1.水利信息网络建设内容
水利信息网络是为防汛抗旱、政务、水资源管理、水质监测、水土保持、水电及电气化等各种水利应用提供的统一传输平台,是最重要的水利信息化基础设施之一,其建设按三级网络构架进行。
(1)建设全国水利信息骨干网依托公用电信网,充分利用现有设施,建成覆盖水利部机关、七个流域机构、31个省(直辖市、自治区)水利(水电、水务)厅(局)、部直属单位的宽带多媒体网络,并通过链路加密等技术,将骨干网分割为涉密骨干网和普通骨干网。
(2)建设地区水利信息网络依托公用电信网,充分利用现有设施,建成联结各流域机构和省(直辖市、自治区)水利(水电、水务)厅(局)所在地与所属单位的广域网络。
(3)建设完善各单位部门网按照各级网络中心的要求,采用现代组网技术因地制宜地完善全国地区以上各级水利部门的部门网,流域机构和省级以上的部门网必须分建涉密网和普通网,普通网与涉密网实现物理隔离。
建设各级接入网,扩大网络的应用范围。
中国水利信息网络要结合国家防汛指挥系统项目的实施一同建设,并不断扩充完善,为各个应用系统提供网络服务。其它应用系统不再重复进行网络建设。
(4)完善和建设各级水利信息网络中心在水利部机关建设中国水利信息网络中心,提供对整个网络的运行管理和技术支持,负责网络安全和Internet网出入口管理,负责中国水利信息网节点IP地址的规划、分配和域名的管理工作。
在各流域和地区建设流域、地区水利信息网络中心,负责本流域、本地区的网络运行管理和技术支持。
网络中心的建设要打破部门分割,为本流域、本地区的各种应用系统提供网络管理和服务,要充分重视网络中心的配置,理顺关系,充实专职人员,使其成为本流域、本地区水利信息网络的枢纽。
2.网络建设思路水利行业的通讯网络是一个复杂的系统。通讯网络所要传输的业务主要包含以下内容:
★业务数据:自动采集、测报分站点与中心站点之间水情、水文数据的传输。
★业务话音:人工采集数据上传,防汛抗旱、水资源调度命令的上传下达电话。
★普通数据:水利行业OA应用,Internet/Intranet应用数据。
★办公话音:除业务话音外的日常办公、通讯电话。
★视频业务:水情、工情、险情的监控图像传输,基于网络的视频会商系统。
水利行业通讯网络的传输方式,可以分为有线和无线方式,具体包括:
★利用点到点/点对多点的数字微波技术★利用通讯卫星转发器提供的信道资源★通过租用公网光纤公用通路,实现透明光纤通信传输系统★利用集群移动通信技术,建立移动通信基站、移动通信分站集群移动通信传输系统★利用数字程控交换技术,建设数字程控交换通信系统★利用VHF/UHF短波、超短波通信和机电警报技术,建设无线反馈通信系统★利用公网或专网光纤、铜缆,建设城域、局域网络★其他方式,包括利用公网提供PSTN/GSM/X.25/FR/寻呼网络等通信方式
我国各流域、各地区由于客观条件不同,发展的水平不一,所选择采用的通信方式也不能一概而论,但总体上看有以下问题:
★通信网络总体建设相对落后:由于历史原因和客观条件的影响,水利行业通信网络与其他行业(电力、石油)相比,多采用无线方式,存在信道带宽低,技术落后的问题。
★多种业务网络分离,缺乏有效整合:多种业务分别建设自用网络,重复投资,增加了管理的难度。
★通信信道利用率低:业务数据及业务话音通常只在特定时间段产生低速率的应用,同样要占用整个信道,造成信道利用率偏低。
★宽带通信网络建设欠缺:广域网基本属于窄带网络,不能适应当前多种宽带业务的需求。
