河南油田通信網絡升級改造方案設計

馬鋒

（河南石油勘探局通信公司 河南 南陽 473083）

隨著光纖入戶步伐的加快和寬帶網絡技術日新月異的發展，人們對網絡的需求也由語言變為對數據、圖像、語音的綜合需求，利用網絡實現多媒體通信、高速INTERNET接入、IP電話、視頻點播、網上求醫等已成為人們生活的一部分。如何對原來網絡進行升級改造，提升網絡的業務能力，做到安全可靠、技術先進、經濟實用，適應人們之所需的目標是業界探索的重點目標。下面將介紹本人從實際工作中設計出河南油田通信網絡升級改造方案。

1 研究背景

1.1 油田通信網絡現狀

油田轄區內共有住戶3萬余戶，住宅小區近30個。建有3個通信站、9個模塊局，以各個通信站和模塊局為中心，采用以太網技術組建了大部分住宅小區計算機網絡，采用以太網技術和ADSL技術組建了部分住宅小區計算機網絡。采用以太網技術組建的計算機網絡始建于2001年，以各個通信站和模塊局為中心，通過光纜到小區，光纜到樓，在小區和各個住宅樓設置網絡交換機，實現了桌面10/100 Mpbs速率，小區干線百兆速率的接入。小區的匯聚交換機以百兆速率接入核心交換機，多臺交換機連接時采用級聯方式，樓棟接入層交換機大多為二層以下的“傻瓜”交換機，用戶隔離功能弱，容易造成廣播風暴，影響網絡速度。油田的ADSL寬帶接入系統是在2002年建成投運，在各個通信站和模塊局設有ADSL接入設備DSLAM，分別通過百兆光纖匯聚到通信大樓的核心交換機上，再接入INTERNET。該系統是基于IP組網方式，并與油田的辦公LAN實現了聯網。

目前住宅小區建設的計算機網絡信息機房通過2個1G通道與internet連接。在信息機房內配置出口路由器、核心交換機、流量控制系統、日志系統等；其中路由器為華為NE40，NAT板最大轉換速率為千兆級，核心交換機2臺，2臺交換機均為千兆級交換機。整個網絡系統無認證系統和網管系統，對用戶和設備的管理均為人工方式，用戶開戶，靠綁定用戶IP地址與MAC地址，人工操作輸入。

網絡現狀組網拓撲圖如圖1所示。

1.2 存在問題

1）網絡平臺落后，系統配置不完善

目前通信公司網絡2臺核心交換機均為千兆級別，且設備老化嚴重，性能較差，數據轉發能力低；2臺核心交換機均為單鏈路上聯路由器和下聯匯聚交換機，容易造成網絡單鏈故障，影響大面積用戶使用網絡。

系統中無網管系統、認證系統等，設備的管理采用人工本地處理，效率低，發現故障滯后，且管理人員不能清楚的知道網絡的當前使用狀況，缺乏網絡管理信息；用戶控制采用IP和MAC綁定方式，對用戶身份的合法性無法確認，無法精細的進行網絡隔離，容易造成廣播風暴影響用戶業務。網絡安全系統配置較弱，抗網絡風險能力較差。流控系統配置單一，對流量限制功能較差，無法完全對用戶上網速率進行動態分配，造成部分用戶大量搶占帶寬，影響其他用戶正常使用網絡。

圖1 網絡現狀組網拓撲圖Fig.1 Internet network topology

2）網絡出口相關設備缺少，出口干線帶寬緊張。

目前通信公司的網絡通過2個1G通道與internet連接，而在出口設備配置上僅配了1臺路由器，且NAT板最大也是千兆級，性能低，處理能力差；未配緩存設備，使INTERNET上的信息無法在本地存儲，造成多用戶訪問同一個信息時，均要出局，占用干線帶寬，使干線帶寬利用率減低，造成干線擁擠。

3）匯聚層、接入層網絡交換設備配置低。

4）網絡設備不統一，型號繁雜，無法實現統一網管。

當前通信公司的網絡設備從核心層到匯聚層、接入層，網絡設備有思科、華為、中興等多個廠商的產品，且同一個廠商的產品有些不具有網管功能，同時網絡中心也未配網管系統，無法實現遠程設備和用戶管理、診斷、維護。

2 建設目標

更新升級通信公司現有網絡平臺，由千兆平臺升級為萬兆網絡平臺，更新整合路由、防火墻、核心交換設備；新建緩存系統；新建認證、網絡管理系統等。升級改造小區匯聚層、樓棟接入層設備，實現網絡遠程管理，提高網絡管理水平。

