公检法行业解决方案.doc

公检法网络建设方案前言信息技术的迅猛发展，使公安系统对信息技术的应用要求不断提高，如何建立一个构建一个基于IP的高效、安全、智能的数据、语音、视频三网融合的网络已成为公安系统对通信网络要求的大势所趋。建设要求国家公检法部委对二、三、四级网的建设提出明确要求，要遵循金盾、金法、金检工程总体设计方案，应该坚持技术先进而实用，符合开放互连标准和未来技术发展方向，网络安全、可靠、易管理，具备扩展能力，兼顾保护现有投资等基本建设原则，使二、三级网朝着基于IP的数据、语音、视频融合的网络方向发展。1、网络拓扑结构根据各省的实际情况，二级网可以采用星型、星加环型网络拓扑结构。星型网络结构简单，建设成本低，便于维护，但是可靠性较差；星加环形网络可以解决省厅单点故障等问题，但是建设和运行成本比较高。2、各省公检法三级网建议采用星型网络拓扑结构各直辖市和一些条件较好的大型城市的公安网络可建设以光纤为骨干的网络；其它大部分的三级网可充分利用当前各个城市的城域网资源。为了提高网络安全性和业务服务质量，在直辖市公检法网络的建设中，应注意采用路由器和交换机混合组网。3、带宽规划考虑到网络业务的需求和未来的发展，各地市到省厅线路带宽原则上不低于42M b/s；县局到地市中心的线路带宽原则上不低于2M b/s。承载网目前应尽量选择SDH线路。二级网要充分考虑物理线路的备份，应考虑选择具有不同物理路由的多个运营商线路，以确保二级网的可靠性。4、路由策略二级网与一级网之间，以及二级网与三级网之间都应通过静态路由的方式相互隔离，各级网络之间不交换路由信息，以减少下级网络变化对骨干网的影响。二级网的路由协议推荐采用OSPF。对于已经采用了EIGRP等其它动态路由协议的省份，可维持现状或改为OSPF。三级网的路由协议可根据需要采用静态路由或者OSPF,RIP2等动态路由协议。5、IP地址规划IP地址规划应遵循以下原则：顺应网络拓扑层次结构，在有效地利用地址空间的同时，保证网络的可扩展性、灵活性和层次性。便于路由聚合，缩短路由表长度。网络地址应易于管理。尽量节省IP地址。二级网和三级网的设计要严格遵循各部委关于IP地址的管理办法，对IP地址进行统一分配和管理，并报上一级信通部门批准备案，确保IP地址的唯一性和可扩充性。6、局域网设计按照局域网的级别及规模，可以分为省级机关局域网、地市(县)局机关局域网以及基层科、所、队局域网。局域网采用结构化布线系统，并划分VLAN，进行网络隔离。7、基层单位网络的接入基层单位允许采用多种接入方式：SDH数字专线方式、DDN/FR等专线方式、光纤以太网方式、PSTN/ISDN方式、无线方式、卫星方式、xDSL、Cable Modem等。可在符合“金盾工程”“金法工程”“金检工程”安全性及可管理性要求的前提下，根据当地运营商提供的接入业务和资费情况，灵活地选择接入方案，并报上一级信通部门批准。8、行业公安的接入行业公安接入分为统一接入和就近接入二种模式。各行业公安需要与公安部信息通信局充分协商，以决定采用哪种接入方式。9、与其它计算机网的互连公检法网络与其它部门的计算机网的连接大体上可分为两种：与其它政法部门网络的连接；与其它社会计算机网（如宾馆、社保、医保）的连接。与其它网络互连要通过适当的安全机制（比如设置非军事区、物理隔离系统等）来保证网络的安全。每一个连接都应报上一级信通部门批准。10、网络可靠性公检法二、三级网的建设可采用线路备份和设备备份的方式来提高网络的可靠性。可酌情在省内设置灾难备份中心，以提高信息网络的安全性。 11、设备的选择各级节点设备的选取应遵循以下基本原则：满足各级网络的业务需求，与一级网统一技术路线，具备良好的扩展能力，遵循相关国际国家标准，兼容性好具有较高的性能价格比。网络结构与拓扑图二、三、四级骨干网是金盾、金法、金检工程建设的基础，是实现信息资源共享、快速反应和高效运行的基本保障。根据上述系统设计原则和金盾、金法、金检工程的规划，骨干网络采用三层树型即两级星型的拓扑结构：以省为中心至各地、市机关的星型结构采用R7610和7606高端路由器组成二级信息网络，以地、市为中心至区县级机关的星型结构采用R7208路由器组成三级信息网络，从区县到基层单位采用R2621路由器形成四级信息网络，随着网络工程的开展逐步向网状网方向发展。 提供基于IP的数据全网解决方案-产品系列化、业务齐全化，满足各层次网络的组网需求，业界领先。 提供全网统一网管平台、Broad Director网管提供工作站、PC等多平台支持，管理全网数据、视频、语音设备，也是业界领先。 提供端到端的IP服务质量(QOS)保障博达全系列网络产品采用统一的BDROS操作系统平台，提供PQ/CQ/WFQ/CAR/GTS等丰富的IP QOS服务保障策略，保障三网融合的话音、视频和其他重要业务的服务质量，真正做到“少花钱，多办事”。 