河南油田通信網(wǎng)絡升級改造方案設計

馬鋒

（河南石油勘探局通信公司 河南 南陽 473083）

隨著光纖入戶步伐的加快和寬帶網(wǎng)絡技術日新月異的發(fā)展，人們對網(wǎng)絡的需求也由語言變?yōu)閷?shù)據(jù)、圖像、語音的綜合需求，利用網(wǎng)絡實現(xiàn)多媒體通信、高速INTERNET接入、IP電話、視頻點播、網(wǎng)上求醫(yī)等已成為人們生活的一部分。如何對原來網(wǎng)絡進行升級改造，提升網(wǎng)絡的業(yè)務能力，做到安全可靠、技術先進、經(jīng)濟實用，適應人們之所需的目標是業(yè)界探索的重點目標。下面將介紹本人從實際工作中設計出河南油田通信網(wǎng)絡升級改造方案。

1 研究背景

1.1 油田通信網(wǎng)絡現(xiàn)狀

油田轄區(qū)內共有住戶3萬余戶，住宅小區(qū)近30個。建有3個通信站、9個模塊局，以各個通信站和模塊局為中心，采用以太網(wǎng)技術組建了大部分住宅小區(qū)計算機網(wǎng)絡，采用以太網(wǎng)技術和ADSL技術組建了部分住宅小區(qū)計算機網(wǎng)絡。采用以太網(wǎng)技術組建的計算機網(wǎng)絡始建于2001年，以各個通信站和模塊局為中心，通過光纜到小區(qū)，光纜到樓，在小區(qū)和各個住宅樓設置網(wǎng)絡交換機，實現(xiàn)了桌面10/100 Mpbs速率，小區(qū)干線百兆速率的接入。小區(qū)的匯聚交換機以百兆速率接入核心交換機，多臺交換機連接時采用級聯(lián)方式，樓棟接入層交換機大多為二層以下的“傻瓜”交換機，用戶隔離功能弱，容易造成廣播風暴，影響網(wǎng)絡速度。油田的ADSL寬帶接入系統(tǒng)是在2002年建成投運，在各個通信站和模塊局設有ADSL接入設備DSLAM，分別通過百兆光纖匯聚到通信大樓的核心交換機上，再接入INTERNET。該系統(tǒng)是基于IP組網(wǎng)方式，并與油田的辦公LAN實現(xiàn)了聯(lián)網(wǎng)。

目前住宅小區(qū)建設的計算機網(wǎng)絡信息機房通過2個1G通道與internet連接。在信息機房內配置出口路由器、核心交換機、流量控制系統(tǒng)、日志系統(tǒng)等；其中路由器為華為NE40，NAT板最大轉換速率為千兆級，核心交換機2臺，2臺交換機均為千兆級交換機。整個網(wǎng)絡系統(tǒng)無認證系統(tǒng)和網(wǎng)管系統(tǒng)，對用戶和設備的管理均為人工方式，用戶開戶，靠綁定用戶IP地址與MAC地址，人工操作輸入。

網(wǎng)絡現(xiàn)狀組網(wǎng)拓撲圖如圖1所示。

1.2 存在問題

1）網(wǎng)絡平臺落后，系統(tǒng)配置不完善

目前通信公司網(wǎng)絡2臺核心交換機均為千兆級別，且設備老化嚴重，性能較差，數(shù)據(jù)轉發(fā)能力低；2臺核心交換機均為單鏈路上聯(lián)路由器和下聯(lián)匯聚交換機，容易造成網(wǎng)絡單鏈故障，影響大面積用戶使用網(wǎng)絡。

系統(tǒng)中無網(wǎng)管系統(tǒng)、認證系統(tǒng)等，設備的管理采用人工本地處理，效率低，發(fā)現(xiàn)故障滯后，且管理人員不能清楚的知道網(wǎng)絡的當前使用狀況，缺乏網(wǎng)絡管理信息；用戶控制采用IP和MAC綁定方式，對用戶身份的合法性無法確認，無法精細的進行網(wǎng)絡隔離，容易造成廣播風暴影響用戶業(yè)務。網(wǎng)絡安全系統(tǒng)配置較弱，抗網(wǎng)絡風險能力較差。流控系統(tǒng)配置單一，對流量限制功能較差，無法完全對用戶上網(wǎng)速率進行動態(tài)分配，造成部分用戶大量搶占帶寬，影響其他用戶正常使用網(wǎng)絡。

