安慶石化總廠電話站 產劉明
大型企業為了使自己的集中管理和遠程管理更方便,在建立了完整的企業網之后,逐漸著手于社區網絡的建設。如何建立完善的社區網絡,并使之與企業網絡相互支持,安慶石化在這方面做出了自己的特色。
作為國家級的大型企業,安慶石化每年在信息技術及網絡應用方面的資金投入是很大的。除了企業廠區的信息建設項目之外,安慶石化還針對自身的特點,把具有近2萬職工的生活社區也納入了寬帶網絡建設的實施范圍。此次,安慶石化智能社區寬帶網絡項目的建設,完成了對全部住宅小區的網絡改造,并把小區周圍的有關單位與該網絡連接了起來,從而消除了信息孤島現狀,有效實現了資源共享,使企業人員可以在家通過局域網上網,并且可以通過授權在家進行網上辦公。
一、 用戶需求
安慶石化生活區分布較為廣泛,有菱北、大湖、一村、二村、三村、四村、馬山、熱電新村、港貯等9個住宅小區,目前共有268棟住宅樓,11229套單元住宅房。網絡系統建設的目標主要有兩部分內容,即建設社區Intranet網絡系統和實現內部網絡與Internet 互連。
對于內部網絡而言,建網任務是建設社區主干網和網絡中心,連接社區內的 268棟居民樓和周邊部分單位,總共具有近10000多個信息點,進而使社區用戶可以通過較高的帶寬接入互聯網,并通過高速、可靠、安全的寬帶連接,全面提供計算機信息化服務,實現信息共享。
建成的社區網絡將為用戶提供以下服務:社區內的高速Intranet網絡系統,并向用戶提供Internet接入服務;為社區網絡提供網絡安全保障,安裝防火墻和用戶認證管理系統;建立DNS、WWW、E-mail等多種網絡應用系統,提供Internet服務,滿足高知識層次用戶的日常需要;保護用戶隱私并保障網絡安全,對整個網絡進行子網劃分,形成覆蓋整個社區的虛擬網絡基礎結構;建立網絡計費系統,為網絡管理提供方便;建立社區網上服務中心,為用戶提供網絡訂購和市場服務,從而為社區用戶提供系統化服務;建立社區的WWW主頁,并通過Internet提供宣傳服務;為VOD(視頻點播)等多媒體應用打好網絡基礎;在社區的Intranet網絡與安慶石化企業網絡之間建立高速、安全、可靠的數據通道;社區內的單位及授權用戶可以通過社區網絡訪問安慶石化企業網,實現網上辦公。
二、項目實施
1.建網原則
為與寬帶小區的業務特點緊密結合,保證網絡的正常運轉和管理,安慶石化在網絡設計構建中,始終堅持以下建網原則。
系統采用的設備(軟件設備與硬件設備)均符合國際標準,避免產品出現個別廠家的私有標準或內部協議,確保網絡的開放性和互聯互通,滿足信息準確、安全、可靠、優良交換傳送的需要,即網絡應具有一定的開放性;同時網絡應具有提供良好的業務管理能力,支持對寬帶用戶的接入管理、身份認證、帶寬許可、地址管理和服務質量,并針對不同的業務提供靈活的計費方式,確保網絡的運營、管理與服務;還應根據競爭和企業發展的需要,網絡建設要充分考慮業務的擴展能力,能針對不同的用戶需求提供豐富的寬帶增值業務,使網絡能在提供優質服務的同時具有精確核算贏利的管理機制,具有可增值性;應考慮到用戶數量和寬帶業務種類發展的不確定性,生活區寬帶網要建設成完整統一、組網靈活、易擴充的彈性網絡平臺,能夠隨著需求變化滾動發展,要分步實施,充分留有擴充余地,即具有可擴充性;要充分考慮整個網絡的穩定性,支持網絡節點的備份和線路保護,提供網絡安全防范措施,應具有系統運行的高可靠性和容錯性;支持良好的維護、測量和管理手段,提供網絡統一實時監控的遙測、遙控的信息處理功能,實現網絡設備的統一管理,具有系統管理和維護的簡易性和可行性。
