齐连旭 吴琼瑛

（辽宁铁法能源有限责任公司，辽宁 调兵山 112700）

1 项目建设背景

铁法能源公司从2000年开始就进行信息化网络的建设工作，网络的范围覆盖铁法能源公司信息化建设的各个部门，以支持企业信息化建设的所有业务数据流在网上高速畅通运行。随着网络应用的不断延伸，在2006年针对网络进行大规模升级改造，更换了原有的落后核心设备，将网络结构重新规划，增加各信息化节点IP储备量，缩小冲突域，同时将网络路由协议由静态转为动态，为下一步的环网建设做铺垫。2012年开始对信息化环网进行可行性论证，2013年起逐步对原有星形网络进行改造，经多年的建设已建成以万兆骨干环网为核心、千兆骨干环网为汇聚的信息化网络。

2 铁法能源公司主干环网建设实践

铁法能源公司主干环网建设分为两个主要部分：一是针对现有设备进行增补更换，增强网络运行能力；二是建设环网线路，并对原有OSPF路由进行改造以适应环网需求。

针对现有设备进行增补更换：

（1）在大隆矿、小康矿、大平矿各增加一台7606路由器。3台大容量高速路由器用以增强重点矿厂、重点环路、重要节点的数据转发能力。

（2）将铁法能源公司原机房拆分成为调兵山和康平两个核心机房。其中调兵山核心机房作为链路汇聚节点，负责物理传输上的集中；康平核心机房作为数据机房，安置集团信息化各个系统的服务器。调兵山核心机房与康平核心机房需保持永不断线的高速传输状态，为此在康平核心机房、调兵山核心机房、康平机房各增加一块万兆板卡及相应模块，实现万兆路由，使调兵山核心机房、康平核心机房、大平机房成为一个万兆骨干环路，保障康平与调兵山之间的数据流在线路出现故障的情况下仍能高速稳定地传输数据。

（3）在各入环矿、厂增加光模块实现千兆环网。利用铁法能源公司既有杆路与电力杆路互补，实现主干环网。将原公司中心机房到各矿机房点到点通信网络补充为相切环结构，做到了线路断点保护，节省了大量线路施工费用和时间。

铁法能源公司环网线路建设主要内容包括：① 调兵山通信信息网络中心到晓南矿沿供电杆路敷设光缆5.5km。② 晓南矿到小青矿沿供电杆路敷设光缆6.8km。③ 小青矿到大强公司沿供电杆路敷设光缆6.7km。④ 晓南矿到大兴矿沿供电杆路敷设光缆9.5km。⑤ 大兴矿到煤层气公司沿供电杆路敷设光缆5.5km。⑥ 煤层气公司到煤矸石发电公司新建杆路、敷设光缆21.5km。本次环网线路建设已于2015年全部建设完毕，通过此次主干环网建设，铁法能源公司将原有的点对点星形网络改造成为以万兆骨干环网为核心、千兆骨干环网为汇聚的信息化网络。

3 系统核心技术与特色

3.1 网络设计

铁法能源公司信息化网络历经数次改造，一直在寻求最优网络结构。此次主干环网建设，利用煤矿电力供应双线路供电乃至多线路供电的特点，结合集团各矿、厂实际情况，创造性地利用铁法能源公司既有杆路与电力杆路互补，实现环网。不但将原公司中心机房到各矿机房点到点通信网络补充为相切环结构，而且做到了线路断点保护，实现了以万兆骨干为核心、千兆主干为补充的主干环网。

3.2 设备选型及布线

思科公司是铁法能源公司建网以来的主要设备提供厂家。目前公司网内骨干交换，路由设备95%以上采用该厂商生产的设备。为了保证网络升级改造的平滑过渡，也鉴于长期以来在使用思科设备时对其稳定可靠性的认可，此次主干环网均采用思科公司设备。Cisco7606路由器是一款部署于运营商网络边缘和数据中心、体积小巧、性能出众的路由器，在网络边缘和数据中心，可提供出色的性能和服务来满足企业需要。Cisco7606提供了30Mpps（集中式处理）、240Mpps（分布式处理）和480Gbps的总吞吐量，以及先进的硬件加速IP服务，此次主干环网建设中所用到的万兆板卡及万兆光模块皆为思科公司生产，可提供10Gb/s的传输速率，大大提高核心环的网络吞吐能力。

3.3 网络高可靠性

以太环网具有强大的网络故障自愈能力，环网协议利用断路告警、环监测、环恢复三种机制来对协议进行维护，即环网内任意两节点间的线路中断都可在极短的时间内恢复通信。在企业对财务、瓦斯监测、安全生产、视频监控、销售、物供的通信质量要求越来越高，实时通信中断忍受能力越来越低的情况下，“永不中断”的网络将避免企业因网络中断造成的损失。

3.4 OSPF动态路由

OSPF是一个内部网关协议，用于在单一自治系统内决策路由，是对链路状态路由协议的一种实现，隶属内部网关协议（IGP），故运作于自治系统内部。OSPF动态路由将显示环网内设备哪条线路中断，应改为哪条线路才可继续保持通信。并且其高扩展性使今后的网络改造更加平滑顺畅，任何新设备、新环路的添加只需将配置好的设备接入网内，整个网络在极短的时间内自动将设备纳入系统中。

3.5 网络安全设计

（1）防火墙策略的设计

采用路由模式，开启OSPF路由协议，允许部分网段访问矿厂的内网。将连接到集团的线路设置为外部网络，连接到矿区的接口定义为内部网络。设置相应ACL控制外部访问，从外部允许进入到内部网络的IP地址匹配为NAT（0），进行路由到达内部网络。

（2）IPS的设计

将Cisco 7606系列自适应安全设备（ASA）的网络流量发送至高级检査和预防安全服务模块（AP-SSM）（IPS）模块，这种配置能够满足全面监控的要求。对于ASA和AP-SSM的交互方式，包括混合模式和内部模式。混合模式指在ASA将原始数据发送到目的地的同时，还将一份数据发送至AP-SM。在混合模式中，AIP-SSM被视为入侵监测系统（IDS），触发器包（引起警报的包）仍然可以到达目的地。内部模式指ASA将数据发送至AP-SSM执行检查。如果数据通过了AIP-SSM检查，则数据返回ASA，继续处理并发送到目的地。在内部模式中，AP-SSM可视为入侵防御系统（IPS）。与混合模式不同，内部模式（IPS）将阻止触发包到达目的地。考虑采用内部模式会产生数据延时，建议使用混合模式，开启mS功能。

（3）UTM的设计

UTM多功能安全网关可以帮助企业更好地控制网络攻击。将UTM放置集团网络总出口，将整个公司外部威胁屏蔽掉。

4 经济社会效益分析

铁法能源公司主干环网的建设的目的是保证网络的高效可靠性运行，杜绝线路中断造成的信息“孤岛”。主干环网的建设有效地解决了以上问题，同时创造了较好的安全经济效益。改造前后对比分析：（1）改造前18个机房24h有人值守，改造后降低为2个机房有人值守。（2）改造前时刻监测网络情况，改造后只需每日例行检查。（3）改造后公司网络永不中断，保障了公司网络销售系统的正常运行，间接挽回经济损失约1000万元。（4）改造后公司网络永不中断，公司因网络中断造成的煤矿安全生产事故的概率为0，安全效益明显。