宁波市数字城管技术规范初稿1114.docx
《宁波市数字城管技术规范初稿1114.docx》由会员分享,可在线阅读,更多相关《宁波市数字城管技术规范初稿1114.docx(14页珍藏版)》请在冰豆网上搜索。
宁波市数字城管技术规范初稿1114
宁波市数字化城市管理系统
技术规范
目录
第一章建设目标3
第二章技术规范设计原则3
第三章网络总体架构4
一、计算机网络4
二、接入范围4
三、总体网络拓扑5
3.1网络拓扑结构5
3.2网络互连接入方式6
3.3网络设备选型要求7
3.4安全设备选型要求8
四、各区数字化城市管理网络建设规范8
五、IP地址规划与VLAN分配规范9
六、路由设计规范11
七、设备命名规范11
八、IPSECVPN部署规范12
九、主机存储与备份系统规范12
十、网络安全规范15
第四章术语18
建设目标
宁波市数字化城市管理系统建设目标是:
通过充分吸取国内最先进的“数字化城市管理”研究与应用成果,以应用计算机网络技术、无线通信技术、“3S”空间信息技术(是以遥感技术(RS)、地理信息系统(GlS)、全球定位系统(GPS)为基础,将RS、GlS、GPS三种独立技术领域中的有关部分与其它高技术领域(如网络技术、通讯技术等)有机地构成一个整体而形成的一项新的综合技术)、行业实体库技术等先进技术手段,实现城市部件和事件管理的数字化、网络化和空间可视化。
建成覆盖全市、具有宁波市特色的系统平台。
充分挖掘、整合、利用宁波市现有城市管理资源和信息化资源,对人员、设备、信息等进行整合,实现政府信息化建设相关资源的共享,避免重复建设,有效节约资源。
创新城市管理模式,再造城市管理流程,结合城市管理工作的实际需求,解决城市管理工作面临的具体难题,系统易于操作、便于维护,具有优化的系统结构和完善的数据库系统,数据更新便捷。
建立一套科学完善的监督评价体系,提高城市管理水平,应用成效显著。
技术规范设计原则
宁波市数字化城市管理系统建设遵循以下原则:
1、系统标准化原则
“数字化城市管理”信息系统建设包括城市部件数据的普查、编码和建库,应用系统软件的开发和实施。
数据库系统、网络结构、安全体系的设计,应尽可能遵循通用的国际或行业标准,符合国家有关标准规范。
没有现行标准可供参考的,在系统建设过程中应逐步建立相关的技术和业务标准,使数字化城市管理信息系统建立在标准化、规范化的业务和技术基础之上,实现区级平台与相关城市管理部件、事件主管部门和责任单位之间互联互通。
2、功能实用性原则
在系统实现过程中,最大限度地满足城市管理业务的需要,坚持实用性原则,结合城市管理工作的实际需求,解决城市管理工作面临的具体难题,要考虑系统操作界面的友好、易于使用、快速响应、便于维护,具有优化的系统结构和完善的数据库系统,数据更新便捷。
3、资源共享原则
在系统软硬件配置、系统开发和数据库设计上充分考虑在全部功能基础上,通过资源共享实现节约投入成本的目标。
城市管理工作涉及到的相关部门和单位较多,充分挖掘、整合、利用现有城市管理资源和信息化资源,包括政务网、公安视频监控等,对人员、设备、信息等进行整合,避免重复建设,有效节约资源。
4、系统安全性原则
通过应用多项现代信息安全技术和安全保障体系,保证数字化城市管理系统的网络安全、应用系统安全和数据安全。
5、可扩展性原则
系统在设计和开发的过程中应具有前瞻性,提供一定的扩展方式,防止由于数据、业务变化等因素造成系统运行的不稳定。
6、易操作和易维护原则
数字化城市管理系统的用户主要为政府部门的非计算机专业人员,因此系统在实现过程中考虑到用户操作层面的易操作和易维护。
网络总体架构
一、计算机网络
计算机网络系统是宁波市数字化城市管理系统的信息化基础建设,其目标是以宁波市电子政务网为龙头,带动宁波市数字化城市管理系统信息化的进程,同时也为城管各级机关部门,下属单位提供一个高素质的信息服务的宽带网络。
