西山煤電集團骨干網絡改造方案設計

席小紅

(山西焦煤西山煤電集團公司信息中心)

·技術經驗·

西山煤電集團骨干網絡改造方案設計

席小紅

(山西焦煤西山煤電集團公司信息中心)

西山骨干網從2003年組建以來，隨著應用范圍的不斷擴展，對網絡的整體結構要求越來越高。介紹了西山骨干網的現狀，分析了原有網絡、數據中心、互聯網出口存在的問題，并提出了相應的優化改造方案。

網絡；交換機；安全；數據；互聯網；優化方案

1 西山信息骨干網絡現狀

西山煤電集團公司的信息骨干網，從2003年建設以來實現了以西山網絡中心為核心，先后與公司下屬9個礦、汾西、霍州、華晉、山西焦煤集團聯網，構成以西山網絡為平臺的山西焦煤集團公司計算機網絡架構。專項應用有：“瓦斯監測監控安全信息”、“電力調度遠動監測信息”、“生產調度、行政視頻會議”、“安全監察信息管理”、“醫保管理信息系統”、“兩個門戶網站”等。為公司的生產、安全、辦公方面提供了可靠的信息平臺。

隨著信息技術的不斷發展，集團公司業務的不斷增加，對網絡的安全性、穩定性和速度的要求越來越高，因此，需要在一些方面進行優化改造。結合當前實際情況，對西山的網絡、數據中心、互聯網出口提出優化方案。

2 集團骨干網優化方案

1) 現有組網存在的問題。原有西山煤電集團的骨干網，是通過各礦的匯聚交換機上行到集團的核心交換機，鏈路采用光纖上行，核心交換機設備選用的是阿爾卡特的OminiSwitch 9700，各礦的匯聚設備選用的是阿爾卡特的OminiSwitch 7700。

現有組網的問題主要集中在以下幾點：

每個礦目前都采用單機部署方式，一旦該交換機故障，則會導致所有業務的中斷。

每個礦的核心交換機采用的光接口板只有1塊，目前，2條上行鏈路都接在一塊板上，所以如果該接口板出現故障，沒有任何措施能夠保證網絡業務的連續性。

原有鏈路雙上行光纖采用1根光纖中的不同芯，一旦光纖發生物理故障，雙上行也形同虛設。

原有各二級單位上聯時，缺乏安全保護，一旦一個礦發生蠕蟲木馬等安全威脅，安全威脅很容易擴散到其它礦。

目前，生產網和信息網都采用了相同的物理網絡，沒有任何隔離措施，兩網會相互影響。

綜上所述，現有的網絡故障恢復時間完全不可控，取決于故障定位恢復時間、備品備件到達礦的時間。

2) 為確保冗余性，以及故障情況下的能夠及時恢復，針對現有存在的問題，本次方案做如下優化：

進行各礦核心交換機優化，升級原有單機為雙機。新的核心設備選擇H3C公司S7506E設備。新升級的設備自帶雙主控雙電源，并都配置了相應的接口板，舊的7700擴容一塊光口板。鏈路優化上，在原有一條光纖鏈路的基礎上，新鋪設一條不同路由的光纖鏈路。

各礦的骨干網出口需擴展安全防護功能，確保安全威脅不會擴散。使用防火墻模塊，可以實現各礦的安全分區隔離，并在不同的安全分區間配置安全策略。

礦級生產網和信息網的隔離在各礦級核心交換機邏輯隔離，新增的核心交換機與原有的核心交換機做到網關冗余，從而大幅提高生產網業務的可靠性，達到西山煤電集團對生產業務連續性的要求。

選擇本次的方案進行改造，使集團骨干網整網的雙機雙鏈路冗余，大大降低原有網絡運行的風險。

在骨干網優化中選擇H3C的S7506E設備，技術上主要是從設備性能較原有阿爾卡特設備有大幅度提升，但是又能夠基于標準的技術與原有設備有很好的兼容，且其集成多業務處理模塊的能力可以較好地為各礦的核心設備功能增強、安全加固提供較好的可擴展性。

3 集團數據中心優化

集團數據中心是企業信息化的核心，需要考慮來自生產網絡訪問、信息網絡訪問以及來自Internet網絡的安全威脅。在數據大集中的趨勢下，數據中心需要面向整個集團提供各種信息化服務，建設高安全、高可靠的數據中心以保證信息業務的高可用性，建設高性能的數據中心滿足大量業務并發訪問的難題，是數據中心優化要解決的兩大問題。

遵從現代化數據中心的建設原則，按照分層、分區、分級的思想進行數據中心優化。并且針對數據中心不同分區的安全級別，分別進行針對性的安全策略部署。

原西山煤電集團數據中心前端只部署了聯想網御防火墻設備V3414，而且設備性能為千兆，業務量大時會成為數據中心的瓶頸。通過部署了高端數據中心級防火墻 F5000-A，可以達到40G的吞吐量和最大并發400萬會話，其能夠支持256個虛擬防火墻的能力，也可以為細分業務進行保護，實現了富裕的功能性能保障，此外，后續可擴容8個萬兆接口，也非常適合部署在數據中心前端，以備數據中心提速之需。

