铁路公安局网络设计方案

铁路公安局网络设计方案 目概述 目背景 路局管辖范围内公安信息网进行改造，合理规划网络结构、增大带宽资源等，以达到 路公安信息网对其带宽的要求。 目范围 改造地点包含 安处、 安处、 安处、 安处（ 路局管内），以及刑侦处、技侦处、反恐办。其中 路公安处管辖范围包含 64 个派出所和 54 个警务区； 安处管辖范围包含 54 个派出所和 83 个警务区； 安处管辖范围包含 56 个派出所和 102 个警务区。此外， 安处管辖范围包含 11 个派出所， 1 个警务区。 2 信息网现网 情况说明 网 网络结构 路公安局核心 网络 路公安局网络系统目前由两台 6608 系列路由器作为核心路由器上联铁道部公安网络，下联通过 155M 2M 路与 安处、 安处、 安处互联；其他业务系统（如 安处、刑侦处、公安学校、网安专网）等同样使用 者 口与之互联 。两台 7503 作为 网核心交换机，下挂楼层交换机。 目前 安处情况） 安处情况 安处情况 在的问题 宽不足 带宽资源不足，无法满足目前公安信息网的需求。目前 路公安局至神华公安处为4M 连接， 安处至所（队）端公安网为 2M 带宽连接， 安处之 路公安局为 4M 带宽连接，公安信息网 点至 安处为 2M 带宽连接。随着公安信息化建设的不断深入以及目前日益严峻的反恐形势，铁路公安对信息网的要求越来越高。由于公安网网络带宽的限制，使得多套应用系统无法在 路公安局正常安装和推广使用。譬如铁路公安局至所队端的高清视频会议系统无法开通至派出所级别，严重影响了指挥命令的下达和部署。 络结构不合理 网络结构不合理。 路局公安信息网于 2008 年投入使用， 2011 年至今， 路局对公安信息网进行了部分网络结构的改造，但仍有部分派出所和所有警务区未联通公安信息网，目前的网络结构和现状已经严重制约了公安信息化建设的发展和日常工作的顺利开展。 3 项目 实施总体 设计 络 总体 物理设计 络 总体 物理 设计 根据网络带宽和后续扩展性要求，本次项目采用核心层 接入层三层架构，采用该方式的有点： 三层网络结构是采用层次化架构的三层网络。三层网络架构采用层次化模型设计，即将复杂的网络设计分成几个层次，每个层次着重于某些特定的功能，这样就能够使一个复杂的大问题变成许多简单的小问题。三层网络架 构设计的网络有三个层次：核心层（网络的高速交换主干）、汇聚层（提供基于策略的连接）、接入层 （将工作站接入网络）。 最终目标网络拓扑：此处拓扑为终极目标网络 路公安核心节点既有 2 台核心路由器，无法满足本信息网数据带宽传输需求，本研究考虑新设的 2 台核心路由器，利用铁路通信传输通道接入铁路公安局。 本期由于 具备完全替换条件，故此次割接网络 安处下行网络沿用原有网络，本期目标网络构架如下： 心 网络设计 在核心处分别连接到 安处，分别在 、 为三个区域，并 安处下联沿用以前的区域 3， 安处全部忻建为区域 2。 接入层网络设计 本期由于 具备完全替换条件，故此次割接网络 安处下行网络沿用原有网络，将 入原有网络中， 联 通过一条 155M 条 622M 核心路 由 连，区域规划为进程 1 的 。下联沿用原 络线路连接，区域规划为进程 2 的 。再进行双进程的相互引入，引入同时携带 记，防护路由环路产生。其中，在 进程 1 引入进程 2 携带 00。进程 2 引入进程 1 携带 在 进程 1 引入进程 2 携带 02。进程 2 引入进程 1 携带 接入层网络设计 本期由于 具备完全替换条件，故此次割接网络 安处下行网络沿用原有网络，将 入原有网络中， 联 通过一条 155M 条 622M 核心路由 连 ，区域规划为进程 1 的 下联沿用原 络线路连接，区域规划为进程 2 的 。再进行双进程的相互引入，引入同时携带 记，防护路由环路产生。其中，在 进程 1 引入进程 2 携带 04。