姚鹍鵬+周宇

摘要：高速鐵路自然災(zāi)害及異物侵限監(jiān)測系統(tǒng)（以下簡稱災(zāi)害監(jiān)測系統(tǒng)）是鐵路安全保障的重要組成部分，對安全性、穩(wěn)定性的要求很高，而其安全性、穩(wěn)定性的實現(xiàn)又很大程度上依賴于其網(wǎng)絡(luò)子系統(tǒng)。現(xiàn)有災(zāi)害監(jiān)測系統(tǒng)網(wǎng)絡(luò)方案沒有對各個組成部分進行說明，當出現(xiàn)網(wǎng)絡(luò)故障時，不易分析和定位問題。

關(guān)鍵詞：網(wǎng)絡(luò)優(yōu)化；設(shè)計分析；網(wǎng)絡(luò)技術(shù)指標

中圖分類號：TP393 文獻標識碼：A 文章編號：1009-3044（2016）34-0064-04

本文緊密結(jié)合鐵路自然災(zāi)害及異物侵限監(jiān)測系統(tǒng)的業(yè)務(wù)需求及鐵路通信系統(tǒng)現(xiàn)狀，靈活利用現(xiàn)有技術(shù)手段，形成一套安全、可靠、合理、易于實施的網(wǎng)絡(luò)建設(shè)優(yōu)化方案。

本文主要結(jié)合災(zāi)害監(jiān)測系統(tǒng)網(wǎng)絡(luò)現(xiàn)狀，從廣域網(wǎng)通信技術(shù)，網(wǎng)絡(luò)拓撲結(jié)構(gòu)和網(wǎng)絡(luò)安全幾個方面入手進行分析，對現(xiàn)有網(wǎng)絡(luò)方案進行了設(shè)計優(yōu)化，提出優(yōu)化方案，并給出相應(yīng)的網(wǎng)絡(luò)技術(shù)指標。

1既有系統(tǒng)網(wǎng)絡(luò)情況

災(zāi)害監(jiān)測系統(tǒng)包括現(xiàn)場監(jiān)測設(shè)備，監(jiān)控數(shù)據(jù)處理設(shè)備和終端設(shè)備，網(wǎng)絡(luò)結(jié)構(gòu)也包括了這幾個層次。根據(jù)對既有線路的網(wǎng)絡(luò)情況調(diào)研，如廈深線，溫福線，滬昆客專江西段等，發(fā)現(xiàn)如下問題：

? 各線路網(wǎng)絡(luò)方案各異，無網(wǎng)絡(luò)架構(gòu)規(guī)范；

? 網(wǎng)絡(luò)指標不明確；

? 缺乏有效的網(wǎng)絡(luò)安全防護手段；

? 網(wǎng)絡(luò)質(zhì)量無法監(jiān)控，出現(xiàn)故障不易定位；

2網(wǎng)絡(luò)方案設(shè)計分析

2.1廣域網(wǎng)通信技術(shù)選擇

鐵路自然災(zāi)害及異物侵限監(jiān)測廣域網(wǎng)包括線路數(shù)據(jù)處理中心與基站、終端、路局中心、相鄰線路中心之間的網(wǎng)絡(luò)通信設(shè)備及線路。從統(tǒng)一建設(shè)、集中維護、節(jié)省投資等多方面考慮，自然災(zāi)害及異物侵限監(jiān)測網(wǎng)絡(luò)應(yīng)充分利用既有鐵路通信專網(wǎng)資源進行構(gòu)建。目前可供選擇鐵路通信平臺主要有SDH（同步數(shù)字體系）、MSTP（多業(yè)務(wù)傳送平臺）、IP數(shù)據(jù)網(wǎng)、工業(yè)級IP光纖環(huán)網(wǎng)四種。