3 方案設計

根據計算機網絡技術發展趨勢和油田計算機網絡的現狀及存在的問題，采用成熟的網絡構架[1]，升級改造現有的網絡系統，實現網絡平滑對接，系統整體升級。

3.1 網絡構架

網絡建設采用分層思想，分接入層、匯聚層、核心層[2]三個層次，新建網絡核心與原有網絡平滑對接，實現網絡整體升級。網絡組網拓撲圖如圖2所示。

圖2 網絡組網拓撲圖Fig.2 Internet network topology

核心層：主要實現網絡內部之間和與Internet之間的流量高速轉發和可靠連接；在網絡出口實現從網絡層防護到應用層防護的一體化防護；實現流量的分析和控制，及INTENET數據本地化，提高網絡速率；通過認證和網管系統，實現用戶授權管理和設備遠程管理、維護。

匯聚層：主要實現核心設備和與接入設備之間的流量高速轉發，提供可靠、穩定、安全的高速數據轉發。

接入層：主要實現接入設備和與匯聚設備之間的流量高速轉發并提供高密度的用戶端口。

3.2 核心層設計

針對油田網絡的現狀和問題，本次網絡核心層的設計主要是更新出口路由器為防火墻[3]、更新核心交換機、新建緩存系統、認證和網管系統等。

1）萬兆防火墻

系統設計：將現有路由器更換為2臺萬兆防火墻，作為到Internet的出口，上行方向采用GE與中國電信，中國網通運營商網絡相連，使用NAT方式實現企業網用戶的Internet接入；下行方向與2臺核心交換機之間采用10GE線路相連，保證鏈路的高可靠性。

功能：用于實現與Internet之間的流量高速轉發，提供可靠、穩定、安全的高速Internet連接。同時在網絡出口實現從網絡層防護到應用層防護的一體化防護，對蠕蟲木馬、間諜程序、病毒、垃圾郵件等數據驅動式攻擊進行有效防御，同時也提供防止利用TCP/IP協議漏洞或缺陷發起的攻擊，具備將防火墻、防病毒、IDP、反垃圾郵件、VPN、內容過濾等等[4]，大量的安全應用功能企業可以使用較低的成本同時擁有多種網絡安全模塊，大大降低了企業在網絡安全方面的總體花費。

2）核心交換機

系統配置：將現有千兆核心交換機（作為小區匯聚交換機利舊使用）更換為2臺萬兆核心交換機，分別通過10GE線路與出口防火墻互聯，并采用2GE鏈路捆綁方式與匯聚交換機互聯。設備本身采用雙主控板及雙電源冗余配置，提供設備的可靠性。

功能：兩臺萬兆核心交換機作為河南油田網絡的數據轉發核心；主要實現網絡內部之間和與Internet之間的流量高速轉發，提供可靠、穩定、安全的高速數據轉發；兩臺核心交換機之間采用CSS集群技術，實現雙機熱備和負載分擔[5]；提高鏈路帶寬和鏈路冗余。

3）緩存系統

系統設計：新建1套緩存系統，通過10GE接口與系統連接。

功能：緩存加速具備以下功能：P2P緩存加速、在線視頻緩存加速、HTPP緩存加速。通過對對出網流量進行分析、調度，引導用戶訪問本地資源，降低出口流量，減少出口帶寬壓力，提高用戶互聯網體驗，增加互聯網帶寬利用率的目的。

4）認證、網管系統

系統設計：配置認證系統1套，包括服務器1臺、終端設備1臺及軟件，在網絡核心側掛BRAS設備，利用BRAS和Radius認證方式[6]，對接入用戶動態分配帶寬，實現接入用戶的認證、計費和管理。配置網管系統1套，包括服務器1臺、終端設備1臺及軟件，實現對企業資源、業務、用戶的統一管理以及智能聯動。

功能：通過認證系統，對用戶的認證信息進行認證，根據認證結果對用戶進行相應的授權，并根據計費規則對用戶進行計費管理。通過網管系統，提供靈活的開放網管平臺，在網絡資源管理的基礎上實現了拓撲、故障、性能、配置、安全等管理功能，而且還可以作為其他業務管理組件的承載平臺，共同實現管理的深入融合聯動。軟件通過流程向導的方式告訴用戶如何使用功能，為用戶提供了精細化的管理。同時對網絡流量、接入認證角色等進行智能分析，自動調整網絡控制策略，全方位保證企業網絡安全

