國內大型建筑中央企業全球網絡規劃與設計

騫巍+郭萌

摘 要

全球化背景下，企業參與到國際化進程中，已經成為必然。當前，經濟全球化趨勢下，跨國公司成為經濟全球化的重要推動力量。建筑企業作為國家走出去戰略的重要生力軍，必將起到越來越重要的作用。提高信息化水平是國內大型建筑央企面對全球競爭的必然選擇，而作為信息化基礎設施內容的擴區域、跨國別的網絡設計與規劃則成為一項重點工作，如何通過高效、經濟的網絡實現企業在全球的信息共享與傳輸，提高海外溝通協調效率，支撐集團管控延伸到全球幾乎所有的項目地點，都是我們必須關注的問題，本文主要從全球網絡架構設計、網絡路由選擇、網絡可靠性設計等方面進行了一定的探討，對于一些具體的技術問題也提出了解決思路與方案，以期能更好的為企業走出去服務。

【關鍵詞】央企 走出去 全球 網絡 規劃

“入世”十年，我國對外承包工程業務完成營業額的年平均增長率達到27.10%，新簽合同額年平均增長27.63%，累計完成營業額4356億美元，簽訂合同額6994億美元。

十年間，我國對外承包工程業務取得了跨越式的發展，業務規模快速擴大，合作領域不斷拓寬，項目檔次穩步提高，合作方式趨于多樣，EPC總承包項目不斷增加，企業競爭力不斷增強。我國建筑企業在國際工程承包市場上越來越受到關注，對外工程承包已成為我國實施“走出去”戰略的主要形式之一。

面對開放的國際建筑市場，我國大型建筑企業無法抵擋與國際建筑勁旅同臺競技的誘惑。他們紛紛走出國門，建設了一大批經典工程，樹立起中國建企的良好形象，聚焦了世人一道道關注的目光。如今，憑借優秀的表現，一大批中國建筑施工企業躋身國際225強承包商之列，在榜單上的位次逐年提升，并穩居國際領先建筑施工企業第一軍陣。

但是我們也清楚的看到，國內的建筑企業，尤其是一些大型央企經營管理水平不高，國際人才缺乏，國際競爭力有待進一步加強，信息化在促進企業管理與技術發展方面與國外先進企業的差距較大，如何加快促進企業信息化與現代管理的融合，以信息化支持企業走出戰略，對于我們而言將會越來越重要。

1 建筑類中央企業建設全球網絡面對的挑戰

2015年3月28日，國家發布“一帶一路”路線圖，標志著我國“三大戰略、四大板塊”建設正式啟動。基礎設施建設是三大戰略、四大板塊的重要組成部分，這對于建筑企業是極大的利好。如何利用信息化支持公司走出去，發揮好信息化戰略引領與支撐作用，是擺在建筑類央企面前的首要課題。要支持企業“走出去”戰略的落地，必須在信息化工作方面向全球領先企業看齊，在這方面，中國的大部分建筑央企，乃至大部分央企，與世界一流企業的差距還有相當大的距離。

國內大部分建筑類中央企業在海外承包大量項目建設，這些項目所在區域分散廣，數量多，地區發展不平衡，網絡架構以星型網絡為主，國內通過專線或者VPN連接，海外項目部大多是通過VPN或者衛星通信實現與其企業本部進行通信，訪問效率地下，無法發揮集團的規模優勢進行資源整合，擴容成本、維護成本不斷增加。對多業務承載能力不足，可靠性和安全性也存在一定的問題。

2 目前企業廣域網常見組網結構與方式介紹

目前企業常見的廣域網組網方式主要有星型拓撲和環形拓撲，大部分企業采用星型拓撲，超大企業廣域核心網一般采用環形拓撲。

部署模型有基于SDH/MSTP專線構建的星型網絡、基于MPLS專線構建的扁平網絡、基于專線（SDH/MSTP或MPLS專線）+Internet備份鏈路構建的網絡、基于Internet構建的DSVPN網絡，如圖1所示。

