李小良 何 莉 龍大鵬

（開(kāi)灤集團(tuán)信息與控制中心，河北 唐山 063018）

開(kāi)灤融合通信系統(tǒng)融合計(jì)算機(jī)技術(shù)與傳統(tǒng)電信技術(shù)、固定網(wǎng)絡(luò)與移動(dòng)網(wǎng)絡(luò)，開(kāi)創(chuàng)了一種全新的通信模式。系統(tǒng)建立在扁平的IP 網(wǎng)絡(luò)上，提供控制和承載分離、業(yè)務(wù)和控制分離的特性，接入多樣化，業(yè)務(wù)分發(fā)和管理更加方便；能夠?qū)崿F(xiàn)電話、傳真、數(shù)據(jù)傳輸、音視頻會(huì)議、呼叫中心、即時(shí)通信等眾多應(yīng)用服務(wù)；系統(tǒng)讓企業(yè)員工可以在任何時(shí)間、任何地點(diǎn)，通過(guò)任何設(shè)備、任何網(wǎng)絡(luò)，獲得聲音、數(shù)據(jù)和圖像，豐富了企業(yè)員工的溝通方式，提升了企業(yè)員工的溝通效率。

融合通信系統(tǒng)能夠提供企業(yè)通信錄、文字短消息、語(yǔ)音信箱、電話錄音、黑白名單限呼等全新云端業(yè)務(wù)，為開(kāi)灤集團(tuán)各區(qū)域單位員工提供更精細(xì)化的語(yǔ)音業(yè)務(wù)，語(yǔ)音終端作為特殊的網(wǎng)絡(luò)終端，與計(jì)算機(jī)終端共享集團(tuán)局域網(wǎng)、互聯(lián)網(wǎng)IP 傳輸資源，逐步實(shí)現(xiàn)通信線網(wǎng)、計(jì)算機(jī)局域網(wǎng)全面融合；融合通信系統(tǒng)更好地保證集團(tuán)通信專網(wǎng)、調(diào)度通信網(wǎng)絡(luò)、計(jì)算機(jī)網(wǎng)絡(luò)的安全穩(wěn)定運(yùn)行，全面提升通信專網(wǎng)整體水平，實(shí)現(xiàn)開(kāi)灤集團(tuán)通信、網(wǎng)絡(luò)、自動(dòng)化等設(shè)備統(tǒng)一維護(hù)、統(tǒng)一管理。

1 整體架構(gòu)

開(kāi)灤融合通信系統(tǒng)建立在扁平的IP 網(wǎng)絡(luò)上，由于語(yǔ)音通信對(duì)網(wǎng)絡(luò)延時(shí)要求很高，考慮整個(gè)網(wǎng)絡(luò)的配置情況，結(jié)合融合通信系統(tǒng)的實(shí)際情況，網(wǎng)絡(luò)架構(gòu)采用兩層結(jié)構(gòu)，即核心層、接入層。網(wǎng)絡(luò)架構(gòu)示意圖如圖1。

2 核心架構(gòu)設(shè)計(jì)

融合通信核心層主要提供用戶注冊(cè)、呼叫路由、呼叫控制和媒體控制等功能，提供豐富業(yè)務(wù)功能，提供窄帶中繼匯接功能，提供SIP 代理功能，為桌面客戶端、手機(jī)客戶端提供局域網(wǎng)、互聯(lián)網(wǎng)接入業(yè)務(wù)。核心層主要包括網(wǎng)絡(luò)交換機(jī)（三層）、防火墻、用戶注冊(cè)網(wǎng)關(guān)、中繼注冊(cè)網(wǎng)關(guān)、業(yè)務(wù)服務(wù)器、會(huì)話邊界控制器等設(shè)備。

2.1 基于堆疊架構(gòu)的核心交換網(wǎng)絡(luò)設(shè)計(jì)

核心交換網(wǎng)絡(luò)采用環(huán)形堆疊架構(gòu)設(shè)計(jì)，更好地保證融合通信核心交換網(wǎng)絡(luò)的安全可靠性，任何一個(gè)線纜故障，堆疊方式由環(huán)形變?yōu)殒溞投询B方式，不影響設(shè)備整體運(yùn)行；堆疊交換網(wǎng)絡(luò)設(shè)備間帶寬達(dá)到10Gbps；通過(guò)任何一臺(tái)成員交換機(jī)登錄堆疊系統(tǒng)，對(duì)堆疊系統(tǒng)所有成員交換機(jī)進(jìn)行統(tǒng)一配置和管理；堆疊形成后，不需要配置復(fù)雜的二層破環(huán)協(xié)議和三層保護(hù)倒換協(xié)議，簡(jiǎn)化了網(wǎng)絡(luò)配置；通過(guò)增加成員交換機(jī)，可以輕松地?cái)U(kuò)展堆疊系統(tǒng)的端口數(shù)、帶寬和處理能力；同時(shí)支持成員交換機(jī)熱插拔，新加入的成員交換機(jī)自動(dòng)同步主交換機(jī)的配置文件和系統(tǒng)軟件版本。

