鐵路IP數據網優化方案探討

馮克立 張春德

馮克立:北京鐵路局北京通信段 工程師 100069 北京

張春德:北京鐵路局北京通信段 工程師 100069 北京

鐵路IP數據網可以分為專用IP數據網和共用IP數據網，其中涉及鐵路運輸安全控制、財務往來的使用專用IP數據網，其他業務使用共用IP數據網。本文探討的優化方案內容適用于專用網和共用網。如無特別說明以下鐵路數據網均指鐵路IP數據網。

1 既有網絡分析

既有北京通信段京九線霸州—邢家村段數據網為鏈狀結構 (圖1)，全部站點均通過單鏈路連接至衡水站，其中河間西站和王佐站到達衡水站需要經過肅寧、大官亭、饒陽、深州和邢家村，路由共計6跳，跳數過大，且無冗余和環保護功能，匯聚節點衡水站為單核心配置，一旦鏈狀結構的某個節點中斷，或匯聚站點設備故障，將影響到中斷節點以遠的所有站或衡水全部站點的應用業務。隨著節點數據流量的累計，鏈狀節點的末端節點將承受較大的流量壓力。該種組網方案存在明顯技術缺陷，有嚴重的安全隱患。

圖1 既有網絡結構

經過實際調查發現，京九線鐵路數據網各小站到達衡水站全部配置為靜態路由，不具備自動倒換功能，網絡抗災能力較低，一旦網路出現異常情況，需要手動修改路由，路由條目較多時，給實際的網絡維護工作帶來極大困難。

2 鐵路數據網優化原則

鐵路數據網建設目標是構建高安全性和高效率的全業務一體化IP專網平臺，為此在網絡建設中采用如下原則。

1．高可靠性:應合理設計網絡架構，制定可靠的網絡備份策略，保證網絡具有故障自愈的能力，最大限度地保證整個系統達到高可靠性要求。

2．可擴展性:設備選型中除了考慮本期工程要求外，要對網絡的今后發展有所預見，設備要有很強的可擴展性，充分保護本期投資，滿足未來核心節點對鏈路帶寬和網絡容量的擴充要求。

3．可維護性:全方位管理提高維護效率，減少網絡維護難度，縮減日常運維工作量，降低運維成本，多種業務網管可實現業務快速部署和監控。

4．可管理性:整個系統設備應易于管理和維護，操作簡單、易學、易用，系統配置容易，在設備安全性、數據流量、性能等方面得到很好的監視和控制，并可以進行遠程管理和故障診斷。

為了節省資金，系統設計時應充分考慮用戶原有設備的利舊和改造，從而保護原有投資。

3 設備端口描述原則

要求設備互聯端口的描述 (description)必須包括對端設備，如果有多種業務還需要包括接入的業務類型，可以在對端設備名稱之后標明，不作統一格式要求。對于各單位設備的下聯端口，需要在業務接入端口描述所接設備，如果還需要描述接入的業務類型，可以在對端設備名稱之后標明，不作統一格式要求。

4 IP地址規劃原則

4.1 IP地址分配原則

IP地址空間分配要與網絡拓撲層次結構相適應，既要有效地利用地址空間，又要體現出網絡的可擴展性和靈活性，同時能滿足路由協議的要求，以便于網絡中的路由聚類，降低路由器中路由表的長度，減少對路由器CPU、內存的消耗，提高路由算法的效率，加快路由變化的收斂速度，同時還要考慮網絡地址的可管理性。具體分配要遵循以下原則。

1．連續性:IP地址的連續性有利于路由的聚合，尤其是在目前的分層網絡中，能極大地縮減路由表的規模，有利于QoS的部署。

2．業務相關性:同種業務的IP地址盡量在一個地址段中，便于業務的控制。

3．擴展性:IP地址規劃時有一定預留，便于在網絡擴展時能延續網絡的連續性。

4．節約性:目前公眾互聯網IP地址非常寶貴，IP地址的分配必須采用VLSM技術，規劃時應盡量節約地址。

4.2 設備IP地址的規劃

京九鐵路數據網地址規劃共有3部分:設備Loopback地址、設備互聯IP地址和用戶網段地址。由于系統內部IP地址要求統一規劃，為了避免給網絡應用帶來過多的變動和困難，應盡量維持原有規劃方式。

1．Loopback地址:如果原規劃已有分配，優先沿用原規劃或經優化后使用;否則根據系統內部地址劃分原則，拿出單獨網段用于loopback接口地址。總體原則是采用全32位掩碼方式，并且配置在設備的loopback 0接口上，地址分配盡量保持連續并預留一定數量的備用擴展地址。

2．設備互聯地址:如原有規劃中已有分配，則優先沿用原有規劃或經優化后使用;如果沒有則根據該系統內部地址劃分原則，拿出單獨網段用于接口互聯地址。設備間端口互聯IP地址統一使用30位掩碼網段，地址分配盡量保持連續并預留一定數量的備用擴展地址。

