齊連旭 吳瓊瑛
(遼寧鐵法能源有限責任公司,遼寧 調兵山 112700)
鐵法能源公司從2000年開始就進行信息化網絡的建設工作,網絡的范圍覆蓋鐵法能源公司信息化建設的各個部門,以支持企業信息化建設的所有業務數據流在網上高速暢通運行。隨著網絡應用的不斷延伸,在2006年針對網絡進行大規模升級改造,更換了原有的落后核心設備,將網絡結構重新規劃,增加各信息化節點IP儲備量,縮小沖突域,同時將網絡路由協議由靜態轉為動態,為下一步的環網建設做鋪墊。2012年開始對信息化環網進行可行性論證,2013年起逐步對原有星形網絡進行改造,經多年的建設已建成以萬兆骨干環網為核心、千兆骨干環網為匯聚的信息化網絡。
鐵法能源公司主干環網建設分為兩個主要部分:一是針對現有設備進行增補更換,增強網絡運行能力;二是建設環網線路,并對原有OSPF路由進行改造以適應環網需求。
針對現有設備進行增補更換:
(1)在大隆礦、小康礦、大平礦各增加一臺7606路由器。3臺大容量高速路由器用以增強重點礦廠、重點環路、重要節點的數據轉發能力。
(2)將鐵法能源公司原機房拆分成為調兵山和康平兩個核心機房。其中調兵山核心機房作為鏈路匯聚節點,負責物理傳輸上的集中;康平核心機房作為數據機房,安置集團信息化各個系統的服務器。調兵山核心機房與康平核心機房需保持永不斷線的高速傳輸狀態,為此在康平核心機房、調兵山核心機房、康平機房各增加一塊萬兆板卡及相應模塊,實現萬兆路由,使調兵山核心機房、康平核心機房、大平機房成為一個萬兆骨干環路,保障康平與調兵山之間的數據流在線路出現故障的情況下仍能高速穩定地傳輸數據。
(3)在各入環礦、廠增加光模塊實現千兆環網。利用鐵法能源公司既有桿路與電力桿路互補,實現主干環網。將原公司中心機房到各礦機房點到點通信網絡補充為相切環結構,做到了線路斷點保護,節省了大量線路施工費用和時間。
鐵法能源公司環網線路建設主要內容包括:① 調兵山通信信息網絡中心到曉南礦沿供電桿路敷設光纜5.5km。② 曉南礦到小青礦沿供電桿路敷設光纜6.8km。③ 小青礦到大強公司沿供電桿路敷設光纜6.7km。④ 曉南礦到大興礦沿供電桿路敷設光纜9.5km。⑤ 大興礦到煤層氣公司沿供電桿路敷設光纜5.5km。⑥ 煤層氣公司到煤矸石發電公司新建桿路、敷設光纜21.5km。本次環網線路建設已于2015年全部建設完畢,通過此次主干環網建設,鐵法能源公司將原有的點對點星形網絡改造成為以萬兆骨干環網為核心、千兆骨干環網為匯聚的信息化網絡。
鐵法能源公司信息化網絡歷經數次改造,一直在尋求最優網絡結構。此次主干環網建設,利用煤礦電力供應雙線路供電乃至多線路供電的特點,結合集團各礦、廠實際情況,創造性地利用鐵法能源公司既有桿路與電力桿路互補,實現環網。不但將原公司中心機房到各礦機房點到點通信網絡補充為相切環結構,而且做到了線路斷點保護,實現了以萬兆骨干為核心、千兆主干為補充的主干環網。
思科公司是鐵法能源公司建網以來的主要設備提供廠家。目前公司網內骨干交換,路由設備95%以上采用該廠商生產的設備。為了保證網絡升級改造的平滑過渡,也鑒于長期以來在使用思科設備時對其穩定可靠性的認可,此次主干環網均采用思科公司設備。Cisco7606路由器是一款部署于運營商網絡邊緣和數據中心、體積小巧、性能出眾的路由器,在網絡邊緣和數據中心,可提供出色的性能和服務來滿足企業需要。Cisco7606提供了30Mpps(集中式處理)、240Mpps(分布式處理)和480Gbps的總吞吐量,以及先進的硬件加速IP服務,此次主干環網建設中所用到的萬兆板卡及萬兆光模塊皆為思科公司生產,可提供10Gb/s的傳輸速率,大大提高核心環的網絡吞吐能力。
以太環網具有強大的網絡故障自愈能力,環網協議利用斷路告警、環監測、環恢復三種機制來對協議進行維護,即環網內任意兩節點間的線路中斷都可在極短的時間內恢復通信。在企業對財務、瓦斯監測、安全生產、視頻監控、銷售、物供的通信質量要求越來越高,實時通信中斷忍受能力越來越低的情況下,“永不中斷”的網絡將避免企業因網絡中斷造成的損失。
OSPF是一個內部網關協議,用于在單一自治系統內決策路由,是對鏈路狀態路由協議的一種實現,隸屬內部網關協議(IGP),故運作于自治系統內部。OSPF動態路由將顯示環網內設備哪條線路中斷,應改為哪條線路才可繼續保持通信。并且其高擴展性使今后的網絡改造更加平滑順暢,任何新設備、新環路的添加只需將配置好的設備接入網內,整個網絡在極短的時間內自動將設備納入系統中。
(1)防火墻策略的設計
采用路由模式,開啟OSPF路由協議,允許部分網段訪問礦廠的內網。將連接到集團的線路設置為外部網絡,連接到礦區的接口定義為內部網絡。設置相應ACL控制外部訪問,從外部允許進入到內部網絡的IP地址匹配為NAT(0),進行路由到達內部網絡。
(2)IPS的設計
將Cisco 7606系列自適應安全設備(ASA)的網絡流量發送至高級檢査和預防安全服務模塊(AP-SSM)(IPS)模塊,這種配置能夠滿足全面監控的要求。對于ASA和AP-SSM的交互方式,包括混合模式和內部模式。混合模式指在ASA將原始數據發送到目的地的同時,還將一份數據發送至AP-SM。在混合模式中,AIP-SSM被視為入侵監測系統(IDS),觸發器包(引起警報的包)仍然可以到達目的地。內部模式指ASA將數據發送至AP-SSM執行檢查。如果數據通過了AIP-SSM檢查,則數據返回ASA,繼續處理并發送到目的地。在內部模式中,AP-SSM可視為入侵防御系統(IPS)。與混合模式不同,內部模式(IPS)將阻止觸發包到達目的地。考慮采用內部模式會產生數據延時,建議使用混合模式,開啟mS功能。
(3)UTM的設計
UTM多功能安全網關可以幫助企業更好地控制網絡攻擊。將UTM放置集團網絡總出口,將整個公司外部威脅屏蔽掉。
鐵法能源公司主干環網的建設的目的是保證網絡的高效可靠性運行,杜絕線路中斷造成的信息“孤島”。主干環網的建設有效地解決了以上問題,同時創造了較好的安全經濟效益。改造前后對比分析:(1)改造前18個機房24h有人值守,改造后降低為2個機房有人值守。(2)改造前時刻監測網絡情況,改造后只需每日例行檢查。(3)改造后公司網絡永不中斷,保障了公司網絡銷售系統的正常運行,間接挽回經濟損失約1000萬元。(4)改造后公司網絡永不中斷,公司因網絡中斷造成的煤礦安全生產事故的概率為0,安全效益明顯。