精品资料（2021-2022年收藏）交警指挥中心一期网络建设方案

1、衢州市公安局交警支队衢州市公安局交警支队智能交通指挥中心一期智能交通指挥中心一期车管所大楼车管所大楼网网络络建建设设方方案案- 1 -目 录1.概述概述.- 3 -1.1.项目名称.- 3 -1.2.项目建设单位.- 3 -1.3.项目主管单位.- 3 -2.核心网络建设方案核心网络建设方案.- 3 -2.1.核心网络设计原则.- 3 -2.2.核心网络目标拓扑设计.- 5 -2.3.核心网络目标结构说明.- 5 -2.4.核心网络路由实现说明.- 6 -3.外网部分建设方案外网部分建设方案.- 6 -3.1.外网设计原则.- 6 -3.2.外网目标拓扑设计.- 7 -3.3.外网目标结构说明

2、.- 7 -4.车管所网络建设方案车管所网络建设方案.- 8 -4.1.车管所内网目标拓扑设计.- 8 -4.2.车管所外网目标拓扑设计.- 9 -5.现网业务迁移割接现网业务迁移割接.- 9 -5.1.迁移原则.- 9 -5.2.现网业务迁移方案.- 10 -5.2.1.总体思路.- 10 -5.2.2.准备阶段.- 10 -5.2.3.第一阶段迁移割接.- 11 -5.2.4.第二阶段迁移割接.- 12 -5.2.5.全面测试.- 12 -6.涉及设备清单涉及设备清单.- 21 -8.1.监控中心设备清单.- 21 -8.2.车管所设备清单.- 22 - 2 -1. 概述概述1.1.项目名

3、称项目名称衢州市公安局交警支队智能交通指挥中心一期网络建设衢州市公安局交警支队车管所大楼网络建设1.2.项目建设单位项目建设单位衢州市公安局交警支队2. 核心网络建设方案核心网络建设方案2.1.核心网络设计原则核心网络设计原则在衢州市交警网络建设项目中，为节省用户投资，保证业务的正常、优质开展，整个网络系统必须总体规划，统一标准。为达到衢州市交警网络建设的目标要求，在网络设计构建中，应坚持以下建网原则：需求驱动原则：以实际应用需求为依据，选择技术和设备。根据金盾工程建设的实际需求，考虑远程共享办案与合作，特别是案件影像传输与数字视频业务的需要，要充分考虑网络系统的服务质量和可靠性。根据现在的需

4、求和可以预见的需求增长情况设计网络，不追求空洞的技术先进性，避免追求高档和最新技术花费的巨大代价。先进性原则：交警信息化需要最新技术的支撑，特别是网络技术和多媒体计算机技术，必须采用先进成熟的技术，并兼顾未来发展趋势。必须要保持对犯罪人员的先进技术优势。投资保护原则：由于衢州市交警支队已在网络应用方面做了大量的投入进行信息化建设，交警信息化在各部门或不同的应用上对网络的需求不尽相同，原有的很多工作已经证明是有效的，这部分软硬件可以继续发挥作用，从而保护原有投资，节省建设经费。标准化原则：从机房建设、综合布线工程规范、到网络技术标准和网络协议，都有相应的国际标准和国家标准，所有设计与建设要遵循该

5、- 3 -原则，从而可以实现标准化管理，延长整体项目的生命周期，做到投资保护。安全性原则：交警信息化工作的特殊性，对网络与信息安全提出了很高的要求。由于安全性的要求与投入成正比，并且涉及管理与应用的方方面面，是一个复杂的系统工程，实际上没有一个绝对安全的系统，安全只是相对而言，所以该原则是充分评估安全风险，制定安全策略，采取必要的安全措施。是指防止非法访问者通过互联网络对网络节点进行攻击的能力。工程原则：网络系统建设涉及机房与网络配线间环境、通信管道与通信线缆、楼内综合布线系统、电源及其防护、网络交换机与路由器、服务器设备以及相关的软硬件系统，在设计建设时要体现工程原则，做到有工程规划、项目有

