淺析大慶油田NGN承載網(wǎng)結(jié)構(gòu)安全

趙巖 大慶油田通信公司運(yùn)行管理調(diào)度中心 163453

淺析大慶油田NGN承載網(wǎng)結(jié)構(gòu)安全

趙巖 大慶油田通信公司運(yùn)行管理調(diào)度中心 163453

大慶油田NGN承載網(wǎng)實(shí)際就IP承載網(wǎng)，用于承載固話、視頻、重點(diǎn)客戶VPN等業(yè)務(wù)，它具有雙平面、雙星雙歸屬的高可靠性結(jié)構(gòu)，對(duì)時(shí)延、抖動(dòng)、丟包率、帶寬等指標(biāo)具有較高要求，完全滿足NGN的需要，并且采用OSPF動(dòng)態(tài)路由，對(duì)路由的選擇更為靈活可靠，軟交換核心設(shè)備SS和承載網(wǎng)的冗余結(jié)構(gòu)，保證了NGN核心設(shè)備的接入安全。NGN在大慶油田的實(shí)現(xiàn)，推動(dòng)了固網(wǎng)的轉(zhuǎn)型，實(shí)現(xiàn)網(wǎng)絡(luò)智能化改造，進(jìn)一步推進(jìn)三網(wǎng)融合在大慶油田的應(yīng)用和發(fā)展。

NGN；冗余；承載網(wǎng)；防火墻

前言

大慶油田通信公司固網(wǎng)智能化改造工程已進(jìn)入割接投產(chǎn)階段，此工程的投產(chǎn)標(biāo)志著我公司固話網(wǎng)又一次技術(shù)飛躍的開始。在電路交換向軟交換過渡時(shí)期，這個(gè)新建的NGN網(wǎng)一方面是一個(gè)以軟交換為核心的，能夠提供包括語音、數(shù)據(jù)、視頻和多媒體業(yè)務(wù)的基于分組技術(shù)的綜合開放的網(wǎng)絡(luò)，一方面要能夠與原有固話程控交換機(jī)無縫對(duì)接，有機(jī)融合。除了能為固話用戶提供傳統(tǒng)業(yè)務(wù)外，還要能提供數(shù)據(jù)和視頻等各種新興的智能業(yè)務(wù)。

為了讓固話用戶能體驗(yàn)到與原來一樣的語音實(shí)時(shí)通話效果，對(duì)NGN網(wǎng)的時(shí)延、抖動(dòng)、丟包率、穩(wěn)定性等指標(biāo)的要求都要高于寬帶數(shù)據(jù)網(wǎng)。因此公司在這次工程中建設(shè)了一張專用IP網(wǎng)，用于承載固話、視頻、重點(diǎn)客戶VPN等業(yè)務(wù)。我們稱之為NGN承載網(wǎng)。

大慶油田NGN承載網(wǎng)主要由中興T600路由器、8908、5952E交換機(jī)等設(shè)備組成，為保證東風(fēng)和龍南兩側(cè)軟交換核心容災(zāi)，采用雙平面、雙星雙歸屬的高可靠性設(shè)計(jì)，精心設(shè)計(jì)各種情況下的冗余切換模型。

1 骨干網(wǎng)結(jié)構(gòu)

骨干網(wǎng)由T600路由器、8908、5952E交換機(jī)組成。東風(fēng)和龍南各有一臺(tái)T600和8908，各有兩臺(tái)5952E，其中T600之間雙萬兆相連，兩臺(tái) 8908分別與兩臺(tái)T600萬兆相連，四臺(tái)5952E分別與兩臺(tái)T600雙千兆相連如圖1。

圖1 NGN承載網(wǎng)骨干網(wǎng)絡(luò)結(jié)構(gòu)

2 承載網(wǎng)和軟交換核心SS對(duì)接結(jié)構(gòu)

為確保軟交換核心設(shè)備SS業(yè)務(wù)和安全，SS主備板分別通過兩臺(tái)Juniper防火墻接入承載網(wǎng)。下面闡述在各種情況下主備用切換，確保SS側(cè)設(shè)備與承載網(wǎng)的連通不中斷。

SS側(cè)設(shè)備出兩根鏈路分別是1和2，5952E-1與Juniper防火墻-1之間的鏈路為3，4，5952E-2與Juniper防火墻-2之間的鏈路為5，6，其中1，3鏈路，2，5鏈路用于vlan透?jìng)?，SS側(cè)設(shè)備的網(wǎng)關(guān)在Juniper防火墻上，2臺(tái)防火墻之間采用HA鏈路連接用于同步，對(duì)外提供統(tǒng)一的接口地址（含上行出口和用戶網(wǎng)關(guān)）；T600、5952E-1、5952E-2之間的鏈路是7，8，在兩臺(tái)5952E設(shè)備上開啟了VRRP協(xié)議，以保證對(duì)防火墻只有一個(gè)出口地址；正常情況下，SS側(cè)設(shè)備的數(shù)據(jù)是由主用網(wǎng)口發(fā)出，即鏈路1發(fā)送和接收，備用網(wǎng)口（鏈路2）是非工作狀態(tài)，不轉(zhuǎn)發(fā)和接收數(shù)據(jù)（圖2）。

圖2 軟交換核心SS冗余結(jié)構(gòu)

SS設(shè)備主用網(wǎng)口正常時(shí)，數(shù)據(jù)的走向都是： SS側(cè)設(shè)備→鏈路1→5952E-1→鏈路3→ Juniper防火墻-1→鏈路4-→5952E-1→T600；有以下6種主備冗余情況：

