政府单位公安网络技术方案.docx

1、政府单位公安网络技术方案公安网络技术方案本方案是针对公安厅公安系统的需求而设计的，在方案书的结构上，分为：概述网络需求分析网络设计原则网络模型定义网络系统设计网络安全设计网络可靠性设计网络管理厂商及产品选择产品实现本方案是一个解决方案，目的是从用户的需求出发，提出解决实际问题的方案。为避免成为一个“技术白页”或“产品手册”。在方案书中没有作过多的技术描述，产品也是在最后提出的。如对技术或产品的详细情况感兴趣，可参考符录中的技术介绍和产品介绍。1.1 需求分析随着公安厅的业务和应用程序对网络带宽的不断增加，目前的网络已不在适应当前业务的需求。因此建立一个统一、高效的网络平台、建立新的网络主干，提

2、高网络的整体带宽；保护原有投资，同时确保能平滑的向更新技术迁移是公安厅计算机信息网络系统面临的迫切任务。1.2 网络设计原则根据公安厅网络系统的需求分析，以及公安厅网络系统的规划，我们提出以下实施原则：实用性与先进性原则:网络实施应本着实用与先进的原则，一方面能满足应用系统的数据传输要求，为各信息点提供网络传输服务。另一方面，又要体现出网络系统的先进性。一般来说，越是先进的技术价格越高。全方位的使用先进的新式产品是不合理的，因此，在网络实施中要把先进的技术与现有的成熟技术结合起来，充分考虑到公安厅的实际情况，在先进性与经济性的中间选出一个平衡点。高性能原则：网络是应用系统的平台，网络的性能直接

3、影响到整个系统的性能。随着电子技术的发展，计算机的处理能力越来越强，个人电脑的不断升级，而桌面系统的网络速度从10刚刚升级到现在的100M。其发展速度远远落后于计算机的处理能力的发展。另一方面，网络上的设备也越来越多，应用也越来越复杂，使网络的性能成为应用系统的性能瓶颈。特别是公安厅网络系统的节点比较多，对网络中心节点的性能要求较高。因此，网络实施应在实用性原则的基础上，针对不同的应用，提供较好的性能。可靠性原则网络在应用系统中扮演了极重要的角色，它的稳定可靠是应用系统运行的保证。目前几乎所有的应用系统都离不开网络，一但网络崩溃，整个系统就会处理瘫痪状态，这可能会带来不可估计的损失，特别是在公

4、安机构的网络系统中，更要提供百分之百的可靠保障。因为可靠性实现很大程度上是依靠设备冗余和线路冗余来保证的，与之密切相关的是投资额度和对冗余设备的使用率。可靠性、投资额、设备使用率三者是互相影响、互相制约的因素，一个设计良好的网络方式，应该是三者的综合平衡。安全原则随着国民经济信息化的迅速发展，网络信息系统对安全的要求越来越高，尤其自 应用发展以来，信息系统的安全已经涉及到国家主权等许多重大问题。在公安业务系统涉及到许多国家的安全机密，安全保证是公安网络系统的重要一环。在网络设计中要对相关的网络设备、主机系统、应用数据库提供严密的保护，同时又不能影响到应用系统的功能和使用，对性能的影响也要尽量降

5、到最小。可管理性原则由于公安网络系统的节点多、分布广、设备种类多，具有一定的复杂性。而且在今后的应用中，还会增加新的技术、新的产品。在这种环境下,资源分布程度和共享程度大大提高,任何微小的故障都可能导致用户应用的失败。网络管理的目标是最大限度地增加网络的可用时间,提高网络设备的利用率、网络性能、服务质量和安全性,简化在复杂网络环境下的管理和控制网络运行成本，并为网络系统的优化提供依据。需要注意的是，由于分布在广大地域范围的各个节点是由广域网连接，速率是以为单位的，网络管理不能过分影响到网络的性能。可扩展原则随着公安厅的发展，公安厅的业务量也将越来越大，对网络系统的要求也越来越高。同时，各种新的

