20世纪中期以来,在世界范围内,信息技术带动了铁路行业整体技术的迅猛发展,行车指挥自动化、客货快运网络化、市场营销信息化、安全装备系统化,使铁路行业的面貌焕然一新。实践证明,铁路信息化是铁路行业发展的战略制高点和现代化的主要标志。
经过多年建设,中国铁路行驶里程超过7万5千公里,货运量、客运周转量、运输密度均居世界第一,中国铁路的客票、财务、车号识别、运输管理、运输调度等多个信息化子系统成功应用是推动中国铁路事业快速发展的重要推动力。
但由于铁路信息化建设较早,前期信息系统建设采取“业务驱动”型模式,导致各个信息系统各自独立,信息资源难以共享,综合应用难以展开,但在单一业务系统内部,往往又由于投资有限等原因,存在覆盖范围有限,可靠性低等故障隐患。
为此,铁道部在《铁路信息化总体规划》中提出了“加大系统整合力度,注重信息资源管理,规范系统开发建设,构建信息资源共享平台,发挥信息化整体效益”的总体建设思路;而设备整合、数据整合、业务整合由此成为将来铁路信息化建设的不同阶段。
设备整合将以MPLS VPN技术为依托,通过建设一套物理网,逻辑划分多个业务网的方式,完成路局基础网的改造,最终搭建一个高可靠、高性能的路局基础网络平台。
解决网络设备整合以后,数据共享成为信息化的下一步关注重点,数据整合首先要完成跨业务系统的统一数据格式编码,其次要构建统一数据库,实现跨系统的数据共享和深度数据挖掘。数据整合中如何对现有价值不菲的多个应用系统的存储系统利旧,并在将来的扩容改造中突破单一厂商的限制,是数据整合的关键技术。
业务整合的完成将使铁路信息系统更为智能化,能为铁路用户提供更方便、全面的使用体验,最终为提升运营效率、保障运营安全发挥更大的作用。
基础网改造将路局原有的列车运行控制、客票、财务、公安、视频会议、语音、视频监控等多个物理独立的网络利用先进的MPLS VPN技术整合到一个物理网络中,进行逻辑隔离,通过配备双设备、主备链路切换、高可靠网络方案设计等多种技术,新建路局基础网的可靠性比原有各自独立的网络有大幅提升,并可覆盖到所有站段级别,应用更广泛。
由于将多个物理网整合到一个逻辑网,多网合一使得网络设备数量、链路租用数量都仅为原有数量的几分之一,在不低于甚至数倍于原有应用系统带宽的基础上,整个网络建设成本和后续维护成本均大幅降低,更重要的是,日后增加新的应用系统只需在现有网络上做简单配置即可,不必新建网络,其费用节省更为明显。
路局网络融合方案分为路局核心、区域汇聚中心、站段三个层次,路局中心和区域汇聚中心均采用双设备、双链路高可靠方式组网,考虑到155M POS租用费用仅相当于10个2M链路的价格,但性能却提升超过7倍,性价比明显,建议核心与汇聚层之间采用155M POS或100M MSTP互联。
汇聚层到站段则优选全双归组网模式,每个站段直接上联两条链路到区域汇聚中心,传输资源不足时可采用“星+环”拓扑结构,尽量将跨区长途链路修改为区域内链路,降低链路租用成本,目前运营商2M链路资费仅为128K的3倍,但带宽却升级了16倍,建议站段接入带宽至少为2M,并以N×2M方式进行扩展。
“网络融合”整体组网采用高可靠组网方案,任意单点设备故障或者链路故障都不会对整网运行造成大的影响。结合MPLS VPN技术的天然安全特性,不同的VPN用户之间由于无法获知对方的路由信息,从而可以理解为存在于不同的私有网络之中,其安全性与传统电信运营商提供的ATM、FR专线相同。
实施网络融合后,还可根据不同业务对可靠性、实时性的要求,设置个性化的QoS保障策略,即使出现链路拥塞情况,仍能优先保障生产运营、财务等关键业务的可靠运行。
2.1 H3C HoPE技术降低MPLS VPN部署成本
由于MPLS/VPN协议规划是由核心、边缘的两层扁平结构组成,所有设备都要维护VPN的路由信息,但对于路局核心、汇聚、接入三层数状组网结构中设备性能逐层降低的情况,这对数量众多的站段边缘节点设备性能提出严峻考验,如果大幅提升站段设备档次,则会导致组网成本大幅提升。