從業(yè)務(wù)容量來講，以上幾種通信網(wǎng)絡(luò)都可以滿足本系統(tǒng)的需求；從安全性來講，IP數(shù)據(jù)網(wǎng)不適宜；從可靠性上來講，除IP數(shù)據(jù)網(wǎng)以外，都有類似環(huán)形的保護機制和低延遲切換機制；從性價比來看，工業(yè)級IP光纖環(huán)網(wǎng)投資性價比較低，且本系統(tǒng)不能夠與其共用網(wǎng)絡(luò)。因此，本系統(tǒng)不適宜采用IP數(shù)據(jù)網(wǎng)和工業(yè)級IP光纖環(huán)網(wǎng)進行構(gòu)建。

相比SDH，MSTP技術(shù)顯然更適合本系統(tǒng)。因此，應(yīng)優(yōu)先采用MSTP方式來構(gòu)建。在不具備MSTP接入條件的情況下，可采用SDH方式。

2.2網(wǎng)絡(luò)拓撲結(jié)構(gòu)設(shè)計

2.2.1災(zāi)害監(jiān)測系統(tǒng)組網(wǎng)方案

目前，已開通的高速鐵路災(zāi)害監(jiān)測系統(tǒng)均采用以太網(wǎng)技術(shù)組網(wǎng)，以多業(yè)務(wù)傳送節(jié)點（MSTP）傳輸系統(tǒng)作為信息承載平臺，其通信組網(wǎng)方案主要有環(huán)型、星型和樹型 3 種結(jié)構(gòu)。

環(huán)型網(wǎng)的組網(wǎng)原理是利用MSTP傳輸設(shè)備的二層交換功能在每個網(wǎng)元以太網(wǎng)業(yè)務(wù)處理板的二層交換模塊中建立虛擬網(wǎng)橋，利用虛擬網(wǎng)橋互連組建環(huán)型網(wǎng)絡(luò)， 星型網(wǎng)是最簡單的組網(wǎng)方式，它利用以太網(wǎng)私有專線（EPL）方式在現(xiàn)場監(jiān)控設(shè)備和監(jiān)控數(shù)據(jù)處理設(shè)備間建立一個點對點的網(wǎng)絡(luò)。

樹型網(wǎng)采用 EPL與EVPL（以太網(wǎng)虛擬私有專線）相結(jié)合，分層匯聚收斂的方式傳送防災(zāi)安全監(jiān)控系統(tǒng)信息，構(gòu)成一個邏輯上是星型但物理上是樹形的網(wǎng)絡(luò)， 通過前面的分析可知，3 種組網(wǎng)方案各有優(yōu)缺點，如表1 所示。

2.2.2匯聚車站與中心網(wǎng)絡(luò)構(gòu)架方案

線路處理中心與匯聚車站是典型的一對多通信模型，適合用MSTP網(wǎng)絡(luò)承載?？紤]到MSTP在物理線路上具有完善的環(huán)網(wǎng)保護功能，并可以增加基于MSTP的二層環(huán)網(wǎng)保護。這樣整個網(wǎng)絡(luò)中存在兩套冗余機制，完全可以滿足系統(tǒng)對網(wǎng)絡(luò)平臺安全性的要求。

線路處理中心與基站間的內(nèi)部邏輯架構(gòu)建議采用雙星型和雙環(huán)型兩種方式：

2.2.3線路中心之間網(wǎng)絡(luò)構(gòu)架方案

線路中心之間組網(wǎng)方案取決于業(yè)務(wù)需求。假設(shè)有A1、A2、A3、…An共n個線路中心，這n個線路中心可能有數(shù)據(jù)交互，也可能沒有數(shù)據(jù)交互。如只有兩個線路中心，可以使用MSTP點到點模式直接組建直連雙網(wǎng)，如有兩個以上線路中心進行互聯(lián)，則建議采用網(wǎng)絡(luò)通道采用網(wǎng)狀或部分網(wǎng)狀構(gòu)建，帶寬根據(jù)業(yè)務(wù)需要設(shè)計。

