三级接入网扩容改造.docx
《三级接入网扩容改造.docx》由会员分享,可在线阅读,更多相关《三级接入网扩容改造.docx(26页珍藏版)》请在冰豆网上搜索。
三级接入网扩容改造
十一、三级接入网扩容改造
1、系统设计要求
1.1、系统概述
为力求提供一个安全、先进、灵活,高带宽、高可靠性的多业务网络平台。
使得东川区政府指挥中心能够基于这个平台,实现安全高速的数据共享、传输通畅。
建立一个开放的、基于警用标准的网络统一应用平台,实现信息交换和资源共享,增强各部门工作的透明度。
通过统一的网络平台支撑系统各部门的数据、语音和视频业务,逐步实现视频、语音、数据“三网合一”,同时建立完善的信息安全体系和相应的备份系统,运用高科技手段提供高效、迅捷的服务。
1.2、网络现状
东川区公安三级网络经过多年的建设、扩建已经初具规模,办公大楼内部建设了局域网,能够满足目前甚至十几年的网络发展需求。
目前中心采用H3C普通交换机,数据通信通过H3CRT-3680E和昆明市局10M连接,视频会议通过CISCO2611和昆明市局2M连接。
辖区内的各派出所和外联单位通过E1专线/2M和分局联网。
具体联网方式如下表:
序号
单位
带宽
连接方式
备注
1
东川区公安分局
10M+2M
10M数据+2M视频
2
新村所、达贝所、碧谷所、阿旺所、汤丹所、乌龙所、红土地所、拖布卡所、因民所、舍块所、绿茂所、交警大队、消防大队、看守所、戒毒所、汤丹交警中队
各2M
各E1专线
共16个
现有网络拓扑图如下所示:
目前网络主要存在以下问题:
1、现有网络带宽(10M+2M的方式)及核心设备的性能已无法满足业务应用需求。
而且随着平安城市智能监控的建设和应用,出口带宽更加不够;
2、部分单位,如分局大楼指挥中心、交警、新村所、达贝所发展迅速,人员编制多,电脑多,接入带宽严重不足。
2、系统功能及技术要求
2.1、以智能监控系统的应用需求为基础,提供一个安全、先进、灵活,高带宽、高可靠性的多业务网络平台。
1、利用宽带IP技术,实现网络对视频、语音和多媒体业务的良好支持。
视频、语音和多媒体业务是一种对业务的实时性,安全性和可靠性都有严格要求的特殊业务。
因此在网络的设计和建设上要求能够满足对视频、语音和多媒体业务的支持,针对不同应用提供不同的服务质量。
2、充分利用现有的网络平台,增加必要的网络设备,保证网络运行可靠。
在现有网络设备的基础上,增加设备、改造线路、预留接口,以满足网络规模的扩展。
基于以上设计思路,着重针对以下几点来做规划设计:
⑴、提高出口带宽:
采用2×34M接入昆明市公安局,作负载均衡配置;政府指挥中心控制大厅大楼增加核心交换机和楼层接入交换机。
⑵、提高四个单位带宽:
政府指挥中心控制大厅、交通管控分中心、城区新村派出所、达贝派出所,采用千兆联网;
⑶、其余派出所维持E1专线/2M不变。
附:
三级接入网网络拓朴图
2.2、三级网改建
为提高网络带宽,将现有的10M+2M模式改造为2×34M接入市公安局。
相应增加路由器和扩展模块配置,实现三级网带宽扩容和链路备份。
核心设备作为承载多个局域网的业务、数据平台,实现多个局域网(城域网)之间的高速、可靠互联,承载着各种业务、数据的处理、传输。
主要由中心核心路由器、核心交换机、分支机构的接入路由器、互联链路等组成。
在设计时参考以下步骤进行:
1、依据需求确定网络拓扑结构,进行网络架构设计。
根据用户的业务流向、用户的组织架构、业务开展情况以及对网络的可靠性、安全性的要求选择合适的网络拓扑结构、确定网络层次进行分层设计。
2、依据用户的业务类型、流量大小确定用户链路类型、链路带宽。
根据用户开展的业务类型、所需带宽及综合链路成本考虑选择合理的链路。
通常有两种广域网连接方式:
交换式连接和专线连接。
