安徽省氣象信息中心 唐懷甌 華連生 江雙五

基于SDH和VPN構(gòu)建熱備省級氣象寬帶網(wǎng)絡(luò)

安徽省氣象信息中心 唐懷甌 華連生 江雙五

隨著氣象現(xiàn)代化的發(fā)展和需求，可靠的、穩(wěn)定的信息網(wǎng)絡(luò)成為氣象業(yè)務(wù)開展的基礎(chǔ)。氣象廣域網(wǎng)的合理設(shè)計建設(shè)，以及可靠高速的運(yùn)行是氣象部門各項業(yè)務(wù)工作正常開展的前提和保障。本文介紹了通過安徽省氣象寬帶網(wǎng)絡(luò)的設(shè)計和建設(shè)，同時采用SDH專線和VPN網(wǎng)絡(luò)，運(yùn)用OSPF技術(shù)，結(jié)合各項業(yè)務(wù)對可靠性、帶寬及安全等方面的要求，給出了氣象寬帶網(wǎng)絡(luò)動態(tài)熱備的設(shè)計方案、配置方法及測試結(jié)果。

氣象網(wǎng)絡(luò)；SDH；VPN；OSPF；熱備

1.引言

通信網(wǎng)絡(luò)是目前氣象數(shù)據(jù)采集傳輸?shù)闹饕侄?，是預(yù)報預(yù)測、氣象服務(wù)等工作的基礎(chǔ)支撐，臺站各類資料經(jīng)氣象專用線路傳輸?shù)绞庀缶郑偌猩蟼髦林袊鴼庀缶?。全省氣象寬帶網(wǎng)絡(luò)出現(xiàn)故障，全省各臺站的資料就可能會出現(xiàn)逾限甚至缺失，甚至?xí)绊戭A(yù)報、視頻會商和其他氣象服務(wù)。為構(gòu)筑更可靠穩(wěn)定的網(wǎng)絡(luò)系統(tǒng)，安徽省局對全省氣象寬帶網(wǎng)絡(luò)進(jìn)行統(tǒng)一的規(guī)劃和設(shè)計，在SDH和VPN網(wǎng)絡(luò)中運(yùn)用OSPF動態(tài)路由協(xié)議實現(xiàn)氣象寬帶網(wǎng)絡(luò)的熱備和容災(zāi)。

2.網(wǎng)絡(luò)技術(shù)介紹

2.1 SDH技術(shù)簡介

SDH（Synchronous Digital Hierarchy，光同步數(shù)字傳送網(wǎng)）是一種將復(fù)接、線路傳輸及交換等功能融為一體、并由統(tǒng)一網(wǎng)管系統(tǒng)操作的綜合信息傳送網(wǎng)絡(luò)，是世界上各網(wǎng)絡(luò)運(yùn)營商所采用的重要技術(shù)之一。SDH技術(shù)采用統(tǒng)一的接口標(biāo)準(zhǔn)，統(tǒng)一的比特率，為不同廠家的設(shè)備之間的互通互聯(lián)提供了可能，并可以有效地提高網(wǎng)絡(luò)資源的利用率。它用于網(wǎng)絡(luò)運(yùn)行、管理及維護(hù)的開銷豐富，因而使網(wǎng)絡(luò)的操作維護(hù)功能大大增強(qiáng)，便于集中統(tǒng)一管理，大大降低了維護(hù)費(fèi)用的開支。SDH網(wǎng)絡(luò)具有自愈性，提出了自愈網(wǎng)的新概念。SDH具有靈活的復(fù)用映射結(jié)構(gòu)，使網(wǎng)絡(luò)中上下支路信號變得十分簡單，可以方便的使各種業(yè)務(wù)靈活上下。另外SDH網(wǎng)絡(luò)具有信息凈負(fù)荷和定時的透明性，并將IP網(wǎng)絡(luò)技術(shù)建立在SDH傳輸平臺上，既兼容現(xiàn)有的不同技術(shù)和標(biāo)準(zhǔn)，又滿足未來的發(fā)展需求[1]。

