一、概述
1、行业背景
中国邮政事业经过多年的发展,现已经建成了覆盖全国城市和农村的较为完善的实物传递网络,但信息传递手段还相对落后。90年代,由于信息技术日新月异,通信与计算机技术、图象技术日益融合,尤其是Internet爆破式的发展和越来越广泛的应用,不仅将严重地分流电信的基本业务,也将严重的分流邮政传统的函件等业务。在这种形势下,邮政如何生存发展成为世界各国邮政迫切需要研究解决的重大课题。
进入90年代,我国邮政行业处境并不十分理想,面对严峻挑战,邮政业务信息化势在必行。邮政要迎接挑战、加快发展、满足多样化的社会需求,必须凭借自身实力参与市场竞争。在信息时代,邮政要扩大业务市场占有分额,要获得邮政网络的规模效益,必须建设好邮政综合计算机网,这是21世纪我国邮政通信赖以生存和发展的重要基础设施,对于我国邮政实施跨世纪发展,具有极其重要的意义。
从邮电部分为电信局和邮政局起,邮政业由于国家总体控制物价水平需要,限制邮政产品价格,面临每年亏损几个亿的现状。邮政独家经营的地位已经丧失,几乎所有的业务都面临不同程度的竞争。计算机和通信的结合,大大扩展了远程通信的业务领域,电话、传真和电子邮件分流了大量过去靠邮政传递的信息,而且随着计算机网络和通信网合二为一的趋势的加强,竞争会更加激烈。在这样严峻的形势下,如何利用新的信息技术提高邮政竞争力、开拓新的服务增值业务都值得我们去探索和研究。
面对这种情况,邮政业必须快速地获取信息同时保证信息的正确性和共享性才能顺应时代的发展,因此传统的作业方式向自动化、电子化的方向发展已成为必然。
邮政综合计算机网的建设将彻底改变我国邮政通信落后的经营管理模式,取而代之的将会是一个先进的、现代化的连接全国各地的邮政综合计算机网络。这将大大推动本行业生产力水平的提高,是邮政服务尽快适应信息产业快速发展的客观需要,使信息通信与实物传递相结合,从而实现信息流、实物流、资金流的信息化、电子化,极大的提高和改善服务水平,满足公众对邮政全方位、多层次的服务需求,加强该行业的市场竞争能力。
2、网络需求
中国邮政综合计算机网,是中国邮政实现信息化的基础。邮政综合网实现了邮政生产信息的采集、传输、存储、处理的综合利用和资源共享,是邮政生产的中枢神经。邮政综合网按地域范围分为三级:第一级是省际网,包括1个全国中心、7个大区中心(北京、沈阳、上海、广州、武汉、成都和西安)和24个省(区、市)中心,共32个节点,覆盖了全国所有的省会级城市。第二级是省(区、市)内网,由省会级城市与各地连接组成。目前省(区、市)内网采用以省会级城市为中心的星形结构,省际网和省(区、市)内网共有236个。第三级是邮区网,以各地市为中心连接所有的电子化支局(所)。目前,邮政电子化支局(所)有15000多个。中国邮政综合计算机网工程是中国邮政建设发展史上一项宏大的现代化系统工程,是我国邮政史上一次空前的技术大变革。该工程完成后,我国的邮政通信将是一个一体化的先进的计算机综合业务网络。目前,这一系统工程建设和各项工作已全面展开。
邮政综合计算机网工程利用计算机应用技术、计算机网络技术和最先进的通信技术,并以邮政服务和生产管理的不同功能、要求、网络运营和管理等要素为依据,作为网络设计的基点。该网络设计为互相衔接的三层网络结构,既省际网、省内网、邮区网。邮政综合计算机网络采用占据主导地位的TCP/IP协议,同时采用Client/Sever网络体系结构。该网络将建立一个全国专用的邮政广域网络通信平台,该平台是由广域网ATM交换机、通过电信公用网线路组成,用以实现全国网管中心和省中心的两级网管功能。该网络以传送IP型数据业务为主,该网络的建成,不仅将支持邮政系统内部的局域网的互联,还将支持帧中继网和窄带综合业务数字网等业务。
