張 恒
(中國煤炭科工集團 北京華宇工程有限公司,北京 100120)
小保當一、二號礦井建設(shè)項目,由陜西小保當?shù)V業(yè)有限公司開發(fā)建設(shè)。礦井位于陜西省榆林市神木縣西南部及榆陽區(qū)的東北部,行政區(qū)劃隸屬于榆林市神木縣大保當鄉(xiāng)管轄。一號礦井設(shè)計生產(chǎn)能力15.00Mt/a,二號礦井設(shè)計生產(chǎn)能力13.00Mt/a。一、二號礦井共用一個工業(yè)場地。一號、二號礦井在工業(yè)場地分別布置2個斜井井筒,分別為主斜井和緩坡副斜井。井下煤炭運輸采用帶式輸送機運輸,輔助運輸采用無軌膠輪車運輸系統(tǒng),可實現(xiàn)從地面至井下工作面的連續(xù)運輸。
建設(shè)一張覆蓋礦井主要區(qū)域的企業(yè)管理網(wǎng)絡(luò)(簡稱企業(yè)網(wǎng)),企業(yè)網(wǎng)與工業(yè)網(wǎng)相聯(lián),并進行安全隔離,防止企業(yè)網(wǎng)對工業(yè)網(wǎng)的病毒傳播和網(wǎng)絡(luò)攻擊,同時能夠?qū)崿F(xiàn)工業(yè)網(wǎng)向企業(yè)網(wǎng)單向推送數(shù)據(jù);企業(yè)網(wǎng)與互聯(lián)網(wǎng)相聯(lián),并進行安全隔離,防止互聯(lián)網(wǎng)對企業(yè)網(wǎng)的病毒傳播和網(wǎng)絡(luò)攻擊[1]。
企業(yè)網(wǎng)的覆蓋區(qū)域包括工業(yè)場地聯(lián)合建筑、辦公樓、食堂、單身公寓、救護隊、消防站、綜采設(shè)備庫及維修間、礦井修理車間、膠輪車庫、器材庫、加油站、選煤廠綜合辦公樓等。
礦井企業(yè)網(wǎng)采用以太網(wǎng)技術(shù)、星形網(wǎng)絡(luò)拓撲結(jié)構(gòu)。從網(wǎng)絡(luò)層次上,企業(yè)網(wǎng)采用三層分層設(shè)計:“核心+匯聚+接入”。
核心層設(shè)置2臺三層交換機(雙機熱備),并采用網(wǎng)閘實現(xiàn)與工業(yè)網(wǎng)的連接。企業(yè)經(jīng)營管理云平臺通過接入交換機接至2臺核心交換機。核心層設(shè)置2臺路由器,作為外網(wǎng)出口接入互聯(lián)網(wǎng)和集團公司。核心層設(shè)備位于聯(lián)合建筑中心機房。核心交換機具備高速轉(zhuǎn)發(fā)的能力,同時還有很強的擴展能力,以便應對未來業(yè)務(wù)的快速增長。核心交換機采用2臺HSC S10508X-V型三層交換機,每臺交換機配2個主控板,1個48端口千兆以太網(wǎng)電接口模塊,1個24端口萬兆以太網(wǎng)光接口模塊,1個12端口40G以太網(wǎng)光接口模塊,4個交流電源模塊。路由器是企業(yè)網(wǎng)對外互聯(lián)的通道,具有強大的路由轉(zhuǎn)發(fā)能力,實現(xiàn)企業(yè)網(wǎng)與外部網(wǎng)絡(luò)高效的路由轉(zhuǎn)發(fā)。路由器采用2臺HSC SR8804-X型路由器,每臺路由器配2個主控板,1個16端口千兆以太網(wǎng)光口+8端口千兆以太網(wǎng)Combo口+2端口萬兆以太網(wǎng)光接口模塊,2個交流電源模塊。無線控制器按照業(yè)務(wù)板卡的形式和現(xiàn)有核心交換機融合。無線系統(tǒng)在聯(lián)合建筑、辦公樓室內(nèi)部署AP(無線接入點),采用FIT AP的部署模式進行設(shè)計,通過無線控制器對所有AP進行統(tǒng)一管理[2]。
