席小紅

(山西焦煤西山煤電集團(tuán)公司信息中心)

·技術(shù)經(jīng)驗(yàn)·

西山煤電集團(tuán)骨干網(wǎng)絡(luò)改造方案設(shè)計(jì)

席小紅

(山西焦煤西山煤電集團(tuán)公司信息中心)

西山骨干網(wǎng)從2003年組建以來(lái)，隨著應(yīng)用范圍的不斷擴(kuò)展，對(duì)網(wǎng)絡(luò)的整體結(jié)構(gòu)要求越來(lái)越高。介紹了西山骨干網(wǎng)的現(xiàn)狀，分析了原有網(wǎng)絡(luò)、數(shù)據(jù)中心、互聯(lián)網(wǎng)出口存在的問(wèn)題，并提出了相應(yīng)的優(yōu)化改造方案。

網(wǎng)絡(luò)；交換機(jī)；安全；數(shù)據(jù)；互聯(lián)網(wǎng)；優(yōu)化方案

1 西山信息骨干網(wǎng)絡(luò)現(xiàn)狀

西山煤電集團(tuán)公司的信息骨干網(wǎng)，從2003年建設(shè)以來(lái)實(shí)現(xiàn)了以西山網(wǎng)絡(luò)中心為核心，先后與公司下屬9個(gè)礦、汾西、霍州、華晉、山西焦煤集團(tuán)聯(lián)網(wǎng)，構(gòu)成以西山網(wǎng)絡(luò)為平臺(tái)的山西焦煤集團(tuán)公司計(jì)算機(jī)網(wǎng)絡(luò)架構(gòu)。專項(xiàng)應(yīng)用有：“瓦斯監(jiān)測(cè)監(jiān)控安全信息”、“電力調(diào)度遠(yuǎn)動(dòng)監(jiān)測(cè)信息”、“生產(chǎn)調(diào)度、行政視頻會(huì)議”、“安全監(jiān)察信息管理”、“醫(yī)保管理信息系統(tǒng)”、“兩個(gè)門戶網(wǎng)站”等。為公司的生產(chǎn)、安全、辦公方面提供了可靠的信息平臺(tái)。

隨著信息技術(shù)的不斷發(fā)展，集團(tuán)公司業(yè)務(wù)的不斷增加，對(duì)網(wǎng)絡(luò)的安全性、穩(wěn)定性和速度的要求越來(lái)越高，因此，需要在一些方面進(jìn)行優(yōu)化改造。結(jié)合當(dāng)前實(shí)際情況，對(duì)西山的網(wǎng)絡(luò)、數(shù)據(jù)中心、互聯(lián)網(wǎng)出口提出優(yōu)化方案。

2 集團(tuán)骨干網(wǎng)優(yōu)化方案

1) 現(xiàn)有組網(wǎng)存在的問(wèn)題。原有西山煤電集團(tuán)的骨干網(wǎng)，是通過(guò)各礦的匯聚交換機(jī)上行到集團(tuán)的核心交換機(jī)，鏈路采用光纖上行，核心交換機(jī)設(shè)備選用的是阿爾卡特的OminiSwitch 9700，各礦的匯聚設(shè)備選用的是阿爾卡特的OminiSwitch 7700。

現(xiàn)有組網(wǎng)的問(wèn)題主要集中在以下幾點(diǎn)：

每個(gè)礦目前都采用單機(jī)部署方式，一旦該交換機(jī)故障，則會(huì)導(dǎo)致所有業(yè)務(wù)的中斷。

每個(gè)礦的核心交換機(jī)采用的光接口板只有1塊，目前，2條上行鏈路都接在一塊板上，所以如果該接口板出現(xiàn)故障，沒(méi)有任何措施能夠保證網(wǎng)絡(luò)業(yè)務(wù)的連續(xù)性。

原有鏈路雙上行光纖采用1根光纖中的不同芯，一旦光纖發(fā)生物理故障，雙上行也形同虛設(shè)。

原有各二級(jí)單位上聯(lián)時(shí)，缺乏安全保護(hù)，一旦一個(gè)礦發(fā)生蠕蟲木馬等安全威脅，安全威脅很容易擴(kuò)散到其它礦。

目前，生產(chǎn)網(wǎng)和信息網(wǎng)都采用了相同的物理網(wǎng)絡(luò)，沒(méi)有任何隔離措施，兩網(wǎng)會(huì)相互影響。

綜上所述，現(xiàn)有的網(wǎng)絡(luò)故障恢復(fù)時(shí)間完全不可控，取決于故障定位恢復(fù)時(shí)間、備品備件到達(dá)礦的時(shí)間。

