王川
成都地铁运营有限公司维保分公司 四川 成都610000
摘 要 信息化可以为企业提供一个强大、快捷的信息交流平台,能够保证管理信息传递的准确性与及时性,有利于提升劳动生产效率和业务管理水平。然而,信息化的实现是建立在完善的通信网络基础之上,只有一个功能完备、系统健壮、结构合理的网络才能够实现信息快速、准确、安全的传递。因此,做好业务承载网的规划工作,是公司信息化建设顺利进行的前提与保证。本文主要针对成都地铁OA网及生产业务需求的现状探讨新建生产辅助业务网的可行性。
关键词 OA网;生产辅助业务;承载;规划
1 引言
随着成都轨道交通事业的快速发展,地铁线网已初步成型。庞大的线网规模给市民带来出行便利的同时,也给运营与维保工作带来巨大挑战。覆盖幅度大、单线跨度长、点多面广等问题均考验着地铁管理工作的水平。信息化的广泛使用可以为运营企业提供一个功能强大、使用便捷的信息交互平台,能够保证管理信息传递的准确性与及时性,有利于提高劳动生产效率和业务管理水平,加快信息化建设已成为公司当下的一项紧要任务。然而,信息化的实现是建立在完善的通信网络基础之上,只有一个功能完备、系统健壮、结构合理的网络才能够实现信息快速、准确、安全的传递。因此,亦如城市发展,交通先行的必要性一样,做好业务承载网的规划工作,是公司信息化建设顺利进行的前提与保证。本文就成都地铁生产业务IP承载网的综合规划设计进行分析。
2 成都地铁承载网现状
成都地铁综合业务承载网主要有两个。一个是基于SDH的多业务传送平台(MSTP),主要为通信部分子系统、门禁系统、AFC等提供以太网传输通道。目前,MSTP业务承载能力已趋于饱和,在不扩容的前提下难以为更多系统提供传输通道;此外,鉴于运营生产安全考虑,也不宜将非生产业务接入MSTP通道,特别是有外网接口的综合业务。另一个承载网是办公自动化网络(OA网络),主要为PMS、施工调度、人力资源等十余个系统提供业务通道。随着公司信息化建设的不断深入,集团公司《线网与第四期建设规划资源共享》、运总总工办《成都地铁运营信息化建设实施计划》和设备设施部《信息化五年建设实施方案》对生产辅助业务的信息化建设规划了更高目标和功能需求,越来越多的生产辅助业务类系统(如,DBMS系统、缺口监测等)由于缺少其他传送通道选择,也不得不纳入OA网络中,这将导致以下问题:
(1)承载业务与日俱增,OA网络带宽资源面临巨大挑战;
(2)统一规划不足,新增业务与新线节点接入导致网络复杂性攀升,网络健壮性与鲁棒性难以得到保证,一旦出现问题,将同时影响到日常办公与生产;
(3)生产辅助类业务与办公类业务混用一张网,信息安全问题将日益突出。
3承载网规划设计思路
如何做到成都地铁办公、生产辅助业务的合理承载网络布局,通过资源与业务梳理辅助网络规划/优化,规避OA网混合承载业务下的潜在风险,形成有效的OA与生产辅助业务两网分离规划方案并指导成都地铁业务承载网建设,主要从以下几个方面入手:
(1)光纤资源优化配置
梳理小颗粒生产辅助业务占用大带宽资源的现状。在此基础上,完成小颗粒业务迁移到新网(生成辅助业务网)上进行统一管理的可行性研究,进而实现光纤资源的合理分配。
(2)OA网络优化
梳理OA网目前所承载的办公业务与生产辅助业务,以及新增业务对网络资源的需求。在此基础上,完成非OA业务从OA网络中分离的方案设计,从而实现OA网络资源优化与再分配。
(3)生成辅助业务网规划
梳理生成辅助业务需求,建立流量模型,估算设备的端口数量、端口速率、处理能力等。在此基础上,完成新网(生成辅助业务网)的规划研究。