针对以上问题,结合我们在通信网络方面建设的经验,我们认为水利行业通信网络建设应当遵循统一规划、总体设计,有线与无线结合、可靠性与性能兼顾,专网与公网结合的方针。
统一规划、总体设计
统一规划、总体设计是指将多种业务的网络建设进行整体考量,做必要的整合,建设多业务网络,减少不必要的重复投资,达到提高网络利用效率,便于统一管理的目的。
现代通信网络技术的发展已经使得在同一网络中实现多种业务成为可能,将各种不同服务质量要求的业务集成起来。在传统的通讯方式中,多种业务需要架设不同的网络,或者采用时分复用技术,将信道分配给不同的业务,这样的方式不仅难于管理,也会浪费宝贵的带宽资源。建设统一的多业务网络可以很好地解决这一问题,采用统计复用技术,提高网络带宽的利用率和网络的管理水平。
多业务统一网络平台需要面对的一个关键问题是如何解决划分服务类别,保证服务质量。网络设备及系统应当具有多种优先级机制,如传输优先级、舍弃优先级等,确保高优先级的业务(业务数据、业务话音)可靠传输。ATM及FR技术,支持虚电路技术,结合了包交换和电路交换的优点,适合充当网络主干,结合MPLS、服务优先级划分及VPN等技术,可以提供高效、可靠的通信网络服务。
多业务通信网络满足包括传统业务数据在内的各种业务需求,并最大限度提高网络的带宽利用率,而且因为是统一平台,可以实现网络的统一管理,减少了网络管理的复杂度,有利于提高网络的管理水平,从而从整体上提高网络系统运行的可靠性。水利行业在多业务通信网络建设、整合现有的通信网络和计算机网络方面大有可为。
有线与无线结合、可靠性与性能兼顾
传统水利通讯网络受客观条件及历史原因的影响,主要以无线通信方式为主。无线通信主要包括短波/超短波反馈通信、数字微波通信、卫星通信及移动集群等方式,其特点是可靠性高,尤其在灾害发生的情况下,不会因为物理线路的损毁而影响到关键业务的传输。利用卫星、短波等方式可以跨越地形的障碍,实现有线方式难以达到的地点的通信联络。不过,无线方式也存在一些缺点,比如提供的信道带宽相对较低,越来越不适应各种新出现的宽带应用,会受到物理环境变化的影响,延迟相对较大,传输差错率高,服务质量难以得到可靠保证。有线传输方式则在这些方面具有相当的优势,当前基于铜缆的通信传输速率可以达到GB数量级,而基于光纤波分复用/密集波分复用技术,更可以达到10GB的数量级,传输差错率低,传输抖动小,受物理环境影响小,更适合当前不断涌现的宽带应用,适合多业务的组网传输。
将有线方式与无线方式相结合,可以兼顾到性能与可靠性的需求。有线网络可以提供日常的多业务通信传输,全面满足业务数据、业务话音、普通数据、普通话音及视频会议的服务质量要求。无线网络则可以提供在特殊情况下、特殊地点的通信传输,或作为有线传输方式的备份,保证水利通信网络的可靠性。
专网与公网结合
水利行业的行业特点决定其通信网络系统以专有网络为主,公网作为补充、辅助,在长期的建设中,已经建立起由多种形式的网络构成的水利专网系统,没有必要也不可能大量淘汰,因此,当前使用的通信网络系统通过更新仍将在很长一段时间内发挥作用。但同时,一些崭新的多媒体宽带应用,以及未来可能出现的虚拟现实等技术的应用都对通信网络的带宽、传输延迟、传输抖动提出了更高的要求,而现有的水利专网很难满足这些需求。
解决这个问题的方法有两个,一是建立自有的宽带通信网络,再有就是通过租用公网的通信线路,将部分通信服务外包。前者从应用的角度讲责任划分明确,应用方便,但缺点是前期固定投资额大,建设周期长,利用率偏低,覆盖范围相对较小。而采用后一种办法可以在比较短的时间内建立其覆盖面较广的网络系统,前期投资额小,可以根据业务需求平滑增加租用的带宽,缺点是一些边远地区实现困难,出现问题是责任划分困难,在有灾情发生的情况下难以保障网络的通畅。
