深圳海关通关业务网络改造设计方案

文章作者 100test 发表时间 2008:03:31 11:28:00
来源 100Test.Com百考试题网

根据海关总署的决定，深圳海关作为第一批通关业务改革试点海关之一，要实施新的通关业务流程。为此，我们确立了深圳海关通关业务改革的计算机网络改造的目标。这就是：要建立一个稳定、安全可靠、高速、兼容海关各种业务需求的计算机网络系统，保证我关通关业务改革的顺利进行。

　　一.网络线路的改造

　　根据深圳海关的实际情况，要建立高质量的计算机网络系统，首先必须对现有的网络主干线路进行改造。一个网络的稳定性、可靠性、速度等方面的性能，主要取决于主干线路。深圳海关目前是租用邮电DDN线路，通过近几年使用的情况来看，DDN线路已不能满足业务发展的需求，主要表现在稳定性方面，同时带宽问题也逐渐提到议事日程上来。例如3个陆路口岸，在DDN出现中断后，易造成口岸阻塞，严重影响了海关的形象，造成不好的社会影响。还有的二线海关DDN中断现象多到一个星期，有的甚至几个月。

　　为了彻底解决几个主要单位的通讯问题，我们经过多次论证，并经过实地勘察后认为，从计算中心到文锦渡海关、皇岗海关、沙头角海关、上步业务处、审单中心及总关办公楼等6个重要单位直接铺设光纤是可行的。铺设光纤的目的一方面是为了解决上述6个重点单位的网络通讯的稳定性；另一方面也是深圳海关业务发展的需要，如计算机数据量的倍增、闭路电视、程控交换机的联网、办公自动化、多媒体的应用、可视电话等，现有的DDN线路满足不了这些业务发展的需求。

　　从费用上看，以上步业务处和皇岗海关为例，目前上步业务处几个单位租用DDN的费用每年约21万元，3年的月租费用就有61万元，加上程控交换机连网后，节省的关内通话的话费每年约10万元，3年的费用就有30万元，而铺设一条12芯的多膜光纤的费用是70多万元；皇岗海关目前租用的DDN线路的费用每年约15万元，加上程控交换机联网后，节省的关内通话的话费每年约10万元，3年就可以节省费用75万元，而铺设一条24芯的光纤的费用是80多万元。很明显，铺设光纤很经济。铺设光纤还可以很好地解决现有网络存在的稳定性差、速度低等问题，无疑铺设光纤是一个最好的选择方案。因此，深圳海关通关业务改革的网络改造方案选用从计算中心铺设光纤到文锦渡海关、皇岗海关、沙头角海关、上步业务处、审单中心、总关办公楼等6个重要单位。

　　为了保证深圳海关3个口岸计算机网络的稳定性和速度，深圳口岸计算机查验网络为这3个口岸海关铺设了技术科到下面作业点的多膜光纤线路，较好地解决了这3个海关的网络通讯线路问题，同时也为我们铺设主干光纤创造了条件。

　　二.网络结构的改造

　　要建立一个可靠的计算机网络系统，除了对海关现有的网络主干线路进行改造外，还必须对现有网络结构进行改造。光纤线路的铺设对高带宽的媒体传输提供了物质基础。结合我关的实际情况，我们决定从计算中心到6个重点单位的骨干网络采用625Mbps的ATM。

　　我们选用ATM技术主要考虑到，ATM技术现在是一个比较成熟的技术，也有了MPOA标准，而且在传输多媒体应用上有它独有的优势；另一方面，在骨干网上选用ATM技术，可以提供比较其他交换技术更高的骨干带宽。因为如果选用以太交换技术构成骨干网络，由于生成树算法对网络的拓扑结构的自动管理，将会把两条并行的物理链路认为是逻辑环路，而将其中一条切断，仅仅保留一条链路作为有效通路，这就意味着无法实现多条链路的动态分流，这也就限制了骨干网上带宽的扩展。相比之下，选用ATM技术，PNNI的标准协议可以支持多条并行物理链路的动态分流，因此，我们可以通过增加并行物理链路而扩展骨干网的实用带宽。

　　从理论上说，ATM是惟一可以支持无限扩展带宽的骨干技术。由于网络的设计必须采用分级型的结构，即骨干层应具有比其下面接入层更高的带宽。考虑到各接入层交换机上采用100Mbps或155Mbps带宽连接各服务器，为了使多个接入层的100Mbps和155Mbps汇集到骨干层时不会产生瓶颈限制，骨干层必须采用更高带宽的ATM连接方式，即OC-12（ATM622）。从价格上看，由于骨干的线路不多，只有6条，不是大面积使用，所以费用也不是很高，而且ATM622在价格上比ATM155贵不了多少。以Xylan公司的产品为例，其ATM622模块仅比ATM155模块在价格上贵4000元左右。因此，我们在骨干网上选用ATM622。网络的结构如下图所示。

