公安-省公安视频监控网络系统解决方案.doc

精选范本 贵州省公安视频监控承载网 规划方案 2012 年 11 月 精选范本 目 录 第一章概述 6 1 1设计思想 6 1 2设计原则 7 1 3设计规范 8 第二章网络方案总体设计 11 2 1省到地市二级网设计 14 2 1 1功能设计 14 2 1 2结构设计 15 2 1 3设备部署 16 2 1 4系统配置 16 2 2地市城域网 RPR 环网设计 16 2 2 1功能设计 16 2 2 2结构设计 17 2 2 3设备部署 17 2 2 4系统配置 18 2 3地市至区县三级网设计 18 2 3 1功能设计 18 2 3 2结构设计 19 2 3 3设备部署 19 2 3 4系统配置 19 精选范本 2 4带宽设计 20 2 4 1理解视频监控流量模型 20 2 4 2贵州省公安视频监控业务对带宽的承载需求 22 2 4 2 1省厅至地市局带宽考虑 22 2 4 2 2地市局至区县局带宽考虑 23 第三章设备选型 23 3 1设备选型原则 23 3 1 1设备高可靠性 24 3 1 2网络设备处理性能 26 3 1 3可扩展能力 26 3 1 4设备级安全性考虑 27 3 2设备选型 28 3 2 1省厅核心交换机选型 28 3 2 2地市局核心交换机选型 29 3 2 3区县局核心交换机选型 30 第四章网络可靠冗余性设计 31 4 1组网结构可靠冗余性设计 31 4 2设备级可靠冗余性设计 32 4 3RPR 环网设计 37 4 3 1技术特点 38 4 3 2本次组网设计 52 4 4虚拟化架构设计 53 4 4 1网络设备虚拟交换构架介绍 53 精选范本 4 4 2网络虚拟化技术优点 54 第五章网络安全设计 57 5 1安全与网络融合解决方案 57 5 2部署插卡式防火墙 提供网络层安全 60 5 3部署插卡式入侵防御系统 提供应用层安全 61 5 4基层网络安全 62 5 5网络层安全解决方案 64 第六章智能管理中心 66 6 1贵州省公安视频监控承载网网络管理建设需求 66 6 2贵州省公安视频监控承载网网络管理方案 67 6 2 1部署智能管理平台 67 6 2 2部署网流量分析组件 75 6 2 3部署应用管理组件 80 6 2 4部署智能分析报表管理组件 85 第七章IP 地址规划及设备命名 88 7 1IP 地址规划原则 88 7 2IP 地址编制方法 90 7 3IP 地址编制规则 90 第八章路由规划部署方案 92 8 1路由方案选择原则 92 8 2路由协议的选择 93 精选范本 8 2 1内部网关路由协议 IGP 93 8 2 1 1OSPF 简介 94 8 2 1 2OSPF 协议特点 95 8 2 1 3与 OSPF 协议相关的基本概念 97 8 2 2外部网关路由协议 BGP 99 8 3路由协议规划和部署 100 第九章QOS 设计 100 9 1QOS 原理 101 9 2QOS 服务模型 102 9 3QOS 技术 103 9 4QOS 详细实施 105 第十章组播设计 107 10 1组播技术介绍 107 10 2组播网络设计 109 精选范本 第一章 概述 贵州省公安视频监控承载网是一个独立的网络 专用于今后图像监控信息的互传和共 享 网络带宽要求高 资源占用率大 并与社会部分单位预留共享接口 要求整个网络必 须具有较高的可靠性 具有较强的容错能力和自愈恢复能力 不会产生单点故障 能承载 多媒体业务 数据和图像 具有支持多种业务传输的能力 有网络安全防范措施和完善的 管理能力 该网络划涉及到贵州省厅 1 个节点 9 个地市局节点 88 个县 区 局点 根据贵 州省公安行政划分隶属关系 网络设置为二级网和三级网两层架构 省厅业务单位和市局 之间联网为二级网 市局业务单位和分县局之间联网为三级网 1 1设计思想 贵州省公安视频监控承载网建设项目具有较大容量高速传输能力的 有可靠稳定服务 质量保证的监控承载网网络平台 使得贵州省公安能够基于这个平台 实现省厅 地市局 县 区 局之间安全高速的视频监控数据共享 1 利用设备 网络可靠冗余性设计 路由协议 RPR BFD GR 快速重路由 虚 拟化等协议冗余性设计部署 实现网络平台的高可靠性 2 利用设备自身安全设置 分层分区访问控制 与安全设备配合实现网络平台的高 安全性 3 利用宽带 IP 技术 实现网络对数据及语音 视频会议 监控等多媒体业务的良好 支持 利用 QOS 技术实现针对不同应用提供不同的服务质量 实现网络平台的高可用性 精选范本 4 利用集中或分布式网络管理平台实现全网设备统一管理 通过流量分析系统实现 全网业务流的高可见性管理 实现网络平台的高可管理性 1 2设计原则 结合贵州省公安视频监控网络的实际应用和发展要求 在进行贵州省公安视频监控承 载网建设项目方案设计时 系统总体设计应遵循原则 实用性原则 贵州省公安视频监控承载网广域网网络建设将以满足现行需求为基 础 在节省投资的同时 充分考虑发展的需要来确定系统规模 安全性原则 贵州省公安视频监控承载网网络平台服务于贵州省公安视频监控系 统监控视频传输需要 对安全级别要求很高 系统应能提供网络层的安全手段配 合整体系统的安全建设 防止系统外部成员的非法侵入以及操作人员的越级操作 保护网络建设者的合法利益 