開灤融合通信系統核心架構的設計與實現

李小良 何 莉 龍大鵬

（開灤集團信息與控制中心，河北 唐山 063018）

開灤融合通信系統融合計算機技術與傳統電信技術、固定網絡與移動網絡，開創了一種全新的通信模式。系統建立在扁平的IP 網絡上，提供控制和承載分離、業務和控制分離的特性，接入多樣化，業務分發和管理更加方便；能夠實現電話、傳真、數據傳輸、音視頻會議、呼叫中心、即時通信等眾多應用服務；系統讓企業員工可以在任何時間、任何地點，通過任何設備、任何網絡，獲得聲音、數據和圖像，豐富了企業員工的溝通方式，提升了企業員工的溝通效率。

融合通信系統能夠提供企業通信錄、文字短消息、語音信箱、電話錄音、黑白名單限呼等全新云端業務，為開灤集團各區域單位員工提供更精細化的語音業務，語音終端作為特殊的網絡終端，與計算機終端共享集團局域網、互聯網IP 傳輸資源，逐步實現通信線網、計算機局域網全面融合；融合通信系統更好地保證集團通信專網、調度通信網絡、計算機網絡的安全穩定運行，全面提升通信專網整體水平，實現開灤集團通信、網絡、自動化等設備統一維護、統一管理。

1 整體架構

開灤融合通信系統建立在扁平的IP 網絡上，由于語音通信對網絡延時要求很高，考慮整個網絡的配置情況，結合融合通信系統的實際情況，網絡架構采用兩層結構，即核心層、接入層。網絡架構示意圖如圖1。

2 核心架構設計

融合通信核心層主要提供用戶注冊、呼叫路由、呼叫控制和媒體控制等功能，提供豐富業務功能，提供窄帶中繼匯接功能，提供SIP 代理功能，為桌面客戶端、手機客戶端提供局域網、互聯網接入業務。核心層主要包括網絡交換機（三層）、防火墻、用戶注冊網關、中繼注冊網關、業務服務器、會話邊界控制器等設備。

2.1 基于堆疊架構的核心交換網絡設計

核心交換網絡采用環形堆疊架構設計，更好地保證融合通信核心交換網絡的安全可靠性，任何一個線纜故障，堆疊方式由環形變為鏈型堆疊方式，不影響設備整體運行；堆疊交換網絡設備間帶寬達到10Gbps；通過任何一臺成員交換機登錄堆疊系統，對堆疊系統所有成員交換機進行統一配置和管理；堆疊形成后，不需要配置復雜的二層破環協議和三層保護倒換協議，簡化了網絡配置；通過增加成員交換機，可以輕松地擴展堆疊系統的端口數、帶寬和處理能力；同時支持成員交換機熱插拔，新加入的成員交換機自動同步主交換機的配置文件和系統軟件版本。

腳本設計（部分）如下：

圖1 網絡架構示意圖

2.2 基于鏈路聚合的防火墻接入設計

防火墻設備采用鏈路聚合接入核心堆疊交換網絡，可用帶寬達到2Gbps，將核心堆疊網絡機不同交換機中的物理接口聚合到一個邏輯接口Eth-Trunk接口中。當堆疊設備中設備故障或加入Eth-Trunk接口中的物理成員口故障，通過堆疊設備間線纜跨框傳輸數據流量，從而保證了數據流量的可靠傳輸，同時實現了設備間的備份，并采用接口流量本地優先轉發方式，實現跨設備的鏈路負載均衡，保證了流量的可靠傳輸，極大地減少了堆疊設備之間的帶寬承載壓力，極大地提高了流量轉發效率。

（1）堆疊交換機腳本設計（部分）

2.3 基于區域隔離的安全策略設計

融合通信系統通過安全技術手段和安全管理制度兩方面多要素有機結合，全面保證融合通信系統安全；根據開灤融合通信系統功能和跨越的網絡，結合扁平化網絡結構的特點以及安全需求，共配置8 個安全區域；根據安全區域業務類型整體上分為四個類型區域：內網區域、中間業務區域、集團局域網區域、互聯網區域；通過區域隔離技術實現不同網絡區域之間的安全隔離，各安全區域分配獨立的地址段；嚴格禁止主機通過雙網卡等手段跨網絡、跨安全區域連接。