为确保全网的统一性、先进性、完整性和互联性,全部工程由国家邮政局统一领导,并确立了建设原则:"统一领导、统一规划、统一技术标准、统一业务规范、统一组织开发实施"。
建立覆盖更广泛、更快捷、性价比更高的邮政网络是全国邮政系统网络建设的出发点。为此,全国邮政局对于进一步扩展网络提出了以下需求:
保证原有网络的透明运行;
新扩充的网络利用原有邮政绿卡网络的资源,但二者在逻辑上互不相通;
最大程度的利用原有网络设备;
能够接入多种网络,包括:帧中继、X25、DDN、PSTN/ISDN以及以太网;
模块化结构,保证以后网络变化能最大程度的保护投资。
二、博达邮政解决方案
现有的邮政网络综合网和绿卡网在县级以上是独立的,分开的,而在网点则是重合的,因此本方案只在网点线路上进行了复用。其中,邮政综合网和绿卡储蓄网分别采用两套IP地址,以太网上需要物理上分别独立的两个局域网端口。在广域线路上共用同一根专线,在广域线路上需要做到对两网的数据逻辑隔离,同时还需要运用QOS技术保证邮政绿卡储蓄业务的优先传输。
1、网络拓扑规划
邮政综合网和邮政绿卡网两网合一的网络规划中,具体的网络拓扑结构如下图所示:
![]() |
2、方案实现说明
县级邮政网点或电子化支局采用博达1750路由器,并在博达1750路由器上配置两个以太网口,一个以太网口接邮政绿卡业务主机,另一个以太网口接邮政综合网业务主机,实现了两网在物理上的隔离。综合网和绿卡网同时通过一条专线接入到地市级邮政中心,由地市中心进行汇集并分别传输到省级综合网中心和绿卡网中心。当网点专线出现故障时,可以通过拨号线连接到市级邮政中心,保证各项业务不会因为线路的故障而中断。
地市级邮政中心采用一台博达3660路由器作为中心接入路由器,接受县级邮政网点或电子化支局的接入,同时通过两条专线分别连入省级综合网中心和省级绿卡网中心,保证了综合网和绿卡网数据的隔离。博达3660路由器的两个以太网口连接地市邮政中心的以太网交换机,最终和地市综合网中心和绿卡网中心相连。
为了实现邮政综合网和绿卡网复用通信设备和通信线路,即在物理上共用物理通信设备而在逻辑上又要做到两网互不相通,在局域网上若需要邮政综合网和邮政绿卡网共用以太网交换机的网点,则需要在以太网交换机上设置VLAN,通过VLAN来本地隔离两种不同的业务,采用的路由器产品在物理上具有两个物理的以太网口,同时在路由器上设置防火墙来限制本地局域网上的邮政综合网上的主机和邮政绿卡网上的主机相互通信;博达路由器的一个以太网口接邮政综合网的业务主机,另一个以太网口接邮政绿卡储蓄主机,这两种业务共享中间的广域网线路。
广域网上采用两种业务共用同一根通信线路方式,这就要求在广域网上把这两种业务逻辑上隔离开,在博达路由器上设置通信隧道,可以采用的隧道技术有GRE、IPSEC。在邮政综合网的业务上采用GRE或IPSEC隧道,而绿卡储蓄业务则是普通的数据不需要采用GRE或IPSEC技术;即一种业务是在隧道里面,另一种业务是在隧道外面,从而在技术上实现两网逻辑上的分离。
同时由于邮政绿卡业务的可靠性、急时性和特殊性,这就要求在任何时候都要保证邮政绿卡业务的优先,通过在路由器上设置QOS队列和带宽参数,在广域网线路繁忙时,优先传输绿卡储蓄信息,保证储蓄业务的数据的实现性和完整性,以免造成不必要的损失
同时考虑到邮政业务的特殊性和及时性要求比较高,这就要把线路备份考虑到整个网络规划当中来,这里采用的广域网主线路为X25/FR/DDN,备份线为PSTN,在主线路发生线路故障时,主备份线路的自动切换由博达路由器来完成,对用户来说是完全透明,而且并不影响用户的使用。
博达路由器支持的线路备份方式有两种:
1)线路事件触发
