政府单位公安网络技术方案

公安网络技术方案本方案是针对XX公安厅公安系统的需求而设计的，在方案书的结构上，分为：概述网络需求分析网络设计原则网络模型定义网络系统设计网络安全设计网络可靠性设计网络管理厂商及产品选择产品实现本方案是一个解决方案，目的是从用户的需求出发，提出解决实际问题的方案。为避免成为一个“技术白页”或“产品手册”。在方案书中没有作过多的技术描述，产品也是在最后提出的。如对技术或产品的详细情况感兴趣，可参考符录中的技术介绍和产品介绍。1.1需求分析随着公安厅的业务和应用程序对网络带宽的不断增加，目前的网络已不在适应当前业务的需求。因此建立一个统一、高效的网络平台、建立新的网络主干，提高网络的整体带宽；保护原有投资，同时确保能平滑的向更新技术迁移是公安厅计算机信息网络系统面临的迫切任务。1.2网络设计原则根据XX公安厅网络系统的需求分析，以及XX公安厅网络系统的规划，我们提出以下实施原则：实用性与先进性原则:网络实施应本着实用与先进的原则，一方面能满足应用系统的数据传输要求，为各信息点提供网络传输服务。另一方面，又要体现出网络系统的先进性。一般来说，越是先进的技术价格越高。全方位的使用先进的新式产品是不合理的，因此，在网络实施中要把先进的技术与现有的成熟技术结合起来，充分考虑到XX公安厅的实际情况，在先进性与经济性的中间选出一个平衡点。高性能原则：网络是应用系统的平台，网络的性能直接影响到整个系统的性能。随着电子技术的发展，计算机的处理能力越来越强，个人电脑的不断升级，而桌面系统的网络速度从10Mbps刚刚升级到现在的100M。其发展速度远远落后于计算机的处理能力的发展。另一方面，网络上的设备也越来越多，应用也越来越复杂，使网络的性能成为应用系统的性能瓶颈。特别是XX公安厅网络系统的节点比较多，对网络中心节点的性能要求较高。因此，网络实施应在实用性原则的基础上，针对不同的应用，提供较好的性能。可靠性原则网络在应用系统中扮演了极重要的角色，它的稳定可靠是应用系统运行的保证。目前几乎所有的应用系统都离不开网络，一但网络崩溃，整个系统就会处理瘫痪状态，这可能会带来不可估计的损失，特别是在公安机构的网络系统中，更要提供百分之百的可靠保障。因为可靠性实现很大程度上是依靠设备冗余和线路冗余来保证的，与之密切相关的是投资额度和对冗余设备的使用率。可靠性、投资额、设备使用率三者是互相影响、互相制约的因素，一个设计良好的网络方式，应该是三者的综合平衡。安全原则随着国民经济信息化的迅速发展，网络信息系统对安全的要求越来越高，尤其自Internet/Intranet应用发展以来，信息系统的安全已经涉及到国家主权等许多重大问题。在公安业务系统涉及到许多国家的安全机密，安全保证是公安网络系统的重要一环。在网络设计中要对相关的网络设备、主机系统、应用数据库提供严密的保护，同时又不能影响到应用系统的功能和使用，对性能的影响也要尽量降到最小。可管理性原则由于公安网络系统的节点多、分布广、设备种类多，具有一定的复杂性。而且在今后的应用中，还会增加新的技术、新的产品。在这种环境下,资源分布程度和共享程度大大提高,任何微小的故障都可能导致用户应用的失败。网络管理的目标是最大限度地增加网络的可用时间,提高网络设备的利用率、网络性能、服务质量和安全性,简化在复杂网络环境下的管理和控制网络运行成本，并为网络系统的优化提供依据。需要注意的是，由于分布在广大地域范围的各个节点是由广域网连接，速率是以Kbps为单位的，网络管理不能过分影响到网络的性能。可扩展原则随着XX公安厅的发展，XX公安厅的业务量也将越来越大，对网络系统的要求也越来越高。同时，各种新的业务也会逐步开展，包括XX公安厅自身的管理如OA系统。因此，在网络设计中要考虑到网络设备的升级能力。网络设备的扩展能力涉及到投资保护的问题。网络系统的扩展能力与网络系统的先进性是相辅的，扩展能力能保持网络系统持续的先进性。1.3网络模型定义任何科学、合理的网络系统都建立在一个模型之上。