6、业务也会逐步开展，包括公安厅自身的管理如系统。因此，在网络设计中要考虑到网络设备的升级能力。网络设备的扩展能力涉及到投资保护的问题。网络系统的扩展能力与网络系统的先进性是相辅的，扩展能力能保持网络系统持续的先进性。1.3 网络模型定义任何科学、合理的网络系统都建立在一个模型之上。通过把物理上的因素抽象成逻辑的模型，有助于网络设计的条理清晰，结构分明。本节将完成建立模型的工作。网络核心信息在这里流通与交换，核心交换机和路由器是网络中心。汇聚层（二级节点）汇集下级节点，连接上级中心节点，起承上启下的作用。接入层一般指汇聚层以下的接入终端，包括服务器直接接入的节点外部访问节点不需要与系统作永久的物理

7、连接，在必要时与系统交互。如宾馆、旅行社、小区治安处，治安岗亭等，还可包括移动巡逻警车，铁道，银行等。1.4 网络设计1.4.1主干网设计 主干网的设计目标是建立一个高速、高效的选进的骨干。网络类型选择针对公安信息网络的需求，应该使用高速的主干网络。目前高速主干的技术主要有和千兆以太网，下面我们给出一个简单的对比。 千兆 先进性 从93年到现在一直是先进的技术最新的实用高速主干技术实用性 对中用电信来说是 更适用于一般性应用经济性 昂贵 便宜能力 非常好，但没必要 802.1p，802.1面向的用户 中国电信 一般性用户对局域网协议的支持 ，但没有从局域网技术发展而来 通过对比，我们以为是非常

8、好的技术，但更适合中国电信这类多服务提供者，对于公安系统来说，如果从需求出发，考虑到性能价格比，应选择千兆网作为主干网。网络结构设计主干网络采用的是星形结构，主干网核心交换机用单模或多模光纤连接二级节点的边界交换机。主干网络使用的是交换式的千兆以太网技术，请注意千兆网络的传输距离是有限的。在各厂商的产品中，对千兆网络的传输距离都有一定的增强，如可扩展到70km距离，3可扩展到40km，可扩展到100。必需注意到主干网的作用是提供高速、高效的网络连接服务，因此对核心交换机的交换能力的要求很高，特别是它的多层的能力。核心交换机应能识别不同的数据流，给予不同的传输优先级别。例如 使用和端口66，进程

9、使用和端口1525， 进程使用端口1527。 中间件使用端口1435。对于使用这些端口的数据流，核心交换机和边界交换机必需给予最高的优先级，使数据库的应用性能达到最优。核心交换机的第三层交换/路由能力。在网络系统中出于安全和性能考虑，实现广播控制，使用了技术。当通信的双方要经过核心交换机，且位于不同时，路由功能由核心交换机完成。如果本地有第三层交换机/路由器，可以把本地的间路由任务交由他完成，减轻主干负担。1.4.2局域网设计局域网线路选择局域网线路分为上连线路和桌面连接线路，在上连线路使用的是多条100M以太网连接,同时还具有线路容错的能力。由于主干带宽为1G，对于100M交换机在上连链路使

10、用4条全双工的连接就足够了。对于10M端口的桌面交换机，使用2条上连链路。桌面链路一般是10M和100M结合的方式，10M链路给一般的普通用户，100M连接服务器。必须说明的是：边界交换机上一般配有100M端口，这些端口提供的性能和功能都比外接的100M交换机强许多，在100M端口需求较少的情况下，应充分利用边界交换机上的100M端口。中心节点局域网中心节点比较特别：中心节点拥有主干核心交换机，需考虑充分利用核心交换机的性能优势。中心节点的端口需求量大，特别是100M高速端口的数量。我们为中心节点作如下设计：所有的服务路设备，直接连到核心交换机上。所有的100M桌面用户直接连到核心交换机上，用

11、与服务器分开。普通桌面用户连到10M桌面交换机，视端口数据决定交换机的数量。10M桌面交换机直接连接核心交换机上主干，不使用堆叠技术。1.4.3网络协议协议选择：考虑到目前流行的协议，许多网路设备也是针对优化，在系统中应采用协议。在单、网整个段内部可以使用其它的协议。如果有的文件服务器，应把它升级为支持协议的版本。地址设计：地址的划分应根据应用模型来实现，一般的划分原则如下：按职能部门和地理位置划分；按系统功能划分；按安全级别划分；按系统资源的使用划分。地址应遵的例选择保留地址，这些地址不会出现在上。保留地址有：A类10.0.0.010.255.255.255B类172.16.0.0172.3

