公安视频监控承载网规划方案.doc

公安视频监控承载网规划方案第一章 概述贵州省公安视频监控承载网是一个独立的网络，专用于今后图像监控信息的互传和共享，网络带宽要求高，资源占用率大，并与社会部分单位预留共享接口。要求整个网络必须具有较高的可靠性，具有较强的容错能力和自愈恢复能力，不会产生单点故障，能承载多媒体业务(数据和图像)，具有支持多种业务传输的能力，有网络安全防范措施和完善的管理能力。该网络划涉及到贵州省厅1个节点、9个地市局节点、88 个县（区）局点，根据贵州省公安行政划分隶属关系，网络设置为二级网和三级网两层架构：省厅业务单位和市局之间联网为二级网；市局业务单位和分县局之间联网为三级网。1.1 设计思想贵州省公安视频监控承载网建设项目具有较大容量高速传输能力的、有可靠稳定服务质量保证的监控承载网网络平台。使得贵州省公安能够基于这个平台，实现省厅、地市局、县（区）局之间安全高速的视频监控数据共享。1）利用设备、网络可靠冗余性设计，路由协议、RPR、BFD、GR、快速重路由、虚拟化等协议冗余性设计部署，实现网络平台的高可靠性；2）利用设备自身安全设置、分层分区访问控制，与安全设备配合实现网络平台的高安全性；3）利用宽带IP技术，实现网络对数据及语音、视频会议、监控等多媒体业务的良好支持。利用QOS技术实现针对不同应用提供不同的服务质量，实现网络平台的高可用性；4）利用集中或分布式网络管理平台实现全网设备统一管理，通过流量分析系统实现全网业务流的高可见性管理，实现网络平台的高可管理性；1.2 设计原则结合贵州省公安视频监控网络的实际应用和发展要求，在进行贵州省公安视频监控承载网建设项目方案设计时，系统总体设计应遵循原则：l 实用性原则：贵州省公安视频监控承载网广域网网络建设将以满足现行需求为基础，在节省投资的同时，充分考虑发展的需要来确定系统规模。l 安全性原则：贵州省公安视频监控承载网网络平台服务于贵州省公安视频监控系统监控视频传输需要，对安全级别要求很高。系统应能提供网络层的安全手段配合整体系统的安全建设，防止系统外部成员的非法侵入以及操作人员的越级操作，保护网络建设者的合法利益。l 可靠性原则：系统设计能有效的避免单点失败，在设备的选择和关键设备的互联时，应提供充分的冗余备份，一方面最大限度地减少故障的可能性，另一方面要保证网络能在最短时间内修复。l 成熟和先进性原则：贵州省公安视频监控承载网网络系统结构设计、系统配置、系统管理方式等方面应采用国际上先进的同时又是成熟、实用的技术。l 高可用性原则：具有较高的可靠性和可用性前提下，保证征管业务系统的正常运行。网络设备及设计具备在线故障恢复能力，关键设备、线路能做到实时备份和自动故障切换。网络系统具有强大的容错功能以确保各种应用的正常运行，在网络设计上采用网络级备份或线路及设备的冗余配置。没有单故障点，广域网线路之间相关系数最小。l 规范性原则：系统设计所采用的技术和设备应符合国际标准、国家标准和业界标准，为系统的扩展升级、与其他系统的互联提供良好的基础。l 开放性和标准化原则：在设计时，要求提供开放性好、标准化程度高的技术方案；设备的各种接口满足开放和标准化原则。l 可扩充和扩展化原则：所有系统设备不但满足当前需要，并在扩充模块后满足可预见将来需求，如带宽和设备的扩展，应用的扩展和办公地点的扩展等。保证建设完成后的系统在向新的技术升级时，能保护现有的投资。l 可管理性原则：考虑到当前公安系统信息技术专业人才数量相对少，网络建设维护、信息资源开发能力相对较弱，因此整个系统的设备应易于管理，易于维护，易学，易用，便于进行系统配置，在设备、安全性、数据流量、性能等方面很好的监视和控制，远程管理和故障诊断。1.3 设计规范本次贵州省公安视频监控承载网建设项目的网络设计完全符合国家网络建设的相关标准和规范。1、 网络标准与规范l RFC 1661： The Point-to-Point Protocol (PPP)l RFC 1990： The PPP Multilink Protocol (MP)l RFC 1994： PPP Challenge Handshake Authentication Protocol (CHAP)l RFC791： Internet Protocol. (IP)l RFC792： Internet Control Message Protocol (ICMP)l RFC793： TRANSMISSION CONTROL PROTOCOL (TCP)l RFC768： User Datagram Protocol (UDP)l RFC 826： An Ethernet Address Resolution Protocol (ARP)l RFC2328： OSPF Version 2l RFC1793： Extending OSPF to Support Demand Circuitsl RFC1771： A Border Gateway Protocol 4(BGP-4)l RFC1965： Autonomous