马鞍山市公安三四级网改造及光纤设备租用docWord格式文档下载.docx

1、1利旧情况。三、业务建设方案1、业务流程梳理2、数据量分析与预测目前，马鞍山公安三级网整体网络拓扑设计、 连接方式比较落后，接入端基本为单设备、单链路组网，存在严重安全隐患，安全性、可2靠性较差，不符合公安部的相关要求。另外，重要设备的功能划分不明确、不合理， 市局的核心交换机既充当地市三级网汇聚核心，又充当市局局域网核心，设备功能重合，既制约整体网络性能，又存在严重网络隐患。部分四级网设备是非网管设备，无法有效控制和管理，不能满足端到端的网络管理要求。本次改造，采用的设备应具备适度的先进性， 满足未来 5 年以上的发展需要，并具有一定的可扩展性，如 IPv6 、MPLS VPN等。建设开放性

2、、平滑升级的网络， 尽可能采用开放性的技术标准进行升级改造，分散投资风险；同时，升级建设过程，充分考虑现网的业务延续性，避免升级改造过程中带来公安业务的中断。 根据网络功能的差异，将网络进行合理的分区，建设结构清晰的网络。业务的长远发展，网络设计必须充分考虑服务质量的问题， 保证同一网络平台上的多种应用能够正常运行，并能通过 QOS技术优先保障重要业务。根据省公安厅下发的 安徽省公安系统市县公安局网络建设规范书要求和结合我局实际网络情况进行如附表的设备选型。3、项目设计方案3网络升级总体拓扑图设计1马鞍山公安三级网升级拓扑图公安三级网升级改造总体设计包括下列内容：1、定义清晰网络结构和功能区域

3、。将市局公安三级网定义为包括主干网、机关局域网、信息中心核心局域网和城域网四个功能区域。主干网指市局到区县分局的骨干网； 机关局域网指负责本级公安机关内各警种、各部门的公安网接入网络； 信息中心核心局域网指为公安关键业务系统提供承载的重要 IT 基础设施的接入网络；城域网是指负责同城办公的本级公安机关和驻外单位的公安网接入网络。2、采用网络高可靠性、冗余性设计。公安三级网核心、三级网接入、信息中心局域网核心均采用双设备、双链路冗余组网，实现统一管理、互备运行、无缝切换。3、带宽和服务质量保证。改造后的三级网核心路由器与二级网接入路由器组成双平面， 双平面按数据业务的维度实现流量的负载分担。4、

4、政法网业务迁移，为保证公安二级网接入安全，减少数据维护带来风险，将市县级政法网业务迁移到三级网核心路由器上。4网络总体规划设计参考省厅下发的安徽省公安系统市县公安局网络建设规范书 ，本次马鞍山公安三级升级改造设计内容如下：1.新增两台三级网核心路由器通过虚似化技术部署， 作为马鞍山公安的三级网核心路由器，提供市局局域网的双线路接入，提供县、区、直属单位的单或双线路接入。新增两台市局局域网核心交换机，采用虚拟化技术接入到三级网核心路由下。2.三级网接入端 3 个县局、 3 个分局各新增两台高性能交换机、以虚拟化或者热备方式组网，以双链路直连到市局三级网核心两台路由器上，实现双设备冗余、双链路热备

5、。3.本级公安机关和驻外单位如消防、警校等其他直属单位根据组网需要灵活部署一或二台高性能交换机作为城域网接入设备，通过运营商汇聚交换机，以单或双链路直连到三级网核心两台路由器上，实现城域网接入公安网络。4.优化市局局域网网络结构，市局局域网原有 2 台万兆核心交换机 cisco6506E 上行从原二级网接入路由器 SR6616，双归属迁移到三级网核心路由器下 , 下行启用 OSPF、端口聚合等高可靠性技术，对局域网用户、数据中心、提供双线路接入热备。5.路由设计公安二级网动态路由 OSPF AREA 15，三级网路由设计为 OSPF NSSA，三级网与四级网之间设计为静态路由。6.将原市政法网

6、从原二级网备用 SR6616 路由器下移到备用三级网核心路由器上，并担当为政法网 P、PE设备，建设后政法网由市局统一管理。公安三级网核心设计马鞍山公安三级网核心拓扑图：5马鞍山公安三级网核心设计拓扑图三级网核心路由器和二级网的接入路由器一样，起到一个承上启下的关键作用， 既要与市局的局域网核心接入区相连， 也要与下面区县的三级网接入设备相连， 所以它的业务处理能力和稳定性等因素也是至关重要的。 按照设计要求三级网骨干采用双线路、 双机备份的方式部署，为提高线路和设备利用率，减少维护管理复杂度，并根据未来云计算网络的虚拟化要求， 计划在公安三级网核心广域网设备上采用虚拟化 IRF2（第二代智能

