三级接入网扩容改造.docx

1、三级接入网扩容改造十一、三级接入网扩容改造1、系统设计要求1.1、系统概述为力求提供一个安全、先进、灵活，高带宽、高可靠性的多业务网络平台。使得东川区政府指挥中心能够基于这个平台，实现安全高速的数据共享、传输通畅。建立一个开放的、基于警用标准的网络统一应用平台，实现信息交换和资源共享，增强各部门工作的透明度。通过统一的网络平台支撑系统各部门的数据、语音和视频业务，逐步实现视频、语音、数据“三网合一”，同时建立完善的信息安全体系和相应的备份系统，运用高科技手段提供高效、迅捷的服务。1.2、网络现状东川区公安三级网络经过多年的建设、扩建已经初具规模，办公大楼内部建设了局域网，能够满足目前甚至十几年

2、的网络发展需求。目前中心采用H3C 普通交换机，数据通信通过H3C RT-3680E和昆明市局10M连接，视频会议通过CISCO2611和昆明市局2M连接。辖区内的各派出所和外联单位通过E1专线/2M和分局联网。具体联网方式如下表：序号单位带宽连接方式备注1东川区公安分局10M2M10M数据2M视频2新村所、达贝所、碧谷所、阿旺所、汤丹所、乌龙所、红土地所、拖布卡所、因民所、舍块所、绿茂所、交警大队、消防大队、看守所、戒毒所、汤丹交警中队各2M各E1专线共16个现有网络拓扑图如下所示：目前网络主要存在以下问题：1、现有网络带宽（10M2M的方式）及核心设备的性能已无法满足业务应用需求。而且随着

3、平安城市智能监控的建设和应用，出口带宽更加不够；2、部分单位，如分局大楼指挥中心、交警、新村所、达贝所发展迅速，人员编制多，电脑多，接入带宽严重不足。2、系统功能及技术要求2.1、以智能监控系统的应用需求为基础，提供一个安全、先进、灵活，高带宽、高可靠性的多业务网络平台。1、利用宽带IP技术，实现网络对视频、语音和多媒体业务的良好支持。视频、语音和多媒体业务是一种对业务的实时性，安全性和可靠性都有严格要求的特殊业务。因此在网络的设计和建设上要求能够满足对视频、语音和多媒体业务的支持，针对不同应用提供不同的服务质量。2、充分利用现有的网络平台，增加必要的网络设备，保证网络运行可靠。在现有网络设备

4、的基础上，增加设备、改造线路、预留接口，以满足网络规模的扩展。基于以上设计思路，着重针对以下几点来做规划设计：、提高出口带宽：采用234M接入昆明市公安局，作负载均衡配置；政府指挥中心控制大厅大楼增加核心交换机和楼层接入交换机。、提高四个单位带宽：政府指挥中心控制大厅、交通管控分中心、城区新村派出所、达贝派出所，采用千兆联网；、其余派出所维持E1专线/2M不变。附：三级接入网网络拓朴图2.2、三级网改建为提高网络带宽，将现有的10M2M模式改造为234M接入市公安局。相应增加路由器和扩展模块配置，实现三级网带宽扩容和链路备份。核心设备作为承载多个局域网的业务、数据平台，实现多个局域网（城域网）

5、之间的高速、可靠互联，承载着各种业务、数据的处理、传输。主要由中心核心路由器、核心交换机、分支机构的接入路由器、互联链路等组成。在设计时参考以下步骤进行：1、依据需求确定网络拓扑结构，进行网络架构设计。根据用户的业务流向、用户的组织架构、业务开展情况以及对网络的可靠性、安全性的要求选择合适的网络拓扑结构、确定网络层次进行分层设计。 2、依据用户的业务类型、流量大小确定用户链路类型、链路带宽。根据用户开展的业务类型、所需带宽及综合链路成本考虑选择合理的链路。通常有两种广域网连接方式：交换式连接和专线连接。3、根据设计输出选择合适的设备网络设备选择的依据是需求分析获得的各种网络的数据，包括带宽、性

6、能、特殊应用等。网络设备的选择需要考虑以下几个方面： 设备档次根据网络的拓扑对各层设备作先期的选型估计，依据设备在网络中所处的位置选择相应的产品。确定设备档次的是性能要求，其次是接口类型、各层设备接口数、可靠性要求。 接口类型、数量具体的接口类型取决于用户选用的线路的选择。而线路的选择则取决于网络数据流量的估算、当地各种线路的性价比。 可靠性要求需要主控冗余备份、电源冗余备份、接口备份、设备间备份等。 特殊应用数据采集有语音的需求，各级语音接口的CALL数峰值。专线方式：SDH 透明电路。新增2台多业务路由器，配置34M E3透明SDH电路接口，作为骨干接入设备，构建三级网节点的高速接入和可靠

