T3航站楼网络最终深化设计方案Word格式.docx
《T3航站楼网络最终深化设计方案Word格式.docx》由会员分享,可在线阅读,更多相关《T3航站楼网络最终深化设计方案Word格式.docx(88页珍藏版)》请在冰豆网上搜索。
●业务融合性
单一的业务应用已无法满足机场的自动化需求,传统的数据网络需要融入语音、视频等新技术,适应机场未来的发展。
因此在网络结构、容量、策略、保障机制、Qos等方面重新需要整合规划,以满足综合业务网(三网合一)的需求。
经过对首都机场不同业务系统充分调研,各个不同业务子系统之间关系对应表如下:
地面运行
离港
行李
OA
商业
安防
无线
T1/T2
集团公司
资源分配(登机口、航班计划等)
实时重要,主要是文本数据,
经由骨干网
航班计划和动态,
实时重要,
文本数据,
资源分配,
非实时,
文本数据,
经由骨干网,
直通,
文本数据
实时业务,
非主流业务,
偶尔调看摄像头,
非主要业务,
视频流数据,
实时互通,
非生产性业务,
综合数据,
定期互通,非主要业务,
通过以上分析,各业务系统之间通过机场骨干网互通的业务系统有:
地面运行<
-->
离港、行李、T1/T2
离港<
地面运行、行李、无线
行李<
OA<
安防、集团公司
商业<
其中实时重要的有:
离港、行李
行李(非经由骨干网)、无线
数据以文本和综合数据(视频、语音、数据)为主。
以上业务系统之间关系分析,可以对整个机场网络系统设计起到指导作用。
2.方案设计原则
适用性
整个网络系统的功能和性能应完全立足于机场生产运营管理,满足T3IT/弱电系统的应用需求,提供有效的网络通讯带宽,以满足日益增长的机场航班和旅客处理量的需求,并考虑充分满足当前直到2015以后5年内机场航班和旅客处理量增长的要求。
标准化
在本次的网络设计中,无论是无线局域网的选择还是路由交换设备的选型以及路由协议等都要体现标准化和开放性的原则,或遵从标准化的趋势。
网络协议选用已成为工业标准的TCP/IP协议,采用标准化的OSPF/BGP路由协议。
网管软件应支持已被广泛接受的工业标准的SNMP协议。
系统的可用性
(1)系统设备的可用性:
系统的交换机、路由器、防火墙、入侵防护设备等的可用性定义于所有的组成部件可用或所有的功能可操作。
除了下面
(2)所指定的设备计划维修时间外,每个设备的可用时间将不能低于99.999%。
(2)计划的设备检修时间:
网络设备的检修停机时间是用来更新系统的软件和维修部件。
但是在这段时间内要保证不能超过10%的网络设备不能使用。
以下这些原因是属于可以接受的检修停机时间:
●如果网络设备的软件需要维护或更新,或者网络系统需要维护,每个网络设备都将因维护或更新而无法使用,但这时需要停机的网络汇聚、核心设备(包括交换机、骨干防火墙)不应超过一个。
●在非使用的高峰期,如果一台网络设备没有被使用也可以对其执行相应的维护和更新。
●非使用高峰期定义的时间段为:
1:
00AM-5:
00AM。
稳定可靠性
可靠的网络是数据传输的保障,由于BCIAT3的各项业务应用都依赖于网络的传输,因此不仅要保证网络的顺畅,而且要确保有足够的带宽,最大程度的保证网络通畅和可靠。
网络系统能每天正常连续工作24小时,每年连续运转365天,所有设备具有高度的可靠性和优良的性能。
可管理性
对网络实行集中监测、分权管理,具有对设备、端口等的管理、流量统计分析,提供故障自动报警、提供日志管理功能。
可扩展性
要求网络系统的所有硬件、软件和系统平台具有扩充能力,并体现中枢机场的设计要求,具有多航站楼的扩展能力。
业务数据的带宽要求会随着业务的变化而变化的,当前的带宽设计预测主要是为了满足2015年以后3-5年的业务需求,这就要求选择网路设备和系统时要考虑其可具有的扩展性,可以在业务高速增长时进行简单易行的带宽扩展。
网络的扩展能力包括设备交换容量的扩展能力、端口密度的扩展能力、主干带宽的扩展,以及网络规模的扩展能力。
安全性
在网络传输可靠的基础上,要确保网络数据的安全,防止外部的侵入以及数据的泄露,需要建立一整套的安全体系。
