叶水勇

(国网黄山供电公司，安徽 黄山 245000)

随着我国社会经济的快速发展，电网建设规模逐年扩大，电网公司对电力信息通信安全性、信息网络运行稳定性、可靠性的要求越来越高[1-2]。某电力公司近期在隐患排查工作过程中发现信息内网出口防火墙和省公司部署的CE设备之间部署了2台华三S5500交换机，该设备不在省市公司任何监控平台监管，而且其运行年限超过10年，设备电源和风扇模块故障率逐年增多。目前国网数据通信接入网已经实现万兆接入各市公司，公司最新更换的省公司统一采购的启明星USG-12000-SP高端防火墙也支持万兆转发，但是华三S5500交换机是千兆交换机，成为公司信息内网出口速率上的瓶颈[3-4]。

1 网络现状及存在的问题

1.1 网络现状

信息内网出口作为公司整个信息内网的枢纽，连接了国网数据通信网、市公司局域网、市公司广域网等区域网络，为各区域网络用户互联互访起着至关重要的作用。根据公司信息内网出口的需求分析，公司信息内网的建设不仅需要提升出口带宽，满足未来若干年的需求，更要提高网络总体性能，适应信息化飞速发展对网络资源与日俱增的消耗；同时必须具备良好的可扩展性、高可靠性、网络协议配置简明易于管理、合理的安全防护且边界清晰、适应业务流量转发[5-6]。

如图1所示，公司信息内网出口通过部署2台启明星辰万兆高端防火墙(USG-FW-12000SP)作为其信息内网网络边界安全防护设备，同时作为整个信息网络系统的枢纽。2台启明星辰防火墙对上通过2台华三S5500交换机与省公司部署的2台华三SR8812高端路由器逻辑互联，对下与公司部署的2台思科C7609核心交换机互联，实现公司与省公司、国网业务互访。

1.2 存在的问题

a.信息内网出口2台华三S5500交换机自2009年上线已经持续运行超过10年时间，故障率逐年增多，由于该设备的重要性，目前其设备性能及稳定性已无法满足现有需求。

b.公司信息内网核心交换机为C7609，信息内网防火墙为启明星辰万兆高端防火墙，公司CE设备为华三S8812高端路由器，三者均支持万兆速率。但华三S5500交换机串联在出口防火墙和CE设备之间，成为公司信息内网出口带宽的瓶颈。

c.公司信息内网出口增加2台华三S5500交换机保证了数据通信接入网2台CE设备VRRP协议正常运行的同时增加了信息网络出口的故障点，2台华三S5500交换机串联在信息内网出口防火墙和2台CE设备之间，成为公司信息内网出口的隐患点[7-8]。

d.信息内网出口2台华三S5500交换机并未规划管理地址，也不在省市公司监控平台的监控范围内，S5500交换机出现软硬件故障并不能及时发现，增加信息内网安全风险。

2 主要管理办法

2.1 专业管理工作流程

依据《国家电网公司省级及以下数据通信网络优化整合改造总体设计》《国网信通部关于印发国家电网公司省级及以下数据通信网络优化整合改造实施总体工作要求的通知(信通通信〔2014〕54号)》等要求，结合公司信息运行及安全管理实际制定详细的改造计划，制作管理流程，如图2所示[9-10]。

2.2 主要流程说明

a.准备阶段：按照拓扑设计，布放光纤；测试互联链路物理连通性；主备S8812预先使用新规划IP完成接口、路由、重分布配置；准备好设备配置脚本并完成核心交换机预配置；信息内网出口设备配置备份。

b.信息内网出口防火墙主备切换：检查信息内网出口防火墙HA运行状态；确保主用防火墙开启上下行端口检测以及抢占功能；断开主用防火墙所有端口，确保业务切换至备墙；主用防火墙使用万兆端口上联至主用S8812路由器万兆端口；主用防火墙使用万兆端口下联至主用S9505E核心交换机万兆端口；主用防火墙使用千兆端口上联至备用S8812路由器千兆端口；主核心交换机、主用防火墙和S8812-1恢复主用链路。

c.防火墙主备同步：断开备用防火墙所有互联接口；备用防火墙使用万兆端口上联至主用S8812路由器万兆端口；备用防火墙使用千兆端口上联至备用S8812路由器千兆端口；备用防火墙使用万兆端口下联至备用S9505E核心交换机万兆端口；恢复主备防火墙之间心跳线，防火墙主备配置、会话同步。

