劉惠穎 李井泉

（1.河北省電力公司電力科學(xué)研究院 河北 石家莊 050021；2.河北省電力公司信息通信分公司 河北 石家莊 050021）

0 引言

為實(shí)現(xiàn)國(guó)網(wǎng)公司信息安全防護(hù)要求的“區(qū)域核心節(jié)點(diǎn)到網(wǎng)省公司骨干節(jié)點(diǎn)建立雙設(shè)備、雙路由傳輸通道”的目標(biāo)，電力企業(yè)內(nèi)部開(kāi)展了廣域網(wǎng)雙鏈路改造項(xiàng)目，進(jìn)一步提高網(wǎng)絡(luò)環(huán)境的安全性和可靠性。

1 概述及設(shè)計(jì)原則

1.1 雙鏈路技術(shù)的實(shí)現(xiàn)方式

1.1.1 設(shè)備級(jí)可靠性技術(shù)，通過(guò)設(shè)備冗余或者功能模塊冗余實(shí)現(xiàn)。 當(dāng)一個(gè)設(shè)備發(fā)生故障時(shí)， 冗余設(shè)備能夠馬上自動(dòng)替換發(fā)生故障的設(shè)備，使網(wǎng)絡(luò)的功能不受影響，能夠正確地執(zhí)行預(yù)定任務(wù)。

1.1.2 鏈路級(jí)可靠性技術(shù)， 可通過(guò)鏈路聚合技術(shù)和生成樹(shù)技術(shù)實(shí)現(xiàn)。在網(wǎng)絡(luò)正常運(yùn)行時(shí)， 業(yè)務(wù)的信息數(shù)據(jù)可以在主鏈路和備用鏈路中傳輸，提高了鏈路的傳輸帶寬，當(dāng)主鏈路發(fā)生故障時(shí)，數(shù)據(jù)自動(dòng)選擇備用鏈路進(jìn)行傳輸，提高了整個(gè)鏈路的可靠性。

1.1.3 網(wǎng)絡(luò)級(jí)可靠性技術(shù)，對(duì)于網(wǎng)絡(luò)層的可靠性，可以通過(guò)協(xié)議的可靠性技術(shù)來(lái)保證核心應(yīng)用系統(tǒng)的快速切換，防止由于網(wǎng)絡(luò)的局部故障導(dǎo)致網(wǎng)絡(luò)單點(diǎn)失效。 例如：為實(shí)現(xiàn)交換機(jī)的冗余，可以采用STP 協(xié)議，為實(shí)現(xiàn)路由的冗余，可以采用VRRP 協(xié)議。

1.2 項(xiàng)目設(shè)計(jì)原則

1.2.1 實(shí)用性原則

信息系統(tǒng)建設(shè)的最終目標(biāo)是形成一整套先進(jìn)實(shí)用的計(jì)算機(jī)信息管理系統(tǒng)，系統(tǒng)設(shè)計(jì)原則把實(shí)用性放在首位，從使用角度出發(fā)，注重系統(tǒng)的綜合能力和總體性能，系統(tǒng)必須具有方便的故障診斷能力和設(shè)備監(jiān)控能力，便于今后技術(shù)人員對(duì)系統(tǒng)日常管理及維護(hù)。

1.2.2 開(kāi)放性原則

各種設(shè)計(jì)規(guī)范、技術(shù)指標(biāo)及產(chǎn)品均要符合國(guó)際和工業(yè)標(biāo)準(zhǔn)，并可提供多廠(chǎng)家產(chǎn)品的支持能力。系統(tǒng)中所采用的所有產(chǎn)品都要滿(mǎn)足相關(guān)的國(guó)際標(biāo)準(zhǔn)和國(guó)家標(biāo)準(zhǔn)，是開(kāi)放的可兼容系統(tǒng)，能與不同廠(chǎng)商的產(chǎn)品兼容，能夠與局內(nèi)其它應(yīng)用系統(tǒng)互聯(lián)，可以有效保護(hù)投資。

