山东省出入境检验检疫局(以下简称山东局)是国家质量监督检验检疫总局设在山东的直属机构,是负责山东地区出入境卫生检疫、动植物检疫和进出口商品检验、鉴定、认证和监督治理的行政执法机关。山东局及下辖的22个分支局、11个办事处都已组建了局域网络,同时建成了业务应用系统、办公自动化系统(OA)及信息服务系统、网络电话(VoIP)及视频会议系统、统计查询、决策支持系统等。
广域网络设计原则
广域网络平台的建设是信息化建设的重要基础设施,必须从网络信息体系建设的全局考虑,山东局广域网络的建设本着以下几个原则:
1.先进性和实用性
采取先进并且成熟的技术和产品,并考虑到了扩充性,使之在一定时期内保持较先进的水平。
2.可靠性
网络的要害设备采用冗余备份设计,避免单点故障;通信线路采用备份线路,保证网络长期运行可靠。
3.安全性
通过各种网络安全产品和网络安全策略防止黑客入侵,保护安全等级较高的网络资源,保证广域网络中数据传输过程的完整性和保密性。对广域网络中的工作站、应用服务器、邮件服务器等进行实时监控和病毒查杀。
4.开放性与标准化
系统采用的网络设备的硬件平台、软件平台、网络协议等符合开放系统的标准。
5.易于治理和维护
网络系统的所有设备都应是可治理的,应支持远程监控及故障过程诊断和恢复。通过网络治理工具,可以方便地监控网络运行情况,对出现的问题及时解决。
广域网络通信平台
山东局广域网络分为两个网络层次:省局与分支局之间的网络连接和分支局与办事处之间的网络连接。整个系统采用以省局为“根节点”、分支局为“二级节点”、办事处为“叶节点”的树状网络结构。采用了电信与广电提供的混合线路作为广域网络通信平台。
省局以155Mbps的速率光纤接入ATM网,省内其他地市的分支局以N×128Kbps的速率接入性能价格比较高的帧中继(FR),形成以省局为中心,以点对点的PVC方式,辐射到各分支局的网络通信平台。同时,选用的DCE设备支持V.35标准,可支持64Kbps至2Mbps线路带宽的平滑升级,满足随着日后业务量增加所带来的网络扩展和升级的需要。
省局以100Mbps接入广电ATM宽带综合业务网,市内分支局通过10Mbps接入广电ATM,省局分别与分支局通过一条10Mbps ATM PVC通道进行数据传输,建立山东局ATM城域网。
ISDN作为办事处与分支局的通信线路,同时又作为分支局与省局通信线路的备份。
该系统主干路由器是一台Cisco路由器,它采用NPE-300处理模块,其包转发速率可达100Kbps。采用一台Cisco 3640路由器作为主干路由器的备份。1个光纤单模端口(OC3)接电信的155Mbps ATM,1个快速以太网口(FE)接广电100Mbps ATM,1个FE端口接内部网络(山东局与青岛局通过交换机VLAN相连)。8个ISDN端口(8B S/T)作为省局与分支局通信主干线路的备份线路,当线路发生故障时,立即启动拨号备份,以避免网络通信中断。
主干交换机采用Nortel Accelar 1200和1100三层交换机,根据不同的业务(如综合业务治理系统、办公自动化、人事治理、财务治理系统等),做成MultilinkTrunk,并划分多个VLAN。这样,阻止了广播风暴,保证各种业务系统高效、安全的运行。主干路由器的FE口、备份路由器的FE口、服务器等直接连到交换机的100M端口。楼层交换机采用Nortel 450T三层交换机,通过多模光纤上连到Nortel Accelar 1200光纤端口。其他10/100M端口直接连到桌面的PC机。
交换机采用24口Nortel 350T/450T三层交换机,一个100M端口连到路由器的FE口,其他的10/100M端口连接服务器等设备和PC机,根据运行不同的业务,划分VLAN。支持SNMP、RMON等网管协议,可以被省局网管中心进行治理和控制。
办事处分别配置一台Cisco 801路由器,1个局域网口(1E)接内部局域网络,1个ISDN接口,通过ISDN网络与上级分支局相连。交换机采用24口Nortel 310T交换机,一个10M/100M端口连到路由器的E口,其他的10/100M端口连接服务器等设备和PC机。
网络电话(VoIP)实施
