戴 元

(東北空管局通信網絡中心計算機室，遼寧 沈陽 110043)

民航空管寬帶網優(yōu)化改造研究

戴 元

(東北空管局通信網絡中心計算機室，遼寧 沈陽 110043)

文章對民航東北空管局寬帶網系統(tǒng)存在的問題進行分析，探討如何對網絡進行優(yōu)化和改造，使之不斷適應新的發(fā)展需要。

網絡改造；網絡安全；OSPF

（一）引言

民航東北空管局通信網絡中心于 2000年起開展寬帶業(yè)務，網絡初期規(guī)模不大，近幾年寬帶用戶數量快速增長，導致網絡處于超負荷運轉狀態(tài)。用戶網速慢、容易掉線等問題不斷增多，網絡運行質量不斷下降。因此，如何對網絡進行有效的優(yōu)化改造，使之成為一個安全、可靠、穩(wěn)定、架構合理、易于管理、能夠適應未來發(fā)展需要的寬帶網絡，是文章重點研究的問題。

（二）網絡現(xiàn)狀及分析

網絡采用星型結構設計，覆蓋東塔、桃仙、長青三個園區(qū)，初期設計規(guī)模為500用戶。核心層采用兩臺華為MA 5200交換機，實現(xiàn)用戶認證和授權。匯聚層采用三臺華為6503交換機，用于匯聚各園區(qū)網絡。接入層采用多臺華為5100 DSLAM交換機，用于連接寬帶用戶終端。出口層采用一臺CISCO PIX 535防火墻，分別連接電信和聯(lián)通兩個不同運營商，網絡出口帶寬共計200M。

隨著近幾年寬帶業(yè)務的快速發(fā)展，用戶數量目前已超過2000人，原有網絡已無法滿足需要，主要表現(xiàn)在以下幾個方面：

1.網絡核心設備處理能力不足，長期處于超負荷運轉狀態(tài)。

2.網絡骨干設備之間均采用百兆線路連接，帶寬資源嚴重不足，存在傳輸瓶頸。

3.網絡管理人員由于缺少有效的監(jiān)測和控制手段，無法對P2P流量和私接路由器等現(xiàn)象進行有效控制。

4.出口防火墻承擔安全防護、地址轉換和路由選擇等多項任務，負擔較重，且存在單點故障隱患，一旦發(fā)生故障，將影響到整個網絡的正常運行。

5.部分設備端口數量已基本飽和，擴展能力不足，無法滿足未來的發(fā)展需要。

6.網絡維護人員缺少必要的監(jiān)視手段，無法在第一時間獲取整個網絡的運行狀態(tài)，增加了處理故障、定位故障的難度。

7.用戶設備與網絡設備使用同一網段，一旦遭受網絡攻擊，將影響整個網絡。

（三）網絡優(yōu)化改造目標及策略

1.網絡優(yōu)化改造目標

從調整網絡結構、提高帶寬利用率、優(yōu)化網絡配置、改善網絡安全等多方面入手，將網絡改造成一個安全、可靠、穩(wěn)定、架構合理、易于管理的寬帶網絡，消除潛在隱患，使之適應未來的發(fā)展需要。

2.網絡優(yōu)化改造策略

（1）將網絡結構改造為雙星型結構，對核心設備、骨干鏈路采用冗余設計，確保單個設備、鏈路出現(xiàn)故障時，整個網絡仍能夠繼續(xù)平穩(wěn)運行。

（2）在核心交換機與各園區(qū)的匯聚層設備之間運行OSPF動態(tài)路由協(xié)議，以提高網絡的可靠性和穩(wěn)定性。

（3）將網絡骨干鏈路帶寬提升到千兆，滿足寬帶用戶對未來網絡高帶寬的需求，解決網絡內部瓶頸。

（4）網絡優(yōu)化改造應從實際出發(fā)，在增加新設備時充分考慮對舊設備的投資保護，盡量避免擱置設備情況的發(fā)生，最大限度保護投資。

（5）整個網絡應便于管理、配置和調整，網絡出現(xiàn)故障時，管理人員能夠快速定位故障、排除故障。

（6）按照分區(qū)防護和分層防護原則將網絡劃分為不同的安全區(qū)域，結合各種安全保護因素，有效地增加系統(tǒng)的安全防護縱深，全面提高網絡安全防護能力。

（7）網絡的優(yōu)化改造應充分考慮到網絡的擴展能力，最大限度滿足未來的發(fā)展需要。

（四）網絡優(yōu)化改造方案

1.改造核心設備

新增兩臺高性能交換機作為全網的核心設備，用于連接各園區(qū)匯聚層設備、出口防火墻及BRAS設備，實現(xiàn)全網的數據交換和路由選擇。為確保設備在發(fā)生故障時能在最短時間內恢復，建議為兩臺核心交換機配置雙引擎、雙電源，最大限度避免因單點故障引起的網絡癱瘓。同時，通過在網絡中采用VRRP 技術，實現(xiàn)網絡的自動備份和負載均衡，提高網絡的安全性和可靠性。

