西山煤电集团骨干网络改造方案设计

席小红

(山西焦煤西山煤电集团公司信息中心)

·技术经验·

西山煤电集团骨干网络改造方案设计

席小红

(山西焦煤西山煤电集团公司信息中心)

西山骨干网从2003年组建以来，随着应用范围的不断扩展，对网络的整体结构要求越来越高。介绍了西山骨干网的现状，分析了原有网络、数据中心、互联网出口存在的问题，并提出了相应的优化改造方案。

网络；交换机；安全；数据；互联网；优化方案

1 西山信息骨干网络现状

西山煤电集团公司的信息骨干网，从2003年建设以来实现了以西山网络中心为核心，先后与公司下属9个矿、汾西、霍州、华晋、山西焦煤集团联网，构成以西山网络为平台的山西焦煤集团公司计算机网络架构。专项应用有：“瓦斯监测监控安全信息”、“电力调度远动监测信息”、“生产调度、行政视频会议”、“安全监察信息管理”、“医保管理信息系统”、“两个门户网站”等。为公司的生产、安全、办公方面提供了可靠的信息平台。

随着信息技术的不断发展，集团公司业务的不断增加，对网络的安全性、稳定性和速度的要求越来越高，因此，需要在一些方面进行优化改造。结合当前实际情况，对西山的网络、数据中心、互联网出口提出优化方案。

2 集团骨干网优化方案

1) 现有组网存在的问题。原有西山煤电集团的骨干网，是通过各矿的汇聚交换机上行到集团的核心交换机，链路采用光纤上行，核心交换机设备选用的是阿尔卡特的OminiSwitch 9700，各矿的汇聚设备选用的是阿尔卡特的OminiSwitch 7700。

现有组网的问题主要集中在以下几点：

每个矿目前都采用单机部署方式，一旦该交换机故障，则会导致所有业务的中断。

每个矿的核心交换机采用的光接口板只有1块，目前，2条上行链路都接在一块板上，所以如果该接口板出现故障，没有任何措施能够保证网络业务的连续性。

原有链路双上行光纤采用1根光纤中的不同芯，一旦光纤发生物理故障，双上行也形同虚设。

原有各二级单位上联时，缺乏安全保护，一旦一个矿发生蠕虫木马等安全威胁，安全威胁很容易扩散到其它矿。

目前，生产网和信息网都采用了相同的物理网络，没有任何隔离措施，两网会相互影响。

综上所述，现有的网络故障恢复时间完全不可控，取决于故障定位恢复时间、备品备件到达矿的时间。

2) 为确保冗余性，以及故障情况下的能够及时恢复，针对现有存在的问题，本次方案做如下优化：

进行各矿核心交换机优化，升级原有单机为双机。新的核心设备选择H3C公司S7506E设备。新升级的设备自带双主控双电源，并都配置了相应的接口板，旧的7700扩容一块光口板。链路优化上，在原有一条光纤链路的基础上，新铺设一条不同路由的光纤链路。

各矿的骨干网出口需扩展安全防护功能，确保安全威胁不会扩散。使用防火墙模块，可以实现各矿的安全分区隔离，并在不同的安全分区间配置安全策略。

矿级生产网和信息网的隔离在各矿级核心交换机逻辑隔离，新增的核心交换机与原有的核心交换机做到网关冗余，从而大幅提高生产网业务的可靠性，达到西山煤电集团对生产业务连续性的要求。

选择本次的方案进行改造，使集团骨干网整网的双机双链路冗余，大大降低原有网络运行的风险。

在骨干网优化中选择H3C的S7506E设备，技术上主要是从设备性能较原有阿尔卡特设备有大幅度提升，但是又能够基于标准的技术与原有设备有很好的兼容，且其集成多业务处理模块的能力可以较好地为各矿的核心设备功能增强、安全加固提供较好的可扩展性。

3 集团数据中心优化

集团数据中心是企业信息化的核心，需要考虑来自生产网络访问、信息网络访问以及来自Internet网络的安全威胁。在数据大集中的趋势下，数据中心需要面向整个集团提供各种信息化服务，建设高安全、高可靠的数据中心以保证信息业务的高可用性，建设高性能的数据中心满足大量业务并发访问的难题，是数据中心优化要解决的两大问题。

遵从现代化数据中心的建设原则，按照分层、分区、分级的思想进行数据中心优化。并且针对数据中心不同分区的安全级别，分别进行针对性的安全策略部署。

原西山煤电集团数据中心前端只部署了联想网御防火墙设备V3414，而且设备性能为千兆，业务量大时会成为数据中心的瓶颈。通过部署了高端数据中心级防火墙 F5000-A，可以达到40G的吞吐量和最大并发400万会话，其能够支持256个虚拟防火墙的能力，也可以为细分业务进行保护，实现了富裕的功能性能保障，此外，后续可扩容8个万兆接口，也非常适合部署在数据中心前端，以备数据中心提速之需。