可靠性原则 系统设计能有效的避免单点失败 在设备的选择和关键设备的互联 时 应提供充分的冗余备份 一方面最大限度地减少故障的可能性 另一方面要 保证网络能在最短时间内修复 成熟和先进性原则 贵州省公安视频监控承载网网络系统结构设计 系统配置 系统管理方式等方面应采用国际上先进的同时又是成熟 实用的技术 高可用性原则 具有较高的可靠性和可用性前提下 保证征管业务系统的正常运 行 网络设备及设计具备在线故障恢复能力 关键设备 线路能做到实时备份和 自动故障切换 网络系统具有强大的容错功能以确保各种应用的正常运行 在网 络设计上采用网络级备份或线路及设备的冗余配置 没有单故障点 广域网线路 精选范本 之间相关系数最小 规范性原则 系统设计所采用的技术和设备应符合国际标准 国家标准和业界标 准 为系统的扩展升级 与其他系统的互联提供良好的基础 开放性和标准化原则 在设计时 要求提供开放性好 标准化程度高的技术方案 设备的各种接口满足开放和标准化原则 可扩充和扩展化原则 所有系统设备不但满足当前需要 并在扩充模块后满足可 预见将来需求 如带宽和设备的扩展 应用的扩展和办公地点的扩展等 保证建 设完成后的系统在向新的技术升级时 能保护现有的投资 可管理性原则 考虑到当前公安系统信息技术专业人才数量相对少 网络建设维 护 信息资源开发能力相对较弱 因此整个系统的设备应易于管理 易于维护 易学 易用 便于进行系统配置 在设备 安全性 数据流量 性能等方面很好 的监视和控制 远程管理和故障诊断 1 3设计规范 本次贵州省公安视频监控承载网建设项目的网络设计完全符合国家网络建设的相关标 准和规范 1 网络标准与规范 RFC 1661 The Point to Point Protocol PPP RFC 1990 The PPP Multilink Protocol MP RFC 1994 PPP Challenge Handshake Authentication Protocol CHAP RFC791 Internet Protocol IP 精选范本 RFC792 Internet Control Message Protocol ICMP RFC793 TRANSMISSION CONTROL PROTOCOL TCP RFC768 User Datagram Protocol UDP RFC 826 An Ethernet Address Resolution Protocol ARP RFC2328 OSPF Version 2 RFC1793 Extending OSPF to Support Demand Circuits RFC1771 A Border Gateway Protocol 4 BGP 4 RFC1965 Autonomous System Confederations for BGP RFC1966 BGP Route Reflection RFC1997 BGP Community Attribute RFC2439 BGP Route Flap Damping RFC2138 Remote Authentication Dial In User Service RADIUS RFC2139 RADIUS Accounting RFC2784 Generic Roouting Encapsulation RFC2401 Security Architechure for the Internet Protocol RFC1157 Simple Network Management Protocol SNMP RFC2474 DS Field in the IPv4 and IPv6 Headers RFC2475 An Architecture for Differentiated Service RFC2615 POS RFC2547 MPLS VPN IEEE 802 3u 100Base规范 IEEE 802 3z 1000Base X GBIC 规范 精选范本 IEEE 802 3ae 10G 规范 IEEE 802 1Q 1P Virtual Bridged Local Area Networks IEEE 802 3ad Link Aggregation IEEE 802 17 RPR 2 国家安全标准与参考规范 GB T18336 2001 GB T18019 1999 GB T18020 1999 UL 1950 EN 41003 AS NZS 3260 AS NZS 3548 Class A CSA Class A FCC Class A EN 60555 2 VCCI Class 抗干扰性 IEC 1000 4 2 ESO IEC 1000 4 3 辐射敏感性 IEC 1000 4 4 电快速瞬变 IEC 1000 4 5 电源 IEC 1000 3 2 谐波 精选范本 第二章 网络方案总体设计 贵州省公安视频监控承载网建设项目总体设计包含骨干网设计 网络可靠冗余性设计 安全设计 网络管理系统设计 IP地址规划设计 路由规则设计 QOS设计 组播设计 等部分 整体采用分层 模块化的设计思想 贵州省公安视频监控承载网骨干网络由个1个省厅中心节点 9个地市局节点 88个县 区 局节点构成 