孙福国

（滁州市烟草专卖局，安徽滁州 239000）

市级烟草公司广域网设计与安全管理

孙福国

（滁州市烟草专卖局，安徽滁州 239000）

计算机网络已经成为信息化建设的重要内容和主要支撑，计算机网络从技术角度来说是一种布局，将不同地点但密切相关的节点用通信线路联系在一起，但是计算机网络建设不仅是简单的传统意义上的组网模式，更需要关注网络的安全性和可靠性。本文以笔者所在单位为例对市、县两级网络的组建模式以及如何加强网络管理和安全建设两个方面分析，并阐述烟草地市级广域网的设计和规划。

计算机网络；设计；管理；安全

1 引言

1.1 项目背景

随着计算机网络的不断发展，网络的开放性、共享性、互联性随之扩大。特别是互联网的迅速发展，局域网、广域网、互联网的交互使用，使得计算机网络安全性问题日趋严重。现阶段烟草地市级网络建设中信息安全工作薄弱，水平不高，信息安全滞后于信息化发展，甚至阻碍了信息化发展，通信线路单点故障、网络安全事件无法及时发现和审计缺失等等问题，需要建立一个高效率、便于管理以及安全性高的广域网。

1.2 现状分析

一个良好的设计方案除体现网络的优越性能外，还体现在应用的实用性、网络的安全性、易于管理性和未来的可扩展性。因此，设计时要考虑的以下问题：

a.要适应未来网络的扩展和拓扑结构的变化；

b.要为特定的用户组提供访问路径；

c.要保证网络不间断地运行；

d.能较多的支持网络协议，扩大应用范围；e.较高的网络安全性。

1.3 设计目标

基于我单位的以上现状和具体情况，以市局本级为中心，其它县局、分支机构为节点，组建一个广域网，同时，为提高网络安全性和易管理性，将改变传统的广域网组建模式。具体实现以下功能：

a.我单位和所辖县局、专卖中队管理所实现网络资源共享。

b.网络优化程度达到最大。（后文似乎没有涉及）

c.所有网络节点通过市局到省局的专线，能访问省局、国家局等行业网资源。

d.实现市局、县局、办事处等网络出入口汇总为一条，设在市局中心机房，减少网络临界设备，便于管理。

e.加强网络安全管理，保证网络畅通和内部服务器数据安全。

2 网络设计方案

2.1 网络线路通讯实现方式

2.1.1 市局到省局的主干网络线路

市局到省局的主干网络线路采用带宽为10M的SDH专线，市局一端采用两台路由器，划分为6M＋4M两条线路，实现冗余和负载分流。

2.1.2 市局到县局的主干网络线路

市局到县局的主干网络线路利用运营商（电信、移动）线路采用MSTP（Multi－Service Transfer Platform）技术，实现端到端的透明传输通道。终端使用三层交换机接入。

2.1.3 同城异地网络线路

同城异地网络线路采用光纤直连方式，终端使用千兆模块接入到三层交换机。

2.1.4 办事处、移动办公网络连接方式

办事处、移动办公网络连接使用VPN技术，接入到市局中心机房。

2.2 网络拓扑图设计

图1 拓扑图设计

2.3 网络设计说明及设备选型

市局到省局的主干网络线路采用SDH专线线路，市局使用两台路由器作为接入路由器，其作用既为冗余互备，又为负载分摊。以专线带宽10M为例，将路由器1接入带到宽位6M的线路，将路由器2接入到带宽为4 M的线路，可按照数据流量大小来分配。（最后一句可结合拓扑图来说明）

为实现县局到市局（不同城市）的网络通信以及保障通信质量和安全，县局到市局主干网络采用MSTP（Multi－Service Transfer Platform）技术，具体实现方案有以下几点：

一是县局和市局通信专线使用MSTP技术的透明传输，相比传统的SDH专线，减少电信环节的众多节点，降低不合法用户通过这些节点进入专线网络的可能性，增强网络的安全性。

二是市局和县局两个终端使用三层交换机接入，相比传统的路由器接入，突破了传统的外接路由器接口速率的限制。由于县局到市局网络流量相对较小，路由交换比较简单，同时，为了网络安全，需将每个县局划分为一个独立的网段，以便减少广播风暴。但不同网段之间存在大量的互访，单纯使用二层交换机没办法实现网段间的互访，而单纯使用路由器则由于端口数量有限，路由速度较慢，限制了网络的规模和访问速度，这种环境下由二层交换技术和路由技术结合而成的三层交换机就最为适合，既能达到路由过程效率的提高，又能使得数据交换加速，既节约成本又便于管理。