2) 為確保冗余性，以及故障情況下的能夠及時(shí)恢復(fù)，針對(duì)現(xiàn)有存在的問(wèn)題，本次方案做如下優(yōu)化：

進(jìn)行各礦核心交換機(jī)優(yōu)化，升級(jí)原有單機(jī)為雙機(jī)。新的核心設(shè)備選擇H3C公司S7506E設(shè)備。新升級(jí)的設(shè)備自帶雙主控雙電源，并都配置了相應(yīng)的接口板，舊的7700擴(kuò)容一塊光口板。鏈路優(yōu)化上，在原有一條光纖鏈路的基礎(chǔ)上，新鋪設(shè)一條不同路由的光纖鏈路。

各礦的骨干網(wǎng)出口需擴(kuò)展安全防護(hù)功能，確保安全威脅不會(huì)擴(kuò)散。使用防火墻模塊，可以實(shí)現(xiàn)各礦的安全分區(qū)隔離，并在不同的安全分區(qū)間配置安全策略。

礦級(jí)生產(chǎn)網(wǎng)和信息網(wǎng)的隔離在各礦級(jí)核心交換機(jī)邏輯隔離，新增的核心交換機(jī)與原有的核心交換機(jī)做到網(wǎng)關(guān)冗余，從而大幅提高生產(chǎn)網(wǎng)業(yè)務(wù)的可靠性，達(dá)到西山煤電集團(tuán)對(duì)生產(chǎn)業(yè)務(wù)連續(xù)性的要求。

選擇本次的方案進(jìn)行改造，使集團(tuán)骨干網(wǎng)整網(wǎng)的雙機(jī)雙鏈路冗余，大大降低原有網(wǎng)絡(luò)運(yùn)行的風(fēng)險(xiǎn)。

在骨干網(wǎng)優(yōu)化中選擇H3C的S7506E設(shè)備，技術(shù)上主要是從設(shè)備性能較原有阿爾卡特設(shè)備有大幅度提升，但是又能夠基于標(biāo)準(zhǔn)的技術(shù)與原有設(shè)備有很好的兼容，且其集成多業(yè)務(wù)處理模塊的能力可以較好地為各礦的核心設(shè)備功能增強(qiáng)、安全加固提供較好的可擴(kuò)展性。

3 集團(tuán)數(shù)據(jù)中心優(yōu)化

集團(tuán)數(shù)據(jù)中心是企業(yè)信息化的核心，需要考慮來(lái)自生產(chǎn)網(wǎng)絡(luò)訪問(wèn)、信息網(wǎng)絡(luò)訪問(wèn)以及來(lái)自Internet網(wǎng)絡(luò)的安全威脅。在數(shù)據(jù)大集中的趨勢(shì)下，數(shù)據(jù)中心需要面向整個(gè)集團(tuán)提供各種信息化服務(wù)，建設(shè)高安全、高可靠的數(shù)據(jù)中心以保證信息業(yè)務(wù)的高可用性，建設(shè)高性能的數(shù)據(jù)中心滿足大量業(yè)務(wù)并發(fā)訪問(wèn)的難題，是數(shù)據(jù)中心優(yōu)化要解決的兩大問(wèn)題。

遵從現(xiàn)代化數(shù)據(jù)中心的建設(shè)原則，按照分層、分區(qū)、分級(jí)的思想進(jìn)行數(shù)據(jù)中心優(yōu)化。并且針對(duì)數(shù)據(jù)中心不同分區(qū)的安全級(jí)別，分別進(jìn)行針對(duì)性的安全策略部署。

原西山煤電集團(tuán)數(shù)據(jù)中心前端只部署了聯(lián)想網(wǎng)御防火墻設(shè)備V3414，而且設(shè)備性能為千兆，業(yè)務(wù)量大時(shí)會(huì)成為數(shù)據(jù)中心的瓶頸。通過(guò)部署了高端數(shù)據(jù)中心級(jí)防火墻 F5000-A，可以達(dá)到40G的吞吐量和最大并發(fā)400萬(wàn)會(huì)話，其能夠支持256個(gè)虛擬防火墻的能力，也可以為細(xì)分業(yè)務(wù)進(jìn)行保護(hù)，實(shí)現(xiàn)了富裕的功能性能保障，此外，后續(xù)可擴(kuò)容8個(gè)萬(wàn)兆接口，也非常適合部署在數(shù)據(jù)中心前端，以備數(shù)據(jù)中心提速之需。

