鐵路外部服務(wù)數(shù)據(jù)通信骨干網(wǎng)的建設(shè)研究

高婷婷

(1.北京全路通信信號研究設(shè)計院集團有限公司，北京 100073；2.北京市高速鐵路運行控制系統(tǒng)工程技術(shù)研究中心，北京 100073)

1 概述

鐵路外部服務(wù)網(wǎng)是總公司、鐵路局兩級獨立局域網(wǎng)，目前運行著客服中心語音平臺、12306網(wǎng)站、95306網(wǎng)站等對外經(jīng)營服務(wù)應(yīng)用系統(tǒng)，是面向社會公眾開展經(jīng)營服務(wù)的主要信息渠道。目前這些鐵路對外經(jīng)營服務(wù)和客服中心存在互聯(lián)互通需要，同時，客服中心聯(lián)網(wǎng)運行和總公司新增客貨業(yè)務(wù)對通信通道能力提出更高的要求，在這種情況下，如何建設(shè)鐵路外部服務(wù)數(shù)據(jù)通信骨干網(wǎng)以消除現(xiàn)有通道瓶頸并提高寬帶網(wǎng)絡(luò)能力就至關(guān)重要。

2 鐵路外部服務(wù)數(shù)據(jù)通信骨干網(wǎng)現(xiàn)狀

鐵路外部服務(wù)網(wǎng)承載的各系統(tǒng)主要包括鐵路客戶服務(wù)中心平臺、對外服務(wù)網(wǎng)站（總公司門戶、12306、95306、鐵路物資采購招商網(wǎng)等）、中外電子數(shù)據(jù)交換平臺、共用信息平臺、移動辦公系統(tǒng)、站車Wi-Fi運營服務(wù)系統(tǒng)等。外部服務(wù)數(shù)據(jù)網(wǎng)是指實現(xiàn)總公司、鐵路局、路局內(nèi)車站和動車所的外部服務(wù)網(wǎng)（局域網(wǎng)）互聯(lián)的廣域網(wǎng)，目前尚未建設(shè)。因此，目前鐵路外部服務(wù)網(wǎng)相關(guān)系統(tǒng)大多部署在鐵路總公司、鐵路局兩級，在全路范圍相互間沒有實現(xiàn)互聯(lián)互通，各平臺間的互聯(lián)需要先通過路局內(nèi)/外網(wǎng)安全平臺的數(shù)據(jù)擺渡，再通過內(nèi)部TMIS網(wǎng)絡(luò)或者互聯(lián)網(wǎng)進行數(shù)據(jù)交互，如圖1所示。

圖1 兩級信息系統(tǒng)互聯(lián)組網(wǎng)現(xiàn)狀Fig.1 Networking status of two-level information systems interconnection

目前，鐵路骨干OTN傳輸網(wǎng)京滬穗、東北環(huán)、西北環(huán)、西南環(huán)均已建成并投入使用，骨干傳輸網(wǎng)的建設(shè)將為鐵路外部服務(wù)數(shù)據(jù)網(wǎng)骨干網(wǎng)提供必要的基礎(chǔ)傳輸條件。

3 承載業(yè)務(wù)需求分析及帶寬測算

3.1 鐵路客戶服務(wù)中心平臺

客戶服務(wù)中心平臺系統(tǒng)帶寬需求測算如下：

1）語音呼叫帶寬需求：按照1路語音通話占用帶寬100 kbit/s，語音通話容忍網(wǎng)絡(luò)最大延時100 ms，最大跨局電話按路局最大席位數(shù)的10%測算（含轉(zhuǎn)入、轉(zhuǎn)出）。

2）視頻呼叫帶寬需求：按照全國集中接入視頻呼叫的模式，1路視頻通話占用帶寬512～1 024 kbit/s，取1 024 kbit/s；最大并發(fā)按1個局2路計算。

3）文字多媒體帶寬需求：屬于非即時通訊，并發(fā)較少，整體上可不用單獨計算。

4）業(yè)務(wù)系統(tǒng)占用帶寬：按照業(yè)務(wù)系統(tǒng)集中部署的方式，平均1次操作產(chǎn)生流量80～2 048 kb，參考經(jīng)驗值取800 kb。最大并發(fā)數(shù)按照高峰期席位數(shù)的50%計算，不足1個按1個計算。