System Confederations for BGPl RFC1966： BGP Route Reflection l RFC1997： BGP Community Attributel RFC2439： BGP Route Flap Dampingl RFC2138： Remote Authentication Dial In User Service (RADIUS)l RFC2139： RADIUS Accountingl RFC2784： Generic Roouting Encapsulation l RFC2401： Security Architechure for the Internet Protocoll RFC1157： Simple Network Management Protocol (SNMP)l RFC2474： DS Field in the IPv4 and IPv6 Headersl RFC2475： An Architecture for Differentiated Servicel RFC2615： POSl RFC2547： MPLS VPNl IEEE 802.3u： 100Base规范l IEEE 802.3z： 1000Base-X(GBIC)规范l IEEE 802.3ae： 10G 规范l IEEE 802.1Q/1P： Virtual Bridged Local Area Networksl IEEE 802.3ad： Link Aggregationl IEEE 802.17： RPR2、 国家安全标准与参考规范l GB/T18336-2001l GB/T18019-1999l GB/T18020-1999l UL 1950l EN 41003l AS/NZS 3260l AS/NZS 3548 Class Al CSA Class Al FCC Class Al EN 60555-2l VCCI (Class )l 抗干扰性l IEC 1000 4 2 (ESO )l IEC 1000 4 3 (辐射敏感性)l IEC 1000 4 4 (电快速瞬变)l IEC 1000 4 5 (电源)l IEC 1000 3 2 (谐波)第二章 网络方案总体设计贵州省公安视频监控承载网建设项目总体设计包含骨干网设计、网络可靠冗余性设计、安全设计、网络管理系统设计、IP地址规划设计、路由规则设计、QOS设计、组播设计等部分。整体采用分层、模块化的设计思想。贵州省公安视频监控承载网骨干网络由个1个省厅中心节点、9个地市局节点、88个县（区）局节点构成，根据贵州省公安的上下级的隶属关系及大集中后的业务模式，贵州省公安视频监控骨干网的业务流向以省厅 地市局，地市局 区县局这样的纵向流为主，根据业务走向，最适合的网络模型是星型组网。同时，为了保证核心节点的可靠性，针对地市局城域网区域采用RPR环形组网。整个网络分为三级结构，省厅 地市局定义为二级网，地市局 区县局定义为三级网。采用层次化星型网络拓扑结构建设贵州省公安视频监控骨干网络具有以下特点：（1）符合大网建设的要求分层的模块化设计使得网络成长更加方便。升级的费用和复杂度限制在整个网络的小范围内，当局部网络环境发生变化时不影响其它无关的层次。便于发现和隔离故障，有助于故障点的识别。（2）可靠性高可以保证在任何一个链路出现故障时，都不会中断全局通信，因此，网络具有很高的可靠性。（3）建设和维护成本合理从建设和维护成本上来分析，网络分层次建设，不同层次的带宽选择可以分别考虑。根据流量需求，主干层采用比较高的带宽，而接入层采用相对低一些的带宽，可以极大提高网络主干层的性能，网络的可实施性，同时又增加了带宽分配的合理性，避免带宽资源的浪费，节约了建设和维护成本。（4）路由效率高模块化、层次化拓扑结构便于路由协议分层设计，减少了路由选择协议在网络链路上的开销，以及核心路由交换的处理时间，这样，提高了路由效率。针对地市城域网采用RPR环形网络拓扑结构建设具有以下特点：（1）符合城域网建设的要求地市城域网主要针对地市上各城域节点的网络互联，这些节点之间需要实现横向的业务数据共享，因些针对各节点之间的互联采用环网方式更具备灵活性。（2）带宽高10G RPR最大单向带宽20G，比10G以太网互连高一倍，2.5G RPR和GE RPR都可以实现两倍的带宽。（3）可靠性高链路/节点故障50ms的故障自愈时间，工程实测值在10ms以内；支持环上双节点的VRRP备份，VRRP倒换时间50ms。保障业务不间断。 （4）QOS特性强： 支持严格的预留带宽，实现专线效果的语音和视频业务服务质量保障；提供公平性算法，保障各节点合理分配总带宽。贵州省公安视频监控承载网骨干网拓扑图如下所示：整个贵州省公安视频监控网络平台采用分级分层架构，同时结合了高可靠保障这一要求的方法进行设计。在省厅，部署2台核心交换机及省级网管平台，同时建议提供2条千兆链路通过营运商广域网连接各地市局。