第二章 网络平台的设计
网络系统是廊淦岛乃至于整个金山现代农业园区水利信息化控制系统的基础平台,它担负系统中所有的监测数据、控制指令、监控图像和语音的综合传输。同时为各级领导和有关部门提供及时、准确、优质的信息服务。建设高效、安全、可靠的网络传输平台是整个工程成功实施的基础。
在制定网络整体规划时,我们遵循“切合实际、分阶段实施、安全有效”的基本原则。对网络结构的选择也将具有先进性和安全性,且扩充升级方便,可保护前期投资;同时具有良好的可扩展性和灵活性,以适应网络应用的迅猛发展趋势,既满足当前需求,又照顾未来网络建设发展的需求。我们将充分利用各种网络资源,确保网络内部的互连互通。在总体设计时,我们将充分考虑工程的可靠性、可用性、可维护性以及网络的安全性,建立一个完善的安全管理体系。
目前本次网络工程建设的范围主要包括廊淦岛的9座水闸泵站的光纤局域网及管理中心与上级部门的Internet网。
网络系统建设的基本思想如下:
² 基本构架采用国际上目前流行Intranet网络技术,以TCP/IP为基本传输协议;
² 采用高速的网络互连技术,以满足网络系统中大量的数据传输和多媒体应用,如实时监控等要求;
² 采用先进的虚拟网络技术,将网络按功能模块化分成不同的子网,从而增强网络的安全性;
² 主干光纤网络采用环形结构,保证网络的冗余性;
1. 网络设计原则
根据目前计算机通讯技术的发展和用户需求的不断扩大,网络的设计应遵循下面的原则:
² 可靠性:在网络系统的设计中,很重要的一点就是网络的可靠性,即坚固性。为保证各项业务的应用,网络必须具有高可靠性。要对网络结构、网络设备、服务器设备等各方面进行高可靠性的设计和建设。在采用硬件备份、冗余等可靠性技术的基础上,采用相关的软件技术提供较强的管理机制、控制手段和事故监控等技术措施提高整个计算机网络系统的可靠性。
² 实用性:在满足水务系统的业务需求的基础上,尽可能降低工程造价和运营成本,追求最优的性能、价格比。另外,本系统中局域网络的节点树较大,通信介质各不同,采用的网络技术也较先进,网络的管理任务十分重要,我们提供的设备支持SNMP、RMON、WEB等网络管理标准,通过网络管理软件,可以用图形化的管理界面和简洁的操作方式,提供强大的网络管理功能。使网络日常的维护和操作变得直观,简便和高效。
² 先进性:本系统采用成熟的硬件、软件平台,在满足当前应用需要的基础上。从发展眼光看,计算机管理系统的发展方向就是要实现共享决策、管理、运行等各个环节的信息,完成不同制造厂商的设备和计算机软、硬件资源的数据交换。为此我们选择了一个由开放式、标准化的网络系统,开放式标准化的数据库组成的平台来满足当前可实现的技术,又能适应今后新技术的引进、开发和推广。
² 互连性:计算机系统技术的发展可谓是日新月异,怎样用好现有的技术同时又能够和将来的技术进行无缝的连接,这也是我们保护投资、合理利用资源所必须考虑的问题。我们选用的产品,不仅技术先进,同时在同类市场上也占据着主力位置,遵循开放性和互连性。厂家们也积极参与各标准的制定,同时有优秀的融合未来技术的软硬件升级方案。
² 可扩展性:本期工程是金山现代农业园区水利信息化系统的一期工程,它不仅要给廊淦岛提供网络通信,还要做到随着园区的建设和进度,保证其后续工程(园区的其它圩区及水利设施等)的兼容性和无缝连接。因此,我们的网络设计不仅满足现有的网络应用,而且考虑到园区各项建设的发展和新技术的涌现,我们为用户提供的网络设计是一个灵活方便的升级和扩充的结构。
2. 网络拓扑结构
通信网络是整个廊淦岛泵闸计算机控制系统的基础建设部份。依照“高起点、高质量、实用性和扩充性”系统设计原则,建成一个高度可靠、安全、稳定的数字通道。网络拓扑结构图如下:
图7 网络拓扑结构图
各监控站和监控中心组成环形网络,在网络结构上保证了通信链路的冗余。
