淺談電力通信網(wǎng)中華為交換機(jī)的基礎(chǔ)配置

張世偉，劉習(xí)義，張林林

（1. 三峽水利樞紐梯級調(diào)度通信中心，湖北 宜昌 443002；2.智慧長江與水電科學(xué)湖北省重點(diǎn)實(shí)驗(yàn)室，湖北 宜昌 443002）

1 電力通信網(wǎng)概述

電力通信網(wǎng)是為了保證電力系統(tǒng)的安全穩(wěn)定運(yùn)行而生的集視頻會議、語音交換、傳輸網(wǎng)等系統(tǒng)為一體的通信網(wǎng)。因其為電力安全生產(chǎn)服務(wù)，對網(wǎng)絡(luò)的實(shí)時性、可靠性、帶寬容量等要求更高。通常情況下為保障生產(chǎn)數(shù)據(jù)傳輸?shù)陌踩煽啃?，網(wǎng)絡(luò)設(shè)備、網(wǎng)絡(luò)通道等都會按照冗余配置。網(wǎng)絡(luò)交換機(jī)作為常見的網(wǎng)絡(luò)設(shè)備，在電力通信網(wǎng)中被廣泛應(yīng)用，是否合理配置交換機(jī)數(shù)據(jù)將直接影響通信網(wǎng)絡(luò)的安全性和可靠性。

2 網(wǎng)絡(luò)交換機(jī)基礎(chǔ)配置介紹

網(wǎng)絡(luò)交換機(jī)基礎(chǔ)配置，可以分為四個方面：一是交換機(jī)運(yùn)維管理配置，更好地保障設(shè)備和網(wǎng)絡(luò)安全，有效提高網(wǎng)絡(luò)安全性；二是冗余配置，更好地提高網(wǎng)絡(luò)可靠性；三是通信接口配置，保障設(shè)備對接以及提高網(wǎng)絡(luò)效率；四是協(xié)議配置，保障各種通信需求以及網(wǎng)絡(luò)安全。

2.1 運(yùn)維管理

用戶對交換機(jī)設(shè)備的管理方式有命令行方式（CLI 方式）和Web 網(wǎng)管方式兩種。命令行方式是通過Console 口（也稱“串口”）、Telnet 或STelnet等方式登錄設(shè)備的命令行界面，使用設(shè)備提供的命令行對設(shè)備進(jìn)行管理和配置。Web 網(wǎng)管方式則是通過內(nèi)置的Web 服務(wù)模塊提供圖形化的操作界面，以便用戶直觀地管理和維護(hù)設(shè)備[1]。

2.2 冗余配置

冗余配置從2 個方面考慮：一是設(shè)備冗余，二是鏈路冗余。為了提高重要業(yè)務(wù)穩(wěn)定可靠性，一般都會對設(shè)備和鏈路進(jìn)行冗余配置。

2.3 以太網(wǎng)接口

根據(jù)不同的分類標(biāo)準(zhǔn)，以太網(wǎng)接口有多種分類方式。根據(jù)接口的電氣屬性，可以分為電接口和光接口。根據(jù)接口處理報文的轉(zhuǎn)發(fā)方式，可以分為二層以太網(wǎng)接口和三層以太網(wǎng)接口[1]。

2.4 交換機(jī)常用協(xié)議

交換機(jī)支持協(xié)議非常豐富，常用的協(xié)議有VLAN、Eth-Trunk、集群、生成樹、ARP、DHCP、ACL、DNS 和路由協(xié)議等。

（1）VLAN（Virtual Local Area Network）為虛擬局域網(wǎng)，是將一個物理的LAN 在邏輯上劃分成多個廣播域的通信技術(shù)[1]。

（2）集群指將兩臺支持集群特性的交換機(jī)設(shè)備組合在一起，從邏輯上虛擬成一臺交換設(shè)備的技術(shù)。交換機(jī)集群技術(shù)的發(fā)展有兩個階段：一是傳統(tǒng)的集群交換機(jī)系統(tǒng)（傳統(tǒng)的CSS），專指主控板集群卡集群或業(yè)務(wù)口集群兩種方式；二是第二代集群交換機(jī)系統(tǒng)（Cluster Switch System Generation2，CSS2），專指交換網(wǎng)板上通過集群卡方式建立的交換網(wǎng)硬件集群，并且在原有集群技術(shù)的基礎(chǔ)上，增加了集群主控1+N 備份等技術(shù)[1]。

