|
一、上海海關(guān)“大現(xiàn)場(chǎng)”場(chǎng)景需求分析及“冷備”解決方案
海關(guān)“大現(xiàn)場(chǎng)”業(yè)務(wù)流量較大,通過(guò)不同運(yùn)營(yíng)商的MSTP線路雙鏈路熱備上行,為了更有力的保障大現(xiàn)場(chǎng)的工作,采用3G/4G網(wǎng)絡(luò)冷備的方式為大現(xiàn)場(chǎng)做備份。在中心事先將3G/4G路由器配置好,一旦某個(gè)大現(xiàn)場(chǎng)出現(xiàn)問(wèn)題,由工作人員攜帶3G/4G路由器前往大現(xiàn)場(chǎng),設(shè)備開(kāi)機(jī)即可接入到海關(guān)的網(wǎng)絡(luò)中,確保業(yè)務(wù)的續(xù)行。因此,大現(xiàn)場(chǎng)冷備3G/4G路由器需要具有以下特點(diǎn):
攜帶方便:一旦大現(xiàn)場(chǎng)網(wǎng)絡(luò)中斷,工作人員將3G路由器從海關(guān)中心攜帶至大現(xiàn)場(chǎng),設(shè)備包裝箱上需要具備便攜式把手,方便工作人員的攜帶。
3G/4G與國(guó)密一體化:因?yàn)樵O(shè)備并不是事先部署在大現(xiàn)場(chǎng),若工作人員從中心攜帶過(guò)去,一體化的設(shè)備非常方便,工作人員僅需攜帶一臺(tái)設(shè)備即可。
安全可靠:支持從大現(xiàn)場(chǎng)到海關(guān)中心的端到端IPSEC加密,采用國(guó)密辦算法。
二、 上海海關(guān)“小現(xiàn)場(chǎng)”場(chǎng)景需求分析及“熱備”解決方案
針對(duì)大現(xiàn)場(chǎng)采用少量3G/4G路由器為全部現(xiàn)場(chǎng)冷備的方式,海關(guān)小現(xiàn)場(chǎng)的需求有所不同。小現(xiàn)場(chǎng)本身只有一條MSTP線路上行,故3G/4G熱備份方式對(duì)于小現(xiàn)場(chǎng)而言是必不可少的。小現(xiàn)場(chǎng)對(duì)于3G路由器主要有以下特點(diǎn)需求:
3G/4G與國(guó)密一體化:這樣僅需部署一臺(tái)設(shè)備在小現(xiàn)場(chǎng),減少現(xiàn)場(chǎng)故障點(diǎn),降低故障發(fā)生的風(fēng)險(xiǎn),減輕維護(hù)工作量。
3G/4G線路與有線信道熱備:有線信道正常時(shí),數(shù)據(jù)全部走有線信道,路由器開(kāi)機(jī)但不進(jìn)行3G/4G撥號(hào)。一旦有線信道出現(xiàn)問(wèn)題,關(guān)鍵業(yè)務(wù)數(shù)據(jù)觸發(fā)撥號(hào),同時(shí)建立VPN隧道,確保業(yè)務(wù)數(shù)據(jù)能切換到3G/4G線路上。
安全可靠:方案支持從小現(xiàn)場(chǎng)到海關(guān)中心的端到端IPSEC加密,采用國(guó)密辦算法。
網(wǎng)管需求:如果需要實(shí)時(shí)網(wǎng)管查看設(shè)備狀態(tài),則3G/4G撥號(hào)需要時(shí)時(shí)在線。若無(wú)需實(shí)時(shí)網(wǎng)管查看設(shè)備狀態(tài),則3G/4G線路應(yīng)按需撥號(hào),當(dāng)有線信道異常時(shí),觸發(fā)撥號(hào),業(yè)務(wù)數(shù)據(jù)切換到3G/4G線路上。當(dāng)有線信道恢復(fù)正常時(shí),3G/4G線路自動(dòng)斷開(kāi),業(yè)務(wù)數(shù)據(jù)切回到有線信道上。