根据贵州省公安的上下级的隶属关系及大集中后的业务模式 贵州省 公安视频监控骨干网的业务流向以省厅 地市局 地市局 区县局这样的纵向流为 主 根据业务走向 最适合的网络模型是星型组网 同时 为了保证核心节点的可靠性 针对地市局城域网区域采用RPR环形组网 整个网络分为三级结构 省厅 地市局定义为二级网 地市局 区县局定义为 三级网 采用层次化星型网络拓扑结构建设贵州省公安视频监控骨干网络具有以下特点 1 符合大网建设的要求 分层的模块化设计使得网络成长更加方便 升级的费用和复杂度限制在整个网络的小 范围内 当局部网络环境发生变化时不影响其它无关的层次 便于发现和隔离故障 有助 于故障点的识别 2 可靠性高 可以保证在任何一个链路出现故障时 都不会中断全局通信 因此 网络具有很高的 可靠性 3 建设和维护成本合理 从建设和维护成本上来分析 网络分层次建设 不同层次的带宽选择可以分别考虑 精选范本 根据流量需求 主干层采用比较高的带宽 而接入层采用相对低一些的带宽 可以极大提 高网络主干层的性能 网络的可实施性 同时又增加了带宽分配的合理性 避免带宽资源 的浪费 节约了建设和维护成本 4 路由效率高 模块化 层次化拓扑结构便于路由协议分层设计 减少了路由选择协议在网络链路上 的开销 以及核心路由交换的处理时间 这样 提高了路由效率 针对地市城域网采用 RPR 环形网络拓扑结构建设具有以下特点 1 符合城域网建设的要求 地市城域网主要针对地市上各城域节点的网络互联 这些节点之间需要实现横向的业 务数据共享 因些针对各节点之间的互联采用环网方式更具备灵活性 2 带宽高 10G RPR 最大单向带宽 20G 比 10G 以太网互连高一倍 2 5G RPR 和 GE RPR 都 可以实现两倍的带宽 3 可靠性高 链路 节点故障 50ms 的故障自愈时间 工程实测值在 10ms 以内 支持环上双节点 的 VRRP 备份 VRRP 倒换时间 50ms 保障业务不间断 4 QOS 特性强 支持严格的预留带宽 实现专线效果的语音和视频业务服务质量保障 提供公平性算 法 保障各节点合理分配总带宽 贵州省公安视频监控承载网骨干网拓扑图如下所示 精选范本 整个贵州省公安视频监控网络平台采用分级分层架构 同时结合了高可靠保障这一要 求的方法进行设计 在省厅 部署 2 台核心交换机及省级网管平台 同时建议提供 2 条千兆链路通过营运 商广域网连接各地市局 在地市局核心节点 同样部署 2 台核心交换机与地市级网管平台 并建议提供 2 条千 兆链路通过营运商广域网连接各区县局 2 条百兆链路通过营运商广域网连接省厅 2 台核 心交换机 在地市城域网 每节点部署 2 台核心交换机 节点内部与节点之间采用 RPR 环形组网 同时 选择 2 个节点的一台交换机作为 RPR 环网上行设备 通过千兆广域网链路连向地市 局核心交换机 精选范本 在各区县部署 1 台核心交换机 采用双百兆链路通过营运商广域网连接所属地市局的 2 台核心交换机 省到地市二级网设计 2 1 1 功能设计 省到地市二级网网络主要为省厅与各地市视频采集数据和业务数据提供高性能 智能 化的网络服务 要求省厅与地市局核心交换网络设备采用 CLOS 多级多平面架构 交换与控制物理分 离 能支持独立的控制引擎 独立的交换网板及独立的业务板 能提供持续的带宽升级能 力 同时 具有高缓存能力 减少数据的拥塞 保证数据的顺畅转发 整网具备快速故障检测和恢复能力 快速保护和快速收敛能力 设备还具备引擎冗余 矩阵冗余 设备堆叠 流量监控 端口镜像 链路聚合等功能 具有全局网管平台 能实现对全网设备的网络拓扑管理 配置文件管理 软件版本管 理 性能监控 故障管理 流量分析管理 应用服务管理及报表管理等 精选范本 2 1 2 结构设计 为简化网络架构 并保证可靠性 省厅到地市二级网络采用双星型组网设计 省厅作为星型网络的核心节点 采用双核心交换机双链路下连地市局节点交换机 地 市局同样部署 2 台核心交换机通过双链路与省厅链路对接 其中 省厅向下带宽建议为 2 条 1000M 链路 地市向上带宽建议为 2 条 100M 链路 省厅 2 台核心交换机与各地市局 2 台核心交换机都采用虚拟化架构组网 2 台核心交 换机之间采用万兆光纤互连 实现虚拟化架构组网 利用虚拟化特性可将网络故障收敛时 间缩至毫秒级 大幅提升网络可靠性 同时 通过跨设备链路聚合实现双机双链路共用 将网络性能提升一倍 并且 2 台核心交换机只需要 IP 便可进行配置从而简化管理难度 省厅与地市局部署分级网管平台 省厅网管平台能直接管理地市局网管平台或地市局 网管平台下挂设备 地市局网管平台同时能将重要的设备信息 告警信息等上报给省厅网 精选范本 管平台 网管平台能实现对网络拓扑管理 设备配置管理 设备软件管理 故障告警管理 性能监控管理 网络流量分析管理 重要的应用服务 包括操作系统 中间件 数据库 WEB 邮件服务 进行监控 同时能根据管理员的不同关注点定制成生丰富的统计报表 2 1 3 设备部署 在省厅部署 2 台核心交换机 1 套网管平台 在每个地市局部署 2 台核心交换机 1 套网管平台 2 1 4 系统配置 序号名称单位数量备注 1 省厅核心交换台 2 2 地市局核心交换机台 18 3 省厅网管平台套 1 4 地市局网管平台套 9 2 