三是市局到县局专线线路采用两家不同运营商线路，分别为电信和移动专线。实现原理：两条线路同时接入到接入设备（三层交换机）不同端口，在接入设备配置ethtrunk进行端口聚合，从而达到两条线路同时进行数据传输。当一条线路出现故障或者接入设备的一个端口出现故障时，数据传输能够自动切换到另一条正常的线路，保证业务的不间断。②在两条线路同时使用时，会自动分配传输流量，使每条线路传输数据流量平衡，达到负载均衡的效果。

四是MSTP可以将传统的SDH复用器、数字交叉链接器（DXC）、WDM终端、网络二层交换机和IP边缘路由器等多个独立的设备集成为一个网络设备，即基于SDH技术的多业务传送平台（MSTP），进行统一控制和管理。使用该技术（的优点在于：

a.投入减少，县局端和市局端均用以太网接入三层交换机，不需要路由器作为接入设备，不仅减少单位硬件的投入，还降低了维护成本。

b.便于管理。在这种模式下，可以把县局作为市局网络的一个子网，从拓扑图上可以看出内网和外网出入口均在市局，在与行业网和互联网（Internet）接入点处架设防火墙、上网行为管理、防病毒网关等设备，统一监控，加强网络安全的管理。

c.提高网络利用率。从接入方式上看，实现了从汇聚层的SDH网直至用户业务接口层的全光网络接入，省去了过去一级级的电口转接，极大提高了接入效率；从提供业务看，方便数据业务的直接接入。

d.节约维护成本。由于故障点减少并可有效网管，可通过运维响应速度的提高而提升工作效率和降低维护成本。）

2.3.1 VLAN（Virtual Local Area Network）划分

市局内部局域网在核心交换机CISCO4507上基于IP地址划分6个VLAN，分别对应于六个县局。（VLAN（Virtual Local Area Network）即虚拟局域网，是一种将局域网内的设备逻辑地分成不同的网段。VLAN能够很好地解决以太网的广播问题和安全性问题。它在以太网帧的基础上增加了VLAN头，用VLAN ID把用户划分为更小的工作组，限制不同工作组间的用户二层互访，每个工作组就是一个虚拟局域网。虚拟局域网的好处是可以限制广播范围，并能够形成虚拟工作组，动态管理网络。一个VLAN内部的广播和单播流量都不会转发到其他VLAN中，即使是两台计算机有着同样的网段，但是它们却没有相同的VLAN号，它们各自的广播流也不会相互转发，从而有助于控制流量、减少设备投资、简化网络管理、提高网络的安全性。既然VLAN隔离了广播风暴，同时也隔离了各个不同的VLAN之间的通讯，所以不同的VLAN之间的通讯是需要有路由来完成的。）

2.3.2 VPN（Virtual Private Network）管理

在实际工作中，经常需要在不固定场所使用行业网络，要从国际互联网连接到行业广域网，通常采用VPN连接。在实际工作应用中，具有代表性的VPN有两种方式：

a.使用L2TP协议建立VPN。驻点中队由于地点偏远，租用专线成本较高，针对全市14个驻点中队使用VPN技术，各中队能通过光纤拨号到我单位的内部网络，访问内部资源，为加强网络安全，各中队电脑限制不能访问互联网。

实现方式：（各个接入用户通过电信等运营商光纤拨号到单位的CISCO3745路由器，并在CISCO3745上进行认证，认证成功的用户也是由CISCO3745分配内部IP地址，技术实现原理就是使用L2TP（VPN）协议，即在CISCO3745和电信的BAS之间配置L2TP协议，在它们之间通过INTERNET建立L2TP（VPN）隧道。隧道建立成功以后，BAS下挂的设备拨号到BAS，由BAS通过隧道向CISCO3745发送这些认证，并将认证通过的用户所获取的IP地址送给用户。用户获取IP地址以后就成为合法内部用户，为这部分IP设置路由参数，使其不但能正常使用公司的网络资源也可访问行业网的资源。）

b.使用PPTP协议建立VPN。对于出差人员可以利用PPTP建立的VPN访问单位网络资源进行办公。

实现方式：利用防火墙中自带PPTP协议建立VPN通道，为需要使用VPN的用户建立合法账号和密码。使用者需要二次拨号，即首先和互联网（INTERNET）连接，再把我单位互联网（INTERNET）固定地址作为目的地址，进行二次拨号，经过防火墙认证即可。

2.3.3 内网管理

市局、县局、驻点中队访问省局、国家局、其他地市公司的网络，均从市局CISCO3745路由器和CISCO3845路由器出口，在路由器和核心交换机之前架设防火墙，设置部分策略允许省局IP地址访问我单位网络，允许其他地市公司访问我单位部分资源，如网站（开放此服务器80端口）。