　　三.应用VLAN技术解决可管理问题

　　一个网络运行的好与不好，关键要看网络的管理；网络管理的好与不好，一方面要看网络本身的可管理性，另一方面才是看管理水平。网络的管理水平可以通过学习提高，但是，网络本身的可管理性就体现在网络设计时具体所选用的网络设备的可管理性。网络设备的可管理性往往体现在网络设备的功能上；深圳海关通关业务计算机网络在设计上主要是基于虚拟局域网（VLAN）技术来设计的，这是交换机的核心技术，也是我关应用的实际需要所必须的。

　　为了网络管理的可操作性和灵活性，即可管理性，深圳海关的主干网设备必须选用具有能按IP地址划分VLAN功能的交换机。如果选用只能按物理端口或MAC地址划分VLAN的交换机，那么，在任何一个地方，只要有新的节点增加，网络管理人员就必须做一次VLAN的配置。同样，只要有用户接入点改变，网络管理人员也必须做一次VLAN配置。而且，由于我关的用户多，微机和终端加起来有2000多台，如果按物理端口或MAC地址划分VLAN显然是不可行的。Xylan公司的交换机可以做到按物理端口、MAC地址、IP地址或IPX网络地址、网络协议、用户定义、广播组地址、非用户授权等方式划分VLAN，同时，当用户在网络系统内改变接入点时，Xylan交换机可以自动根据预先设定的VLAN原则，自动重建其原有的VLAN，时间仅为30秒，并保持属性不变。这两个功能为我们的网络管理提供了相当大的可操作性。

　　四.提高广域网的速度

　　提高骨干网络的速度在目前比较成熟的技术是交换技术，因此深圳海关的主干网络设备必须采用交换机，对于这一点大家已有共识。但是如何提高广域网的吞吐量？也就是说在相同带宽的DDN线路上如何提高数据的吞吐量？那就只有改变传统的路由方式，采用广域网的交换方式。

　　采用交换技术进行广域网连接与采用路由器进行广域网连接相比较，因为交换是工作在OSI的第二层，所以无须将数据包的第二层拆去，而可以根据数据链路层的信息直接进行交换；相比之下，采用路由器技术进行广域连接，需要对每一个数据包进行拆包处理，依据数据包中的网络层信息进行路由交换。因此，在广域网上采用交换技术可以减少装拆包的处理，从而大大提高数据信息在广域上的吞吐能力，减少数据包通过链路时的延迟时间。

　　事实上，我们就广域网交换方式与路由器做过实验，广域网交换传输文件的速度要比采用路由器传输文件的速度快1.5倍～2.5倍。现在深圳海关的沙湾海关与计算中心的传输方式采用了广域网的交换方式。具体做法是：采用两台Xylan交换机带广域网模块来改造原来的路由器连接，在相同的环境下，改造前与改造后我们做过了文件传输速度的比较，结果改造前文件传输速度为加压缩7.4Kbps左右，改造后文件传输的速度为13.5～18Kbps，改造后的文件传输速度是改造前的1.5倍～2.5倍。对于广域网交换的技术，我们目前了解到只有Xylan公司的产品才有。



　　五.网络的安全性与防火墙

　　一谈到网络的安全性问题，人们自然会联想到防火墙。目前，网络防火墙有3种方式，即代理服务器防火墙、路由器防火墙和交换机防火墙。在这3种方式中，代理服务器防火墙方式在速度上存在瓶颈，稳定性上受到服务器本身的稳定性的限制，因为服务器的稳定性远比不上网络设备（如路由器、交换机等）的稳定性；路由器防火墙方式只能管理到连到该路由器上的用户，但是对路由器以外的用户则无能为力；交换机防火墙方式可以管理到网络上所有的用户，而且在速度和稳定性上都是最佳的。

　　Xylan公司交换机的内嵌式防火墙采用的是目前占防火墙市场份额很大的CHECK point的防火墙。它不仅能控制海关内部网和外部网的信息互访，而且可以加强海关内部部门之间的安全互访。对于海关内部各部门对应着不同的VLAN定义，可以在内嵌的防火墙中定义基于VLAN进行管理的安全原则，这样就可以以VLAN为目标实施信息访问控制和监控。由于Xylan的VLAN定义有8种之多，所以内部的安全管理就已经不仅仅局限于在网段的控制，而且增加了定义安全原则的灵活性。例如，把基于非用户授权的功能与内嵌防火墙一起使用，那么可以做到用户想加入任何一个VLAN，都必须通过密码的确认才可以加入。密码可以是静态的，也可以是动态的。可以说，Xylan交换机为深圳海关的网络安全方面提供了一个很好的解决方案。

　　还有许多实际问题，如单个局域网口支持多个IP虚拟局域网、设备的兼容性、提高网络的速度等，通过使用Xylan公司的设备，都得到很好的解决。特别在虚拟局域网的划分方面，我们可以做到可以按物理端口、MAC地址划分，也可以按IP地址或其他网络协议、用户定义、广播组地址、非用户授权等方式划分，方便了网络管理。