广电网络方案.docx_咨信网zixin.com.cn

资源描述

1.1 网络设计方案此次选择租用天津广播电视网络有限公司提供的链路天津广播电视网络有限公司在长期的天津市有线电视、数字电视和数据链路专网及互联网服务过程中，积累了丰富的网络资源和人才资源，并且建立了完善的光缆施工维护、网络设备安装调试和维护队伍，并建设了成熟的网络管理平台。公司下辖19个分公司、3个维修分部、一个统一客服平台，有超过2000名正式员工。并有数十个工程建设队伍和专门的网络服务销售商和网络维护代理商。十年来，天津广电在数据业务市场上承载了天津市视频监控网数据传输、天津市交通管理局智能交通项目、天津市医保社保联网、天津市检察院联网等等大量的政府和企事业单位的联网数据传输。 1.1.1 设计要求保证该项目中全部视频监控点位和电子卡口点位的全部前端设备有效联入全市视频监控网，每个前端监控杆提供不低于100M带宽并满足实际需求。 1.1.2 设计原则 1、GA/T669-2008《城市监控报警联网系统系列标准》 2、GB50348－2004《安全防范工程技术规范》 3、GB50395－2007《视频安防监控系统技术要求》 4、GB50394－2007《入侵报警系统技术要求》 5、GB50198-1994《民用闭路监视电视系统工程技术规范》 6、GA/T74－2000《安全防范系统通用图形符号》 7、GB16796《安全防范报警设备安全要求和试验方法》 8、GB/T 20271-2006《信息安全技术信息系统通用安全技要求》 9、GA/T379-2002《报警传输系统串行数据接口的信息格式和协议》 10、YD/T 1171-2001《IP网络技术要求--网络性能参数与指标》 11、GA/T75-94《安全防范工程程序与要求》 12、GAT496-2009《闯红灯自动记录系统通用技术条件》 13、GAT497-2009《公路车辆智能监测记录系统通用技术条件》 14、GAT832-2009《道路交通安全违法行为图像取证技术规范》 15、GA/T367-2001《视频安防系统技术要求》 16、GA/T509《公安交通电视监视系统验收规范》 17、GB50057-94《建筑物防雷设计规范》 18、GB50343-2004《建筑物电子信息系统防雷技术规范》 19、JGJ/T16-92《民用建筑电气设计规范》 1.1.3 网络拓扑结构图 1.1.4 设计方案天津广播电视网络有限公司自2003年开始即参与天津市视频监控网规划、设计、试点和建设工作，广电网络公司以当时先进、现已成熟的MPLS VPN设备平台为基础进行了长期建设，现已成为天津市视频监控网络链路的骨干网。综合分析该项目需求，我们建议继续采用成熟、安全、稳定、可靠、带宽资源丰富的MPLS VPN技术方案进行后继项目建设。 1.1.4.1 链路方案综述视频监控网以点位数量多、分布范围广，技术、设备种类多、所有者种类多为特点。天津市公安局为此进行了编码设备和传输设备标准化，已可以统一进行网络传输、存储和处理。根据本次项目招标要求，我公司的网络链路拓扑图如下图：方案要点说明如下： 1. 依托广电网络公司的大容量MPLS VPN骨干网、汇聚网进行承载，该网络采用两级路由架构，架构简洁合理，以双10Gbps链路双归上联实现保护，安全、可靠； 2. 为进一步提升安全性、稳定性以及缩短故障倒换时间，我公司MPLS VPN网络由OTN网络承载，实现骨干、汇聚链路倒换50ms的电路级别标准； 3. 提供1000条MPLS VPN链路并满足视频监控网视频监控点1000点联网链路传输需求； 4. 接入网介质均为光纤，使用广电网络的MSAP平台或者光纤收发器+交换机作为接入平台，每个接入点带宽为100Mbps；针对某些特许需求点位，具备升级带宽至1000Mbps的能力； 5. 与骨干网的对接：因视频监控网骨干依托于广电网络的MPLS VPN平台，招标中指定的所有点位就近直接接入广电网络的远端机房、二级分中心或者一级分中心机房进行汇聚。 6. 然后根据天津广电网络的网络路由情况在广电机房内直接接入（已建）的MPLS VPN平台，既已完成与视频监控网主干网的连接；基于视频监控网骨干的分层稳定成熟架构，此种接入方式省去了多运营商对接过程中产生的诸多问题，更加快速便捷，不会对现网的运行环境造成影响； 7. 