蔡 銘，李燕偉，黃炳飛，鄧小先

（中國(guó)電信股份有限公司韶關(guān)分公司 韶關(guān) 512023）

1 引言

韶關(guān)市“人社專(zhuān)網(wǎng)”是涵蓋韶關(guān)市三區(qū)七縣的專(zhuān)用網(wǎng)絡(luò)，橫向連接稅務(wù)、銀行、政府等部門(mén)，縱向連接省人事廳、區(qū)縣社保直屬單位，面向社會(huì)定點(diǎn)醫(yī)療機(jī)構(gòu)（如醫(yī)院、藥店、衛(wèi)生院等）。因此人力資源和社會(huì)保障局（以下簡(jiǎn)稱人社局）的“人社專(zhuān)網(wǎng)”是一個(gè)對(duì)穩(wěn)定性、擴(kuò)展性、靈活性、安全性等要求極高的網(wǎng)絡(luò)。隨著韶關(guān)二代社會(huì)保障卡的發(fā)行，需要在社保卡上加載銀行業(yè)務(wù)，最終實(shí)現(xiàn)一卡多用、全國(guó)通用的目標(biāo)，對(duì)“人社專(zhuān)網(wǎng)”建設(shè)提出更高的要求。

2 客戶網(wǎng)絡(luò)現(xiàn)狀

人社局原采用其他運(yùn)營(yíng)商進(jìn)行組網(wǎng)，隨著社保信息化的發(fā)展，特別是社?？ǖ钠占埃枰獙?duì)運(yùn)營(yíng)商的網(wǎng)絡(luò)支撐能力提出更高的要求。人社局原組網(wǎng)拓?fù)淙鐖D1所示。廣電各種組網(wǎng)類(lèi)型分析見(jiàn)表1。

經(jīng)過(guò)對(duì)人社局網(wǎng)絡(luò)的診斷和分析，發(fā)現(xiàn)客戶現(xiàn)網(wǎng)存在以下問(wèn)題。

（1）客戶匯聚光纜未成環(huán)保護(hù)

客戶所有業(yè)務(wù)通過(guò)單一光纜匯聚到人社局總部，一旦光纜中斷，業(yè)務(wù)將大面積癱瘓，嚴(yán)重影響人社局內(nèi)部辦公和社會(huì)定點(diǎn)醫(yī)療機(jī)構(gòu)的社保卡應(yīng)用。

圖1 人社局原組網(wǎng)拓?fù)?/p>

表1 廣電各種組網(wǎng)類(lèi)型分析

（2）通過(guò)其他運(yùn)營(yíng)商互聯(lián)網(wǎng)組網(wǎng)存在局限性

其他運(yùn)營(yíng)商在互聯(lián)網(wǎng)搭建VPN服務(wù)器，部分定點(diǎn)醫(yī)療機(jī)構(gòu)通過(guò)租用電信互聯(lián)網(wǎng)訪問(wèn)VPN社保業(yè)務(wù)。運(yùn)營(yíng)商互聯(lián)互通的局限性，造成網(wǎng)絡(luò)效率極低，嚴(yán)重影響客戶感知。

（3）網(wǎng)絡(luò)設(shè)計(jì)不合理，網(wǎng)絡(luò)故障率較高

其他運(yùn)營(yíng)商將所有接入網(wǎng)點(diǎn)匯聚到廣電機(jī)房，并沒(méi)有對(duì)每個(gè)接入點(diǎn)進(jìn)行有效隔離，容易出現(xiàn)環(huán)路、廣播風(fēng)暴等故障，不利于整個(gè)“人社專(zhuān)網(wǎng)”運(yùn)營(yíng)的穩(wěn)定性。

3 網(wǎng)絡(luò)實(shí)施和組網(wǎng)方案

3.1 網(wǎng)絡(luò)總體設(shè)計(jì)

