華為NE路由器/USG9000防火墻北京鐵路局兩網(wǎng)融合案例
北京鐵路局是中國(guó)鐵路總公司管理的大型鐵路運(yùn)輸企業(yè)的18個(gè)鐵路局之一,由于歷史原因����,目前鐵路局同時(shí)并存著多張數(shù)據(jù)承載網(wǎng)絡(luò)���。最為典型的網(wǎng)絡(luò)系統(tǒng)是客運(yùn)專線建設(shè)的鐵路數(shù)據(jù)通信網(wǎng)及以TIMS為基礎(chǔ)發(fā)展起來的綜合計(jì)算機(jī)網(wǎng)����。其中���,數(shù)據(jù)通信網(wǎng)近兩年已基本完成了網(wǎng)絡(luò)的升級(jí)改造�,網(wǎng)絡(luò)可靠性及業(yè)務(wù)承載體驗(yàn)進(jìn)一步提升���,具備從路局到沿線車站的大帶寬綜合承載能力����。
鐵路局通信網(wǎng)設(shè)計(jì)改造后的苦惱
路局鐵路數(shù)據(jù)通信網(wǎng)完成升級(jí)改造后承載能力和可靠性大幅提升,可是由于歷史因?yàn)槟壳皵?shù)據(jù)網(wǎng)上承載的業(yè)務(wù)并不多�;而另外一張網(wǎng)絡(luò):綜合計(jì)算機(jī)網(wǎng),普遍存在設(shè)備老化��、帶寬不足���、帶寬擴(kuò)容受限�����、網(wǎng)絡(luò)覆蓋范圍不足等問題��,網(wǎng)絡(luò)帶寬及服務(wù)質(zhì)量遠(yuǎn)遠(yuǎn)不能滿足鐵路信息化發(fā)展的需要�����。但是TMIS網(wǎng)中承載鐵路的多個(gè)核心業(yè)務(wù)系統(tǒng)���,考慮到核心業(yè)務(wù)系統(tǒng)有高安全性、高可靠性的要求�����;無法把TMIS網(wǎng)中的業(yè)務(wù)直接搬遷的帶寬充足的鐵路數(shù)據(jù)網(wǎng)上承載;鐵路要求各鐵路局完成數(shù)據(jù)網(wǎng)與TMIS網(wǎng)的融合�����,在保證TMIS網(wǎng)中核心業(yè)務(wù)系統(tǒng)安全���、可靠運(yùn)行的情況下�����,把業(yè)務(wù)流量遷移到鐵路數(shù)據(jù)網(wǎng)上承載。
兩網(wǎng)融合方案實(shí)現(xiàn)局內(nèi)資源的優(yōu)化
基于客戶的需求和現(xiàn)網(wǎng)情況�����,華為創(chuàng)新提出:BGP L3VPN的動(dòng)態(tài)路由融合方案��;融合設(shè)備部署:在北京鐵路局下轄的三個(gè)電子所����、及各匯聚點(diǎn)、車站���、段�、動(dòng)車所等處設(shè)置兩臺(tái)CE路由器(華為NE路由器)、兩臺(tái)防火墻(華為USG防火墻)打通TMIS網(wǎng)和鐵路數(shù)據(jù)網(wǎng)���。
業(yè)務(wù)一致性����,通過路由控制業(yè)務(wù)路徑一致性���,當(dāng)前石家莊電子所路由通過石家莊新增CE設(shè)備注入到數(shù)據(jù)網(wǎng)即可���,路局及其他電子所路由暫時(shí)通過路局的CE路由器注入至數(shù)據(jù)網(wǎng);未來建議各個(gè)電子所路由通過各自電子所CE注入��;
路由環(huán)路避免�����,數(shù)據(jù)網(wǎng)與TMIS網(wǎng)之間的路由的互引��,根據(jù)現(xiàn)網(wǎng)情況部分站段采用靜態(tài)路由方式�,新增CE路由器與電子所原有交換機(jī)互相配置靜態(tài)路由即可,不存在環(huán)路���;如配置動(dòng)態(tài)路由�,則通過路由TAG的方式避免環(huán)路;
