18
网络通信技术
Network Communication Technology
电子技术与软件工程
Electronic Technology & Software Engineering
根据西南空管局业务规划,CDM 系统(协同决策与放行系统)、AIMS 系统(航管信息自动化处理系统)等系统,统称为管制信息系统,他们共用部分网络设备和资源。改造前管制信息系统网络存在两点问题:
(1)上线时间早的系统,网络设备老旧,网络资源不能满足现有需求;
(2)上线时间较晚的系统,存在网络设备利用率不高的问题。同时随着成都天府国际机场的建成,为适应天府国际机场和双流国际机场两场运行模式,需要对双流国际机场管制信息系统网络进行改造升级,最终实现两场网络互联。1 改造前的网络分析
总体上,改造前管制信息系统网络架构相对混乱,不利于后期扩容和日常的运维管理。其表现为管制信
息系统的业务系统(含引接的数据源)种类多,建成投入使用时间跨度大,缺少统一的网络规划,网络层次不明;系统引接的数据分布于多个交换机,导致运维人员管理和维护工作日益繁重,运维难度加大。除此以外,改造前的网络还存在以下问题[1]。
(1)从经济性和实用性看,系统引接外部数据的链路存在不必要网络设备,不仅占用更多的网络资源,也增加故障发生概率和排查难度。
(2)从可靠性看,用户分布在不同办公区的不同楼层,距离远。部分楼层汇聚交换机和接入交换机只有一台设备,存在单点故障隐患,一旦设备发生严重故障,将造成业务长时间中断。
(3)从安全性看,除航空公司用户经过防火墙外,整个网络缺乏必备的网络安全设备,网络安全性低,容易遭受网络攻击,影响业务正常。
(4)从可管理性看,部分网络设备只能现场登录设备管理或登录要求环境苛刻(如:需使用低版本IE 浏览器),不能在运维监控中心统一远程管理。2 网络改造的需求分析
根据前文分析改造前网络存在的不足,综合考虑双流国际机场与天府国际机场业务网络互联需要,本次网络改造设计共有2点需求。
(1)统一各业务系统的网络拓扑,要求网络拓扑清晰,结构分层明确。设计一张可靠度高、安全性强
teamviewer、易扩展、方便管理的网络,从而整合网络资源,提高资源利用效率,拆除不必要、性能低下、故障率较高的网络设备。
(2)改造后的网络具备双流国际机场和天府国际机场之间具备服务器区互通和用户区网络互通的能力。3 数据中心机房管制信息系统改造升级方案
西南空管局管制信息系统网络架构设计
陈明
(中国民用航空西南地区空中交通管理局通信网络中心 四川省成都市 610000)
3.1 改造升级方案概述
按照系统的保障等级,本设计将管制信息系统包含的系统分为核心和非核心业务系统两类。核心业务系统指以CDM 系统、AIMS 系统等为代表,服务器运行在虚拟化平台,一旦发生故障将对生产运行造成严重影响的系统。非核心业务系统指采用传统物理服务器或本地作为西南节点引入使用的各类系统的一类统称。基于此,按照网络分层设计,核心业务系统的整个网络划分为服务器区、核心网络区、用户网络区三个层次。简化后的网络拓扑示意图如图1所示。
服务器区由虚拟化平台(服务器、存储等,非本文重点,不做介绍)、服务器汇聚交换机组成,负责业务系统内部之间、两场服务器之间的数据交互。服务器汇聚交换机下联虚拟化平台的服务器,上联核心网络区的交换机。考虑到未来两场服务器和服务器汇聚交换机之间会增加接入交换机,接入交换机下联服务器,上联两场的服务器汇聚交换机,因此两场服务器汇聚交换机分别启用VRRP 协议(虚拟冗余路由协议),该协议生成的虚拟IP 作为虚拟化平台内各系统的网关,实现业务系统虚拟机之间流量互通;配置trunk 口实现两场服务器区网络流量之间的互通。配置默认路由,其下一跳指向核心网络区,用于虚拟机平台与用户网络区通信;根据实际业务需求配置静态路由。
摘 要:
本文在分析西南空管局管制信息系统网络架构不足的基础上,结合双流国际机场和天府国际机场两场运行的网络需求,根据网络分层原则,整合网络资源,通过交换机、防火墙等网络设备,利用堆叠技术和链路聚合技术,设计出一套可靠性、安全性、扩展性较高的网络,满足当前和未来一段时间的业务网络需求。
关键词:信息系统;网络设计;堆叠;链路聚合
图1:改造后的管制信息系统简化网络拓扑示意图
19
网络通信技术
Network Communication Technology
电子技术与软件工程
Electronic Technology & Software Engineering
核心网络区设备为核心交换机,采用三层网络通信,负责服务器和外部用户数据交互、两场之间用户
区网络互联。重要配置为核心交换机上联用户互联区的防火墙,二者之间引入OSPF 协议(开放式最短路径优先协议),划为骨干区域Area0,用于引入用户区路由,保证核心交换机和防火墙之间能学习到对方路由,减少重复的路由配置可能带来的失误,实现双流机场的外部用户和服务器之间的访问;核心交换机启用三层链路汇聚,用于两场的外部用户至对端机场服务器的网络流量互通。
用户网络区包括防火墙、用户汇聚交换机、各办公区楼层交换机以及楼层交换机下挂网络设备。负责用户终端接入以及和外接系统的数据交互。防火墙作为网络安全设备,启用路由、安全策略等功能,充当用户区终端和外接系统的网关,负责外部用户和内部服务器之间的通信,并对其进行访问控制。用户汇聚交换机用于连接各办公区楼层交换机,二者之间采用二层网络通信。
