1、关于加快办公骨干网建设提高天津水利信息化水平作者:杨晓云 范晓娟 董智凭 论文摘要:介绍了天津水利办公广域网的建设情况,重点阐述了相关路由协议配置以及安全防范措施。通过天津水利办公广域网的建设,下属单位与局机关实现了稳定、快速的网上办公、信息传递,并同时满足了未来网络数据、语音和视频等信息业务发展的需求。 论文关键词:水利广域网 信息化 天津市水利局是天津市水利行政主管部门,承担着防汛抗旱、农田水利建设、水资源综合开发利用和引滦供水等重要任务。经过多年的建设,天津水利内部办公网络已经初步形成,局机关实现了网上公文运转、档案管理及信息发布等功能,全水利系统实现了网上公文、信息传递。随着网上信息量
2、的不断增加、网络依赖性的提高,原有帧中继和电话拨号的联网方式,在网络带宽和网络稳定性方面已经不能满足全局办公自动化的需要,由于局机关是水利部门的指挥中枢,各种水利相关信息要快速、可靠地向局中心网络传输,天津水利办公广域网正是适应这种新形势的需求而建设的。 1 建设前接入内部网络情况 天津水利内部办公网络建设完成后,局机关办公自动化系统全面应用,局下属单位分别以帧中继和电话拨号方式与局中心计算机网络连接,但中心端速率只有 1M,随着水利信息化建设的不断发展,对水利信息资源的应用逐步深入,需要传输各种大量的水利数据、视频等信息,对于网络的依赖性越来越强,以光纤接入替代原来的电话线接入,提高整个网络
3、的带宽和接入响应方式已迫在眉睫。并且随着天津水利办公广域网的逐渐扩大,网络节点的增加,原有的静态路由方式广域网也已经不能适应新的网络结构要求,见图 1。 2 天津水利办公广域网建设后整体网络结构 局属单位水科所等 22 家单位新增为 2M 光纤方式接入,实现与局网络中心的宽带互联。改造后水利局的核心网络以原有的防火墙作为水利局内部网络与其他各机构网络中间的隔离。网络内只允许用户端能够访问到水利局内部网络的相关服务器网站所对应的端口。 新增加网络内核心的接入路由器,起主路由发布作用,并在其上新建 1 块 CPOS 光口卡,此光口卡连接到网通的 SDH 节点设备上,带宽为155M,此通道可以划分为
4、 63 个 2M,最多为 63 个分支机构提供 2M 的接入通道。 原有的路由器作为原有网络核心接入设备,现在作为于桥水库备用路由发布设备。 引滦入津沿线 7 个管理处使用引滦入津工程管理信息系统建设的光纤网络,采用统一门户,通过引滦工程管理处至水利局的光纤通道,实现引滦工程信息网与局网络中心的网络互联。 3 相关技术实现手段 31 选用 OSPF 路由协议 天津水利办公广域网肩负着 OA 文件系统传输和实时水雨情信息的传输以及各种大量的水利数据、视频等其他信息传输的网络重任,要求网络必须可靠稳定。 整个网络必须具有多路由选择、路由迂回、路由备份的能力,以防止因单路由的损坏而造成全网或非损坏节
5、点的中断。同时,网络禁止出现路由循环或路由不被利用的情况。并对有多条电路连接的情况,尽可能地做到各条电路上的流量和负载均衡,保证带宽的合理和充分利用。 天津水利办公广域网网络覆盖面广,经过的路由复杂节点多。以局网络中心机房为中心,连接局机关及局所属企、事业单位和区县水务(利)局等单位的网络,实现全水利系统计算机网络的互联互通,为水利信息化提供硬件基础,见图 2。 OSPF 路由协议具有以下优点:可适应大规模网络、路由变化收敛速度快、无路由自环、支持变长子网掩码 VLSM、支持等值路由、支持区域划分、提供路由分级管理、支持验证、支持以组播地址发送协议报文等。所以在水利办公广域网的设计和建设时,采
6、用以 OSPF 为主,静态路由为辅的路由策略,使原先的办公网络平滑的融合和过渡到新的网络体系中。 311 OSPF 区域划分天津水利办公广域网运行 OSPF 路由协议,对现节点 OSPF 协议中的 AREA 值设定为 1O0。随着更多设备接入,网络扩充,可划分更多区域,根据不同区域的网络特点设定相应的网络环境。达到隔离故障,防止蠕虫病毒及网络设备失效(如端口故障)等对全网的影响作用。并可对外隐蔽网络结构,阻止外部用户通过扫描探测网络的结构。312 路由器配置内容核心路由器 0SPF 配置为: routerospf100 启动 OFPS 协议 log-adjacency-changes 记录 O
7、SPF 邻居状态的改变 redistributestatic 引入静态路由信息 network192168 OOO3area100通告本地连接网段路由信息 (其他节点互连网段略) 下属各单位路由器 OSPF 配置。以 cisco2821 接入路 由器为例 0SPF 配置如下: routerospf1OO logadjacencychanges redistributestatic network192168 OO0255 area1OO netw ork192168 OOO0area 1OO 313 OSPF 路由的实现广域网的连接自动完成 OSPF 路由学习功能,把整个区域的所有路由自动学习
8、到默认网关上面,完全不需要人工设置路由,达到了路由自动寻找和更新的目的。 配置完成后,键入显示路由命令 show Proute,可显示路由表中各路由获取方式: 32 安全防范措施 在天津水利办公网络系统中,要确保网络设备的安全,保证非授权用户不能访问路由器、交换机或防火墙等关键网络设备。主要采用了以下措施: 321 对网络设备的控制台访问和远程访问都必须在严格的管理和控制之下,提供强认证机制,保证用户口令不在网络中明码传输,并定期更换口令。配置认证服务器,对网络设备的访问进行统一的认证、授权、审计(AAA)。 322 通过对设备的配置,使得只能由某个指定 JP 地址的网管工作站才能进行网络管理
9、,对路由器或网络设备进行读写操作。 333 根据全网的安全访问控制策略,配置防火墙的过滤规则;访问控制的原则为必须是缺省禁止,即凡是没有被明令允许的访问一律禁止。 334 关闭路由器的源路由功能,以防止通过假冒 lP 地址和源路由技术侵入内部网;在路由器或交换机上配置静态 ARP,以防止假冒 lP地址的主机接入内部网。 335 由于拨号网络使用公用的电话交换网,在网络上传输的机密信息存在被窃听、篡改等威胁。针对以上威胁,必须保障用户口令不在网络上以明码形式传输。 336 水利专业网络作为业务系统的内部网络,从路由概念上讲不与公用网络直接互连。 4 结语 通过天津水利办公广域网的建设,下属单位与局机关实现了稳定、快速的网上办公、信息传递。并同时满足了未来网络数据、语音和视频等信息业务发展的需求。不仅为今后全局网络系统基础平台建设工作奠定了坚实的基础,而且为实现全局范围内的信息资源共享提供了良好的网络基础环境。
