戴 元

(東北空管局通信網(wǎng)絡(luò)中心計(jì)算機(jī)室，遼寧 沈陽(yáng) 110043)

民航空管寬帶網(wǎng)優(yōu)化改造研究

戴 元

(東北空管局通信網(wǎng)絡(luò)中心計(jì)算機(jī)室，遼寧 沈陽(yáng) 110043)

文章對(duì)民航東北空管局寬帶網(wǎng)系統(tǒng)存在的問(wèn)題進(jìn)行分析，探討如何對(duì)網(wǎng)絡(luò)進(jìn)行優(yōu)化和改造，使之不斷適應(yīng)新的發(fā)展需要。

網(wǎng)絡(luò)改造；網(wǎng)絡(luò)安全；OSPF

（一）引言

民航東北空管局通信網(wǎng)絡(luò)中心于 2000年起開(kāi)展寬帶業(yè)務(wù)，網(wǎng)絡(luò)初期規(guī)模不大，近幾年寬帶用戶數(shù)量快速增長(zhǎng)，導(dǎo)致網(wǎng)絡(luò)處于超負(fù)荷運(yùn)轉(zhuǎn)狀態(tài)。用戶網(wǎng)速慢、容易掉線等問(wèn)題不斷增多，網(wǎng)絡(luò)運(yùn)行質(zhì)量不斷下降。因此，如何對(duì)網(wǎng)絡(luò)進(jìn)行有效的優(yōu)化改造，使之成為一個(gè)安全、可靠、穩(wěn)定、架構(gòu)合理、易于管理、能夠適應(yīng)未來(lái)發(fā)展需要的寬帶網(wǎng)絡(luò)，是文章重點(diǎn)研究的問(wèn)題。

（二）網(wǎng)絡(luò)現(xiàn)狀及分析

網(wǎng)絡(luò)采用星型結(jié)構(gòu)設(shè)計(jì)，覆蓋東塔、桃仙、長(zhǎng)青三個(gè)園區(qū)，初期設(shè)計(jì)規(guī)模為500用戶。核心層采用兩臺(tái)華為MA 5200交換機(jī)，實(shí)現(xiàn)用戶認(rèn)證和授權(quán)。匯聚層采用三臺(tái)華為6503交換機(jī)，用于匯聚各園區(qū)網(wǎng)絡(luò)。接入層采用多臺(tái)華為5100 DSLAM交換機(jī)，用于連接寬帶用戶終端。出口層采用一臺(tái)CISCO PIX 535防火墻，分別連接電信和聯(lián)通兩個(gè)不同運(yùn)營(yíng)商，網(wǎng)絡(luò)出口帶寬共計(jì)200M。

隨著近幾年寬帶業(yè)務(wù)的快速發(fā)展，用戶數(shù)量目前已超過(guò)2000人，原有網(wǎng)絡(luò)已無(wú)法滿足需要，主要表現(xiàn)在以下幾個(gè)方面：

1.網(wǎng)絡(luò)核心設(shè)備處理能力不足，長(zhǎng)期處于超負(fù)荷運(yùn)轉(zhuǎn)狀態(tài)。

2.網(wǎng)絡(luò)骨干設(shè)備之間均采用百兆線路連接，帶寬資源嚴(yán)重不足，存在傳輸瓶頸。

3.網(wǎng)絡(luò)管理人員由于缺少有效的監(jiān)測(cè)和控制手段，無(wú)法對(duì)P2P流量和私接路由器等現(xiàn)象進(jìn)行有效控制。

4.出口防火墻承擔(dān)安全防護(hù)、地址轉(zhuǎn)換和路由選擇等多項(xiàng)任務(wù)，負(fù)擔(dān)較重，且存在單點(diǎn)故障隱患，一旦發(fā)生故障，將影響到整個(gè)網(wǎng)絡(luò)的正常運(yùn)行。