12、1.255.255C类192.168.0.0192.168.255.255也可使用4.*.*.*和5.*.*.*，这些是美国军方使用的保留地址。下面给出一个地址划分的模板，具体实现上可根据实际情况自定，或由金盾工程统一规划。以192、168网段为例中心 192.168.1.0192.168.15.255汇聚节点1 192.168.16.0192.168.29.255汇聚节点2 192.168.30.0192.168.32.255汇聚节点3 192.168.33.0192.168.35.255汇聚节点4 192.168.36.0192.168.38.255小型汇聚节点1 192.168.39.0

13、192.168.40.255小型汇聚节点2 192.168.41.0192.168.42.255 注意：所有地址包含了广播地址和网络地址。路由协议选择路由协议选择在网络中是特别重要的，尤其在大规模的网络中。它关系到整个网络的运行成败和工作效率。路由协议要根据不同网络的结构，不同网络的实际应用来选择，还要考虑到路由协议对网络流量的影响。路由协议可选择静态路由和动态路由，静态路由设置起来比较简单有效，对网络流量没有任何压力。但静态路由缺乏路由变化的灵活性，不能自动地实时更改网络路经，不具用网络的自动备份功能，主要适于单路经，网络拓扑结构比较简单的小规模网络。为了实现自动的网络备份功能，我们建议用动

14、态路由协议。虽然动态网络协议对网络的流量有一定的影响，路由器设置起来也比较复杂，但如果我们规划好地址的分配和整个网络路由区域的划分，实现起来还是会很有效的，对网络的流量的影响会很小。是目前使用最广的动态路由协议，具有带宽消耗最小、配置简单、收敛迅速等特点，能很好地完成路由任务。同时，是定义的标准协议，所有的第三层网络设备都支持。建议使用为公安厅网络的路由协议。1.5网络安全设计机构隔离公安系统由许多不同的职能部门组成，各部门需要访问不同的计算机资源，一些机密的信息仅供特定的部门使用，而另一些信息和资源为全体部门所共享，这些信息和资源一般放在同一台服务器上（如数据库主机），允许各部门同时访问。机

15、构隔离指当多个机构访问同一服务时，机构之间不能互相访问。具体的实现方法：用技术把各个部门分为多个网段。的划分有多种方式，可以参考地址的划分方法，把每个网段划为一个，许多第三层交换机都支持根据地址来划分，而与具体的端口无关。以端口为依据的划分方法适用于固定端口设备，（如服务器）。以为依据的划分方法适用于经常移动的设备（如笔记本电脑）。由于地址容易伪造，应把重要的地址与地址强行对应起来，即设定永久性的表。有了的控制，使跨的访问必须通过核心交换机在第三层交换/路由，便于在核心交换机上集中控制。使用访问控制列表（，）是最简单的一种。能根据包的源地址、目的地址、或端口号，过滤掉不合法的互访分组。通过上述

16、技术手段，使得公安系统的不同部门（行政、营运、各业务处、各分局和派出所处于安全控制之下。数据加密 这里是指网络层的数据加密传输。加密是在两个路由器之间建立一条加密隧道，所有经过的数据在发送端加密，在接收端解密。加密传输主要在广域网上实现，对上层的数据来说是完全透明的。公安网络的广域网部分多用的是铜缆连接，铜缆上存在信号泄漏的问题，容易被人窃听。目前许多厂商都提供了加密的功能，包括先进的密钥交换技术、多种加密手段。需要指出的是，软件加密需要消耗计算能力，会对路由器的性能产生一定的影响，在实现时用区分不同的数据，只对重要的业务数据加密，其他如数据、路由协议数据可不作加密。拨号访问控制外部用户要通过