（3）生成樹協(xié)議。交換網(wǎng)絡(luò)中為了進(jìn)行鏈路備份，提高網(wǎng)絡(luò)可靠性，通常會使用冗余鏈路，但是這也帶來了網(wǎng)絡(luò)環(huán)路的問題。為了解決這一問題，IEEE 提出了基于802.1d 標(biāo)準(zhǔn)的生成樹協(xié)議STP（Spanning Tree Protocol）。RSTP（Rapid Spanning Tree Protocol）是在STP 基礎(chǔ)上為解決收斂速度慢的問題提出的快速生成樹協(xié)議。MSTP（Multiple Spanning Tree Region）則是為解決RSTP 和STP 在局域網(wǎng)內(nèi)無法在VLAN 間實(shí)現(xiàn)數(shù)據(jù)流量的負(fù)載均衡而提出的多生成樹協(xié)議[1]。

（4）訪問控制列表ACL（Access Control List）是由一條或多條規(guī)則組成的集合。所謂規(guī)則，是指描述報文匹配條件的判斷語句，這些條件可以是報文的源地址、目的地址、端口號等[1]。

（5）以太網(wǎng)鏈路聚合（Eth-Trunk）簡稱鏈路聚合。通過將多個物理接口捆綁為一個邏輯接口，可以在不進(jìn)行硬件升級的條件下，增加鏈路帶寬的技術(shù)。

（6）路由協(xié)議。三層交換機(jī)不僅支持靜態(tài)路由，也支持RIP（Routing Information Protocol）、OSPF（Open Shortest Path First）、IS-IS（Intermediate System-to-Intermediate System）等動態(tài)路由協(xié)議。

RIP 是一種較為簡單的內(nèi)部網(wǎng)關(guān)協(xié)議（Interior Gateway Protocol），它使用跳數(shù)（Hop Count）作為度量來衡量到達(dá)目的網(wǎng)絡(luò)的距離[1]。

OSPF 是一個基于鏈路狀態(tài)的內(nèi)部網(wǎng)關(guān)協(xié)議（Interior Gateway Protocol）。 在OSPF 網(wǎng)絡(luò)中，每臺路由器根據(jù)自己周圍的網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)生成鏈路狀態(tài)通告LSA（Link State Advertisement），并通過更新報文將LSA 發(fā)送給網(wǎng)絡(luò)中的其它路由器。每臺路由器都會收集其它路由器發(fā)來的LSA，所有的LSA 放在一起組成鏈路狀態(tài)數(shù)據(jù)庫LSDB（Link State DataBase）。LSA 是對路由器周圍網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)的描述，LSDB 則是對整個系統(tǒng)的網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)的描述。路由器將LSDB 轉(zhuǎn)換成一張帶權(quán)的有向圖，這張圖便是對整個網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)的真實(shí)反映。

IS-IS 屬于內(nèi)部網(wǎng)關(guān)協(xié)議IGP（Interior Gateway Protocol），使用最短路徑優(yōu)先SPF（Shortest Path First）算法進(jìn)行路由計算。每一臺路由器都會生成一個LSP（Link State PDUs），它包含了該路由器所有IS-IS 協(xié)議接口的鏈路狀態(tài)信息。通過跟相鄰設(shè)備建立IS-IS 鄰接關(guān)系，互相更新本地設(shè)備的LSDB，可以使得LSDB 與整個IS-IS 網(wǎng)絡(luò)的其他設(shè)備的LSDB實(shí)現(xiàn)同步。然后根據(jù)LSDB 運(yùn)用SPF 算法計算出IS-IS 路由[1]。

3 參考實(shí)例

3.1 網(wǎng)絡(luò)結(jié)構(gòu)

以昆明區(qū)域長江電力融合通信系統(tǒng)承載網(wǎng)部分網(wǎng)絡(luò)數(shù)據(jù)配置為例，區(qū)域包含3 個站點(diǎn)（A、B、C），A 站點(diǎn)作為區(qū)域匯接中心，負(fù)責(zé)A、B、C 站點(diǎn)設(shè)備接入以及站點(diǎn)間數(shù)據(jù)交換和跨區(qū)域數(shù)據(jù)轉(zhuǎn)發(fā)；B 站點(diǎn)網(wǎng)絡(luò)結(jié)構(gòu)為臨時過渡網(wǎng)絡(luò)。核心交換機(jī)配置華為S7706 交換機(jī)，接入交換機(jī)均為華為S5720 交換機(jī)，網(wǎng)絡(luò)結(jié)構(gòu)和設(shè)備部署見圖1。

