淺析城市軌道交通信息網絡系統的建設

王慶亮

淺析城市軌道交通信息網絡系統的建設

王慶亮

摘 要：闡述軌道交通行業中網絡信息系統的建設思路，包括網絡設計中的原則性問題，網絡設計中各部分的組成。著重介紹了某項目的具體實施細節，以體現軌道交通信息網絡設計中的注意點，并詳細剖析網絡各節點。

關鍵詞：城市軌道交通;信息網絡;組網

目前，城市軌道交通建設往往重視土建，忽視信息網絡的建設，認為城市軌道交通信息網絡就是各部門按需配置電腦與Internet連接即可。可是隨著城市軌道交通建設的快速發展，諸多相關問題隨之暴露，如所建立的網絡能否滿足當前業務要求和今后業務增長需要，新增硬件和軟件是否方便接入既有信息網絡，采用什么樣的網絡結構與網絡技術，選擇什么樣的軟、硬件服務平臺和數據庫系統，如何使信息網絡運行穩定、可靠、安全、易于管理，以及信息網絡建成后的生命周期有多長等等。為了保護投資，節省開支，發揮現有設備的作用與功能，應該重視城市軌道交通網絡建設。

1 建設要點

城市軌道交通信息網絡系統，應該建立一個連接全市各站點的大型的城域網，從物理基礎上確保各支撐平臺及應用系統的運行，形成一整套完善的架構體系，保證數據的安全性，為各種應用提供良好的網絡轉發基礎。網絡系統建設要點如下。

1．有線業務網。作為城市軌道交通主要業務的承載網絡，必須能夠提供高可靠、高安全的網絡基礎平臺，為各種應用提供有效的網絡支持，并保證各種設備的兼容性，提高網絡的健壯性支撐投資比例，降低總體CTO。有線業務網主要由核心交換機、匯聚交換機、接入交換機、數據中心設備、網管系統，以及出口路由設備等共同組成。

2．網絡安全。網絡安全是保證網絡高可靠運行的基礎，除了采用安全設備進行安全加固之外，還需要網絡設備提供足夠的安全防護措施。在出口設備上融合防火墻、IPS插卡及ACG插卡，實現內部網絡和互聯網L2-L7的安全防護，并對用戶的應用行為進行實時檢查。在核心交換機中部署防火墻插件，利用虛擬防火墻技術保證內網網絡各匯聚交換機之間的安全隔離，將內部威脅減小到最小。在終端PC上部署終端準入系統，進行認證接入、安全審計、動態授權等安全檢查和權限控制，防止“病從口入”。

3．無線網絡。作為對有線網絡的補充，無線網絡因其便利和快捷得到廣泛應用。無線網絡設計采用Fit組網模式，以無線控制器作為整個無線網絡的管理核心，采用基于802.11n傳輸協議且支持MIMO技術的AP作為無線接入點，提高了無線傳輸質量，也使傳輸速率得到極大提升。在無線安全方面，可以結合802.1X與終端準入系統，控制合法人員的接入。

4．網絡可靠性?？煽啃园ňW絡節點和網絡鏈路二方面。采用雙鏈路冗余方式互聯，同時使用端口聚合技術，不僅形成流量負載分擔，而且實現了鏈路冗余。2臺核心設備使用無源背板，且配冗余引擎、冗余電源，并且采用虛擬化技術保證切換時間為毫秒級，將多臺設備簡化為一臺設備進行管理。簡化了網絡的復雜度，提高了網絡的可靠性。

5．網絡部署。主要包括：IP地址規劃、Mpls VPN設計、VLAN設計和QoS部署。IP地址的規劃既要考慮當前現狀，又要考慮日后擴展。大型局域網組建中，VLAN技術是不可缺少的關鍵技術，科學的VLAN設計可以為局域網絡帶來一系列的優點。QoS部署則是通過QoS技術保證網絡中的關鍵業務優先處理，避免被非關鍵業務擠占。

6．網絡管理。支持基于Web的遠程訪問和日志的智能歸并，并提供網絡管理的基本功能，包括：拓撲管理、性能管理、告警管理、網元管理、安全管理、配置管理等。

2 設計方案

城市軌道交通信息網絡系統，需要連接城市軌道交通指揮中心及各站點，規模相當于一個城域網，其穩定性、安全性尤為重要。把一個大型的網絡元素劃分成一個個互連的網絡層，實際上就是把網絡劃分為一個個子網，這樣網絡節點和流量管理變得更加容易，網絡擴展更容易處理，新的子網模塊和新的網絡技術更容易集成。下面以蘇州軌道交通1號線信息網絡系統設計為例進行介紹。

蘇州軌道交通1號線是一個包含約3500個信息點的大型網絡，是面向乘客運營服務的開放性系統，未來將有應用集成平臺、門戶網站、會議視頻、RAMS資料查詢管理等十幾種業務系統，因此對網絡設備的性能、鏈路帶寬、業務融合性有很高的要求。為保證數據安全，建設完備的災備系統也是非常重要的。

2.1 網絡系統結構

圖1為蘇州軌道交通1號線信息網絡系統構成圖。網絡系統按照三層結構設計，分別為核心層、匯聚層、接入層。核心層由2臺骨干路由器組成，匯聚層由8臺匯聚交換機組成，其中2臺放置于車輛段，6臺放置控制中心，接入層由24個車站通信機房、1個車輛段及控制中心各樓層配線間相應位置的接入交換機組成。

