浙江金丽温高速公路千兆网络建设方案

责任编辑．马杨　浙江金丽温高速公路千兆网络建设方案　浙江金丽温高速公路有限公司刘琦　千兆网就是网络带宽为１０００　Ｍｂｐｓ的骨干网络，是建立在　标准以太网基础之上的一种带宽扩容解决方案。它和标准以　太网以及快速以太网技术一样，都使用以太网所定义的技术　规范，如ＣＳＭＡ／ＣＤ协议、以太网帧、全双工、流量控制以及　ＩＥＥＥ８０２　３标准中所定义的管理对象等。同时干兆网能提供更大　的网络带宽和更快的交换速度，可以满足网络上数据量和信息　量的爆炸性增长。并且，千兆交换机比百兆交换机具有更高的　背板带宽、更强的处理能力和更快的交换速度，可以加快网络　主干的交换速度，从而提高整个网络的速度，解决网络的瓶颈　问题。　随着高速公路业务目益复杂化、多样化，对网络带宽资源的　要求越来越高。为满足营运业务拓展发展空间，将来能够拥有足　够的带宽为各种应用建立基础网络平台，需要将原有网络结构改　造为干兆网络用以满足营运及办公需求，本文以浙江金丽温高速　公路为例，提出高速公路干兆网络建设方案，为后期备类新业务　的拓展打好坚实基础。　建设背景　金丽温高速公路和龙丽丽龙高速公路穿越浙南崇山峻岭，全　长共４５６公里，具有运营里程长，异地化管理的特点。原建有一　套网络系统，但由于设计时间早、对新业务考虑不全、以及受当　时技术条件限制等原因，网络现已无法满足日常管理需求，主要　体现在以下几个方面：　ｌ网络带宽不够，旧网络使用交换机级联方式组建，部分设　备为１０Ｍ／ＩＯＯＭ自适应，导致网络带宽严重不足。　２网络安全隐患，旧网络未划分独立ＶＬＡＮ，对于ＡＰ．Ｐ１￣击波　之类病毒造成的网络风暴，没有抵御能力。　３没有明显的网络分层，各类设备型号不一，往往由于单点　故障造成全线网络的瘫痪。　４．出口路由能力不强，公网出口为网通ｌ０Ｍ，老式路由　器单点路由成为整个网络出口瓶颈，无法应对互联网的恶意　攻击。　Ｓ为了实现信息管理，需要实施大量的新增项目，如对所有　收费亭进行音乐播放的车道广播系统、将重要位置监控图像上传　集团中心的视频流媒体监控系统、外场异常情况综合报警实时监　控系统等，现有网络无法满足这类应用。　针对以上现状，从２０１０年３月开始搭建覆盖全路段所有管理　单位的基础网络平台，建设全线干兆网系统为各类管理业务提供　数据传输通道，同时提供较高的数据安全保障。　性能特征　千兆以太网络是由千兆交换机、千兆网卡、综合布线系统等　构成。干兆交换机构成了网络的骨干部分，干兆网卡安插在服务　器上，通过布线系统与交换机相连，干兆交换机下面还可连接许　多百兆交换机，百兆交换机连接工作站，这就是所谓的“百兆到　桌面”。　ｌ系统高效性。全光纤传输系统、干兆端口直连、全双工　工作模式、高效的路由器交换机，这些措施保证了系统硬件环　境，能够胜任各种并发数据流；同时ＲＩＰ路由协议、静态路由协　议、三层交换等技术的应用，从软件角度保证了各项数据的有　序流动。　２系统安全性。网闸和ＤＭｚ区域的划分，隔离了外部用户　对内部数据的访问，保证内部数据网络的安全；通过ＶＬＡＮ的划　分，较好的抑制网络广播风暴，即使个别电脑中毒，其危害和影　响也将降至最低。　３系统可靠性。系统核心的、关键的设备，都是选用同一厂　家产品，在确保产品质量上同时，减少了不同厂家间产品兼容的　问题；物理通道选用光纤传输网络，在传输稳定性方向，也比一　般传输介质具备更加可靠的传输效果。　４系统易用性。业务数据流向较为明确，选用ＲＩＰ路由协议和　技术＜ＴＥＣＨＮＯＬＯＧＹ　电信出　网通出　图网络拓扑结构　静态路由协议相结合方式，网络配置简单，终端用户使用也比较　方便；网管软件的应用使系统的日常维护保养清晰明确。　排障。