葉水勇

(國(guó)網(wǎng)黃山供電公司，安徽 黃山 245000)

隨著我國(guó)社會(huì)經(jīng)濟(jì)的快速發(fā)展，電網(wǎng)建設(shè)規(guī)模逐年擴(kuò)大，電網(wǎng)公司對(duì)電力信息通信安全性、信息網(wǎng)絡(luò)運(yùn)行穩(wěn)定性、可靠性的要求越來越高[1-2]。某電力公司近期在隱患排查工作過程中發(fā)現(xiàn)信息內(nèi)網(wǎng)出口防火墻和省公司部署的CE設(shè)備之間部署了2臺(tái)華三S5500交換機(jī)，該設(shè)備不在省市公司任何監(jiān)控平臺(tái)監(jiān)管，而且其運(yùn)行年限超過10年，設(shè)備電源和風(fēng)扇模塊故障率逐年增多。目前國(guó)網(wǎng)數(shù)據(jù)通信接入網(wǎng)已經(jīng)實(shí)現(xiàn)萬兆接入各市公司，公司最新更換的省公司統(tǒng)一采購(gòu)的啟明星USG-12000-SP高端防火墻也支持萬兆轉(zhuǎn)發(fā)，但是華三S5500交換機(jī)是千兆交換機(jī)，成為公司信息內(nèi)網(wǎng)出口速率上的瓶頸[3-4]。

1 網(wǎng)絡(luò)現(xiàn)狀及存在的問題

1.1 網(wǎng)絡(luò)現(xiàn)狀

信息內(nèi)網(wǎng)出口作為公司整個(gè)信息內(nèi)網(wǎng)的樞紐，連接了國(guó)網(wǎng)數(shù)據(jù)通信網(wǎng)、市公司局域網(wǎng)、市公司廣域網(wǎng)等區(qū)域網(wǎng)絡(luò)，為各區(qū)域網(wǎng)絡(luò)用戶互聯(lián)互訪起著至關(guān)重要的作用。根據(jù)公司信息內(nèi)網(wǎng)出口的需求分析，公司信息內(nèi)網(wǎng)的建設(shè)不僅需要提升出口帶寬，滿足未來若干年的需求，更要提高網(wǎng)絡(luò)總體性能，適應(yīng)信息化飛速發(fā)展對(duì)網(wǎng)絡(luò)資源與日俱增的消耗；同時(shí)必須具備良好的可擴(kuò)展性、高可靠性、網(wǎng)絡(luò)協(xié)議配置簡(jiǎn)明易于管理、合理的安全防護(hù)且邊界清晰、適應(yīng)業(yè)務(wù)流量轉(zhuǎn)發(fā)[5-6]。

如圖1所示，公司信息內(nèi)網(wǎng)出口通過部署2臺(tái)啟明星辰萬兆高端防火墻(USG-FW-12000SP)作為其信息內(nèi)網(wǎng)網(wǎng)絡(luò)邊界安全防護(hù)設(shè)備，同時(shí)作為整個(gè)信息網(wǎng)絡(luò)系統(tǒng)的樞紐。2臺(tái)啟明星辰防火墻對(duì)上通過2臺(tái)華三S5500交換機(jī)與省公司部署的2臺(tái)華三SR8812高端路由器邏輯互聯(lián)，對(duì)下與公司部署的2臺(tái)思科C7609核心交換機(jī)互聯(lián)，實(shí)現(xiàn)公司與省公司、國(guó)網(wǎng)業(yè)務(wù)互訪。

