广电网络方案

网络设计方案此次选择租用天津播送电视网络提供的链路天津播送电视网络在长期的天津市有线电视、数字电视和数据链路专网及互联网效劳过程中，积累了丰富的网络资源和人才资源，并且建立了完善的光缆施工维护、网络设备安装调试和维护队伍，并建设了成熟的网络管理平台。公司下辖19个分公司、3个维修分部、一个统一客服平台，有超过2000名正式员工。并有数十个工程建设队伍和专门的网络效劳销售商和网络维护代理商。十年来，天津广电在数据业务市场上承载了天津市视频监控网数据传输、天津市交通管理局智能交通工程、天津市医保社保联网、天津市检察院联网等等大量的政府和企事业单位的联网数据传输。设计要求保证该工程中全部视频监控点位和电子卡口点位的全部前端设备有效联入全市视频监控网，每个前端监控杆提供不低于100M带宽并满足实际需求。设计原那么1、GA/T669-2023《城市监控报警联网系统系列标准》2、GB50348－2004《平安防范工程技术标准》3、GB50395－2007《视频安防监控系统技术要求》4、GB50394－2007《入侵报警系统技术要求》5、GB50198-1994《民用闭路监视电视系统工程技术标准》6、GA/T74－2000《平安防范系统通用图形符号》7、GB16796《平安防范报警设备平安要求和试验方法》8、GB/T20271-2006《信息平安技术信息系统通用平安技要求》9、GA/T379-2002《报警传输系统串行数据接口的信息格式和协议》10、YD/T1171-2001《IP网络技术要求--网络性能参数与指标》11、GA/T75-94《平安防范工程程序与要求》12、GAT496-2023《闯红灯自动记录系统通用技术条件》13、GAT497-2023《公路车辆智能监测记录系统通用技术条件》14、GAT832-2023《道路交通平安违法行为图像取证技术标准》15、GA/T367-2001《视频安防系统技术要求》16、GA/T509《公安交通电视监视系统验收标准》17、GB50057-94《建筑物防雷设计标准》18、GB50343-2004《建筑物电子信息系统防雷技术标准》19、JGJ/T16-92《民用建筑电气设计标准》网络拓扑结构图设计方案天津播送电视网络自2003年开始即参与天津市视频监控网规划、设计、试点和建设工作，广电网络公司以当时先进、现已成熟的MPLSVPN设备平台为根底进行了长期建设，现已成为天津市视频监控网络链路的骨干网。综合分析该工程需求，我们建议继续采用成熟、平安、稳定、可靠、带宽资源丰富的MPLSVPN技术方案进行后继工程建设。链路方案综述视频监控网以点位数量多、分布范围广，技术、设备种类多、所有者种类多为特点。天津市公安局为此进行了编码设备和传输设备标准化，已可以统一进行网络传输、存储和处理。根据本次工程招标要求，我公司的网络链路拓扑图如下列图：方案要点说明如下：依托广电网络公司的大容量MPLSVPN骨干网、会聚网进行承载，该网络采用两级路由架构，架构简洁合理，以双10Gbps链路双归上联实现保护，平安、可靠；为进一步提升平安性、稳定性以及缩短故障倒换时间，我公司MPLSVPN网络由OTN网络承载，实现骨干、会聚链路倒换50ms的电路级别标准；提供1000条MPLSVPN链路并满足视频监控网视频监控点1000点联网链路传输需求；接入网介质均为光纤，使用广电网络的MSAP平台或者光纤收发器+交换机作为接入平台，每个接入点带宽为100Mbps；针对某些特许需求点位，具备升级带宽至1000Mbps的能力；与骨干网的对接：因视频监控网骨干依托于广电网络的MPLSVPN平台，招标中指定的所有点位就近直接接入广电网络的远端机房、二级分中心或者一级分中心机房进行会聚。然后根据天津广电网络的网络路由情况在广电机房内直接接入〔已建〕的MPLSVPN平台，既已完成与视频监控网主干网的连接；基于视频监控网骨干的分层稳定成熟架构，此种接入方式省去了多运营商对接过程中产生的诸多问题，更加快速便捷，不会对现网的运行环境造成影响；网络路由规划情况：本次整合点接入方案路由规划，根据天津广电网络多年在天津视频监控网工程上的实践经验，具体路由规划分为三层：接入层、会聚层、骨干层。