Ｃｉｓｃｏ　ＣＭＳ软件提供了配置向导，它可以大幅度简化融合　网络和智能化网络服务的部署。Ｃ３５６０自带干兆光模块，全线使　用２芯光纤即可组建干兆网的骨干传输平台。为了减轻路由器的　系统建设　整个网络分三层：监控中心级、管理处级、收费所／隧道所／　服务区级，系统网络拓朴结构及说明如下：　１在富岭监控中心使用网闸、路由器、三层交换机、二层　工作压力，在所有三层交换上开启静态路由功能，各管理处、　监控中心内部的数据传输，通过三层交换的静态路由完成，无　需经过路由器。　４为加强网络设备接入管理，ＩＰ地址的合理分配是保证网络　顺利运行和网络资源有效利用的关键。内部网络要充分考虑到地　交换机等，搭建系统核心层设备，连接各业务服务器（ＦＴＰＪ］￣务　器、ＷＥ踟艮务器、对外视频服务器、广播服务器等）、网管工作　站等，从而构建监控中心网络。为保证同互联网的有效隔离和数　据安全，选择网闸提供双通道互联网出口（电信１００Ｍ光纤接入、　址空间的合理使用，保证实现最佳的网络内地址分配及业务流　量的均匀分布。ＩＰ地址空间的分配及合理使用与网络拓扑结构、　网络组织及路由政策有密切的关系，将对宽带城域网的可用性、　可靠性与有效性产生显著影响，应充分考虑本地网对ＩＰ地址的需　求，以满足未来业务发展对ＩＰ地址的需求。目前金丽温高速公路　与两龙高速公路的网络采用分层结构，通过不同网段将不同的应　网通］００Ｍ光纤接入），保证整个网络的互联网出口高可用性，同　时，通过软件配置，在Ｃ２００中加入智能导向性路由，访问电信网　站时路由优先选择到电信出口，访问网通网站时路由优先到网络　出口，以实现最佳的互联网访问效率。　２路由器上行端口与网闸内部链路相连、下行口与三层交换　用于不同的地点分开。同时基于合法ＩＰ地址进行编址，所有用户　均绑定ＩＰ地址，实现ＩＰ地址与终端电脑一一绑定，未经允许不能　接入网络。　机千兆端［Ｊ相连，为整个网络提供互联网出口路由。为管理方　便，在各级设备都划分管理ＶＬＡＮ，分配管理ＩＰ地址，在监控中心　管理工作站上安装网管软件，实现对全线网络设备的状态监控、　运行情况分析、故障报警、断点影响评估等功能。　３在各管理处，选用思科Ｃ３５６０三层交换机，与监控中心　ｓ按管理单位和应用业务划分独立ＶＬＡＮ，实现对子网的　隔离，高速分组转发，减小网络冲突，防止网络风暴，并有效　的支持组播、多播等技术。使用ＶＬＡＮ具有以下优点：首先是　控制广播风暴，一个ＶＬＡＮ就是一个逻辑广播域，通过对ＶＬＡＮ　的创建，隔离了广播，缩小了广播范围，可以控制广播风暴　Ｃ３５６０组成干线网络。同时配置多个Ｃａｔａｌｙｓｔ桌面交换机并对其　的产生。　其次是提高网络整体安全性，通过路由访问列表和　１２６　　０１１ｌＩｌ　ＭＡＣ地址分配等ＶＬＡＮ￣ｆｊ分原则，可以控制用户访问权限和逻　辑网段大小，将不同用户群划分在不同ＶＬＡＮ，从而提高交换　式网络的整体性能和安全性。第三是网络管理简单、直观，对　于交换式以太网，如果对某些用户重新进行网段分配，需要网　络管理员对网络系统的物理结构重新进行调整，甚至需要追加　网络设备，增大网络管理的工作量。而对于采用ＶＬＡＮ技术的　网络来说，一个ＶＬＡＮ可以根据部门职能、对象组或者应用将　不同地理位置的网络用户划分为一个逻辑网段。在不改动网络　物理连接的情况下可以任意地将工作站在工作组或子网之间移　动。利用虚拟网络技术，大大减轻了网络管理和维护工作的负　担，降低了网络维护费用。在一个交换网络中，ＶＬＡＮ提供了　网段和机构的弹性组合机制。根据公司的组织机构和现阶段　千兆网上需要运行的业务，同时又考虑到整个网络数据带宽的　大部分将会被收费站的监控系统所占用，平均每个收费站的　视频数量按３０路计算，每路视频流按２—４Ｍｂｐｓ计算，最大并发　数据流量为３０×４Ｍ＝１２０Ｍｂｐｓ。