高婷婷

(1.北京全路通信信号研究设计院集团有限公司，北京 100073；2.北京市高速铁路运行控制系统工程技术研究中心，北京 100073)

1 概述

铁路外部服务网是总公司、铁路局两级独立局域网，目前运行着客服中心语音平台、12306网站、95306网站等对外经营服务应用系统，是面向社会公众开展经营服务的主要信息渠道。目前这些铁路对外经营服务和客服中心存在互联互通需要，同时，客服中心联网运行和总公司新增客货业务对通信通道能力提出更高的要求，在这种情况下，如何建设铁路外部服务数据通信骨干网以消除现有通道瓶颈并提高宽带网络能力就至关重要。

2 铁路外部服务数据通信骨干网现状

铁路外部服务网承载的各系统主要包括铁路客户服务中心平台、对外服务网站（总公司门户、12306、95306、铁路物资采购招商网等）、中外电子数据交换平台、共用信息平台、移动办公系统、站车Wi-Fi运营服务系统等。外部服务数据网是指实现总公司、铁路局、路局内车站和动车所的外部服务网（局域网）互联的广域网，目前尚未建设。因此，目前铁路外部服务网相关系统大多部署在铁路总公司、铁路局两级，在全路范围相互间没有实现互联互通，各平台间的互联需要先通过路局内/外网安全平台的数据摆渡，再通过内部TMIS网络或者互联网进行数据交互，如图1所示。

图1 两级信息系统互联组网现状Fig.1 Networking status of two-level information systems interconnection

目前，铁路骨干OTN传输网京沪穗、东北环、西北环、西南环均已建成并投入使用，骨干传输网的建设将为铁路外部服务数据网骨干网提供必要的基础传输条件。

3 承载业务需求分析及带宽测算

3.1 铁路客户服务中心平台

客户服务中心平台系统带宽需求测算如下：

1）语音呼叫带宽需求：按照1路语音通话占用带宽100 kbit/s，语音通话容忍网络最大延时100 ms，最大跨局电话按路局最大席位数的10%测算（含转入、转出）。

2）视频呼叫带宽需求：按照全国集中接入视频呼叫的模式，1路视频通话占用带宽512～1 024 kbit/s，取1 024 kbit/s；最大并发按1个局2路计算。

3）文字多媒体带宽需求：属于非即时通讯，并发较少，整体上可不用单独计算。

4）业务系统占用带宽：按照业务系统集中部署的方式，平均1次操作产生流量80～2 048 kb，参考经验值取800 kb。最大并发数按照高峰期席位数的50%计算，不足1个按1个计算。

5）网络冗余需求：按照每个单位预留20%的带宽冗余考虑，应对特殊的峰值现象。具体峰值情况与业务系统访问的并发规律有关。

6）视频监控需求：由于目前视频监控系统支持多种高清视频格式，视频监控带宽按照每个路局4 Mbit/s考虑。

7）视频培训需求：按照1/5的座席量进行实际估算，1个座席占用1 Mbit/s带宽。

3.2 站车Wi-Fi系统

1）后台内容同步带宽

总公司传输到铁路局的数据量按照每年约2.6 T更新内容计算，按照每天4 h不间断更新计算，总公司至单个铁路局的平均带宽需求约为：

2.6 T×8×1 024×1 024/365/4/3 600=4.14 Mbit/s

铁路局传输到车站及动车所的数据量按照每年2.5 T更新内容计算，按照每天4 h不间断更新计算，铁路局至单个车站或动车所的平均带宽需求约为：

2.5 T×8×1 024×1 024/365/4/3 600=4.02 Mbit/s

2）旅客上网带宽

旅客上网由各路局在局内设置统一互联网出口，大站（特等站、一等站）旅客互联网访问带宽200 Mbit/s，小站（二、三等站）旅客互联网访问带宽50 Mbit/s。

3.3 电话订票系统

各路局外线电话通过外部服务数据网通道传输至总公司电话订票交换机，其带宽需求根据接入中继数和高峰E1线数接入需求测算，同时考虑预留20%带宽。

3.4 中国铁路12306平台

既有12306网站提供客运购票、货运以及新推出的网上订餐、乘意险办理服务，此外还即将推出的常旅客积分及服务，综合考虑，其带宽需求按2 Mbit/s计算。

3.5 其他业务平台

其他业务平台主要包括中国铁路95306平台、中铁物资采购与招商平台、中外电子数据交换平台、共用信息平台、移动办公系统、铁路舆情管理信息系统、铁路职工网上家园等。这些业务平台带宽测算均根据每天各路局峰值并发访问次数、网页平均大小以及响应时间确定。

