第二章 網絡平臺的設計 網絡系統是廊淦島乃至于整個金山現代農業園區水利信息化控制系統的基礎平臺，它擔負系統中所有的監測數據、控制指令、監控圖像和語音的綜合傳輸。同時為各級領導和有關部門提供及時、準確、優質的信息服務。建設高效、安全、可靠的網絡傳輸平臺是整個工程成功實施的基礎。 在制定網絡整體規劃時，我們遵循“切合實際、分階段實施、安全有效”的基本原則。對網絡結構的選擇也將具有先進性和安全性，且擴充升級方便，可保護前期投資；同時具有良好的可擴展性和靈活性，以適應網絡應用的迅猛發展趨勢，既滿足當前需求，又照顧未來網絡建設發展的需求。我們將充分利用各種網絡資源，確保網絡內部的互連互通。在總體設計時，我們將充分考慮工程的可靠性、可用性、可維護性以及網絡的安全性，建立一個完善的安全管理體系。 目前本次網絡工程建設的范圍主要包括廊淦島的9座水閘泵站的光纖局域網及管理中心與上級部門的Internet網。 網絡系統建設的基本思想如下： ² 基本構架采用國際上目前流行Intranet網絡技術，以TCP/IP為基本傳輸協議； ² 采用高速的網絡互連技術，以滿足網絡系統中大量的數據傳輸和多媒體應用，如實時監控等要求； ² 采用先進的虛擬網絡技術，將網絡按功能模塊化分成不同的子網，從而增強網絡的安全性； ² 主干光纖網絡采用環形結構，保證網絡的冗余性； 1. 網絡設計原則 根據目前計算機通訊技術的發展和用戶需求的不斷擴大，網絡的設計應遵循下面的原則： ² 可靠性：在網絡系統的設計中，很重要的一點就是網絡的可靠性，即堅固性。為保證各項業務的應用，網絡必須具有高可靠性。要對網絡結構、網絡設備、服務器設備等各方面進行高可靠性的設計和建設。在采用硬件備份、冗余等可靠性技術的基礎上，采用相關的軟件技術提供較強的管理機制、控制手段和事故監控等技術措施提高整個計算機網絡系統的可靠性。 ² 實用性：在滿足水務系統的業務需求的基礎上，盡可能降低工程造價和運營成本，追求最優的性能、價格比。另外，本系統中局域網絡的節點樹較大，通信介質各不同，采用的網絡技術也較先進，網絡的管理任務十分重要，我們提供的設備支持SNMP、RMON、WEB等網絡管理標準，通過網絡管理軟件，可以用圖形化的管理界面和簡潔的操作方式，提供強大的網絡管理功能。使網絡日常的維護和操作變得直觀，簡便和高效。 ² 先進性：本系統采用成熟的硬件、軟件平臺，在滿足當前應用需要的基礎上。從發展眼光看，計算機管理系統的發展方向就是要實現共享決策、管理、運行等各個環節的信息，完成不同制造廠商的設備和計算機軟、硬件資源的數據交換。為此我們選擇了一個由開放式、標準化的網絡系統，開放式標準化的數據庫組成的平臺來滿足當前可實現的技術，又能適應今后新技術的引進、開發和推廣。 ² 互連性：計算機系統技術的發展可謂是日新月異，怎樣用好現有的技術同時又能夠和將來的技術進行無縫的連接，這也是我們保護投資、合理利用資源所必須考慮的問題。我們選用的產品，不僅技術先進，同時在同類市場上也占據著主力位置，遵循開放性和互連性。廠家們也積極參與各標準的制定，同時有優秀的融合未來技術的軟硬件升級方案。 ² 可擴展性：本期工程是金山現代農業園區水利信息化系統的一期工程，它不僅要給廊淦島提供網絡通信，還要做到隨著園區的建設和進度，保證其后續工程（園區的其它圩區及水利設施等）的兼容性和無縫連接。因此，我們的網絡設計不僅滿足現有的網絡應用，而且考慮到園區各項建設的發展和新技術的涌現，我們為用戶提供的網絡設計是一個靈活方便的升級和擴充的結構。 2. 網絡拓撲結構 通信網絡是整個廊淦島泵閘計算機控制系統的基礎建設部份。依照“高起點、高質量、實用性和擴充性”系統設計原則，建成一個高度可靠、安全、穩定的數字通道。網絡拓撲結構圖如下： [align=center] 圖7 網絡拓撲結構圖[/align] 各監控站和監控中心組成環形網絡，在網絡結構上保證了通信鏈路的冗余。 