网络路由规划情况：本次整合点接入方案路由规划，根据天津广电网络多年在天津视频监控网项目上的实践经验，具体路由规划分为三层：接入层、汇聚层、骨干层。 1) 接入层：接入层路由情况根据前端需要点位位置，就近接入天津广电网络远端机房，每个前端点位接入介质均为光纤，接入带宽不小与100Mbps，并且可以根据实际情况进行相应升级；; 2) 汇聚层：汇聚层根据天津广电网络机房路由规划，将汇聚机房内下属的远端机房所接入的点位进行汇聚； 3) 骨干层：根据天津广电网络网络情况，汇聚层机房内已部署天津广电网络MPLS VPN平台（天津视频监控网骨干），汇聚节点在机房内直接接入视频监控网骨干。 8. 提供带宽为10GE光纤链路与集中存储中心进行接入，将项目中所有点位视频信号传输到集中存储机房进行存储。 9. MPLS VPN平台现有足够的带宽预留，根据现有运行状况和本项目特点，视频监控网主干在增加本项目所需带宽后在应用中不会产生带宽瓶颈。在今后再增加带宽需求并将产生瓶颈，我公司可安排以1G或10G为单位升级平台骨干带宽或某区域接入带宽。 1.1.4.2 与视频监控骨干网对接说明与骨干网的对接：因视频监控网主骨干依托于广电网络的MPLS VPN平台，招标中指定的所有点位就近直接接入广电网络的远端机房、二级分中心或者一级分中心机房进行汇聚。然后根据天津广电网络的网络路由情况在广电机房内直接接入（已建）的MPLS VPN平台，既已完成与视频监控网主干网的连接；基于视频监控骨干的分层稳定成熟架构，此种接入方式省去了多运营商对接过程中产生的诸多问题，更加快速便捷，不会对现网的运行环境造成影响； 1.1.4.3 相关网络资源、网络平台说明及优势 1、网络资源天津广电网络覆盖天津市所有行政区域，在机房和光缆资源上以市级核心、区县一级中心、区县内二级分中心、远端机房组成四级网络资源架构。目前拥有三个核心机房，19个一级分中心（原19个行政区县），约200个二级分中心（市内六区每区4-6个，其它区县的每镇1个二级分中心），近1000个远端机房（每个二级分中心平均带5个远端机房，并仍在扩建）。机房间光缆均采用大芯数缆，接入光缆统一由远端机房出局。优势：网络基础设施丰富、结构合理。经多年建设，现有远端机房平均覆盖半径1-2公里，已非常方便完成各类企事业单位的各类接入需求。接入光缆遍布各小区、交通路口、建筑、企事业单位等，光缆资源极其丰富。 2、网络平台 1) MPLS VPN平台 a) MPLS VPN技术介绍 MPLS（multi-protocollabelswitch）是Internet核心多层交换计算的发展。MPLS将转发部分的标记交换和控制部分的IP路由组合在一起，加快了转发速度。MPLS技术提供了类似于虚电路的标签交换业务，这种基于标签的交换可以提供类似于帧中继、ATM的网络安全性。 MPLS VPN一般采用下图所示的网络结构。其中VPN是由若干不同的site组成的集合，一个site可以属于不同的VPN，属于同一VPN的site具有IP连通性，不同VPN间可以有控制地实现互访与隔离。相对于传统的VPN技术来说，MPLS VPN可以实现底层标签自动的分配，在业务的提供上比传统的VPN技术更廉价，更快速。同时MPLS VPN可以充分的利用MPLS技术的一些先进的特性，比如说MPLS 流量工程能力，MPLS的服务质量保证，结合这些能力，MPLS VPN可以向客户提供不同服务质量等级的服务，也更容易实现跨运营商骨干网服务质量的保证。 MPLS VPN还可以向客户提供传统基于路由技术VPN无法提供的业务种类，比如像支持VPN地址空间复用。对于MPLS的客户来说，运营商的MPLS网络可以提供客户需要的安全机制，以及组网的能力，VPN底层连接的建立、管理和维护主要由运营商负责，客户运营其VPN的维护和管理都将比传统的VPN解决方案简单，也减低了企业在人员和设备维护上的投资和成本。基于MPLS的VPN可以作为传统的基于二层专线的VPN、纯三层的IP VPN和隧道方式的VPN的替代技术。 