合肥地铁2号线综合监控系统网络方案-卓越TSC

1、tsc北京卓越信通电子股份有限公司合肥地铁 2 号线综合监控系统（网络技术方案）北京卓越信通电子股份有限公司2015 年 9 月目录1、概述31.1 工程概况31.2 项目总体目标32、系统构成原则 42.1 综合监控系统构成原则 42.2 综合监控系统网络构成原则 53、合肥地铁2号线综合监控系统网络总体方案 53.1网络总体考虑54、方案具体说明 241.1 合肥地铁2号线综合监控网络系统具体说明 241.2 bas系统的网络整体规划设计说明： 351.3 门禁系统网络规划设计说明； 365、特点分析及优点说明 371.4 高可靠性371.5 超强的传输性能371.6 高冗余性 371.7

2、 安全性381.8 抗干扰性381.9 高可靠性、实时性 381.10 管理性 381.11 扩展性381.12 境适应能力391.13 标准性396 .设备配置清单397 .设备技术参数及功能特点 39tsc3tsc北京卓越信通电子股份有限公司1、概述1.1 工程概况合肥地铁2号线设置综合监控系统是为了实现地铁信息互通、资源共享，提升自动化水平，提高地铁的安全性、可靠性和响应性。综合监控系统（iscs）集成是指综合监控系统与各子系统之间存在紧密的耦合关系，子系统的数据处理、监控功能、人机界面均通过iscs完成，正常情况下集成的相关系统依赖iscs实现正常操作功能。综合监控系统（iscs）互联

3、是指综合监控系统与各子系统是采用松耦合的结构，子系统是与iscs有数据交换但其数据处理相对独立，综合监控系统与互联子系统交换必要的信息，实现联动等功能。1.2 项目总体目标为实现各专业设备信息互通、资源共享，提升自动化水平，提高地铁运营的安全性、可 靠性和响应性，最终达到减员增效的目的，合肥地铁2号线设置综合监控系统。 综合监控系统由中央级综合监控系统、车站级综合监控系统等组成。中央级综合监控系统（iscs）集成和互联对象包括： 集成系统：环境与设备监控系统（bas ;火灾自动报警系统（fa9 ;互联系统：信号系统（xh）;自动售检票系统（afq ;广播系统（pa）;闭路电视监视系统（cctv

4、 ;乘客信息系统（pis）;通信集中告警系统（tel/alm）;无线通信系统（rts）bas,asc子系统不具有独立的传输网络，是综合监控系统中的一部分。综合监控系统预 留不同的监控级别接口，与它们交换必要的信息，实现联动等功能。2、系统构成原则2.1 综合监控系统构成原则1）综合监控系统应围绕行车和行车指挥、防灾和安全、乘客服务等开展设计，以进一步提高运营行车管理的水平。2）综合监控系统面向的对象主要包括控制中心的各中央调度员（行调、电调、环调、 维调和总调）、车站控制室的值班人员和车辆段维修中心的系统维护人员等。综合监控系统 应满足以上这些岗位的功能要求。3）综合监控系统的故障告警功能，分

5、别在控制中心及车辆段综合维修基地实现，在控 制中心综合监控系统应能采集相关集成系统的重要设备故障的汇总信息，以方便中央维调人员的维护管理工作；另外在车辆段综合维修基地应能采集相关集成系统的重要设备故障信 息，并具备对所采集信息进行汇总统计的功能，从而方便车辆段维修人员进行日常的系统设备的维护工作。4）当出现异常情况由正常运行模式转为灾害运行模式时，综合监控系统应能迅速转变 为应急模式，为防灾、救援和事故处理指挥提供方便。5）地铁综合自动化系统应由上位监控层、中间控制层和末端设备层三层构成；综合监 控系统属于上位监控层，是由控制中心、车站综合监控系统的交换机、服务器、工作站和前 置处理器（fep

6、）等设备组成；中间控制层和末端设备层由相关接入系统和现场设备组成。6）控制中心与车站上位监控层的计算机设备通过工业级骨干传输网络连接。上位监控 层与中间控制层设备通过符合国际或行业标准的通用开放式的智能通信接口形式进行连接。 中间控制层与末端设备层通过通用开放式的工业控制网络、现场总线和硬线等接口形式进行连接。7）综合监控系统应能实时反映各监控对象的工作状态，综合监控系统应具备对监控对 象的进行模式控制、程序控制、时间表控制和点动控制等控制功能。8）地铁弱电系统的安全联锁控制功能主要在中间控制层实现。控制层设备应具备相对 独立的工作能力，即控制层设备脱离中央或车站信息管理层时，仍能独立运行，满

