浅析大庆油田NGN承载网结构安全

2011-10-17赵岩大庆油田通信公司运行管理调度中心163453

中国科技信息 2011年13期

赵岩大庆油田通信公司运行管理调度中心 163453

浅析大庆油田NGN承载网结构安全

赵岩大庆油田通信公司运行管理调度中心 163453

大庆油田NGN承载网实际就IP承载网，用于承载固话、视频、重点客户VPN等业务，它具有双平面、双星双归属的高可靠性结构，对时延、抖动、丢包率、带宽等指标具有较高要求，完全满足NGN的需要，并且采用OSPF动态路由，对路由的选择更为灵活可靠，软交换核心设备SS和承载网的冗余结构，保证了NGN核心设备的接入安全。NGN在大庆油田的实现，推动了固网的转型，实现网络智能化改造，进一步推进三网融合在大庆油田的应用和发展。

NGN；冗余；承载网；防火墙

前言

大庆油田通信公司固网智能化改造工程已进入割接投产阶段，此工程的投产标志着我公司固话网又一次技术飞跃的开始。在电路交换向软交换过渡时期，这个新建的NGN网一方面是一个以软交换为核心的，能够提供包括语音、数据、视频和多媒体业务的基于分组技术的综合开放的网络，一方面要能够与原有固话程控交换机无缝对接，有机融合。除了能为固话用户提供传统业务外，还要能提供数据和视频等各种新兴的智能业务。

为了让固话用户能体验到与原来一样的语音实时通话效果，对NGN网的时延、抖动、丢包率、稳定性等指标的要求都要高于宽带数据网。因此公司在这次工程中建设了一张专用IP网，用于承载固话、视频、重点客户VPN等业务。我们称之为NGN承载网。

大庆油田NGN承载网主要由中兴T600路由器、8908、5952E交换机等设备组成，为保证东风和龙南两侧软交换核心容灾，采用双平面、双星双归属的高可靠性设计，精心设计各种情况下的冗余切换模型。

1 骨干网结构

骨干网由T600路由器、8908、5952E交换机组成。东风和龙南各有一台T600和8908，各有两台5952E，其中T600之间双万兆相连，两台 8908分别与两台T600万兆相连，四台5952E分别与两台T600双千兆相连如图1。

图1 NGN承载网骨干网络结构

2 承载网和软交换核心SS对接结构

为确保软交换核心设备SS业务和安全，SS主备板分别通过两台Juniper防火墙接入承载网。下面阐述在各种情况下主备用切换，确保SS侧设备与承载网的连通不中断。

SS侧设备出两根链路分别是1和2，5952E-1与Juniper防火墙-1之间的链路为3，4，5952E-2与Juniper防火墙-2之间的链路为5，6，其中1，3链路，2，5链路用于vlan透传，SS侧设备的网关在Juniper防火墙上，2台防火墙之间采用HA链路连接用于同步，对外提供统一的接口地址（含上行出口和用户网关）；T600、5952E-1、5952E-2之间的链路是7，8，在两台5952E设备上开启了VRRP协议，以保证对防火墙只有一个出口地址；正常情况下，SS侧设备的数据是由主用网口发出，即链路1发送和接收，备用网口（链路2）是非工作状态，不转发和接收数据（图2）。

图2 软交换核心SS冗余结构

SS设备主用网口正常时，数据的走向都是： SS侧设备→链路1→5952E-1→链路3→ Juniper防火墙-1→链路4-→5952E-1→T600；有以下6种主备冗余情况：

（1）当5952E-1与Juniper防火墙-1之间的3，4链路断掉任何一条，Juniper防火墙会自动切换到Juniper防火墙-2上，此时的数据走向为：SS侧设备→链路1→5952E-1→VRRP心跳线→5952E-02→链路5→Juniper防火墙-2→链路6-→5952E-2→T600。

（2）当5952E-2与Juniper防火墙-2之间的5，6链路断掉任何一条，因此时Juniper防火墙-2为备用，此时不会发生防火墙的主备切换，数据走向还是：SS侧设备→链路1→5952E-1→链路3→Juniper防火墙-1→链路4-→5952E-1→T600。

（3）当Juniper防火墙-1掉电，Juniper防火墙会自动切换到Juniper防火墙-2上，此时的数据走向为：SS侧设备→链路1→5952E-1→VRRP心跳线→5952E-02→链路5→Juniper防火墙-2→链路6-→5952E-2→T600。

（4）当Juniper防火墙-2掉电，因此时Juniper防火墙-2为备用，此时不会发生防火墙的主备切换，数据走向还是：SS侧设备→链路1→5952E-1→链路3→Juniper防火墙-1→链路4-→5952E-1→T600。

（5）当交换机5952E-1掉电之后，SS侧设备检测主用接口已断，切换到备用端口，防火墙也检测到接口断，切换到Juniper防火墙-02，此时的数据走向为：SS侧设备→链路2→5952E-2→链路5→Juniper防火墙-2→链路6→5952E-2→T600。

（6）当交换机5952E-2掉电之后，因为5952E-02和Juniper防火墙-2都处于备用状态，此次数据流量不受影响，此时的数据走向为：SS侧设备→链路1→5952E-1→链路3→Juniper防火墙-1→链路4-→5952E-1→T600。

当SS侧主用网口失效，备用网口接替，Juniper防火墙-01主用时，数据的走向为： SS侧设备→链路2→5952E-2→VRRP心跳线→5952E-1→链路3→Juniper防火墙-1→链路4→5952E-1→T600；有以下两种主备冗余情况：

第一种情况是当5952E-1与Juniper防火墙-1之间的3，4链路断掉任何一条，Juniper防火墙会自动切换到Juniper防火墙-2上，此时的数据走向为：SS侧设备→链路2→5952E-2→链路5→Juniper防火墙-2→链路6→5952E-2→T600。

第二种情况是当5952E-2与Juniper防火墙-2之间的5，6链路断掉任何一条，因此时Juniper防火墙-2为备用，此时不会发生防火墙的主备切换，数据走向还是：SS侧设备→链路2→5952E-2→VRRP心跳线→5952E-1→链路3→Juniper防火墙-1→链路4→5952E-1→T600。

主备Juniper防火墙之间HA链路必须完好，否则两台防火墙没有心跳线，都会认为自己是主用，这样它们对SS侧和对5952E交换机接口IP相同，数据无法正常交换。同样5952E交换机之间心跳线也必须完好，否则无法实现SS设备主用网口正常时的第3种情况和SS侧主用网口失效备用网口接替，Juniper防火墙-01主用的情况。

基于以上考虑，Juniper防火墙的HA链路和5952E之间均采用双心跳线。