2地市城域网 RPR 环网设计 2 2 1 功能设计 地市城域网即地市各局节点的横向网络 在这些节点之间需要实现部门单位之间的视 频监控业务流互通 由于地市网络是作为整个系统的重载区 涉足单位部门数量大 节点多 要求可靠性 高 组网设备应具备引擎冗余 矩阵冗余 快速故障检测和恢复能力 快速保护和快速收 敛能力 精选范本 同样要求地市城域节点核心交换网络设备具有高缓存能力 减少数据的拥塞 保证数 据的顺畅转发 2 2 2 结构设计 地市城域节点单位采用高速 RPR 环网组网 在地市城域各节点部署 2 台核心交换机 所有节点交换机均配置 RPR 接口 它们之间 通过裸光纤首尾互连 选择地市城域节点中的 2 个节点作为 RPR 环网上行节点 在这两个 节点中分别通过 1 台核心交换机采用千兆链路连接地市局核心交换机 如图中节点 1 节 点 2 精选范本 2 2 3 设备部署 每个地市域网节点部署 2 台核心交换机 每个地市城域节点数量根据该市业务单位情不同而数量不一 实际采购部署时数量依 实际情况而定 2 2 4 系统配置 序号名称单位数量备注 1 地市城域节点 1 核心交换机台 2 2 地市城域节点 2 核心交换机台 2 3 套 2 n 地市城域节点 n 核心交换机套 2 2 3地市至区县三级网设计 2 3 1 功能设计 地市到区县三级网网络主要为地市局与各区县视频采集数据和业务数据提供高性能 智能化的网络服务 要求区县局核心交换网络设备具有高交换性能 减少数据的拥塞 保证数据的顺畅转 发 整网具备快速故障检测和恢复能力 快速保护和快速收敛能力 设备还具备引擎冗余 矩阵冗余 设备堆叠 流量监控 端口镜像 链路聚合等功能 精选范本 设备具备统一管理功能 能被所属地市局网管平台或省厅网管平台管理 2 3 2 结构设计 地市局到区县局三层网络同样采用双星型架构设计 地市局的 2 台核心交换机采用 2 条 1000M 广域网链路连接下属各区县局交换机 2 3 3 设备部署 每个区县局部署 1 台核心交换机 2 3 4 系统配置 序号名称单位数量备注 精选范本 1 区县局节点 1 核心交换机台 1 2 区县局节点 2 核心交换机台 1 3 套 1 88 区县局节点 88 核心交换机台 1 2 4带宽设计 贵州省公安视频监控系统作为综合性多媒体应用系统 包含了视频 音频 数据多种 数据类型 并同时运行实时音视频编码 传输 音视频存储 历史视频回放以及实施音视频 解码 观看等业务 在提供更直观的交流及监控手段的同时 也给承载网络带来了巨大压力 我们在考虑贵州省公安视频监控系统的流量特征 明白监控业务对 IP 承载网的压力所 在 并通过合理的网络规划 系统设计来减小网络的负载 让承载网络更好的保障其承载 的多媒体业务正常运行 2 4 1 理解视频监控流量模型 IP 视频监控集成了音视频多种业务 不同业务对于承载网络的需求也各不一样 在业 务流量的方向 模型以及特征上区别较大 比如对于视频存储而言 数据安全性是第一位 的 在数据传输过程中首要保障的是可靠性 而实时视频查看业务 用户的感官体验是首 要考虑的 数据传输要优先考虑实时性 低延时的网络对实时视频业务来说是最重要的 视频监控各类业务的流量模型可见下表 业务类型流量方向流量模型流量特征 实时视频 单向 编码器 解码 器 点到点 单播 点到多点 单播 组 播 基于 UDP 无线及广域可选基于 TCP 传输 要求高质量的实时视频图像 带宽 要求高 当前主流应用的单路实时 精选范本 视频带宽要求在 1 8Mbps 视频存储 单向 编码器 存储 多点汇聚 基于 TCP 要求可靠性第一 全天候存储或分时段存储 流量稳 定 可事前规划 流量总量占监控 业务总流量一半以上 带宽要求高 当前主流应用的单路 视频存储带宽要求多为 2Mbps 4Mbps 历史图像回放 单向 存储 解码器 点到多点 点播流量模型为典型的发散模式 具有突发性 分散性以及源集中性 带宽要求取决于历史图像的存储码 率 网络压力集中于存储的带宽及并发 能力以及存储子系统的接入层 语音对讲 双向 编码器 客 户端 点到点 视频语音业务多选用 G 711 G 729 或 G 723 1 等低码 率编码方案 对时延敏感 语音广播 单向 点到多点同上 精选范本 编码器 客户 端 上表基本汇集了当前 IP 视频监控系统中的主要业务流量特征 而要完成 IP 承载网络 的设计 还需要考虑以下问题 1 多媒体业务使能 当前 IP 视频监控系统中启用了哪些业务 视频数据是满足实时查看还是事后查询 视频数据的存储策略 集中存储或分布存储 2 多媒体数据的生产和消费 视频源 编码器 摄像头 部署在哪里 实时视频在哪里查看 视频源数据存储在 哪里 3 多媒体数据流向 音视频数据在 IP 承载网中的路由方向 汇聚点 4 多媒体业务的网络服务水平指标 考虑多媒体数据的的带宽需求 确定视频源的数量 音视频码率大小 以及为可 能的数据突发考虑带宽冗余度 考虑其他网络服务水平指标 包括丢包率 抖动 时延 乱序等 5 系统扩展需求 需要了解整个视频监控系统可能的扩展需求 在网络接入端口扩容 核心网扩展 以及存储系统扩展等方面留下必要的弹性空间 2 4 2 贵州省公安视频监控业务对带宽的承载需求 2 4 2 1 省厅至地市局带宽考虑 省厅至地市局出口流量承载了地市区县前端摄像头的实况流 