陳大鵬 (安徽省陳村水電站)
1.概況
陳村水電站是一座梯級電站,一級陳村站裝機容量為3×50MW,二級紀村站裝機容量為2×17MW。陳村電站現已形成了涇縣生活基地、紀村辦公基地和陳村生產基地的格局。紀村與涇縣相距6公里,紀村與陳村相距50公里。
陳村電站目前有一套400門程控電話,通過光纜聯結紀村與基地通訊,陳村采用100門程控總機及10對音頻電纜,完成陳村廠房、辦公大樓、萬上變電所之間的通信聯系。電站于1998年完成了《陳村水電站管理信息系統總體方案》設計,并通過驗收,99年完成了網絡施工、調試工作,并進入試運行階段。
2.網絡設計原則
2.1 先進性。
除了準確地體現陳村水電站的管理思想和模式,還考慮了滿足全省水電系統發展的共性要求。為此在網絡設計時充分考慮了符合最新國際標準、工業標準、待業標準,開放性,高性能、易管理等因素。
2.2 實用性。
符合安徽省水電管理的業務需求。在需求調查時,我們立足于陳村電站,放眼于全省水電行業。在人機界面、功能設置方面以實用為主。
2.3 可靠性。
在硬件選型、網絡設計和支撐環境的建設中就考慮這一問題,應用了容錯技術、備份鏈路措施、服務器采用磁盤陳列技術等手段。
2.4 經濟性。
在一定的資金資源下,盡量有效地利用,以適當的投入,建立一個盡可能高水平的、完善的計算機管理信息系統。而不是盲目追求先進性。
2.5 可變性、擴展性。
整個支撐平臺采用了開放的結構,符合國際標準、行業標準的設計。網絡用高速主干技術、智能化網絡管理、虛擬網等技術,能靈活調整,適應業務發展和變化。
3.網絡設備的考慮
3.1 局域網技術的考慮
FDDI是一種成熟可靠的技術,采用分時令牌協議控制網絡訪問,網絡時延確定,適宜對時延敏感的數據傳輸,適用網絡主干。但是成本高,特別是與以太網的橋接代價難以下降。
ATM是一種面向連接的網絡技術。它的報文大小為固定長度的信元,可保證傳輸過程的低延遲能力。另外,在ATM的通訊架構中,建置了服務質量功能。ATM的缺點是規格及標準的制定困難。
1EEE802.3類快速以太網適用于以數據為主的應用環境中,并可搭配一些頻寬管理的特性,也可使用部分的多媒體。它可以解決服務器的瓶頸問題,與交換技術的結合,適用作網絡主干。另外它的性能價格比高。
綜合考慮陳村電站實際情況和上述各種技術方案優缺點后,在紀村和陳村局域網中采用二級交換結構,以100M光纖為網絡主干,紀村以10/100Mbps·Switch·Etherent到桌面,陳村以10 Mbps·Switch·Etherent到桌面。另外,陳村和紀村之間通過自建微波鏈路作為主通信鏈路,采用訪問路由器實現網絡互連;遠程用戶對水電站內部網絡的訪問,采用電話撥號方式,通過訪問服務器連接入網。
3.2 服務器和路由器的選擇
紀村局域網主機采用小型機作為數據服務器,型號為DS-20。PC服務器作為文件服務器,設一臺主交換機和四臺節點交換機,機房放在紀村辦公大樓;陳村局域網主機用PC服務器,設一臺主交換機和二臺節點交換機,機房放在陳村載波樓。PC服務器型號為HP LH3 400。紀村主交換機型號為BAY STACK 1100R。在紀村和陳村之間采用了3COM RS1500路由器。拓撲圖見圖一.
4.網絡安全的考慮
4.1 網絡級安全控制
陳村水電站MIS網絡內部應用系統的構成較為復雜。一方面,有整個機關公用的系統,如機關公文系統、電子郵件系統、公共住處查詢系統等,要求網絡上的每臺計算機均可訪問這些應用系統;另一方面,有各業務部門的業務系統,它們自成體系,通常不允許本業務部門外的其它用戶訪問。根據這種情況,首先根據部門分布將網絡從物理上劃分成若干獨立的網段,控制部門間的訪問;另外對公用系統的訪問和物理劃分有難度的網段,利用網絡系統提供的虛擬局域網絡進行網段及資源的邏輯劃分,同時利用網絡交換機提供的包過濾功能,限制不同業務部門間的信息傳遞和訪問。
4.2 系統級安全控制
4.2.1 Widnous NT安全策略
域用戶管理,使得安全控制已經不僅限制在上下級的訪問關系,而是縱橫發展的安全控制;服務器鏡象和磁盤鏡象保證了數據安全;NTFS特有的安全控制可以控制服務器上的所有資源的控制,從文件到包括Internet的各種服務,都可以在用戶級上控制使用權限。
4.2.2 Proxy安全策略
它和NT的安全策略相結合,可實現:防止沒有授權的用戶連到你的私人網絡上來,保證你的數據安全;與NT的用戶驗證緊密結合,使管理員能夠設置何人使用INTERNET以及使用哪些服務;通過IP地址或域來阻止對限制的場點的訪問。
4.2.3 IIS安全策略
IIS作為WEB服務器程序,提供了基于NT操作系統的安全策略,主要有:Internet Information Server安全機制的工作方式;控制匿名訪問;設置文件夾和文件權限;設置WWW目錄訪問權;通過IP地址控制訪問權;運行其它網絡服務;用安全套按字(SSL)保護數據傳輸。
4.3 網絡防病毒策略
防病毒軟件從功能上可以分網絡版防病毒軟件和單機版防病毒軟件。單機版病毒軟件主要側重于對本地和遠程資源以靜態分析掃描的方式檢測、清除病毒。網絡防病毒軟件的一個重要特性就是“實時性”,一旦病毒侵入系統或者從系統向其它資源感染,網絡防病毒軟件會立刻檢測到并加以清除。
對陳村MIS網絡系統,采取了網絡、單機相結合的方式來避免病毒的危害。一方面,利用網絡防病毒軟件保護服務器,同時實現對網絡病毒的監控、報警和實時清除;另一方面定期使用單機版防病毒軟件對工作站進行掃描、殺毒,以清除病毒隱患。
陳村水電站MIS網絡中采用了兩級防火墻體系。第一級防火墻通過設置路由器表,由路由器實現基于包過濾的網絡級防火墻;第二級防火墻由應用層防火墻軟件實現。在內部網和外部網之間設置一個高性能的應用防火墻,它是防火墻軟件和一臺高速工作站的結合體,它工作在應用層,可杜絕通過底層協議、欺騙手段來攻擊內部網絡的非法用戶。
