齊連旭 吳瓊瑛

（遼寧鐵法能源有限責(zé)任公司，遼寧 調(diào)兵山 112700）

1 項目建設(shè)背景

鐵法能源公司從2000年開始就進行信息化網(wǎng)絡(luò)的建設(shè)工作，網(wǎng)絡(luò)的范圍覆蓋鐵法能源公司信息化建設(shè)的各個部門，以支持企業(yè)信息化建設(shè)的所有業(yè)務(wù)數(shù)據(jù)流在網(wǎng)上高速暢通運行。隨著網(wǎng)絡(luò)應(yīng)用的不斷延伸，在2006年針對網(wǎng)絡(luò)進行大規(guī)模升級改造，更換了原有的落后核心設(shè)備，將網(wǎng)絡(luò)結(jié)構(gòu)重新規(guī)劃，增加各信息化節(jié)點IP儲備量，縮小沖突域，同時將網(wǎng)絡(luò)路由協(xié)議由靜態(tài)轉(zhuǎn)為動態(tài)，為下一步的環(huán)網(wǎng)建設(shè)做鋪墊。2012年開始對信息化環(huán)網(wǎng)進行可行性論證，2013年起逐步對原有星形網(wǎng)絡(luò)進行改造，經(jīng)多年的建設(shè)已建成以萬兆骨干環(huán)網(wǎng)為核心、千兆骨干環(huán)網(wǎng)為匯聚的信息化網(wǎng)絡(luò)。

2 鐵法能源公司主干環(huán)網(wǎng)建設(shè)實踐

鐵法能源公司主干環(huán)網(wǎng)建設(shè)分為兩個主要部分：一是針對現(xiàn)有設(shè)備進行增補更換，增強網(wǎng)絡(luò)運行能力；二是建設(shè)環(huán)網(wǎng)線路，并對原有OSPF路由進行改造以適應(yīng)環(huán)網(wǎng)需求。

針對現(xiàn)有設(shè)備進行增補更換：

（1）在大隆礦、小康礦、大平礦各增加一臺7606路由器。3臺大容量高速路由器用以增強重點礦廠、重點環(huán)路、重要節(jié)點的數(shù)據(jù)轉(zhuǎn)發(fā)能力。

（2）將鐵法能源公司原機房拆分成為調(diào)兵山和康平兩個核心機房。其中調(diào)兵山核心機房作為鏈路匯聚節(jié)點，負責(zé)物理傳輸上的集中；康平核心機房作為數(shù)據(jù)機房，安置集團信息化各個系統(tǒng)的服務(wù)器。調(diào)兵山核心機房與康平核心機房需保持永不斷線的高速傳輸狀態(tài)，為此在康平核心機房、調(diào)兵山核心機房、康平機房各增加一塊萬兆板卡及相應(yīng)模塊，實現(xiàn)萬兆路由，使調(diào)兵山核心機房、康平核心機房、大平機房成為一個萬兆骨干環(huán)路，保障康平與調(diào)兵山之間的數(shù)據(jù)流在線路出現(xiàn)故障的情況下仍能高速穩(wěn)定地傳輸數(shù)據(jù)。

（3）在各入環(huán)礦、廠增加光模塊實現(xiàn)千兆環(huán)網(wǎng)。利用鐵法能源公司既有桿路與電力桿路互補，實現(xiàn)主干環(huán)網(wǎng)。將原公司中心機房到各礦機房點到點通信網(wǎng)絡(luò)補充為相切環(huán)結(jié)構(gòu)，做到了線路斷點保護，節(jié)省了大量線路施工費用和時間。

