基本概述

建设原则

系统设计

拓扑结构

网络规划

信息系统

技术创新(（一）虚拟局域网技术（vlan） （二）VPN技术 （三）语音的sip通信协议技术)

主要任务

基本概述

威海市地震数据信息网络平台是山东省防震减灾“十五”重点建设项目，也是中国地震信息服务系统的60个大中城市地震信息服务节点之一。该平台系统包括地震系统内部数据交互平台建设、与政府网系统交互建设和互联网访问建设，概括来讲就是“一纵一横一外”三网建设。纵就是纵向网建设，和省局和县区地震局、地震台站的连接及数据交互；横就是政府网建设；外是地震局和互联网连接，提供访问互联网功能。系统同时将政府网作为省、市间地震数据信息交互通道的备用链路，确保了省、市间地震数据交互和应急指挥的信息畅通。目前，该网络平台已与省局区域地震数据中心和台站信息节点连接。

建设原则

（一）可靠性 系统充分考虑地震行业特点，提供了两条和省局之间的链路，保证了地震数据在省、市之间安全、可靠进行交互。和省局链路之间采用OSPF （Open Shortest Path First开放式最短路径优先）技术，实现最优线路的自动选择，可保证在一条链路断开的情况下，仍可实现和省局区域中心进行数据交换。

（二）安全性 是指防止非法访问者通过互联网络对网络节点进行攻击的能力。在互联网的入口处架设一台硬件网络防火墙，将服务器连接在中立区，运用包过滤技术将服务器的实际地址有效保护，阻断外界对服务器的恶意攻击及非法访问。

（三）高效率 系统结构充分优化，尽量减少数据流通环节，减少网络中非业务的网络消耗，确保实时信息查询、数据交换快捷、畅通，降低网络运行费用。

（四）可扩展性

随着业务的发展，系统性能需求将不断提高，网络规模也可能扩展。系统设计保证一段时间内不需更换主要设备，仅通过部分部件的升级，就可以提高系统性能，满足性能要求。

（五）网络的实用性

根据现在的需求和可以预见的需求增长情况设计网络，不追求空洞的技术先进性，避免追求高档和最新技术而浪费资金。

（六）网络的层次化和模块化结构

网络的物理结构、逻辑结构和地址空间层次化、模块化，利于网络的构建和扩展。

（七）完善QOS保障

面向应用的网络设备设计，在满足基本业务处理的同时，为QOS(Quality of Service 服务质量)要求高的业务提供更加可靠、快速的服务。

（八）增强智能端口

港湾接入层交换机具有以下端口增强特性，方便网络快速部署。若是5类或者5类以上的UTP（Unshielded Twisted Paired , 非屏蔽双绞线），工作在10Base-T模式时，传输距离可达200米；工作在100Base-T模式时，传输距离可以达到100米。在自动协商情况下，端口具有MDI/MDIX自校准功能，对于直连线和交叉线均可直接使用。具有自适应功能，可自动匹配端口速率、确定半/全双工状态。

（九）为安全提供多种实施手段

本方案具有以下各种丰富的安全特性，能为安全提供多种实施手段。通过端口反查，可以迅速定位非法用户；通过广播风暴抑制功能可以有效防止网络攻击及网络病毒；通过MAC+IP方式绑定可以唯一标识用户身份（MAC 即信息认证代码Message Authentication Code）。

系统设计

整个网络平台以地震数据网为核心建设内容，它包括地震监测台网传输系统、系统内部数据信息交换与共享系统、基于网络的“语音、数据、视频”等综合数据传输系统，采用两级网络结构设计，即核心层和接入层。核心层连接接入层交换机和网络服务器、路由器等设备，接入层用于各科室工作站的网络接入。在分层网络结构中，网络被分层组织在一起，每一层都各自完成具体的功能和操作，使系统更具有可缩放性和可预测性，易于安装、维护、管理。通过虚拟子网（VLAN）把威海市地震局内部各科室逻辑隔离开，通过核心交换机的三层交换功能和访问控制表控制功能实现各VLAN之间的基于策略的相互访问，从而保证各科室的相对独立和数据安全，同时有效控制网络广播。

