最新省高速公路信息化网络规范化建设方案V最新.doc

.湖南省高速公路信息化网络规范化建设方案一、项目背景随着信息技术的发展和行业信息化进程的加快，信息化在高速公路发展中发挥越来越重要的作用。湖南省高速公路网络经过多年的发展已覆盖全省五十多条高速，三百多个高速收费站。网络建设由于相关资源配套不到位、缺少统一规划，随着规模持续扩大，网络呈现出结构复杂多样，管理难度大，网络运营效率低、可靠性低等特点。为了使信息技术更好的服务高速公路建设，结合路段收费站点按行政归属进行调整的契机，需对全省收费和视频网络进行统一优化调整。二、设计原则针对该项目的重要性和特殊性，我们在设计该项目解决方案时特别遵循了以下设计原则：（1）先进性原则从较高的起点对网络建设进行规划，充分采用先进成熟的网络技术，满足网络平台各种业务实时数据、非实时数据传输需要，形成统一先进的通信系统。（2）安全性原则由于应用的特殊性，因此网络设计过程中从网络技术、骨干路由、电路保护、传输设备到项目人员组织、施工和运维环节等技术和人力资源多方面考虑项目的安全保证。（3）可靠性原则网络设计过程中从网络技术、骨干路由、电路保护、传输设备等多方面考虑此项目的可靠性，保证数据传输的安全可靠。同时提供7*24的服务保障，从技术和服务两方面保证该项目的可用性达到要求。主干通信网络具备电信级7x24小时不间断运行的特性，其骨干网络设备关键部件和中继线路为全冗余配置，不会因单点故障影响平台运行。（4）经济性原则通过技术经济比较，性能价格比较，选择优化的网络结构和网络技术，尽可能利用和保护现有设备和投资，做到从实际出发，制定经济、合理的方案，以最小的网络建设和网络维护成本建设一个高可用、高安全的专用网。在满足各类通信需要并具备必要的网络性能的前提下，最大限度地降低用户端设备投资和网络通信费用。（5）可扩充性原则考虑到未来全省高速公路各类业务的发展需要，网络承载的信息流量不断增加。通信网的设计中须考虑未来带宽扩容、电路提速的需要，从网络和设备的配置上都要保留一定的扩充余地，便于融入随着新技术发展带来的新功能。三、设计目标分区域，分阶段，按步骤实施。通过对整体网络架构系统性的优化调整，使网络运行质量更高，同时保证网络可扩展性、高可用性、冗余性、高安全性、灵活性等特点，满足湖南省高速信息化8至10年业务发展需要，满足各级监管机构要求，满足三级等保要求。四、设计依据(1)公路水路交通运输信息化“十二五”发展规划；(2) 湖南省政府关于利用信息技术改造和提升传统产业的指导意见，湘政发20082号，2008年1月；(3) 关于建立全省交通系统通信专网的通知，湖南省交通运输厅湘交办2008401号；(4) 关于进一步加强交通通信专网与高速公路信息化建设的通知，湖南省高速公路管理局湘高局办2009430号；(5) 数字湖南规划(20112015年)（征求意见稿），湖南省经济和信息化委员会，2011年7月；(6) 湖南省交通运输信息化“十二五”发展规划，湖南省交通运输厅，2011年6月；(7) 湖南省高速公路信息化建设项目一期工程可行性研究报告，湖南省高速公路管理局，2014年11月；(8) 湖南省政府关于加强道路交通安全工作的实施意见，湘政发201331号；(9) 关于实施湖南省高速公路信息化建设项目一期工程的请示，湖南省高速公路管理局、湖南省公安厅交通管理局湘高局办2014399号文；(10) 全国主干公路交通安全防控体系建设三年规划，公安部交管局公交管2014142号；(11) 湖南省高速公路交通安全防控体系信息化建设三年规划，湖南省公安厅交通管理局，2014年6月；(12) 湖南省高速公路网规划(2008年)；(13) 湖南省交通运输厅关于明确湖南省高速公路运营管理实施方案的通知，湘交基建2012618号。(14)信息系统安全等级保护基本要求(15)信息系统安全保护等级定级指南(16)计算机信息系统安全等级保护划分准则五、收费网络结构说明5.1 收费网络整体架构说明湖南省高速公路网络由省中心、分管中心、收费站三级构成。