17、拨号访问的网络上的资源，同时也留下了安全漏洞。拨号访问控制包括认证和授权两方面。认证指对拨入的用户（发起呼叫的路由器）做身份验证，一般用口令的方式实现。授权指针对不同的用户授予不同的权限，限制对资源的访问。认证和授权有两种形式：1、本地（）认证 认证功能在拨号访问路由器上实现，用户口令数据库存放在拨号访问路由器上。这种方式实现简单，但缺乏授权的功能的灵活性，且当用户数量大时，用户口令数据库维护困难，仅适用于小量用户的环境。2、服务器认证 使用了专门的一台服务器做认证和授权服务。服务器上运行支持协议的进程，访问路由器会把拨入的用户的用户名传给服务器，服务器使用方式验证用户的口令，并根据用户名分配

18、用户不同的权限。权限体现在：指定用户的地址、为用户定义独立的访问控制列表、为用户定义不同的网关地址等。此外，使用服务器认证方式还能提供强大的日志能力，使任何拨号访问都处于严格的控制之下。服务器认证方式技术上比较先进，功能强大，且便于维护，建议采用。防火墙在本方案中，防火墙实现的功能是包过滤和网络地址转换，提供第二级的保护，加强安全性。包过滤一方面能控制外部用户访问，确保他们只访问特定的资源（服务器），另一方面也防止内部用户通过此出口实现非法访问。网络地址转换能屏蔽内部网络地址，与包过滤相得益彰。主机此处仅针对网络层给出一些建议。一般实现使用口令验证用户的权限，这种应用层的方式比较成熟，在网络层

19、可以有如下实现：主机设置双地址（可在同一网段内，、均可实现）；启动两个（）进程或（）实例，分别对应不同的功能，其中一个可以是另一个的子集，并分别绑（）在两个地址上；通过拨号认证服务器为不同用户分配不同的访问权限（可访问的地址），使不同用户只能访问相应的。进程/实例和地址的数目可2。其它除了以上几个方面，还有一些方式，如服务、路由协议任证、（参考技术介绍）等，用户可根据具体情况实现，不同的实现方案需要不同的代价：实施和设备成本、性能/功能、技术的复杂化、管理的复杂化等。我们认为，从网络层的角度出发，以上的安全措施以能提供足够的网络安全性。1.6可靠性设计在网络设计中，可靠性设计是极重要的一个环节

20、。因为可靠性实现很大程度上是依靠设备冗余和线路冗余来保证的，与之密切相关的是投资额度和对冗余设备的使用率。可靠性、投资额、设备使用率三者是互相影响、互相制约的因素，一个设计良好的网络方式，应该是三者的综合平衡。网络设备备份网络设备的备份属物理层次上的备份，指的是重要设备如核心交换机、核心路由器等设置硬件冗余备份。网络设备备份又可细分为整机设备备份和单设备上端口备份两种方式。网络线路备份网络线路备份主要是指广域网通讯线路的备份。由于局域网之间的连接是通过广域网来完成，而广域网通讯采用的是社会公用网如帧中继、X25、等，线路服务由有关电讯机构来提供，属于不受公安厅控制的环节。因此在广域网设计中，为

21、了保证网络连接的可靠性，必须采用主、备双通讯线路、互为备份设计。网络线路备份基本上也属物理层次，要与设备备份一起使用。线路备份考虑的首要因素是主线路和备份线路的类型是否能满足网络通讯的需要，其次是与所用的网络交换机/路由器的配合，再者是备份线路的空闲费用，还要结合机构的分布特点。备份线路有专线和拔号线两种。备份线路的基本要求是能和路由硬件设备和路由算法的配合，实现线路间的互相切换，如果是拔号线路，还要求拔号连接在要求时限内完成，真正做到对应用软件系统透明。在广域网上，建立备份线路系统需要一定的投资，一般不要求与主线路具有同样的带宽，这样就有了带宽和服务质量的差别。要在备份线路实现一定的控制，过