解决这对矛盾的方法是将专网通信与公网服务结合起来,对专网建设实现统一规划、分步实施,对专网不能覆盖的地区或专网不能满足业务需求的情况下,采用租用公网线路的方式加以补充。
另外,公网提供的xDSL/PSTN/ISDN可以作为专网的备份,保障通信网络的可靠性,而GSM短信、寻呼网络也是险情预警的有效手段。
现在,水利行业正逐步认识到公网通信的重要作用,全国的防汛网络、一些流域及省级水利部门已经开始采用公网提供网络主干连接,将公网服务作为专网通信的备份也得到比较广泛的应用。一些省已经通过租用公网线路实现了集成话音、数据及视频应用的多业务网络,并取得了比较理想的应用效果。
"数字水利"的海量数据及多媒体宽带应用决定了水利通信网络建设向宽带化、多业务发展的趋势。光纤宽带网络、卫星宽带通信、数字微波扩频技术等将逐步成为主要的通信网络方式,水利专网与公网的整合,充分利用公网丰富的通信资源,是以较少投资、在较短时间内实现宽带、多业务通信的可行办法。
多业务网络通信平台需要传输多种不同特点的媒体信息,而传统的电话网、计算机网络、视频网络只传输单一媒体。一般来说,数据、文本、图形和静态图象等属于不连续的媒体,要求的平均速率不高,但有较强的突发性和短时的高速率,瞬间的网络带宽要求高,为了充分利用广域带宽,一般采用长数据帧方式传输数据,数据传输必须具备完整性;而语音和视频信息属于连续性的媒体信息,其中语音信息的传输速率较低,但实时性要求高,并且要保证语音数据不被普通数据的打断,而影响其效果,但允许丢失一定量的语音数据;视频数据需要稳定的高带宽,并且必须保证视频数据之间的间隔是固定的,以满足人的视角效果;为了满足语音和视频数据传输的特点要求,一般对这种数据进行短数据封装形式进行传输,同时在多业务交换机上必须具备多种QoS处理机制,满足多业务传输要求。因此多业务交换机必须具有以下功能:
1.能提供高带宽、多种业务接口模块多业务网络通信平台要传输多种类型的媒体信息,包括普通数据、文本数据、静态图形数据、语音数据、影像媒体数据,而各种业务类型对网络要求和接口是不同的,因此多业务交换机必须能提供丰富的网络接口,如数据接口10M或100M以太网等,数据业务接口ISDN PRI、信道化E1接口;广域中继接口V35、V24、E1、E3等,ATM中继接口E1、E3、OC3等,视频业务接口V35、E1等;语音数据接口E1,CES电路仿真接口,提供的带宽速率从几Kbps到Gbps之间。
多业务交换机须提供以下服务:
数据业务:IP路由数据服务、帧中继数据服务、ATM数据服务;并可以对数据进行优先级分类传输。
语音服务:提供语音的透明传输服务、语音网络交换服务视频服务:提供视频的透明传输服务,保证视频的质量效果。
2.能提供多种QoS机制,保证不同数据业务的品质多业务传输对多业务交换机提出了很高的QoS要求,由于业务特点的不同,多业务交换机能够根据数据业务特点,对普通数据业务进行大数据帧封装,按无连接路由方式传输,以最大利用广域网资源,体现IP数据业务的特点要求;对多媒体语音、视频数据,按短数据包封装方式、以面向连接方式传输,以保证数据的延迟最小、延迟变化最小,保证端到端的服务质量;多业务交换机能够以混合方式传输多业务数据,可以根据用户设置的优先级队列,对数据业务进行排队和传输。
交换机必须支持多种QoS机制,具有不同优先级的处理方式;也必须具有流量管理和拥塞控制机制,以保证最重要的应用服务品质。多业务交换机还须能够将局域网数据IP COS的分类映射到广域网中,形成对多种业务(数据、语音、视频)端到端的服务质量保证。