b) 广电网络MPLS VPN平台 2011年我公司采用业界高端路由器完成了MPLS VPN骨干网、汇聚网扩容，网络平台拓扑图如下。核心1 核心2 和平南开红桥河北河东河西塘沽大港接入交换机用户北辰宁河静海西青蓟县津南东丽汉沽宝坻武清新的MPLS VPN网络平台采用两级网络架构，架构简洁合理。二级网络为汇聚层，从区内各二级分中心的MPLS VPN接入路由器以双归路由链路的方式上联至本区和相邻区的两个区一级分中心MPLS VPN汇聚路由器。在业务重点区采用2x10Gbps链路带宽上联，在普通区采用2x1Gbps链路带宽上联。一级网络为骨干层，从各区的一级分中心汇聚路由器以双归路由链路的方式上联至网络的两个核心层路由器，骨干层链路带宽为2x10Gbps。特点和优势：两级网络架构，架构简洁合理；各层均采用链路双归上联实现链路保护，安全、可靠；采用分区、分层双归架构，同时骨干和重点区采用2x10Gbps带宽链路连接，使网络具有超大容量承载能力。此外，为进一步提升安全性、稳定性以及缩短故障倒换时间，我公司MPLS VPN网络由OTN网络承载，从而实现了骨干、汇聚链路故障恢复时间50ms的电路交换级别标准，是一个非常稳定的数据传输平台。 2) OTN平台 OTN（光传输网络）定位为底层传送网络，为各种业务网络提供底层传送功能，包括：MPLS VPN网、宽带网、视频承载网以及区县MSAP与上一级网络间的互联。同时提供大颗粒业务接入能力。 OTN的核心技术： DWDM密集波分复用，基于光波分通道的网络平台。 ASON自动交换光网络，实现所承载业务的自动调度。广电网络OTN架构 OTN网络骨干为两级结构，通过多个主环构建成连接各区的一级环形骨干网，在每个区内也是通过环形组网形式组建二级骨干网。核心、骨干、汇聚层设备为目前国内顶级，具备T bit容量，80个波长的承载能力，带宽为80x10Gbps。具备电交叉功能，链路最小封装颗粒以及交叉调度颗粒为ODU0（1Gbps）。特点和优势：通过多种组网保护形式，提供全网范围的50ms自愈保护，从而为用户服务打下良好的技术保障基础。 3) 接入平台光纤收发器+交换机接入平台： 2012年以前大量使用的接入方式，现正在使用MSAP平台替换该平台。 MSAP接入平台： MSAP本质上是MSTP技术和分组交换技术在接入层融合的一种产品形态，主要有汇聚端的设备和远端设备组成，适用于接入层多场景下中、小颗粒业务的汇聚和端口的复用。即可上联ASON、MSTP网络，也可上联交换机、路由器等分组交换网络。向下即可以接入标准的PDH、SDH等设备如E1设备，同时也提供10/100/1000Mbps以太网数据接入。在实际组网应用中，MSAP适合用于大客户接入、小型基站及室内分布系统的接入。 MSAP的功能结构： MSAP平台采用SDH/MSTP内核，继承了SDH/MSTP的交叉连接、VC映射、以太网业务在电路容器上的承载和级联、成环和保护倒换等功能，同时，根据边缘网络大客户接入的特点和网络的现状，融合了PDH复用/解复用、以太网协议转换、V.35协议转换等技术，具备灵活的接入功能，可承载当前边缘接入网的多种业务。 MSAP的主要特点 l 综合接入；局端为统一平台，通过远端设备的不同形态体现差异化接入能力，支持PDH等现有接入网设备、SDH/MSTP设备以及分组交换网络设备在网络中同时接入。 l 接入灵活；采用模块化结构，后期业务扩容或新客户接入只需通过网管配置或放置相应远端就可实现。且可以支持环形、链形、星形等多种组网拓扑，应用灵活。 l 可靠性高提供多种保护方式，如1+1保护、SNCP保护、线性MSP保护、电源热备份等，保证了客户业务的可靠性。 MSAP系统网络位置和参考模型 MSAP多业务接入平台是集协议转换器、光端机、光纤收发器、XDSL于一体的大用户多业务专线接入平台，所以MSAP作为末端接入系统，能够向用户提供E1/V.35租用线和专线业务以及以太网专线业务，通过SDH接口或以太网接口与SDH/MSTP传送网或IP城域网相连；通过E1、10/100/1000BASE-T接口或V.35接口和客户设备相连。