论文部分内容阅读
摘 要:目前各个单位的办公对现代信息产生了越来越强的依赖,因此前期的网络建设及规划起着至关重要的作用。本文主要对区管综合楼配套电话、办公网、互联网、生产数据接入工程方案进行阐述,如电话工程方案的配套光缆建设及综合复用设备的选择,办公网、互联网和生产数据接入工程方案的网络拓扑和网络安全隐患的设计疑难点及针对疑难点的解决方法,从而分析网络拓扑规划、网络建设及接入的思路,以期为读者提供借鉴和参考。
关键词:链路环保护;MSAP;汇聚交换机;对等实体
中图分类号:V355;TP393 文献标识码:A 文章编号:2096-4706(2019)04-0103-03
The Realization of the Information Complex Building of the Regional Control Center
of Southwest Air Traffic Administration
——Take Telephone,Office Network,Internet and Production Data as Examples
YE Chen
(Southwest Air Administration of Civil Aviation,Chengdu 610202,China)
Abstract:At present,the office of each unit has become more and more dependent on modern information,so the early network construction and planning plays a vital role. This paper mainly elaborates the supporting telephone,office network,internet and production data access project schemes of district management complex building,such as the construction of supporting optical cables and the selection of integrated multiplexing equipment of telephone engineering scheme,the network topology of office network,internet and production data access project schemes,the design difficulties of network security hidden dangers and the solutions to the problems,thus analyzing the network. The idea of network topology planning,network construction and access is expected to provide reference for readers.
Keywords:link environmental protection;MSAP;convergence switch;peer-to-peer Entities
0 引 言
目前,成都区管已有电话、办公网、互联网和生产数据业务接入,并提供给管制员和其他部门技术保障人员使用。电话通过中兴程控交换机ZXJ10分配8113号码,并与双流机场8570局通过MSTP骨干传输网连接。办公网和互联网采取的是扁平化网络结构,不同的是辦公网与双流机场局本部相连,而互联网是独立于双流机场局本部外网的。AIMSV、CDM和综合航迹等生产业务数据通过MSTP骨干传输网、西南核心FA36网从机场传至区管供管制员使用。本文将对区管新建综合楼的配套电话、办公网、互联网和生产数据接入工程方案进行阐述,并分析网络拓扑规划、网络建设及接入的思路。
1 工程方案的配套光缆建设
配套光缆建设是完成从区管设备大厅机房向综合楼引接语音、网络等信号的基础,其光缆建设路由如图1所示。虚线部分为本次工程需要新敷设光缆,设计考虑①号光缆使用96芯,长度约1.0千米,②号光缆使用24芯,长度约0.35千米,采取直埋方式敷设。敷设完成后,区管设备大厅机房、万安发信台、万安收信台、综合楼将形成环形光缆路由,从而实现综合楼电话、网络等设备的链路环保护。
2 区管综合楼电话接入方案
2.1 方案设计疑难点
在前期电话引接方案设计中存在以下疑难点:(1)未明确电话接入类型为8113电话还是8570电话;(2)存在设备单点故障点;(3)链路稳定性问题。
2.2 解决思路