通过完成以上工作,可指导OA与生产辅助业务的两网分离工作,形成成都地铁城域承载网的三网分管格局(MSTP、OA网、生产辅助业务网),达到光纤、带宽、IP地址资源合理分配与统一管理,提高网络安全性、健壮性和可拓展性的目标。
4承载网规划的思路
图1 规划思路
4.1生产辅助业务网规划研究
(1)网络架构
层次分明的网络结构是网络设计的基础,分层的网络不仅可以使网络结构更加简单明了,而且可以使数据流更加合理,提高网络中路由交换设备的工作效率,还能提升网络的整体稳定性和可扩展性。基础业务承载网的网络层设计应根据网络的建设规模需求、网络维护组织结构、网络服务质量要求等划分为核心层、汇聚层、接入层,也可以采用核心层和汇聚层的两层扁平化网络结构。结合成都地铁现实情况,核心层建议考虑部署在控制中心,汇聚层则部署在车辆段和停车场,接入层考虑部署在各线路车站或场段区域,通过冉层级的划分进行业务流量汇聚与传递,控制网络风险影响范围。
同时,通过节点设备冗余、物理链路冗余、路由冗余和备份等来实现网络的连通性,控制单点及链路故障对业务造成的影响。关于网络结构,建议采用环状或网状的核心层网络结构,采用双星形或环状的网络结构来实现汇聚层与核心层节点、接入层与汇聚层之间连接。
(2)设备选型
设备选型关乎整个网络的安全性与承载能力,设备选型在很大成都上影响着网络的安全性和网络的整体性能。
基于成都地铁的现状及业务应用需求,网络的核心层、汇聚层网络设备建议选择大容量高性能的路由交换设备,支持多业务叠加下的线速转发;支持 MPLS VPN,支持IPv4 和IPv6双协议栈;具有完善的QoS机制;核心层网络设备应具备流量分析功能;具有高可靠性,核心关键模块如主控、交换、电源及风扇等要具备冗余配置。
基于业务开展的灵活性考虑,接入层网络设备应充分考虑广播风暴的抑制能力,选择适当的交换容量和可靠的转发性能设备,设备应具有完善的QoS机制,强大的管理维护能力。
考虑到地铁公司内部各专业、部门业务需求的多样性,通过广泛调研收集汇总各专业、部门未来5年内的业务需求为基础结合现有OA承载的非办公类业务,可在核心层、汇聚层设备建立流量模型,测算该类设备的端口数量、端口速率、处理能力等作为设备选型建设规划的依据。而接入层设备主要依赖于需求部门的接入位置、带宽需求等统筹规划。
(3)IP规划
通过深入调研,收集和掌握现有线路IP地址使用情况,分析目前IP地址冲入状况,调整潜在可能的冲突IP地址,并针对地铁建设特点,为承载网的IP分配以及合理划分各子网段提供成熟、安全、可靠的方案。
考虑到需要互联各专业系统的内部网络,为避免与他们之间产生IP地址冲突,可单独为该承载网申请地址段,将已分配给线路的地址中拿出一部分未使用的地址给承载网使用,使用二层技术、隧道技术、QINQ技术等方式避免或减少地址需求。
(4)网络安全
网络安全应是本网络考虑的重要内容,可以采取以下安全策略,来控制网络中的安全风险。
为保证核心层网络的可靠性,建议采用快速重路由(FRR)技术在核心节点进行链路保护。关闭路由设备上不需要开放的服务、加强用户管理、制定访问控制列表、对异常流量进行报文过滤,避免如 DDoS 攻击、网络风暴等对主控板造成 C P U 资源耗尽、网络流量过载等。启用队列机制,将送往主控板的流量进行限制,保障主控板在流量过载下正常工作。采用远程扫描技术,定期对网络基础设施进行安全扫描分析,及时发现安全漏洞并进行修补。采用 VPN 技术及带外网管等对网络设备进行远程管理,避免远程登陆时密码明文传送可能出现的密码被劫持泄漏。
