石美峰

(西山煤電(集團)公司 信息中心，山西 太原 030053)

1 西山煤電集團公司互聯(lián)網(wǎng)現(xiàn)狀

1.1 西山煤電網(wǎng)絡總體簡介

西山煤電集團公司目前已經(jīng)建成了覆蓋從集團機關到下屬各礦的基礎網(wǎng)絡，實現(xiàn)礦端與集團的互聯(lián)互通，各礦采用雙機部署方式，分別是:一臺H3C公司S7506E設備，用于信息網(wǎng);一臺阿爾卡特的OminiSwitch 7700，用于生產(chǎn)網(wǎng)。兩臺交換機網(wǎng)關冗余。礦端與集團之間采用兩條千兆光纖鏈路，分別接入集團兩臺阿爾卡特的OminiSwitch9700核心交換機。同時建成了集團數(shù)據(jù)中心，實現(xiàn)集團業(yè)務的集中管理及部署;在集團統(tǒng)一部署互聯(lián)出口，滿足集團機關及礦端共3 000人左右的互聯(lián)網(wǎng)訪問需求。

1.2 互聯(lián)網(wǎng)出口現(xiàn)狀

為滿足集團用戶不斷增加的互聯(lián)網(wǎng)訪問需求，互聯(lián)網(wǎng)出口鏈路總帶寬已經(jīng)擴展到2 G，即:聯(lián)通1.5 G，移動0.5 G。集團互聯(lián)網(wǎng)出口具體架構(gòu)示意圖見圖1。

圖1 集團互聯(lián)網(wǎng)出口具體架構(gòu)示意圖

由圖1可見，互聯(lián)網(wǎng)出口部署了2臺路由器，連接兩個不同運營商;2臺路由器向內(nèi)同時連接到1臺負載均衡設備，實現(xiàn)對互聯(lián)網(wǎng)訪問用戶的負載分擔;負載均衡設備向內(nèi)連接深信服流量控制設備，再向內(nèi)是IPS(入侵防御設備)以及萬兆防火墻，防火墻部署著DMZ區(qū)與1臺控制設備相連接，應用控制設備通過兩條鏈路分別與核心設備進行互聯(lián)。

2 集團互聯(lián)網(wǎng)出口現(xiàn)狀分析

1)出口路由設備性能低。目前，互聯(lián)網(wǎng)出口鏈路已經(jīng)提升到2 G，但是，出口路由器還是早期配置，其轉(zhuǎn)發(fā)性能無法滿足2 G帶寬帶來的數(shù)據(jù)轉(zhuǎn)發(fā)要求。

2)設備可靠性不高。隨著出口帶寬的增加，集團用戶上網(wǎng)體驗得到提升，對于網(wǎng)絡的依賴度隨之增加，出口設備的可靠性要求應隨之加大，但目前設備無法做到雙主控、雙電源設置，可靠性不高，無法滿足要求。

3)出口鏈路帶寬瓶頸。目前，由核心設備到出口路由器之間的鏈路為1 G，相對于2 G的出口總帶寬，成為整個網(wǎng)絡出口的瓶頸，如不提升，2 G的出口帶寬實際可用只有1 G，上網(wǎng)體驗無法提升。

4)內(nèi)網(wǎng)鏈路可靠性差。出口通過選擇兩家運營商的鏈路提升了可靠性，但是在路由器到核心交換機之間還是單條鏈路，而且出于安全考慮，串行部署了大量的安全設備，任一設備的故障都可能導致整條鏈路不可用，進而無法進行網(wǎng)絡訪問。

5)安全設備性能不高。目前，出口部署的部分安全設備性能不高，無法滿足鏈路帶寬擴展的要求，需要進行升級。

6)核心設備性能低、擴展性差。隨著集團業(yè)務不斷發(fā)展，網(wǎng)絡數(shù)據(jù)流量不斷加大，尤其是以工業(yè)電視為代表的視頻業(yè)務的發(fā)展，對網(wǎng)絡核心設備的轉(zhuǎn)發(fā)性能不斷地提出新的要求，現(xiàn)網(wǎng)設備性能已經(jīng)無法滿足后續(xù)業(yè)務持續(xù)擴展的要求;且現(xiàn)網(wǎng)核心交換機廠家已經(jīng)停產(chǎn)，擴容、備件、服務等都無法得到有效保障。

