張 恒

(中國煤炭科工集團 北京華宇工程有限公司，北京 100120)

小保當一、二號礦井建設(shè)項目，由陜西小保當?shù)V業(yè)有限公司開發(fā)建設(shè)。礦井位于陜西省榆林市神木縣西南部及榆陽區(qū)的東北部，行政區(qū)劃隸屬于榆林市神木縣大保當鄉(xiāng)管轄。一號礦井設(shè)計生產(chǎn)能力15.00Mt/a，二號礦井設(shè)計生產(chǎn)能力13.00Mt/a。一、二號礦井共用一個工業(yè)場地。一號、二號礦井在工業(yè)場地分別布置2個斜井井筒，分別為主斜井和緩坡副斜井。井下煤炭運輸采用帶式輸送機運輸，輔助運輸采用無軌膠輪車運輸系統(tǒng)，可實現(xiàn)從地面至井下工作面的連續(xù)運輸。

建設(shè)一張覆蓋礦井主要區(qū)域的企業(yè)管理網(wǎng)絡(luò)(簡稱企業(yè)網(wǎng))，企業(yè)網(wǎng)與工業(yè)網(wǎng)相聯(lián)，并進行安全隔離，防止企業(yè)網(wǎng)對工業(yè)網(wǎng)的病毒傳播和網(wǎng)絡(luò)攻擊，同時能夠?qū)崿F(xiàn)工業(yè)網(wǎng)向企業(yè)網(wǎng)單向推送數(shù)據(jù)；企業(yè)網(wǎng)與互聯(lián)網(wǎng)相聯(lián)，并進行安全隔離，防止互聯(lián)網(wǎng)對企業(yè)網(wǎng)的病毒傳播和網(wǎng)絡(luò)攻擊[1]。

企業(yè)網(wǎng)的覆蓋區(qū)域包括工業(yè)場地聯(lián)合建筑、辦公樓、食堂、單身公寓、救護隊、消防站、綜采設(shè)備庫及維修間、礦井修理車間、膠輪車庫、器材庫、加油站、選煤廠綜合辦公樓等。

1 網(wǎng)絡(luò)連接設(shè)計

礦井企業(yè)網(wǎng)采用以太網(wǎng)技術(shù)、星形網(wǎng)絡(luò)拓撲結(jié)構(gòu)。從網(wǎng)絡(luò)層次上，企業(yè)網(wǎng)采用三層分層設(shè)計：“核心+匯聚+接入”。

核心層設(shè)置2臺三層交換機(雙機熱備)，并采用網(wǎng)閘實現(xiàn)與工業(yè)網(wǎng)的連接。企業(yè)經(jīng)營管理云平臺通過接入交換機接至2臺核心交換機。核心層設(shè)置2臺路由器，作為外網(wǎng)出口接入互聯(lián)網(wǎng)和集團公司。核心層設(shè)備位于聯(lián)合建筑中心機房。核心交換機具備高速轉(zhuǎn)發(fā)的能力，同時還有很強的擴展能力，以便應對未來業(yè)務(wù)的快速增長。核心交換機采用2臺HSC S10508X-V型三層交換機，每臺交換機配2個主控板，1個48端口千兆以太網(wǎng)電接口模塊，1個24端口萬兆以太網(wǎng)光接口模塊，1個12端口40G以太網(wǎng)光接口模塊，4個交流電源模塊。路由器是企業(yè)網(wǎng)對外互聯(lián)的通道，具有強大的路由轉(zhuǎn)發(fā)能力，實現(xiàn)企業(yè)網(wǎng)與外部網(wǎng)絡(luò)高效的路由轉(zhuǎn)發(fā)。路由器采用2臺HSC SR8804-X型路由器，每臺路由器配2個主控板，1個16端口千兆以太網(wǎng)光口+8端口千兆以太網(wǎng)Combo口+2端口萬兆以太網(wǎng)光接口模塊，2個交流電源模塊。無線控制器按照業(yè)務(wù)板卡的形式和現(xiàn)有核心交換機融合。無線系統(tǒng)在聯(lián)合建筑、辦公樓室內(nèi)部署AP(無線接入點)，采用FIT AP的部署模式進行設(shè)計，通過無線控制器對所有AP進行統(tǒng)一管理[2]。

