小保當礦井企業管理網絡設計

張 恒

(中國煤炭科工集團 北京華宇工程有限公司，北京 100120)

小保當一、二號礦井建設項目，由陜西小保當礦業有限公司開發建設。礦井位于陜西省榆林市神木縣西南部及榆陽區的東北部，行政區劃隸屬于榆林市神木縣大保當鄉管轄。一號礦井設計生產能力15.00Mt/a，二號礦井設計生產能力13.00Mt/a。一、二號礦井共用一個工業場地。一號、二號礦井在工業場地分別布置2個斜井井筒，分別為主斜井和緩坡副斜井。井下煤炭運輸采用帶式輸送機運輸，輔助運輸采用無軌膠輪車運輸系統，可實現從地面至井下工作面的連續運輸。

建設一張覆蓋礦井主要區域的企業管理網絡(簡稱企業網)，企業網與工業網相聯，并進行安全隔離，防止企業網對工業網的病毒傳播和網絡攻擊，同時能夠實現工業網向企業網單向推送數據；企業網與互聯網相聯，并進行安全隔離，防止互聯網對企業網的病毒傳播和網絡攻擊[1]。

企業網的覆蓋區域包括工業場地聯合建筑、辦公樓、食堂、單身公寓、救護隊、消防站、綜采設備庫及維修間、礦井修理車間、膠輪車庫、器材庫、加油站、選煤廠綜合辦公樓等。

1 網絡連接設計

礦井企業網采用以太網技術、星形網絡拓撲結構。從網絡層次上，企業網采用三層分層設計：“核心+匯聚+接入”。

核心層設置2臺三層交換機(雙機熱備)，并采用網閘實現與工業網的連接。企業經營管理云平臺通過接入交換機接至2臺核心交換機。核心層設置2臺路由器，作為外網出口接入互聯網和集團公司。核心層設備位于聯合建筑中心機房。核心交換機具備高速轉發的能力，同時還有很強的擴展能力，以便應對未來業務的快速增長。核心交換機采用2臺HSC S10508X-V型三層交換機，每臺交換機配2個主控板，1個48端口千兆以太網電接口模塊，1個24端口萬兆以太網光接口模塊，1個12端口40G以太網光接口模塊，4個交流電源模塊。路由器是企業網對外互聯的通道，具有強大的路由轉發能力，實現企業網與外部網絡高效的路由轉發。路由器采用2臺HSC SR8804-X型路由器，每臺路由器配2個主控板，1個16端口千兆以太網光口+8端口千兆以太網Combo口+2端口萬兆以太網光接口模塊，2個交流電源模塊。無線控制器按照業務板卡的形式和現有核心交換機融合。無線系統在聯合建筑、辦公樓室內部署AP(無線接入點)，采用FIT AP的部署模式進行設計，通過無線控制器對所有AP進行統一管理[2]。

匯聚層采用三層交換機，下行連接接入交換機，作為所有終端設備的網關，設于各建筑弱電機房。為了提高可靠性，匯聚層交換機采用雙鏈路上行分別連接至2臺核心交換機。匯聚交換機匯聚來自接入交換機的流量，上行與核心交換機萬兆互聯，下行與接入交換機萬兆互聯。匯聚交換機采用HSC S6800-2C型三層交換機，每臺交換機配2個固定40G以太網光接口，1個24端口萬兆以太網光口+2端口40G以太網光口接口卡，2個交流電源模塊。

接入層采用二層交換機，直接連接所有終端設備，上行連接匯聚交換機，設于各建筑弱電機房或樓層弱電間。部分建筑僅設置接入交換機，上行連接至聯合建筑匯聚交換機。接入交換機提供網絡終端的接入功能，通過劃分VLAN來隔離各個業務部門。上行與匯聚交換機萬兆互聯，下行為用戶提供千兆速率。同時接入交換機還需要給無線接入點提供PoE供電。接入交換機采用HSC S5130S-52(28)S-PWR-EI型三層交換機(工作在二層模式)，每臺交換機配48(24)個10/100/1000BASE-T自適應以太網端口和4個萬兆以太網光口。

鏈路設計采用“萬兆骨干、萬兆匯聚、千兆接入”，核心交換機與匯聚交換機之間、匯聚交換機與接入交換機之間均采用萬兆鏈路，接入交換機實現用戶的千兆接入。室外長距離線路均采用單模光纜。

礦井企業網拓撲圖如圖1所示。礦井網絡節點布置見表1。

表1 礦井網絡節點布置表(部分)

