空管应急自动化系统网络优化设计与实现

摘 要：本文对空管应急自动化系统网络结构进行了分析研究，指出了设备运行中存在的风险和安全隐患，并针对系统的双网结构提出了优化方案。测试结果表明该方案是切实可行的，有效地提高了网络的可靠性和故障恢复能力。

关键词：双网冗余；网络安全；生成树协议

中图分类号：TN957.51 文献标识码：A 文章编号：2096-4706（2018）05-0061-03

Optimized Design and Implementation of ATC Emergency

Automation System Network

WENG Taiwei

（China Civil Aviation Zhuhai Access Control Center，Zhuhai 519015，China）

Abstract：This paper probes into the network structure of ATC emergency automation system. It points out the risks and hidden dangers in the operation of the equipment involved and thus puts forward the optimization scheme for the double network structure of the system. The test results show that the scheme is feasible and effective in improving network reliability and fault recovery capability of the network.

Keywords：dual network redundancy；network security；spanning tree protocol

0 引 言

多雷达自动化系统是各空中交通管制中心的核心信息系统。它的主要任务是对多路雷达信号进行融合处理，将融合后的航迹信号与航班飞行计划进行相关性分析，向空中交通管理员提供飞行器的动态位置信息，便于管理人员维持空中交通秩序，保持空中交通畅顺。应急多雷达自动化系统是为了使主用自动化系统发生故障，即空管时，能够继续给管理人员提供航班动态信息而设计的。笔者所在单位使用的ATC3000应急自动化系统由民航科技装备公司生产，为保障安全冗余性，该系统网络采用双机双网冗余结构搭建。但笔者在设备维护中发现，该系统的主用网络干线中断后，部分雷达显示终端却不能检测到链路故障并切换到备用网络，存在雷达显示失效的风险，给空管交通管理工作埋下了隐患。本文将对应急自动化系统的网络结构进行分析和研究，并提出优化方案。

1 应急自动化系统网络现状

ATC3000应急自动化系统采用A/B双网冗余设计，将各数据处理节点连接成一个整体。系统网络拓扑图如图1所示。在设备机房将两台cisco2960交换机级联起来作为A/B网的主干交换机，机房内的每台主机都通过两块网卡分别连到两个交换机上。而管制现场的每台主机用两块网卡连接到两个延伸的普通交换机上。这样当一个网络出行故障时，另外一个网络还可以继续进行正常网络通信，使雷达目标正常显示，不影响正常管制监视工作。

应急系统中每台主机的两张网卡不是独立的两个网络，而是采用bonding技术捆绑成的一个虚拟网络。与一般的双网卡不同，多网卡bonding把两个网卡虚拟成一块虚拟网卡，具有一个相同的IP层地址和MAC地址。bonding设备驱动会测试当前活动的网卡，当检测到其中的一块物理网卡出现故障时，bonding设备将提供检测和故障转移。网络数据会自动切换到下一个网卡继续传输，不会造成终端与服务器连接中断的情况。当故障网卡恢复后，网络数据会自动返回到原网卡进行传输。

笔者在设备维护中发现，应急自动化系统中的bonding捆绑可以检测到与网卡直连的线路中断，但是不能检测深层中断，即非直连中断。例如，图1中雷达显示终端SDD3的A网卡连线中断时，可以马上转移到B网卡进行通信。但是交换机连接干线①中断时，SDD3不能检测到网络已中断，仍继续使用A网卡通信，使主机和服务器的通信中断，造成雷达显示终端目标信号全部丢失，直到网络恢复或人工切换到B网卡才能恢复正常显示。

2 网络优化方案设计

针对应急系统中不能检测深层中断的问题，改进的方法之一是在应用软件上增加网络故障检测和冗余切换的功能，通过周期性地检测终端与服务器的连接情况，在通信中断后能及时地切换到备用网卡上。方法二是改进系统网络结构，使得非直连中断发生后能转移到其他冗余线路传输。本文探讨通过改进网络结构的方法来实现网络数据的可靠传输。