3、根据设计输出选择合适的设备
网络设备选择的依据是需求分析获得的各种网络的数据,包括带宽、性能、特殊应用等。
网络设备的选择需要考虑以下几个方面:
Ø设备档次
根据网络的拓扑对各层设备作先期的选型估计,依据设备在网络中所处的位置选择相应的产品。
确定设备档次的是性能要求,其次是接口类型、各层设备接口数、可靠性要求。
Ø接口类型、数量
具体的接口类型取决于用户选用的线路的选择。
而线路的选择则取决于网络数据流量的估算、当地各种线路的性价比。
Ø可靠性要求
需要主控冗余备份、电源冗余备份、接口备份、设备间备份等。
Ø特殊应用数据采集
有语音的需求,各级语音接口的CALL数峰值。
专线方式:
SDH透明电路。
新增2台多业务路由器,配置34ME3透明SDH电路接口,作为骨干接入设备,构建三级网节点的高速接入和可靠性保障骨干设备;三级网节点拆除目前到二级网节点的10M复用链路。
将三级网节点目前使用的路由器专门用作语音网关。
以双核心、双链路、全冗余互连的组网结构来实现系统对业务高可靠性需求。
具体连接方式为:
两台多业务路由器之间采用千兆链路汇聚互相联接;采用E3链路分别接入上级网络。
两台骨干设备之间起用VRRP+MSTP,互为主备用,同时负荷分担。
当其中一台设备或一条链路Down掉,该设备或链路上承载的流量将无缝地切换到另一台设备或另一条链路上,保证系统可靠运行。
核心路由器和市局网络中的路由器之间运行OSPF路由协议,以确保与上级单位网络的全时互通。
如上图所示,采用2台路由器,分别配置E3模块,分别和昆明市局联接;采用1台28P-EI三层交换机作为整个东川区公安分局网络的核心交换机,联接东川区公安分局办公大楼局域网、政府指挥中心控制大厅、交通管控分中心、城区新村所和达贝所。
其余辖区内分散各地的派出所及外联单位由两台核心路由器分担。
2.3、接入网扩容
接入网信息网建设的难点和关键点,目前东川区已实现全部派出所的E1专线接入,在本次网络改造中沿用以前的设备、链路实现互联,以节省经费。
根据东川区现有网络现状,充分考虑各派出所、外联单位实际使用要求、人员编制、现有电脑数、业务需求流量等情况,特作以下改建:
序号
单位
现在联接方式及带宽
改建联接方
式及带宽
备注
1
政府指挥中心控制大厅
双绞线
1000M裸纤
重要单位
2
交通管控分中心
未接入
1000M裸纤
重要单位
3
城区新村派出所
E1专线2M
1000M裸纤
重要单位
4
城区达贝派出所
E1专线2M
1000M裸纤
重要单位
5
碧谷所、阿旺所、汤丹所、乌龙所、法者所、拖布卡所、因民所、舍块所、绿茂所、消防大队、看守所、戒毒所
E1专线2M
-
计12个所不再改造
模型一:
光纤1000M(光纤收发器)
采用此模型的单位为:
政府指挥中心控制大厅、交通管控分中心两个单位。
如图所示,这种方式政府指挥中心大厅、交通管控分中心各配置两台二层交换机,通过光纤跳线(分局大楼指挥中心)或裸纤(交警指挥中心)采用千兆单模光纤收发器和分局EI核心交换机连接,两台26T交换机可通过千兆电口连接。
核心交换机上可配置多个Vlan三层接口地址,作为政府指挥中心控制大厅和交通管控分中心的网关,而二层交换机上配置管理地址、划分Vlan、TELNET等。
(采用光纤收发器的原因是:
需要在路线上增加防火墙设备)
模型二:
裸纤1000M(光纤模块直连)
采用此模型的单位为:
新村所、达贝所两个。
如图所示,这种方式所端采用二层交换机,配置单模光纤模块。
分局连接到核心交换机光口。
所端采用二层可管理交换机,配置管理地址、TELNET、划分Vlan;核心交换机上配置相应Vlan三层接口地址,作为派出所端网关。
模型三:
E1专线2M(E1转V35路由器方式)
采用此模型的单位为:
其余12个所,已经建成。