2 IP地址及VLAN規劃

2.1 劃分VLAN的方法

二層交換局域網中的計算機數量很多時，其中每一臺計算機都隨時可以發送一些廣播報文。當這些報文過多的時候，整個網絡就會被阻塞，這就是廣播風暴問題。要解決廣播風暴問題，實現在二層交換局域網中隔離廣播的功能，可以使用VLAN技術。VLAN(虛擬局域網)技術可以把一個LAN劃分為多個邏輯的VLAN，每個VLAN是一個廣播域，不同VLAN間的設備不能直接互通，只能通過路由器和三層交換機等三層設備轉發互通。這樣，廣播數據幀被限制在一個VLAN內[3]。

將匯聚交換機配置為三層交換機，接入交換機配置為二層交換機，接入交換機通過匯聚交換機實現VLAN間路由轉發。聯合建筑、辦公樓等按部門和業務劃分VLAN，公寓按樓層劃分VLAN。匯聚交換機和核心交換機之間通過三層VLAN接口互聯，需要占用一個VLAN。

接入交換機采用基于端口的VLAN劃分方法，將端口加入到相關VLAN中。默認情況下，交換機存在一個默認的VLAN，即VALN1。默認所有端口都屬于VLAN1。接入交換機將上聯端口配置為Trunk端口，并允許相關VLAN通過。匯聚交換機上創建相關VLAN，將下聯端口配置為Trunk端口，并允許相關VLAN通過。在匯聚交換機上還需要配置相關VLAN虛接口和IP地址[4]。

2.2 IP地址及VLAN規劃

IP地址就是給互聯網上的每一臺主機(或三層設備)的每一個接口分配一個在全世界范圍內唯一的32位標識符。在企業網中，內網IP地址一般不采用互聯網上的公網IP地址，而是采用指定的私網IP地址。

每個IP地址被分為兩部分：網絡地址和主機地址。每個IP地址需要配置一個子網掩碼，確定IP地址中哪一部分是網絡地址，哪一部分是主機地址。

本礦企業網IP地址及VLAN分配方案：全網管理IP地址采用10.0.1.X/24網段，整個網段256個IP地址，采用設備默認的VLAN1；業務部門主機數量較多，劃分為192.168.X.X/24的C類網段，每個網段256個IP地址，網關IP地址采用所在網段的主機號254，接入用戶VLAN采用VLAN10、VLAN20、VLAN30……遞進方式規劃；設備之間的互聯網段為了節省IP地址，劃分為10.0.0.X/30的網段，每個網段4個IP地址[5，6]。

礦井企業網IP地址及VLAN規劃見表2。

表2 礦井企業網IP地址及VLAN規劃表(部分)

2.3 配置DHCP

局域網中手動配置靜態IP地址任務繁瑣，而且容易出錯。匯聚交換機上使用DHCP為終端設備自動分配IP地址。DHCP(動態主機配置協議)用于為局域網中主機動態分配IP地址及相關信息，采用客戶機/服務器模式，使用UDP協議工作。

匯聚交換機的DHCP配置方法：①開啟DHCP服務；②配置給某VLAN分配IP地址的地址池；③配置地址池中的網段；④配置地址池中的網關列表；⑤配置分配給主機的DNS服務器地址；⑥配置地址的租期；⑦在系統視圖下配置禁止分配的IP地址。DHCP會自動禁止將PC的網關地址(即VLAN接口地址)分配給用戶[7]。

3 路由及互聯網接入配置

3.1 路由配置

路由器(包括帶有路由功能的三層交換機)負責將數據報文在IP網段之間進行轉發。路由是指導路由器如何進行數據轉發的路徑信息。IP網段連通的前提是沿途每臺路由器上都有到達目的網段的路由信息。路由器的路由表用來存儲路由信息。路由表的來源包括：①直連路由，根據直連接口所在網段自動產生；②靜態路由，手動配置到達每個目的網段的路由信息，配置和維護復雜，沒有協議開銷；③動態路由，通過路由協議從鄰居自動學習路由信息，配置和維護簡單，有協議開銷。常見的動態路由協議包括：①RIP(路由信息協議)，收斂速度慢，最大跳數不超過16跳，網絡規模受到限制；②OSPF(開放式最短路徑優先)，克服了RIP的弱點，可以勝任中大型的網絡環境；③BGP(邊界網關協議)，是運營商(或城域網)之間使用的唯一協議。

本礦企業網使用OSPF協議來實現全網路由互通，僅配置一個骨干區域。在配置OSPF的時候，先在每臺三層設備上都配置Router ID，接下來建立骨干區域并進入區域視圖，在區域視圖下加入屬于該區域的接口網段[8-10]。

