威海市地震數據信息網路平台

（一）可靠性 系統充分考慮地震行業特點，提供了兩條和省局之間的鏈路，保證了地震數據在省、市之間安全、可靠進行互動。和省局鏈路之間採用OSPF （Open Shortest Path First開放式最短路徑優先）技術，實現最優線路的自動選擇，可保證在一條鏈路斷開的情況下，仍可實現和省局區域中心進行數據交換。

（二）安全性 是指防止非法訪問者通過網際網路對網路節點進行攻擊的能力。在網際網路的入口處架設一台硬體網路防火牆，將伺服器連線在中立區，運用包過濾技術將伺服器的實際地址有效保護，阻斷外界對伺服器的惡意攻擊及非法訪問。

（三）高效率 系統結構充分最佳化，儘量減少數據流通環節，減少網路中非業務的網路消耗，確保實時信息查詢、數據交換快捷、暢通，降低網路運行費用。

（四）可擴展性

隨著業務的發展，系統性能需求將不斷提高，網路規模也可能擴展。系統設計保證一段時間內不需更換主要設備，僅通過部分部件的升級，就可以提高系統性能，滿足性能要求。

（五）網路的實用性

根據現在的需求和可以預見的需求增長情況設計網路，不追求空洞的技術先進性，避免追求高檔和最新技術而浪費資金。

（六）網路的層次化和模組化結構

網路的物理結構、邏輯結構和地址空間層次化、模組化，利於網路的構建和擴展。

（七）完善QOS保障

面向套用的網路設備設計，在滿足基本業務處理的同時，為QOS(Quality of Service 服務質量)要求高的業務提供更加可靠、快速的服務。

（八）增強智慧型連線埠

港灣接入層交換機具有以下連線埠增強特性，方便網路快速部署。若是5類或者5類以上的UTP（Unshielded Twisted Paired , 非禁止雙絞線），工作在10Base-T模式時，傳輸距離可達200米；工作在100Base-T模式時，傳輸距離可以達到100米。在自動協商情況下，連線埠具有MDI/MDIX自校準功能，對於直連線和交叉線均可直接使用。具有自適應功能，可自動匹配連線埠速率、確定半/全雙工狀態。

（九）為安全提供多種實施手段

本方案具有以下各種豐富的安全特性，能為安全提供多種實施手段。通過連線埠反查，可以迅速定位非法用戶；通過廣播風暴抑制功能可以有效防止網路攻擊及網路病毒；通過MAC+IP方式綁定可以唯一標識用戶身份（MAC 即信息認證代碼Message Authentication Code）。

整個網路平台以地震數據網為核心建設內容，它包括地震監測台網傳輸系統、系統內部數據信息交換與共享系統、基於網路的“語音、數據、視頻”等綜合數據傳輸系統，採用兩級網路結構設計，即核心層和接入層。核心層連線接入層交換機和網路伺服器、路由器等設備，接入層用於各科室工作站的網路接入。在分層網路結構中，網路被分層組織在一起，每一層都各自完成具體的功能和操作，使系統更具有可縮放性和可預測性，易於安裝、維護、管理。通過虛擬子網（VLAN）把威海市地震局內部各科室邏輯隔離開，通過核心交換機的三層交換功能和訪問控制表控制功能實現各VLAN之間的基於策略的相互訪問，從而保證各科室的相對獨立和數據安全，同時有效控制網路廣播。

為了有效保障地震數據的安全暢通，與省局數據中心連線的主鏈路為E1專線，並採用IPSEC（IP Security Protocol IP安全協定)加密安全通道方式，將政府辦公專網作為地震數據傳輸專網的備用鏈路，共同完成省、市、地震台間地震數據信息互動。

整個網路平台方案設計拓撲圖：

說明：

（一）地震數據信息網採用快速乙太網技術進行組網，交換機設備之間的傳輸速率為100M Mbps，選擇的交換機都具有千兆模組擴展插槽，保證將來地震網路主幹可以平滑升級到千兆，區域網路中的各個用戶通過雙絞線和接入交換機連線，傳輸速率為100Mbps，這種組網方式便於整個網路的升級和管理，最大程度地滿足用戶的擴展需求。