7、性保障骨干设备；三级网节点拆除目前到二级网节点的10M复用链路。将三级网节点目前使用的路由器专门用作语音网关。以双核心、双链路、全冗余互连的组网结构来实现系统对业务高可靠性需求。具体连接方式为：两台多业务路由器之间采用千兆链路汇聚互相联接；采用E3链路分别接入上级网络。两台骨干设备之间起用VRRP+MSTP，互为主备用，同时负荷分担。当其中一台设备或一条链路Down掉，该设备或链路上承载的流量将无缝地切换到另一台设备或另一条链路上，保证系统可靠运行。核心路由器和市局网络中的路由器之间运行OSPF路由协议，以确保与上级单位网络的全时互通。如上图所示，采用2台 路由器，分别配置E3模块，分别和昆明

8、市局联接；采用1台28PEI三层交换机作为整个东川区公安分局网络的核心交换机，联接东川区公安分局办公大楼局域网、政府指挥中心控制大厅、交通管控分中心、城区新村所和达贝所。其余辖区内分散各地的派出所及外联单位由两台核心路由器分担。2.3、接入网扩容接入网信息网建设的难点和关键点，目前东川区已实现全部派出所的E1专线接入，在本次网络改造中沿用以前的设备、链路实现互联，以节省经费。根据东川区现有网络现状，充分考虑各派出所、外联单位实际使用要求、人员编制、现有电脑数、业务需求流量等情况，特作以下改建：序号单 位现在联接方式及带宽改建联接方式及带宽备 注1政府指挥中心控制大厅双绞线1000M裸纤重要单位

9、2交通管控分中心未接入1000M裸纤重要单位3城区新村派出所E1专线2M1000M裸纤重要单位4城区达贝派出所E1专线2M1000M裸纤重要单位5碧谷所、阿旺所、汤丹所、乌龙所、法者所、拖布卡所、因民所、舍块所、绿茂所、消防大队、看守所、戒毒所E1专线2M计12个所不再改造模型一：光纤1000M（光纤收发器）采用此模型的单位为：政府指挥中心控制大厅、交通管控分中心两个单位。如图所示，这种方式政府指挥中心大厅、交通管控分中心各配置两台二层交换机，通过光纤跳线（分局大楼指挥中心）或裸纤（交警指挥中心）采用千兆单模光纤收发器和分局EI核心交换机连接，两台26T交换机可通过千兆电口连接。 核心交换机上

10、可配置多个Vlan三层接口地址，作为政府指挥中心控制大厅和交通管控分中心的网关，而二层交换机上配置管理地址、划分Vlan、TELNET等。（采用光纤收发器的原因是：需要在路线上增加防火墙设备）模型二：裸纤1000M（光纤模块直连）采用此模型的单位为：新村所、达贝所两个。如图所示，这种方式所端采用二层交换机，配置单模光纤模块。分局连接到核心交换机光口。所端采用二层可管理交换机，配置管理地址、TELNET、划分Vlan；核心交换机上配置相应Vlan三层接口地址，作为派出所端网关。模型三：E1专线2M（E1转V35 路由器方式）采用此模型的单位为：其余12个所，已经建成。如图所示，这种方式派出所端和

11、分局均需要路由器，分局连接到核心路由器。两台核心路由器分别配置8端口和4端口串口模块，每台分担6个所，保障物理线路上就实现负载均衡，分散网络故障点。所端路由器配置所端网关地址、TELNET。这种联网方式层次分明，便于管理。3、主要设备性能指标3.1核心路由器型号：华为 AR 46-40路由器AR46系列路由器可以提供RPU-350Kpps（固定2FE接口）和ERPU-1000Kpps（固定3GE接口）两种引擎；根据网络规模的不同，AR46凭借其高弹性、高性能可以应用于运营商边缘路由器，大型行业网汇聚层路由器、也可在企业网中作为核心路由器。产品特点 高效的双总线结构AR46系列路由器采用了独特的

12、的双总线体系结构，两条独立的PCI总线以及高性能的CPU，配合自主知识产权的IP Turbo Engine TM技术，极大的提高了系统转发性能。本着贴近客户的需求，继AR 46提供双总线、单内核引擎的350Kpps转发能力之后，为了进一步提升宽带业务性能而推出双总线、双内核引擎的1000Kpps转发能力的引擎，转发性能远远高于业界同等档次的产品。AR 46系列路由器的高性能是业务的高性能，在处理各种业务时转发性能不会出现明显下降，可以不断提升运营商边缘、大型行业及企业中心应用环境的业务性能。 关键器件冗余设计AR46系列路由器充分考虑网络应用对高可靠性的要求，融入了高端路由器的技术，设备关键部