7、足紧急情况下运营的应急需求。9）综合监控系统应采用模块化设计，易于扩展。综合监控系统不仅应满足合肥市轨道 交通2号线全线运营管理的需求，同时还应为其他线路的接入和更高一级管理系统的连接预 留一定的条件。10）综合监控系统应采用高可靠的产品，保证能全天候不间断地运行。2.2 综合监控系统网络构成原则综合监控系统的网络结构采用二级别结构：即主中央网络和车站局域网，逻辑控制结构采用三层的管理架构：即主中央网络，车站局域网，现场总线网络。1）整体网络结构中央和车站采用千兆单模光纤独立组网，采用跳站链接的链接方式，实现环网结构。为确保系统的稳定性，和可靠性，主干采用冗余双环网结构。2）局域网包括控制中心

8、、各车站、车辆段的综合监控系统内部局域网。（1）中央综合监控系统局域网中央局域网为双冗余的 1000mbps 以太网，符合ieee802.3系列的相关标准。中央采用千兆工业以太网交换机，配置千兆单模光纤接口模块，用于与主干网络的连接。中央工业以太网交换机需具备路由功能。为便于布线，在控制中心的中央控制室另设两台工业以太网交换机。（2）车站级别局域网车站级别局域网为双冗余的1000mbps 以太网，符合ieee802.3系列的相关标准。车站级别局域网采用冗余工业以太网交换机组建（通过千兆单模光纤接口与核心组成独立环网网络）。3、合肥地铁2号线综合监控系统网络总体方案3.1 网络总体考虑合肥地铁2

9、号线综合监控系统主要由中心级iscs、网络管理系统（nms;位于各车站的车站级别iscs;位于停车场的iscs;位于车辆段的车辆段 iscs、设备管理系统（dms、 培训管理系统（tms等系统组成。在网络设计时首先要考虑网络的可用性、可靠性、安全性、实时性、可扩展性、可管理 性几方面统筹设计。tsc7twho3.1.1 可用性分析根据合肥地铁2号线综合监控系统标书的要求，合肥地铁2号线综合监控系统的中心网络机房选用2台tscpt3606d工业以太网交换机互为冗余配置，可以实现交换机冗余、端口 冗余；能够实现主备交换机无扰动切换，用于连接服务器、中心网络交换机和主干网络，负 责控制中心的中心级实

10、时服务器、历史服务器、其它应用服务器、网络设备、各功能工作站、高速打印机和ups等设备的接入。合肥地铁2号线综合监控系统的各车站系统配置若干tscpt33系列工业以太网交换机，每个车站配置两台，互相备份，负责将来自每个设备的各种数据处理、存储并上传至中心计算机系统，实现对车站 bas,acs,pscad将系统的集中管理功能。通过通信骨干网上传至线 路中心系统，实现终端设备与服务器之间的数据通信。合肥地铁2号线综合监控系统白车辆段各配置2台tsc pt3606d-a工业以太网交换机，实现冗余切换保护工作。合肥地铁2号线综合监控系统的维修管理系统、培训管理系选用tsc pt33系列工业以太网交换机

11、，用于连接打印机、培训服务器、仿真模拟器、培训工作站等，负责由培训工作 站从仿真模拟产生的数据传输到培训到服务上，提供易操作、友好的界面，同时提供打印机的连接。为了保障系统可用性，所选用交换机均为同一品牌的tsc系列工业以太网交换机，可以适应合肥轨道交通现场的气温环境、湿度环境、电磁环境及振动冲击工作环境，并且在国内城市轨道交通综合监控系统、传输系统等工程中具有 120台及以上供货及应用业绩，未发生 过责任事故，满足相关工业认证（ce认证、ul 508或ul 1604认证），可以保证业务数据的高效传输，可以实现数据交换的实时性，安全性等。综合以上因素可以说系统是可用的。3.1.2 可靠性分析对

12、于合肥地铁2号线综合监控系统， 可靠性是第一位的，是网络系统的一个重要的性能指标，对于承载了多业务的系统来说，则一个高可靠性的网络系统显得尤为重要。3.1.2.1 设备的可靠性网络中所有设备的可靠性决定了网络系统的可靠性，一般来说，整个系统中设备越多，系统的整体可靠性就越低。假定单台交换机的可靠性为1,那么一个有20台交换机的网络系统的可靠性大约为 1/20 ,如果单台交换机的可靠性为2,有20台交换机的网络系统的可tsc北京卓越信通电子股份有限公司靠性大约为1/10。因此，单个设备的可靠性越高，整个网络的可靠性就越高，网络系统的 故障率就越小。本方案中选用tsc pt3606d tsc pt

13、33系列工业以太网交换机，是高可靠性的交换机。以上tsc工业交换机均是三层工业以太网模块化路由交换机，采用工业级的设计理念：第一、在设1f时tsc pt系列工业交换机都采用工业级的芯片，这不仅会保证交换机传输能力，更 增加了交换机运行中的稳定性。第二、tsc系列工业交换机全部为工业现场环境设计使用，并通过了 ce认证、ul 508或ul 1604认证，对苛刻的物理环境条件具有很强的适应性，工 作温度(-20 c -70 c)、(-40 c -80 c)、存储温度(-45 c -85 c)、相对湿度(10395% 无凝霜)。第三，工业外壳设计，ip2040防护等级，较高的防护等级可以防止灰尘及空