企業組建廣域網，一般采用租用電信運營商的專線線路或者采用VPN技術（較少特大型企業在國內選擇鋪設自主光纖線路，本文從成本角度出發，不討論此種方式），這兩種技術對比如表1所示。

3 國內大型建筑類中央企業全球網絡規劃設計思路

3.1 總體架構

通過上述比較，考慮國內大型建筑央企可按照“核心層+匯聚層+接入層”的三層架構進行設計和建設。采用分級樹形網絡，以便更有利于企業業務的分層管理，減輕核心區域設備壓力，提高整體網絡安全性和應用性能，提升網絡冗余度，并且具有更良好的擴展性。總體網絡架構如圖2所示。

按照可靠性的規劃要求，每個層面的節點設備采用雙設備雙鏈路，形成互為備份與負載分擔的網絡架構，鏈路連接方式采用口字形組網，可大幅節省鏈路成本與端口占用，建成的網絡可靠性高、維護簡便。

海外網絡總體結構按照二級匯聚：按區域選擇設置一級匯聚點成環形部署，考慮到成本及地緣問題，可以在香港設置匯聚中心，與全網核心成“口字形”連接，遵循一國一出口原則在各國建設二級匯聚節點，匯聚本國接入鏈路上接所屬區域一級匯聚點，整網成“環形+樹形”拓撲。

綜合考慮海外業務現狀及建設成本，可在海外設置一個亞太總匯聚節點，整體通過總匯聚節點與國內網絡中心點連接。香港離集團中心地理位置最近，國際鏈路運營商選擇余地很大。根據海外地理區域和線路資源，設置海外廣域網區域匯聚節點，匯接本區域內各分支機構。總匯聚節點一面通過專線連接海外區域匯聚節點，一面通連接國內企業網絡中心。總匯聚節點同時作為亞太地區的區域匯聚節點。考慮到建筑央企的主要項目點在亞非拉區域，可考慮設置中東（覆蓋中東、西亞等地）、北非（覆蓋歐洲、非洲等）和拉美（覆蓋拉美地區等）等幾個海外廣域網區域匯聚節點，后續根據業務發展，可再新增其它區域節點。

為節省鏈路成本，四個海外匯聚節點成三層環，香港作為海外總匯聚節點，建設采用雙設備雙鏈路。其他匯聚節點在初期階段，可采用單單設備雙鏈路進行建設，隨著業務量的增加，后續升級到雙設備雙鏈路，提升可靠性。

具體架構如圖3所示。

3.2 骨干網絡路由選擇

對于大型企業的大型網絡路由設計時應考慮以下幾點：

網絡的可靠性：通過動態路由協議的實施，在網絡拓撲的配合下，避免網絡中出現的單故障點，提高網絡的生存能力。

流量的負載分擔：必須使網絡的流量能夠比較合理地分布在各條鏈路上。

網絡的擴展性：使得網絡的擴展可以在現有的網絡的基礎上通過簡單的增加設備和提高電路帶寬的方法來解決。

對業務流量模型變化的適應性：未來網絡的業務流量模型將會隨業務的發展而不斷發生變化，因此路由策略可以根據流量變化方便進行調整。

降低管理復雜程度：路由協議應使得故障定位和流量的調整的難度和復雜性降低。

在大型網絡中，選擇適當的路由協議是非常重要的。目前常用的路由協議有多種，如RIP、OSPF、IS-IS、BGP、PIM等等。不同的路由協議有各自的特點，分別適用于不同的條件之下。我們建議使用OSPF作為IGP路由協議進行業務的承載和數據轉發，這是因為OSPF協議在實際網絡中得到了廣泛的應用，OSPF協議是基于IP層進行開發，其對IP網絡的支持有天然的優勢，且技術成熟；其次，OSPF有網絡分層的概念和區域的概念，協議的靈活，組網的靈活，能夠滿足用戶大量的需求，用來傳播用戶路由，這些都是OSPF 的強項。

