鐵路外部服務數據通信骨干網的建設研究

高婷婷

(1.北京全路通信信號研究設計院集團有限公司，北京 100073；2.北京市高速鐵路運行控制系統工程技術研究中心，北京 100073)

1 概述

鐵路外部服務網是總公司、鐵路局兩級獨立局域網，目前運行著客服中心語音平臺、12306網站、95306網站等對外經營服務應用系統，是面向社會公眾開展經營服務的主要信息渠道。目前這些鐵路對外經營服務和客服中心存在互聯互通需要，同時，客服中心聯網運行和總公司新增客貨業務對通信通道能力提出更高的要求，在這種情況下，如何建設鐵路外部服務數據通信骨干網以消除現有通道瓶頸并提高寬帶網絡能力就至關重要。

2 鐵路外部服務數據通信骨干網現狀

鐵路外部服務網承載的各系統主要包括鐵路客戶服務中心平臺、對外服務網站（總公司門戶、12306、95306、鐵路物資采購招商網等）、中外電子數據交換平臺、共用信息平臺、移動辦公系統、站車Wi-Fi運營服務系統等。外部服務數據網是指實現總公司、鐵路局、路局內車站和動車所的外部服務網（局域網）互聯的廣域網，目前尚未建設。因此，目前鐵路外部服務網相關系統大多部署在鐵路總公司、鐵路局兩級，在全路范圍相互間沒有實現互聯互通，各平臺間的互聯需要先通過路局內/外網安全平臺的數據擺渡，再通過內部TMIS網絡或者互聯網進行數據交互，如圖1所示。

圖1 兩級信息系統互聯組網現狀Fig.1 Networking status of two-level information systems interconnection

目前，鐵路骨干OTN傳輸網京滬穗、東北環、西北環、西南環均已建成并投入使用，骨干傳輸網的建設將為鐵路外部服務數據網骨干網提供必要的基礎傳輸條件。

3 承載業務需求分析及帶寬測算

3.1 鐵路客戶服務中心平臺

客戶服務中心平臺系統帶寬需求測算如下：

1）語音呼叫帶寬需求：按照1路語音通話占用帶寬100 kbit/s，語音通話容忍網絡最大延時100 ms，最大跨局電話按路局最大席位數的10%測算（含轉入、轉出）。

2）視頻呼叫帶寬需求：按照全國集中接入視頻呼叫的模式，1路視頻通話占用帶寬512～1 024 kbit/s，取1 024 kbit/s；最大并發按1個局2路計算。

3）文字多媒體帶寬需求：屬于非即時通訊，并發較少，整體上可不用單獨計算。

4）業務系統占用帶寬：按照業務系統集中部署的方式，平均1次操作產生流量80～2 048 kb，參考經驗值取800 kb。最大并發數按照高峰期席位數的50%計算，不足1個按1個計算。

5）網絡冗余需求：按照每個單位預留20%的帶寬冗余考慮，應對特殊的峰值現象。具體峰值情況與業務系統訪問的并發規律有關。

6）視頻監控需求：由于目前視頻監控系統支持多種高清視頻格式，視頻監控帶寬按照每個路局4 Mbit/s考慮。

7）視頻培訓需求：按照1/5的座席量進行實際估算，1個座席占用1 Mbit/s帶寬。

3.2 站車Wi-Fi系統

1）后臺內容同步帶寬

總公司傳輸到鐵路局的數據量按照每年約2.6 T更新內容計算，按照每天4 h不間斷更新計算，總公司至單個鐵路局的平均帶寬需求約為：

2.6 T×8×1 024×1 024/365/4/3 600=4.14 Mbit/s

鐵路局傳輸到車站及動車所的數據量按照每年2.5 T更新內容計算，按照每天4 h不間斷更新計算，鐵路局至單個車站或動車所的平均帶寬需求約為：

2.5 T×8×1 024×1 024/365/4/3 600=4.02 Mbit/s

2）旅客上網帶寬

旅客上網由各路局在局內設置統一互聯網出口，大站（特等站、一等站）旅客互聯網訪問帶寬200 Mbit/s，小站（二、三等站）旅客互聯網訪問帶寬50 Mbit/s。

3.3 電話訂票系統

各路局外線電話通過外部服務數據網通道傳輸至總公司電話訂票交換機，其帶寬需求根據接入中繼數和高峰E1線數接入需求測算，同時考慮預留20%帶寬。

3.4 中國鐵路12306平臺

既有12306網站提供客運購票、貨運以及新推出的網上訂餐、乘意險辦理服務，此外還即將推出的常旅客積分及服務，綜合考慮，其帶寬需求按2 Mbit/s計算。

3.5 其他業務平臺

其他業務平臺主要包括中國鐵路95306平臺、中鐵物資采購與招商平臺、中外電子數據交換平臺、共用信息平臺、移動辦公系統、鐵路輿情管理信息系統、鐵路職工網上家園等。這些業務平臺帶寬測算均根據每天各路局峰值并發訪問次數、網頁平均大小以及響應時間確定。

