王庆亮
浅析城市轨道交通信息网络系统的建设
王庆亮
摘 要:阐述轨道交通行业中网络信息系统的建设思路,包括网络设计中的原则性问题,网络设计中各部分的组成。着重介绍了某项目的具体实施细节,以体现轨道交通信息网络设计中的注意点,并详细剖析网络各节点。
关键词:城市轨道交通;信息网络;组网
目前,城市轨道交通建设往往重视土建,忽视信息网络的建设,认为城市轨道交通信息网络就是各部门按需配置电脑与Internet连接即可。可是随着城市轨道交通建设的快速发展,诸多相关问题随之暴露,如所建立的网络能否满足当前业务要求和今后业务增长需要,新增硬件和软件是否方便接入既有信息网络,采用什么样的网络结构与网络技术,选择什么样的软、硬件服务平台和数据库系统,如何使信息网络运行稳定、可靠、安全、易于管理,以及信息网络建成后的生命周期有多长等等。为了保护投资,节省开支,发挥现有设备的作用与功能,应该重视城市轨道交通网络建设。
城市轨道交通信息网络系统,应该建立一个连接全市各站点的大型的城域网,从物理基础上确保各支撑平台及应用系统的运行,形成一整套完善的架构体系,保证数据的安全性,为各种应用提供良好的网络转发基础。网络系统建设要点如下。
1.有线业务网。作为城市轨道交通主要业务的承载网络,必须能够提供高可靠、高安全的网络基础平台,为各种应用提供有效的网络支持,并保证各种设备的兼容性,提高网络的健壮性支撑投资比例,降低总体CTO。有线业务网主要由核心交换机、汇聚交换机、接入交换机、数据中心设备、网管系统,以及出口路由设备等共同组成。
2.网络安全。网络安全是保证网络高可靠运行的基础,除了采用安全设备进行安全加固之外,还需要网络设备提供足够的安全防护措施。在出口设备上融合防火墙、IPS插卡及ACG插卡,实现内部网络和互联网L2-L7的安全防护,并对用户的应用行为进行实时检查。在核心交换机中部署防火墙插件,利用虚拟防火墙技术保证内网网络各汇聚交换机之间的安全隔离,将内部威胁减小到最小。在终端PC上部署终端准入系统,进行认证接入、安全审计、动态授权等安全检查和权限控制,防止“病从口入”。
3.无线网络。作为对有线网络的补充,无线网络因其便利和快捷得到广泛应用。无线网络设计采用Fit组网模式,以无线控制器作为整个无线网络的管理核心,采用基于802.11n传输协议且支持MIMO技术的AP作为无线接入点,提高了无线传输质量,也使传输速率得到极大提升。在无线安全方面,可以结合802.1X与终端准入系统,控制合法人员的接入。
4.网络可靠性。可靠性包括网络节点和网络链路二方面。采用双链路冗余方式互联,同时使用端口聚合技术,不仅形成流量负载分担,而且实现了链路冗余。2台核心设备使用无源背板,且配冗余引擎、冗余电源,并且采用虚拟化技术保证切换时间为毫秒级,将多台设备简化为一台设备进行管理。简化了网络的复杂度,提高了网络的可靠性。
5.网络部署。主要包括:IP地址规划、Mpls VPN设计、VLAN设计和QoS部署。IP地址的规划既要考虑当前现状,又要考虑日后扩展。大型局域网组建中,VLAN技术是不可缺少的关键技术,科学的VLAN设计可以为局域网络带来一系列的优点。QoS部署则是通过QoS技术保证网络中的关键业务优先处理,避免被非关键业务挤占。
6.网络管理。支持基于Web的远程访问和日志的智能归并,并提供网络管理的基本功能,包括:拓扑管理、性能管理、告警管理、网元管理、安全管理、配置管理等。
城市轨道交通信息网络系统,需要连接城市轨道交通指挥中心及各站点,规模相当于一个城域网,其稳定性、安全性尤为重要。把一个大型的网络元素划分成一个个互连的网络层,实际上就是把网络划分为一个个子网,这样网络节点和流量管理变得更加容易,网络扩展更容易处理,新的子网模块和新的网络技术更容易集成。下面以苏州轨道交通1号线信息网络系统设计为例进行介绍。
苏州轨道交通1号线是一个包含约3500个信息点的大型网络,是面向乘客运营服务的开放性系统,未来将有应用集成平台、门户网站、会议视频、RAMS资料查询管理等十几种业务系统,因此对网络设备的性能、链路带宽、业务融合性有很高的要求。为保证数据安全,建设完备的灾备系统也是非常重要的。
图1为苏州轨道交通1号线信息网络系统构成图。网络系统按照三层结构设计,分别为核心层、汇聚层、接入层。核心层由2台骨干路由器组成,汇聚层由8台汇聚交换机组成,其中2台放置于车辆段,6台放置控制中心,接入层由24个车站通信机房、1个车辆段及控制中心各楼层配线间相应位置的接入交换机组成。
图1 苏州轨道交通1号线信息网络系统构成图
1.核心层。整个网络中的核心层由2台思科7609路由器作为骨干路由器,放置于控制中心,用于高速传输整个网络数据。2台骨干路由器通过万兆光纤互连,形成热备。后期还可与其他线路的骨干路由器互连,形成网状结构,组成整个苏州轨道交通信息网络系统的核心层。
2.汇聚层。采用8台汇聚交换机,其中:
2台思科Catalyst 6509交换机放置于控制中心信息中心机房作为控制中心汇聚交换机,通过万兆光纤向上连接至骨干路由器,通过千兆光纤向下连接至控制中心各楼层配线间接入交换机。
