河南油田通信网络升级改造方案设计

马锋

（河南石油勘探局通信公司 河南 南阳 473083）

随着光纤入户步伐的加快和宽带网络技术日新月异的发展，人们对网络的需求也由语言变为对数据、图像、语音的综合需求，利用网络实现多媒体通信、高速INTERNET接入、IP电话、视频点播、网上求医等已成为人们生活的一部分。如何对原来网络进行升级改造，提升网络的业务能力，做到安全可靠、技术先进、经济实用，适应人们之所需的目标是业界探索的重点目标。下面将介绍本人从实际工作中设计出河南油田通信网络升级改造方案。

1 研究背景

1.1 油田通信网络现状

油田辖区内共有住户3万余户，住宅小区近30个。建有3个通信站、9个模块局，以各个通信站和模块局为中心，采用以太网技术组建了大部分住宅小区计算机网络，采用以太网技术和ADSL技术组建了部分住宅小区计算机网络。采用以太网技术组建的计算机网络始建于2001年，以各个通信站和模块局为中心，通过光缆到小区，光缆到楼，在小区和各个住宅楼设置网络交换机，实现了桌面10/100 Mpbs速率，小区干线百兆速率的接入。小区的汇聚交换机以百兆速率接入核心交换机，多台交换机连接时采用级联方式，楼栋接入层交换机大多为二层以下的“傻瓜”交换机，用户隔离功能弱，容易造成广播风暴，影响网络速度。油田的ADSL宽带接入系统是在2002年建成投运，在各个通信站和模块局设有ADSL接入设备DSLAM，分别通过百兆光纤汇聚到通信大楼的核心交换机上，再接入INTERNET。该系统是基于IP组网方式，并与油田的办公LAN实现了联网。

目前住宅小区建设的计算机网络信息机房通过2个1G通道与internet连接。在信息机房内配置出口路由器、核心交换机、流量控制系统、日志系统等；其中路由器为华为NE40，NAT板最大转换速率为千兆级，核心交换机2台，2台交换机均为千兆级交换机。整个网络系统无认证系统和网管系统，对用户和设备的管理均为人工方式，用户开户，靠绑定用户IP地址与MAC地址，人工操作输入。

网络现状组网拓扑图如图1所示。

1.2 存在问题

1）网络平台落后，系统配置不完善

目前通信公司网络2台核心交换机均为千兆级别，且设备老化严重，性能较差，数据转发能力低；2台核心交换机均为单链路上联路由器和下联汇聚交换机，容易造成网络单链故障，影响大面积用户使用网络。

系统中无网管系统、认证系统等，设备的管理采用人工本地处理，效率低，发现故障滞后，且管理人员不能清楚的知道网络的当前使用状况，缺乏网络管理信息；用户控制采用IP和MAC绑定方式，对用户身份的合法性无法确认，无法精细的进行网络隔离，容易造成广播风暴影响用户业务。网络安全系统配置较弱，抗网络风险能力较差。流控系统配置单一，对流量限制功能较差，无法完全对用户上网速率进行动态分配，造成部分用户大量抢占带宽，影响其他用户正常使用网络。

图1 网络现状组网拓扑图Fig.1 Internet network topology

2）网络出口相关设备缺少，出口干线带宽紧张。

目前通信公司的网络通过2个1G通道与internet连接，而在出口设备配置上仅配了1台路由器，且NAT板最大也是千兆级，性能低，处理能力差；未配缓存设备，使INTERNET上的信息无法在本地存储，造成多用户访问同一个信息时，均要出局，占用干线带宽，使干线带宽利用率减低，造成干线拥挤。

3）汇聚层、接入层网络交换设备配置低。

4）网络设备不统一，型号繁杂，无法实现统一网管。

当前通信公司的网络设备从核心层到汇聚层、接入层，网络设备有思科、华为、中兴等多个厂商的产品，且同一个厂商的产品有些不具有网管功能，同时网络中心也未配网管系统，无法实现远程设备和用户管理、诊断、维护。

2 建设目标

更新升级通信公司现有网络平台，由千兆平台升级为万兆网络平台，更新整合路由、防火墙、核心交换设备；新建缓存系统；新建认证、网络管理系统等。升级改造小区汇聚层、楼栋接入层设备，实现网络远程管理，提高网络管理水平。