如图所示,这种方式派出所端和分局均需要路由器,分局连接到核心路由器。
两台核心路由器分别配置8端口和4端口串口模块,每台分担6个所,保障物理线路上就实现负载均衡,分散网络故障点。
所端路由器配置所端网关地址、TELNET。
这种联网方式层次分明,便于管理。
3、主要设备性能指标
3.1核心路由器
型号:
华为AR46-40路由器
AR46系列路由器可以提供RPU-350Kpps(固定2FE接口)和ERPU-1000Kpps(固定3GE接口)两种引擎;根据网络规模的不同,AR46凭借其高弹性、高性能可以应用于运营商边缘路由器,大型行业网汇聚层路由器、也可在企业网中作为核心路由器。
产品特点
Ø高效的双总线结构
AR46系列路由器采用了独特的的双总线体系结构,两条独立的PCI总线以及高性能的CPU,配合自主知识产权的IPTurboEngineTM技术,极大的提高了系统转发性能。
本着贴近客户的需求,继AR46提供双总线、单内核引擎的350Kpps转发能力之后,为了进一步提升宽带业务性能而推出双总线、双内核引擎的1000Kpps转发能力的引擎,转发性能远远高于业界同等档次的产品。
AR46系列路由器的高性能是业务的高性能,在处理各种业务时转发性能不会出现明显下降,可以不断提升运营商边缘、大型行业及企业中心应用环境的业务性能。
Ø关键器件冗余设计
AR46系列路由器充分考虑网络应用对高可靠性的要求,融入了高端路由器的技术,设备关键部件如总线、电源、散热系统、BootRom等都采用冗余设计,采用互为冗余备份的双电源(1+1备份)模块,支持交、直流输入。
Ø关键模块热插拔
AR46系列路由器所有接口板、电源、风扇都支持热插拔功能,充分满足网络维护、升级、优化的需求。
Ø软件在线补丁
AR46系列路由器提供独特的软件在线热补丁功能,保证软件优化时业务不会中断。
Ø丰富的网络冗余
AR46系列路由器具备丰富的链路备份、链路捆绑、路由备份、多映像和多配置启动、拨号备份、VRRP等功能,保证网络节点及全网的可靠性。
通过多方面的保证,AR46系列路由器整机可实现7*24小时的不间断运行。
Ø易维护、人性化设计
AR46系列路由器充分考虑了DFT(designfortestability可测性设计)设计,并且在此基础上,提供了独特的自动故障定位分析工具。
通过运行在PC机上的故障诊断软件,能够以清晰的思路帮助网络工程师快速准确定位系统故障;并提供了系统状态和告警信息查询,以及丰富的诊断测试手段。
同时,华为公司提供功能强大的网管系统(DMS)以及精美直观的业务管理系统(VPNManager、CAMS),帮助网络管理员实现对全网业务的高效管理维护。
Ø突出的集成安全性
AR46系列路由器产品采用全新的集成安全设计模式,将安全设计渗透到每个模块、每个协议、每个业务流程中,为实现企业网络的安全防护带来有效的保障。
AR46系列路由器全面集成了CA、包过滤防火墙、动态防火墙、ISPKeeperDOS防御系统、NAT、用户认证、安全日志、设备安全、250Mbps以上硬件VPN加密,业务隔离(VR)等安全特性,在时间、空间、网络层次等三个纬度为网络用户量身定制安全策略。
AR46系列路由器可担当DVPNServer。
华为公司在业界首先提出动态VPN(DVPN)理念,总部及分支机构均可采用动态IP地址或私有IP地址接入,VPN设备之间自动创建隧道、维护隧道。
DVPN技术可以使全网互联只需要建立N-1条通道,增加一个VPN节点只要增加一条维护链路,具备良好的扩容性。
相比传统IPVPN组网,不仅维护成本低,同时网络应用更加灵活,动态VPN提供完善的认证和加密特性,完全保证用户的网络安全。
Ø集成全能、随机应变
