王慶亮

淺析城市軌道交通信息網(wǎng)絡(luò)系統(tǒng)的建設(shè)

王慶亮

摘 要：闡述軌道交通行業(yè)中網(wǎng)絡(luò)信息系統(tǒng)的建設(shè)思路，包括網(wǎng)絡(luò)設(shè)計中的原則性問題，網(wǎng)絡(luò)設(shè)計中各部分的組成。著重介紹了某項目的具體實施細節(jié)，以體現(xiàn)軌道交通信息網(wǎng)絡(luò)設(shè)計中的注意點，并詳細剖析網(wǎng)絡(luò)各節(jié)點。

關(guān)鍵詞：城市軌道交通;信息網(wǎng)絡(luò);組網(wǎng)

目前，城市軌道交通建設(shè)往往重視土建，忽視信息網(wǎng)絡(luò)的建設(shè)，認為城市軌道交通信息網(wǎng)絡(luò)就是各部門按需配置電腦與Internet連接即可。可是隨著城市軌道交通建設(shè)的快速發(fā)展，諸多相關(guān)問題隨之暴露，如所建立的網(wǎng)絡(luò)能否滿足當前業(yè)務(wù)要求和今后業(yè)務(wù)增長需要，新增硬件和軟件是否方便接入既有信息網(wǎng)絡(luò)，采用什么樣的網(wǎng)絡(luò)結(jié)構(gòu)與網(wǎng)絡(luò)技術(shù)，選擇什么樣的軟、硬件服務(wù)平臺和數(shù)據(jù)庫系統(tǒng)，如何使信息網(wǎng)絡(luò)運行穩(wěn)定、可靠、安全、易于管理，以及信息網(wǎng)絡(luò)建成后的生命周期有多長等等。為了保護投資，節(jié)省開支，發(fā)揮現(xiàn)有設(shè)備的作用與功能，應(yīng)該重視城市軌道交通網(wǎng)絡(luò)建設(shè)。

1 建設(shè)要點

城市軌道交通信息網(wǎng)絡(luò)系統(tǒng)，應(yīng)該建立一個連接全市各站點的大型的城域網(wǎng)，從物理基礎(chǔ)上確保各支撐平臺及應(yīng)用系統(tǒng)的運行，形成一整套完善的架構(gòu)體系，保證數(shù)據(jù)的安全性，為各種應(yīng)用提供良好的網(wǎng)絡(luò)轉(zhuǎn)發(fā)基礎(chǔ)。網(wǎng)絡(luò)系統(tǒng)建設(shè)要點如下。

1．有線業(yè)務(wù)網(wǎng)。作為城市軌道交通主要業(yè)務(wù)的承載網(wǎng)絡(luò)，必須能夠提供高可靠、高安全的網(wǎng)絡(luò)基礎(chǔ)平臺，為各種應(yīng)用提供有效的網(wǎng)絡(luò)支持，并保證各種設(shè)備的兼容性，提高網(wǎng)絡(luò)的健壯性支撐投資比例，降低總體CTO。有線業(yè)務(wù)網(wǎng)主要由核心交換機、匯聚交換機、接入交換機、數(shù)據(jù)中心設(shè)備、網(wǎng)管系統(tǒng)，以及出口路由設(shè)備等共同組成。

2．網(wǎng)絡(luò)安全。網(wǎng)絡(luò)安全是保證網(wǎng)絡(luò)高可靠運行的基礎(chǔ)，除了采用安全設(shè)備進行安全加固之外，還需要網(wǎng)絡(luò)設(shè)備提供足夠的安全防護措施。在出口設(shè)備上融合防火墻、IPS插卡及ACG插卡，實現(xiàn)內(nèi)部網(wǎng)絡(luò)和互聯(lián)網(wǎng)L2-L7的安全防護，并對用戶的應(yīng)用行為進行實時檢查。在核心交換機中部署防火墻插件，利用虛擬防火墻技術(shù)保證內(nèi)網(wǎng)網(wǎng)絡(luò)各匯聚交換機之間的安全隔離，將內(nèi)部威脅減小到最小。在終端PC上部署終端準入系統(tǒng)，進行認證接入、安全審計、動態(tài)授權(quán)等安全檢查和權(quán)限控制，防止“病從口入”。

