鐵路信號集中監測系統中心網絡

張素陽 竇道飛 蘇歡樂

*北京市華鐵信息技術開發總公司 助理工程師，100081 北京

＊＊中國鐵道科學研究院通信信號研究所 助理研究員，100081北京

＊＊＊呼和浩特鐵路局呼準東烏鐵路建設項目籌備組 助理工程師，010050 呼和浩特

在鐵路技術標準中，明確提出重要設備要采用硬件冗余、負載均衡、防火墻等技術。為此，對于信號集中監測系統，需提升電務段中心機房的綜合性能與管理能力，提出了標準化的網絡設計方案。

1 系統體系結構介紹

信號集中監測系統體系結構，包括系統配置的層次結構和數據通信的網絡結構，符合電務部門監測、維護和管理工作的實際需要，以及客運專線屬地化維護管理要求。該系統分為三級四層，三級為鐵道部、鐵路局、電務段 (綜合維修基地)，四層為鐵道部電務監測子系統、鐵路局電務監測子系統、電務段 (綜合維修基地)監測子系統和車站監測網，系統全網體系結構如圖1所示。

圖1 集中監測系統全網體系結構圖

根據三級四層的總體規劃，廣域網傳輸使用2 Mb/s及以上同軸電纜，適用范圍包括:鐵道部與各個鐵路局之間互聯通道連接;鐵路局與下轄各電務段之間互聯通道連接;電務段下轄的車站(或車間)，每隔5～12個車站，要向電務段中心機房上聯一個不低于2 Mb/s傳輸線纜，作為網絡鏈路冗余。車站本地局域網采用百兆以太網，信號工區的設備根據就近原則，接入到最近的車站設備。

2 電務段中心機房網絡拓撲介紹

根據鐵道部的要求和鐵路系統現場實際情況，新的信號集中監測系統將主要設備布置在電務段中心，檢測站機與下位機分布式布置在沿線各車站，這種設計便于重要系統集中管理，減少故障風險。系統在提供更多服務的同時，也對計算機網絡的穩定性提出了更高的要求，因此將網絡關鍵設備設為雙份冗余，大大提高網絡系統的可靠性與負載能力。信號集中監測系統中心拓撲圖如圖2所示。

信號集中監測系統采用模塊化設計，擴展性更好。電務部門中心站采用全千兆以太網，增強了信號集中監測中心的數據傳輸能力。由于信號集中監測系統的主要數據匯聚點是在中心，所以冗余技術主要運用到中心設備上，路由器、交換機、以太網適配器及網絡線均采用雙套冗余配置，使中心具備突發事件應急響應、核心信息系統安全保障等支撐能力。

3 動態路由協議性能比較

目前鐵路通信傳輸網采用2 Mb/s電纜比較普遍，信號集中監測系統廣域網傳輸帶寬限制在2Mb/s以下，因此要盡量優化傳輸數據。根據鐵路標準，可供信號集中監測系統選擇的內部網關協議主要有OSPF和 EIGRP 2種。

OSPF協議是一種鏈路狀態協議，網絡中所有節點都保持一個相同的鏈路狀態數據庫，根據數據庫中的信息，每個路由器計算到網絡每個目的地的路徑，創建以它為根的路由拓撲結構樹，其中包含有形成路由表基礎的最短路徑優先樹。如果網絡拓撲結構有變化，則信息立刻通過網絡廣播出去，此時網絡中所有的路由器都要參與SPF算法，計算最短路徑優先樹所需的時間取決于網絡規模。OSPF協議僅支持等價路徑的負載均衡，單區域內路由器數量過大，會對OSPF的收斂性能產生影響，一般單域中路由器數量不超過50臺。但是信號集中監測系統廣域網互聯鏈路帶寬只有2 Mb/s，還需要傳輸數據，因此建議信號集中監測系統非0區域單域最大不超過30臺路由器。

EIGRP協議是CISCO公司私有協議，它綜合了距離向量協議和鏈路狀態協議的優點，使用散播更新算法來實現快速收斂。該算法發送的更新信息是非周期的、部分的和有界的。這些特性決定了EIGRP所要求的帶寬資源非常少，它支持等價和不等價路徑的負載均衡。EIGRP協議支持多路徑，使路由器可以按照不同的路徑進行負載分擔，并且支持在不等開銷路徑之間進行負載平衡。

圖2 信號集中監測系統中心拓撲示意圖

EIGRP路由協議作為一種成熟的高級距離矢量路由協議，在目前鐵路系統現場環境中，簡單的網絡拓撲結構，簡便的實施配置與維護，完善的負載均衡方式，以及協議的低帶寬消耗，故障時快速收斂路由條目等特點，使得其相對于其他IGP路由協議，在性能上有一定的優勢。由于EIGRP協議具有單一區域的特點，因此大大降低了網絡邏輯拓撲的復雜性，并且在理論上對單域中最大路由器數量沒有限制。數量的多少受限于路由器自身性能與通信鏈路帶寬，因此現場實施比較靈活簡便，對運行維護人員的綜合要求較低。所以從各項指標綜合來看，EIGRP協議更加適合應用在鐵路系統環境中。

4 網絡安全加固

隨著計算機技術的迅速發展，在系統處理能力提高的同時，系統的連接能力也在不斷的提高。同時基于網絡連接的安全問題也日益突出。整體的網絡安全主要表現在:網絡的物理安全、網絡拓撲結構安全、網絡系統安全、應用系統安全和網絡管理的安全等。

根據現場需求，在電務段中心機房架構中配置硬件防火墻、入侵檢測設備、漏洞掃描設備、防病毒服務器、WSUS補丁升級服務器、網管服務器等，可加強整個系統的網絡安全。硬件防火墻控制外網的IP地址訪問授權;入侵檢測設備實時監控網絡中的流量，甄別出有風險的攻擊行為;漏洞掃描系統定期對服務器主動掃描，針對安全弱點提供檢測報告和建議;防病毒服務器對各個終端和站機上的客戶端軟件實時更新病毒庫，保障工控機和服務器的防病毒安全;WSUS補丁升級服務器精確控制Windows各版本升級補丁的下發，由其作為代理服務器下載存儲 Windows升級補丁，并審核控制下發給內網的其他服務器，降低了整個系統的安全風險;網管服務器實時監測每臺可管理網絡設備的運行狀態，并且詳細監視整個網絡中的流量狀態，極大地保證了整套系統的穩定運營，并對突發故障能夠快速響應，快速定位故障范圍，對及時排查故障起到重要作用。

在下屬車站節點中，可以在路由器上啟用訪問控制列表，只放行系統所需端口，將其他端口屏蔽，可以極大地增強網絡安全能力。同時也可以選擇使用訪問控制列表對IP地址進行控制，達到控制訪問權限的目的。

標準化、層次化的網絡設計，對系統硬件及應用系統功能的擴展非常靈活，滿足現有技術條件的要求。電務部門的中心機房通過增添相應設備與系統，擴展與基層互連通道的帶寬，使信號集中監測系統具有非常強的可擴展能力，功能更完善，符合未來鐵路發展需要。

［1］ 祝玉奎，許偉，秦燕燕．淺談信息化建設中的容災問題［J］．鐵道通信信號，2009(2):41．

［2］ 張英．鐵路信號控制系統安全評估簡介［J］．鐵道通信信號，2009(增刊):47．

［3］ 黃銀霞，孫超，呼愛蟬，崔勇．信號系統評估體系架構［J］．鐵道通信信號，2008(11):33．