3.3 IP地址規劃

IP地址分配，要與網絡拓撲層次結構相適應，既要有效地利用地址空間，又要體現網絡的可擴展性和靈活性，同時能滿足路由協議的要求，以便于網絡中的路由聚合，減少整網的路由數量，減少路由表的長度，減少對設備的CPU、內存的消耗，降低網絡震蕩程度，隔離網絡故障，提高路由算法的效率，加快路由變化的收斂速度；同時還要考慮到網絡地址的可管理性，盡量降低對現有IP地址的變更。

以使用一個A類地址10.0.0.0/8分配為例，一共可分為256個B類地址，其中10.1.0.0-10.250.0.0可作為業務地址，給國內外單位使用；10.253.0.0-10.254.0.0作為國內互聯地址及loopback地址；10.251.0.0-10.252.0.0作為海外互聯及loopback地址；172.16.0.0/16作為GRE tunnel互聯地址。

從網絡擴展角度出發，為每家單位的用戶設備、終端地址分配一個B類地址。考慮到將來區域總部架構對路由匯聚的需求，盡量為同一個省、同一個區域中的相關單位分配連續的網絡地址。

3.4 網路傳輸加密設計

從企業數據安全角度出發，可考慮在專網鏈路的基礎上，通過GRE Over IPSec VPN技術，為企業搭建一套安全可控的網絡體系；

而VPN網絡無需再進行鋪設物理鏈路，只需通過部署VPN網關在原有網絡鏈路的基礎上，形成虛擬專用隧道，實現局域網之間通過VPN隧道互連，保證數據的完整性，防篡改，防竊聽。

3.4.1 部署方式

在核心層、匯聚層、接入層接入單位分別部署VPN網關， 實現對專網的數據進行加密及組播。其中核心層加密設備雙機部署，匯聚層各部署一臺設備，接入層根據實際條件選擇不同的接入方式加密方式。整網采用分級建立IPSec VPN隧道模式，AES 192位進行加密。

3.4.2 IPSEC VPN隧道建立方式

建立兩級IPSEC VPN隧道，從接入層到匯聚層，從匯聚層到總部核心區域。兩段IPSEC VPN可以配置不同的密鑰，保證更高的可靠性，而且可以適應接入層以及匯聚層的互訪，減輕核心層網關的壓力。

3.4.3 組播業務承載

由于IPSec VPN協議自身限制，如果未來可能有組播業務的部署，因此需要通過建立GRE over IPSec VPN隧道保證組播業務在全網的加密運行。GRE Tunnel 對應的接口開啟組播協議。

3.4.4 隧道地址配置原則

對于接入層到匯聚層加密隧道， GRE Tunnel、IPSec Tunnel 源地址為接入層防火墻上對應的GRE Tunnel物理端口地址；GRE Tunnel目的地址是GRE Tunnel終結防火墻對應的接口地址，IPSec Tunnel目的地址為匯聚層防火墻上相應接口地址；對于匯聚層到核心層加密隧道，GRE Tunnel源地址為發起GRE封裝的防火墻節點的GRE Tunnel接口地址，目的地址為GRE Tunnel終結防火墻節點對應的接口地址，IPSec Tunnel源地址為匯聚層防火墻IPSec Tunnel接口地址，目的地址為核心層防火墻上IPSec Tunnel 終結接口地址。對于GRE及IPSec隧道，把源地址和目的地址互換設置反向隧道。可見圖4示意。

3.4.5 密鑰更新原則

IPSEC VPN加密設備是通過配置IKE SA（安全聯盟）的生存周期的方式來定時更新密鑰。IKA SA：缺省情況下，IKE安全聯盟生存周期為一天，生存周期可以設定為60s到604800s之間的任意值。SA在設定的生存周期超時前會提前協商另一個SA來替換舊的SA。在新的SA還沒有協商完之前，依然使用舊的SA；在新的SA建立后，將立即使用新的SA，而舊的SA在生存周期超時后被自動清除。

3.5 全網QoS保障

IP QoS （ Quality of Service ） 是指IP網絡的一種能力，即在跨越多種底層網絡技術（FR、ATM、Ethernet、SDH等）的IP網絡上，為特定的業務提供其所需要的服務。衡量IP QoS的技術指標包括：