7、弹性架构）技术，实现将物理上两台路由器设备虚拟化成一台逻辑设备，以降低了用户网络的运维成本，提升双链路带宽利用率以及设备的使用率。 综上考虑，计划选择两台高性能路由器作为马鞍山公安网三级网核心。公安三级网接入设计马鞍山公安三级网升级县区拓扑图：6马鞍山公安三级网升级区县拓扑图三级网接入设备是各县、区公安系统业务的汇聚、处理的中心，同时代替了四级网局域网核心设备， 承载了下属各县级所有业务的汇总，是三级网和四级网的汇聚点， 由于各县级派出所等对市局业务访问的需求较多，且业务都比较重要，所以对县、区局节点的主要要求是高稳定性。县局接入设计在和县、含山县、当涂县分别部署两台高性能交换机作为三级网接入

8、设备，并以虚拟化方式组网， 通过双链路直连到三级网两台核心路由器上，并采用分布式链路聚合技术将 2 条以太网物理链路捆绑在一起成为一条逻辑链路， 从而实现增加三级网链路带宽， 并通过采用不同的聚合负载分担类型及其组合， 实现流出和流入流量在聚合组各成员端口中的负荷分担， 实现三级网双链路负载分担、 提高网络可靠性，实现三级网双设备冗余、双链路热备。分局接入设计雨山分局、花山分局、博望分局，根据实际组网需求，分别部署两台高性能交换机作为三级网接入设备， 以 OSPF+VRRP主备方式组7网，在保持现有接入网组网结构前提条件下， 通过双链路直连到三级网两台核心路由器上，实现双设备冗余、双链路冗余热

9、备。公安三级网局域网核心设计马鞍山公安三级网市局局域网拓扑图：图 6 马鞍山公安三级网升级市局局域网拓扑图局域网核心交换机承载了整个服务器区访问的业务以及市局内部的接入业务，所以它的业务处理能力和稳定性等因素也是至关重要的。优化市局局域网核心结构，增加 2 台高性能交换机并利用虚拟化技术作为市局三级网交换核心，原有 2 台 CISCO6506E交换机上行方向由原来的到二级网路由器 SR6616，迁移至新部署的三级网核心交换机下 , 下行启用 OSPF、VRRP、端口聚合等高可靠性技术，对局域网用户、数据中心、提供双线路接入热备，保障在核心出现故障时无缝自动切换。8四级网接入设计各分、县局下属机

10、构接入到公安网时，可以根据实际需要灵活采用双设备或单设备、双链路方式进行组网。购置 46 台交换机作为公安四级网接入设备，直连到分、县局接入交换机上。公安网冗余备份设计在网络设计时，将主干链路均采取了备份和冗余的方式，针对不同的网络采取了不同的备份冗余方案。广域网链路备份广域网链路设计上三级网采取了双路由方式，提高了主干路由硬件的安全，即使遇到单设备、主线路故障，都能保证区、县、直属单位有一条备份链路正常连接三级网中，即业务不中断。网络线路指标1、根据公安部相关要求，公安网必须与其他网络物理隔离，链路类型原则上必须选择裸光纤、 MSTP或 SDH类型的硬管道专线，禁止使用运营商的 MPLS V

11、PN专线等共享类型的线路。2、传输线路应达到如下要求 :安全性：要求 SDH/MSTP等制式硬管道隔离专线，或裸光纤，冗余的链路建议使用不同的运营商可靠性：光纤或时隙要求 1：1 或 1+1 保护误码：低于 10-7时延： 20ms内倒换： 50ms内接口： GE/FE/STM-1/STM-4（CPOS口）3、根据公安部相关要求， 分局到市局的链路带宽不能低于 100M，达到实际业务平均速率的 3 倍以上。4、项目建设内容9路由设计按照省厅网络规划，我省公安二级网设计成 OSPF Area 0 骨干区域，我市公安三级网设计成 OSPF 15 子域，市公安三级网部署为NSSA 15区域，并在边界

12、路由器执行域间路由聚合。路由设计二级网动态路由 OSPFAREA15，三级网路由设计为 OSPFNSSA，三级网核心下发一条默认路由给所有三级网接入设备， 并且三级网核心上针对三、四级网的 IP 地址做路由聚合，提高全网路由表的稳定性。三级网与四级网之间设计为静态路由。三级网双链路带宽不一致可以通过 ospf cost 与策略路由配合实现负载分担，线路互备 , 无缝自动切换。三级网双链路带宽申请一致，通过链路聚合方式上行实现负载分担及线路热备。Qos设计市局公安网是一个多业务的跨部门的综合网络，对不同的业务、不同的用户，能够提供差异化的网络服务；通过灵活的 QOS策略，根据需要对业务进行速率控