针对第一个疑难点,可以使用四台MSAP综合复用设备组成两个点对点电话传输网,综合楼两台MSAP分别连接机场8570局MSAP和区管8113局MSAP。通过配置机场和区管的MSAP的用户板数量,可以灵活调整引接至综合楼的8570和8113电话数量,这样在具体需求不明确的情况下,能够满足以后综合楼对电话的实际要求。电话传输逻辑拓扑如图2所示。
针对第二个疑难点,可以在综合楼部署双MSAP综合复用设备,从而确保无单点故障点存在。当综合楼一台MSAP故障后,至少保证8570或8113中有一个局号正常,在短时间无法恢复设备的情况下,可通过临时跳线保障重要用户电话通畅。
针对第三个疑难点,为确保设备传输过程中链路的稳定性,机场至综合楼MSAP综合复用设备、区管至综合楼MSAP综合复用设备均采用双路由接入,当其中一条路由中断时,可以通过另一条路由保障业务的开展,从而避免电话中断。 3 區管综合楼办公网接入方案
3.1 方案设计疑难点
在办公网接入方案设计中存在以下疑难点:(1)拓扑网络设计;(2)网络安全隐患问题。
3.2 解决思路
成都区管中心原有办公网络(简称内网)采用扁平化结构,全园区划分为管制大楼、培训大楼、宿舍大楼和后勤用房,各区域接入交换机直接连接区管内网汇聚交换机,并由汇聚交换机与双流机场局本部相连。
区管综合楼实际内网用户数量远超区管现有用户。如果按照原有扁平方式接入,将导致区管内网接入量过于庞大,汇聚部分单一,同时还将耗费大量区管至综合楼的光纤资源。如果在区管综合楼设计一个汇聚层连接至区管原有汇聚交换机,不仅让区管整体内网结构不统一,还会给网络的路由配置带来不便。
因此,在设计区管综合楼内网拓扑时,要将新增的区管综合楼内网作为原有区管内网络的一个对等实体接入西南空管局办公网。加入综合楼后区管办公网拓扑结构如图3所示。
在网络安全方面,考虑通过在区管原有内网和综合楼内网边界处双机部署两台高性能防火墙,实现对主机的持续监测,防护来自机场网络的跳板攻击或区管网络对西南空管局其他区域内网络的跳板攻击。同时实现资产发现和实时漏洞分析,并对网内资产漏洞设定有针对性的防护策略。提供全网综合安全分析报表,实现全网网络安全的可视化。
4 区管综合楼互联网接入方案
4.1 方案设计疑难点
在互联网接入方案设计中存在以下疑难点:(1)拓扑网络设计;(2)网络安全隐患问题。
4.2 解决思路
成都区管中心原有互联网(简称外网)采用扁平化结构,全园区划分为管制大楼、培训大楼、宿舍大楼和后勤用房,各区域接入交换机直接连接区管外网核心交换机,并由核心交换机通过用户上网行为管理系统、边界防火墙以及边界路由器到达联通外网出口,进而访问互联网。
区管综合楼实际外网用户远超区管现有用户,因此同样将综合楼视为区管原有外网对等实体加入区管外网,但区管外网独立于双流机场局本部外网,并具有独立的结构。如果区管综合楼汇聚点直接接入原核心交换机,将导致整个区管外网核心既有汇聚接入,又有大量接入层设备存在,不仅使网络拓扑变得混乱,还会为用户VLAN网关及相关路由配置带来不便。
因此,按照三层网络结构规划,将区管原有核心交换机降为汇聚层交换机,汇聚区管原有外网用户流量;综合楼新增汇聚层交换机,汇聚综合楼所有外网用户流量;新增核心层交换机,用于通过高速转发通信,提供快速、可靠的骨干传输结构。同时在综合楼汇聚层设计使用双机堆叠,适当降低设备选型的同时,又能增强其汇聚层性能,并具备冗余功能。
在网络安全设计上,原区管外网防火墙为H3C企业级较低版本防火墙,目前只能对传输层和网络层攻击进行防护,无法对应用层攻击进行防护。随着互联网的不断发展,新型攻击也日益增多,比如勒索病毒、挖矿病毒等,特别是综合楼加入区管外网整体运行后,外网用户量激增,使得区管外网面临巨大的安全风险。目前的边界防火墙只能应对L2-L4层威胁,因此设计使用新的具备更强性能和功能特性的防火墙,并及时提供网络安全防护变得尤为重要。
5 区管综合楼生产业务网接入方案
5.1 方案设计疑难点
在区管综合楼生产业务网接入方案设计中存在以下疑难点:区管设备大厅综合数据业务交换机没有剩余光端口。
5.2 解决思路
区管综合楼生产业务网用于将区管设备大厅机房落地的生产业务数据传输至综合楼,如AIMSV数据、CDM数据和综合航迹数据等。生产数据直接从区管设备大厅综合数据业务交换机取得,由于该交换机已没有光口可用,因此考虑使用一对光纤收发器用于连接区管设备大厅机房和综合楼一层配线间交换机。
6 结 论
本文通过对以上方案的思路解析,摸索出一套解决空管电话接入网、办公网和互联网建设问题的经验,目的是为同行提供参考讨论的资料,提高空管通信保障能力和日常办公能力。
参考文献:
[1] 韩运丽.本地电话网组建方法研究 [J].齐齐哈尔大学学报(自然科学版),2013,29(5):87.
[2] 王晓鹏.探究电视台办公网的安全管理和维护 [J].数字通信世界,2018(6):103.