14、气 中的其他有害物质进入到交换机内部，保护了设备内部的元件。第四，在轨道交通行业的环境中，存在着很严重的电磁干扰，电磁干扰对数据的正常传输有着非常严重的负面影响，tsc系列工业交换机电源设计通过emc电力四级认证，确保设备的稳定性。第五tsc系列工业交换机在地铁行业的成功应用，获得地铁行业的好评。综合上述因素，tsc系列工业交换机拥有可靠的稳定性，由 tsc系列交换机搭建的高可靠性网络能保障整个保证系统的可靠性。3.1.2.2 网络的可靠性为了保证iscs整个网络的可靠性，在保证设备高可靠性的基础上着重考虑了网络的冗余性，冗余包括设备冗余和链路冗余。iscs系统ocg sc网络采用通信传输网，

15、 为100mbps 以太网，通过通信专业提供的符合 802.3标准的以太网接口联接，每个车站 2个10/100m 以太网接口，所以在 iscs系统网络中，在中央级采用两台万兆级核心层tsc pt3606d系列交换机，组成双星型的网络结构，两台交换机互为冗余、热备。车站系统在每一个车站均采用两台tsc pt33系列工业交换机互为冗余、备份并为车站局域网提供冗余链及支持多种冗 余协议。中央级和各车站通过实现冗余配置实现该部分网络提供链路的冗余，相比于星型或链型的网络结构，网络拥有极大的优势，当网络中出现任意位置的单点故障时，网络可以立即启用其备用链路，使得任意节点的通信不会出现通信中断情况，在网络

16、中出现单点故障时，系统可以在很短的时间内进行链路切换，以保证业务数据的正常传输，增加了网络的可靠性。3.1.3 安全性分析3.1.3.1 防病毒考虑网络安全是工业控制系统最为显著的问题，当前困扰工业控制网络安全的主要是病毒等因素，本方案在组网设备时特意考虑到这一点。3.1.3.1.1 防止arp欺骗arp的基本功能就是在以太网环境中，通过目标设备的ip地址，查询目标设备的mac地址，以保证通信的顺利进行。但由于arp的广播、动态学习等特性注定了它不是一种安全 的协议，所以在实际应用中，会由于各种各样的原因使 arp学习失败，从而影响网络的互通 性，并进而影响用户的业务稳定运行。arp欺骗是目前

17、网络管理，特别是局域网管理中最让人头疼的攻击，他的攻击技术含量低，随便一个人都可以通过攻击软件来完成arp欺骗攻击，局域网内有人使用 arp欺骗的木马程序可以盗取各类软件所使用的用户名称和密码。arp协议的基本功能就是通过目标设备的ip地址，查询目标设备的 macm址，以保证通信的进行。基于arp协议的这一工作特性，黑客向对方计算机不断发送有欺诈性质的arp数据包，数据包内包含有与当前设备重复的mac地址，使对方在回应报文时，由于简单的地址重复错误而导致不能进行正常的网络通信。一般情况下，受到arp攻击的计算机会出现两种现象 ：不断弹出“本机的 xxx段硬件地址与网络中的 xxx段地址冲突”的

18、对话框。计算机不能正常上网，出现网络中断的症状。因为这种攻击是利用 arp青求报文进行“欺骗”的，所以防火墙会误以为是正常的请求 数据包，不予拦截。因此普通的防火墙很难抵挡这种攻击。tsc pt3606d tsc pt33系列工业三层交换机能够通过多种方式实现防arp攻击，支持静态防御，tscpt36d可以采用以上的方法防止 arp攻击外还可以结合 dhcberver和dhcp relay实现dhcpsnooping动态dai防御。根据以上所描述的四种arp攻击方式，我们有以下策略进行防御：情况一在tsc系列工业三层交换机上做端口安全绑定，对arp报文进行过滤，在所有的用户端口过滤掉sende

19、r ip addr 为网关ip的arp报文。在连接网关的上联口不做过滤。这样可解决伪造网关 mac对主机的欺骗。情况二在tsc系列工业三层换机上做端口安全绑定，对arp报文进行过滤，只允许符合访问列表定义ip+macarh艮文通过，可解决伪造主机的ip、mac对网关（主机）的欺骗。情况三tsc系列系列工业三层交换机会自动对cpu行监控，arpw毒会对cpus行洪泛攻击,当流量太大以至于 cpu合超过70%寸，芯片对到cpu的报文进行流量限制，直到cpu恢复正常，保证系统的稳定。tsc系列工业三层交换机上可以开启ip filter 功能，当某个ip进行扫描或者bt下载时，会产生大量的 arp报文