在地市局核心节点，同样部署2台核心交换机与地市级网管平台，并建议提供2条千兆链路通过营运商广域网连接各区县局，2条百兆链路通过营运商广域网连接省厅2台核心交换机。在地市城域网，每节点部署2台核心交换机，节点内部与节点之间采用RPR环形组网。同时，选择2个节点的一台交换机作为RPR环网上行设备，通过千兆广域网链路连向地市局核心交换机。在各区县部署1台核心交换机，采用双百兆链路通过营运商广域网连接所属地市局的2台核心交换机。22.1 省到地市二级网设计2.1.1 功能设计省到地市二级网网络主要为省厅与各地市视频采集数据和业务数据提供高性能，智能化的网络服务。要求省厅与地市局核心交换网络设备采用CLOS多级多平面架构，交换与控制物理分离，能支持独立的控制引擎、独立的交换网板及独立的业务板，能提供持续的带宽升级能力。同时，具有高缓存能力，减少数据的拥塞、保证数据的顺畅转发；整网具备快速故障检测和恢复能力、快速保护和快速收敛能力；设备还具备引擎冗余、矩阵冗余、设备堆叠、流量监控、端口镜像、链路聚合等功能。具有全局网管平台，能实现对全网设备的网络拓扑管理、配置文件管理、软件版本管理、性能监控、故障管理、流量分析管理、应用服务管理及报表管理等。 2.1.2 结构设计为简化网络架构，并保证可靠性，省厅到地市二级网络采用双星型组网设计。省厅作为星型网络的核心节点，采用双核心交换机双链路下连地市局节点交换机，地市局同样部署2台核心交换机通过双链路与省厅链路对接。其中，省厅向下带宽建议为2条1000M链路，地市向上带宽建议为2条100M链路。省厅2台核心交换机与各地市局2台核心交换机都采用虚拟化架构组网：2台核心交换机之间采用万兆光纤互连，实现虚拟化架构组网，利用虚拟化特性可将网络故障收敛时间缩至毫秒级，大幅提升网络可靠性，同时，通过跨设备链路聚合实现双机双链路共用，将网络性能提升一倍，并且2台核心交换机只需要IP便可进行配置从而简化管理难度。省厅与地市局部署分级网管平台，省厅网管平台能直接管理地市局网管平台或地市局网管平台下挂设备，地市局网管平台同时能将重要的设备信息、告警信息等上报给省厅网管平台。网管平台能实现对网络拓扑管理、设备配置管理、设备软件管理、故障告警管理、性能监控管理、网络流量分析管理、重要的应用服务（包括操作系统、中间件、数据库、WEB、邮件服务）进行监控，同时能根据管理员的不同关注点定制成生丰富的统计报表。2.1.3 设备部署在省厅部署2台核心交换机、1套网管平台，在每个地市局部署2台核心交换机、1套网管平台。2.1.4 系统配置序号名称单位数量备注1省厅核心交换台22地市局核心交换机台183省厅网管平台套14地市局网管平台套92.2 地市城域网RPR环网设计2.2.1 功能设计地市城域网即地市各局节点的横向网络，在这些节点之间需要实现部门单位之间的视频监控业务流互通。由于地市网络是作为整个系统的重载区，涉足单位部门数量大，节点多，要求可靠性高。组网设备应具备引擎冗余、矩阵冗余、快速故障检测和恢复能力、快速保护和快速收敛能力。同样要求地市城域节点核心交换网络设备具有高缓存能力，减少数据的拥塞、保证数据的顺畅转发；2.2.2 结构设计地市城域节点单位采用高速 RPR环网组网。在地市城域各节点部署2台核心交换机，所有节点交换机均配置RPR接口，它们之间通过裸光纤首尾互连。选择地市城域节点中的2个节点作为RPR环网上行节点，在这两个节点中分别通过1台核心交换机采用千兆链路连接地市局核心交换机（如图中节点1、节点2）。2.2.3 设备部署每个地市域网节点部署2台核心交换机。每个地市城域节点数量根据该市业务单位情不同而数量不一，实际采购部署时数量依实际情况而定。2.2.4 系统配置序号名称单位数量备注1地市城域节点1核心交换机台22地市城域节点2核心交换机台23.套2n地市城域节点n核心交换机套22.3 地市至区县三级网设计2.3.1 功能设计地市到区县三级网网络主要为地市局与各区县视频采集数据和业务数据提供高性能，智能化的网络服务。要求区县局核心交换网络设备具有高交换性能，减少数据的拥塞、保证数据的顺畅转发；整网具备快速故障检测和恢复能力、快速保护和快速收敛能力；设备还具备引擎冗余、矩阵冗余、设备堆叠、流量监控、端口镜像、链路聚合等功能。设备具备统一管理功能，能被所属地市局网管平台或省厅网管平台管理。 2.3.2 结构设计地市局到区县局三层网络同样采用双星型架构设计，地市局的2台核心交换机采用2条1000M广域网链路连接下属各区县局交换机。2.3.3 设备部署每个区县局部署1台核心交换机。2.3.4 系统配置序号名称单位数量备注1区县局节点1核心交换机台12区县局节点2核心交换机台13.套188区县局节点88核心交换机台12.4 带宽设计贵州省公安视频监控系统作为综合性多媒体应用系统，包含了视频、音频、数据多种数据类型，并同时运行实时音视频编码/传输、音视频存储、历史视频回放以及实施音视频解码/观看等业务，在提供更直观的交流及监控手段的同时，也给承载网络带来了巨大压力。