原有的数据中心无法针对来自集团内部的安全威胁渗透，为了保护数据中心的高价值数据，本次采用了T1000-A产品，通过可以动态更新的特征库，不断防御来自内网的病毒、木马、蠕虫等等安全攻击。

同时，针对数据中心整体进行了性能优化，尤其是针对网内用户对服务器的访问。为有效提高访问速度、提高带宽利用率、减少访问时延、缓解服务器压力，有必要使用服务器负载均衡性能优化设备。

通过采用负载均衡应用优化设备SecPath ASE，实现数据中心的性能保护，ASE部署在数据中心前端的优势可以很好地分担服务器的非关键应用对服务器的性能影响，也可以在处理大量并发访问连接时进行智能的连接复用、TCP优化、SSL优化。

4 集团互联网出口优化

4.1集团互联网出口现状存在以下几个问题

1) 缺少应用层安全保护，针对病毒、蠕虫、木马等常见安全威胁无应对措施。

2) 缺乏出口性能保护，在P2P、网络流媒体大量占用出口带宽的情况下，信息网访问互联网的体验大大降低。

3) 设备性能普遍不能满足现有业务不断发展的需要，在大业务流量情况下，现有的出口设备出现丢包、上不了网等情况；

4) 在线部署的单节点设备容易形成瓶颈，一旦设备出现问题，会导致整个网络中断；

5) 原有的链路负载均衡设备Radware LinkProof 1000性能不足，不仅完成不了合理分配两条链路带宽的功能，反而成了出口性能上的短木板。

4.2集团互联网出口优化

通过在应用层防护上部署可以自动下载数字特征库的IPS产品 T1000-A，一台部署在防火墙外侧，确保不断变化的病毒蠕虫木马不会从网络入口攻击到服务器和内网的主机；一台部署在防火墙的DMZ区，确保DMZ区服务器的安全。同时，通过部署应用控制产品SecPathACG 8800，既能够针对目前所有主流的P2P应用、网络视频应用、网络游戏等进行带宽管理和带宽保证，还需要能够对网页访问、FTP、Email等功能进行上网的审计。既能够满足合理利用带宽的需要，还满足了公安部对企事业单位出口上网行为管理的规定。

为避免单点故障，本次新增的在线设备全部支持透明部署，内置断电保护功能。

5 方案特点

1) 网络建设的全面性。方案综合考虑了现有西山煤电集团的整体网络状况，选择了一个兼具先进性、可行性、兼容性的方案。方案的选择既结合了当前业务的需要，又能满足未来3～5年集团信息化建设对网络基础架构的要求，而且所选择产品都是国内相关领域品牌最好的产品，可以很大程度地缓解后期维护的压力。针对前期现网的组成，本次方案改动最小，又避免了现网中对原有设备的过度依赖。

2) 支持业务的高可靠性。方案从链路、设备、板卡、业务规划等方面充分考虑冗余和可靠性，将故障恢复时间控制在秒级以内，充分保障业务连续性。

3) 业务处理的高性能。方案所有选择产品均为高端高性能的在线设备，从硬件上均为最先进的多核或NP架构，所有在线的应用层安全设备(入侵防御系统、应用控制网关)时延都在200 ms以内，而三四层安全设备处理时延都在10 ms以内，所以可以保证整体业务时延用户感知不明显。

4) 安全防护的完备性。本次网络安全建设既针对现网情况，针对互联网网络入口的安全威胁和骨干网面临的安全威胁进行了统一防护，又能够针对数据中心需要保护的服务器进行重点保护。保护的内容既包括已有的安全威胁，比如ARP攻击等等，又包括能够针对不断更新的木马、病毒、蠕虫等威胁的动态防护。

5) 网络安全管理的与时俱进。本次网络既有网络管理中心，可以针对全网网元进行管理，对设备下发管理策略。又有安全管理中心，可以统一收集全网的安全事件日志，按照预先定义好的策略进行相应的联动策略部署。并通过技术手段，尽可能多地使网络安全设备的智能联动，降低了大型网络对维护人力的要求。

6 结束语

随着企业信息化建设的深入开展，对企业网络要求越来越高。本文分析了原有西山骨干网在使用过程中出现的问题，并提出了相应的优化改造方案。方案综合考虑了现有西山煤电的整体网络状况，选择了一个兼具先进性、可行性、兼容性的方案。希望西山骨干网在西山信息化建设中能成为一个更为完善的平台。

DesignonTransformationSchemeofBackboneNetworkinXishanCoalGroup

XiXiao-hong

Since Xishan network set up in 2003, scope of application continue to expand, the overall structure of networks have become increasingly demanding.Introduces the state of Xishan network, analyses the questions of the existing network, data centre and international internet bandwidth ,and proposes homologous formula for optimizing modification.

Network; Switch; Safety; Data; Internet; Optimize scheme

席小红 女 1970年出生 1992年毕业于太原工业大学 工程师 太原 030053

TD655

A

1672-0652(2010)10-0048-03

2010-08-26