信息內(nèi)網(wǎng)出口優(yōu)化探究與實施

葉水勇

(國網(wǎng)黃山供電公司，安徽 黃山 245000)

隨著我國社會經(jīng)濟的快速發(fā)展，電網(wǎng)建設規(guī)模逐年擴大，電網(wǎng)公司對電力信息通信安全性、信息網(wǎng)絡運行穩(wěn)定性、可靠性的要求越來越高[1-2]。某電力公司近期在隱患排查工作過程中發(fā)現(xiàn)信息內(nèi)網(wǎng)出口防火墻和省公司部署的CE設備之間部署了2臺華三S5500交換機，該設備不在省市公司任何監(jiān)控平臺監(jiān)管，而且其運行年限超過10年，設備電源和風扇模塊故障率逐年增多。目前國網(wǎng)數(shù)據(jù)通信接入網(wǎng)已經(jīng)實現(xiàn)萬兆接入各市公司，公司最新更換的省公司統(tǒng)一采購的啟明星USG-12000-SP高端防火墻也支持萬兆轉發(fā)，但是華三S5500交換機是千兆交換機，成為公司信息內(nèi)網(wǎng)出口速率上的瓶頸[3-4]。

1 網(wǎng)絡現(xiàn)狀及存在的問題

1.1 網(wǎng)絡現(xiàn)狀

信息內(nèi)網(wǎng)出口作為公司整個信息內(nèi)網(wǎng)的樞紐，連接了國網(wǎng)數(shù)據(jù)通信網(wǎng)、市公司局域網(wǎng)、市公司廣域網(wǎng)等區(qū)域網(wǎng)絡，為各區(qū)域網(wǎng)絡用戶互聯(lián)互訪起著至關重要的作用。根據(jù)公司信息內(nèi)網(wǎng)出口的需求分析，公司信息內(nèi)網(wǎng)的建設不僅需要提升出口帶寬，滿足未來若干年的需求，更要提高網(wǎng)絡總體性能，適應信息化飛速發(fā)展對網(wǎng)絡資源與日俱增的消耗；同時必須具備良好的可擴展性、高可靠性、網(wǎng)絡協(xié)議配置簡明易于管理、合理的安全防護且邊界清晰、適應業(yè)務流量轉發(fā)[5-6]。

如圖1所示，公司信息內(nèi)網(wǎng)出口通過部署2臺啟明星辰萬兆高端防火墻(USG-FW-12000SP)作為其信息內(nèi)網(wǎng)網(wǎng)絡邊界安全防護設備，同時作為整個信息網(wǎng)絡系統(tǒng)的樞紐。2臺啟明星辰防火墻對上通過2臺華三S5500交換機與省公司部署的2臺華三SR8812高端路由器邏輯互聯(lián)，對下與公司部署的2臺思科C7609核心交換機互聯(lián)，實現(xiàn)公司與省公司、國網(wǎng)業(yè)務互訪。

1.2 存在的問題

a.信息內(nèi)網(wǎng)出口2臺華三S5500交換機自2009年上線已經(jīng)持續(xù)運行超過10年時間，故障率逐年增多，由于該設備的重要性，目前其設備性能及穩(wěn)定性已無法滿足現(xiàn)有需求。

b.公司信息內(nèi)網(wǎng)核心交換機為C7609，信息內(nèi)網(wǎng)防火墻為啟明星辰萬兆高端防火墻，公司CE設備為華三S8812高端路由器，三者均支持萬兆速率。但華三S5500交換機串聯(lián)在出口防火墻和CE設備之間，成為公司信息內(nèi)網(wǎng)出口帶寬的瓶頸。

c.公司信息內(nèi)網(wǎng)出口增加2臺華三S5500交換機保證了數(shù)據(jù)通信接入網(wǎng)2臺CE設備VRRP協(xié)議正常運行的同時增加了信息網(wǎng)絡出口的故障點，2臺華三S5500交換機串聯(lián)在信息內(nèi)網(wǎng)出口防火墻和2臺CE設備之間，成為公司信息內(nèi)網(wǎng)出口的隱患點[7-8]。

d.信息內(nèi)網(wǎng)出口2臺華三S5500交換機并未規(guī)劃管理地址，也不在省市公司監(jiān)控平臺的監(jiān)控范圍內(nèi)，S5500交換機出現(xiàn)軟硬件故障并不能及時發(fā)現(xiàn)，增加信息內(nèi)網(wǎng)安全風險。

