大型项目承载网组网方案

第一章承载网络系统设计安防项目的网络建设，一般包括业务网、外网两个物理隔离网络的建设，比如电力、金融、司法等行业，其中安防承载网是业务网的重要组成部分，将提供安防、监控、应急视讯以及未来涉密业务的接入；外网承载门户网站、对外业务及信息公布。安防承载网主要考虑中心与接入层互连的冗余链路结构，同时也要考虑到整体IT资源的统一监控；互联网需要考虑网络安全接入、网络安全可控等内容。1.1安防承载网部分设计安防承载网系统建设目标主要是运用网络管理手段实现安防系统、及相关工作信息管理的现代化。根据系统化、规范化、科学化和实用性、开放性的原则，提高安保工作的效率和质量，为突发事件的处理提供依据。1.1.1设计原则1.1.1.1总体要求系统设计应充分考虑其相互间的独立性和互连性，确保智能管理系统总体结构的先进性、开放性、合理性、兼容性和可扩展性，使整个智能管理系统可以随着信息技术的发展和进步不断得到充实和提高。遵循实用性、先进性、专业性、开放性、安全性、可靠性、集成性、经济性、可移植性、可操作性和可扩展性。充分考虑系统的分控和总控的控制和管理内容、系统的优化设置和它们之间的信息流通关系。根据各个子系统的不同使用功能来考虑系统的设置和设计标准。系统设置除考虑建设时的一次性投资外，还应充分考虑系统的运行成本，并使之达到最小化。系统设计应遵循全面规划、统一设计的原则；设计应全面、周到，注意预留余量，以适应未来发展的需要。综合考虑网络建设的扩展性、安全性、可靠性，在有线网络的基础上，在某些不方便布线的局部区域，可考虑采用WiFi无线网络或运营商3G/LTE网络，对整体承载网络进行必要的补充和完善。1.1.1.2遵循原则系统总体建设是集数据、语音、监控视频于一体的工程，其设计是否合理将对未来发展以及产生的效益起着极为重要的作用。对于一项系统工程来说，其总体方案的确定，不仅要考虑近期目标，还要为系统的进一步发展和扩充留有余地，应当考虑连接上级主管单位和其它兄弟单位信息网络系统的长远发展，进行统一的设计，必须考虑网络的未来扩展能力以及多厂商、多协议的支持能力。对于具体的项目，承载网络设计进所遵循的原则为：网络系统应具有开放性和标准化，宜采用国际标准协议，保证不同系统的网络能够互连且简单易行。比如建议采用标准IP传输协议及SIP信令协议，并为今后开发多种业务应用服务器提供通用接口。网络系统的先进性：当今世界，通信技术和计算机技术的发展日新月异，应考虑适应新技术发展的潮流。局域网采用千兆主干带宽，实现第三层多协议IP、IPX和IP多点传送交换，使主干达到更高的传输速度。网络系统应具有可靠性，一方面要根据实际情况，选用可靠且先进的设备和技术来组织网络，另一方面应充分考虑网络系统的容错能力，把故障率降到最低，保证网络系统的安全可靠运行。网络系统应具有高性能的可扩展性，应采用模块化设计，使系统易于扩充，功能易于加强。系统应支持各种高速网络（快速以太网、千兆以太网），采用全系列交换产品，拓展网络带宽。所建成的承载网必须具有高带宽、低延迟，大规模的网络系统中并考虑支持第三层交换和VLAN功能。网络系统应具有安全性，确保网络的安全，可采用先进的软、硬件技术手段，在设备保障、口令保护、存取控制、审计管理、信息加密、计算机病毒防治等方面采用先进的、科学的方法，为整个系统提供一个安全的运行环境。网络系统应具有实用性，应根据项目及网络系统的当前及将来发展的需求设计网络，同时又能充分利用现有的投资。系统应提供较好的系统和网络管理工具，能够在中心进行统一的管理或者从远程进行管理，并具有较好的错误诊断，处理及快速故障恢复以及报警能力。1.1.1.3技术选择以太网技术的应用推广和不断发展，已经从最初的10M、100M时代，发展到千兆时代，现在万兆以太网的部署已经成为一种趋势。而且以太网技术不仅在园区网，而且在城域网、广域网的建设上也占有了一席之地。因此选择以太网组网，符合当前技术发展的趋势。