席小紅

(山西焦煤西山煤電集團公司信息中心)

·技術(shù)經(jīng)驗·

西山煤電集團骨干網(wǎng)絡(luò)改造方案設(shè)計

席小紅

(山西焦煤西山煤電集團公司信息中心)

西山骨干網(wǎng)從2003年組建以來，隨著應(yīng)用范圍的不斷擴展，對網(wǎng)絡(luò)的整體結(jié)構(gòu)要求越來越高。介紹了西山骨干網(wǎng)的現(xiàn)狀，分析了原有網(wǎng)絡(luò)、數(shù)據(jù)中心、互聯(lián)網(wǎng)出口存在的問題，并提出了相應(yīng)的優(yōu)化改造方案。

網(wǎng)絡(luò)；交換機；安全；數(shù)據(jù)；互聯(lián)網(wǎng)；優(yōu)化方案

1 西山信息骨干網(wǎng)絡(luò)現(xiàn)狀

西山煤電集團公司的信息骨干網(wǎng)，從2003年建設(shè)以來實現(xiàn)了以西山網(wǎng)絡(luò)中心為核心，先后與公司下屬9個礦、汾西、霍州、華晉、山西焦煤集團聯(lián)網(wǎng)，構(gòu)成以西山網(wǎng)絡(luò)為平臺的山西焦煤集團公司計算機網(wǎng)絡(luò)架構(gòu)。專項應(yīng)用有：“瓦斯監(jiān)測監(jiān)控安全信息”、“電力調(diào)度遠(yuǎn)動監(jiān)測信息”、“生產(chǎn)調(diào)度、行政視頻會議”、“安全監(jiān)察信息管理”、“醫(yī)保管理信息系統(tǒng)”、“兩個門戶網(wǎng)站”等。為公司的生產(chǎn)、安全、辦公方面提供了可靠的信息平臺。

隨著信息技術(shù)的不斷發(fā)展，集團公司業(yè)務(wù)的不斷增加，對網(wǎng)絡(luò)的安全性、穩(wěn)定性和速度的要求越來越高，因此，需要在一些方面進行優(yōu)化改造。結(jié)合當(dāng)前實際情況，對西山的網(wǎng)絡(luò)、數(shù)據(jù)中心、互聯(lián)網(wǎng)出口提出優(yōu)化方案。

2 集團骨干網(wǎng)優(yōu)化方案

1) 現(xiàn)有組網(wǎng)存在的問題。原有西山煤電集團的骨干網(wǎng)，是通過各礦的匯聚交換機上行到集團的核心交換機，鏈路采用光纖上行，核心交換機設(shè)備選用的是阿爾卡特的OminiSwitch 9700，各礦的匯聚設(shè)備選用的是阿爾卡特的OminiSwitch 7700。

現(xiàn)有組網(wǎng)的問題主要集中在以下幾點：

每個礦目前都采用單機部署方式，一旦該交換機故障，則會導(dǎo)致所有業(yè)務(wù)的中斷。

每個礦的核心交換機采用的光接口板只有1塊，目前，2條上行鏈路都接在一塊板上，所以如果該接口板出現(xiàn)故障，沒有任何措施能夠保證網(wǎng)絡(luò)業(yè)務(wù)的連續(xù)性。