5.部分設(shè)備端口數(shù)量已基本飽和，擴(kuò)展能力不足，無(wú)法滿足未來(lái)的發(fā)展需要。

6.網(wǎng)絡(luò)維護(hù)人員缺少必要的監(jiān)視手段，無(wú)法在第一時(shí)間獲取整個(gè)網(wǎng)絡(luò)的運(yùn)行狀態(tài)，增加了處理故障、定位故障的難度。

7.用戶設(shè)備與網(wǎng)絡(luò)設(shè)備使用同一網(wǎng)段，一旦遭受網(wǎng)絡(luò)攻擊，將影響整個(gè)網(wǎng)絡(luò)。

（三）網(wǎng)絡(luò)優(yōu)化改造目標(biāo)及策略

1.網(wǎng)絡(luò)優(yōu)化改造目標(biāo)

從調(diào)整網(wǎng)絡(luò)結(jié)構(gòu)、提高帶寬利用率、優(yōu)化網(wǎng)絡(luò)配置、改善網(wǎng)絡(luò)安全等多方面入手，將網(wǎng)絡(luò)改造成一個(gè)安全、可靠、穩(wěn)定、架構(gòu)合理、易于管理的寬帶網(wǎng)絡(luò)，消除潛在隱患，使之適應(yīng)未來(lái)的發(fā)展需要。

2.網(wǎng)絡(luò)優(yōu)化改造策略

（1）將網(wǎng)絡(luò)結(jié)構(gòu)改造為雙星型結(jié)構(gòu)，對(duì)核心設(shè)備、骨干鏈路采用冗余設(shè)計(jì)，確保單個(gè)設(shè)備、鏈路出現(xiàn)故障時(shí)，整個(gè)網(wǎng)絡(luò)仍能夠繼續(xù)平穩(wěn)運(yùn)行。

（2）在核心交換機(jī)與各園區(qū)的匯聚層設(shè)備之間運(yùn)行OSPF動(dòng)態(tài)路由協(xié)議，以提高網(wǎng)絡(luò)的可靠性和穩(wěn)定性。

（3）將網(wǎng)絡(luò)骨干鏈路帶寬提升到千兆，滿足寬帶用戶對(duì)未來(lái)網(wǎng)絡(luò)高帶寬的需求，解決網(wǎng)絡(luò)內(nèi)部瓶頸。

（4）網(wǎng)絡(luò)優(yōu)化改造應(yīng)從實(shí)際出發(fā)，在增加新設(shè)備時(shí)充分考慮對(duì)舊設(shè)備的投資保護(hù)，盡量避免擱置設(shè)備情況的發(fā)生，最大限度保護(hù)投資。

（5）整個(gè)網(wǎng)絡(luò)應(yīng)便于管理、配置和調(diào)整，網(wǎng)絡(luò)出現(xiàn)故障時(shí)，管理人員能夠快速定位故障、排除故障。

（6）按照分區(qū)防護(hù)和分層防護(hù)原則將網(wǎng)絡(luò)劃分為不同的安全區(qū)域，結(jié)合各種安全保護(hù)因素，有效地增加系統(tǒng)的安全防護(hù)縱深，全面提高網(wǎng)絡(luò)安全防護(hù)能力。

（7）網(wǎng)絡(luò)的優(yōu)化改造應(yīng)充分考慮到網(wǎng)絡(luò)的擴(kuò)展能力，最大限度滿足未來(lái)的發(fā)展需要。

（四）網(wǎng)絡(luò)優(yōu)化改造方案

1.改造核心設(shè)備

新增兩臺(tái)高性能交換機(jī)作為全網(wǎng)的核心設(shè)備，用于連接各園區(qū)匯聚層設(shè)備、出口防火墻及BRAS設(shè)備，實(shí)現(xiàn)全網(wǎng)的數(shù)據(jù)交換和路由選擇。為確保設(shè)備在發(fā)生故障時(shí)能在最短時(shí)間內(nèi)恢復(fù)，建議為兩臺(tái)核心交換機(jī)配置雙引擎、雙電源，最大限度避免因單點(diǎn)故障引起的網(wǎng)絡(luò)癱瘓。同時(shí)，通過(guò)在網(wǎng)絡(luò)中采用VRRP 技術(shù)，實(shí)現(xiàn)網(wǎng)絡(luò)的自動(dòng)備份和負(fù)載均衡，提高網(wǎng)絡(luò)的安全性和可靠性。

