廣域網(wǎng)雙鏈路項目在電力企業(yè)的實現(xiàn)

劉惠穎 李井泉

（1.河北省電力公司電力科學(xué)研究院 河北 石家莊 050021；2.河北省電力公司信息通信分公司 河北 石家莊 050021）

0 引言

為實現(xiàn)國網(wǎng)公司信息安全防護要求的“區(qū)域核心節(jié)點到網(wǎng)省公司骨干節(jié)點建立雙設(shè)備、雙路由傳輸通道”的目標(biāo)，電力企業(yè)內(nèi)部開展了廣域網(wǎng)雙鏈路改造項目，進一步提高網(wǎng)絡(luò)環(huán)境的安全性和可靠性。

1 概述及設(shè)計原則

1.1 雙鏈路技術(shù)的實現(xiàn)方式

1.1.1 設(shè)備級可靠性技術(shù)，通過設(shè)備冗余或者功能模塊冗余實現(xiàn)。 當(dāng)一個設(shè)備發(fā)生故障時， 冗余設(shè)備能夠馬上自動替換發(fā)生故障的設(shè)備，使網(wǎng)絡(luò)的功能不受影響，能夠正確地執(zhí)行預(yù)定任務(wù)。

1.1.2 鏈路級可靠性技術(shù)， 可通過鏈路聚合技術(shù)和生成樹技術(shù)實現(xiàn)。在網(wǎng)絡(luò)正常運行時， 業(yè)務(wù)的信息數(shù)據(jù)可以在主鏈路和備用鏈路中傳輸，提高了鏈路的傳輸帶寬，當(dāng)主鏈路發(fā)生故障時，數(shù)據(jù)自動選擇備用鏈路進行傳輸，提高了整個鏈路的可靠性。

1.1.3 網(wǎng)絡(luò)級可靠性技術(shù)，對于網(wǎng)絡(luò)層的可靠性，可以通過協(xié)議的可靠性技術(shù)來保證核心應(yīng)用系統(tǒng)的快速切換，防止由于網(wǎng)絡(luò)的局部故障導(dǎo)致網(wǎng)絡(luò)單點失效。 例如：為實現(xiàn)交換機的冗余，可以采用STP 協(xié)議，為實現(xiàn)路由的冗余，可以采用VRRP 協(xié)議。

1.2 項目設(shè)計原則

1.2.1 實用性原則

信息系統(tǒng)建設(shè)的最終目標(biāo)是形成一整套先進實用的計算機信息管理系統(tǒng)，系統(tǒng)設(shè)計原則把實用性放在首位，從使用角度出發(fā)，注重系統(tǒng)的綜合能力和總體性能，系統(tǒng)必須具有方便的故障診斷能力和設(shè)備監(jiān)控能力，便于今后技術(shù)人員對系統(tǒng)日常管理及維護。

1.2.2 開放性原則

各種設(shè)計規(guī)范、技術(shù)指標(biāo)及產(chǎn)品均要符合國際和工業(yè)標(biāo)準(zhǔn)，并可提供多廠家產(chǎn)品的支持能力。系統(tǒng)中所采用的所有產(chǎn)品都要滿足相關(guān)的國際標(biāo)準(zhǔn)和國家標(biāo)準(zhǔn)，是開放的可兼容系統(tǒng)，能與不同廠商的產(chǎn)品兼容，能夠與局內(nèi)其它應(yīng)用系統(tǒng)互聯(lián)，可以有效保護投資。

1.2.3 可管理性原則

面對各個應(yīng)用層面的業(yè)務(wù)人員，運行著各種應(yīng)用軟件，要求有強有力的網(wǎng)絡(luò)管理手段，合理地調(diào)整和優(yōu)化網(wǎng)絡(luò)資源，監(jiān)視網(wǎng)絡(luò)運行狀態(tài)和控制網(wǎng)絡(luò)運行，以提高網(wǎng)絡(luò)效率，降低維護成本。

能夠與現(xiàn)有的或以后的網(wǎng)絡(luò)設(shè)備、服務(wù)器兼容。 所有的網(wǎng)絡(luò)設(shè)備符合國際標(biāo)準(zhǔn)和工業(yè)標(biāo)準(zhǔn)，使網(wǎng)絡(luò)具有較高的可互操作性，易于擴充。

1.2.4 安全性原則

應(yīng)采用先進的網(wǎng)絡(luò)安全技術(shù)， 對現(xiàn)有系統(tǒng)進行安全風(fēng)險評估，針對不同的信息和資源采用不同的安全策略，總體規(guī)劃并逐步建立一套較為嚴(yán)密的安全防范體系，使網(wǎng)絡(luò)的安全危害降到最小。

2 廣域網(wǎng)雙鏈路改造項目建設(shè)

2.1 項目實施前電力企業(yè)網(wǎng)絡(luò)現(xiàn)狀

項目實施前，電力企業(yè)信息內(nèi)網(wǎng)和省級電力綜合數(shù)據(jù)網(wǎng)的連接屬于單設(shè)備單線上聯(lián)，任何設(shè)備出現(xiàn)單點故障都會造成電力企業(yè)信息網(wǎng)絡(luò)和省級綜合數(shù)據(jù)網(wǎng)的通訊中斷，而目前省電力綜合數(shù)據(jù)網(wǎng)已經(jīng)建成兩套MPLS VPN 網(wǎng)絡(luò)（雙平面雙環(huán)型結(jié)構(gòu)）。