匯聚層采用三層交換機,下行連接接入交換機,作為所有終端設(shè)備的網(wǎng)關(guān),設(shè)于各建筑弱電機房。為了提高可靠性,匯聚層交換機采用雙鏈路上行分別連接至2臺核心交換機。匯聚交換機匯聚來自接入交換機的流量,上行與核心交換機萬兆互聯(lián),下行與接入交換機萬兆互聯(lián)。匯聚交換機采用HSC S6800-2C型三層交換機,每臺交換機配2個固定40G以太網(wǎng)光接口,1個24端口萬兆以太網(wǎng)光口+2端口40G以太網(wǎng)光口接口卡,2個交流電源模塊。
接入層采用二層交換機,直接連接所有終端設(shè)備,上行連接匯聚交換機,設(shè)于各建筑弱電機房或樓層弱電間。部分建筑僅設(shè)置接入交換機,上行連接至聯(lián)合建筑匯聚交換機。接入交換機提供網(wǎng)絡(luò)終端的接入功能,通過劃分VLAN來隔離各個業(yè)務(wù)部門。上行與匯聚交換機萬兆互聯(lián),下行為用戶提供千兆速率。同時接入交換機還需要給無線接入點提供PoE供電。接入交換機采用HSC S5130S-52(28)S-PWR-EI型三層交換機(工作在二層模式),每臺交換機配48(24)個10/100/1000BASE-T自適應以太網(wǎng)端口和4個萬兆以太網(wǎng)光口。
鏈路設(shè)計采用“萬兆骨干、萬兆匯聚、千兆接入”,核心交換機與匯聚交換機之間、匯聚交換機與接入交換機之間均采用萬兆鏈路,接入交換機實現(xiàn)用戶的千兆接入。室外長距離線路均采用單模光纜。
礦井企業(yè)網(wǎng)拓撲圖如圖1所示。礦井網(wǎng)絡(luò)節(jié)點布置見表1。
表1 礦井網(wǎng)絡(luò)節(jié)點布置表(部分)
二層交換局域網(wǎng)中的計算機數(shù)量很多時,其中每一臺計算機都隨時可以發(fā)送一些廣播報文。當這些報文過多的時候,整個網(wǎng)絡(luò)就會被阻塞,這就是廣播風暴問題。要解決廣播風暴問題,實現(xiàn)在二層交換局域網(wǎng)中隔離廣播的功能,可以使用VLAN技術(shù)。VLAN(虛擬局域網(wǎng))技術(shù)可以把一個LAN劃分為多個邏輯的VLAN,每個VLAN是一個廣播域,不同VLAN間的設(shè)備不能直接互通,只能通過路由器和三層交換機等三層設(shè)備轉(zhuǎn)發(fā)互通。這樣,廣播數(shù)據(jù)幀被限制在一個VLAN內(nèi)[3]。
將匯聚交換機配置為三層交換機,接入交換機配置為二層交換機,接入交換機通過匯聚交換機實現(xiàn)VLAN間路由轉(zhuǎn)發(fā)。聯(lián)合建筑、辦公樓等按部門和業(yè)務(wù)劃分VLAN,公寓按樓層劃分VLAN。匯聚交換機和核心交換機之間通過三層VLAN接口互聯(lián),需要占用一個VLAN。
接入交換機采用基于端口的VLAN劃分方法,將端口加入到相關(guān)VLAN中。默認情況下,交換機存在一個默認的VLAN,即VALN1。默認所有端口都屬于VLAN1。接入交換機將上聯(lián)端口配置為Trunk端口,并允許相關(guān)VLAN通過。匯聚交換機上創(chuàng)建相關(guān)VLAN,將下聯(lián)端口配置為Trunk端口,并允許相關(guān)VLAN通過。在匯聚交換機上還需要配置相關(guān)VLAN虛接口和IP地址[4]。