1.2 存在的問題

a.信息內(nèi)網(wǎng)出口2臺(tái)華三S5500交換機(jī)自2009年上線已經(jīng)持續(xù)運(yùn)行超過10年時(shí)間，故障率逐年增多，由于該設(shè)備的重要性，目前其設(shè)備性能及穩(wěn)定性已無法滿足現(xiàn)有需求。

b.公司信息內(nèi)網(wǎng)核心交換機(jī)為C7609，信息內(nèi)網(wǎng)防火墻為啟明星辰萬兆高端防火墻，公司CE設(shè)備為華三S8812高端路由器，三者均支持萬兆速率。但華三S5500交換機(jī)串聯(lián)在出口防火墻和CE設(shè)備之間，成為公司信息內(nèi)網(wǎng)出口帶寬的瓶頸。

c.公司信息內(nèi)網(wǎng)出口增加2臺(tái)華三S5500交換機(jī)保證了數(shù)據(jù)通信接入網(wǎng)2臺(tái)CE設(shè)備VRRP協(xié)議正常運(yùn)行的同時(shí)增加了信息網(wǎng)絡(luò)出口的故障點(diǎn)，2臺(tái)華三S5500交換機(jī)串聯(lián)在信息內(nèi)網(wǎng)出口防火墻和2臺(tái)CE設(shè)備之間，成為公司信息內(nèi)網(wǎng)出口的隱患點(diǎn)[7-8]。

d.信息內(nèi)網(wǎng)出口2臺(tái)華三S5500交換機(jī)并未規(guī)劃管理地址，也不在省市公司監(jiān)控平臺(tái)的監(jiān)控范圍內(nèi)，S5500交換機(jī)出現(xiàn)軟硬件故障并不能及時(shí)發(fā)現(xiàn)，增加信息內(nèi)網(wǎng)安全風(fēng)險(xiǎn)。

2 主要管理辦法

2.1 專業(yè)管理工作流程

依據(jù)《國(guó)家電網(wǎng)公司省級(jí)及以下數(shù)據(jù)通信網(wǎng)絡(luò)優(yōu)化整合改造總體設(shè)計(jì)》《國(guó)網(wǎng)信通部關(guān)于印發(fā)國(guó)家電網(wǎng)公司省級(jí)及以下數(shù)據(jù)通信網(wǎng)絡(luò)優(yōu)化整合改造實(shí)施總體工作要求的通知(信通通信〔2014〕54號(hào))》等要求，結(jié)合公司信息運(yùn)行及安全管理實(shí)際制定詳細(xì)的改造計(jì)劃，制作管理流程，如圖2所示[9-10]。

2.2 主要流程說明

a.準(zhǔn)備階段：按照拓?fù)湓O(shè)計(jì)，布放光纖；測(cè)試互聯(lián)鏈路物理連通性；主備S8812預(yù)先使用新規(guī)劃IP完成接口、路由、重分布配置；準(zhǔn)備好設(shè)備配置腳本并完成核心交換機(jī)預(yù)配置；信息內(nèi)網(wǎng)出口設(shè)備配置備份。

b.信息內(nèi)網(wǎng)出口防火墻主備切換：檢查信息內(nèi)網(wǎng)出口防火墻HA運(yùn)行狀態(tài)；確保主用防火墻開啟上下行端口檢測(cè)以及搶占功能；斷開主用防火墻所有端口，確保業(yè)務(wù)切換至備墻；主用防火墻使用萬兆端口上聯(lián)至主用S8812路由器萬兆端口；主用防火墻使用萬兆端口下聯(lián)至主用S9505E核心交換機(jī)萬兆端口；主用防火墻使用千兆端口上聯(lián)至備用S8812路由器千兆端口；主核心交換機(jī)、主用防火墻和S8812-1恢復(fù)主用鏈路。

c.防火墻主備同步：斷開備用防火墻所有互聯(lián)接口；備用防火墻使用萬兆端口上聯(lián)至主用S8812路由器萬兆端口；備用防火墻使用千兆端口上聯(lián)至備用S8812路由器千兆端口；備用防火墻使用萬兆端口下聯(lián)至備用S9505E核心交換機(jī)萬兆端口；恢復(fù)主備防火墻之間心跳線，防火墻主備配置、會(huì)話同步。

