安庆石化总厂电话站 产刘明

　　大型企业为了使自己的集中管理和远程管理更方便，在建立了完整的企业网之后，逐渐着手于社区网络的建设。如何建立完善的社区网络，并使之与企业网络相互支持，安庆石化在这方面做出了自己的特色。

　　作为国家级的大型企业，安庆石化每年在信息技术及网络应用方面的资金投入是很大的。除了企业厂区的信息建设项目之外，安庆石化还针对自身的特点，把具有近2万职工的生活社区也纳入了宽带网络建设的实施范围。此次，安庆石化智能社区宽带网络项目的建设，完成了对全部住宅小区的网络改造，并把小区周围的有关单位与该网络连接了起来，从而消除了信息孤岛现状，有效实现了资源共享，使企业人员可以在家通过局域网上网，并且可以通过授权在家进行网上办公。

　　一、 用户需求

　　安庆石化生活区分布较为广泛，有菱北、大湖、一村、二村、三村、四村、马山、热电新村、港贮等9个住宅小区，目前共有268栋住宅楼，11229套单元住宅房。网络系统建设的目标主要有两部分内容，即建设社区Intranet网络系统和实现内部网络与Internet 互连。

　　对于内部网络而言，建网任务是建设社区主干网和网络中心，连接社区内的 268栋居民楼和周边部分单位，总共具有近10000多个信息点，进而使社区用户可以通过较高的带宽接入互联网，并通过高速、可靠、安全的宽带连接，全面提供计算机信息化服务，实现信息共享。

　　建成的社区网络将为用户提供以下服务：社区内的高速Intranet网络系统，并向用户提供Internet接入服务；为社区网络提供网络安全保障，安装防火墙和用户认证管理系统；建立DNS、WWW、E-mail等多种网络应用系统，提供Internet服务，满足高知识层次用户的日常需要；保护用户隐私并保障网络安全，对整个网络进行子网划分，形成覆盖整个社区的虚拟网络基础结构；建立网络计费系统，为网络管理提供方便；建立社区网上服务中心，为用户提供网络订购和市场服务，从而为社区用户提供系统化服务；建立社区的WWW主页，并通过Internet提供宣传服务；为VOD（视频点播）等多媒体应用打好网络基础；在社区的Intranet网络与安庆石化企业网络之间建立高速、安全、可靠的数据通道；社区内的单位及授权用户可以通过社区网络访问安庆石化企业网，实现网上办公。

　　二、项目实施

　　1．建网原则

　　为与宽带小区的业务特点紧密结合，保证网络的正常运转和管理，安庆石化在网络设计构建中，始终坚持以下建网原则。

　　系统采用的设备(软件设备与硬件设备)均符合国际标准，避免产品出现个别厂家的私有标准或内部协议，确保网络的开放性和互联互通，满足信息准确、安全、可靠、优良交换传送的需要，即网络应具有一定的开放性；同时网络应具有提供良好的业务管理能力，支持对宽带用户的接入管理、身份认证、带宽许可、地址管理和服务质量，并针对不同的业务提供灵活的计费方式，确保网络的运营、管理与服务；还应根据竞争和企业发展的需要，网络建设要充分考虑业务的扩展能力，能针对不同的用户需求提供丰富的宽带增值业务，使网络能在提供优质服务的同时具有精确核算赢利的管理机制，具有可增值性；应考虑到用户数量和宽带业务种类发展的不确定性，生活区宽带网要建设成完整统一、组网灵活、易扩充的弹性网络平台，能够随着需求变化滚动发展，要分步实施，充分留有扩充余地，即具有可扩充性；要充分考虑整个网络的稳定性，支持网络节点的备份和线路保护，提供网络安全防范措施，应具有系统运行的高可靠性和容错性；支持良好的维护、测量和管理手段，提供网络统一实时监控的遥测、遥控的信息处理功能，实现网络设备的统一管理，具有系统管理和维护的简易性和可行性。