13、制，针对不同业务类别、 IP 地址段、时间段、用户等，按照不同策略进行灵活调度、转发。通过 QOS，在网络拥塞时， 能够保证实时性要求高的业务低时延低抖动转发；能够对重要部门提供带宽保证，优先转发；能够对大流量业务进行速率限制， 防止带宽过度占用； 能够在公安网主用链路故障时，使用备用链路保证重要业务的优先转发。网络管理设计为保证公安三级网的可视化管理和维护，市局部署一套网管系统，用于管理三级网设备。网管主要功能如下：基础管理功能提供实用、易用的网络管理功能，在网络资源的集中管理基础上，实现网络拓扑、设备配置、网络安全、性能统计分析、故障监控及告警等管理功能。分级分权管理通过分级分权管理，马鞍

14、山公安三级网网管可为不同的用户分10配不同的权限，管理不同的设备。MPLS VPN管理三级网网管应具备 MPLS VPN管理功能，实现 MPLS VPN的资源管理、业务部署、拓扑发现、流量监控、性能及告警管理、故障定位等功能，提高 MPLS VPN管理质量，有效统一管理公安网。四、其他1、标准问题本次升级改造建设规范遵循以下规范：公安信息网络设备及设备端口编码规范公安计算机网络 IP 地址编码规范公安信息网 MPLS VPN命名与编码规范全国公安机关机构代码编制规则公安信息网络 IP 组播地址编码规范RFC 2328 OSPF 体系结构RFC 3031 MPLS 体系结构RFC 4364 基于

15、多协议 BGP实现三层 MPLS VPN 安徽省公安系统市县公安局网络建设规范书2、本次招标租用的线路包括 9 条千兆线路，1 条 500M线路，两条 155M 线路和 53 条百兆线路，租用期为 5 年。3、本次招标的汇聚交换机，放置在中标人机房，等招标人条件成熟后中标人免费将汇聚交换机移至三个分局。附件一：软件建设描述序号 名称 提供商 软件功能概述 建设日期 使用情况1 网管 H3C 网管软件 2011.7 在用11附件二：硬件建设描述序号名称品牌型号硬件配置情况采购日期使用情况核心交换机思科 650948 电口 24 光口冗余电源2011.5在用华为、 H3C各类普通交换机2005 开

16、始级联交换机D-link 等附件三：基础环境建设描述（空调、 UPS 等设备注明有无）面积空调UPS网管监控气体灭火建设日期200M有无2004 年开始正常附件四：软硬件配置清单序产品名技术参数要求数量用途号称（台）技术参数：1.交换容量 32Tbps，包转发率 5000Mpps。2.设备具有独立的交换网槽位，与主控板槽位完全分离，保证直插单主控或者主控板故障切换时不影响业务转发。实配业务板块为路由单板，物理端口为三层路由端口。3.物理机箱业务大槽位数量 8个。4.必须配置 RIPv2、OSPFv2、IS IS 、BGP等协议；配置IPV4/IPV6 双栈； MAC地址数量 128K;MPLS

17、配置 VLL数量 16K，配置 VPLS VSI数量 4K；必须支持 IPv4 转公安公安三发表容量 1M。三级级网核5. 支持 VPN组播、支持跨域的 VPN组播（Option1/2/3 ）；网核心路由配置 L2TP、GRE，为保证性能， L2TP、GRE功能要求由心路器业务板卡实现，做到分布式处理。由6.本次将两台物理设备虚拟化为一台逻辑设备，虚拟组内可以实现一致的转发表项，统一的管理，跨物理设备的链路聚合。7.配置 10GE、2.5G POS、155M/622MPOS、155MATM、 8端口 E1/E1-F 接口、 1/2 端口 CPOS、同步串口等广域网接口。8.支持 ACL访问控制

18、列表（ ACL 4K）、包过滤、 AAA认证和授权、 Radius 、Tacacs、SSH2.0、攻击检测与防范、 IPSEC、 MPLS VPN。9.配置分布式 Netflow 或者 Netstream 网络流量分析； 支122网核心交换机持 SNMP进行配置和管理（版本 v1 、v2、 v3）。10.必须模块化 OS，配置独立进程重启；配置 BFD功能，包括 BFD For静态路由OSPF/LDP/BGP/RSVP/PIM/IP-TRUNK/VRRP/IPv6,配置多跳 BFD功能； BFD会话数 4K； BFD发包间隔 5ms；配置 IP/LDP/TE/VPN/VLL FRR;配置 GR