（二）威海市地震局主鏈路是採用E1專線接入山東省地震局網，除此之外，採用了VPN（VPN-Virtual Private Network 虛擬專網）技術和IPSEC加密安全通道方式，將政府網作為備用鏈路，共同保證了地震數據傳輸的可靠性。威海地震局的網關設備為一台VPN路由器，實現以下兩種功能：一是通過多種接口實現地震系統內專網的互連；二是通過路由器的VPN功能，實現與政府網的連線，在政府專網中與省地震局協調一條IPSEC加密安全隧道，實現與省地震局的VPN連線。目前，兩條鏈路都已連通。

（三）威海地震台、強震台採用IP方式直接接入，榮成地震台（含測震、形變觀測）、乳山地震台（含測震、電磁觀測）、通過E1專線接入，文登地震台、魯32井觀測站通過CDMA無線網路接入；系統也提供了城域網以及撥號等方式，實現與台站及區縣地震部門的連線。目前，在市局台網中心，能隨時監測所有台站的運行狀況，明顯提高了工作效率。

（四）與省局數據中心互連的兩條鏈路之間採用OSPF技術選擇通道，OSPF技術即動態路由技術。其中和省地震之間的E1連路是消耗最低的鏈路，為主鏈路，在主鏈路出現問題的情況下，系統會自動選擇政府網實現和省局的連線。

為了提高各節點辦公效率以及充分滿足整體協同的要求，信息網路系統各節點之間的關係既要資源共享，又應保證各自的內部信息不能受其他合作方的影響，所以必須在整體網路內部建立安全訪問和許可權管理機制，並採取必要的措施防止外界惡意攻擊。將一個大的網路劃分為小的子網，可以縮小廣播域，防止廣播風暴，將廣播信息限制在必須廣播的範圍內，從而過濾掉不必要的廣播信息。另外，僅僅採用內部安全訪問和許可權管理機制等這類基於主機系統而不是基於網路系統的訪問控制功能，並不能解決所有的問題，而本系統採用了基於網路系統的訪問控制，較好實現了對節點或不同網段的控制。

子網劃分的工作由三層交換機來完成，子網之間的通信通過路由定址。系統採用虛擬網路（Virtual LANs或VLANs）技術，允許網路管理人員使用相應的虛擬網路軟體設計、修改和管理網路而無需改變網路的物理結構。我們在方案中提供的所有網路設備都支持跨交換機的VLAN劃分協定——802.1Q，所以在整個網路系統的範圍內，按需求劃分了VLAN，擺脫了物理位置的束縛，實現對整個網路進行靈活、方便管理（數據網、政府網、網際網路的具體規劃此略）。

伺服器作為網路的核心驅動單元，是一種高技術、高性能、高價值的產品，鑒於地震行業對系統可靠性的突出要求，我們首先考慮具體套用，然後權衡可管理性、可擴展性、安全性、高性能以及模組化等主要性能指標，決定選用曙光天闊A620r-E系列伺服器。該伺服器具有高性能組件和可靠性，採用AMD Opteron雙處理器、PCI-X和DDR記憶體，同時兼容32位，支持多組件熱插拔和冗餘功能，既可以運行已有的32位系統和套用軟體，又能夠平滑過渡到64位，是全球領先的高密度32/64位全兼容企業級伺服器。在本工程中，我們使用了4台，2台用於網路服務，2台用於資料庫服務，每台伺服器都配置3塊73G熱插拔硬碟，磁碟系統做RAID 5，保證在任一塊硬碟出現物理故障時，不影響系統運行，且數據不被破壞。

虛擬網路（Virtual LANs或VLANs）允許網路管理人員使用相應的虛擬網路軟體設計、修改和管理網路而無需改變網路的物理結構。一個虛擬網就是一個廣播域，它不受路由器的限制。實現虛擬網後，網管人員無需改變網路物理結構，就可根據部門的性質和需求來建立和配置“虛擬網路”。

