一、上海海關“大現場”場景需求分析及“冷備”解決方案 海關“大現場”業務流量較大,通過不同運營商的MSTP線路雙鏈路熱備上行,為了更有力的保障大現場的工作,采用3G/4G網絡冷備的方式為大現場做備份。在中心事先將3G/4G路由器配置好,一旦某個大現場出現問題,由工作人員攜帶3G/4G路由器前往大現場,設備開機即可接入到海關的網絡中,確保業務的續行。因此,大現場冷備3G/4G路由器需要具有以下特點: 攜帶方便:一旦大現場網絡中斷,工作人員將3G路由器從海關中心攜帶至大現場,設備包裝箱上需要具備便攜式把手,方便工作人員的攜帶。 3G/4G與國密一體化:因為設備并不是事先部署在大現場,若工作人員從中心攜帶過去,一體化的設備非常方便,工作人員僅需攜帶一臺設備即可。 安全可靠:支持從大現場到海關中心的端到端IPSEC加密,采用國密辦算法。 二、 上海海關“小現場”場景需求分析及“熱備”解決方案 針對大現場采用少量3G/4G路由器為全部現場冷備的方式,海關小現場的需求有所不同。小現場本身只有一條MSTP線路上行,故3G/4G熱備份方式對于小現場而言是必不可少的。小現場對于3G路由器主要有以下特點需求: 3G/4G與國密一體化:這樣僅需部署一臺設備在小現場,減少現場故障點,降低故障發生的風險,減輕維護工作量。 3G/4G線路與有線信道熱備:有線信道正常時,數據全部走有線信道,路由器開機但不進行3G/4G撥號。一旦有線信道出現問題,關鍵業務數據觸發撥號,同時建立VPN隧道,確保業務數據能切換到3G/4G線路上。 安全可靠:方案支持從小現場到海關中心的端到端IPSEC加密,采用國密辦算法。 網管需求:如果需要實時網管查看設備狀態,則3G/4G撥號需要時時在線。若無需實時網管查看設備狀態,則3G/4G線路應按需撥號,當有線信道異常時,觸發撥號,業務數據切換到3G/4G線路上。當有線信道恢復正常時,3G/4G線路自動斷開,業務數據切回到有線信道上。

如上圖,海關小現場組網中,PE-B與3G/4G路由器只對關鍵(生產)業務啟用VRRP熱備協議(路由器VLAN子接口下啟用VRRP),默認情況下PE-B作為主用設備(VRRP狀態:master),3G/4G路由器作為從設備(VRRP狀態:backup)。 PE-B通過Track等技術(BFD\EM事件等)監控MSTP線路的通斷情況,當主MSTP線路出現故障時,PE-B設備的VRRP優先級別自動降低,VRRP狀態進行自動切換,PE-B設備VRRP狀態變為backup,3G/4G路由器VRRP狀態變為master,此時3G/4G路由器將作為主用設備負責關鍵業務的數據轉發。當主MSTP線路出現恢復時,PE-B設備的VRRP優先級別自動提高,VRRP狀態進行自動切換,PE-B設備VRRP狀態變為master,3G/4G路由器VRRP狀態變為backup,此時恢復PE-B路由器將作為主用設備負責關鍵業務的數據轉發。 3G/4G路由器啟用3G/4G按需撥號模式,只對符合關鍵業務類型的數據流(包括IPSEC數據流)才觸發3G/4G無線撥號,并配置3G/4G撥號超時斷開功能(如設置:沒有數據流時30秒斷開3G網絡);此時在默認情況下,PE-B作為主用設備,負責所有業務數據流的轉發,3G/4G路由器作為備用設備在沒有關鍵業務數據流觸發的情況下不進行3G/4G網絡撥號(節省3G備份線路帶寬);當MSTP主線路出現故障時,針對關鍵(生產)業務,3G/4G路由器變為主用設備,對關鍵業務數據流轉發時自動觸發3G/4G撥號;當MSTP住線路恢復時,PE-B路由器恢復為主用設備,負責所有業務數據流轉發,3G/4G路由器在沒有關鍵業務數據流觸發的情況下,超時斷開3G/4G無線網絡。 3G/4G路由器作為主用設備時,為保證轉發關鍵業務數據流的安全性,3G/4G路由器與LNS設備建立國密算法IPSEC(使用國家商密SM1算法)以保證傳輸數據的加密安全,加密數據流只包含關鍵(生產)業務數據流,設備(SNMP)網管數據不進行國密IPSEC加密。
|