要求由防火墙、入侵侦测系统、安全认证系统、防病毒系统等构成集成的主动和自适应的网络安全系统。
可维护性
对于网络系统,应提供有效的网络管理的系统监控、调试、诊断工具,保证系统维护管理简明、方便、有效,应能集中进行管理。
网络管理工作站可监控所有的网络设备及系统的状况。
所有硬件故障及错误数据传输都将实时通知网络管理工作站。
所有的网络硬件故障以及出错信息都将由网络管理系统收集,并且能够实时报警。
网络结构和路由规划方案尽量简单,方便管理维护。
服务质量
保证对统一的网络带宽资源进行合理调配,在网络发生拥塞时,保障关键业务的传输,提供对数据传输的QoS以及优先级控制,保证服务的质量。
层次化设计
按照核心、汇聚和接入的模型对T3信息基础网络进行划分
●核心层
核心层网络为全网提供高可靠高稳定的数据转发,核心层设计以高可靠,高带宽为主原则。
●汇聚层
构成各个功能分区的业务汇聚,提供各个分区内部接入网络的汇聚功能,实现接入控制和安全控制。
●接入层
在各个分区分控室监视终端和工作站接入,具有高密度的接入能力。
支持基于主机端口的访问控制,并接入的数据进行标记工作,方便对数据在传输过程中实现QoS控制。
3.方案设计概要
本方案设计包括,网络结构设计、网络路由规划设计、网络IP地址规划、VLAN划分原则、QoS设计、网络安全设计、网络管理设计等,其中:
●网络结构设计包括,机场骨干核心网设计、T3航站楼各业务系统网络设计;
●IP地址规划提出IP地址规划原则和注意事项,并不对具体IP地址做出分配;
●路由设计包括机场整体BGP路由规划和航站楼业务网IGP路由规划;
●QoS设计主要在机场网络边缘和汇聚如何保障关键业务流的服务质量;
●网络安全设计包括各业务网边缘安全设计和各业务网内部桌面终端安全设计。
4.机场网络结构设计
机场整体网络结构
机场整体网络结构包括面向整个机场的核心骨干网络和T1/T2、T3航站楼网络,其中T3航站楼内部包括:
地面运行、离港、OA、商业、安防、行李、无线7套物理独立的业务系统网络。
整体网络结构如图:
机场核心骨干网包括三个核心节点,ITC、T3B和T1/T2,三个节点分别设置双设备,并形成冗余链路互联结构。
不同业务子网接入核心骨干网方案:
1、T3各业务系统网络分别接入ITC和T3B核心节点。
T3航站楼对于不同业务系统接入机场核心网的方案有所不同。
⏹对于地面运行系统网络、离港系统网络,网络规模比较大,网络同外部互联关系比较复杂,因此,在机场骨干网和地面运行系统网络、机场骨干网和离港系统网络之间分别设置四台汇聚交换机(T3A两台、T3B两台),汇聚交换机通过防火墙同地面运行系统网络、离港系统网络的核心交换机互联。
⏹OA系统网络、商业系统网络、无线系统网络,归为同一类型,在业务网核心和机场骨干网之间设置两台汇聚交换机(T3A1台,T3B1台),汇聚交换机通过防火墙同业务网核心交换机互联。
2、T1/T2接入设置在T2的核心节点。
3、集团公司将来再增加一个核心节点,通过该节点接入到核心骨干网来。
整体路由规划设计
考虑到整个机场网络规模和复杂性以及整个网络的稳定可靠和将来的扩展性,整个机场信息化网络采用BGP路由协议,整个机场网络划分成9个不同的BGP自治域AS(含T1/T2),不同AS同机场核心网之间采用EBGP,整体路由规划如下图所示:
BGPAS号采用内部保留AS号,机场骨干网AS100、地面运行网络AS200、离港网络AS300、OA网络AS400、商业网络AS500、安防网络AS600、行李网络AS700、无线网络AS800、T1/T2AS900。
机场核心骨干网内部采用iBGP承载业务路由,机场核心骨干网和各业务网(地面运行、离港、OA、商业、无线等)之间采用EBGP。
采用BGP路由协议可以增加网络可扩展性,并且增强网络路由稳定性,另外,由于BGP路由协议丰富属性,实现路由策略控制非常方便。
机场核心骨干网方案设计
机场核心骨干网结构设计
其中机场核心骨干网结构设计图见总体方案设计图相应部分,设计要点:
●机场核心骨干网络将T1/T2/T3/机场集团各个业务网络联通,核心骨干网节点设置包括:
T2(T1/T2)、ITC(T3)、T3B灾备中心,将来根据需要可以将集团公司等单位接入机场核心网。
●每个核心骨干网节点采用双核心万兆交换机,其间采用全冗余万兆链路互联。
●对于T3核心航站楼,规划两个核心节点—ITC和T3B,使核心网具有容灾备份特性。
●每个核心节点设置两台设备,设备充分冗余。
●各核心节点之间全冗余链路,网络结构充分可靠。
●对于T3每个业务网同ITC核心节点、T3B核心节点分别互联,各业务网同核心节点之间互联互通性非常可靠。
●核心层设备和各业务网之间链路采用GE光纤链路。
机场核心骨干层路由规划
核心网络路由规划图:
机场核心骨干网内交换机之间逻辑上为全网状iBGPPeer关系,iBGP承载业务路由,为减少iBGP全网状逻辑关系配置的复杂度,需要设置iBGPRR,因此将ITC中1台骨干交换机设置为主RR,T3B中1台骨干交换机设置为备份RR。
其他骨干交换机设置为RRClient。
核心骨干网内IGP采用OSPF,OSPF不承载业务路由,只负责iBGP下一跳路由可达性,由于AS内网络规模较小,所有核心层设备统一规划为OSPFAREA0即可。
机场核心骨干网设备选型
核心交换机选用华为3ComS9500系列交换机核心万兆交换机。
S9500交换机详细介绍见后面章节。
机场地面运行网络结构方案设计
地面运行系统需求分析
地面运行系统网络是机场地面运行信息系统的核心部分,主要支持地面运行系统(包括AODB、中央集成管理系统(应用服务中间件平台)、智能消息平台、安全认证平台、信息保障系统、运营资源管理系统、运行监控管理系统、旅客服务系统、应急指挥系统、设备维修维护系统、地理信息系统、接口系统、IT操作管理系统)、航显系统、公共广播系统、消防报警系统、智能楼宇管理系统、时钟系统、飞机泊位引导系统、登机桥监控系统、外场车辆管理系统、停车场收费管理系统等。
地面运行网主要支持以航班信息为主的各弱电信息系统,所以网络设计要考虑安全、可靠、可扩展性等因素。
在安全可靠方面,机场运行系统网络的可靠性十分必要。
在网络系统中不仅要求网络能安全运转,同时要求网络设备具有强的容错能力。
由于机场有很多系统在同时运行,所以在整体网络的设计上,我们充分考虑企业计算机网与其他网络系统的连接,并考虑有效的、多重的安全措施,使其能够在与其他网络进行有效的信息传输的同时,又能防止不法分子的攻击。
地面运行系统网络的设计是由信息系统集成商负责,在设计上从如下几个方面来实现网络的可靠与容错:
(1)网络互连设备具有一定的冗余功能。
这将体现在网络互连设备的关键部件、总线、电源热切换等方面的恰当选择。
同时,要求网络系统的任意一台核心交换机和汇聚层交换机可以从网络下线而不影响网络的正常运行。
(2)传输线路的多路由通道,以保证线路的冗余。
整个网络为星型结构,T3A与T3B网络连接为多链路,以提供最大的冗余度和系统的可恢复性。
T3A核心交换机通过千兆上行链路与机场骨干网连接,实现本系统的应用与其他系统连接与数据交换。
地面运行网络拓扑结构
地面运行系统网络作为独立的大型局域网,覆盖T3A、T3B、GTC和将来T3C。
地面运行系统网络结构如下:
地面运行系统网络内部又分为核心层、汇聚层和接入层,T3A和T3B各设置1个核心节点,T3A和T3B各有3个汇聚节点,各设备小间交换机就近接入汇聚节点。
T3A和T3B核心节点各设置两台核心交换机,4台核心交换机之间采用全冗余链路互联,在T3A和T3B各设置3个汇聚节点,每个汇聚节点设置2台汇聚交换机,T3A的每节点两台汇聚交换机以全冗余方式接入到T3A2台核心交换机,T3B的每个节点两台汇聚交换机以全冗余方式接入到T3B2台核心交换机,各接入层交换机就近双链路连接到两台汇聚交换机。
地面运行4台核心交换机之间,采用万兆冗余链路,核心交换机和汇聚交换机之间采用千兆冗余链路。
汇聚交换机和接入交换机之间(图中没有画出)采用千兆冗余链路,接入交换机提供10/100M以太网到桌面。