2.2.4路局中心與線路中心之間網(wǎng)絡(luò)構(gòu)架方案

路局中心集中接入各個線路中心，以實現(xiàn)統(tǒng)一調(diào)度和管理。網(wǎng)絡(luò)架構(gòu)采用MSTP構(gòu)建雙網(wǎng)，如果線路中心相對獨立，可以直接點對點接入路局中心；如有多個線路中心需要數(shù)據(jù)交互的情況，則可采用網(wǎng)狀或部分網(wǎng)狀架構(gòu)。網(wǎng)絡(luò)帶寬依據(jù)所接入的業(yè)務(wù)需求進行設(shè)計即可。

2.3局域網(wǎng)安全設(shè)計

網(wǎng)絡(luò)安全設(shè)計主要從防火墻技術(shù)、入侵檢測技術(shù)、網(wǎng)絡(luò)隔離技術(shù)幾個方面考慮，設(shè)計網(wǎng)絡(luò)安全方案。

在不同線路中心之間、局中心和線路中心之間、本系統(tǒng)和其他系統(tǒng)之間等邊界接口處，應(yīng)采用硬件防火墻進行數(shù)據(jù)訪問控制。通過在防火墻上部署相應(yīng)安全策略，阻斷未經(jīng)允許和授權(quán)的非法訪問，來保證邊界訪問安全。

在同一系統(tǒng)內(nèi)部，主要考慮線路數(shù)據(jù)處理中心與基站、終端之間的訪問控制、隔離及相關(guān)防病毒措施，具體如下：

1） 為減小廣播風暴的影響范圍，采用了vlan隔離技術(shù)。

2） 服務(wù)器、終端、監(jiān)控主機都啟用了操作系統(tǒng)自帶的防火墻功能，通過合理的策略設(shè)置，來禁止系統(tǒng)內(nèi)部的非法訪問。

3） 服務(wù)器和各終端均部署防病毒殺毒軟件，并開啟威脅實時防護功能，一旦感知到有病毒威脅，則自動采取掃描、隔離、清除等措施，確保病毒無法感染、傳播；另外，需定期下載安裝最新病毒庫，并進行全盤掃描。

4） 各個網(wǎng)絡(luò)接口處考慮網(wǎng)口防雷方案。

3網(wǎng)絡(luò)優(yōu)化方案以及技術(shù)指標

3.1數(shù)據(jù)處理中心網(wǎng)絡(luò)方案

3.1.1廣域網(wǎng)

廣域網(wǎng)采用雙網(wǎng)冗余架構(gòu)，并采用延遲小、保護特性完備的傳輸專網(wǎng)通道，接口為RJ45。終端至數(shù)據(jù)處理中心廣域網(wǎng)采用點對點、雙網(wǎng)結(jié)構(gòu)，基站至數(shù)據(jù)處理中心廣域網(wǎng)采用雙網(wǎng)、MSTP 點到多點以太網(wǎng)匯聚架構(gòu)。

應(yīng)優(yōu)先采用MSTP方式來構(gòu)建。在不具備MSTP接入條件的情況下，可采用SDH方式。

3.1.2局域網(wǎng)

局域網(wǎng)采用雙網(wǎng)冗余架構(gòu)：數(shù)據(jù)處理中心采用2臺三層核心交換機，組成A、B兩套網(wǎng)絡(luò)；數(shù)據(jù)處理中心的服務(wù)器配置A、B兩塊網(wǎng)卡（地址也分為A、B兩套，每個網(wǎng)卡上配置一套），分別上聯(lián)至2臺核心交換機上；監(jiān)控終端同樣配置雙網(wǎng)卡，分別通過2條通信通道連接至數(shù)據(jù)處理中心的2臺核心交換機。同時，數(shù)據(jù)庫服務(wù)器和應(yīng)用服務(wù)器采用雙機集群配置，監(jiān)控軟件采用雙收雙發(fā)策略。這樣，當其中任意服務(wù)器、交換機、網(wǎng)卡、應(yīng)用軟件發(fā)生單點故障時，都能保證業(yè)務(wù)不中斷，最大限度地保證了系統(tǒng)的高可用性。