3．無線網(wǎng)絡(luò)。作為對有線網(wǎng)絡(luò)的補充，無線網(wǎng)絡(luò)因其便利和快捷得到廣泛應(yīng)用。無線網(wǎng)絡(luò)設(shè)計采用Fit組網(wǎng)模式，以無線控制器作為整個無線網(wǎng)絡(luò)的管理核心，采用基于802.11n傳輸協(xié)議且支持MIMO技術(shù)的AP作為無線接入點，提高了無線傳輸質(zhì)量，也使傳輸速率得到極大提升。在無線安全方面，可以結(jié)合802.1X與終端準入系統(tǒng)，控制合法人員的接入。

4．網(wǎng)絡(luò)可靠性。可靠性包括網(wǎng)絡(luò)節(jié)點和網(wǎng)絡(luò)鏈路二方面。采用雙鏈路冗余方式互聯(lián)，同時使用端口聚合技術(shù)，不僅形成流量負載分擔，而且實現(xiàn)了鏈路冗余。2臺核心設(shè)備使用無源背板，且配冗余引擎、冗余電源，并且采用虛擬化技術(shù)保證切換時間為毫秒級，將多臺設(shè)備簡化為一臺設(shè)備進行管理。簡化了網(wǎng)絡(luò)的復(fù)雜度，提高了網(wǎng)絡(luò)的可靠性。

5．網(wǎng)絡(luò)部署。主要包括：IP地址規(guī)劃、Mpls VPN設(shè)計、VLAN設(shè)計和QoS部署。IP地址的規(guī)劃既要考慮當前現(xiàn)狀，又要考慮日后擴展。大型局域網(wǎng)組建中，VLAN技術(shù)是不可缺少的關(guān)鍵技術(shù)，科學(xué)的VLAN設(shè)計可以為局域網(wǎng)絡(luò)帶來一系列的優(yōu)點。QoS部署則是通過QoS技術(shù)保證網(wǎng)絡(luò)中的關(guān)鍵業(yè)務(wù)優(yōu)先處理，避免被非關(guān)鍵業(yè)務(wù)擠占。

6．網(wǎng)絡(luò)管理。支持基于Web的遠程訪問和日志的智能歸并，并提供網(wǎng)絡(luò)管理的基本功能，包括：拓撲管理、性能管理、告警管理、網(wǎng)元管理、安全管理、配置管理等。

2 設(shè)計方案

城市軌道交通信息網(wǎng)絡(luò)系統(tǒng)，需要連接城市軌道交通指揮中心及各站點，規(guī)模相當于一個城域網(wǎng)，其穩(wěn)定性、安全性尤為重要。把一個大型的網(wǎng)絡(luò)元素劃分成一個個互連的網(wǎng)絡(luò)層，實際上就是把網(wǎng)絡(luò)劃分為一個個子網(wǎng)，這樣網(wǎng)絡(luò)節(jié)點和流量管理變得更加容易，網(wǎng)絡(luò)擴展更容易處理，新的子網(wǎng)模塊和新的網(wǎng)絡(luò)技術(shù)更容易集成。下面以蘇州軌道交通1號線信息網(wǎng)絡(luò)系統(tǒng)設(shè)計為例進行介紹。

蘇州軌道交通1號線是一個包含約3500個信息點的大型網(wǎng)絡(luò)，是面向乘客運營服務(wù)的開放性系統(tǒng)，未來將有應(yīng)用集成平臺、門戶網(wǎng)站、會議視頻、RAMS資料查詢管理等十幾種業(yè)務(wù)系統(tǒng)，因此對網(wǎng)絡(luò)設(shè)備的性能、鏈路帶寬、業(yè)務(wù)融合性有很高的要求。為保證數(shù)據(jù)安全，建設(shè)完備的災(zāi)備系統(tǒng)也是非常重要的。