分管中心通过专网和通道两种方式与省中心互联；收费站通过专网上联分管中心，通过通道上联省中心。全网使用静态路由实现网络连通。总体网络拓扑如下：5.2 收费网络省级数据中心网络说明 收费网络省级数据中心如下所示：5.3 收费网络省级数据中心存在问题和隐患主要存在问题如下： 整体网络布局层次不够分明； 安全防护措施单一； 部分设备陈旧； 关键设备和链路存在单点故障。主要存在的影响及隐患如下： 无法根据业务发展进行平滑扩展； 存在严重安全隐患，不符合行业及国家指导标准； 存在多处单点故障； 存在业务全断风险。5.4 收费网络收费站点网络说明高速公路收费站网络主要为收费系统、各应用终端服务。目前网络主要是通过交换机级联实现网络连通，并且随着业务系统的陆续部署交换机级联现象越来越多。收费站网络有多种上联方式，部分收费站有两个出口与上级网络互联，一是通过路由器走传输与分管中心互联，二是通过设备走互联网与省中心设备互联；部分收费站只有一个出口与上级网络互联，通过专网与分管中心互联，或是通过与省中心互联。以下是几个收费站的网络拓扑图： 板仓收费站网络拓扑图大荆收费站网络拓扑图5.5 收费网络收费站点存在问题和隐患主要存在问题如下： 接入网络零乱，连接错踪复杂； 无法实现专网和两条通道自动切换； 无任何安全防护手段； 部分设备陈旧； 无专业的维护人员，网络设备无法进行统一远程管理； 设备标签标识不规范，布线不整洁美观； 维护资料缺乏。主要存在的影响及隐患如下： 网络可靠性低，存在业务中断风险； 存在严重安全风险； 故障率高； 增加了故障排查时间； 增加了故障排查的难度。六、视频网络结构说明待补充七、整体架构设计说明整体网络结构按照核心、汇聚和接入三级构成。核心层设置在省级中心，由两台高端路由器构成，下连14个市州管理处的汇聚路由器，同时连接省级视频和收费平台内部数据中心。汇聚层设置在各地州市管理处，由两台中高端汇聚路由器和四台汇聚交换机组成，两台汇聚路由器以“口”字型方式上连至两台省级核心路由器。接入层设置在各收费站点监控室和车道，分别配置两台中低端交换机，站点监控室两台交换机各通过双上行连接至汇聚交换机。收费通道两台交换机各通过双上行连接至站点监控室两台交换机。在省级平台部署综合安全网关设备，用于实现对用户访问的控制，增强数据的安全性。各平台新增综合安全网关采用主备方式部署，当主机在处理业务的同时，会将业务产生的会话信息同步到备机，从而确保双机切换后，新发起的业务访问能继续得到响应处理，当前正在进行的业务访问也不会因此而中断。从设备层面均采用电信级的可靠性设计，分布式体系结构，不存在单点故障；采用无源背板，支持真正热插拔、热备份，同时设备的交换、路由处理系统等所有关键部件采用冗余热备份设计，能充分满足收费业务对设备高可靠性的要求。从组网方式上采用设备虚拟化、动态路由协议以及双归属链路等方式，保证网络具有故障自愈的能力，避免了单点故障的同时，最大限度地支持业务系统的正常运行。分层的模块化设计使得网络的扩展更加方便。升级的费用和复杂度限制在整个网络的小范围内，当局部网络环境发生变化时不影响其它无关的层次。便于发现和隔离故障，有助于故障点的识别。八、整体路由设计说明考虑到网络中同时存在收费及视频监控两种业务，为简化网络结构以及增强数据的安全性，建议整体网络平台采取基于的三层网络构架实现各级平台的互通与业务的逻辑隔离。的网络采用标签交换，一个标签对应一个用户数据流，非常易于用户间数据的隔离，利用区分服务体系可以轻易地解决困扰传统网络的问题，自身提供流量工程的能力，可以最大限度地优化配置网络资源，自动快速修复网络故障，提供高可用性和高可靠性。路由协议多实例，就是指在一个独立的中，运行一个与这个相配套的路由协议。因此，在同一台路由器上不同之间路由协议相互隔离，配置、功能上都是相互独立的。一般情况下，路由协议的多实例使用在设备上，即 这个场合下。在 需要在上的使用这种路由协议多实例来实现之间相互隔离，并将这些路由协议多实例与之间相互的重分发全网核心设备和汇聚设备运行路由协议，省中心核心路由器和各地州市汇聚路由器处于同一个，两者之间运行。