數(shù)據(jù)處理中心的主要設(shè)備連接圖如圖3所示：

3.2網(wǎng)絡(luò)拓撲結(jié)構(gòu)方案

通過前面的分析可知，3 種組網(wǎng)方案各有優(yōu)缺點，如表2 所示。

根據(jù)以上分析，網(wǎng)絡(luò)拓撲結(jié)構(gòu)的設(shè)計方案優(yōu)先考慮樹形結(jié)構(gòu)。

匯聚車站與中心的網(wǎng)絡(luò)架構(gòu)建議采用雙星型和雙環(huán)型兩種方式。

線路中心之間、路局中心與線路中心之間建議采用網(wǎng)狀或部分網(wǎng)狀構(gòu)建，帶寬根據(jù)業(yè)務(wù)需要設(shè)計。

3.3網(wǎng)絡(luò)示意圖

通過以上的分析和設(shè)計，形成鐵路自然災(zāi)害及異物侵限監(jiān)測系統(tǒng)的網(wǎng)絡(luò)示意圖，具體如下：

3.4網(wǎng)絡(luò)安全優(yōu)化設(shè)計

3.4.1廣播風暴的抑制

解決廣播風暴需要從監(jiān)控和管理兩個方面進行解決。

1）保證網(wǎng)絡(luò)設(shè)備及線纜質(zhì)量

在資金允許的條件下使用較高檔次的網(wǎng)絡(luò)設(shè)備及線纜，保證網(wǎng)絡(luò)通信質(zhì)量。從硬件上減少故障發(fā)生機率。

2）避免出現(xiàn)環(huán)路

優(yōu)先使用星型、樹形的網(wǎng)絡(luò)拓撲結(jié)構(gòu)。

3）做好惡意軟件的防控工作

應(yīng)部署專業(yè)的殺毒軟件，并及時進行病毒庫；原則上應(yīng)2周升級一次病毒庫；加強日常病毒管理和查殺；嚴格控制U盤和光盤等高風險移動介質(zhì)的使用。主機應(yīng)卸載不必要的服務(wù)、關(guān)閉不必要的端口，以最大限度地減少漏洞，提高系統(tǒng)的安全性和可靠性。

4）充分利用網(wǎng)管軟件和工具進行監(jiān)控和定位

應(yīng)使用網(wǎng)絡(luò)管理軟件，對整個網(wǎng)絡(luò)運行狀況進行定期有效監(jiān)控，故障時可迅速定位故障源頭。

5）采用VLAN技術(shù)

VLAN是一種將局域網(wǎng)從邏輯上劃分成一個個網(wǎng)段，從而實現(xiàn)虛擬工作組的數(shù)據(jù)交換技術(shù)。VLAN不能消除廣播風暴，但可以有效地隔離廣播包的傳播，限制和縮小廣播風暴的影響范圍，因此在工程中得到了廣泛應(yīng)用。它通過在以太網(wǎng)數(shù)據(jù)幀基礎(chǔ)上增加的VLAN ID字段，實現(xiàn)了把物理交換機劃分成若干個不同的邏輯交換機的功能。

按照實現(xiàn)方法的不同，可以分為基于交換機端口的VLAN、基于計算機MAC地址的VLAN和基于IP地址的VLAN三類。

在災(zāi)害監(jiān)測系統(tǒng)中應(yīng)綜合使用前兩種方式進行VLAN劃分。

3.4.2 ARP欺騙的優(yōu)化及解決

ARP（Address Resolution Protocol，地址解析協(xié)議）是一個位于TCP/IP協(xié)議棧中的底層協(xié)議，對應(yīng)于數(shù)據(jù)鏈路層，基本功能就是將網(wǎng)絡(luò)層（IP層，也就是相當于OSI的第三層）地址解析為數(shù)據(jù)連接層（MAC層，也就是相當于OSI的第二層）的MAC地址，以保證通信的進行。

