石美峰

(西山煤电(集团)公司 信息中心，山西 太原 030053)

1 西山煤电集团公司互联网现状

1.1 西山煤电网络总体简介

西山煤电集团公司目前已经建成了覆盖从集团机关到下属各矿的基础网络，实现矿端与集团的互联互通，各矿采用双机部署方式，分别是:一台H3C公司S7506E设备，用于信息网;一台阿尔卡特的OminiSwitch 7700，用于生产网。两台交换机网关冗余。矿端与集团之间采用两条千兆光纤链路，分别接入集团两台阿尔卡特的OminiSwitch9700核心交换机。同时建成了集团数据中心，实现集团业务的集中管理及部署;在集团统一部署互联出口，满足集团机关及矿端共3 000人左右的互联网访问需求。

1.2 互联网出口现状

为满足集团用户不断增加的互联网访问需求，互联网出口链路总带宽已经扩展到2 G，即:联通1.5 G，移动0.5 G。集团互联网出口具体架构示意图见图1。

图1 集团互联网出口具体架构示意图

由图1可见，互联网出口部署了2台路由器，连接两个不同运营商;2台路由器向内同时连接到1台负载均衡设备，实现对互联网访问用户的负载分担;负载均衡设备向内连接深信服流量控制设备，再向内是IPS(入侵防御设备)以及万兆防火墙，防火墙部署着DMZ区与1台控制设备相连接，应用控制设备通过两条链路分别与核心设备进行互联。

2 集团互联网出口现状分析

1)出口路由设备性能低。目前，互联网出口链路已经提升到2 G，但是，出口路由器还是早期配置，其转发性能无法满足2 G带宽带来的数据转发要求。

2)设备可靠性不高。随着出口带宽的增加，集团用户上网体验得到提升，对于网络的依赖度随之增加，出口设备的可靠性要求应随之加大，但目前设备无法做到双主控、双电源设置，可靠性不高，无法满足要求。

3)出口链路带宽瓶颈。目前，由核心设备到出口路由器之间的链路为1 G，相对于2 G的出口总带宽，成为整个网络出口的瓶颈，如不提升，2 G的出口带宽实际可用只有1 G，上网体验无法提升。

4)内网链路可靠性差。出口通过选择两家运营商的链路提升了可靠性，但是在路由器到核心交换机之间还是单条链路，而且出于安全考虑，串行部署了大量的安全设备，任一设备的故障都可能导致整条链路不可用，进而无法进行网络访问。

5)安全设备性能不高。目前，出口部署的部分安全设备性能不高，无法满足链路带宽扩展的要求，需要进行升级。

6)核心设备性能低、扩展性差。随着集团业务不断发展，网络数据流量不断加大，尤其是以工业电视为代表的视频业务的发展，对网络核心设备的转发性能不断地提出新的要求，现网设备性能已经无法满足后续业务持续扩展的要求;且现网核心交换机厂家已经停产，扩容、备件、服务等都无法得到有效保障。

3 优化方案

3.1 优化目标

本次网络优化的目标是优化现有互联网出口链路，提升相应设备的性能、可靠性，提高用户访问互联网的访问速度，提升用户的上网体验，同时通过本次规划使得互联网出口链路满足未来几年业务发展要求。

3.2 优化原则

1)高性能。本次改造要求全面调高整个互联网出口设备的性能，使之能满足集团用户访问互联网带来的大数据量对带宽、转发和传输的高要求，同时，能够满足未来几年集团业务进一步发展的要求。

2)高可靠。要求出口链路、设备采用具有高可靠性的总体设计，在关键环节均应有备份设计，在关键的网络设备上消除单点失效，可以通过设备冗余和负载分担的方式来提高通信系统的可靠性，选用的设备本身应具有较高的安全可靠性并支持热插拔和软件升级。

3)高安全。进一步优化现有的安全防护体系，建全和完善系统的安全保障机制，细化安全策略，提升安全防护水平。

4)技术先进。采用世界主流的设备和技术产品，在相应的应用领域占有较大的用户市场，在相关网络技术方面处于领先地位，具有一定的超前意识。

5)易扩展。新增设备应具有良好的可扩展能力，可以灵活地进行必要的调整和扩充，最大限度地保护现有投资。

6)兼容性。新增设备要求与现有系统无缝兼容，能够进行良好的配合。

3.3 具体方案

3.3.1 总体规划

结合西山煤电网络现状及未来业务发展，互联网出口整体规划示意图见图2，升级现有链路为万兆，升级出口链路上的安全设备性能，使之与出口带宽相匹配。

图2 互联网出口整体规则示意图

3.3.2 出口路由器更新

新增两台高性能的路由器替换现有路由器，提升出口设备的性能，保证高效的数据转发;单机配置双主控、双电源提高设备的可靠性;配置万兆接口与内网链路进行互联、配置千兆接口与运营商提供的互联网链路进行连接。

3.3.3 互联网出口链路优化

简化整个内网链路结构，将原有链路上功能重复的应用控制产品去掉一个;同时将盒式IPS替换成插卡方式，进而在不改变出口安全防护等级的情况下，尽量简化出口拓扑结构，减少单点故障点，提升可靠性。原有盒式应用控制设备、盒式入侵防御设备利旧到其它位置。

3.3.4 链路带宽提升

将内网核心交换设备到出口路由之间的出口链路全部升级为万兆，以满足出口带宽扩容及未来带宽不断升级的要求。

3.3.5 安全产品优化

利用现有S7506E交换机替换原有S7502E交换机，利用原有负载均衡板卡，同时部署IPS插卡，配置万兆接口满足出口链路升级万兆的要求;原S7502E在其它位置进行利用。现有防火墙、流量控制设备及核心交换机分别扩容万兆板卡与模块，从而满足链路升级为万兆的要求。

4 结束语

企业信息化建设的深入开展，对网络的要求越来越高。为了使出口带宽资源充分得到利用，达到高性能出口的目的，提出了互联网出口改造优化方案。方案在确保互联网出口稳定性、可靠性的同时，既保证了访问速度，又合理利用了出口链路。