宁波市数字化城市管理计算机网络系统主要包括市本级局域网与其它接入网络的互连网络。
二、接入范围
宁波市数字化城市管理网络连接范围:
市本级局域网(核心数据中心与市数字城管办公室)之间的互连;市城管局下属专业部门;各区数字城管办公室,宁波市电子政务外网,内河、桥梁、路灯等视频监控点,公安治安视频监控、道路交通视频监控、信息采集员终端、呼叫中心等网络的接入。
三、总体网络拓扑
3.1网络拓扑结构
计算机网络系统建设是宁波市数字化城市管理系统的重要组成部份。
其主要目的是建设覆盖全市范围的网络系统平台,并为其上的各种支撑平台、应用系统提供网络支持,并保证系统的正确连通,正常运行。
网络与通信系统要求能提供各级节点(包括市数字城管办公室、核心数据中心机房、相关城市管理专业单位等)的数据传输和信息资源共享,使系统用户可以在网络上发布信息,实现跨地域、跨部门协作。
与市电子政务外网互连路由器作为电子政务外网MPLS-VPN的CE设备,以裸光纤连接到市电子政务外网PE设备,通过在PE设备上划分VPN,设置数字化城市管理系统网络平台与相关专业单位的涉及业务网络系统的互访关系,以提高网络联网安全性。
宁波市数字化城市管理计算机网络共分为三层:
核心层、汇聚层、接入层。
宁波市数字化城市管理计算机网络拓扑结构图如下:
数字化城市管理计算机网络拓扑结构图
3.1.1核心层
核心层设备放置于市核心数据中心机房,主要用于满足各应用服务器的千兆接入及其它网络终端接入。
网络核心层配置两台高性能三层核心交换机,以保证核心骨干网络的数据传输和转发。
两台核心交换机之间采用HSRP或VRRP技术互为热备份。
两台核心层交换机之间物理链路通过双千兆光纤进行连接,通过PAGP或LACP技术进行链路捆绑实现核心骨干链路的双倍提升,并实现链路冗余。
3.1.2汇聚层
包括市数字城管办公室的汇聚交换机和各区数字城管办公室汇聚交换机。
用于满足市数字城管办公室以及各区数字城管办公室办公网络的汇聚交换机的高速汇聚接入。
3.1.3接入层
包括市数字城管办公室的接入交换机和各区数字城管办公室的接入交换机,用于实现各级管理中心办公网络终端的接入。
3.2网络互连接入方式
1、市核心数据中心与市数字城管办公室之间的互连
市数字城管办公室与核心数据中心(应用服务器区)通过裸光纤进行互连,互连设备之间部署一台千兆防火墙,配置相应访问策略规则对应用服务器区设备进行安全隔离保护。
该千兆防火墙同时实现市数字城管办公室与市电子政务外网连接的安全保护。
2、与市城管局直属专业部门的接入
该部分包括公用事业监管中心、园林管理局、市政管理处、市容环境卫生管理处、公共交通总公司、园林工程公司等专业部门。
上述单位统一经过市电子政务外网接入到市数字城管办公室。
3、各区数字城管办公室的接入
各区数字城管办公室可视离市核心数据中心机房地理位置的远近选择通过运营商MSTP专线链路(数字化城市管理计算机网络拓扑结构图中以采用MSTP链路为例)或裸光纤方式接入分别到市核心数据中心机房的两台核心交换机上。
4、与宁波电子政务外网互连对接
宁波市政务外网建设深入社区,已经建设了“市—区—街道—社区”四级网络平台,通过市电子政务外网连接相关的专业部门、区相关的具体业务单位、街道、社区。
市数字城管办公室及区数字城管办公室分别与本级电子政务外网互连。
区数字城管办公室通过电子政务外网连接市数字城管办公室的互连链路作为全市城管专网的主用链路,城管专网的专线链路作为备用链路。
当电子政务外网链路发生故障时,区数字城管办公室可通过专线链路访问市数字城管办公室。
宁波市数字化城市管理系统不起单独的Internet外网出口,所有关于Internet的访问统一经过宁波市电子政务外网进行。