腳本設(shè)計(jì)（部分）如下：

圖1 網(wǎng)絡(luò)架構(gòu)示意圖

2.2 基于鏈路聚合的防火墻接入設(shè)計(jì)

防火墻設(shè)備采用鏈路聚合接入核心堆疊交換網(wǎng)絡(luò)，可用帶寬達(dá)到2Gbps，將核心堆疊網(wǎng)絡(luò)機(jī)不同交換機(jī)中的物理接口聚合到一個(gè)邏輯接口Eth-Trunk接口中。當(dāng)堆疊設(shè)備中設(shè)備故障或加入Eth-Trunk接口中的物理成員口故障，通過(guò)堆疊設(shè)備間線纜跨框傳輸數(shù)據(jù)流量，從而保證了數(shù)據(jù)流量的可靠傳輸，同時(shí)實(shí)現(xiàn)了設(shè)備間的備份，并采用接口流量本地優(yōu)先轉(zhuǎn)發(fā)方式，實(shí)現(xiàn)跨設(shè)備的鏈路負(fù)載均衡，保證了流量的可靠傳輸，極大地減少了堆疊設(shè)備之間的帶寬承載壓力，極大地提高了流量轉(zhuǎn)發(fā)效率。

（1）堆疊交換機(jī)腳本設(shè)計(jì)（部分）

2.3 基于區(qū)域隔離的安全策略設(shè)計(jì)

融合通信系統(tǒng)通過(guò)安全技術(shù)手段和安全管理制度兩方面多要素有機(jī)結(jié)合，全面保證融合通信系統(tǒng)安全；根據(jù)開(kāi)灤融合通信系統(tǒng)功能和跨越的網(wǎng)絡(luò)，結(jié)合扁平化網(wǎng)絡(luò)結(jié)構(gòu)的特點(diǎn)以及安全需求，共配置8 個(gè)安全區(qū)域；根據(jù)安全區(qū)域業(yè)務(wù)類型整體上分為四個(gè)類型區(qū)域：內(nèi)網(wǎng)區(qū)域、中間業(yè)務(wù)區(qū)域、集團(tuán)局域網(wǎng)區(qū)域、互聯(lián)網(wǎng)區(qū)域；通過(guò)區(qū)域隔離技術(shù)實(shí)現(xiàn)不同網(wǎng)絡(luò)區(qū)域之間的安全隔離，各安全區(qū)域分配獨(dú)立的地址段；嚴(yán)格禁止主機(jī)通過(guò)雙網(wǎng)卡等手段跨網(wǎng)絡(luò)、跨安全區(qū)域連接。

（1）內(nèi)網(wǎng)區(qū)域主要包括融合通信內(nèi)部網(wǎng)絡(luò)，防火墻采用鏈路聚合方式接入核心交換網(wǎng)絡(luò)的不同交換機(jī)，該區(qū)域?yàn)閮?nèi)部信任區(qū)域，屬于融合通信系統(tǒng)可管理可控制的網(wǎng)絡(luò)區(qū)域。

（2）中間業(yè)務(wù)區(qū)域主要包括計(jì)費(fèi)系統(tǒng)、開(kāi)灤賓館酒店管理系統(tǒng)、微信業(yè)務(wù)、視頻會(huì)議等四個(gè)安全區(qū)域，主要為各系統(tǒng)提供數(shù)據(jù)業(yè)務(wù)并進(jìn)行數(shù)據(jù)交互。各系統(tǒng)均為開(kāi)灤自建系統(tǒng)，該類區(qū)域?yàn)閮?nèi)部信任區(qū)域，屬于集團(tuán)公司可管理可控制的網(wǎng)絡(luò)區(qū)域。

（3）集團(tuán)局域網(wǎng)區(qū)域主要提供開(kāi)灤集團(tuán)IP 電話、桌面客戶端的局域網(wǎng)接入業(yè)務(wù)，集團(tuán)局域網(wǎng)為開(kāi)灤自建網(wǎng)絡(luò)，該區(qū)域?yàn)閮?nèi)部信任區(qū)域，屬于集團(tuán)公司可管理可控制的網(wǎng)絡(luò)區(qū)域。

（4）外網(wǎng)區(qū)域主要包括電信互聯(lián)網(wǎng)、聯(lián)通互聯(lián)網(wǎng)等兩個(gè)互聯(lián)網(wǎng)出口區(qū)域，電信互聯(lián)網(wǎng)出口為主用，聯(lián)通互聯(lián)網(wǎng)出口為備用，為融合通信系統(tǒng)數(shù)據(jù)交換和授權(quán)應(yīng)用訪問(wèn)的通道，提供IP 電話、移動(dòng)客戶端的互聯(lián)網(wǎng)接入服務(wù)，該類區(qū)域?qū)儆诓豢晒芾聿豢煽刂频木W(wǎng)絡(luò)區(qū)域。