20、，ip filter 可以设置arp报文门限值，单位时间超过数量的 ip将会被暂时bloc邮，过一段时间再自动解禁。情况四tsc系列工业三层接入交换机上启用广播风暴抑制功能，可以针对网络中 arp广播数据量的泛滥进行有效限制，保证网络整体的稳定性。情况五dhcptsc pt3606d tsc pt33工业三层交换机除可以使用以上方法外还可以启用snooping功能，端口对 pc申请ip地址过程进行跟踪记录，自动绑定到相应的端口，没有 经过合法申请ip地址的pc无法通过交换机上网，中毒机器被自动的单独隔离。3.1.3.1.2 防止病毒功能网络病毒特征网络病毒的特征是，其传播所使用的技术可以充分体

21、现网络时代网络安全与病毒的巧妙 结合，将网络蠕虫、计算机病毒、木马程序合为一体，开创了网络病毒传播的新路，可称之 为划时代的病毒。如果稍加改造，将是非常致命的病毒，可以完全取得所攻破计算机的所有 权限，为所欲为，可以盗走机密数据，严重威胁网络安全。一般网络病毒采用了恶意 ip地址扫描的途径进行自我复制或恶意攻击。它通过ip扫描发送tcp连接请求，对回应的地址进行自我复制，这样很多时候一个三层交换机下挂的网络中会存在多个被网络病毒感染的客户端主机，这些客户端主机上的网络病毒又会不断的发送ip扫描报文，多个感染病毒的客户机发送给交换机大量的ip扫描报文对部分采用精确匹配转发策略的三层交换机是一个严

22、峻的考验。病毒采用随机产生ip地址的方式，每个病毒每天能够扫描40万个ip地址，搜索未被感染的计算机和设备，在寻找到“猎物”后，病毒会 向寄生虫一样，通过自我安装感染服务器，一旦在某台服务器中安装成功，接下来它就会利用这台服务器，搜寻更多的感染目标，其传播速度非常惊人。最具代表性的网络病毒有红色代码(red code)病毒和冲击波(ms blaster )病毒等。tsc系列工业交换机防范网络病毒机制首先，tsc系列工业三层交换机支持三层报文硬件线速转发功能，即 ip exf功能，这 是与路由器相区别的地方，启用了 ip exf功能以后，内网用户访问网络流量不再使用“一 次路由多次交换”，而是直

23、接从硬件路由器转发给上行路由器，这样就在提高网络转发效率的同时。对于象冲击波病毒这样的变化目的ip地址发包的网络攻击行为（主要扫描行为会是扫描外部网段），就直接通过硬件子网路由转发了，不再耗用软件的cpu资源。这样cpu资源可以空余出来进行一些网络行为分析以及远程监控，并且有余力来关闭或控制病毒报文泛滥的端口。其次，tsc系列工业三层交换机具有支持 27层的流量过滤，防御病毒攻击能力，对于 具有网络病毒的特征的报文，在进交换机端口时将会被丢弃，由于是在交换端口芯片实现此功能，所以不会占用 cpu的资源，可以对病毒报文进行有效抵制。第三，可以在tsc系列工业三层交换机上启用ip filter 功

24、能，在周期时间内，如果收到同一台pc发出过多的不同目的地址的ip报文，如ddos攻击报文等，交换机会将此pc禁止通信一段时间，可以根据具体情况设定惩罚时间。通过以上三点，可以实现卓越交换机对网络病毒的全面防御保证，即使病毒扫描报文横行的网络里，卓越交换机依然能够正常工作。综上所述，tsc系列工业三层交换机在数据转发层面具有完善、高效的防御、反抗病毒 入侵的机制，在控制层面上，通过优化的硬件、软件设计以及合理的网络和设备配置，也提 供了完备的网络防护措施，确保在arp攻击及蠕虫病毒造成的网络攻击中，始终尽可能保持网络的畅通和业务的连续性，对被感染用户进行有效地识别和抑制，同时保证未被感染的用户的

25、正常工作。以此来保证合肥地铁2号线综合监控系统的网络安全性和可靠性。1.1.1.1 数据安全性考虑为了保障数据工作的安全性，在网络中必须启用，如下协议和功能：1.1.1.1.1 vlan 划分交换机可以分割冲突域但不能分割广播域，采用交换机vlan技术，可以提供的安全机制，可以限制特定用户的访问，分割冲突域的同时可以分割广播域，采用动态vlan技术甚至锁定网络成员的 macm址，这样，就限制了未经安全许可的用户和网络成员对网络的使用。为了增加网络安全性，为每种业务分配一个不同的vlan各个业务的数据只能在本业务vlan中传输，隔离了全部的业务数据，防止业务数据间的相互干扰。1.1.1.1.21

26、 p-acl 或 mac-acl访问控制列表简称为 acl访问控制列表使用数据包过滤技术，在路由器上读取网络层及传输层包头中的信息如源地址，目的地址，源端口，目的端口等，根据预先定义好的规则对包进行过滤，从而达到访问控制的目的。数据包过滤用来控制跨越网络的数据流。通过实现它，可以限制网络通信量，限制网络访问到特定的用户和设备。访问列表可用来控制网络上数据包的传递，限制终端线路的通信量或者控制路由选择更新，以达到增强网络安全性的目的。tsc pt3606d tsc pt33系列产品提供支持基于ip及协议的acl访问控制列表，确保网络安全。1.1.1.1.22 带宽分配及流量控制tsc pt360