我们在考虑贵州省公安视频监控系统的流量特征，明白监控业务对IP承载网的压力所在，并通过合理的网络规划、系统设计来减小网络的负载，让承载网络更好的保障其承载的多媒体业务正常运行。2.4.1 理解视频监控流量模型IP视频监控集成了音视频多种业务，不同业务对于承载网络的需求也各不一样，在业务流量的方向、模型以及特征上区别较大。比如对于视频存储而言，数据安全性是第一位的，在数据传输过程中首要保障的是可靠性，而实时视频查看业务，用户的感官体验是首要考虑的，数据传输要优先考虑实时性，低延时的网络对实时视频业务来说是最重要的。视频监控各类业务的流量模型可见下表：业务类型流量方向流量模型流量特征实时视频单向编码器 解码器点到点（单播）点到多点（单播/组播）基于UDP，无线及广域可选基于TCP传输要求高质量的实时视频图像，带宽要求高，当前主流应用的单路实时视频带宽要求在18Mbps视频存储单向编码器 存储多点汇聚基于TCP，要求可靠性第一全天候存储或分时段存储，流量稳定，可事前规划，流量总量占监控业务总流量一半以上带宽要求高，当前主流应用的单路视频存储带宽要求多为2Mbps、4Mbps历史图像回放单向存储 解码器点到多点点播流量模型为典型的发散模式，具有突发性、分散性以及源集中性带宽要求取决于历史图像的存储码率网络压力集中于存储的带宽及并发能力以及存储子系统的接入层语音对讲双向编码器 客户端点到点视频语音业务多选用G.711、G.729或G.723.1等低码率编码方案对时延敏感语音广播单向编码器 客户端点到多点同上上表基本汇集了当前IP视频监控系统中的主要业务流量特征，而要完成IP承载网络的设计，还需要考虑以下问题：1) 多媒体业务使能当前IP视频监控系统中启用了哪些业务？视频数据是满足实时查看还是事后查询？视频数据的存储策略（集中存储或分布存储）？2) 多媒体数据的生产和消费视频源（编码器/摄像头）部署在哪里？实时视频在哪里查看？视频源数据存储在哪里？3) 多媒体数据流向音视频数据在IP承载网中的路由方向、汇聚点。4) 多媒体业务的网络服务水平指标考虑多媒体数据的的带宽需求，确定视频源的数量、音视频码率大小、以及为可能的数据突发考虑带宽冗余度。考虑其他网络服务水平指标，包括丢包率、抖动、时延、乱序等。5) 系统扩展需求需要了解整个视频监控系统可能的扩展需求，在网络接入端口扩容、核心网扩展以及存储系统扩展等方面留下必要的弹性空间。2.4.2 贵州省公安视频监控业务对带宽的承载需求 省厅至地市局带宽考虑省厅至地市局出口流量承载了地市区县前端摄像头的实况流、回放流、存储流、语音回放、对讲及控制信令等，其中语音回放、对讲及控制信令流量较小，需占用网络带宽不到200K，因此在进行带宽设计时主要就并发上墙监控画面数量、播放摄像头画质、需要实时存储的监控摄像头数量、画质等作考究。我们结合各大监控系统厂商产品标准按以下方法进行带宽测算：高清监控存储流（iSCSI/TCP）：每路存储流所占带宽按4M计算高清监控实时监控流（UDP）：每路带宽按8M计算。因此，省厅建议采用2条1000M广域网链路作出口，可满足250路（2000M/8M）摄像头并发上墙或500（2000M/4M）路实况存储，当然也可能根据实际上墙数量及实况存储数量进合理搭配。 地市局至区县局带宽考虑地市局上行连接省厅，下行连接区县局。上行流量用于向省厅转发本地市及下辖区县需要在省厅播放的视频监控实况流与存储流，下行流量用于汇聚各区县汇总上来的实况流及存储流。我们结合各大监控系统厂商产品标准按以下方法进行带宽测算：高清监控存储流（iSCSI/TCP）：每路存储流所占带宽按4M计算高清监控实时监控流（UDP）：每路带宽按8M计算。因此，地市局建议采用2条100M广域网链路作上行出口，可满足向省厅上传25路（200M/8M）摄像头并发上墙或50路（200M/4M）实况存储，当然也可能根据实际上墙数量及实况存储数量进合理搭配；建议采用2条1000M广域网链路作下行出口，可满足汇聚各区县250路（2000M/8M）摄像头并发上墙或500（2000M/4M）路实况存储，当然也可能根据实际上墙数量及实况存储数量进合理搭配。第三章 设备选型33.1 设备选型原则选取设备时通常必须遵循以下几个原则：1、必须具备高可靠性及高冗余性；2、必须能够提供故障隔离功能；3、必须具有迅速升级能力；4、必须具有较少的时延和好的可管理性。其中设备的可靠性对数据网来说至关重要，设备的任何故障对于数据网来说都可能引起严重的后果，要保证数据网平台的可靠性，必须要选用具备电信级可靠性的网络设备进行组网，才能使网络具有自动恢复能力、降低人工维护工作量，达到本网络的可靠运行。3.1.1 设备高可靠性1、采用分布式体系结构分布式体系结构是提高可靠性的基础，与集中式体系设备相比较，分布式体系设备除性能可以通过插入更多的接口处理板提高整体性能外，更为关键的是将管理、路由转发、接口处理等功能分配在不同的部件上，协同工作，分布式体系可以分散故障风险、隔离故障、提供冗余配置，提高系统的自动恢复能力；如管理部件故障，只需要更换这部分板件，不影响其他功能。