3 方案设计

根据计算机网络技术发展趋势和油田计算机网络的现状及存在的问题，采用成熟的网络构架[1]，升级改造现有的网络系统，实现网络平滑对接，系统整体升级。

3.1 网络构架

网络建设采用分层思想，分接入层、汇聚层、核心层[2]三个层次，新建网络核心与原有网络平滑对接，实现网络整体升级。网络组网拓扑图如图2所示。

图2 网络组网拓扑图Fig.2 Internet network topology

核心层：主要实现网络内部之间和与Internet之间的流量高速转发和可靠连接；在网络出口实现从网络层防护到应用层防护的一体化防护；实现流量的分析和控制，及INTENET数据本地化，提高网络速率；通过认证和网管系统，实现用户授权管理和设备远程管理、维护。

汇聚层：主要实现核心设备和与接入设备之间的流量高速转发，提供可靠、稳定、安全的高速数据转发。

接入层：主要实现接入设备和与汇聚设备之间的流量高速转发并提供高密度的用户端口。

3.2 核心层设计

针对油田网络的现状和问题，本次网络核心层的设计主要是更新出口路由器为防火墙[3]、更新核心交换机、新建缓存系统、认证和网管系统等。

1）万兆防火墙

系统设计：将现有路由器更换为2台万兆防火墙，作为到Internet的出口，上行方向采用GE与中国电信，中国网通运营商网络相连，使用NAT方式实现企业网用户的Internet接入；下行方向与2台核心交换机之间采用10GE线路相连，保证链路的高可靠性。

功能：用于实现与Internet之间的流量高速转发，提供可靠、稳定、安全的高速Internet连接。同时在网络出口实现从网络层防护到应用层防护的一体化防护，对蠕虫木马、间谍程序、病毒、垃圾邮件等数据驱动式攻击进行有效防御，同时也提供防止利用TCP/IP协议漏洞或缺陷发起的攻击，具备将防火墙、防病毒、IDP、反垃圾邮件、VPN、内容过滤等等[4]，大量的安全应用功能企业可以使用较低的成本同时拥有多种网络安全模块，大大降低了企业在网络安全方面的总体花费。

2）核心交换机

系统配置：将现有千兆核心交换机（作为小区汇聚交换机利旧使用）更换为2台万兆核心交换机，分别通过10GE线路与出口防火墙互联，并采用2GE链路捆绑方式与汇聚交换机互联。设备本身采用双主控板及双电源冗余配置，提供设备的可靠性。

功能：两台万兆核心交换机作为河南油田网络的数据转发核心；主要实现网络内部之间和与Internet之间的流量高速转发，提供可靠、稳定、安全的高速数据转发；两台核心交换机之间采用CSS集群技术，实现双机热备和负载分担[5]；提高链路带宽和链路冗余。

3）缓存系统

系统设计：新建1套缓存系统，通过10GE接口与系统连接。

功能：缓存加速具备以下功能：P2P缓存加速、在线视频缓存加速、HTPP缓存加速。通过对对出网流量进行分析、调度，引导用户访问本地资源，降低出口流量，减少出口带宽压力，提高用户互联网体验，增加互联网带宽利用率的目的。

4）认证、网管系统

系统设计：配置认证系统1套，包括服务器1台、终端设备1台及软件，在网络核心侧挂BRAS设备，利用BRAS和Radius认证方式[6]，对接入用户动态分配带宽，实现接入用户的认证、计费和管理。配置网管系统1套，包括服务器1台、终端设备1台及软件，实现对企业资源、业务、用户的统一管理以及智能联动。

功能：通过认证系统，对用户的认证信息进行认证，根据认证结果对用户进行相应的授权，并根据计费规则对用户进行计费管理。通过网管系统，提供灵活的开放网管平台，在网络资源管理的基础上实现了拓扑、故障、性能、配置、安全等管理功能，而且还可以作为其他业务管理组件的承载平台，共同实现管理的深入融合联动。软件通过流程向导的方式告诉用户如何使用功能，为用户提供了精细化的管理。同时对网络流量、接入认证角色等进行智能分析，自动调整网络控制策略，全方位保证企业网络安全

5）日志系统

系统设计：在通信公司网络机房配置1套网络行为管理系统，包括硬件和软件，通过多路透明桥接部署在防火墙与核心交换之间，对所有的上网行为进行记录和流控，该系统为10G平台，支持万兆流量的穿透、分析和策略管理。支持上行10G、下行10G的处理性能。

