基于SDH和VPN构建热备省级气象宽带网络
2012-06-01安徽省气象信息中心唐怀瓯华连生江双五
安徽省气象信息中心 唐怀瓯 华连生 江双五
基于SDH和VPN构建热备省级气象宽带网络
安徽省气象信息中心 唐怀瓯 华连生 江双五
随着气象现代化的发展和需求,可靠的、稳定的信息网络成为气象业务开展的基础。气象广域网的合理设计建设,以及可靠高速的运行是气象部门各项业务工作正常开展的前提和保障。本文介绍了通过安徽省气象宽带网络的设计和建设,同时采用SDH专线和VPN网络,运用OSPF技术,结合各项业务对可靠性、带宽及安全等方面的要求,给出了气象宽带网络动态热备的设计方案、配置方法及测试结果。
气象网络;SDH;VPN;OSPF;热备
1.引言
通信网络是目前气象数据采集传输的主要手段,是预报预测、气象服务等工作的基础支撑,台站各类资料经气象专用线路传输到省气象局,再集中上传至中国气象局。全省气象宽带网络出现故障,全省各台站的资料就可能会出现逾限甚至缺失,甚至会影响预报、视频会商和其他气象服务。为构筑更可靠稳定的网络系统,安徽省局对全省气象宽带网络进行统一的规划和设计,在SDH和VPN网络中运用OSPF动态路由协议实现气象宽带网络的热备和容灾。
2.网络技术介绍
2.1 SDH技术简介
SDH(Synchronous Digital Hierarchy,光同步数字传送网)是一种将复接、线路传输及交换等功能融为一体、并由统一网管系统操作的综合信息传送网络,是世界上各网络运营商所采用的重要技术之一。SDH技术采用统一的接口标准,统一的比特率,为不同厂家的设备之间的互通互联提供了可能,并可以有效地提高网络资源的利用率。它用于网络运行、管理及维护的开销丰富,因而使网络的操作维护功能大大增强,便于集中统一管理,大大降低了维护费用的开支。SDH网络具有自愈性,提出了自愈网的新概念。SDH具有灵活的复用映射结构,使网络中上下支路信号变得十分简单,可以方便的使各种业务灵活上下。另外SDH网络具有信息净负荷和定时的透明性,并将IP网络技术建立在SDH传输平台上,既兼容现有的不同技术和标准,又满足未来的发展需求[1]。
2.2 VPN技术简介
2.2.1 VPN概念
VPN(Virtual Private Network)利用公用网络(通常是internet互联网)作为基本传输媒体,在公用网络上建立一条临时的虚拟专用网络通道,通过加密和验证网络流量等方法来保护数据安全、稳定传输,而不被窃取和篡改。它随着互联网的发展而迅速发展起来,可提供类似于企业内部专线性能的网络服务,由GRE、IPSEC、PPTP、L2TP等技术组成。
2.2.2 隧道技术
隧道技术是虚拟的点对点连接技术,依靠互联网服务提供商(ISP)在公用网中建立自己专用的数据包传输隧道。VPN的隧道协议可分为第二层隧道协议和第三层隧道协议,GRE(Generic Routing Encapsulation,通用路由封装协议)是第三层隧道协议,采用了隧道(Tunnel)技术。GRE隧道的设计目的就是为了让远程网络能够以本地连接的方式显现[2]。
2.2.3 IPSec协议
IPSec(IP Security,网络安全协议)是IETF(Internet工程任务组)为了确保在任何IP网络上拥有安全的私密通信而开发的开放标准框架。IPSec是网络层中安全通讯的第三层协议,提供传送、接收端做数据的认证、完整性、机密性、抗重播以及存取控制等安全服务。高层的应用协(TCP和UDP)也可以直接或间接地使用这些安全服务。IPSec提供了一种标准的、健壮的以及包容广泛的机制,可有效地保护IP数据包的安全,确保数据通过公共网络时的安全性。
2.3 OSPF路由协议
由系统管理员事先设置好固定的路由表称之为静态(static)路由表,一般是在系统安装时就根据网络的配置情况预先设定的,它不会随未来网络结构的改变而改变。动态(Dynamic)路由表是路由器根据网络系统的运行情况按照路由选择协议(Routing Protocol)而自动学习、调整和记忆的路由表。动态路由可以自动适应网络拓扑结构的变化,以维持路由的正确性与完整性。
OSPF(Open Shortest Path First,开放式最短路径优先路由协议)是一种基于SPF算法(最短路径优先算法)的内部网关协议(Interior Ga-teway Protocol,IGP),用于在同一个自治域中的路由器之间发布路由信息,具有支持大型网络、路由收敛快、占用网络资源少等优点,是一种典型的链路状态路由协议[3]。
OSPF路由器收集其所在网络区域上各路由器的链路状态信息(Link-State),生成链路状态数据库(Link-State Database),利用SPF独立地计算出到达任意目的地的路由。OSPF利用量度Cost计算目的路径,Cost最小者即为最短路径。在配置OSPF路由器时可根据实际情况,如链路带宽、时延或费用设置链路Cost大小[4]。