AR46系列路由器同时具备华为公司高端和中低端路由器全面的业务能力,包括完善的路由、MPLS、VPN、组播、语音、安全、QOS、IPv6、宽带接入、三网合一等业务能力;所有业务根据实际环境均进行了优化设计。
核心网络操作系统的VRP软件平台具有超过多年的商用经验,VRP提供的业务不是简单的叠加,而是高效有机地融合。
AR46系列路由器融合了路由器、FW、入侵防御、VPN网关、语音网关、宽带接入网关、二层交换机等设备的功能,充分适应网络集成一体化的组网要求,并能根据应用环境的特点灵活的实现多种设备功能与业务的组合。
技术参数
内存
RPU引擎:
256M(缺省),最大512M
ERPU引擎:
512M(缺省),最大1024M
FLASH
RPU引擎:
32M(缺省)
ERPU引擎:
64M(缺省)主机自带FLASH扩展槽可扩展到256M
BOOTROOM
1024K
NVRAM
512K
固定接口
RPU引擎:
2个10/100M以太网口;1个AUX口;1个配置口
ERPU引擎:
3个GECombo口(光口和电口二选一)或3个GE电口;
包转发率
RPU引擎:
350Kpps
烛光/文件
ERPU引擎:
1000Kpps
插槽数量
4
功能模块
1/2端口十/百兆以太网电接口模块(RJ45)
1端口百兆单模光接口以太网模块(1310nm,15km,SC)
1端口百兆多模光接口以太网模块(1310nm,2km,SC)
1/2端口1000MBase-T电口(RJ45)模块
1/2端口1000M以太网光接口模块
8端口10/100M以太网二层交换接口模块
16端口10/100M以太网二层交换接口模块
光模块-SFP千兆多模模块-(850nm,0.55km,LC)
光模块-SFP千兆单模模块-(1310nm,10km,LC)
功能模块-SFP千兆单模中距模块-(1310nm,40km,LC)
功能模块-SFP千兆单模中距模块-(1550nm,40km,LC)
功能模块-SFP千兆单模长距模块-(1550nm,70km,LC)
8/16端口增强型异步串口接口模块(RJ45)
2/4/8端口增强型同/异步接口模块
1/2/4端口E1/CE1/PRI接口模块
1/2/4路T1/CT1/PRI接口模块
1/2/4端口非通道化E1接口模块
1端口E1语音模块
8端口E1接口模块(75ohm)
8端口E1接口模块(120ohm)
输入电压
AC:
100V~240V(+/-10%)50/60Hz
DC:
-48V~-60V(+/-20%)
外型尺寸(W╳D╳H)
436.2mm×420mm×130.5mm
重量
17.5kg
最大功率
240W
安规认证
具有CE、UL、TUV等多国承认安规认证
工作环境温度
0~40℃
环境相对湿度
5~90%(无凝结)
3.2、核心交换机:
型号:
华为S3928P-EI以太网交换机
华为S3900系列智能弹性以太网交换机是华为公司为设计和构建高弹性、高智能网络需求而推出的新一代以太网交换机产品。
系统采用华为公司创新的IRF(IntelligentResilientFramework,智能弹性架构)技术,将多台分散的设备组成统一的交换矩阵,非常适合作为关注扩展性、可靠性、安全性和易管理性的办公网、业务网和驻地网的汇聚和接入层交换机。
产品特点
基于VLAN的业务控制
S3900提供基于VLAN的批量ACL下发,能支持对报文的过滤、优先级设置,保障高优先级业务和用户的安全需求。
S3900支持QinQ,可以将用户私网VLAN标签封装在公网VLAN标签中,使报文带着两层VLANTag穿越运营商的骨干网络。
S3900支持灵活QinQ,能针对不同的业务报文打不同外层VLAN标签,便于业务分离。
高可靠性
S3900不仅支持STP/RSTP/MSTP生成树协议,还提供SmartLink技术,能实现主备链路毫秒级倒换,解决了电信级业务接入可靠性问题。
