徐州市交通运输综合行政执法支队
摘要:随着徐州市交通运输综合行政执法改革基本完成,徐州市交通执法系统原有网络体系存在着网络多样、带宽不足、覆盖不全、运维困难等问题,通过对徐州市交通执法支队现有网络整合优化,升级改造,以更好满足徐州市交通运输智慧执法工作需要。
1 项目背景
2021年8月,省交通执法局印发文件明确要求,“各基层执法机构要按照职责分工和技术要求加快推进VPN网络改造的实施工作,有序推进在用系统迁移。”2021年8月,徐州市交通运输综合行政执法支队挂牌成立。徐州市交通执法支队整合了原市运管处、市海事局等9家单位行政执法职责,统一承担全市交通运输系统行政执法工作。改革后,原市运管处、原市海事局的网络设备老旧,无法满足执法支队业务需求,因此,亟需对徐州市交通执法网络进行升级改造,以有力支撑徐州市交通综合执法业务要求。
2 现状分析
升级改造前,徐州市交通执法支队现有网络设备及架构现状如下:
2.1 基础设备方面
支队网络基础设施主要沿用原市运管处、原市海事局的资产,存在设备老旧、网络多样、带宽不足、覆盖不全、运维困难等问题。关键设备节点(核心出口路由器、核心交换机)缺乏冗余备份,一旦设备发生故障将导致整个内网瘫痪。
2.2 网络架构和业务访问方面
改革后,由于职能整合调整,原有人员、办公地点发生了很大变化,网络结构也随之发生变化。原有的市、县两级运管专网和海事专网不能很好的融合,导致网络结构分散、层级多。分散混乱的网络结构造成访问不同的业务系统,需要使用不同的网络路径。水上大队要通过市港航专网来访问业务;治超大队要通过市公路专网来访问业务。运政在线、联网联控平台、治超平台、车辆检测等系统使用执法内网访问;主动防控系统、货运源头治超系统、海江河港口系统使用外网访问。
2.3 带宽方面
支队到省局专线链路带宽在100M以内;支队与各县(市)区大队专线带宽在10M以内,业务高峰期经常出现带宽不足。同时,随着智慧执法建设深入推进,5G视频场景应用,更多的智能执法终端、外场视频将接入到执法专网中,高带宽需求迫在眉睫。
2.4 网络安全方面
支队使用的业务系统、执法记录仪已按照《信息安全技术网络安全等级保护测评要求》[GB/T 28448-2019] 进行三级测评。支队VPN 改造完成后,部分县(市、区)大队还未改完,仍需将执法专网接入纳入安全防护范围内。
2.5 网络维护及使用成本方面
目前,部分直属大队需要借用其他单位专网线路接入业务系统,存在维护边界不清晰,出现问题排查困难,需协调相关单位,维护效率低等问题。部分基层站所网络IP地址不能双向互通,只能站所访问支队及省执法局,省执法局不能访问站点,不能做到统一监管和维护。支队使用数字线路59条,专线较多,租赁成本较高,而“宽带+VPN”设备方式的维护成本较低。
3 改造方案
采用IPSEC VPN 技术,建立省局到市支队,市支队到各县(市、区)大队(单兵、执法车、智能终端)的三层架构。在基础网络架构上部署安全边界防护、业务系统防护。同时利用原有的交通专网做备份线路,和改造完成的执法VPN网络形成冗余链路。总体网络架构图如下:
以原海事专网为基础,将支队南办公区机房作为综合执法专网的中心机房。中心机房建立多条IPSEC VPN加密隧道,用于连接省局、12个办公场所、7个县级大队。支队上联VPN网关和省执法局VPN网关建立400M VPN加密隧道,12个支队办公场所分别和支队下联VPN网关建立100M VPN加密隧道,7个县级大队分别和支队下联VPN网关建立150M VPN 加密隧道。通过整合优化路由协议手段实现横向网、VPN执法专网互为冗余备份;当主线路故障时可自动切换到备用线路,从而提高支队、大队使用VPN执法专网的可靠性,而且可以根据不同业务进行分流。在支队部署SSL VPN ,满足支队移动办公人员、西办公区办公人员访问内网的需求。改造完成后网络整体拓扑图(包括网络安全)如下:
图 2升级改造完成后网络整体架构图
支队到省局有两条运营商专线链路,一条是原海事专网链路,一条是横向接入交通专网的备份链路。本次改造将原海事专网专线停掉,新建一条400M的VPN链路,直连省局,此链路作为支队、县级大队访问部、省级业务的主要链路,同时作为视频类、高带宽类业务的备用链路。利旧原市海事局到市交通运输局的电信专线链路作为支队、县级大队访问省、部级业务的备份链路。同时作为视频类、高带宽类业务的主用链路。
图 3主、备链路示意图
4.4 SSL VPN 改造
通过在支队机关的VPN 网关,建立SSL VPN, 优先使用下联VPN 网关接入支队执法内网,接受统一的选路方案。支队外勤人员,执法车船,智能执法终端可通过SSL VPN 方便快捷地访问支队执法内网。
图 4 SSL VPN 接入方式拓扑图
VPN 设备及客户端支持域名解析服务器地址下发功能,确保接入 VPN 网络后用户可以将省局域名服务器作为首选域名解析服务器。对接入用户和接入网关统一身份认证和权限管理,并按照接入用户类型和访问业务需求配置SSL VPN访问策略。