2.2 VPN技術(shù)簡介

2.2.1 VPN概念

VPN（Virtual Private Network）利用公用網(wǎng)絡(luò)（通常是internet互聯(lián)網(wǎng)）作為基本傳輸媒體，在公用網(wǎng)絡(luò)上建立一條臨時的虛擬專用網(wǎng)絡(luò)通道，通過加密和驗證網(wǎng)絡(luò)流量等方法來保護(hù)數(shù)據(jù)安全、穩(wěn)定傳輸，而不被竊取和篡改。它隨著互聯(lián)網(wǎng)的發(fā)展而迅速發(fā)展起來，可提供類似于企業(yè)內(nèi)部專線性能的網(wǎng)絡(luò)服務(wù)，由GRE、IPSEC、PPTP、L2TP等技術(shù)組成。

2.2.2 隧道技術(shù)

隧道技術(shù)是虛擬的點對點連接技術(shù)，依靠互聯(lián)網(wǎng)服務(wù)提供商（ISP）在公用網(wǎng)中建立自己專用的數(shù)據(jù)包傳輸隧道。VPN的隧道協(xié)議可分為第二層隧道協(xié)議和第三層隧道協(xié)議，GRE（Generic Routing Encapsulation，通用路由封裝協(xié)議）是第三層隧道協(xié)議，采用了隧道（Tunnel）技術(shù)。GRE隧道的設(shè)計目的就是為了讓遠(yuǎn)程網(wǎng)絡(luò)能夠以本地連接的方式顯現(xiàn)[2]。

2.2.3 IPSec協(xié)議

IPSec（IP Security，網(wǎng)絡(luò)安全協(xié)議）是IETF（Internet工程任務(wù)組）為了確保在任何IP網(wǎng)絡(luò)上擁有安全的私密通信而開發(fā)的開放標(biāo)準(zhǔn)框架。IPSec是網(wǎng)絡(luò)層中安全通訊的第三層協(xié)議，提供傳送、接收端做數(shù)據(jù)的認(rèn)證、完整性、機(jī)密性、抗重播以及存取控制等安全服務(wù)。高層的應(yīng)用協(xié)（TCP和UDP）也可以直接或間接地使用這些安全服務(wù)。IPSec提供了一種標(biāo)準(zhǔn)的、健壯的以及包容廣泛的機(jī)制，可有效地保護(hù)IP數(shù)據(jù)包的安全，確保數(shù)據(jù)通過公共網(wǎng)絡(luò)時的安全性。

2.3 OSPF路由協(xié)議

由系統(tǒng)管理員事先設(shè)置好固定的路由表稱之為靜態(tài)（static）路由表，一般是在系統(tǒng)安裝時就根據(jù)網(wǎng)絡(luò)的配置情況預(yù)先設(shè)定的，它不會隨未來網(wǎng)絡(luò)結(jié)構(gòu)的改變而改變。動態(tài)（Dynamic）路由表是路由器根據(jù)網(wǎng)絡(luò)系統(tǒng)的運(yùn)行情況按照路由選擇協(xié)議（Routing Protocol）而自動學(xué)習(xí)、調(diào)整和記憶的路由表。動態(tài)路由可以自動適應(yīng)網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)的變化，以維持路由的正確性與完整性。

OSPF（Open Shortest Path First，開放式最短路徑優(yōu)先路由協(xié)議）是一種基于SPF算法（最短路徑優(yōu)先算法）的內(nèi)部網(wǎng)關(guān)協(xié)議（Interior Ga-teway Protocol，IGP），用于在同一個自治域中的路由器之間發(fā)布路由信息，具有支持大型網(wǎng)絡(luò)、路由收斂快、占用網(wǎng)絡(luò)資源少等優(yōu)點，是一種典型的鏈路狀態(tài)路由協(xié)議[3]。