S3900采用IRF技术组网后,能够在整个堆叠组内实现控制平面和数据平面所有信息的冗余备份,极大地增强了设备和网络的可靠性,消除了单点故障,避免了业务中断。
S3900支持VRRP虚拟路由冗余协议,能与其他三层交换机构建VRRP备份组。
S3900能配置多条等价路由,当主上行路由发生故障时自动切换到下一条备份路由,实现上行路由的多级备份。
S3900支持交流/直流双输入,设备既可以采用交流电源输入,也可以直流电源输入,二者之间热备份。
丰富业务支撑能力
S3900支持华为创新的IRF(IntelligentResilientFramework)技术,能够将多台设备连接起来组成一个联合设备(Fabric),并将这些设备看作单一设备进行管理和使用,降低了管理成本,同时实现按需购买、平滑扩容。
S3900(PWR型号)支持PoE(PowerOverEthernet),即可通过双绞线向远端下挂PD设备(如IPPhone、WLANAP、Security、BluetoothAP等)提供-48V直流电源,实现对下挂PD设备远端供电。
S3900通过支持POE和VoiceVLAN技术,提供完美的数据和语音融合解决方案。
S3900支持DHCPSnooping、DHCPSnoopingTrust、DHCPoption82,满足IPTV业务开展的需要。
S3900支持单纤双向模块,能实现单根光纤双向传输,解决光纤资源不足问题。
完备的安全控制策略
S3900支持集中式MAC地址认证和802.1x认证。
在用户接入网络时完成必要的身份认证,还可以通过灵活的MAC、IP、PORT任意组合绑定,有效的防止非法用户访问网络。
支持DUD(DisconnectUnauthorizedDevice)认证,通过MAC地址学习数目限制和MAC地址与端口绑定实现。
支持用户分级管理和口令保护,支持MAC地址学习数目限制、MAC地址与端口绑定、端口隔离、MAC地址黑洞;支持防止DoS攻击功能。
S3900支持HWTACACS特性,可以提供安全的信息保障和强大的认证功能。
丰富的QOS策略
S3900支持基于源MAC地址、目的MAC地址、源IP地址、目的IP地址、端口、协议的L2~L7复杂流分类。
提供灵活的队列调度算法,可以同时基于端口和队列进行设置,支持SP、WRR、WFQ、SP+WRR、SP+WFQ五种模式;支持8个优先级队列,2个丢弃优先级;支持WRED拥塞避免算法。
支持CAR功能,可以实现基于端口和基于流的速率限制,限制的粒度可以精确至64Kbps,为网络带宽的精细化管理提供了手段。
多样的管理方式
S3900支持NQA,能探测DHCP、HTTP、SNMP服务是否可用以及服务的响应时间,检测网络的时延抖动,使运营商对网络现状清晰掌握。
S3900支持RSPAN远程端口镜像,突破传统镜像端口和源镜像端口必需同设备的限制;支持VCT虚电路检测,5s内报告链路故障情况;支持DLDP单向链路检测功能,能自动发现单通故障。
S3900支持SNMPV1/V2/V3,可支持iManager®网管系统。
支持CLI命令行,Web网管,TELNET,HGMP集群管理,使设备管理更方便。
通过各种开放的标准MIB和扩展MIB的支持可以提供完善的基于SNMP的第三方管理能力。
技术参数
线速二/三层交换
所有端口支持线速转发
交换容量为32Gbit/s
包转发率9.6Mpps(S3928)/13.2Mpps(S3952)
VLAN
支持4K个符合IEEE802.1Q标准的VLAN
支持基于端口的VLAN
支持QinQ
支持灵活QinQ
VoiceVLAN
支持识别进入端口的流的MAC地址,如果是IP电话流,就会将该端口加入相应的VoiceVLAN
