交警指挥中心一期网络建设方案

衢州市公安局交警支队衢州市公安局交警支队 智能交通指挥中心一期智能交通指挥中心一期 车管所大楼车管所大楼 网网 络络 建建 设设 方方 案案 - 1 - 目 录 1.概述概述.- 3 - 1.1.项目名称.- 3 - 1.2.项目建设单位.- 3 - 1.3.项目主管单位.- 3 - 2.核心网络建设方案核心网络建设方案.- 3 - 2.1.核心网络设计原则.- 3 - 2.2.核心网络目标拓扑设计.- 5 - 2.3.核心网络目标结构说明.- 5 - 2.4.核心网络路由实现说明.- 6 - 3.外网部分建设方案外网部分建设方案.- 6 - 3.1.外网设计原则.- 6 - 3.2.外网目标拓扑设计.- 7 - 3.3.外网目标结构说明.- 7 - 4.车管所网络建设方案车管所网络建设方案.- 8 - 4.1.车管所内网目标拓扑设计.- 8 - 4.2.车管所外网目标拓扑设计.- 9 - 5.现网业务迁移割接现网业务迁移割接.- 9 - 5.1.迁移原则.- 9 - 5.2.现网业务迁移方案.- 10 - 5.2.1.总体思路.- 10 - 5.2.2.准备阶段.- 10 - 5.2.3.第一阶段迁移割接.- 11 - 5.2.4.第二阶段迁移割接.- 12 - 5.2.5.全面测试.- 12 - 6.涉及设备清单涉及设备清单.- 21 - 8.1.监控中心设备清单.- 21 - 8.2.车管所设备清单.- 22 - - 2 - 1. 概述概述 1.1.项目名称项目名称 衢州市公安局交警支队智能交通指挥中心一期网络建设 衢州市公安局交警支队车管所大楼网络建设 1.2.项目建设单位项目建设单位 衢州市公安局交警支队 2. 核心网络建设方案核心网络建设方案 2.1.核心网络设计原则核心网络设计原则 在衢州市交警网络建设项目中，为节省用户投资，保证业务的正常、优质 开展，整个网络系统必须总体规划，统一标准。为达到衢州市交警网络建设的 目标要求，在网络设计构建中，应坚持以下建网原则： 需求驱动原则：以实际应用需求为依据，选择技术和设备。根据金盾 工程建设的实际需求，考虑远程共享办案与合作，特别是案件影像传 输与数字视频业务的需要，要充分考虑网络系统的服务质量和可靠性。 根据现在的需求和可以预见的需求增长情况设计网络，不追求空洞的 技术先进性，避免追求高档和最新技术花费的巨大代价。 先进性原则：交警信息化需要最新技术的支撑，特别是网络技术和多 媒体计算机技术，必须采用先进成熟的技术，并兼顾未来发展趋势。 必须要保持对犯罪人员的先进技术优势。 投资保护原则：由于衢州市交警支队已在网络应用方面做了大量的投 入进行信息化建设，交警信息化在各部门或不同的应用上对网络的需 求不尽相同，原有的很多工作已经证明是有效的，这部分软硬件可以 继续发挥作用，从而保护原有投资，节省建设经费。 标准化原则：从机房建设、综合布线工程规范、到网络技术标准和网 络协议，都有相应的国际标准和国家标准，所有设计与建设要遵循该 - 3 - 原则，从而可以实现标准化管理，延长整体项目的生命周期，做到投 资保护。 安全性原则：交警信息化工作的特殊性，对网络与信息安全提出了很 高的要求。由于安全性的要求与投入成正比，并且涉及管理与应用的 方方面面，是一个复杂的系统工程，实际上没有一个绝对安全的系统， 安全只是相对而言，所以该原则是充分评估安全风险，制定安全策略， 采取必要的安全措施。是指防止非法访问者通过互联网络对网络节点 进行攻击的能力。 工程原则：网络系统建设涉及机房与网络配线间环境、通信管道与通 信线缆、楼内综合布线系统、电源及其防护、网络交换机与路由器、 服务器设备以及相关的软硬件系统，在设计建设时要体现工程原则， 做到有工程规划、项目有设计、实施有控制等，实现整个系统的可管 理、可维护、可扩展和可升级。 