匯聚層采用三層交換機，下行連接接入交換機，作為所有終端設(shè)備的網(wǎng)關(guān)，設(shè)于各建筑弱電機房。為了提高可靠性，匯聚層交換機采用雙鏈路上行分別連接至2臺核心交換機。匯聚交換機匯聚來自接入交換機的流量，上行與核心交換機萬兆互聯(lián)，下行與接入交換機萬兆互聯(lián)。匯聚交換機采用HSC S6800-2C型三層交換機，每臺交換機配2個固定40G以太網(wǎng)光接口，1個24端口萬兆以太網(wǎng)光口+2端口40G以太網(wǎng)光口接口卡，2個交流電源模塊。

接入層采用二層交換機，直接連接所有終端設(shè)備，上行連接匯聚交換機，設(shè)于各建筑弱電機房或樓層弱電間。部分建筑僅設(shè)置接入交換機，上行連接至聯(lián)合建筑匯聚交換機。接入交換機提供網(wǎng)絡(luò)終端的接入功能，通過劃分VLAN來隔離各個業(yè)務(wù)部門。上行與匯聚交換機萬兆互聯(lián)，下行為用戶提供千兆速率。同時接入交換機還需要給無線接入點提供PoE供電。接入交換機采用HSC S5130S-52(28)S-PWR-EI型三層交換機(工作在二層模式)，每臺交換機配48(24)個10/100/1000BASE-T自適應以太網(wǎng)端口和4個萬兆以太網(wǎng)光口。

鏈路設(shè)計采用“萬兆骨干、萬兆匯聚、千兆接入”，核心交換機與匯聚交換機之間、匯聚交換機與接入交換機之間均采用萬兆鏈路，接入交換機實現(xiàn)用戶的千兆接入。室外長距離線路均采用單模光纜。

礦井企業(yè)網(wǎng)拓撲圖如圖1所示。礦井網(wǎng)絡(luò)節(jié)點布置見表1。

表1 礦井網(wǎng)絡(luò)節(jié)點布置表(部分)

2 IP地址及VLAN規(guī)劃

2.1 劃分VLAN的方法

二層交換局域網(wǎng)中的計算機數(shù)量很多時，其中每一臺計算機都隨時可以發(fā)送一些廣播報文。當這些報文過多的時候，整個網(wǎng)絡(luò)就會被阻塞，這就是廣播風暴問題。要解決廣播風暴問題，實現(xiàn)在二層交換局域網(wǎng)中隔離廣播的功能，可以使用VLAN技術(shù)。VLAN(虛擬局域網(wǎng))技術(shù)可以把一個LAN劃分為多個邏輯的VLAN，每個VLAN是一個廣播域，不同VLAN間的設(shè)備不能直接互通，只能通過路由器和三層交換機等三層設(shè)備轉(zhuǎn)發(fā)互通。這樣，廣播數(shù)據(jù)幀被限制在一個VLAN內(nèi)[3]。

將匯聚交換機配置為三層交換機，接入交換機配置為二層交換機，接入交換機通過匯聚交換機實現(xiàn)VLAN間路由轉(zhuǎn)發(fā)。聯(lián)合建筑、辦公樓等按部門和業(yè)務(wù)劃分VLAN，公寓按樓層劃分VLAN。匯聚交換機和核心交換機之間通過三層VLAN接口互聯(lián)，需要占用一個VLAN。

接入交換機采用基于端口的VLAN劃分方法，將端口加入到相關(guān)VLAN中。默認情況下，交換機存在一個默認的VLAN，即VALN1。默認所有端口都屬于VLAN1。接入交換機將上聯(lián)端口配置為Trunk端口，并允許相關(guān)VLAN通過。匯聚交換機上創(chuàng)建相關(guān)VLAN，將下聯(lián)端口配置為Trunk端口，并允許相關(guān)VLAN通過。在匯聚交換機上還需要配置相關(guān)VLAN虛接口和IP地址[4]。