VoIP(Voice over IP)是指将语音信号进行编码、压缩、分包等处理,通过IP网络(而非传统的电话网)进行传输,然后在接收端还原出话音的一种语音传输方式。按照使用方法的不同,IP电话通常可以分为“PC到PC"型、“PC到电话"型和“电话到电话"型3类。山东局的VoIP采用的是“电话到电话"型,主叫方用电话机拨号到本地或者较近的语音网关,该语音网关与离被叫方较近的语音网关通过检验检疫广域网络进行通信,并且被叫方的语音网关通过电话网向被叫电话机拨号,完成通话过程。山东局VoIP网络,是在检验检疫广域网络(即IP网络)基础上,由网关(Gateway)、关守(Gatekeeper)、电话交换机(PBX)、PBX支持系统(E1、E&M等语音模块)、语音治理计费软件、普通音频电话机等几部分构成。
组建VoIP网络,考虑的问题包括网络中的交换机和路由设备能否有效地支持语音传输、能支持多大的语音流量、多少个语音通道、是否支持QoS以及对其他业务的影响。
省局Cisco 7206中心路由器通过专线与各分支局的Cisco 3640/2610路由器相连。中心路由器通过快速以太网交换机与Cisco AS5300相连。Cisco AS5300充当VoIP语音网关,它可以提供2个E1数字接口(60路电话)与省局的PBX相连。各分支机构配置Cisco 3640/2610,其以太网口与分支机构的局域网相连,WIC槽上配置WIC1T同步口与省局的中心路由器通过专线相连,其语音接口与本地的PBX相连。
该系统配置一台带有2个E1模块插板的AS5300语音网关,2个E1接口通过75欧姆同轴线缆与省局程控电话交换机上的2个E1接口板相连,提供60路话音。Cisco AS5300通过以太网接口连接Cisco 7206 VXR骨干路由器,对来自/发至省局的语音,进行语音包信号转换和处理。实现分支局与省局语音通话。
在分支局路由器上分别配置NM2V插槽和VIC2E&M语音/传真卡,通过路由器上的E&M接口与分支局的电话交换机上的E&M接口板相连,提供4路或8路模拟话音。计费软件基于Cisco路由器上的有关语音数据包传输量的历史记录,通过对相关信息采集、加工、处理等技术得出VoIP使用的具体记录,包括主叫方、被叫方、开始时间、结束时间、话费等清单。
网络安全
网络安全是信息系统整体安全的重要组成部分,主要解决网络互连时网络通信层的安全问题。
该系统采用趋势(Trend)公司的病毒防范系统,满足广域网络的全面防范病毒、集中治理的需要。网管中心配置病毒控制系统TVCS,从Internet集中下载病毒码和扫描引擎、定时向广域网络分支局的Server for Protect、Officescan分发、更新和升级。在省局中,病毒控制中心通过浏览器对广域网络中的应用服务器、邮件服务器、客户机进行全方位的病毒扫描、监控和清除。
该系统采用Cisco的PIX防火墙,将交换机的VLAN技术组成的内部网络与国家局主干网络和分支局组成的支干网络隔离。设置防火墙相应的安全策略,保证内部网络中心重要数据不被非法窃取、篡改和泄漏。采用Cisco的安全漏洞扫描系统NetSonar,对Web服务器、防火墙、路由器、交换机和工作站进行定期和不定期扫描监测,测量广域网络安全性,提供系统最新的安全漏洞报告,使网络治理员及时采取相应的措施,消除网络安全隐患。系统还采用Cisco的实时入侵检测系统NetRanger,对合法流量、网络使用状况进行实时入侵检测,记录、识别来自低信任等级网络中的非法入侵和黑客攻击,及时发出警告并采取相应措施;采用Cisco的访问控制系统CiscoSecure ACS V.2.4 for Windows NT,设置访问控制列表,对通过ISDN拨号登录到路由器的用户进行认证和访问权限控制,防止非法用户入侵。
目前在山东检验检疫广域网络上可以进行电子报检、电子签证、电子转单、业务统计数据上报和汇总、办公自动化、信息发布等业务,其数据处理速度达到了实时性的要求;拨打网络电话效果语音清楚,感觉不到延迟和抖动,话音质量与普通电话相仿。网管可以治理到广域网络上所有的路由器、交换机等网络设备,可以及时对网络出现的故障进行诊断和排错,同时可以方便地优化网络资源。