5）日志系統

系統設計：在通信公司網絡機房配置1套網絡行為管理系統，包括硬件和軟件，通過多路透明橋接部署在防火墻與核心交換之間，對所有的上網行為進行記錄和流控，該系統為10G平臺，支持萬兆流量的穿透、分析和策略管理。支持上行10G、下行10G的處理性能。

功能：對于內網寬帶用戶訪問各種網頁的行為進行細致的訪問控制，有效管理用戶上網，同時對P2P軟件進行有效管控，并且對P2P行為嚴重吞噬帶寬資源的問題，提供流量控制功能。網絡訪問控制功能，可以基于用戶/用戶組、基于時間段、基于不同的目標行為進行靈活權限控制。

具有完善的訪問記錄和監控功能能夠有效防止信息通過Internet泄漏，對于BBS、論壇發帖，根據關鍵字進行過濾，能全面記錄發布的內容；內網寬帶用戶訪問的URL地址、網頁標題、甚至整個網頁內容，能夠完全監控和記錄等。針對不同的用戶、用戶組，通過數據簡單的勾選，即可完成差異化的行為記錄功能，對于寬帶用戶每天的各種行為日志記錄，可滿足公安部82號令存儲至少60天的要求。

3.3 網絡匯聚、接入層設計

1）匯聚層設計

系統設計：更換小區現有匯聚交換機（利舊作為接入層使用），選用千兆匯聚交換機作為網絡的匯聚設備，通過GE鏈路與接入設備互聯，并采用2GE鏈路捆綁方式與2臺核心交換機互聯（利用已有光纜資源）。

功能：主要實現核心設備和與接入設備之間的流量高速轉發，提供可靠、穩定、安全的高速數據轉發。支持二層和基本三層功能，通過鏈路冗余，實現業務負載分擔。匯聚設備具備冗余電源、鏈路聚合等實用功能，并支持豐富路由協議，規劃實施負載分擔增強了網絡的適應性和可靠性，保障了網絡的全天候穩定運行。支持核IPv4、IPv6雙協議棧，面向下一代網絡的平滑過渡；匯聚GE/10G帶寬，適應萬兆骨干，千兆接入的發展趨勢保證核心網絡的數據交換帶寬。

2）接入層設計

系統設計：更換小區現有接入層交換機為網管型交換機，通過已有100 M鏈路接入匯聚層交換機。

系統配置：主要實現接入設備和與匯聚設備之間的流量高速轉發并提供高密度的用戶端口。

3.4 輔助系統設計

1）核心層設備放置于通信公司機房，利舊已有機柜空間及供電接地系統。

2）匯聚層、接入層設備為更換，利舊已有機柜空間及供電接地系統。

4 結束語

本設計采用三層網絡構架，設計中用防火墻替代路由器，更新核心交換機，建立了緩存、認證和網管系統，充分利用原有的網絡資源，提高了性能價格比，實現對原網絡升級改造，進而提升網絡的業務能力，適應了網絡的發展方向，滿足了業界對網絡升級改造的三大目標——安全可靠、技術先進、經濟實用。本設計建成后，經過了三個月測試運行，萬兆網絡平臺，緩存、認證、網絡遠程管理系統完全達到了系統設計要求，在網絡升級改造中上述方案是一個值得參考的設計方案。

[1]陳原子，徐習東.基于并行冗余網絡的數字化變電站通信網絡構架[J].電力自動化設備，2011（1）:105-108.CHEN Yuan-zi，XU Xi-dong.Communication network structure of digital substation based on parallel redundancy[J].Electric Power Automation Equipment，2011（1）:105-108.

[2]謝希仁.計算機網絡[M].6版.北京：電子工業出版社，2013.

[3]王玉堂.霧里看花，如何選擇真正的萬兆防火墻[J].信息安全與通信保密，2011（1）:40-41.WANG Yu-tang.Have a blurred vision，how to choice the real gigabit firewall[J].Information Security and Communications Privacy，2011（1）:40-41.

[4]徐振明，秦智，韓斌.組網工程[M].西安：西安電子科技大學出版社，2006.

[5]鄧杰，易小年.基于雙核心交換機熱備實現網絡及系統容災[J].湖南電力，2006（s1）:62-65.DENG Jie，YI Xiao-nian.Based on the dual core switches heat disaster for realization of network and system[J].Hunan Electric Power，2006（s1）:62-65.

[6]陳琛，王賓，楊陽.城域數據網BRAS熱備技術和組網方案研究[J].郵電設計技術，2013（7）:72-74.CHEN Chen，WANG Bin，YANG Yang.Research on a realtime standby technique of BRAS in metropolitan area network and its networking solution[J].Designing Techniques of Posts and Telecommunications，2013（7）:72-74.