长江科学院科研局域网规划建设与运行维护

周力峰，李青松，王 奔

(长江科学院科技成果推广及信息中心，武汉 430010)

信息化是水利科研现代化的标志之一，计算机网络(简称网络)是信息化的基础设施。长江科学院(以下简称“长科院”)历来重视网络建设，从20世纪90年代初开始，先后经历了总线网、星型网、树型网等阶段，经过近20年的不断发展，形成了目前规模适度、功能比较齐备、性能稳定、安全度较高的科研局域网［1］。回顾长科院科研局域网的建设发展里程，有些经验值得总结，一些主要技术问题需要研究分析。

网络建设要以规划为先导。随着信息技术日新月异的发展，网络需求也在不断变化，规划不能一成不变，必须分阶段与时俱进地适应需求按专题来进行。这些年来，长科院从规划、设计、到实施，比较注意满足科研主体需求，比较注意优化网络结构扩充网络功能，同时，更注重提高网络性能，主要是保障其畅通性、安全性、可靠性、稳定性及可扩展性［2］。本文主要论述这些问题。

1 网络结构与布线

网络建设要注重结构、合理划分层次。首先要确定网络拓扑，即要根据本单位的地理分布情况、用户分布规模等来具体确定网络结构。长科院科研局域网的网络拓扑如图1所示，总体为树型结构，即复合的星型结构。树型结构与目前的结构化布线技术、网络交换设备水平相适应，能较好地满足网络功能性能要求。

1.1 网络主干

如图1所示，科研局域网为“1+4结构”，即由院本部、加上4个科研基地(九万方、沌口、宜昌、重庆)的子网所组成。

院本部的核心交换机(千兆级标准)为科研局域网的中心节点，通过城域专线(千兆)与九万方科研基地相联，满足水利部岩土力学与工程重点实验室、国家大坝安全工程技术研究中心等单位的需要;通过城域网的VPN与汉阳的沌口科研基地相联，满足水利部水工程安全与病害防治工程技术研究中心等单位基于长江防洪模型的科研需要;通过广域网的VPN与宜昌、重庆的科研基地相联，满足长科院在三峡前方及重庆开发中的水利科研需要。

1.2 子 网

这里的子网是指以楼宇为单元的局域网。长科院楼宇按标准(ANSI/EIA—568—A商业建筑电信布线标准)实施结构化布线工程，每个子网内部也为星型结构。全院在核心交换机之下，共有汇聚层交换机4台，楼层(桌面)交换机60余台，连接终端节点1 200余个，划分为13个VLAN。另外，长科院还为水工河工模型实验大厅、主要会议室配备了内部无线网(Aruba设备)。对有特殊保密要求的财务、人事、空间信息等单位建设了与科研局域网物理隔离的专业子网。子网的主干为千兆单模光缆，楼宇内综合布线为超5类线。子网汇聚交换为具有千兆级标准，目前使用为百兆。用户终端为百兆到桌面。

1.3 院网络出口

网络出口指科研局域网的Internet出口。为了保障科研人员与部委及社会的科技交流，同时保证出口的高可靠性，长科院采用中国电信等2家运营商提供互联网咨询服务，分别提供带宽并互为链路备份。在出口处，使用综合网关限制访问内容，使用行为管理软件限制科研局域网用户的上网行为(在首先保证IE浏览速度之后，再依次满足流媒体播放、数据下载的需要)，使用负载均衡设备调节2条出口链路的流量达到合理的均衡程度。

图1 科研局域网主干结构图Fig.1 Structure of the intranet backbone

2 网络主要业务应用

长江科学院作为国家公益性水利科研机构，科研的前瞻性、开放性要求科研局域网要便捷、畅通、稳定、安全。在院本部设有中心机房，统一处理对外信息交换;在4个科研基地都设有核心机房，承担各区域内的科研与管理业务。科研局域网承载的主要业务是科学实验、综合管理信息系统及科技(公共)信息服务。目前科研局域网能够较好满足科研的要求。

2.1 科学实验系统［3］

水利科研的研究手段主要是模型试验与数值计算。

在模型试验中，近些年普遍采用了基于网络的计算机数据采集技术，实现了从数据采集、传输、数据处理与分析一条龙的信息化实验流程，在数据处理的基础上还开展了数值仿真，大大提高了试验成果的可视化程度。