OSPF路由器收集其所在網(wǎng)絡(luò)區(qū)域上各路由器的鏈路狀態(tài)信息（Link-State），生成鏈路狀態(tài)數(shù)據(jù)庫（Link-State Database），利用SPF獨立地計算出到達(dá)任意目的地的路由。OSPF利用量度Cost計算目的路徑，Cost最小者即為最短路徑。在配置OSPF路由器時可根據(jù)實際情況，如鏈路帶寬、時延或費(fèi)用設(shè)置鏈路Cost大小[4]。

2.4 VRRP協(xié)議

VRRP（Virtual Router Redundancy Protocol，虛擬路由冗余協(xié)議）是一種容錯選擇協(xié)議，為具有多播或廣播能力的局域網(wǎng)設(shè)計。VRRP將一組路由器（一個活動路由器Master和多個備份路由器Backup）組織成一個虛擬路由器，即一個備份組，從而當(dāng)Master宕機(jī)時，備份組內(nèi)優(yōu)先級最高的Backup會及時接管轉(zhuǎn)發(fā)工作成為新的Master，提高了網(wǎng)絡(luò)服務(wù)質(zhì)量[5]。

3.網(wǎng)絡(luò)設(shè)計和規(guī)劃方案

3.1 應(yīng)用需求和設(shè)計原則

3.1.1 網(wǎng)絡(luò)應(yīng)用需求

氣象寬帶網(wǎng)絡(luò)目前的主要應(yīng)用包括：觀測資料的采集上傳；預(yù)報業(yè)務(wù)系統(tǒng)資料調(diào)用；公共服務(wù)及決策服務(wù)信息傳輸；視頻預(yù)測會商；衛(wèi)星廣播系統(tǒng)資料的接收共享；Notes郵件系統(tǒng)的應(yīng)用；辦公OA及計財系統(tǒng)應(yīng)用；互聯(lián)網(wǎng)應(yīng)用服務(wù)等。

3.1.2 網(wǎng)絡(luò)設(shè)計原則

在滿足實際業(yè)務(wù)需求的基礎(chǔ)上，結(jié)合國家和氣象局信息安全管理的要求，安徽省氣象寬帶網(wǎng)絡(luò)系統(tǒng)設(shè)計規(guī)劃為：理順核心局域網(wǎng)絡(luò)系統(tǒng)邏輯結(jié)構(gòu)，利用VRRP技術(shù)構(gòu)建核心交換機(jī)雙機(jī)熱備策略，加強(qiáng)核心業(yè)務(wù)系統(tǒng)的網(wǎng)絡(luò)保證和安全保護(hù)；加強(qiáng)全省氣象廣域網(wǎng)絡(luò)的設(shè)計、建設(shè)和管理，兼顧網(wǎng)絡(luò)系統(tǒng)的高速和穩(wěn)定兩方面的性能，整個網(wǎng)絡(luò)系統(tǒng)具備應(yīng)急自動備份方案：即具備主通信網(wǎng)絡(luò)和備份網(wǎng)絡(luò)兩套系統(tǒng)，增強(qiáng)氣象部門數(shù)據(jù)通信和信息共享的安全性、可靠性；完善氣象部門信息網(wǎng)絡(luò)基礎(chǔ)環(huán)境，提出適應(yīng)氣象業(yè)務(wù)發(fā)展需求，且滿足信息系統(tǒng)安全等級保護(hù)要求的信息網(wǎng)絡(luò)架構(gòu)。