27、6d tsc pt33系列工业交换机均支持端口流量控制功能。可以对每个端口 在进、出两个方向进行流量控制，最小控制步长为64kbps。根据合肥地铁 2号线综合监控系统的每种业务在其峰值状态时所占用的带宽为每种业务所在的端口做流量限制（进出两个方向做相同设置）。对每种业务所在端口限制了带宽，防止无效数据进入到网络的主干部分，保证业务数据的传输通道。另外，在做流量控制时，为每种业务都留有一定的带宽冗余，防止正常业务在 某个瞬时有超过其峰值带宽时其数据不会被丢弃。1.1.1.1.23 os 保障tsc pt3606d tsc pt33系列 工业交换机支持ieee 802.1p ,提供8个优先级队列，

28、 qos功能可以将优先级较高的业务数据进行优先传输，并且提供了 2种不同形式的优先传输方式： 抢占式与权重式。网络业务优先级的权重配置，是指在网络中发生拥塞时起作用，当网络不发生拥塞时， 业务数据不按照权重转发。在合肥地铁2号线iscs网络系统中选择基于 802.1p协议下的权 重式方式，确保iscs业务数据能在网络拥塞的状态下，可靠传输。1.1.1.1.51 gmp 协议启用igmp即 internet 工作组管理协议（internet group management protocol ） ,igmp 主 要用来解决网络上广播时占用带宽的问题。当网络上的信息要传输给所有工作站时，就发出广播

29、（ broadcast ）信息，交换机会将 广播信息不经过滤地发给所有工作站；但当这些信息只需传输给某一部分工作站时，通常采用组播（multicast ,也称多点广播）的方式，这就要求交换机支持igmp侦听。支持igmp的交换机会识别组播信息并将其转发至相应的组，从而使不需要这些信息的工作站的网络带宽不被浪费。igmp对于提高多媒体传输时的网络性能尤为重要。igmp-snooping组播侦听），提供igmp监视和查询，数据包能够传递给需要它们的多个主机，防止过载，从而解决了网络上广播时占用带宽的问题。在合肥地铁2号线综合监控系统的网络中，为避免网络把各种业务数据广播到各个业务端口，导致网络拥塞

30、，建议在交换机上启用igmp侦听的功能。1.1.1.1.52 广播风暴拟制广播风暴指过多的广播包消耗了大量的网络带宽，导致正常的数据包无法正常在网络中传送，通常指一个广播包引起了多个的响应，而每个响应又引起了多个的响应，就像滚雪球一样，把网络的所有带宽都消耗殆尽。该现象通常是由于网络环路、故障网卡、病毒等引起的。tsc pt3606d tsc pt33系列 工业交换机可以根据网络中广播报文的多少，对广播报文进行拟制，广播风暴抑制六个选项：disable、1/2、1/4、1/8、1/16、1/32。当广播包占据1/2、1/4、1/8、1/16、1/32带宽时，丢弃超过设定带宽的广播报文。disa

31、ble状态对广播报文不抑制。本方案中建议每台设备开启广播风暴拟制功能，给予广播报文1/32带宽。1.1.1.1.53 路由安全处理tsc pt3606d tsc pt33系列 都是三层工业以太网路由交换机，可以实现静态路由、 动态路由（rip、ospf、组播路由协议等、支持bgpv4路由协议。本方案可以根据用户需求的不同在网络中起用相应的协议，实现不同的业务数据传输， 同时并隔离广播域。保证网络的安全性。3.1.4 可扩展性分析为保证合肥地铁2号线综合监控系统的扩展扩容需求，我方所提供工业以太网交换机。 tscpt3606d工业以太网交换机为万兆级核心三层交换机，可以根据网络的扩展方便灵活配置

32、接口，接口模块采用 sfp接口支持热插拔具备很好的扩展性能，并且 tsc pt系列工业交 换机支持多种标准的、开放的通信协议。3.1.4.1 中心机房网络交换机的可扩展性tsc在合肥地铁2号线综合监控系统的中央级系统采用两台工业以太网交换机pt3606d满足合肥地铁2号线中央级交换机的要求。3.1.4.2 车站系统交换机的扩展性本方案充分考虑到合肥地铁 2号线综合监控系统的扩容需求，为保证今后增设新的车站 或车辆段等站点时，不会影响其他业务的正常工作，车站三层工业交换机tsc pt33系列，该产品采用模块化板卡设计，支持丰富的10/100/1000mbps光/电口。当有新站点设备增加入网络中时

