張素陽 竇道飛 蘇歡樂

*北京市華鐵信息技術(shù)開發(fā)總公司 助理工程師，100081 北京

＊＊中國(guó)鐵道科學(xué)研究院通信信號(hào)研究所 助理研究員，100081北京

＊＊＊呼和浩特鐵路局呼準(zhǔn)東烏鐵路建設(shè)項(xiàng)目籌備組 助理工程師，010050 呼和浩特

在鐵路技術(shù)標(biāo)準(zhǔn)中，明確提出重要設(shè)備要采用硬件冗余、負(fù)載均衡、防火墻等技術(shù)。為此，對(duì)于信號(hào)集中監(jiān)測(cè)系統(tǒng)，需提升電務(wù)段中心機(jī)房的綜合性能與管理能力，提出了標(biāo)準(zhǔn)化的網(wǎng)絡(luò)設(shè)計(jì)方案。

1 系統(tǒng)體系結(jié)構(gòu)介紹

信號(hào)集中監(jiān)測(cè)系統(tǒng)體系結(jié)構(gòu)，包括系統(tǒng)配置的層次結(jié)構(gòu)和數(shù)據(jù)通信的網(wǎng)絡(luò)結(jié)構(gòu)，符合電務(wù)部門監(jiān)測(cè)、維護(hù)和管理工作的實(shí)際需要，以及客運(yùn)專線屬地化維護(hù)管理要求。該系統(tǒng)分為三級(jí)四層，三級(jí)為鐵道部、鐵路局、電務(wù)段 (綜合維修基地)，四層為鐵道部電務(wù)監(jiān)測(cè)子系統(tǒng)、鐵路局電務(wù)監(jiān)測(cè)子系統(tǒng)、電務(wù)段 (綜合維修基地)監(jiān)測(cè)子系統(tǒng)和車站監(jiān)測(cè)網(wǎng)，系統(tǒng)全網(wǎng)體系結(jié)構(gòu)如圖1所示。

圖1 集中監(jiān)測(cè)系統(tǒng)全網(wǎng)體系結(jié)構(gòu)圖

根據(jù)三級(jí)四層的總體規(guī)劃，廣域網(wǎng)傳輸使用2 Mb/s及以上同軸電纜，適用范圍包括:鐵道部與各個(gè)鐵路局之間互聯(lián)通道連接;鐵路局與下轄各電務(wù)段之間互聯(lián)通道連接;電務(wù)段下轄的車站(或車間)，每隔5～12個(gè)車站，要向電務(wù)段中心機(jī)房上聯(lián)一個(gè)不低于2 Mb/s傳輸線纜，作為網(wǎng)絡(luò)鏈路冗余。車站本地局域網(wǎng)采用百兆以太網(wǎng)，信號(hào)工區(qū)的設(shè)備根據(jù)就近原則，接入到最近的車站設(shè)備。

2 電務(wù)段中心機(jī)房網(wǎng)絡(luò)拓?fù)浣榻B

根據(jù)鐵道部的要求和鐵路系統(tǒng)現(xiàn)場(chǎng)實(shí)際情況，新的信號(hào)集中監(jiān)測(cè)系統(tǒng)將主要設(shè)備布置在電務(wù)段中心，檢測(cè)站機(jī)與下位機(jī)分布式布置在沿線各車站，這種設(shè)計(jì)便于重要系統(tǒng)集中管理，減少故障風(fēng)險(xiǎn)。系統(tǒng)在提供更多服務(wù)的同時(shí)，也對(duì)計(jì)算機(jī)網(wǎng)絡(luò)的穩(wěn)定性提出了更高的要求，因此將網(wǎng)絡(luò)關(guān)鍵設(shè)備設(shè)為雙份冗余，大大提高網(wǎng)絡(luò)系統(tǒng)的可靠性與負(fù)載能力。信號(hào)集中監(jiān)測(cè)系統(tǒng)中心拓?fù)鋱D如圖2所示。

信號(hào)集中監(jiān)測(cè)系統(tǒng)采用模塊化設(shè)計(jì)，擴(kuò)展性更好。電務(wù)部門中心站采用全千兆以太網(wǎng)，增強(qiáng)了信號(hào)集中監(jiān)測(cè)中心的數(shù)據(jù)傳輸能力。由于信號(hào)集中監(jiān)測(cè)系統(tǒng)的主要數(shù)據(jù)匯聚點(diǎn)是在中心，所以冗余技術(shù)主要運(yùn)用到中心設(shè)備上，路由器、交換機(jī)、以太網(wǎng)適配器及網(wǎng)絡(luò)線均采用雙套冗余配置，使中心具備突發(fā)事件應(yīng)急響應(yīng)、核心信息系統(tǒng)安全保障等支撐能力。