3.6 未來業務預留

根據鐵路信息化總體規劃，2020年鐵路總公司至鐵路局骨干網帶寬將大于20 Gbit/s。同時，鐵路外部服務網還應建設對公眾服務的數據中心。此外，還將建設優化完善經營開發系統和綜合協同系統等，因此，鐵路外部服務數據網帶寬規劃總帶寬的1/5考慮，預測為4 Gbit/s。

4 技術方案研究

Multi-Protocal Label Switching Traffic Engineering（MPLS TE）即基于MPLS的流量工程。其一種應用就是通過TE的快速重路由（FRR）功能實現網絡故障保護。基于TE的快速路由FRR（Fast Reroute）局部保護，其實現機制主要是通過對邏輯隧道的保護等效于對物理鏈路或節點的保護。FRR最早是提供端到端TE隧道途徑的鏈路或節點失效保護，但是在實際的網絡應用中，逐步演變為當今應用最為廣泛的廣域網鏈路保護，即通常所說的“一跳式保護”。“一跳式”保護在實際網絡中已經有大量部署，是TE FRR應用最多的方式。作為在IP層面唯一可以提供50 ms級別的故障恢復保護機制，可以作為提高網絡可靠性的嘗試技術。

目前，鐵路外部服務數據通信網采用輕載原則進行建設，建議暫不對全網進行流量工程控制。為實現重要鏈路的50 ms倒換，建議在轉發層面實施基于TE的FRR。

5 建設方案研究

5.1 網絡方案

針對以上承載業務需求分析及帶寬測算，對于鐵路外部服務數據網骨干網（以下簡稱骨干網）的建設提出以下3個網絡建設方案。

方案一：利用既有鐵路骨干傳輸網通道條件，建設總公司至各鐵路局的骨干網，采用MPSL VPN承載不同業務并實現優先級控制。總公司新設核心節點路由設備2臺，18個鐵路局各設接入節點路由設備2臺，并部署配套客服平臺局域網接入、網管和網絡安全設備。

方案二：利用既有鐵路數據通信網，新增外部服務網專用VPN，并對鐵路數據通信網接口、安全、帶寬等資源進行補強完善，在總公司、各鐵路局新設鐵路外部服務數據網邊界防火墻設備各2臺，就近接入鐵路數據通信網，利用既有鐵路數據通信網VPN構建骨干網絡并部署配套客服平臺局域網接入和網絡安全設備。

方案三：租用電信運營商網絡通道構建外部服務數據網，在總公司、鐵路局外部服務網邊界部署必要的網絡安全設備，實現外部服務網利用公網運營商資源組網。

對以上3種方案進行比選如下。

1）建設投資

方案一：需要獨立進行全網路由設備的建設，設備投資較高。

方案二：考慮到安全性，需要在各級節點新設獨立的外部服務網接入防火墻，與方案一相比，設備投資大。

方案三：考慮到安全性，需要在各級節點新設獨立的外部服務網接入防火墻，設備投資與方案二相近。但同時需要考慮每年的運營商的網絡及維護租用費用，會對長期運維帶來很大的成本壓力。

2）網絡可擴展性

方案一：在傳輸系統具備條件的前提下，網絡的升級及擴展均可以獨立進行，網絡擴展最靈活。

方案二：目前數據通信網均采用輕載方式設計，預留擴展帶寬較多，網絡擴展靈活。

方案三：網絡的擴展和升級均受限于商務條款，網絡擴展最不靈活。

3）網絡安全性

方案一：利用傳輸系統提供光通道直接組網，與鐵路數據通信網只在部分節點通過安全平臺實現可控互通，來自互聯網的攻擊不會影響到鐵路數據通信網承載的鐵路內部業務，安全性最高。

方案二：需要在所有節點上通過鐵路數據通信網和外部服務網間部署安全設備來實現邏輯隔離，增加鐵路數據通信網遭到網絡攻擊的風險，由于利用同一套網絡設備承載，針對設備的攻擊可能導致鐵路數據通信網無法提供服務，而惡意攻擊更會導致鐵路數據通信網承載的內部業務信息泄露，對行車安全等造成影響，安全性較差。