由于本期工程内水闸泵站全都位于廊淦岛的两条主干河道上(六里溏和大泖河),覆盖区域广,地理位置较好,而且包含各种监控数据和视频流,信息流量较大。基于以上几点原则,在比较多种通信方式后作出监控中心与各监控子站之间采用光纤环路,组成1000M主干通讯网络,光纤敷设路由图如下:
图8 光缆敷设路由图
光纤网的建设原则为:
² 网络通信方式符合行业标准化体系,以利于系统建设和系统扩充,保证系统数据传输的实时性和控制的可靠性。
² 通信规约拟采用国际通用的开放性规约,以利于今后系统的扩展升级以及与各个相关的水利系统的整合。
² 系统间的信息传递,均以TCP/IP协议为基础,图像信息传输均以IP包的方式来传送。
² 采用4芯铠装单模光缆埋地(部分架空)敷设,保证备用通讯光纤芯的预留,便于以后的通讯扩展。
² 在每个通讯节点进行光缆配线、跳接,构成灵活的光纤冗余通讯方式。
3. 各站点网络配置
廊淦岛各现场站监控系统按照功能划分为两部分:实时数据采集和控制系统、视音频监控系统。它们相对独立,面向不同的监控对象,完成不同的测控功能,如下图所示,最后各自将所采集的信息转换成统一的网络数据格式通过光纤环网发送至中心站(中心层):
图9 各站点网络连接配置图
各站点交换机配置
WISE7000可管理交换机提供了多种模块式的接口选项,包含 10Mb 、100Mb 和 1000Mb 的光纤与RJ45接口,并提供了全面的管理软件。它把工业交换机的环境适应性提升到了一个新的高度,工作温度为零下40-75度(UL 标准测试)及 零下50-95 度(IEC 60068 标准测试)。全面的电源选项及标准的安装方式使WISE7000 真正成为“无所不能”的工业以太网交换机。
它的高性能特性还表现在所有 端口的非阻断和 802.1p QoS 协议的优化, WISE7000是即插即用的主干交换机,它的管理软件提供 SNMP, VLANs, IGMP 和端口加密等功能。在高可靠性网络上采用环网布局、 Spanning Tree Protocol, Link-Loss-Learn 和 S-Ring 管理协议。
n 1000 Mb 端口 : 2 口,用于与主干光纤环网的联接。
n 100 Mb ( 单模与多模 ):4口,用于本站通讯接入。
n 处理方式: IEEE 802.3x 数据存储与转发, 速率 6.0 Mpps
n 交换带宽: 4.8G
n 系统存储转发速率: 148810 bps
n 最大过滤速度: 148810 bps
n MAC地址表: 8K
n 流量控制: IEEE 802.3x流量控制
n 系统冗余倒换时间: 小于300ms
n 拓扑结构: 双(相切)光纤自愈环网
n 维护方式: 支持专用串口维护以及WEB方式
n 安全防护: 密码保护
n 数据包缓存 : 240KB 10/100Mb,120K 1000Mb
n 延时: 6 μ s + 最大打包时间 (TX - TX, TX - FX, FX - FX, TX-G, G-G)
n 工作温度 : -40-75°C ( UL 60950) , -50-95°C (IEC 60068 )
n 存储: -50°- 100°C
n 湿度: 5% - 95% ( 无凝露 )
n 海拔: -60 m - 4,000m
4. 控制中心网络配置
中心站(监控中心)部分是整个系统的核心,所有采集到的数据和图像都统一到中心站内,而且大部分的控制指令都由此发出,所以中心站的地位是尤其重要的。
控制中心网络结构如下图所示:
图10 控制中心网络连接配置图
中心交换机的配置
WISE7000是一款可网管标准机架式千兆以太网交换机,将10/100/1000Mbps以太网交换技术融合在同一备中。
n 2个100Mbit/S全双工的光口,符合IEEE802.3U标准,支持解环自愈功能。
n 2个1000Mbit/S全双工的光口,符合IEEE802.3W标准,支持解环自愈功能。