IP地址就是給互聯(lián)網(wǎng)上的每一臺主機(或三層設(shè)備)的每一個接口分配一個在全世界范圍內(nèi)唯一的32位標識符。在企業(yè)網(wǎng)中,內(nèi)網(wǎng)IP地址一般不采用互聯(lián)網(wǎng)上的公網(wǎng)IP地址,而是采用指定的私網(wǎng)IP地址。
每個IP地址被分為兩部分:網(wǎng)絡(luò)地址和主機地址。每個IP地址需要配置一個子網(wǎng)掩碼,確定IP地址中哪一部分是網(wǎng)絡(luò)地址,哪一部分是主機地址。
本礦企業(yè)網(wǎng)IP地址及VLAN分配方案:全網(wǎng)管理IP地址采用10.0.1.X/24網(wǎng)段,整個網(wǎng)段256個IP地址,采用設(shè)備默認的VLAN1;業(yè)務(wù)部門主機數(shù)量較多,劃分為192.168.X.X/24的C類網(wǎng)段,每個網(wǎng)段256個IP地址,網(wǎng)關(guān)IP地址采用所在網(wǎng)段的主機號254,接入用戶VLAN采用VLAN10、VLAN20、VLAN30……遞進方式規(guī)劃;設(shè)備之間的互聯(lián)網(wǎng)段為了節(jié)省IP地址,劃分為10.0.0.X/30的網(wǎng)段,每個網(wǎng)段4個IP地址[5,6]。
礦井企業(yè)網(wǎng)IP地址及VLAN規(guī)劃見表2。
表2 礦井企業(yè)網(wǎng)IP地址及VLAN規(guī)劃表(部分)
局域網(wǎng)中手動配置靜態(tài)IP地址任務(wù)繁瑣,而且容易出錯。匯聚交換機上使用DHCP為終端設(shè)備自動分配IP地址。DHCP(動態(tài)主機配置協(xié)議)用于為局域網(wǎng)中主機動態(tài)分配IP地址及相關(guān)信息,采用客戶機/服務(wù)器模式,使用UDP協(xié)議工作。
匯聚交換機的DHCP配置方法:①開啟DHCP服務(wù);②配置給某VLAN分配IP地址的地址池;③配置地址池中的網(wǎng)段;④配置地址池中的網(wǎng)關(guān)列表;⑤配置分配給主機的DNS服務(wù)器地址;⑥配置地址的租期;⑦在系統(tǒng)視圖下配置禁止分配的IP地址。DHCP會自動禁止將PC的網(wǎng)關(guān)地址(即VLAN接口地址)分配給用戶[7]。
路由器(包括帶有路由功能的三層交換機)負責將數(shù)據(jù)報文在IP網(wǎng)段之間進行轉(zhuǎn)發(fā)。路由是指導路由器如何進行數(shù)據(jù)轉(zhuǎn)發(fā)的路徑信息。IP網(wǎng)段連通的前提是沿途每臺路由器上都有到達目的網(wǎng)段的路由信息。路由器的路由表用來存儲路由信息。路由表的來源包括:①直連路由,根據(jù)直連接口所在網(wǎng)段自動產(chǎn)生;②靜態(tài)路由,手動配置到達每個目的網(wǎng)段的路由信息,配置和維護復雜,沒有協(xié)議開銷;③動態(tài)路由,通過路由協(xié)議從鄰居自動學習路由信息,配置和維護簡單,有協(xié)議開銷。常見的動態(tài)路由協(xié)議包括:①RIP(路由信息協(xié)議),收斂速度慢,最大跳數(shù)不超過16跳,網(wǎng)絡(luò)規(guī)模受到限制;②OSPF(開放式最短路徑優(yōu)先),克服了RIP的弱點,可以勝任中大型的網(wǎng)絡(luò)環(huán)境;③BGP(邊界網(wǎng)關(guān)協(xié)議),是運營商(或城域網(wǎng))之間使用的唯一協(xié)議。