2.提高網絡帶寬

將網絡主干線路改造為雙鏈路，通過 STP技術實現(xiàn)鏈路冗余管理，確保當主用鏈路出現(xiàn)故障時，能夠自動切換到備份鏈路，確保網絡不間斷運行。為解決網絡內部瓶頸，建議將主干線路帶寬提升至千兆，對于個別無法實現(xiàn)千兆連接的鏈路，可以考慮采用多條百兆鏈路捆綁的方式盡可能提高帶寬。

3.改造網絡出口

將網絡出口帶寬由現(xiàn)在的200M提高至600M，以緩解網絡外部壓力。原有 PIX 535防火墻由于端口數量有限，已無法滿足現(xiàn)有業(yè)務需要。建議新購置兩臺高性能防火墻替代原有設備，分別連接兩個運營商，實現(xiàn)冗余備份。在核心交換機上配置策略路由，根據用戶訪問目標網站的源地址，自動選擇相應的網絡出口，實現(xiàn)網絡自由擇路功能。

4.規(guī)劃網絡地址

按照簡單、連續(xù)、可管理等原則，對全網的網絡地址重新進行規(guī)劃，減少網絡負荷。為網絡設備與用戶設備分別劃分不同的網絡地址段，并采用VLSM技術，有效提高網絡地址的利用效率。網絡地址的規(guī)劃還應充分考慮未來網絡發(fā)展的需要，預留相應的網絡地址段，為以后的網絡擴展打下良好的基礎。

5.管理網絡流量

增加一臺業(yè)務監(jiān)控網關，旁掛在兩臺核心交換機上，與出口防火墻進行聯(lián)動，實現(xiàn)對 P2P流量和私接路由器現(xiàn)象的有效控制，確保帶寬能夠得到充分利用。部署認證計費系統(tǒng)，實現(xiàn)對寬帶接入用戶的安全認證、授權和計費管理。根據不同的接入方式，為用戶配置相應的計費策略、安全控制策略和流量控制策略，合理分配寬帶資源，提高網絡的使用效率。

6.增加監(jiān)控手段

建立網絡監(jiān)控系統(tǒng)，對全網核心設備的 CPU利用率、內存利用率、吞吐量、端口的丟包率等重點指標加以監(jiān)控，使網絡管理人員能夠實時了解全網設備、鏈路的運行狀態(tài)。通過預先設定的告警閾值，對檢測出的重要事件進行預警，為網絡管理人員快速采取應對措施提供依據，從而提高網絡運維的整體水平。

7.提高網絡安全防護全能力

為提高網絡的安全性和穩(wěn)定性，建議在接入層設備配置靜態(tài)路由，然后將靜態(tài)路由重分布到OSPF路由中。同時，在每個接入層設備上采用二層隔離技術，即每個下聯(lián)端口都只能與上行端口通信，而下聯(lián)端口之間不允許互相通信，使被隔離端口之間不會產生單播、廣播和組播，從而有效控制廣播風暴產生的可能性，避免終端用戶間的病毒傳播，提高網絡安全綜合防護能力。

8.加強網絡行為管理

根據《中華人民共和國計算機信息系統(tǒng)安全保護條例》、《中華人民共和國計算機信息網絡國際聯(lián)網管理暫行規(guī)定》等法律法規(guī)的有關要求，對網內用戶的上網行為進行記錄、控制和管理，使網絡的使用更加有序、可控，防止非法、反動、不健康等言論內容在網絡中傳播，最大限度減少網絡安全所帶來的損失。

（五）結束語

本文分析了民航東北空管局通信網絡中心寬帶網系統(tǒng)運行中存在的問題，提出了網絡優(yōu)化改造方案。相信經過有計劃、有針對性的網絡改造后，可以有效提升網絡的運行能力，提高系統(tǒng)的安全性和可靠性，消除潛在隱患，從而為東北空管局通信網絡中心更好地開展寬帶業(yè)務打下堅實的基礎。

[1]謝金星,邢文訓,王振波.網絡優(yōu)化[M].北京:清華大學出版社,2009.

[2]劉芳.網絡流量監(jiān)測與控制[M].北京:北京郵電大學出版社,2009.

[3]湯銘潭,唐叔湛.城域與社區(qū)寬帶網規(guī)劃概論[M].北京:中國建筑工業(yè)出版社，2010.

[4]李文璟,王智立.網絡管理原理及技術[M].北京:人民郵電出版社,2008.

TN915.08

A

1008-1151(2011)04-0050-02

2011-01-18

戴元（1979－），男，民航東北地區(qū)空中交通管理局通信網絡中心計算機室工程師。