数值计算采用工程计算与分析软件，定量研究工程水利、生态水利中的科研问题。近年，长科院基于网络的水资源分布、空间信息处理等取得了长足进展。引进了曙光TC4000L、曙光PHCP100等3台高性能并行计算系统，在有限元法、差分法与DDA计算方面也发挥了重要的作用。

长科院基于网络的计算机软件应用与开发很普及，2012年审核使用的有效版本软件达到132项。

2.2 综合管理信息系统

综合管理信息系统是长科院于2009年正式投入使用的管理软件，其包括院务、科研、人事、财务、资产、党群、科技信息及后勤服务等8个子系统，同时设有综合查询模块、个人中心模块。该系统基本涵盖了长科院科研管理内容，为流程化运作。流程运作的实时性对网络的速度及可靠性提出了很高的要求。在该系统运行以后，长科院对网络性能做了新的评估，并扩展增加了备份服务器、主辅网络存储设备等关键设备。

此外，作为综合管理信息系统的配套工程，长科院还建设了基于网络的一卡通工程，使用“长江卡”实现食堂进餐、考勤与会议签到、门禁、车闸等。一卡通数据中心由1台数据服务器(linx操作系统)及2台前置服务器组成，通过专用网关连至各前段设备。

2.3 科技(公共)信息服务

为满足科研人员网络办公的需要，长科院自主开发了《长江水利科技网》(院外网)、《长江科学院办公网》(院内网)，引进了敏迅电子邮件系统、深圳大学图书馆系统、腾讯通(RTX)即时通讯软件等。为满足科研人员需求，长科院订购了若干套专业相关的中英文数据库，并引进了5万余册超星电子图书，开通了科技档案资料的网络查询。

3 网络安全

网络安全是近些年受到广泛关注的问题。使用TIP/IP协议的互联网在给人们带来前所未有的开放性同时，也在保护信息安全方面显现出弱点。科研局域网的科研环境，对网络安全性要求极高。长科院在网络安全方面，着重考虑内网安全、出口安全2方面的问题，按照水利部的2级网络安全等级达标建设［4］。

3.1 内网安全

内网安全是根本。长科院从线路保障、子网管理、病毒防范等方面加强内网安全保护。

首先，严格采用标准的结构化布线技术，构造科研局域网，网络主干线路采用单模光缆并复线架设。子网间光缆走弱电地沟或弱电竖井，相对封闭以防止损坏。各楼宇布线垂直与水平系统严格按规范架设，并保证防雷击设施到位。

长科院内网被划分为13个VLAN。VLAN划分可以有效抑制广播风暴，提高内网数据交换效率，控制病毒传播，并为专业用户、特殊用户(如视频会议)使用指定IP，提供有效带宽。长科院部署在综合管理信息系统、网站等多台服务器上安装了瑞星网络防病毒软件(企业版)，从网络服务的角度抑制病毒的侵害。

3.2 网络出口安全

网络出口是内网安全威胁的主要来源。针对网络出口直接面对黑客攻击、非法访问、病毒侵袭等危险，长科院采用防火墙技术、入侵检测技术、行为管理技术等对科研局域网实施重点防范与保障。

防火墙是网络安全领域首要的基础性设备，利用防火墙可以有效地划分网络不同安全级别区域间的边界，并在边界上对不同区域间的访问实施访问控制、身份鉴别和审计等安全功能;入侵检测系统是一种主动保护网络资源的网络安全系统，它从计算机网络中的关键点收集信息，并进行分析，查看网络中是否有违反安全策略的行为和受到攻击的迹象。入侵检测设备是防火墙的合理补充，能帮助系统对付网络攻击。长科院使用天融信综合网关(TopGate500)，实现防火墙功能，同时还实现网络入侵检测、防病毒网关等出口风险控制管理。

针对科研局域网众多用户同时上网，需要在网络出口处限制上网行为。要配备相应管理设备，防止非法访问，产生行为日志，通过限制行为，保障有效工作带宽。长科院使用深信服AC系列上网行为管理器，较好地实现网页过滤、行为控制、流量管理、防止内网泄密、防范法规风险、互联网访问行为记录等。