本礦企業(yè)網(wǎng)使用OSPF協(xié)議來實現(xiàn)全網(wǎng)路由互通,僅配置一個骨干區(qū)域。在配置OSPF的時候,先在每臺三層設(shè)備上都配置Router ID,接下來建立骨干區(qū)域并進入?yún)^(qū)域視圖,在區(qū)域視圖下加入屬于該區(qū)域的接口網(wǎng)段[8-10]。
為了實現(xiàn)內(nèi)網(wǎng)主機訪問互聯(lián)網(wǎng)的需求,互聯(lián)網(wǎng)出口路由器上需要配置到互聯(lián)網(wǎng)的默認路由,并引入到OSPF中。默認路由是一種特殊的路由。當數(shù)據(jù)在查找路由表時,沒有找到和目標精確匹配的路由表項時,將采用默認路由。
NAT(網(wǎng)絡(luò)地址轉(zhuǎn)換) 是將IP數(shù)據(jù)報文頭中的IP地址轉(zhuǎn)換為另一個IP地址的過程??梢允褂肗AT將內(nèi)網(wǎng)多個用戶的私網(wǎng)IP轉(zhuǎn)換為一個或多個公網(wǎng)IP,實現(xiàn)內(nèi)網(wǎng)主機訪問互聯(lián)網(wǎng)的需求。這樣既可以解決公網(wǎng)地址不夠用的問題,也可以使外網(wǎng)看不到內(nèi)網(wǎng)用戶IP地址,保證內(nèi)網(wǎng)的安全性。本礦企業(yè)網(wǎng)采用地址池的方式配置NAT。地址池是用于地址轉(zhuǎn)換的一些連續(xù)的公網(wǎng)IP地址的集合。在地址轉(zhuǎn)換的過程中,NAT設(shè)備將會從地址池中挑選一個IP地址作為數(shù)據(jù)報文轉(zhuǎn)換后的源IP地址。在互聯(lián)網(wǎng)出口路由器上配置NAT方法:創(chuàng)建NAT地址池,指明使用的地址范圍;創(chuàng)建基本ACL,指明內(nèi)網(wǎng)哪些網(wǎng)段可以接入互聯(lián)網(wǎng);在路由器接外網(wǎng)的接口出方向關(guān)聯(lián)ACL規(guī)則,使用地址池下發(fā)NAT。
NAT Server(NAT內(nèi)部服務(wù)器功能)通過靜態(tài)配置“私網(wǎng)IP地址+端口號” 與“公網(wǎng)IP地址+端口號”間的映射關(guān)系,實現(xiàn)私網(wǎng)IP地址到公網(wǎng)IP地址的轉(zhuǎn)換,實現(xiàn)外網(wǎng)訪問內(nèi)網(wǎng)服務(wù)器的需求。在互聯(lián)網(wǎng)出口路由器上配置NAT Server方法:在路由器接外網(wǎng)的接口上創(chuàng)建NAT Server,使用協(xié)議為TCP,將內(nèi)部地址的FTP、Web等服務(wù)器映射為公網(wǎng)IP,對外提供的服務(wù)類型為FTP、Web等[11-13]。
本礦企業(yè)網(wǎng)至集團開通中國移動數(shù)字專線100M實現(xiàn)聯(lián)網(wǎng)。