如上圖,海關(guān)小現(xiàn)場(chǎng)組網(wǎng)中,PE-B與3G/4G路由器只對(duì)關(guān)鍵(生產(chǎn))業(yè)務(wù)啟用VRRP熱備協(xié)議(路由器VLAN子接口下啟用VRRP),默認(rèn)情況下PE-B作為主用設(shè)備(VRRP狀態(tài):master),3G/4G路由器作為從設(shè)備(VRRP狀態(tài):backup)。
PE-B通過(guò)Track等技術(shù)(BFD\EM事件等)監(jiān)控MSTP線路的通斷情況,當(dāng)主MSTP線路出現(xiàn)故障時(shí),PE-B設(shè)備的VRRP優(yōu)先級(jí)別自動(dòng)降低,VRRP狀態(tài)進(jìn)行自動(dòng)切換,PE-B設(shè)備VRRP狀態(tài)變?yōu)閎ackup,3G/4G路由器VRRP狀態(tài)變?yōu)閙aster,此時(shí)3G/4G路由器將作為主用設(shè)備負(fù)責(zé)關(guān)鍵業(yè)務(wù)的數(shù)據(jù)轉(zhuǎn)發(fā)。當(dāng)主MSTP線路出現(xiàn)恢復(fù)時(shí),PE-B設(shè)備的VRRP優(yōu)先級(jí)別自動(dòng)提高,VRRP狀態(tài)進(jìn)行自動(dòng)切換,PE-B設(shè)備VRRP狀態(tài)變?yōu)閙aster,3G/4G路由器VRRP狀態(tài)變?yōu)閎ackup,此時(shí)恢復(fù)PE-B路由器將作為主用設(shè)備負(fù)責(zé)關(guān)鍵業(yè)務(wù)的數(shù)據(jù)轉(zhuǎn)發(fā)。
3G/4G路由器啟用3G/4G按需撥號(hào)模式,只對(duì)符合關(guān)鍵業(yè)務(wù)類型的數(shù)據(jù)流(包括IPSEC數(shù)據(jù)流)才觸發(fā)3G/4G無(wú)線撥號(hào),并配置3G/4G撥號(hào)超時(shí)斷開(kāi)功能(如設(shè)置:沒(méi)有數(shù)據(jù)流時(shí)30秒斷開(kāi)3G網(wǎng)絡(luò));此時(shí)在默認(rèn)情況下,PE-B作為主用設(shè)備,負(fù)責(zé)所有業(yè)務(wù)數(shù)據(jù)流的轉(zhuǎn)發(fā),3G/4G路由器作為備用設(shè)備在沒(méi)有關(guān)鍵業(yè)務(wù)數(shù)據(jù)流觸發(fā)的情況下不進(jìn)行3G/4G網(wǎng)絡(luò)撥號(hào)(節(jié)省3G備份線路帶寬);當(dāng)MSTP主線路出現(xiàn)故障時(shí),針對(duì)關(guān)鍵(生產(chǎn))業(yè)務(wù),3G/4G路由器變?yōu)橹饔迷O(shè)備,對(duì)關(guān)鍵業(yè)務(wù)數(shù)據(jù)流轉(zhuǎn)發(fā)時(shí)自動(dòng)觸發(fā)3G/4G撥號(hào);當(dāng)MSTP住線路恢復(fù)時(shí),PE-B路由器恢復(fù)為主用設(shè)備,負(fù)責(zé)所有業(yè)務(wù)數(shù)據(jù)流轉(zhuǎn)發(fā),3G/4G路由器在沒(méi)有關(guān)鍵業(yè)務(wù)數(shù)據(jù)流觸發(fā)的情況下,超時(shí)斷開(kāi)3G/4G無(wú)線網(wǎng)絡(luò)。
3G/4G路由器作為主用設(shè)備時(shí),為保證轉(zhuǎn)發(fā)關(guān)鍵業(yè)務(wù)數(shù)據(jù)流的安全性,3G/4G路由器與LNS設(shè)備建立國(guó)密算法IPSEC(使用國(guó)家商密SM1算法)以保證傳輸數(shù)據(jù)的加密安全,加密數(shù)據(jù)流只包含關(guān)鍵(生產(chǎn))業(yè)務(wù)數(shù)據(jù)流,設(shè)備(SNMP)網(wǎng)管數(shù)據(jù)不進(jìn)行國(guó)密IPSEC加密。
| 