33、，网络通信及网络结构均不受影响。3.1.4.3 车辆段交换机的扩展性本方案充分考虑到合肥地铁2号线车辆段综合监控的扩容需求，车辆段选用三层工业以太网交换机tsc pt33系列，该产品在端口设计上采用模块化设计，支持丰富的 10/100/1000mbps光/电口，具有良好的端口扩展性。3.1.4.4 维修管理中心交换机的扩展性本方案充分考虑到合肥地铁2号线停车场综合监控的扩容需求，停车场选用三层工业以太网交换机tsc pt33系列，该产品在端口设计上采用模块化设计，支持丰富的10/100/1000mbps光/电口，具有良好的端口扩展性。3.1.5 可管理性分析tsc系列工业交换机全部支持 snm

34、p1、议，可方便地通过串口、telnet、web网络管理软件进行管理。3.1.5.1 tsc autosniffer网络管理软件tscautosniffer 安全管理软件是卓越公司针对网络管理设计的一款软件，可管理支持snmp协议的所有网络设备，适合于网络管理员和安全管理员的管理工具，操作方便，功能 实用，能够帮助管理员快速了解当前的网络状况，诊断网络故障和减轻网络配置的工作量， 发现网络安全隐患。 同时软件采用开放的框架，具有较好的系统扩展能力，能够扩展多种设备类型和其他管理工具。1、体系架构tscautosniffer 网络管理系统采用多层体系架构，可灵活方便地满足和适应用户多种 网络的不

35、同需要。其服务器层由前端服务器、后端服务器和数据库分离的服务器组件组成， 因而使得该系统具有极大的伸缩性和极高的可靠性。其体系架构示意图如下：中介层与网元设备：通过中介层使用各种协议与被管理的网元设备进行通讯，收集tsc15tsc北京卓越信通电子股份有限公司信息。这里的网元设备具体说是指hub,交换机，桥接器，路由器，网关，工作站，服务器，pc, upg打印机等设备。凡是能够协议进行通讯的设备均可成为autosniffer定义的管理对象节点。数据库：用于存放网管系统相关信息后端服务器：负责处理所有管理服务，如网络设备发现、设备配置、处理告警事件、 采集性能数据等等。前端服务器：负责维护客户端和

36、服务器间的通讯，包括处理客户端的请求，维护其状态更新；视图服务器保持到数据库的只读连接，所以可以及时响应客户端的要求，使得用户快速、直接浏览管理数据。客户端：用户查看，操作系统使用的图形化界面。-tupip. rmiprinniary rcid-wntc cofinktioii fbr viroi 也 commitsread-only connddiun for viewsfailover tcpzip. rm!scconnjaiy read-write eonnccuon for icws & c(mnmitb mulliplc fe / db comp10mlitm体系架构图2、tsc a

37、utosniffer 功能1)拓扑及发现tscautosniffer 采用并行机制，利用 snmp icmp等针对ip网络的设备、端口、接口 以及之间的关系进行自动发现。默认情况下，tscautosniffer 只对已在发现向导中选择的网络执行发现。不过，您可 以通过配置tsc autosniffer 来发现附加网络或子网络以扩展管理范围。(1)添加网络用户可以通过发现向导来指定要发现的网络。也可以随时通过添加网络功能来添加新的 网络，从而扩大管理范围。(2)添加设备用户也可以手动添加在初始发现过程中没被发现的设备。(3)业务视图除了网络视图和架构视图，tscautosniffer还可以创建自

38、定义视图，将你所感兴趣的设备分组并集中管理。在这里，可以为不同设备间添加连线，重排设备，也可以设定背景图 像。同时还可以创建打开其它业务视图的捷径图标。为了一层一层地分析网络，你可以为业务视图创建捷径。这样，当按地理位置对被管对象进行分组时，就可以通过点击捷径从一个视图导航到另一个视图。2)监视网络状况wan1路通常是整个网络中成本最高的投资之一，而且带宽分配管理是相当复杂的。如果超额定购带宽就意味着公司将比实际所需支出更多的带宽费用，而定购不足又可能导致网络拥塞和性能降级。因此，wa由控和路由器监控就变得非常重要。网络管理员需通过保持流通量、承诺信息速率 (committed informa

39、tion rate 、cir)、脉冲串速率与堵塞、应答时 间及丢弃等指标之间的平衡来优化服务的质量。wan5控面临的挑战 优化带宽分配 确保网络高可用性 快速解决wan可题 为将来规划容量 降低wan1路的续生成本tsc17t抑 nkudtsc北京卓越信通电子股份有限公司tesi/o jterrouter iwn(1)优化带宽分配测量带宽利用率和流量tscautosniffer 能通过监控和诊断 wan1路来获得有关流量、利用率和出错率等信息, 从而验证是否符合 sla( service level agreement)。通过呈现准确的流量和利用率信息，tsc autosniffer 能帮助用

40、户优化带宽分配。 通过阈值告警监控链路利用率和流量 识别使用过度和使用不足的链路 当接口开始丢弃数据包时发出告警(2)确保网络高可用性主动监控wan1路t量 trmtlic 0n up噂frrti am 2:08 amd0:1om:d0:34眦m加例 m:时 l:10l:2d虱别l:40 打优加 mtimekk tnltiic fin ups) frgn 12：a am1i 2：obah5 m;即钝 即口： 135 “曲声“and帙2 1q25|ftmtm匚ull ep中.m6:第9 mat: 1x3 jfaflc才陷 自我附叁门泣耻石建魁利用tsc autosniffer 可以创建一个能图形