在 组网方面，省中心核心路由器作为P和设备，负责数据包的快速转发的同时，不同应用平台分别对应不同，如收费平台、视频监控平台、第三方接入平台 等。省级中心数据中心汇聚交换机、各地州市汇聚交换机、接入层交换机作为设备，负责的接入。地市汇聚路由器上分别部署收费、视频监控、交警管理平台三个，通过规则实现路由互通和业务隔离。与交警管理平台之间采用静态路由实现业务互通。全网路由规划如下图所示：九、收费网络接入设计说明对收费接入网络建立统一的标准化拓扑结构，制定设备准入管理标准，按标准化要求，对当前网络结构进行调整和优化。为后续业务的发展提供良好的网络支撑服务。每个管理处增加两台汇聚交换机、两台站点监控室接入交换机、两台收费通道接入交换机。部分交换机可根据实际情况利旧。建议新增交换机支持堆叠功能。堆叠技术可以将复杂的网络拓扑结构简化为层次分明、互联关系简单的网络结构，网络各层之间通过链路聚合，自然消除环路，不需要再部署、等协议。 汇聚交换机上联省级核心路由器，下联站点监控室接入交换机，同时下联路段、等服务器。站点监控室接入交换机上联管理处汇聚交换机，下联收费通道接入交换机。同时完成、路径计算、路径识别等服务器接入，、等工作站也接入至交换机。收费通道接入交换机上联站点监控室接入交换机，下联扫码终端、终端、终端。十、视频网络接入设计说明待补充十一、整体网络设计说明为确保业务能实时正常访问，需采取对业务流量进行带宽合理分配。采用技术，对收费数据流量和视频监控流量进行初步限流。其中视频监控流量分配最大带宽的80%，收费数据及其他数据流量分配最大带宽的20%。为了解决监控视频流小于带宽80%时其富余的预留带宽能够被更多的数据利用，再对视频和数据业务进行预留带宽的令牌操作（），让视频流没有用完的令牌分给数据流，这样预留带宽内的数据流量就可以超出20%，使得链路带宽得到充分利用。采用对报文按流进行分类，首先按照用户自定义的分类规则来进行分类，合乎用户自定义的同一个匹配规则的网络数据包将被当作同一个网络数据流放入对应的同一个队列，不合乎用户自定义的匹配规则的将按照分类规则处理（相同源地址、目的地址、源地址目的地址、源端口号、目的端口号、协议类型、的报文属于同一个流，每一个流被分配到一个保留的队列中）。在发送的时候，按照设定的带宽分配规则分配带宽。通地上述两种机制都能实现针对不同的业务进行带宽保障。十二、备份链路设计说明作为专线的备份链路，专两条专线同时断开时，业务将智能切换到通道。省中心与收费站点直接建立隧道。十三、 4G应急通信方案4G路由器产品，设备需支持L2、等多种连接方式， ， 及 ，防火墙，主机配置，,支持定时上线和下线等功能。能够为客户组建高可靠、高性能、易管理的无线数据采集传输系统。具有良好的数据传输性能，优异的兼容性，完善的在线保持机制和强大的业务处理能力，满足客户对设备的高性能需求。具有快速接入能力，凭借丰富的特性支持，支持多种串口和网口接入，实现设备的快速安装使用。4G网络将作为有线组网的补充，用于临时应急通信。省中心与收费站点4G路由设备直接建立隧道。十四、 集中管控方案目前湖南高速公路管理局在全省高速公路各收费站、路段中心为了对全省设备进行集中管理，提升运维效率，减轻管理人员的工作量，建议在省中心部署一台集中管控设备。如下图拓扑所示：1. 启用集中配置策略下发，内置的任务计划功能可以避免众多受控端同时连接到设备同步配置而带来的网络拥塞，通过对整网的设备进行统一配置，能有效统一整网的安全策略及等级，而且大大减少管理人员的工作量。2. 启用对整网的动态监控，通过的状态监控模块，可以清楚直观的显示分支网点信息，包括实时信息、异常信息、以及整网设备拓补等，管理人员在任何地方都可以清楚的了解各分支网络设备的运行情况，也为企业整体的信息化建设提供决策依据。3. 启用远程维护，对分支设备出现的故障情况，无论管理员身处何地，通过设备都可快速、便捷的处置，从而使设备的故障问题能得到快速响应和解决，有效节省企业的现场维护成本。4. 