市数字城管办公室及区数字城管办公室与本级电子政务外网进行连接时分别各部署一台路由器实现路由选择和网络地址转换等功能;并部署防火墙进行安全保护。
5、与城管(内河等)视频监控平台互连对接
城管视频监控平台采用运营商城域网专线方式通过千兆防火墙连接市核心数据中心机房的核心交换机。
6、与公安、交警视频监控网络互连对接
市数字城管办公室与公安、交警的视频监控网络的对接通过千兆防火墙实现安全隔离。
7、信息采集员终端的接入
信息采集员终端通过无线网络进行汇聚,进而接入到市核心数据中心机房的千兆防火墙上。
8、呼叫中心的接入
呼叫中心通过市核心数据中心机房的千兆防火墙进行接入。
9、移动办公用户接入
未接入宁波市电子政务外网的相关业务单位,或外地出差的领导、移动办公人员等,为保证通信安全,可通过市电子政务网,利用IPSecVPN技术实现安全接入。
若组建IPSecVPN,需各业务单位自己配置用户端的IPSecVPN设备(移动办公用户需安装客户端),可通过防火墙或专门VPN设备来实现。
3.3网络设备选型要求
设备类型
推荐品牌
性能要求
核心交换机
CISCO、H3C
模块化三层核心交换机,交流电源,7插槽;冗余引擎;冗余电源;控制引擎交换容量≧96Gbps,吞吐率≧72Mpps;至少48个以太网10/100/1000Mbps端口;至少6个SFP端口;支持多层QoS。
汇聚交换机
CISCO、H3C
固定配置三层交换机,基本RIP和静态路由可升级到完全动态的IP路由,交换容量≧32Gbps,吞吐率≧38.7Mpps,至少24个以太网10/100Mbps端口;至少4个SFP端口。
接入交换机
CISCO、H3C
固定配置二层接入交换机,交换容量≧8.8Gbps,吞吐率≧6.6Mpps,至少24个10/100M端口,至少2个以太网10/100/1000Mbps端口。
路由器(连政务网)
CISCO、H3C
最少两个以上百兆以太网接口,4个接口卡插槽,每个接口卡插槽可支持HWIC,WIC,VIC,或VWIC模块。
3.4安全设备选型要求
设备类型
推荐品牌
性能要求
千兆防火墙
天融信、中科网威
10/100/1000BASE-TX4,SFPX4,支持>200万并发连接。
百兆防火墙
天融信、中科网威
支持8FE,小包线速,>140万并发连接。
四、各区数字化城市管理网络建设规范
1、区数字城管办公室的接入:
区数字城管办公室以电子政务外网和专线的方式接入到市数字城管办公室。
2、区数字城管办公室通过光纤连接到本级电子政务外网,连接市电子政务外网的路由器设备作为电子政务外网MPLS-VPN的CE设备,并通过在PE设备上根据业务特点划分若干VPN,设置数字化城市管理系统网络平台与相关专业单位的涉及业务网络系统之间的互访关系,以提高网络互连的安全性。
区数字城管办公室通过电子政务外网连接市数字城管办公室的互连链路可作为全市城管专网的主用链路,城管专网的专线链路作为备用链路。
当电子政务外网链路发生故障时,区数字城管办公室可通过专线链路访问市数字城管办公室。
3、为了使城管网络能实现灵活的业务支持,满足业务不断发展带来的变化,使市城管网络具可扩展性,要求各市、县(市、区)的政务外网能够支持MPLSVPN,支持灵活调整不同网络之间横向纵向的访问关系。
4、宁波市各区城管系统的应用服务器通过集中方式统一放置于市核心数据中心机房,各区数字城管办公室系统访问市核心数据机房时需经过防火墙;同时配置访问控制列表对本区网络系统进行逻辑保护。
五、IP地址规划与VLAN分配规范
在整个系统的接入线路、接入方式和接入设备确定后,必须对IP地址的划分进行细致的规划。
IP地址是IP网络中的基本问题之一,涉及网络的连通性、可达性、稳定性、精确性和易管理性,其设计的好坏直接影响着网络性能。
IP地址是整个网络系统运行的基石,IP地址规划不仅应该满足当前的需求,还应该充分的考虑系统将来的扩展性,以满足将来发展的需要。
