|
一、上海海关“大现场”场景需求分析及“冷备”解决方案
海关“大现场”业务流量较大,通过不同运营商的MSTP线路双链路热备上行,为了更有力的保障大现场的工作,采用3G/4G网络冷备的方式为大现场做备份。在中心事先将3G/4G路由器配置好,一旦某个大现场出现问题,由工作人员携带3G/4G路由器前往大现场,设备开机即可接入到海关的网络中,确保业务的续行。因此,大现场冷备3G/4G路由器需要具有以下特点:
携带方便:一旦大现场网络中断,工作人员将3G路由器从海关中心携带至大现场,设备包装箱上需要具备便携式把手,方便工作人员的携带。
3G/4G与国密一体化:因为设备并不是事先部署在大现场,若工作人员从中心携带过去,一体化的设备非常方便,工作人员仅需携带一台设备即可。
安全可靠:支持从大现场到海关中心的端到端IPSEC加密,采用国密办算法。
二、 上海海关“小现场”场景需求分析及“热备”解决方案
针对大现场采用少量3G/4G路由器为全部现场冷备的方式,海关小现场的需求有所不同。小现场本身只有一条MSTP线路上行,故3G/4G热备份方式对于小现场而言是必不可少的。小现场对于3G路由器主要有以下特点需求:
3G/4G与国密一体化:这样仅需部署一台设备在小现场,减少现场故障点,降低故障发生的风险,减轻维护工作量。
3G/4G线路与有线信道热备:有线信道正常时,数据全部走有线信道,路由器开机但不进行3G/4G拨号。一旦有线信道出现问题,关键业务数据触发拨号,同时建立VPN隧道,确保业务数据能切换到3G/4G线路上。
安全可靠:方案支持从小现场到海关中心的端到端IPSEC加密,采用国密办算法。
网管需求:如果需要实时网管查看设备状态,则3G/4G拨号需要时时在线。若无需实时网管查看设备状态,则3G/4G线路应按需拨号,当有线信道异常时,触发拨号,业务数据切换到3G/4G线路上。当有线信道恢复正常时,3G/4G线路自动断开,业务数据切回到有线信道上。
如上图,海关小现场组网中,PE-B与3G/4G路由器只对关键(生产)业务启用VRRP热备协议(路由器VLAN子接口下启用VRRP),默认情况下PE-B作为主用设备(VRRP状态:master),3G/4G路由器作为从设备(VRRP状态:backup)。
PE-B通过Track等技术(BFD\EM事件等)监控MSTP线路的通断情况,当主MSTP线路出现故障时,PE-B设备的VRRP优先级别自动降低,VRRP状态进行自动切换,PE-B设备VRRP状态变为backup,3G/4G路由器VRRP状态变为master,此时3G/4G路由器将作为主用设备负责关键业务的数据转发。当主MSTP线路出现恢复时,PE-B设备的VRRP优先级别自动提高,VRRP状态进行自动切换,PE-B设备VRRP状态变为master,3G/4G路由器VRRP状态变为backup,此时恢复PE-B路由器将作为主用设备负责关键业务的数据转发。
3G/4G路由器启用3G/4G按需拨号模式,只对符合关键业务类型的数据流(包括IPSEC数据流)才触发3G/4G无线拨号,并配置3G/4G拨号超时断开功能(如设置:没有数据流时30秒断开3G网络);此时在默认情况下,PE-B作为主用设备,负责所有业务数据流的转发,3G/4G路由器作为备用设备在没有关键业务数据流触发的情况下不进行3G/4G网络拨号(节省3G备份线路带宽);当MSTP主线路出现故障时,针对关键(生产)业务,3G/4G路由器变为主用设备,对关键业务数据流转发时自动触发3G/4G拨号;当MSTP住线路恢复时,PE-B路由器恢复为主用设备,负责所有业务数据流转发,3G/4G路由器在没有关键业务数据流触发的情况下,超时断开3G/4G无线网络。
3G/4G路由器作为主用设备时,为保证转发关键业务数据流的安全性,3G/4G路由器与LNS设备建立国密算法IPSEC(使用国家商密SM1算法)以保证传输数据的加密安全,加密数据流只包含关键(生产)业务数据流,设备(SNMP)网管数据不进行国密IPSEC加密。
| 