为解决多层接入问题,H3C专门开发了分层PE技术。分层PE的结构如下图所示,直接连结用户的设备称为下层PE(Underlayer PE或User-end PE,用户侧PE),简写为UPE,连结UPE并位于网络内部的设备称为上层PE(Superstratum PE或Sevice Provider-end PE,服务运营商侧PE),简写为SPE。这种框架结构称为PE的分层结构(Hiberarchy of PE),简写为HoPE。
多个UPE同SPE构成分层式PE,它们之间的分工是:
¨ UPE维护其直接连接的VPN的路由,但不维护VPN中其它节点的路由或仅维护它们的聚合路由;SPE维护其通过UPE所连接的节点所在的VPN中的所有路由,包括本地和远程节点中的路由。
¨ UPE为其直接连接的节点的路由分配内层标签,并通过MP-BGP随VPN路由发布这个标签给SPE;SPE不发布远程节点中的路由给UPE,而是只发布VRF默认路由或聚合路由给UPE,并携带标签。
采用分层PE技术后SPE就成UPE设备的代理包括公网路由和私有路由,更上一级设备根本感知不到UPE的存在,如果想与UPE互通只需要与SPE互通就可以了,分层PE技术减少了骨干和汇聚层设备上面的路由信息,对UPE的处理性能要求大幅降低,SPE、UPE方式还可支持多级嵌套,更适合于铁路、电子政务、金融等纵向性明显的行业。
2.2 一专多能、站段一体化设备MSR
在通常站段网络中,至少存在路由器、交换机、防火墙三种产品,分别用于广域互联、局域网接入、网络安全,但由于站段基本不配置IT管理人员,多台设备的连接和配置管理工作只能由路局网管中心人员来维护,考虑到站段数量多,分布遥远,一旦出现问题,这将给路局维护人员带来繁重工作量。
MSR(Multiple Services Router)多业务开放路由器作为H3C专门面向行业分支机构推出的新一代网络产品。MSR先进的软件结构与硬件平台,能够在最小的投资范围内为企业边缘网络提供一体化解决方案,MSR集路由、交换、网络安全、IP语音多种功能于一体,不仅能够最大程度的避免网络中多设备繁杂异构问题,而且极大降低了企业网络建设的初期投资与长期运维成本。
MSR路由器在硬件设计之初就充分地考虑到集成综合业务的需要,采用了先进的N-Bus多总线设计方案,语音、数据、交换、安全四大业务分别经由不同的总线,由专门的协处理引擎并行完成处理,消除总线和CPU性能瓶颈,大大提高了该MSR路由器集成的多业务部署和实施能力。可满足企业网络内部多种高质量并发业务无缝集成、完美融合。
MSR应用在站段网络,不仅减少了设备种类和数量,具有更高性价比,管理维护更方便,更由于其高度智能集成,还减少了设备互联所带来的硬件故障点问题和软件兼容性问题。
2.3 H3C 虚拟防火墙技术保障业务安全隔离与互通
MPLS VPN技术的应用只是解决了在单一物理网上承载多个业务子系统,并能实现业务系统的安全隔离,但在实际铁路应用中,隔离并不是目标,最终的跨系统信息共享和整合才是信息化的长久发展方向。
考虑到信息安全,应用系统之间的互访有很多的要求,总结如下:
1、 跨应用系统的操作终端之间不能之间互访
2、 跨系统数据交互只在路局/铁道部服务器之间受控进行
3、 OA系统内单独设立生产数据查询服务器,单向接受其他系统传递的数据
4、 各子系统内部的用户只能受控访问本系统服务器的特定服务
在路局传统网络中,防火墙是应用系统隔离的最常见和最有效的工具之一,但在MPLS VPN环境中应用还存在很多技术难点。
主要问题表现在每个VPN内部都有操作终端用户对服务器的受控访问,这使得每个VPN内都至少要部署一台防火墙,防火墙数量众多,而更关键的跨应用系统受控互通无法实现,如果在VPN层次上开通互通功能,将使得所有业务系统服务器都能任意互访,安全控制无从谈起。如果不在VPN上开通此功能,而普通防火墙却又无法感知VPN拓扑信息,导致互通无法实现。