2.3.4 外网管理

市局、县局、专卖管理所连接互联网均共享市局公司的100 M光纤宽带，在市局公司到互联网节点处架设防火墙、上网行为管理以及防病毒网关。对内部用户浏览INTERNET互联网权限和范围进行设置，在满足工作的前提下，避免黑客和病毒的入侵，保证网络的安全。

2.3.5 无线接入管理

无线技术的发展，增加了信息化运用的灵活性。在工作和生产中涉及到无线技术的应用，需要对无线AP（Access Point）等相关设备加强管理，对通过无线设备接入网络的用户进行认证和严格授权。

3 网络安全管理

信息安全是一个涉及面很广的问题，安全是相对的，不安全才是绝对的，要想真正确保安全，就必须从制度、管理和技术三个层次采取有效措施。

3.1 加大信息安全建设，提升信息安全级别

a.随着网络的发展，无线网络、VPN网络、手机网络的应用，带来新的网络安全问题，为此要加强这些网络传输的信息安全建设，建立有效的验证和授权机制。

b.完善内部网络布局，在和外网临界处设置上网行为管理和防病毒网关。限制员工随意浏览可能带来的安全隐患。目前使用的网络防病毒软件由于病毒库过大，有很大的局限性，具有云计算功能的防病毒网关会对病毒检测更全面，对数据包的过滤更彻底。做到行业网和互联网物流隔离，关键岗位计算机做到“涉密计算机不上网，上网计算机不涉密”。

c.网络监控管理。网络安全是一个综合的、复杂的工程，任何网络安全措施都不能保证万无一失。因此，对于一些重要的部门，一旦网络遭到攻击，如何亡羊补牢，如何追踪网络攻击，追查到攻击者并将其绳之以法，是十分必要的。通常受攻击的安全产品的日志都会在攻击后被删除，为有效保存这些重要的日志，可以使用远程的日志审计服务器来存储防火墙的监控日志。使用单独的日志服务器，日志查询和审计的功能就可以做得非常强大和细致，处理的数据量也大。

d.建立个人信息安全机制，引进CA系统数据签名机制和加密机制等技术手段保证数据传输的安全。

3.2 完善信息安全制度，加强信息安全教育

（1）完善各种安全管理制度，建立各种相应的网络安全管理办法，加强内部管理。

（2）加强应用系统维护，特别是核心业务系统。通过每天的检测、维护和数据备份等措施，减少系统中潜在的危险，降低数据安全风险。

（3）建立安全恢复机制。没有百分之百的安全，在网络、信息安全收到攻击、破坏事件的情况下，能尽快恢复网络、系统应用、信息数据等十分关键。因此建立核心业务的数据级、应用级的灾备，普通数据的备份等机制。

（4）加强培训，提高员工信息安全意识。提高员工个人计算机安全性，设置较为复杂的各种应用系统密码、安装杀毒软件、及时补全系统漏洞补丁、养成良好的上网行为。

4 结束语

烟草信息化网络建设作为一项重要的系统工程，它是所有业务运行的前提，牵涉到多个方面、各种技术，既有网络技术、工程施工技术，也有管理制度等各个方面。本设计从本单位的网络建设现状、目标、选用的网络技术等多方面进行论述，重点考虑了网络的管理和安全性。

［1］Michael Palmer（美）.局域网与广域网的设计与实现［M］.北京：机械工业出版社，2000.

［2］黄 慧.浅谈校园网的安全［J］.网络安全技术与应用，2011，（8）.

［3］夏栋梁，刘玉坤.校园网安全系统的设计与实现［J］.数字技术与应用，2011，（8）.

［4］刘 洋.广域网分布式计算系统透明内存设计与实现［J］.计算机工程与设计，2010，（21）.

［5］范 君.仓储物流集团广域网设计与实现［J］.微计算机应用，2010，（08）.

［6］周 成.广域网建筑协同设计平台安全性与适用性研究［J］.土木建筑工程信息技术2010，（02）.

［7］李君义.CPE广域网管理协议客户端的设计研究［J］.西安邮电学院学报2010，（01）.

On the Design of Wide Area Network and Safety Management of Municipal Level Tobacco Plants

Sun Fuguo
（Chuzhou Tobacco Monopoly Bureau，Chuzhou 239000，China）

Computer network has become an important content and main support in the construction of informationization.In view of technology，computer network links the different related nodal points closely together，but it is not only the traditional simple model of net construction，but its network safety and reliability should also be considered.The article makes the analyses on how to strengthen the network management and safety construction based on network building model from municipal and county levels closely related the author＇s own work unit，and also describes the design of Wide Area Network and safety management of municipal level tobacco plants.

computer network；design；management；safety

TN915.07

A

1673－1794（2011）05－0032－03

孙福国（1980－），男，滁州市烟草专卖局网络管理员，研究方向：企业管理。

2011－06－30