如下图所示： MSAP 系统网络位置图 1.1.5 网络可靠性设计（QoS实现策略） 1.1.5.1 概述 QoS规划：选择DiffServ体系架构，不信任其它Diffserv域的标记，在入端口进行重新标记。业务等级规划：公安专网定义8个标记，7个业务等级。调度和丢包策略：队列调度采用PQ（优先级调度算法Priority Queueing）加WRR（加权轮循算法Weighted Round Robin，WRR）的方式，并对PQ进行限速，根据等级不同限速不同，网管队列分配5%的带宽，其余队列的带宽分配根据实际业务流量模型决定。限速和整形：在入口根据协议和规划进行限速。 Trunk的QOS配置要在物理接口上进行配置。采用默认的逐流方式。 1.1.5.2 视频专网QoS要求 l QoS业务等级规划业务等级开展的业务标记 QoS策略金业务平台SIP协议、无线传输 7，6 高等级队列，带宽保证值为（CIR）5%，PIR为80％预留 5 高等级队列，带宽保证值(CIR)为10%，PIR为90％银业务视频监控管理平台业务数据 4 高等级队列，带宽保证值(CIR)为60%，PIR为90％预留 3 低等级队列，带宽保证值为8%,，PIR为90％铜业务普通视频监控点视频 2 低等级队列，带宽保证值为12%,，PIR为40％预留 1 低等级队列，带宽保证值为4%，PIR为40％预留 0 低等级队列，带宽保证值为1%,，PIR为40％所有P设备的接口配置output queue和trust upstream default。所有PE设备的接口配置output queue和trust upstream default。（和CE连接的接口，会对进入的流量重新打标识,只配置output queue） l 视频专网分类和标记视频专网中设备识别业务并实现QoS分类的依据是各种标记字段、端口（物理端口、逻辑端口和子端口）、源/目的MAC地址、源/目的IP地址、IP层协议端口、应用层源/目的端口等。使用IP Precedence、IP DSCP、和802.1p等字段标识QoS等级。IP Precedence、802.1p等字段均为3位8个等级，IP DSCP则有8位64个等级。使用IP DSCP的前三位来标识8个等级，后三位均设为0。以上几个字段标识的对应关系如下： IP Precedence IP DSCP 802.1p 0 0 0 1 8 1 2 16 2 3 24 3 4 32 4 5 40 5 6 48 6 7 56 7 对IP分组在IP Precedence字段上做标记，以便于与其它标记字段之间进行相互转换，并兼容仅支持IP Precedence的设备。对于仅支持IP DSCP的设备，要求按照以上图表在IP DSCP字段上做相应的标记。不对CE路由器、交换机实施标记分类和队列调度。 1.1.5.3 QoS部署策略汇聚层部署 1. 启用队列调度机制和拥塞避免机制，按照调度策略进行设置 2. 只对out方向的流量进行队列调度、对in方向的流量不进行队列调度 3. 对PQ进行限速，按队列不同限速80%-90％ 4. 核心路由不直接连接用户、所以不需要标记和分类 Ø 接入层部署 5. 启用队列调度机制和拥塞避免机制，按照调度策略进行设置 6. 在入端口对用户数据流量进行标记、分类 7. 只对out方向的流量进行队列调度、对in方向的流量不进行队列调度 8. 对PQ进行限速，按队列不同限速80%-90％ 9. 选择性的对入端口对某些公众用户数据流量进行限速。 1.1.5.4 QoS安全 QoS都是通过QoS标记来识别等级，保证相应等级的服务质量。安全的关键是防止QoS标记误打，漏打，低等级业务非法打上高等级标记或利用高等级流量实施安全攻击。针对这些安全问题，采取如下措施： 1. 对于不信任的其他网络（如其它客户），清除其进入公安视频专网网的QoS标记，再打上相应等级的标记。 2. 原则上使用端口（物理端口、逻辑端口和子端口）实现业务分类和等级标识，但从业务开展的灵活性角度出发，可以考虑在跨域QoS或对用户内部流量进行区分时使用IP地址或应用层端口号，但对这样的业务要求实施限速。 3. 绝对优先级仅开展内部业务。仅在指定Access端口才能打上绝对优先等级标记。