进程 2 引入进程 1 携带 在 进程 1 引入进程 2 携带 06。进程 2 引入进程 1 携带 接入层网络设计 本期 用完全替换，故此次割接 安处下行网络全部新建，由于部分 2M 业务还存在，所以保留一台 2M 业务全部迁移到本台 。将 入原有网络中， 联通过一条 155M 条 622M 核心路由 连，区域规划为进程 1 的 ，下联采用新设备 用 155M 行双上联，区域规划为进程 1 的 。 挂在其中一台 ， 接口规划为进程2 的 该设备上进行双进程互相引入。为 2M 业务继续提供服务。 术建议 本项目单播路由设计中，考虑到不同网络单元的架构和业务需求，路由规划采用动态路由相互引入模式，其中，在核心路由器节点上行互联及汇聚路由器互联之间采用动态 由设计原则： 对于一个可适用于大型广域网络的复杂动态路由协议，在配置之前必须做好整个 面在设计、规划 络时必须要进行的工作： 确定需运行 议的路由器 在设计 络时，首先要确定的是哪些路由器 /交换机要启用 由进程，这个相对来说比较好确定，因为通常来说，在一个自治系统内部各路由器 /交换机上最好运行相同的路由协议，所以绝大多数情况下是自治系统内部的各个路由器上都要 议。 合理地划分 域 随着网络规模日益扩大，当一个大型网络中的路由器都运行 议时， 路状态数据库）会占用大量的存储空间，并使得运行 短路径优先）算法的复杂度增加，导致 担加重。同时，在网络规模增大之后，拓扑结构发生变化的概率也增大，网络会经常处于 振荡 之中，造成网络中会有大量的 议报文在传递，降低了网络的带宽利用率。更为严重的 是，每一次变化都会导致网络中所有的路由器重新进行路由计算。 议通过将一个自治系统划分成不同的区域来解决上述问题。区域是从逻辑上将路由器划分为不同的组，每个组用区域号来标识。 按一般经验，在一个区域内路由器的数量最好不要超过 70 台，且当网络中的路由器的台数少于 20 台的时候，也可以只划分一个区域。 另外，根据 议规定，所有的其他区域均必须与骨干区域连接，所以在规划区域时候应该合理的选择骨干区域的位置。通常是将骨干区域置于网络的中央，这样可以使更多的其他区域与骨干区域直接连接。同时，由于骨干区域中 的路由器要负责整个 络各个区域的路由信息传输，负荷比较大，所以骨干区域中的路由器应该选择性能好，处理能力强的高端路由器来承担。 参数规划： 程标识（ D） 程号是用来标识路由器内一个或者多个 程，该标识只在本路由器有效，路由器间建立 居关系时，可以各自不同的进程号。在本项目中，我们设计所有路由器 程号为： 1 由器标识（ D） 在每个 程中，路由器都需要有唯一的 D 来标识自己。在缺省情形下，路由器指定最高的 P 地址做为自己的 D。为保证 程的配置中，指定 接口的 址为 D。 由计算 在 间， 用 法进行路由计算。 在 部， 用 s 法计算最短路径树（ 法会发现整个 拓扑，计算最短路径树。 项目涉及 到的 和 子网名称 号 核心路由器 0 汇聚下行 113 络选路 在复杂网络环境，通过调整 功能参数来达到灵活组网、优化网络负载分担，使得网络以满足复杂环境中的需要。 可以根据接口的带宽自动计算其链路开销值，也可以通过命令配置。如果没有通过 令配置 口的开销值， 根据该接口的带宽自动计算其开销值。计算公式为：接口开销 =带宽参考值 /接口带宽，取计算结果的整数部分作为接口开销值（当结果小于 1 时取 1）。通过改变带宽参考值可以间接改变接口的开销值。本项目使用通过命令 行配置的方式设置 和 100， 000（单位是 s） ： 参数规则 链路类型 主用 100 主用 00 由发布 此 络通过 式发布接口路由。 通过 管协议能够收集设备运行状态数据，并且对数据进行处理，将数据图形化，分析数据以便进行流量调整，是全网网管系统必须依靠的协议。 根据网络安全要求。全网网络设备启用 本 3，为网管设备提供丰富的管理信息。