路由设备实时地侦测线路的状态,一旦某一线路事件发生时,它能采取相应的措施:⑴.当数据专线故障时,改变路由器指向,启动备份通信线路,并向中心路由器广播路由更新的消息;⑵.数据专线恢复以后再切回到专线上,关闭备份通信线路,广播路由消息。
当然此方法对路由设备要求较高,特别是采用X.25、FrameRelay这样的网络进行通信时一旦远端的数据专线发生故障,本地检测的要求就很高,必须与下层的通信协议紧密联系,实现较复杂。一般国外路由设备不提供此方面的功能;博达公司专门针对用户的特点和需求,采用一种"远端线路状态侦测"技术来实现这种功能。
特点是:切换时间快,不占用通信资源,但对通信设备的要求较高,实现复杂。
2)路由事件触发
线路状态不进行直接控制,而是配置动态路由协议。通过定时在线路上面定时发送Hello包来检测线路的状态,当数据专线正常时,通信双方的路由器会不断接到对方发来的Hello包,表示通信正常,而在某一门限时间内未收到这样的数据包则认为线路已发生故障,切换路由启动备份线。
特点是:实现较简单,与通信方式无关,但切换速度较慢,需占用较多的通信资源,而中心与网点是一点对多对通信的方式,这样就会造成中心数据专线拥塞。
3、博达解决方案的特点
1)兼容性和可靠性上的优点
为实现邮政网络高质、高效互联的目标要求,在网络设计构建中,博达公司邮政解决方案中在兼容性和可靠性上的特点有:
高可靠性
网络系统的稳定可靠是应用系统正常运行的关键保证,在网络设计中选用高可靠性网络产品,设备充分考虑冗余、容错能力和备份,同时合理设计网络架构,制订可靠的网络备份策略,保证网络具有故障自愈的能力,最大限度地支持系统的正常运行,充分体现计算机网络的高可靠性。
对综合网这样一个复杂、功能性强大的网络,线路备份是必须的,备份实现的最终目标是:网点的客户机与中心的主机之间能进行透明的IP层通信而不论是通过专线还是拨号备份线路,也即整个过程由路由设备自动负责完成,不需任何人工干预。
技术先进性和实用性
保证满足邮政业务应用系统的同时,又要体现出网络系统的先进性。在网络设计中要把先进的技术与现有的成熟技术和标准结合起来,充分考虑网络应用的现状和未来发展趋势。
高性能
设计中必须保障网络及设备的高吞吐能力,保证各种信息(数据、语音、图象)的高质量传输,才能使网络不成为业务开展的瓶颈。
标准开放性
支持国际上通用标准的网络协议、国际标准的大型的动态路由协议等开放协议,以利于将来网络的扩展。
灵活性及可扩展性
根据未来业务的增长和变化,网络可以平滑地扩充和升级,减少最大程度的减少对网络架构和现有设备的调整。
可管理性
对网络实行集中监测、分权管理,并统一分配带宽资源。选用先进的网络管理平台,具有对设备、端口等的管理、流量统计分析,及可提供故障自动报警。
安全性
制订统一的网络安全策略,整体考虑网络平台的安全性。
兼容性和经济性
兼容性,能够最大限度地保证邮政绿卡网现有各种计算机软、硬件资源的可用性和连续性;经济性,就是在充分利用现有资源的情况下,最大限度地降低网络系统的总体投资。有计划、有步骤地实施,在保证网络整体性能的前提下,充分利用现有的网络设备或做必要的升级。
2)网络安全上的考虑
通常我们所谈的安全性威胁来自来两方面:一是来自外部,比如无关人员通过在局域网上非法接入一台微机试图侵入绿卡网络或办公网络。二是来自内部,比如说绿卡的用户试图侵入办公网络,或办公网的用户试图侵入绿卡网络。
静态ARP绑定