圖1 網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)

3.2 配置思路

（1）禁止遠(yuǎn)程登錄。交換機(jī)維護(hù)管理只能通過Console 口開展，使用用戶名、密碼認(rèn)證方式登錄。

（2）全區(qū)域交換機(jī)物理鏈路對接成環(huán)，須開啟生成樹協(xié)議。

（3）為簡化網(wǎng)絡(luò)結(jié)構(gòu)，A 站點(diǎn)核心交換機(jī)做集群配置，命名A；A3、A4 交換機(jī)與核心交換機(jī)A 對接使用Eth-Trunk 技術(shù)；B 站點(diǎn)與核心交換機(jī)只有2個接入點(diǎn)，對接接口使用Trunk 鏈路類型；C 站點(diǎn)與A 站點(diǎn)交換機(jī)對接有冗余鏈路，使用Eth-Trunk 技術(shù)。

（4）A 站點(diǎn)與其它區(qū)域互聯(lián)使用OSPF 路由協(xié)議；區(qū)域路由協(xié)議也沿用OSPF 協(xié)議。

（5）全區(qū)業(yè)務(wù)有視頻、語音、服務(wù)器、計費(fèi)等，根據(jù)業(yè)務(wù)分類，A 站點(diǎn)劃分VLAN10～VLAN14，B 站點(diǎn)劃分VLAN20～VLAN24，C 站點(diǎn)劃分VLAN30～VLAN34。

（6）網(wǎng)關(guān)配置在核心交換機(jī)A，A、B、C 站點(diǎn)接入交換機(jī)只做設(shè)備接入。

4 思考與建議

相對于普通局域網(wǎng)，電力通信網(wǎng)因其服務(wù)對象的特殊性，對其網(wǎng)絡(luò)交換機(jī)配置相對要求較高，具體實(shí)施配置體現(xiàn)在運(yùn)維管理、冗余配置、接口配置、協(xié)議配置4 個方面。

4.1 運(yùn)維管理

運(yùn)維管理方面配置考慮的是安全、方便地完成日常交換機(jī)的維護(hù)管理，主要表現(xiàn)在登陸配置方面。在電力通信網(wǎng)中不允許通過遠(yuǎn)程方式管理網(wǎng)絡(luò)設(shè)備，所以一般只配置Console 口數(shù)據(jù)，通過Console口方式登錄后，使用設(shè)備提供的命令行對設(shè)備進(jìn)行管理和配置。若必須使用遠(yuǎn)程方式管理交換機(jī)，推薦使用STelnet 方式進(jìn)行管理和配置設(shè)備，實(shí)現(xiàn)對設(shè)備的精細(xì)化管理，但是要求用戶熟悉命令行。也可以選擇Web 網(wǎng)管方式，用戶需要通過瀏覽器使用HTTPS（Hyper Text Transfer Protocol over SecureSocket Layer）協(xié)議登錄到設(shè)備圖形化的操作界面，實(shí)現(xiàn)對設(shè)備的管理與維護(hù)，但Web 網(wǎng)管方式僅可實(shí)現(xiàn)對設(shè)備部分功能的管理與維護(hù)。從實(shí)際運(yùn)維看，當(dāng)前版本運(yùn)行不流暢，數(shù)據(jù)配置不推薦Web 網(wǎng)管方式。不管使用何種方式管理設(shè)備，都需要進(jìn)行安全防護(hù)，可通過AAA 認(rèn)證、ACL 策略、路由協(xié)議等配置限制特定地址或用戶訪問。

4.2 冗余配置

（1）設(shè)備冗余時，建議使用交換機(jī)集群技術(shù)。集群技術(shù)可以使網(wǎng)絡(luò)結(jié)構(gòu)變得更加簡單，網(wǎng)絡(luò)中的兩臺設(shè)備組成集群，邏輯上虛擬成單一的設(shè)備。集群后用戶只需登錄一臺成員交換機(jī)即可對集群系統(tǒng)所有成員交換機(jī)進(jìn)行統(tǒng)一配置和管理。在配置方面，簡化后的組網(wǎng)不再需要使用STP、VRRP 等協(xié)議，降低了管理和維護(hù)設(shè)備的成本。當(dāng)網(wǎng)絡(luò)規(guī)模擴(kuò)大，交換機(jī)上行帶寬需求增加時，可以增加新交換機(jī)，同時與原交換機(jī)組成集群系統(tǒng)，將成員交換機(jī)的多條物理鏈路配置成一個聚合組，提高交換機(jī)的上行帶寬。另外，集群系統(tǒng)下行交換機(jī)通過跨設(shè)備鏈路聚合連接至集群系統(tǒng)，形成設(shè)備間備份和鏈路的跨設(shè)備冗余備份，增加網(wǎng)絡(luò)安全可靠性。

