协同决策系统的网络设计与实现

开篇：润墨网以专业的文秘视角，为您筛选了一篇协同决策系统的网络设计与实现范文，如需获取更多写作素材，在线客服老师一对一协助。欢迎您的阅读与分享！

摘要本文从协同放行系统的组网需求出发，通过划分VLAN来规范各终端接入，并通过单臂路由配置，在路由器的一个端口配置不同的子接口，根据ACL实现VLAN之间有条件互访，隔离广播风暴。

【关键词】VLAN 静态路由 访问控制

随着民航运输总周转量的快速增长，航班飞行流量日益密集，空管系统通过引进新的技术――协同决策系统，它是基于先进的空中交通管理理念――协同决策制定CDM（Collaborative Decision Making），建立能够采集、整合和共享机场终端运行系统中各单位的运行和业务信息的协同决策系统。使空管、机场公司和航空公司之间的信息交换、处理、共享、反馈快速及时，有效的整合信息资源并协同决策，提高了整体运行保障能力。

1 分析与拓扑结构

1.1 网络需求分析

机场终端运行系统中各单位通过协同决策系统进行相互协调和配合，是整个协同决策的核心；因此协同决策系统的终端部署，就放在了空管、航空公司、机场等分散各地的保障部门；而然协同决策系统的服务器还需要全国各地系统互联，获取各地流量等信息为本地的协同决策提供依据；所以系统的网络组建涉及多地、多网段互联，由此需要建立一种安全、健壮的网络结构来保障协同决策系统的运行。

1.2 系统拓扑结构设计

作为基于B/S结构的决策系统，各终端无差别的，但是由于各终端部署于不同的地点；其次服务器还要接入其他空管内部网络，所以为保障安全和便于管理，我们将网络分为内部网络设计与外部网络设计，最后使两部分网络通过路由器联接，并通过配置访问控制列表来控制外部对内部的访问。

1.2.1 外部网络设计

各运行保障部门处于不同的地理位置，所以首先提供一个外部接入交换机，汇聚所有部门的链接，再统一接入决策系统。虽然决策系统应用于十几个部门，但是每个部门部署的终端最多不会超过十台，所以我们就使用可变长子网掩码（VLSM）来划分不同的部门之间的IP；然而典型情况下，二层交换式网络被设计为平面网络，所发送的每个广播包都被网络上的所有设备接收，而不管这些设备是否需要接收；所以随着日后主机的加入，用户和设备数量增加，交换机必须处理的广播和数据包就越多，为了避免这个问题我们使用虚拟局域网（VLAN）来进一步划分网络。由此划分出来的网段就为：VLAN100 193.168.0.0/28等。

1.2.2 内部网络设计

同样将客户端使用192.168.0.0/25网段划为VLAN 400，内部服务器192.168.0.128/25网段作为地址划为 VLAN 500。

接下来由于服务器需要与成都服务器、其他系统服务器互联、划分了VLAN以及需要配置访问控制列表等原因要使用三层的路由器来连接，并配置相应子接口。

2 网络配置

2.1 交换机VLAN 配置

首先配置SWITCH A，以VLAN100为例，先创建VLAN100，并使用port access vlan 100命令将其端口配置为access端口，再使用port link-type trunk命令将与路由器相连的端口配置为trunk端口，并配置port trunk permit vlan 100 200 300 400 500允许相应VLAN通过。随后再配置SWITCH B，实现了VLAN的划分。

2.2 路由器配置

由于VLAN划分个VLAN之间无法通信，需要配置为子端口来实现三层的路由；还需要配置与其他系统路由器之间路由配置，最后配置访问控制列表实现网络通讯的安全。

2.2.1 静态路由

服务器需要接入了不同外地网段，使用静态路由最为简便和节省开销，配置两条静态路由：

ip route-static 172.17.160.0 255.255.255.0 172.17.160.254

ip route-static 175.17.160.0 255.255.255.0 175.17.160.254

2.2.2VLAN子端口及访问控制列表配置

通过配置路由器的子端口来实现各个VLAN之间的通信。以配置VLAN 100为例创建子接口Ethernet0/1.1，使用vlan-type dot1q vid 100封装子接口为802.1q并指定为VLAN100，再为该VLAN配置ip address 192.168.0.1 255.255.255.240网关地址。同理配置其余子接口，至此，各VLAN之间以实现通信，由于还要控制安全性，使得SwitchA的主机仅能访问服务器193.168.0.128/25网段，其他网段都不能访问，所以我们必须使用路由器防火墙功能在各子端口上进行访问控制列表的配置。以VLAN100为例配置访问控制列表，使用高级访问控制列表来设置规则：rule permit ip source193.168.0.0 0.0.0.15 destination 192.168.0.128 0.0.0.127，使其只允许访问193.168.0.128/25网段，使用firewall packet-filter 3001 inbound命令将其绑定到子接口Ethernet0/1.1，并对入方向上的报文进行过滤。

同理，配置其他子接口即可完成对Switch A的其他VLAN的访问控制。

3 结语

通过规划与设计使网络有效的控制了网络广播风暴、网络流量和网络访问安全等问题，不仅对网络的扩展管理便捷网络，也为今后的扩展留出了足够的空间，此处仅例举了一种使用二层交换机加路由器的方法，更多的方案可能根据实际的网络情况设计，如使用三层交换机等等，可根据具体情况再作分析与设计。

参考文献

[1]姜大庆吴强等.网络互联及路由器技术[M].北京:清华大学出版社,2008.

[2]石硕.交换机/路由器及其配置第2版[M].北京:电子工业出版社,2008.

作者单位

云南空管分局云南省昆明市655000