交警指挥中心一期网络建设方案.docx
《交警指挥中心一期网络建设方案.docx》由会员分享,可在线阅读,更多相关《交警指挥中心一期网络建设方案.docx(11页珍藏版)》请在冰豆网上搜索。
交警指挥中心一期网络建设方案
衢州市公安局交警支队
智能交通指挥中心一期
车管所大楼
网
络
建
设
方
案
1.概述
1.1.项目名称
衢州市公安局交警支队智能交通指挥中心一期网络建设
衢州市公安局交警支队车管所大楼网络建设
1.2.项目建设单位
衢州市公安局交警支队
2.核心网络建设方案
2.1.核心网络设计原则
在衢州市交警网络建设项目中,为节省用户投资,保证业务的正常、优质开展,整个网络系统必须总体规划,统一标准。
为达到衢州市交警网络建设的目标要求,在网络设计构建中,应坚持以下建网原则:
●需求驱动原则:
以实际应用需求为依据,选择技术和设备。
根据金盾工程建设的实际需求,考虑远程共享办案与合作,特别是案件影像传输与数字视频业务的需要,要充分考虑网络系统的服务质量和可靠性。
根据现在的需求和可以预见的需求增长情况设计网络,不追求空洞的技术先进性,避免追求高档和最新技术花费的巨大代价。
●先进性原则:
交警信息化需要最新技术的支撑,特别是网络技术和多媒体计算机技术,必须采用先进成熟的技术,并兼顾未来发展趋势。
必须要保持对犯罪人员的先进技术优势。
●投资保护原则:
由于衢州市交警支队已在网络应用方面做了大量的投入进行信息化建设,交警信息化在各部门或不同的应用上对网络的需求不尽相同,原有的很多工作已经证明是有效的,这部分软硬件可以继续发挥作用,从而保护原有投资,节省建设经费。
●标准化原则:
从机房建设、综合布线工程规范、到网络技术标准和网络协议,都有相应的国际标准和国家标准,所有设计与建设要遵循该原则,从而可以实现标准化管理,延长整体项目的生命周期,做到投资保护.
●安全性原则:
交警信息化工作的特殊性,对网络与信息安全提出了很高的要求。
由于安全性的要求与投入成正比,并且涉及管理与应用的方方面面,是一个复杂的系统工程,实际上没有一个绝对安全的系统,安全只是相对而言,所以该原则是充分评估安全风险,制定安全策略,采取必要的安全措施。
是指防止非法访问者通过互联网络对网络节点进行攻击的能力。
●工程原则:
网络系统建设涉及机房与网络配线间环境、通信管道与通信线缆、楼内综合布线系统、电源及其防护、网络交换机与路由器、服务器设备以及相关的软硬件系统,在设计建设时要体现工程原则,做到有工程规划、项目有设计、实施有控制等,实现整个系统的可管理、可维护、可扩展和可升级。
●健壮性及开放性:
它应具有很好的收敛性和可扩展性,同时其网络额外开销是极小的,且受到国际标准的支持,保证不同设备见的互通性。
考虑到今后信息化的进程和逐步演进,网络要建设成完整统一、组网灵活、易扩充的弹性网络平台,能够随着需求变化,充分留有扩充余地.
2.2.核心网络目标拓扑设计
2.3.核心网络目标结构说明
鉴于衢州市交警网络日益重要,以及基于设计原则,因此我们设计方案如下:
中心节点。
采用1台万兆路由交换机产品作为网络核心设备,该设备配置双引擎双电源,确保核心设备的可靠运作。
向下链接交警大楼楼层交换机、外联下属单位、通过IPS连接中心服务器群。
向上连接市公安局。
全网以千兆链路为主.全市交警系统万兆核心路由交换机作为主中心节点,同时可以完成相应的ACL访问策略以及全网统一规划。
在中心机房可配置网管服务器,便于对整个网络实行全面管理。
非公安办公场所网络接入核心交换机也采用1台万兆路由交换机产品作为网络核心设备。
同样配置双引擎双电源,确保核心设备的可靠运作,上连支队核心交换机(根据需要,以后可以增配网络边际安全设备后再上连到支队核心交换机),下连市本级所有非公安固定办公场所网络设备(主要包括卡口、电子警察、视频监控等)。
车管所大楼核心交换机同样配置双引擎双电源,确保核心设备的可靠运作,上连交警支队核心交换机,下连大楼楼层交换机。
各大队等下属单位,则仍利旧原有设备,但进行必要的端口扩容(从百兆电口升级为千兆光口).
大楼内的楼层交换机则以光纤上联至核心交换机。
作为数据中心的数据库、服务器群等,直接连接到核心交换机.
2.4.核心网络路由实现说明
核心网络将对应各外联下属单位和楼层划分vlan,以减小网络广播域,从而减少二层病毒的干扰。
所有核心设备(数据库、服务器群)将按现有状况处于同一vlan,ip地址不变。
各vlan的网关均建立在核心交换机上,对于车管所网络,则与车管所的核心交换机通过路由协议进行访问.