接入层：接入层路由情况根据前端需要点位位置，就近接入天津广电网络远端机房，每个前端点位接入介质均为光纤，接入带宽不小与100Mbps，并且可以根据实际情况进行相应升级；;会聚层：会聚层根据天津广电网络机房路由规划，将会聚机房内下属的远端机房所接入的点位进行会聚；骨干层：根据天津广电网络网络情况，会聚层机房内已部署天津广电网络MPLSVPN平台〔天津视频监控网骨干〕，会聚节点在机房内直接接入视频监控网骨干。提供带宽为10GE光纤链路与集中存储中心进行接入，将工程中所有点位视频信号传输到集中存储机房进行存储。MPLSVPN平台现有足够的带宽预留，根据现有运行状况和本工程特点，视频监控网主干在增加本工程所需带宽后在应用中不会产生带宽瓶颈。在今后再增加带宽需求并将产生瓶颈，我公司可安排以1G或10G为单位升级平台骨干带宽或某区域接入带宽。与视频监控骨干网对接说明与骨干网的对接：因视频监控网主骨干依托于广电网络的MPLSVPN平台，招标中指定的所有点位就近直接接入广电网络的远端机房、二级分中心或者一级分中心机房进行会聚。然后根据天津广电网络的网络路由情况在广电机房内直接接入〔已建〕的MPLSVPN平台，既已完成与视频监控网主干网的连接；基于视频监控骨干的分层稳定成熟架构，此种接入方式省去了多运营商对接过程中产生的诸多问题，更加快速便捷，不会对现网的运行环境造成影响；相关网络资源、网络平台说明及优势1、网络资源天津广电网络覆盖天津市所有行政区域，在机房和光缆资源上以市级核心、区县一级中心、区县内二级分中心、远端机房组成四级网络资源架构。目前拥有三个核心机房，19个一级分中心〔原19个行政区县〕，约200个二级分中心〔市内六区每区4-6个，其它区县的每镇1个二级分中心〕，近1000个远端机房〔每个二级分中心平均带5个远端机房，并仍在扩建〕。机房间光缆均采用大芯数缆，接入光缆统一由远端机房出局。优势：网络根底设施丰富、结构合理。经多年建设，现有远端机房平均覆盖半径1-2公里，已非常方便完成各类企事业单位的各类接入需求。接入光缆遍布各小区、交通路口、建筑、企事业单位等，光缆资源极其丰富。2、网络平台MPLSVPN平台MPLSVPN技术介绍MPLS〔multi-protocollabelswitch〕是Internet核心多层交换计算的开展。MPLS将转发局部的标记交换和控制局部的IP路由组合在一起，加快了转发速度。MPLS技术提供了类似于虚电路的标签交换业务，这种基于标签的交换可以提供类似于帧中继、ATM的网络平安性。MPLSVPN一般采用下列图所示的网络结构。其中VPN是由假设干不同的site组成的集合，一个site可以属于不同的VPN，属于同一VPN的site具有IP连通性，不同VPN间可以有控制地实现互访与隔离。相对于传统的VPN技术来说，MPLSVPN可以实现底层标签自动的分配，在业务的提供上比传统的VPN技术更廉价，更快速。同时MPLSVPN可以充分的利用MPLS技术的一些先进的特性，比方说MPLS流量工程能力，MPLS的效劳质量保证，结合这些能力，MPLSVPN可以向客户提供不同效劳质量等级的效劳，也更容易实现跨运营商骨干网效劳质量的保证。MPLSVPN还可以向客户提供传统基于路由技术VPN无法提供的业务种类，比方像支持VPN地址空间复用。对于MPLS的客户来说，运营商的MPLS网络可以提供客户需要的平安机制，以及组网的能力，VPN底层连接的建立、管理和维护主要由运营商负责，客户运营其VPN的维护和管理都将比传统的VPN解决方案简单，也减低了企业在人员和设备维护上的投资和本钱。基于MPLS的VPN可以作为传统的基于二层专线的VPN、纯三层的IPVPN和隧道方式的VPN的替代技术。广电网络MPLSVPN平台2023年我公司采用业界高端路由器完成了MPLSVPN骨干网、会聚网扩容，网络平台拓扑图如下。核心核心1核心2和平南开红桥河北河东河西塘沽大港接入交换机用户北辰宁河静海西青蓟县津南东丽汉沽宝坻武清新的MPLSVPN网络平台采用两级网络架构，架构简洁合理。二级网络为会聚层，从区内各二级分中心的MPLSVPN接入路由器以双归路由链路的方式上联至本区和相邻区的两个区一级分中心MPLSVPN会聚路由器。在业务重点区采用2x10Gbps链路带宽上联，在普通区采用2x1Gbps链路带宽上联。一级网络为骨干层，从各区的一级分中心会聚路由器以双归路由链路的方式上联至网络的两个核心层路由器，骨干层链路带宽为2x10Gbps。