博达路由器可以关闭ARP广播请求功能,支持局域网IP地址和MAC地址的绑定,通常在局域网内通信时,一般要进行ARP或RARP解析,当一台设备向另一台设备传输数据时,通过解析得到目的机的MAC地址,从而开始通信;如果一台非法的主机进入网络,盗用其他主机的IP地址,这样,就有可能进入到网络内部从而危害网络,当关闭路由器的ARP广播请求功能后,并采用静态ARP绑定后,路由器将内部局域网合法的主机IP地址与MAC地址绑定在一起,即使一台非法主机盗用了合法的IP地址,但由于MAC地址与IP地址的不一致,所有的数据将无一例外的发送给合法的主机,非法主机不会收到任何数据,无法实现与其他主机的通信。
设置VLAN
在以太网交换机上设置VLAN,VLAN的设置可以在网络第二层限制邮政综合网上的主机通过本地的局域网访问本地邮政绿卡网上的主机,也可以限制邮政绿卡网上的主机访问本地邮政综合网上的主机。
建立访问控制列表
博达路由器支持标准和扩展的访问列表,可以基于源IP地址、源IP掩码、目的IP地址、目的IP掩码、源TCP/UDP端口号、目的TCP/UDP端口号对数据进行检查,配合定义一段时间范围,就可以定义一个带时间限制的访问控制列表。在邮政综合网设计时,如果采用FR或X25专线,可能会采用一套全新的IP地址方案,保持原先的绿卡网络已有一套IP地址方案,在路由器的端口配置两个IP地址,结合局域网不同的网段,定义绿卡局域网网段内的数据在通过广域网口出去时只能利用绿卡广域网段的IP,经过绿卡广域网网段的数据只能到达绿卡网段,所以在传输时能有效的针对不同的应用使用不同的虚电路或PVC。这样即使在中心的绿卡网和综合网路由器上都存在到对方的路由,由于访问列表的限制,也不能进行相互之间的访问。在每一个端口,可以严格控制任何一个数据包按照事先定义的访问列表进行传输,关闭一些潜在危险的功能,如TELNET、FINGER、FTP等等。
隧道技术的应用
通过在路由器上设置GRE(Generic Routing Encapsulation)或IPSEC隧道,可以实现在广域网上把邮政综合网上数据和邮政绿卡网上的业务数据在逻辑上分隔开,进而做到邮政综合网和邮政绿卡网在物理上复用同一根广域网线路和路由器,而在逻辑上做到业务互不干涉。
采用PAP、CHAP认证及回拨技术
博达路由器支持PAP、CHAP认证,支持RADIUS认证,支持路由器到路由器、路由器到主机之间的回拨。通常在采用PSTN作为备份时,由于电话号码很容易被泄露出去,如果对拨入用户不采取认证或其他安全措施,非法拨入很容易侵入系统,采用PAP、CHAP认证,可以有效的防止非法入侵,每一个拨入的用户必须通过路由器或其他认证服务器的认证后才可以建立IP层之上的连接,如果不通过,路由器会主动挂断线路,保证网络的安全性。回拨的安全性更强,其实现原理如下,当一个用户拨入时,中心路由器首先对他进行认证,如果不通过,则直接挂断线路,通过则寻找实现定义的该用户所对应的电话号码,并依照此电话号码回拨过去,这样用户必须从正确的电话线路拨出去、合法的身份认证两个要素才能实现与中心路由器的通信。
路由协议中的安全认证
博达系列路由器支持OSPF动态路由中简单文本口令认证及消息摘要认证两种认证方式,采用这种认证方式,可以有效保护路由信息不被窃取;通常在大型网络中都会运用OSPF动态路由协议,如果一台非法的路由器接入到网络中,并且启用了OSPF动态路由,如果没有认证,路由表信息很可能被传送到这台非法的路由器,利用这些路由信息会给网络造成不可估量的损失,那么在交换路由信息以前,路由器之间先进行身份验证,验证通过则交换路由信息;通过在端口中添加不同的ID及对应的密钥,可以控制路由器与不同的路由器交换路由信息。
3)QOS保证关键业务的优先传输
由于邮政绿卡业务的可靠性、急时性和特殊性,这就要求在任何时候都要保证邮政绿卡业务的优先,这可以通过在路由器上设置QOS(Quality of Service)来保证。同时通过设置业务队列也可以保证邮政综合网上的某些关键业务高效、优先的传输。
