基于SDH和VPN構建熱備省級氣象寬帶網絡

安徽省氣象信息中心 唐懷甌 華連生 江雙五

基于SDH和VPN構建熱備省級氣象寬帶網絡

安徽省氣象信息中心 唐懷甌 華連生 江雙五

隨著氣象現代化的發展和需求，可靠的、穩定的信息網絡成為氣象業務開展的基礎。氣象廣域網的合理設計建設，以及可靠高速的運行是氣象部門各項業務工作正常開展的前提和保障。本文介紹了通過安徽省氣象寬帶網絡的設計和建設，同時采用SDH專線和VPN網絡，運用OSPF技術，結合各項業務對可靠性、帶寬及安全等方面的要求，給出了氣象寬帶網絡動態熱備的設計方案、配置方法及測試結果。

氣象網絡；SDH；VPN；OSPF；熱備

1.引言

通信網絡是目前氣象數據采集傳輸的主要手段，是預報預測、氣象服務等工作的基礎支撐，臺站各類資料經氣象專用線路傳輸到省氣象局，再集中上傳至中國氣象局。全省氣象寬帶網絡出現故障，全省各臺站的資料就可能會出現逾限甚至缺失，甚至會影響預報、視頻會商和其他氣象服務。為構筑更可靠穩定的網絡系統，安徽省局對全省氣象寬帶網絡進行統一的規劃和設計，在SDH和VPN網絡中運用OSPF動態路由協議實現氣象寬帶網絡的熱備和容災。

2.網絡技術介紹

2.1 SDH技術簡介

SDH（Synchronous Digital Hierarchy，光同步數字傳送網）是一種將復接、線路傳輸及交換等功能融為一體、并由統一網管系統操作的綜合信息傳送網絡，是世界上各網絡運營商所采用的重要技術之一。SDH技術采用統一的接口標準，統一的比特率，為不同廠家的設備之間的互通互聯提供了可能，并可以有效地提高網絡資源的利用率。它用于網絡運行、管理及維護的開銷豐富，因而使網絡的操作維護功能大大增強，便于集中統一管理，大大降低了維護費用的開支。SDH網絡具有自愈性，提出了自愈網的新概念。SDH具有靈活的復用映射結構，使網絡中上下支路信號變得十分簡單，可以方便的使各種業務靈活上下。另外SDH網絡具有信息凈負荷和定時的透明性，并將IP網絡技術建立在SDH傳輸平臺上，既兼容現有的不同技術和標準，又滿足未來的發展需求[1]。

2.2 VPN技術簡介

2.2.1 VPN概念

VPN（Virtual Private Network）利用公用網絡（通常是internet互聯網）作為基本傳輸媒體，在公用網絡上建立一條臨時的虛擬專用網絡通道，通過加密和驗證網絡流量等方法來保護數據安全、穩定傳輸，而不被竊取和篡改。它隨著互聯網的發展而迅速發展起來，可提供類似于企業內部專線性能的網絡服務，由GRE、IPSEC、PPTP、L2TP等技術組成。

2.2.2 隧道技術

隧道技術是虛擬的點對點連接技術，依靠互聯網服務提供商（ISP）在公用網中建立自己專用的數據包傳輸隧道。VPN的隧道協議可分為第二層隧道協議和第三層隧道協議，GRE（Generic Routing Encapsulation，通用路由封裝協議）是第三層隧道協議，采用了隧道（Tunnel）技術。GRE隧道的設計目的就是為了讓遠程網絡能夠以本地連接的方式顯現[2]。

2.2.3 IPSec協議

IPSec（IP Security，網絡安全協議）是IETF（Internet工程任務組）為了確保在任何IP網絡上擁有安全的私密通信而開發的開放標準框架。IPSec是網絡層中安全通訊的第三層協議，提供傳送、接收端做數據的認證、完整性、機密性、抗重播以及存取控制等安全服務。高層的應用協（TCP和UDP）也可以直接或間接地使用這些安全服務。IPSec提供了一種標準的、健壯的以及包容廣泛的機制，可有效地保護IP數據包的安全，確保數據通過公共網絡時的安全性。