帶寬/吞吐量：指網絡的兩個節點之間特定應用業務流的平均速率。

時延：指數據包在網絡的兩個節點之間傳送的平均往返時間

抖動：指時延的變化。

丟包率：指在網絡傳輸過程中丟失報文的百分比，用來衡量網絡正確轉發用戶數據的能力。

可用性：指網絡可以為用戶提供服務的時間的百分比。

不同的用戶及業務對IP QoS技術指標的要求是不同的，通過有效地實施各項IP QoS技術，使得用戶能夠有效地控制網絡資源及其使用，能夠在單一IP網絡平臺上融合語音、視頻及數據等多種業務，企業網絡一般需要承載多種不同類型的業務，可使用Diffserv模型，并且部署PQ+WFQ，為各種業務提供高品質承載。

（1）在各節點防火墻及入口路由器處，針對不同類型的業務進行流分類操作，并賦予不同的IP Precedence。

1.將實時業務作為EF業務，這樣即保證帶寬，又保證時延；

2.準實時業務和網管業務作為AF業務，主要保證帶寬，時延要大于EF業務；

3.其它業務作為BE業務，這樣即不保證帶寬，也不保證時延；

（2）在完成IPSec隧道封裝后，將IP Precedence映射到隧道IP頭中供路由器識別。路由器通過隧道IP頭中的IP Precedence將不同的業務報文放入不同的隊列，在出口處，通過隊列技術，根據IP Precedence來實現擁塞管理。

1.使用PQ來支撐EF類業務，被絕對優先發送；

2.使用WFQ來支撐AF類業務，保證AF業務的帶寬需求；

3.對于BE業務，使用剩余帶寬進行發送。

（3）在關鍵處網絡上采用WRED等技術避免擁塞造成的關鍵數據丟失。

通過以上三個方面的技術配合使用，可以充分保證網絡中的IP QoS。示意圖如圖5所示。

4 網絡可靠性設計

企業網絡需要足夠的健壯度來抵御各種可能出現的故障及事故，因此在全球網絡設計時，網絡可靠性非常重要，我們在設計網絡時，對于重要設備都進行雙設備設計，但是傳統IP網絡的倒換機制是通過路由協議收斂，通常倒換時間是秒級，無法保證語音等實時業務的質量，為了提高網絡倒換性能，建議部署BFD + IP FRR的網絡可靠性方案，提高故障感知速度和縮短故障后的鏈路收斂時間。以達到ms級故障保護倒換，減少因故障造成的流量丟包，保證語音等實時業務的質量，整網可靠性方案如圖6所示。

使用BFD+IP FRR的網絡可靠性方案，網絡的倒換性能可以達到50ms：

BFD用來快速檢測鏈路故障，特別是MSTP專線。當專線鏈路出現故障時，有可能出現接口物理狀態仍為UP狀態，因此必須通過BFD檢測實現快速檢測，每10ms發送一個檢測報文，3個報文無響應則斷定鏈路故障，最小可以達到30ms的檢測速度。

IP FRR通過在轉發平面增加備份轉發表項來實現快速保護，當BFD檢測到鏈路故障時，路由器在上報故障給控制平面的同時，直接啟用備份轉發表項，不需要等待控制平面重新計算路由，控制平面通過OSPF收斂完成路由重計算后再下發新的轉發表項到轉發平面的這段過程中數據包已經能夠正常轉發。因此BFD+IP FRR的保護時間與全網路由收斂無關，可以實現50ms以內的保護。如圖7所示。

參考文獻

[1]萬斯琴.央企走出去：能力和境界[J].中國企業報，2012.

[2]中國建筑企業進一步“走出去”的形勢與對策[J].建筑，2012.

[3]吳宗明.下一代傳送設備——基于分組交換和T-MPLS技術的數據傳送設備[J].電信網技術，2014.

[4]康威.OSPF路由協議安全性分析與研究[D].北京郵電大學，2010.

[5]王彩萍.基于IP網絡的QoS研究與應用[D].武漢理工大學，2009.