网络的骨干采用千兆以太网技术，核心层设备之间支持采用2个千兆双绞线连接，启用虚拟化技术。1.1.2承载网设计1.1.2.1组网描述安防承载网作为业务网的重要组成部分，其网络的稳定性、扩展性、可靠性均直接影响整体业务网的承载质量，因此在大规模安防系统承载网建设中，需要考虑中心与各接入层互连的冗余链路结构，网管管理平台建设、服务器平台建设内容。网络建设的网络拓扑可分为两个层次：1.核心层网络：核心层网络由网络中心核心节点组成；核心节点与接入层通过单模千兆光纤链路互联，如果有上级主管视频访问和监控需要，则一般考虑专网连接，保证上级主管单位可随时浏览每一路视频并能够优先控制和处理；2.接入层网络：接入层按照接入方式分为两类，一类连接办公用业务信息网的信息点，另一类连接安防系统及其下属子系统的各IP信息点。监控中心的核心交换机采用模块化高端路由交换机，通过单模千兆链路和接入交换机连接；安防系统接入层节点采用千兆以太网交换机，通过千兆光纤链路和核心层的节点连接；监控等信息点通过百兆链路连接接入层以太网交换机。监控设备和办公信息业务网设备接入采用不同Vlan甚至不同的交换机，使监控网和业务网达到逻辑隔离的目的。网络拓扑结构图：1.1.2.2安防承载网设计详细说明视频监控组网拓扑示意图专网监控区域1监控区域2监控区域31.1.2.2.1核心层核心层负责整个安防网络的数据交换，同时也是整个监控网络的路由交换中心，全网绝大部分第三层的转发交换都通过核心节点集中进行，为保证核心节点的高可用性，核心节点配置冗余电源，支持采用双机方式，它们之间通过GE速率链路捆绑实现全网状互连，流量在捆绑的多条链路上负载分担和备份。核心节点两台路由交换机构成双机冗余热备结构，达到无单点故障的目的。这样任意核心节点都可以成为安防业务的主要汇总中心，核心节点与接入节点之间支持形成全冗余连接，以增强整体网络的容错和故障隔离能力。核心交换机配置双电源、双引擎等关键部位的冗余组件，同时所有的接入层交换机各自通过光纤连接核心交换机，从而降低接入区域网络中断的影响。核心层交换机支持网络运行监视功能，支持国际通过标准的IPFIX网流分析，可实现整网流量的可视化，方便网络调整、优化及故障定位。1.1.2.2.2接入层承载网接入交换机，采用千兆上行，百兆接入的以太网交换机，提供两种类型接入交换机，24口交换机和48口交换机。安防承载网接入交换机支持ARP入侵检测功能，可有效防止黑客或攻击者通过ARP报文实施网络中常见的“中间人”攻击，接入层以太网交换机ARP入侵检测功能和DHCPSnooping功能配合使用，可以对不符合DHCPSnooping动态绑定表或手工配置的静态绑定表的非法ARP欺骗报文直接丢弃。同时支持IPSourceCheck特性，防止包括MAC欺骗、IP欺骗、MAC/IP欺骗在内的非法地址仿冒，以及大流量地址仿冒带来的DoS攻击。另外，利用DHCPSnooping的信任端口特性还可以有效杜绝局域网内用户私设DHCP服务器，保证DHCP环境的真实性和一致性。交换机提供完善的端到端服务质量保证（QoS）、灵活丰富的安全策略和基于策略的网络管理。交换机支持端口安全特性可以有效防范基于MAC地址的攻击。可以实现基于MAC地址允许/限制流量，或者设定每个端口允许的MAC地址的最大数量，使得某个特定端口上的MAC地址可以由管理员静态配置，或者由交换机动态学习。交换机支持集中式MAC地址认证和802.1x认证，支持用户帐号、IP、MAC、VLAN、端口等用户标识元素的动态或静态绑定，同时实现用户策略（VLAN、QOS、ACL）的动态下发；支持配合对在线用户进行实时的管理，及时的诊断和瓦解网络非法行为。1.1.2.2.3数据平台在数据平台区域配置安防系统存储设备，可实现重要数据的本地集中化的存储和配置管理。部署视频监控平台服务器、安防集成平台服务器，集中录像存储设备，数据库服务器，以及业务系统也可以部署在数据中心区。