3 動(dòng)態(tài)路由協(xié)議性能比較

目前鐵路通信傳輸網(wǎng)采用2 Mb/s電纜比較普遍，信號(hào)集中監(jiān)測(cè)系統(tǒng)廣域網(wǎng)傳輸帶寬限制在2Mb/s以下，因此要盡量?jī)?yōu)化傳輸數(shù)據(jù)。根據(jù)鐵路標(biāo)準(zhǔn)，可供信號(hào)集中監(jiān)測(cè)系統(tǒng)選擇的內(nèi)部網(wǎng)關(guān)協(xié)議主要有OSPF和 EIGRP 2種。

OSPF協(xié)議是一種鏈路狀態(tài)協(xié)議，網(wǎng)絡(luò)中所有節(jié)點(diǎn)都保持一個(gè)相同的鏈路狀態(tài)數(shù)據(jù)庫，根據(jù)數(shù)據(jù)庫中的信息，每個(gè)路由器計(jì)算到網(wǎng)絡(luò)每個(gè)目的地的路徑，創(chuàng)建以它為根的路由拓?fù)浣Y(jié)構(gòu)樹，其中包含有形成路由表基礎(chǔ)的最短路徑優(yōu)先樹。如果網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)有變化，則信息立刻通過網(wǎng)絡(luò)廣播出去，此時(shí)網(wǎng)絡(luò)中所有的路由器都要參與SPF算法，計(jì)算最短路徑優(yōu)先樹所需的時(shí)間取決于網(wǎng)絡(luò)規(guī)模。OSPF協(xié)議僅支持等價(jià)路徑的負(fù)載均衡，單區(qū)域內(nèi)路由器數(shù)量過大，會(huì)對(duì)OSPF的收斂性能產(chǎn)生影響，一般單域中路由器數(shù)量不超過50臺(tái)。但是信號(hào)集中監(jiān)測(cè)系統(tǒng)廣域網(wǎng)互聯(lián)鏈路帶寬只有2 Mb/s，還需要傳輸數(shù)據(jù)，因此建議信號(hào)集中監(jiān)測(cè)系統(tǒng)非0區(qū)域單域最大不超過30臺(tái)路由器。

EIGRP協(xié)議是CISCO公司私有協(xié)議，它綜合了距離向量協(xié)議和鏈路狀態(tài)協(xié)議的優(yōu)點(diǎn)，使用散播更新算法來實(shí)現(xiàn)快速收斂。該算法發(fā)送的更新信息是非周期的、部分的和有界的。這些特性決定了EIGRP所要求的帶寬資源非常少，它支持等價(jià)和不等價(jià)路徑的負(fù)載均衡。EIGRP協(xié)議支持多路徑，使路由器可以按照不同的路徑進(jìn)行負(fù)載分擔(dān)，并且支持在不等開銷路徑之間進(jìn)行負(fù)載平衡。

圖2 信號(hào)集中監(jiān)測(cè)系統(tǒng)中心拓?fù)涫疽鈭D

EIGRP路由協(xié)議作為一種成熟的高級(jí)距離矢量路由協(xié)議，在目前鐵路系統(tǒng)現(xiàn)場(chǎng)環(huán)境中，簡(jiǎn)單的網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)，簡(jiǎn)便的實(shí)施配置與維護(hù)，完善的負(fù)載均衡方式，以及協(xié)議的低帶寬消耗，故障時(shí)快速收斂路由條目等特點(diǎn)，使得其相對(duì)于其他IGP路由協(xié)議，在性能上有一定的優(yōu)勢(shì)。由于EIGRP協(xié)議具有單一區(qū)域的特點(diǎn)，因此大大降低了網(wǎng)絡(luò)邏輯拓?fù)涞膹?fù)雜性，并且在理論上對(duì)單域中最大路由器數(shù)量沒有限制。數(shù)量的多少受限于路由器自身性能與通信鏈路帶寬，因此現(xiàn)場(chǎng)實(shí)施比較靈活簡(jiǎn)便，對(duì)運(yùn)行維護(hù)人員的綜合要求較低。所以從各項(xiàng)指標(biāo)綜合來看，EIGRP協(xié)議更加適合應(yīng)用在鐵路系統(tǒng)環(huán)境中。

