黄倩
摘要:卫生局数据中心网络平台承载着区域公共卫生资源共享、业务串联和协同的工作,随着卫生部门内部信息资源和共享需求的迅速提升,需要对原有网络进行重新规划和升级,以提高网络平台的健壮性和安全性。规划工作包括网络拓扑规划、局域网规划、IP地址规划、路由规划、安全规划、网管规划等,根据规划实施网络配置,项目实施后进行总结。
关键词:优化;网络规划;网络安全
中图分类号:TP393 文献标识码:A 文章编号:1009-3044(2017)30-0008-02
筆者在浙江省台州市金点信息技术有限公司进行为期两年的行业企业实践锻炼,期间参与了台州市黄岩区卫生局数据中心网络平台的优化工程建设项目。
随着互联网日益发展和渗透,各地政府部门将大量的业务投入到互联网上运行,卫生局数据中心网络平台是区域卫生信息系统的核心,承担了整个区域卫生系统内部信息资源交换与共享,网络压力严重,一旦出现故障将造成不可挽回的后果。因此数据中心委托台州金点信息技术有限公司对中心网络平台进行合理优化,以期提高网络平台的健壮性与安全性,保证业务的连续性。
1 项目背景
目前卫生局虽然已拥有独立的数据中心网络平台,但平台创建已近十年,设备老旧,性能低下,无法承受住巨大的数据吞吐量。中心设备工作多年,不堪重负,随着网络平台的业务量逐步提升,负担逐渐加重,同时内部人员上网需求不断提升,数据中心网络平台时常出现各种问题,已无法很好地提供服务。
设备中心原先的运行的网络系统,主要存在以下问题:设备老旧、链路带宽不足、安全措施不到位、网络备份不足等。其中设备老旧导致网络性能较差,转发数据错误率居高不下,甚至有时还会导致设备死机,造成网络瘫痪;链路带宽不足导致数据传输的过程中过于拥挤,从而引起高网络延迟,甚至于数据传输失败等情况的发生;安全措施的不到位则使得网络易于被攻击;网络备份不足则会导致当网络设备出现故障的时候,整个网络便会瘫痪,造成难以想象的巨大损失。
2 网络规划设计
2.1 网络建设目标
卫生局数据中心网络平台承担了整个区域的卫生系统内部资源共享、业务串联和协同工作的任务,有可能达到TB级的数据交互量,对设备的链路带宽、交换容量等提出了巨大的要求,需要提供大容量的数据带宽。同时数据中心网络平台为整个区域的卫生互联网服务提供网络基础,承担巨大的访问量的同时,也要对外网的攻击起到安全防护的作用。
优化后的网络平台架构,需要具备高可用性、稳定、高效的特点,足以支撑黄岩区整个区域卫生系统信息交换和对外的安全防护,具体建设目标包括:
1) 升级网络带宽,达到万兆骨干,百兆独立享到桌面;
2) 增强网络的可靠性及可用性。网络不会因为单点故障而导致全网瘫痪,设备、拓扑等要有可靠性保障,不会因雷击而出现故障;
3) 网络要易于管理、升级和扩展。要满足5年内因人员增加、机构增加而扩展网络的需求;
4) 确保内网安全及同部门之间交互数据的安全。
2.2 网络拓扑规划
根据现有网络拓扑结构,结合建设目标及实际需求,新规划的拓扑结构如图1:
图1 网络拓扑图
本拓扑图的核心网络区域有四台交换机设备其中右侧两台设备进行IRF虚拟化配置,将这两台交换机虚拟成一台交换机,从而保证设备的可靠性。各台交换机都互相连接其他的交换机,配置0SPF。在所有设备上都配置STP技术来保证无二层环路,防止广播风暴的发生。楼层交换机通过两条链路链接到两台不同的交换机上,达到备份效果,同时路由器也通过两条链路连接至交换机设备上,进行链路备份,这样当某一个链路故障的时候也可以通过另外一条链路进行通信。服务器区与IRF交换机直接连接,必要的设备通过链路聚合链接到交换机上,保证足够的交换带宽。
2.3 局域网规划
局域网规划包含VLAN规划、链路聚合规划以及端口隔离、地址捆挷规划几个部分。
1) VLAN规划
使用VLAN来组建局域网,组网方案灵活,配置管理简单,降低了管理维护的成本。同时VLAN可以减小广播域的范围,减少LAN内的广播流量,是高效率、低成本的方案。
在本数据中心优化方案中,服务器区及普通用户区,部门之间需要进行访问控制,所以要进行VLAN划分。