3 優(yōu)化方案

3.1 優(yōu)化目標

本次網(wǎng)絡優(yōu)化的目標是優(yōu)化現(xiàn)有互聯(lián)網(wǎng)出口鏈路，提升相應設備的性能、可靠性，提高用戶訪問互聯(lián)網(wǎng)的訪問速度，提升用戶的上網(wǎng)體驗，同時通過本次規(guī)劃使得互聯(lián)網(wǎng)出口鏈路滿足未來幾年業(yè)務發(fā)展要求。

3.2 優(yōu)化原則

1)高性能。本次改造要求全面調(diào)高整個互聯(lián)網(wǎng)出口設備的性能，使之能滿足集團用戶訪問互聯(lián)網(wǎng)帶來的大數(shù)據(jù)量對帶寬、轉(zhuǎn)發(fā)和傳輸?shù)母咭?，同時，能夠滿足未來幾年集團業(yè)務進一步發(fā)展的要求。

2)高可靠。要求出口鏈路、設備采用具有高可靠性的總體設計，在關鍵環(huán)節(jié)均應有備份設計，在關鍵的網(wǎng)絡設備上消除單點失效，可以通過設備冗余和負載分擔的方式來提高通信系統(tǒng)的可靠性，選用的設備本身應具有較高的安全可靠性并支持熱插拔和軟件升級。

3)高安全。進一步優(yōu)化現(xiàn)有的安全防護體系，建全和完善系統(tǒng)的安全保障機制，細化安全策略，提升安全防護水平。

4)技術先進。采用世界主流的設備和技術產(chǎn)品，在相應的應用領域占有較大的用戶市場，在相關網(wǎng)絡技術方面處于領先地位，具有一定的超前意識。

5)易擴展。新增設備應具有良好的可擴展能力，可以靈活地進行必要的調(diào)整和擴充，最大限度地保護現(xiàn)有投資。

6)兼容性。新增設備要求與現(xiàn)有系統(tǒng)無縫兼容，能夠進行良好的配合。

3.3 具體方案

3.3.1 總體規(guī)劃

結(jié)合西山煤電網(wǎng)絡現(xiàn)狀及未來業(yè)務發(fā)展，互聯(lián)網(wǎng)出口整體規(guī)劃示意圖見圖2，升級現(xiàn)有鏈路為萬兆，升級出口鏈路上的安全設備性能，使之與出口帶寬相匹配。

圖2 互聯(lián)網(wǎng)出口整體規(guī)則示意圖

3.3.2 出口路由器更新

新增兩臺高性能的路由器替換現(xiàn)有路由器，提升出口設備的性能，保證高效的數(shù)據(jù)轉(zhuǎn)發(fā);單機配置雙主控、雙電源提高設備的可靠性;配置萬兆接口與內(nèi)網(wǎng)鏈路進行互聯(lián)、配置千兆接口與運營商提供的互聯(lián)網(wǎng)鏈路進行連接。

3.3.3 互聯(lián)網(wǎng)出口鏈路優(yōu)化

簡化整個內(nèi)網(wǎng)鏈路結(jié)構(gòu)，將原有鏈路上功能重復的應用控制產(chǎn)品去掉一個;同時將盒式IPS替換成插卡方式，進而在不改變出口安全防護等級的情況下，盡量簡化出口拓撲結(jié)構(gòu)，減少單點故障點，提升可靠性。原有盒式應用控制設備、盒式入侵防御設備利舊到其它位置。

3.3.4 鏈路帶寬提升

將內(nèi)網(wǎng)核心交換設備到出口路由之間的出口鏈路全部升級為萬兆，以滿足出口帶寬擴容及未來帶寬不斷升級的要求。

3.3.5 安全產(chǎn)品優(yōu)化

利用現(xiàn)有S7506E交換機替換原有S7502E交換機，利用原有負載均衡板卡，同時部署IPS插卡，配置萬兆接口滿足出口鏈路升級萬兆的要求;原S7502E在其它位置進行利用?，F(xiàn)有防火墻、流量控制設備及核心交換機分別擴容萬兆板卡與模塊，從而滿足鏈路升級為萬兆的要求。

4 結(jié)束語

企業(yè)信息化建設的深入開展，對網(wǎng)絡的要求越來越高。為了使出口帶寬資源充分得到利用，達到高性能出口的目的，提出了互聯(lián)網(wǎng)出口改造優(yōu)化方案。方案在確?；ヂ?lián)網(wǎng)出口穩(wěn)定性、可靠性的同時，既保證了訪問速度，又合理利用了出口鏈路。