齊連旭 吳瓊瑛

（遼寧鐵法能源有限責(zé)任公司，遼寧 調(diào)兵山 112700）

1 項(xiàng)目建設(shè)背景

鐵法能源公司從2000年開始就進(jìn)行信息化網(wǎng)絡(luò)的建設(shè)工作，網(wǎng)絡(luò)的范圍覆蓋鐵法能源公司信息化建設(shè)的各個(gè)部門，以支持企業(yè)信息化建設(shè)的所有業(yè)務(wù)數(shù)據(jù)流在網(wǎng)上高速暢通運(yùn)行。隨著網(wǎng)絡(luò)應(yīng)用的不斷延伸，在2006年針對網(wǎng)絡(luò)進(jìn)行大規(guī)模升級改造，更換了原有的落后核心設(shè)備，將網(wǎng)絡(luò)結(jié)構(gòu)重新規(guī)劃，增加各信息化節(jié)點(diǎn)IP儲(chǔ)備量，縮小沖突域，同時(shí)將網(wǎng)絡(luò)路由協(xié)議由靜態(tài)轉(zhuǎn)為動(dòng)態(tài)，為下一步的環(huán)網(wǎng)建設(shè)做鋪墊。2012年開始對信息化環(huán)網(wǎng)進(jìn)行可行性論證，2013年起逐步對原有星形網(wǎng)絡(luò)進(jìn)行改造，經(jīng)多年的建設(shè)已建成以萬兆骨干環(huán)網(wǎng)為核心、千兆骨干環(huán)網(wǎng)為匯聚的信息化網(wǎng)絡(luò)。

2 鐵法能源公司主干環(huán)網(wǎng)建設(shè)實(shí)踐

鐵法能源公司主干環(huán)網(wǎng)建設(shè)分為兩個(gè)主要部分：一是針對現(xiàn)有設(shè)備進(jìn)行增補(bǔ)更換，增強(qiáng)網(wǎng)絡(luò)運(yùn)行能力；二是建設(shè)環(huán)網(wǎng)線路，并對原有OSPF路由進(jìn)行改造以適應(yīng)環(huán)網(wǎng)需求。

針對現(xiàn)有設(shè)備進(jìn)行增補(bǔ)更換：

（1）在大隆礦、小康礦、大平礦各增加一臺(tái)7606路由器。3臺(tái)大容量高速路由器用以增強(qiáng)重點(diǎn)礦廠、重點(diǎn)環(huán)路、重要節(jié)點(diǎn)的數(shù)據(jù)轉(zhuǎn)發(fā)能力。

（2）將鐵法能源公司原機(jī)房拆分成為調(diào)兵山和康平兩個(gè)核心機(jī)房。其中調(diào)兵山核心機(jī)房作為鏈路匯聚節(jié)點(diǎn)，負(fù)責(zé)物理傳輸上的集中；康平核心機(jī)房作為數(shù)據(jù)機(jī)房，安置集團(tuán)信息化各個(gè)系統(tǒng)的服務(wù)器。調(diào)兵山核心機(jī)房與康平核心機(jī)房需保持永不斷線的高速傳輸狀態(tài)，為此在康平核心機(jī)房、調(diào)兵山核心機(jī)房、康平機(jī)房各增加一塊萬兆板卡及相應(yīng)模塊，實(shí)現(xiàn)萬兆路由，使調(diào)兵山核心機(jī)房、康平核心機(jī)房、大平機(jī)房成為一個(gè)萬兆骨干環(huán)路，保障康平與調(diào)兵山之間的數(shù)據(jù)流在線路出現(xiàn)故障的情況下仍能高速穩(wěn)定地傳輸數(shù)據(jù)。

（3）在各入環(huán)礦、廠增加光模塊實(shí)現(xiàn)千兆環(huán)網(wǎng)。利用鐵法能源公司既有桿路與電力桿路互補(bǔ)，實(shí)現(xiàn)主干環(huán)網(wǎng)。將原公司中心機(jī)房到各礦機(jī)房點(diǎn)到點(diǎn)通信網(wǎng)絡(luò)補(bǔ)充為相切環(huán)結(jié)構(gòu)，做到了線路斷點(diǎn)保護(hù)，節(jié)省了大量線路施工費(fèi)用和時(shí)間。