为了有效保障地震数据的安全畅通，与省局数据中心连接的主链路为E1专线，并采用IPSEC（IP Security Protocol IP安全协议)加密安全通道方式，将政府办公专网作为地震数据传输专网的备用链路，共同完成省、市、地震台间地震数据信息交互。

整个网络平台方案设计拓扑图：

拓扑结构

说明：

（一）地震数据信息网采用快速以太网技术进行组网，交换机设备之间的传输速率为100M Mbps，选择的交换机都具有千兆模块扩展插槽，保证将来地震网络主干可以平滑升级到千兆，局域网中的各个用户通过双绞线和接入交换机连接，传输速率为100Mbps，这种组网方式便于整个网络的升级和管理，最大程度地满足用户的扩展需求。

（二）威海市地震局主链路是采用E1专线接入山东省地震局网，除此之外，采用了VPN（VPN-Virtual Private Network 虚拟专网）技术和IPSEC加密安全通道方式，将政府网作为备用链路，共同保证了地震数据传输的可靠性。威海地震局的网关设备为一台VPN路由器，实现以下两种功能：一是通过多种接口实现地震系统内专网的互连；二是通过路由器的VPN功能，实现与政府网的连接，在政府专网中与省地震局协调一条IPSEC加密安全隧道，实现与省地震局的VPN连接。目前，两条链路都已连通。

（三）威海地震台、强震台采用IP方式直接接入，荣成地震台（含测震、形变观测）、乳山地震台（含测震、电磁观测）、通过E1专线接入，文登地震台、鲁32井观测站通过CDMA无线网络接入；系统也提供了城域网以及拨号等方式，实现与台站及区县地震部门的连接。目前，在市局台网中心，能随时监测所有台站的运行状况，明显提高了工作效率。

（四）与省局数据中心互连的两条链路之间采用OSPF技术选择通道，OSPF技术即动态路由技术。其中和省地震之间的E1连路是消耗最低的链路，为主链路，在主链路出现问题的情况下，系统会自动选择政府网实现和省局的连接。

网络规划

为了提高各节点办公效率以及充分满足整体协同的要求，信息网络系统各节点之间的关系既要资源共享，又应保证各自的内部信息不能受其他合作方的影响，所以必须在整体网络内部建立安全访问和权限管理机制，并采取必要的措施防止外界恶意攻击。将一个大的网络划分为小的子网，可以缩小广播域，防止广播风暴，将广播信息限制在必须广播的范围内，从而过滤掉不必要的广播信息。另外，仅仅采用内部安全访问和权限管理机制等这类基于主机系统而不是基于网络系统的访问控制功能，并不能解决所有的问题，而本系统采用了基于网络系统的访问控制，较好实现了对节点或不同网段的控制。

子网划分的工作由三层交换机来完成，子网之间的通信通过路由寻址。系统采用虚拟网络（Virtual LANs或VLANs）技术，允许网络管理人员使用相应的虚拟网络软件设计、修改和管理网络而无需改变网络的物理结构。我们在方案中提供的所有网络设备都支持跨交换机的VLAN划分协议——802.1Q，所以在整个网络系统的范围内，按需求划分了VLAN，摆脱了物理位置的束缚，实现对整个网络进行灵活、方便管理（数据网、政府网、互联网的具体规划此略）。

信息系统

服务器作为网络的核心驱动单元，是一种高技术、高性能、高价值的产品，鉴于地震行业对系统可靠性的突出要求，我们首先考虑具体应用，然后权衡可管理性、可扩展性、安全性、高性能以及模块化等主要性能指标，决定选用曙光天阔A620r-E系列服务器。该服务器具有高性能组件和可靠性，采用AMD Opteron双处理器、PCI-X和DDR内存，同时兼容32位，支持多组件热插拔和冗余功能，既可以运行已有的32位系统和应用软件，又能够平滑过渡到64位，是全球领先的高密度32/64位全兼容企业级服务器。在本工程中，我们使用了4台，2台用于网络服务，2台用于数据库服务，每台服务器都配置3块73G热插拔硬盘，磁盘系统做RAID 5，保证在任一块硬盘出现物理故障时，不影响系统运行，且数据不被破坏。