启用报表中心，对整网设备线路流量、流通状态、帐户流量、帐户安全、帐户使用状况等进行全面的记录、报表和订阅，为管理人员合理规划网络提供了丰富的依据。集中管理平台为提供一种全面综合的网络管理解决方案，综合多种管理手段将明显改善和提高企业网络的安全性及管理性，因此而提高了整个企业的商业运行效率。省监控中心机房采用近400台设备实现了各分支到省中心的组网。在实际运维管理过程中，碰到一下问题： 管理者缺乏对各收费站、路段中心等设备运行状况实时的了解，缺少维护管理手段； 当网络规模或结构发生变化的时候，如何快速修改变动设备的参数及连接设置； 帮助大量移动办公用户配置和维护客户端将花费管理员大量的时间和精力； 分支增加也带来了管理成本的上升，导致的结果：网络规模越大，管理成本也越大； 无法对一段时间内的使用情况进行全面了解，切合实际使用状况合理进一步网络规划。十五、网络安全设计说明15.1 核心路由和交换在分层网络拓扑中，核心层是网络的高速主干，需要转发非常庞大的流量。需要多少转发速率在很大程度上取决于网络中的设备数量。通过执行和查看各种流量报告和用户群分析确定所需要的转发速率。核心层的可用性也很关键，因此应尽可能的提供较多的冗余。相对于第二层功能，第三层冗余功能在硬件出现故障时的收敛速度更快。核心层交换机还需要支持链路聚合功能，以确保为分布层交换机发送到核心层交换机的流量提供足够的带宽。这样可以让对应的分布层交换机尽可能高效的向核心层传送流量。所有用户的网关设置在核心交换机上。15.2 综合安全网关防火墙是网关设备重要的基本功能，作为网关设备不但具有完整的3层协议以下的防火墙功能，而且还具有47层的防火墙防护功能。可实时将网络层数据还原。15.3 入侵防护系统防止来自互联网的蠕虫病毒、入侵攻击等威胁，同时对相互间访问进行控制与日志审计，可有效检测和控制内部员工越权行为，并向管理员发出告警。防止来之互联网的入侵和病毒，并且对内部用户访问互联网的内容进行过滤和审计并提供详尽直观的报表，能够让管理员迅速了解到整个网络的存在的安全风险和趋势，为决定如何制定安全策略提供依据。采用透明模式部署在网络中，必须支持硬件功能。15.4 防病毒网关系统当今的威胁已经不单单是一个病毒，经常伴有恶意程序、黑客攻击以及垃圾邮件等多种威胁。防病毒产品能够检测进出网络内部的数据，对、四种协议的数据进行病毒扫描，一旦发现病毒就会采取相应的手段进行隔离或查杀，在防护病毒方面起到了非常大的作用。防病毒网关采用透明模式部署在网络中，必须支持硬件功能。十六、地址总体规划方案本次地址需全部重新规划调整。以14个管理处为单位，然后分配至各收费站点。减少了路由选择协议在网络链路上的开销，以及路由器的处理时间，这样，提高了路由效率。具体分配原则如下：1、 单独分配设备互联地址和管理地址；2、 不同业务的服务器分配不同地址，如、视频等；3、 不同业务的终端分配不同地址，如、移动支付、视频等终端；具体调整方式：先采用空闲地址将一条路段全部调整完毕，并对此路段地址进行回收，用于分配给管理处分管的其它路段。十七、分步建设思路说明结合湖南高速网络现状，建议分步建设思路如下：第一阶段：整体架构的梳理，针对现网目前存在部分不合理的网络拓扑连接、规划等问题进行有效地实施网络优化，分阶段调整，实现平滑迁移，将影响降至最小，使网络结构层次更加分明，布局更合理，运行质量更高。梳理区域划分、整理归档地址规划，各重要区域间通过防火墙实施有效的安全隔离。在不影响整体布局的情况下，保障网络安全，降低运行维护工作的复杂度。第一期主要工作建设内容是完成省级数中心和省至地市骨干平台建设，首先选择1-2条路段对接入网络进行整合调整，然后完成全部路段按管理处行政归属进行调整，网络接入规范化，高度冗余，实现路由智能切换；第二阶段：实现统一管理配置、统一密码管理、统一认证登录、统一访问控制、统一操作查询和审计；第三阶段：完成同城异地灾备建设，要想确保业务系统的连续性，必须建设一套容灾备份系统，保证在灾难发生时业务数据不会发生丢失，业务能够连续进行处理。