其中地面运行系统AODB/航显/广播服务器设置在ITC中心机房,所有服务器在灾备中心设置灾备服务器,ITC中心机房服务器通过服务器交换机接入到T3A,T3B灾备中心通过两台服务器交换机接入到T3核心交换机。
地面运行网和核心层网络之间设置一层汇聚交换机,T3A设置2台,T3B设置2台,4台汇聚交换机之间形成冗余互联(可以根据光纤情况规划为口字形或全冗余结构),T3A两台汇聚交换机分别通过千兆链路接入机场核心层ITC节点的两台交换机,同时通过防火墙接入地面运行T3A两台核心交换机;
同样,T3B两台汇聚交换机分别通过千兆链路接入T3B机场核心层节点交换机,通过防火墙同地面运行网络T3B交换机。
对于空管、国航、海关、边检、检疫等外部单位,接入到T3A地面运行网络和机场核心网络之间的防火墙DMZ区。
为了灵活设置多个DMZ,并且方便实现路由策略,地面运行网络和机场核心层之间的防火墙运行在三层路由模式。
为了减少复杂性,并且方便运行维护,处于T3A的两台防火墙处于HA主备模式,T3B的两台防火墙也处于HA主备模式。
通过路由策略设置,可以使T3A的Active状态防火墙和T3B的Active状态都有流量或只在T3A有流量,会在后面路由规划章节详细描述。
对于外部单位同地面运行AODB互通,需要在DMZ设置应用网关服务器,应用网关服务器同时同AODB和外部单位之间互通,为了保证应用网关服务器高可用性,在T3A和T3B分别设置主备服务器,正常情况下,只有T3A应用网关服务器处于主用状态,T3B服务器处于备用状态,应用网关实现主备需要该T3A和T3BDMZ二层交换机之间互通,因此DMZ交换机之间也需要通过千兆光纤互联。
广播系统概述
首都机场T3航站楼公共广播系统(PAS)采用了目前具有国际最先进水平的基于以太网的数字音频实时传输技术。
包括功率放大器以上的各种广播与音频设备均被接入基于综合布线系统的以太网,通过以太网传输所有的与广播有关的音频信号及控制信号。
其核心技术即专用于数字音频实时传输的眼镜蛇协议CobraNetProtocol。
它利用成熟的快速以太网技术来传输和分配实时、非压缩的数字音频信号,保证音质的不失真即时传播。
广播系统将由地面运行系统网络支持,为了保证音频传输质量,将音频传输部分单独组建一个广播音频网络,但广播音频网络也是地面运行系统网络中的一个重要的组成部分,由广播系统集成商负责网络设计。
广播系统子网连接在地面运行系统网络下面,网络结构如下:
广播子网信息节点数量较少,局域网采用2层结构,在T3A和T3B各设置两台核心交换机,4台核心交换机之间形成全网状冗余结构,接入交换机双上联到核心交换机,GTC和ITC接入交换机接入到T3A。
广播系统媒体矩阵接入T3A、T3B核心交换机,语音合成设备通过双网卡一边连接广播系统网络,一边连接地面运行骨干网。
由于广播系统Cobranet协议所限,广播系统内部网络必须为纯二层结构,不能有计算机终端和任何三层设备,否则会产生二层碰撞,影响广播系统正常运行。
地面运行网络路由规划
BGP路由规划
BGP路由规划如下图:
地面运行网络AS内BGP只运行在同核心层网络之间互联的4台汇聚交换机,4台汇聚交换机和机场核心骨干网之间分别配置E-BGPPeer关系。
所有地面运行网段在4台汇聚交换机上向核心骨干网宣告,为了减少机场骨干网路由条目,并且增加全网稳定性,地面运行网络内部核心节点交换机上BGP以汇聚路由方式向机场骨干网AS进行宣告,这样个别业务网络内部细节路由变化不会影响到骨干网和其他业务网络路由稳定,这需要在4台交换机上分别配置路由吸收桶,为了灵活控制路由策略,需要将地面运行T3A和T3BIP地址网段分开,其中T3A汇聚后的网段(含ITC服务器网段)在T3A的汇聚交换机上宣告,T3B汇聚后的网段在T3B的汇聚交换机上宣告,为了实现互备,将T3A和T3B聚合后的网段同时在T3A和T3B汇聚交换机上宣告,由于路由具有细节路由优先特性,因此,正常情况下骨干网流向T3A和ITC服务器网段的流量会经过T3A两台汇聚交换机,而骨干网流向T3B的流量会经由T3B的汇聚交换机,而T3A两台汇聚交换机链路都故障情况下,可以自动迂回到T3B,反之同样,实现T3A和T3B互为备份。