汇聚层的冗余配置的链路宜采用负载均衡方式,且具备热备冗余的功能。为提高可靠性,核心汇聚层间的通路宜通过双向转发检测(B F D)技术进行快速故障检测。各设备接入端口宜限制接入的IP 地址数、 TCP/UDP 连接数,以有效防止 DoS/DDoS 类的攻击。强化访问控制列表 ACL,有选择的提供网络服务,也可根据需要对用户带宽进行必要的控制。在接入层,可根据实际需要采用端口限速和流限速,限制网络攻击和用户的恶意行为 ;合理分配IP 地址,保证路由聚合的高效及安全控制的实施;采用 QinQ 技术、拓展 VLAN 的数量,保证用户间隔离,防止用户间的 A R P 攻击和盗用 I P 及账号的发生,抑制广播风暴;采用 IP 地址与 MAC 地址绑定,避免IP的盗用和非授权用户的接入,并可实现用户唯一标志、端口溯源、限制用户的恶意行为。同时,应采用必要的端口检测措施,防止二层环路的发生。
新建承载网目标是给运营公司各部门、专业内部自建非办公类系统,该网络独立于OA网络及其他网络,与互联网物理隔离,可大大降低因为使用OA网络进行互联互通而导致被黑客、病毒、木马等入侵的风险。具体可根据不同业务的的安全程度进行配置,一般而言,涉及资金、行车运营管理的系统,网络边界宜采用物理隔离和协议隔离相结合的网闸,其他系统可考虑防火墙或统一威胁管理(U T M)。网闸应选用基于硬件设计的大容量高可靠的产品,配置应包括文件交换、数据库交换、控制、Web 浏览、邮件交换等主流模块。U T M 应选用高性能多核多线程安全平台产品,提供防火墙、VPN、病毒防护、URL过滤、漏洞攻击防护、垃圾邮件防护、P2P/IM 应用层流量控制和用户行为审计等安全功能。
4.2生产辅助业务网建设建议方案
承载网建设考虑分期进行,首先完成既有线各控制中心核心层设备、车辆段及停车场汇聚层设备之间的互联互通,之后根据业务需要逐步在车站及其他需求区域布置接入层设备,后续根据新线的完成情况在新线路的控制中心、场段、车站部署类似层级的设备。
承载网核心层设备采用万兆以太环网技术,保证链路的冗余性和切换的快速性;汇聚层设备至核心层链路采用2条千兆链路捆绑方式,保障链路的冗余性和带宽能力,接入层设备则根据需要采用百兆或千兆接入至汇聚层设备。
新增设备一套网管系统和网管终端用于对承载网设备的管理和监控,网管软件要求有较强的通用性,能够支持多种主流网络厂家的设备,具备流量监测和分析功能。
4.3 OA网与光纤资源优化
生产辅助业务剥离:对OA网/光纤现承载的生产辅助业务,逐一在新网(生产辅助业务网)上做镜像通道,在业务正常运行后,拆除OA网/光纤上对应业务通道,释放带宽/光纤资源。IP地址:统筹现有办公业务的IP地址,在非办公时间做好局域网与IP地址优化工作。
5 结论
综上所述,随着成都地铁信息化建设步伐的加快,成都地铁运营管理对信息网络的依赖性越来越强,结合成都地铁信息化建设需求,针对目前OA网混合承载办公业务与生产辅助业务下的潜在风险,本文旨在探索公司综合业务承载合理布局与网络安全有效管控措施,并提出了研究方向与研究思路,为后续公司具体开展此项工作指明了方向。而如何保证承载网络的合理规划与网络安全是一个重大课题,它将伴随网络技术的发展而不断变化,轨道交通IP承载网与网络安全设计还需要再进一步的实践中不断总结经验并持续探索。
参考文献
[1]青岚昊. 城市轨道交通信息网络安全设计[J]. 铁路通信信号工程技术, 2011(02):53-55.