22、滤掉不重要的数据。路由备份在备份策略中，路由备份设计是最重要的环节。从网络层次结构上看，路由备份属于网络层，对下二层的备份策略起指导作用。路由备份依靠的是路由寻址算法。路由算法能根据网络系统拓朴结构变化自动更新路由表，反映出网络的可连接通道和路由开支，能在线路中断、设备或端口故障时自动进行路由切换。在针对公安厅网络系统的设计中，主要使用了以下几种备份手段：1、设备在核心交换机机上采用了冗余备份的配备，它的交换背板，交换处理器，主干千兆端口，电源模块均有冗余，消除网络核心存在的单故障点。在其它的主要网络设备如边界交换机、路由器实现电源备份。2、线路 远程光纤一般有多条芯，可以随时更换。 从主干交

23、换机到本地局域网使用多链路技术，实现负载均衡和容错。 广域访问使用拨号备份技术，确保各派出所与中心数据库的链路畅通。1.7网络管理网络管理的方式为集中式管理。网管中心设在市公安厅网络中心，集中管理的好处是减少管理人员，发挥网络的优势。网络管理的一般过程：初始化：网管软件安装完成后，网管信息数据库为空，这时要做初始化的工作。要求网管软件提供了功能，在不做任何设置的情况下，网络软件能通过广播发现相连网段上的设备，如果该设备是路由器，则网管软件会发现路由器所连的其它网段，通过这种传递方式，整个网络上的网络设备、主机以及拓朴结构都为网管软件所知。有了这些信息，网管软件就能进一步获取每个网络设备的详细信

24、息。获取静态信息：主机和网络设备的库包括有静态信息和动态信息。所谓静态，是指一些有关设备的标识、硬件软件等不易发生变化的信息，例如路中器的型号、模块信息、地理位置、 、主机的操作系统名称等。这时。网管软件已能自动产生网络的拓朴图并用图标标示网络上的物理设备，网管人员可自行编辑网络拓朴图使其更为直观，所有的数据将存入网管软件的数据库中。除非网络发生物理上的变化如增加新设备等。一般不必对上面的数据作改变，这样每次网管软件启动时，不必重复作初始化工作。实时监控：跟踪、获取动态信息是网络管的主要任务。动态信息指网络中经常发生改变的信息，如端口的状态，线路的好坏，剩余内存的大小等。获取信息的方式有两种，

25、一是轮询（）的方式，网管软件定期查询各网管代理，获得相关的信息，这由协议的操作来完成。二是事件触发的方式，在各网络设备代理设定一些触发条件或门限值，当条件满足时代理就发送信息给网络软件。通过的命令，网络管理员还可用网管软件对网络设备进行远程设置。此外， 2 协议能智能地监控网络上的数据和流量，对的支持是网络设备的重要指标。最后，网管软件把得到的数据汇总，以直观的图形方式表达，为网管人员提供依据，对数据分析，以进一步对网络作优化。优化：按照网管的模型，网管站与网管代理之间要经常驻交换信息，特别是的操作，如果网管站向某一代理发生一个 ( 命令，该代理就会把所有的属性值发给网管站。另一方面，如果不适

26、当地设置，可能导致网上充满了发往网管站的通知，这些无用的信息包严重地消耗了广域网上带宽，造成网络通讯阻塞。因此，在设计网管系统时要考虑优化的问题，在局域网上尽可能的结合实现智能管理。智能网络设备一般带有网管代理的功能，为网络设备定义了一套标准的（ ）。定义了网络设备的各项属性，其中一部分静态的，一部分是在网管中很少用到的，因此在回答网络管理站的轮询应尽量只发送有用的信息。在广域网上，应尽可能少地使用轮询操作，并且对不同的设备应区别对待，重要的设备轮询的间隔短些，非关键的设备间隔长些或干脆不用轮询。优秀的网管软件提供了区别对待不同网络的能力，如 ，能够针对不同的网络节点作不同的 设置。对的使用也

