构建浙江空管气象综合业务交换网

2017-10-13◆曹彬

网络安全技术与应用 2017年6期

◆曹彬

构建浙江空管气象综合业务交换网

◆曹彬

(民航浙江空管分局浙江 311207)

本方案主要完成气象综合业务网络的设计与实现。本文主要介绍网络设计的需求分析，确立建设气象网的目标，依照标准的设计原则，设计出气象网络的结构及解决方案，气象网对外部用户提供Web、FTP等数据服务，并且使每台终端都能够访问气象网。采用Cisco的网络设备，把气象网内每项业务都设计成一个子网，规划每个终端的IP地址，设计网络拓扑图，配置网络的交换模块、服务器模块和远程访问模块。

拟局域网；Cisco网络设备；拓扑图

0 引言

随着中国现代经济的发展、航行任务的增加，民航业对气象重视程度的提升，气象部门的业务也随之增多。信息量的不断增长使得原有的业务网络模式难以满足新增业务对网络高安全性、高稳定性、高速率的需求，且不能很好的完成日常气象保障的需要。目前业务网络存在着线路老化、扩容性差、系统结构单一、管理性差等缺点，尽管对航空服务没有影响，但是不利于未来新增业务的发展以及日后的管理。很多业务系统现有的网线是2000年新机场搬迁时铺设的，早已超过网线的正常使用寿命，这些网线目前就有可能成为风险源；而在为分局其他部门、机场公司以及各航空公司提供业务支持时，每当增加气象业务信息处理系统，因系统结构单一，各网段之间只能独立工作，故都得临时搭建一个新的网络，重新进行综合布线，重复的工作量极其繁琐，多数通信手段为单一的点到点连接，备份方式为备用线，不能在故障发生后及时管理和维护，操作性差。

为了解决现有气象交换网系统存在的问题，需要对结构单一化的气象业务网络进行升级改造，用三层交换机代替之前通过单臂路由来实现不同网段间数据传输的不利格局，并对每项业务使用的物理中继链路进行融合，将业务由独自传输改为多项业务，融合后的交换网统一提供中继、备份。

1 气象综合业务网络的设计原则

1.1实用性

根据实际情况和特点，在设计中特别强调实用性与高融合性的结合，采用成熟的网络技术，对每项业务使用的物理中继资源进行融合，将业务由独自传输、自我路由备份改换为由综合业务交换网统一提供中继、备份，从而保证气象局域网的实用。

通过一定的网络拓扑结构连接塔台、进近、预报、观测等部门，使之能通过各自的终端访问气象综合业务网络，安全、高效的对各自所需数据进行检索。

1.2安全性与可靠性

在网络的设计中，主要考虑两个层次：一是整个网络的可靠性，在现有的业务网络基础上调整网络结构，尽可能的采用简单而稳定的网络拓扑结构，合理设计局域网内部的访问控制、对外部网络访问控制以及链路的备份等；二是网络设备的可靠性与安全性，核心交换机采用具有高性能IP路由和VLAN交换功能的Cisco三层交换机，关键功能都可以通过硬件实现，极大程度上提高数据处理能力；采用双机备份、主要配置文件的备份和端口冗余，设置管理网络设备的用户及口令限制手段。

1.3可扩展性

网络系统应以开放性为基础，具有广泛的适应性和可扩充性，作为气象综合业务项目的核心网络，未来业务量将不断增加，久而久之系统的容量也将随之扩展，因此方案应具有良好的可扩展性。

2 气象综合业务网的网络结构

在充分满足对未来业务发展及网络规模扩大的需求前提下，分析网络所承载的业务，考虑将来网络系统升级换代，并且在升级时可以最大限度地保护原有的硬件设备和软件投资，决定选用性价比高的网络设备，并对网络拓扑结构进行合理的规划。