n 发送光功率: ≥-15 dBm(单模)
n 接收灵敏度: <-35 dBm(单模)
n 光接口连接器: SC/FC/ST
n 光波长: 1310nm
n 6个10/100Base-T(X),带屏蔽RJ-45,符合IEEE802.3标准。
n 交换带宽: 4.8G
n 系统存储转发速率: 148810 bps
n 最大过滤速度: 148810 bps
n MAC地址表: 8K
n 流量控制: IEEE 802.3x流量控制
n 系统冗余倒换时间: 小于300ms
n 拓扑结构: 双(相切)光纤自愈环网
n 维护方式: 支持专用串口维护以及WEB方式
n 安全防护: 密码保护
n 以太网传输距离:100米
n 光纤传输距离: 多模 传输距离2KM
单模 传输距离20KM
n 供电电源:±48VDC
n 系统功耗:小于20W
n 运行温度:-35℃~~75℃
n 运行湿度:10%~~~95%(无凝露)
n 安装方式:机架式
n IP30防护等级,金属外壳,无风扇设计
n WISE7000智能型工业以太网交换机具有基于Web网络管理系统。可通过Web浏览器、Telnet/Serial控制口进行配置。
5. 网络安全
网络安全从其本质上来讲就是网络上的信息安全,是指网络系统的软、硬件及其系统中的数据受到保护,不受偶然的或者恶意的原因而遭到破坏、更改、泄露,系统连续可靠正常地运行,网络服务不中断。从广义来说,凡是涉及到网络上信息的保密性、完整性、可用性、真实性和可控性的相关技术和理论都是网络安全所要研究的领域。
² 安全策略
网络安全涉及的内容既有技术方面的问题,也有管理方面的问题,两方面相互补充,缺一不可。技术方面主要侧重于防范外部非法用户的攻击,管理方面则侧重于内部人为因素的管理。如何更有效地保护重要的信息数据、提高计算机网络系统的安全性已经成为所有计算机网络应用必须考虑和必须解决的一个重要问题。
网络中的主机可能会受到非法入侵者的攻击,网络中的敏感数据有可能泄露或被修改,从内部网向共网传送的信息可能被他人窃听或篡改等等,造成网络安全威胁的原因可能是多方面的,有来自外部,也有可能来自网络内部。攻击者主要是利用了TCP/IP协议的安全漏洞和操作系统的安全漏洞。归纳起来,系统的安全威胁常表现为以下特征:
窃听:攻击者通过监视网络数据获得敏感信息。
伪造:攻击者将伪造的信息发送给接收者。
篡改:攻击者对合法用户之间的通讯信息进行修改、删除、插入,再发送给接收者。
拒绝服务攻击:攻击者通过某种方法使系统响应减慢甚至瘫痪,阻止合法用户获得服务。
非授权访问:没有预先经过同意,就使用网络或计算机资源被看作非授权访问。它主要有以下几种形式:假冒、身份攻击、非法用户进入网络系统进行违法操作、合法用户以未授权方式进行操作等。
传播病毒:通过网络传播计算机病毒,其破坏性非常高,而且用户很难防范。
为了实现网络安全,采用的安全机制主要包括:
加密机制。加密是确保数据保密性,访问控制机制。访问控制按照事先确定的规则决定主体对客体的访问是否合法。
数据完整性机制。数据完整性是保证数据不被修改。
信息流填充机制。信息流填充使攻击者不知道哪些是有用信息,哪些是无用信息,从而挫败信息流分析攻击。 路由控制机制。路由控制机制可根据信息发送者的申请选择安全路径,以确保数据安全。
² 安全保护方式
用防火墙保护和其他网络互联的安全
由于在业务往来上需要和其他业务单位有较多的数据交换,如上级部门、各层领导等等。在这些网络的互联中,可以考虑使用防火墙来进行和外部网络隔离,保证进入网络内部的访问都是经过授权并受限只能访问其该访问的的访问。
在防火墙上除了可以做地址翻译,以保护内部地址外,还可以只对需要流经防火墙的流量进行放行,即将平时所有的业务的端口号进行放行,其他端口号的流量不允许通过。
对网络设备访问进行集中认证