2.1 網(wǎng)絡(luò)系統(tǒng)結(jié)構(gòu)

圖1為蘇州軌道交通1號線信息網(wǎng)絡(luò)系統(tǒng)構(gòu)成圖。網(wǎng)絡(luò)系統(tǒng)按照三層結(jié)構(gòu)設(shè)計，分別為核心層、匯聚層、接入層。核心層由2臺骨干路由器組成，匯聚層由8臺匯聚交換機組成，其中2臺放置于車輛段，6臺放置控制中心，接入層由24個車站通信機房、1個車輛段及控制中心各樓層配線間相應(yīng)位置的接入交換機組成。

圖1 蘇州軌道交通1號線信息網(wǎng)絡(luò)系統(tǒng)構(gòu)成圖

1．核心層。整個網(wǎng)絡(luò)中的核心層由2臺思科7609路由器作為骨干路由器，放置于控制中心，用于高速傳輸整個網(wǎng)絡(luò)數(shù)據(jù)。2臺骨干路由器通過萬兆光纖互連，形成熱備。后期還可與其他線路的骨干路由器互連，形成網(wǎng)狀結(jié)構(gòu)，組成整個蘇州軌道交通信息網(wǎng)絡(luò)系統(tǒng)的核心層。

2．匯聚層。采用8臺匯聚交換機，其中：

2臺思科Catalyst 6509交換機放置于控制中心信息中心機房作為控制中心匯聚交換機，通過萬兆光纖向上連接至骨干路由器，通過千兆光纖向下連接至控制中心各樓層配線間接入交換機。

2臺思科Catalyst 4506交換機放置于控制中心信息中心機房作為車站匯聚交換機。通過萬兆光纖向上連接至控制中心骨干路由器，通過千兆光纖向下連接至車站接入交換機。

2臺思科Catalyst 4506交換機放置于車輛段作為車輛段匯聚交換機，通過萬兆光纖向上連接至控制中心骨干路由器，通過千兆光纖向下連接至車輛段各棟大樓的接入交換機。

2臺思科Catalyst 4506交換機放置于控制中心信息中心機房作為數(shù)據(jù)中心匯聚交換機，通過萬兆光纖向上連接至2臺控制中心匯聚交換機，通過千兆光纖向下連接至服務(wù)器群與磁盤陣列。

3．接入層。由24個車站的通信機房、1個車輛段及控制中心各樓層配線間相應(yīng)位置的接入交換機組成。

2.2 安全措施

在控制中心和信息中心設(shè)置硬件防火墻和入侵檢測系統(tǒng)，形成從Internet至內(nèi)部管理網(wǎng)絡(luò)之間的隔離防護措施 (外網(wǎng)防火墻)，保證信息網(wǎng)絡(luò)系統(tǒng)的安全性。內(nèi)部網(wǎng)絡(luò)各子網(wǎng)間設(shè)置硬件防火墻隔離防護 (內(nèi)網(wǎng)防火墻)，子網(wǎng)劃分不少于10個。

1．防火墻：配置思科ASA 5540防火墻為Internet外網(wǎng)防火墻;在數(shù)據(jù)中心匯聚交換機配置最大支持20個Vlan子網(wǎng)保護的防火墻模塊作為內(nèi)網(wǎng)防火墻。防火墻模塊對不同子網(wǎng)進行安全狀態(tài)審核和策略過濾，保證子網(wǎng)防護區(qū)安全可靠、靈活部署的同時，還可對不同業(yè)務(wù)部門 (Vlan)進行安全策略控制，降低全網(wǎng)部署防火墻的成本。本方案提供的內(nèi)網(wǎng)防火墻集成在內(nèi)網(wǎng)交換機上，減少了網(wǎng)絡(luò)故障節(jié)點，增加了網(wǎng)絡(luò)的可用性和可靠性。

