西藏自治区地震网络优化改造分析研究

李佳辑，次卓嘎，土旦次仁，许　亮，次仁多吉，高锦瑞

(西藏自治区地震局，西藏　拉萨　850000)



·技术交流·

西藏自治区地震网络优化改造分析研究

李佳辑，次卓嘎，土旦次仁，许亮，次仁多吉，高锦瑞

(西藏自治区地震局，西藏拉萨850000)

详细阐述了西藏自治区地震信息网络存在的问题与不足，利用西藏地震信息支撑平台项目，在充分使用和保护原有部分网络系统和硬件资源的前提下，采用硬件升级改造、系统重新集成、网络合理划分和优化网络结构等措施，提高行业骨干网络应对突发事件的能力。

网络优化改造；核心设备；IRF堆叠

0　引言

西藏自治区地震信息网络平台主要依托于“十五”数字地震观测网络项目建成，2007年正式全网运行至今。随着网络科技的不断发展，新型网络技术及观测技术不断更新，信息时代的网络互连已不是简单地将计算机以物理的方式连接，而是合理地规划及设计整个网络系统，充分利用现有资源，建立一套高效快捷且易于维护的网络体系。

随着西藏地震信息网络规模不断扩大，核心设备不断增加，组网方式日趋复杂，硬件及网络系统的维护工作量和难度进一步增加，现在的组网方式已无法应对日常维护及突发事件后的故障解决。

1　网络优化改造背景

西藏地震信息网络系统平台是正式投入运行以来，经多年建设成为一个承载地震监测预报、地震前兆数据分析研究、地震应急救援等工作的信息支撑平台。随着近几年中国地震背景场探测项目、社会服务工程项目及大陆构造环境监测网络等项目的建设实施，目前所使用的网络系统已无法满足业务发展需求。原因如下：(1) 数据量成倍增加，存储设备老化、空间不足，存储设备网络接入方式不明确，存在光纤和网线同时接入的情况；(2) 核心设备老化、性能的不足直接影响整个网络的数据传输；(3) 网络系统混乱、核心网络节点复杂、故障点明显增加，极易造成故障点判断不明，维护困难；(4) 部分服务器使用双网卡双链路接入核心交换，存在回路及IP地址冲突问题。对现有网络进行统一管理成为目前迫切需要解决的问题。

2　网络现状

西藏数字地震观测网络为星型结构(见第22页图1)，业务运行和各项目数据交换全部依托于现有网络系统平台。网络系统经过多次扩展改造，造成网络设备与种类品牌复杂、设备老化严重、组网方式混乱及网络布局、布线不规范等问题。

核心路由器为一台Cisco(思科)3845，设备出现老化使端口配置无法进行，造成台站数据传输频繁中断。核心交换机为两台华为S6506，未配置形成双机热备模式，测震、前兆、信息和应急服务器分别接入两台核心交换机，接入方式全部为双网卡双链路接入，未进行双网卡绑定及链路捆绑，极易造成回路及IP地址冲突故障，导致整个网络系统瘫痪。楼层交换、服务器等核心设备的网络链路通过配线架进行汇聚后接入核心交换机，缺失规范的线路标识，一旦网络运行出现故障，需对两端链路进行逐一排查。若无法在第一时间找到故障点，既增加网络传输的不稳定性，也增加线路排查的工作量。未划分DMZ区，无法实现内部网络的有效防护。

3　网络结构优化调整

在网络优化改造实施阶段，提前对网络架构进行了优化设计，购置部分核心设备，对原有核心设备进行替换，各骨干接点采用路由器及交换机作为汇集。为避免IP地址冲突，对业务和楼层用户进行了VLAN划分。虚拟局域网(VLAN)可提高网络运行效率，有效防止网络风暴且便于资源的分类管理。各骨干接点与省地震局中心网络通过路由设备进行直连，收缩各自下属节点的局域网网关，并用VLAN实现各局域网的隔离，形成一个3层的明晰架构[1]。区域中心各分项服务器采用三层交换机进行汇聚，用VLAN技术对网段地址隔离。利用防火墙设备划分隔离区(DMZ区)，内网和DMZ区在防火墙外口作SNAT访问internet，DMZ区通过DNAT为外部用户提供WWW等服务[2](见图2)。