原有的數(shù)據(jù)中心無(wú)法針對(duì)來(lái)自集團(tuán)內(nèi)部的安全威脅滲透，為了保護(hù)數(shù)據(jù)中心的高價(jià)值數(shù)據(jù)，本次采用了T1000-A產(chǎn)品，通過(guò)可以動(dòng)態(tài)更新的特征庫(kù)，不斷防御來(lái)自內(nèi)網(wǎng)的病毒、木馬、蠕蟲等等安全攻擊。

同時(shí)，針對(duì)數(shù)據(jù)中心整體進(jìn)行了性能優(yōu)化，尤其是針對(duì)網(wǎng)內(nèi)用戶對(duì)服務(wù)器的訪問(wèn)。為有效提高訪問(wèn)速度、提高帶寬利用率、減少訪問(wèn)時(shí)延、緩解服務(wù)器壓力，有必要使用服務(wù)器負(fù)載均衡性能優(yōu)化設(shè)備。

通過(guò)采用負(fù)載均衡應(yīng)用優(yōu)化設(shè)備SecPath ASE，實(shí)現(xiàn)數(shù)據(jù)中心的性能保護(hù)，ASE部署在數(shù)據(jù)中心前端的優(yōu)勢(shì)可以很好地分擔(dān)服務(wù)器的非關(guān)鍵應(yīng)用對(duì)服務(wù)器的性能影響，也可以在處理大量并發(fā)訪問(wèn)連接時(shí)進(jìn)行智能的連接復(fù)用、TCP優(yōu)化、SSL優(yōu)化。

4 集團(tuán)互聯(lián)網(wǎng)出口優(yōu)化

4.1集團(tuán)互聯(lián)網(wǎng)出口現(xiàn)狀存在以下幾個(gè)問(wèn)題

1) 缺少應(yīng)用層安全保護(hù)，針對(duì)病毒、蠕蟲、木馬等常見安全威脅無(wú)應(yīng)對(duì)措施。

2) 缺乏出口性能保護(hù)，在P2P、網(wǎng)絡(luò)流媒體大量占用出口帶寬的情況下，信息網(wǎng)訪問(wèn)互聯(lián)網(wǎng)的體驗(yàn)大大降低。

3) 設(shè)備性能普遍不能滿足現(xiàn)有業(yè)務(wù)不斷發(fā)展的需要，在大業(yè)務(wù)流量情況下，現(xiàn)有的出口設(shè)備出現(xiàn)丟包、上不了網(wǎng)等情況；

4) 在線部署的單節(jié)點(diǎn)設(shè)備容易形成瓶頸，一旦設(shè)備出現(xiàn)問(wèn)題，會(huì)導(dǎo)致整個(gè)網(wǎng)絡(luò)中斷；

5) 原有的鏈路負(fù)載均衡設(shè)備Radware LinkProof 1000性能不足，不僅完成不了合理分配兩條鏈路帶寬的功能，反而成了出口性能上的短木板。

4.2集團(tuán)互聯(lián)網(wǎng)出口優(yōu)化

通過(guò)在應(yīng)用層防護(hù)上部署可以自動(dòng)下載數(shù)字特征庫(kù)的IPS產(chǎn)品 T1000-A，一臺(tái)部署在防火墻外側(cè)，確保不斷變化的病毒蠕蟲木馬不會(huì)從網(wǎng)絡(luò)入口攻擊到服務(wù)器和內(nèi)網(wǎng)的主機(jī)；一臺(tái)部署在防火墻的DMZ區(qū)，確保DMZ區(qū)服務(wù)器的安全。同時(shí)，通過(guò)部署應(yīng)用控制產(chǎn)品SecPathACG 8800，既能夠針對(duì)目前所有主流的P2P應(yīng)用、網(wǎng)絡(luò)視頻應(yīng)用、網(wǎng)絡(luò)游戲等進(jìn)行帶寬管理和帶寬保證，還需要能夠?qū)W(wǎng)頁(yè)訪問(wèn)、FTP、Email等功能進(jìn)行上網(wǎng)的審計(jì)。既能夠滿足合理利用帶寬的需要，還滿足了公安部對(duì)企事業(yè)單位出口上網(wǎng)行為管理的規(guī)定。

為避免單點(diǎn)故障，本次新增的在線設(shè)備全部支持透明部署，內(nèi)置斷電保護(hù)功能。

5 方案特點(diǎn)