（1）內網區域主要包括融合通信內部網絡，防火墻采用鏈路聚合方式接入核心交換網絡的不同交換機，該區域為內部信任區域，屬于融合通信系統可管理可控制的網絡區域。

（2）中間業務區域主要包括計費系統、開灤賓館酒店管理系統、微信業務、視頻會議等四個安全區域，主要為各系統提供數據業務并進行數據交互。各系統均為開灤自建系統，該類區域為內部信任區域，屬于集團公司可管理可控制的網絡區域。

（3）集團局域網區域主要提供開灤集團IP 電話、桌面客戶端的局域網接入業務，集團局域網為開灤自建網絡，該區域為內部信任區域，屬于集團公司可管理可控制的網絡區域。

（4）外網區域主要包括電信互聯網、聯通互聯網等兩個互聯網出口區域，電信互聯網出口為主用，聯通互聯網出口為備用，為融合通信系統數據交換和授權應用訪問的通道，提供IP 電話、移動客戶端的互聯網接入服務，該類區域屬于不可管理不可控制的網絡區域。

防火墻腳本（微信區域部分）設計如下：

2.4 基于BONDING 技術的業務服務器接入設計

融合通信系統BMU、eServer、MAA 等業務服務器，使用SuSE Linux 11SP3 操作系統，服務器對響應時間、倒換時間要求極高，為保證融合通信系統安全性，提高業務服務器與交換機之間鏈路的可靠性，將網管服務器的兩個或多個物理網卡通過軟件綁定成一個虛擬網卡，在不同網卡、交換機之間進行網卡冗余、流量故障轉移，大大增加了業務服務器接入的可靠性。

BONDING模式采用mod=1，即： (active-backup)Active-backup policy（主-備份策略），只有一個設備處于活動狀態，當一個宕掉另一個馬上由備份轉換為主設備。MAC 地址是外部可見，從外面看來，BONDING 的MAC 地址是唯一的，以避免交換機發生混亂；提供容錯能力，提供高網絡連接的可用性。

2.5 基于適配器分組技術的話單服務器接入設計

融合通信系統話單采集服務器采用Windows Server 2008 操作系統，配置2 塊網卡（4 個網口），為提高話單采集服務器與交換機之間鏈路的可靠性，采用適配器分組技術將話單采集服務器的兩個物理網卡綁定成一個虛擬網卡，從而達到網卡主備冗余目的。

網卡綁定模式采用適配器容錯模式，在交換器端口、電纜或適配器發生故障時，通過自動從活動適配器向待命適配器進行故障恢復轉移來提供冗余，一個適配器會被選定為活動適配器，所有其他的適配器都為待命狀態。

2.6 基于NIC 組合技術的網管服務器接入設計

融合通信系統網管服務器采用windows server 2012 操作系統，為提高網管服務器與交換機之間鏈路的可靠性，采用NIC 組合技術將網管服務器的兩個或多個物理網卡綁定成一個虛擬網卡，速度提高到2 Gbps，并在不同網卡、交換機之間進行負載均衡。

成組模式采用交換機獨立模式，不要求交換機參與組合配置，由于獨立模式下的交換機不知道網卡是主機上組合一部分，網卡可以連接到不同的交換機；負載平衡模式采用動態模式，數據會被平分到所有的成員網卡上，最大效率的利用帶寬。

3 結 語

采用堆疊、鏈路聚合、區域隔離、BONDING、適配器分組、NIC 組合等關鍵技術的融合通信系統核心架構體系，更好地保證了融合通信系統的安全性、可靠性、可用性，系統保證企業用戶可以在任何時間、任何地點，通過任何設備、任何網絡，獲得聲音、數據和圖像，豐富企業員工的溝通方式，提升企業員工的溝通效率。