（2）鏈路冗余時，建議使用鏈路聚合（Eth-Trunk）技術(shù)，將多個物理接口捆綁為一個邏輯接口，在不進(jìn)行硬件升級的條件下，達(dá)到增加鏈路帶寬和業(yè)務(wù)通道保護(hù)目的[2]。

4.3 接口配置

交換機(jī)接口按協(xié)議工作層可以分為二層接口和三層接口。交換機(jī)以太網(wǎng)接口配置包括速率、工作模式、OSI（Open System Interconnection）模型工作層數(shù)、接口工作類型等進(jìn)行配置。接口工作協(xié)議采用二層還是三層可以使用命令根據(jù)實(shí)際需要進(jìn)行切換。三層接口需要配置IP 地址、路由協(xié)議才能實(shí)現(xiàn)交換功能。二層接口有Access、Hybrid 和Trunk 三種鏈路類型。其中，Access 類型一般用于連接終端設(shè)備，只屬于1 個VLAN，交換機(jī)接口只有設(shè)置成Access 類型，才能劃到VLAN 中，默認(rèn)情況下，交換機(jī)所有端口屬于VLAN1，考慮到網(wǎng)絡(luò)安全性，不建議使用VLAN1；Trunk 鏈路類型接口一般用于主干鏈路與交換機(jī)對接；Hybrid 鏈路類型接口可以與交換機(jī)對接也可以和終端設(shè)備對接。交換機(jī)接口類型的選擇一般按照同類型設(shè)備對接使用Trunk 鏈路類型，不同類型設(shè)備使用Access 鏈路類型，數(shù)據(jù)報文傳輸時使用Hybrid 鏈路類型[3]。

4.4 協(xié)議配置

交換機(jī)支持協(xié)議很多，交換機(jī)需要配置什么協(xié)議、怎么配置網(wǎng)絡(luò)性能才能達(dá)到最佳，需要根據(jù)網(wǎng)絡(luò)結(jié)構(gòu)、業(yè)務(wù)需求、安全防護(hù)要求等確定。

二層網(wǎng)絡(luò)中若有環(huán)路，需要配置生成樹協(xié)議防止鏈路成環(huán)。STP 協(xié)議默認(rèn)開啟，不需要手動開啟；實(shí)現(xiàn)網(wǎng)絡(luò)快速收斂，則需要配置RSTP 協(xié)議；實(shí)現(xiàn)快速收斂同時又要實(shí)現(xiàn)負(fù)載均衡，則需要配置MSTP 協(xié)議。

VLAN 技術(shù)用于限制、隔離廣播域，根據(jù)網(wǎng)絡(luò)結(jié)構(gòu)、用戶數(shù)量、功能需求等進(jìn)行VLAN 劃分，可以提高網(wǎng)絡(luò)的安全性和轉(zhuǎn)發(fā)效率[4]。

三層網(wǎng)絡(luò)中，網(wǎng)絡(luò)間互連互通需要配置路由協(xié)議，路由協(xié)議的選擇需要根據(jù)網(wǎng)絡(luò)規(guī)模、業(yè)務(wù)需求等確定。靜態(tài)路由協(xié)議和RIP 路由協(xié)議一般適用于規(guī)模小、結(jié)構(gòu)簡單的網(wǎng)絡(luò)；OSPF 和IS-IS 更適用于規(guī)模大、結(jié)構(gòu)復(fù)雜的網(wǎng)絡(luò)中。

為了保障網(wǎng)絡(luò)安全性，根據(jù)實(shí)際需求從路由配置、ACL 訪問控制列表進(jìn)行訪問限制等方面，提高網(wǎng)絡(luò)安全防護(hù)能力[2]。電力通信網(wǎng)中設(shè)備使用的均為固定IP 地址，電力通信網(wǎng)交換機(jī)不與公網(wǎng)對接或者通過防火墻與公網(wǎng)對接，DNS、DHCP 等協(xié)議一般不做配置。