根据要求宁波市数字化城市管理的网络IP地址规范如下:
1、在整个网络环境中必须保持IP地址的唯一性;
2、使用RFC1918规定的私有地址网段,为了保证网络的扩展性,采用使用172.16.0.0网段(也可纳入整个宁波政务网IP地址规划当中,由宁波市政府信息中心提供分配IP地址)。
另外,如果采用纳入整个宁波市政务网IP地址规划方式,由于市电子政务外网分配给各(局)的合法IP地址数量有限,一般不超过16个地址,所以在接入市政务外网的时候,采用的互联设备必须支持NAT功能,以解决IP地址数量不足的问题。
具体采用何种方式将另行公布。
3、根据业务情况,为连入业务系统的专业单位分配32个IP地址范围大小网段,根据连入系统和业务的区别,各单位内部使用VLSM技术进一步进行细化;
4、为了便于管理,地址分配具有层次性和连续性,即在IP地址规划时考虑利用路由汇总技术,减少路由波动,使得某各局部的变动不影响整个网络的其它部分,增加网络的稳定性,同时由于路由汇总技术能够缩减路由表项数,所以还能够提高路由器的处理效率;
5、使用VLSM技术,在划分IP地址时应该尽可能的减少IP地址浪费:
6、设备互联地址使用30位子网掩码(255.255.255.252),以节约IP地址资源;
7、网络设备管理接口使用32位子网掩码(255.255.255.255);
8、支持IPv6,宁波市数字化城市管理系统涉及的三层设备提供了对IPv6协议的支持。
虽然目前多数网络应用仍建立在IPv4协议地址的基础上,IPv6的应用较少,从地址资源扩展的角度考虑IPv6在未来将是必然趋势。
根据以上原则,宁波市级平台数字城管系统网络的IP地址分配如下表:
各区级平台的数字城管系统网络IP地址段分配为172.17.0.0-172.22.0.0,如海曙为172.17.0.0、江东区为172.18.0.0。
详细子网划分方法可参照市平台。
IP地址用户
IP地址网段分配
VLAN号
设备互联、设备管理管理网段
172.16.0.0~172.16.1.255
待定
核心业务服务器区网段
172.16.2.0~172.16.2.255
VLAN2
CA等安全服务器网段
172.16.3.0~172.16.3.255
VLAN3
运行维护服务器等网段
172.16.4.0~172.16.4.255
VLAN4
监督中心座席网段(呼叫中心座席除外)
172.16.10.0~172.16.10.255
VLAN10
指挥中心座席网段
172.16.11.0~172.16.11.255
VLAN11
呼叫中心座席网段
172.16.12.0~172.16.12.255
VLAN12
领导办公网段
172.16.13.0~172.16.13.255
VLAN13
城管局接入地址分配网段
172.16.14.0~172.16.14.255
VLAN14
城管局下属业务单位接入地址分配网段
172.16.15.0~172.16.15.255
VLAN15
城管视频监控系统连接网段
172.16.20.0~172.16.20.255
VLAN20
公安视频监控系统连接网段
172.16.21.0~172.16.21.255
VLAN21
信息采集员终端接入地址分配网段
172.16.22.0~172.16.22.255
VLAN22
IPSECVPN接入地址分配
172.16.25.0~172.16.30.255
待定
相关专业单位接入地址分配网段
172.16.30.0~172.16.50.255
待定
剩余网段
其他未分配地址段
待定
六、路由设计规范
鉴于目前宁波市数字化城市管理系统网络平台呈星形结构,不存在冗余链路和迂回路由,在这种网络结构下,全网使用静态路由配置可以最大化减少路由设备的负载,降低在网络链路上的消耗,减少路由收敛和波动对全网的影响。