2.3 OSPF路由協議

由系統管理員事先設置好固定的路由表稱之為靜態（static）路由表，一般是在系統安裝時就根據網絡的配置情況預先設定的，它不會隨未來網絡結構的改變而改變。動態（Dynamic）路由表是路由器根據網絡系統的運行情況按照路由選擇協議（Routing Protocol）而自動學習、調整和記憶的路由表。動態路由可以自動適應網絡拓撲結構的變化，以維持路由的正確性與完整性。

OSPF（Open Shortest Path First，開放式最短路徑優先路由協議）是一種基于SPF算法（最短路徑優先算法）的內部網關協議（Interior Ga-teway Protocol，IGP），用于在同一個自治域中的路由器之間發布路由信息，具有支持大型網絡、路由收斂快、占用網絡資源少等優點，是一種典型的鏈路狀態路由協議[3]。

OSPF路由器收集其所在網絡區域上各路由器的鏈路狀態信息（Link-State），生成鏈路狀態數據庫（Link-State Database），利用SPF獨立地計算出到達任意目的地的路由。OSPF利用量度Cost計算目的路徑，Cost最小者即為最短路徑。在配置OSPF路由器時可根據實際情況，如鏈路帶寬、時延或費用設置鏈路Cost大小[4]。

2.4 VRRP協議

VRRP（Virtual Router Redundancy Protocol，虛擬路由冗余協議）是一種容錯選擇協議，為具有多播或廣播能力的局域網設計。VRRP將一組路由器（一個活動路由器Master和多個備份路由器Backup）組織成一個虛擬路由器，即一個備份組，從而當Master宕機時，備份組內優先級最高的Backup會及時接管轉發工作成為新的Master，提高了網絡服務質量[5]。

3.網絡設計和規劃方案

3.1 應用需求和設計原則

3.1.1 網絡應用需求

氣象寬帶網絡目前的主要應用包括：觀測資料的采集上傳；預報業務系統資料調用；公共服務及決策服務信息傳輸；視頻預測會商；衛星廣播系統資料的接收共享；Notes郵件系統的應用；辦公OA及計財系統應用；互聯網應用服務等。

3.1.2 網絡設計原則

在滿足實際業務需求的基礎上，結合國家和氣象局信息安全管理的要求，安徽省氣象寬帶網絡系統設計規劃為：理順核心局域網絡系統邏輯結構，利用VRRP技術構建核心交換機雙機熱備策略，加強核心業務系統的網絡保證和安全保護；加強全省氣象廣域網絡的設計、建設和管理，兼顧網絡系統的高速和穩定兩方面的性能，整個網絡系統具備應急自動備份方案：即具備主通信網絡和備份網絡兩套系統，增強氣象部門數據通信和信息共享的安全性、可靠性；完善氣象部門信息網絡基礎環境，提出適應氣象業務發展需求，且滿足信息系統安全等級保護要求的信息網絡架構。

3.2 氣象寬帶網絡規劃方案

在全省開通省、市、縣3級SDH網絡，其中市-省分別開通聯通和移動SDH專線各一條，切實降低鏈路中斷對業務影響的可能性。移動SDH主要用于數據傳輸（簡稱數據網），聯通SDH主要用于傳輸視頻會議信息。市-縣采用聯通SDH專線。SDH網絡為通信的主鏈路，帶寬都分別是2M。同時搭建基于互聯網的省、市、縣3級VPN網絡作為備份網絡系統，VPN網絡采用IPsec+GRE的技術實現。省、市級廣域網出口都架設硬件防火墻，保證局域網的安全。在SDH和VPN鏈路中同時采用OSPF動態路由協議進行冗余保護，當主鏈路SDH網絡中斷時，自動切換到備份網絡通信。網絡拓撲圖如圖1所示。