非核心业务系统网络包含接入网络、防火墙、用户网络区(借用核心业务系统的用户网络)三个部分。其中,接入网络指接入交换机,采用纯二层网络通信,每一个系统划分一个VLAN 进行二层隔离;后两者作用与核心业务网络防火墙和用户网络区的配置和作用相似,不再赘述。3.2 改造后的网络架构分析3.2.1 用户网络隔离性设计
VLAN (虚拟局域网),该技术可将一台物理交换机从逻辑上划分为更小的网段,从而隔离冲突域。考虑到网络设备和终端位置较为固定以及后期运维简单性,本设计采用基于接口划分VLAN 的方式。对于内部系统,每个系统使用不同的VLAN ;对于用户区网络,若对接的是其它部门的业务系统和数
据源,则使用单独的VLAN 用于数据交互;若对接的是用户终端,不同办公区的用户,以及不同系统之间,使用不同的VLAN 进行网络隔离,并通过交换机不配置VLAN 接口,仅在防火墙上配置对应VLAN 网关的方式,实现用户隔离。3.2.2 安全性设计
防火墙启用应用访问控制策略,该功能可根据预先设定的条件(如:服务应用、网络区域、端口号)对接口上的数据包进行过滤,允许其通过或丢弃,是一种常见的网络流量控制工具[2]
。主要配置为防火墙默认启用全阻止应用访问控制策略,不允许任何网络流量通过该防火墙;在此基础上,按照业务访问需求,设置特定的访问策略允许合法的网络流量通过。同时交换机启用安全策略,禁用135、139等容易遭受网络攻击的高危端口,提高网络安全性。3.2.3 可靠性设计
本次网络可靠性设计体现在设备冗余设计、链路冗余设计、防环路设计。
整个网络中,所有网络设备采用双节点设计,提高网络的可靠性。主要配置为:对于交换机,所有楼层接入交换机、用户汇聚交换机、核心交换机、服务器汇聚交换机均采用堆叠集技术。该技术可将多台交换机设备通过线缆互相连接,从逻辑上虚拟化成一台设备进行管理和使用,既便于管理设备,也达到设备冗余的目的。当一台设备故障后,另外的设备自动接管所有业务;同时在核心交换机和用户汇聚交换机启用多主检测技术,检测并处理堆叠集分裂时网络中出现的多主冲突[3,4]。对于防火墙,采用主备模式部署,主机所有配置实时同步至备机。当主用防火墙异常时(如设备掉电),备机
能自动接管主机网络服务,代替主机工作,达到冗余备份的目
的。
链路冗余设计体现堆叠交换机之间(如用户汇聚交换机和楼层接入交换机之间)、防火墙与核心交换机之间都采用链路聚合技术。链路聚合指将多条物理以太网链路聚合形成为一个逻辑链路聚合组,增加链路带宽,保证链路可靠性。通过该技术,当聚合组中的部分链路出现故障,网络流量自动切换到聚合组中其它正常的链路。
防环路设计体现在交换机全局启用PVST 协议(每VLAN 生成树协议),该技术可有效阻塞网络的冗余链路,从而消除二层环路。3.2.4 扩展性设计
本次扩展性设计基于堆叠技术来实现。
(1)使用用户汇聚交换机将各办公区楼层交换机连接起来,当某办公区需要新增楼层交换机,可直接接入用户汇聚交换机,完成网络扩展。
(2)利用堆叠技术,当某一台虚拟网络设备的资源不足时,可再次利用堆叠技术,将新的交换机设备加入至现有堆叠集,既扩展了网络资源,也能确保网络的稳定性。3.2.5 易管理性设计
良好的网络在设计时,不仅考虑网络的可靠性、安全性,也要考虑后期管理的便捷性。本设计体现在三个方面:
(1)所有交换机和防火墙开启远程登录功能,使用单独VLAN 作为管理VLAN ,配置VLANIF 接口作为管理地址,确保运维人员在监控中心能管理远程管理设备。
(2)配置交换机时,按照业务信息,配置相应VLAN 和接口的描述信息,有利于后期排查网络故障;
(3)因用户终端分布于各个办公区,距离较远。为及时有效处理用户终端故障,减少非必要前往现场的时间,用户终端安装远程控制管理软件(如:向日癸管理软件、TeamViewer 软件),能及时有效解决多数非网络原因的终端故障或执行软件更新等操作。4 结语
本文分析西南空管局管制信息系统网络存在的不足,结合两场运行网络需求,从网络的易管理性、实用性、安全性以及未来的可扩展性方面入手,设计出新的管制信息系统网络架构。根据部门故障处置记录和业务变更日志显示,改造升级后的网络,新增业务简单明了,网络故障次数减少,定位故障更快,网络稳定性提高。参考文献
[1]张洪涛.园区网的设计原则及实现[J].时代经贸(中旬刊),
2007(SC):207-209.
[2]SANGFOR_AF_v8.0.6_下一代防火墙用户手册.pdf,
bbs.sangfor/plugin.php?id=sangfor_databases:inde x&mod=viewdatabase&tid=58075:317-378.
[3]王达.Cisco/H3C 交换机高级配置与管理技术手册(第二版)
[M].中国水利水电出版社,2012(1):701-749.
[4]祝彦峰.网络虚拟化技术在企业园区网络环境中的应用[J].
电脑知识与技术,2020,16(05):47-50.
[5]陈岳.园区级校园网络规划与方案设计[J].信息技术与信息
化,2020(11):167-170.作者简介
陈明(1994-),男,四川省成都市人。大学本科学历,助理工程师。研究方向为计算机网络。
版权声明:本站内容均来自互联网,仅供演示用,请勿用于商业和其他非法用途。如果侵犯了您的权益请与我们联系QQ:729038198,我们将在24小时内删除。
发表评论