徐州市交通执法专网改造方案设计

徐州市交通执法专网改造方案设计

张允林

徐州市交通运输综合行政执法支队

摘要：随着徐州市交通运输综合行政执法改革基本完成，徐州市交通执法系统原有网络体系存在着网络多样、带宽不足、覆盖不全、运维困难等问题，通过对徐州市交通执法支队现有网络整合优化，升级改造，以更好满足徐州市交通运输智慧执法工作需要。

关键词：网络设计 改造 VPN

1 项目背景

2021年8月，省交通执法局印发文件明确要求，“各基层执法机构要按照职责分工和技术要求加快推进VPN网络改造的实施工作，有序推进在用系统迁移。”2021年8月，徐州市交通运输综合行政执法支队挂牌成立。徐州市交通执法支队整合了原市运管处、市海事局等9家单位行政执法职责，统一承担全市交通运输系统行政执法工作。改革后，原市运管处、原市海事局的网络设备老旧，无法满足执法支队业务需求，因此，亟需对徐州市交通执法网络进行升级改造，以有力支撑徐州市交通综合执法业务要求。

2 现状分析

升级改造前，徐州市交通执法支队现有网络设备及架构现状如下：

2.1 基础设备方面

支队网络基础设施主要沿用原市运管处、原市海事局的资产，存在设备老旧、网络多样、带宽不足、覆盖不全、运维困难等问题。关键设备节点（核心出口路由器、核心交换机）缺乏冗余备份，一旦设备发生故障将导致整个内网瘫痪。

2.2 网络架构和业务访问方面

改革后，由于职能整合调整，原有人员、办公地点发生了很大变化，网络结构也随之发生变化。原有的市、县两级运管专网和海事专网不能很好的融合，导致网络结构分散、层级多。分散混乱的网络结构造成访问不同的业务系统，需要使用不同的网络路径。水上大队要通过市港航专网来访问业务；治超大队要通过市公路专网来访问业务。运政在线、联网联控平台、治超平台、车辆检测等系统使用执法内网访问；主动防控系统、货运源头治超系统、海江河港口系统使用外网访问。

2.3 带宽方面

支队到省局专线链路带宽在100M以内；支队与各县（市）区大队专线带宽在10M以内，业务高峰期经常出现带宽不足。同时，随着智慧执法建设深入推进，5G视频场景应用，更多的智能执法终端、外场视频将接入到执法专网中，高带宽需求迫在眉睫。

2.4 网络安全方面

支队使用的业务系统、执法记录仪已按照《信息安全技术网络安全等级保护测评要求》[GB/T 28448-2019] 进行三级测评。支队VPN 改造完成后，部分县（市、区）大队还未改完，仍需将执法专网接入纳入安全防护范围内。

2.5 网络维护及使用成本方面

目前，部分直属大队需要借用其他单位专网线路接入业务系统，存在维护边界不清晰，出现问题排查困难，需协调相关单位，维护效率低等问题。部分基层站所网络IP地址不能双向互通，只能站所访问支队及省执法局，省执法局不能访问站点，不能做到统一监管和维护。支队使用数字线路59条，专线较多，租赁成本较高，而“宽带+VPN”设备方式的维护成本较低。

3 改造方案

4.1架构设计

采用IPSEC VPN 技术，建立省局到市支队，市支队到各县（市、区）大队（单兵、执法车、智能终端）的三层架构。在基础网络架构上部署安全边界防护、业务系统防护。同时利用原有的交通专网做备份线路，和改造完成的执法VPN网络形成冗余链路。总体网络架构图如下：

图 1总体网络架构图

4.2 VPN网络建设

以原海事专网为基础，将支队南办公区机房作为综合执法专网的中心机房。中心机房建立多条IPSEC VPN加密隧道，用于连接省局、12个办公场所、7个县级大队。支队上联VPN网关和省执法局VPN网关建立400M VPN加密隧道，12个支队办公场所分别和支队下联VPN网关建立100M VPN加密隧道，7个县级大队分别和支队下联VPN网关建立150M VPN 加密隧道。通过整合优化路由协议手段实现横向网、VPN执法专网互为冗余备份；当主线路故障时可自动切换到备用线路，从而提高支队、大队使用VPN执法专网的可靠性，而且可以根据不同业务进行分流。在支队部署SSL VPN ,满足支队移动办公人员、西办公区办公人员访问内网的需求。改造完成后网络整体拓扑图（包括网络安全）如下：

图 2升级改造完成后网络整体架构图

4.3网络主、备链路建设

支队到省局有两条运营商专线链路，一条是原海事专网链路，一条是横向接入交通专网的备份链路。本次改造将原海事专网专线停掉，新建一条400M的VPN链路，直连省局，此链路作为支队、县级大队访问部、省级业务的主要链路，同时作为视频类、高带宽类业务的备用链路。利旧原市海事局到市交通运输局的电信专线链路作为支队、县级大队访问省、部级业务的备份链路。同时作为视频类、高带宽类业务的主用链路。

图 3主、备链路示意图

4.4 SSL VPN 改造

通过在支队机关的VPN 网关，建立SSL VPN, 优先使用下联VPN 网关接入支队执法内网，接受统一的选路方案。支队外勤人员，执法车船，智能执法终端可通过SSL VPN 方便快捷地访问支队执法内网。

图 4 SSL VPN 接入方式拓扑图

VPN 设备及客户端支持域名解析服务器地址下发功能，确保接入 VPN 网络后用户可以将省局域名服务器作为首选域名解析服务器。对接入用户和接入网关统一身份认证和权限管理，并按照接入用户类型和访问业务需求配置SSL VPN访问策略。

4.5 IP地址规划方案

本次改造除新建VPN网络外，还需对支队各办公场所、县级大队使用的IP地址进行全面规范。根据省局分配的大地址段10.54.64.0/19进行二次分配。按照24 位子网掩码划分地址段，各县级大队分配23位掩码的地址段，县级大队根据实际情况再细化。接口地址选用 30 位子网掩码（只有2个主机地址） 用于设备互联。地址分配如表：

表 1支队IP地址分配表

4.7网络安全改造方案

对支队已有的安全防护体系进行升级改造，扩展安全防御范围，将新建VPN通道纳入保障体系。改造后安全体系架构图如下：

图 5 整合后安全拓扑图

4.9升级信息安全保障体系

将支队执法专网划分为核心区、PC接入区、大队接入区、互联网出口区、安全管理区、外联区、服务器区，各区域之间逻辑隔离。新增4台边界防火墙、1台堡垒机、1台日志审计、1台态势感知+探针，1台网管一体机，1台灾备一体机。利旧2台边界防火墙、1台网闸、1台上网行为管理、1台入侵防御。为管理提供上网行为审计；支队机关VPN网关开通IPS模块做执法专网VPN链路边界防护；服务器区边界防火墙开通杀毒模块+IPS模块提供业务系统区域边界安全防护。网管一体机提供网络设备统一管理、网路连接管理、终端统一管理，态势感知。

5 结束语

通过对徐州市交通执法支队网络进行升级改造，一方面可以打破原有“各自为政”的网络架构，更好的适应改革后的业务需求，另一方可以提供高效、先进、可靠、安全的执法网络环境，打造良好的交通执法专网，为徐州市交通运输智慧执法建设打下坚实基础。

参考文献：

夏攀，基于TPCM可信根的可信网络连接设计与实现[J]，信息技术与网络安全,2021

作者简介：张允林（1986-），男，江苏沛县人，硕士，工程师，研究方向：智能交通 信息化

2