3．用戶網絡地址:如原有規劃中已有分配，則優先沿用原有規劃或經優化后使用;如果沒有則根據該系統內部地址劃分原則進行合理分配。分配需充分考慮可用地址總量、節點接入用戶數量，原則上各用戶網段地址除滿足需求外，需保留一定預留擴充地址。

4.3 業務IP地址的規劃建議

1．互聯網大客戶地址:應為其分配公有IP地址，其局域網內部一般使用私有地址，地址的轉換一般也由企業用戶自己處理，建議采用單獨地址段進行劃分。

2．互聯網個人用戶地址:建議通過動態的方式給互聯網個人用戶分配地址，并有相應的日志服務器，記錄個人用戶地址分配情況，建議采用單獨地址段進行劃分。

3．大客戶VPN用戶內部地址:一般大客戶自己內部分配私有IP地址段，建議大客戶CE(Customer Edge)到運營商PE(Provider Edge Router)的路由是經過匯聚的，減輕PE的設備壓力。

4．運營商自有VPN業務地址:如DCN做為一個VPN接入到城域網中，一般由運營商自己內部分配私有或公有IP地址段。考慮到私有IP地址段比較豐富，建議每個VPN業務單獨劃分IP地址段，同時CE到運營商PE的路由是經過匯聚的，減輕PE的設備壓力。MPLS VPN網絡結構如圖2所示。其中，CE為直接與服務提供商相連的用戶設備;PE為骨干網上的邊緣路由器，與CE相連，主要負責VPN業務接入;P為骨干網上的核心路由器，主要完成路由和快速轉發功能。

5 路由協議優化原則

5.1 路由部署總體方案

京九線鐵路數據網采用IGP+EGP分離的2層路由結構，2種路由協議各司其職，具體功能如下。

1．外部網關協議 (EGP)。選擇BGP-4，運行于全網核心、匯聚和接入路由器上。其中，全省2臺NE80核心路由器和各接入點AR4640路由器之間建立EBGP鄰居關系，負責路由信息傳遞，即完成本網與外部互聯網的路由信息交互。全省2臺NE80核心路由器兼做RR和VPN RR，專網核心路由器和各接入AR4640之間建立MP-IBGP鄰居關系，MP-IBGP負責VPN路由信息在本網內部的交互。

2．內部網關協議 (IGP)。為保證IGP的穩定性，IGP不負責傳遞業務路由，只負責傳遞鏈路路由和實現BGP next hop的可達性，用來建立本網內所有路由器之間的路徑，確保路徑的暢通和可靠。用戶路由、VPN路由和外部路由都不注入IGP，不參加SPF運算。這樣，全網的流量控制平面和流量轉發平面將相互分離，通過內外路由協議配合完成，形成靈活高效的流量調度機制，保障業務在網絡中的高品質傳送。

圖2 MPLS VPN網絡結構圖

5.2 IGP整體路由優化方案

隨著路由器處理能力的大幅提高，IGP+EGP路由結構的使用，大多數運營商將IGP從多區域分級結構改為單區域平面結構。平面結構簡化了管理和運維工作，為離線計算提供簡單的網絡模型，能夠容易預測路由，便于通過調節cost/metric值來實施流量工程。而且隨著MPLS業務需求的增加，平面結構的IGP更符合MPLS及MPLS TE的技術要求。全網內的IGP路由將根據路由器的數量和互聯線路的數量決定，這一數量非常少且是可知的，有助于網絡故障時的快速收斂。

5.3 IGP路由協議的選擇

目前，可以用于大規模的城域網同時又基于標準IGP的路由協議有OSPF和IS-IS。2種路由協議均是基于鏈路狀態計算最短路徑路由協議，采用同一種最短路徑算法 (Dijkstra)，實現方法、網絡結構上均相似，在大型城域網網絡中都有成功案例。OSPF用于IP，IS-IS用于ISO的CLNP，也支持IP(集成IS-IS);IS-IS結構嚴謹，不支持NBMA等網絡類型，OSPF組網更加靈活，對不同的組網需求體現更好的適應性;IS-IS占用網絡資源相對較少，支持網絡規模大于OSPF，在網絡相當龐大時能體現出優勢;從實際情況看，運行OSPF和IS-IS對IP城域網建設的差異不大;對于網絡的穩定性、可擴充性，2種協議都能很好地支持;在大型城域網中，IS-IS與OSPF二者均獲得普遍應用;對于網絡的穩定性、可擴充性，OSPF、IS-IS協議也都能很好地支持。綜合考慮京九數據專用網目前的網絡規模和承載業務，采用OSPF能很好的支持。

