马鞍山市公安三四级网改造及光纤设备租用doc.docx
《马鞍山市公安三四级网改造及光纤设备租用doc.docx》由会员分享,可在线阅读,更多相关《马鞍山市公安三四级网改造及光纤设备租用doc.docx(24页珍藏版)》请在冰豆网上搜索。
马鞍山市公安三四级网改造及光纤设备租用doc
文档来源为:
从网络收集整理.word版本可编辑.欢迎下载支持.
马鞍山市公安三、四级网改造及光纤设备租用采购需求
(仅供参考,具体以采购文件为准)
采购内容及总体要求
一、项目概述
1、项目名称:
马鞍山市公安三、四级网改造及光纤设备租用
2、项目建设方案编制依据
省公安厅《关于征求<全省公安科技信息化2014-2016年建设规划(征求意见稿)>意见的通知》(皖公科信〔2014〕195号),《关于印发<安徽公安三、四级网优化升级指导书>的通知》(皖公科信【2014】139号),《安徽省公安系统市县公安局网络建设规范书》3、项目概况
随着信息化应用的逐步扩展和延伸,马鞍山公安业务流量急剧增
加,对公安网的性能和运维管理要求越来越高。
目前我市公安二级网
已完成升级改造,带宽充裕,满足省到市公安业务发展需求。
但我市
公安三、四级网还存在冗余设备及备份线路不足、部分网络结构不合
理、设备老化等情况,不能完全满足省厅对地市公安网结构的要求,
长远来看,会影响公安信息化后续发展。
为进一步加强公安三、四级
网建设,提升三、四级网性能,根据公安部相关要求及省厅下发的《安
徽省公安系统市县公安局网络建设规范书》并结合我市实际情况,对
我市公安三、四级网进行一次升级改造建设。
二、信息化现状分析
1、软件建设:
见(附件一)
2、硬件建设:
见(附件二)
3、网络建设
网络架构不变,增加三级网接入核心路由和核心交换机,增加四
级网核心和四级网接入交换机。
4、基础环境建设
要求:
通过表格格式(附件三)表述已有基础环境建设情况以及
1
文档来源为:
从网络收集整理.word版本可编辑.欢迎下载支持.
利旧情况。
三、业务建设方案
1、业务流程梳理
2、数据量分析与预测
目前,马鞍山公安三级网整体网络拓扑设计、连接方式比较落后,
接入端基本为单设备、单链路组网,存在严重安全隐患,安全性、可
2
文档来源为:
从网络收集整理.word版本可编辑.欢迎下载支持.
靠性较差,不符合公安部的相关要求。
另外,重要设备的功能划分不明确、不合理,市局的核心交换机既充当地市三级网汇聚核心,又充当市局局域网核心,设备功能重合,既制约整体网络性能,又存在严重网络隐患。
部分四级网设备是非网管设备,无法有效控制和管理,不能满足端到端的网络管理要求。
本次改造,采用的设备应具备适度的先进性,满足未来5年以上
的发展需要,并具有一定的可扩展性,如IPv6、MPLSVPN等。
建设
开放性、平滑升级的网络,尽可能采用开放性的技术标准进行升级改
造,分散投资风险;同时,升级建设过程,充分考虑现网的业务延续
性,避免升级改造过程中带来公安业务的中断。
根据网络功能的差异,
将网络进行合理的分区,建设结构清晰的网络。
业务的长远发展,网
络设计必须充分考虑服务质量的问题,保证同一网络平台上的多种应
用能够正常运行,并能通过QOS技术优先保障重要业务。
根据省公安厅下发的《安徽省公安系统市县公安局网络建设规范书》要求和结合我局实际网络情况进行如附表的设备选型。
3、项目设计方案
3
文档来源为:
从网络收集整理.word版本可编辑.欢迎下载支持.