3.2 氣象寬帶網(wǎng)絡(luò)規(guī)劃方案

在全省開通省、市、縣3級SDH網(wǎng)絡(luò)，其中市-省分別開通聯(lián)通和移動SDH專線各一條，切實降低鏈路中斷對業(yè)務(wù)影響的可能性。移動SDH主要用于數(shù)據(jù)傳輸（簡稱數(shù)據(jù)網(wǎng)），聯(lián)通SDH主要用于傳輸視頻會議信息。市-縣采用聯(lián)通SDH專線。SDH網(wǎng)絡(luò)為通信的主鏈路，帶寬都分別是2M。同時搭建基于互聯(lián)網(wǎng)的省、市、縣3級VPN網(wǎng)絡(luò)作為備份網(wǎng)絡(luò)系統(tǒng)，VPN網(wǎng)絡(luò)采用IPsec+GRE的技術(shù)實現(xiàn)。省、市級廣域網(wǎng)出口都架設(shè)硬件防火墻，保證局域網(wǎng)的安全。在SDH和VPN鏈路中同時采用OSPF動態(tài)路由協(xié)議進(jìn)行冗余保護(hù)，當(dāng)主鏈路SDH網(wǎng)絡(luò)中斷時，自動切換到備份網(wǎng)絡(luò)通信。網(wǎng)絡(luò)拓?fù)鋱D如圖1所示。

3.2.1 省局核心網(wǎng)絡(luò)

省級氣象通信網(wǎng)絡(luò)為雙核心交換機(jī)結(jié)構(gòu)，雙機(jī)采用H3C S7503交換機(jī)，處于一主一備的熱備狀態(tài)，設(shè)備上啟用VRRP協(xié)議的VLAN來實現(xiàn)熱備，確保省級氣象通信骨干網(wǎng)絡(luò)的正常運(yùn)行。

省級中心對市、縣的通信采用雙核心路由器結(jié)構(gòu)，兩個路由器采用H3C R6604路由器，分接SDH線路和VPN線路，通過OSPF動態(tài)路由的學(xué)習(xí)方式來建立動態(tài)路由的自動切換，實現(xiàn)網(wǎng)絡(luò)熱備和負(fù)載均衡。當(dāng)主路由出現(xiàn)故障時，備份路由自動接管；主路由恢復(fù)正常后，自動從備份路由切換到主路由上。以此來確保市、縣到省中心機(jī)房的通信傳輸?shù)牟婚g斷。省局雙核心網(wǎng)絡(luò)結(jié)構(gòu)如圖2所示。

3.2.2 市級網(wǎng)絡(luò)

根據(jù)設(shè)計方案和自身需求，市氣象局采用一臺三層交換機(jī)博達(dá)S3424作為信息網(wǎng)絡(luò)的核心層，采用端口鏈路聚合技術(shù)，并通過不同的VLAN分別連接SDH和VPN路由設(shè)備，隔離了網(wǎng)絡(luò)廣播信息，利用率得到提高。SDH線路接入博達(dá)路由器R4860，VPN線路接入H3C路由器 R28-11，其中移動SDH鏈路的Cost值為50，聯(lián)通VPN鏈路的Cost值為80，SDH鏈路的Cost值為100。市局是縣局到省局通信的中轉(zhuǎn)站。

3.2.3 各縣局網(wǎng)絡(luò)

縣局網(wǎng)絡(luò)設(shè)備采用博達(dá)路由器R2641，同時接入SDH和VPN網(wǎng)絡(luò)，Cost值設(shè)置和市局的對應(yīng)線路相同，并配置到省局的VPN隧道，Cost值設(shè)為500，作為市局整個網(wǎng)絡(luò)癱瘓時直接同省局信息傳輸?shù)淖詈髠浞荨Ｍ瑫r采用H3C路由器R28-11分別配置連接省、市局的VPN線路，作為博達(dá)路由器R2641的冷備份設(shè)備。

圖1 全省氣象寬帶網(wǎng)絡(luò)結(jié)構(gòu)拓?fù)鋱D

圖2 省級雙核心交換機(jī)及路由器連接結(jié)構(gòu)圖

4.實施配置

網(wǎng)絡(luò)設(shè)備配置清單如下，因縣局設(shè)備配置與市局基本對應(yīng)故略去。主要列舉省局核心交換機(jī)VRRP配置及市局網(wǎng)絡(luò)設(shè)備配置清單。

