|
一�����、上海海關“大現場”場景需求分析及“冷備”解決方案
海關“大現場”業務流量較大��,通過不同運營商的MSTP線路雙鏈路熱備上行��,為了更有力的保障大現場的工作����,采用3G/4G網絡冷備的方式為大現場做備份。在中心事先將3G/4G路由器配置好��,一旦某個大現場出現問題,由工作人員攜帶3G/4G路由器前往大現場����,設備開機即可接入到海關的網絡中,確保業務的續行�����。因此��,大現場冷備3G/4G路由器需要具有以下特點:
攜帶方便:一旦大現場網絡中斷�����,工作人員將3G路由器從海關中心攜帶至大現場�����,設備包裝箱上需要具備便攜式把手����,方便工作人員的攜帶。
3G/4G與國密一體化:因為設備并不是事先部署在大現場��,若工作人員從中心攜帶過去��,一體化的設備非常方便,工作人員僅需攜帶一臺設備即可�����。
安全可靠:支持從大現場到海關中心的端到端IPSEC加密�����,采用國密辦算法��。
二����、 上海海關“小現場”場景需求分析及“熱備”解決方案
針對大現場采用少量3G/4G路由器為全部現場冷備的方式��,海關小現場的需求有所不同��。小現場本身只有一條MSTP線路上行��,故3G/4G熱備份方式對于小現場而言是必不可少的��。小現場對于3G路由器主要有以下特點需求:
3G/4G與國密一體化:這樣僅需部署一臺設備在小現場��,減少現場故障點����,降低故障發生的風險�����,減輕維護工作量��。
3G/4G線路與有線信道熱備:有線信道正常時����,數據全部走有線信道�����,路由器開機但不進行3G/4G撥號����。一旦有線信道出現問題,關鍵業務數據觸發撥號��,同時建立VPN隧道��,確保業務數據能切換到3G/4G線路上����。
安全可靠:方案支持從小現場到海關中心的端到端IPSEC加密�����,采用國密辦算法�����。
網管需求:如果需要實時網管查看設備狀態,則3G/4G撥號需要時時在線�����。若無需實時網管查看設備狀態����,則3G/4G線路應按需撥號,當有線信道異常時�����,觸發撥號����,業務數據切換到3G/4G線路上。當有線信道恢復正常時��,3G/4G線路自動斷開,業務數據切回到有線信道上����。
如上圖,海關小現場組網中��,PE-B與3G/4G路由器只對關鍵(生產)業務啟用VRRP熱備協議(路由器VLAN子接口下啟用VRRP)����,默認情況下PE-B作為主用設備(VRRP狀態:master),3G/4G路由器作為從設備(VRRP狀態:backup)��。
PE-B通過Track等技術(BFD\EM事件等)監控MSTP線路的通斷情況��,當主MSTP線路出現故障時����,PE-B設備的VRRP優先級別自動降低,VRRP狀態進行自動切換��,PE-B設備VRRP狀態變為backup��,3G/4G路由器VRRP狀態變為master����,此時3G/4G路由器將作為主用設備負責關鍵業務的數據轉發�����。當主MSTP線路出現恢復時��,PE-B設備的VRRP優先級別自動提高����,VRRP狀態進行自動切換�����,PE-B設備VRRP狀態變為master��,3G/4G路由器VRRP狀態變為backup�����,此時恢復PE-B路由器將作為主用設備負責關鍵業務的數據轉發��。
3G/4G路由器啟用3G/4G按需撥號模式�����,只對符合關鍵業務類型的數據流(包括IPSEC數據流)才觸發3G/4G無線撥號�����,并配置3G/4G撥號超時斷開功能(如設置:沒有數據流時30秒斷開3G網絡)����;此時在默認情況下,PE-B作為主用設備�����,負責所有業務數據流的轉發�����,3G/4G路由器作為備用設備在沒有關鍵業務數據流觸發的情況下不進行3G/4G網絡撥號(節省3G備份線路帶寬)�����;當MSTP主線路出現故障時��,針對關鍵(生產)業務��,3G/4G路由器變為主用設備��,對關鍵業務數據流轉發時自動觸發3G/4G撥號��;當MSTP住線路恢復時,PE-B路由器恢復為主用設備����,負責所有業務數據流轉發,3G/4G路由器在沒有關鍵業務數據流觸發的情況下����,超時斷開3G/4G無線網絡。
3G/4G路由器作為主用設備時�����,為保證轉發關鍵業務數據流的安全性�����,3G/4G路由器與LNS設備建立國密算法IPSEC(使用國家商密SM1算法)以保證傳輸數據的加密安全�����,加密數據流只包含關鍵(生產)業務數據流�����,設備(SNMP)網管數據不進行國密IPSEC加密����。
| 