41、化显示整个 wan的业务视图，tsc autosniffer 能在链路中断时自动发出告警。通过利用阈值告警主动监控网络延时，能尽早识别性能降级，从而避免故障时间。tscautosniffer 的报表功能还能针对您的所有接口提供详细的可用性报表。这些报表 可用来验证是否达到sla的要求。(3)快速解决wan可题理想的路由器性能是保证整个wan性能良好的重要条件。如果网络出现堵塞，tscautosniffer 将显示下列重要的路由器、交换机性能变量以便快速解决所出现的问题： cpu禾1j用率 内存利用率 出错率与丢包率 电压、温度等 缓冲统1t数据(命中、遗漏和失败)(4)识别流量趋势tscaut

42、osniffer 通过识别未能充分利用的链路，可帮助网络管理员每月节省续生成本。借助流量趋势图表和链路利用率报表，网络管理员可以预先规划额外的容量。3) 交换机监控交换机是lan的中枢，它的任何问题都将影响到 lan的大部分用户。配备一个主动的交 换机监控系统有助于及早发现问题并避免潜在的问题。tscautosniffer 的交换机监控功能自动发现网络中的交换机并将它们置于一个专用的 交换机图中，另外，所有交换机端口也将被发现并直观地显示在该图中。利用tscautosniffer的交换机监控能力， 操作人员可以直观地了解交换机端口的状态和可用性。tscautosniffer主动监控交换机端口，

43、并在交换机端口或交换机出现问题时及早通知操作人员。操作人员可以设置tscautosniffer 仅监控重要的端口，这是个非常实用的功能，因为这样可以避免生成许多不必要的警报。tscautosniffer 还允许用户查看生成树的状态，以便了解端口是否阻塞。switch statjsport statusswitch nameswitch typeindicates snmp enabled device,(1)交换机和交换机端口可用性监控利用tsc autosniffer 可以创建一个能图形化显示整个 lan的业务视图。tscautosniffer能在链路中断时自动发出告警。tsc autosn

44、iffer的报表功能还能为您的交换机和交换机端口提供详细的可用性报表,这些报表可用来验证是否达到了sla的要求。fill mil-ft-dmin rfdvrti vwdvrtde-vlce se-at-ch4el ： 1)viw | ur？v 讯际吠 dif qe的it ml时 *po*tlswjdi j订fe+tnmtwe views ft/xgrd42”川5-%wlahai pr4r* 口仙皿口liu-l.皿*u口亚 a! ”理 . u um nub-u n_w ncu dkug部_jw3 hw-a*t1*fa口h皿 rat nn2*t口*心*tu皿口en 口号ns * h_su 口号bu

45、flneis- miens- 1 %- 1般,1g00口- 19乙1附；加- 1田1帅一打町(2)端口流量监控tsc autosniffer能通过监控和诊断交换机端口来获得流量、利用率和出错率等信息，从而验证是否符合sla(service level agreement) 。通过呈现准确的端口流量和利用率信息，tsc autosniffer 能帮助用户发现 lan中的流量最大的端口。 通过阈值告警监控端口利用率和流量 发现并提前预防潜在的广播风暴(broadcast storm)。 识别使用过度和使用不足的端口 当接口开始丢弃数据包时发出告警(3)交换机监控工具tsc autosniffer捆

46、绑了实时的交换机监控工具，如交换机端口映射和stp工具。tsc21t抑 nkudtsc北京卓越信通电子股份有限公司tsc23(4)故障告警tsc autosniffer 的通知机制能在告警出现时通过sms email发出通知。管理员还可以配置 tsc autosniffer在告警出现时自动运行外部程序或自编脚本。nutilicdbcini pitimcnotifications profilea notificationssist nd emaile r-un pifdflrjmtsc autosniffer 支持多种告警机制，能在设备出现故障或降级时警告操作员。操作员可以配置tscautos

47、niffer 在某个设备上的服务或健康状况检查计数高于或低于 一定界限时发出告警。(5)警报处理警报确认-在同时处理多个警报时，tscautosniffer 允许操作员快速标示那些已经 执行操作的警报，正如标示邮件表示已读或未读一样。对于操作人员来说，警报确认是tscautosniffer的一个非常实用的小功能，它将便于追踪新的警报，以及已读和已处理的警报。警报抑制-tsc autosniffer允许操作员抑制来自某个设备的警报，这在个别设备停机进行定期的维护和升级时尤为重要。tscautosniffer 将在指定时间段过后自动开始发送警报。警报逐步升级规则-tsc autosniffer 允