网络升级总体拓扑图设计
1马鞍山公安三级网升级拓扑图
公安三级网升级改造总体设计包括下列内容:
1、定义清晰网络结构和功能区域。
将市局公安三级网定义为包
括主干网、机关局域网、信息中心核心局域网和城域网四个功能区域。
主干网指市局到区县分局的骨干网;机关局域网指负责本级公安机关内各警种、各部门的公安网接入网络;信息中心核心局域网指为公安
关键业务系统提供承载的重要IT基础设施的接入网络;城域网是指负责同城办公的本级公安机关和驻外单位的公安网接入网络。
2、采用网络高可靠性、冗余性设计。
公安三级网核心、三级网
接入、信息中心局域网核心均采用双设备、双链路冗余组网,实现统
一管理、互备运行、无缝切换。
3、带宽和服务质量保证。
改造后的三级网核心路由器与二级网
接入路由器组成双平面,双平面按数据业务的维度实现流量的负载分担。
4、政法网业务迁移,为保证公安二级网接入安全,减少数据维护带来风险,将市县级政法网业务迁移到三级网核心路由器上。
4
文档来源为:
从网络收集整理.word版本可编辑.欢迎下载支持.
网络总体规划设计
参考省厅下发的《安徽省公安系统市县公安局网络建设规范书》,本次马鞍山公安三级升级改造设计内容如下:
1.新增两台三级网核心路由器通过虚似化技术部署,作为马鞍山
公安的三级网核心路由器,提供市局局域网的双线路接入,提供县、区、直属单位的单或双线路接入。
新增两台市局局域网核心交换机,采用虚拟化技术接入到三级网核心路由下。
2.三级网接入端3个县局、3个分局各新增两台高性能交换机、
以虚拟化或者热备方式组网,以双链路直连到市局三级网核心两台路由器上,实现双设备冗余、双链路热备。
3.本级公安机关和驻外单位如消防、警校等其他直属单位根据组网需要灵活部署一或二台高性能交换机作为城域网接入设备,通过运营商汇聚交换机,以单或双链路直连到三级网核心两台路由器上,实现城域网接入公安网络。
4.优化市局局域网网络结构,市局局域网原有2台万兆核心交换机cisco6506E上行从原二级网接入路由器SR6616,双归属迁移到三级网核心路由器下,下行启用OSPF、端口聚合等高可靠性技术,对局域网用户、数据中心、提供双线路接入热备。
5.路由设计公安二级网动态路由OSPFAREA15,三级网路由设计为OSPFNSSA,三级网与四级网之间设计为静态路由。
6.将原市政法网从原二级网备用SR6616路由器下移到备用三级网核心路由器上,并担当为政法网P、PE设备,建设后政法网由市局统一管理。
公安三级网核心设计
马鞍山公安三级网核心拓扑图:
5
文档来源为:
从网络收集整理.word版本可编辑.欢迎下载支持.
马鞍山公安三级网核心设计拓扑图
三级网核心路由器和二级网的接入路由器一样,起到一个承上
启下的关键作用,既要与市局的局域网核心接入区相连,也要与下面区县的三级网接入设备相连,所以它的业务处理能力和稳定性等因素也是至关重要的。
按照设计要求三级网骨干采用双线路、双机备份的方式部署,为提高线路和设备利用率,减少维护管理复杂度,并根据未来云计算网络的虚拟化要求,计划在公安三级网核心广域网设备上采用虚拟化IRF2(第二代智能弹性架构)技术,实现将物理上两台路由器设备虚拟化成一台逻辑设备,以降低了用户网络的运维成本,提升双链路带宽利用率以及设备的使用率。
综上考虑,计划选择两台高性能路由器作为马鞍山公安网三级网核心。
公安三级网接入设计
马鞍山公安三级网升级县区拓扑图:
6
文档来源为:
从网络收集整理.word版本可编辑.欢迎下载支持.
马鞍山公安三级网升级区县拓扑图
三级网接入设备是各县、区公安系统业务的汇聚、处理的中心,同时代替了四级网局域网核心设备,承载了下属各县级所有业务的汇总,是三级网和四级网的汇聚点,由于各县级派出所等对市局业务访问的需求较多,且业务都比较重要,所以对县、区局节点的主要要求是高稳定性。
县局接入设计
在和县、含山县、当涂县分别部署两台高性能交换机作为三级网接入设备,并以虚拟化方式组网,通过双链路直连到三级网两台核心路由器上,并采用分布式链路聚合技术将2条以太网物理链路捆绑在一起成为一条逻辑链路,从而实现增加三级网链路带宽,并通过采用不同的聚合负载分担类型及其组合,实现流出和流入流量在聚合组各成员端口中的负荷分担,实现三级网双链路负载分担、提高网络可靠性,实现三级网双设备冗余、双链路热备。
分局接入设计
雨山分局、花山分局、博望分局,根据实际组网需求,分别部
署两台高性能交换机作为三级网接入设备,以OSPF+VRRP主备方式组
7
文档来源为:
从网络收集整理.word版本可编辑.欢迎下载支持.
