南宁铁路局通道整合项目(二期)

  一、项目背景

  南宁铁路局TMIS网络自90年代开始建设,历经10年,逐步形成了连接铁道部-铁路局-主要站段的网络,承载着全局铁路运输组织、货运营销、经营管理三大领域中30余个重要应用系统,是南宁铁路局信息系统不可替代的综合信息承载网和铁路信息化的数字神经,实际上南宁局TMIS网络已经演变成为南宁局综合IT网络。

  二、网络现状

  目前南宁铁路局的TMIS网络为星型结构,铁路局到基层站段之间的通道带宽主要为2M直连铁路局,但还有相当部分信息源点仍在使用64K或9.6K传输速率,甚至有些单位还在采用电话拨号联网。

  除TMIS网外,南宁局还存在运输调度指挥管理系统(TDCS)、客票发售与预定系统、铁路公安信息系统、资金结算系统、信号微机监测系统、电力远动系统、水电监控系统等各专用网络,各自租用网络通道。另外机务信息系统、车辆KMIS、HMIS、红外轴温探测系统、财务管理信息系统等网络在路局到部的通道使用TMIS网络传输数据。

  南宁局网络总体架构由核心层、汇聚层、接入层三级构成,设置一级、二级、三级节点。

  三、网络设计方案

  3.1 拓扑结构

  

图片17.png


  3.2 网络带宽设计

  核心层一级节点是南宁局网络中心,物理位置在局信息技术所中心机房。通过对现有TMIS网络改造,形成上联铁道部,下接二级节点的网络。南宁网络中心到铁道部带宽设计为8M。

  网络中心到二级节点设置两条通道,分为主用通道和备用通道,主用通道设计为到柳州34M,预留155M能力;

  二级节点到三级节点也设置两条通道,分为主用通道和备用通道,主用通道为4M,并预留8M能力,备用通道设计均为2M。

  三级节点到基层单位带宽均为2M,预留增加多条2M的扩展能力。

  3.3 公网路由协议规划

  全局路由可采用OSPF协议。OSPF域的划分以三级节点为基础,骨干层做为Area X 0,每个二、三级节点到基层单位划为一个域,共划分为18个域,具体方案如下图所示:

  

图片16.png


  3.4 VPN划分

  公共、生产、财务、办公、预留VPN。

  3.5 MPLS/VPN中的路由规划

  在MPLS/VPN网络中,一级网络CISCO 7609,二级网络CISCO7606和CISCO 7206,三级网络H3C MSR5060,基层网络中H3C MSR3011F和CISCO 2811均担任PE的角色。所有PE设备之间运行IBGP路由协议交互VPN路由信息。

  3.6 MPLS/VPN中的VPN规划

  原则上,将目前每个独立成网的应用系统作为一个独立的VPN,各个VPN形成自己独立的路由机制,各系统之间安全隔离。各个VPN分为不同等级,提供不同的服务质量。

  3.7 VPN的互通和隔离

  接入层本地VPN接入CE设备采用的是2层交换机,因此不同VPN可以通过2层VLAN进行本地隔离,在MPLS PE设备上为每个VPN维护一张单独的路由表,防止了不同VPN路由的相互泄漏,同一VPN的各个site可以互通,不同VPN site之间相互隔离。但汇聚和核心层VPN接入CE设备采用的是三层交换机,在三层交换机上配置VLAN虚接口后,各个VLAN是互通的,为了使得各个VPN在本地隔离,因此在汇聚层和骨干层的本地接入交换机上需要启用ACL(访问控制列表),禁止几个本地VLAN(VPN)之间的互访。

  四、解决方案特点

  4.1. QoS策略保证

  南宁铁路局网络中,主要有生产、办公、公共、财务等。根据实际网络技术实现及已有的网络经验,采用Differ Serv体系进行QoS的部署。

  在每个节点的路由器的以太网入口处,针对不同的业务类型对数据包进行分类,并分配不同的Ip Precedence,将生产作为EF业务(即保证带宽,又保证时延)、财务和网管业务作为AF业务(主要保证带宽,时延要大于EF业务)、其它业务作为BE业务(既不保证带宽,也不保证时延)。在每个广域网出口处,通过1个LLQ队列技术,根据Ip Precedence来实现拥塞管理。并在核心网络设备上采用WRED等技术避免拥塞造成的关键数据丢失,通过以上几个方面的技术配合使用,可以充分保证网络中的IP QoS。

  4.2. 合理的带宽分配

  在网络没有发生拥塞的情况下,生产业务、财务数据、办公业务、网管业务等业务运行在各自的队列中,相互之间不存在带宽竞争关系。当链路发生拥塞时,多种业务之间便形成带宽竞争。为了确保关键业务在任何链路条件下都能优先得到服务,全网采用统一的QoS策略,根据每级网络之间互联带宽的不同,分别分配带宽比例。

  4.3. 安全性保障

  铁路计算机网络安全项目针对安全级别不同的资源,实施了多层次、多点的访问控制;包括:PKI/CA数字证书、统一用户管理、部署骨干网核心交换机并启用有关安全功能、外网防火墙、内网防火墙、访问控制服务器、代理、认证授权、病毒网关、日志分析、构建PKI/CA公钥基础设施、动态网络强隔离系统、用户身份认证和授权管理系统、跨域的认证、安全漫游单点登录、病毒防范体系、网络流量和带宽控制体系、虚拟专网、应用系统安全体系、访问审计系统等。本工程充分利用已有的网络安全体系和有关设备,遵照全路统一安全策略,对网络安全进行部署,保证改造后的网路实现全路网络安全要求。

  4.4. 便于管理

  南宁铁路局网络将在广西电网调度中心建立一套全省网管中心系统(对这个网络的设备进行设备管理),全省网管中心全面负责全省骨干网的管理,能采集全省骨干网上的全部信息,并能对全省骨干网中的所有设备进行监视和控制,包括网络中P、PE设备的管理。由于调度数据网络本身的调度数据流量和网管数据流量较少,所以采用带内网管方式。网管要管理到包括接入层2层交换机在内的CE设备,在建立设备网管的同时建立一套VPN网管。


2016年01月

本期文章