圖1 網(wǎng)絡現(xiàn)狀組網(wǎng)拓撲圖Fig.1 Internet network topology

2）網(wǎng)絡出口相關設備缺少，出口干線帶寬緊張。

目前通信公司的網(wǎng)絡通過2個1G通道與internet連接，而在出口設備配置上僅配了1臺路由器，且NAT板最大也是千兆級，性能低，處理能力差；未配緩存設備，使INTERNET上的信息無法在本地存儲，造成多用戶訪問同一個信息時，均要出局，占用干線帶寬，使干線帶寬利用率減低，造成干線擁擠。

3）匯聚層、接入層網(wǎng)絡交換設備配置低。

4）網(wǎng)絡設備不統(tǒng)一，型號繁雜，無法實現(xiàn)統(tǒng)一網(wǎng)管。

當前通信公司的網(wǎng)絡設備從核心層到匯聚層、接入層，網(wǎng)絡設備有思科、華為、中興等多個廠商的產品，且同一個廠商的產品有些不具有網(wǎng)管功能，同時網(wǎng)絡中心也未配網(wǎng)管系統(tǒng)，無法實現(xiàn)遠程設備和用戶管理、診斷、維護。

2 建設目標

更新升級通信公司現(xiàn)有網(wǎng)絡平臺，由千兆平臺升級為萬兆網(wǎng)絡平臺，更新整合路由、防火墻、核心交換設備；新建緩存系統(tǒng)；新建認證、網(wǎng)絡管理系統(tǒng)等。升級改造小區(qū)匯聚層、樓棟接入層設備，實現(xiàn)網(wǎng)絡遠程管理，提高網(wǎng)絡管理水平。

3 方案設計

根據(jù)計算機網(wǎng)絡技術發(fā)展趨勢和油田計算機網(wǎng)絡的現(xiàn)狀及存在的問題，采用成熟的網(wǎng)絡構架[1]，升級改造現(xiàn)有的網(wǎng)絡系統(tǒng)，實現(xiàn)網(wǎng)絡平滑對接，系統(tǒng)整體升級。

3.1 網(wǎng)絡構架

網(wǎng)絡建設采用分層思想，分接入層、匯聚層、核心層[2]三個層次，新建網(wǎng)絡核心與原有網(wǎng)絡平滑對接，實現(xiàn)網(wǎng)絡整體升級。網(wǎng)絡組網(wǎng)拓撲圖如圖2所示。

圖2 網(wǎng)絡組網(wǎng)拓撲圖Fig.2 Internet network topology

核心層：主要實現(xiàn)網(wǎng)絡內部之間和與Internet之間的流量高速轉發(fā)和可靠連接；在網(wǎng)絡出口實現(xiàn)從網(wǎng)絡層防護到應用層防護的一體化防護；實現(xiàn)流量的分析和控制，及INTENET數(shù)據(jù)本地化，提高網(wǎng)絡速率；通過認證和網(wǎng)管系統(tǒng)，實現(xiàn)用戶授權管理和設備遠程管理、維護。

匯聚層：主要實現(xiàn)核心設備和與接入設備之間的流量高速轉發(fā)，提供可靠、穩(wěn)定、安全的高速數(shù)據(jù)轉發(fā)。

接入層：主要實現(xiàn)接入設備和與匯聚設備之間的流量高速轉發(fā)并提供高密度的用戶端口。

3.2 核心層設計

針對油田網(wǎng)絡的現(xiàn)狀和問題，本次網(wǎng)絡核心層的設計主要是更新出口路由器為防火墻[3]、更新核心交換機、新建緩存系統(tǒng)、認證和網(wǎng)管系統(tǒng)等。

1）萬兆防火墻

系統(tǒng)設計：將現(xiàn)有路由器更換為2臺萬兆防火墻，作為到Internet的出口，上行方向采用GE與中國電信，中國網(wǎng)通運營商網(wǎng)絡相連，使用NAT方式實現(xiàn)企業(yè)網(wǎng)用戶的Internet接入；下行方向與2臺核心交換機之間采用10GE線路相連，保證鏈路的高可靠性。

功能：用于實現(xiàn)與Internet之間的流量高速轉發(fā)，提供可靠、穩(wěn)定、安全的高速Internet連接。同時在網(wǎng)絡出口實現(xiàn)從網(wǎng)絡層防護到應用層防護的一體化防護，對蠕蟲木馬、間諜程序、病毒、垃圾郵件等數(shù)據(jù)驅動式攻擊進行有效防御，同時也提供防止利用TCP/IP協(xié)議漏洞或缺陷發(fā)起的攻擊，具備將防火墻、防病毒、IDP、反垃圾郵件、VPN、內容過濾等等[4]，大量的安全應用功能企業(yè)可以使用較低的成本同時擁有多種網(wǎng)絡安全模塊，大大降低了企業(yè)在網(wǎng)絡安全方面的總體花費。

