北京数字档案馆(电子文件中心)网络系统建设概述

2017-08-09 18:52刘宗渊
北京档案 2017年7期
关键词:核心层网段专网

刘宗渊

网络系统是北京数字档案馆(电子文件中心)的重要组成部分和基础环节,安全稳定的网络系统为用户访问北京数字档案馆(电子文件中心)的资源提供良好的链接通道和安全稳定运行的平台支撑,为档案数字资源的交互、传输提供服务保障。

一、建设目标

北京数字档案馆(电子文件中心)网络构建三个服务平台,分别提供相应层级数字档案信息资源利用共享服务。一是面向档案馆工作人员和来馆利用档案人员内部局域网(专网)利用服务平台;二是面向本级党政机关各立档单位的政务外网电子文件归档和档案信息共享平台;三是面向广大社会公众和进行馆际交流的互联网公共档案信息服务平台。

二、建设原则

北京数字档案馆(电子文件中心)网络系统的建设遵循统一规划、统一实施的指导思想,既满足当前需求,又充分考虑将来整个网络系统的投资保护和新应用的支持。设计及实施充分遵循采用标准、开放的网络技术,网络具有可扩充性、可管理性、高可靠性、前瞻性的原则。

三、功能设计

(一)VLAN规划

北京数字档案馆(电子文件中心)网络借助VLAN技术,结合局馆处室职能及业务需求,进行子网划分,隔绝广播风暴,保证网络安全。其中互联网部分划分为13个VLAN,政务外网部分划分为12个VLAN,内部局域网(专网)划为11个VLAN。

(二)IP地址规划

IP地址的合理分配是保证网络顺利运行和网络资源有效利用的关键。为了规范IP地址,减少路由表,网络系统的编址方案利用无类别域间路由选择(CIDR)和可变长子网掩码技术,结合北京数字档案馆(电子文件中心)各业务系统使用情况及局馆处室职能对网络IP地址段进行规划分配,提高网络性能,方便管理。

其中互联网划为5个网段,分别为馆址各处室办公网段(192.151.32.1- 254),数据处理/利用处网段(192.151.33.1-254),馆址领导办公/服务器管理网段(192.151.34.1- 254),局址领导办公/保留网段(192.144.216.1- 254),局址各处室办公网段(192.144.217.1-254);政务外网6个网段,分别为馆址各处室办公网段(10.151.32.1-254),数据处理/利用处网段(10.151.33.1-254),馆址领导办公/服务器管理网段(10.151.34.1-254),保留网段(10.151.35.1-254),局址领导办公/保留网段(10.144.216.1-254),局址各处室办公网段(10.144.217.1-254);内部局域网(专网)11个网段,分别为数字化加工处理网段(192.168.30.1-254)、档案查询处理网段(192.168.31.1-254)、调归卷处理网段(192.168.32.1- 254)、整编处办公网段(192.168.33.1-254)、网管处办公网段(192.168.34.1-254)、服务器管理网段(192.168.35.1-254)、预留网段(192.168.36.1-254)、(192.168.11.1-254),安全处理网段(192.168.40.1- 254),备用管理网段(192.168.216.1-254)、服务器管理网段(192.168.1.1-254)。

(三)QoS设计

网络系统设计统一采用IP Precedence优先权技术,划分优先级,根据数据包的优先权值,通过拥塞管理机制和队列机制对各个优先级分别提供不同级别的QoS服务。每种应用根据其自身应用特点,被分配至相应的优先级别。

实施QoS的根本目的是确保网络信息能够及时获得所需要的网络带宽,并在此基础上完成管理信息的传送。针对网络信息流量的内容及特点,制定如下QoS策略:

1.关键业务数据如数据处理域、办公域数据要给予最高优先级保证,在任何情况下都要确保业务数据及时可靠地传送;

2.保证应用服务器的正常使用,如应用服务域各项应用,不但不允许数据丢失,同时对延时的要求也非常高,将其定义为次高优先级;

3.一般性应用属于非业务的数据流量,其数据包最长,对延时并不敏感,但是不允许数据丢失,在保证前述业务流量的前提下,同时保证此类业务的正常通过,因此将其定义为普通优先级;

4.所有未定义的流量则被置为最低优先级;