2.4 VRRP协议
VRRP(Virtual Router Redundancy Protocol,虚拟路由冗余协议)是一种容错选择协议,为具有多播或广播能力的局域网设计。VRRP将一组路由器(一个活动路由器Master和多个备份路由器Backup)组织成一个虚拟路由器,即一个备份组,从而当Master宕机时,备份组内优先级最高的Backup会及时接管转发工作成为新的Master,提高了网络服务质量[5]。
3.网络设计和规划方案
3.1 应用需求和设计原则
3.1.1 网络应用需求
气象宽带网络目前的主要应用包括:观测资料的采集上传;预报业务系统资料调用;公共服务及决策服务信息传输;视频预测会商;卫星广播系统资料的接收共享;Notes邮件系统的应用;办公OA及计财系统应用;互联网应用服务等。
3.1.2 网络设计原则
在满足实际业务需求的基础上,结合国家和气象局信息安全管理的要求,安徽省气象宽带网络系统设计规划为:理顺核心局域网络系统逻辑结构,利用VRRP技术构建核心交换机双机热备策略,加强核心业务系统的网络保证和安全保护;加强全省气象广域网络的设计、建设和管理,兼顾网络系统的高速和稳定两方面的性能,整个网络系统具备应急自动备份方案:即具备主通信网络和备份网络两套系统,增强气象部门数据通信和信息共享的安全性、可靠性;完善气象部门信息网络基础环境,提出适应气象业务发展需求,且满足信息系统安全等级保护要求的信息网络架构。
3.2 气象宽带网络规划方案
在全省开通省、市、县3级SDH网络,其中市-省分别开通联通和移动SDH专线各一条,切实降低链路中断对业务影响的可能性。移动SDH主要用于数据传输(简称数据网),联通SDH主要用于传输视频会议信息。市-县采用联通SDH专线。SDH网络为通信的主链路,带宽都分别是2M。同时搭建基于互联网的省、市、县3级VPN网络作为备份网络系统,VPN网络采用IPsec+GRE的技术实现。省、市级广域网出口都架设硬件防火墙,保证局域网的安全。在SDH和VPN链路中同时采用OSPF动态路由协议进行冗余保护,当主链路SDH网络中断时,自动切换到备份网络通信。网络拓扑图如图1所示。
3.2.1 省局核心网络
省级气象通信网络为双核心交换机结构,双机采用H3C S7503交换机,处于一主一备的热备状态,设备上启用VRRP协议的VLAN来实现热备,确保省级气象通信骨干网络的正常运行。
省级中心对市、县的通信采用双核心路由器结构,两个路由器采用H3C R6604路由器,分接SDH线路和VPN线路,通过OSPF动态路由的学习方式来建立动态路由的自动切换,实现网络热备和负载均衡。当主路由出现故障时,备份路由自动接管;主路由恢复正常后,自动从备份路由切换到主路由上。以此来确保市、县到省中心机房的通信传输的不间断。省局双核心网络结构如图2所示。
3.2.2 市级网络
根据设计方案和自身需求,市气象局采用一台三层交换机博达S3424作为信息网络的核心层,采用端口链路聚合技术,并通过不同的VLAN分别连接SDH和VPN路由设备,隔离了网络广播信息,利用率得到提高。SDH线路接入博达路由器R4860,VPN线路接入H3C路由器 R28-11,其中移动SDH链路的Cost值为50,联通VPN链路的Cost值为80,SDH链路的Cost值为100。市局是县局到省局通信的中转站。
3.2.3 各县局网络
县局网络设备采用博达路由器R2641,同时接入SDH和VPN网络,Cost值设置和市局的对应线路相同,并配置到省局的VPN隧道,Cost值设为500,作为市局整个网络瘫痪时直接同省局信息传输的最后备份。同时采用H3C路由器R28-11分别配置连接省、市局的VPN线路,作为博达路由器R2641的冷备份设备。
图1 全省气象宽带网络结构拓扑图
图2 省级双核心交换机及路由器连接结构图
4.实施配置
网络设备配置清单如下,因县局设备配置与市局基本对应故略去。主要列举省局核心交换机VRRP配置及市局网络设备配置清单。
4.1 省局交换机配置
二层交换机都通过两条千兆以太网线分别上连至核心交换机S7503-1及S7503-2,同时S7503之间通过链路捆绑技术实现流量共享;在S7503上启用VRRP协议的VLAN,满足热备要求。
# 建立VLAN 282,设置IP地址和ospf cost值;
# 建立VLAN 382,设置IP地址和ospf cost值;
#千兆端口,用于连接备份路由器H3C R6604-1;
#千兆端口,用于连接备份路由器H3C R6604-1;
#配置OSPF,将本交换机的路由信息在区域10中动态发布出去
4.2 市局交换机配置