項目實現(xiàn)前內(nèi)網(wǎng)網(wǎng)絡(luò)拓?fù)鋱D如下圖1 所示：

圖1 內(nèi)網(wǎng)網(wǎng)絡(luò)拓?fù)鋱D（項目實施前）

2.2 項目實施方案

利用新采購的兩臺路由器替換原有PE 設(shè)備，并配置相應(yīng)接口板卡，將其作為省電力綜合數(shù)據(jù)網(wǎng)的PE 設(shè)備，分別上聯(lián)綜合數(shù)據(jù)網(wǎng)的兩臺路由器，形成雙鏈路相互冗余熱備，保證數(shù)據(jù)網(wǎng)絡(luò)線路的高利用率和可靠性，當(dāng)其中一條發(fā)生故障時，業(yè)務(wù)自動切換到另外一條鏈路上。 考慮到網(wǎng)絡(luò)的安全性和可靠性，新增兩臺千兆防火墻替代原有的防火墻，以主備模式進行部署并進行各種網(wǎng)絡(luò)安全策略的添加。 兩臺防火墻分別使用兩條千兆線路與兩臺核心交換機以及兩臺PE 路由器形成上下互聯(lián)，形成雙線冗余結(jié)構(gòu)，消除了原有網(wǎng)絡(luò)單點故障，進一步提高網(wǎng)絡(luò)的可用性和可靠性。

2.3 項目具體實施

2.3.1 路由規(guī)劃

由于本次改造區(qū)域為雙設(shè)備雙上聯(lián)的雙線冗余結(jié)構(gòu)，為了更好地實現(xiàn)雙鏈路相互冗余熱備， 當(dāng)鏈路發(fā)生故障時實現(xiàn)快速收斂自動切換，同時為了簡化網(wǎng)絡(luò)結(jié)構(gòu)，內(nèi)網(wǎng)局域網(wǎng)設(shè)備之間決定采用OSPF 動態(tài)路由協(xié)議。

首先在兩臺路由器啟用OSPF 進程1， 將兩臺路由器上聯(lián)至兩臺省級電力綜合數(shù)據(jù)網(wǎng)PE 路由器區(qū)域劃分到OSPF 區(qū)域Area 1； 由于路由器同時擔(dān)任了PE 和CE 的角色，啟用OSPF 進程100，將路由器上內(nèi)網(wǎng)VPN1 至信息內(nèi)網(wǎng)局域網(wǎng)的區(qū)域劃分到骨干區(qū)域Area 0，用于PE 和CE 之間交換路由信息，PE 方面BGP 路由同時引入OSPF 和直連路由。 兩臺核心交換機分別通過兩臺防火墻連接兩臺路由器，設(shè)備之間運行OSPF 動態(tài)路由協(xié)議，完成對綜合數(shù)據(jù)網(wǎng)的訪問。

2.3.2 網(wǎng)絡(luò)規(guī)劃

1）物理層部分

路由器設(shè)計如下所示：

接口接口說明接口類型連接器接口轉(zhuǎn)換器 對端設(shè)備G3/0/0連接NE80千兆光口單模光纖連接防火墻千兆電口以太網(wǎng)線LC- STNE80 G3/0/1FW G2/0/0連接路由器千兆電口以太網(wǎng)線路由器

2）安全區(qū)設(shè)計

防火墻安全區(qū)設(shè)計如下所示：

區(qū)域名用途說明包含端口trus t連接電力企業(yè)信息網(wǎng)絡(luò)G1/5 untrust連接省綜合數(shù)據(jù)網(wǎng)G1/4

2.4 項目完成

項目完成后網(wǎng)絡(luò)拓?fù)鋱D如圖2。

3 結(jié)論

通過廣域網(wǎng)雙鏈路改造項目的實施，消除了網(wǎng)絡(luò)中的單點故障問題，實現(xiàn)了雙鏈路冗余，為業(yè)務(wù)提供了快速、穩(wěn)定、安全、可靠、高效的數(shù)據(jù)網(wǎng)絡(luò)系統(tǒng)。 實現(xiàn)了國網(wǎng)公司信息安全防護要求的“區(qū)域核心節(jié)點到網(wǎng)省公司骨干節(jié)點建立雙設(shè)備、雙路由傳輸通道”的目標(biāo)。

圖2 內(nèi)網(wǎng)網(wǎng)絡(luò)拓?fù)鋱D（新）

［1］唐明偉.一種雙鏈路網(wǎng)絡(luò)的設(shè)計與實現(xiàn)[J].電腦知識與技術(shù),2010.

［2］賈娟.一種基于VRRP 的核心路由器可用性方法研究與實現(xiàn)[J].電子技術(shù)應(yīng)用，2007.

［3］陳敬添.基于雙鏈路冗余的廣電業(yè)務(wù)網(wǎng)絡(luò)設(shè)計與實現(xiàn)[J].東南傳播，2011.