3.2 互聯網接入配置

為了實現內網主機訪問互聯網的需求，互聯網出口路由器上需要配置到互聯網的默認路由，并引入到OSPF中。默認路由是一種特殊的路由。當數據在查找路由表時，沒有找到和目標精確匹配的路由表項時，將采用默認路由。

NAT(網絡地址轉換) 是將IP數據報文頭中的IP地址轉換為另一個IP地址的過程?？梢允褂肗AT將內網多個用戶的私網IP轉換為一個或多個公網IP，實現內網主機訪問互聯網的需求。這樣既可以解決公網地址不夠用的問題，也可以使外網看不到內網用戶IP地址，保證內網的安全性。本礦企業網采用地址池的方式配置NAT。地址池是用于地址轉換的一些連續的公網IP地址的集合。在地址轉換的過程中，NAT設備將會從地址池中挑選一個IP地址作為數據報文轉換后的源IP地址。在互聯網出口路由器上配置NAT方法：創建NAT地址池，指明使用的地址范圍；創建基本ACL，指明內網哪些網段可以接入互聯網；在路由器接外網的接口出方向關聯ACL規則，使用地址池下發NAT。

NAT Server(NAT內部服務器功能)通過靜態配置“私網IP地址+端口號” 與“公網IP地址+端口號”間的映射關系，實現私網IP地址到公網IP地址的轉換，實現外網訪問內網服務器的需求。在互聯網出口路由器上配置NAT Server方法：在路由器接外網的接口上創建NAT Server，使用協議為TCP，將內部地址的FTP、Web等服務器映射為公網IP，對外提供的服務類型為FTP、Web等[11-13]。

本礦企業網至集團開通中國移動數字專線100M實現聯網。

4 網絡安全設計

核心交換機和路由器采用IRF2(第二代智能彈性架構)技術，可以將二臺相同的設備虛擬化為一臺邏輯設備。IRF2通過路由熱備份技術，在整個虛擬架構內實現控制平面和數據平面所有信息的冗余備份和無間斷的三層轉發，增強了虛擬架構的可靠性和高性能，同時消除了單點故障，避免了業務中斷；通過分布式跨設備鏈路聚合技術，實現多條上行鏈路的負載分擔和互為備份，從而提高整個網絡架構的冗余性和鏈路資源的利用率；整個彈性架構共用一個IP管理，簡化網絡設備管理，簡化網絡拓撲管理，提高運營效率，降低維護成本。

每臺核心交換機、路由器的主控板、電源、風扇均采用冗余設計，可提升設備整體可靠性。每臺匯聚交換機采用雙上行鏈路連接至核心交換機，任何一條鏈路故障都不會造成網絡中斷。

企業網建設1套網絡管理綜合平臺，在統一平臺上對網絡核心設備、匯聚交換機、接入交換機、無線網絡等進行實時的監控管理，及時發現網絡運行中的安全隱患，提高整個系統的可靠性和穩定性。該平臺包括基礎資源管理、無線業務管理、終端準入管理、流量分析、上網行為管理等功能[14，15]。

在核心交換機上配置ACL實現公寓的所有終端不能訪問辦公樓和聯合建筑的終端。ACL(訪問控制列表)是一或多條規則的集合，用于識別報文流。這里的規則是指描述報文匹配條件的判斷語句，匹配條件可以是報文的源地址、目的地址、端口號等。配置ACL實現包過濾時，需要首先配置ACL，通過規則確定哪些報文需要被過濾；然后再在設備端口上下發ACL，以使包過濾生效。

企業網和工業網之間部署網閘，采用2臺H3C SecPath GAP2000安全隔離與信息交換系統，保證工業網的網絡安全。企業網和外網之間部署防火墻，采用2臺H3C SecPath M9010多業務安全網關，工作在透明模式，保證企業網的網絡安全。多業務安全網關提供全面的應用層流量識別與管理，能精確的檢測Thunder、QQ、MSN、PPLive等P2P/IM/網絡游戲/炒股/網絡視頻/網絡多媒體等應用，同時可提供不同的控制策略，實現靈活的P2P流量控制。出口路由器具備豐富QOS特性，為關鍵業務提供重點的帶寬保證。

5 結 語

本文介紹了小保當礦井企業網的設計。目前，企業網已基本覆蓋地面工業場地主要建筑，能夠滿足礦井安全生產管理系統、視頻會議系統、辦公自動化系統、企業ERP系統、Internet上網的網絡傳輸要求，提高了礦井安全生產管理水平，取得了良好的經濟效益和社會效益。