划分不同的VLAN,并设置相应的端口,1到24口为局域网端口,属于VLAN 2,用于连接内部二层交换机或者服务器;
千兆端口1和3,属于VLAN 200,用于连接SDH路由器博达R4860;
千兆端口2和4,属于VLAN 300,用于连接VPN路由器H3C R28-11;
!配置连接SDH路由器的端口地址,并设置OSPF Cost值为50
! 配置连接VPN路由器的端口地址,并设置OSPF Cost值为60
配置OSPF,将路由信息在区域10中动态发布出去。
4.3 市局SDH路由器配置
!配置SDH端口为E1接口,并采用非成帧模式;
!连接交换机的千兆口配置
!联通SDH链路连接到省局的端口配置,采用PPP协议,设置OSPF Cost值为80,并配置策略路由,匹配源地址,只允许视频设备地址通过;
!移动SDH链路连接到省局的端口配置,采用PPP协议,设置OSPF Cost值为50;
!到县局SDH链路的端口配置,采用PPP协议,设置OSPF Cost值为50;
! 配置OSPF,将路由信息在区域10中动态发布出去;
!对一些特定的通信需求,通过指定静态路由的方式完成。
4.4 市局VPN路由器配置
#在IPSec中,由AH、ESP协议使用MD5或SHA散列算法实现加密服务和数据完整性认证,采用IKE(The Internet Key Exchange,Internet密钥交换)来作为密钥交换的工具。配置市到县局的IKE设置,配置IKE对等体[6];
#配置市到省局的VPN链路的IKE设置设置,配置IKE对等体;
#创建安全提议,系统提供一条缺省的IKE安全提议(一般为espdes、esp-md5-hmac);
#创建至县局的安全策略,在安全策略中引用安全提议,引用IKE对等体,引用访问控制列表;
#创建至省局的安全策略,在安全策略中引用安全提议,引用IKE对等体,引用访问控制列表;
#连接三层交换机博达S3424接口配置
#连接Internet接口配置
#连接省局的隧道配置,配置隧道的起点和终点,引用对应安全策略,设置OSPF Cost值为60,并且根据实际网络情况配置统一的MTU值和MSS值,提高网络带宽的利用率[7];
#连接县局的隧道配置,要配置隧道的起点和终点,并引用对应安全策略,设置OSPF的 Cost值为60;
#访问控制列表配置;
#配置OSPF,将路由信息在区域10中动态发布出去;
5.结语与讨论
通过上述省、市各网络设备的配置,省局、市局、县局之间的网络通信实现以SDH主干线路和IPSEC+GRE备份线路的热备份组网形式。正常情况下优先选用SDH专线网络,当SDH链路或者网络设备出现故障时,三层交换机通过OSPF协议,会自动快速启用VPN备份线路进行通信。通过中断测试运用连续Ping检测,从故障发生到线路切换为备份网络,可以在5秒左右完成,仅会丢3至4个包,当主干网络恢复时,自动切回到主干线路,几乎没有丢包和延时发生,整个切换过程对用户透明。
安徽省气象宽带网络经过设计构建后,提高了广域网的通信性能,保证各项业务每天24小时的稳定运行,为大数据量信息的传递提供了坚实的基础,使得高清视频会商等许多新增业务的良好开展成为可能。主备网络的热备份及灵活的自动切换,使得整个气象网络系统更加可靠稳定,达到了预期效果。同时也应看到,虽然实现通信线路和路由设备的备份冗余,但网络中还存在单点故障的隐患,比如市局的三层交换机,当其出现故障时也会给业务造成较大影响。今后将对气象宽带网做进一步的优化建设,增强网络的可靠性和安全性,减少单点设备故障的隐患。
[1]上海博达数据通信有限公司.博达认证网络工程师(BCNE)培训教程.
[2]Gary A.Donahue.Network Warrior中文版——思科网络工程师必备手册.北京:人民邮电出版社,2011:147-159.
[3]王群.非常网管-网络基础[M].北京:人民邮电出版社,2006:369-386.
[4]Alex Zinin.Cisco IP路由——分组转发与域内路由协议[M].北京:清华大学出版社,2005:360-457.
[5]中国气象信息中心.全国气象宽带网络主干系统整合方案.
[6]杭州华三通信技术有限公司.H3CSERouting & Switching课程《构建企业级路由网络(v5.1)》培训教程.
[7]唐怀瓯.安徽省气象宽带网络中MTU问题的研究和优化[C].2011年中国气象学会气象通信与信息技术委员会暨国家气象信息中心科技年会论文集(2011.05).
本文为安徽省气象局2009年现代化建设重要项目“安徽省气象局SDH通信网络建设”。
唐怀瓯(1980—),男,安徽宿州人,大学本科,安徽省气象信息中心工程师。
华连生(1969—),男,安徽安庆人,硕士研究生,安徽省气象信息中心高级工程师。
江双五(1971—),男,安徽安庆人,硕士研究生,安徽省气象信息中心高级工程师。