使用 只读模式（如果计划使用 于读写模式，需要考虑使用此模式的风险，在这种模式下，错误的配置可能使路由器具有很大的安全隐患）；另外，利用访问控制列表限制对设备 访问，明确哪些网段可以通过指定 访问本机的 止网络外的非法用户通过 网络进行探测。 备的访问控制 对防火墙和交换机的管理，主要通过设备本身的 制端口、网络远端 议。通常 制端口连接访问服务器作为带外网络管理， 拟终端远 程访问是访问设备的最常用的方法。华为设备支持的访问协议可以是 过配置访问控制，做到只有特定的管理员可以配置设备，而其他的管理员只有查看相关配置的权限。 加强机房安全控制，避免非法人员接触设备 制端口，并适当降低制端口的非活动超时时间，降低被盗用的风险。同时，在 上配置 到只有特定的知晓用户名 /密码的网络管理员才可以调试设备，提高设备安全性。 码设置 任何情况下不要使用单词、生日数字、专有名词等类似简单密码作为设备的登陆密码，要使用字母数字混合的密码，且务必控制密码知晓范围； 默认情况下配置中所有的密码和其他的认证字符序列都使用 希算法不可逆的机制进行加密，很难使用软件反向推算出原始密码，具有较大安全性，建议所有网络设备开启密码加密设置。 备命名 设备命名规则按照现网业务要求，使用设备型号 +设备位置 +序号的方式来命名设备。设备型号是 心层 聚层 区 -。具体设备命名如下： 设备型号 设备序号 设备命名 核心层 汇聚 高端接入 划 本原则 址规划原则需要考虑规范性、标准性、可扩展性、连续性和灵活性，在进行 址规划设计时，必须考虑如下基本原则： 规范性：网络地址空间划分和分配是基于对全局的应用部署、数据流向和用户访问的全面理解，结合业界最佳实践对全局规划、分配、使用 址具有指导和强制作用； 标准性： 址的分配空间需要符合 标准规定； 可扩展性：网络地址在功能、容量、覆盖能力等各方面具有易扩展能力，以适应快速的业务发展对基础架构的要求； 连续性：在网络规模扩展时能保证地址汇总所需的连续性。网络地址空间划分采用分层、分级结构化方法，按职能划分连续地址，易于进行路由汇总； 灵活性：地址分配应具有灵活性，借助可变长子网掩码技术，支持多 种路由策略的优化和充分利用地址空间 从国际 址规划标准 (看，国际标准私有网络地址分配的规划如下： 体规划 考虑到业务平滑切换的要求，在割接方式上会采用新设备与老设备同时在网运行后，然后将业务逐步切到新设备上。这就要求新上线设备需要使用新建网段来承载业务。目前在网使用的网段信息如下： 址网段 设备管理地址 设备互联网段 服务器网段 故根据上述已经使用地址段，结合 国际标准 (私有地址段，4 为原子路由做规划，核心互联使用 4 来作为设备互联网段。 具体地址空间规划内容见附件：铁路 址规划 4 实施总体说明 施过程总体概述 为保障业务的平滑切换，对业务造成影响降到最低，本项目采用先替换后新建网络，不与旧网络并行运行，汇聚 由器则直接接入，然后按照业务进行逐步割接的方法。之前在规划 址的时候已经规划 址与现网地址不能冲突。在确认 址无冲突和线缆数量保证的情况，可按照如下步骤进行项目实施： 基础业务确认、设备安装和线缆。 业务模型细节核实：该系统携带服务器、楼层接入等业务，但是具体的业务还需要梳理，以便更好的确认实施细节。 在确认设备安装地点后，完成设备间（核心 缆布放：确认设备安装具体站点后，根据站点距 离、竖井未知、 条件，完成设备之间（核心 心 缆选择并安装布放。由于服务器业务复杂，所以服务器区线缆布放要等到业务核实完毕后再确认具体方案。 第一步：设备替换。将原核心直接替换，配置不变，将原 2M 线路不在接入原网络中，神华处采用临时带有 2M 线路接口路由器接入核心， 联接入公安部， 联采用 155M 接入铁道部公安部。 2 台核心路由器采用原位替换方案故无法提前安装。 第二步：新建设备上架安装。根据整体实施步骤， 汇聚路由器 并上线，所以先安装 6 台新建设备，并完成基础配置。