广播风暴抑制
支持基于端口速率百分比的广播风暴抑制,同时支持基于pps的广播风暴抑制
制
端口环回检测
支持端口收、发数据线被短路的检测与告警
IP路由
静态路由、RIPv1/2
OSPF、ECMP
组播
支持组播VLAN;
支持基于端口复制;
支持IGMPsnooping、Filter、Fastleave;
IGMPV1/V2、PIM-SM、PIM-DM
可靠性
支持STP/RSTP/MSTP、SmartLink
端口汇聚
支持通过LACP进行动态端口汇聚,
支持跨设备汇聚
支持进行通过命令行手动进行端口汇聚
支持每个汇聚组最大端口数8FE或者4GE
最多支持14组端口汇聚组
Jumboframe
支持
镜像
支持多对一的端口镜像,即多个源端口,一个镜像端口
支持流镜像
MAC地址表
地址自学习
IEEE802.1D标准
最多支持16K个MAC地址
支持静态MAC地址1K
流控
支持IEEE802.3x流控(全双工)
支持背压式流控(半双工)
IRF简单堆叠
支持,最多8台
IRF
支持IRF8台
加载与升级
支持XModem协议实现加载升级
支持FTP、TFTP加载升级
管理
支持命令行接口(CLI)配置
支持Telnet远程配置
支持通过Console口配置
支持SNMP
支持RMON1,2,3,9组MIB
支持华为iManager®N2000DMS网管系统
支持WEB网管
支持系统日志、分级告警
维护
支持PING、Tracert
支持NQA
支持VCT(VirtualCableTest)
支持单链路检测协议(DLDP)
支持RSPAN远程端口镜像
QoS/ACL
支持对端口接收报文的速率和发送报文的速率进行限制
支持报文重定向
支持CAR(CommittedAccessRate)功能,流量限速的粒度为:
64Kbit/s
支持8个端口输出队列
支持灵活的队列调度算法,可以同时基于端口和队列进行设置,支持SP(StrictPriority)、WRR(WeightedRoundRobin)、WFQ、SP+WFQ、
SP+WRR五种模式
支持报文的802.1p和DSCP优先级重新标记
支持L2(Layer2)~L4(Layer4)包过滤功能,提供基于源MAC地址、目的MAC地址、源IP地址、目的IP地址、端口、协议、VLAN、VLAN范围、MAC地址范围和非法帧过滤
安全特性
用户分级管理和口令保护
支持IEEE802.1X认证
支持AAA、Radius、HWTACACS认证
支持MAC地址学习数目限制
支持MAC地址与端口绑定
支持DUD(DisconnectUnauthorisedDevice)认证,通过MAC地址学习数目限制和MAC地址与端口绑定实现
支持SSH
支持防止DoS攻击功能
支持端口隔离
支持MAC地址黑洞
支持集中式MAC地址认证
业务端口
24个10/100M电口和4个千兆SFP口
外形尺寸
(W×D×H)
440mm×260mm×43.6mm
440mm×420mm×43.6mm(S3928PWR-EI、S3952PWR-EI)
重量
3.5Kg
5.8Kg
〔S3928PWR-EI〕
输入电压
S3900-SI系列以太网交换机只支持交流电源输入,S3900-EI系列以太网交换机支持交流电源输入和直流电源输入。
AC:
额定电压范围:
100~240Va.c.;50/60Hz
最大电压范围:
90~264Va.c.;50/60Hz
DC:
额定电压范围:
-48~-60Vd.c.
最大电压范围:
-36~-72Vd.c.
POE供电时输入电压范围:
-52~-55Vd.c.
功耗(满负荷时)
40W
工作环境温度
工作温度:
0~45℃;储存温度:
-40~70℃
工作环境相对湿度
10%~90%(无凝结)
升级会员 