1.2.3 可管理性原則

面對(duì)各個(gè)應(yīng)用層面的業(yè)務(wù)人員，運(yùn)行著各種應(yīng)用軟件，要求有強(qiáng)有力的網(wǎng)絡(luò)管理手段，合理地調(diào)整和優(yōu)化網(wǎng)絡(luò)資源，監(jiān)視網(wǎng)絡(luò)運(yùn)行狀態(tài)和控制網(wǎng)絡(luò)運(yùn)行，以提高網(wǎng)絡(luò)效率，降低維護(hù)成本。

能夠與現(xiàn)有的或以后的網(wǎng)絡(luò)設(shè)備、服務(wù)器兼容。 所有的網(wǎng)絡(luò)設(shè)備符合國(guó)際標(biāo)準(zhǔn)和工業(yè)標(biāo)準(zhǔn)，使網(wǎng)絡(luò)具有較高的可互操作性，易于擴(kuò)充。

1.2.4 安全性原則

應(yīng)采用先進(jìn)的網(wǎng)絡(luò)安全技術(shù)， 對(duì)現(xiàn)有系統(tǒng)進(jìn)行安全風(fēng)險(xiǎn)評(píng)估，針對(duì)不同的信息和資源采用不同的安全策略，總體規(guī)劃并逐步建立一套較為嚴(yán)密的安全防范體系，使網(wǎng)絡(luò)的安全危害降到最小。

2 廣域網(wǎng)雙鏈路改造項(xiàng)目建設(shè)

2.1 項(xiàng)目實(shí)施前電力企業(yè)網(wǎng)絡(luò)現(xiàn)狀

項(xiàng)目實(shí)施前，電力企業(yè)信息內(nèi)網(wǎng)和省級(jí)電力綜合數(shù)據(jù)網(wǎng)的連接屬于單設(shè)備單線(xiàn)上聯(lián)，任何設(shè)備出現(xiàn)單點(diǎn)故障都會(huì)造成電力企業(yè)信息網(wǎng)絡(luò)和省級(jí)綜合數(shù)據(jù)網(wǎng)的通訊中斷，而目前省電力綜合數(shù)據(jù)網(wǎng)已經(jīng)建成兩套MPLS VPN 網(wǎng)絡(luò)（雙平面雙環(huán)型結(jié)構(gòu)）。

項(xiàng)目實(shí)現(xiàn)前內(nèi)網(wǎng)網(wǎng)絡(luò)拓?fù)鋱D如下圖1 所示：

圖1 內(nèi)網(wǎng)網(wǎng)絡(luò)拓?fù)鋱D（項(xiàng)目實(shí)施前）

2.2 項(xiàng)目實(shí)施方案

利用新采購(gòu)的兩臺(tái)路由器替換原有PE 設(shè)備，并配置相應(yīng)接口板卡，將其作為省電力綜合數(shù)據(jù)網(wǎng)的PE 設(shè)備，分別上聯(lián)綜合數(shù)據(jù)網(wǎng)的兩臺(tái)路由器，形成雙鏈路相互冗余熱備，保證數(shù)據(jù)網(wǎng)絡(luò)線(xiàn)路的高利用率和可靠性，當(dāng)其中一條發(fā)生故障時(shí)，業(yè)務(wù)自動(dòng)切換到另外一條鏈路上。 考慮到網(wǎng)絡(luò)的安全性和可靠性，新增兩臺(tái)千兆防火墻替代原有的防火墻，以主備模式進(jìn)行部署并進(jìn)行各種網(wǎng)絡(luò)安全策略的添加。 兩臺(tái)防火墻分別使用兩條千兆線(xiàn)路與兩臺(tái)核心交換機(jī)以及兩臺(tái)PE 路由器形成上下互聯(lián)，形成雙線(xiàn)冗余結(jié)構(gòu)，消除了原有網(wǎng)絡(luò)單點(diǎn)故障，進(jìn)一步提高網(wǎng)絡(luò)的可用性和可靠性。