2.3 實(shí)施步驟

a.按照?qǐng)D1布放光纖并測(cè)試光纖通絡(luò)正常。

b.完成信息內(nèi)網(wǎng)出口設(shè)備配置文件備份。

c.主備S8812路由器使用新規(guī)劃的IP地址完成接口VLAN、IP地址和路由配置。

d.斷開主用防火墻上下行鏈路，使主用防火墻離線，業(yè)務(wù)切換至備用防火墻，數(shù)據(jù)流量走向如圖3所示。

e.主用防火墻配置將相應(yīng)接口劃入安全域并配置新IP地址。

f.主用防火墻設(shè)置浮動(dòng)路由，防火墻主用路由下一跳指向S8812-1,下一跳地址為10.138.206.129；備用路由下一跳指向S8812-2,下一跳地址為10.138.206.133。并對(duì)主用下一跳地址開啟ICMP探測(cè)。

g.主用啟明星辰防火墻對(duì)新啟用的端口開啟接口探測(cè)。

h.恢復(fù)防火墻之間心跳線和主用防火墻與主用核心交換機(jī)之間的互聯(lián)線，斷開S5500-1和S8812-1之間鏈路并使用新布放萬兆光纖連接主用防火墻和S8812-1，數(shù)據(jù)流量走向如圖4(a)所示。

i.拆除信息內(nèi)網(wǎng)出口無用線路，將新線路按照?qǐng)D1所示重新連接，如圖4(b)所示。

2.4 業(yè)務(wù)測(cè)試

信息內(nèi)網(wǎng)出口主備防火墻配置同步完成后，測(cè)試各項(xiàng)業(yè)務(wù)指標(biāo)正常后，參考圖5對(duì)信息內(nèi)網(wǎng)出口防火墻進(jìn)行如下幾個(gè)場(chǎng)景的故障演練。

2.4.1 場(chǎng)景一：主用防火墻上行鏈路故障

主用防火墻上行鏈路故障后，信息內(nèi)網(wǎng)出口啟明星辰防火墻將進(jìn)行主備切換，業(yè)務(wù)切換至備墻，主備防火墻切換過程中丟1～2個(gè)數(shù)據(jù)包[11-12]。切換完成后對(duì)信息內(nèi)網(wǎng)各項(xiàng)業(yè)務(wù)進(jìn)行全面測(cè)試。各項(xiàng)業(yè)務(wù)測(cè)試完成后，恢復(fù)主用防火墻上行鏈路，業(yè)務(wù)再次切換為主用防火墻，再次完成信息內(nèi)網(wǎng)各項(xiàng)業(yè)務(wù)全面測(cè)試。

2.4.2 場(chǎng)景二：主用防火墻下行鏈路故障

主用防火墻下行鏈路故障后，信息內(nèi)網(wǎng)出口啟明星辰防火墻將進(jìn)行主備切換，業(yè)務(wù)切換至備墻，主備防火墻切換過程中丟1～2個(gè)數(shù)據(jù)包。切換完成后對(duì)信息內(nèi)網(wǎng)各項(xiàng)業(yè)務(wù)進(jìn)行全面測(cè)試。各項(xiàng)業(yè)務(wù)測(cè)試完成后，恢復(fù)主用防火墻下行鏈路，業(yè)務(wù)再次切換為主用防火墻，再次完成信息內(nèi)網(wǎng)各項(xiàng)業(yè)務(wù)全面測(cè)試[13-14]。

2.4.3 場(chǎng)景三：主用防火墻宕機(jī)

主用防火墻宕機(jī)后，信息內(nèi)網(wǎng)出口啟明星辰防火墻將進(jìn)行主備切換，業(yè)務(wù)切換至備墻，主備防火墻切換過程中丟1～2個(gè)數(shù)據(jù)包。切換完成后對(duì)信息內(nèi)網(wǎng)各項(xiàng)業(yè)務(wù)進(jìn)行全面測(cè)試。各項(xiàng)業(yè)務(wù)測(cè)試完成后，恢復(fù)主用防火墻，業(yè)務(wù)再次切換為主用防火墻，再次完成信息內(nèi)網(wǎng)各項(xiàng)業(yè)務(wù)全面測(cè)試[15-16]。