核心交換機和路由器采用IRF2(第二代智能彈性架構(gòu))技術(shù),可以將二臺相同的設(shè)備虛擬化為一臺邏輯設(shè)備。IRF2通過路由熱備份技術(shù),在整個虛擬架構(gòu)內(nèi)實現(xiàn)控制平面和數(shù)據(jù)平面所有信息的冗余備份和無間斷的三層轉(zhuǎn)發(fā),增強了虛擬架構(gòu)的可靠性和高性能,同時消除了單點故障,避免了業(yè)務(wù)中斷;通過分布式跨設(shè)備鏈路聚合技術(shù),實現(xiàn)多條上行鏈路的負載分擔和互為備份,從而提高整個網(wǎng)絡(luò)架構(gòu)的冗余性和鏈路資源的利用率;整個彈性架構(gòu)共用一個IP管理,簡化網(wǎng)絡(luò)設(shè)備管理,簡化網(wǎng)絡(luò)拓撲管理,提高運營效率,降低維護成本。
每臺核心交換機、路由器的主控板、電源、風扇均采用冗余設(shè)計,可提升設(shè)備整體可靠性。每臺匯聚交換機采用雙上行鏈路連接至核心交換機,任何一條鏈路故障都不會造成網(wǎng)絡(luò)中斷。
企業(yè)網(wǎng)建設(shè)1套網(wǎng)絡(luò)管理綜合平臺,在統(tǒng)一平臺上對網(wǎng)絡(luò)核心設(shè)備、匯聚交換機、接入交換機、無線網(wǎng)絡(luò)等進行實時的監(jiān)控管理,及時發(fā)現(xiàn)網(wǎng)絡(luò)運行中的安全隱患,提高整個系統(tǒng)的可靠性和穩(wěn)定性。該平臺包括基礎(chǔ)資源管理、無線業(yè)務(wù)管理、終端準入管理、流量分析、上網(wǎng)行為管理等功能[14,15]。
在核心交換機上配置ACL實現(xiàn)公寓的所有終端不能訪問辦公樓和聯(lián)合建筑的終端。ACL(訪問控制列表)是一或多條規(guī)則的集合,用于識別報文流。這里的規(guī)則是指描述報文匹配條件的判斷語句,匹配條件可以是報文的源地址、目的地址、端口號等。配置ACL實現(xiàn)包過濾時,需要首先配置ACL,通過規(guī)則確定哪些報文需要被過濾;然后再在設(shè)備端口上下發(fā)ACL,以使包過濾生效。
企業(yè)網(wǎng)和工業(yè)網(wǎng)之間部署網(wǎng)閘,采用2臺H3C SecPath GAP2000安全隔離與信息交換系統(tǒng),保證工業(yè)網(wǎng)的網(wǎng)絡(luò)安全。企業(yè)網(wǎng)和外網(wǎng)之間部署防火墻,采用2臺H3C SecPath M9010多業(yè)務(wù)安全網(wǎng)關(guān),工作在透明模式,保證企業(yè)網(wǎng)的網(wǎng)絡(luò)安全。多業(yè)務(wù)安全網(wǎng)關(guān)提供全面的應用層流量識別與管理,能精確的檢測Thunder、QQ、MSN、PPLive等P2P/IM/網(wǎng)絡(luò)游戲/炒股/網(wǎng)絡(luò)視頻/網(wǎng)絡(luò)多媒體等應用,同時可提供不同的控制策略,實現(xiàn)靈活的P2P流量控制。出口路由器具備豐富QOS特性,為關(guān)鍵業(yè)務(wù)提供重點的帶寬保證。
本文介紹了小保當?shù)V井企業(yè)網(wǎng)的設(shè)計。目前,企業(yè)網(wǎng)已基本覆蓋地面工業(yè)場地主要建筑,能夠滿足礦井安全生產(chǎn)管理系統(tǒng)、視頻會議系統(tǒng)、辦公自動化系統(tǒng)、企業(yè)ERP系統(tǒng)、Internet上網(wǎng)的網(wǎng)絡(luò)傳輸要求,提高了礦井安全生產(chǎn)管理水平,取得了良好的經(jīng)濟效益和社會效益。