气象系统三级网络优化升级项目

气象系统各级管理机构实行上级气象主管机构与AA人民政府双重领导，以上级气象主管机构领导为主的管理体制，在上级气象主管机构和人民政府领导下，根据授权承担行政区内气象工作的行政管理职能，依法履行气象主管机构的各项职责。

随着社会信息化的全面展开，气象信息将为社会进步、防灾减灾、经济建设和人民生活服务发挥积极作用，这样就需要气象系统的具有完备的信息发布平台，而网络基础平台将为信息发布平台提供高速、稳定、可靠的基础网络架构，根据河北省气象局传达的精神，结合AA气象局实际情况，将建设一个适合沧州气象系统网络基础平台，为后续AA气象系统的信息化发展提供一个完整的网络平台。

一、需求分析

气象信息是国家的重要资源气象服务的产品主要是信息产品。当前,气象信息已经成为经济建设和社会发展的基本要素之一,是与物质和能量并重的重要资源。气象信息是对天气、气候和气候变化的监测、收集、分析、整理和综合,是对天气、气候、气候变化过程的如实描述,是一种具有新颖性科技内容的信息。

气象信息的信息化是一个必然的趋势，人民群众对于气象信息的关注度越来越高，所以河北省气象局对于气象系统的网络建设提供更高的要求，将进一步完善气象系统的网络架构，保证网络不再是气象信息和内部事务的传输瓶颈，此次网络优化升级为互相信息发布平台提供一个强有力基础。

气象局领导将此次网络优化升级作为全市今年气象系统的重点任务，通过此次网络优化升级将气象系统整体网络架构提高到一个新的高度，保证整个沧州气象系统的能够有一个高速、稳定、现代化的网路平台，保证未来五年不落后。

二、网络整体方案设计

完整的气象系统网络主要包括核心交换机、接入层、应用服务器区域、互联网外联、县区网络和省互联等，此次重点关注市气象局的核心网络区域，每一部分详细设计及功能将下面具体阐核心局域网设计。

核心交换机是整个气象信息和业务交换中心，负责各个（市数据中心、县区业务宗新）网络的数据交换，其在网络中起到核心枢纽的作用，此次采用网络虚拟化技术，将两台核心交换机虚拟化为一台设备，将核心交换机的性能翻倍，同时各个接入交换机通过SFP端口双上行链路与核心交换机相连，实现链路的负载分担。

业务区域安全的安全，将市气象局整个网络划分为几个功能区，主要包括：核心业务区、普通业务区域、行业业务区域、办公区域、互联网区域、网络管理区域等，通过在核心交换机上配置两块防火墙板卡，通过核心交换机做业务引流的方式，将核心业务区域、普通业务区域、行业业务区域的网络流量先引入到核心交换机的防火墙安全板卡，保证业务安全后再通过核心交换机进行转发，这样不仅可以保证业务区域的安全，同时还能避免防火墙出现单点故障影响到整个业务系统的运行。

接入区域采用全千兆的接入交换机，实现双链路上行、下行千兆到桌面的方式，保证用户的整体带宽，同时局域网内的安全通过核心交换机的防火墙板卡，保证局域网的安全。

三、方案优势

气象系统网络优化升级设计方案通过划分安全域的方式，，建立一套立体的安全防护体系，具有以下特点：

数据中心是IT的核心资产，安全的要求在不断提高，在传统的数据中心网络安全部署时，往往是网络与安全各自为战，在网络边界或关键节点串接安全设备(如FW、IPS、LB等)。随着数据中心部署的安全设备的种类和数量也越来越多，这将导致数据中心机房布线、空间、能耗、运维管理等成本越来越高。H3C数据中心网络安全融合产品方案（SecBlade）可以很好的解决上述问题，SecBlade安全插卡（FW、IPS、LB、SSLVPN等）可直接插在H3C交换机的业务槽位，通过交换机背板互连实现流量转发，共用交换机电源、风扇等基础部件。达到简化机房布线、节省机架空间、简化管理的目的。

1、互连带宽高。SecBlade系列安全插卡采用背板总线与交换机进行互连，背板总线带宽一般可超过40Gbps，相比传统的独立安全设备采用普通千兆以太网接口进行互连，在互连带宽上有了很大的提升，而且无需增加布线、光纤和光模块成本。

2、减少单点故障。由于SecBlade安全插卡采用背板与交换机互连，所以互连线路可靠性高，不会存在互连线路故障点。此外，交换机的背板具备健康检测机制，在透明模式部署的安全插卡（如IPS、ACG）上可根据业务要求配置“二层回退”功能，当检测到SecBlade插卡出现故障时，交换机可直接对原来经过SecBlade安全插卡的流量进行旁路，使业务流不中断，避免设备级的单点故障。

3、业务接口灵活。SecBlade系列安全插卡上不对外提供业务接口（仅提供配置管理接口），当交换机上插有SecBlade安全插卡时，交换机上原有的所有业务接口均可配置为安全业务接口。此时再也无需担心安全业务接口不够而带来网络安全部署的局限性。

4、性能平滑扩展。当一台交换机上的一块SecBlade安全插卡的性能不够时，可以再插入一块或多块SecBlade插卡实现性能的平滑叠加。而且所有SecBlade插卡均支持热插拔，在进行扩展时无需停机中断现有的业务。

网络安全融合组网部署:

在实际的数据中心组网部署时，通过在汇聚接入交换机上部署FW、LB插卡，可以让原本数据中心复杂分层的“蝶形”组网拓扑(如下图左侧所示)大大简化。同时启用虚拟防火墙的功能，将一块SecBladeFW插卡划分为多个实例分配到不同的服务器区实现安全访问控制，达到网络拓扑扁平化、减少物理布线连接、便于运维管理的目的，而最终实现的逻辑功能与左侧完全一致。

网络虚拟化:

IRF2是H3C网络虚拟化技术，从对提升网络整体效率的角度，起到了一种横向整合的作用，即在不改变网络物理拓扑连接结构条件下，将网络同一层的多台设备横向整合，从逻辑上简化了网络架构。由于整合后的IRF2系统具备跨设备链路聚合功能，因此，不同网络层之间的电缆互联也可通过逻辑整合，多条链路被捆绑成一条聚合的逻辑链路。

IRF2网络架构与传统的网络设计相比，提供了多项显著优势：

1）运营管理简化。IRF2全局网络虚拟化能够提高运营效率，虚拟化的每一层交换机组被逻辑化为单管理点，包括配置文件和单一网关IP地址，无需VRRP。

2）整体无环设计。跨设备的链路聚合创建了简单的无环路拓扑结构，不再依靠生成树协议（STP）。虚拟交换组内部经由多个万兆互联，在总体设计方面提供了灵活的部署能力。

3）进一步提高可靠性。虚拟化能够优化不间断通信，在一个虚拟交换机成员链路故障时，不再需要进行L2/L3重收敛，能快速实现确定性虚拟交换机的恢复。