3.2.1 省局核心網絡

省級氣象通信網絡為雙核心交換機結構，雙機采用H3C S7503交換機，處于一主一備的熱備狀態，設備上啟用VRRP協議的VLAN來實現熱備，確保省級氣象通信骨干網絡的正常運行。

省級中心對市、縣的通信采用雙核心路由器結構，兩個路由器采用H3C R6604路由器，分接SDH線路和VPN線路，通過OSPF動態路由的學習方式來建立動態路由的自動切換，實現網絡熱備和負載均衡。當主路由出現故障時，備份路由自動接管；主路由恢復正常后，自動從備份路由切換到主路由上。以此來確保市、縣到省中心機房的通信傳輸的不間斷。省局雙核心網絡結構如圖2所示。

3.2.2 市級網絡

根據設計方案和自身需求，市氣象局采用一臺三層交換機博達S3424作為信息網絡的核心層，采用端口鏈路聚合技術，并通過不同的VLAN分別連接SDH和VPN路由設備，隔離了網絡廣播信息，利用率得到提高。SDH線路接入博達路由器R4860，VPN線路接入H3C路由器 R28-11，其中移動SDH鏈路的Cost值為50，聯通VPN鏈路的Cost值為80，SDH鏈路的Cost值為100。市局是縣局到省局通信的中轉站。

3.2.3 各縣局網絡

縣局網絡設備采用博達路由器R2641，同時接入SDH和VPN網絡，Cost值設置和市局的對應線路相同，并配置到省局的VPN隧道，Cost值設為500，作為市局整個網絡癱瘓時直接同省局信息傳輸的最后備份。同時采用H3C路由器R28-11分別配置連接省、市局的VPN線路，作為博達路由器R2641的冷備份設備。

圖1 全省氣象寬帶網絡結構拓撲圖

圖2 省級雙核心交換機及路由器連接結構圖

4.實施配置

網絡設備配置清單如下，因縣局設備配置與市局基本對應故略去。主要列舉省局核心交換機VRRP配置及市局網絡設備配置清單。

4.1 省局交換機配置

二層交換機都通過兩條千兆以太網線分別上連至核心交換機S7503-1及S7503-2，同時S7503之間通過鏈路捆綁技術實現流量共享；在S7503上啟用VRRP協議的VLAN，滿足熱備要求。

# 建立VLAN 282，設置IP地址和ospf cost值；

# 建立VLAN 382，設置IP地址和ospf cost值；

#千兆端口，用于連接備份路由器H3C R6604-1；

#千兆端口，用于連接備份路由器H3C R6604-1；

#配置OSPF，將本交換機的路由信息在區域10中動態發布出去

4.2 市局交換機配置

劃分不同的VLAN，并設置相應的端口，1到24口為局域網端口，屬于VLAN 2，用于連接內部二層交換機或者服務器；

千兆端口1和3，屬于VLAN 200，用于連接SDH路由器博達R4860；

千兆端口2和4，屬于VLAN 300，用于連接VPN路由器H3C R28-11；

!配置連接SDH路由器的端口地址，并設置OSPF Cost值為50

! 配置連接VPN路由器的端口地址，并設置OSPF Cost值為60

配置OSPF，將路由信息在區域10中動態發布出去。

4.3 市局SDH路由器配置

!配置SDH端口為E1接口，并采用非成幀模式；

!連接交換機的千兆口配置

!聯通SDH鏈路連接到省局的端口配置，采用PPP協議，設置OSPF Cost值為80，并配置策略路由，匹配源地址，只允許視頻設備地址通過；

!移動SDH鏈路連接到省局的端口配置，采用PPP協議，設置OSPF Cost值為50；

!到縣局SDH鏈路的端口配置，采用PPP協議，設置OSPF Cost值為50；

! 配置OSPF，將路由信息在區域10中動態發布出去；

!對一些特定的通信需求，通過指定靜態路由的方式完成。

4.4 市局VPN路由器配置

#在IPSec中，由AH、ESP協議使用MD5或SHA散列算法實現加密服務和數據完整性認證，采用IKE（The Internet Key Exchange，Internet密鑰交換）來作為密鑰交換的工具。配置市到縣局的IKE設置，配置IKE對等體[6]；