虚拟防火墙是解决应用系统整合与安全互通的关键设备和技术,通过在路局核心交换机(在MPLS VPN域中作为PE设备)上配备防火墙板卡,并在防火墙上启动虚拟防火墙功能即可完美实现所有功能。
虚拟防火墙一方面可作为本业务系统内的防火墙使用,来控制终端用户对本系统内服务器的访问,同时由于虚拟防火墙能感知MPLS VPN的拓扑信息,可对跨VPN的访问进行细粒度的控制,比如只允许特定IP地址的服务器之间互通,并能对服务端口和协议进行控制,为业务系统整合奠定技术基础。
2.4 H3C IP SAN存储海纳百川,助力铁路业务系统整合
铁路现有应用系统超过30个,每个子系统都单独搭建网络并配备相应的服务器和存储系统,在业务整合阶段,最终要搭建一个统一的数据中心,彻底改变应用系统的数据孤岛现状。但由于各个应用系统选择的服务器和存储设备各不相同,如何使这些价值不菲的设备共享利旧,搭建统一的高性能、高可靠数据中心是业务整合阶段必要要解决的事情。
由于FC存储系统的标准不开放,不同厂商的设备之间难以互通,后续的扩容也被局限于单一厂商扩容,这使得扩容和数据整合变得困难重重。面对现有FC存储发展的困境,H3C推出了虚拟化存储解决方案。
H3C的NeoStor虚拟化数据管理引擎全面支持iSCSI、FC和SCSI协议,能够将IP SAN、FC SAN和DAS等不同的存储设备整合到统一的存储资源池。通过整合不同品牌、不同架构的存储阵列,最终用户只需要关注虚拟环存储提供的逻辑存储资源,而不必关心后端的存储设备,有效降低管理难度和维护成本;通过存储设备整合,能够对分散存储阵列上的空间进行统一的规划和调度,大大提高了资源的利用率。
作为专注于IP存储的厂商,H3C除了能提供虚拟化产品对多厂商设备进行整合,更能利用IP存储的技术优势,为原有存储提供多种增值功能。
比如H3C的虚拟存储支持基于IP的网络复制功能,可以为用户数据实现异地的备份,在发生意外灾难时能够对数据进行快速恢复,确保用户的业务持续性。异地备份时,存储系统会智能地将指定卷虚拟划分为最小以512字节为单位的数据块,在应用系统不断修改数据时,存储系统会智能地识别出那些被更改的数据块,只将这些数据块复制出去,而不是整个文件、整个表或者整个目录。这样就保证了复制在最短时间、最低带宽连接要求情况下高效实现。
2.5 多厂商兼容组网和统一管理
针对路局在现有网络上做升级改造情况,新入厂商与原有厂商的兼容组网能力、业务互通能力是实施“网络融合”的前提。
H3C网络产品不仅能与所有主流厂商产品进行良好的业务互通,更能实施基于业务的统一管理,在北京路局、青藏铁路、国家电子政务外网、国家电网调度网等政府、电力、交通等多个行业成功应用。
MPLS VPN由于其在安全性、扩展性、QoS保障等方面都有很好的表现,已经成为路局“网络融合”的关键技术,但与以往IP业务不同的是:MPLS VPN涉及技术多且复杂,增加了部署、监控等方面的管理难度。
H3C的VPN Manager定位于MPLS VPN业务领域端到端的管理解决方案,提供多种自动功能,降低MPLS VPN的管理工作量和工作难度,例如,业务配置审计功能可比较原有业务规划是否与当前设备运行业务配置一致,若发现不一致,将发送告警提示运维人员;业务连通性审计功能,则可对已经部署成功的MPLS VPN业务进行连通性审计测试,保证VPN业务的正常运行。
VPN Manager可提供H3C、Cisco等多厂商设备MPLS VPN业务共同管理的功能,解决多厂商设备混合组网、共同提供VPN业务时管理难度大的问题。
三、H3C伴随铁路信息化共同成长
随着铁路信息化的快速发展,H3C先后参与了“铁道部3.25分局切换”、“4.18大提速动车组检修、远程监控”等时间紧、工程量大的项目,以及“青藏铁路”等全民关注的大型项目,凭借着安全可靠的产品,覆盖全国的完善售后服务体系,H3C得到越来越多铁路用户的认可,H3C也在用户关怀下不断成长。在未来铁路信息化大潮中,H3C期待用更好的技术和服务,为用户创造价值。