回放流 存储流 语音 精选范本 回放 对讲及控制信令等 其中语音回放 对讲及控制信令流量较小 需占用网络带宽不 到200K 因此在进行带宽设计时主要就并发上墙监控画面数量 播放摄像头画质 需要实 时存储的监控摄像头数量 画质等作考究 我们结合各大监控系统厂商产品标准按以下方法进行带宽测算 高清监控存储流 iSCSI TCP 每路存储流所占带宽按4M计算 高清监控实时监控流 UDP 每路带宽按8M计算 因此 省厅建议采用2条1000M广域网链路作出口 可满足250路 2000M 8M 摄 像头并发上墙或500 2000M 4M 路实况存储 当然也可能根据实际上墙数量及实况存 储数量进合理搭配 2 4 2 2 地市局至区县局带宽考虑 地市局上行连接省厅 下行连接区县局 上行流量用于向省厅转发本地市及下辖区县 需要在省厅播放的视频监控实况流与存储流 下行流量用于汇聚各区县汇总上来的实况流 及存储流 我们结合各大监控系统厂商产品标准按以下方法进行带宽测算 高清监控存储流 iSCSI TCP 每路存储流所占带宽按4M计算 高清监控实时监控流 UDP 每路带宽按8M计算 因此 地市局建议采用2条100M广域网链路作上行出口 可满足向省厅上传25路 200M 8M 摄像头并发上墙或50路 200M 4M 实况存储 当然也可能根据实际上 墙数量及实况存储数量进合理搭配 建议采用2条1000M广域网链路作下行出口 可满足 汇聚各区县250路 2000M 8M 摄像头并发上墙或500 2000M 4M 路实况存储 当 然也可能根据实际上墙数量及实况存储数量进合理搭配 精选范本 第三章 设备选型 设备选型原则设备选型原则 选取设备时通常必须遵循以下几个原则 1 必须具备高可靠性及高冗余性 2 必须能够提供故障隔离功能 3 必须具有迅速升级能力 4 必须具有较少的时延和好的可管理性 其中设备的可靠性对数据网来说至关重要 设备的任何故障对于数据网来 说都可能引起严重的后果 要保证数据网平台的可靠性 必须要选用具备电信 级可靠性的网络设备进行组网 才能使网络具有自动恢复能力 降低人工维护 工作量 达到本网络的可靠运行 3 1 1设备高可靠性 1 采用分布式体系结构 分布式体系结构是提高可靠性的基础 与集中式体系设备相比较 分布式 体系设备除性能可以通过插入更多的接口处理板提高整体性能外 更为关键的 是将管理 路由转发 接口处理等功能分配在不同的部件上 协同工作 分布 式体系可以分散故障风险 隔离故障 提供冗余配置 提高系统的自动恢复能 力 如管理部件故障 只需要更换这部分板件 不影响其他功能 精选范本 而且 分布式体系结构可以提高组网的物理可靠性 如每个骨干节点都有 多条接口与相邻的节点或本地互联 从路由上提高了可靠性 如果采用是集中 式体系 则当节点设备出现故障时 这个节点所有接口都会失效 造成节点所 带网络的中断 而采用分布式结构时 这些接口可以分别配置到不同的接口处 理板上 这样 无论这台设备的管理单元 交换转发单元 还是单一接口出现 故障 都可以保证至少有部分路径是连通的 降低网络中断的危险 2 采用 CLOS 多级多平面交换体系结构 采用 Crossbar 交换架构进行交换机设计时 为了节省成本通常将 Crossbar 交换网片集成在设备的主控板上 此时接口板和主控板上的 Crossbar 交换网片通过后置背板进行互联 采用 CLOS 交换架构进行交换机设 计时 通常采用专用交换网板形态 放弃将交换网片集成于主控板的做法 此 时接口板 交换网板和主控板通常通过中置背板进行互联 网板位于背板后部 接口板和主控板位于背板前部 此种做法使得空间上仅仅增加了设备的深度 并不影响机架安装的空间效率 专用交换网板带来了显著的好处 可以采用更 多的交换网片提供超大容量的交换能力 交换容量的升级更为便利 仅需要升 级交换网板 转发平面不再因控制平面的干扰导致丢包 主控板主备倒换时转 发平面零丢包 Lossless 3 关键部件冗余 采用分布式体系下 对设备的关键部件 如主控管理单元 交换转发单元 等 进行冗余构造配置 保证系统在工作中不会全部失效 4 实时热备份机制 精选范本 在系统软件及硬件的支持下 关键部件在发生故障能自动启动备份系统 而且主备之间的切换要能够实时热倒换 即运行中即使发生设备故障切换也不 会对网络业务造成影响 5 热插拔特性 设备任意单板需要支持热插拔特性 保证系统出现故障需要维护 或系统 需要升级扩展时 不需要停机处理 保证网络的 7 24 小时不间断运行 6 冗余电源支持 冗余电源负载分担及备份供电可保障系统具有可靠的能量源 7 散热系统 散热系统使设备长时间运行而不至因为系统升温过高出现故障 冗余风扇 等散热装置可以增加设备的运行时间及减少故障发生 3 1 2网络设备处理性能 为实现整网视频监控业务的线速转发 要求组网设备能提供高速的交换容 量与包转发率从而保证设备能实现全线速端口转发 组网交换机支持未来 40GE 和 100GE 以太网标准 充分满足未来发展需求 3 1 3可扩展能力 在视频信息 IP 网络平台建设时 必须考虑到网络的可扩展性 随着节点数 精选范本 的增加 视频源的增多 及网络业务的扩展 不管在网络升级还是扩容时 都 应该确保网络不间断 在选用网络设备时 应选择扩容能力强 可在线升级的 设备 