6、设计、实施有控制等，实现整个系统的可管理、可维护、可扩展和可升级。健壮性及开放性：它应具有很好的收敛性和可扩展性，同时其网络额外开销是极小的，且受到国际标准的支持，保证不同设备见的互通性。考虑到今后信息化的进程和逐步演进，网络要建设成完整统一、组网灵活、易扩充的弹性网络平台，能够随着需求变化，充分留有扩充余地。2.2.核心网络目标拓扑设计核心网络目标拓扑设计- 4 -2.3.核心网络目标结构说明核心网络目标结构说明鉴于衢州市交警网络日益重要，以及基于设计原则，因此我们设计方案如下：中心节点。采用 1 台万兆路由交换机产品作为网络核心设备，该设备配置双引擎双电源，确保核心设备的可靠运作。向下链接

7、交警大楼楼层交换机、外联下属单位、通过 IPS 连接中心服务器群。向上连接市公安局。全网以千兆链路为主。全市交警系统万兆核心路由交换机作为主中心节点，同时可以完成相应的 ACL 访问策略以及全网统一规划。在中心机房可配置网管服务器，便于对整个网络实行全面管理。非公安办公场所网络接入核心交换机也采用 1 台万兆路由交换机产品作为网络核心设备。同样配置双引擎双电源，确保核心设备的可靠运作，上连支队核心交换机（根据需要，以后可以增配网络边际安全设备后再上连到支队核心交换机），下连市本级所有非公安固定办公场所网络设备（主要包括卡口、电子警察、视频监控等）。车管所大楼核心交换机同样配置双引擎双电源，确保

8、核心设备的可靠运作，上连交警支队核心交换机，下连大楼楼层交换机。各大队等下属单位，则仍利旧原有设备，但进行必要的端口扩容（从百兆电口升级为千兆光口）。大楼内的楼层交换机则以光纤上联至核心交换机。作为数据中心的数据库、服务器群等，直接连接到核心交换机。2.4.核心网络路由实现说明核心网络路由实现说明核心网络将对应各外联下属单位和楼层划分 vlan，以减小网络广播域，从而减少二层病毒的干扰。所有核心设备（数据库、服务器群）将按现有状况处于同一 vlan，ip 地址不变。各 vlan 的网关均建立在核心交换机上，对于车管所网络，则与车管所的核心交换机通过路由协议进行访问。对于全网的访问策略可采用 A

9、CL 并应用于相应端口。- 5 -3. 外网部分建设方案外网部分建设方案3.1.外网设计原则外网设计原则物理隔离原则。安全性原则。经济性原则。标准化原则。3.2.外网目标拓扑设计外网目标拓扑设计防火墙或NAT设备互联网楼层交换机楼层交换机外网核心交换机车管所外网主交换机3.3.外网目标结构说明外网目标结构说明外网中心设备采用千兆级路由交换机，向下连接各楼层接入交换机，并连- 6 -接到车管所外网主交换机上。各楼层作为一个 vlan，并终结到外网核心交换机上。车管所的外网网关终结在车管所的外网三层交换机上，与监控中心的外网核心交换机通过路由进行访问。采用一台防火墙作为外网的出口设备，外网核心交换

10、机与外网出口防火墙之间建立路由，连接到防火墙的 trust 端口（或称为 inside 端口），防火墙的untrust 端口（或称为 outside 端口）连接到互联网。各可上外网的终端设备通过防火墙 nat 访问互联网。为确保访问公网的行为可控，在不增加其他安全类设备的情况下，可采用对各终端静态配置地址，同时在三层交换机上进行 ip/mac 绑定。注：外网防火墙需利旧原有设备，如原有设备不符要求，则需另行采购。注：外网防火墙需利旧原有设备，如原有设备不符要求，则需另行采购。4. 车管所网络建设方案车管所网络建设方案4.1.车管所内网目标拓扑设计车管所内网目标拓扑设计IPS监控中心核心交换机裸

