支撐工程師、營(yíng)銷人員、項(xiàng)目經(jīng)理、財(cái)務(wù)人員、手機(jī)終端、PC電腦終端、大屏數(shù)據(jù)交互展示層，是提供支撐服務(wù)的最終對(duì)象。

1.3 系統(tǒng)特點(diǎn)

（1）數(shù)據(jù)鏈加密，安全可靠。系統(tǒng)采用IPSec鏈路安全加密和唯一身份驗(yàn)證技術(shù)，具備數(shù)據(jù)認(rèn)證和身份認(rèn)證雙重安全保護(hù)措施，經(jīng)過(guò)授權(quán)的人員才能訪問(wèn)設(shè)備和資源，用戶數(shù)據(jù)在系統(tǒng)中可以得到很好的保護(hù)。

（2）智能監(jiān)控，大數(shù)據(jù)分析潛在運(yùn)行風(fēng)險(xiǎn)。系統(tǒng)采用分布式智能監(jiān)控系統(tǒng)，自動(dòng)搜索用戶網(wǎng)絡(luò)內(nèi)的設(shè)備，Web/APP客戶端實(shí)時(shí)監(jiān)測(cè)運(yùn)行信息，經(jīng)過(guò)大數(shù)據(jù)分析可用率、響應(yīng)時(shí)間，全面體現(xiàn)生產(chǎn)系統(tǒng)運(yùn)行狀態(tài)，向用戶提供更專業(yè)的運(yùn)行分析報(bào)告。

（3）設(shè)備狀態(tài)全生命周期管控。系統(tǒng)會(huì)自動(dòng)采集設(shè)備所在機(jī)房的溫度、濕度、灰塵等數(shù)據(jù)，經(jīng)過(guò)海量數(shù)據(jù)深度學(xué)習(xí)分析，科學(xué)、精準(zhǔn)地為用戶制定設(shè)備全生命周期作業(yè)計(jì)劃。

（4）智能按需推送，精準(zhǔn)能力提升。系統(tǒng)將記錄服務(wù)數(shù)據(jù)，從“人、事件、過(guò)程、結(jié)果”多個(gè)維度轉(zhuǎn)化為結(jié)構(gòu)化數(shù)據(jù)并進(jìn)行大數(shù)據(jù)分析，為每一位人員量身定制學(xué)習(xí)計(jì)劃，從海量知識(shí)庫(kù)中精準(zhǔn)推送學(xué)習(xí)資料，并持續(xù)分析服務(wù)數(shù)據(jù)，智能感知能力提升效果。

（5）人工實(shí)時(shí)支撐。需要人工支撐服務(wù)時(shí)，根據(jù)用戶需求關(guān)鍵信息，系統(tǒng)會(huì)通過(guò)海量知識(shí)庫(kù)進(jìn)行匹配，預(yù)判可行的解決措施，從而選擇最合適的專業(yè)工程師提供實(shí)時(shí)遠(yuǎn)程支撐服務(wù)。

2 子系統(tǒng)設(shè)計(jì)

2.1 安全加密專網(wǎng)設(shè)計(jì)

設(shè)計(jì)采用華為USG6330、Juniper SRX100和PC電腦IPSec over L2TP客戶端，通過(guò)IPSec安全加密技術(shù)把各分支機(jī)構(gòu)維護(hù)支撐人員、用戶平臺(tái)、總部相關(guān)系統(tǒng)連接起來(lái)，組成安全加密專網(wǎng)。如圖2所示。