而且，分布式体系结构可以提高组网的物理可靠性，如每个骨干节点都有多条接口与相邻的节点或本地互联，从路由上提高了可靠性。如果采用是集中式体系，则当节点设备出现故障时，这个节点所有接口都会失效，造成节点所带网络的中断；而采用分布式结构时，这些接口可以分别配置到不同的接口处理板上，这样，无论这台设备的管理单元、交换转发单元，还是单一接口出现故障，都可以保证至少有部分路径是连通的，降低网络中断的危险。2、采用CLOS多级多平面交换体系结构采用Crossbar交换架构进行交换机设计时，为了节省成本通常将Crossbar交换网片集成在设备的主控板上，此时接口板和主控板上的Crossbar交换网片通过后置背板进行互联。采用CLOS交换架构进行交换机设计时，通常采用专用交换网板形态，放弃将交换网片集成于主控板的做法。此时接口板、交换网板和主控板通常通过中置背板进行互联（网板位于背板后部，接口板和主控板位于背板前部）。此种做法使得空间上仅仅增加了设备的深度，并不影响机架安装的空间效率。专用交换网板带来了显著的好处：可以采用更多的交换网片提供超大容量的交换能力；交换容量的升级更为便利仅需要升级交换网板；转发平面不再因控制平面的干扰导致丢包主控板主备倒换时转发平面零丢包（Lossless）。3、关键部件冗余采用分布式体系下，对设备的关键部件，如主控管理单元、交换转发单元等，进行冗余构造配置，保证系统在工作中不会全部失效。4、实时热备份机制在系统软件及硬件的支持下，关键部件在发生故障能自动启动备份系统，而且主备之间的切换要能够实时热倒换，即运行中即使发生设备故障切换也不会对网络业务造成影响。5、热插拔特性设备任意单板需要支持热插拔特性，保证系统出现故障需要维护，或系统需要升级扩展时，不需要停机处理，保证网络的724小时不间断运行。6、冗余电源支持冗余电源负载分担及备份供电可保障系统具有可靠的能量源。7、散热系统散热系统使设备长时间运行而不至因为系统升温过高出现故障，冗余风扇等散热装置可以增加设备的运行时间及减少故障发生。3.1.2 网络设备处理性能为实现整网视频监控业务的线速转发，要求组网设备能提供高速的交换容量与包转发率从而保证设备能实现全线速端口转发。组网交换机支持未来40GE和100GE以太网标准，充分满足未来发展需求。 3.1.3 可扩展能力在视频信息IP网络平台建设时，必须考虑到网络的可扩展性。随着节点数的增加、视频源的增多，及网络业务的扩展。不管在网络升级还是扩容时，都应该确保网络不间断。在选用网络设备时，应选择扩容能力强、可在线升级的设备。要求在不改变网络结构的情况下，只增加相应的接口模块就能方便简单地完成扩容。3.1.4 设备级安全性考虑设备级安全性是指设备自身抵御攻击的能力。其主要包括以下几个方面：1、数据传送层面的安全能力w 地址扫描攻击的防护能力w DoS/DDoS攻击防护能力w MAC地址表容量攻击防护能力 w 静态MAC地址表项和ARP表项绑定能力w 强大的ACL能力w 单播反向路径查找检查能力 2、控制信令层面的安全能力w ARP协议攻击防护能力w 地址冲突检测能力w TC/TCN攻击防护能力w 地址盗用防护能力w 路由协议攻击防护能力3、设备管理层面的安全能力w 管理用户分级分权w 支持安全的远程管理SSHw 支持安全审计w 安全接入控制w SFTP服务3.2 设备选型3.2.1 省厅核心交换机选型省厅核心交换机不仅承载着全省纵向数据的高速转发，同时还承载着数据中心内部服务器之间的高速数据转发功能，因此省中心核心交换机的处理性能和稳定性将直接决定本次大集中工程的业务质量，省级的核心交换机应具备以下特点：1、 采用先进的CLOS多级多平面交换架构，提供持续的带宽升级能力2、 能提供独立的控制引擎、交换网板、业务板，三者相互独立，最大程度的提高设备可靠性，同时为后续产品带宽的持续升级提供保证。3、 设备整机性能交换容量=3Tbps，包转发率=1900Mpps；4、 提供强大缓存能力，其中10GE端口=256MB，GE端口=20MB；5、 基于100G平台，支持未来40GE和100GE以太网标准，满足未来网络发展需求6、 设备能支持引擎、交换网板、电源、风扇等主健部分冗余及主控交换卡、电源、接口模块等关键部件可热插拔高可靠特性7、 具备良好扩展能力：交换网板槽位=5，业务槽位=6；可配置多业务板卡，如防火墙、入侵防御、流量负载均衡、网络流量分析等业务板卡，以满足未来网络的发展需求8、 支持2台至4台内的虚拟化架构组网，能提供统一的控制平面与转发平面、跨机柜的链路聚合9、 支持完善的、基于IPv4/IPv6的静态路由协议与动态路由协议10、 设备成熟稳定，产品在工信部登记入网时间2年以上，并在贵州省市场内有5份以上用户使用案例3.2.2 地市局核心交换机选型地市节点核心交换机主要承担地市公安局的视频监控流量，以及地市公安局与省厅视频监控业务访问时的高速转发，同时还承载部分对县（区）的服务提供。