OSPF路由规划
对于地面运行网络内部,OSPF承载细节路由,OSPF域包括:
面向核心的4台汇聚交换机以下,所有汇聚节点交换机以上,防火墙为路由模式,也需要运行OSPF,此外,服务器交换机也需要运行OSPF。
由于4台面向核心骨干网的汇聚交换机具有全机场路由,因此,为了保证地面运行网内部同机场其他网段的互联互通性,需要在这4台交换机上将BGP路由重分布到OSPF当中。
由于接入层VLAN三层网关终结到汇聚交换机,汇聚交换机以上为三层点对点链路。
地面运行业务网络内部OSPFAREA规划方式如下图:
T3A和T3B航站楼汇聚层交换机以上(含汇聚交换机之间互联链路)规划为OSPFAREA0,所有VLAN三层网关终结到汇聚交换机,各VLAN网段作为汇聚交换机的直联网段,重分布到OSPF当中,因此接入层交换机链路故障不会影响整个网络路由稳定。
关于进出防火墙流量对称性实现方案
由于状态防火墙对于进出防火墙的流量必须对称,否则将阻断流量,因此在路由规划时要着重考虑,对于进出T3A防火墙的流量对称规划如下:
首先看地面运行内部网络出防火墙流量,由于OSPF就近选路,所有T3A用户和服务器流量都会经由T3A防火墙到达机场核心骨干网,对于回程路由,由于T3A的路由在T3A的面向核心的2台汇聚交换机上向骨干网宣告,在核心骨干网内部,必然会选择从T3A返回,也必然会选择T3A的防火墙进入地面运行网络。
同理,经由T3B防火墙的流量也会保持对称。
关于路由可靠性方案
所有BGP路由宣告前都已经建立吸收桶,因此除非E-BGP链路或设备出现故障,BGP路由不会收敛,因此整个机场网络非常稳定。
对于T3A和T3B的互备,由于同时汇聚T3A和T3B的粗路由也在T3A和T3B宣告,所以当T3A同骨干网之间链路全出现故障情况下,路由会迂回到T3B链路,以此实现互备。
如果T3A两台防火墙出现故障,而同核心骨干网之间链路正常,则从T3A返回的流量会迂回到T3B防火墙,不至于出现路由黑洞,因此,4台面向核心的汇聚交换机之间互联非常必要。
设备选型
地面运行核心交换机采用S9512,汇聚交换机采用二代主控S9505,接入交换机采用S3652P-SI或S3628P-SI。
广播系统中心交换机采用S7506,接入交换机采用S3628P-SI。
离港系统方案设计
离港系统需求分析
离港系统网主要为离港系统(自助值机、CUTE、DCS、行李再确认系统)提供网络服务,它是一个实时性与安全可靠要求很高的一套网络系统。
T3航站楼离港控制系统分布在五个相对独立的单体建筑T3A、T3B、ITC、公务机楼、专机楼内,基于专用以太网、采用TCP/IP协议互联而构成的离港控制系统。
主要有离港系统集成平台、CUTE、离港前端应用系统、本地备份离港控制系统以及离港主机报文系统接口和机场离港系统集成接口等部分组成。
在此基础上,全面实现离港系统的基本功能,特性功能和接口功能。
离港系统网络结构
离港系统网络同样是独立的大型局域网,覆盖T3A、T3B、GTC和将来T3C。
离港系统网络内部又分为核心、汇聚和接入层,核心层选用万兆或NXGE捆绑,形成全冗余结构,汇聚采用NXGE同核心层之间形成星型冗余结构,接入层采用冗余GE上联汇聚,提供10/100M以太网到桌面,或千兆到桌面。
离港系统网络结构如下:
离港系统在T3A和T3B各设置两台核心交换机,4台核心交换机之间采用“口”字形互联,在T3A和T3B各设置3个汇聚节点,每个汇聚节点设置2台汇聚交换机,T3A的每节点两台汇聚交换机以“口”字形接入到T3A2台核心交换机,T3B的每个节点两台汇聚交换机以“口”字形接入到T3B2台核心交换机,各接入层交换机就近双链路连接到两台汇聚交换机。
其中离港系统系统本地服务器设置在ITC中心机房,所有服务器在灾备中心设置灾备服务器,ITC中心机房服务器通过服务器交换机接入到T3A,T
升级会员 