原有的數據中心無法針對來自集團內部的安全威脅滲透，為了保護數據中心的高價值數據，本次采用了T1000-A產品，通過可以動態更新的特征庫，不斷防御來自內網的病毒、木馬、蠕蟲等等安全攻擊。

同時，針對數據中心整體進行了性能優化，尤其是針對網內用戶對服務器的訪問。為有效提高訪問速度、提高帶寬利用率、減少訪問時延、緩解服務器壓力，有必要使用服務器負載均衡性能優化設備。

通過采用負載均衡應用優化設備SecPath ASE，實現數據中心的性能保護，ASE部署在數據中心前端的優勢可以很好地分擔服務器的非關鍵應用對服務器的性能影響，也可以在處理大量并發訪問連接時進行智能的連接復用、TCP優化、SSL優化。

4 集團互聯網出口優化

4.1集團互聯網出口現狀存在以下幾個問題

1) 缺少應用層安全保護，針對病毒、蠕蟲、木馬等常見安全威脅無應對措施。

2) 缺乏出口性能保護，在P2P、網絡流媒體大量占用出口帶寬的情況下，信息網訪問互聯網的體驗大大降低。

3) 設備性能普遍不能滿足現有業務不斷發展的需要，在大業務流量情況下，現有的出口設備出現丟包、上不了網等情況；

4) 在線部署的單節點設備容易形成瓶頸，一旦設備出現問題，會導致整個網絡中斷；

5) 原有的鏈路負載均衡設備Radware LinkProof 1000性能不足，不僅完成不了合理分配兩條鏈路帶寬的功能，反而成了出口性能上的短木板。

4.2集團互聯網出口優化

通過在應用層防護上部署可以自動下載數字特征庫的IPS產品 T1000-A，一臺部署在防火墻外側，確保不斷變化的病毒蠕蟲木馬不會從網絡入口攻擊到服務器和內網的主機；一臺部署在防火墻的DMZ區，確保DMZ區服務器的安全。同時，通過部署應用控制產品SecPathACG 8800，既能夠針對目前所有主流的P2P應用、網絡視頻應用、網絡游戲等進行帶寬管理和帶寬保證，還需要能夠對網頁訪問、FTP、Email等功能進行上網的審計。既能夠滿足合理利用帶寬的需要，還滿足了公安部對企事業單位出口上網行為管理的規定。

為避免單點故障，本次新增的在線設備全部支持透明部署，內置斷電保護功能。

5 方案特點

1) 網絡建設的全面性。方案綜合考慮了現有西山煤電集團的整體網絡狀況，選擇了一個兼具先進性、可行性、兼容性的方案。方案的選擇既結合了當前業務的需要，又能滿足未來3～5年集團信息化建設對網絡基礎架構的要求，而且所選擇產品都是國內相關領域品牌最好的產品，可以很大程度地緩解后期維護的壓力。針對前期現網的組成，本次方案改動最小，又避免了現網中對原有設備的過度依賴。

2) 支持業務的高可靠性。方案從鏈路、設備、板卡、業務規劃等方面充分考慮冗余和可靠性，將故障恢復時間控制在秒級以內，充分保障業務連續性。

3) 業務處理的高性能。方案所有選擇產品均為高端高性能的在線設備，從硬件上均為最先進的多核或NP架構，所有在線的應用層安全設備(入侵防御系統、應用控制網關)時延都在200 ms以內，而三四層安全設備處理時延都在10 ms以內，所以可以保證整體業務時延用戶感知不明顯。

4) 安全防護的完備性。本次網絡安全建設既針對現網情況，針對互聯網網絡入口的安全威脅和骨干網面臨的安全威脅進行了統一防護，又能夠針對數據中心需要保護的服務器進行重點保護。保護的內容既包括已有的安全威脅，比如ARP攻擊等等，又包括能夠針對不斷更新的木馬、病毒、蠕蟲等威脅的動態防護。

5) 網絡安全管理的與時俱進。本次網絡既有網絡管理中心，可以針對全網網元進行管理，對設備下發管理策略。又有安全管理中心，可以統一收集全網的安全事件日志，按照預先定義好的策略進行相應的聯動策略部署。并通過技術手段，盡可能多地使網絡安全設備的智能聯動，降低了大型網絡對維護人力的要求。

6 結束語

隨著企業信息化建設的深入開展，對企業網絡要求越來越高。本文分析了原有西山骨干網在使用過程中出現的問題，并提出了相應的優化改造方案。方案綜合考慮了現有西山煤電的整體網絡狀況，選擇了一個兼具先進性、可行性、兼容性的方案。希望西山骨干網在西山信息化建設中能成為一個更為完善的平臺。

DesignonTransformationSchemeofBackboneNetworkinXishanCoalGroup

XiXiao-hong

Since Xishan network set up in 2003, scope of application continue to expand, the overall structure of networks have become increasingly demanding.Introduces the state of Xishan network, analyses the questions of the existing network, data centre and international internet bandwidth ,and proposes homologous formula for optimizing modification.

Network; Switch; Safety; Data; Internet; Optimize scheme

席小紅 女 1970年出生 1992年畢業于太原工業大學 工程師 太原 030053

TD655

A

1672-0652(2010)10-0048-03

2010-08-26