2 主要管理辦法

2.1 專業(yè)管理工作流程

依據(jù)《國家電網(wǎng)公司省級及以下數(shù)據(jù)通信網(wǎng)絡優(yōu)化整合改造總體設計》《國網(wǎng)信通部關于印發(fā)國家電網(wǎng)公司省級及以下數(shù)據(jù)通信網(wǎng)絡優(yōu)化整合改造實施總體工作要求的通知(信通通信〔2014〕54號)》等要求，結合公司信息運行及安全管理實際制定詳細的改造計劃，制作管理流程，如圖2所示[9-10]。

2.2 主要流程說明

a.準備階段：按照拓撲設計，布放光纖；測試互聯(lián)鏈路物理連通性；主備S8812預先使用新規(guī)劃IP完成接口、路由、重分布配置；準備好設備配置腳本并完成核心交換機預配置；信息內(nèi)網(wǎng)出口設備配置備份。

b.信息內(nèi)網(wǎng)出口防火墻主備切換：檢查信息內(nèi)網(wǎng)出口防火墻HA運行狀態(tài)；確保主用防火墻開啟上下行端口檢測以及搶占功能；斷開主用防火墻所有端口，確保業(yè)務切換至備墻；主用防火墻使用萬兆端口上聯(lián)至主用S8812路由器萬兆端口；主用防火墻使用萬兆端口下聯(lián)至主用S9505E核心交換機萬兆端口；主用防火墻使用千兆端口上聯(lián)至備用S8812路由器千兆端口；主核心交換機、主用防火墻和S8812-1恢復主用鏈路。

c.防火墻主備同步：斷開備用防火墻所有互聯(lián)接口；備用防火墻使用萬兆端口上聯(lián)至主用S8812路由器萬兆端口；備用防火墻使用千兆端口上聯(lián)至備用S8812路由器千兆端口；備用防火墻使用萬兆端口下聯(lián)至備用S9505E核心交換機萬兆端口；恢復主備防火墻之間心跳線，防火墻主備配置、會話同步。

2.3 實施步驟

a.按照圖1布放光纖并測試光纖通絡正常。

b.完成信息內(nèi)網(wǎng)出口設備配置文件備份。

c.主備S8812路由器使用新規(guī)劃的IP地址完成接口VLAN、IP地址和路由配置。

d.斷開主用防火墻上下行鏈路，使主用防火墻離線，業(yè)務切換至備用防火墻，數(shù)據(jù)流量走向如圖3所示。

e.主用防火墻配置將相應接口劃入安全域并配置新IP地址。

f.主用防火墻設置浮動路由，防火墻主用路由下一跳指向S8812-1,下一跳地址為10.138.206.129；備用路由下一跳指向S8812-2,下一跳地址為10.138.206.133。并對主用下一跳地址開啟ICMP探測。

g.主用啟明星辰防火墻對新啟用的端口開啟接口探測。

h.恢復防火墻之間心跳線和主用防火墻與主用核心交換機之間的互聯(lián)線，斷開S5500-1和S8812-1之間鏈路并使用新布放萬兆光纖連接主用防火墻和S8812-1，數(shù)據(jù)流量走向如圖4(a)所示。

i.拆除信息內(nèi)網(wǎng)出口無用線路，將新線路按照圖1所示重新連接，如圖4(b)所示。

2.4 業(yè)務測試

信息內(nèi)網(wǎng)出口主備防火墻配置同步完成后，測試各項業(yè)務指標正常后，參考圖5對信息內(nèi)網(wǎng)出口防火墻進行如下幾個場景的故障演練。

2.4.1 場景一：主用防火墻上行鏈路故障

主用防火墻上行鏈路故障后，信息內(nèi)網(wǎng)出口啟明星辰防火墻將進行主備切換，業(yè)務切換至備墻，主備防火墻切換過程中丟1～2個數(shù)據(jù)包[11-12]。切換完成后對信息內(nèi)網(wǎng)各項業(yè)務進行全面測試。各項業(yè)務測試完成后，恢復主用防火墻上行鏈路，業(yè)務再次切換為主用防火墻，再次完成信息內(nèi)網(wǎng)各項業(yè)務全面測試。