1) 網(wǎng)絡(luò)建設(shè)的全面性。方案綜合考慮了現(xiàn)有西山煤電集團(tuán)的整體網(wǎng)絡(luò)狀況，選擇了一個(gè)兼具先進(jìn)性、可行性、兼容性的方案。方案的選擇既結(jié)合了當(dāng)前業(yè)務(wù)的需要，又能滿足未來(lái)3～5年集團(tuán)信息化建設(shè)對(duì)網(wǎng)絡(luò)基礎(chǔ)架構(gòu)的要求，而且所選擇產(chǎn)品都是國(guó)內(nèi)相關(guān)領(lǐng)域品牌最好的產(chǎn)品，可以很大程度地緩解后期維護(hù)的壓力。針對(duì)前期現(xiàn)網(wǎng)的組成，本次方案改動(dòng)最小，又避免了現(xiàn)網(wǎng)中對(duì)原有設(shè)備的過(guò)度依賴。

2) 支持業(yè)務(wù)的高可靠性。方案從鏈路、設(shè)備、板卡、業(yè)務(wù)規(guī)劃等方面充分考慮冗余和可靠性，將故障恢復(fù)時(shí)間控制在秒級(jí)以內(nèi)，充分保障業(yè)務(wù)連續(xù)性。

3) 業(yè)務(wù)處理的高性能。方案所有選擇產(chǎn)品均為高端高性能的在線設(shè)備，從硬件上均為最先進(jìn)的多核或NP架構(gòu)，所有在線的應(yīng)用層安全設(shè)備(入侵防御系統(tǒng)、應(yīng)用控制網(wǎng)關(guān))時(shí)延都在200 ms以內(nèi)，而三四層安全設(shè)備處理時(shí)延都在10 ms以內(nèi)，所以可以保證整體業(yè)務(wù)時(shí)延用戶感知不明顯。

4) 安全防護(hù)的完備性。本次網(wǎng)絡(luò)安全建設(shè)既針對(duì)現(xiàn)網(wǎng)情況，針對(duì)互聯(lián)網(wǎng)網(wǎng)絡(luò)入口的安全威脅和骨干網(wǎng)面臨的安全威脅進(jìn)行了統(tǒng)一防護(hù)，又能夠針對(duì)數(shù)據(jù)中心需要保護(hù)的服務(wù)器進(jìn)行重點(diǎn)保護(hù)。保護(hù)的內(nèi)容既包括已有的安全威脅，比如ARP攻擊等等，又包括能夠針對(duì)不斷更新的木馬、病毒、蠕蟲等威脅的動(dòng)態(tài)防護(hù)。

5) 網(wǎng)絡(luò)安全管理的與時(shí)俱進(jìn)。本次網(wǎng)絡(luò)既有網(wǎng)絡(luò)管理中心，可以針對(duì)全網(wǎng)網(wǎng)元進(jìn)行管理，對(duì)設(shè)備下發(fā)管理策略。又有安全管理中心，可以統(tǒng)一收集全網(wǎng)的安全事件日志，按照預(yù)先定義好的策略進(jìn)行相應(yīng)的聯(lián)動(dòng)策略部署。并通過(guò)技術(shù)手段，盡可能多地使網(wǎng)絡(luò)安全設(shè)備的智能聯(lián)動(dòng)，降低了大型網(wǎng)絡(luò)對(duì)維護(hù)人力的要求。

6 結(jié)束語(yǔ)

隨著企業(yè)信息化建設(shè)的深入開展，對(duì)企業(yè)網(wǎng)絡(luò)要求越來(lái)越高。本文分析了原有西山骨干網(wǎng)在使用過(guò)程中出現(xiàn)的問(wèn)題，并提出了相應(yīng)的優(yōu)化改造方案。方案綜合考慮了現(xiàn)有西山煤電的整體網(wǎng)絡(luò)狀況，選擇了一個(gè)兼具先進(jìn)性、可行性、兼容性的方案。希望西山骨干網(wǎng)在西山信息化建設(shè)中能成為一個(gè)更為完善的平臺(tái)。

DesignonTransformationSchemeofBackboneNetworkinXishanCoalGroup

XiXiao-hong

Since Xishan network set up in 2003, scope of application continue to expand, the overall structure of networks have become increasingly demanding.Introduces the state of Xishan network, analyses the questions of the existing network, data centre and international internet bandwidth ,and proposes homologous formula for optimizing modification.

Network; Switch; Safety; Data; Internet; Optimize scheme

席小紅 女 1970年出生 1992年畢業(yè)于太原工業(yè)大學(xué) 工程師 太原 030053

TD655

A

1672-0652(2010)10-0048-03

2010-08-26