2.3 項(xiàng)目具體實(shí)施

2.3.1 路由規(guī)劃

由于本次改造區(qū)域?yàn)殡p設(shè)備雙上聯(lián)的雙線(xiàn)冗余結(jié)構(gòu)，為了更好地實(shí)現(xiàn)雙鏈路相互冗余熱備， 當(dāng)鏈路發(fā)生故障時(shí)實(shí)現(xiàn)快速收斂自動(dòng)切換，同時(shí)為了簡(jiǎn)化網(wǎng)絡(luò)結(jié)構(gòu)，內(nèi)網(wǎng)局域網(wǎng)設(shè)備之間決定采用OSPF 動(dòng)態(tài)路由協(xié)議。

首先在兩臺(tái)路由器啟用OSPF 進(jìn)程1， 將兩臺(tái)路由器上聯(lián)至兩臺(tái)省級(jí)電力綜合數(shù)據(jù)網(wǎng)PE 路由器區(qū)域劃分到OSPF 區(qū)域Area 1； 由于路由器同時(shí)擔(dān)任了PE 和CE 的角色，啟用OSPF 進(jìn)程100，將路由器上內(nèi)網(wǎng)VPN1 至信息內(nèi)網(wǎng)局域網(wǎng)的區(qū)域劃分到骨干區(qū)域Area 0，用于PE 和CE 之間交換路由信息，PE 方面BGP 路由同時(shí)引入OSPF 和直連路由。 兩臺(tái)核心交換機(jī)分別通過(guò)兩臺(tái)防火墻連接兩臺(tái)路由器，設(shè)備之間運(yùn)行OSPF 動(dòng)態(tài)路由協(xié)議，完成對(duì)綜合數(shù)據(jù)網(wǎng)的訪(fǎng)問(wèn)。

2.3.2 網(wǎng)絡(luò)規(guī)劃

1）物理層部分

路由器設(shè)計(jì)如下所示：

接口接口說(shuō)明接口類(lèi)型連接器接口轉(zhuǎn)換器 對(duì)端設(shè)備G3/0/0連接NE80千兆光口單模光纖連接防火墻千兆電口以太網(wǎng)線(xiàn)LC- STNE80 G3/0/1FW G2/0/0連接路由器千兆電口以太網(wǎng)線(xiàn)路由器

2）安全區(qū)設(shè)計(jì)

防火墻安全區(qū)設(shè)計(jì)如下所示：

區(qū)域名用途說(shuō)明包含端口trus t連接電力企業(yè)信息網(wǎng)絡(luò)G1/5 untrust連接省綜合數(shù)據(jù)網(wǎng)G1/4

2.4 項(xiàng)目完成

項(xiàng)目完成后網(wǎng)絡(luò)拓?fù)鋱D如圖2。

3 結(jié)論

通過(guò)廣域網(wǎng)雙鏈路改造項(xiàng)目的實(shí)施，消除了網(wǎng)絡(luò)中的單點(diǎn)故障問(wèn)題，實(shí)現(xiàn)了雙鏈路冗余，為業(yè)務(wù)提供了快速、穩(wěn)定、安全、可靠、高效的數(shù)據(jù)網(wǎng)絡(luò)系統(tǒng)。 實(shí)現(xiàn)了國(guó)網(wǎng)公司信息安全防護(hù)要求的“區(qū)域核心節(jié)點(diǎn)到網(wǎng)省公司骨干節(jié)點(diǎn)建立雙設(shè)備、雙路由傳輸通道”的目標(biāo)。

圖2 內(nèi)網(wǎng)網(wǎng)絡(luò)拓?fù)鋱D（新）

［1］唐明偉.一種雙鏈路網(wǎng)絡(luò)的設(shè)計(jì)與實(shí)現(xiàn)[J].電腦知識(shí)與技術(shù),2010.

［2］賈娟.一種基于VRRP 的核心路由器可用性方法研究與實(shí)現(xiàn)[J].電子技術(shù)應(yīng)用，2007.

［3］陳敬添.基于雙鏈路冗余的廣電業(yè)務(wù)網(wǎng)絡(luò)設(shè)計(jì)與實(shí)現(xiàn)[J].東南傳播，2011.