2.4.2 場景二：主用防火墻下行鏈路故障

主用防火墻下行鏈路故障后，信息內(nèi)網(wǎng)出口啟明星辰防火墻將進行主備切換，業(yè)務切換至備墻，主備防火墻切換過程中丟1～2個數(shù)據(jù)包。切換完成后對信息內(nèi)網(wǎng)各項業(yè)務進行全面測試。各項業(yè)務測試完成后，恢復主用防火墻下行鏈路，業(yè)務再次切換為主用防火墻，再次完成信息內(nèi)網(wǎng)各項業(yè)務全面測試[13-14]。

2.4.3 場景三：主用防火墻宕機

主用防火墻宕機后，信息內(nèi)網(wǎng)出口啟明星辰防火墻將進行主備切換，業(yè)務切換至備墻，主備防火墻切換過程中丟1～2個數(shù)據(jù)包。切換完成后對信息內(nèi)網(wǎng)各項業(yè)務進行全面測試。各項業(yè)務測試完成后，恢復主用防火墻，業(yè)務再次切換為主用防火墻，再次完成信息內(nèi)網(wǎng)各項業(yè)務全面測試[15-16]。

2.4.4 場景四：主用防火墻上行主鏈路假死

主用防火墻上行鏈路失效但是接口狀態(tài)正常情況下，主用防火墻不會切換至備墻，則數(shù)據(jù)流量經(jīng)由主用防火墻至備用CE設備，全面測試信息內(nèi)網(wǎng)業(yè)務是否正常。

3 實施效果

3.1 減少經(jīng)濟成本及網(wǎng)絡出口故障點

本次信息內(nèi)網(wǎng)出口優(yōu)化減少2臺華三S5500交換機的投入，同時減少設備運維和維保成本。信息內(nèi)網(wǎng)出口由2臺啟明星辰防火墻和省公司部署的2臺CE設備直接對接，減少信息內(nèi)網(wǎng)出口設備節(jié)點和鏈路，從而減少信息內(nèi)網(wǎng)出口故障點[17-18]。

3.2 提高內(nèi)網(wǎng)出口的穩(wěn)定性

信息內(nèi)網(wǎng)出口由2臺啟明星辰防火墻和省公司部署的2臺CE設備直接對接，物理層面上減少信息內(nèi)網(wǎng)出口設備節(jié)點和鏈路，邏輯上使用浮動靜態(tài)路由的方式對接，提高了信息內(nèi)網(wǎng)出口的穩(wěn)定性。

3.3 提升信息內(nèi)網(wǎng)出口帶寬

信息內(nèi)網(wǎng)出口防火墻為啟明星辰萬兆高端防火墻，CE設備為華三S8812萬兆高端路由器，二者均支持萬兆速率。但華三S5500交換機串聯(lián)在出口防火墻和CE設備之間，成為公司信息內(nèi)網(wǎng)出口帶寬的瓶頸，通過本次出口優(yōu)化項目公司信息內(nèi)網(wǎng)出口速率提升10倍[19]。

3.4 簡化出口協(xié)議

省公司部署的2臺CE設備華三S8812路由器原使用VRRP+靜態(tài)路由的方式部署，通過本次出口優(yōu)化項目2臺華三S8812路由器使用靜態(tài)路由的方式就可以實現(xiàn)冗余部署，簡化了出口協(xié)議，節(jié)省了設備性能。

3.5 提升網(wǎng)絡邊界清晰度

信息內(nèi)網(wǎng)出口防火墻直接和省公司部署的2臺CE路由器對接，由于中間沒有串聯(lián)其他二層設備，使得公司信息內(nèi)網(wǎng)出口安全域清晰，易于管理與日常維護。

4 結束語

公司通過對信息內(nèi)網(wǎng)網(wǎng)絡出口開展優(yōu)化工作，有效實現(xiàn)簡化網(wǎng)絡結構及出口協(xié)議、降低建運成本、降低故障點、提升信息內(nèi)網(wǎng)出口帶寬及網(wǎng)絡邊界清晰度、最終提高信息業(yè)務的保障能力，滿足信通專業(yè)市縣一體化和精益化管理要求。公司本次內(nèi)網(wǎng)網(wǎng)絡出口優(yōu)化工作實施的典型經(jīng)驗可作為省內(nèi)其他地市該工作開展的直接指導經(jīng)驗，也可為國網(wǎng)公司其他單位開展類似工作提供參考。