要求在不改变网络结构的情况下 只增加相应的接口模块就能方便简单 地完成扩容 3 1 4设备级安全性考虑 设备级安全性是指设备自身抵御攻击的能力 其主要包括以下几个方面 1 数据传送层面的安全能力 地址扫描攻击的防护能力 DoS DDoS 攻击防护能力 MAC 地址表容量攻击防护能力 静态 MAC 地址表项和 ARP 表项绑定能力 强大的 ACL 能力 单播反向路径查找检查能力 2 控制信令层面的安全能力 ARP 协议攻击防护能力 地址冲突检测能力 TC TCN 攻击防护能力 地址盗用防护能力 路由协议攻击防护能力 3 设备管理层面的安全能力 管理用户分级分权 精选范本 支持安全的远程管理 SSH 支持安全审计 安全接入控制 SFTP 服务 3 2设备选型 3 2 1省厅核心交换机选型 省厅核心交换机不仅承载着全省纵向数据的高速转发 同时还承载着数据中心内部服 务器之间的高速数据转发功能 因此省中心核心交换机的处理性能和稳定性将直接决定本 次大集中工程的业务质量 省级的核心交换机应具备以下特点 1 采用先进的 CLOS 多级多平面交换架构 提供持续的带宽升级能力 2 能提供独立的控制引擎 交换网板 业务板 三者相互独立 最大 程度的提高设备可靠性 同时为后续产品带宽的持续升级提供保证 3 设备整机性能交换容量 3Tbps 包转发率 1900Mpps 4 提供强大缓存能力 其中 10GE 端口 256MB GE 端口 20MB 5 基于 100G 平台 支持未来 40GE 和 100GE 以太网标准 满足未来 网络发展需求 6 设备能支持引擎 交换网板 电源 风扇等主健部分冗余及主控交 换卡 电源 接口模块等关键部件可热插拔高可靠特性 精选范本 7 具备良好扩展能力 交换网板槽位 5 业务槽位 6 可配置多 业务板卡 如防火墙 入侵防御 流量负载均衡 网络流量分析等 业务板卡 以满足未来网络的发展需求 8 支持 2 台至 4 台内的虚拟化架构组网 能提供统一的控制平面与转 发平面 跨机柜的链路聚合 9 支持完善的 基于 IPv4 IPv6 的静态路由协议与动态路由协议 10 设备成熟稳定 产品在工信部登记入网时间 2 年以上 并在贵州省 市场内有 5 份以上用户使用案例 3 2 2地市局核心交换机选型 地市节点核心交换机主要承担地市公安局的视频监控流量 以及地市公安 局与省厅视频监控业务访问时的高速转发 同时还承载部分对县 区 的服务 提供 地市核心交换机应该具备以下特点 1 采用先进的 CLOS 多级多平面交换架构 提供持续的带宽升级能力 2 能提供独立的控制引擎 交换网板 业务板 三者相互独立 最大 程度的提高设备可靠性 同时为后续产品带宽的持续升级提供保证 3 设备整机性能交换容量 3Tbps 包转发率 1900Mpps 4 基于 100G 平台 支持未来 40GE 和 100GE 以太网标准 满足未来 网络发展需求 5 设备能支持引擎 交换网板 电源 风扇等主健部分冗余及主控交 精选范本 换卡 电源 接口模块等关键部件可热插拔高可靠特性 6 具备良好扩展能力 交换网板槽位 4 业务槽位 6 可配置多 业务板卡 如防火墙 入侵防御 流量负载均衡 网络流量分析等 业务板卡 以满足未来网络的发展需求 7 支持 2 台至 4 台内的虚拟化架构组网 能提供统一的控制平面与转 发平面 跨机柜的链路聚合 8 支持完善的 基于 IPv4 IPv6 的静态路由协议与动态路由协议 9 设备成熟稳定 产品在工信部登记入网时间 2 年以上 并在贵州省 市场内有 5 份以上用户使用案例 3 2 3区县局核心交换机选型 区县局节点交换机作为全省公安视频监控系统三级骨干网的末端 主要负 责接入本区县视频监控资源 实现并区县视频监控的管理 调度 同时需要将 重要的视频监控信息向上传递至地市局或省厅 区县局节点不需要像地市局一 样汇聚大量视频监控资源 因此设备在性能 架构上可略低于城市局 省厅设 备 该节点交换机选型应满足以下特点 1 采用分布式转发架构 提供线速转发带宽 2 设备整机性能交换容量 2 4Tbps 包转发率 1200Mpps 3 支持未来 40GE 以太网标准 满足未来网络发展需求 4 设备能支持引擎 电源 风扇等主健部分冗余及主控 电源 接口 模块等关键部件可热插拔高可靠特性 精选范本 5 具备良好扩展能力 主控槽位 2 业务槽位 6 可配置多业务 板卡 如防火墙 入侵防御 流量负载均衡 网络流量分析等业务 板卡 以满足未来网络的发展需求 6 支持 2 台至 4 台内的虚拟化架构组网 能提供统一的控制平面与转 发平面 跨机柜的链路聚合 7 支持完善的 基于 IPv4 IPv6 的静态路由协议与动态路由协议 8 设备成熟稳定 产品在工信部登记入网时间 2 年以上 并在贵州省 市场内有 5 份以上用户使用案例 第四章 网络可靠冗余性设计 贵州省公安视频监控承载网各业务系统的安全运行 对贵州省公安视频监控承载网网 络系统的可靠性提出了很高的要求 因此在网络的设计实施中必须对网络的可靠性进行详 尽的考虑和设计 网络系统的可靠性由两个大部分组成 即承载网络的可靠性和应用系统 的可靠性 应用系统的可靠性主要由服务器 存储设备 应用程序 数据库等的可靠性构 成 承载网络的可靠性则包括网络拓扑组网结构的可靠性及组网设备可靠性 下面对本次 