由于分为２个ＶＬＡＮ，因此每个　ＶＬＡＮ的最大并发数据流量为１２０Ｍｂｐｓ／２＝６０Ｍｂｐｓ，因此通过适　当的ＶＬＡＮ￣Ｉｊ分，不但降低了中心三层交换机对骨干带宽的要　求，从而也降低了对下级收费站二层交换机的使用带宽的要　求。ＶＬＡＮ的具体划分如下：　ＶＬＡＮ１０—３０：各管理处，Ｊｆ，ｆ￣ＶＬＡＮ　ＶＬＡＮＴ０，７１：监控系统ＶＬＡＮ　ＶＬＡＮ８０：外场异常事件综合报警系统ＶＬＡＮ　ＶＬＡＮ８８：车道广播系统ＶＬＡＮ　ＶＬＡＮ９９：管理ＶＬＡＮ　ＶＬＡＮ１００—２９９：金丽温高速使用　ＶＬＡＮ３００－４９９：两龙高速使用　ｖＬＡＮＳ∞　９９：网络应用预留　ＶＬＡＮＴ００－７９９：　备用　最后，在备收费所、隧道所、服务区，分别放置二层交换　机，使用光纤收发器连接上级管理处的三层交换机。为了透传　ＶＬＡＮ数据，一方面，所有上联端口，统一设置为ｔｒｕｎｋ模式，　并且允许所有ＶＬＡＮ通过；另一方面，其他端口，根据业务需　求，分别划入不同ＶＬＡＮ中。成功搭建的千兆网络传输平台连接　全路段所有管理单位、核心层稳定、干线高效可靠、接入层简　单易用。　安全措施　在千兆网络设计中，由于网络上会有大量内部数据流通，数　据安全方面的要求较一般网络系统高。随着互联网的普及，网络　责任编辑马扬　攻击技术的不断发展，攻击手段的不断丰富，防范攻击的难度也　不断增加，目前比较流行的攻击手段主要有以下几种：　扫描器：用于发现并得到目标主机的相关信息，发现目标主　机的系统及配置漏洞，为后续的攻击行为奠定基础。　口令破译：用于获取目标主机的用户口令，其目的是得到目　标主机的用户权限。　特洛伊木马：一种经过伪装的貌似合法的程序，攻击者经常　用这种程序实现对目标主机的远程控制，进而获取信息，或破坏　目标网络系统的正常运行。　网络窃听：利用共享网络的特点实现对网上数据的采集，并　窃取其中明文传输的口令及其他机密信息。　拒绝服务：利用ＴｃＰ／ＩＰ协议ｆ　设计漏洞，或其他系统服务的　设计问题采用的一种简单却有效的攻击行为，存在多种方式，但　最终效果是将导致目标主机或网络系统当机或瘫痪。　路由攻击：通过对路由器采用的不安全协议的攻击，实现对　路由表的修改，从而实现透明的修改用户信息的传输路径，最终　达到获取或修改机密信息的目的。　病毒：这是一种大家最熟知的攻击方式，但仍在对我们的　系统造成巨大的危害，其后果是多样的，最严重的是破坏整个系　统，删除你的所有信息。　在保证网络性能的前提下，数据的安全防护也是重中之重，　为此采用了硬件和软件桕结合的方式来保证系统的性能和安全　性，具体措施如下：　ｌ网络出口设置网闸，隔离内部网络和外部网络；通过在网　闸配置数据访问许可，允许特定的外部用户访问内网数据，如　ｗ髓服务器数据、视频监控数据等。　２设置ＤＭＺ安全区，位于网闸之后，路由器之前；ＦＴＰ服务　器、ｗＥＢ服务器、数据库服务器、视频监控服务器放置在此区　域，即保证互联网用户的正常访问，叉可以防止其对内部数据的　越权访部，保证内部网络的数据安全。　３网管系统的建立，可以实时监控网络内数据流向、设备工　作状态，能够及时发现网络瓶颈并消除。　４建立网络系统日常管理制度，制定规定设备定期保养规程　并指定专人进行日常维护，严格控制机房出入人员，从管理上保　证设备的正常运行。　建成后的网络覆盖了金丽温高速公路和龙丽丽龙高速公路　两条高速沿线所有管理单位，运行在网络平台上的办公应用、互　联网访问应用、车道广播系统、Ｏ　Ａ系统、综合报警系统等运行　良好，无掉包、数据拥堵等任何异常隋况，较好的实现了预定目　标。系统提供的高带宽基础传输网络，对于以后其他信息系统的　上线运行，提供了平台支持。