特点和优势：两级网络架构，架构简洁合理；各层均采用链路双归上联实现链路保护，平安、可靠；采用分区、分层双归架构，同时骨干和重点区采用2x10Gbps带宽链路连接，使网络具有超大容量承载能力。此外，为进一步提升平安性、稳定性以及缩短故障倒换时间，我公司MPLSVPN网络由OTN网络承载，从而实现了骨干、会聚链路故障恢复时间50ms的电路交换级别标准，是一个非常稳定的数据传输平台。OTN平台OTN〔光传输网络〕定位为底层传送网络，为各种业务网络提供底层传送功能，包括：MPLSVPN网、宽带网、视频承载网以及区县MSAP与上一级网络间的互联。同时提供大颗粒业务接入能力。OTN的核心技术：DWDM密集波分复用，基于光波分通道的网络平台。ASON自动交换光网络，实现所承载业务的自动调度。广电网络OTN架构OTN网络骨干为两级结构，通过多个主环构建成连接各区的一级环形骨干网，在每个区内也是通过环形组网形式组建二级骨干网。核心、骨干、会聚层设备为目前国内顶级，具备Tbit容量，80个波长的承载能力，带宽为80x10Gbps。具备电交叉功能，链路最小封装颗粒以及交叉调度颗粒为ODU0〔1Gbps〕。特点和优势：通过多种组网保护形式，提供全网范围的50ms自愈保护，从而为用户效劳打下良好的技术保障根底。接入平台光纤收发器+交换机接入平台：2023年以前大量使用的接入方式，现正在使用MSAP平台替换该平台。MSAP接入平台：MSAP本质上是MSTP技术和分组交换技术在接入层融合的一种产品形态，主要有会聚端的设备和远端设备组成，适用于接入层多场景下中、小颗粒业务的会聚和端口的复用。即可上联ASON、MSTP网络，也可上联交换机、路由器等分组交换网络。向下即可以接入标准的PDH、SDH等设备如E1设备，同时也提供10/100/1000Mbps以太网数据接入。在实际组网应用中，MSAP适合用于大客户接入、小型基站及室内分布系统的接入。MSAP的功能结构：MSAP平台采用SDH/MSTP内核，继承了SDH/MSTP的交叉连接、VC映射、以太网业务在电路容器上的承载和级联、成环和保护倒换等功能，同时，根据边缘网络大客户接入的特点和网络的现状，融合了PDH复用/解复用、以太网协议转换、V.35协议转换等技术，具备灵活的接入功能，可承载当前边缘接入网的多种业务。MSAP的主要特点综合接入；局端为统一平台，通过远端设备的不同形态表达差异化接入能力，支持PDH等现有接入网设备、SDH/MSTP设备以及分组交换网络设备在网络中同时接入。接入灵活；采用模块化结构，后期业务扩容或新客户接入只需通过网管配置或放置相应远端就可实现。且可以支持环形、链形、星形等多种组网拓扑，应用灵活。可靠性高提供多种保护方式，如1+1保护、SNCP保护、线性MSP保护、电源热备份等，保证了客户业务的可靠性。MSAP系统网络位置和参考模型MSAP多业务接入平台是集协议转换器、光端机、光纤收发器、XDSL于一体的大用户多业务专线接入平台，所以MSAP作为末端接入系统，能够向用户提供E1/V.35租用线和专线业务以及以太网专线业务，通过SDH接口或以太网接口与SDH/MSTP传送网或IP城域网相连；通过E1、10/100/1000BASE-T接口或V.35接口和客户设备相连。如下列图所示：MSAP系统网络位置图网络可靠性设计〔QoS实现策略〕概述QoS规划：选择DiffServ体系架构，不信任其它Diffserv域的标记，在入端口进行重新标记。业务等级规划：公安专网定义8个标记，7个业务等级。调度和丢包策略：队列调度采用PQ〔优先级调度算法PriorityQueueing〕加WRR〔加权轮循算法WeightedRoundRobin，WRR〕的方式，并对PQ进行限速，根据等级不同限速不同，网管队列分配5%的带宽，其余队列的带宽分配根据实际业务流量模型决定。限速和整形：在入口根据协议和规划进行限速。Trunk的QOS配置要在物理接口上进行配置。采用默认的逐流方式。视频专网QoS要求QoS业务等级规划业务等级开展的业务标记QoS策略金业务平台SIP协议、无线传输7，6高等级队列，带宽保证值为〔CIR〕5%，PIR为80％预留5高等级队列，带宽保证值(CIR)为10%，PIR为90％银业务视频监控管理平台业务数据4高等级队列，带宽保证值(CIR)为60%，PIR为90％预留3低等级队列，带宽保证值为8%,，PIR为90％铜业务普通视频监控点视频2低等级队列，带宽保证值为12%,，PIR为40％预留1低等级队列，带宽保证值为4%，PIR为40％预留0低等级队列，带宽保证值为1%,，PIR为40％所有P设备的接口配置outputqueue和trustupstreamdefault。