2.2 IP地址及VLAN規(guī)劃

IP地址就是給互聯(lián)網(wǎng)上的每一臺主機(或三層設(shè)備)的每一個接口分配一個在全世界范圍內(nèi)唯一的32位標識符。在企業(yè)網(wǎng)中，內(nèi)網(wǎng)IP地址一般不采用互聯(lián)網(wǎng)上的公網(wǎng)IP地址，而是采用指定的私網(wǎng)IP地址。

每個IP地址被分為兩部分：網(wǎng)絡(luò)地址和主機地址。每個IP地址需要配置一個子網(wǎng)掩碼，確定IP地址中哪一部分是網(wǎng)絡(luò)地址，哪一部分是主機地址。

本礦企業(yè)網(wǎng)IP地址及VLAN分配方案：全網(wǎng)管理IP地址采用10.0.1.X/24網(wǎng)段，整個網(wǎng)段256個IP地址，采用設(shè)備默認的VLAN1；業(yè)務(wù)部門主機數(shù)量較多，劃分為192.168.X.X/24的C類網(wǎng)段，每個網(wǎng)段256個IP地址，網(wǎng)關(guān)IP地址采用所在網(wǎng)段的主機號254，接入用戶VLAN采用VLAN10、VLAN20、VLAN30……遞進方式規(guī)劃；設(shè)備之間的互聯(lián)網(wǎng)段為了節(jié)省IP地址，劃分為10.0.0.X/30的網(wǎng)段，每個網(wǎng)段4個IP地址[5，6]。

礦井企業(yè)網(wǎng)IP地址及VLAN規(guī)劃見表2。

表2 礦井企業(yè)網(wǎng)IP地址及VLAN規(guī)劃表(部分)

2.3 配置DHCP

局域網(wǎng)中手動配置靜態(tài)IP地址任務(wù)繁瑣，而且容易出錯。匯聚交換機上使用DHCP為終端設(shè)備自動分配IP地址。DHCP(動態(tài)主機配置協(xié)議)用于為局域網(wǎng)中主機動態(tài)分配IP地址及相關(guān)信息，采用客戶機/服務(wù)器模式，使用UDP協(xié)議工作。

匯聚交換機的DHCP配置方法：①開啟DHCP服務(wù)；②配置給某VLAN分配IP地址的地址池；③配置地址池中的網(wǎng)段；④配置地址池中的網(wǎng)關(guān)列表；⑤配置分配給主機的DNS服務(wù)器地址；⑥配置地址的租期；⑦在系統(tǒng)視圖下配置禁止分配的IP地址。DHCP會自動禁止將PC的網(wǎng)關(guān)地址(即VLAN接口地址)分配給用戶[7]。

3 路由及互聯(lián)網(wǎng)接入配置

3.1 路由配置

路由器(包括帶有路由功能的三層交換機)負責將數(shù)據(jù)報文在IP網(wǎng)段之間進行轉(zhuǎn)發(fā)。路由是指導路由器如何進行數(shù)據(jù)轉(zhuǎn)發(fā)的路徑信息。IP網(wǎng)段連通的前提是沿途每臺路由器上都有到達目的網(wǎng)段的路由信息。路由器的路由表用來存儲路由信息。路由表的來源包括：①直連路由，根據(jù)直連接口所在網(wǎng)段自動產(chǎn)生；②靜態(tài)路由，手動配置到達每個目的網(wǎng)段的路由信息，配置和維護復雜，沒有協(xié)議開銷；③動態(tài)路由，通過路由協(xié)議從鄰居自動學習路由信息，配置和維護簡單，有協(xié)議開銷。常見的動態(tài)路由協(xié)議包括：①RIP(路由信息協(xié)議)，收斂速度慢，最大跳數(shù)不超過16跳，網(wǎng)絡(luò)規(guī)模受到限制；②OSPF(開放式最短路徑優(yōu)先)，克服了RIP的弱點，可以勝任中大型的網(wǎng)絡(luò)環(huán)境；③BGP(邊界網(wǎng)關(guān)協(xié)議)，是運營商(或城域網(wǎng))之間使用的唯一協(xié)議。