2）核心交換機

系統(tǒng)配置：將現(xiàn)有千兆核心交換機（作為小區(qū)匯聚交換機利舊使用）更換為2臺萬兆核心交換機，分別通過10GE線路與出口防火墻互聯(lián)，并采用2GE鏈路捆綁方式與匯聚交換機互聯(lián)。設備本身采用雙主控板及雙電源冗余配置，提供設備的可靠性。

功能：兩臺萬兆核心交換機作為河南油田網(wǎng)絡的數(shù)據(jù)轉發(fā)核心；主要實現(xiàn)網(wǎng)絡內部之間和與Internet之間的流量高速轉發(fā)，提供可靠、穩(wěn)定、安全的高速數(shù)據(jù)轉發(fā)；兩臺核心交換機之間采用CSS集群技術，實現(xiàn)雙機熱備和負載分擔[5]；提高鏈路帶寬和鏈路冗余。

3）緩存系統(tǒng)

系統(tǒng)設計：新建1套緩存系統(tǒng)，通過10GE接口與系統(tǒng)連接。

功能：緩存加速具備以下功能：P2P緩存加速、在線視頻緩存加速、HTPP緩存加速。通過對對出網(wǎng)流量進行分析、調度，引導用戶訪問本地資源，降低出口流量，減少出口帶寬壓力，提高用戶互聯(lián)網(wǎng)體驗，增加互聯(lián)網(wǎng)帶寬利用率的目的。

4）認證、網(wǎng)管系統(tǒng)

系統(tǒng)設計：配置認證系統(tǒng)1套，包括服務器1臺、終端設備1臺及軟件，在網(wǎng)絡核心側掛BRAS設備，利用BRAS和Radius認證方式[6]，對接入用戶動態(tài)分配帶寬，實現(xiàn)接入用戶的認證、計費和管理。配置網(wǎng)管系統(tǒng)1套，包括服務器1臺、終端設備1臺及軟件，實現(xiàn)對企業(yè)資源、業(yè)務、用戶的統(tǒng)一管理以及智能聯(lián)動。

功能：通過認證系統(tǒng)，對用戶的認證信息進行認證，根據(jù)認證結果對用戶進行相應的授權，并根據(jù)計費規(guī)則對用戶進行計費管理。通過網(wǎng)管系統(tǒng)，提供靈活的開放網(wǎng)管平臺，在網(wǎng)絡資源管理的基礎上實現(xiàn)了拓撲、故障、性能、配置、安全等管理功能，而且還可以作為其他業(yè)務管理組件的承載平臺，共同實現(xiàn)管理的深入融合聯(lián)動。軟件通過流程向導的方式告訴用戶如何使用功能，為用戶提供了精細化的管理。同時對網(wǎng)絡流量、接入認證角色等進行智能分析，自動調整網(wǎng)絡控制策略，全方位保證企業(yè)網(wǎng)絡安全

5）日志系統(tǒng)

系統(tǒng)設計：在通信公司網(wǎng)絡機房配置1套網(wǎng)絡行為管理系統(tǒng)，包括硬件和軟件，通過多路透明橋接部署在防火墻與核心交換之間，對所有的上網(wǎng)行為進行記錄和流控，該系統(tǒng)為10G平臺，支持萬兆流量的穿透、分析和策略管理。支持上行10G、下行10G的處理性能。

功能：對于內網(wǎng)寬帶用戶訪問各種網(wǎng)頁的行為進行細致的訪問控制，有效管理用戶上網(wǎng)，同時對P2P軟件進行有效管控，并且對P2P行為嚴重吞噬帶寬資源的問題，提供流量控制功能。網(wǎng)絡訪問控制功能，可以基于用戶/用戶組、基于時間段、基于不同的目標行為進行靈活權限控制。

具有完善的訪問記錄和監(jiān)控功能能夠有效防止信息通過Internet泄漏，對于BBS、論壇發(fā)帖，根據(jù)關鍵字進行過濾，能全面記錄發(fā)布的內容；內網(wǎng)寬帶用戶訪問的URL地址、網(wǎng)頁標題、甚至整個網(wǎng)頁內容，能夠完全監(jiān)控和記錄等。針對不同的用戶、用戶組，通過數(shù)據(jù)簡單的勾選，即可完成差異化的行為記錄功能，對于寬帶用戶每天的各種行為日志記錄，可滿足公安部82號令存儲至少60天的要求。