　　安庆石化智能社区网在进行了多家厂商的比较后，最后采用了华为千兆以太网解决方案。网络全部采用华为产品搭建。由武汉菲旺软件技术有限责任公司实行项目的总体集成。

　　2．网络搭建

　　安庆石化智能社区网的网络中心位于三电大楼通信机房，与企业的计算机网络中心在同一地方，但两者是独立的两套网络，目前仅通过VPN方式授权访问。网络建设采用了FTTB+LAN、VDSL技术。该系统是一个先进的、可靠的、稳定的和可运营管理的宽带网络系统，网络将采用核心层、业务会聚层、接入层的网络结构。每个网络的层次结构都完成各自独立的功能，方便了网络策略的分布和实现以及网络的平滑扩展。其网络拓扑结构图如图1 所示。

　　　　　　　　图1 安庆石化智能社区网拓朴结构图

　　中心采用QuidwayS8106作为核心层交换机，配置双主控单元和交换网板，保证了网络的可靠性，由于QuidwayS8106具有路由功能，上行链路从其直接出口；为了增强网络的安全性，在出口处设置一台CISCOPIX 525作为防火墙，实现内外网的隔离，同时利用了 PIX 525高性能NAT的特性实现地址转换；对于网络如DNS、E-mail、WWW、认证计费、视频 VOD等服务器群则通过千兆的方式和核心交换机进行互连，使用户在使用网络时能够得到及时的业务响应；下行链路采用千兆光纤链路；一村、二村、四村采用VDSL接入，VDSL交换机选用MA5300，其他小区采用LAN接入，在各个小区中心则采用Quidway S3526作为汇聚层交换机；各个小区楼栋则统一采用Quidway 2403H交换机实现小区居民的接入；楼道交换机和小区的汇聚层交换机之间采用百兆光纤；而对于网络中用户的认证、授权和计费则可以通过宽带接入服务器MA5200、CAMS（综合访问管理系统）完成对小区用户的认证、授权和计费；对于整个网络设备的维护管理则设置一台网管服务器，安装华为的iManager N2000网管软件对全网的设备进行统一的管理。

　　华为宽带接入交换机S8016具有256G高速背板、128G交换网板、64Gbit/s业务交换能力，共有16个业务插槽，64kbit/sMAC地址表项，具有DHCPSERVER功能，功能强大。为了节约投资，我们选用S8016作为DHCP服务器，另分别选用DELLPowerEdge 6600高性能PC 服务器作为DNS、E-MAIL、认证计费、VOD等服务器。

　　宽带接入服务器MA5200背板容量为2.4G，整机16个槽位，其中14个为业务槽位，所有组件实现热插拔，支持VLAN+WEB认证、VLAN+快速认证、VLAN+绑定认证方式，本项目采用VLAN+MAC地址绑定认证方式；系统支持16个地址池，每个地址池支持8个地址段，每个段最多包括1024个地址；支持16个域（ISP），对每个域提供认证方案、计费方案、 RADIUS方案、IP地址池、流控级别配置。

　　VDSL宽带接入交换机为MA5300，交换容量达到16Gbit/s，也可支持 VDSL/ADSL/LAN完全混插，最大单框容量支持240线DSL用户。并可堆叠4级平滑扩容。

　　三、 运营与维护

　　1．网络运营

　　为有效对网络的运营管理，我们采用VLAN＋WEB认证的用户接入认证方式，即接入的用户通过登录门户网站，输入用户名和密码，进行身份认证，从而获得用户的访问权限。

　　当用户采用VLAN方式开机时，首先要通过DHCP过程来获得IP地址。在用户得到 IP地址后，MA5200把用户的权限设为未认证用户，此时用户只能访问免费站点和门户网站。当用户想访问外部站点时，必须先访问门户网站，进行登录。用户在登录过程中，输入用户名和密码，经登录程序通过MD5算法加密后送到MA5200。MA5200再把用户信息发送到CAMS （华为综合接入访问管理系统）认证服务器进行认证。在得到CAMS服务器的认证结果后， MA5200根据认证结果改变用户权限，同时通知用户并开始计费。当用户结束访问时，需要在门户网站上点击“注销”按钮，发送注销消息。MA5200根据注销消息改变用户权限，并停止计费。