1.1.2.2.4运维平台配置承载网的整体运维管理系统，同时对整体的安防监控平台进行统一的监控管理。随着信息化建设的推进，为了让凝聚了巨大人力物力投入的信息基础设施发挥出其效益，保障整个信息系统的平稳可靠运行，需要有一个可从整体上对包括IP网络，存储，安全等组件在内的IT基础设施环境进行综合管理的平台，并能够提供业务系统运行异常的实时告警和进行图形化问题定位，性能趋势分析和预警，能够基于关键业务系统的角度，以业务重要性为导向进行事件处理和通知。由于信息系统是一个包括了众多软件，硬件技术，设计多厂家产品，从网络，安全，存储，计算到中间件和应用的复杂异构环境，而且随着信息建设的深入和持续优化和发展，这个复杂庞大的基础设施，还会随之不断进行演进，在产品，技术和网络结构，业务关系上不断发生变化，因此，要求针对该环境进行管理的系统具有良好的可扩展性，能够将下层网络和的复杂度有效的通过抽象屏蔽起来，向上层应用和运维流程开放稳定的接口。利用基于统一信息模型的融合抽象建模技术和自动发现技术，实现对全IP网络中各种基于IP技术的基础设施的自动发现和资源化，基于统一信息模型，生成一个可管理，可重用的实时对象库，并通过实时事件和同步技术，保持与实际管理对象的一致性。由于可以在统一的信息模型定义下，针对多厂商，多技术的基础设施进行抽象，从而为解决异构基础设施的融合难题奠定了关键的基础，解决了对IP基础环境的总体把握和全局理解的问题。在此基础之上，进一步的通过关键业务性能评估模型，以业务系统的重要性为导向，对业务系统所依赖的各种下层资源进行具有服务优先级差别的监控和管理，让管理人员可以实时的，针对影响关键业务和关键用户的异常事件进行优先处理，并在问题发生的时候快速判断其影响范围和程度，通过图形化手段快速制定最佳控制和问题解除方案。通过面向关键业务的基础设施管理，让IT投入的效益的到最大化的体现，并能够在网络和信息团队运维资源有限的条件下，让用户按照其重要性体验到服务品质的提升。在目前广大用户基于IP的网络计算环境日益复杂和庞大，业务系统依赖的资源越来越难以掌控的背景下，能够为IT组织提供一个随着IT环境变化不断扩展，但同时又能向上提供稳定的管理接口和管理服务的抽象层中间件，屏蔽硬件的异构性，降低管理复杂度，从而帮助用户构建可持续发展，高回报的IP计算环境，大大降低IT服务管理的复杂度，以可视化，对象化的方式实现IT环境透明化。网管系统可以实现功能如下：I.从关键业务系统重要性角度来管理下层IT资源II.交互性和可视性极强的管理界面III.智能灵活的告警管理能力IV.多厂商复杂IP网络、系统和应用组件自动发现能力V.融合事件、流量、性能和安全信息的多维拓扑呈现能力VI.智能性能指标监测和趋势告警VII.可视化的业务和资源建模能力1.1.3IP地址规划IP地址的合理规划是IP网网络设计中的重要一环，大型计算机网络必须对ＩＰ地址进行统一规划并得到实施。IP地址规划的好坏，影响到网络路由协议算法的效率，影响到网络的性能，影响到网络的扩展，影响到网络的管理，也必将直接影响到网络应用的进一步发展。1.1.3.1IP地址分配原则内部IP地址采用10.x.x.x或192.x.x.x私网IP地址接入的方式进行建设。要与网络拓扑层次结构相适应，既要有效地利用地址空间，又要体现出网络的可扩展性和灵活性，同时能满足路由协议的要求，以便于网络中的路由聚类，减少路由器中路由表的长度，减少对路由器CPU、内存的消耗，提高路由算法的效率，加快路由变化的收敛速度，同时还要考虑到网络地址的可管理性。具体分配时要遵循以下原则：唯一性：一个IP网络中不能有两个主机采用相同的IP地址；简单性：地址分配应简单易于管理，降低网络扩展的复杂性，简化路由表项连续性：连续地址在层次结构网络中易于进行路径叠合，大大缩减路由表，提高路由算法的效率。可扩展性：地址分配在每一层次上都要留有余量，在网络规模扩展时能保证地址叠合所需的连续性。灵活性：地址分配应具有灵活性，以满足多种路由策略的优化，