图1　西藏数字地震观测网络星型拓扑图Fig.1　Star topology of Tibet digital seismic observation network

图2　西藏数字地震观测网络优化改造设计图Fig.2　Optimization design of Tibet digital seismic observation network

4　网络优化实施

(1) 网络优化改造实施中，使用一台华三(H3C)S6608作为核心路由器，两台华三(H3C)7506E为核心交换机。两台核心交换机之间用万兆以太网口进行互联，使用集群交换中的IRF堆叠技术，将多台网络交换设备通过堆叠口连接形成一台“联合设备”。用户只要通过对该“联合设备”进行管理，就可实现对堆叠中的所有设备进行管理，既简化了管理，又有强大的扩展能力为网络系统提供高可靠性的运转环境。

(2) 使用多台华三(H3C)S5600交换机将各分项服务器进行集中汇集，然后用VLAN划分出服务器及工作端接入的两个子网段，配置两网段实现互通。在核心交换机中，使用VLAN划分出不同子网，分别接入各分项交换机，保证各业务分项的相对独立，使网络管理更加安全灵活。

(3) 使用现有网神防火墙划分出隔离区(DMZ区)。在防火墙内配置网络地址转换(NAT)访问控制策略及安全规则，将一个网段通过地址映射转换为外网地址以实现外网对内网进行WWW等服务的访问，达到隐蔽真实地址、控制访问的目的。

(4) 将原有网络配线架拆除，分项服务器端与交换机汇聚点进行直连，可以大幅减少中间故障点并提高网络故障排查效率。

(5) 使用bonding技术对linux服务器双网卡进行绑定，绑定后的双网卡提供负载均衡和冗余保护作用。多块网卡绑定后，服务器的访问流量被平均分配到每一块网卡以减小其负载，当其中一块网卡出现故障时，另一块网卡正常工作[3]并在交换机进行链路捆绑，防止造成网络回路及IP地址冲突等。

5　实施过程注意事项

建立DMZ区，应注意配置访问安全策略，禁止在防火墙中添加DMZ区到内网区的全通规则，不然DMZ区就失去了防护意义。在网神防火墙中设置安全策略并进行NAT源地址转换后，需将设置进行上移，保证设置及时生效。

服务器使用双网卡双链路接入交换机时，需要先在服务器进行双网卡绑定，交换机同时进行链路捆绑，防止造成网络回路及IP地址冲突。

6　结论

西藏自治区地震信息网络平台的优化改造提升了网络运行效能及办公效率，满足了社会服务工程项目、背景场探测项目和藏东南地震监测中心等多个项目的地震数据传输共享能力，大幅提升了行业骨干网络突发事件的应对解决能力，在西藏数字地震观测网络中发挥了重要作用。

[1]马晓兰，孙春玲，白占孝.浅析青海地震信息网络优化改造[J].高原地震,2013(4):51-53.

[2]闫新惠.网络安全与DMZ的设计[J].科技信息,2013(23):101-112.

[3]曹连刚，由德凯，关慧.Linux下双网卡绑定技术的实现[J].甘肃科技,2008(1):43-44.

Analysis and Study on Optimization of Seismic Network in Tibet Autonomous Region

LI Jia-ji, Cizhuoga, Tudanciren, XU Liang, Cirenduoji, GAO Jin-rui

(Earthquake Administration of Tibet Autonomous Region, Lhasa, Tibet 850000, China)

In this paper, the problems and deficiencies of the seismic information network in Tibet autonomous region are described in detail. Using the Tibet seismic information supporting platform project, The measures such as hardware upgrading, system integration, network partitioning and optimization of network structure are adopted under the premise of full use of the original part of the network system and hardware resources. These measures improve the ability to respond to emergencies in backbone network.

Network optimization and improvement; Core equipment; IRF stacking

1000-6265(2016)03-0021-03

2016-06-10

李佳辑(1981—)，男，山西省昔阳人。2001年毕业于防灾技术高等专科学校，工程师。

P315.69

A