技术创新

（一）虚拟局域网技术（vlan）

虚拟网络（Virtual LANs或VLANs）允许网络管理人员使用相应的虚拟网络软件设计、修改和管理网络而无需改变网络的物理结构。一个虚拟网就是一个广播域，它不受路由器的限制。实现虚拟网后，网管人员无需改变网络物理结构，就可根据部门的性质和需求来建立和配置“虚拟网络”。

我们在方案中提供的所有网络设备都支持跨交换机的VLAN划分协议——802.1Q，所以在整个网络系统的范围内，按需求划分VLAN，摆脱物理位置的束缚，通过VLAN对整个网络进行灵活方便管理。局域网上网段的划分和隔离，是为了保证网络的可用性而必须进行的一项设置工作。它除了可以提供高的可用性以外，还可以在网络安全性方面带来一定的好处。把网络上相互间没有直接关系的系统分布在不同的网段，可降低各系统被正面攻击的机会。

（二）VPN技术

利用虚拟专用网的隧道技术、认证技术和加密技术，能够在一种不可信、不安全的网络（例如Internet）上的两个单独实体之间建立一条安全的、私有的专用信道。VPN的核心技术是由IETF（Internet Engineering Task Force）制定的IKE协议(Internet Key Exchange 因特网密钥交换协议)和IPSEC协议。IKE用来建立一个安全联合（SA），并获得IPSEC协议所需的经过认证的密钥信息。

IPSEC协议是为TCP/IP通讯安全性的扩展提供了一种标准的、安全的通信方式。本系统使用了GRE+IPSEC这种方式，GRE+IPSEC是在GRE（Generic Routing Encapsulation 通用路由封装）通道上进行加密，其首先通过GRE激活IPSEC，继而实现在GRE通道上进行加密后传输。VPN只需在需要建立安全隧道的两个节点上安装并运行VPN系统，即可实现安全的数据通信。本工程中利用VPN技术，将政府专网作为了省、市地震部门数据交互通道的备用链路，既保障了通信，又没有增加其他网络资源，值得推广。下图是VPN的网络拓扑图：

（三）语音的sip通信协议技术

在本项目中采用SIP技术实现了VOIP功能（Voice over Internet Protocol 互联网协议语音技术），和省局之间通讯没有费用。SIP（Session Initiation Protocol，会话发起协议）是由IETF（Internet工程任务组）提出的IP电话信令协议，它基于SIP协议标准，整合了传统的语音及增值服务，并提供最新的即时通信服务以及IP网络上的视频服务，可以为其他更多的增值应用服务商提供一个标准的具有高扩展性的平台。本系统完全采用因特网分布式的体系结构，具有高度的灵活性、可扩展性以及大型电信服务所必备的高可靠性和容错性，并可支持百万级及千万级的用户量。SIP用于发起会话，能控制多个参与者参加的多媒体会话的建立和终结，并能动态调整和修改会话属性，如会话带宽要求、传输的媒体类型（语音、视频和数据等）、媒体的编解码格式、对组播和单播的支持等。

通过这一方式，我局实现了与省局的语音通信，视频联络也即将实现，大大节约了办公成本。

（四）独具特色的DVPN功能

通过港湾产品的DVPN技术（Dynamic Virtual Private Network 动态VPN），支持ADSL/VDSL/ISDN/PSTN等拨号接入方式下的VPN动态建立。这些拨号接入方式由于IP地址不固定（都是从服务提供商网络动态获取IP地址），在建立VPN网络时遇到了难以克服的困难。港湾Net Hammer系列路由器支持隧道一端的地址协商，中心路由器可通过共享的key值，智能判断出分支路由器，完成VPN隧道的建立，为各个县市地震局和流动地震监测台站提供提供灵活多样的接入方式。

主要任务

本平台系统充分考虑了地震行业的特点，设计严谨、科学、优化，最大限度地发挥现有的网络资源，安全、可靠地利用数据专网及政府专网，实现与省地震局、各市县地震部门及各专业台站间的信息传输，有效保证了地震数据信息的实时联通。该平台系统总体水平在国内同行业同级别中处于领先地位，被山东省科技厅鉴定为科技成果，并获得威海市科学技术二等奖，值得行业内其他单位借鉴。