网,在保持现有接入网组网结构前提条件下,通过双链路直连到三级网两台核心路由器上,实现双设备冗余、双链路冗余热备。
公安三级网局域网核心设计
马鞍山公安三级网市局局域网拓扑图:
图6马鞍山公安三级网升级市局局域网拓扑图
局域网核心交换机承载了整个服务器区访问的业务以及市局内
部的接入业务,所以它的业务处理能力和稳定性等因素也是至关重要的。
优化市局局域网核心结构,增加2台高性能交换机并利用虚拟
化技术作为市局三级网交换核心,原有2台CISCO6506E交换机上行
方向由原来的到二级网路由器SR6616,迁移至新部署的三级网核心交换机下,下行启用OSPF、VRRP、端口聚合等高可靠性技术,对局域
网用户、数据中心、提供双线路接入热备,保障在核心出现故障时无缝自动切换。
8
文档来源为:
从网络收集整理.word版本可编辑.欢迎下载支持.
四级网接入设计
各分、县局下属机构接入到公安网时,可以根据实际需要灵活
采用双设备或单设备、双链路方式进行组网。
购置46台交换机作为公安四级网接入设备,直连到分、县局接入交换机上。
公安网冗余备份设计
在网络设计时,将主干链路均采取了备份和冗余的方式,针对不同的网络采取了不同的备份冗余方案。
广域网链路备份
广域网链路设计上三级网采取了双路由方式,提高了主干路由硬件的安全,即使遇到单设备、主线路故障,都能保证区、县、直属单位有一条备份链路正常连接三级网中,即业务不中断。
网络线路指标
1、根据公安部相关要求,公安网必须与其他网络物理隔离,链路类型原则上必须选择裸光纤、MSTP或SDH类型的硬管道专线,禁止使用运营商的MPLSVPN专线等共享类型的线路。
2、传输线路应达到如下要求:
安全性:
要求SDH/MSTP等制式硬管道隔离专线,或裸光纤,冗
余的链路建议使用不同的运营商
可靠性:
光纤或时隙要求1:
1或1+1保护
误码:
低于10-7
时延:
20ms内
倒换:
50ms内
接口:
GE/FE/STM-1/STM-4(CPOS口)
3、根据公安部相关要求,分局到市局的链路带宽不能低于100M,达到实际业务平均速率的3倍以上。
4、项目建设内容
9
文档来源为:
从网络收集整理.word版本可编辑.欢迎下载支持.
路由设计
按照省厅网络规划,我省公安二级网设计成OSPFArea0骨干
区域,我市公安三级网设计成OSPF15子域,市公安三级网部署为
NSSA15区域,并在边界路由器执行域间路由聚合。
路由设计二级网动态路由OSPFAREA15,三级网路由设计为OSPF
NSSA,三级网核心下发一条默认路由给所有三级网接入设备,并且三级网核心上针对三、四级网的IP地址做路由聚合,提高全网路由表的稳定性。
三级网与四级网之间设计为静态路由。
三级网双链路带宽不一致可以通过ospfcost与策略路由配合实现负载分担,线路互备,无缝自动切换。
三级网双链路带宽申请一致,通过链路聚合方式上行实现负载分担及线路热备。
Qos设计
市局公安网是一个多业务的跨部门的综合网络,对不同的业务、不同的用户,能够提供差异化的网络服务;通过灵活的QOS策略,根据需要对业务进行速率控制,针对不同业务类别、IP地址段、时间段、用户等,按照不同策略进行灵活调度、转发。
通过QOS,在网络拥塞时,能够保证实时性要求高的业务低时延低抖动转发;能够对重要部门提供带宽保证,优先转发;能够对大流量业务进行速率限制,防止带宽过度占用;能够在公安网主用链路故障时,使用备用链路保证重要业务的优先转发。
网络管理设计
为保证公安三级网的可视化管理和维护,市局部署一套网管系统,用于管理三级网设备。
网管主要功能如下:
基础管理功能
提供实用、易用的网络管理功能,在网络资源的集中管理基础上,实现网络拓扑、设备配置、网络安全、性能统计分析、故障监控及告警等管理功能。
分级分权管理
通过分级分权管理,马鞍山公安三级网网管可为不同的用户分
10
文档来源为:
从网络收集整理.word版本可编辑.欢迎下载支持.