通过把物理上的因素抽象成逻辑的模型，有助于网络设计的条理清晰，结构分明。本节将完成建立模型的工作。网络核心信息在这里流通与交换，核心交换机和路由器是网络中心。汇聚层（二级节点）汇集下级节点，连接上级中心节点，起承上启下的作用。接入层一般指汇聚层以下的接入终端，包括服务器直接接入的节点外部访问节点不需要与系统作永久的物理连接，在必要时与系统交互。如宾馆、旅行社、小区治安处，治安岗亭等，还可包括移动巡逻警车，铁道，银行等。1.4网络设计1.4.1主干网设计主干网的设计目标是建立一个高速、高效的选进的骨干。网络类型选择针对公安信息网络的需求，应该使用高速的主干网络。目前高速主干的技术主要有ATM和千兆以太网，下面我们给出一个简单的对比。ATM千兆先进性从93年到现在一直是先进的技术最新的实用高速主干技术实用性对中用电信来说是更适用于一般性应用经济性昂贵便宜QOS能力非常好，但没必要802.1p，802.1Q,RSVP面向的用户中国电信一般性用户对局域网协议的支持LANE，MPOA但没有QOS从局域网技术发展而来通过对比，我们以为ATM是非常好的技术，但更适合中国电信这类多服务提供者，对于公安系统来说，如果从需求出发，考虑到性能价格比，应选择千兆网作为主干网。网络结构设计主干网络采用的是星形结构，主干网核心交换机用单模或多模光纤连接二级节点的边界交换机。主干网络使用的是交换式的千兆以太网技术，请注意千兆网络的传输距离是有限的。在各厂商的产品中，对千兆网络的传输距离都有一定的增强，如Cabletron可扩展到70km距离，3COM可扩展到40km，CISCO可扩展到100km。必需注意到主干网的作用是提供高速、高效的网络连接服务，因此对核心交换机的交换能力的要求很高，特别是它的多层的QOS能力。核心交换机应能识别不同的TCP数据流，给予不同的传输优先级别。例如ORACLESQLNET使用TCP和UDP端口66，ORASRV进程使用TCP和UDP端口1525，ORACLELISTENER进程TLISRV使用TCP/UDP端口1527。IBMCICS中间件使用TCP/UDP端口1435。对于使用这些端口的数据流，核心交换机和边界交换机必需给予最高的优先级，使数据库的应用性能达到最优。核心交换机的第三层交换/路由能力。在网络系统中出于安全和性能考虑，实现广播控制，使用了VLAN技术。当通信的双方要经过核心交换机，且位于不同VLAN时，路由功能由核心交换机完成。如果本地有第三层交换机/路由器，可以把本地的VLAN间路由任务交由他完成，减轻主干负担。1.4.2局域网设计局域网线路选择局域网线路分为上连线路和桌面连接线路，在上连线路使用的是多条100M以太网连接,同时还具有线路容错的能力。由于主干带宽为1G，对于100M交换机在上连链路使用4条全双工的连接就足够了。对于10M端口的桌面交换机，使用2条上连链路。桌面链路一般是10M和100M结合的方式，10M链路给一般的普通用户，100M连接服务器。必须说明的是：边界交换机上一般配有100M端口，这些端口提供的性能和功能都比外接的100M交换机强许多，在100M端口需求较少的情况下，应充分利用边界交换机上的100M端口。中心节点局域网中心节点比较特别：中心节点拥有主干核心交换机，需考虑充分利用核心交换机的性能优势。中心节点的端口需求量大，特别是100M高速端口的数量。我们为中心节点作如下设计：所有的服务路设备，直接连到核心交换机上。所有的100M桌面用户直接连到核心交换机上，用VLAN与服务器分开。普通桌面用户连到10M桌面交换机，视端口数据决定交换机的数量。10M桌面交换机直接连接核心交换机上主干，不使用堆叠技术。1.4.3网络协议协议选择：考虑到目前流行的TCP/IP协议，许多网路设备也是针对TCP/IP优化，在系统中应采用TCP/IP协议。在单、网整个段内部可以使用其它的协议。如果有Novell的文件服务器，应把它升级为支持TCP/IP协议的版本。