将新建 622M 线路接入设备，并保证线路连通。 第三步： 公安处设备接入网络。并将 原 备上联配合进行更改。查看邻居关系是否正常建立，并查看路由是否正常。 第 四 步： 各派出所设备替换。 第五步：整体业务测试。 施前准备 施时间 实施时间确定为 2016年 x月 x月 施人员组成及职责 国网华北分部实施小组名单 姓名 责任 电话 总指挥 实施责任人 实施责任人 现场实施小组名单： 姓名 责任 电话 总指挥 实施责任人 实施责任人 后方支援保障小组名单： 姓名 责任 电话 技术专家、支援总协调 各产品支持接口人 实施风险及应对措施 序号 风险描述 发生可能性（高、中、低） 影响程度 （高、中、低） 应对措施 1 数据备份 低 低 2 业务中断 中 中 3 4 实施前检查工作 序号 实施前确认配合工作 责任人 完成时间 1 失败倒回方案（不涉及） 2 测试方案（不涉及） 3 确认实施的风险和应急措施 4 实施测试人员到位 5 协调周边侧设备维护人员到位 6 后方保障支援小组到位 体实施步骤 一阶段 总体说明 核心设备承载 处核心 业务，下行汇聚路由器均是双上行到两台核心路由器，形成路由和链路备份。为保证业务尽量少中断的要求，先将 行 由改大，这样下挂接入设备的业务就会从 源核心 6608去，此时使用 位替换 6608确保路由学习正常替换成功后，将 由 改为之前配置，此时检查下挂设备等价路由是否正常，确认后将 由 业务均走 时使用 位替换 6608确认替换设备路由学习正常替换成功后，将 由 改为之前配置。这样确保实施过程中，对业务影响量最小。实施中网络拓扑如下： 实施准备 硬件准备： 设备 光模块 线缆 说明 数量 软件准备： 置准备： 路由协议： 电准备： 每台设备 4 路交流输入： 110V 20V 500路最大输入 16A。 线缆准备： 线缆利旧，如果是新布线缆的话，则需要提前布放。 人员准备： 涉及原设备下架，新设备上线，预计需要 6 人天。 实施责任人： 施配合人： 施验证人： 号 实施项目 实施内容 实施人员 电话 1 机柜准备 原有设备替换，使用之前设备位置 2 设备安装 机上架安装，加电（需 4 人以上） 3 线缆布放 利旧 4 光模块 5 设备软调 设备配置， 实施步骤 实施进度表 步骤序号 步骤名称 实施时间 实施负责人员 实施配 合人员 情况验 证人员 1 环境检查，工具跳线准备 15 分钟 2 6608 由 整及验证 5 分钟 3 6608备下架 30 分钟 4 备上架，连接相应线缆 30 分钟 5 设备软调、路由验证 5 分钟 6 由 恢复，并验证 5 分钟 7 6608 由 整及验证 5 分钟 8 6608备下架 30 分钟 9 备上架，连接相应线缆 30 分钟 10 设备软调、路由验证 5 分钟 11 由 恢复，并验证 5 分钟 12 验证动态路由运行正常 10 分钟 1、 6608 由 整及验证 将 6608上行 由 核心设备下行的 改大，确保业务报文会从6608，达到路由切换的目的。 2、 6608备下架、 备上架 架安装、上电、验证硬件正常，并进行线缆链接、软调。 3、 由 恢复，并验证 将 由打通，并验证路由学习。然后将 由更改为之前配置，达到与 6608价路由的目的。 4、 6608 由 整及验证 将 6608上行 由 核心设备下行的 改大，确保业务报文会从，达到路由切换的目的。 5、 6608备下架、 备上架 架安装、上电、验证硬件正常，并进行线缆链接、软调。 6、 由 恢复，并验证 将 由打通，并验证路由学习。然后将 由更改为之前配置，达到与 价路由的目的。 业务验证 使用 ip 否收敛。 风险及影响 实施中可能会出现该设备下挂业务中断，在尽可能短的时间内完成该设备割接。 回退方案 由于使用的是分步替换，所以在实施过程中，如果出现替换不成功的情况，则可以直接将原设备安装到原位置，线缆恢复。 