我們在方案中提供的所有網路設備都支持跨交換機的VLAN劃分協定——802.1Q，所以在整個網路系統的範圍內，按需求劃分VLAN，擺脫物理位置的束縛，通過VLAN對整個網路進行靈活方便管理。區域網路上網段的劃分和隔離，是為了保證網路的可用性而必須進行的一項設定工作。它除了可以提供高的可用性以外，還可以在網路安全性方面帶來一定的好處。把網路上相互間沒有直接關係的系統分布在不同的網段，可降低各系統被正面攻擊的機會。

利用虛擬專用網的隧道技術、認證技術和加密技術，能夠在一種不可信、不安全的網路（例如Internet）上的兩個單獨實體之間建立一條安全的、私有的專用信道。VPN的核心技術是由IETF（Internet Engineering Task Force）制定的IKE協定(Internet Key Exchange 網際網路密鑰交換協定)和IPSEC協定。IKE用來建立一個安全聯合（SA），並獲得IPSEC協定所需的經過認證的密鑰信息。

IPSEC協定是為TCP/IP通訊安全性的擴展提供了一種標準的、安全的通信方式。本系統使用了GRE+IPSEC這種方式，GRE+IPSEC是在GRE（Generic Routing Encapsulation 通用路由封裝）通道上進行加密，其首先通過GRE激活IPSEC，繼而實現在GRE通道上進行加密後傳輸。VPN只需在需要建立安全隧道的兩個節點上安裝並運行VPN系統，即可實現安全的數據通信。本工程中利用VPN技術，將政府專網作為了省、市地震部門數據互動通道的備用鏈路，既保障了通信，又沒有增加其他網路資源，值得推廣。下圖是VPN的網路拓撲圖：

在本項目中採用SIP技術實現了VOIP功能（Voice over Internet Protocol 網際網路協定語音技術），和省局之間通訊沒有費用。SIP（Session Initiation Protocol，會話發起協定）是由IETF（Internet工程任務組）提出的IP電話信令協定，它基於SIP協定標準，整合了傳統的語音及增值服務，並提供最新的即時通信服務以及IP網路上的視頻服務，可以為其他更多的增值套用服務商提供一個標準的具有高擴展性的平台。本系統完全採用網際網路分散式的體系結構，具有高度的靈活性、可擴展性以及大型電信服務所必備的高可靠性和容錯性，並可支持百萬級及千萬級的用戶量。SIP用於發起會話，能控制多個參與者參加的多媒體會話的建立和終結，並能動態調整和修改會話屬性，如會話頻寬要求、傳輸的媒體類型（語音、視頻和數據等）、媒體的編解碼格式、對組播和單播的支持等。

通過這一方式，我局實現了與省局的語音通信，視頻聯絡也即將實現，大大節約了辦公成本。

（四）獨具特色的DVPN功能

通過港灣產品的DVPN技術（Dynamic Virtual Private Network 動態VPN），支持ADSL/VDSL/ISDN/PSTN等撥號接入方式下的VPN動態建立。這些撥號接入方式由於IP位址不固定（都是從服務提供商網路動態獲取IP位址），在建立VPN網路時遇到了難以克服的困難。港灣Net Hammer系列路由器支持隧道一端的地址協商，中心路由器可通過共享的key值，智慧型判斷出分支路由器，完成VPN隧道的建立，為各個縣市地震局和流動地震監測台站提供提供靈活多樣的接入方式。

本平台系統充分考慮了地震行業的特點，設計嚴謹、科學、最佳化，最大限度地發揮現有的網路資源，安全、可靠地利用數據專網及政府專網，實現與省地震局、各市縣地震部門及各專業台站間的信息傳輸，有效保證了地震數據信息的實時聯通。該平台系統總體水平在國內同行業同級別中處於領先地位，被山東省科技廳鑑定為科技成果，並獲得威海市科學技術二等獎，值得行業內其他單位借鑑。