4 网络运行维护

网络运行维护是与网络规划建设同等重要的工作，因为网络的效力只有在高效、稳定、安全的运行中才能得到体现。长科院科研局域网运行维护包括2方面的工作:一是明确网络管理要素，二是动态实施网络升级改造。

4.1 网络管理要素

明确网络的管理要素主要包括，健全规章制度，完善运行管理机制，配备网络管理软件，落实运行维护费等。

长科院为保障网络设施的正常运行，编制发布了《长江科学院网络与通讯管理办法》。为了防范突发故障，制订了《长江科学院网络安全事故应急预案》。院信息中心是网络运行维护的责任单位，使用13种运行维护记录表(如表1所示)，常年坚持规范化管理。

表1 科研局域网运行维护记录清单Table 1 List of intranet operation and maintenance records

长科院科研局域网的规模与性质，需要实行正规的网络管理。长科院引进了北塔网络运维管理系统(BTNM 3.9.2)，可以将全院的IT设备纳入到统一物理拓扑图进行管理，能可视化地实时显示各网段的流量分布情况及负载饱和度，同时在拓扑图上可以对设备的状况及性能进行相应管理，通过关联分析能够提示网络可能存在的故障点，预知告警，有效提高网络和业务系统的健康运行率。此外，报表运行管理还能提供网络历史数据的分析报告，为IT投资和优化架构提供参考数据。

4.2 网络升级改造

随着网络行为的丰富、用户数量的增加，科研局域网所承载的业务也在不断发展。最近几年，在水利部的直接安排下，长科院先后实施了“长江科学院沌口科研基地信息系统升级项目配置”、“长江科学院九万方科研基地网络通讯与电力增容改造项目”［5］等，并在每年安排信息化专项经费，每隔1～2年就要更换或增加网络交换设备、网络服务器等，同时配合新建楼宇实施网络建设工程。

5 结语

在2003年科研体制改革之后，长科院科研局域网作为科研十分重要的基础设施，规模不断增加，档次逐步提高，通过规范管理与运行维护，稳定性、可靠性、安全性不断提高，较好地满足科研与管理的需要。

但是，在运行过程中我们感觉也存在一些薄弱环节，如长科院科研局域网没有形成与部委多样化的对外通道，对外提供的公益性水利科研基础信息较少，网络的安全等级评估还没有完成等，这些都需要我们在今后认真研究解决。

［1］周力峰.以信息化应用技术促进管理现代化［G］∥科技治江成就辉煌.武汉:长江出版社，2011:257－266.(ZHOU Li-feng.Information Technology to Enhance the Modernization of Management［G］∥Science and Technology to Achieve Splendid River Management.Wuhan:Changjiang Press，2011:257－266.(in Chinese))

［2］周力峰.2010—2011年长江水利委员会长江科学院信息化建设概况［G］∥湖北信息年鉴.武汉:湖北科学技术出版社，2011:194－197.(ZHOU Li-feng.Overview of the CRSRI’s Informatization from 2010 to 2011［G］∥ Yearbook of Hubei Information.Wuhan:Hubei Science and Technology Press，2011:194－197.(in Chinese))

［3］郭熙灵，林绍忠，周力峰.扎实推进信息化建设 努力构建创新型强院［J］.人民长江，2009，(4):10－12.(GUO Xi-ling，LIN Shao-zhong，ZHOU Li-feng.Informatization to Build a Strong Scientific Research Institute［J］.Yangtze River，2009，(4):10－12.(in Chinese))

［4］周维续，付 静.浅析水利部信息系统安全等级保护工作［J］.信息网络安全，2011，(12):18－19.(ZHOU Wei-xu，FU Jing.Protection of Information System Security of the Ministry of Water Resources［J］.Netinfo Security，2011，(12):18－19.(in Chinese))

［5］武汉城市建筑设计院.长江科学院九万方科研基地网络通讯与电力增容改造项目设计报告［R］.武汉:长江科学院，2011.(CITIC General Institute of Architectural Design and Research.Report on the Design of Networking Improvement and Power Capacity Expansion for Jiuwanfang Research Base of CRSRI［R］.Wuhan:Yangtze River Scientific Research Institute，2011.(in Chinese))