[3] 林海彦.浅析中南空管办公网的病毒防范 [J].电脑知识与技术,2018,14(19):24-25.
作者简介:叶晨(1986.07-),男,汉族,浙江温州人,工程师,硕士,研究方向:通信。
关键词:链路环保护;MSAP;汇聚交换机;对等实体
中图分类号:V355;TP393 文献标识码:A 文章编号:2096-4706(2019)04-0103-03
The Realization of the Information Complex Building of the Regional Control Center
of Southwest Air Traffic Administration
——Take Telephone,Office Network,Internet and Production Data as Examples
YE Chen
(Southwest Air Administration of Civil Aviation,Chengdu 610202,China)
Abstract:At present,the office of each unit has become more and more dependent on modern information,so the early network construction and planning plays a vital role. This paper mainly elaborates the supporting telephone,office network,internet and production data access project schemes of district management complex building,such as the construction of supporting optical cables and the selection of integrated multiplexing equipment of telephone engineering scheme,the network topology of office network,internet and production data access project schemes,the design difficulties of network security hidden dangers and the solutions to the problems,thus analyzing the network. The idea of network topology planning,network construction and access is expected to provide reference for readers.
Keywords:link environmental protection;MSAP;convergence switch;peer-to-peer Entities
0 引 言
目前,成都区管已有电话、办公网、互联网和生产数据业务接入,并提供给管制员和其他部门技术保障人员使用。电话通过中兴程控交换机ZXJ10分配8113号码,并与双流机场8570局通过MSTP骨干传输网连接。办公网和互联网采取的是扁平化网络结构,不同的是辦公网与双流机场局本部相连,而互联网是独立于双流机场局本部外网的。AIMSV、CDM和综合航迹等生产业务数据通过MSTP骨干传输网、西南核心FA36网从机场传至区管供管制员使用。本文将对区管新建综合楼的配套电话、办公网、互联网和生产数据接入工程方案进行阐述,并分析网络拓扑规划、网络建设及接入的思路。
1 工程方案的配套光缆建设
配套光缆建设是完成从区管设备大厅机房向综合楼引接语音、网络等信号的基础,其光缆建设路由如图1所示。虚线部分为本次工程需要新敷设光缆,设计考虑①号光缆使用96芯,长度约1.0千米,②号光缆使用24芯,长度约0.35千米,采取直埋方式敷设。敷设完成后,区管设备大厅机房、万安发信台、万安收信台、综合楼将形成环形光缆路由,从而实现综合楼电话、网络等设备的链路环保护。
2 区管综合楼电话接入方案
2.1 方案设计疑难点
在前期电话引接方案设计中存在以下疑难点:(1)未明确电话接入类型为8113电话还是8570电话;(2)存在设备单点故障点;(3)链路稳定性问题。
2.2 解决思路
针对第一个疑难点,可以使用四台MSAP综合复用设备组成两个点对点电话传输网,综合楼两台MSAP分别连接机场8570局MSAP和区管8113局MSAP。通过配置机场和区管的MSAP的用户板数量,可以灵活调整引接至综合楼的8570和8113电话数量,这样在具体需求不明确的情况下,能够满足以后综合楼对电话的实际要求。电话传输逻辑拓扑如图2所示。
