淺析大慶油田NGN承載網結構安全

趙巖 大慶油田通信公司運行管理調度中心 163453

淺析大慶油田NGN承載網結構安全

趙巖 大慶油田通信公司運行管理調度中心 163453

大慶油田NGN承載網實際就IP承載網，用于承載固話、視頻、重點客戶VPN等業(yè)務，它具有雙平面、雙星雙歸屬的高可靠性結構，對時延、抖動、丟包率、帶寬等指標具有較高要求，完全滿足NGN的需要，并且采用OSPF動態(tài)路由，對路由的選擇更為靈活可靠，軟交換核心設備SS和承載網的冗余結構，保證了NGN核心設備的接入安全。NGN在大慶油田的實現，推動了固網的轉型，實現網絡智能化改造，進一步推進三網融合在大慶油田的應用和發(fā)展。

NGN；冗余；承載網；防火墻

前言

大慶油田通信公司固網智能化改造工程已進入割接投產階段，此工程的投產標志著我公司固話網又一次技術飛躍的開始。在電路交換向軟交換過渡時期，這個新建的NGN網一方面是一個以軟交換為核心的，能夠提供包括語音、數據、視頻和多媒體業(yè)務的基于分組技術的綜合開放的網絡，一方面要能夠與原有固話程控交換機無縫對接，有機融合。除了能為固話用戶提供傳統(tǒng)業(yè)務外，還要能提供數據和視頻等各種新興的智能業(yè)務。

為了讓固話用戶能體驗到與原來一樣的語音實時通話效果，對NGN網的時延、抖動、丟包率、穩(wěn)定性等指標的要求都要高于寬帶數據網。因此公司在這次工程中建設了一張專用IP網，用于承載固話、視頻、重點客戶VPN等業(yè)務。我們稱之為NGN承載網。

大慶油田NGN承載網主要由中興T600路由器、8908、5952E交換機等設備組成，為保證東風和龍南兩側軟交換核心容災，采用雙平面、雙星雙歸屬的高可靠性設計，精心設計各種情況下的冗余切換模型。

1 骨干網結構

骨干網由T600路由器、8908、5952E交換機組成。東風和龍南各有一臺T600和8908，各有兩臺5952E，其中T600之間雙萬兆相連，兩臺 8908分別與兩臺T600萬兆相連，四臺5952E分別與兩臺T600雙千兆相連如圖1。

圖1 NGN承載網骨干網絡結構

2 承載網和軟交換核心SS對接結構

為確保軟交換核心設備SS業(yè)務和安全，SS主備板分別通過兩臺Juniper防火墻接入承載網。下面闡述在各種情況下主備用切換，確保SS側設備與承載網的連通不中斷。

SS側設備出兩根鏈路分別是1和2，5952E-1與Juniper防火墻-1之間的鏈路為3，4，5952E-2與Juniper防火墻-2之間的鏈路為5，6，其中1，3鏈路，2，5鏈路用于vlan透傳，SS側設備的網關在Juniper防火墻上，2臺防火墻之間采用HA鏈路連接用于同步，對外提供統(tǒng)一的接口地址（含上行出口和用戶網關）；T600、5952E-1、5952E-2之間的鏈路是7，8，在兩臺5952E設備上開啟了VRRP協(xié)議，以保證對防火墻只有一個出口地址；正常情況下，SS側設備的數據是由主用網口發(fā)出，即鏈路1發(fā)送和接收，備用網口（鏈路2）是非工作狀態(tài)，不轉發(fā)和接收數據（圖2）。

圖2 軟交換核心SS冗余結構

SS設備主用網口正常時，數據的走向都是： SS側設備→鏈路1→5952E-1→鏈路3→ Juniper防火墻-1→鏈路4-→5952E-1→T600；有以下6種主備冗余情況：