鐵法能源公司環(huán)網(wǎng)線路建設(shè)主要內(nèi)容包括：① 調(diào)兵山通信信息網(wǎng)絡(luò)中心到曉南礦沿供電桿路敷設(shè)光纜5.5km。② 曉南礦到小青礦沿供電桿路敷設(shè)光纜6.8km。③ 小青礦到大強(qiáng)公司沿供電桿路敷設(shè)光纜6.7km。④ 曉南礦到大興礦沿供電桿路敷設(shè)光纜9.5km。⑤ 大興礦到煤層氣公司沿供電桿路敷設(shè)光纜5.5km。⑥ 煤層氣公司到煤矸石發(fā)電公司新建桿路、敷設(shè)光纜21.5km。本次環(huán)網(wǎng)線路建設(shè)已于2015年全部建設(shè)完畢，通過此次主干環(huán)網(wǎng)建設(shè)，鐵法能源公司將原有的點(diǎn)對點(diǎn)星形網(wǎng)絡(luò)改造成為以萬兆骨干環(huán)網(wǎng)為核心、千兆骨干環(huán)網(wǎng)為匯聚的信息化網(wǎng)絡(luò)。

3 系統(tǒng)核心技術(shù)與特色

3.1 網(wǎng)絡(luò)設(shè)計(jì)

鐵法能源公司信息化網(wǎng)絡(luò)歷經(jīng)數(shù)次改造，一直在尋求最優(yōu)網(wǎng)絡(luò)結(jié)構(gòu)。此次主干環(huán)網(wǎng)建設(shè)，利用煤礦電力供應(yīng)雙線路供電乃至多線路供電的特點(diǎn)，結(jié)合集團(tuán)各礦、廠實(shí)際情況，創(chuàng)造性地利用鐵法能源公司既有桿路與電力桿路互補(bǔ)，實(shí)現(xiàn)環(huán)網(wǎng)。不但將原公司中心機(jī)房到各礦機(jī)房點(diǎn)到點(diǎn)通信網(wǎng)絡(luò)補(bǔ)充為相切環(huán)結(jié)構(gòu)，而且做到了線路斷點(diǎn)保護(hù)，實(shí)現(xiàn)了以萬兆骨干為核心、千兆主干為補(bǔ)充的主干環(huán)網(wǎng)。

3.2 設(shè)備選型及布線

思科公司是鐵法能源公司建網(wǎng)以來的主要設(shè)備提供廠家。目前公司網(wǎng)內(nèi)骨干交換，路由設(shè)備95%以上采用該廠商生產(chǎn)的設(shè)備。為了保證網(wǎng)絡(luò)升級改造的平滑過渡，也鑒于長期以來在使用思科設(shè)備時(shí)對其穩(wěn)定可靠性的認(rèn)可，此次主干環(huán)網(wǎng)均采用思科公司設(shè)備。Cisco7606路由器是一款部署于運(yùn)營商網(wǎng)絡(luò)邊緣和數(shù)據(jù)中心、體積小巧、性能出眾的路由器，在網(wǎng)絡(luò)邊緣和數(shù)據(jù)中心，可提供出色的性能和服務(wù)來滿足企業(yè)需要。Cisco7606提供了30Mpps（集中式處理）、240Mpps（分布式處理）和480Gbps的總吞吐量，以及先進(jìn)的硬件加速IP服務(wù)，此次主干環(huán)網(wǎng)建設(shè)中所用到的萬兆板卡及萬兆光模塊皆為思科公司生產(chǎn)，可提供10Gb/s的傳輸速率，大大提高核心環(huán)的網(wǎng)絡(luò)吞吐能力。

3.3 網(wǎng)絡(luò)高可靠性

以太環(huán)網(wǎng)具有強(qiáng)大的網(wǎng)絡(luò)故障自愈能力，環(huán)網(wǎng)協(xié)議利用斷路告警、環(huán)監(jiān)測、環(huán)恢復(fù)三種機(jī)制來對協(xié)議進(jìn)行維護(hù)，即環(huán)網(wǎng)內(nèi)任意兩節(jié)點(diǎn)間的線路中斷都可在極短的時(shí)間內(nèi)恢復(fù)通信。在企業(yè)對財(cái)務(wù)、瓦斯監(jiān)測、安全生產(chǎn)、視頻監(jiān)控、銷售、物供的通信質(zhì)量要求越來越高，實(shí)時(shí)通信中斷忍受能力越來越低的情況下，“永不中斷”的網(wǎng)絡(luò)將避免企業(yè)因網(wǎng)絡(luò)中斷造成的損失。