27、应加以控制，频繁的状态变化（如因为线路不稳定导致不停地）会产生大量的消息包。网管安全协议提供了命令，可对网络设备作远程设置，这也藏了不安全因素，只提供了简单的安全机制（ ），因此，在设置时，要把命令的口令分开。为不同的管理权限分配不同的口令（ ），在平时使用只读的口令，在设置才用读写的秘密口令，如果把系统分为多个管理区，在每个管理区应使用不同的口令。网络管理软件的选择： 网络管理软件分为两种：通用网管平台软件和专用网管软件。通用网管平台软件 是一个管理平台，它能在多种操作系统上提供了统一的管理人机界面，支持全部的网络管理标准（ V2 2），网络协议，能与多种数据库系统集成。由于采用了面向对象的

28、结构，能支持许多第三方厂商的扩展模块，因此功能非常强大。这类软件有： 、 、 ， 。专用网管软件 多为网络厂商提供的，其管理对象限制在自己的网络产品。为了满足集成的功能，一般与其它通用网管平台一起工作，如 、 、 。3 的 网络管理软件在缺省配置下就与捆绑在一起了。 的 也是类似的产品。网管产品选型：以上几个章节均以逻辑设备的方式描述网络系统方案的实现，具体实现中涉及到产品的选型。产品选型原则和依据包括几个方面：满足用户的需求：（最重要的，并且是其它原则的基础）好的性价比；厂商的因素。厂商与产品选型的关系一般来说，用户一但选择了个厂商的产品，就与厂商形成了一种伙伴关系，（与集成商也是如此），并

29、存在于整个产品的生命周期，产品的更新、升级都需要厂商的支持，因此一定要选择稳定发展，处于上升阶段的厂商，（公司就是一个反例）。其次，各厂商的产品线有宽有窄，市场的定位也不尽相同，如果厂商由于在某些细分市场获利不佳，因而退出该市场，就会为用户以后的升级带来困难。目前符合上述条件的主要网络厂商有、3。、3均为全线产品厂家，侧重于路由器和广域网，3侧重于交换机和集线器，以及桌面网络产品。而是老牌骨干网络设备专业生产厂家，在骨干网的建设上有自己独特的解决方案。多厂商方案单一厂商方案 网络与软件不同， 可以完全按照自己的意愿设计9x，而网络有许多标准规范，所有的网络设备都必须遵守这些标准，使不同厂商的设

30、备集成在一起可能。 另一方面，各厂商在标准的基础上增加了许多自己设计的功能，即产品的附加价值。因此当采用单一厂商方案时，能使厂商的这些功能得到充分发挥，同时在网络设备的管理和维护上比较方便。在一个大型网络系统中，由于网络涉及的产品面广，功能/性能要求多，如果能采用多个厂商的产品，发挥厂商在不同领域的优势，同时提供更多的灵活性，获得更好的性价比，这也是很好的选择。单一厂商方案多厂商方案性价比好网络管理方便/统一维护不会互相推委1.8以网络产品实现网络设计1.8.1核心网络产品和外部访问产品实施 数据中心的核心网络设备应该具有以下特点： 高速率 中心节点拥有主干核心交换机，需考虑充分利用核心交换机

31、的性能优势。 高密度 中心节点的端口需求量大，特别是拨号端口的密度。因此对拨号访问服务器有很高的要求。 高可靠 中心节点对网络设备的可靠性有很高的要求，特别是主干交换机的可靠性，应考虑备份冗余。根据中心节点的规划设计，产品实施如下：中型交换机选用两台 6509千兆位多层交换机，互为备份。两台交换机各配有一块多层交换模块（），各配有两块8口千兆模块，用以与分局（处）的连接，同时各配有48个百兆口用以和本地连接。两台交换机之间采用技术，采用3条千兆连接达到6的全双工速率。拨号考虑同时支持200个用户拨入，拨号访问路由器采用两台的5300访问路由器，互为备份。每台5300配有一块2口E1模块，一块121B（2口E1，1口快速以太网模块），两块30数字模块，这样可同时支持120个模拟拨号或240个拨号。由于拨号访问是一项开放的服务，为保证安全，在访问路由器的后面配置一台访问认证服务器，并使用认证协议。为了严格控制拨号访问用户的行为，使用防火墙把拨号访问网络与中心局域网隔离，加强安全。所有的服务器设备，直接连到核心交换机上。所有的100M桌面用户直接连到核心交换机上，用与服务器分开。普通桌面用户连