地市核心交换机应该具备以下特点：1、 采用先进的CLOS多级多平面交换架构，提供持续的带宽升级能力2、 能提供独立的控制引擎、交换网板、业务板，三者相互独立，最大程度的提高设备可靠性，同时为后续产品带宽的持续升级提供保证。3、 设备整机性能交换容量=3Tbps，包转发率=1900Mpps；4、 基于100G平台，支持未来40GE和100GE以太网标准，满足未来网络发展需求5、 设备能支持引擎、交换网板、电源、风扇等主健部分冗余及主控交换卡、电源、接口模块等关键部件可热插拔高可靠特性6、 具备良好扩展能力：交换网板槽位=4，业务槽位=6；可配置多业务板卡，如防火墙、入侵防御、流量负载均衡、网络流量分析等业务板卡，以满足未来网络的发展需求7、 支持2台至4台内的虚拟化架构组网，能提供统一的控制平面与转发平面、跨机柜的链路聚合8、 支持完善的、基于IPv4/IPv6的静态路由协议与动态路由协议9、 设备成熟稳定，产品在工信部登记入网时间2年以上，并在贵州省市场内有5份以上用户使用案例3.2.3 区县局核心交换机选型 区县局节点交换机作为全省公安视频监控系统三级骨干网的末端，主要负责接入本区县视频监控资源，实现并区县视频监控的管理、调度，同时需要将重要的视频监控信息向上传递至地市局或省厅。区县局节点不需要像地市局一样汇聚大量视频监控资源，因此设备在性能、架构上可略低于城市局、省厅设备，该节点交换机选型应满足以下特点：1、 采用分布式转发架构，提供线速转发带宽2、 设备整机性能交换容量=2.4Tbps，包转发率=1200Mpps；3、 支持未来40GE以太网标准，满足未来网络发展需求4、 设备能支持引擎、电源、风扇等主健部分冗余及主控、电源、接口模块等关键部件可热插拔高可靠特性5、 具备良好扩展能力：主控槽位=2，业务槽位=6；可配置多业务板卡，如防火墙、入侵防御、流量负载均衡、网络流量分析等业务板卡，以满足未来网络的发展需求6、 支持2台至4台内的虚拟化架构组网，能提供统一的控制平面与转发平面、跨机柜的链路聚合7、 支持完善的、基于IPv4/IPv6的静态路由协议与动态路由协议8、 设备成熟稳定，产品在工信部登记入网时间2年以上，并在贵州省市场内有5份以上用户使用案例第四章 网络可靠冗余性设计贵州省公安视频监控承载网各业务系统的安全运行，对贵州省公安视频监控承载网网络系统的可靠性提出了很高的要求。因此在网络的设计实施中必须对网络的可靠性进行详尽的考虑和设计。网络系统的可靠性由两个大部分组成，即承载网络的可靠性和应用系统的可靠性。应用系统的可靠性主要由服务器、存储设备、应用程序、数据库等的可靠性构成；承载网络的可靠性则包括网络拓扑组网结构的可靠性及组网设备可靠性，下面对本次贵州省公安视频监控承载网大集中网络的可靠性设计进行说明。44.1 组网结构可靠冗余性设计贵州省公安视频监控承载网大集中网络设计首先从网络结构上保证了高可靠性和高冗余性：1)省到地市二级骨干网络采用双星形冗余架构设计，通过路由协议、BFD、不间断路由等技术配合实现广域传输的可靠性；2）地市城域网各节点采用RPR环组架构设计，通过RPR支持的链路/节点故障50ms的故障自愈时间能力保障数据不丢失、业务永续；3)地市到区县采用双核心、单接入架构设计，通过虚拟化架构的统一控制、转发、管理及跨设备链路聚合等技术完善区县接入网络的可靠性与传输性能。4.2 设备级可靠冗余性设计网络核心节点设备的可靠是确保整个网络的有效运转的关键所在。要保证贵州省公安视频监控承载网网络平台的可靠性，必须要选用具备电信级可靠性的网络设备进行组网，才能使网络具有自动恢复能力、降低人工维护工作，达到电信级的可靠运行。 网络关键设备必须具有电信级可靠性网络中的关键设备，如核心交换机等，应该具备电信级可靠性：l 可靠性指标必须达到99.999%。l 网络核心设备采用全分布式体系结构，路由与转发分离。l 网络核心设备采用CLOS多级多平面架构，交换与控制物理分离，能支持独立的控制引擎、独立的交换网板及独立的业务板l 所有关键器件，如主控板、电源等都采用冗余设计，业务模块支持热插拔。l 网络核心设备支持不间断转发，主控板热备份。主备倒换过程不影响业务转发，不丢包。l 网络核心设备支持软件在线升级，升级过程中业务不中断。l 网络核心设备支持软件热补丁，打补丁过程中主控板和接口板都不需要重启动，业务不中断。下面对备份技术，补丁技术及不简单转发技术进行介绍：1）备份技术对高可靠性的支持必须是完备的，系统的。既要对硬件部件(如电源，主控板、交换网及存储设备等)的备份，也需要对数据和系统的中间状态信息备份。硬件的备份技术是由硬件逻辑或者底层软件控制的，系统需要实时检测硬件的状态，如果发现异常，则启动倒换过程，将备用硬件升级为主用，而原主用部件相应的转换为备用，同时尝试对硬件部件复位，并给系统发出告警。对数据和系统状态的备份也需要相应的硬件配合，通过部件冗余备份实现来增强设备的可靠性，如对交换机的主控板进行冗余备份，备用板与主用板之间并不进行运行状态和与运行数据的同步。