　　华为综合接入访问管理服务器CAMS对各级用户对网络的使用进行统一的认证、授权和计费，作为网络中的业务管理核心，CAMS支持与路由器、多业务接入交换机、以太网交换机、VoIP网关和接入服务器等网络产品共同组网，完成终端用户的认证、授权、计费和权限管理，支持6000个并发用户接入认证，实现网络的可管理、可运营，保证了网络和用户信息的安全。该系统硬件平台为PC服务器，软件平台为Linux，数据库为Oracle产品。其 “平台+业务组件”的结构如图2所示。

　　　　　　　　　　　　图2 CAMS功能结构

　　采用这种组件化的结构方式，使得业务组件可以动态加载，单独升级，能有效地适应网络的扩容带来对网络的管理。

　　2．网络维护管理

　　此次网络建设采用华为的iManagerN2000网管软件对全网的设备进行统一的管理。其网管系统的体系结构如图3所示。

　　　　　　　　　　图3 网管系统的体系结构

　　iManagerN2000具有开放的体系结构，设计了GUI客户端、MML等操作维护方式，提供WEB、Telnet等维护接口，并能支持近端、远端不同权限的多个客户同时访问。

　　iManagerN2000固定网综合网管系统的主要功能包括拓扑管理、配置管理、故障管理、性能管理、计费管理、安全/日志管理等。

　　拓扑管理主要操作有增删设备或子网，查看节点、链路或子网的状态，通过定时轮询或手动启动对任一设备的状态或配置数据轮询，实时刷新拓扑显示数据。

　　配置管理提供了从网元层到网络层的管理，可查看整条虚连结在全网拓扑结构的连结图和有关配置信息；可在PVP/PVC两端任意增加或删除节点，实现PVP/PVC的延长、缩短及改变方向。实现了比较灵活统一的链路管理。对网元设备的配置管理还提供了两种方式，一是通过在拓扑图上双击拓扑设备节点启动设备面板图，在面板视图上对设备进行配置；二是网管平台提供了一个全网设备浏览树，可以对全网的设备进行配置。

　　故障管理主要包括对全网设备的告警信息和运行信息进行实时监控，查询设备的历史告警信息和运行信息，定义发送过来的SNMPTrap，查询和配置设备的告警表。

　　性能管理用户可以获得网络的各种当前性能数据，并可以设置性能的门限，当性能超过门限时，网络以告警的方式通知网管系统。用户也可以收集一定时间段内的性能数据，并保存在数据库中，以做进一步的分析。

　　安全管理完成网管系统本身的安全控制，包括下列内容：用户管理、操作日志管理、用户登录/退出管理。它主要通过网管用户权限进行控制，用户在启动网管客户端后，需用已经建立的网管用户登录，并且只能以用户属性中设定的读写权限执行该用户指定可以执行的网管应用。网管系统各管理应用对用户执行的敏感操作进行记录，管理员可通过浏览用户操作日志来取得系统的所有管理操作信息。

　　安庆石化智能社区宽带网系统，把所有生活区通过计算机网络互联起来，它不但为安庆石化生活区提供宽带接入，实现与Internet的高速连接，还可提供基于计算机网络的各种信息服务应用平台，如社区管理服务及视频点播等多种业务。目前一期、二期、三期工程已全部完工，系统已投入使用近1年，该系统加快了安庆石化的信息化进程，极大地丰富了广大职工的业余文化生活，提高了生活层次，有效促进了安庆石化的二个文明建设，其经济效益和社会效益十分显著。