贵州省公安视频监控承载网大集中网络的可靠性设计进行说明 组网结构可靠冗余性设计 贵州省公安视频监控承载网大集中网络设计首先从网络结构上保证了高可靠性和高冗 余性 精选范本 1 省到地市二级骨干网络采用双星形冗余架构设计 通过路由协议 BFD 不间断路 由等技术配合实现广域传输的可靠性 2 地市城域网各节点采用RPR环组架构设计 通过RPR支持的链路 节点故障50ms 的故障自愈时间能力保障数据不丢失 业务永续 3 地市到区县采用双核心 单接入架构设计 通过虚拟化架构的统一控制 转发 管 理及跨设备链路聚合等技术完善区县接入网络的可靠性与传输性能 4 2设备级可靠冗余性设计 网络核心节点设备的可靠是确保整个网络的有效运转的关键所在 要保证贵州省公安 视频监控承载网网络平台的可靠性 必须要选用具备电信级可靠性的网络设备进行组网 才能使网络具有自动恢复能力 降低人工维护工作 达到电信级的可靠运行 网络关键设备必须具有电信级可靠性 网络中的关键设备 如核心交换机等 应该具备电信级可靠性 可靠性指标必须达到 99 999 网络核心设备采用全分布式体系结构 路由与转发分离 网络核心设备采用 CLOS 多级多平面架构 交换与控制物理分离 能支持独立的 控制引擎 独立的交换网板及独立的业务板 所有关键器件 如主控板 电源等都采用冗余设计 业务模块支持热插拔 网络核心设备支持不间断转发 主控板热备份 主备倒换过程不影响业务转发 不丢包 网络核心设备支持软件在线升级 升级过程中业务不中断 网络核心设备支持软件热补丁 打补丁过程中主控板和接口板都不需要重启动 精选范本 业务不中断 下面对备份技术 补丁技术及不简单转发技术进行介绍 1 备份技术 对高可靠性的支持必须是完备的 系统的 既要对硬件部件 如电源 主控板 交换网 及存储设备等 的备份 也需要对数据和系统的中间状态信息备份 硬件的备份技术是由硬件逻辑或者底层软件控制的 系统需要实时检测硬件的状态 如果发现异常 则启动倒换过程 将备用硬件升级为主用 而原主用部件相应的转换为备 用 同时尝试对硬件部件复位 并给系统发出告警 对数据和系统状态的备份也需要相应的硬件配合 通过部件冗余备份实现来增强设备 的可靠性 如对交换机的主控板进行冗余备份 备用板与主用板之间并不进行运行状态和 与运行数据的同步 交换机启动时 主用板和备用板都要进行程序加载 并且开始相关模 块的初始化 主用板正常执行启动过程 开始软件运行 备用板并不完成所有的初始化 包括配置文件的执行 而是在完成之前的最后一步暂时阻塞 保持等待运行的状态 一 旦主用板出现故障 备用板重新启动所有的业务板并完成最后的初始化 接替主用板工作 这种备份方式称为冷备份 冷备份节省了加载以及启动的时间 备用板配置恢复时间 减少了故障恢复时间 从 而增加系统可靠性 不过在这种备份方式下 由于主备之间不进行任何数据的备份 需要 进行数据的搜集或恢复处理 需要花费一定的时间 一些协议连接需要重新协商处理 如 路由协议建立邻居 路由聚合需要花费一定的时间 可能会导致业务板的重新启动 需要 花费一定的时间 所有这些 都可能导致业务的短时间中断 但是 即使是瞬间的网络中 断 也可能给用户造成巨大的损失 对一些政务关键部门的业务用户尤其如此 为了将网络中断时间减少至最短时间 甚至做到业务不中断 需要对系统运行时的动 精选范本 态数据或进程状态进行备份 这时备用板处于一个特殊的运行态 只接收和储存由主用板 发送来的数据和状态 当主用板发生故障时 系统平滑的切换到备用板 切换过程对网络 用户透明 业务不会因为网络的切换而中断 我们称这种备份方式为热备份 当系统的备用板启动之后 主用板和备用板之间的状态差异可以非常大 这时需要将 主用系统的数据批量的备份到备用板上 这个过程就是批量备份 当批量备份结束后 随 着系统的运行 主用系统的数据会发生变化 这些变化需要定时的备份到备用系统中 这 个过程称作定时备份 一旦主用系统出现故障 备用系统和主用系统的角色需要交换 将 备用系统升格为主用系统的过程称作主备倒换 备用系统升级为主用系统后 一些状态信 息没有从原主用系统得到 或数据失效 新的主用系统需要与接口板对硬件状态 链路层 状态和配置数据上确认这些数据 这个确认过程是数据平滑 热备份保证主备系统板之间的数据和状态始终一致 因而 业务板也感觉不到系统板 发生倒换 再加上协议状态的一致 因此可以保证业务不会丢失 2 补丁技术 补丁技术主要目的是修正已经发现并解决的 BUG 防止相同的问题在不同的网络上发 生 在两种补丁技术中 冷补丁的软件升级技术是传统数据通信产品的主要方式 热补丁 技术则是现有电信网络设备的常用方式 冷补丁技术能够不中断业务的转发 但对设备的 正常运行有一定影响 热补丁的执行过程中业务处理流程可以正常进行 对设备没有任何 影响 设备的高可靠性从硬件 软件 保护机制等几个方面体现 冷补丁技术的主要原理是使用更新的软件版本替换有问题的版本 在这个过程中 如 果是在无备份的机制下 会中断转发业务 在有备份板的情况下 打补丁操作需要在备板 中进行 通过手动倒换操作 能实现无业务损失的升级工作 但在接口处理板上的补丁操 精选范本 作会影响业务的正常运行 热补丁技术需要有操作系统和相应的编译工具的支持 它的原理是将所需要升级的那 部分代码编译后形成一个补丁文件 在打补丁过程中 将这个补丁文件加载到系统的补丁 