3.具有带宽复用特点目前组网方式分为三种方式,其一是采用固定分配带宽传输业务数据,如固定分配一定的带宽传输语音数据、一定的带宽传输视频数据、一定的带宽传输普通数据,此种方式对网络带宽资源造成很大浪费,也不能满足目前多业务的要求,例如,视频业务应用通常应用次数比较少,但对网络带宽要求比较高,而数据业务和语音业务经常需要使用,如果没有带宽复用的功能,就会一方面造成带宽的巨大浪费,一方面带宽资源的不够使用。
其二是采用纯路由处理方式,所有业务都复用在IP协议上。这种方式对网络带宽的利用非常好,但它不能保证业务的服务质量,尤其是多媒体信息业务,这是由于IP协议是非面向连接协议,目前还不太适合大规模传输多媒体信息应用。
其三是采用具有带宽复用特点的多业务交换机组网,它可以自动、动态的复用带宽资源,为不同的业务提供不同的服务品质。是目前先进而实用的网络技术。
4.提供语音网络功能目前,电话通信仍是人们最常用、最直接的交流手段,也是最频繁的办公方式,在企业同样如此,需要一种更经济、更灵活的方案传输庞大的内部语音业务,以降低网络运行成本。
多业务交换机必须支持语音网络功能,即可以识别语音信令,对语音交换提供一跳的直接转换功能,它避免了用PBX中继汇集的弱点,提高了网络资源的利用率和语音质量效果。也可以通明传输语音数据,以满足不同的用于要求。
5.提供IP VPN数据网络功能现在大家公认IP正成为主要的数据网络承载协议。如果组建一个具有多个节点的企业网络,通常需要多个路由器来处理。这种结构不但存在着潜在的配置管理困难之外,还存在着多个设备系统、多个故障点等问题。因此如果能够把这些设备和功能集合在一体的话,给用户带来许多好处。
多业务交换机通过支持多个内置路由器,在单个高性能交换机上,综合了第二层和第三层的路由与交换功能,消除了用户端处的额外路由器,而且也可以满足用户根据业务来区分不同的广域虚拟网;每个路由器有独立的IP路由表,这样可以使不同用户的IP地址空间可以重叠,而且保证不同用户间的业务互相分开,组成独立的虚拟网。
例如:水利系统的数据业务应用有公文处理系统、防汛调度系统、汛情数据系统等,这些数据业务系统的安全级别、优先级别是不相同的,而且从业务管理要求看,用户希望即有横向的数据业务联系,也有纵向的业务构成不同的数据业务网(如防汛调度数据业务网),因此需要多业务交换机能提供多个路由器功能。同时交换机必须支持IP的各种路由协议(RIP / OSPF / BGP4 ),以及IP包转发功能。
总之,根据水利信息的特点和要求,广域网的连接采取租用电信部门的信道建立水利专网的方式。建立广域专网可采取如下几种技术:帧中继、ATM、PPP、IP VPN等。
3.水利信息骨干网建设全国水利信息骨干网建设依托公用电信网,充分利用现有设施,建成覆盖水利部机关、七个流域机构、31个省(直辖市、自治区)水利(水电、水务)厅(局)、部直属单位的宽带多媒体网络,并通过链路加密等技术,将骨干网分割为涉密骨干网和普通骨干网。
根据《全国水利信息化规划纲要》的要求,全国水利信息化的近期目标是:从现在起用五年左右的时间,基本建成覆盖全国水利系统的水利信息网络,连接全国流域机构和各省(市、区)的水情计算机广域网。在七大流域机构、经济发达省份、国家重点工程、大城市率先实现水利信息化。
水利行业的管理体制的结构特点决定其通信网络系统的层次结构。以国家水利部为核心,连接七大流域及三十个省区,各省区内连接其下属水利单位。