针对第二个疑难点,可以在综合楼部署双MSAP综合复用设备,从而确保无单点故障点存在。当综合楼一台MSAP故障后,至少保证8570或8113中有一个局号正常,在短时间无法恢复设备的情况下,可通过临时跳线保障重要用户电话通畅。
针对第三个疑难点,为确保设备传输过程中链路的稳定性,机场至综合楼MSAP综合复用设备、区管至综合楼MSAP综合复用设备均采用双路由接入,当其中一条路由中断时,可以通过另一条路由保障业务的开展,从而避免电话中断。 3 區管综合楼办公网接入方案
3.1 方案设计疑难点
在办公网接入方案设计中存在以下疑难点:(1)拓扑网络设计;(2)网络安全隐患问题。
3.2 解决思路
成都区管中心原有办公网络(简称内网)采用扁平化结构,全园区划分为管制大楼、培训大楼、宿舍大楼和后勤用房,各区域接入交换机直接连接区管内网汇聚交换机,并由汇聚交换机与双流机场局本部相连。
区管综合楼实际内网用户数量远超区管现有用户。如果按照原有扁平方式接入,将导致区管内网接入量过于庞大,汇聚部分单一,同时还将耗费大量区管至综合楼的光纤资源。如果在区管综合楼设计一个汇聚层连接至区管原有汇聚交换机,不仅让区管整体内网结构不统一,还会给网络的路由配置带来不便。
因此,在设计区管综合楼内网拓扑时,要将新增的区管综合楼内网作为原有区管内网络的一个对等实体接入西南空管局办公网。加入综合楼后区管办公网拓扑结构如图3所示。
在网络安全方面,考虑通过在区管原有内网和综合楼内网边界处双机部署两台高性能防火墙,实现对主机的持续监测,防护来自机场网络的跳板攻击或区管网络对西南空管局其他区域内网络的跳板攻击。同时实现资产发现和实时漏洞分析,并对网内资产漏洞设定有针对性的防护策略。提供全网综合安全分析报表,实现全网网络安全的可视化。
4 区管综合楼互联网接入方案
4.1 方案设计疑难点
在互联网接入方案设计中存在以下疑难点:(1)拓扑网络设计;(2)网络安全隐患问题。
4.2 解决思路
成都区管中心原有互联网(简称外网)采用扁平化结构,全园区划分为管制大楼、培训大楼、宿舍大楼和后勤用房,各区域接入交换机直接连接区管外网核心交换机,并由核心交换机通过用户上网行为管理系统、边界防火墙以及边界路由器到达联通外网出口,进而访问互联网。
区管综合楼实际外网用户远超区管现有用户,因此同样将综合楼视为区管原有外网对等实体加入区管外网,但区管外网独立于双流机场局本部外网,并具有独立的结构。如果区管综合楼汇聚点直接接入原核心交换机,将导致整个区管外网核心既有汇聚接入,又有大量接入层设备存在,不仅使网络拓扑变得混乱,还会为用户VLAN网关及相关路由配置带来不便。
因此,按照三层网络结构规划,将区管原有核心交换机降为汇聚层交换机,汇聚区管原有外网用户流量;综合楼新增汇聚层交换机,汇聚综合楼所有外网用户流量;新增核心层交换机,用于通过高速转发通信,提供快速、可靠的骨干传输结构。同时在综合楼汇聚层设计使用双机堆叠,适当降低设备选型的同时,又能增强其汇聚层性能,并具备冗余功能。
在网络安全设计上,原区管外网防火墙为H3C企业级较低版本防火墙,目前只能对传输层和网络层攻击进行防护,无法对应用层攻击进行防护。随着互联网的不断发展,新型攻击也日益增多,比如勒索病毒、挖矿病毒等,特别是综合楼加入区管外网整体运行后,外网用户量激增,使得区管外网面临巨大的安全风险。目前的边界防火墙只能应对L2-L4层威胁,因此设计使用新的具备更强性能和功能特性的防火墙,并及时提供网络安全防护变得尤为重要。
5 区管综合楼生产业务网接入方案
5.1 方案设计疑难点
在区管综合楼生产业务网接入方案设计中存在以下疑难点:区管设备大厅综合数据业务交换机没有剩余光端口。
5.2 解决思路
区管综合楼生产业务网用于将区管设备大厅机房落地的生产业务数据传输至综合楼,如AIMSV数据、CDM数据和综合航迹数据等。生产数据直接从区管设备大厅综合数据业务交换机取得,由于该交换机已没有光口可用,因此考虑使用一对光纤收发器用于连接区管设备大厅机房和综合楼一层配线间交换机。
6 结 论
本文通过对以上方案的思路解析,摸索出一套解决空管电话接入网、办公网和互联网建设问题的经验,目的是为同行提供参考讨论的资料,提高空管通信保障能力和日常办公能力。
参考文献:
[1] 韩运丽.本地电话网组建方法研究 [J].齐齐哈尔大学学报(自然科学版),2013,29(5):87.
[2] 王晓鹏.探究电视台办公网的安全管理和维护 [J].数字通信世界,2018(6):103.
[3] 林海彦.浅析中南空管办公网的病毒防范 [J].电脑知识与技术,2018,14(19):24-25.
作者简介:叶晨(1986.07-),男,汉族,浙江温州人,工程师,硕士,研究方向:通信。