区域 并修改原有软件的 Bug 区域 将新的特性跳转到补丁区域执行 整个过程不需要 中断业务 可以在主用板执行 因此业务没有丝毫损失 另外热补丁技术并没有修改原有 软件 因此在需要时可以回退 这也为补丁的更新提供了更便利的条件 3 不间断路由 核心路由交换机中的有多种路由协议 它们保存了大量的数据和中间状态信息 数据 量可以达到上百兆的大小 因此对这些数据的备份是很困难的 为了解决路由的备份问题 业界提出了三种方法 镜象 备份和平滑重启 应用不间断路由技术后 设备的路由控制 器发生问题后 设备中的备用控制器自然切换为主用 替代执行路由的处理 而这个过程 对路由器的转发平面是透明的 转发平面可以继续转发报文 做到不中断转发 镜象的方法是一个通用的方法 主用控制器与备用控制器的硬件 软件 数据甚至内 存都完全一致 唯一不同是主用控制器能够向外发送控制信息 而备用控制器只用来接收 外界消息 镜象有两种方法 一种是硬件镜象 另外一种是软件镜象 硬件镜象就是由硬 件同步主用和备用部件 使它们一致 软件镜象通过一套镜象协议保证这种效果 由于主 用和备用的部件完全一致 当主用部件发生故障时 镜象用的备用部件也极易产生同样的 问题 为了避免这一问题 就产生了备份的方式 主用和备用控制器只备份关键数据和信 息 这样就避免主用和备用部件的完全一致 因而可以防止部分问题的重复发生 但是备 份的方式也有它的缺点 就是主用和备用控制器的切换会导致邻接设备路由状态的更新 引起网络的路由震荡 平滑重启解决了这个问题 平滑重启通过在全网中支持路由平滑重 启特性 在故障设备和正常设备间建立相互的信任机制 当设备路由故障时 需要进行路 精选范本 由控制器的重启前 将重启请求发送给邻接设备 邻接设备收到这个请求后 不会更新其 路由表 而等待故障设备重启完成 在这个过程中由于转发平面能够继续工作 因此 网 络中的报文转发不会受到这个设备路由控制器重启的影响 平滑重启解决了路由备份的问 题 但是它的路由恢复时间随着路由数据的大小而线性增长 在路由恢复过程中的路由更 新有可能造成网络的路由循环和路由黑洞 另外由于平滑重启还没有完成其协议的标准化 因此还需要一段时间 各个厂家间的平滑重启特性才能互通 相比来说 备份的前景比较好 一方面它的机制简单 可以使用热备份特性支持 简 化了实现的难度 另一方面它能够做到本地备份 不需要与邻接设备间的大量路由数据的 通信 因而可以在关键设备上独立支持这个特性 对于备份方式的路由更新问题 可以通 过调整协议参数 或备份 TCP 连接的方式 使邻接设备感觉不到本机故障 抑制了路由更 新 进一步的研究表明 某种方式的平滑重启与备份结合后 将会弥补两种特性的缺点 能够得到更完善的不间断路由机制 贵州省公安视频监控承载网广域网网络中所采用的核心交换机设备应具有强大的设备 级可靠性保证 1 采用 CLOS 多级多平面结构 在核心节点核心交换机上建议采用支持 CLOS 多级多平面架构设备 CLOS 架构定义 了一种几何拓扑结构 在处理高速包交换时 需要采用专门设计的动态路由方式 动态路 由关键点在于能负荷分担地均衡利用所有可达路径 实现严格的无阻塞交换 并有利于减 小加速比从而提高有效端口容量 另外由于 CLOS 交换系统容量很大 物理实现上 通常 采用 N 1 个独立的交换网槽位 与主控板控制平面彻底分离 一方面提高了系统容量可 扩展性 另一方面极大程度上提高了转发平面的可靠性 避免了控制平面出现故障或进行 倒换时对转发平面的影响 CLOS 架构的引入 提高了核心交换机的转发性能 带来更高 精选范本 的可靠性和可用性 避免数据 业务大集中而造成流量突发造成压力 2 采用分布式体系结构 在核心节点的高性能交换机采用分布式体系结构 与集中式体系设备相比较 分布式 体系设备除性能可以通过插入更多的接口处理板提高整体性能外 更为关键的是将管理 路由转发 接口处理等功能分配在不同的部件上 协同工作 分布式体系可以分散故障风 险 隔离故障 提供冗余配置 提高系统的自动恢复能力 如管理部件故障 只需要更换 这部分板件 不影响其他功能 3 关键部件冗余 核心网络设备采用分布式体系下 对设备的关键部件 如主控管理单元 交换转发单 元等 进行冗余构造配置 保证系统在工作中不会全部失效 4 实时热备份机制 在系统软件及硬件的支持下 关键部件在发生故障能自动启动备份系统 而且主备之 间的切换要能够实时热倒换 即运行中即使发生设备故障切换也不会对网络业务造成影响 5 热插拔特性 核心网络设备任意单板均支持热插拔特性 保证系统出现故障需要维护 或系统需要 升级扩展时 不需要停机处理 保证网络的 7 24 小时不间断运行 6 冗余电源支持 核心路由器能提供冗余电源负载分担及备份供电 保障系统具有可靠的能量源 6 散热系统 网络设备的散热系统使设备能够长时间稳定运行而不至因为系统升温过高出现故障 冗余风扇等散热装置可以增加设备的运行时间及减少故障发生 精选范本 4 3RPR 环网设计 传统城域网的解决方案主要是SDH或以太网方式 这两种方案都各有明显的优缺点 SDH环网的优点是高可靠性 满足用户的通信要求 能够提供保护和快速恢复机制 但是其点到点 电路交换的设计目标也为它带来了诸多缺点 1 带宽在节点间点到点的 链路中固定分配并保留 2 带宽不能根据网络中流