5）網(wǎng)絡(luò)冗余需求：按照每個單位預(yù)留20%的帶寬冗余考慮，應(yīng)對特殊的峰值現(xiàn)象。具體峰值情況與業(yè)務(wù)系統(tǒng)訪問的并發(fā)規(guī)律有關(guān)。

6）視頻監(jiān)控需求：由于目前視頻監(jiān)控系統(tǒng)支持多種高清視頻格式，視頻監(jiān)控帶寬按照每個路局4 Mbit/s考慮。

7）視頻培訓(xùn)需求：按照1/5的座席量進行實際估算，1個座席占用1 Mbit/s帶寬。

3.2 站車Wi-Fi系統(tǒng)

1）后臺內(nèi)容同步帶寬

總公司傳輸?shù)借F路局的數(shù)據(jù)量按照每年約2.6 T更新內(nèi)容計算，按照每天4 h不間斷更新計算，總公司至單個鐵路局的平均帶寬需求約為：

2.6 T×8×1 024×1 024/365/4/3 600=4.14 Mbit/s

鐵路局傳輸?shù)杰囌炯皠榆囁臄?shù)據(jù)量按照每年2.5 T更新內(nèi)容計算，按照每天4 h不間斷更新計算，鐵路局至單個車站或動車所的平均帶寬需求約為：

2.5 T×8×1 024×1 024/365/4/3 600=4.02 Mbit/s

2）旅客上網(wǎng)帶寬

旅客上網(wǎng)由各路局在局內(nèi)設(shè)置統(tǒng)一互聯(lián)網(wǎng)出口，大站（特等站、一等站）旅客互聯(lián)網(wǎng)訪問帶寬200 Mbit/s，小站（二、三等站）旅客互聯(lián)網(wǎng)訪問帶寬50 Mbit/s。

3.3 電話訂票系統(tǒng)

各路局外線電話通過外部服務(wù)數(shù)據(jù)網(wǎng)通道傳輸至總公司電話訂票交換機，其帶寬需求根據(jù)接入中繼數(shù)和高峰E1線數(shù)接入需求測算，同時考慮預(yù)留20%帶寬。

3.4 中國鐵路12306平臺

既有12306網(wǎng)站提供客運購票、貨運以及新推出的網(wǎng)上訂餐、乘意險辦理服務(wù)，此外還即將推出的常旅客積分及服務(wù)，綜合考慮，其帶寬需求按2 Mbit/s計算。

3.5 其他業(yè)務(wù)平臺

其他業(yè)務(wù)平臺主要包括中國鐵路95306平臺、中鐵物資采購與招商平臺、中外電子數(shù)據(jù)交換平臺、共用信息平臺、移動辦公系統(tǒng)、鐵路輿情管理信息系統(tǒng)、鐵路職工網(wǎng)上家園等。這些業(yè)務(wù)平臺帶寬測算均根據(jù)每天各路局峰值并發(fā)訪問次數(shù)、網(wǎng)頁平均大小以及響應(yīng)時間確定。

3.6 未來業(yè)務(wù)預(yù)留

根據(jù)鐵路信息化總體規(guī)劃，2020年鐵路總公司至鐵路局骨干網(wǎng)帶寬將大于20 Gbit/s。同時，鐵路外部服務(wù)網(wǎng)還應(yīng)建設(shè)對公眾服務(wù)的數(shù)據(jù)中心。此外，還將建設(shè)優(yōu)化完善經(jīng)營開發(fā)系統(tǒng)和綜合協(xié)同系統(tǒng)等，因此，鐵路外部服務(wù)數(shù)據(jù)網(wǎng)帶寬規(guī)劃總帶寬的1/5考慮，預(yù)測為4 Gbit/s。

4 技術(shù)方案研究

Multi-Protocal Label Switching Traffic Engineering（MPLS TE）即基于MPLS的流量工程。其一種應(yīng)用就是通過TE的快速重路由（FRR）功能實現(xiàn)網(wǎng)絡(luò)故障保護?；赥E的快速路由FRR（Fast Reroute）局部保護，其實現(xiàn)機制主要是通過對邏輯隧道的保護等效于對物理鏈路或節(jié)點的保護。FRR最早是提供端到端TE隧道途徑的鏈路或節(jié)點失效保護，但是在實際的網(wǎng)絡(luò)應(yīng)用中，逐步演變?yōu)楫?dāng)今應(yīng)用最為廣泛的廣域網(wǎng)鏈路保護，即通常所說的“一跳式保護”。“一跳式”保護在實際網(wǎng)絡(luò)中已經(jīng)有大量部署，是TE FRR應(yīng)用最多的方式。作為在IP層面唯一可以提供50 ms級別的故障恢復(fù)保護機制，可以作為提高網(wǎng)絡(luò)可靠性的嘗試技術(shù)。