圖1 蘇州軌道交通1號線信息網絡系統構成圖

1．核心層。整個網絡中的核心層由2臺思科7609路由器作為骨干路由器，放置于控制中心，用于高速傳輸整個網絡數據。2臺骨干路由器通過萬兆光纖互連，形成熱備。后期還可與其他線路的骨干路由器互連，形成網狀結構，組成整個蘇州軌道交通信息網絡系統的核心層。

2．匯聚層。采用8臺匯聚交換機，其中：

2臺思科Catalyst 6509交換機放置于控制中心信息中心機房作為控制中心匯聚交換機，通過萬兆光纖向上連接至骨干路由器，通過千兆光纖向下連接至控制中心各樓層配線間接入交換機。

2臺思科Catalyst 4506交換機放置于控制中心信息中心機房作為車站匯聚交換機。通過萬兆光纖向上連接至控制中心骨干路由器，通過千兆光纖向下連接至車站接入交換機。

2臺思科Catalyst 4506交換機放置于車輛段作為車輛段匯聚交換機，通過萬兆光纖向上連接至控制中心骨干路由器，通過千兆光纖向下連接至車輛段各棟大樓的接入交換機。

2臺思科Catalyst 4506交換機放置于控制中心信息中心機房作為數據中心匯聚交換機，通過萬兆光纖向上連接至2臺控制中心匯聚交換機，通過千兆光纖向下連接至服務器群與磁盤陣列。

3．接入層。由24個車站的通信機房、1個車輛段及控制中心各樓層配線間相應位置的接入交換機組成。

2.2 安全措施

在控制中心和信息中心設置硬件防火墻和入侵檢測系統，形成從Internet至內部管理網絡之間的隔離防護措施 (外網防火墻)，保證信息網絡系統的安全性。內部網絡各子網間設置硬件防火墻隔離防護 (內網防火墻)，子網劃分不少于10個。

1．防火墻：配置思科ASA 5540防火墻為Internet外網防火墻;在數據中心匯聚交換機配置最大支持20個Vlan子網保護的防火墻模塊作為內網防火墻。防火墻模塊對不同子網進行安全狀態審核和策略過濾，保證子網防護區安全可靠、靈活部署的同時，還可對不同業務部門 (Vlan)進行安全策略控制，降低全網部署防火墻的成本。本方案提供的內網防火墻集成在內網交換機上，減少了網絡故障節點，增加了網絡的可用性和可靠性。

2．IPS設備：配置思科IPS 4260作為內網的IPS/IDS設備。

3．IDS設備：配置鷹眼入侵檢測系統。入侵檢測系統的探測口分別連接在核心交換機的鏡像端口上 (核心交換的鏡像口配置全網鏡像)。探測口隱藏，不占用系統地址資源。入侵檢測系統的管理口直接接入交換機。由管理員分配相應的可管理IP地址，并由一臺管理控制中心主機 (安裝隨機附帶的管理控制中心軟件)進行統一管理。

4．防病毒系統：選用趨勢科技云安全多層次防病毒系統。

5．終端安全防護：部署Officescan。網絡中計算機防病毒體系，應達到一體化、分組管理的機制，集成病毒專殺工具、病毒爆發預防策略、網絡版防火墻和IDS，抵御間諜軟件和其他類型灰件的侵害，具體分布式的病毒碼更新、病毒爆發監控和掃描病毒漏洞等功能并入趨勢科技整體防病毒體系。

6．服務器整體防護：選用趨勢科技Deep Security7.0產品，通過四大模塊提供服務器整體安全防護解決方案。

3 結束語

城市軌道交通信息網絡建設還處于發展初期，在建設前期往往忽視信息網絡的整體規劃，隨著城市軌道交通線路建設的進行，信息網絡的發展缺少整體接入的預留條件，甚至需要對信息網絡進行改造。因此城市軌道交通信息網絡建設規劃是信息網絡系統建設的第一步，規劃的好壞對系統建設的成敗有著至關重要的影響。系統規劃的任務是了解、選擇和確定準備開發的系統。通過一定的調查研究提出一個新系統的總體方案，然后進行可行性研究。在此基礎上，建立企業業務模型，進行需求分析、系統設計及信息網絡系統的開發工作。

信息網絡系統建設另一方面的工作，是在實施過程中，按照現代項目管理的方法，對信息網絡系統開發過程中每個階段進行策劃、跟蹤和控制，減輕開發過程中軟件錯誤的積累放大效應，進一步降低開發過程所花費的成本，同時保障整個信息網絡系統的質量。

［1］謝希仁．計算機網絡.第4版［M］.北京：電子工業出版社，2007，07.

［2］杭州華三通信技術有限公司.新一代網絡建設理論與實踐［R］，2011，10.

Abstract:In this article，in-depth study on the design of network information system for rail transportation industry is mainly carried out，including an elaboration of principle problems in network design and all parts of the composition in network design．Focusing on the specific implementation of a project，specific contents reflect the points of attention in the network design for rail transportation and a detailed analysis of the network nodes are given in hope of making modest contribution to the construction of information systems．

Key words:Urban rail transit;Information networks;Networking

王慶亮：蘇州軌道交通有限公司 工程師 215004 蘇州

2012-04-18

(責任編輯：諸 紅)