小保当矿井企业管理网络设计

张 恒

(中国煤炭科工集团 北京华宇工程有限公司，北京 100120)

小保当一、二号矿井建设项目，由陕西小保当矿业有限公司开发建设。矿井位于陕西省榆林市神木县西南部及榆阳区的东北部，行政区划隶属于榆林市神木县大保当乡管辖。一号矿井设计生产能力15.00Mt/a，二号矿井设计生产能力13.00Mt/a。一、二号矿井共用一个工业场地。一号、二号矿井在工业场地分别布置2个斜井井筒，分别为主斜井和缓坡副斜井。井下煤炭运输采用带式输送机运输，辅助运输采用无轨胶轮车运输系统，可实现从地面至井下工作面的连续运输。

建设一张覆盖矿井主要区域的企业管理网络(简称企业网)，企业网与工业网相联，并进行安全隔离，防止企业网对工业网的病毒传播和网络攻击，同时能够实现工业网向企业网单向推送数据；企业网与互联网相联，并进行安全隔离，防止互联网对企业网的病毒传播和网络攻击[1]。

企业网的覆盖区域包括工业场地联合建筑、办公楼、食堂、单身公寓、救护队、消防站、综采设备库及维修间、矿井修理车间、胶轮车库、器材库、加油站、选煤厂综合办公楼等。

1 网络连接设计

矿井企业网采用以太网技术、星形网络拓扑结构。从网络层次上，企业网采用三层分层设计：“核心+汇聚+接入”。

核心层设置2台三层交换机(双机热备)，并采用网闸实现与工业网的连接。企业经营管理云平台通过接入交换机接至2台核心交换机。核心层设置2台路由器，作为外网出口接入互联网和集团公司。核心层设备位于联合建筑中心机房。核心交换机具备高速转发的能力，同时还有很强的扩展能力，以便应对未来业务的快速增长。核心交换机采用2台HSC S10508X-V型三层交换机，每台交换机配2个主控板，1个48端口千兆以太网电接口模块，1个24端口万兆以太网光接口模块，1个12端口40G以太网光接口模块，4个交流电源模块。路由器是企业网对外互联的通道，具有强大的路由转发能力，实现企业网与外部网络高效的路由转发。路由器采用2台HSC SR8804-X型路由器，每台路由器配2个主控板，1个16端口千兆以太网光口+8端口千兆以太网Combo口+2端口万兆以太网光接口模块，2个交流电源模块。无线控制器按照业务板卡的形式和现有核心交换机融合。无线系统在联合建筑、办公楼室内部署AP(无线接入点)，采用FIT AP的部署模式进行设计，通过无线控制器对所有AP进行统一管理[2]。

汇聚层采用三层交换机，下行连接接入交换机，作为所有终端设备的网关，设于各建筑弱电机房。为了提高可靠性，汇聚层交换机采用双链路上行分别连接至2台核心交换机。汇聚交换机汇聚来自接入交换机的流量，上行与核心交换机万兆互联，下行与接入交换机万兆互联。汇聚交换机采用HSC S6800-2C型三层交换机，每台交换机配2个固定40G以太网光接口，1个24端口万兆以太网光口+2端口40G以太网光口接口卡，2个交流电源模块。

接入层采用二层交换机，直接连接所有终端设备，上行连接汇聚交换机，设于各建筑弱电机房或楼层弱电间。部分建筑仅设置接入交换机，上行连接至联合建筑汇聚交换机。接入交换机提供网络终端的接入功能，通过划分VLAN来隔离各个业务部门。上行与汇聚交换机万兆互联，下行为用户提供千兆速率。同时接入交换机还需要给无线接入点提供PoE供电。接入交换机采用HSC S5130S-52(28)S-PWR-EI型三层交换机(工作在二层模式)，每台交换机配48(24)个10/100/1000BASE-T自适应以太网端口和4个万兆以太网光口。

链路设计采用“万兆骨干、万兆汇聚、千兆接入”，核心交换机与汇聚交换机之间、汇聚交换机与接入交换机之间均采用万兆链路，接入交换机实现用户的千兆接入。室外长距离线路均采用单模光缆。

矿井企业网拓扑图如图1所示。矿井网络节点布置见表1。

表1 矿井网络节点布置表(部分)

