戴 元
(东北空管局通信网络中心计算机室,辽宁 沈阳 110043)
民航空管宽带网优化改造研究
戴 元
(东北空管局通信网络中心计算机室,辽宁 沈阳 110043)
文章对民航东北空管局宽带网系统存在的问题进行分析,探讨如何对网络进行优化和改造,使之不断适应新的发展需要。
网络改造;网络安全;OSPF
民航东北空管局通信网络中心于 2000年起开展宽带业务,网络初期规模不大,近几年宽带用户数量快速增长,导致网络处于超负荷运转状态。用户网速慢、容易掉线等问题不断增多,网络运行质量不断下降。因此,如何对网络进行有效的优化改造,使之成为一个安全、可靠、稳定、架构合理、易于管理、能够适应未来发展需要的宽带网络,是文章重点研究的问题。
网络采用星型结构设计,覆盖东塔、桃仙、长青三个园区,初期设计规模为500用户。核心层采用两台华为MA 5200交换机,实现用户认证和授权。汇聚层采用三台华为6503交换机,用于汇聚各园区网络。接入层采用多台华为5100 DSLAM交换机,用于连接宽带用户终端。出口层采用一台CISCO PIX 535防火墙,分别连接电信和联通两个不同运营商,网络出口带宽共计200M。
随着近几年宽带业务的快速发展,用户数量目前已超过2000人,原有网络已无法满足需要,主要表现在以下几个方面:
1.网络核心设备处理能力不足,长期处于超负荷运转状态。
2.网络骨干设备之间均采用百兆线路连接,带宽资源严重不足,存在传输瓶颈。
3.网络管理人员由于缺少有效的监测和控制手段,无法对P2P流量和私接路由器等现象进行有效控制。
4.出口防火墙承担安全防护、地址转换和路由选择等多项任务,负担较重,且存在单点故障隐患,一旦发生故障,将影响到整个网络的正常运行。
5.部分设备端口数量已基本饱和,扩展能力不足,无法满足未来的发展需要。
6.网络维护人员缺少必要的监视手段,无法在第一时间获取整个网络的运行状态,增加了处理故障、定位故障的难度。
7.用户设备与网络设备使用同一网段,一旦遭受网络攻击,将影响整个网络。
从调整网络结构、提高带宽利用率、优化网络配置、改善网络安全等多方面入手,将网络改造成一个安全、可靠、稳定、架构合理、易于管理的宽带网络,消除潜在隐患,使之适应未来的发展需要。
(1)将网络结构改造为双星型结构,对核心设备、骨干链路采用冗余设计,确保单个设备、链路出现故障时,整个网络仍能够继续平稳运行。
(2)在核心交换机与各园区的汇聚层设备之间运行OSPF动态路由协议,以提高网络的可靠性和稳定性。
(3)将网络骨干链路带宽提升到千兆,满足宽带用户对未来网络高带宽的需求,解决网络内部瓶颈。
(4)网络优化改造应从实际出发,在增加新设备时充分考虑对旧设备的投资保护,尽量避免搁置设备情况的发生,最大限度保护投资。
(5)整个网络应便于管理、配置和调整,网络出现故障时,管理人员能够快速定位故障、排除故障。
(6)按照分区防护和分层防护原则将网络划分为不同的安全区域,结合各种安全保护因素,有效地增加系统的安全防护纵深,全面提高网络安全防护能力。
(7)网络的优化改造应充分考虑到网络的扩展能力,最大限度满足未来的发展需要。
新增两台高性能交换机作为全网的核心设备,用于连接各园区汇聚层设备、出口防火墙及BRAS设备,实现全网的数据交换和路由选择。为确保设备在发生故障时能在最短时间内恢复,建议为两台核心交换机配置双引擎、双电源,最大限度避免因单点故障引起的网络瘫痪。同时,通过在网络中采用VRRP 技术,实现网络的自动备份和负载均衡,提高网络的安全性和可靠性。
将网络主干线路改造为双链路,通过 STP技术实现链路冗余管理,确保当主用链路出现故障时,能够自动切换到备份链路,确保网络不间断运行。为解决网络内部瓶颈,建议将主干线路带宽提升至千兆,对于个别无法实现千兆连接的链路,可以考虑采用多条百兆链路捆绑的方式尽可能提高带宽。
将网络出口带宽由现在的200M提高至600M,以缓解网络外部压力。原有 PIX 535防火墙由于端口数量有限,已无法满足现有业务需要。建议新购置两台高性能防火墙替代原有设备,分别连接两个运营商,实现冗余备份。在核心交换机上配置策略路由,根据用户访问目标网站的源地址,自动选择相应的网络出口,实现网络自由择路功能。
按照简单、连续、可管理等原则,对全网的网络地址重新进行规划,减少网络负荷。为网络设备与用户设备分别划分不同的网络地址段,并采用VLSM技术,有效提高网络地址的利用效率。网络地址的规划还应充分考虑未来网络发展的需要,预留相应的网络地址段,为以后的网络扩展打下良好的基础。
增加一台业务监控网关,旁挂在两台核心交换机上,与出口防火墙进行联动,实现对 P2P流量和私接路由器现象的有效控制,确保带宽能够得到充分利用。部署认证计费系统,实现对宽带接入用户的安全认证、授权和计费管理。根据不同的接入方式,为用户配置相应的计费策略、安全控制策略和流量控制策略,合理分配宽带资源,提高网络的使用效率。
建立网络监控系统,对全网核心设备的 CPU利用率、内存利用率、吞吐量、端口的丢包率等重点指标加以监控,使网络管理人员能够实时了解全网设备、链路的运行状态。通过预先设定的告警阈值,对检测出的重要事件进行预警,为网络管理人员快速采取应对措施提供依据,从而提高网络运维的整体水平。
为提高网络的安全性和稳定性,建议在接入层设备配置静态路由,然后将静态路由重分布到OSPF路由中。同时,在每个接入层设备上采用二层隔离技术,即每个下联端口都只能与上行端口通信,而下联端口之间不允许互相通信,使被隔离端口之间不会产生单播、广播和组播,从而有效控制广播风暴产生的可能性,避免终端用户间的病毒传播,提高网络安全综合防护能力。
根据《中华人民共和国计算机信息系统安全保护条例》、《中华人民共和国计算机信息网络国际联网管理暂行规定》等法律法规的有关要求,对网内用户的上网行为进行记录、控制和管理,使网络的使用更加有序、可控,防止非法、反动、不健康等言论内容在网络中传播,最大限度减少网络安全所带来的损失。
本文分析了民航东北空管局通信网络中心宽带网系统运行中存在的问题,提出了网络优化改造方案。相信经过有计划、有针对性的网络改造后,可以有效提升网络的运行能力,提高系统的安全性和可靠性,消除潜在隐患,从而为东北空管局通信网络中心更好地开展宽带业务打下坚实的基础。
[1]谢金星,邢文训,王振波.网络优化[M].北京:清华大学出版社,2009.
[2]刘芳.网络流量监测与控制[M].北京:北京邮电大学出版社,2009.
[3]汤铭潭,唐叔湛.城域与社区宽带网规划概论[M].北京:中国建筑工业出版社,2010.
[4]李文璟,王智立.网络管理原理及技术[M].北京:人民邮电出版社,2008.
TN915.08
A
1008-1151(2011)04-0050-02
2011-01-18
戴元(1979-),男,民航东北地区空中交通管理局通信网络中心计算机室工程师。