西山煤電集團互聯網出口改造方案

石美峰

(西山煤電(集團)公司 信息中心，山西 太原 030053)

1 西山煤電集團公司互聯網現狀

1.1 西山煤電網絡總體簡介

西山煤電集團公司目前已經建成了覆蓋從集團機關到下屬各礦的基礎網絡，實現礦端與集團的互聯互通，各礦采用雙機部署方式，分別是:一臺H3C公司S7506E設備，用于信息網;一臺阿爾卡特的OminiSwitch 7700，用于生產網。兩臺交換機網關冗余。礦端與集團之間采用兩條千兆光纖鏈路，分別接入集團兩臺阿爾卡特的OminiSwitch9700核心交換機。同時建成了集團數據中心，實現集團業務的集中管理及部署;在集團統一部署互聯出口，滿足集團機關及礦端共3 000人左右的互聯網訪問需求。

1.2 互聯網出口現狀

為滿足集團用戶不斷增加的互聯網訪問需求，互聯網出口鏈路總帶寬已經擴展到2 G，即:聯通1.5 G，移動0.5 G。集團互聯網出口具體架構示意圖見圖1。

圖1 集團互聯網出口具體架構示意圖

由圖1可見，互聯網出口部署了2臺路由器，連接兩個不同運營商;2臺路由器向內同時連接到1臺負載均衡設備，實現對互聯網訪問用戶的負載分擔;負載均衡設備向內連接深信服流量控制設備，再向內是IPS(入侵防御設備)以及萬兆防火墻，防火墻部署著DMZ區與1臺控制設備相連接，應用控制設備通過兩條鏈路分別與核心設備進行互聯。

2 集團互聯網出口現狀分析

1)出口路由設備性能低。目前，互聯網出口鏈路已經提升到2 G，但是，出口路由器還是早期配置，其轉發性能無法滿足2 G帶寬帶來的數據轉發要求。

2)設備可靠性不高。隨著出口帶寬的增加，集團用戶上網體驗得到提升，對于網絡的依賴度隨之增加，出口設備的可靠性要求應隨之加大，但目前設備無法做到雙主控、雙電源設置，可靠性不高，無法滿足要求。

3)出口鏈路帶寬瓶頸。目前，由核心設備到出口路由器之間的鏈路為1 G，相對于2 G的出口總帶寬，成為整個網絡出口的瓶頸，如不提升，2 G的出口帶寬實際可用只有1 G，上網體驗無法提升。

4)內網鏈路可靠性差。出口通過選擇兩家運營商的鏈路提升了可靠性，但是在路由器到核心交換機之間還是單條鏈路，而且出于安全考慮，串行部署了大量的安全設備，任一設備的故障都可能導致整條鏈路不可用，進而無法進行網絡訪問。

5)安全設備性能不高。目前，出口部署的部分安全設備性能不高，無法滿足鏈路帶寬擴展的要求，需要進行升級。

6)核心設備性能低、擴展性差。隨著集團業務不斷發展，網絡數據流量不斷加大，尤其是以工業電視為代表的視頻業務的發展，對網絡核心設備的轉發性能不斷地提出新的要求，現網設備性能已經無法滿足后續業務持續擴展的要求;且現網核心交換機廠家已經停產，擴容、備件、服務等都無法得到有效保障。

3 優化方案

3.1 優化目標

本次網絡優化的目標是優化現有互聯網出口鏈路，提升相應設備的性能、可靠性，提高用戶訪問互聯網的訪問速度，提升用戶的上網體驗，同時通過本次規劃使得互聯網出口鏈路滿足未來幾年業務發展要求。

3.2 優化原則

1)高性能。本次改造要求全面調高整個互聯網出口設備的性能，使之能滿足集團用戶訪問互聯網帶來的大數據量對帶寬、轉發和傳輸的高要求，同時，能夠滿足未來幾年集團業務進一步發展的要求。

2)高可靠。要求出口鏈路、設備采用具有高可靠性的總體設計，在關鍵環節均應有備份設計，在關鍵的網絡設備上消除單點失效，可以通過設備冗余和負載分擔的方式來提高通信系統的可靠性，選用的設備本身應具有較高的安全可靠性并支持熱插拔和軟件升級。

3)高安全。進一步優化現有的安全防護體系，建全和完善系統的安全保障機制，細化安全策略，提升安全防護水平。

4)技術先進。采用世界主流的設備和技術產品，在相應的應用領域占有較大的用戶市場，在相關網絡技術方面處于領先地位，具有一定的超前意識。

5)易擴展。新增設備應具有良好的可擴展能力，可以靈活地進行必要的調整和擴充，最大限度地保護現有投資。

6)兼容性。新增設備要求與現有系統無縫兼容，能夠進行良好的配合。

3.3 具體方案

3.3.1 總體規劃

結合西山煤電網絡現狀及未來業務發展，互聯網出口整體規劃示意圖見圖2，升級現有鏈路為萬兆，升級出口鏈路上的安全設備性能，使之與出口帶寬相匹配。

圖2 互聯網出口整體規則示意圖

3.3.2 出口路由器更新

新增兩臺高性能的路由器替換現有路由器，提升出口設備的性能，保證高效的數據轉發;單機配置雙主控、雙電源提高設備的可靠性;配置萬兆接口與內網鏈路進行互聯、配置千兆接口與運營商提供的互聯網鏈路進行連接。

3.3.3 互聯網出口鏈路優化

簡化整個內網鏈路結構，將原有鏈路上功能重復的應用控制產品去掉一個;同時將盒式IPS替換成插卡方式，進而在不改變出口安全防護等級的情況下，盡量簡化出口拓撲結構，減少單點故障點，提升可靠性。原有盒式應用控制設備、盒式入侵防御設備利舊到其它位置。

3.3.4 鏈路帶寬提升

將內網核心交換設備到出口路由之間的出口鏈路全部升級為萬兆，以滿足出口帶寬擴容及未來帶寬不斷升級的要求。

3.3.5 安全產品優化

利用現有S7506E交換機替換原有S7502E交換機，利用原有負載均衡板卡，同時部署IPS插卡，配置萬兆接口滿足出口鏈路升級萬兆的要求;原S7502E在其它位置進行利用。現有防火墻、流量控制設備及核心交換機分別擴容萬兆板卡與模塊，從而滿足鏈路升級為萬兆的要求。

4 結束語

企業信息化建設的深入開展，對網絡的要求越來越高。為了使出口帶寬資源充分得到利用，達到高性能出口的目的，提出了互聯網出口改造優化方案。方案在確保互聯網出口穩定性、可靠性的同時，既保證了訪問速度，又合理利用了出口鏈路。