随着以后城管接入网络增多,结构复杂程度变大时,可考虑采用收敛速度更快,性能更优的OSPF协议进行设计。
七、设备命名规范
了保证以后的管理方便,设备命名需有一定的规范性,采用以下命名方法:
AABB_CCDD_X_YYYY_Z。
AABB表示本设备,采用地名(全拼首字母)加单位名简称(全拼首字母)的命名方式;CCDD表示上联设备,采用地名(全拼首字母)加单位名简称(全拼首字母)的命名方式;X表示核心局域网设备(L)或核心广域网设备(W);YYYY表示设备型号,如OSR7609交换机则使用Cisco7609;Z代表数量,第一台为1,第二台为2。
例如:
宁波市数字城管办公室连接海曙区数字城管办公室的7609路由器,命名为NBSZCGBGS_HSSZCGBGS_X_Cisco7609_1。
为了保证以后的管理方便,设备连接端口命名需有一定的规范性,采用以下命名方法:
LOCAL_NAME_PORT-to-REMOTE_NAME_PORT。
LOCAL_NAME_PORT表示本端设备的设备名称(根据设备命名规则规划);REMOTE_NAME_PORT表示对端设备和本端设备连接的端口。
例如:
宁波市数字城管办公室7609路由器G3/1口连接对端海曙区数字城管办公室4507交换机GE1/1口,命名为:
NBSZCGBGS_X_Cisco7609_1_G3/1-to-HSSZCGBGS_L_Cisco4507_G1/1。
八、IPSECVPN部署规范
8.1IPSECVPN部署原则
未接入宁波市电子政务外网的相关专业单位,或外地出差的领导、移动办公人员等,为保证通信安全,可通过市电子政务网,利用IPSecVPN技术实现安全接入。
若组建IPSecVPN,需各业务单位自己配置用户端的IPSecVPN设备(移动办公用户需安装客户端),可通过防火墙或专门VPN设备来实现。
8.2IPSECVPN地址部署规范
IPSecVPN所使用的IP地址参照本技术规范第五章的IP地址分配原则和IP地址编码范围制订。
加密隧道建立起来后,可以在加密隧道内使用各自的私有IP地址。
九、主机存储与备份系统规范
主机存储与备份系统是数字化城市管理信息系统的数据处理、运算中心。
系统上重要的服务器如数据库服务器、应用服务器、视频服务器等都在该子网中,核心数据子网直接汇聚到核心交换机上。
宁波市数字化城市管理系统服务器采用集中部署方式统一部署在市核心数据中心机房。
整块系统由市平台统一建设部署,各区数字城管办公室不再各自建设。
9.1核心数据子网
9.1.1业务服务器的功能要求
服务器是核心数据子网中的重要设备,其中从功能上分包括:
数据库服务器、应用服务器、数据交换服务器、视频服务器、备份与防病毒服务器、城管通服务器、CA服务器、运行维护服务器等。
核心数字子网系统结构图如下:
各类服务器的功能要求如下:
名称
业务功能描述
数据库服务器
数据库服务器是本次项目的核心服务器,包含了所有的应用数据。
应用服务器
安装数字化城管的核心软件,所有的客户均需要访问应用服务器。
GIS服务器
提供对地理空间数据的显示、操作和分析。
数据交换服务器
安装了数字化城管的数据交换软件,实现与城管网络成员单位之间的数据共享与交换,并实现与城市管理各相关部门现有系统的协同工作。
视频服务器
控制监控摄像头的工作,同时也用来存储采集到的视频数据。
备份/防病毒服务器
部署防病毒软件控制端和部署备份软件,负责非SAN环境服务器的LAN方式备份。
城管通服务器
城管通与数据库的接口服务器,安装有无线数据采集系统。
本次项目的无线应用基本都是基于该服务器的。
CA服务器
用于部署CA证书系统。
Web服务器
提供数字市城管中心网站发布平台。
日志服务器