華為鐵路兩網(wǎng)融合解決方案還將重點(diǎn)解決網(wǎng)絡(luò)易運(yùn)維��、高可靠���、高安全���、平滑過渡等難題和需求:
1) 易運(yùn)維
采用BGP L3VPN動(dòng)態(tài)路由融合方案,業(yè)務(wù)路徑由路由協(xié)議動(dòng)態(tài)選優(yōu)�,同時(shí)通過路由優(yōu)先級(jí)、路由TAG值等技術(shù)動(dòng)態(tài)保證業(yè)務(wù)路徑一致性��、防環(huán)路��;減少大量的規(guī)劃����、和人工配置工作量����,同時(shí)也大大降低了后期運(yùn)維的工作量;
2)雙平面架構(gòu)���、硬件BFD����、動(dòng)態(tài)FRR、寬溫設(shè)備保證網(wǎng)絡(luò)業(yè)務(wù)高可靠運(yùn)行
方案整體網(wǎng)絡(luò)采用雙平面架構(gòu)�,采用雙節(jié)點(diǎn)雙鏈路冗余,保證任何設(shè)備或鏈路故障���,能得到恢復(fù)����。交換機(jī)�����、防火墻�����、CE設(shè)備以及和PE設(shè)備之間的鏈路和節(jié)點(diǎn)��,配置IP FRR或IGP FC倒換技術(shù)�,確保業(yè)務(wù)快速倒換。
3)立體防護(hù)�����,多維度審計(jì),確保兩網(wǎng)信息安全
針對(duì)兩網(wǎng)融合安全問題����,華為采用立體防護(hù)、多維度審計(jì)的解決方案�,對(duì)兩網(wǎng)做到多重安全防護(hù),為鐵路的網(wǎng)絡(luò)安全做到全方位�����、立體式�、整體化的信息防護(hù)體系。在三個(gè)北京�����、天津����、石家莊三個(gè)核心結(jié)點(diǎn)部署華為USG系列下一代防防火墻����,實(shí)現(xiàn)基于應(yīng)用、用戶�、時(shí)間的多維度全面安全防護(hù)���,實(shí)現(xiàn)邊界隔離。
4)完善割接方案�,確保兩網(wǎng)平滑融合
華為針對(duì)兩網(wǎng)融合的特點(diǎn),設(shè)計(jì)了完善的割接方案�,提前在實(shí)驗(yàn)室成功鏡像驗(yàn)證,實(shí)現(xiàn)了北京鐵路局兩網(wǎng)融合的平穩(wěn)過渡��,確保網(wǎng)絡(luò)及承載業(yè)務(wù)系統(tǒng)運(yùn)行安全�����。
兩網(wǎng)融合����,資源最優(yōu)配置
華為兩網(wǎng)融合方案保證了北京路局鐵路數(shù)據(jù)網(wǎng)與TMIS網(wǎng)的高效平穩(wěn)融合;兩網(wǎng)融合完成之后�,TMIS網(wǎng)的承載能力提升100%、原TMIS網(wǎng)承載的鐵路核心業(yè)務(wù)可靠性大幅提升��,同時(shí)也為后繼業(yè)務(wù)擴(kuò)展預(yù)留和充足的網(wǎng)絡(luò)資源�。
鐵鐵數(shù)據(jù)網(wǎng)網(wǎng)絡(luò)資源得到充分利用,實(shí)現(xiàn)局內(nèi)資源的優(yōu)化配置��;動(dòng)態(tài)路由方案使網(wǎng)絡(luò)的運(yùn)維工作量降低30%����, 整網(wǎng)維護(hù)界面清晰����,易于運(yùn)維管理����。