ARP自身存在著很多安全缺陷，因此成為網(wǎng)絡(luò)攻擊的主要目標之一。

為避免ARP攻擊帶來的危害，一方面可利用殺毒軟件進行ARP病毒的查殺；另一方面，可綜合利用交換機設(shè)備提供的多種ARP安全特性（如ARP報文限速、ARP Miss消息限速、ARP嚴格學習、ARP表項限制、ARP表項固化、動態(tài)ARP檢測等），對ARP的攻擊進行防范、檢測和應(yīng)對，從而屏蔽ARP攻擊，保障網(wǎng)絡(luò)設(shè)備的安全運行。

上述安全策略各有側(cè)重點，但大多可以互相疊加、協(xié)同生效，可根據(jù)應(yīng)用場景特點及設(shè)備特性靈活配置。

3.5網(wǎng)絡(luò)技術(shù)指標

1） 應(yīng)優(yōu)先采用MSTP方式來構(gòu)建。在不具備MSTP接入條件的情況下，可采用SDH方式。

2） 災(zāi)害監(jiān)測系統(tǒng)網(wǎng)絡(luò)拓撲結(jié)構(gòu)宜星型、樹型的方式來組網(wǎng)。

3） 對于監(jiān)測點數(shù)量多，分散廣，數(shù)據(jù)量小的子系統(tǒng)（如氣象監(jiān)測、異物監(jiān)測），考慮到帶寬容量和控制以太網(wǎng)廣播域大小，為合理節(jié)省通信資源，建議優(yōu)先采用雙環(huán)型結(jié)構(gòu)，每個2M環(huán)內(nèi)不宜超過10個基站。對于監(jiān)測點較少、數(shù)據(jù)量較大的子系統(tǒng)（如地震），可優(yōu)先按照雙星型考慮，每個監(jiān)測點獨享一個2M通道。

4） 災(zāi)害監(jiān)測系統(tǒng)監(jiān)控數(shù)據(jù)處理設(shè)備處的核心網(wǎng)絡(luò)交換機采用知名品牌，并按照雙路供電配置。

5） 在不同線路中心之間、局中心和線路中心之間、本系統(tǒng)和其他系統(tǒng)之間等邊界接口處，應(yīng)采用硬件防火墻進行數(shù)據(jù)訪問控制。

6） 設(shè)備互聯(lián)網(wǎng)線通過室外環(huán)境需考慮防雷方案，室內(nèi)網(wǎng)線布設(shè)距離大于50m時需考慮防雷方案。易發(fā)生雷雨天氣地區(qū)在監(jiān)控單元接入網(wǎng)絡(luò)前需考慮防雷方案。

7） 服務(wù)器和各終端均部署防病毒殺毒軟件，并開啟威脅實時防護功能，一旦感知到有病毒威脅，則自動采取掃描、隔離、清除等措施，確保病毒無法感染、傳播；另外，需定期下載安裝最新病毒庫，并進行全盤掃描

8） 災(zāi)害監(jiān)測系統(tǒng)內(nèi)設(shè)備IP根據(jù)統(tǒng)一的規(guī)范設(shè)置。

9） 害監(jiān)測系統(tǒng)建設(shè)需考慮完備的網(wǎng)絡(luò)監(jiān)控方案。

參考文獻：

[1] 鐵總建設(shè).86號鐵路自然災(zāi)害及異物侵限監(jiān)測系統(tǒng)工程[Z].設(shè)計暫行規(guī)定，2013.

[2] 鐵總運.146號高速鐵路自然災(zāi)害及異物侵限監(jiān)測系統(tǒng)鐵路局中心系統(tǒng)總體方案（暫行） [Z].2014.

[3] TJ/XX003-.高速鐵路自然災(zāi)害及異物侵限監(jiān)測系統(tǒng)鐵路局中心系統(tǒng)暫行技術(shù)條件[Z].2015.

[4] TJ/GW088.高速鐵路自然災(zāi)害及異物侵限監(jiān)測系統(tǒng)總體技術(shù)方案（暫行）的通知[Z].2013.