方案三：與鐵路數據通信網只在部分節點通過安全平臺實現可控互通，來自互聯網的攻擊不會影響到鐵路數據通信網承載的鐵路內部業務，安全性較好。

4）網絡維護

方案一：具有完全獨立的維護界面，可以根據外部服務網的需要，采用獨立網絡承載層面的安全策略以及網絡運行維護體制，網絡可維護性最好。

方案二：安全策略配置上，需要與鐵路數據通信網匹配，在鐵路數據通信網由于承載鐵路內部業務，考慮安全性，通常采用天窗方式。而外部服務網由于承載大量的公眾服務，對網絡應急維護響應時間要求很高，導致網絡可維護性較差。

方案三：可以根據外部服務網的需要，采用獨立網絡承載層面的安全策略以及維護體制。但也需要協調運營商配合進行，因此在維護響應上較差。

綜上所述，方案一的一次性投資雖然稍高，但是網絡可擴展性好，安全性高，運行維護最方便，綜合考慮，建議采用方案一獨立組網方式進行組網，其中總公司節點匯接轉發路由器兼作路由反射器/VPN路由反射器。

5.2 網絡結構

在總公司設置外部服務數據通信網核心節點、18個鐵路局均設置接入節點。接入節點與核心節點采用雙歸星型結構互聯。外部服務局域網CE設備與接入節點采用口字形互聯。

外部服務數據網網絡結構如圖2所示。

圖2 外部服務數據網網絡結構Fig.2 Network structure of external service data network

5.3 自治域方案

根據前述骨干網組網方案，骨干網自治域的建設方案如圖3所示。

圖3 數據網自治域設計方案Fig.3 Design scheme of data network autonomous domain

骨干網全網作為一個獨立的自治域，全網統一建設，統一管理。骨干網內部運行IBGP協議，與各路局外部服務網局域網（簡稱局域網）間通過EBPG方式互聯。全網設置冗余的網管系統，實現對骨干網所有網元設備的維護及管理。

相對于分散自治域方式，該方案中全網設置主備兩套網管實現對所有設備的集中管理，便于統一實現全網的路由策略調整，業務開通協同工作量小，安全防護也僅考慮主備網管域即可。

5.4 網絡帶寬方案

由上述骨干網互聯關系中可知，18個鐵路局區域網絡核心節點至骨干網絡節點共有36條鏈路。核心節點與接入節點互聯的2條鏈路按負載均分考慮，根據鐵路局外部服務網—總公司—鐵路局帶寬總需求測算結果，則單條鏈路流量為2 075～2 284 Mbit/s。考慮在采用分散疏通方式時，鏈路帶寬平均峰值利用率為40%～45%，則接入節點至總公司節點的鏈路帶寬建議為4 611～5 075 Mbit/s。

5.5 網絡管理方案

骨干網的網管系統在建設時，考慮在北京通信中心和武漢各設置1套骨干網絡設備管理系統，負責骨干網設備的網絡管理，同時在鐵路總公司（通信中心）以及各鐵路局設置復示終端。網管采用帶內網管方式，網管設備地址由IS-IS協議承載，在將來骨干網DCN網絡建成后，也可以通過骨干DCN網絡對全網設備配置帶外管理通道。

5.6 網絡安全方案

骨干網的網絡安全建設主要包括網管系統冗余配置、網管局域網與網絡邏輯隔離、操作集中登錄與審計、入侵防范和終端管控、防病毒等方面。硬件部署主要有防火墻、堡壘機、入侵檢測設備（IDS）、準入認證設備以及防病毒、漏洞掃描、日志審計等服務器，并設置相應軟件參數，開啟安全策略。

鐵路總公司網管局域網安全建設方案如圖4所示。

武漢鐵路局網管局域網安全建設方案如圖5所示。

5.7 時間同步方案

骨干網設備以鐵路總公司一級時間同步節點NTP的時間作為基準，接引時間同步信號，用于網元及網管系統時間同步。

圖4 鐵路總公司網管局域網安全建設方案Fig.4 Safety construction plan of CHINA RAILWAY's network management LAN

圖5 武漢鐵路局網管局域網安全建設方案Fig.5 Safety construction plan of Wuhan Railway Administration's network management LAN

6 結束語

按照鐵路總公司信息化總體規劃，結合客服中心聯網運行和總公司新增業務對通信通道能力的要求，并充分考慮將來的業務擴展，建設鐵路外部服務數據網骨干網，連接鐵路總公司與各路局的外部服務局域網。鐵路外部服務數據網的建設，對于滿足鐵路服務拓展需要，保障鐵路各級服務網絡互聯互通，提高通信質量，提升鐵路服務水平和綜合運輸效率，是十分必要的。