5.4 BGP協議部署

BGP協議在全網負責承載用戶路由和業務路由。不同于傳統的Internet骨干網，BGP只負責傳遞業務路由信息，不負責傳遞鏈路路由和環回路由信息;網絡核心的轉發層面路由器盡量少配置ACL，安全策略均在網絡邊緣業務層面設備配置和部署;部署BGP路由反射器和VPN的路由反射器，用于BGP路由交換的集中控制，同時提高擴展性。

6 制定優化方案并實施

6.1 制定優化方案

1．改變京九線霸州—邢家村段數據網鏈狀結構，實現雙歸屬迂回保護路由功能。

2．對原匯聚核心設備的升級，實現設備冗余保護要求。

3．將既有數據網管進行升級，提高全網數據的監控管理能力。

割接準備工作，首先是鏈路資源的準備。經過調查京九線有2套不同傳輸徑路的傳輸系統，簡稱京九傳輸Ⅰ系統和Ⅱ系統。本次優化撤除電路7條，京九傳輸Ⅰ系統新增2 Mb/s電路6條，京九傳輸Ⅱ系統新增2 Mb/s傳輸電路10條，合計新增2 Mb/s傳輸電路16條。

既有數據網的鏈路采用2 Mb/s電路連接，由既有的京九傳輸Ⅰ系統承載。改造后的網絡鏈路仍采用2 Mb/s電路，為施工便利，接入到NE20-1的鏈路由既有京九傳輸Ⅰ系統承載，而接入NE20-2的鏈路全部由京九傳輸Ⅱ系統承載，以提高安全性和穩定性。

鏈路互聯IP地址的提前規劃，并進行網絡IP地址分析和檢查，保證和原有設備配置無沖突。

6.2 方案實施

以河間西為例，其他類似，操作步驟如下。

1．按鏈路資源準備表調通河間西割接需要的2條上行鏈路，并使用ping命令測試合格。

2．衡水NE20-2上添加相關業務VPN實例，并在衡水2臺NE20之間鏈路上啟用MPLS。

3．在河間西和衡水2臺NE20的鏈路之間啟用MPLS協議和OSPF協議。

4．關閉河間西至肅寧的2 Mb/s鏈路端口，刪除河間西至肅寧原接口上的IP，刪除原無用的靜態路由數據。

5．進行業務的測試，將河間西其中一條上行斷開，測試業務正常通過另一條上行傳輸。

優化后的網絡結構如圖3所示。

圖3 優化后網絡結構

7 京九線鐵路數據網優化后的效果

從圖3可以看出，優化后的網絡各小站均有直達鏈路分別連接至衡水站NE20-1和NE20-2路由器，衡水站2臺路由器之間有心跳連接。以河間西為例，如果河間西至衡水NE20-1路由器鏈路中斷，其業務可以通過配置的OSPF協議自動將路由切換至河間西直達衡水NE20-2間的路由;如果衡水站任意一臺NE20路由器故障，業務也可以自動倒換至另一臺路由器，不影響終端用戶的使用。

通過對京九數據網優化，減少了各小站連接至衡水匯聚路由器的路由跳數，由最多6跳減少到直達鏈路的1跳，增強了網絡的可靠性，解決既有網絡的安全隱患，有效提高整個網絡運行的安全性和使用效率。優化前、后網絡情況對比如表1所示。

本方案的實施改變了原京九線霸州—邢家村段數據網鏈狀結構，使網絡具備雙歸屬迂回保護路由，且具備衡水地市匯聚核心設備冗余雙保護。同時對網管的綜合能力有了明顯的提升。隨著本次優化的順利完成，大大增強了京九線各機房接入的可靠性和數據網運行的安全性，為后期的網絡發展打下基礎，并對管內其他區段升級提供冗余，從而提高了設備和網絡的擴展性。并且以該鐵路數據網為基礎，先后開通了石家莊電務段會議電視系統，石德線、石太線、京九線和京廣線的信號微機監測和辦公網系統，以及京九線電力遠動系統、小站機房環境監測系統和紅外線系統接入等業務。該方案為其他鐵路線進行類似優化提供依據，為鐵路的信息化發展提供了新的空間和平臺，若在全局應用，具有較高的推廣應用價值。

表1 優化前和優化后網絡情況對比

［1］ 中華人民共和國鐵道部.鐵信息【2005】4號.鐵路信息化總體規劃［S］ .2005．

［2］ 中華人民共和國鐵道部.鐵科技【2004】78號.鐵路主要技術政策［S］ .2004．

［3］ 中華人民共和國鐵道部.鐵建設【2002】45號.鐵路運輸管理信息系統設計規范(試行)［S］ .2002．

［4］ 中華人民共和國信息產業部.YD/T 1097－2001.路由器設備技術規范-高端路由器［S］ .2001．

［5］ 中華人民共和國信息產業部.YD/T 1162．1－2001.多協議標記交換(MPLS)總體技術要求［S］ .2001.

［6］ 中華人民共和國信息產業部.YD/T 1170－2001.IP網絡技術要求－網絡總體［S］ .2001.