华为公司近期凭借全球领先的高品质骨干网解决方案和丰富骨干网建设经验成功助力郑州铁路局完成数据通信网和综合信息网两张大型骨干专网的融合,实现郑州铁路局双网的真正融合,为郑州铁路局提供了一张运营商级高可靠铁路骨干网。
郑州铁路局成立于1949年3月,是中国铁路总公司管理的大型铁路运输企业的18个铁路局之一。郑州铁路局地处中原,位于全国路网中心,横跨河南、山西、山东三省,京广、陇海、京九三大干线在此交汇,是立足中原、服务四方的交通命脉,承东启西、连接南北的经济走廊,地理位置十分重要,素有“中国铁路心脏”之称。
业务的迅速发展对郑州铁路局骨干网络提出了新的需求
中国铁路总公司【2012】101号“关于建立铁路信息化管理新体制的意见”发文中,明确规划了中国铁路信息化的发展方向,铁路信息化应用系统需要安全可靠的承载平台。郑州铁路局目前有IP数据网和TMIS信息网两张专网,两者长期并存且覆盖范围也大致相同。信息网承载内部办公及一部分生产业务,内容丰富,但是站段间2M的通信带宽严重制约了它的发展,而数据网链路均为N*155Mbps或千兆及以上带宽,为了解决带宽覆盖不均衡的问题,提升资源利用率,郑州铁路局急需对现有两张网络改造,有如下几方面的问题急需解决:
一是双网并存、业务复杂。目前郑州铁路局有以客运业务为主的IP数据通信专网,以及以TMIS为基础发展起来的IT综合信息网,两张网络同时存在,不同专网运行不同业务。IP数据专网主要承载旅客信息服务系统、各专业管理信息系统、铁路综合视频监控系统、GSM-R/GRPS业务、各类监测及通信网管系统、会议电视系统、电报电话等通信系统数据业务。IT综合信息网是以原铁道部为中心,利用网络实时联机铁路局、车站、段的三级计算机自动化铁路运输信息管理系统,主要用于对全路所有火车、机车、列车、集装箱及所运货物实施追踪管理,两张网络承载了几乎铁路局所有的数据通信业务,业务非常复杂。
二是可靠性、安全性的需求。铁路业务事关民生,铁路业务无小事,铁路的承载网在可靠性、安全性上和传统的承载网相比要求更高,链路级、运营级、设备级可靠性上均要满足,同时安全防护上相比一般的网络安全性要求更高。
三是运维复杂、管理成本高。两张网络同时存在,需要大量的维护人员,运维成本非常高,同时出现故障时间难以定位,尤其运营时间较长的老网,经过多次的扩容和改造,目前的维护成本成几何级增长。
四是现有网点网络架构可扩展能力有限。目前网点建设缺乏统一规范无法快速响应新业务部署和市场变化。在规划旧有网络的替换及升级方案时,需要预留足够的扩展能力,无法满足未来几年的业务发展需求。
基于以上需求,郑州铁路局希望建设一张可靠、安全弹性的融合网络,以上需求要求在网络改造过程中,必须进行科学规划、规范实施。
华为双网融合解决方案为郑州铁路局保驾护航
根据郑州铁路局现网业务和发展改造的需求,华为凭借成熟领先骨干网解决方案和丰富的经验,依托华为明星NE产品和高端融合USG9500安全产品,提出了双网融合的解决方案,为郑州铁路局构建一张安全、可靠、稳定、弹性的融合运行网络。
1. 双网融合、扁平化架构:NE20E-S设备作为综合信息网新增CE设备与数据网既有PE设备互联,从物理层面实现两张网络的融合,华为新一代T级多合一数据中心防火墙USG9500设备旁挂在信息所、信息分所的出口设备上,对TMIS网络提供一体化的管控和防御。在信息所、分所及所有站段平行部署CE接入数据网PE,实现一张扁平的网络,信息所、分所及任一站段的网络故障都不会导致其他站点的网络中断,极大提高了网络的可靠性。
2.高可靠、稳定的网络设计:华为NE20E-S系列路由器采用分布式处理架构,主控、交换和转发物理分离,控制平面和业务平面分离,从多个层面提供可靠性保护,包括设备级、网络级、业务级可靠性,形成了面向整个网络的解决方案,完全满足电信级的可靠性需求,是构筑电信级业务的基石,达到99.999%的系统可用性。USG9500系列防火墙提供业界独有的双主控主备倒换技术,将防火墙的可靠性提高到高端路由器级别,保证关键节点可靠性一致。在本次解决方案中,在CE设备上部署ospf track BFD,通过华为硬件BFD链路3.3ms快速检测技术,将链路故障检测与切换能力提升到毫秒级,实现了铁路业务信号传输过程中任意节点的硬件故障或链路故障做到毫秒级网络冗余保护,确保了铁路业务承载在新网络上真正的实现了运营商级网络容灾可靠。
3. 有效的融合隔离,端到端的安全保障:根据郑州铁路局业务情况,华为提供了三个层次的安全隔离:第一层是在数据网与信息网的物理融合上,通过VRF及路由过滤实现业务之间的逻辑隔离;第二层是在信息网各站段CE扁平化接入数据网PE之后,通过GRE over MPLS BGP VPN隧道技术隔离站段、分所与铁总的直接互通,实现信息网内部的分层、分级管理;第三层是在信息网的路局级出口部署高性能防火墙实现信息网出口的安全隔离。华为新一点T级数据中心防火墙USG9500具备全面的防护功能,集传统防火墙、VPN、入侵防御、防病毒、数据防泄漏、带宽管理、上网行为管理等功能于一身,一机多能。同时USG9500在控制的维度和精细程度上都有很大的提高,可以从应用、用户、内容、时间、威胁、位置6个维度进行一体化的管控和防御。内容层的防御与应用识别深度结合,一体化处理。例如: 针对信息网数据库业务特别多的特点识别出Oracle的流量,进而针对性地进行对应的入侵防御,效率更高,误报更少。
双网融合助力郑州铁路局业务高速发展
通过本次双网融合的改造,依托业界最先进的路由器和防火墙,郑州铁路局打造了一张稳定可靠、易于维护、平滑演进的融合网络。站段信息网的带宽得到了大幅提升,大大提高了整网的资源利用率和生产效率,降低了运维成本。此次双网融合解决方案主要基于华为NetEgine20E-S系列综合业务承载路由器和新一代T级多合一数据中心防火墙USG9500构建,具有高性能、高可靠、高可扩展性等特点,双网融合的落地为实现“数字郑铁”和进一步推进铁路信息化建设奠定了坚实基础,满足郑州铁路局的业务快速发展需求,在铁总起到了示范作用。