IP地址设计：IP地址的划分应根据应用模型来实现，一般的划分原则如下：按职能部门和地理位置划分；按系统功能划分；按安全级别划分；按系统资源的使用划分。IP地址应遵INTERNET的例选择保留地址，这些地址不会出现在INTERNET上。保留地址有：A类10.0.0.0—10.255.255.255B类172.16.0.0—172.31.255.255C类192.168.0.0—192.168.255.255也可使用4.*.*.*和5.*.*.*，这些是美国军方使用的保留地址。下面给出一个地址划分的模板，具体实现上可根据实际情况自定，或由金盾工程统一规划。以192、168网段为例中心192.168.1.0—192.168.15.255汇聚节点1192.168.16.0—192.168.29.255汇聚节点2192.168.30.0—192.168.32.255汇聚节点3192.168.33.0—192.168.35.255汇聚节点4192.168.36.0—192.168.38.255小型汇聚节点1192.168.39.0—192.168.40.255小型汇聚节点2192.168.41.0—192.168.42.255注意：所有地址包含了广播地址和网络地址。路由协议选择路由协议选择在IP网络中是特别重要的，尤其在大规模的IP网络中。它关系到整个网络的运行成败和工作效率。路由协议要根据不同网络的结构，不同网络的实际应用来选择，还要考虑到路由协议对网络流量的影响。路由协议可选择静态路由和动态路由，静态路由设置起来比较简单有效，对网络流量没有任何压力。但静态路由缺乏路由变化的灵活性，不能自动地实时更改网络路经，不具用网络的自动备份功能，主要适于单路经，网络拓扑结构比较简单的小规模网络。为了实现自动的网络备份功能，我们建议用动态路由协议。虽然动态网络协议对网络的流量有一定的影响，路由器设置起来也比较复杂，但如果我们规划好IP地址的分配和整个网络路由区域的划分，实现起来还是会很有效的，对网络的流量的影响会很小。OSPF是目前使用最广的动态路由协议，具有带宽消耗最小、配置简单、收敛迅速等特点，能很好地完成路由任务。同时，OSPF是IETF定义的标准协议，所有的第三层网络设备都支持。建议使用OSPF为XX公安厅网络的路由协议。1.5网络安全设计机构隔离公安系统由许多不同的职能部门组成，各部门需要访问不同的计算机资源，一些机密的信息仅供特定的部门使用，而另一些信息和资源为全体部门所共享，这些信息和资源一般放在同一台服务器上（如数据库主机），允许各部门同时访问。机构隔离指当多个机构访问同一服务时，机构之间不能互相访问。具体的实现方法：用VLAN技术把各个部门分为多个网段。VLAN的划分有多种方式，可以参考IP地址的划分方法，把每个IP网段划为一个VLAN，许多第三层交换机都支持根据IP地址来划分VLAN，而与具体的端口无关。以端口为依据的VLAN划分方法适用于固定端口设备，（如服务器）。以IP为依据的VLAN划分方法适用于经常移动的设备（如笔记本电脑）。由于IP地址容易伪造，应把重要的IP地址与MAC地址强行对应起来，即设定永久性的ARP表。有了VLAN的控制，使跨VLAN的访问必须通过核心交换机在第三层交换/路由，便于在核心交换机上集中控制。使用访问控制列表（Access-Control-List，ACL）是最简单的一种。ACL能根据IP包的源地址、目的地址、TCP或UDP端口号，过滤掉不合法的互访IP分组。通过上述技术手段，使得公安系统的不同部门（行政、营运、各业务处、各分局和派出所处于安全控制之下。数据加密这里是指网络层的数据加密传输。加密是在两个路由器之间建立一条加密隧道，所有经过的数据在发送端加密，在接收端解密。加密传输主要在广域网上实现，对上层的数据来说是完全透明的。公安网络的广域网部分多用的是铜缆连接，铜缆上存在信号泄漏的问题，容易被人窃听。目前许多厂商都提供了加密的功能