有線雙向網(wǎng)絡融合改造設計實現(xiàn)

前言：想要寫出一篇引人入勝的文章？我們特意為您整理了有線雙向網(wǎng)絡融合改造設計實現(xiàn)范文，希望能給你帶來靈感和參考，敬請閱讀。

摘要：本文結合江蘇有線雙向業(yè)務和網(wǎng)絡的現(xiàn)狀，分析了目前網(wǎng)絡存在的問題，從網(wǎng)絡結構的合理性、可靠性以及安全性等方面對雙向網(wǎng)絡提出了融合改造方案。

關鍵詞：互動;網(wǎng)絡;云媒體融合

1引言

江蘇有線雙向業(yè)務包括互動業(yè)務和云媒體業(yè)務，兩套業(yè)務系統(tǒng)是不同時期先后建立的。目前，承載業(yè)務的網(wǎng)絡是相對獨立的。隨著公司業(yè)務的不斷發(fā)展整合，作為支撐業(yè)務發(fā)展的網(wǎng)絡也亟待融合改造。

2雙向網(wǎng)絡現(xiàn)狀

江蘇有線雙向網(wǎng)絡分為互動網(wǎng)絡和云媒體網(wǎng)絡，由于歷史原因，兩張網(wǎng)基本是獨立運行和獨立維護。目前，這樣的網(wǎng)絡結構是不合理的，既有網(wǎng)絡設備重復部署，同時關鍵節(jié)點又有單點故障的隱患，而且網(wǎng)絡整體的安全防護性不強。

2.1互動網(wǎng)絡

互動網(wǎng)絡目前是2臺Cisco7018交換機做核心交換和業(yè)務匯聚，地市終端通過省干波分到1臺H3C5560匯聚交換機，最后至互動核心交換機。廣義的互動業(yè)務系統(tǒng)包含BO系統(tǒng)、VOD系統(tǒng)、門戶系統(tǒng)、廣告系統(tǒng)和BOSS計費系統(tǒng)等。

2.2云媒體網(wǎng)絡

云媒體網(wǎng)絡目前是采用2臺核心Cisco6509交換機做核心交換和業(yè)務匯聚，地市終端通過省干波分到1臺H3C5560匯聚交換機，最后至云媒體核心交換機去訪問云媒體業(yè)務。云媒體業(yè)務包含萬事通、云計算、游戲、多媒體體通信、電視互聯(lián)網(wǎng)、智能導航等業(yè)務。目前，江蘇有線雙向網(wǎng)絡的拓撲圖如圖1所示。從圖中可以看出，江蘇有線雙向網(wǎng)絡在省前端部署了兩套核心網(wǎng)絡（互動網(wǎng)絡和云媒體網(wǎng)絡），這種網(wǎng)絡現(xiàn)狀實際造成了網(wǎng)絡核心設備和波分鏈路資源的浪費；在地市匯聚交換機這個層面，互動網(wǎng)絡和云媒體網(wǎng)絡都只部署了單臺的H3C5560，存在明顯的單點故障隱患。

3雙向網(wǎng)絡存在的問題

3.1地市匯聚交換機無冗余，存在單點故障隱患

互動網(wǎng)絡和云媒體網(wǎng)絡的地市匯聚交換機H3C5560均為單點部署，一旦某臺設備出現(xiàn)故障，就會導致省中心的雙向業(yè)務中斷服務，這完全無法滿足廣電雙向系統(tǒng)安全等保要求，無法保障業(yè)務系統(tǒng)的穩(wěn)定性和可靠性。

3.2雙向業(yè)務流量不聚合

目前，地市互動和云媒體業(yè)務的流量通過各自鏈路分別匯聚至互動核心Cisco7018交換機和云媒體核心Cisco6509交換機，雙向業(yè)務的流量不聚合，整個省前端無聚合的雙向核心交換設備。

3.3管理權責不明確

目前，江蘇有線雙向網(wǎng)絡（業(yè)務）維護存在不明確、不清晰的問題，部門內(nèi)部、部門與外部門、部門與地市沒有明確的維護界面。

3.4網(wǎng)絡缺少安全防護

目前，江蘇有線雙向網(wǎng)絡只在核心側部署了防火墻，整個雙向網(wǎng)絡和系統(tǒng)缺少進一步的安全防護措施，如IPS、漏洞掃描系統(tǒng)、安全運維審計系統(tǒng)等。

4雙向網(wǎng)絡融合改造目標與實現(xiàn)方案

4.1雙向網(wǎng)絡融合改造目標

江蘇有線雙向網(wǎng)絡融合改造的目標是提高網(wǎng)絡結構的合理性、網(wǎng)絡安全性、網(wǎng)絡設備冗余性和管理權責明確性。

4.2雙向網(wǎng)絡融合改造設計實現(xiàn)方案

江蘇有線省前端雙向網(wǎng)絡結構調(diào)整的主要思路是分區(qū)分塊，明確省公司與地市公司、自有業(yè)務和第三方業(yè)務之間的維護界面；在省前端明確核心交換區(qū)、業(yè)務接入?yún)^(qū)和安全防護區(qū)，從而使整個雙向網(wǎng)絡結構趨于合理化和管理維護清晰化。