目前，鐵路外部服務(wù)數(shù)據(jù)通信網(wǎng)采用輕載原則進行建設(shè)，建議暫不對全網(wǎng)進行流量工程控制。為實現(xiàn)重要鏈路的50 ms倒換，建議在轉(zhuǎn)發(fā)層面實施基于TE的FRR。

5 建設(shè)方案研究

5.1 網(wǎng)絡(luò)方案

針對以上承載業(yè)務(wù)需求分析及帶寬測算，對于鐵路外部服務(wù)數(shù)據(jù)網(wǎng)骨干網(wǎng)（以下簡稱骨干網(wǎng)）的建設(shè)提出以下3個網(wǎng)絡(luò)建設(shè)方案。

方案一：利用既有鐵路骨干傳輸網(wǎng)通道條件，建設(shè)總公司至各鐵路局的骨干網(wǎng)，采用MPSL VPN承載不同業(yè)務(wù)并實現(xiàn)優(yōu)先級控制?？偣拘略O(shè)核心節(jié)點路由設(shè)備2臺，18個鐵路局各設(shè)接入節(jié)點路由設(shè)備2臺，并部署配套客服平臺局域網(wǎng)接入、網(wǎng)管和網(wǎng)絡(luò)安全設(shè)備。

方案二：利用既有鐵路數(shù)據(jù)通信網(wǎng)，新增外部服務(wù)網(wǎng)專用VPN，并對鐵路數(shù)據(jù)通信網(wǎng)接口、安全、帶寬等資源進行補強完善，在總公司、各鐵路局新設(shè)鐵路外部服務(wù)數(shù)據(jù)網(wǎng)邊界防火墻設(shè)備各2臺，就近接入鐵路數(shù)據(jù)通信網(wǎng)，利用既有鐵路數(shù)據(jù)通信網(wǎng)VPN構(gòu)建骨干網(wǎng)絡(luò)并部署配套客服平臺局域網(wǎng)接入和網(wǎng)絡(luò)安全設(shè)備。

方案三：租用電信運營商網(wǎng)絡(luò)通道構(gòu)建外部服務(wù)數(shù)據(jù)網(wǎng)，在總公司、鐵路局外部服務(wù)網(wǎng)邊界部署必要的網(wǎng)絡(luò)安全設(shè)備，實現(xiàn)外部服務(wù)網(wǎng)利用公網(wǎng)運營商資源組網(wǎng)。

對以上3種方案進行比選如下。

1）建設(shè)投資

方案一：需要獨立進行全網(wǎng)路由設(shè)備的建設(shè)，設(shè)備投資較高。

方案二：考慮到安全性，需要在各級節(jié)點新設(shè)獨立的外部服務(wù)網(wǎng)接入防火墻，與方案一相比，設(shè)備投資大。

方案三：考慮到安全性，需要在各級節(jié)點新設(shè)獨立的外部服務(wù)網(wǎng)接入防火墻，設(shè)備投資與方案二相近。但同時需要考慮每年的運營商的網(wǎng)絡(luò)及維護租用費用，會對長期運維帶來很大的成本壓力。

2）網(wǎng)絡(luò)可擴展性

方案一：在傳輸系統(tǒng)具備條件的前提下，網(wǎng)絡(luò)的升級及擴展均可以獨立進行，網(wǎng)絡(luò)擴展最靈活。

方案二：目前數(shù)據(jù)通信網(wǎng)均采用輕載方式設(shè)計，預(yù)留擴展帶寬較多，網(wǎng)絡(luò)擴展靈活。

方案三：網(wǎng)絡(luò)的擴展和升級均受限于商務(wù)條款，網(wǎng)絡(luò)擴展最不靈活。

3）網(wǎng)絡(luò)安全性

方案一：利用傳輸系統(tǒng)提供光通道直接組網(wǎng)，與鐵路數(shù)據(jù)通信網(wǎng)只在部分節(jié)點通過安全平臺實現(xiàn)可控互通，來自互聯(lián)網(wǎng)的攻擊不會影響到鐵路數(shù)據(jù)通信網(wǎng)承載的鐵路內(nèi)部業(yè)務(wù)，安全性最高。