通過(guò)仔細(xì)分析客戶網(wǎng)絡(luò)需求，發(fā)現(xiàn)客戶業(yè)務(wù)種類(lèi)多，各種業(yè)務(wù)對(duì)網(wǎng)絡(luò)的需求不同，需通過(guò)多種組網(wǎng)手段實(shí)現(xiàn)其網(wǎng)絡(luò)建設(shè)需求。通過(guò)對(duì)客戶的需求分析，設(shè)計(jì)網(wǎng)絡(luò)邏輯拓?fù)淙鐖D2所示。

“人社專(zhuān)網(wǎng)”組網(wǎng)類(lèi)型分類(lèi)見(jiàn)表2。按照規(guī)劃用戶網(wǎng)絡(luò)類(lèi)型可分為以下幾類(lèi)。

·普通藥店社保刷卡組網(wǎng)：主要是一些小衛(wèi)生院、衛(wèi)生服務(wù)站、普通散點(diǎn)藥店等定點(diǎn)醫(yī)療機(jī)構(gòu)。這類(lèi)用戶特點(diǎn)是分布在較繁華街道，流動(dòng)性大，對(duì)人社局管控要求較高。

·連鎖藥店和大型醫(yī)療機(jī)構(gòu)社保刷卡組網(wǎng)：主要用于大型醫(yī)療機(jī)構(gòu)和連鎖藥店的醫(yī)保應(yīng)用，如二級(jí)甲等以上醫(yī)院、連鎖大藥店等，這類(lèi)用戶的特點(diǎn)是網(wǎng)絡(luò)帶寬、網(wǎng)絡(luò)穩(wěn)定性要求高，且一般都有二級(jí)內(nèi)部組網(wǎng)需求。

·人社直屬和鄉(xiāng)鎮(zhèn)業(yè)務(wù)辦公組網(wǎng)：主要是人社局內(nèi)部市直、區(qū)直人保辦事機(jī)構(gòu)業(yè)務(wù)辦公應(yīng)用。這類(lèi)單位不僅需要訪問(wèn)人保系統(tǒng)內(nèi)的共有平臺(tái)，還要訪問(wèn)本單位或?qū)I(yè)的自由平臺(tái)，這類(lèi)用戶的特點(diǎn)是網(wǎng)絡(luò)帶寬要求較高，網(wǎng)絡(luò)穩(wěn)定性要求高。

圖2 “人社專(zhuān)網(wǎng)”設(shè)計(jì)組網(wǎng)邏輯拓?fù)?/p>

·外聯(lián)業(yè)務(wù)單位辦公組網(wǎng)：主要是銀聯(lián)、人行、地稅、郵儲(chǔ)業(yè)務(wù)接入。這類(lèi)單位不屬于人社系統(tǒng)內(nèi)的單位，涉及金融交易，其安全等級(jí)要求較高。

·其他廣域網(wǎng)接入訪問(wèn)：如電子政務(wù)內(nèi)網(wǎng)、電子政務(wù)外網(wǎng)、互聯(lián)網(wǎng)。

3.2 網(wǎng)絡(luò)方案實(shí)施

3.2.1 人社局直屬機(jī)構(gòu)和大型定點(diǎn)醫(yī)療機(jī)構(gòu)組網(wǎng)

人社局直屬機(jī)構(gòu)和大型定點(diǎn)醫(yī)療機(jī)構(gòu)業(yè)務(wù)種類(lèi)多，應(yīng)用復(fù)雜。特別是定點(diǎn)機(jī)構(gòu)還需要為刷卡PC和IP POS機(jī)單獨(dú)組網(wǎng)。采用MPLS VPN技術(shù)可以在一個(gè)統(tǒng)一的物理網(wǎng)絡(luò)上實(shí)現(xiàn)多個(gè)邏輯上相互獨(dú)立的VPN專(zhuān)網(wǎng)，該特性非常適合于構(gòu)建大型城域網(wǎng)運(yùn)營(yíng)支撐，本次項(xiàng)目主要采用三層和二層VPLS技術(shù)，在韶關(guān)城域網(wǎng)給人社局搭建一張“人社專(zhuān)網(wǎng)”，其網(wǎng)絡(luò)拓?fù)淙鐖D3所示。