3.4 OSPF動(dòng)態(tài)路由

OSPF是一個(gè)內(nèi)部網(wǎng)關(guān)協(xié)議，用于在單一自治系統(tǒng)內(nèi)決策路由，是對鏈路狀態(tài)路由協(xié)議的一種實(shí)現(xiàn)，隸屬內(nèi)部網(wǎng)關(guān)協(xié)議（IGP），故運(yùn)作于自治系統(tǒng)內(nèi)部。OSPF動(dòng)態(tài)路由將顯示環(huán)網(wǎng)內(nèi)設(shè)備哪條線路中斷，應(yīng)改為哪條線路才可繼續(xù)保持通信。并且其高擴(kuò)展性使今后的網(wǎng)絡(luò)改造更加平滑順暢，任何新設(shè)備、新環(huán)路的添加只需將配置好的設(shè)備接入網(wǎng)內(nèi)，整個(gè)網(wǎng)絡(luò)在極短的時(shí)間內(nèi)自動(dòng)將設(shè)備納入系統(tǒng)中。

3.5 網(wǎng)絡(luò)安全設(shè)計(jì)

（1）防火墻策略的設(shè)計(jì)

采用路由模式，開啟OSPF路由協(xié)議，允許部分網(wǎng)段訪問礦廠的內(nèi)網(wǎng)。將連接到集團(tuán)的線路設(shè)置為外部網(wǎng)絡(luò)，連接到礦區(qū)的接口定義為內(nèi)部網(wǎng)絡(luò)。設(shè)置相應(yīng)ACL控制外部訪問，從外部允許進(jìn)入到內(nèi)部網(wǎng)絡(luò)的IP地址匹配為NAT（0），進(jìn)行路由到達(dá)內(nèi)部網(wǎng)絡(luò)。

（2）IPS的設(shè)計(jì)

將Cisco 7606系列自適應(yīng)安全設(shè)備（ASA）的網(wǎng)絡(luò)流量發(fā)送至高級檢査和預(yù)防安全服務(wù)模塊（AP-SSM）（IPS）模塊，這種配置能夠滿足全面監(jiān)控的要求。對于ASA和AP-SSM的交互方式，包括混合模式和內(nèi)部模式?；旌夏Ｊ街冈贏SA將原始數(shù)據(jù)發(fā)送到目的地的同時(shí)，還將一份數(shù)據(jù)發(fā)送至AP-SM。在混合模式中，AIP-SSM被視為入侵監(jiān)測系統(tǒng)（IDS），觸發(fā)器包（引起警報(bào)的包）仍然可以到達(dá)目的地。內(nèi)部模式指ASA將數(shù)據(jù)發(fā)送至AP-SSM執(zhí)行檢查。如果數(shù)據(jù)通過了AIP-SSM檢查，則數(shù)據(jù)返回ASA，繼續(xù)處理并發(fā)送到目的地。在內(nèi)部模式中，AP-SSM可視為入侵防御系統(tǒng)（IPS）。與混合模式不同，內(nèi)部模式（IPS）將阻止觸發(fā)包到達(dá)目的地。考慮采用內(nèi)部模式會(huì)產(chǎn)生數(shù)據(jù)延時(shí)，建議使用混合模式，開啟mS功能。

（3）UTM的設(shè)計(jì)

UTM多功能安全網(wǎng)關(guān)可以幫助企業(yè)更好地控制網(wǎng)絡(luò)攻擊。將UTM放置集團(tuán)網(wǎng)絡(luò)總出口，將整個(gè)公司外部威脅屏蔽掉。

4 經(jīng)濟(jì)社會(huì)效益分析

鐵法能源公司主干環(huán)網(wǎng)的建設(shè)的目的是保證網(wǎng)絡(luò)的高效可靠性運(yùn)行，杜絕線路中斷造成的信息“孤島”。主干環(huán)網(wǎng)的建設(shè)有效地解決了以上問題，同時(shí)創(chuàng)造了較好的安全經(jīng)濟(jì)效益。改造前后對比分析：（1）改造前18個(gè)機(jī)房24h有人值守，改造后降低為2個(gè)機(jī)房有人值守。（2）改造前時(shí)刻監(jiān)測網(wǎng)絡(luò)情況，改造后只需每日例行檢查。（3）改造后公司網(wǎng)絡(luò)永不中斷，保障了公司網(wǎng)絡(luò)銷售系統(tǒng)的正常運(yùn)行，間接挽回經(jīng)濟(jì)損失約1000萬元。（4）改造后公司網(wǎng)絡(luò)永不中斷，公司因網(wǎng)絡(luò)中斷造成的煤礦安全生產(chǎn)事故的概率為0，安全效益明顯。