由于本期工程內水閘泵站全都位于廊淦島的兩條主干河道上（六里溏和大泖河），覆蓋區域廣，地理位置較好，而且包含各種監控數據和視頻流，信息流量較大�；谝陨蠋c原則，在比較多種通信方式后作出監控中心與各監控子站之間采用光纖環路，組成1000M主干通訊網絡，光纖敷設路由圖如下： [align=center] 圖8 光纜敷設路由圖[/align] 光纖網的建設原則為： ² 網絡通信方式符合行業標準化體系，以利于系統建設和系統擴充，保證系統數據傳輸的實時性和控制的可靠性。 ² 通信規約擬采用國際通用的開放性規約，以利于今后系統的擴展升級以及與各個相關的水利系統的整合。 ² 系統間的信息傳遞，均以TCP/IP協議為基礎，圖像信息傳輸均以IP包的方式來傳送。 ² 采用4芯鎧裝單模光纜埋地（部分架空）敷設，保證備用通訊光纖芯的預留，便于以后的通訊擴展。 ² 在每個通訊節點進行光纜配線、跳接，構成靈活的光纖冗余通訊方式。 3. 各站點網絡配置 廊淦島各現場站監控系統按照功能劃分為兩部分：實時數據采集和控制系統、視音頻監控系統。它們相對獨立，面向不同的監控對象，完成不同的測控功能，如下圖所示，最后各自將所采集的信息轉換成統一的網絡數據格式通過光纖環網發送至中心站（中心層）： [align=center] 圖9 各站點網絡連接配置圖[/align] 各站點交換機配置 WISE7000可管理交換機提供了多種模塊式的接口選項，包含 10Mb 、100Mb 和 1000Mb 的光纖與RJ45接口，并提供了全面的管理軟件。它把工業交換機的環境適應性提升到了一個新的高度，工作溫度為零下40-75度（UL 標準測試）及 零下50-95 度（IEC 60068 標準測試）。全面的電源選項及標準的安裝方式使WISE7000 真正成為“無所不能”的工業以太網交換機。 它的高性能特性還表現在所有 端口的非阻斷和 802.1p QoS 協議的優化， WISE7000是即插即用的主干交換機，它的管理軟件提供 SNMP, VLANs, IGMP 和端口加密等功能。在高可靠性網絡上采用環網布局、Spanning Tree Protocol, Link-Loss-Learn 和 S-Ring 管理協議。 n 1000 Mb 端口 : 2 口，用于與主干光纖環網的聯接。 n 100 Mb （ 單模與多模 ）:4口，用于本站通訊接入。 n 處理方式： IEEE 802.3x 數據存儲與轉發， 速率 6.0 Mpps n 交換帶寬: 4.8G n 系統存儲轉發速率: 148810 bps n 最大過濾速度： 148810 bps n MAC地址表: 8K n 流量控制： IEEE 802.3x流量控制 n 系統冗余倒換時間： 小于300ms n 拓撲結構： 雙（相切）光纖自愈環網 n 維護方式： 支持專用串口維護以及WEB方式 n 安全防護： 密碼保護 n 數據包緩存 ： 240KB 10/100Mb，120K 1000Mb n 延時： 6 μ s + 最大打包時間 （TX - TX, TX - FX, FX - FX, TX-G, G-G） n 工作溫度 : -40-75°C （ UL 60950） , -50-95°C （IEC 60068 ） n 存儲： -50°- 100°C n 濕度： 5% - 95% （ 無凝露 ） n 海拔： -60 m - 4,000m [b]4. 控制中心網絡配置 [/b]中心站（監控中心）部分是整個系統的核心，所有采集到的數據和圖像都統一到中心站內，而且大部分的控制指令都由此發出，所以中心站的地位是尤其重要的。 控制中心網絡結構如下圖所示： [align=center] 圖10 控制中心網絡連接配置圖[/align] 中心交換機的配置 WISE7000是一款可網管標準機架式千兆以太網交換機，將10/100/1000Mbps以太網交換技術融合在同一備中。 n 2個100Mbit/S全雙工的光口，符合IEEE802.3U標準，支持解環自愈功能。 