13、件如总线、电源、散热系统、BootRom等都采用冗余设计，采用互为冗余备份的双电源（11备份）模块，支持交、直流输入。 关键模块热插拔AR 46系列路由器所有接口板、电源、风扇都支持热插拔功能，充分满足网络维护、升级、优化的需求。 软件在线补丁AR 46系列路由器提供独特的软件在线热补丁功能，保证软件优化时业务不会中断。 丰富的网络冗余AR 46系列路由器具备丰富的链路备份、链路捆绑、路由备份、多映像和多配置启动、拨号备份、VRRP等功能，保证网络节点及全网的可靠性。通过多方面的保证， AR46系列路由器整机可实现7*24小时的不间断运行。 易维护、人性化设计AR 46系列路由器充分考虑了DF

14、T（design for testability 可测性设计 ）设计，并且在此基础上，提供了独特的自动故障定位分析工具。通过运行在PC机上的故障诊断软件，能够以清晰的思路帮助网络工程师快速准确定位系统故障；并提供了系统状态和告警信息查询，以及丰富的诊断测试手段。同时，华为公司提供功能强大的网管系统(DMS)以及精美直观的业务管理系统(VPN Manager、CAMS)，帮助网络管理员实现对全网业务的高效管理维护。 突出的集成安全性AR46系列路由器产品采用全新的集成安全设计模式，将安全设计渗透到每个模块、每个协议、每个业务流程中，为实现企业网络的安全防护带来有效的保障。AR 46系列路由器全面

15、集成了CA、包过滤防火墙、动态防火墙、ISPKeeper DOS防御系统、NAT、用户认证、安全日志、设备安全、250Mbps以上硬件VPN加密，业务隔离（VR）等安全特性，在时间、空间、网络层次等三个纬度为网络用户量身定制安全策略。AR46系列路由器可担当DVPN Server。华为公司在业界首先提出动态VPN（DVPN）理念，总部及分支机构均可采用动态IP地址或私有IP地址接入，VPN设备之间自动创建隧道、维护隧道。DVPN技术可以使全网互联只需要建立N -1条通道，增加一个VPN节点只要增加一条维护链路，具备良好的扩容性。相比传统IP VPN组网，不仅维护成本低，同时网络应用更加灵活，动

16、态VPN提供完善的认证和加密特性，完全保证用户的网络安全。 集成全能、随机应变AR46系列路由器同时具备华为公司高端和中低端路由器全面的业务能力，包括完善的路由、MPLS、VPN、组播、语音、安全、QOS、IPv6、宽带接入、三网合一等业务能力；所有业务根据实际环境均进行了优化设计。核心网络操作系统的VRP软件平台具有超过多年的商用经验，VRP提供的业务不是简单的叠加，而是高效有机地融合。AR 46系列路由器融合了路由器、FW、入侵防御、VPN网关、语音网关、宽带接入网关、二层交换机等设备的功能，充分适应网络集成一体化的组网要求，并能根据应用环境的特点灵活的实现多种设备功能与业务的组合。技术参

17、数内存RPU引擎：256M（缺省），最大512MERPU引擎：512M（缺省），最大1024MFLASHRPU引擎：32M（缺省）ERPU引擎：64M（缺省）主机自带FLASH扩展槽可扩展到256MBOOTROOM1024KNVRAM512K固定接口RPU引擎：2个10/100M以太网口；1个AUX口；1个配置口ERPU引擎：3个GE Combo口（光口和电口二选一）或3个GE电口；包转发率RPU引擎：350Kpps烛光/文件ERPU引擎：1000Kpps插槽数量4功能模块1/2端口十/百兆以太网电接口模块（RJ45）1端口百兆单模光接口以太网模块(1310nm,15km, SC)1端口百兆多

18、模光接口以太网模块(1310nm,2km, SC)1/2端口1000M Base-T电口(RJ45)模块1/2端口1000M以太网光接口模块8端口10/100M以太网二层交换接口模块16端口10/100M以太网二层交换接口模块光模块-SFP千兆多模模块-（850nm,0.55km,LC）光模块-SFP千兆单模模块-（1310nm,10km,LC）功能模块- SFP千兆单模中距模块-（1310nm,40km,LC）功能模块- SFP千兆单模中距模块-（1550nm,40km,LC）功能模块- SFP千兆单模长距模块-（1550nm,70km,LC）8/16端口增强型异步串口接口模块(RJ45)2