連鎖藥店和大型定點(diǎn)機(jī)構(gòu)先通過(guò)VPLS-VPN對(duì)大型機(jī)構(gòu)進(jìn)行內(nèi)部組網(wǎng)。所有連鎖網(wǎng)點(diǎn)匯聚到交換機(jī)上并與客戶CE路由器相連。用戶CE路由器到PE路由器之間通過(guò)二層VPLS-VPN實(shí)現(xiàn)，并通過(guò)PE路由器獲取到10.30.0.0/16（該地址段為人社局內(nèi)部直屬單位、大型醫(yī)療機(jī)構(gòu)和大型醫(yī)療機(jī)構(gòu)POS機(jī)的規(guī)劃地址段）。電信三區(qū)七縣每個(gè)電信局將配置一臺(tái)華為3328作為PE路由器，人社局總部新建設(shè)一臺(tái)阿爾卡特7750作為P路由器，用戶獲取到10.30.0.0/16之后通過(guò)路由協(xié)議到達(dá)P路由器，P路由器與人社局總部路由器之間通過(guò)靜態(tài)路由實(shí)現(xiàn)用戶刷卡PC、POS機(jī)與人社總部服務(wù)器、銀聯(lián)刷卡服務(wù)器之間的互訪。

圖3 大型醫(yī)療機(jī)構(gòu)和人社直屬單位組網(wǎng)拓?fù)?/p>

圖4 藥店和小型醫(yī)療機(jī)構(gòu)組網(wǎng)拓?fù)?/p>

3.2.2 普通藥店和小型定點(diǎn)醫(yī)療機(jī)構(gòu)組網(wǎng)

普通藥店主要分布在人群較密集的區(qū)域，數(shù)量較大（接近本次組網(wǎng)接入網(wǎng)點(diǎn)總數(shù)的一半）。通過(guò)MPLS-VPN組網(wǎng)技術(shù)，每個(gè)藥店都采取FTTO接入+分配一個(gè)固定私網(wǎng)IP地址的模式。

MPLS-VPN組網(wǎng)主要涉及韶關(guān)城域網(wǎng)的設(shè)備P/PE路由器，14臺(tái)寬帶接入服務(wù)器華為ME60、11臺(tái)業(yè)務(wù)承載路由器SR7750，相互之間開(kāi)啟MPLS協(xié)議，將10.50.0.0/19（POS機(jī)規(guī)劃的IP地址段）和10.18.0.0/19（藥店規(guī)劃的IP地址段）在韶關(guān)城域網(wǎng)內(nèi)播布，同理給每個(gè)局向分配一個(gè)網(wǎng)關(guān)和一個(gè)C類(lèi)的IP地址段。藥店和小型醫(yī)療機(jī)構(gòu)組網(wǎng)拓?fù)淙鐖D4所示。

為實(shí)現(xiàn)分點(diǎn)POS機(jī)進(jìn)行刷卡通信服務(wù)和藥店到人社總部的數(shù)據(jù)通信，分別將10.50.0.0/19和10.18.0.0/19的IP段地址通過(guò)MPLS協(xié)議將路由播布到其中一臺(tái)SR7750（P路由器），從P路由器通過(guò)靜態(tài)路由把銀聯(lián)服務(wù)器群地址段指向銀聯(lián)系統(tǒng)的路由器接口地址，再?gòu)你y聯(lián)路由器把10.50.0.0/19回指P路由器；同理通過(guò)靜態(tài)路由方式實(shí)現(xiàn)10.18.0.0/19段數(shù)據(jù)的連通。通過(guò)上述數(shù)據(jù)配置，實(shí)現(xiàn)光“貓”終端獲取10.50.0.0/19和10.18.0.0/19段的兩個(gè)IP地址。

刷卡PC通過(guò)訪問(wèn)人社局VPN服務(wù)器認(rèn)證，進(jìn)行社保數(shù)據(jù)的傳送。POS機(jī)通過(guò)到銀聯(lián)的路由器，訪問(wèn)銀聯(lián)刷卡服務(wù)器。為保障刷卡和社保的安全性，光“貓”下聯(lián)的所有終端在韶關(guān)城域網(wǎng)內(nèi)通過(guò)MPLS-VPN邏輯隔離，嚴(yán)格管控10.50.0.0/19和10.18.0.0/19地址的使用。在人社局總部，P路由器與人社局核心交換機(jī)及銀聯(lián)路由器通過(guò)防火墻進(jìn)行安全策略防范，保證社保業(yè)務(wù)數(shù)據(jù)通信安全。