5.另外,QoS设计将具有审批权限的人员的IP优先级置高,保证具有审批权限人员的带宽需求。

四、网络设计

整个网络系统分为互联网、政务外网和内部局域网(专网),其中内部局域网(专网)与政务外网、互联网物理隔离,政务外网与互联网逻辑隔离,市馆与区档案馆之间通过VPN技术连接实现互访。政务外網核心层按照万兆、档案业务专网核心层按照千兆设计。

(一)政务外网与互联网

政务外网采用两层结构设计,即核心层和接入层。核心层部署2台万兆以太网交换机采用双机热备方式实现设备冗余,并通过配置负载均衡协议和动态路由协议实现交换机之间的链路冗余及流量分担。为保证网络安全,在核心层部署漏洞扫描系统、入侵检测系统、网络审计系统,做到安全隐患及时发现,危险行为及时终止,非法操作详细记录。接入层部署以太网交换机分别连接北京数字档案馆(电子文件中心)不同业务域。按照业务域的不同功能要求配置不同策略。在DMZ域和政务外网公共服务域的网络出口各部署应用负载均衡器实现负载均衡;在数据库处理域前部署数据库审计系统,确保系统的数据安全,同时满足等保3级要求。

使用具有路由功能的交换机接入互联网,为了保证链路的可用性,储备一台具有路由功能的交换机作为冷备设备。部署防病毒网关,上网行为管理、流量控制器和网络入侵防护系统NIPS,满足网络流量管理和安全保障的需求。(政务外网及互联网拓扑图如图1所示)

(二)内部局域网(专网)

内部局域网(专网)也采用两层架构,即核心交换层、接入层。核心层部署2台千兆以太网交换机采用双机热备方式实现设备冗余,并通过配置负载均衡协议和动态路由协议实现交换机之间的链路冗余及流量分担,配置2个万兆接口分别下联至接入层的各域,提供核心层的高速交换转发。内部局域网(专网)与外界网络物理隔离,在核心交换机的旁路部署漏洞扫描和网络审计设备,及时发现整个网络系统的问题,满足网络对安全的需求。接入层交换机分别部署在应用服务域、数据处理域、安全服务域、系统测试域和利用大厅域。在应用服务域的网络出口部署应用负载均衡器设备实现对应用负载的冗余及流量分担;在安全服务域、应用服务域、数据处理域、系统测试域配置防火墙实现对内部网络的保护。(内部局域网拓扑图如图2所示)

(三)市馆与区馆网络连接

为实现市区两级档案馆资源共享,跨馆出证等业务,采用VPN技术实现市区档案馆网络连通。在市馆政务外网边界路由器旁路部署一台VPN防火墙,区档案馆通过拨号方式经由市电子政务外网实现到市档案馆连接。

五、结语

随着档案信息化的不断发展,档案业务对网络性能及安全提出了更高要求,北京数字档案馆(电子文件中心)的网络建设还须从以下两个方面继续推进。

(一)内部局域网(专网)接入北京市电子政务内网

北京数字档案馆(电子文件中心)已经在政务外网和因特网上部署,但是出于安全原因,大量内部、敏感档案数据依然保存在内部局域网(专网),形成现实的网络信息孤岛状况。在下一阶段工作中,我们要尽快制定出接入北京市电子政务内网的方案,消除网络信息孤岛,进一步扩大北京数字档案馆(电子文件中心)服务范围和覆盖面。

(二)加强北京数字档案馆(电子文件中心)网络系统的管理,做到建管并重

制定北京数字档案馆(电子文件中心)网络安全运维的各类规章制度,做到以技术保管理,以制度促管理,坚持建管并重,确保数字档案馆整体系统安全稳定,让数字档案馆系统更好的服务民生,服务部门工作,服务领导决策。

猜你喜欢
核心层网段专网
单位遭遇蠕虫类病毒攻击
无线专网通信在武汉配电自动化中的应用
网上邻居跨网段访问故障
无线通信技术在电力通信专网中的应用
浅谈宽带IP城域网结构规划和建设
Onvif双网段开发在视频监控系统中的应用
我国警用通信专网与公网比较研究
PTN在京津塘高速公路视频专网中的应用
面向TD-LTE的城域传送网核心层组网探讨
三层交换技术在大型医疗设备互联时的应用