安慶石化智能社區網在進行了多家廠商的比較后,最后采用了華為千兆以太網解決方案。網絡全部采用華為產品搭建。由武漢菲旺軟件技術有限責任公司實行項目的總體集成。
2.網絡搭建
安慶石化智能社區網的網絡中心位于三電大樓通信機房,與企業的計算機網絡中心在同一地方,但兩者是獨立的兩套網絡,目前僅通過VPN方式授權訪問。網絡建設采用了FTTB+LAN、VDSL技術。該系統是一個先進的、可靠的、穩定的和可運營管理的寬帶網絡系統,網絡將采用核心層、業務會聚層、接入層的網絡結構。每個網絡的層次結構都完成各自獨立的功能,方便了網絡策略的分布和實現以及網絡的平滑擴展。其網絡拓撲結構圖如圖1 所示。
圖1 安慶石化智能社區網拓樸結構圖
中心采用QuidwayS8106作為核心層交換機,配置雙主控單元和交換網板,保證了網絡的可靠性,由于QuidwayS8106具有路由功能,上行鏈路從其直接出口;為了增強網絡的安全性,在出口處設置一臺CISCOPIX 525作為防火墻,實現內外網的隔離,同時利用了 PIX 525高性能NAT的特性實現地址轉換;對于網絡如DNS、E-mail、WWW、認證計費、視頻 VOD等服務器群則通過千兆的方式和核心交換機進行互連,使用戶在使用網絡時能夠得到及時的業務響應;下行鏈路采用千兆光纖鏈路;一村、二村、四村采用VDSL接入,VDSL交換機選用MA5300,其他小區采用LAN接入,在各個小區中心則采用Quidway S3526作為匯聚層交換機;各個小區樓棟則統一采用Quidway 2403H交換機實現小區居民的接入;樓道交換機和小區的匯聚層交換機之間采用百兆光纖;而對于網絡中用戶的認證、授權和計費則可以通過寬帶接入服務器MA5200、CAMS(綜合訪問管理系統)完成對小區用戶的認證、授權和計費;對于整個網絡設備的維護管理則設置一臺網管服務器,安裝華為的iManager N2000網管軟件對全網的設備進行統一的管理。
華為寬帶接入交換機S8016具有256G高速背板、128G交換網板、64Gbit/s業務交換能力,共有16個業務插槽,64kbit/sMAC地址表項,具有DHCPSERVER功能,功能強大。為了節約投資,我們選用S8016作為DHCP服務器,另分別選用DELLPowerEdge 6600高性能PC 服務器作為DNS、E-MAIL、認證計費、VOD等服務器。
寬帶接入服務器MA5200背板容量為2.4G,整機16個槽位,其中14個為業務槽位,所有組件實現熱插拔,支持VLAN+WEB認證、VLAN+快速認證、VLAN+綁定認證方式,本項目采用VLAN+MAC地址綁定認證方式;系統支持16個地址池,每個地址池支持8個地址段,每個段最多包括1024個地址;支持16個域(ISP),對每個域提供認證方案、計費方案、 RADIUS方案、IP地址池、流控級別配置。
VDSL寬帶接入交換機為MA5300,交換容量達到16Gbit/s,也可支持 VDSL/ADSL/LAN完全混插,最大單框容量支持240線DSL用戶。并可堆疊4級平滑擴容。
三、 運營與維護
1.網絡運營
為有效對網絡的運營管理,我們采用VLAN+WEB認證的用戶接入認證方式,即接入的用戶通過登錄門戶網站,輸入用戶名和密碼,進行身份認證,從而獲得用戶的訪問權限。