網(wǎng)段規(guī)劃：

19.0.0.0/24 VPN Server與內(nèi)網(wǎng)互聯(lián)（如果需要）；

19.255.250.0/24 L2TP用戶地址段；

19.255.251.0/24 VPN站點(diǎn)設(shè)備-現(xiàn)場(chǎng)維護(hù)人員使用網(wǎng)段（所有VPN站點(diǎn)均使用該相同網(wǎng)段，類似于當(dāng)做私網(wǎng)網(wǎng)段使用，可用于訪問(wèn)總部服務(wù)器、其他VPN站點(diǎn)，訪問(wèn)時(shí)，源地址會(huì)被轉(zhuǎn)換為VPN站點(diǎn)設(shè)備的管理地址。不建議單獨(dú)分配網(wǎng)段或地址，因?yàn)槠鋾?huì)大大增加VPN配置復(fù)雜度）；

19.255.255.0/24 VPN站點(diǎn)設(shè)備管理地址（每臺(tái)VPN站點(diǎn)設(shè)備分配一個(gè)32位IP）該地址亦可用作現(xiàn)場(chǎng)Zabbix代理服務(wù)器的管理地址（建議通過(guò)VPN站點(diǎn)設(shè)備管理地址進(jìn)行端口映射，不建議單獨(dú)分配網(wǎng)段或地址，因?yàn)槠鋾?huì)大大增加VPN配置復(fù)雜度）；

19.1.0.0-11.100.255.255 VPN站點(diǎn)映射到用戶設(shè)備的地址段；

其余地址段暫為預(yù)留。

2.2 平臺(tái)接入專網(wǎng)設(shè)計(jì)

利用IPSec安全加密技術(shù)，通過(guò)Juniper SRX100設(shè)備，將平臺(tái)網(wǎng)絡(luò)進(jìn)行雙向IP地址轉(zhuǎn)換（源地址轉(zhuǎn)換+目的地址轉(zhuǎn)換）接入安全加密專網(wǎng)。

2.3 圖書(shū)館系統(tǒng)設(shè)計(jì)

該系統(tǒng)采用B/S結(jié)構(gòu)體系，圖書(shū)館服務(wù)器放在安全加密專網(wǎng)中，通過(guò)讀寫權(quán)限控制，訪問(wèn)人員根據(jù)預(yù)設(shè)權(quán)限進(jìn)行讀取文件或上傳文件操作。

圖書(shū)館系統(tǒng)將審核通過(guò)的平臺(tái)維護(hù)資料、營(yíng)銷資料、工程項(xiàng)目資料、培訓(xùn)資料、知識(shí)庫(kù)對(duì)各分支機(jī)構(gòu)發(fā)布、共享，各分支機(jī)構(gòu)可通過(guò)移動(dòng)端（手機(jī)、平板電腦）安全專網(wǎng)登陸系統(tǒng)在線學(xué)習(xí)。

2.4 在線考試系統(tǒng)設(shè)計(jì)

在線考試系統(tǒng)服務(wù)器，放在安全加密專網(wǎng)中，學(xué)員通過(guò)專網(wǎng)進(jìn)入在線考試系統(tǒng)參加考核評(píng)定。在線考試系統(tǒng)能夠?qū)γ课粚W(xué)員的考卷進(jìn)行自動(dòng)閱卷，并從試卷、考試、成績(jī)多個(gè)維度進(jìn)行統(tǒng)計(jì)分析。將考試系統(tǒng)的考核成績(jī)作為技能評(píng)定的一項(xiàng)參考項(xiàng)，為公司技術(shù)人才儲(chǔ)備奠定基礎(chǔ)。

2.5 分布式監(jiān)控系統(tǒng)設(shè)計(jì)

分布式監(jiān)控系統(tǒng)由Zabbix網(wǎng)管監(jiān)控服務(wù)器和Zabbix Proxy Server網(wǎng)管監(jiān)控代理服務(wù)器組成，網(wǎng)管監(jiān)控服務(wù)器放在安全加密專網(wǎng)中心端（華為USG6330），網(wǎng)管監(jiān)控代理服務(wù)器放在全國(guó)用戶的平臺(tái)網(wǎng)絡(luò)中，通過(guò)雙網(wǎng)卡方式連接平臺(tái)網(wǎng)絡(luò)和安全加密專網(wǎng)終端Juniper SRX100設(shè)備。