2.提高網(wǎng)絡(luò)帶寬

將網(wǎng)絡(luò)主干線路改造為雙鏈路，通過(guò) STP技術(shù)實(shí)現(xiàn)鏈路冗余管理，確保當(dāng)主用鏈路出現(xiàn)故障時(shí)，能夠自動(dòng)切換到備份鏈路，確保網(wǎng)絡(luò)不間斷運(yùn)行。為解決網(wǎng)絡(luò)內(nèi)部瓶頸，建議將主干線路帶寬提升至千兆，對(duì)于個(gè)別無(wú)法實(shí)現(xiàn)千兆連接的鏈路，可以考慮采用多條百兆鏈路捆綁的方式盡可能提高帶寬。

3.改造網(wǎng)絡(luò)出口

將網(wǎng)絡(luò)出口帶寬由現(xiàn)在的200M提高至600M，以緩解網(wǎng)絡(luò)外部壓力。原有 PIX 535防火墻由于端口數(shù)量有限，已無(wú)法滿足現(xiàn)有業(yè)務(wù)需要。建議新購(gòu)置兩臺(tái)高性能防火墻替代原有設(shè)備，分別連接兩個(gè)運(yùn)營(yíng)商，實(shí)現(xiàn)冗余備份。在核心交換機(jī)上配置策略路由，根據(jù)用戶訪問(wèn)目標(biāo)網(wǎng)站的源地址，自動(dòng)選擇相應(yīng)的網(wǎng)絡(luò)出口，實(shí)現(xiàn)網(wǎng)絡(luò)自由擇路功能。

4.規(guī)劃網(wǎng)絡(luò)地址

按照簡(jiǎn)單、連續(xù)、可管理等原則，對(duì)全網(wǎng)的網(wǎng)絡(luò)地址重新進(jìn)行規(guī)劃，減少網(wǎng)絡(luò)負(fù)荷。為網(wǎng)絡(luò)設(shè)備與用戶設(shè)備分別劃分不同的網(wǎng)絡(luò)地址段，并采用VLSM技術(shù)，有效提高網(wǎng)絡(luò)地址的利用效率。網(wǎng)絡(luò)地址的規(guī)劃還應(yīng)充分考慮未來(lái)網(wǎng)絡(luò)發(fā)展的需要，預(yù)留相應(yīng)的網(wǎng)絡(luò)地址段，為以后的網(wǎng)絡(luò)擴(kuò)展打下良好的基礎(chǔ)。

5.管理網(wǎng)絡(luò)流量

增加一臺(tái)業(yè)務(wù)監(jiān)控網(wǎng)關(guān)，旁掛在兩臺(tái)核心交換機(jī)上，與出口防火墻進(jìn)行聯(lián)動(dòng)，實(shí)現(xiàn)對(duì) P2P流量和私接路由器現(xiàn)象的有效控制，確保帶寬能夠得到充分利用。部署認(rèn)證計(jì)費(fèi)系統(tǒng)，實(shí)現(xiàn)對(duì)寬帶接入用戶的安全認(rèn)證、授權(quán)和計(jì)費(fèi)管理。根據(jù)不同的接入方式，為用戶配置相應(yīng)的計(jì)費(fèi)策略、安全控制策略和流量控制策略，合理分配寬帶資源，提高網(wǎng)絡(luò)的使用效率。

