全方位立体安全打造铁路两网融合——浅析华为铁路两网融合解决方案

两网融合的背景

铁路信息化通信网络当前存在着多张覆盖全路的数据承载网络，包括数据通信网、综合计算机网（TMIS网络）、客票网、CTC/TDCS（铁路调度指挥信息管理系统）等。

其中，数据通信网近两年已基本完成了网络的升级改造，主要承载路局视频会议、综合视频监控、5T系统、工务雨量、旅客信息服务、办公自动化、事故救援查询平台、物联网、软交换等业务，通过MPLS VPN技术实现多业务之间的隔离，升级改造后的数据通信网带宽资源丰富，网络可靠性及业务承载体验进一步提升，具备从路局到沿线车站的大带宽综合承载综能力。

而另外一张网络：综合计算机网（TMIS网络），主要承载包括运输、客运、货运、机务、工务、电务、车辆、局办、工会、安监、人事、劳卫、计划、财务等各专业业务口的生产与办公应用系统，各路局综合计算机网普遍存在带宽不足、带宽扩容受限、网络覆盖范围不足等问题，网络带宽及服务质量远远不能满足铁路信息化发展的需要。

综上所述，将“数据通信网”、“综合计算机网”进行两网融合，可充分利用数据通信网的网络资源，实现资源的优化配置，解决综合计算机网络带宽等问题。

两网融合需求分析

在铁总发布的《铁路局综合计算机网与数据通信网融合技术方案》中，要求综合计算机网与数据通信网的融合，需要对原有综合计算机网局域网交换机进行升级改造，同时在铁路局机关、各汇聚点（原分所）、车站、段、动车所等处增加用户边缘路由器（CE）、防火墙，保证两网融合的数据安全，其中数据通信网VPN300将作为综合计算机网业务承载并采用MPLS VPN实现不同业务之间的安全隔离。同时因为两网融合的网络覆盖面广，涉及区域环境复杂，所以需要满足易运维、稳定可靠、可平滑过渡等要求：

• 易运维：由于数据通信网和综合计算机网的网络覆盖面广，且两张网络分别由路局电务处和信息处运维管理，因此，两网融合需要解决网络易运维，且运维界面清晰的问题，网络故障时要能够清晰定界，快速发现问题解决问题；
• 稳定可靠：在大多数的小型车站，机房环境往往较差，两网融合所增加的网络设备需要能够适应较差的机房环境，尤其是设备的工作温度、防尘能力具有较高的要求；
• 平滑过渡：数据通信网、综合计算机网都是基于IP技术构建的网络，两张网络在过渡阶段会同时存在，两张网络业务要互联互通必须进行路由互引，而路由互引之后，将存在路由环路，如何避免环路将是网络过渡时需要重点解决的问题；此外，跨路局的业务都需要统一从路局出口，如何在融合的网络上实现这一业务目标尤为关键。

华为两网融合解决方案及价值

首先需要满足《铁路局综合计算机网与数据通信网融合技术方案》中两网的融合，华为采用Sx7系列交换机对综合计算机网络的交换机进行升级改造；在铁路局机关、各汇聚点（原分所）、车站、段、动车所等处设置的综合计算机网局域网采用NE系列路由器作为用户边缘路由器接入数据通信网；采用下一代防火墙NGFW设备USG6000系列防火墙进行逻辑隔离，实现对局域网的安全防护；

针对两网融合安全问题，华为采用立体防护、多维度审计的解决方案，对两网做到多重安全防护，为铁路的网络安全做到全方位、立体式、整体化的信息防护体系。

• 对于已知威胁，部署下一代防火墙，与用户认证系统对接，实现基于应用、用户、时间的多维度全面安全防护，实现边界隔离。通过下一代防火墙开启AV功能，对网络流量进行检测和处理，实现反病毒扩散。发现针对信息网的攻击入侵行为、DDOS攻击，及时采取措施。
  
  
• 针对未知威胁，部署安全沙箱设备，通过信誉扫描、实时行为分析、大数据关联等本地和云端技术，分析和收集软件的静态及动态行为，凭借独有的行为模式库技术，沙箱根据分析情况给出精确的检测结果，对“灰度”流量实时检测、阻断和报告呈现，同时与防火墙形成有效联动，有效避免未知威胁攻击的迅速扩散和铁路局核心信息资产损失。

在满足两网安全融合后还要满足两网融合中整体网络易运维、稳定可靠、可平滑过渡的难题和需求：

可视化精准运维，两网融合运维责任界面清晰

通常在网络部署完后，业务割接前，采用免仪表测量技术，验收融合网络。华为采用业界成熟的标准RFC2544，直接在网管上对割接前网络吞吐量、时延、丢包等性能进行测量，确认新网络的性能是否满足计算机网各种业务要求，避免割新网络不能满足业务的性能要求，也免去了采用仪表进站测量。

业务正常运行后，采用可视化、“傻瓜化”监控网络运行质量。在计算机网的CE设备之间，通过IP FPM功能，采用真实业务报文检测进行端到端测量，支持点到多点、多点到多点，提供10-6 精度的丢包性能测量，主动全面感知全网业务质量，确保两网融合出现故障后快速判断是哪张网的问题，理清信息部门和通信部门的问题责任界面，快速运维。

双平面架构，保证网络业务高可靠运行

方案整体网络采用双平面架构，采用双节点双链路冗余，保证任何设备或链路故障，能得到恢复。部署硬件BFD 3.3ms，加快故障检测时间，另外采用硬件BFD，不需要占用CPU资源，避免CPU处理在业务拥塞时发包延迟甚至混乱。交换机、防火墙、CE设备以及和PE设备之间的链路和节点，配置IP FRR或IGP FC倒换技术，确保业务快速倒换。

在设备可靠性方面，设备采用NP架构确保CPU故障不影响转发，设备支持主要板件如主控交换冗余，支持NSF、NSR、ISSU等。

此外，针对大量小型车站，采用工业路由器，可在-40℃至65℃的温度范围内稳定可靠运行，解决小型车站由于机房条件不好造成的设备故障率高的问题。

完善割接方案，确保两网平滑融合

华为针对两网融合的特点，设计了完善的割接方案，已经在实验室成功镜像验证，为后续各路局成功平滑改造提供坚实的基础。

总结

华为凭借RFC2544、IPFPM等系列技术，为路局两网融合提供清晰的运维界面，快速实现两张网络故障定界，免仪器仪表便捷测量网络带宽及丢包率、时延等关键指标；为路局小型车站打造工业路由器，设备体积小易安装，-40℃~65℃宽温工作，可在小型车站无空调的机房长期稳定运行。