为简化网络的设计，提高网络的可扩展性，采用分层的方法来设计整个网络，网络数据交换设备可简化为2个层次：核心层和接入层。因考虑简化网络，便于管理维护，核心层采用一台Cisco三层交换机，接入层为3台Cisco二层交换机。拓扑结构如图1所示。

图1 气象综合业务网结构拓扑图

3 气象业务综合网交换机的选择

传统意义上的数据交换发生在OSI模型的第2层。现代交换技术还实现了第3层交换和多层交换。高层交换技术的引入不但提高了网络数据交换的效率，更大大增强了数据交换服务质量，满足了不同类型网络应用程序的需要。

本网络还引入了虚拟局域网的概念。VLAN将广播域限制在单个VLAN内部，减小了各VLAN间主机的广播通信对其他VLAN 的影响,在 VLAN 间需要通信的时候，可以利用 VLAN 间路由技术来实现。

3.1同一VLAN之间的数据转发

对于同一VLAN不同交换机之间的数据转发：VLAN内的主机彼此间可以自由通信，当VLAN成员分布在多台交换机的端口上时，使用二层Trunk进行通信。

而接入层交换机只需为所有的终端用户提供一个接入点，并对数据进行高速转发。

3.2不同VLAN之间的数据转发

对于不同的VLAN之间的数据转发：若要实现VLAN间的通信，就必须为VLAN设置路由，可使用路由器或三层交换机来实现。

对于没有路由功能的二层交换机，若要实现不同VLAN间的互相通信，就要借助外部的路由器来为VLAN指定默认路由。此时路由器的快速以太网接口与交换机的快速以太网端口，应以汇聚链路的方式相连，并在路由器的快速以太网接口上，为每一个VLAN创建一个对应的虚拟子接口，并设置虚拟子接口的IP地址，该IP地址以后就成为该VLAN的默认网关。由于这些虚拟子接口是直接相连在路由器上的，一旦每个虚拟子接口设置了IP地址后，路由器就会自动在路由表中为各VLAN添加路由，从而实现不同VLAN间的路由转发。

使用三层交换机实现不同VLAN之间的数据转发：和物理网络一样，一个VLAN通常和一个IP子网联系在一起。所有在同一个IP子网中的主机属于同一个VLAN。

核心层负责网段的逻辑分割，聚合路由路径，收敛数据流量，并实现骨干网络之间的优化传输，为其提供一个高速数据包转发通道，使得接入层交换机进行高速的数据交换，故从适用环境和快速处理数据交换能力的角度来看，选用交换速率较高、具备路由和VLAN功能、性价比较高的Csico三层交换机效果更佳，配置和使用也更方便。

4 气象业务综合网络实现的功能

由于民航气象数据库系统与全国空管系统互联，安全等级较高，需要一个相对安全的网络环境，所以要限制各个终端访问数据库系统的权限，所以在三层交换机上设置访问控制列表，在出口路由器Cisco2821上设置气象数据库系统网关和静态路由，合理的分配IP地址，实现了在192.3.201.0网段中仅IP为40-59,80-89的终端能和数据库系统中的服务器和通信机通信。

通过设置防火墙的静态路由、包过滤规则，使得对外WEB服务器可以和民航气象信息网中51、53数据库服务器通信，从而通过FTP方式获取业务资料，再设置网御防火墙各端口的IP地址、掩码、包过滤规则，使得外部用户只能访问对外的WEB服务器，从而保证了气象综合网的网络安全。

民航自动气象观测系统相对于整个系统而言较独立，故在核心交换机上限制了它与数据库系统和气象信息网系统之间的通信。

在核心交换机上划分公共资源网段VLAN41，设置访问控制列表并运用到对应端口上，使得公共资源网可以和其余各网段之间互通。

整个网络系统通过在核心三层交换机上划分VLAN，设置静态路由、访问控制列表，在核心层和接入层交换机之间设置主干道，从而实现了三大业务网络之间的高效、安全互通。