网络业务类型水利部核心节点与流域、省骨干节点之间的业务类型包括:
★业务话音:人工采集数据上传,防汛抗旱、水资源调度命令的上传下达电话。
★办公话音:除业务话音外的日常办公、通讯电话。
★视频业务:水情、工情、险情的监控图像传输,基于网络的视频会商系统。
★业务数据:水利各业务系统数据的上传。
★普通数据:水利行业OA应用,Internet/Intranet应用数据。
网络技术选择骨干网络通路可以通过租用电信透明光纤链路实现。ATM技术结合了包交换和电路交换的优点,适合作为大型骨干网络的核心技术,建议水利部与各流域机构之间实现ATM STM1(155M)或ATM E3 (34M)连接,在水利部到各省实现ATM E3(34M)或ATM E1(2M)、ATM IMA(N*2M)连接。
骨干节点采用多业务交换机,彼此之间采用ATM链路互通,这样,话音、视频及数据业务就可以通过这个统一的网络平台进行传输。
网络管理水利信息网络骨干网将是一个大型网络,网络管理十分重要。
在建设初期建议在水利部核心节点设置网管中心,在流域/省区骨干节点建立子网管理中心。全网网络管理中心负责全网的监视和子网间的管理工作。流域/省区网管中心负责本的全部管理职责。网管分中心只是根据需要向网管中心提交网管数据,避免大量网管数据占据大量宝贵广域带宽的情况得出现,可以分担全网网管中心的压力。
随着网络规模逐渐增加,设备种类增多,管理复杂性增加,需要在不同技术、不同厂商产品的基础之上建立同一网管平台INM,完成端到端的管理。
网络备份水利信息网络是水利业务运行的基础平台,为避免意外事故造成网络失效,应当充分考虑网络的冗余备份。冗余备份包括了骨干网络设备的备份和网络通路的备份。骨干网络设备的备份可以通过网络核心设备及关键模块的在线冗余备份。骨干网络主要依靠公网提供的光纤线路实现,可以考虑租用不同运营商的通信线路,另外,可以考虑采用无线通信方式,例如海事卫星或我国的北斗卫星通信系统提供应急状态下的通信线路。
4.流域和地区水利信息网络建设流域和地区水利信息网络建设主要依托公用电信网,充分利用现有设施,建成联结各流域机构和省(直辖市、自治区)水利(水电、水务)厅(局)所在地与所属单位的广域网络。
流域地区信息网系统总体设计中,全省各地市的各个水利部门的局域网连成所在城市的园区网,这些园区网分别连入地域网分中心,选择重点地市作为地域网的网络中心。省厅中心与地域网分中心的互连结构参见下图。
骨干网长期规划示意图
为了进一步增加网络系统的抗毁性,在各个城市与流域/省厅网络中心之间都有一条网络专线连接,地域网内部各城市之间也建立多条链路。这样,整个骨干网的拓扑结构为非完全网状连接,可以在较大程度上提高系统整体可靠性。
在一期建设中考虑到项目经费情况和公网信道的实际情况,在骨干网互连结构中暂不考虑地域网结构的实现。流域/省厅网络中心与各地市水利局和省属水利工程处的网络之间利用公网建立星型连接结构,形成骨干网;各市水利局和水文局的局域网之间采用公网信道互连,各市水利局与重点防洪县局域网之间也采用公网信道连接,构建一个功能强大的多业务交换平台,可在同一网络内支持话音,图象,IP,HDLC等各种类型的业务。
广域网互连的关键设备是多业务网络交换机。在流域地区信息网络系统中,中心的多业务网络交换机需要支持和多个水利部门多业务网络交换机的星型连接,并扩展到所有下级节点的多业务交换机的直接连接。通信系统采用非平衡的G.703接口标准的2M光纤信道,接口数量及带宽根据业务需求决定。下级节点可采用多业务网络交换机或路由器提供与公网互连的模块与接口。