本次改造除新建VPN网络外,还需对支队各办公场所、县级大队使用的IP地址进行全面规范。根据省局分配的大地址段10.54.64.0/19进行二次分配。按照24 位子网掩码划分地址段,各县级大队分配23位掩码的地址段,县级大队根据实际情况再细化。接口地址选用 30 位子网掩码(只有2个主机地址) 用于设备互联。地址分配如表:
序号 | 网络名称 | IP网段地址 | 子网掩码 | 地址数量 |
1 | 服务器及安全设备网段 | 10.54.64.0 | 255.255.255.0 | 256 |
2 | VPDN网段 | 10.54.65.0 | 255.255.255.0 | 256 |
3 | SSL VPN网段 | 10.54.66.0 | 255.255.255.0 | 256 |
4 | 支队南办公区无线网络 | 10.54.67.0 | 255.255.255.0 | 256 |
5 | 支队南办公区有线网络 | 10.54.68.0 | 255.255.255.0 | 256 |
6 | 支队南办公区有线网络(监控) | 10.54.69.0 | 255.255.255.128 | 128 |
7 | 交通局办公点 | 10.54.69.128 | 255.255.255.128 | 128 |
8 | 支队机关西办公区1 | 10.54.70.0 | 255.255.254.0 | 512 |
9 | 支队机关西办公区2 | 10.54.72.0 | 255.255.255.0 | 256 |
10 | 老交通局办公点 | 10.54.73.0 | 255.255.255.128 | 128 |
11 | 鼓楼大队 | 10.54.73.128 | 255.255.255.128 | 128 |
12 | 开发区大队 | 10.54.74.0 | 255.255.255.128 | 128 |
13 | 泉山大队 | 10.54.74.128 | 255.255.255.128 | 128 |
14 | 云龙大队 | 10.54.75.0 | 255.255.255.128 | 128 |
15 | 秦洪海事所 | 10.54.75.128 | 255.255.255.128 | 128 |
16 | 塔山海事所 | 10.54.76.0 | 255.255.255.128 | 128 |
17 | 解台海事所 | 10.54.76.128 | 255.255.255.128 | 128 |
18 | 蔺家坝海事所 | 10.54.77.0 | 255.255.255.128 | 128 |
19 | 市行政服务中心 | 10.54.77.128 | 255.255.255.128 | 128 |
20 | 丰县大队 | 10.54.78.0 | 255.255.254.0 | 512 |
21 | 沛县大队 | 10.54.80.0 | 255.255.254.0 | 512 |
22 | 睢宁县大队 | 10.54.82.0 | 255.255.254.0 | 512 |
23 | 邳州市大队 | 10.54.84.0 | 255.255.254.0 | 512 |
24 | 新沂市大队 | 10.54.86.0 | 255.255.254.0 | 512 |
25 | 贾汪区大队 | 10.54.88.0 | 255.255.254.0 | 512 |
26 | 铜山区大队 | 10.54.90.0 | 255.255.254.0 | 512 |
27 | IPSec VPN互联网段和网络设备互联网段(含县级大队) | 10.54.94.0 | 255.255.254.0 | 512 |
28 | 预留 | 10.54.92.0/23 |
表 1支队IP地址分配表
对支队已有的安全防护体系进行升级改造,扩展安全防御范围,将新建VPN通道纳入保障体系。改造后安全体系架构图如下:
图 5 整合后安全拓扑图
4.9升级信息安全保障体系
将支队执法专网划分为核心区、PC接入区、大队接入区、互联网出口区、安全管理区、外联区、服务器区,各区域之间逻辑隔离。新增4台边界防火墙、1台堡垒机、1台日志审计、1台态势感知+探针,1台网管一体机,1台灾备一体机。利旧2台边界防火墙、1台网闸、1台上网行为管理、1台入侵防御。为管理提供上网行为审计;支队机关VPN网关开通IPS模块做执法专网VPN链路边界防护;服务器区边界防火墙开通杀毒模块+IPS模块提供业务系统区域边界安全防护。网管一体机提供网络设备统一管理、网路连接管理、终端统一管理,态势感知。
5 结束语
通过对徐州市交通执法支队网络进行升级改造,一方面可以打破原有“各自为政”的网络架构,更好的适应改革后的业务需求,另一方可以提供高效、先进、可靠、安全的执法网络环境,打造良好的交通执法专网,为徐州市交通运输智慧执法建设打下坚实基础。
2