19、/4/8端口增强型同/异步接口模块1/2/4端口E1/CE1/PRI接口模块1/2/4路T1/CT1/PRI接口模块1/2/4端口非通道化E1接口模块1端口E1语音模块8端口E1接口模块（75ohm）8端口E1接口模块（120ohm）输入电压AC：100V240V（+/-10%） 50/60HzDC：-48V-60V（+/-20%）外型尺寸(WDH)436.2 mm420 mm130.5 mm重量17.5kg最大功率240W安规认证具有CE、UL、TUV等多国承认安规认证工作环境温度040环境相对湿度590%（无凝结）3.2、 核心交换机： 型号：华为 S3928P-EI以太网交换机华为 S3

20、900系列智能弹性以太网交换机是华为公司为设计和构建高弹性、高智能网络需求而推出的新一代以太网交换机产品。系统采用华为公司创新的IRF（Intelligent Resilient Framework，智能弹性架构)技术，将多台分散的设备组成统一的交换矩阵，非常适合作为关注扩展性、可靠性、安全性和易管理性的办公网、业务网和驻地网的汇聚和接入层交换机。产品特点基于VLAN的业务控制S3900提供基于VLAN的批量ACL下发，能支持对报文的过滤、优先级设置，保障高优先级业务和用户的安全需求。S3900支持QinQ，可以将用户私网VLAN标签封装在公网VLAN标签中，使报文带着两层VLAN Tag穿越

21、运营商的骨干网络。S3900支持灵活QinQ，能针对不同的业务报文打不同外层VLAN标签，便于业务分离。高可靠性S3900不仅支持STP/RSTP/MSTP生成树协议，还提供Smart Link技术，能实现主备链路毫秒级倒换，解决了电信级业务接入可靠性问题。S3900采用IRF技术组网后，能够在整个堆叠组内实现控制平面和数据平面所有信息的冗余备份，极大地增强了设备和网络的可靠性，消除了单点故障，避免了业务中断。S3900支持VRRP虚拟路由冗余协议，能与其他三层交换机构建VRRP备份组。S3900能配置多条等价路由，当主上行路由发生故障时自动切换到下一条备份路由，实现上行路由的多级备份。S39

22、00支持交流/直流双输入，设备既可以采用交流电源输入，也可以直流电源输入，二者之间热备份。丰富业务支撑能力S3900支持华为创新的IRF（Intelligent Resilient Framework）技术，能够将多台设备连接起来组成一个联合设备（Fabric），并将这些设备看作单一设备进行管理和使用，降低了管理成本，同时实现按需购买、平滑扩容。S3900（PWR型号）支持PoE（Power Over Ethernet），即可通过双绞线向远端下挂PD设备（如IP Phone、WLAN AP、Security、Bluetooth AP等）提供-48V直流电源，实现对下挂PD设备远端供电。S390

23、0通过支持POE和Voice VLAN技术，提供完美的数据和语音融合解决方案。S3900支持DHCP Snooping、DHCP Snooping Trust、DHCP option82，满足IPTV业务开展的需要。S3900支持单纤双向模块，能实现单根光纤双向传输，解决光纤资源不足问题。完备的安全控制策略S3900支持集中式MAC地址认证和802.1x认证。在用户接入网络时完成必要的身份认证，还可以通过灵活的MAC、IP、PORT任意组合绑定，有效的防止非法用户访问网络。支持DUD(Disconnect Unauthorized Device)认证，通过MAC地址学习数目限制和MAC地址与端

24、口绑定实现。支持用户分级管理和口令保护，支持MAC地址学习数目限制、MAC地址与端口绑定、端口隔离、MAC地址黑洞；支持防止DoS攻击功能。S3900支持HWTACACS特性，可以提供安全的信息保障和强大的认证功能。丰富的QOS策略S3900支持基于源MAC地址、目的MAC地址、源IP地址、目的IP地址、端口、协议的L2L7复杂流分类。提供灵活的队列调度算法，可以同时基于端口和队列进行设置，支持SP、WRR、WFQ、SP+WRR、SP+WFQ五种模式；支持8个优先级队列，2个丢弃优先级；支持WRED拥塞避免算法。支持CAR功能，可以实现基于端口和基于流的速率限制，限制的粒度可以精确至64Kbp