实现方法是在管制现场的两个普通的交换机Switch1和Switch2之间增加直接连通的网线，并在两台主干交换机上配置STP（spanning tree protocol生成树协议）。改进后的系统网络拓扑图如图2所示。增加连线后，系统网络中就形成了一个交换环路。干线①中断后，Switch1可以通过路径③-②-④获取A网数据，从而使连接Switch1的主机与服务器的通信不中断。同样，干线②中断后，Switch1可以通过路径③-①-④获取B网数据。然而引入环路后，又会带来广播风暴、MAC地址不稳定、重复帧拷贝等问题，导致网络性能下降，甚至导致网络瘫痪。因此，需要引入STP（生成树协调）来解决上述问题。

STP为使得到达目的地址只有一条逻辑链路，会自动阻塞（blocking）冗余路径上的物理端口。虽然逻辑上没有环路，但物理路径仍然存在，如果正在使用的链路发生故障或交换机发生故障，STP将重新计算，被阻塞的端口会被激活提供通信服务。图2中在两台cisco2960上启用STP，将其中一台Cisco2960A配置为STP根交换机，Cisco2960B配置为备用根交换机，Swtich1和Switch2是普通交换机不能配置。STP以根交换机为参考点计算路径花费（Cost）来决定最佳路径，Cisco2960B与干线②连接的端口花费最大，将被阻塞。正常情况下，Swtich1和Switch2通过路径③-①-④通信，当干线①中断后，Cisco2960 B被阻塞的端口将经过侦听、学习、转发三个状态后，重新提供通信服务，使得各个网络节点继续正常通信。

3 网络优化实施过程

通过改变优先级参数可以设置交换机为根交换机。优先级通常要是4096的倍数，本系统设置Cisco2960A的优先级为4096，Cisco2960B为8192，这样交换机A就成了根桥。配置方法如图3所示。

使用命令查看STP根交换机选举情况。如图4所示，不难发现Cisco2960A已经配置成根交换机（根桥），Cisco2960A的两个干线端口Fa0/20和Fa0/22均处于正常转发状态。而Cisco2960B连接干线②的端口Fa0/22已经被阻塞（BLK），即网络逻辑环路已被中断。

图4 交换机STP运行情况

为使网络出现故障时能快速转移到冗余线路进行传输，需要减少网络的收敛时间，即减少网络拓扑发生变化后重新达到稳定状态的时间。具体措施是在两台Cisco交换机上使用快速生成树协议（RSTP），该协议是把减少STP收敛时间的措施融合在STP协议中形成的新协议。配置方法如图5所示。

Cisco2960A#spanning-tree mode rapid-pvst

Cisco2960B#spanning-tree mode rapid-pvst

4 网络优化后运行测试

在管制现场的雷达显示终端上连续ping设备机房的服务器，并分以下三种情况进行测试。

（1）中断机房和管制现场干线测试：如图2所示拓扑图，中断①号或②号网线，由于交换机重新协商STP，雷达显示终端会中断30秒左右。

（2）中断管制现场两台交换机间连线测试：中断图2中④号网线，使用A网卡的雷达终端不受影响，使用B网卡的雷达终端由于STP重新协商会中断30秒左右。

（3）交换机掉电测试：关闭Cisco2960A的电源，Cisco2960B端口经历阻塞-学习-转发三个状态，需要中断30秒左右。关闭或打开Cisco2960B均不造成数据传输中断。

5 结 论

随着飞行流量的不断增加，空管自动化系统提供的雷达监视服务也越来越重要。本文通过对空管应急自动化系统网络结构进行分析研究，指出了设备运行中存在的风险和安全隐患，并设计了网络优化方案。实践证明该方案是切实可行的，有效地提高了网络的可靠性和故障恢复能力，同时亦可推广到其他类型的局域网上。

参考文献：

[1] 唐国军.多网卡绑定技术在服务器系统中的应用 [J].计算机光盘软件与应用，2013，16（2）：67-68.

[2] 屈景怡，杨俊，高泽英，等.空管系统中高可靠性双网冗余方法研究 [J].计算机应用研究，2014，31（8）：2430-2433.

[3] 陈宇.生成树协议改进方法分析 [J].微计算机信息，2011，27（1）：235-236+287.

作者简介：翁太伟（1985.07-），男，广东茂名人，工程师。研究方向：民航通信监视技术。