11、光纤公公安安网网数据库数据库审计中心服务器数据库区服务器群车管所内网核心交换机车管所接入交换机车管所接入交换机 考虑到车管所业务的重要性和不可间断性，因此对车管所配置 1 台万兆路由交换机作为车管所的核心交换机，并且配置双引擎、双电源以确保该设备的高可用性。车管所核心交换机与监控中心核心交换机以千兆裸光纤互联，起动态路由- 7 -协议。车管所内可根据需要划分 vlan，各 vlan 的网关终结在车管所的核心交换机上。4.2.车管所外网目标拓扑设计车管所外网目标拓扑设计防火墙或NAT设备互联网车管所外网接入交换机车管所外网接入交换机外网核心交换机车管所外网主交换机裸光纤监控中心外网接入交换机监控

12、中心外网接入交换机车管所外网主交换机为千兆三层路由交换机，通过裸光纤与监控中心的外网核心交换机相连，起用动态路由协议。车管所内外网接入交换机均汇聚到车管所外网主交换机上，根据情况可采用 vlan 划分，各 vlan 网关终结在车管所外网主交换机上。- 8 -5. 现网业务迁移割接现网业务迁移割接5.1.迁移原则迁移原则安全性原则。安全性是现网业务迁移割接中最为重要的一点。务必采取周密的方案确保迁移割接中对现网业务的安全。平滑性原则。为确保现网业务的不中断或少中断，应采用平滑割接的方式，以避免出现业务中断过长的情况。可控性原则。由于系统的重要性，对于每一步割接操作应绝对可控，一旦出现异常且短时无

13、法排除的情况时，应能方便地回退。有序性原则。由于指挥中心的迁移割接涉及面广，工作量大，因此整个割接操作应遵循安全有序的原则，逐步从老的网络平面割接到新的网络平面。5.2.现网业务迁移方案现网业务迁移方案5.2.1. 总体思路总体思路由于现网核心在老的指挥中心大楼内，现网的数据库、服务器群等也在老大楼中，与公安网的互联、与下联各下属单位的互联等也通过老大楼进行互通。新的网络平台建设完成后，先采用租用临时裸光纤将新老网络平台进行 3 层互通，并采用动态路由进行路由导通。然后利用新增的服务器将原系统迁移到新大楼，由于新老大楼网络连通，所以当服务器在新大楼，而其他业务终端和业务系统在老大楼时，网络也能

14、正常。此时网络的核心是老大楼。然后，通过网络出口的迁移、网络其他各系统的迁移以及下联下属单位电路的割接，逐步平滑地从老网络割接到新网络中。5.2.2. 准备阶段准备阶段此阶段主要是建设新的网络平台，调测新的指挥中心与老大楼之间的光路，以及与公安网的电路。然后进行新老网络的互联。如下图：- 9 -楼层交换机防火墙主用核心交换机楼层交换机楼宇接入汇聚区防火墙公公安安网网老大楼楼层交换机下联下属单位下联下属单位临时互联GE老大楼数据库服务器群新大楼 该阶段将建立新老大楼网络之间的千兆互联，并采用动态路由将两边路由导通。由于新大楼的网络在此时除了一些设备的管理地址外并无业务网段，因此对老大楼的网络的路

15、由表并不产生影响。5.2.3. 第一阶段迁移割接第一阶段迁移割接在该阶段中，将新增的服务器安装并进行业务系统迁移，同时将原服务器的网段移到新网络平面，进行相应的业务测试，一旦有异常且短时无法排除，可重新启用原服务器。楼层交换机防火墙主用核心交换机楼层交换机数据库数据库审计楼宇接入汇聚区中心服务器数据库区新服务器群防火墙公公安安网网老大楼楼层交换机下联下属单位下联下属单位临时互联GE数据库服务器群- 10 -5.2.4. 第二阶段迁移割接第二阶段迁移割接第一阶段迁移割接顺利完成后，可进行网络出口和下联单位的电路割接，在割接中，出现任何情况均可回退至原状。如下图：楼层交换机防火墙主用核心交换机楼层交换机数据库楼宇接入汇聚区中心服务器数据库区新服务器群防火墙公公安安网网老大楼楼层交换机下联下属单位下联下属单位临时互联GE数据库服务器群 5.2.5. 全面测试全面测试完成全部割接后，应对网络和相关业务进行全面详尽的测试，并根据新的要求部署相应的安全性策略和访问控制列表。6. 涉及设备清单涉及设备清单