本礦企業(yè)網(wǎng)使用OSPF協(xié)議來實現(xiàn)全網(wǎng)路由互通，僅配置一個骨干區(qū)域。在配置OSPF的時候，先在每臺三層設(shè)備上都配置Router ID，接下來建立骨干區(qū)域并進入?yún)^(qū)域視圖，在區(qū)域視圖下加入屬于該區(qū)域的接口網(wǎng)段[8-10]。

3.2 互聯(lián)網(wǎng)接入配置

為了實現(xiàn)內(nèi)網(wǎng)主機訪問互聯(lián)網(wǎng)的需求，互聯(lián)網(wǎng)出口路由器上需要配置到互聯(lián)網(wǎng)的默認路由，并引入到OSPF中。默認路由是一種特殊的路由。當數(shù)據(jù)在查找路由表時，沒有找到和目標精確匹配的路由表項時，將采用默認路由。

NAT(網(wǎng)絡(luò)地址轉(zhuǎn)換) 是將IP數(shù)據(jù)報文頭中的IP地址轉(zhuǎn)換為另一個IP地址的過程?？梢允褂肗AT將內(nèi)網(wǎng)多個用戶的私網(wǎng)IP轉(zhuǎn)換為一個或多個公網(wǎng)IP，實現(xiàn)內(nèi)網(wǎng)主機訪問互聯(lián)網(wǎng)的需求。這樣既可以解決公網(wǎng)地址不夠用的問題，也可以使外網(wǎng)看不到內(nèi)網(wǎng)用戶IP地址，保證內(nèi)網(wǎng)的安全性。本礦企業(yè)網(wǎng)采用地址池的方式配置NAT。地址池是用于地址轉(zhuǎn)換的一些連續(xù)的公網(wǎng)IP地址的集合。在地址轉(zhuǎn)換的過程中，NAT設(shè)備將會從地址池中挑選一個IP地址作為數(shù)據(jù)報文轉(zhuǎn)換后的源IP地址。在互聯(lián)網(wǎng)出口路由器上配置NAT方法：創(chuàng)建NAT地址池，指明使用的地址范圍；創(chuàng)建基本ACL，指明內(nèi)網(wǎng)哪些網(wǎng)段可以接入互聯(lián)網(wǎng)；在路由器接外網(wǎng)的接口出方向關(guān)聯(lián)ACL規(guī)則，使用地址池下發(fā)NAT。

NAT Server(NAT內(nèi)部服務(wù)器功能)通過靜態(tài)配置“私網(wǎng)IP地址+端口號” 與“公網(wǎng)IP地址+端口號”間的映射關(guān)系，實現(xiàn)私網(wǎng)IP地址到公網(wǎng)IP地址的轉(zhuǎn)換，實現(xiàn)外網(wǎng)訪問內(nèi)網(wǎng)服務(wù)器的需求。在互聯(lián)網(wǎng)出口路由器上配置NAT Server方法：在路由器接外網(wǎng)的接口上創(chuàng)建NAT Server，使用協(xié)議為TCP，將內(nèi)部地址的FTP、Web等服務(wù)器映射為公網(wǎng)IP，對外提供的服務(wù)類型為FTP、Web等[11-13]。