#配置市到省局的VPN鏈路的IKE設置設置，配置IKE對等體；

#創建安全提議，系統提供一條缺省的IKE安全提議（一般為espdes、esp-md5-hmac）；

#創建至縣局的安全策略，在安全策略中引用安全提議，引用IKE對等體，引用訪問控制列表；

#創建至省局的安全策略，在安全策略中引用安全提議，引用IKE對等體，引用訪問控制列表；

#連接三層交換機博達S3424接口配置

#連接Internet接口配置

#連接省局的隧道配置，配置隧道的起點和終點，引用對應安全策略，設置OSPF Cost值為60，并且根據實際網絡情況配置統一的MTU值和MSS值，提高網絡帶寬的利用率[7]；

#連接縣局的隧道配置，要配置隧道的起點和終點，并引用對應安全策略，設置OSPF的 Cost值為60；

#訪問控制列表配置；

#配置OSPF，將路由信息在區域10中動態發布出去；

5.結語與討論

通過上述省、市各網絡設備的配置，省局、市局、縣局之間的網絡通信實現以SDH主干線路和IPSEC+GRE備份線路的熱備份組網形式。正常情況下優先選用SDH專線網絡，當SDH鏈路或者網絡設備出現故障時，三層交換機通過OSPF協議，會自動快速啟用VPN備份線路進行通信。通過中斷測試運用連續Ping檢測，從故障發生到線路切換為備份網絡，可以在5秒左右完成，僅會丟3至4個包，當主干網絡恢復時，自動切回到主干線路，幾乎沒有丟包和延時發生，整個切換過程對用戶透明。

安徽省氣象寬帶網絡經過設計構建后，提高了廣域網的通信性能，保證各項業務每天24小時的穩定運行，為大數據量信息的傳遞提供了堅實的基礎，使得高清視頻會商等許多新增業務的良好開展成為可能。主備網絡的熱備份及靈活的自動切換，使得整個氣象網絡系統更加可靠穩定，達到了預期效果。同時也應看到，雖然實現通信線路和路由設備的備份冗余，但網絡中還存在單點故障的隱患，比如市局的三層交換機，當其出現故障時也會給業務造成較大影響。今后將對氣象寬帶網做進一步的優化建設，增強網絡的可靠性和安全性，減少單點設備故障的隱患。

[1]上海博達數據通信有限公司.博達認證網絡工程師(BCNE)培訓教程.

[2]Gary A.Donahue.Network Warrior中文版——思科網絡工程師必備手冊.北京:人民郵電出版社,2011:147-159.

[3]王群.非常網管-網絡基礎[M].北京:人民郵電出版社,2006:369-386.

[4]Alex Zinin.Cisco IP路由——分組轉發與域內路由協議[M].北京:清華大學出版社,2005:360-457.

[5]中國氣象信息中心.全國氣象寬帶網絡主干系統整合方案.

[6]杭州華三通信技術有限公司.H3CSERouting & Switching課程《構建企業級路由網絡(v5.1)》培訓教程.

[7]唐懷甌.安徽省氣象寬帶網絡中MTU問題的研究和優化[C].2011年中國氣象學會氣象通信與信息技術委員會暨國家氣象信息中心科技年會論文集(2011.05).

本文為安徽省氣象局2009年現代化建設重要項目“安徽省氣象局SDH通信網絡建設”。

唐懷甌（1980—），男，安徽宿州人，大學本科，安徽省氣象信息中心工程師。

華連生（1969—），男，安徽安慶人，碩士研究生，安徽省氣象信息中心高級工程師。

江雙五（1971—），男，安徽安慶人，碩士研究生，安徽省氣象信息中心高級工程師。