（1）當5952E-1與Juniper防火墻-1之間的3，4鏈路斷掉任何一條，Juniper防火墻會自動切換到Juniper防火墻-2上，此時的數據走向為：SS側設備→鏈路1→5952E-1→VRRP心跳線→5952E-02→鏈路5→Juniper防火墻-2→鏈路6-→5952E-2→T600。

（2）當5952E-2與Juniper防火墻-2之間的5，6鏈路斷掉任何一條，因此時Juniper防火墻-2為備用，此時不會發(fā)生防火墻的主備切換，數據走向還是：SS側設備→鏈路1→5952E-1→鏈路3→Juniper防火墻-1→鏈路4-→5952E-1→T600。

（3）當Juniper防火墻-1掉電，Juniper防火墻會自動切換到Juniper防火墻-2上，此時的數據走向為：SS側設備→鏈路1→5952E-1→VRRP心跳線→5952E-02→鏈路5→Juniper防火墻-2→鏈路6-→5952E-2→T600。

（4）當Juniper防火墻-2掉電，因此時Juniper防火墻-2為備用，此時不會發(fā)生防火墻的主備切換，數據走向還是：SS側設備→鏈路1→5952E-1→鏈路3→Juniper防火墻-1→鏈路4-→5952E-1→T600。

（5）當交換機5952E-1掉電之后，SS側設備檢測主用接口已斷，切換到備用端口，防火墻也檢測到接口斷，切換到Juniper防火墻-02，此時的數據走向為：SS側設備→鏈路2→5952E-2→鏈路5→Juniper防火墻-2→鏈路6→5952E-2→T600。

（6）當交換機5952E-2掉電之后，因為5952E-02和Juniper防火墻-2都處于備用狀態(tài)，此次數據流量不受影響，此時的數據走向為：SS側設備→鏈路1→5952E-1→鏈路3→Juniper防火墻-1→鏈路4-→5952E-1→T600。

當SS側主用網口失效，備用網口接替，Juniper防火墻-01主用時，數據的走向為： SS側設備→鏈路2→5952E-2→VRRP心跳線→5952E-1→鏈路3→Juniper防火墻-1→鏈路4→5952E-1→T600；有以下兩種主備冗余情況：

第一種情況是當5952E-1與Juniper防火墻-1之間的3，4鏈路斷掉任何一條，Juniper防火墻會自動切換到Juniper防火墻-2上，此時的數據走向為：SS側設備→鏈路2→5952E-2→鏈路5→Juniper防火墻-2→鏈路6→5952E-2→T600。

第二種情況是當5952E-2與Juniper防火墻-2之間的5，6鏈路斷掉任何一條，因此時Juniper防火墻-2為備用，此時不會發(fā)生防火墻的主備切換，數據走向還是：SS側設備→鏈路2→5952E-2→VRRP心跳線→5952E-1→鏈路3→Juniper防火墻-1→鏈路4→5952E-1→T600。

主備Juniper防火墻之間HA鏈路必須完好，否則兩臺防火墻沒有心跳線，都會認為自己是主用，這樣它們對SS側和對5952E交換機接口IP相同，數據無法正常交換。同樣5952E交換機之間心跳線也必須完好，否則無法實現SS設備主用網口正常時的第3種情況和SS側主用網口失效備用網口接替，Juniper防火墻-01主用的情況。

基于以上考慮，Juniper防火墻的HA鏈路和5952E之間均采用雙心跳線。

3 結語

大慶油田NGN承載網實際就IP承載網，采用雙平面、雙星雙歸屬的高可靠性結構，實現NGN業(yè)務的承載。軟交換核心設備與承載網的冗余結構，保證了NGN核心設備的安全。NGN在大慶油田的實現，推動了固網的轉型，實現網絡智能化改造，進一步推進三網融合在大慶油田的應

10.3969/j.issn.1001-8972.2011.13.044

趙巖：助理工程師，2006年畢業(yè)于哈爾濱理工大學通信工程專業(yè)。