防火墻腳本（微信區(qū)域部分）設(shè)計(jì)如下：

2.4 基于BONDING 技術(shù)的業(yè)務(wù)服務(wù)器接入設(shè)計(jì)

融合通信系統(tǒng)BMU、eServer、MAA 等業(yè)務(wù)服務(wù)器，使用SuSE Linux 11SP3 操作系統(tǒng)，服務(wù)器對(duì)響應(yīng)時(shí)間、倒換時(shí)間要求極高，為保證融合通信系統(tǒng)安全性，提高業(yè)務(wù)服務(wù)器與交換機(jī)之間鏈路的可靠性，將網(wǎng)管服務(wù)器的兩個(gè)或多個(gè)物理網(wǎng)卡通過(guò)軟件綁定成一個(gè)虛擬網(wǎng)卡，在不同網(wǎng)卡、交換機(jī)之間進(jìn)行網(wǎng)卡冗余、流量故障轉(zhuǎn)移，大大增加了業(yè)務(wù)服務(wù)器接入的可靠性。

BONDING模式采用mod=1，即： (active-backup)Active-backup policy（主-備份策略），只有一個(gè)設(shè)備處于活動(dòng)狀態(tài)，當(dāng)一個(gè)宕掉另一個(gè)馬上由備份轉(zhuǎn)換為主設(shè)備。MAC 地址是外部可見(jiàn)，從外面看來(lái)，BONDING 的MAC 地址是唯一的，以避免交換機(jī)發(fā)生混亂；提供容錯(cuò)能力，提供高網(wǎng)絡(luò)連接的可用性。

2.5 基于適配器分組技術(shù)的話單服務(wù)器接入設(shè)計(jì)

融合通信系統(tǒng)話單采集服務(wù)器采用Windows Server 2008 操作系統(tǒng)，配置2 塊網(wǎng)卡（4 個(gè)網(wǎng)口），為提高話單采集服務(wù)器與交換機(jī)之間鏈路的可靠性，采用適配器分組技術(shù)將話單采集服務(wù)器的兩個(gè)物理網(wǎng)卡綁定成一個(gè)虛擬網(wǎng)卡，從而達(dá)到網(wǎng)卡主備冗余目的。

網(wǎng)卡綁定模式采用適配器容錯(cuò)模式，在交換器端口、電纜或適配器發(fā)生故障時(shí)，通過(guò)自動(dòng)從活動(dòng)適配器向待命適配器進(jìn)行故障恢復(fù)轉(zhuǎn)移來(lái)提供冗余，一個(gè)適配器會(huì)被選定為活動(dòng)適配器，所有其他的適配器都為待命狀態(tài)。

2.6 基于NIC 組合技術(shù)的網(wǎng)管服務(wù)器接入設(shè)計(jì)

融合通信系統(tǒng)網(wǎng)管服務(wù)器采用windows server 2012 操作系統(tǒng)，為提高網(wǎng)管服務(wù)器與交換機(jī)之間鏈路的可靠性，采用NIC 組合技術(shù)將網(wǎng)管服務(wù)器的兩個(gè)或多個(gè)物理網(wǎng)卡綁定成一個(gè)虛擬網(wǎng)卡，速度提高到2 Gbps，并在不同網(wǎng)卡、交換機(jī)之間進(jìn)行負(fù)載均衡。

成組模式采用交換機(jī)獨(dú)立模式，不要求交換機(jī)參與組合配置，由于獨(dú)立模式下的交換機(jī)不知道網(wǎng)卡是主機(jī)上組合一部分，網(wǎng)卡可以連接到不同的交換機(jī)；負(fù)載平衡模式采用動(dòng)態(tài)模式，數(shù)據(jù)會(huì)被平分到所有的成員網(wǎng)卡上，最大效率的利用帶寬。

3 結(jié) 語(yǔ)

采用堆疊、鏈路聚合、區(qū)域隔離、BONDING、適配器分組、NIC 組合等關(guān)鍵技術(shù)的融合通信系統(tǒng)核心架構(gòu)體系，更好地保證了融合通信系統(tǒng)的安全性、可靠性、可用性，系統(tǒng)保證企業(yè)用戶可以在任何時(shí)間、任何地點(diǎn)，通過(guò)任何設(shè)備、任何網(wǎng)絡(luò)，獲得聲音、數(shù)據(jù)和圖像，豐富企業(yè)員工的溝通方式，提升企業(yè)員工的溝通效率。