方案二：需要在所有節(jié)點上通過鐵路數(shù)據(jù)通信網(wǎng)和外部服務(wù)網(wǎng)間部署安全設(shè)備來實現(xiàn)邏輯隔離，增加鐵路數(shù)據(jù)通信網(wǎng)遭到網(wǎng)絡(luò)攻擊的風(fēng)險，由于利用同一套網(wǎng)絡(luò)設(shè)備承載，針對設(shè)備的攻擊可能導(dǎo)致鐵路數(shù)據(jù)通信網(wǎng)無法提供服務(wù)，而惡意攻擊更會導(dǎo)致鐵路數(shù)據(jù)通信網(wǎng)承載的內(nèi)部業(yè)務(wù)信息泄露，對行車安全等造成影響，安全性較差。

方案三：與鐵路數(shù)據(jù)通信網(wǎng)只在部分節(jié)點通過安全平臺實現(xiàn)可控互通，來自互聯(lián)網(wǎng)的攻擊不會影響到鐵路數(shù)據(jù)通信網(wǎng)承載的鐵路內(nèi)部業(yè)務(wù)，安全性較好。

4）網(wǎng)絡(luò)維護

方案一：具有完全獨立的維護界面，可以根據(jù)外部服務(wù)網(wǎng)的需要，采用獨立網(wǎng)絡(luò)承載層面的安全策略以及網(wǎng)絡(luò)運行維護體制，網(wǎng)絡(luò)可維護性最好。

方案二：安全策略配置上，需要與鐵路數(shù)據(jù)通信網(wǎng)匹配，在鐵路數(shù)據(jù)通信網(wǎng)由于承載鐵路內(nèi)部業(yè)務(wù)，考慮安全性，通常采用天窗方式。而外部服務(wù)網(wǎng)由于承載大量的公眾服務(wù)，對網(wǎng)絡(luò)應(yīng)急維護響應(yīng)時間要求很高，導(dǎo)致網(wǎng)絡(luò)可維護性較差。

方案三：可以根據(jù)外部服務(wù)網(wǎng)的需要，采用獨立網(wǎng)絡(luò)承載層面的安全策略以及維護體制。但也需要協(xié)調(diào)運營商配合進行，因此在維護響應(yīng)上較差。

綜上所述，方案一的一次性投資雖然稍高，但是網(wǎng)絡(luò)可擴展性好，安全性高，運行維護最方便，綜合考慮，建議采用方案一獨立組網(wǎng)方式進行組網(wǎng)，其中總公司節(jié)點匯接轉(zhuǎn)發(fā)路由器兼作路由反射器/VPN路由反射器。

5.2 網(wǎng)絡(luò)結(jié)構(gòu)

在總公司設(shè)置外部服務(wù)數(shù)據(jù)通信網(wǎng)核心節(jié)點、18個鐵路局均設(shè)置接入節(jié)點。接入節(jié)點與核心節(jié)點采用雙歸星型結(jié)構(gòu)互聯(lián)。外部服務(wù)局域網(wǎng)CE設(shè)備與接入節(jié)點采用口字形互聯(lián)。

外部服務(wù)數(shù)據(jù)網(wǎng)網(wǎng)絡(luò)結(jié)構(gòu)如圖2所示。

圖2 外部服務(wù)數(shù)據(jù)網(wǎng)網(wǎng)絡(luò)結(jié)構(gòu)Fig.2 Network structure of external service data network

5.3 自治域方案

根據(jù)前述骨干網(wǎng)組網(wǎng)方案，骨干網(wǎng)自治域的建設(shè)方案如圖3所示。

圖3 數(shù)據(jù)網(wǎng)自治域設(shè)計方案Fig.3 Design scheme of data network autonomous domain

骨干網(wǎng)全網(wǎng)作為一個獨立的自治域，全網(wǎng)統(tǒng)一建設(shè)，統(tǒng)一管理。骨干網(wǎng)內(nèi)部運行IBGP協(xié)議，與各路局外部服務(wù)網(wǎng)局域網(wǎng)（簡稱局域網(wǎng)）間通過EBPG方式互聯(lián)。全網(wǎng)設(shè)置冗余的網(wǎng)管系統(tǒng)，實現(xiàn)對骨干網(wǎng)所有網(wǎng)元設(shè)備的維護及管理。