6.增加監(jiān)控手段

建立網(wǎng)絡(luò)監(jiān)控系統(tǒng)，對(duì)全網(wǎng)核心設(shè)備的 CPU利用率、內(nèi)存利用率、吞吐量、端口的丟包率等重點(diǎn)指標(biāo)加以監(jiān)控，使網(wǎng)絡(luò)管理人員能夠?qū)崟r(shí)了解全網(wǎng)設(shè)備、鏈路的運(yùn)行狀態(tài)。通過(guò)預(yù)先設(shè)定的告警閾值，對(duì)檢測(cè)出的重要事件進(jìn)行預(yù)警，為網(wǎng)絡(luò)管理人員快速采取應(yīng)對(duì)措施提供依據(jù)，從而提高網(wǎng)絡(luò)運(yùn)維的整體水平。

7.提高網(wǎng)絡(luò)安全防護(hù)全能力

為提高網(wǎng)絡(luò)的安全性和穩(wěn)定性，建議在接入層設(shè)備配置靜態(tài)路由，然后將靜態(tài)路由重分布到OSPF路由中。同時(shí)，在每個(gè)接入層設(shè)備上采用二層隔離技術(shù)，即每個(gè)下聯(lián)端口都只能與上行端口通信，而下聯(lián)端口之間不允許互相通信，使被隔離端口之間不會(huì)產(chǎn)生單播、廣播和組播，從而有效控制廣播風(fēng)暴產(chǎn)生的可能性，避免終端用戶間的病毒傳播，提高網(wǎng)絡(luò)安全綜合防護(hù)能力。

8.加強(qiáng)網(wǎng)絡(luò)行為管理

根據(jù)《中華人民共和國(guó)計(jì)算機(jī)信息系統(tǒng)安全保護(hù)條例》、《中華人民共和國(guó)計(jì)算機(jī)信息網(wǎng)絡(luò)國(guó)際聯(lián)網(wǎng)管理暫行規(guī)定》等法律法規(guī)的有關(guān)要求，對(duì)網(wǎng)內(nèi)用戶的上網(wǎng)行為進(jìn)行記錄、控制和管理，使網(wǎng)絡(luò)的使用更加有序、可控，防止非法、反動(dòng)、不健康等言論內(nèi)容在網(wǎng)絡(luò)中傳播，最大限度減少網(wǎng)絡(luò)安全所帶來(lái)的損失。

（五）結(jié)束語(yǔ)

本文分析了民航東北空管局通信網(wǎng)絡(luò)中心寬帶網(wǎng)系統(tǒng)運(yùn)行中存在的問(wèn)題，提出了網(wǎng)絡(luò)優(yōu)化改造方案。相信經(jīng)過(guò)有計(jì)劃、有針對(duì)性的網(wǎng)絡(luò)改造后，可以有效提升網(wǎng)絡(luò)的運(yùn)行能力，提高系統(tǒng)的安全性和可靠性，消除潛在隱患，從而為東北空管局通信網(wǎng)絡(luò)中心更好地開(kāi)展寬帶業(yè)務(wù)打下堅(jiān)實(shí)的基礎(chǔ)。

[1]謝金星,邢文訓(xùn),王振波.網(wǎng)絡(luò)優(yōu)化[M].北京:清華大學(xué)出版社,2009.

[2]劉芳.網(wǎng)絡(luò)流量監(jiān)測(cè)與控制[M].北京:北京郵電大學(xué)出版社,2009.

[3]湯銘潭,唐叔湛.城域與社區(qū)寬帶網(wǎng)規(guī)劃概論[M].北京:中國(guó)建筑工業(yè)出版社，2010.

[4]李文璟,王智立.網(wǎng)絡(luò)管理原理及技術(shù)[M].北京:人民郵電出版社,2008.

TN915.08

A

1008-1151(2011)04-0050-02

2011-01-18

戴元（1979－），男，民航東北地區(qū)空中交通管理局通信網(wǎng)絡(luò)中心計(jì)算機(jī)室工程師。