健壮性及开放性：它应具有很好的收敛性和可扩展性，同时其网络额 外开销是极小的，且受到国际标准的支持，保证不同设备见的互通性。 考虑到今后信息化的进程和逐步演进，网络要建设成完整统一、组网 灵活、易扩充的弹性网络平台，能够随着需求变化，充分留有扩充余 地。 2.2.核心网络目标拓扑设计核心网络目标拓扑设计 - 4 - 2.3.核心网络目标结构说明核心网络目标结构说明 鉴于衢州市交警网络日益重要，以及基于设计原则，因此我们设计方案如 下： 中心节点。采用 1 台万兆路由交换机产品作为网络核心设备，该设备配置 双引擎双电源，确保核心设备的可靠运作。向下链接交警大楼楼层交换机、外 联下属单位、通过 IPS 连接中心服务器群。向上连接市公安局。全网以千兆链 路为主。全市交警系统万兆核心路由交换机作为主中心节点，同时可以完成相 应的 ACL 访问策略以及全网统一规划。在中心机房可配置网管服务器，便于对 整个网络实行全面管理。 非公安办公场所网络接入核心交换机也采用 1 台万兆路由交换机产品作为 网络核心设备。同样配置双引擎双电源，确保核心设备的可靠运作，上连支队 核心交换机（根据需要，以后可以增配网络边际安全设备后再上连到支队核心 交换机），下连市本级所有非公安固定办公场所网络设备（主要包括卡口、电 子警察、视频监控等）。 车管所大楼核心交换机同样配置双引擎双电源，确保核心设备的可靠运作， 上连交警支队核心交换机，下连大楼楼层交换机。 各大队等下属单位，则仍利旧原有设备，但进行必要的端口扩容（从百兆 电口升级为千兆光口）。 大楼内的楼层交换机则以光纤上联至核心交换机。作为数据中心的数据库、 服务器群等，直接连接到核心交换机。 2.4.核心网络路由实现说明核心网络路由实现说明 核心网络将对应各外联下属单位和楼层划分 vlan，以减小网络广播域，从 而减少二层病毒的干扰。所有核心设备（数据库、服务器群）将按现有状况处 于同一 vlan，ip 地址不变。 各 vlan 的网关均建立在核心交换机上，对于车管所网络，则与车管所的核 心交换机通过路由协议进行访问。 对于全网的访问策略可采用 ACL 并应用于相应端口。 - 5 - 3. 外网部分建设方案外网部分建设方案 3.1.外网设计原则外网设计原则 物理隔离原则。 安全性原则。 经济性原则。 标准化原则。 3.2.外网目标拓扑设计外网目标拓扑设计 防火墙或NAT设备 互联网 楼层交换机 楼层交换机 外网核心交 换机 车管所外网 主交换机 3.3.外网目标结构说明外网目标结构说明 外网中心设备采用千兆级路由交换机，向下连接各楼层接入交换机，并连 - 6 - 接到车管所外网主交换机上。各楼层作为一个 vlan，并终结到外网核心交换机 上。车管所的外网网关终结在车管所的外网三层交换机上，与监控中心的外网 核心交换机通过路由进行访问。 采用一台防火墙作为外网的出口设备，外网核心交换机与外网出口防火墙 之间建立路由，连接到防火墙的 trust 端口（或称为 inside 端口），防火墙的 untrust 端口（或称为 outside 端口）连接到互联网。 各可上外网的终端设备通过防火墙 nat 访问互联网。 为确保访问公网的行为可控，在不增加其他安全类设备的情况下，可采用 对各终端静态配置地址，同时在三层交换机上进行 ip/mac 绑定。 注：外网防火墙需利旧原有设备，如原有设备不符要求，则需另行采购。注：外网防火墙需利旧原有设备，如原有设备不符要求，则需另行采购。 4. 车管所网络建设方案车管所网络建设方案 4.1.车管所内网目标拓扑设计车管所内网目标拓扑设计 IPS 监控中心 核心交换 机 裸光纤 公公安安网网 数据库数据库审计 中心服务器数据库区 服务器群 车管所内 网核心交 换机 车管所接 入交换机 车管所接 入交换机 考虑到车管所业务的重要性和不可间断性，因此对车管所配置 1 台万兆路 由交换机作为车管所的核心交换机，并且配置双引擎、双电源以确保该设备的 高可用性。 