关于加快办公骨干网建设提高天津水利信息化水平

作者：杨晓云 范晓娟 董智凭 论文摘要：介绍了天津水利办公广域网的建设情况，重点阐述了相关路由协议配置以及安全防范措施。通过天津水利办公广域网的建设，下属单位与局机关实现了稳定、快速的网上办公、信息传递，并同时满足了未来网络数据、语音和视频等信息业务发展的需求。 论文关键词：水利广域网 信息化 天津市水利局是天津市水利行政主管部门，承担着防汛抗旱、农田水利建设、水资源综合开发利用和引滦供水等重要任务。经过多年的建设，天津水利内部办公网络已经初步形成，局机关实现了网上公文运转、档案管理及信息发布等功能，全水利系统实现了网上公文、信息传递。随着网上信息量的不断增加、网络依赖性的提高，原有帧中继和电话拨号的联网方式，在网络带宽和网络稳定性方面已经不能满足全局办公自动化的需要，由于局机关是水利部门的指挥中枢，各种水利相关信息要快速、可靠地向局中心网络传输，天津水利办公广域网正是适应这种新形势的需求而建设的。 1建设前接入内部网络情况 天津水利内部办公网络建设完成后，局机关办公自动化系统全面应用，局下属单位分别以帧中继和电话拨号方式与局中心计算机网络连接，但中心端速率只有1M，随着水利信息化建设的不断发展，对水利信息资源的应用逐步深入，需要传输各种大量的水利数据、视频等信息，对于网络的依赖性越来越强，以光纤接入替代原来的电话线接入，提高整个网络的带宽和接入响应方式已迫在眉睫。并且随着天津水利办公广域网的逐渐扩大，网络节点的增加，原有的静态路由方式广域网也已经不能适应新的网络结构要求，见图1。 2天津水利办公广域网建设后整体网络结构 局属单位水科所等22家单位新增为2M光纤方式接入，实现与局网络中心的宽带互联。改造后水利局的核心网络以原有的防火墙作为水利局内部网络与其他各机构网络中间的隔离。网络内只允许用户端能够访问到水利局内部网络的相关服务器网站所对应的端口。 新增加网络内核心的接入路由器，起主路由发布作用，并在其上新建1块CPOS光口卡，此光口卡连接到网通的SDH节点设备上，带宽为155M，此通道可以划分为63个2M，最多为63个分支机构提供2M的接入通道。 原有的路由器作为原有网络核心接入设备，现在作为于桥水库备用路由发布设备。 引滦入津沿线7个管理处使用引滦入津工程管理信息系统建设的光纤网络，采用统一门户，通过引滦工程管理处至水利局的光纤通道，实现引滦工程信息网与局网络中心的网络互联。 3相关技术实现手段 3．1选用OSPF路由协议 天津水利办公广域网肩负着OA文件系统传输和实时水雨情信息的传输以及各种大量的水利数据、视频等其他信息传输的网络重任，要求网络必须可靠稳定。 整个网络必须具有多路由选择、路由迂回、路由备份的能力，以防止因单路由的损坏而造成全网或非损坏节点的中断。同时，网络禁止出现路由循环或路由不被利用的情况。并对有多条电路连接的情况，尽可能地做到各条电路上的流量和负载均衡，保证带宽的合理和充分利用。 天津水利办公广域网网络覆盖面广，经过的路由复杂节点多。以局网络中心机房为中心，连接局机关及局所属企、事业单位和区县水务(利)局等单位的网络，实现全水利系统计算机网络的互联互通，为水利信息化提供硬件基础，见图2。

3．2安全防范措施 在天津水利办公网络系统中，要确保网络设备的安全，保证非授权用户不能访问路由器、交换机或防火墙等关键网络设备。主要采用了以下措施： 3．2．1对网络设备的控制台访问和远程访问都必须在严格的管理和控制之下，提供强认证机制，保证用户口令不在网络中明码传输，并定期更换口令。配置认证服务器，对网络设备的访问进行统一的认证、授权、审计(AAA)。 3．2．2通过对设备的配置，使得只能由某个指定JP地址的网管工作站才能进行网络管理，对路由器或网络设备进行读写操作。 3．3．3根据全网的安全访问控制策略，配置防火墙的过滤规则；访问控制的原则为必须是缺省禁止，即凡是没有被明令允许的访问一律禁止。 3．3．4关闭路由器的源路由功能，以防止通过假冒lP地址和源路由技术侵入内部网；在路由器或交换机上配置静态ARP，以防止假冒lP地址的主机接入内部网。 3．3．5由于拨号网络使用公用的电话交换网，在网络上传输的机密信息存在被窃听、篡改等威胁。针对以上威胁，必须保障用户口令不在网络上以明码形式传输。 3．3．6水利专业网络作为业务系统的内部网络，从路由概念上讲不与公用网络直接互连。 4结语 通过天津水利办公广域网的建设，下属单位与局机关实现了稳定、快速的网上办公、信息传递。并同时满足了未来网络数据、语音和视频等信息业务发展的需求。不仅为今后全局网络系统基础平台建设工作奠定了坚实的基础，而且为实现全局范围内的信息资源共享提供了良好的网络基础环境。