n 2個1000Mbit/S全雙工的光口，符合IEEE802.3W標準，支持解環自愈功能。 n 發送光功率： ≥-15 dBm（單模） n 接收靈敏度： ＜-35 dBm（單模） n 光接口連接器： SC/FC/ST n 光波長： 1310nm n 6個10/100Base-T（X），帶屏蔽RJ-45，符合IEEE802.3標準。 n 交換帶寬: 4.8G n 系統存儲轉發速率: 148810 bps n 最大過濾速度： 148810 bps n MAC地址表: 8K n 流量控制： IEEE 802.3x流量控制 n 系統冗余倒換時間： 小于300ms n 拓撲結構： 雙（相切）光纖自愈環網 n 維護方式： 支持專用串口維護以及WEB方式 n 安全防護： 密碼保護 n 以太網傳輸距離：100米 n 光纖傳輸距離： 多模 傳輸距離2KM 單模 傳輸距離20KM n 供電電源：±48VDC n 系統功耗：小于20W n 運行溫度：-35℃～～75℃ n 運行濕度：10%～～～95%（無凝露） n 安裝方式：機架式 n IP30防護等級，金屬外殼，無風扇設計 n WISE7000智能型工業以太網交換機具有基于Web網絡管理系統。可通過Web瀏覽器、Telnet/Serial控制口進行配置。 [b]5. 網絡安全 [/b]網絡安全從其本質上來講就是網絡上的信息安全，是指網絡系統的軟、硬件及其系統中的數據受到保護，不受偶然的或者惡意的原因而遭到破壞、更改、泄露，系統連續可靠正常地運行，網絡服務不中斷。從廣義來說，凡是涉及到網絡上信息的保密性、完整性、可用性、真實性和可控性的相關技術和理論都是網絡安全所要研究的領域。 ² 安全策略 網絡安全涉及的內容既有技術方面的問題，也有管理方面的問題，兩方面相互補充，缺一不可。技術方面主要側重于防范外部非法用戶的攻擊，管理方面則側重于內部人為因素的管理。如何更有效地保護重要的信息數據、提高計算機網絡系統的安全性已經成為所有計算機網絡應用必須考慮和必須解決的一個重要問題。 網絡中的主機可能會受到非法入侵者的攻擊，網絡中的敏感數據有可能泄露或被修改，從內部網向共網傳送的信息可能被他人竊聽或篡改等等，造成網絡安全威脅的原因可能是多方面的，有來自外部，也有可能來自網絡內部。攻擊者主要是利用了TCP/IP協議的安全漏洞和操作系統的安全漏洞。歸納起來，系統的安全威脅常表現為以下特征： 竊聽：攻擊者通過監視網絡數據獲得敏感信息。 偽造：攻擊者將偽造的信息發送給接收者。 篡改：攻擊者對合法用戶之間的通訊信息進行修改、刪除、插入，再發送給接收者。 拒絕服務攻擊：攻擊者通過某種方法使系統響應減慢甚至癱瘓，阻止合法用戶獲得服務。 非授權訪問：沒有預先經過同意，就使用網絡或計算機資源被看作非授權訪問。它主要有以下幾種形式：假冒、身份攻擊、非法用戶進入網絡系統進行違法操作、合法用戶以未授權方式進行操作等。 傳播病毒：通過網絡傳播計算機病毒，其破壞性非常高，而且用戶很難防范。 為了實現網絡安全，采用的安全機制主要包括： 加密機制。加密是確保數據保密性，訪問控制機制。訪問控制按照事先確定的規則決定主體對客體的訪問是否合法。 數據完整性機制。數據完整性是保證數據不被修改。 信息流填充機制。信息流填充使攻擊者不知道哪些是有用信息，哪些是無用信息，從而挫敗信息流分析攻擊。 路由控制機制。路由控制機制可根據信息發送者的申請選擇安全路徑，以確保數據安全。 ² 安全保護方式 用防火墻保護和其他網絡互聯的安全 由于在業務往來上需要和其他業務單位有較多的數據交換，如上級部門、各層領導等等。在這些網絡的互聯中，可以考慮使用防火墻來進行和外部網絡隔離，保證進入網絡內部的訪問都是經過授權并受限只能訪問其該訪問的的訪問。 在防火墻上除了可以做地址翻譯，以保護內部地址外，還可以只對需要流經防火墻的流量進行放行，即將平時所有的業務的端口號進行放行，其他端口號的流量不允許通過。 