本礦企業(yè)網(wǎng)至集團開通中國移動數(shù)字專線100M實現(xiàn)聯(lián)網(wǎng)。

4 網(wǎng)絡(luò)安全設(shè)計

核心交換機和路由器采用IRF2(第二代智能彈性架構(gòu))技術(shù)，可以將二臺相同的設(shè)備虛擬化為一臺邏輯設(shè)備。IRF2通過路由熱備份技術(shù)，在整個虛擬架構(gòu)內(nèi)實現(xiàn)控制平面和數(shù)據(jù)平面所有信息的冗余備份和無間斷的三層轉(zhuǎn)發(fā)，增強了虛擬架構(gòu)的可靠性和高性能，同時消除了單點故障，避免了業(yè)務(wù)中斷；通過分布式跨設(shè)備鏈路聚合技術(shù)，實現(xiàn)多條上行鏈路的負載分擔和互為備份，從而提高整個網(wǎng)絡(luò)架構(gòu)的冗余性和鏈路資源的利用率；整個彈性架構(gòu)共用一個IP管理，簡化網(wǎng)絡(luò)設(shè)備管理，簡化網(wǎng)絡(luò)拓撲管理，提高運營效率，降低維護成本。

每臺核心交換機、路由器的主控板、電源、風扇均采用冗余設(shè)計，可提升設(shè)備整體可靠性。每臺匯聚交換機采用雙上行鏈路連接至核心交換機，任何一條鏈路故障都不會造成網(wǎng)絡(luò)中斷。

企業(yè)網(wǎng)建設(shè)1套網(wǎng)絡(luò)管理綜合平臺，在統(tǒng)一平臺上對網(wǎng)絡(luò)核心設(shè)備、匯聚交換機、接入交換機、無線網(wǎng)絡(luò)等進行實時的監(jiān)控管理，及時發(fā)現(xiàn)網(wǎng)絡(luò)運行中的安全隱患，提高整個系統(tǒng)的可靠性和穩(wěn)定性。該平臺包括基礎(chǔ)資源管理、無線業(yè)務(wù)管理、終端準入管理、流量分析、上網(wǎng)行為管理等功能[14，15]。

在核心交換機上配置ACL實現(xiàn)公寓的所有終端不能訪問辦公樓和聯(lián)合建筑的終端。ACL(訪問控制列表)是一或多條規(guī)則的集合，用于識別報文流。這里的規(guī)則是指描述報文匹配條件的判斷語句，匹配條件可以是報文的源地址、目的地址、端口號等。配置ACL實現(xiàn)包過濾時，需要首先配置ACL，通過規(guī)則確定哪些報文需要被過濾；然后再在設(shè)備端口上下發(fā)ACL，以使包過濾生效。

企業(yè)網(wǎng)和工業(yè)網(wǎng)之間部署網(wǎng)閘，采用2臺H3C SecPath GAP2000安全隔離與信息交換系統(tǒng)，保證工業(yè)網(wǎng)的網(wǎng)絡(luò)安全。企業(yè)網(wǎng)和外網(wǎng)之間部署防火墻，采用2臺H3C SecPath M9010多業(yè)務(wù)安全網(wǎng)關(guān)，工作在透明模式，保證企業(yè)網(wǎng)的網(wǎng)絡(luò)安全。多業(yè)務(wù)安全網(wǎng)關(guān)提供全面的應用層流量識別與管理，能精確的檢測Thunder、QQ、MSN、PPLive等P2P/IM/網(wǎng)絡(luò)游戲/炒股/網(wǎng)絡(luò)視頻/網(wǎng)絡(luò)多媒體等應用，同時可提供不同的控制策略，實現(xiàn)靈活的P2P流量控制。出口路由器具備豐富QOS特性，為關(guān)鍵業(yè)務(wù)提供重點的帶寬保證。

5 結(jié) 語

本文介紹了小保當?shù)V井企業(yè)網(wǎng)的設(shè)計。目前，企業(yè)網(wǎng)已基本覆蓋地面工業(yè)場地主要建筑，能夠滿足礦井安全生產(chǎn)管理系統(tǒng)、視頻會議系統(tǒng)、辦公自動化系統(tǒng)、企業(yè)ERP系統(tǒng)、Internet上網(wǎng)的網(wǎng)絡(luò)傳輸要求，提高了礦井安全生產(chǎn)管理水平，取得了良好的經(jīng)濟效益和社會效益。