4.1 省局交換機(jī)配置

二層交換機(jī)都通過兩條千兆以太網(wǎng)線分別上連至核心交換機(jī)S7503-1及S7503-2，同時S7503之間通過鏈路捆綁技術(shù)實現(xiàn)流量共享；在S7503上啟用VRRP協(xié)議的VLAN，滿足熱備要求。

# 建立VLAN 282，設(shè)置IP地址和ospf cost值；

# 建立VLAN 382，設(shè)置IP地址和ospf cost值；

#千兆端口，用于連接備份路由器H3C R6604-1；

#千兆端口，用于連接備份路由器H3C R6604-1；

#配置OSPF，將本交換機(jī)的路由信息在區(qū)域10中動態(tài)發(fā)布出去

4.2 市局交換機(jī)配置

劃分不同的VLAN，并設(shè)置相應(yīng)的端口，1到24口為局域網(wǎng)端口，屬于VLAN 2，用于連接內(nèi)部二層交換機(jī)或者服務(wù)器；

千兆端口1和3，屬于VLAN 200，用于連接SDH路由器博達(dá)R4860；

千兆端口2和4，屬于VLAN 300，用于連接VPN路由器H3C R28-11；

!配置連接SDH路由器的端口地址，并設(shè)置OSPF Cost值為50

! 配置連接VPN路由器的端口地址，并設(shè)置OSPF Cost值為60

配置OSPF，將路由信息在區(qū)域10中動態(tài)發(fā)布出去。

4.3 市局SDH路由器配置

!配置SDH端口為E1接口，并采用非成幀模式；

!連接交換機(jī)的千兆口配置

!聯(lián)通SDH鏈路連接到省局的端口配置，采用PPP協(xié)議，設(shè)置OSPF Cost值為80，并配置策略路由，匹配源地址，只允許視頻設(shè)備地址通過；

!移動SDH鏈路連接到省局的端口配置，采用PPP協(xié)議，設(shè)置OSPF Cost值為50；

!到縣局SDH鏈路的端口配置，采用PPP協(xié)議，設(shè)置OSPF Cost值為50；

! 配置OSPF，將路由信息在區(qū)域10中動態(tài)發(fā)布出去；

!對一些特定的通信需求，通過指定靜態(tài)路由的方式完成。

4.4 市局VPN路由器配置

#在IPSec中，由AH、ESP協(xié)議使用MD5或SHA散列算法實現(xiàn)加密服務(wù)和數(shù)據(jù)完整性認(rèn)證，采用IKE（The Internet Key Exchange，Internet密鑰交換）來作為密鑰交換的工具。配置市到縣局的IKE設(shè)置，配置IKE對等體[6]；

#配置市到省局的VPN鏈路的IKE設(shè)置設(shè)置，配置IKE對等體；

#創(chuàng)建安全提議，系統(tǒng)提供一條缺省的IKE安全提議（一般為espdes、esp-md5-hmac）；

#創(chuàng)建至縣局的安全策略，在安全策略中引用安全提議，引用IKE對等體，引用訪問控制列表；

#創(chuàng)建至省局的安全策略，在安全策略中引用安全提議，引用IKE對等體，引用訪問控制列表；

#連接三層交換機(jī)博達(dá)S3424接口配置

#連接Internet接口配置

#連接省局的隧道配置，配置隧道的起點和終點，引用對應(yīng)安全策略，設(shè)置OSPF Cost值為60，并且根據(jù)實際網(wǎng)絡(luò)情況配置統(tǒng)一的MTU值和MSS值，提高網(wǎng)絡(luò)帶寬的利用率[7]；