48、许it管理员建立自动警报逐步升级规则。例如，it管理员通过建立逐步升级规则，可以将当前已存在超过1小时的服务器警报生成一个报表。此类报表可以通过email定期发送给it管理员。forever报表autosniffer 提供了全面的性能监控功能，涵盖网络、系统、应用和服务各个方面。并提供 了丰富的报表和图表。uuddm 5lauu1mlanaaaihiuv rrumrlms euuuudisnihmtut 审24 jncld.rfidi-intnm.edmrill jkufflcdiiojiaim扇;twkic1islaml huii wr2.1.5.2 web网络管理软件用户可以通过tsc系列

49、工业交换机的 we歆件进行所有业务配置t抑 nkudtsc北京卓越信通电子股份有限公司s刷xh lnfurrrti!iorid卸ihjt inhoilaeiori jllolit 曲曲 彻后idlh aid 如etjiiiemac属面的甘p address阑必跳小斯心:把网joo邱sjfrvlan name巾现泪。区去也前giaga丽绅当口!jstrsicrhm 士1 i , ijiihrtub jdurij，&盘41ltkilionihik竽*由也coiiiatitraffic clas5?si”降!gvrp|市，二enomng百；三图2-4级tsc系列工业交换机终端网络管理软件主页面2.1

50、.5.3 远程telne市理user hdlnteridnce(c) industrial ethernet switchusername：pny 三 unr-r 卜frane version： 2.1.1图2-5超级tsc系列工业交换机终端网络管理软件主页面2.1.5.4 本地超级终端管理用户可以通过tsc pt系列工业交换机的 cli软件进行所有业务配置in图2-6级tsc系列工业交换机终端网络管理软件主页面4、方案具体说明4.1 合肥地铁2号线综合监控网络系统具体说明在轨道交通综合监控系统中，我们遵循工业网络拓扑冗余环形结构的总体设计原则。在本次合肥地铁2号线综合监控项目网络系统中，采用

51、更为安全可靠的双冗余环形拓扑结构，即：用中央级、车站级别各一台设备组成1个tsc supreme-ring”工业环网，在中央级和各车站级别通过配置 2台冗余的tsc工业级以太网交换机，实现 2个（a、b网）环网设 计，保证综合监控系统主干网络的冗余切换。在中央级或车站级别 2台设备之间，通过配置路由协议（ospf）、虚拟网关（vrrp）等技术，实现中央级或车站级内部网络的冗余。tsc supreme-ring”工业环网协议可以实现小于50ms的链路切换时间，保证了合肥地铁2号线综合监控系统对骨干网络自愈时间的要求。具体网络结构图如下：tsc#tsc北京卓越信通电子股份有限公司级在k护品统加h卜

52、生光料总:坏以就h图4-1合肥地铁2号线网络规划图4.1.1 网络系统链路冗余化设计：4.1.1.1 supreme-ring 环网冗余协议supreme-ring 协议是tsc公司在工业以太网使用的冗余机制。supreme-ring 协议在原理上定义了一种数据包，称为 hello 包，又称为 wd包（watch dog packets ）。交换 机之间用hello包通信，在主交换机上动态选择主链路和备份链路。但是因为从中心桥到 任何网段只有一个路径存在，所以桥回路被消除。在工业冗余环网网络环境里，交换机不会立即开始转发功能，主交换机（local）由手动指定,选择主链路和备份链路建立一个指定路

53、径，由supreme-ring协议自动指定。一个工业冗余环网网络里面只能有一个主交换机（local）。主交换机（local）会定期发送配置信息，这种配置信息将会被所有的从交换机（remote ）发送。一旦网络结构发生变化，网络状态将会重新配置。当指定主交换机（local）之后，在转发数据包之前，所有端口都以阻塞方式启动。运用 supreme-ring 算法，主交换机（local）选择最低cost值的端口作为主链路， 另一条cost 值高的端口作为备份链路。备份链路不转发数据，只接收和处理hello包，处于热备（hotstandby ）状态。从交换机（remote ）没有主链路和备份链路的区别。

54、supreme-ring 协议是一种简洁高效的冗余协议，能够保证环网在链路故障时，在50ms之内恢复网络通信。supreme-ring 的状态：运行supreme-ring协议的交换机上的端口，总是处于下面四个状态中的一个：阻塞：所有端口以阻塞状态启动以防止回路，处于阻塞状态的端口不转发数据帧但可接受hello 包。热备：不转发数据帧，但学习mac地址表，在主链路故障时，在 50ms之内，立刻进入转发状态。转发：可以传送和接受数据数据帧。禁用：通常由于端口故障或交换机配置错误引起。4.1.1.2 supreme-ring环网冗余协议原理介绍网络初始，物理上成环形。有了适当的,冗 余管理器 出心交换开启田匚 国 因国图3-1数据流在逻辑上是链状拓扑，在根节点一端有一段热备份链路tsc31玷il夬方鬟卓越信通冗余 环网的主要不 同是有t国l .由回回四图3-2硬件间传送superme-ring协议数据包，用来相互通知各自的状态给其他设备。：!有了适当的，冗 亲管理器