原有鏈路雙上行光纖采用1根光纖中的不同芯，一旦光纖發(fā)生物理故障，雙上行也形同虛設(shè)。

原有各二級單位上聯(lián)時，缺乏安全保護，一旦一個礦發(fā)生蠕蟲木馬等安全威脅，安全威脅很容易擴散到其它礦。

目前，生產(chǎn)網(wǎng)和信息網(wǎng)都采用了相同的物理網(wǎng)絡(luò)，沒有任何隔離措施，兩網(wǎng)會相互影響。

綜上所述，現(xiàn)有的網(wǎng)絡(luò)故障恢復(fù)時間完全不可控，取決于故障定位恢復(fù)時間、備品備件到達礦的時間。

2) 為確保冗余性，以及故障情況下的能夠及時恢復(fù)，針對現(xiàn)有存在的問題，本次方案做如下優(yōu)化：

進行各礦核心交換機優(yōu)化，升級原有單機為雙機。新的核心設(shè)備選擇H3C公司S7506E設(shè)備。新升級的設(shè)備自帶雙主控雙電源，并都配置了相應(yīng)的接口板，舊的7700擴容一塊光口板。鏈路優(yōu)化上，在原有一條光纖鏈路的基礎(chǔ)上，新鋪設(shè)一條不同路由的光纖鏈路。

各礦的骨干網(wǎng)出口需擴展安全防護功能，確保安全威脅不會擴散。使用防火墻模塊，可以實現(xiàn)各礦的安全分區(qū)隔離，并在不同的安全分區(qū)間配置安全策略。

礦級生產(chǎn)網(wǎng)和信息網(wǎng)的隔離在各礦級核心交換機邏輯隔離，新增的核心交換機與原有的核心交換機做到網(wǎng)關(guān)冗余，從而大幅提高生產(chǎn)網(wǎng)業(yè)務(wù)的可靠性，達到西山煤電集團對生產(chǎn)業(yè)務(wù)連續(xù)性的要求。

選擇本次的方案進行改造，使集團骨干網(wǎng)整網(wǎng)的雙機雙鏈路冗余，大大降低原有網(wǎng)絡(luò)運行的風(fēng)險。

在骨干網(wǎng)優(yōu)化中選擇H3C的S7506E設(shè)備，技術(shù)上主要是從設(shè)備性能較原有阿爾卡特設(shè)備有大幅度提升，但是又能夠基于標(biāo)準(zhǔn)的技術(shù)與原有設(shè)備有很好的兼容，且其集成多業(yè)務(wù)處理模塊的能力可以較好地為各礦的核心設(shè)備功能增強、安全加固提供較好的可擴展性。

3 集團數(shù)據(jù)中心優(yōu)化

集團數(shù)據(jù)中心是企業(yè)信息化的核心，需要考慮來自生產(chǎn)網(wǎng)絡(luò)訪問、信息網(wǎng)絡(luò)訪問以及來自Internet網(wǎng)絡(luò)的安全威脅。在數(shù)據(jù)大集中的趨勢下，數(shù)據(jù)中心需要面向整個集團提供各種信息化服務(wù)，建設(shè)高安全、高可靠的數(shù)據(jù)中心以保證信息業(yè)務(wù)的高可用性，建設(shè)高性能的數(shù)據(jù)中心滿足大量業(yè)務(wù)并發(fā)訪問的難題，是數(shù)據(jù)中心優(yōu)化要解決的兩大問題。

遵從現(xiàn)代化數(shù)據(jù)中心的建設(shè)原則，按照分層、分區(qū)、分級的思想進行數(shù)據(jù)中心優(yōu)化。并且針對數(shù)據(jù)中心不同分區(qū)的安全級別，分別進行針對性的安全策略部署。

原西山煤電集團數(shù)據(jù)中心前端只部署了聯(lián)想網(wǎng)御防火墻設(shè)備V3414，而且設(shè)備性能為千兆，業(yè)務(wù)量大時會成為數(shù)據(jù)中心的瓶頸。通過部署了高端數(shù)據(jù)中心級防火墻 F5000-A，可以達到40G的吞吐量和最大并發(fā)400萬會話，其能夠支持256個虛擬防火墻的能力，也可以為細(xì)分業(yè)務(wù)進行保護，實現(xiàn)了富裕的功能性能保障，此外，后續(xù)可擴容8個萬兆接口，也非常適合部署在數(shù)據(jù)中心前端，以備數(shù)據(jù)中心提速之需。