网络主要分为两个部分,其一为服务器区,为服务器所属区域,通常服务器区的物理主机数据不多,所以将IRF1和IRF2上的25-48一共48个端口划给服务器区已经够用。其二为普通楼层区,为内部用户所在楼层的网络,统一划分为VLAN1403。
VLAN的划分如下表1所示:
链路聚合是以太网交换机所实现的一种非常重要的高可靠性技术。通过链路聚合,多个物理以太网链路在一起形成一个逻辑上的聚合端口组,起到增加链路带宽,提高链路可靠性的作用。
在本数据中心优化方案中,对交换机进行链路聚合后,上层实体把同一聚合组内的多条物理链路视为一条逻辑链路,系统可以把不同的数据流分布到各成员端口中,从而实现负载分担,大大提升了数据带宽。链路聚合也提供了高可靠性,如若链路聚合组中某个端口出现故障,设备会从新计算每个端口分配的数据,而不会对网络整体功能产生影响。
3) 端口隔离、地址捆绑规划
在本数据中心网络规划中,对管理核心机密数据的服务器使用端口隔离技术,严格控制外部的访问,并针对内网中出现的ARP病毒等现象,在核心交换机上进行端口捆绑。
2.4 IP地址规划
在原先的数据中心网络中,每个地方都使用的是192.168.0.0/24 网段,在新的网络中需要对IP地址进行重新规划,采用可变长子网掩码和无类域间路由来节约IP地址空间。
子网和IP地址的划分如表2所示。
2.5 路由规划与安全规划
为了未来网络规划扩展考虑,采用OSPF(开放式最短路径优先)动态协议。在网络出口配置默认路由,以便访问外网,该路由下一跳为运营商路由器的接口地址。
在出口路由器上部署NAT,这样不仅解决了网络地址不足的问题,而且会将内网IP地址屏蔽,在网络上只有统一的对外公网IP,保障了内网的安全。同时采用端口映射技术,将外网主机IP的一个端口映射到内网之中的一台服务器上,当外网用户访问这个端口时,实质上是在访问内部的服务器。通俗地讲就是将一台内网主机映射到一个公网地址上,当用户访问这个端口时,路由器会将这个请求转发到内网处理这个请求的服务器上。
安全规划中还包括在路由器上通过ACL访问控制列表来实现访问控制。配置ACL后,可以限制网络流量,允许特定设备访问,指定转发特定端口数据包等。
2.6 网管系统规划
网管系统采用SNMP简单网络管理协议和设备回环地址进行管理,每个设备上配置Telnet为开启状态,方便设备的远程管理。
3 网络配置实施
为了具象表现网络配置实施过程,这里用H3C云实验室模拟器模拟搭建网络环境。
按照设计方案,图2所示搭建了一个网络环境,现在HOSTA可以访问外网即路由RTONET之外的网络,同时可以訪问WebServer1;HOSTB可以访问内网服务器WebServer2,不可访问WebServer1;WebServer1只有HOSTA能够访问。SW1、SW2、IRF1、IRF2上都使用了OSPF协议、TELNET、STP协议等技术,保障了网络的高效性与可靠性。
4 总结
经历半个月的前期调研、网络规划、项目实施,顺利完成了黄岩区卫生局数据中心网络平台优化的建设工作,完成后效果比较满意,达到了原先预定的目标。
通过全程参与这个项目,积累了项目实战的经验,学习和了解了行业最新的技术和动态,有利于推动高等学校与企业合作,开发校企合作的课程内容,也为下一个校企合作项目——嵊州市公安局网络升级改造(网络设备系统)规划设计与顺利实施打下了技术基础。
参考文献:
[1] 谢希仁.计算机网络[M].北京:电子工业出版社,2013.
[2] 王云,黄晓彤,杨陟卓,杨威.网络工程设计与系统集成[M].北京:人民邮电出版社,2010.
[3] 洪学银.中小企业网络构建[M].北京:清华大学出版社,2013.
[4] 杭州华三通信有限公司.路由交换技术[M]. 北京:清华大学出版社,2016.
[5] 易建勋.计算机网络设计[M].北京:人民邮电出版社,2011.
[6] 谭亮,何绍华.构建中小型企业网络[M].北京:电子工业出版社,2012.
[7] 张殿明,杨辉.计算机网络安全[M].北京:清华大学出版社,2014.
[8] 程庆梅.网络安全与防护[M].杭州:浙江大学出版社,2015.endprint