功能：对于内网宽带用户访问各种网页的行为进行细致的访问控制，有效管理用户上网，同时对P2P软件进行有效管控，并且对P2P行为严重吞噬带宽资源的问题，提供流量控制功能。网络访问控制功能，可以基于用户/用户组、基于时间段、基于不同的目标行为进行灵活权限控制。

具有完善的访问记录和监控功能能够有效防止信息通过Internet泄漏，对于BBS、论坛发帖，根据关键字进行过滤，能全面记录发布的内容；内网宽带用户访问的URL地址、网页标题、甚至整个网页内容，能够完全监控和记录等。针对不同的用户、用户组，通过数据简单的勾选，即可完成差异化的行为记录功能，对于宽带用户每天的各种行为日志记录，可满足公安部82号令存储至少60天的要求。

3.3 网络汇聚、接入层设计

1）汇聚层设计

系统设计：更换小区现有汇聚交换机（利旧作为接入层使用），选用千兆汇聚交换机作为网络的汇聚设备，通过GE链路与接入设备互联，并采用2GE链路捆绑方式与2台核心交换机互联（利用已有光缆资源）。

功能：主要实现核心设备和与接入设备之间的流量高速转发，提供可靠、稳定、安全的高速数据转发。支持二层和基本三层功能，通过链路冗余，实现业务负载分担。汇聚设备具备冗余电源、链路聚合等实用功能，并支持丰富路由协议，规划实施负载分担增强了网络的适应性和可靠性，保障了网络的全天候稳定运行。支持核IPv4、IPv6双协议栈，面向下一代网络的平滑过渡；汇聚GE/10G带宽，适应万兆骨干，千兆接入的发展趋势保证核心网络的数据交换带宽。

2）接入层设计

系统设计：更换小区现有接入层交换机为网管型交换机，通过已有100 M链路接入汇聚层交换机。

系统配置：主要实现接入设备和与汇聚设备之间的流量高速转发并提供高密度的用户端口。

3.4 辅助系统设计

1）核心层设备放置于通信公司机房，利旧已有机柜空间及供电接地系统。

2）汇聚层、接入层设备为更换，利旧已有机柜空间及供电接地系统。

4 结束语

本设计采用三层网络构架，设计中用防火墙替代路由器，更新核心交换机，建立了缓存、认证和网管系统，充分利用原有的网络资源，提高了性能价格比，实现对原网络升级改造，进而提升网络的业务能力，适应了网络的发展方向，满足了业界对网络升级改造的三大目标——安全可靠、技术先进、经济实用。本设计建成后，经过了三个月测试运行，万兆网络平台，缓存、认证、网络远程管理系统完全达到了系统设计要求，在网络升级改造中上述方案是一个值得参考的设计方案。

[1]陈原子，徐习东.基于并行冗余网络的数字化变电站通信网络构架[J].电力自动化设备，2011（1）:105-108.CHEN Yuan-zi，XU Xi-dong.Communication network structure of digital substation based on parallel redundancy[J].Electric Power Automation Equipment，2011（1）:105-108.

[2]谢希仁.计算机网络[M].6版.北京：电子工业出版社，2013.

[3]王玉堂.雾里看花，如何选择真正的万兆防火墙[J].信息安全与通信保密，2011（1）:40-41.WANG Yu-tang.Have a blurred vision，how to choice the real gigabit firewall[J].Information Security and Communications Privacy，2011（1）:40-41.

[4]徐振明，秦智，韩斌.组网工程[M].西安：西安电子科技大学出版社，2006.

[5]邓杰，易小年.基于双核心交换机热备实现网络及系统容灾[J].湖南电力，2006（s1）:62-65.DENG Jie，YI Xiao-nian.Based on the dual core switches heat disaster for realization of network and system[J].Hunan Electric Power，2006（s1）:62-65.

[6]陈琛，王宾，杨阳.城域数据网BRAS热备技术和组网方案研究[J].邮电设计技术，2013（7）:72-74.CHEN Chen，WANG Bin，YANG Yang.Research on a realtime standby technique of BRAS in metropolitan area network and its networking solution[J].Designing Techniques of Posts and Telecommunications，2013（7）:72-74.