基于业务保障与数据安全的考虑，业务连续性除了需要保护数据之外，还需要主机、网络系统有完全的备份和保护措施，在容灾中心建立主机和应用系统的冗余备份，当生产系统出现重大故障时可以在较短的时间内将业务系统(包括主机应用、数据)切换到同城或异地灾备系统上。十八、三级等保建设说明 1994年国务院颁布的 中华人民共和国计算机信息系统安全保护条例规定，“ 计算机信息系统实行安全等级保护，安全等级的划分标准和安全等级保护的具体办法，由公安部会同有关部门制定” 。1999年9月13日国家发布计算机信息系统安全保护等级划分准则。2003年中央办公厅、国务院办公厅转发国家信息化领导小组关于加强信息安全保障工作的意见（中办发 200327 号）明确指出，“要重点保护基础信息网络和关系国家安全、经济命脉、社会稳定等方面的重要信息系统，抓紧建立信息安全等级保护制度，制定信息安全等级保护的管理办法和技术指南”。 2007年6月，公安部、国家保密局、国家密码管理局、国务院信息化工作办公室制定了信息安全等级保护管理办法（以下简称管理办法），明确了信息安全等级保护的具体要求。本次建设将严格按三级等保要求，对全省收费网络进行优化改造，优化整体架构，按区域划分安全域，实现关键节点和链路的冗余保护，实现全网的自动化智能路由。十九、设备利旧方案说明 结合湖南高速网络现状，设备利旧方案如下：1、 省中心现有交换机和安全设备利旧至安全管理平台和第三方接入平台。2、 能进行管理的各路段接入层交换机将进行利旧使用。利旧方式是先增加一部分接入层交换机，路段的第1个站点采用新设备，当第1个站点割接完成后，将第1个站点腾出的设备放至第2个站点使用。第2个站点腾出的设备用至第3个站点，以此类推。二十、投资预算说明序号名称设备参数要求采购数量（台）单 价（元）预算（元）1核心路由器（省中心）冗余电源， 12个万兆光口，24个千兆电口，24个千兆光口2256,000512,0002汇聚路由器（14个管理处）冗余电源， 12个万兆光口，24个千兆电口，24个千兆光口28245,0006,860,0002核心交换机（省中心）冗余电源，12个万兆光口，48个千兆电口，24个千兆光口，配置堆叠及相应板卡及模块2172,500345,0003入侵防护设备（省中心）2U设备，双交流电源，含4*万兆接口,4*电口，8*光口。网络吞吐量10，最大并发连接数大于400万，性能大于5，支持双进双出，支持软硬件功能。122,00022,0004防病毒网关（省中心）2U，双交流电源，4个万兆接口,4个千兆电口，8个千兆光口；双进双出，支持软硬件；网络吞吐量10，最大并发连接数400万122,00022,0005漏洞扫描系统标准机架式设备，： I5，8G内存，6个千兆网口，1T硬盘；支持无限地址扫描，支持漏洞检测分析、木马检测和灰盒分析等。1186,500186,5006安全审计2U，4个千兆口，4个光口，1T存储 ,接收日志性能：20000条/秒，每秒接收20000条日志以上，综合处理能力10000条/秒。存储日志能力：20000条 （每M空间存储20000条以上日志，压缩存储，压缩比：10:1）2140,000280,0007堡垒机2U，4个千兆采集口，1扩展槽，双电源，500G存储，100个主机许可2120,000240,0008核心防火墙（省中心）标准2U硬件平台，双交流电源，含2*万兆光口，4*电口，8*光口，支持3个通用扩展槽。网络吞吐量10，最大并发连接数大于400万；支持双机部署；基本网络防火墙功能， 功能，攻击防护，访问控制功能，用户认证功能，链路负载均衡功能,标配 授权6180,0001,080,0009汇聚交换机（管理处）冗余电源，48个千兆电口，24个千兆光口，4个万兆光口2875,0002,100,00011接入交换机48口（监控室-收费）每台48个千兆电口，4个千兆自适应光口，配置堆叠及相应板卡及模块,支持路由4005,5002,200,00012接入交换机48口（收费通道-收费）每台48个千兆电口，4个千兆自适应光口，配置堆叠及相应板卡及模块,支持路由4005,5002,200,00013接入交换机