2.4.4 場(chǎng)景四：主用防火墻上行主鏈路假死

主用防火墻上行鏈路失效但是接口狀態(tài)正常情況下，主用防火墻不會(huì)切換至備墻，則數(shù)據(jù)流量經(jīng)由主用防火墻至備用CE設(shè)備，全面測(cè)試信息內(nèi)網(wǎng)業(yè)務(wù)是否正常。

3 實(shí)施效果

3.1 減少經(jīng)濟(jì)成本及網(wǎng)絡(luò)出口故障點(diǎn)

本次信息內(nèi)網(wǎng)出口優(yōu)化減少2臺(tái)華三S5500交換機(jī)的投入，同時(shí)減少設(shè)備運(yùn)維和維保成本。信息內(nèi)網(wǎng)出口由2臺(tái)啟明星辰防火墻和省公司部署的2臺(tái)CE設(shè)備直接對(duì)接，減少信息內(nèi)網(wǎng)出口設(shè)備節(jié)點(diǎn)和鏈路，從而減少信息內(nèi)網(wǎng)出口故障點(diǎn)[17-18]。

3.2 提高內(nèi)網(wǎng)出口的穩(wěn)定性

信息內(nèi)網(wǎng)出口由2臺(tái)啟明星辰防火墻和省公司部署的2臺(tái)CE設(shè)備直接對(duì)接，物理層面上減少信息內(nèi)網(wǎng)出口設(shè)備節(jié)點(diǎn)和鏈路，邏輯上使用浮動(dòng)靜態(tài)路由的方式對(duì)接，提高了信息內(nèi)網(wǎng)出口的穩(wěn)定性。

3.3 提升信息內(nèi)網(wǎng)出口帶寬

信息內(nèi)網(wǎng)出口防火墻為啟明星辰萬兆高端防火墻，CE設(shè)備為華三S8812萬兆高端路由器，二者均支持萬兆速率。但華三S5500交換機(jī)串聯(lián)在出口防火墻和CE設(shè)備之間，成為公司信息內(nèi)網(wǎng)出口帶寬的瓶頸，通過本次出口優(yōu)化項(xiàng)目公司信息內(nèi)網(wǎng)出口速率提升10倍[19]。

3.4 簡(jiǎn)化出口協(xié)議

省公司部署的2臺(tái)CE設(shè)備華三S8812路由器原使用VRRP+靜態(tài)路由的方式部署，通過本次出口優(yōu)化項(xiàng)目2臺(tái)華三S8812路由器使用靜態(tài)路由的方式就可以實(shí)現(xiàn)冗余部署，簡(jiǎn)化了出口協(xié)議，節(jié)省了設(shè)備性能。

3.5 提升網(wǎng)絡(luò)邊界清晰度

信息內(nèi)網(wǎng)出口防火墻直接和省公司部署的2臺(tái)CE路由器對(duì)接，由于中間沒有串聯(lián)其他二層設(shè)備，使得公司信息內(nèi)網(wǎng)出口安全域清晰，易于管理與日常維護(hù)。

4 結(jié)束語(yǔ)

公司通過對(duì)信息內(nèi)網(wǎng)網(wǎng)絡(luò)出口開展優(yōu)化工作，有效實(shí)現(xiàn)簡(jiǎn)化網(wǎng)絡(luò)結(jié)構(gòu)及出口協(xié)議、降低建運(yùn)成本、降低故障點(diǎn)、提升信息內(nèi)網(wǎng)出口帶寬及網(wǎng)絡(luò)邊界清晰度、最終提高信息業(yè)務(wù)的保障能力，滿足信通專業(yè)市縣一體化和精益化管理要求。公司本次內(nèi)網(wǎng)網(wǎng)絡(luò)出口優(yōu)化工作實(shí)施的典型經(jīng)驗(yàn)可作為省內(nèi)其他地市該工作開展的直接指導(dǎo)經(jīng)驗(yàn)，也可為國(guó)網(wǎng)公司其他單位開展類似工作提供參考。