提供MPLS支持，为业务或政法网扩展提供技术保障-R26/36以上路由器产品全面支持MPLS VPN技术，为政法网建设或基于多业务系统共建统一核心网络，提供全系列的产品保障。公检法局域网络方案园区办公网络是公检法各部门运行业务系统的根本，直接承载着各种应用业务系统，其安全、管理、服务质量的要求比较高。 博达公司提供全系列的智能交换机产品组建安全、智能、可管理的园区网络，园区网一般分为骨干、汇聚、接入三个层次，骨干层可以采用博达S8500骨干交换机，汇聚层采用S3500系列交换机，接入层采用S2000系列智能交换机。博达园区网络解决方案特点如下： 从核心层到接入层全系列产品均能做到高性能的二、三层线速转发，保障整网的数据处理性能； 精确的流量分类和对应用业务的控制 - 硬件七层智能流分类, 二层802.1p和三层ToS保证完善的应用级QoS； 安全的认证体系支持，采用博达公司BAM解决方案，通过和接入交换机进行联动，采用802.1x技术+BAM策略服务器对所有接入局域网的用户进行身份认证，未经许可的用户不允许进入内网，BAM系统对进行认证的用户进行包括病毒库、补丁文件、安全漏洞等一系列的检查，不合格的将强制到隔离区升级，确保内网的安全性。 基于硬件的ACL访问控制列表功能保证园区网络资源的安全和公网访问权限的控制，在不降低网络性能的前提下大大提高网络安全； 丰富的高端口密度满足不同用户对不用端口类型的需求，适应不用网络的接口需求； 完善的冗余、备份体系保障网络的运行稳定可靠，可用性达到电信级的99.999%； 在接入层保障用户的QoS和安全，做到安全和服务质量的边缘化处理；省监狱管理局、劳教管理局各级信息网络节点设计中心各增加一台BDCOM 7208作为省内网络核心，通过每条千兆光纤链路与分别其他地市的路由器相连接；各地市到省为光纤链路接入，采用BDCOM 7208路由器。 路由设计规划充分考虑到现有的网络情况和发展方向，推荐在数据网中采用OSPF路由协议。OSPF（开放最短路经优先协议）路由协议属于链路状态路由协议，能够适应超大规模的网络环境；OSPF收集网络的链路状态来构建并维护网络的拓扑数据库，通过最短生成树算法来计算网络的最佳路由，能够实现网络的快速收敛； 省-地市的路由范围可以规划为Area0根区域，所有的路由在省中心汇总；从每个地市-区县开始划分不同的区域，从Area1到Area11； 每个市路由器作为一个ABR。 这样全网均运行统一的动态OSPF路由协议，配置简单，通过区域和边界路由器的划分，有效地减少了路由分发的流量和运算负荷。 基层单位网点到区县路由器均采用静态路由，区县路由器通过对静态路由的重新发布，将网点路由通告给其它OSPF路由器。QOS规划由于网络上将并存多种数据流。业务数据流、办公数据流、VoIP数据流、监控数据流等都在争取着出口带宽。鉴于省公检法系统数据流量具有多业务并发的特性，网络设备应基于QoS技术对数据流进行业务区分，保证关键业务的优先传输、优先处理。通过定义QoS算法可以为网络中不同的应用分配不同的带宽，起到网络带宽管理的作用。通过定义PQ、CQ、CBWFQ等QoS算法可以为网络中不同的应用分配不同的带宽，起到网络带宽管理的作用。为关键业务、核心业务优先于普通业务的处理提供了技术保证。博达网络设备还支持RSVP资源预留协议。RSVP请求将在数据通道上的每个节点产生预留。RSVP可以按不同应用分配带宽，能有效地减少多媒体应用中的传输迟滞和时延抖动，保证关键业务的实时传输。根据将来网络的规划，博达网络设备将确保业务数据流优先转发，其次保障语音流实时处理。在此基础之上，按照FIFO原则处理其它数据流量。网络管理省各地市的网点数量和地理位置相对分散的特性决定了必须对网络实施有效的远程管理。通过长期的数据收集、数值分析。网管人员可以及时掌握设备的运行情况。通过科学决策及早排除隐患，确保网络设备长期可靠的运行。博达网络设备器支持SNMP（V1、V2、V3）、RMON网络管理协议，可以通过各种通用网管软件Broad Director（或HP OpenView、CiscoView、CiscoWorks 2000）对网络设备进行监控和管理, 使管理员真正地实现对整个局域网的集中化、远程化管理。Broad Director网管软件界面机架面板管理 博达网络设备器支持远程配置、管理功能。网管人员可以通过网管IP地址对网络设备实施远程管理，查看运行状态，根据实际需求修改配置。博达网络设备的日志（LOG）功能用于将设备产生的各种信息以日志形式记录到具备SYSLOG功能的主机上（如UNIX主机