原有的數(shù)據(jù)中心無法針對來自集團內(nèi)部的安全威脅滲透，為了保護數(shù)據(jù)中心的高價值數(shù)據(jù)，本次采用了T1000-A產(chǎn)品，通過可以動態(tài)更新的特征庫，不斷防御來自內(nèi)網(wǎng)的病毒、木馬、蠕蟲等等安全攻擊。

同時，針對數(shù)據(jù)中心整體進行了性能優(yōu)化，尤其是針對網(wǎng)內(nèi)用戶對服務(wù)器的訪問。為有效提高訪問速度、提高帶寬利用率、減少訪問時延、緩解服務(wù)器壓力，有必要使用服務(wù)器負(fù)載均衡性能優(yōu)化設(shè)備。

通過采用負(fù)載均衡應(yīng)用優(yōu)化設(shè)備SecPath ASE，實現(xiàn)數(shù)據(jù)中心的性能保護，ASE部署在數(shù)據(jù)中心前端的優(yōu)勢可以很好地分擔(dān)服務(wù)器的非關(guān)鍵應(yīng)用對服務(wù)器的性能影響，也可以在處理大量并發(fā)訪問連接時進行智能的連接復(fù)用、TCP優(yōu)化、SSL優(yōu)化。

4 集團互聯(lián)網(wǎng)出口優(yōu)化

4.1集團互聯(lián)網(wǎng)出口現(xiàn)狀存在以下幾個問題

1) 缺少應(yīng)用層安全保護，針對病毒、蠕蟲、木馬等常見安全威脅無應(yīng)對措施。

2) 缺乏出口性能保護，在P2P、網(wǎng)絡(luò)流媒體大量占用出口帶寬的情況下，信息網(wǎng)訪問互聯(lián)網(wǎng)的體驗大大降低。

3) 設(shè)備性能普遍不能滿足現(xiàn)有業(yè)務(wù)不斷發(fā)展的需要，在大業(yè)務(wù)流量情況下，現(xiàn)有的出口設(shè)備出現(xiàn)丟包、上不了網(wǎng)等情況；

4) 在線部署的單節(jié)點設(shè)備容易形成瓶頸，一旦設(shè)備出現(xiàn)問題，會導(dǎo)致整個網(wǎng)絡(luò)中斷；

5) 原有的鏈路負(fù)載均衡設(shè)備Radware LinkProof 1000性能不足，不僅完成不了合理分配兩條鏈路帶寬的功能，反而成了出口性能上的短木板。

4.2集團互聯(lián)網(wǎng)出口優(yōu)化

通過在應(yīng)用層防護上部署可以自動下載數(shù)字特征庫的IPS產(chǎn)品 T1000-A，一臺部署在防火墻外側(cè)，確保不斷變化的病毒蠕蟲木馬不會從網(wǎng)絡(luò)入口攻擊到服務(wù)器和內(nèi)網(wǎng)的主機；一臺部署在防火墻的DMZ區(qū)，確保DMZ區(qū)服務(wù)器的安全。同時，通過部署應(yīng)用控制產(chǎn)品SecPathACG 8800，既能夠針對目前所有主流的P2P應(yīng)用、網(wǎng)絡(luò)視頻應(yīng)用、網(wǎng)絡(luò)游戲等進行帶寬管理和帶寬保證，還需要能夠?qū)W(wǎng)頁訪問、FTP、Email等功能進行上網(wǎng)的審計。既能夠滿足合理利用帶寬的需要，還滿足了公安部對企事業(yè)單位出口上網(wǎng)行為管理的規(guī)定。