2 IP地址及VLAN规划

2.1 划分VLAN的方法

二层交换局域网中的计算机数量很多时，其中每一台计算机都随时可以发送一些广播报文。当这些报文过多的时候，整个网络就会被阻塞，这就是广播风暴问题。要解决广播风暴问题，实现在二层交换局域网中隔离广播的功能，可以使用VLAN技术。VLAN(虚拟局域网)技术可以把一个LAN划分为多个逻辑的VLAN，每个VLAN是一个广播域，不同VLAN间的设备不能直接互通，只能通过路由器和三层交换机等三层设备转发互通。这样，广播数据帧被限制在一个VLAN内[3]。

将汇聚交换机配置为三层交换机，接入交换机配置为二层交换机，接入交换机通过汇聚交换机实现VLAN间路由转发。联合建筑、办公楼等按部门和业务划分VLAN，公寓按楼层划分VLAN。汇聚交换机和核心交换机之间通过三层VLAN接口互联，需要占用一个VLAN。

接入交换机采用基于端口的VLAN划分方法，将端口加入到相关VLAN中。默认情况下，交换机存在一个默认的VLAN，即VALN1。默认所有端口都属于VLAN1。接入交换机将上联端口配置为Trunk端口，并允许相关VLAN通过。汇聚交换机上创建相关VLAN，将下联端口配置为Trunk端口，并允许相关VLAN通过。在汇聚交换机上还需要配置相关VLAN虚接口和IP地址[4]。

2.2 IP地址及VLAN规划

IP地址就是给互联网上的每一台主机(或三层设备)的每一个接口分配一个在全世界范围内唯一的32位标识符。在企业网中，内网IP地址一般不采用互联网上的公网IP地址，而是采用指定的私网IP地址。

每个IP地址被分为两部分：网络地址和主机地址。每个IP地址需要配置一个子网掩码，确定IP地址中哪一部分是网络地址，哪一部分是主机地址。

本矿企业网IP地址及VLAN分配方案：全网管理IP地址采用10.0.1.X/24网段，整个网段256个IP地址，采用设备默认的VLAN1；业务部门主机数量较多，划分为192.168.X.X/24的C类网段，每个网段256个IP地址，网关IP地址采用所在网段的主机号254，接入用户VLAN采用VLAN10、VLAN20、VLAN30……递进方式规划；设备之间的互联网段为了节省IP地址，划分为10.0.0.X/30的网段，每个网段4个IP地址[5，6]。

矿井企业网IP地址及VLAN规划见表2。

表2 矿井企业网IP地址及VLAN规划表(部分)

2.3 配置DHCP

局域网中手动配置静态IP地址任务繁琐，而且容易出错。汇聚交换机上使用DHCP为终端设备自动分配IP地址。DHCP(动态主机配置协议)用于为局域网中主机动态分配IP地址及相关信息，采用客户机/服务器模式，使用UDP协议工作。

汇聚交换机的DHCP配置方法：①开启DHCP服务；②配置给某VLAN分配IP地址的地址池；③配置地址池中的网段；④配置地址池中的网关列表；⑤配置分配给主机的DNS服务器地址；⑥配置地址的租期；⑦在系统视图下配置禁止分配的IP地址。DHCP会自动禁止将PC的网关地址(即VLAN接口地址)分配给用户[7]。

3 路由及互联网接入配置

3.1 路由配置

路由器(包括带有路由功能的三层交换机)负责将数据报文在IP网段之间进行转发。路由是指导路由器如何进行数据转发的路径信息。IP网段连通的前提是沿途每台路由器上都有到达目的网段的路由信息。路由器的路由表用来存储路由信息。路由表的来源包括：①直连路由，根据直连接口所在网段自动产生；②静态路由，手动配置到达每个目的网段的路由信息，配置和维护复杂，没有协议开销；③动态路由，通过路由协议从邻居自动学习路由信息，配置和维护简单，有协议开销。常见的动态路由协议包括：①RIP(路由信息协议)，收敛速度慢，最大跳数不超过16跳，网络规模受到限制；②OSPF(开放式最短路径优先)，克服了RIP的弱点，可以胜任中大型的网络环境；③BGP(边界网关协议)，是运营商(或城域网)之间使用的唯一协议。

本矿企业网使用OSPF协议来实现全网路由互通，仅配置一个骨干区域。在配置OSPF的时候，先在每台三层设备上都配置Router ID，接下来建立骨干区域并进入区域视图，在区域视图下加入属于该区域的接口网段[8-10]。

