浅论中煤平朔煤炭专网改造与实施.docVIP

浅论中煤平朔煤炭专网改造与实施 　　[摘 要]针对中煤平朔分公司煤炭专网存在核心设备老化、网络广播风暴严重、没有安全设备等问题，提出对煤炭专网进行升级改造。本文涉及到煤炭专网改造网络设备的实施规划和具体配置，将原先的交换式网络改造成路由模式，对专网路由器及核心交换机进行升级，并在各级节点配置安全设备，使得改造后公司的煤炭专网满足未来几年业务增加的需求，且保证专网网络运行更加稳定。 　　[关键词]煤炭专网；交换模式网络；路由模式网络；瓦斯服务器；产量服务器 人员定位服务器 　　中图分类号：TV9 文献标识码：A 文章编号：1009-914X（2015）44-0372-02 　　1 引言 　　中煤集团平朔分公司网络平台始建于2003年，网络建成以后，先后建设了煤炭调度平台、产量监控系统、人员定位系统等。根据山西省煤炭厅产量系统及人员定位系统数据必须上传到省厅的要求和山西省煤炭厅对煤炭专网的整体规划及要求，中煤集团平朔分公司对现有的网络进行升级改造，以满足未来业务发展及山西省煤炭厅的要求。由于中煤平朔下一步的数据将直接由朔州市煤炭局监管，到煤炭局我公司已经铺设了光缆专线，考虑到目前到省厅数据量不是很大，暂时不对链路进行升级。中煤集团平朔分公司到所属的各个井工矿的网络连接是通过交换机来完成，整个网络结构为交换模式，几个井工矿的网关都在中心的核心设备上，这样使得网络中的广播风暴严重，一个矿出现网络故障很容易波及到其他矿。病毒也可能从一个矿蔓延到另外的矿井，网络安全存在问题。 　　网络拓扑结构如图1-1所示： 　　总之，中煤集团平朔分公司煤炭专网存在以下问题： 　　1、 核心设备老化，网络抖动严重； 　　2、 到省煤炭厅链路带宽不足； 　　3、 网络结构简单，存在严重的广播风暴； 　　4、 网络没有安全设备，极易受到攻击。 　　2 专网改造方案 　　2.1 改造方案 　　针对目前网络系统中存在的问题，本次网络升级改造的主要目标概括为以下几点： 　　1. 新增核心交换机，替换现有的网络核心，使其更加稳定， 处理能力更强。 　　2. 将原先的交换式网络结构升级为路由组网模式。 　　3. 增加安全设备，防止攻击和病毒的蔓延。 　　改造后的拓扑结构如图2-1： 　　2.2 网络设备升级 　　由于中煤集团平朔分公司及其煤矿的网络建设较早，早期的设备不具备MPLS VPN功能，所以本次网络改造将对原先的专网路由器及核心交换机进行升级，使其具备MPLS VPN的功能。 　　2.3 安全设备配置 　　由于原煤炭网基本没有安全保障机制，要求各级节点配备安全设备，并且要求安全设备：支持IPS（入侵防御）及带宽管理、MPLS VPN组网，知名安全厂商的病毒库、流量控制与行为管理、各版本SNMP管理、具备硬件Bypass，具有综合的安全功能；并且要求能够功能定制：能够监测到各接口状态和流量；能够监测到经过本设备的业务服务器的状态和流量；能够自定义周期时间发送上述信息到指定服务器；能够自行定制发送信息内容。 　　本次改造项目完成以后，中煤集团平朔分公司煤炭专网应满足未来几年业务增加的需求，使得公司的煤炭专网网络更加稳定。 　　3 网络管理 　　3.1 控制口console的控制 　　控制口（console）是完成网络设备最初配置的，它一般用来直接接一个终端，另外，AUX口作为辅助。通常，采用密码校验来控制用户访问console口，缺省设置是不需要密码就可以访问。我们可以通过以下方法来控制console口的安全： 　　用户模式密码（只能用一些查看设备状态的命令）； 　　特权模式密码（能使用所有命令查看设备状态和配置设备）； 　　会话超时（console口没有使用一段时间后自动断开）； 　　密码加密（将密码以加密的格式保存）； 　　3.2 远程拨号（AUX口）的控制 　　AUX一般用于远程拨号到网络设备，进行远程配置。 　　3.3 远程登录telnet 的控制 　　通过telnet到网络设备上，我们可以进入用户模式和特权模式，完成查看和配置设备的全部功能，一般的网络设备同时可以有几个虚拟终端口用来远程登陆。我们用上面提到的控制console口的方法来控制telnet的安全，还可以用访问列表来限制远程登陆的主机，其中exec-timeout命令用来设置会话超时，access-class用来设置合法的IP地址。 　　3.4 网管SNMP的安全性 　　SNMP是另一种访问网络设备的方式。通过使用SNMP收集网络设备的状态，来配置网络设备。SNMPv2的community string采用MD5来进行加密，同时SNMP可以和访问列表结合起来，使用指定的的IP地址或端口访问到网管信息。 　　4 新旧网络