#連接縣局的隧道配置，要配置隧道的起點和終點，并引用對應(yīng)安全策略，設(shè)置OSPF的 Cost值為60；

#訪問控制列表配置；

#配置OSPF，將路由信息在區(qū)域10中動態(tài)發(fā)布出去；

5.結(jié)語與討論

通過上述省、市各網(wǎng)絡(luò)設(shè)備的配置，省局、市局、縣局之間的網(wǎng)絡(luò)通信實現(xiàn)以SDH主干線路和IPSEC+GRE備份線路的熱備份組網(wǎng)形式。正常情況下優(yōu)先選用SDH專線網(wǎng)絡(luò)，當(dāng)SDH鏈路或者網(wǎng)絡(luò)設(shè)備出現(xiàn)故障時，三層交換機(jī)通過OSPF協(xié)議，會自動快速啟用VPN備份線路進(jìn)行通信。通過中斷測試運(yùn)用連續(xù)Ping檢測，從故障發(fā)生到線路切換為備份網(wǎng)絡(luò)，可以在5秒左右完成，僅會丟3至4個包，當(dāng)主干網(wǎng)絡(luò)恢復(fù)時，自動切回到主干線路，幾乎沒有丟包和延時發(fā)生，整個切換過程對用戶透明。

安徽省氣象寬帶網(wǎng)絡(luò)經(jīng)過設(shè)計構(gòu)建后，提高了廣域網(wǎng)的通信性能，保證各項業(yè)務(wù)每天24小時的穩(wěn)定運(yùn)行，為大數(shù)據(jù)量信息的傳遞提供了堅實的基礎(chǔ)，使得高清視頻會商等許多新增業(yè)務(wù)的良好開展成為可能。主備網(wǎng)絡(luò)的熱備份及靈活的自動切換，使得整個氣象網(wǎng)絡(luò)系統(tǒng)更加可靠穩(wěn)定，達(dá)到了預(yù)期效果。同時也應(yīng)看到，雖然實現(xiàn)通信線路和路由設(shè)備的備份冗余，但網(wǎng)絡(luò)中還存在單點故障的隱患，比如市局的三層交換機(jī)，當(dāng)其出現(xiàn)故障時也會給業(yè)務(wù)造成較大影響。今后將對氣象寬帶網(wǎng)做進(jìn)一步的優(yōu)化建設(shè)，增強(qiáng)網(wǎng)絡(luò)的可靠性和安全性，減少單點設(shè)備故障的隱患。

[1]上海博達(dá)數(shù)據(jù)通信有限公司.博達(dá)認(rèn)證網(wǎng)絡(luò)工程師(BCNE)培訓(xùn)教程.

[2]Gary A.Donahue.Network Warrior中文版——思科網(wǎng)絡(luò)工程師必備手冊.北京:人民郵電出版社,2011:147-159.

[3]王群.非常網(wǎng)管-網(wǎng)絡(luò)基礎(chǔ)[M].北京:人民郵電出版社,2006:369-386.

[4]Alex Zinin.Cisco IP路由——分組轉(zhuǎn)發(fā)與域內(nèi)路由協(xié)議[M].北京:清華大學(xué)出版社,2005:360-457.

[5]中國氣象信息中心.全國氣象寬帶網(wǎng)絡(luò)主干系統(tǒng)整合方案.

[6]杭州華三通信技術(shù)有限公司.H3CSERouting & Switching課程《構(gòu)建企業(yè)級路由網(wǎng)絡(luò)(v5.1)》培訓(xùn)教程.

[7]唐懷甌.安徽省氣象寬帶網(wǎng)絡(luò)中MTU問題的研究和優(yōu)化[C].2011年中國氣象學(xué)會氣象通信與信息技術(shù)委員會暨國家氣象信息中心科技年會論文集(2011.05).

本文為安徽省氣象局2009年現(xiàn)代化建設(shè)重要項目“安徽省氣象局SDH通信網(wǎng)絡(luò)建設(shè)”。

唐懷甌（1980—），男，安徽宿州人，大學(xué)本科，安徽省氣象信息中心工程師。

華連生（1969—），男，安徽安慶人，碩士研究生，安徽省氣象信息中心高級工程師。

江雙五（1971—），男，安徽安慶人，碩士研究生，安徽省氣象信息中心高級工程師。