3.2 互联网接入配置

为了实现内网主机访问互联网的需求，互联网出口路由器上需要配置到互联网的默认路由，并引入到OSPF中。默认路由是一种特殊的路由。当数据在查找路由表时，没有找到和目标精确匹配的路由表项时，将采用默认路由。

NAT(网络地址转换) 是将IP数据报文头中的IP地址转换为另一个IP地址的过程。可以使用NAT将内网多个用户的私网IP转换为一个或多个公网IP，实现内网主机访问互联网的需求。这样既可以解决公网地址不够用的问题，也可以使外网看不到内网用户IP地址，保证内网的安全性。本矿企业网采用地址池的方式配置NAT。地址池是用于地址转换的一些连续的公网IP地址的集合。在地址转换的过程中，NAT设备将会从地址池中挑选一个IP地址作为数据报文转换后的源IP地址。在互联网出口路由器上配置NAT方法：创建NAT地址池，指明使用的地址范围；创建基本ACL，指明内网哪些网段可以接入互联网；在路由器接外网的接口出方向关联ACL规则，使用地址池下发NAT。

NAT Server(NAT内部服务器功能)通过静态配置“私网IP地址+端口号” 与“公网IP地址+端口号”间的映射关系，实现私网IP地址到公网IP地址的转换，实现外网访问内网服务器的需求。在互联网出口路由器上配置NAT Server方法：在路由器接外网的接口上创建NAT Server，使用协议为TCP，将内部地址的FTP、Web等服务器映射为公网IP，对外提供的服务类型为FTP、Web等[11-13]。

本矿企业网至集团开通中国移动数字专线100M实现联网。

4 网络安全设计

核心交换机和路由器采用IRF2(第二代智能弹性架构)技术，可以将二台相同的设备虚拟化为一台逻辑设备。IRF2通过路由热备份技术，在整个虚拟架构内实现控制平面和数据平面所有信息的冗余备份和无间断的三层转发，增强了虚拟架构的可靠性和高性能，同时消除了单点故障，避免了业务中断；通过分布式跨设备链路聚合技术，实现多条上行链路的负载分担和互为备份，从而提高整个网络架构的冗余性和链路资源的利用率；整个弹性架构共用一个IP管理，简化网络设备管理，简化网络拓扑管理，提高运营效率，降低维护成本。

每台核心交换机、路由器的主控板、电源、风扇均采用冗余设计，可提升设备整体可靠性。每台汇聚交换机采用双上行链路连接至核心交换机，任何一条链路故障都不会造成网络中断。

企业网建设1套网络管理综合平台，在统一平台上对网络核心设备、汇聚交换机、接入交换机、无线网络等进行实时的监控管理，及时发现网络运行中的安全隐患，提高整个系统的可靠性和稳定性。该平台包括基础资源管理、无线业务管理、终端准入管理、流量分析、上网行为管理等功能[14，15]。

在核心交换机上配置ACL实现公寓的所有终端不能访问办公楼和联合建筑的终端。ACL(访问控制列表)是一或多条规则的集合，用于识别报文流。这里的规则是指描述报文匹配条件的判断语句，匹配条件可以是报文的源地址、目的地址、端口号等。配置ACL实现包过滤时，需要首先配置ACL，通过规则确定哪些报文需要被过滤；然后再在设备端口上下发ACL，以使包过滤生效。

企业网和工业网之间部署网闸，采用2台H3C SecPath GAP2000安全隔离与信息交换系统，保证工业网的网络安全。企业网和外网之间部署防火墙，采用2台H3C SecPath M9010多业务安全网关，工作在透明模式，保证企业网的网络安全。多业务安全网关提供全面的应用层流量识别与管理，能精确的检测Thunder、QQ、MSN、PPLive等P2P/IM/网络游戏/炒股/网络视频/网络多媒体等应用，同时可提供不同的控制策略，实现灵活的P2P流量控制。出口路由器具备丰富QOS特性，为关键业务提供重点的带宽保证。

5 结 语

本文介绍了小保当矿井企业网的设计。目前，企业网已基本覆盖地面工业场地主要建筑，能够满足矿井安全生产管理系统、视频会议系统、办公自动化系统、企业ERP系统、Internet上网的网络传输要求，提高了矿井安全生产管理水平，取得了良好的经济效益和社会效益。