保存防火墙、IDS、漏洞扫描、安全审记的日志信息。
短信网关服务器
提供短信网关服务。
运行维护服务器
部署入侵检测系统、安全审计系统、漏洞扫描系统的客户端,并且还作为防火墙等安全设备的日志服务器。
文件(打印)服务器
提供日常办公文件(打印)服务。
联网部门交换前置机
与其它专业部门或责任单位数据交换前置设备
9.1SAN光纤存储子网
SAN光纤存储子网是宁波市数字化城市管理系统数据存储的中心,该网络独立于城管业务数据网络,是“服务器之后的网络”,该子网运行SAN光纤存储技术为宁波市数字化城市管理系统服务器提供统一、大容量、高速的数据存储以及备份服务。
系统由光纤交换机、全光纤磁盘阵列、磁带库组成。
所有服务器均安装有光纤接口,并通过光纤线缆转接至光纤交换机上。
考虑到数据库和城管业务系统都需要保证实时的可靠性,在服务器上部署两块HBA卡,并部署两台光纤交换机。
服务器分别连接到两台光纤交换机。
组成全网状的存储网络,保证在任意HBA卡、光纤交换机或光纤跳线发生故障时,不会影响到系统的数据访问,避免出现单点故障。
全光纤通道的光纤磁盘阵列也连接到光纤交换机,由磁盘阵列来完成数据的存储,至此所有数据库服务器都与光纤磁盘阵列建立了通信链路,配合存储管理软件,完成对存储系统运作的高扩展性和高可用性。
磁带库也连接到光纤交换机,通过在备份服务器上配置相应备份软件,实现磁带库实现数据的自动备份。
十、网络安全规范
网络安全的含义很广,本章主要就骨干、汇聚及接入层的安全运行方面做了相应要求,其他可参照国家相关标准。
9.1网络设备安全规范
网络设备的安全规范主要包括两部分:
一是严格控制对网络设备的访问,对于本地控制口登录和远程登录(Telnet或SSH方式),可能的情况下,尽量选择SSH方式进行登录。
但无论选用哪种登录方式,对访问用户都必须进行认证和授权管理。
二是严格管理网络设备的日常运行,包括如下:
完整备份网络设备的系统软件;定期备份网络设备的配置文件;及时升级网络设备的系统软件,安装软件补丁;定期保存网络设备的安全访问和维护记录日志。
9.2网络协议安全规范
在网络中运行着很多网络协议,包括路由协议和各种为上层应用服务的局域网、广域网协议等。
对于网络运行所必需的协议,如路由协议等,应保护正常运行,必要时系统必须采用一些加密技术或邻机校验方法,以完成认证,防止非法路由器及伪造路由信息的加入。
路由器上也存在着一些默认开启的TCP/IP服务,而有些服务对网络运行是无关紧要的,应严格限制或关闭。
例如,将骨干路由器的以下协议或服务关闭:
X.25PAD服务;小堆UDP包服务(防止UDPflood攻击);小堆TCP包服务(防止TCPflood攻击);BOOTP服务;IP源路由(防止源路由欺骗攻击);IP重定向;代理ARP;IP定向广播(防止IP地址欺骗攻击);IP不可达消息;不必要的TCP/UDP端口号(如445,6667等,防止蠕虫病毒攻击)。
对于能够提高网络安全的一些服务应予开启。
例如将路由器的以下协议或功能打开:
单播反向路径检查(防止IP地址欺骗攻击);日志服务;用户级密码加密;特权级密码加密。
9.2.1网络协议安全规范
全市城管网络由于目前呈星型结构,结构的层次性较为简单,因此建议采用静态协议。
倘若日后随着接入网络的增多,网络复杂性的变大等原因,静态协议无法满足网络性能需求时,可考虑使用的收敛速度以及性能更优的OSPF路由协议。
为防止OPSF路由欺骗,确保路由的合法性和安全性,OSPF骨干区域Area0必须使用MD5认证,如果划分了子区域,应确保各子区域与OSPF骨干路由器之间至少采用明文认证。
9.2.2网管SNMP安全规范
SNMP是另一种访问网络设备的方式。
使用SNMP,可以收集网络设备的状态,配置管理网络设备。
城管网路由器必须支持SNMPv2以上的协议,并支
升级会员 