程艳芳

(太原市气象局，山西 太原 030082)

0 引言

随着气象现代化业务的推进，气象观测已经由人工观测转变为自动观测、网络传输，气象预报业务也逐渐走向智能网格预报，气象数据种类不断增多，时空分辨率不断提高，对市级气象网络的可靠性、及时性、安全性都提出了新的要求。

1 市级气象网络业务介绍

市级气象业务网承担着接收气象卫星资料、接收和传输气象雷达资料、发布气象预报预警信息、支持气象业务系统正常运行，以及接收、存储来自市、县两级上百个自动气象观测站的观测数据，并向省级气象部门转发的任务。自动气象观测站的观测频次由过去的1小时一次加密至5分钟一次，气象卫星资料逐年增加，现在每天需接收200G以上的卫星资料，气象雷达以每六分钟一次的扫描频次实时向省市两级气象部门提供扫描图像。越来越丰富的数据业务对市级气象网络提出了新的要求，现有的气象网络已不能满足目前的气象业务发展需要。

2 太原市气象局网络现状

太原市气象局内部局域网的核心交换机为一台H3C S7506E-S交换机，一台博达BDCOM7208路由器连接六个县级气象局，每个县局有移动、联通两条2M的E1专线互为备份，另一台相同型号和配置的路由器作为冷备。一条自行架设的光纤通过核心交换机与省局气象网络连接，另外还有一条2M的联通专线作为通往省局的备份线路。

存在的问题：

1) 通往省局和各县局的传输线路有备份，但核心交换机没有备份，备份路由器处于冷备状态，设备和带宽利用率低，可靠性差，如果出现故障，不能在短时间内及时更换设备，将对数据的及时上传造成影响。

2) 目前的线路带宽已经不能满足大量数据的收发以及新的基于网络的业务系统的需求，对视频会议的正常进行也已经造成了一定的影响。

3) 太原市气象雷达站和气象预警中心的建成，使得原有的网络结构已经不能满足新的需求，随着网络中心的搬迁，网络的整体架构需要重新部署。

3 网络总体规划设计

3.1 硬件及线路升级

升级后的太原市气象网络由太原市气象局机关、雷达站、太原市气象预警中心、下属六县局组成，网络中心设在太原市气象预警中心，由于资金投入有限，升级改造在保留部分原有设备的同时增加新设备，数据传输实时性要求高的网络设备采用双机热备份，对实时性没有要求的部分不采用双机热备。

1) 市局网络中心的路由器上接省局局域网，下接各县局局域网，各县局的气象观测数据和雷达站扫描数据经过市局的路由器传输到省局，数据传输的实时性和稳定性是首要要求，因此市局信息中心在原有的博达路由器BDCOM7208的基础上新增一台华为路由器NE08E-S6，实现与原有博达路由器的热备份。六县局各新增一台华为AR2204-27GE-P路由器，与原有的博达BSR2800路由器组成热备，雷达站配置两台华为AR2204-27GE-P路由器，做双机热备份。

2) 市局网络中心每天需接收大量卫星、雷达数据以及自动站实时观测数据，同时承担着全市天气预报业务的数据收集、上传任务，故新增一台h3c S7506E-S核心交换机与原有的核心交换机形成双机热备，保障市级气象业务稳定运行。

3) 通往省局的联通线路升级为20M的MSTP线路，移动线路作为备份，仍采用E1线路且带宽升级为10M，通往县局的联通线路也采取同样的链路方式，带宽由原来的2M升级为6M，移动线路保持2M不变。

升级后的网络拓扑图如图1所示。

图1 网络拓扑图

3.2 路由器配置

华为路由器连接联通MSTP线路，博达路由器连接移动E1线路，业务系统以联通线路作为主要通信线路，移动线路做备份，视频会议系统以移动线路为主通信线路，联通线路做备份。两台路由器采用VRRP协议(虚拟路由冗余协议)实现双机热备。配置两个VRRP组，第一组将华为路由器设为高优先级，第二组将博达路由器设为高优先级，通过在核心交换机上配置策略路由，使气象数据采集等关键业务以第一组VRRP虚拟地址作为默认路由地址，视频会议系统以第二组VRRP虚拟地址作为默认路由地址，实现关键业务与视频业务走不同的通道和设备，且两条链路互为备份、负载均衡。

