一种信息网络上联双链路方案的设计与实现.doc

一种信息网络上联双链路方案的与实现.doc 一种信息网络上联双链路方案的设计与实现 摘 要 随着电力企业信息化的不断发展，信息网络的可靠性显得越来越重要，它承载了地区信息网络的全部生产、管理业务。目前，唐山信息网络通信系统与上级信息系统互联为单链路、单设备上联，链路中任何环节发生故障，就会影响各类运营业务，存在较大的安全隐患。本文首先对双防火墙组网技术简要介绍，提出并分析了双链路上联方案和设计原则，重点对双上联关键技术探讨与应用，最后对双链路设计方案实施效果进行有针对性的实验验证。 【关键词】信息网络 双链路 关键技术 唐山供电公司(以下简称唐供)至冀北电力有限公司(以下简称冀北)的信息网络通道，是唐供信息最关键的通道。以往，唐山供电公司与上级单位冀北电力有限公司采用单链路、单设备上联，一旦链路或者设备出现故障，唐供内包括5E系统、卡表售电系统等在内的所有办公业务将会停运，这严重影响了公司的正常的生产运行，给公司带来了不利的影响。为避免这种情况的出现，实现双设备双链路尤为必要。 1 双防火墙组网技术简介 要实现网络的高可用性，首先应该排除网络中的单点故障点，使网络在任何一台网络设备失效时仍能提供网络服务。这种方案通常要在核心层配置最少两台交换机，同样在防火墙层配置最少两台防火墙。为实验上述功能要求，防火墙必须应用专门的双机容错技术，一般防火墙都有该功能， 成为Failover(故障切换)或者“HA”。这种功能要求防火墙的两端设备必须具有交换功能，对于两个相互做Failover的设备，互为备份的链路需要有相同的配置。 2 上联双链路方案设计概况 2.1 方案背景 唐供至冀北的信息网络通道，是唐供信息最关键的通道，承载了唐山地区信息网络的全部生产、管理业务。唐供信息并非直连冀北，而是使用了综合业务数据网提供的通道。综合业务数据网为MPLS-VPN网络，由两台路由器作为双链路出口，唐供信息用2台核心路由器7609连接到双链路上，2个内置于7609上的防火墙模块(FWSM)对唐供信息网络和综合业务数据网进行隔离。示意图如1所示。 2.2 设计原则 (1)使用静态路由穿过网络边界，即:不启用动态路由学习对方网络，同时降低对方设备配置的复杂度。(2)双链路具备同时使用的能力，但从实用出发，保障安全稳定要优先于追求线路利用率。(3)一旦出现非对称路由，网络不受其影响。(4)具备自动切换能力，最大限度保证网络可用性。 3 关键技术设计与应用 3.1 防火墙A/A模式设计 考虑到路由模式在逻辑上更独立，路由模式下通过静态路由可以选择:1路为主、1路为备，或两路同时使用即一边一个包。由于FWSM功能的限制，单防火墙对双出口实现检测和切换没有经过论证和测试。设计方 案选择了A/A模式，原理为:将一块单防火墙虚拟为2个墙，另一块防火墙同样对称虚拟为2个墙，4个墙两两成对，每对运行A/S。2对A/S防火墙分别对应了2条链路，同时2个Active防火墙可以物理上分开在2个FWSM模块上，因此具有实现负载均衡的能力。 3.2 非对称路由(ASR)问解决方法 应用“ASR group”功能，当asr-group的接口收到数据包而没有会话信息时，将在同group中其它的接口检查，一旦发现符合，将重写2层包头并转往相应端口。asr-group并不是接收了非对称路由，而是将非对称路由的数据包转给正确的接口。asr-group生效的前提条件为:A/A模式的failover、配置Stateful Failover(状态同步)功能，配置replication http功能。 3.3 备用静态路由切换设计 静态路由本身没有来确定路由是否仍然可用，应用 “对象跟踪”功能(Enhanced Object Tracking)，通过将一个静态路由与一个预定义的监视目标进行关联，实现了检测和切换。设备通过IP SLA功能，使用ICMP echo-request数据包来监视目标。如果没有在特定的时间段内收到ICMP echo-reply，设备就会认为对方已经不可用，于是它会将相关的静态路由删除。此时，原来配置为低优先级的备用路由会启用，用以取代被删除的路由。 4 实验检验 4.1 路由切换功能实验 使用4台3750交换机，模拟信息和通讯互连的4台设备SW1和SW2 模拟7609-1和7609-2，启用OSPF+静态路由SW2和SW3模拟M320和M120，启用静态路由。使用SW2上的Loopback0模拟冀北的DNS-1，使用SW3上的Loopback0模拟冀北的DNS-2。目的是测试备用静态路由功能，测试IP SLA功能，测试策略路由功能，测试“对象跟踪”功能。 4.2 双链路故障实测检验 切换前后配置拓扑图如图2所示，切换前2台7609作为信息网络接口设备，2台7609上各配置1块FWSM，其中FWSM-1运行，FWSM-2未上线，M320作为接口设备。切换后2条线路物理连接为:7609-1至M320、7609-2至M120，2台FWSM完成A/A模式配置， 核心7609-1、7609-2进行配置，优选M320一路为主链路，优选7609-1为默认路由发布者，配置M120一路为备链路，7609-2为备用默认路由发布者，使用检测功能，能够实现故障检测后的线路切换。 5 结论 本文主要对一种信息网络上联双链路方案的设计与改进，提出了一种可靠性更高的双链路互备切换方案，并对关键技术如具有故障切换功能的防火墙负载均衡模式组网技术、非对称路由问题解决方式以及备用静态路由切换设计方法探讨分析。最后进行了路由切换功能实验和双链路故障实测检验。实测结果和运行经验表明该双链路设计方案能够满足与冀北上联稳定、可靠运行要求，减少了故障率，保证了关键业务的实时有效传输。该设计方案可以广泛应用于信息系统上联链路改造工作中。 参考文献 [1]孙莹，王葵.电力系统自动化[M].北京:中国电力出版社，2004: 51-65. [2]李研.防火墙在计算机网络中的应用[J].电子测试，2013(5):127-129. [3]郑黎辉，王启东.基于SDH和ADSL双链路冗余的通信网络设计与实现[J].计算机工程与设计，2009，30(20):4624-4626. [4]刘继君，徐家澍，秦学东.内蒙古电力信息网络安全技术分析[J].内蒙古电力技术，2009，27 (5):53-55. 作者简介 尹秀艳 (1982-)，女，山东省临沂市人。现为唐山供电公司工程师，从事运营监测和信息通信工作。 田新成 (1982-)，男，河北省唐山市人。现为唐山供电公司工程师，从事调度自动化工作。 作者单位 唐山供电公司 河北省唐山市 063000