3.2.3 外聯(lián)單位組網(wǎng)介紹

人社局、銀聯(lián)、中國(guó)人民銀行、中國(guó)農(nóng)業(yè)銀行等總部都配備了電信Metro1000傳輸設(shè)備，并實(shí)施了1+1雙路由備份，形成環(huán)保護(hù)。通過(guò)在Metro 1000傳輸設(shè)備以太網(wǎng)接口上配置點(diǎn)對(duì)點(diǎn)鏈路，開(kāi)通人社局到銀聯(lián)及各大銀行的點(diǎn)對(duì)點(diǎn)鏈路，組網(wǎng)拓?fù)淙鐖D5所示。

3.2.4 推廣3G無(wú)線備份方式

隨著二代社保卡的普及應(yīng)用，大型醫(yī)院、連鎖藥店或者一些業(yè)務(wù)量較大的藥店對(duì)鏈路的穩(wěn)定性要求極高。社保應(yīng)用不但關(guān)系到這些醫(yī)療機(jī)構(gòu)的經(jīng)濟(jì)效益，而且關(guān)系到廣大社?？ǔ钟姓邔?duì)韶關(guān)社保服務(wù)的感知。中國(guó)電信股份有限公司韶關(guān)分公司承諾為所有“人社專(zhuān)網(wǎng)”用戶提供<6 h的維護(hù)時(shí)限。本項(xiàng)目搭建了一臺(tái)VPN服務(wù)器專(zhuān)用于客戶3G的無(wú)線備份。當(dāng)客戶發(fā)生網(wǎng)絡(luò)故障時(shí)，可快速通過(guò)3G無(wú)線網(wǎng)卡恢復(fù)其業(yè)務(wù)，如圖6所示。

圖5 MSTP組網(wǎng)拓?fù)?/p>

圖6 客戶3G應(yīng)用模型

4 結(jié)束語(yǔ)

本次“人社專(zhuān)網(wǎng)”項(xiàng)目建設(shè)，從2012年2月開(kāi)始，僅用了2個(gè)多月，完成近700個(gè)網(wǎng)點(diǎn)的建設(shè)，網(wǎng)絡(luò)基本達(dá)到原設(shè)計(jì)目標(biāo)，網(wǎng)絡(luò)運(yùn)行正常。網(wǎng)絡(luò)運(yùn)行情況表明：

·符合人社局“人社專(zhuān)網(wǎng)”建設(shè)的總體規(guī)劃，所有網(wǎng)絡(luò)信息點(diǎn)通過(guò)光纖接入，充分考慮到社保信息化的未來(lái)發(fā)展趨勢(shì)和需求；有較好的可擴(kuò)展、可靠性、穩(wěn)定性和先進(jìn)性；

·采用多種組網(wǎng)技術(shù)應(yīng)用，特別是采用FTTO接入技術(shù)成功實(shí)施組網(wǎng)，技術(shù)思路正確，滿足用戶多業(yè)務(wù)接入需求，有效節(jié)省網(wǎng)絡(luò)光纜資源的投入，降低網(wǎng)絡(luò)運(yùn)行和維護(hù)費(fèi)用；

·采用3G無(wú)線備份技術(shù)，進(jìn)行網(wǎng)絡(luò)應(yīng)急備份，大大縮短了客戶網(wǎng)絡(luò)故障的時(shí)限，保障客戶利益，提升客戶感知。

總體網(wǎng)絡(luò)設(shè)計(jì)規(guī)劃合理，采用的組網(wǎng)技術(shù)較先進(jìn)，是韶關(guān)本地FTTx光接入技術(shù)在大客戶組網(wǎng)業(yè)務(wù)的一次很好的范本和案例。