網(wǎng)管監(jiān)控代理服務(wù)器將平臺(tái)監(jiān)控?cái)?shù)據(jù)通過(guò)安全加密專網(wǎng)推送給網(wǎng)管監(jiān)控服務(wù)器，實(shí)現(xiàn)全國(guó)平臺(tái)統(tǒng)一集中監(jiān)控服務(wù)。在大屏上監(jiān)控展示，實(shí)時(shí)監(jiān)控公司分布全國(guó)的業(yè)務(wù)平臺(tái)，提前發(fā)現(xiàn)問(wèn)題，減少平臺(tái)宕機(jī)風(fēng)險(xiǎn)。如圖3所示。

3 結(jié) 論

在“互聯(lián)網(wǎng)+”背景下，通過(guò)建立安全加密專網(wǎng)將全國(guó)分支機(jī)構(gòu)組建為分布式服務(wù)支撐系統(tǒng)，形成一個(gè)整體，系統(tǒng)能夠滿足公司的業(yè)務(wù)需求。通過(guò)圖書(shū)館系統(tǒng)（維護(hù)資料、營(yíng)銷資料、工程項(xiàng)目資料、培訓(xùn)資料、FAQ知識(shí)庫(kù)），實(shí)現(xiàn)總部職能部門與各分支機(jī)構(gòu)人員信息同步共享，降低了數(shù)據(jù)在互聯(lián)網(wǎng)傳輸?shù)木W(wǎng)絡(luò)風(fēng)險(xiǎn)，向維護(hù)支撐工程師推送學(xué)習(xí)資料和FAQ知識(shí)庫(kù)，使其無(wú)需回到公司進(jìn)行相關(guān)的培訓(xùn)學(xué)習(xí)，提高了工作效率；在線考試系統(tǒng)，定期檢驗(yàn)維護(hù)支撐工程師對(duì)圖書(shū)館系統(tǒng)的掌握情況，助力維護(hù)支撐工程師能力的快速提升；分布式監(jiān)控系統(tǒng)，通過(guò)安全加密專網(wǎng)，將分布在全國(guó)的業(yè)務(wù)平臺(tái)進(jìn)行集中網(wǎng)管監(jiān)控管理，實(shí)現(xiàn)了對(duì)監(jiān)控?cái)?shù)據(jù)的實(shí)時(shí)分析；平臺(tái)遠(yuǎn)程支撐，通過(guò)安全加密專網(wǎng)，提供快速、安全、高效的遠(yuǎn)程支撐服務(wù)。

參考文獻(xiàn)：

[1] Juniper SRX防火墻管理手冊(cè)JNPR-v1，2015.

[2] 李朝陽(yáng).利用ZABBIX進(jìn)行系統(tǒng)和網(wǎng)絡(luò)管理 [J].計(jì)算機(jī)時(shí)代，2008（10）：19-22.

[3] [美] Merike Kaeo著.網(wǎng)絡(luò)安全性設(shè)計(jì) [M].吳中福，譯.北京：人民郵電出版社，2005.

[4] 李海光.計(jì)算機(jī)網(wǎng)絡(luò)安全技術(shù)與防范策略 [J].電子技術(shù)與軟件工程，2017（1）：210-211.

作者簡(jiǎn)介：蔣安國(guó)（1989.05-），男，漢族，四川遂寧人，主管，研究方向：計(jì)算機(jī)科學(xué)技術(shù)、維護(hù)自動(dòng)化、虛擬化、容器技術(shù)；杜豐平（1982.09-），男，漢族，部門專家，本科，研究方向：計(jì)算機(jī)科學(xué)技術(shù)、維護(hù)自動(dòng)化、虛擬化、容器技術(shù)；邊晉煒（1984.01-），男，漢族，浙江紹興人，部門經(jīng)理，碩士在讀，研究方向：維護(hù)自動(dòng)化、虛擬化、容器技術(shù)。