二阶段 总体说明 该网络接入涉及 各地派出所，业务比较复杂，所以首先完成详细网络业务情况，包括端口互联、 址等业务详情，为确认后续实施的具体细节。 此次可以提前上架 6 台 6 台设备为： 将新建 622，并连通。提前进行设备预配。 在确认目标网络拓扑后，需要提前完成中间线路完成情况。目前核心 条 622M，为后续设备互联做好准备。 业务模型细节核实 由于下挂服务器业务比较复杂，所以提前摸清业务模型很有必要。业务模型核实需要涉及业务类型、端口数量、 息、 址等要素，为后续实施做好 准备。下表为参考模板，也可根据现网业务自定义模板。 此工作需要与公安各处人员共同完成，预计 10 人天左右。 设备型号 下挂业务类型 端口数量 息 址 其他要素 6 台设备安装上线 6 台设备可以提前上线，在完成线缆布放后，按照如下步骤实施即可。 实施准备 硬件准备： 机柜 设备 说明 标准机柜 600*1100*2200 18U 数量 3 6 12 6 6 注：安装工具必备。 软件准备： 置准备： 路由协议： 路协议： 电准备： 每台设备 4 路交流输入： 110V 20V 500路最大输入 16A。 人员准备： 新设备安装对现网业务无影响可在工作日操作，预计 20 人天完成。 实施责任人： 施配合人： 施验证人： 序号 实施项目 实施内容 实施人员 电话 1 机柜准备 提前准备空闲 600*1100*2200 机柜 3 个， 2 设备安装 机上架安装，加电（需 4 人以上） 3 设备软调 设备配置， 实施步骤 实施进度表： 步骤序号 步骤名称 实施时间 实施负责人员 实施配 合人员 情况验 证人员 1 环境检查，工具跳线准备 15 分钟 2 新设备上架，上电 6*60 分钟 3 设备检查 30 分钟 4 线缆对接 20 分钟 5 业务配置 10 分钟 6 验证动态路由运行正常 30 分钟 1、 安装设备 检查现场环境和机柜满足要求后，对 备进行安装，安装步骤严格按照设备安装文档进行，同时确认单板插入槽位准确。上下两台 求间距大于 2U。 2、 设备上电 每台设备 4 块电源输入，使用设备要求电源线接机柜电源。完成上电。 3、 设备检查 登录设备确认单板、电源等均正常运行，无硬件告警。 4、 线缆对接 链路调通。端口运行正常，无错误包。（等待核心替换后再行接入） 5、 设备配置 根据之前的 址规划，配置与广域网路由器 址互通。配置 议和议，确保 议邻居建立正常， 行正常。 6、 业务验证 设备单板、电源无硬件告警，软件版本满足要求； 居正常建立， 业务测试 使用 ip 否收敛。 风险及影响 此阶段为新建网络，对现网业务无影响，无风险。 回退方案 此阶段为新建网络，无需回退。 三阶段 总体说明 本期由于 具备完全替换条件，故此次割接网络 安处下行网络沿用原有网络，将 入原有网络中， 联 通过一条 155M 条 622M 心路由 连，区域规划为进程 1 的 。下联沿用原 络线路连接，区域规划为进程 2 的 。再进行双进程的相互引入，引入同时携带 记，防护路 由环路产生。其中，进程 1 引入进程 2 携带 00。进程 2 引入进程 1 携带 割接时，将原连接 155M 线路接入到新上设备 ，并将另一条 155M 线路关闭。将 入现网中。 此阶段主要工作是：线路调通、三层互通、 由打通。设备接入后验证业务。 实施准备 硬件准备： 设备安装完成，线路布放完成。 配置准备： 路由协议： 员准备： 本操作为设备接入，并打通路由，预计 2 人天完成。 实施责任人： 施配合人： 施验证人： 序号 实施项目 实施内容 实施人员 电话 1 设备接入 接入设备，光纤互联，调通链路 2 设备软调 置，并验证 3 设备软调 路由验证 实施步骤 实施进度表： 步骤序号 步骤名称 实施时间 实施负责人员 实施配 合人员 情况验 证人员 1 调通链路 30