3.6 未来业务预留

根据铁路信息化总体规划，2020年铁路总公司至铁路局骨干网带宽将大于20 Gbit/s。同时，铁路外部服务网还应建设对公众服务的数据中心。此外，还将建设优化完善经营开发系统和综合协同系统等，因此，铁路外部服务数据网带宽规划总带宽的1/5考虑，预测为4 Gbit/s。

4 技术方案研究

Multi-Protocal Label Switching Traffic Engineering（MPLS TE）即基于MPLS的流量工程。其一种应用就是通过TE的快速重路由（FRR）功能实现网络故障保护。基于TE的快速路由FRR（Fast Reroute）局部保护，其实现机制主要是通过对逻辑隧道的保护等效于对物理链路或节点的保护。FRR最早是提供端到端TE隧道途径的链路或节点失效保护，但是在实际的网络应用中，逐步演变为当今应用最为广泛的广域网链路保护，即通常所说的“一跳式保护”。“一跳式”保护在实际网络中已经有大量部署，是TE FRR应用最多的方式。作为在IP层面唯一可以提供50 ms级别的故障恢复保护机制，可以作为提高网络可靠性的尝试技术。

目前，铁路外部服务数据通信网采用轻载原则进行建设，建议暂不对全网进行流量工程控制。为实现重要链路的50 ms倒换，建议在转发层面实施基于TE的FRR。

5 建设方案研究

5.1 网络方案

针对以上承载业务需求分析及带宽测算，对于铁路外部服务数据网骨干网（以下简称骨干网）的建设提出以下3个网络建设方案。

方案一：利用既有铁路骨干传输网通道条件，建设总公司至各铁路局的骨干网，采用MPSL VPN承载不同业务并实现优先级控制。总公司新设核心节点路由设备2台，18个铁路局各设接入节点路由设备2台，并部署配套客服平台局域网接入、网管和网络安全设备。

方案二：利用既有铁路数据通信网，新增外部服务网专用VPN，并对铁路数据通信网接口、安全、带宽等资源进行补强完善，在总公司、各铁路局新设铁路外部服务数据网边界防火墙设备各2台，就近接入铁路数据通信网，利用既有铁路数据通信网VPN构建骨干网络并部署配套客服平台局域网接入和网络安全设备。

方案三：租用电信运营商网络通道构建外部服务数据网，在总公司、铁路局外部服务网边界部署必要的网络安全设备，实现外部服务网利用公网运营商资源组网。

对以上3种方案进行比选如下。

1）建设投资

方案一：需要独立进行全网路由设备的建设，设备投资较高。

方案二：考虑到安全性，需要在各级节点新设独立的外部服务网接入防火墙，与方案一相比，设备投资大。

方案三：考虑到安全性，需要在各级节点新设独立的外部服务网接入防火墙，设备投资与方案二相近。但同时需要考虑每年的运营商的网络及维护租用费用，会对长期运维带来很大的成本压力。

2）网络可扩展性

方案一：在传输系统具备条件的前提下，网络的升级及扩展均可以独立进行，网络扩展最灵活。

方案二：目前数据通信网均采用轻载方式设计，预留扩展带宽较多，网络扩展灵活。

方案三：网络的扩展和升级均受限于商务条款，网络扩展最不灵活。

3）网络安全性

方案一：利用传输系统提供光通道直接组网，与铁路数据通信网只在部分节点通过安全平台实现可控互通，来自互联网的攻击不会影响到铁路数据通信网承载的铁路内部业务，安全性最高。

方案二：需要在所有节点上通过铁路数据通信网和外部服务网间部署安全设备来实现逻辑隔离，增加铁路数据通信网遭到网络攻击的风险，由于利用同一套网络设备承载，针对设备的攻击可能导致铁路数据通信网无法提供服务，而恶意攻击更会导致铁路数据通信网承载的内部业务信息泄露，对行车安全等造成影响，安全性较差。