在提供充足的预留带宽后，对绝对优先等级实施限速，以防止该等级饿死其他等级。 1.1.6 网络安全性设计从体系结构来看，安全体系是一个多层次、多方面的结构。我们通过对天津市视频监控网络平台所面临的安全状况的分析，将整个视频监控网的安全性在总体结构上分为四个层次：网络层安全、应用层安全、系统层安全和管理层安全。网络层安全是指在网络的下三层(物理层、链路层、网络层)采取各种安全措施来保障网络平台的安全；应用层安全是指通过利用各应用系统和数据库自身的安全机制，在应用层保证对网络上所承载的各种网络应用系统的信息访问合法性；系统层安全主要是通过对操作系统的安全设置，防止不法分子利用操作系统的安全漏洞对网络构成安全威胁；管理层安全主要是从网络所涉及的各分局和各派出所各级网络用户内部安全管理和计算机病毒防范两方面来保障网络的安全。 1.1.6.1 骨干网安全设计核心交换机支持冗余的管理模块、冗余的电源模块、各种模块热拔插等安全稳定保障技术。实时检测CPU的使用状态，并提供业界领先的硬件CPU保护技术（CPP，Control Plane Policy），CPP技术对发往CPU的数据进行流区分和流限速，避免非法攻击包对CPU的攻击和资源消耗。采用硬件方式提供多种安全防护能力，例如防DoS攻击、非法数据包检测、数据加密、防源IP地址欺骗等等，避免了传统软件实现方式对整机性能的影响。核心交换机提供业界最为强大的ACL特性，基于SPOH技术提供IP标准、IP扩展、MAC扩展、时间、专家级等丰富的ACL技术，支持IPV4/IPV6双栈下的输入输出ACL。提供线卡分布式的IPFIX监控技术，及时发现网络中的异常流量，有助于提早发现网络中病毒和攻击等不安全行为，并通过流量监控技术提供的详细异常流量数据信息，识别攻击源或攻击手段。核心交换机支持同时启用多组的多端口同步监控技术，并且支持灵活的输入、输出、双向数据镜像，满足灵活的网络监控需求，提升网络监控能力。 1.1.6.2 接入网安全设计各局端所配置的千兆接入交换机支持IP＋MAC＋端口绑定，通过在一个端口下绑定指定用户的IP与MAC： 1）可以有效的防止用户IP地址冲突和非法用户接入网络。 2）同时还可以防止内网发起的DoS攻击。 3）可以防止接入用户对交换机本身进行源IP地址不断变化的SYN请求攻击。 4）同时也可以防止接入用户对上级的三层交换机和应用服务器进行源IP地址不断变化的SYN请求攻击。通过在各派出所配置的千兆交换机上实施防恶意IP扫描和防DoS攻击功能，可以防止内网用户对监控网络平台进行非法网络扫描和不停变化源IP地址的DoS攻击。 1.1.6.3 安全控制策略 1）配置交换机防DOS/DDOS功能，对Land、Smurf、Fraggle、Ping of Death、Tear Drop、SYN Flood、ICMP Flood、UDP Flood等拒绝服务攻击进行防范，可以实现对各种拒绝服务攻击的有效防范，保证网络带宽； 2）配置全面攻击防范能力，包括ARP欺骗攻击的防范，提供ARP主动反向查询、TCP报文标志位不合法攻击防范、超大ICMP报文攻击防范、地址/端口扫描的防范、ICMP重定向或不可达报文控制功能、Tracert报文控制功能、带路由记录选项IP报文控制功能等，全面防范各种网络层的攻击行为； 3）由上往下的访问控制规则：在每个交换机上设定严格的访问控制规则，对实现专网网络访问监控承载网络的严格控制，只有规则允许的IP地址或者用户能够访问监控承载网络中的指定的资源，以避免公安专网网络可能会对承载网络的攻击、非授权访问以及病毒的传播； 4）其他可选策略：根据需要，在交换机上设置流量控制规则，实现对网络流量的有效管理，有效的避免网络带宽的浪费和滥用，保护网络带宽；根据应用和管理的需要，设置有效工作时间段规则，实现基于时间的访问控制，可以组合时间特性，实现更加灵活的访问控制能力；在交换机上进行设置告警策略，利用灵活多样的告警响应手段（E-mail、日志、SNMP 陷阱等），实现攻击行为的告警，有效监控网络应用；启动日志功能，利用日志记录能力，详细完整的记录日志和统计报表等资料，实现对网络访问行为的有效的记录和统计分析； 20 / 20

展开阅读全文