3.3 網(wǎng)絡匯聚、接入層設計

1）匯聚層設計

系統(tǒng)設計：更換小區(qū)現(xiàn)有匯聚交換機（利舊作為接入層使用），選用千兆匯聚交換機作為網(wǎng)絡的匯聚設備，通過GE鏈路與接入設備互聯(lián)，并采用2GE鏈路捆綁方式與2臺核心交換機互聯(lián)（利用已有光纜資源）。

功能：主要實現(xiàn)核心設備和與接入設備之間的流量高速轉發(fā)，提供可靠、穩(wěn)定、安全的高速數(shù)據(jù)轉發(fā)。支持二層和基本三層功能，通過鏈路冗余，實現(xiàn)業(yè)務負載分擔。匯聚設備具備冗余電源、鏈路聚合等實用功能，并支持豐富路由協(xié)議，規(guī)劃實施負載分擔增強了網(wǎng)絡的適應性和可靠性，保障了網(wǎng)絡的全天候穩(wěn)定運行。支持核IPv4、IPv6雙協(xié)議棧，面向下一代網(wǎng)絡的平滑過渡；匯聚GE/10G帶寬，適應萬兆骨干，千兆接入的發(fā)展趨勢保證核心網(wǎng)絡的數(shù)據(jù)交換帶寬。

2）接入層設計

系統(tǒng)設計：更換小區(qū)現(xiàn)有接入層交換機為網(wǎng)管型交換機，通過已有100 M鏈路接入?yún)R聚層交換機。

系統(tǒng)配置：主要實現(xiàn)接入設備和與匯聚設備之間的流量高速轉發(fā)并提供高密度的用戶端口。

3.4 輔助系統(tǒng)設計

1）核心層設備放置于通信公司機房，利舊已有機柜空間及供電接地系統(tǒng)。

2）匯聚層、接入層設備為更換，利舊已有機柜空間及供電接地系統(tǒng)。

4 結束語

本設計采用三層網(wǎng)絡構架，設計中用防火墻替代路由器，更新核心交換機，建立了緩存、認證和網(wǎng)管系統(tǒng)，充分利用原有的網(wǎng)絡資源，提高了性能價格比，實現(xiàn)對原網(wǎng)絡升級改造，進而提升網(wǎng)絡的業(yè)務能力，適應了網(wǎng)絡的發(fā)展方向，滿足了業(yè)界對網(wǎng)絡升級改造的三大目標——安全可靠、技術先進、經(jīng)濟實用。本設計建成后，經(jīng)過了三個月測試運行，萬兆網(wǎng)絡平臺，緩存、認證、網(wǎng)絡遠程管理系統(tǒng)完全達到了系統(tǒng)設計要求，在網(wǎng)絡升級改造中上述方案是一個值得參考的設計方案。

[1]陳原子，徐習東.基于并行冗余網(wǎng)絡的數(shù)字化變電站通信網(wǎng)絡構架[J].電力自動化設備，2011（1）:105-108.CHEN Yuan-zi，XU Xi-dong.Communication network structure of digital substation based on parallel redundancy[J].Electric Power Automation Equipment，2011（1）:105-108.

[2]謝希仁.計算機網(wǎng)絡[M].6版.北京：電子工業(yè)出版社，2013.

[3]王玉堂.霧里看花，如何選擇真正的萬兆防火墻[J].信息安全與通信保密，2011（1）:40-41.WANG Yu-tang.Have a blurred vision，how to choice the real gigabit firewall[J].Information Security and Communications Privacy，2011（1）:40-41.

[4]徐振明，秦智，韓斌.組網(wǎng)工程[M].西安：西安電子科技大學出版社，2006.

[5]鄧杰，易小年.基于雙核心交換機熱備實現(xiàn)網(wǎng)絡及系統(tǒng)容災[J].湖南電力，2006（s1）:62-65.DENG Jie，YI Xiao-nian.Based on the dual core switches heat disaster for realization of network and system[J].Hunan Electric Power，2006（s1）:62-65.

[6]陳琛，王賓，楊陽.城域數(shù)據(jù)網(wǎng)BRAS熱備技術和組網(wǎng)方案研究[J].郵電設計技術，2013（7）:72-74.CHEN Chen，WANG Bin，YANG Yang.Research on a realtime standby technique of BRAS in metropolitan area network and its networking solution[J].Designing Techniques of Posts and Telecommunications，2013（7）:72-74.