鐵法能源公司環(huán)網(wǎng)線路建設(shè)主要內(nèi)容包括：① 調(diào)兵山通信信息網(wǎng)絡(luò)中心到曉南礦沿供電桿路敷設(shè)光纜5.5km。② 曉南礦到小青礦沿供電桿路敷設(shè)光纜6.8km。③ 小青礦到大強公司沿供電桿路敷設(shè)光纜6.7km。④ 曉南礦到大興礦沿供電桿路敷設(shè)光纜9.5km。⑤ 大興礦到煤層氣公司沿供電桿路敷設(shè)光纜5.5km。⑥ 煤層氣公司到煤矸石發(fā)電公司新建桿路、敷設(shè)光纜21.5km。本次環(huán)網(wǎng)線路建設(shè)已于2015年全部建設(shè)完畢，通過此次主干環(huán)網(wǎng)建設(shè)，鐵法能源公司將原有的點對點星形網(wǎng)絡(luò)改造成為以萬兆骨干環(huán)網(wǎng)為核心、千兆骨干環(huán)網(wǎng)為匯聚的信息化網(wǎng)絡(luò)。

3 系統(tǒng)核心技術(shù)與特色

3.1 網(wǎng)絡(luò)設(shè)計

鐵法能源公司信息化網(wǎng)絡(luò)歷經(jīng)數(shù)次改造，一直在尋求最優(yōu)網(wǎng)絡(luò)結(jié)構(gòu)。此次主干環(huán)網(wǎng)建設(shè)，利用煤礦電力供應(yīng)雙線路供電乃至多線路供電的特點，結(jié)合集團各礦、廠實際情況，創(chuàng)造性地利用鐵法能源公司既有桿路與電力桿路互補，實現(xiàn)環(huán)網(wǎng)。不但將原公司中心機房到各礦機房點到點通信網(wǎng)絡(luò)補充為相切環(huán)結(jié)構(gòu)，而且做到了線路斷點保護，實現(xiàn)了以萬兆骨干為核心、千兆主干為補充的主干環(huán)網(wǎng)。

3.2 設(shè)備選型及布線

思科公司是鐵法能源公司建網(wǎng)以來的主要設(shè)備提供廠家。目前公司網(wǎng)內(nèi)骨干交換，路由設(shè)備95%以上采用該廠商生產(chǎn)的設(shè)備。為了保證網(wǎng)絡(luò)升級改造的平滑過渡，也鑒于長期以來在使用思科設(shè)備時對其穩(wěn)定可靠性的認可，此次主干環(huán)網(wǎng)均采用思科公司設(shè)備。Cisco7606路由器是一款部署于運營商網(wǎng)絡(luò)邊緣和數(shù)據(jù)中心、體積小巧、性能出眾的路由器，在網(wǎng)絡(luò)邊緣和數(shù)據(jù)中心，可提供出色的性能和服務(wù)來滿足企業(yè)需要。Cisco7606提供了30Mpps（集中式處理）、240Mpps（分布式處理）和480Gbps的總吞吐量，以及先進的硬件加速IP服務(wù)，此次主干環(huán)網(wǎng)建設(shè)中所用到的萬兆板卡及萬兆光模塊皆為思科公司生產(chǎn)，可提供10Gb/s的傳輸速率，大大提高核心環(huán)的網(wǎng)絡(luò)吞吐能力。

3.3 網(wǎng)絡(luò)高可靠性

以太環(huán)網(wǎng)具有強大的網(wǎng)絡(luò)故障自愈能力，環(huán)網(wǎng)協(xié)議利用斷路告警、環(huán)監(jiān)測、環(huán)恢復(fù)三種機制來對協(xié)議進行維護，即環(huán)網(wǎng)內(nèi)任意兩節(jié)點間的線路中斷都可在極短的時間內(nèi)恢復(fù)通信。在企業(yè)對財務(wù)、瓦斯監(jiān)測、安全生產(chǎn)、視頻監(jiān)控、銷售、物供的通信質(zhì)量要求越來越高，實時通信中斷忍受能力越來越低的情況下，“永不中斷”的網(wǎng)絡(luò)將避免企業(yè)因網(wǎng)絡(luò)中斷造成的損失。