配不同的权限,管理不同的设备。
MPLSVPN管理
三级网网管应具备MPLSVPN管理功能,实现MPLSVPN的资源
管理、业务部署、拓扑发现、流量监控、性能及告警管理、故障定位等功能,提高MPLSVPN管理质量,有效统一管理公安网。
四、其他
1、标准问题
本次升级改造建设规范遵循以下规范:
公安信息网络设备及设备端口编码规范
公安计算机网络IP地址编码规范
公安信息网MPLSVPN命名与编码规范
全国公安机关机构代码编制规则
公安信息网络IP组播地址编码规范
RFC2328OSPF体系结构
RFC3031MPLS体系结构
RFC4364基于多协议BGP实现三层MPLSVPN安徽省公安系统市县公安局网络建设规范书
2、本次招标租用的线路包括9条千兆线路,1条500M线路,两条155M线路和53条百兆线路,租用期为5年。
3、本次招标的汇聚交换机,放置在中标人机房,等招标人条件成熟后中标人免费将汇聚交换机移至三个分局。
附件一:
软件建设描述
序号名称提供商软件功能概述建设日期使用情况
1网管H3C网管软件2011.7在用
11
文档来源为:
从网络收集整理.word版本可编辑.欢迎下载支持.
附件二:
硬件建设描述
序号
名称
品牌型号
硬件配置情况
采购日期
使用情况
1
核心交换机
思科6509
48电口24光口冗余电源
2011.5
在用
2
核心交换机
思科6509
48电口24光口冗余电源
2011.5
在用
3
华为、H3C
各类普通交换机
2005开始
级联交换机
在用
D-link等
附件三:
基础环境建设描述(空调、UPS等设备注明有无)
序号
面积
空调
UPS
网管
监控
气体灭火
建设日期
使用情况
1
200M
有
有
有
有
无
2004年开始
正常
附件四:
软硬件配置清单
序
产品名
技术参数要求
数量
用途
号
称
(台)
技术参数:
1.
交换容量≥32Tbps,包转发率≥5000Mpps。
2.
设备具有独立的交换网槽位,与主控板槽位完全分
离,保证直插单主控或者主控板故障切换时不影响业
务转发。
实配业务板块为路由单板,物理端口为三层
路由端口。
3.
物理机箱业务大槽位数量≥8个。
4.
必须配置RIPv2、OSPFv2、IS-IS、BGP等协议;配置
IPV4/IPV6双栈;MAC地址数量≥128K;MPLS配置VLL数
量≥16K,配置VPLSVSI数量≥4K;必须支持IPv4转
公安
公安三
发表容量≥1M。
三级
级网核
5.支持VPN组播、支持跨域的VPN组播(Option1/2/3);
1
2
网核
心路由
配置L2TP、GRE,为保证性能,L2TP、GRE功能要求由
心路
器
业务板卡实现,做到分布式处理。
由
6.
本次将两台物理设备虚拟化为一台逻辑设备,
虚拟组
内可以实现一致的转发表项,统一的管理,跨物理设
备的链路聚合。
7.
配置10GE、2.5GPOS、155M/622MPOS、155MATM、8
端口E1/E1-F接口、1/2端口CPOS、同步串口等广域网
接口。
8.
支持ACL访问控制列表(ACL≥4K)、包过滤、AAA认
证和授权、Radius、Tacacs、SSH2.0、攻击检测与防
范、IPSEC、MPLSVPN。
9.
配置分布式Netflow或者Netstream网络流量分析;支
12
公安
三级
2网核
心交
换机
文档来源为:
从网络收集整理.word版本可编辑.欢迎下载支持.
持SNMP进行配置和管理(版本v1、v2、v3)。
10.必须模块化OS,配置独立进程重启;配置BFD功能,包括BFDFor静态路由
OSPF/LDP/BGP/RSVP/PIM/IP-TRUNK/VRRP/IPv6,配置多跳BFD功能;BFD会话数≥4K;BFD发包间隔<5ms;
配置IP/LDP/TE/VPN/VLLFRR;配置GR/NSF/NSR。
11.配置要求:
1.每台配置完整主机、电源、风扇、软件等;
2.每台配置冗余电源、主控板与交换网板全部满配,所投设备板卡必须具备虚拟化能力;
3.每台配置≥24端口千兆光口;
4.每台配置≥4端口万兆光口;
5.每台配置12个千兆10KM千兆单模模块,12个千兆电模块,2个万兆多模光模块;
技术参数:
1.