在网络中所有的网络设备访问时,包括console(带外主控台访问),Enable(特权用户访问)和VTY(Telnet接口访问),ACS可以提供一个中央的数据库进行用户和密码管理。
计算机病毒防护
来自系统外部(Internet或外网)的病毒入侵,这是目前病毒进入最多的途径。因此在与外部连接的网关处进行病毒拦截是效率最高,耗费资源最少的措施。可以使进入内部系统的病毒数量大为减少。
而对于内部的病毒也有可能发生大面积传遍的情况,所以要对整个网络系统,象数据库、视频服务器和终端用户也需要设置防病毒保护。
在此建议使用全方位、多层次的、整体的网络防病毒解决方案。
在网络结构方面:从第一层工作站、第二层服务器到第三层防火墙都有相应的防毒软件提供完整的、全面的防病毒保护。
在防病毒技术方面:采用各种先进的反病毒技术,尤其在对付未知病毒和多态病毒方面,采用了各种先进的技术对其进行查杀,如:启发式侦测技术(Bloodhund TM),神经网络技术,打击技术(Striker32)和防宏病毒技术(MVP)等,因此NAV产品不仅能查、杀各种未知病毒,还能修复被病毒感染的文件。
在病毒定义码和扫描引擎升级方面:采用模块化(NAVEX)的升级方式,也就是说,用户每次升级都包括最新的病毒定义码和扫描引擎.而且各种 NAV产品采用的是同一套病毒定义码和扫描引擎,方便用户病毒定义码和扫描引擎的升级,同时计算机在升级完最新的病毒定义码和扫描引擎后无需重新启动计算机,在技术支持和服务方面:对新出现的病毒具有最快的响应速度。
²路由器
由于上级相关部门要对水务信息进行查询,所以整个系统要提供向外的接口,以便与水务局信息大厦信息互通、资源共享。在控制中心提供与外界的接口,以便与监控中心之外单位连接,可使用路由器借助于专用光纤或者电信线路与上级部门的信息化系统相连,并在出口安置防火墙,以保护整个计算机控制系统的安全性。
²防火墙
为了整个网络系统的安全性考虑,在工程中使用了友讯网络的防火墙,该防火墙主要有以下特点:
◆ 高可靠性:
NPFW系列防火墙平均故障间隔时间(MTBF)在60,000小时以上,能够满足大中型企业对设备可靠性的要求。
通过简易的配置,消除网络的单点故障,极大的提高用户网络的可用性。
◆ 高性能:
NPFW系列防火墙支持百万以上的并发连接数,在百兆和千兆环境下能够获得全线速的性能。利用网络处理器技术对海量数据处理应付自如。
◆ 可扩展性
NPFW防火墙可根据不同网络环境的需求,采用百兆铜缆、百兆光纤、千兆铜缆和千兆光纤等不同接口形式,接口数目可根据需要进行扩展。
◆ 高度的安全性
NPFW防火墙对拒绝服务攻击进行了独特的设计,能够有效防范SYN FLOOD、PING OF DEATH、TEARDROP、TCPFLOOD、UDPFLOOD、LAND、SMURF等攻击类型。
6. WISE7000组成的网络系统特点
6.1.多链路自动冗余备份
能够形成千兆的高速双纤冗愈环网,保证网络的实时可靠,在冗余环网中,它能自动冗余备份,能自动协商到达最近节点的路径,如果一处线路损坏,网络拓扑会自动重新配置具有自愈合恢复通讯能力。
6.2.较长的传输距离
环型结构采用光纤介质类型,在传输中有低损耗的特性,使得传输线路的无中继传输距离变长,相邻站之间最大长度单模光纤可达40-60KM。
6.3.具有较大的带宽
环网传输带宽为1000Mbps,同时采用新的多数据处理技术,使得网络在重负荷情况下,仍能保持很强的实时性。
6.4.可靠性高
环型结构在网络出现故障时仍能自行重构,保证系统安全可靠,同时传输光纤具有对电磁和射频干扰抑制能力,在传输过程中不受电磁和射频噪声的影响,也不影响其设备。由于光纤传输的是光信号,两端的电源相对隔离,所以有效地解决了光纤两端电源和地线对设备可能造成的严重威胁。
6.5.扩展性强
采用环网通讯,系统中各站点的路由比较多,而且系统的网络带宽很大,所以将来其它的一些网络都可以很方便的接入到我们的网络中。