對網絡設備訪問進行集中認證 在網絡中所有的網絡設備訪問時，包括console（帶外主控臺訪問），Enable（特權用戶訪問）和VTY（Telnet接口訪問），ACS可以提供一個中央的數據庫進行用戶和密碼管理。 計算機病毒防護 來自系統外部（Internet或外網）的病毒入侵,這是目前病毒進入最多的途徑。因此在與外部連接的網關處進行病毒攔截是效率最高，耗費資源最少的措施�？梢允惯M入內部系統的病毒數量大為減少。 而對于內部的病毒也有可能發生大面積傳遍的情況,所以要對整個網絡系統，象數據庫、視頻服務器和終端用戶也需要設置防病毒保護。 在此建議使用全方位、多層次的、整體的網絡防病毒解決方案。 在網絡結構方面：從第一層工作站、第二層服務器到第三層防火墻都有相應的防毒軟件提供完整的、全面的防病毒保護。 在防病毒技術方面：采用各種先進的反病毒技術，尤其在對付未知病毒和多態病毒方面，采用了各種先進的技術對其進行查殺，如：啟發式偵測技術（Bloodhund TM）,神經網絡技術，打擊技術（Striker32）和防宏病毒技術（MVP）等，因此NAV產品不僅能查、殺各種未知病毒，還能修復被病毒感染的文件。 在病毒定義碼和掃描引擎升級方面：采用模塊化（NAVEX）的升級方式，也就是說，用戶每次升級都包括最新的病毒定義碼和掃描引擎.而且各種NAV產品采用的是同一套病毒定義碼和掃描引擎，方便用戶病毒定義碼和掃描引擎的升級，同時計算機在升級完最新的病毒定義碼和掃描引擎后無需重新啟動計算機，在技術支持和服務方面：對新出現的病毒具有最快的響應速度。 ²路由器 由于上級相關部門要對水務信息進行查詢，所以整個系統要提供向外的接口，以便與水務局信息大廈信息互通、資源共享。在控制中心提供與外界的接口，以便與監控中心之外單位連接，可使用路由器借助于專用光纖或者電信線路與上級部門的信息化系統相連，并在出口安置防火墻，以保護整個計算機控制系統的安全性。 ²防火墻 為了整個網絡系統的安全性考慮，在工程中使用了友訊網絡的防火墻，該防火墻主要有以下特點： ◆ 高可靠性： NPFW系列防火墻平均故障間隔時間（MTBF）在60,000小時以上，能夠滿足大中型企業對設備可靠性的要求。 通過簡易的配置，消除網絡的單點故障，極大的提高用戶網絡的可用性。 ◆ 高性能： NPFW系列防火墻支持百萬以上的并發連接數，在百兆和千兆環境下能夠獲得全線速的性能。利用網絡處理器技術對海量數據處理應付自如。 ◆ 可擴展性 NPFW防火墻可根據不同網絡環境的需求，采用百兆銅纜、百兆光纖、千兆銅纜和千兆光纖等不同接口形式，接口數目可根據需要進行擴展。 ◆ 高度的安全性 NPFW防火墻對拒絕服務攻擊進行了獨特的設計，能夠有效防范SYN FLOOD、PING OF DEATH、TEARDROP、TCPFLOOD、UDPFLOOD、LAND、SMURF等攻擊類型。 6. WISE7000組成的網絡系統特點 6.1．多鏈路自動冗余備份 能夠形成千兆的高速雙纖冗愈環網，保證網絡的實時可靠，在冗余環網中，它能自動冗余備份，能自動協商到達最近節點的路徑，如果一處線路損壞，網絡拓撲會自動重新配置具有自愈合恢復通訊能力。 6.2．較長的傳輸距離 環型結構采用光纖介質類型，在傳輸中有低損耗的特性，使得傳輸線路的無中繼傳輸距離變長，相鄰站之間最大長度單模光纖可達40-60KM。 6.3．具有較大的帶寬 環網傳輸帶寬為1000Mbps，同時采用新的多數據處理技術，使得網絡在重負荷情況下，仍能保持很強的實時性。 6.4．可靠性高 環型結構在網絡出現故障時仍能自行重構，保證系統安全可靠，同時傳輸光纖具有對電磁和射頻干擾抑制能力，在傳輸過程中不受電磁和射頻噪聲的影響，也不影響其設備。由于光纖傳輸的是光信號，兩端的電源相對隔離，所以有效地解決了光纖兩端電源和地線對設備可能造成的嚴重威脅。 6.5．擴展性強 采用環網通訊，系統中各站點的路由比較多，而且系統的網絡帶寬很大，所以將來其它的一些網絡都可以很方便的接入到我們的網絡中。