相對于分散自治域方式，該方案中全網(wǎng)設(shè)置主備兩套網(wǎng)管實現(xiàn)對所有設(shè)備的集中管理，便于統(tǒng)一實現(xiàn)全網(wǎng)的路由策略調(diào)整，業(yè)務(wù)開通協(xié)同工作量小，安全防護也僅考慮主備網(wǎng)管域即可。

5.4 網(wǎng)絡(luò)帶寬方案

由上述骨干網(wǎng)互聯(lián)關(guān)系中可知，18個鐵路局區(qū)域網(wǎng)絡(luò)核心節(jié)點至骨干網(wǎng)絡(luò)節(jié)點共有36條鏈路。核心節(jié)點與接入節(jié)點互聯(lián)的2條鏈路按負(fù)載均分考慮，根據(jù)鐵路局外部服務(wù)網(wǎng)—總公司—鐵路局帶寬總需求測算結(jié)果，則單條鏈路流量為2 075～2 284 Mbit/s。考慮在采用分散疏通方式時，鏈路帶寬平均峰值利用率為40%～45%，則接入節(jié)點至總公司節(jié)點的鏈路帶寬建議為4 611～5 075 Mbit/s。

5.5 網(wǎng)絡(luò)管理方案

骨干網(wǎng)的網(wǎng)管系統(tǒng)在建設(shè)時，考慮在北京通信中心和武漢各設(shè)置1套骨干網(wǎng)絡(luò)設(shè)備管理系統(tǒng)，負(fù)責(zé)骨干網(wǎng)設(shè)備的網(wǎng)絡(luò)管理，同時在鐵路總公司（通信中心）以及各鐵路局設(shè)置復(fù)示終端。網(wǎng)管采用帶內(nèi)網(wǎng)管方式，網(wǎng)管設(shè)備地址由IS-IS協(xié)議承載，在將來骨干網(wǎng)DCN網(wǎng)絡(luò)建成后，也可以通過骨干DCN網(wǎng)絡(luò)對全網(wǎng)設(shè)備配置帶外管理通道。

5.6 網(wǎng)絡(luò)安全方案

骨干網(wǎng)的網(wǎng)絡(luò)安全建設(shè)主要包括網(wǎng)管系統(tǒng)冗余配置、網(wǎng)管局域網(wǎng)與網(wǎng)絡(luò)邏輯隔離、操作集中登錄與審計、入侵防范和終端管控、防病毒等方面。硬件部署主要有防火墻、堡壘機、入侵檢測設(shè)備（IDS）、準(zhǔn)入認(rèn)證設(shè)備以及防病毒、漏洞掃描、日志審計等服務(wù)器，并設(shè)置相應(yīng)軟件參數(shù)，開啟安全策略。

鐵路總公司網(wǎng)管局域網(wǎng)安全建設(shè)方案如圖4所示。

武漢鐵路局網(wǎng)管局域網(wǎng)安全建設(shè)方案如圖5所示。

5.7 時間同步方案

骨干網(wǎng)設(shè)備以鐵路總公司一級時間同步節(jié)點NTP的時間作為基準(zhǔn)，接引時間同步信號，用于網(wǎng)元及網(wǎng)管系統(tǒng)時間同步。

圖4 鐵路總公司網(wǎng)管局域網(wǎng)安全建設(shè)方案Fig.4 Safety construction plan of CHINA RAILWAY's network management LAN

圖5 武漢鐵路局網(wǎng)管局域網(wǎng)安全建設(shè)方案Fig.5 Safety construction plan of Wuhan Railway Administration's network management LAN

6 結(jié)束語

按照鐵路總公司信息化總體規(guī)劃，結(jié)合客服中心聯(lián)網(wǎng)運行和總公司新增業(yè)務(wù)對通信通道能力的要求，并充分考慮將來的業(yè)務(wù)擴展，建設(shè)鐵路外部服務(wù)數(shù)據(jù)網(wǎng)骨干網(wǎng)，連接鐵路總公司與各路局的外部服務(wù)局域網(wǎng)。鐵路外部服務(wù)數(shù)據(jù)網(wǎng)的建設(shè)，對于滿足鐵路服務(wù)拓展需要，保障鐵路各級服務(wù)網(wǎng)絡(luò)互聯(lián)互通，提高通信質(zhì)量，提升鐵路服務(wù)水平和綜合運輸效率，是十分必要的。