2台思科Catalyst 4506交换机放置于控制中心信息中心机房作为车站汇聚交换机。通过万兆光纤向上连接至控制中心骨干路由器,通过千兆光纤向下连接至车站接入交换机。
2台思科Catalyst 4506交换机放置于车辆段作为车辆段汇聚交换机,通过万兆光纤向上连接至控制中心骨干路由器,通过千兆光纤向下连接至车辆段各栋大楼的接入交换机。
2台思科Catalyst 4506交换机放置于控制中心信息中心机房作为数据中心汇聚交换机,通过万兆光纤向上连接至2台控制中心汇聚交换机,通过千兆光纤向下连接至服务器群与磁盘阵列。
3.接入层。由24个车站的通信机房、1个车辆段及控制中心各楼层配线间相应位置的接入交换机组成。
在控制中心和信息中心设置硬件防火墙和入侵检测系统,形成从Internet至内部管理网络之间的隔离防护措施 (外网防火墙),保证信息网络系统的安全性。内部网络各子网间设置硬件防火墙隔离防护 (内网防火墙),子网划分不少于10个。
1.防火墙:配置思科ASA 5540防火墙为Internet外网防火墙;在数据中心汇聚交换机配置最大支持20个Vlan子网保护的防火墙模块作为内网防火墙。防火墙模块对不同子网进行安全状态审核和策略过滤,保证子网防护区安全可靠、灵活部署的同时,还可对不同业务部门 (Vlan)进行安全策略控制,降低全网部署防火墙的成本。本方案提供的内网防火墙集成在内网交换机上,减少了网络故障节点,增加了网络的可用性和可靠性。
2.IPS设备:配置思科IPS 4260作为内网的IPS/IDS设备。
3.IDS设备:配置鹰眼入侵检测系统。入侵检测系统的探测口分别连接在核心交换机的镜像端口上 (核心交换的镜像口配置全网镜像)。探测口隐藏,不占用系统地址资源。入侵检测系统的管理口直接接入交换机。由管理员分配相应的可管理IP地址,并由一台管理控制中心主机 (安装随机附带的管理控制中心软件)进行统一管理。
4.防病毒系统:选用趋势科技云安全多层次防病毒系统。
5.终端安全防护:部署Officescan。网络中计算机防病毒体系,应达到一体化、分组管理的机制,集成病毒专杀工具、病毒爆发预防策略、网络版防火墙和IDS,抵御间谍软件和其他类型灰件的侵害,具体分布式的病毒码更新、病毒爆发监控和扫描病毒漏洞等功能并入趋势科技整体防病毒体系。
6.服务器整体防护:选用趋势科技Deep Security7.0产品,通过四大模块提供服务器整体安全防护解决方案。
城市轨道交通信息网络建设还处于发展初期,在建设前期往往忽视信息网络的整体规划,随着城市轨道交通线路建设的进行,信息网络的发展缺少整体接入的预留条件,甚至需要对信息网络进行改造。因此城市轨道交通信息网络建设规划是信息网络系统建设的第一步,规划的好坏对系统建设的成败有着至关重要的影响。系统规划的任务是了解、选择和确定准备开发的系统。通过一定的调查研究提出一个新系统的总体方案,然后进行可行性研究。在此基础上,建立企业业务模型,进行需求分析、系统设计及信息网络系统的开发工作。
信息网络系统建设另一方面的工作,是在实施过程中,按照现代项目管理的方法,对信息网络系统开发过程中每个阶段进行策划、跟踪和控制,减轻开发过程中软件错误的积累放大效应,进一步降低开发过程所花费的成本,同时保障整个信息网络系统的质量。
[1]谢希仁.计算机网络.第4版[M].北京:电子工业出版社,2007,07.
[2]杭州华三通信技术有限公司.新一代网络建设理论与实践[R],2011,10.
Abstract:In this article,in-depth study on the design of network information system for rail transportation industry is mainly carried out,including an elaboration of principle problems in network design and all parts of the composition in network design.Focusing on the specific implementation of a project,specific contents reflect the points of attention in the network design for rail transportation and a detailed analysis of the network nodes are given in hope of making modest contribution to the construction of information systems.
Key words:Urban rail transit;Information networks;Networking
王庆亮:苏州轨道交通有限公司 工程师 215004 苏州
2012-04-18
(责任编辑:诸 红)