4.2.1省前端中心區(qū)省前端中心分為4個子區(qū)塊，分別是核心交換區(qū)、互動業(yè)務區(qū)、云媒體業(yè)務區(qū)和安全防護區(qū)。（1）核心交換區(qū)采用2臺核心交換機Cisco6509做核心交換和所有業(yè)務的匯聚，2臺H3C5560作為地市匯聚交換機，2臺飛塔1500D防火墻用作對地市終端訪問省網(wǎng)業(yè)務的安全策略防護。省公司所有的雙向業(yè)務和第三方業(yè)務都必須匯聚上聯(lián)到2臺核心Cisco6509上，所有地市終端的訪問流量也必須經(jīng)過2臺1500D防火墻聚合到2臺核心Cisco6509上。（2）互動業(yè)務區(qū)互動系統(tǒng)（門戶系統(tǒng)、BO系統(tǒng)、廣告系統(tǒng)等）通過匯聚交換機接入到互動防火墻，再上聯(lián)到核心交換區(qū)的2臺Cisco6509；原互動網(wǎng)絡斷開與地市城域網(wǎng)的互聯(lián)鏈路，即地市終端訪問互動業(yè)務的流量必須經(jīng)過核心交換區(qū)再到互動業(yè)務。（3）云媒體業(yè)務區(qū)云媒體業(yè)務區(qū)塊是近年新上線部署的新業(yè)務，包括萬事通、云計算、游戲、多媒體通信、電視互聯(lián)網(wǎng)、智能導航等業(yè)務。這些業(yè)務系統(tǒng)通過匯聚交換機接到云媒體防火墻，再上聯(lián)到核心區(qū)2臺Cisco6509為終端提供服務。（4）安全防護區(qū)為了提高網(wǎng)絡和系統(tǒng)的安全性，在省前端中心區(qū)新部署一個安全區(qū)，在這個安全區(qū)內(nèi)部署IDS、漏洞掃描、流量清洗和安全運維審計等系統(tǒng)，用來提升整個省前端中心區(qū)的安全等級。

4.2.2外部接入?yún)^(qū)這個區(qū)域是外部業(yè)務，與省前端中心區(qū)相對是隔離的。外部接入?yún)^(qū)主要可以分為公網(wǎng)出口區(qū)和第三方業(yè)務接入?yún)^(qū)兩個區(qū)塊。（1）公網(wǎng)出口區(qū)江蘇有線部分雙向業(yè)務系統(tǒng)需要與公網(wǎng)資源有交互，這個區(qū)主要就是實現(xiàn)此功能，但是廣電網(wǎng)絡對安全性的要求非常高，為此在核心交換區(qū)的出口防火墻上通過嚴格的訪問控制策略控制內(nèi)部系統(tǒng)與公網(wǎng)資源的交互，必須要設定特定的目的IP、服務端口號、交互時間等策略信息。（2）第三方業(yè)務接入?yún)^(qū)該區(qū)域主要是引入的第三方合作的業(yè)務，主要包含一些游戲、OTT視頻等業(yè)務。同樣，出于安全性考慮，這些業(yè)務系統(tǒng)與省前端中心區(qū)的內(nèi)部業(yè)務系統(tǒng)之間的交互會被嚴格限制。省公司的維護界面到圖2所示核心交換區(qū)上方的2臺出口防火墻。

4.2.3地市接入?yún)^(qū)所有地市終端的業(yè)務訪問請求經(jīng)過省干波分上聯(lián)至核心區(qū)地市匯聚交換機H3C5560，H3C5560是雙機虛擬化部署，保證設備的冗余。省公司的維護界面到圖2所示核心交換區(qū)下方的2臺H3C5560。調(diào)整融合后的江蘇有線雙向網(wǎng)絡，其拓撲圖如圖2所示。從圖中可以看出，江蘇有線雙向網(wǎng)絡經(jīng)過融合改造后，分為三個大的區(qū)塊，且區(qū)塊之間維護界面清晰。在最核心的省前端中心區(qū)，統(tǒng)一了核心交換區(qū)，所有流量必須經(jīng)過該區(qū)的唯一的核心交換機；各業(yè)務系統(tǒng)按照規(guī)范匯聚后，統(tǒng)一接入到核心交換機；部署的安全防護區(qū)對省前端中心的安全做全面的保護。地市接入?yún)^(qū)和外部接入?yún)^(qū)按照規(guī)范接入到核心交換區(qū)。

5結語

江蘇有線雙向網(wǎng)絡經(jīng)過融合改造，網(wǎng)絡結構趨于合理，網(wǎng)絡安全性和穩(wěn)定性得到保障，網(wǎng)絡維護界面清晰。目前，該網(wǎng)絡承載著江蘇全省800萬左右雙向機頂盒終端的業(yè)務訪問，運行情況良好，后期隨著大流量業(yè)務的發(fā)展，各地市到省前端波分鏈路的帶寬可能需要進一步擴容。

作者：孫忠 單位：江蘇省廣電有線信息網(wǎng)絡股份有限公司