车管所核心交换机与监控中心核心交换机以千兆裸光纤互联，起动态路由 - 7 - 协议。 车管所内可根据需要划分 vlan，各 vlan 的网关终结在车管所的核心交换机 上。 4.2.车管所外网目标拓扑设计车管所外网目标拓扑设计 防火墙或NAT设备 互联网 车管所外网接入 交换机 车管所外网接入 交换机 外网核心交 换机 车管所外网 主交换机 裸光纤 监控中心外网接 入交换机 监控中心外网接 入交换机 车管所外网主交换机为千兆三层路由交换机，通过裸光纤与监控中心的外 网核心交换机相连，起用动态路由协议。 车管所内外网接入交换机均汇聚到车管所外网主交换机上，根据情况可采 用 vlan 划分，各 vlan 网关终结在车管所外网主交换机上。 - 8 - 5. 现网业务迁移割接现网业务迁移割接 5.1.迁移原则迁移原则 安全性原则。安全性是现网业务迁移割接中最为重要的一点。务必采取周 密的方案确保迁移割接中对现网业务的安全。 平滑性原则。为确保现网业务的不中断或少中断，应采用平滑割接的方式， 以避免出现业务中断过长的情况。 可控性原则。由于系统的重要性，对于每一步割接操作应绝对可控，一旦 出现异常且短时无法排除的情况时，应能方便地回退。 有序性原则。由于指挥中心的迁移割接涉及面广，工作量大，因此整个割 接操作应遵循安全有序的原则，逐步从老的网络平面割接到新的网络平面。 5.2.现网业务迁移方案现网业务迁移方案 5.2.1. 总体思路总体思路 由于现网核心在老的指挥中心大楼内，现网的数据库、服务器群等也在老 大楼中，与公安网的互联、与下联各下属单位的互联等也通过老大楼进行互通。 新的网络平台建设完成后，先采用租用临时裸光纤将新老网络平台进行 3 层互 通，并采用动态路由进行路由导通。然后利用新增的服务器将原系统迁移到新 大楼，由于新老大楼网络连通，所以当服务器在新大楼，而其他业务终端和业 务系统在老大楼时，网络也能正常。此时网络的核心是老大楼。然后，通过网 络出口的迁移、网络其他各系统的迁移以及下联下属单位电路的割接，逐步平 滑地从老网络割接到新网络中。 5.2.2. 准备阶段准备阶段 此阶段主要是建设新的网络平台，调测新的指挥中心与老大楼之间的光路， 以及与公安网的电路。然后进行新老网络的互联。如下图： - 9 - 楼层交换机 防火墙 主用核心 交换机 楼层交换机 楼宇接入汇聚区 防火墙 公公安安网网 老大楼楼层交换 机 下联下属单位下联下属单位 临时互联GE 老大楼 数据库服务器群 新大楼 该阶段将建立新老大楼网络之间的千兆互联，并采用动态路由将两边路由 导通。由于新大楼的网络在此时除了一些设备的管理地址外并无业务网段，因 此对老大楼的网络的路由表并不产生影响。 5.2.3. 第一阶段迁移割接第一阶段迁移割接 在该阶段中，将新增的服务器安装并进行业务系统迁移，同时将原服务器 的网段移到新网络平面，进行相应的业务测试，一旦有异常且短时无法排除， 可重新启用原服务器。 楼层交换机 防火墙 主用核心 交换机 楼层交换机 数据库数据库审计 楼宇接入汇聚区 中心服务器数据库区 新服务器群 防火墙 公公安安网网 老大楼楼层交换 机 下联下属单位下联下属单位 临时互联GE 数据库服务器群 - 10 - 5.2.4. 第二阶段迁移割接第二阶段迁移割接 第一阶段迁移割接顺利完成后，可进行网络出口和下联单位的电路割接， 在割接中，出现任何情况均可回退至原状。如下图： 楼层交换机 防火墙 主用核心 交换机 楼层交换机 数据库 楼宇接入汇聚区 中心服务器数据库区 新服务器群 防火墙 公公安安网网 老大楼楼层交换 机 下联下属单位下联下属单位 临时互联GE 数据库服务器群 5.2.5. 全面测试全面测试 完成全部割接后，应对网络和相关业务进行全面详尽的测试，并根据新的 要求部署相应的安全性策略和访问控制列表。 6. 涉及设备清单涉及设备清单 6.1.