交换机启动时，主用板和备用板都要进行程序加载，并且开始相关模块的初始化，主用板正常执行启动过程，开始软件运行，备用板并不完成所有的初始化（包括配置文件的执行），而是在完成之前的最后一步暂时阻塞，保持等待运行的状态；一旦主用板出现故障，备用板重新启动所有的业务板并完成最后的初始化，接替主用板工作。这种备份方式称为冷备份。冷备份节省了加载以及启动的时间、备用板配置恢复时间，减少了故障恢复时间，从而增加系统可靠性。不过在这种备份方式下，由于主备之间不进行任何数据的备份，需要进行数据的搜集或恢复处理，需要花费一定的时间。 一些协议连接需要重新协商处理，如路由协议建立邻居、路由聚合需要花费一定的时间。可能会导致业务板的重新启动，需要花费一定的时间。所有这些，都可能导致业务的短时间中断，但是，即使是瞬间的网络中断，也可能给用户造成巨大的损失，对一些政务关键部门的业务用户尤其如此。为了将网络中断时间减少至最短时间，甚至做到业务不中断，需要对系统运行时的动态数据或进程状态进行备份，这时备用板处于一个特殊的运行态，只接收和储存由主用板发送来的数据和状态，当主用板发生故障时，系统平滑的切换到备用板，切换过程对网络用户透明，业务不会因为网络的切换而中断。我们称这种备份方式为热备份。当系统的备用板启动之后，主用板和备用板之间的状态差异可以非常大，这时需要将主用系统的数据批量的备份到备用板上，这个过程就是批量备份。当批量备份结束后，随着系统的运行，主用系统的数据会发生变化，这些变化需要定时的备份到备用系统中，这个过程称作定时备份。一旦主用系统出现故障，备用系统和主用系统的角色需要交换，将备用系统升格为主用系统的过程称作主备倒换。备用系统升级为主用系统后，一些状态信息没有从原主用系统得到，或数据失效，新的主用系统需要与接口板对硬件状态、链路层状态和配置数据上确认这些数据，这个确认过程是数据平滑。热备份保证主备系统板之间的数据和状态始终一致，因而，业务板也感觉不到系统板发生倒换，再加上协议状态的一致，因此可以保证业务不会丢失。2）补丁技术补丁技术主要目的是修正已经发现并解决的BUG，防止相同的问题在不同的网络上发生。在两种补丁技术中，冷补丁的软件升级技术是传统数据通信产品的主要方式，热补丁技术则是现有电信网络设备的常用方式，冷补丁技术能够不中断业务的转发，但对设备的正常运行有一定影响；热补丁的执行过程中业务处理流程可以正常进行，对设备没有任何影响。设备的高可靠性从硬件、软件、保护机制等几个方面体现：冷补丁技术的主要原理是使用更新的软件版本替换有问题的版本，在这个过程中，如果是在无备份的机制下，会中断转发业务；在有备份板的情况下，打补丁操作需要在备板中进行，通过手动倒换操作，能实现无业务损失的升级工作，但在接口处理板上的补丁操作会影响业务的正常运行。热补丁技术需要有操作系统和相应的编译工具的支持，它的原理是将所需要升级的那部分代码编译后形成一个补丁文件，在打补丁过程中，将这个补丁文件加载到系统的补丁区域，并修改原有软件的Bug 区域，将新的特性跳转到补丁区域执行，整个过程不需要中断业务，可以在主用板执行，因此业务没有丝毫损失。另外热补丁技术并没有修改原有软件，因此在需要时可以回退，这也为补丁的更新提供了更便利的条件。3）不间断路由核心路由交换机中的有多种路由协议，它们保存了大量的数据和中间状态信息，数据量可以达到上百兆的大小，因此对这些数据的备份是很困难的。为了解决路由的备份问题，业界提出了三种方法：镜象、备份和平滑重启。应用不间断路由技术后，设备的路由控制器发生问题后，设备中的备用控制器自然切换为主用，替代执行路由的处理，而这个过程对路由器的转发平面是透明的，转发平面可以继续转发报文，做到不中断转发。镜象的方法是一个通用的方法，主用控制器与备用控制器的硬件、软件、数据甚至内存都完全一致，唯一不同是主用控制器能够向外发送控制信息，而备用控制器只用来接收外界消息。镜象有两种方法，一种是硬件镜象，另外一种是软件镜象，硬件镜象就是由硬件同步主用和备用部件，使它们一致，软件镜象通过一套镜象协议保证这种效果。由于主用和备用的部件完全一致，当主用部件发生故障时，镜象用的备用部件也极易产生同样的问题。为了避免这一问题，就产生了备份的方式，主用和备用控制器只备份关键数据和信息，这样就避免主用和备用部件的完全一致，因而可以防止部分问题的重复发生。但是备份的方式也有它的缺点，就是主用和备用控制器的切换会导致邻接设备路由状态的更新，引起网络的路由震荡，平滑重启解决了这个问题。平滑重启通过在全网中支持路由平滑重启特性，在故障设备和正常设备间建立相互的信任机制，当设备路由故障时，需要进行路由控制器的重启前，将重启请求发送给邻接设备，邻接设备收到这个请求后，不会更新其路由表，而等待故障设备重启完成，在这个过程中由于转发平面能够继续工作，因此，网络中的报文转发不会受到这个设备路由控制器重启的影响。平滑重启解决了路由备份的问题，但是它的路由恢复时间随着路由数据的大小而线性增长，在路由恢复过程中的路由更新有可能造成网络的路由循环和路由黑洞，另外由于平滑重启还没有完成其协议的标准化，因此还需要一段时间，各个厂家间的平滑重启特性才能互通。