对于全网的访问策略可采用ACL并应用于相应端口。
3.外网部分建设方案
3.1.外网设计原则
●物理隔离原则。
●安全性原则。
●经济性原则.
●标准化原则。
3.2.外网目标拓扑设计
3.3.外网目标结构说明
外网中心设备采用千兆级路由交换机,向下连接各楼层接入交换机,并连接到车管所外网主交换机上。
各楼层作为一个vlan,并终结到外网核心交换机上。
车管所的外网网关终结在车管所的外网三层交换机上,与监控中心的外网核心交换机通过路由进行访问。
采用一台防火墙作为外网的出口设备,外网核心交换机与外网出口防火墙之间建立路由,连接到防火墙的trust端口(或称为inside端口),防火墙的untrust端口(或称为outside端口)连接到互联网。
各可上外网的终端设备通过防火墙nat访问互联网。
为确保访问公网的行为可控,在不增加其他安全类设备的情况下,可采用对各终端静态配置地址,同时在三层交换机上进行ip/mac绑定。
注:
外网防火墙需利旧原有设备,如原有设备不符要求,则需另行采购。
4.车管所网络建设方案
4.1.车管所内网目标拓扑设计
考虑到车管所业务的重要性和不可间断性,因此对车管所配置1台万兆路由交换机作为车管所的核心交换机,并且配置双引擎、双电源以确保该设备的高可用性.
车管所核心交换机与监控中心核心交换机以千兆裸光纤互联,起动态路由协议。
车管所内可根据需要划分vlan,各vlan的网关终结在车管所的核心交换机上。
4.2.车管所外网目标拓扑设计
车管所外网主交换机为千兆三层路由交换机,通过裸光纤与监控中心的外网核心交换机相连,起用动态路由协议。
车管所内外网接入交换机均汇聚到车管所外网主交换机上,根据情况可采用vlan划分,各vlan网关终结在车管所外网主交换机上。
5.现网业务迁移割接
5.1.迁移原则
安全性原则。
安全性是现网业务迁移割接中最为重要的一点.务必采取周密的方案确保迁移割接中对现网业务的安全。
平滑性原则。
为确保现网业务的不中断或少中断,应采用平滑割接的方式,以避免出现业务中断过长的情况。
可控性原则.由于系统的重要性,对于每一步割接操作应绝对可控,一旦出现异常且短时无法排除的情况时,应能方便地回退。
有序性原则.由于指挥中心的迁移割接涉及面广,工作量大,因此整个割接操作应遵循安全有序的原则,逐步从老的网络平面割接到新的网络平面。
5.2.现网业务迁移方案
5.2.1.总体思路
由于现网核心在老的指挥中心大楼内,现网的数据库、服务器群等也在老大楼中,与公安网的互联、与下联各下属单位的互联等也通过老大楼进行互通。
新的网络平台建设完成后,先采用租用临时裸光纤将新老网络平台进行3层互通,并采用动态路由进行路由导通。
然后利用新增的服务器将原系统迁移到新大楼,由于新老大楼网络连通,所以当服务器在新大楼,而其他业务终端和业务系统在老大楼时,网络也能正常。
此时网络的核心是老大楼。
然后,通过网络出口的迁移、网络其他各系统的迁移以及下联下属单位电路的割接,逐步平滑地从老网络割接到新网络中。
5.2.2.准备阶段
此阶段主要是建设新的网络平台,调测新的指挥中心与老大楼之间的光路,以及与公安网的电路.然后进行新老网络的互联。
如下图:
该阶段将建立新老大楼网络之间的千兆互联,并采用动态路由将两边路由导通。
由于新大楼的网络在此时除了一些设备的管理地址外并无业务网段,因此对老大楼的网络的路由表并不产生影响。
5.2.3.第一阶段迁移割接
在该阶段中,将新增的服务器安装并进行业务系统迁移,同时将原服务器的网段移到新网络平面,进行相应的业务测试,一旦有异常且短时无法排除,可重新启用原服务器。
5.2.4.第二阶段迁移割接
第一阶段迁移割接顺利完成后,可进行网络出口和下联单位的电路割接,在割接中,出现任何情况均可回退至原状。
如下图:
5.2.5.全面测试
完成全部割接后,应对网络和相关业务进行全面详尽的测试,并根据新的要求部署相应的安全性策略和访问控制列表.
6.涉及设备清单
6.1.监控中心及车管所设备清单
序号
设备名称
详细描述
单位
数量
1
核心交换机
华为9306交换机双引擎、双电源、48电口、48光口、24个单模模块
台
3
2
接入交换机
华为3352交换机(48口)各带1个单模模块
台
19
3
外网核心交换机
华为5324交换机带1块单模模块
台
2
4
外网接入交换机
华为2326交换机
台
19
5
入侵防御
HY—F2000KNC(千兆)入侵防御
台
1
6
集成维保费用
三年计设备总额的12%计算
升级会员 