（1）當(dāng)5952E-1與Juniper防火墻-1之間的3，4鏈路斷掉任何一條，Juniper防火墻會(huì)自動(dòng)切換到Juniper防火墻-2上，此時(shí)的數(shù)據(jù)走向?yàn)椋篠S側(cè)設(shè)備→鏈路1→5952E-1→VRRP心跳線→5952E-02→鏈路5→Juniper防火墻-2→鏈路6-→5952E-2→T600。

（2）當(dāng)5952E-2與Juniper防火墻-2之間的5，6鏈路斷掉任何一條，因此時(shí)Juniper防火墻-2為備用，此時(shí)不會(huì)發(fā)生防火墻的主備切換，數(shù)據(jù)走向還是：SS側(cè)設(shè)備→鏈路1→5952E-1→鏈路3→Juniper防火墻-1→鏈路4-→5952E-1→T600。

（3）當(dāng)Juniper防火墻-1掉電，Juniper防火墻會(huì)自動(dòng)切換到Juniper防火墻-2上，此時(shí)的數(shù)據(jù)走向?yàn)椋篠S側(cè)設(shè)備→鏈路1→5952E-1→VRRP心跳線→5952E-02→鏈路5→Juniper防火墻-2→鏈路6-→5952E-2→T600。

（4）當(dāng)Juniper防火墻-2掉電，因此時(shí)Juniper防火墻-2為備用，此時(shí)不會(huì)發(fā)生防火墻的主備切換，數(shù)據(jù)走向還是：SS側(cè)設(shè)備→鏈路1→5952E-1→鏈路3→Juniper防火墻-1→鏈路4-→5952E-1→T600。

（5）當(dāng)交換機(jī)5952E-1掉電之后，SS側(cè)設(shè)備檢測(cè)主用接口已斷，切換到備用端口，防火墻也檢測(cè)到接口斷，切換到Juniper防火墻-02，此時(shí)的數(shù)據(jù)走向?yàn)椋篠S側(cè)設(shè)備→鏈路2→5952E-2→鏈路5→Juniper防火墻-2→鏈路6→5952E-2→T600。

（6）當(dāng)交換機(jī)5952E-2掉電之后，因?yàn)?952E-02和Juniper防火墻-2都處于備用狀態(tài)，此次數(shù)據(jù)流量不受影響，此時(shí)的數(shù)據(jù)走向?yàn)椋篠S側(cè)設(shè)備→鏈路1→5952E-1→鏈路3→Juniper防火墻-1→鏈路4-→5952E-1→T600。

當(dāng)SS側(cè)主用網(wǎng)口失效，備用網(wǎng)口接替，Juniper防火墻-01主用時(shí)，數(shù)據(jù)的走向?yàn)椋?SS側(cè)設(shè)備→鏈路2→5952E-2→VRRP心跳線→5952E-1→鏈路3→Juniper防火墻-1→鏈路4→5952E-1→T600；有以下兩種主備冗余情況：

第一種情況是當(dāng)5952E-1與Juniper防火墻-1之間的3，4鏈路斷掉任何一條，Juniper防火墻會(huì)自動(dòng)切換到Juniper防火墻-2上，此時(shí)的數(shù)據(jù)走向?yàn)椋篠S側(cè)設(shè)備→鏈路2→5952E-2→鏈路5→Juniper防火墻-2→鏈路6→5952E-2→T600。

第二種情況是當(dāng)5952E-2與Juniper防火墻-2之間的5，6鏈路斷掉任何一條，因此時(shí)Juniper防火墻-2為備用，此時(shí)不會(huì)發(fā)生防火墻的主備切換，數(shù)據(jù)走向還是：SS側(cè)設(shè)備→鏈路2→5952E-2→VRRP心跳線→5952E-1→鏈路3→Juniper防火墻-1→鏈路4→5952E-1→T600。

主備Juniper防火墻之間HA鏈路必須完好，否則兩臺(tái)防火墻沒有心跳線，都會(huì)認(rèn)為自己是主用，這樣它們對(duì)SS側(cè)和對(duì)5952E交換機(jī)接口IP相同，數(shù)據(jù)無法正常交換。同樣5952E交換機(jī)之間心跳線也必須完好，否則無法實(shí)現(xiàn)SS設(shè)備主用網(wǎng)口正常時(shí)的第3種情況和SS側(cè)主用網(wǎng)口失效備用網(wǎng)口接替，Juniper防火墻-01主用的情況。

基于以上考慮，Juniper防火墻的HA鏈路和5952E之間均采用雙心跳線。

3 結(jié)語

大慶油田NGN承載網(wǎng)實(shí)際就IP承載網(wǎng)，采用雙平面、雙星雙歸屬的高可靠性結(jié)構(gòu)，實(shí)現(xiàn)NGN業(yè)務(wù)的承載。軟交換核心設(shè)備與承載網(wǎng)的冗余結(jié)構(gòu)，保證了NGN核心設(shè)備的安全。NGN在大慶油田的實(shí)現(xiàn)，推動(dòng)了固網(wǎng)的轉(zhuǎn)型，實(shí)現(xiàn)網(wǎng)絡(luò)智能化改造，進(jìn)一步推進(jìn)三網(wǎng)融合在大慶油田的應(yīng)

10.3969/j.issn.1001-8972.2011.13.044

趙巖：助理工程師，2006年畢業(yè)于哈爾濱理工大學(xué)通信工程專業(yè)。