19、/NSF/NSR。11.配置要求：1.每台配置完整主机、电源、风扇、软件等；2.每台配置冗余电源、主控板与交换网板全部满配，所投设备板卡必须具备虚拟化能力；3.每台配置 24端口千兆光口；4.每台配置 4端口万兆光口；5.每台配置 12个千兆 10KM千兆单模模块， 12个千兆电模块， 2个万兆多模光模块；采用先进的 CLOS多级交换架构，能够配置独立的交换网板与独立的主控板，交换网板与主控板硬件槽位分离。交换容量 26Tbps，包转发率 6000Mpps。高可靠的模块化设计，整机槽位数量 14, 主控插槽2，业务插槽 8，交换网板槽位 4。必须配置 RIPv2、OSPFv2、IS IS 、

20、BGP等协议；配置IPV4/IPV6 双栈；配置组播路由协议；支持路由策略、策略路由和 VRRP；IPv4 转发表容量 1M。5.支 持 IEEE802.1P 、 802.1Q、 802.1d （ STP ）/802.1w（RSTP）/802.1s（MSTP） 、802.3ad（链路聚合）和跨板链路聚合；配置跨板端口/ 流镜像；支持一对一，多对一，一对多端口镜像；支持端口广播 / 多播/ 未知单播风暴抑制；支持基于端口、协议、子网和MAC的VLAN划分。支持 ACL访问控制列表（ ACL4K）、包过滤、 AAA认证和授权、 Radius、 Tacacs、SSH2.0、支持 Portal、MAC

21、认证；配置双向 CAR，粒度可达 8Kbps；支持 VLAN 聚合 CAR，MAC聚合 CAR功能；攻击检测与防范；支持 IP 地址、 vlan id 、mac地址和端口等多种组合绑定。7.为了无阻塞交换实时数据，所投核心交换机型号的业务端口支持 200ms数据缓存能力。8.配置分布式 Netflow 或者 Netstream 网络流量分析；支持 SNMP进行配置管理（版本 1、 2 、 3 ）；支持FTP/TFTP/Xmodem。9.配置 40GE和 100GE以太网接口。10.必须模块化 OS，支持独立进程重启；配置 BFD功能，包括BFDFor静态路由OSPF/LDP/BGP/RSVP/

22、PIM/IP-TRUNK/VRRP/IPv6,配置多跳 BFD功能。11. I Pv6静态路由协议、RIPng、OSPFv3、IS-ISv6 、BGP4+。1312.本次采用虚拟化技术；支持单主控正常运行，消除级联主控的管理约束，并在交付过程中实测该功能。硬件配置要求：1、每台配置双交流电源、双主控、三块交换网板；2、每台配置 24 个千兆光口、 48 个千兆电口、 12 个万兆光口；3、每台配置 12个万兆多模模块、 20个千兆多模模块。数据中3心交换 利用原 6509 核心交换机机1.采用高可靠的模块化设计方式，要求所有接口板必须是分布式转发工作模式。2.业务模块插槽数 6 个，所有板卡、

23、 电源模块配置热插拔。3.交换容量 7.5Tbps ，包转发率 5600Mpps。4.必须支持 RIPv2、 OSPFv2、IS IS 、BGP等协议；支持 IPV4/IPV6 双栈；支持组播路由协议；支持路由策略、策略路由和 VRRP。5.配置交换机虚拟化技术，可以将多台交换机虚拟化为一台逻辑设备，可以实现一致的转发表项，统一的管理，跨物理设备的链路聚合。6.支 持 IEEE802.1P 、 802.1Q 、 802.1d （ STP ） /802.1w（RSTP）/802.1s（MSTP） 、802.3ad（链路聚合）和跨板链路聚合；配置跨板端口 / 流镜像；支持端口广播 / 多播 / 未知单播风暴抑制；支持基于端口、协分局、议、子网和 MAC的 VLAN划分。县局汇7. 必须模块化 OS，支持独立进程重启；聚交换包括 BFD For静态路由置多跳 BFD功能；8.支持 ACL访问控制列表（ ACL4K）、包过滤、 AAA认证和授权、Radius 、Tacacs、SSH2.0、支持 Portal 、MAC认证；支持双向 CAR，粒度可达 8Kbps；支持 VLAN聚合 CAR，MAC聚合 CAR功能； 支持 IP 地址、 vlan id 、mac地址和端口等多种组合绑定。9.配置分布式 Netflow 或者 Netstream 网络流量分析；支持 SN