4 網(wǎng)絡(luò)安全加固

隨著計(jì)算機(jī)技術(shù)的迅速發(fā)展，在系統(tǒng)處理能力提高的同時(shí)，系統(tǒng)的連接能力也在不斷的提高。同時(shí)基于網(wǎng)絡(luò)連接的安全問題也日益突出。整體的網(wǎng)絡(luò)安全主要表現(xiàn)在:網(wǎng)絡(luò)的物理安全、網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)安全、網(wǎng)絡(luò)系統(tǒng)安全、應(yīng)用系統(tǒng)安全和網(wǎng)絡(luò)管理的安全等。

根據(jù)現(xiàn)場(chǎng)需求，在電務(wù)段中心機(jī)房架構(gòu)中配置硬件防火墻、入侵檢測(cè)設(shè)備、漏洞掃描設(shè)備、防病毒服務(wù)器、WSUS補(bǔ)丁升級(jí)服務(wù)器、網(wǎng)管服務(wù)器等，可加強(qiáng)整個(gè)系統(tǒng)的網(wǎng)絡(luò)安全。硬件防火墻控制外網(wǎng)的IP地址訪問授權(quán);入侵檢測(cè)設(shè)備實(shí)時(shí)監(jiān)控網(wǎng)絡(luò)中的流量，甄別出有風(fēng)險(xiǎn)的攻擊行為;漏洞掃描系統(tǒng)定期對(duì)服務(wù)器主動(dòng)掃描，針對(duì)安全弱點(diǎn)提供檢測(cè)報(bào)告和建議;防病毒服務(wù)器對(duì)各個(gè)終端和站機(jī)上的客戶端軟件實(shí)時(shí)更新病毒庫，保障工控機(jī)和服務(wù)器的防病毒安全;WSUS補(bǔ)丁升級(jí)服務(wù)器精確控制Windows各版本升級(jí)補(bǔ)丁的下發(fā)，由其作為代理服務(wù)器下載存儲(chǔ) Windows升級(jí)補(bǔ)丁，并審核控制下發(fā)給內(nèi)網(wǎng)的其他服務(wù)器，降低了整個(gè)系統(tǒng)的安全風(fēng)險(xiǎn);網(wǎng)管服務(wù)器實(shí)時(shí)監(jiān)測(cè)每臺(tái)可管理網(wǎng)絡(luò)設(shè)備的運(yùn)行狀態(tài)，并且詳細(xì)監(jiān)視整個(gè)網(wǎng)絡(luò)中的流量狀態(tài)，極大地保證了整套系統(tǒng)的穩(wěn)定運(yùn)營(yíng)，并對(duì)突發(fā)故障能夠快速響應(yīng)，快速定位故障范圍，對(duì)及時(shí)排查故障起到重要作用。

在下屬車站節(jié)點(diǎn)中，可以在路由器上啟用訪問控制列表，只放行系統(tǒng)所需端口，將其他端口屏蔽，可以極大地增強(qiáng)網(wǎng)絡(luò)安全能力。同時(shí)也可以選擇使用訪問控制列表對(duì)IP地址進(jìn)行控制，達(dá)到控制訪問權(quán)限的目的。

標(biāo)準(zhǔn)化、層次化的網(wǎng)絡(luò)設(shè)計(jì)，對(duì)系統(tǒng)硬件及應(yīng)用系統(tǒng)功能的擴(kuò)展非常靈活，滿足現(xiàn)有技術(shù)條件的要求。電務(wù)部門的中心機(jī)房通過增添相應(yīng)設(shè)備與系統(tǒng)，擴(kuò)展與基層互連通道的帶寬，使信號(hào)集中監(jiān)測(cè)系統(tǒng)具有非常強(qiáng)的可擴(kuò)展能力，功能更完善，符合未來鐵路發(fā)展需要。

［1］ 祝玉奎，許偉，秦燕燕．淺談信息化建設(shè)中的容災(zāi)問題［J］．鐵道通信信號(hào)，2009(2):41．

［2］ 張英．鐵路信號(hào)控制系統(tǒng)安全評(píng)估簡(jiǎn)介［J］．鐵道通信信號(hào)，2009(增刊):47．

［3］ 黃銀霞，孫超，呼愛蟬，崔勇．信號(hào)系統(tǒng)評(píng)估體系架構(gòu)［J］．鐵道通信信號(hào)，2008(11):33．