采用先进的CLOS多级交换架构,能够配置独立的交
换网板与独立的主控板,交换网板与主控板硬件槽
位分离。
2.
交换容量≥26Tbps,包转发率≥6000Mpps。
3.
高可靠的模块化设计,整机槽位数量≥14,主控插槽
≥2,业务插槽≥8,交换网板槽位≥4。
4.
必须配置RIPv2、OSPFv2、IS-IS、BGP等协议;配
置IPV4/IPV6双栈;配置组播路由协议;支持路由策
略、策略路由和VRRP;IPv4转发表容量≥1M。
5.
支持IEEE802.1P、802.1Q
、802.1d(STP)
/802.1w(RSTP)/802.1s(MSTP)、802.3ad(链路聚合)
和跨板链路聚合;配置跨板端口
/流镜像;支持一对
一,多对一,一对多端口镜像;支持端口广播/多播
公安
/未知单播风暴抑制;支持基于端口、协议、子网和
三级
MAC的VLAN划分。
2网核
6.
支持ACL访问控制列表(ACL≥4K)、包过滤、AAA认
心交
证和授权、Radius、Tacacs、SSH2.0、支持Portal
、
换机
MAC认证;配置双向CAR,粒度可达8Kbps;支持VLAN聚合CAR,MAC聚合CAR功能;攻击检测与防范;支持IP地址、vlanid、mac地址和端口等多种组合绑定。
7.为了无阻塞交换实时数据,所投核心交换机型号的业务端口支持200ms数据缓存能力。
8.配置分布式Netflow或者Netstream网络流量分析;支持SNMP进行配置管理(版本1、2、3);支持
FTP/TFTP/Xmodem。
9.配置40GE和100GE以太网接口。
10.必须模块化OS,支持独立进程重启;配置BFD功能,
包括BFDFor静态路由
OSPF/LDP/BGP/RSVP/PIM/IP-TRUNK/VRRP/IPv6,配
置多跳BFD功能。
11.IPv6静态路由协议、RIPng、OSPFv3、IS-ISv6、BGP4+。
13
文档来源为:
从网络收集整理.word版本可编辑.欢迎下载支持.
12.本次采用虚拟化技术;支持单主控正常运行,消除级联主控的管理约束,并在交付过程中实测该功能。
硬件配置要求:
1、每台配置双交流电源、双主控、≥三块交换网板;
2、每台配置≥24个千兆光口、≥48个千兆电口、≥12个万兆光口;
3、每台配置12个万兆多模模块、20个千兆多模模块。
数据中
3心交换利用原6509核心交换机
机
技术参数:
1.采用高可靠的模块化设计方式,要求所有接口板必须是分布式转发工作模式。
2.业务模块插槽数≥6个,所有板卡、电源模块配置热插拔。
3.交换容量≥7.5Tbps,包转发率≥5600Mpps。
4.必须支持RIPv2、OSPFv2、IS-IS、BGP等协议;支持IPV4/IPV6双栈;支持组播路由协议;支持路由策略、策略路由和VRRP。
5.配置交换机虚拟化技术,可以将多台交换机虚拟化为一台逻辑设备,可以实现一致的转发表项,统一的管理,跨物理设备的链路聚合。
6.支持IEEE802.1P、802.1Q、802.1d(STP)/802.1w(RSTP)/802.1s(MSTP)、802.3ad(链路聚合)和跨板链路聚合;配置跨板端口/流镜像;支持端口
广播/多播/未知单播风暴抑制;支持基于端口、协
分局、
议、子网和MAC的VLAN划分。
4
县局汇
7.必须模块化OS,支持独立进程重启;配置BFD功能,
聚交换
包括BFDFor静态路由
机
OSPF/LDP/BGP/RSVP/PIM/IP-TRUNK/VRRP/IPv6,配
置多跳BFD功能;
8.支持ACL访问控制列表(ACL≥4K)、包过滤、AAA
认证和授权、Radius、Tacacs、SSH2.0、支持Portal、MAC认证;支持双向CAR,粒度可达8Kbps;支持VLAN
聚合CAR,MAC聚合CAR功能;攻击检测与防范;支持IP地址、vlanid、mac地址和端口等多种组合绑定。
9.配置分布式Netflow或者Netstream网络流量分析;支持SN