3.4 OSPF動態(tài)路由

OSPF是一個內(nèi)部網(wǎng)關(guān)協(xié)議，用于在單一自治系統(tǒng)內(nèi)決策路由，是對鏈路狀態(tài)路由協(xié)議的一種實現(xiàn)，隸屬內(nèi)部網(wǎng)關(guān)協(xié)議（IGP），故運作于自治系統(tǒng)內(nèi)部。OSPF動態(tài)路由將顯示環(huán)網(wǎng)內(nèi)設(shè)備哪條線路中斷，應(yīng)改為哪條線路才可繼續(xù)保持通信。并且其高擴展性使今后的網(wǎng)絡(luò)改造更加平滑順暢，任何新設(shè)備、新環(huán)路的添加只需將配置好的設(shè)備接入網(wǎng)內(nèi)，整個網(wǎng)絡(luò)在極短的時間內(nèi)自動將設(shè)備納入系統(tǒng)中。

3.5 網(wǎng)絡(luò)安全設(shè)計

（1）防火墻策略的設(shè)計

采用路由模式，開啟OSPF路由協(xié)議，允許部分網(wǎng)段訪問礦廠的內(nèi)網(wǎng)。將連接到集團的線路設(shè)置為外部網(wǎng)絡(luò)，連接到礦區(qū)的接口定義為內(nèi)部網(wǎng)絡(luò)。設(shè)置相應(yīng)ACL控制外部訪問，從外部允許進入到內(nèi)部網(wǎng)絡(luò)的IP地址匹配為NAT（0），進行路由到達內(nèi)部網(wǎng)絡(luò)。

（2）IPS的設(shè)計

將Cisco 7606系列自適應(yīng)安全設(shè)備（ASA）的網(wǎng)絡(luò)流量發(fā)送至高級檢査和預(yù)防安全服務(wù)模塊（AP-SSM）（IPS）模塊，這種配置能夠滿足全面監(jiān)控的要求。對于ASA和AP-SSM的交互方式，包括混合模式和內(nèi)部模式?；旌夏Ｊ街冈贏SA將原始數(shù)據(jù)發(fā)送到目的地的同時，還將一份數(shù)據(jù)發(fā)送至AP-SM。在混合模式中，AIP-SSM被視為入侵監(jiān)測系統(tǒng)（IDS），觸發(fā)器包（引起警報的包）仍然可以到達目的地。內(nèi)部模式指ASA將數(shù)據(jù)發(fā)送至AP-SSM執(zhí)行檢查。如果數(shù)據(jù)通過了AIP-SSM檢查，則數(shù)據(jù)返回ASA，繼續(xù)處理并發(fā)送到目的地。在內(nèi)部模式中，AP-SSM可視為入侵防御系統(tǒng)（IPS）。與混合模式不同，內(nèi)部模式（IPS）將阻止觸發(fā)包到達目的地?？紤]采用內(nèi)部模式會產(chǎn)生數(shù)據(jù)延時，建議使用混合模式，開啟mS功能。

（3）UTM的設(shè)計

UTM多功能安全網(wǎng)關(guān)可以幫助企業(yè)更好地控制網(wǎng)絡(luò)攻擊。將UTM放置集團網(wǎng)絡(luò)總出口，將整個公司外部威脅屏蔽掉。

4 經(jīng)濟社會效益分析

鐵法能源公司主干環(huán)網(wǎng)的建設(shè)的目的是保證網(wǎng)絡(luò)的高效可靠性運行，杜絕線路中斷造成的信息“孤島”。主干環(huán)網(wǎng)的建設(shè)有效地解決了以上問題，同時創(chuàng)造了較好的安全經(jīng)濟效益。改造前后對比分析：（1）改造前18個機房24h有人值守，改造后降低為2個機房有人值守。（2）改造前時刻監(jiān)測網(wǎng)絡(luò)情況，改造后只需每日例行檢查。（3）改造后公司網(wǎng)絡(luò)永不中斷，保障了公司網(wǎng)絡(luò)銷售系統(tǒng)的正常運行，間接挽回經(jīng)濟損失約1000萬元。（4）改造后公司網(wǎng)絡(luò)永不中斷，公司因網(wǎng)絡(luò)中斷造成的煤礦安全生產(chǎn)事故的概率為0，安全效益明顯。