根据业务需求,所有骨干网上的结点的网络配置都应该支持话音功能和数据功能。为了满足网络远程管理的要求,为各部门配置的多业务网络交换机和路由器及其他网络设备应该是可网管的。
在初期建设中,中心设置多业务交换机一台,配置话音模块(用于连接数字程控交换机PBX),V.35模块/E1模块(提供广域互联),及10M/100M以太网模块(实现与局域网连接);下级节点可根据需求设置较低端多业务交换机,配置E1话音/模拟话音模块(用于PBX/模拟话音接入),E1模块(用于实现广域互联),及以太网模块。实现数据、话音及视频的多业务整合。
流域/地区中心网络结构图
在后期建设中,可根据需求增加骨干网覆盖范围。通过增加连接的数量,使星型骨干网络形成非完全网状结构,增加系统可靠性;随着带宽需求的增加,可增加E1(2M)线路的数量,通过ATM反向复用(IMA),实现带宽的平滑过渡,避免E1(2M)到E3(34M)的阶越。一期建设中下级节点的设备也可以下推使用,实现投资保护。
流域/省中心与下级分中心节点连接图
网络基本业务
各种业务接入方式
网络提供的基本业务为:帧中继永久虚电路业务(FR-PVC)和帧中继交换虚电路业务(FR-SVC);还可支持ATM永久虚电路业务(ATM-PVC)和ATM交换虚电路业务(ATM-SVC)。
多业务交换机在单一平台上直接支持包括数据、语音、图像在内的全部媒体业务。其支持的基本业务包括:
★帧中继PVC/SPVC、SVC★ATM PVC/SPVC、PVP/SPVP、SVC★ATM上的反向多路复用(IMA)
1.帧中继业务支持帧中继业务,可以通过帧中继或基于ATM的骨干网在不同长度的帧上高速传输数据,支持整个客户LAN和WAN的高宽带数据通讯。帧中继允许多种终端设备通过网桥、路由器或FRAD帧中继接入设备共享单一线路和端口实现数据通讯,从而为用户提供了不同于专线方式的另一套低成本、高效益、高性能的解决方案。业务管理功能和工程工具使其可支持多媒体数据业务。
帧中继以其强大的、全网络范围的智能业务管理功能--动态控制带宽、避免拥塞以及多业务优先级--超越了目前的帧中继标准。帧中继SVC可以运行要求动态建立呼叫和多对多联接的新型应用,同时为网络服务商大大降低了网络管理成本和网络占用时间。
2. ATM业务支持从基于帧的业务到基于信元技术的平稳的网络演进,基于信元技术是实现多媒体业务高速传输的关键。多业务交换机可以作为企业交换机使用,支持LAN的ATM网络,或作为多媒体ATM中心局骨干网把业务量合并到ATM中继线上,以支持业务供应商网络内的传输业务,信元交换功能把延时降到了最低,有效地利用了接入设备,并允许现有的设备更快地利用ATM骨干网。
3. ATM上的反向多路复用(IMA) 反向多路复用以一种负载分担的方式使用多E1设备,该功能避免了从E1(2Mbit/s)跳跃到E3(34Mbit/s)。IMA能为用户提供N×E1的接入和中继带宽。
该功能的关键特性包括:
★同时支持接入和中继业务★支持不同类型业务的多种ATM服务质量等级★可以通过不同的物理接口与所有其它ATM业务进行互操作★符合ATM论坛标准★集成的反向多路复用★从这一技术获得的总体利益包括:
★避免价格跳跃到T3/E3级★业务可恢复性(减少了单个T1/E1链路故障的带宽)
★增量ATM VCC带宽大于T1/E1流★多厂商间的互操作性★比外部反多路复用器更低的成本★与基于帧的中继线共存
用户选择业务除提供基本的业务功能外,还可以提供以下用户选用业务:
★IP业务★话音连网业务★视频业务★HDLC透明数据传输-HTDS★比特透明传输-BTDS类似的建设模式在江苏、河南等省域水利信息网络建设中已经得到广泛的应用和一致的认可。
5.各单位部门网建设按照各级网络中心的要求,采用现代组网技术因地制宜地完善全国地区以上各级水利部门的部门网,流域机构和省级以上的部门网必须分建涉密网和普通网,普通网与涉密网实现物理隔离。
根据上面的分析和实际情况,我们提出基于千兆以太网骨干的设计方案。选用第三层千兆路由交换机作为交换核心,第三层交换机可以提供线速路由,是解决Intranet应用造成路由瓶颈问题的一种可行的方案。
根据网络规模划分为接入层/核心层两层结构,或接入层/分发层/核心层的三层结构,并利用多链路主干(MLT)技术及冗余实现网络的可靠性和高性能。
三层结构的园区网示意图
上图显示了一个典型的三层结构园区网示意图,接入层提供高速接入,VLAN划分;分发层负责处理数据路由;核心层提供高速主干交换。
千兆位交换提供了高带宽,采用多层路由交换技术,解决传统网络的路由瓶颈问题,交换机支持虚拟局域网(VLAN)、组播(Multicast)、服务级别(CoS)、服务质量(QoS)技术,满足日益增长的宽带多媒体应用的需求,层次化的结构具有良好的可扩展能力。
涉密网和非涉密网的隔离可以根据安全等级需要采用物理隔离或VLAN划分的方式实现。
园区网拓扑结构示意图
目前,千兆以太网在使用增强光模块的情况下,其传输距离可以达到几十公里,基本可以覆盖园区或城域范围,建议部门/园区/城域主要节点之间实现基于光纤的千兆以太网连接。
网络各主要节点的网络结构采用核心层和接入层两个层次,中心交换机采用千兆路由交换机,接入交换机采用带有千兆上连端口的10/100M自适应以太网交换机,主要服务器应包括数据库服务器、地图(GIS)服务器、邮件服务器、WEB服务器、办公自动化服务器以及图象服务器等专用服务器,关键服务器应采用双机热备,存储设备采用RAID系统。园区网内部路由由中心路由交换机处理、广域路由由多业务交换机处理,在没有条件采用多业务交换机的接点采用传统路由器实现,原有的路由器设备可以作为中心路由交换机和多业务交换机的备份。网络操作系统建议采用微软Windows NT/2000/XP系列产品,方便管理人员实现日常管理维护。数据库系统建议采用Oracle 8i/9i,具有较高的兼容性,并且可以为GIS系统提供空间数据存储支持。网络协议主要采用TCP/IP协议,网络地址实现统一规划管理,局域网内部可支持NetBEUI、IPX/SPX等专用协议。在水利系统内部网络和Internet网络之间以及关键数据、关键部门与其他部门网络之间通过架设防火墙提高安全保障,并辅之以相应的安全规范、规章制度。
网络设计要点如下:
1)整个网络通过统一的出口接入Internet。
2)采用统一的通信协议、路由协议。
3)统一进行子网划分和IP地址分配。
4)主干网以高速交换链路连接各子网,采用VLANs技术。
5)各子网内部为交换网络,形成两个层次的平面网络。
6)整个网络实行统一集中式的网络管理,建立统一的网络管理系统。
7)提供电话拨号接入服务,拨号访问必须经过认证、授权的安全控制,同时在管理上要严加控制。
8)信息资源采用集中控制与分布配置相结合的策略,资源分散建设,统一管理。
9)配套管理制度和人员安排。
6.各级水利信息网络中心完善和建设水利信息网络中心的网络设计应包括NOC(网络运管中心)、NIC(网络信息中心)和开发中心,说明如下:
NOC(运管中心)
NOC的示意图参见下图:
NOC网段完成主干网的系统管理、配置管理、安全控制、计费管理等网络管理、运行等功能。
NOC网段配置了网管工作站,用于网络管理和流量统计;配置了安全控制工作站,用于安全控制和访问记录。NOC的各工作站连接在交换机上,NOC交换机连接到网络中心子网交换模块上。
由于NOC网段是整个网络控制中枢,因而必须采用严密的安全控制措施。NOC网段与NIC网段、开发网段、拨号网段分离,这样安全性较好。
作为全网的控制中枢,NOC网段采用尽可能的安全控制措施,以防不测。NOC采用防火墙软件。NOC网段的口令管理方面,增加一次性口令(S/KEY技术)的安全管理技术,口令不在网上传输。由于交换机支持虚拟网(VLAN),NOC网段内部通过VLAN能够实现进一步的隔离。
NIC(信息中心)
NIC网段的示意图参见下图:
NIC网段配置了多台服务器,实现DNS域名解析服务、邮件服务和Web信息查询服务、网络目录服务等功能。NIC网段是网络中心路由器的一个独立接入网段,各服务器连接到1台交换机上,该交换机通过接入网络中心子网交换模块,通过该交换模块再连接到交换中心。
1)域名服务和邮件中继服务器DNS Server是通信的关键环节,不但域名解析速度要快,而且必须支持域名解析的备份。在设置DNS的时候,应考虑设有主辅两套DNS,并与邮件服务器复用。DNS和邮件服务器,内存配置较高。DNS采用服务器操作系统提供的标准UNIX DNS服务,负责本域内部的域名解析。
2) Web服务器超文本信息查询和Browser/Web Server模式的应用服务,是水利信息网络提供的主要信息服务方式。Web服务器不但速度要快,I/O能力也必须很强。应使用高性能专用服务器作为内部的Web Server硬件平台,并考虑备份。
外部Web服务器与其它Internet服务器共用一台高性能服务器。
3) PROXY代理服务器Proxy服务器跨越Internet和Intranet,为端口应用提供代理服务,有效的隔离了外部和内部网络,可以减少IP地址的使用,限制了内外部网络的互访。PROXY通过CACHE技术,也降低了出口流量,提高了用户访问速度。通过有选择的复制、备份和镜像常用的的站点,还能够减少访问频次。为Proxy服务器配置内部和外部IP地址,一个IP地址实现与Internet的连接;另一个IP地址用于内部访问。
4)目录服务器做为大型计算机信息网络,水利信息网络需要提供完整的目录服务。为了确保安全,需设置内部和外部两个目录服务器。目录服务软件宜选用主流的Netscape/Novell/Microsoft公司的产品。
由于目录服务提供的信息要远远多于DNS,在DNS服务器采用内外分离的情况下,目录服务采用内外两套服务器系统是适宜的,这样即能对外提供受限制的目录服务,又能保证对内完整的目录服务,在安全方面也有保障。
水利信息网络的网络目录服务向全网提供地址记录、域名记录、用户信息为主的网络目录服务。目录服务采用国际通行的目录服务管理方式,与InterNIC、APNIC数据完全兼容,能够自由交换。记录的内容包括Domain、IP、Host、POC、URL等RFC-954中包括的内容。用户查询时,能够获得接入网络、地址、域名、主机、联系人、资源服务、用户E-mail地址、电话/传真号码等信息。
开发网段水利信息网络开发网段是专业应用的开发、实验环境,并为全网提供专业应用服务。
开发网段作为一个独立的网段连接到网络中心子网交换模块上。开发网段的各服务器连接到一台以太网交换机上。开发网段配置了高性能的服务器。为了安全起见,可以考虑在开发网段上也配置防火墙。