為避免單點故障，本次新增的在線設(shè)備全部支持透明部署，內(nèi)置斷電保護功能。

5 方案特點

1) 網(wǎng)絡(luò)建設(shè)的全面性。方案綜合考慮了現(xiàn)有西山煤電集團的整體網(wǎng)絡(luò)狀況，選擇了一個兼具先進性、可行性、兼容性的方案。方案的選擇既結(jié)合了當(dāng)前業(yè)務(wù)的需要，又能滿足未來3～5年集團信息化建設(shè)對網(wǎng)絡(luò)基礎(chǔ)架構(gòu)的要求，而且所選擇產(chǎn)品都是國內(nèi)相關(guān)領(lǐng)域品牌最好的產(chǎn)品，可以很大程度地緩解后期維護的壓力。針對前期現(xiàn)網(wǎng)的組成，本次方案改動最小，又避免了現(xiàn)網(wǎng)中對原有設(shè)備的過度依賴。

2) 支持業(yè)務(wù)的高可靠性。方案從鏈路、設(shè)備、板卡、業(yè)務(wù)規(guī)劃等方面充分考慮冗余和可靠性，將故障恢復(fù)時間控制在秒級以內(nèi)，充分保障業(yè)務(wù)連續(xù)性。

3) 業(yè)務(wù)處理的高性能。方案所有選擇產(chǎn)品均為高端高性能的在線設(shè)備，從硬件上均為最先進的多核或NP架構(gòu)，所有在線的應(yīng)用層安全設(shè)備(入侵防御系統(tǒng)、應(yīng)用控制網(wǎng)關(guān))時延都在200 ms以內(nèi)，而三四層安全設(shè)備處理時延都在10 ms以內(nèi)，所以可以保證整體業(yè)務(wù)時延用戶感知不明顯。

4) 安全防護的完備性。本次網(wǎng)絡(luò)安全建設(shè)既針對現(xiàn)網(wǎng)情況，針對互聯(lián)網(wǎng)網(wǎng)絡(luò)入口的安全威脅和骨干網(wǎng)面臨的安全威脅進行了統(tǒng)一防護，又能夠針對數(shù)據(jù)中心需要保護的服務(wù)器進行重點保護。保護的內(nèi)容既包括已有的安全威脅，比如ARP攻擊等等，又包括能夠針對不斷更新的木馬、病毒、蠕蟲等威脅的動態(tài)防護。

5) 網(wǎng)絡(luò)安全管理的與時俱進。本次網(wǎng)絡(luò)既有網(wǎng)絡(luò)管理中心，可以針對全網(wǎng)網(wǎng)元進行管理，對設(shè)備下發(fā)管理策略。又有安全管理中心，可以統(tǒng)一收集全網(wǎng)的安全事件日志，按照預(yù)先定義好的策略進行相應(yīng)的聯(lián)動策略部署。并通過技術(shù)手段，盡可能多地使網(wǎng)絡(luò)安全設(shè)備的智能聯(lián)動，降低了大型網(wǎng)絡(luò)對維護人力的要求。

6 結(jié)束語

隨著企業(yè)信息化建設(shè)的深入開展，對企業(yè)網(wǎng)絡(luò)要求越來越高。本文分析了原有西山骨干網(wǎng)在使用過程中出現(xiàn)的問題，并提出了相應(yīng)的優(yōu)化改造方案。方案綜合考慮了現(xiàn)有西山煤電的整體網(wǎng)絡(luò)狀況，選擇了一個兼具先進性、可行性、兼容性的方案。希望西山骨干網(wǎng)在西山信息化建設(shè)中能成為一個更為完善的平臺。

DesignonTransformationSchemeofBackboneNetworkinXishanCoalGroup

XiXiao-hong

Since Xishan network set up in 2003, scope of application continue to expand, the overall structure of networks have become increasingly demanding.Introduces the state of Xishan network, analyses the questions of the existing network, data centre and international internet bandwidth ,and proposes homologous formula for optimizing modification.

Network; Switch; Safety; Data; Internet; Optimize scheme

席小紅 女 1970年出生 1992年畢業(yè)于太原工業(yè)大學(xué) 工程師 太原 030053

TD655

A

1672-0652(2010)10-0048-03

2010-08-26