太原市县两级局域网组成全省气象宽带网的一个OSPF区域，市局路由器为区域的边界路由器。路由协议采用BFD(双向转发检测协议)与OSPF(开放式最短路径优先协议)相结合的方式，BFD用于快速检测链路的连通性，BFD能实现毫秒级的快速检测，当一条链路中断后，BFD协议及时通知OSPF协议，使得OSPF协议及时对路由表进行重新计算，实现链路的快速自动切换。

路由器接口配置如下：

华为路由器主要配置

与博达路由器互联端口

interface GigabitEthernet0/2/7

description To- BD7208-F0/0

undo shutdown

ip address 10.56.126.21 255.255.255.252

ospf network-type p2p

与核心交换机连接端口

interface GigabitEthernet0/2/6

description To-S7506

undo shutdown

ip address 172.18.78.251 255.255.255.0

vrrp vrid 1 virtual-ip 172.18.78.19

vrrp vrid 1 priority 120

vrrp vrid 2 virtual-ip 172.18.78.20

博达路由器主要配置

与华为路由器互联端口

interface FastEthernet0/0

description To-NE08E

ip address 10.56.126.22 255.255.255.252

no ip directed-broadcast

ip ospf network point-to-point

与核心交换机连接端口

interface GigaEthernet0/2

description To-S7506

ip address 172.18.78.252 255.255.255.0

no ip directed-broadcast

vrrp 1 associate 172.18.78.19 255.255.255.0

vrrp 2 associate 172.18.78.20 255.255.255.0

vrrp 2 priority 120

3.3 核心交换机配置

核心交换机为两台H3C交换机，故采用H3C自主研发的软件虚拟化技术IRF2(Intelligent Resilient Framework 2，智能弹性架构)将两台交换机虚拟化为一台设备，实现双机热备。为提高可靠性，两台核心交换机采用两条光纤连接，连接两条光纤的端口聚合成一个IRF端口，既可提高带宽，又可互为备份。将新增的h3c S7506E-S交换机设为高优先级，使其作为Master设备，负责管理整个IRF，原有交换机作为Slave设备，当Master设备故障时，Slave设备会自动变为Master设备，继续进行数据转发。

在核心交换机上通过策略路由和QOS相结合的方式实现业务分流、负载均衡，用acl(访问控制列表) 分别定义视频数据、业务数据访问控制列表，不同类型的数据通过策略路由指向不同的路由器进行数据转发。配置如下：

Acl number 2001

Rule 1 permit ip source 172.18.78.11 0.0.0.0

Rule 1 permit ip source 172.18.78.13 0.0.0.0

Acl number 2002

Rule 1 permit ip source 172.18.78.0 0.0.0.255

If-match acl 2001

Apply ip-address next-hop 172.18.78.20

If-match acl 2002

Apply ip-address next-hop 172.18.78.19

4 网络安全设计升级

网络安全方面，原有的安全设备有防火墙、入侵检测、上网行为管理，满足了基本的网络安全需求，为保证气象内网的数据安全，采取了内网和外网彻底物理隔离的方式，但有些业务系统需要同时连接内外网，并没有实现彻底的内外网隔离，存在较大安全隐患。为使得内网计算机能更安全的连接互联网，在外网出口新增一台网闸，从物理上隔离、阻断具有潜在攻击可能的一切连接。数据中心新增身份认证网关，对登陆太原市国家突发事件预警系统、气象预报预警发布系统等多个应用系统的用户进行身份认证。

5 结论

在尽量保留原有网络设备的条件下，对气象宽带网络的升级改造，提高了气象网络的可靠性，降低了网络故障，同时，在网络的安全性和用户使用的便捷性方面得到了平衡，新的网络架构能够更好的适应气象事业的发展，为气象业务的正常运行提供有利保障。