2．IPS設(shè)備：配置思科IPS 4260作為內(nèi)網(wǎng)的IPS/IDS設(shè)備。

3．IDS設(shè)備：配置鷹眼入侵檢測系統(tǒng)。入侵檢測系統(tǒng)的探測口分別連接在核心交換機的鏡像端口上 (核心交換的鏡像口配置全網(wǎng)鏡像)。探測口隱藏，不占用系統(tǒng)地址資源。入侵檢測系統(tǒng)的管理口直接接入交換機。由管理員分配相應(yīng)的可管理IP地址，并由一臺管理控制中心主機 (安裝隨機附帶的管理控制中心軟件)進行統(tǒng)一管理。

4．防病毒系統(tǒng)：選用趨勢科技云安全多層次防病毒系統(tǒng)。

5．終端安全防護：部署Officescan。網(wǎng)絡(luò)中計算機防病毒體系，應(yīng)達到一體化、分組管理的機制，集成病毒專殺工具、病毒爆發(fā)預(yù)防策略、網(wǎng)絡(luò)版防火墻和IDS，抵御間諜軟件和其他類型灰件的侵害，具體分布式的病毒碼更新、病毒爆發(fā)監(jiān)控和掃描病毒漏洞等功能并入趨勢科技整體防病毒體系。

6．服務(wù)器整體防護：選用趨勢科技Deep Security7.0產(chǎn)品，通過四大模塊提供服務(wù)器整體安全防護解決方案。

3 結(jié)束語

城市軌道交通信息網(wǎng)絡(luò)建設(shè)還處于發(fā)展初期，在建設(shè)前期往往忽視信息網(wǎng)絡(luò)的整體規(guī)劃，隨著城市軌道交通線路建設(shè)的進行，信息網(wǎng)絡(luò)的發(fā)展缺少整體接入的預(yù)留條件，甚至需要對信息網(wǎng)絡(luò)進行改造。因此城市軌道交通信息網(wǎng)絡(luò)建設(shè)規(guī)劃是信息網(wǎng)絡(luò)系統(tǒng)建設(shè)的第一步，規(guī)劃的好壞對系統(tǒng)建設(shè)的成敗有著至關(guān)重要的影響。系統(tǒng)規(guī)劃的任務(wù)是了解、選擇和確定準備開發(fā)的系統(tǒng)。通過一定的調(diào)查研究提出一個新系統(tǒng)的總體方案，然后進行可行性研究。在此基礎(chǔ)上，建立企業(yè)業(yè)務(wù)模型，進行需求分析、系統(tǒng)設(shè)計及信息網(wǎng)絡(luò)系統(tǒng)的開發(fā)工作。

信息網(wǎng)絡(luò)系統(tǒng)建設(shè)另一方面的工作，是在實施過程中，按照現(xiàn)代項目管理的方法，對信息網(wǎng)絡(luò)系統(tǒng)開發(fā)過程中每個階段進行策劃、跟蹤和控制，減輕開發(fā)過程中軟件錯誤的積累放大效應(yīng)，進一步降低開發(fā)過程所花費的成本，同時保障整個信息網(wǎng)絡(luò)系統(tǒng)的質(zhì)量。

［1］謝希仁．計算機網(wǎng)絡(luò).第4版［M］.北京：電子工業(yè)出版社，2007，07.

［2］杭州華三通信技術(shù)有限公司.新一代網(wǎng)絡(luò)建設(shè)理論與實踐［R］，2011，10.

Abstract:In this article，in-depth study on the design of network information system for rail transportation industry is mainly carried out，including an elaboration of principle problems in network design and all parts of the composition in network design．Focusing on the specific implementation of a project，specific contents reflect the points of attention in the network design for rail transportation and a detailed analysis of the network nodes are given in hope of making modest contribution to the construction of information systems．

Key words:Urban rail transit;Information networks;Networking

王慶亮：蘇州軌道交通有限公司 工程師 215004 蘇州

2012-04-18

(責任編輯：諸 紅)