相比来说，备份的前景比较好，一方面它的机制简单，可以使用热备份特性支持，简化了实现的难度；另一方面它能够做到本地备份，不需要与邻接设备间的大量路由数据的通信，因而可以在关键设备上独立支持这个特性。对于备份方式的路由更新问题，可以通过调整协议参数，或备份TCP连接的方式，使邻接设备感觉不到本机故障，抑制了路由更新。进一步的研究表明，某种方式的平滑重启与备份结合后，将会弥补两种特性的缺点，能够得到更完善的不间断路由机制。贵州省公安视频监控承载网广域网网络中所采用的核心交换机设备应具有强大的设备级可靠性保证：1、采用CLOS多级多平面结构：在核心节点核心交换机上建议采用支持CLOS多级多平面架构设备，CLOS架构定义了一种几何拓扑结构，在处理高速包交换时，需要采用专门设计的动态路由方式。动态路由关键点在于能负荷分担地均衡利用所有可达路径，实现严格的无阻塞交换，并有利于减小加速比从而提高有效端口容量；另外由于CLOS交换系统容量很大，物理实现上，通常采用N+1个独立的交换网槽位，与主控板控制平面彻底分离，一方面提高了系统容量可扩展性，另一方面极大程度上提高了转发平面的可靠性，避免了控制平面出现故障或进行倒换时对转发平面的影响；CLOS架构的引入，提高了核心交换机的转发性能，带来更高的可靠性和可用性，避免数据、业务大集中而造成流量突发造成压力。2、采用分布式体系结构：在核心节点的高性能交换机采用分布式体系结构，与集中式体系设备相比较，分布式体系设备除性能可以通过插入更多的接口处理板提高整体性能外，更为关键的是将管理、路由转发、接口处理等功能分配在不同的部件上，协同工作，分布式体系可以分散故障风险、隔离故障、提供冗余配置，提高系统的自动恢复能力；如管理部件故障，只需要更换这部分板件，不影响其他功能。3、关键部件冗余：核心网络设备采用分布式体系下，对设备的关键部件，如主控管理单元、交换转发单元等，进行冗余构造配置，保证系统在工作中不会全部失效。4、实时热备份机制：在系统软件及硬件的支持下，关键部件在发生故障能自动启动备份系统，而且主备之间的切换要能够实时热倒换，即运行中即使发生设备故障切换也不会对网络业务造成影响。5、热插拔特性：核心网络设备任意单板均支持热插拔特性，保证系统出现故障需要维护，或系统需要升级扩展时，不需要停机处理，保证网络的724小时不间断运行。6、冗余电源支持：核心路由器能提供冗余电源负载分担及备份供电，保障系统具有可靠的能量源。6、散热系统：网络设备的散热系统使设备能够长时间稳定运行而不至因为系统升温过高出现故障，冗余风扇等散热装置可以增加设备的运行时间及减少故障发生。4.3 RPR环网设计传统城域网的解决方案主要是SDH或以太网方式，这两种方案都各有明显的优缺点：SDH环网的优点是高可靠性，满足用户的通信要求；能够提供保护和快速恢复机制；但是其点到点、电路交换的设计目标也为它带来了诸多缺点：1、带宽在节点间点到点的链路中固定分配并保留；2、带宽不能根据网络中流量的实际情况而改变，不利于带宽的高效利用；3、广播和组播报文将分成多个单播完成，浪费带宽；4、通常为实现保护机制，50% 的带宽将保留，未能提供灵活的选择机制。以太网技术以其成本低、简洁、易扩展、以及便于IP 包的传输和处理等特点，但它在规模、端到端业务建立、质量保证、可靠性等方面还存在不少需要克服的难题。RPR（Resilient Packet Ring）弹性分组数据环技术集IP的智能化、以太网的经济性和光纤环网的高带宽效率、可靠性于一体，为宽带IP城域网运营商提供了一个良好的组网方案。RPR技术使得运营商在城域网内以低成本提供电信级的服务成为可能，在提供类似SDH级网络可靠性的同时降低了传送费用。RPR有别与传统MAC最吸引人的特点是具有电信级的可靠性，使其不仅仅只是局限于处理面向数据的业务传送需求，同时可以形成处理多业务传送的综合传输解决方案。可以这样说，RPR是IP技术与光网络技术直接融合的产物，它源于客户对IP业务发展的需求，顺应最新的技术潮流，为IP城域网的建设带来了一套低成本、高品质的解决方案。4.3.1 技术特点结构描述与SDH拓扑结构类似，RPR为互逆双环拓扑结构，环上的每段光路工作在同一速率上。不同的是，RPR的双环都能够传送数据，两个环被分别称为0环（Ringlet0）和1环（Ringlet1）。RPR 0环的数据传送方向为顺时针方向，1环的数据传送方向为逆时针方向。每个RPR节点(station)都采用了一个以太网中用到的48位MAC地址作为地址标识，因此从RPR节点设备链路层来看，这两对收发的物理光接口只是一个链路层接口；从网络层来看，也只需要分配一个接口IP地址。两个相邻RPR节点之间链路称为段(span)，多个连续的段和其上的节点构成域(domain)。就每个节点来看，其分组交换结构与传统分组交换结构有很大变化。这里我们先回顾一下传统分组交换结构，如下图所示：在传统分组交换结构中，节点接收分组报文后，需要穿越节点内部的背板总线或交换网板，经过队列调度，才从出口发送出去。由于节点内部的背板总线或交