方案三：与铁路数据通信网只在部分节点通过安全平台实现可控互通，来自互联网的攻击不会影响到铁路数据通信网承载的铁路内部业务，安全性较好。

4）网络维护

方案一：具有完全独立的维护界面，可以根据外部服务网的需要，采用独立网络承载层面的安全策略以及网络运行维护体制，网络可维护性最好。

方案二：安全策略配置上，需要与铁路数据通信网匹配，在铁路数据通信网由于承载铁路内部业务，考虑安全性，通常采用天窗方式。而外部服务网由于承载大量的公众服务，对网络应急维护响应时间要求很高，导致网络可维护性较差。

方案三：可以根据外部服务网的需要，采用独立网络承载层面的安全策略以及维护体制。但也需要协调运营商配合进行，因此在维护响应上较差。

综上所述，方案一的一次性投资虽然稍高，但是网络可扩展性好，安全性高，运行维护最方便，综合考虑，建议采用方案一独立组网方式进行组网，其中总公司节点汇接转发路由器兼作路由反射器/VPN路由反射器。

5.2 网络结构

在总公司设置外部服务数据通信网核心节点、18个铁路局均设置接入节点。接入节点与核心节点采用双归星型结构互联。外部服务局域网CE设备与接入节点采用口字形互联。

外部服务数据网网络结构如图2所示。

图2 外部服务数据网网络结构Fig.2 Network structure of external service data network

5.3 自治域方案

根据前述骨干网组网方案，骨干网自治域的建设方案如图3所示。

图3 数据网自治域设计方案Fig.3 Design scheme of data network autonomous domain

骨干网全网作为一个独立的自治域，全网统一建设，统一管理。骨干网内部运行IBGP协议，与各路局外部服务网局域网（简称局域网）间通过EBPG方式互联。全网设置冗余的网管系统，实现对骨干网所有网元设备的维护及管理。

相对于分散自治域方式，该方案中全网设置主备两套网管实现对所有设备的集中管理，便于统一实现全网的路由策略调整，业务开通协同工作量小，安全防护也仅考虑主备网管域即可。

5.4 网络带宽方案

由上述骨干网互联关系中可知，18个铁路局区域网络核心节点至骨干网络节点共有36条链路。核心节点与接入节点互联的2条链路按负载均分考虑，根据铁路局外部服务网—总公司—铁路局带宽总需求测算结果，则单条链路流量为2 075～2 284 Mbit/s。考虑在采用分散疏通方式时，链路带宽平均峰值利用率为40%～45%，则接入节点至总公司节点的链路带宽建议为4 611～5 075 Mbit/s。

5.5 网络管理方案

骨干网的网管系统在建设时，考虑在北京通信中心和武汉各设置1套骨干网络设备管理系统，负责骨干网设备的网络管理，同时在铁路总公司（通信中心）以及各铁路局设置复示终端。网管采用带内网管方式，网管设备地址由IS-IS协议承载，在将来骨干网DCN网络建成后，也可以通过骨干DCN网络对全网设备配置带外管理通道。

5.6 网络安全方案

骨干网的网络安全建设主要包括网管系统冗余配置、网管局域网与网络逻辑隔离、操作集中登录与审计、入侵防范和终端管控、防病毒等方面。硬件部署主要有防火墙、堡垒机、入侵检测设备（IDS）、准入认证设备以及防病毒、漏洞扫描、日志审计等服务器，并设置相应软件参数，开启安全策略。

铁路总公司网管局域网安全建设方案如图4所示。

武汉铁路局网管局域网安全建设方案如图5所示。

5.7 时间同步方案

骨干网设备以铁路总公司一级时间同步节点NTP的时间作为基准，接引时间同步信号，用于网元及网管系统时间同步。

图4 铁路总公司网管局域网安全建设方案Fig.4 Safety construction plan of CHINA RAILWAY's network management LAN

图5 武汉铁路局网管局域网安全建设方案Fig.5 Safety construction plan of Wuhan Railway Administration's network management LAN

6 结束语

按照铁路总公司信息化总体规划，结合客服中心联网运行和总公司新增业务对通信通道能力的要求，并充分考虑将来的业务扩展，建设铁路外部服务数据网骨干网，连接铁路总公司与各路局的外部服务局域网。铁路外部服务数据网的建设，对于满足铁路服务拓展需要，保障铁路各级服务网络互联互通，提高通信质量，提升铁路服务水平和综合运输效率，是十分必要的。