25、s，为网络带宽的精细化管理提供了手段。多样的管理方式S3900支持NQA，能探测DHCP、HTTP、SNMP服务是否可用以及服务的响应时间，检测网络的时延抖动，使运营商对网络现状清晰掌握。S3900支持RSPAN远程端口镜像，突破传统镜像端口和源镜像端口必需同设备的限制；支持VCT虚电路检测，5s内报告链路故障情况；支持DLDP单向链路检测功能，能自动发现单通故障。 S3900支持SNMP V1/V2/V3，可支持iManager 网管系统。支持CLI命令行，Web网管，TELNET，HGMP集群管理，使设备管理更方便。通过各种开放的标准MIB和扩展MIB的支持可以提供完善的基于SNMP的第三

26、方管理能力。技术参数线速二/三层交换所有端口支持线速转发交换容量为32Gbit/s包转发率9.6Mpps（S3928)/13.2Mpps（S3952）VLAN支持4K个符合IEEE 802.1Q 标准的VLAN支持基于端口的VLAN支持QinQ支持灵活QinQVoice VLAN支持识别进入端口的流的MAC 地址，如果是IP 电话流，就会将该端口加入相应的Voice VLAN广播风暴抑制支持基于端口速率百分比的广播风暴抑制，同时支持基于pps 的广播风暴抑制制端口环回检测支持端口收、发数据线被短路的检测与告警IP 路由静态路由、RIPv1/2OSPF、ECMP组播支持组播VLAN；支持基于端口

27、复制；支持IGMP snooping、Filter、Fast leave；IGMP V1/V2、PIM-SM、PIM-DM可靠性支持STP/RSTP/MSTP、Smart Link端口汇聚支持通过LACP 进行动态端口汇聚，支持跨设备汇聚支持进行通过命令行手动进行端口汇聚支持每个汇聚组最大端口数8FE 或者4GE最多支持14 组端口汇聚组Jumbo frame支持镜像支持多对一的端口镜像，即多个源端口，一个镜像端口支持流镜像 MAC 地址表地址自学习IEEE 802.1D 标准最多支持16K个MAC 地址支持静态MAC 地址1K流控支持IEEE 802.3x 流控（全双工）支持背压式流控（半双

28、工）IRF 简单堆叠支持，最多8 台IRF支持IRF 8 台加载与升级支持XModem 协议实现加载升级支持FTP、TFTP 加载升级管理支持命令行接口（CLI）配置支持Telnet远程配置支持通过Console口配置支持SNMP支持RMON1，2，3，9 组MIB支持华为iManager N2000 DMS 网管系统支持WEB 网管支持系统日志、分级告警维护支持PING、Tracert支持NQA支持VCT（Virtual Cable Test）支持单链路检测协议（DLDP）支持RSPAN 远程端口镜像QoS/ACL支持对端口接收报文的速率和发送报文的速率进行限制支持报文重定向支持CAR（Co

29、mmitted Access Rate）功能，流量限速的粒度为：64Kbit/s支持8个端口输出队列支持灵活的队列调度算法，可以同时基于端口和队列进行设置，支持SP（Strict Priority）、WRR（Weighted Round Robin）、WFQ、SP+WFQ、SP+WRR 五种模式支持报文的802.1p 和DSCP 优先级重新标记支持L2（Layer 2）L4（Layer 4）包过滤功能，提供基于源MAC 地址、目的MAC 地址、源IP 地址、目的IP 地址、端口、协议、VLAN、VLAN 范围、MAC 地址范围和非法帧过滤安全特性用户分级管理和口令保护支持IEEE 802.1X

30、 认证支持AAA、Radius、HWTACACS 认证支持MAC 地址学习数目限制支持MAC 地址与端口绑定支持DUD(Disconnect Unauthorised Device)认证，通过MAC 地址学习数目限制和MAC 地址与端口绑定实现支持SSH支持防止DoS 攻击功能支持端口隔离支持MAC 地址黑洞支持集中式MAC 地址认证业务端口24个10/100M电口和4个千兆SFP口外形尺寸(WDH)440mm260mm43.6mm440mm420mm43.6mm（S3928PWR-EI 、S3952PWR-EI）重量3.5Kg5.8KgS3928PWR-EI输入电压S3900-SI 系列以太网交换机只支持交流电源输入，S3900-EI 系列以太网交换机支持交流电源输入和直流电源输入。AC：额定电压范围：100 240V a.c. ；50/60Hz最大电压范围：90 264V a.c. ； 50/60HzDC：额定电压范围：-48 -60V d.c.最大电压范围：-36 -72V d.c.POE 供电时输入电压范围：-52 -55V d.c.功耗（满负荷时）40W工作环境温度工作温度：0 45 ；储存温度：-40 70 工作环境相对湿度10%90%（无凝结）