當用戶采用VLAN方式開機時,首先要通過DHCP過程來獲得IP地址。在用戶得到 IP地址后,MA5200把用戶的權限設為未認證用戶,此時用戶只能訪問免費站點和門戶網站。當用戶想訪問外部站點時,必須先訪問門戶網站,進行登錄。用戶在登錄過程中,輸入用戶名和密碼,經登錄程序通過MD5算法加密后送到MA5200。MA5200再把用戶信息發送到CAMS (華為綜合接入訪問管理系統)認證服務器進行認證。在得到CAMS服務器的認證結果后, MA5200根據認證結果改變用戶權限,同時通知用戶并開始計費。當用戶結束訪問時,需要在門戶網站上點擊“注銷”按鈕,發送注銷消息。MA5200根據注銷消息改變用戶權限,并停止計費。
華為綜合接入訪問管理服務器CAMS對各級用戶對網絡的使用進行統一的認證、授權和計費,作為網絡中的業務管理核心,CAMS支持與路由器、多業務接入交換機、以太網交換機、VoIP網關和接入服務器等網絡產品共同組網,完成終端用戶的認證、授權、計費和權限管理,支持6000個并發用戶接入認證,實現網絡的可管理、可運營,保證了網絡和用戶信息的安全。該系統硬件平臺為PC服務器,軟件平臺為Linux,數據庫為Oracle產品。其 “平臺+業務組件”的結構如圖2所示。
圖2 CAMS功能結構
采用這種組件化的結構方式,使得業務組件可以動態加載,單獨升級,能有效地適應網絡的擴容帶來對網絡的管理。
2.網絡維護管理
此次網絡建設采用華為的iManagerN2000網管軟件對全網的設備進行統一的管理。其網管系統的體系結構如圖3所示。
圖3 網管系統的體系結構
iManagerN2000具有開放的體系結構,設計了GUI客戶端、MML等操作維護方式,提供WEB、Telnet等維護接口,并能支持近端、遠端不同權限的多個客戶同時訪問。
iManagerN2000固定網綜合網管系統的主要功能包括拓撲管理、配置管理、故障管理、性能管理、計費管理、安全/日志管理等。
拓撲管理主要操作有增刪設備或子網,查看節點、鏈路或子網的狀態,通過定時輪詢或手動啟動對任一設備的狀態或配置數據輪詢,實時刷新拓撲顯示數據。
配置管理提供了從網元層到網絡層的管理,可查看整條虛連結在全網拓撲結構的連結圖和有關配置信息;可在PVP/PVC兩端任意增加或刪除節點,實現PVP/PVC的延長、縮短及改變方向。實現了比較靈活統一的鏈路管理。對網元設備的配置管理還提供了兩種方式,一是通過在拓撲圖上雙擊拓撲設備節點啟動設備面板圖,在面板視圖上對設備進行配置;二是網管平臺提供了一個全網設備瀏覽樹,可以對全網的設備進行配置。
故障管理主要包括對全網設備的告警信息和運行信息進行實時監控,查詢設備的歷史告警信息和運行信息,定義發送過來的SNMPTrap,查詢和配置設備的告警表。
性能管理用戶可以獲得網絡的各種當前性能數據,并可以設置性能的門限,當性能超過門限時,網絡以告警的方式通知網管系統。用戶也可以收集一定時間段內的性能數據,并保存在數據庫中,以做進一步的分析。
安全管理完成網管系統本身的安全控制,包括下列內容:用戶管理、操作日志管理、用戶登錄/退出管理。它主要通過網管用戶權限進行控制,用戶在啟動網管客戶端后,需用已經建立的網管用戶登錄,并且只能以用戶屬性中設定的讀寫權限執行該用戶指定可以執行的網管應用。網管系統各管理應用對用戶執行的敏感操作進行記錄,管理員可通過瀏覽用戶操作日志來取得系統的所有管理操作信息。
安慶石化智能社區寬帶網系統,把所有生活區通過計算機網絡互聯起來,它不但為安慶石化生活區提供寬帶接入,實現與Internet的高速連接,還可提供基于計算機網絡的各種信息服務應用平臺,如社區管理服務及視頻點播等多種業務。目前一期、二期、三期工程已全部完工,系統已投入使用近1年,該系統加快了安慶石化的信息化進程,極大地豐富了廣大職工的業余文化生活,提高了生活層次,有效促進了安慶石化的二個文明建設,其經濟效益和社會效益十分顯著。