2.3 实施步骤

a.按照图1布放光纤并测试光纤通络正常。

b.完成信息内网出口设备配置文件备份。

c.主备S8812路由器使用新规划的IP地址完成接口VLAN、IP地址和路由配置。

d.断开主用防火墙上下行链路，使主用防火墙离线，业务切换至备用防火墙，数据流量走向如图3所示。

e.主用防火墙配置将相应接口划入安全域并配置新IP地址。

f.主用防火墙设置浮动路由，防火墙主用路由下一跳指向S8812-1,下一跳地址为10.138.206.129；备用路由下一跳指向S8812-2,下一跳地址为10.138.206.133。并对主用下一跳地址开启ICMP探测。

g.主用启明星辰防火墙对新启用的端口开启接口探测。

h.恢复防火墙之间心跳线和主用防火墙与主用核心交换机之间的互联线，断开S5500-1和S8812-1之间链路并使用新布放万兆光纤连接主用防火墙和S8812-1，数据流量走向如图4(a)所示。

i.拆除信息内网出口无用线路，将新线路按照图1所示重新连接，如图4(b)所示。

2.4 业务测试

信息内网出口主备防火墙配置同步完成后，测试各项业务指标正常后，参考图5对信息内网出口防火墙进行如下几个场景的故障演练。

2.4.1 场景一：主用防火墙上行链路故障

主用防火墙上行链路故障后，信息内网出口启明星辰防火墙将进行主备切换，业务切换至备墙，主备防火墙切换过程中丢1～2个数据包[11-12]。切换完成后对信息内网各项业务进行全面测试。各项业务测试完成后，恢复主用防火墙上行链路，业务再次切换为主用防火墙，再次完成信息内网各项业务全面测试。

2.4.2 场景二：主用防火墙下行链路故障

主用防火墙下行链路故障后，信息内网出口启明星辰防火墙将进行主备切换，业务切换至备墙，主备防火墙切换过程中丢1～2个数据包。切换完成后对信息内网各项业务进行全面测试。各项业务测试完成后，恢复主用防火墙下行链路，业务再次切换为主用防火墙，再次完成信息内网各项业务全面测试[13-14]。

2.4.3 场景三：主用防火墙宕机

主用防火墙宕机后，信息内网出口启明星辰防火墙将进行主备切换，业务切换至备墙，主备防火墙切换过程中丢1～2个数据包。切换完成后对信息内网各项业务进行全面测试。各项业务测试完成后，恢复主用防火墙，业务再次切换为主用防火墙，再次完成信息内网各项业务全面测试[15-16]。

2.4.4 场景四：主用防火墙上行主链路假死

主用防火墙上行链路失效但是接口状态正常情况下，主用防火墙不会切换至备墙，则数据流量经由主用防火墙至备用CE设备，全面测试信息内网业务是否正常。

3 实施效果

3.1 减少经济成本及网络出口故障点

本次信息内网出口优化减少2台华三S5500交换机的投入，同时减少设备运维和维保成本。信息内网出口由2台启明星辰防火墙和省公司部署的2台CE设备直接对接，减少信息内网出口设备节点和链路，从而减少信息内网出口故障点[17-18]。

3.2 提高内网出口的稳定性

信息内网出口由2台启明星辰防火墙和省公司部署的2台CE设备直接对接，物理层面上减少信息内网出口设备节点和链路，逻辑上使用浮动静态路由的方式对接，提高了信息内网出口的稳定性。

3.3 提升信息内网出口带宽

信息内网出口防火墙为启明星辰万兆高端防火墙，CE设备为华三S8812万兆高端路由器，二者均支持万兆速率。但华三S5500交换机串联在出口防火墙和CE设备之间，成为公司信息内网出口带宽的瓶颈，通过本次出口优化项目公司信息内网出口速率提升10倍[19]。

3.4 简化出口协议

省公司部署的2台CE设备华三S8812路由器原使用VRRP+静态路由的方式部署，通过本次出口优化项目2台华三S8812路由器使用静态路由的方式就可以实现冗余部署，简化了出口协议，节省了设备性能。

3.5 提升网络边界清晰度

信息内网出口防火墙直接和省公司部署的2台CE路由器对接，由于中间没有串联其他二层设备，使得公司信息内网出口安全域清晰，易于管理与日常维护。

4 结束语

公司通过对信息内网网络出口开展优化工作，有效实现简化网络结构及出口协议、降低建运成本、降低故障点、提升信息内网出口带宽及网络边界清晰度、最终提高信息业务的保障能力，满足信通专业市县一体化和精益化管理要求。公司本次内网网络出口优化工作实施的典型经验可作为省内其他地市该工作开展的直接指导经验，也可为国网公司其他单位开展类似工作提供参考。