所有PE设备的接口配置outputqueue和trustupstreamdefault。〔和CE连接的接口，会对进入的流量重新打标识,只配置outputqueue〕视频专网分类和标记视频专网中设备识别业务并实现QoS分类的依据是各种标记字段、端口〔物理端口、逻辑端口和子端口〕、源/目的MAC地址、源/目的IP地址、IP层协议端口、应用层源/目的端口等。使用IPPrecedence、IPDSCP、和802.1p等字段标识QoS等级。IPPrecedence、802.1p等字段均为3位8个等级，IPDSCP那么有8位64个等级。使用IPDSCP的前三位来标识8个等级，后三位均设为0。以上几个字段标识的对应关系如下：IPPrecedenceIPDSCP802.1p000181216232434324540564867567对IP分组在IPPrecedence字段上做标记，以便于与其它标记字段之间进行相互转换，并兼容仅支持IPPrecedence的设备。对于仅支持IPDSCP的设备，要求按照以上图表在IPDSCP字段上做相应的标记。不对CE路由器、交换机实施标记分类和队列调度。QoS部署策略会聚层部署1. 启用队列调度机制和拥塞防止机制，按照调度策略进行设置2. 只对out方向的流量进行队列调度、对in方向的流量不进行队列调度3. 对PQ进行限速，按队列不同限速80%-90％4. 核心路由不直接连接用户、所以不需要标记和分类 接入层部署5. 启用队列调度机制和拥塞防止机制，按照调度策略进行设置6. 在入端口对用户数据流量进行标记、分类7. 只对out方向的流量进行队列调度、对in方向的流量不进行队列调度8. 对PQ进行限速，按队列不同限速80%-90％9. 选择性的对入端口对某些公众用户数据流量进行限速。QoS平安QoS都是通过QoS标记来识别等级，保证相应等级的效劳质量。平安的关键是防止QoS标记误打，漏打，低等级业务非法打上高等级标记或利用高等级流量实施平安攻击。针对这些平安问题，采取如下措施：1. 对于不信任的其他网络〔如其它客户〕，去除其进入公安视频专网网的QoS标记，再打上相应等级的标记。2. 原那么上使用端口〔物理端口、逻辑端口和子端口〕实现业务分类和等级标识，但从业务开展的灵活性角度出发，可以考虑在跨域QoS或对用户内部流量进行区分时使用IP地址或应用层端口号，但对这样的业务要求实施限速。3. 绝对优先级仅开展内部业务。仅在指定Access端口才能打上绝对优先等级标记。在提供充足的预留带宽后，对绝对优先等级实施限速，以防止该等级饿死其他等级。网络平安性设计从体系结构来看，平安体系是一个多层次、多方面的结构。我们通过对天津市视频监控网络平台所面临的平安状况的分析，将整个视频监控网的平安性在总体结构上分为四个层次：网络层平安、应用层平安、系统层平安和管理层平安。网络层平安是指在网络的下三层(物理层、链路层、网络层)采取各种平安措施来保障网络平台的平安；应用层平安是指通过利用各应用系统和数据库自身的平安机制，在应用层保证对网络上所承载的各种网络应用系统的信息访问合法性；系统层平安主要是通过对操作系统的平安设置，防止不法分子利用操作系统的平安漏洞对网络构成平安威胁；管理层平安主要是从网络所涉及的各分局和各派出所各级网络用户内部平安管理和计算机病毒防范两方面来保障网络的平安。骨干网平安设计核心交换机支持冗余的管理模块、冗余的电源模块、各种模块热拔插等平安稳定保障技术。实时检测CPU的使用状态，并提供业界领先的硬件CPU保护技术〔CPP，ControlPlanePolicy〕，CPP技术对发往CPU的数据进行流区分和流限速，防止非法攻击包对CPU的攻击和资源消耗。采用硬件方式提供多种平安防护能力，例如防DoS攻击、非法数据包检测、数据加密、防源IP地址欺骗等等，防止了传统软件实现方式对整机性能的影响。核心交换机提供业界最为强大的ACL特性，基于SPOH技术提供IP标准、IP扩展、MAC扩展、时间、专家级等丰富的ACL技术，支持IPV4/IPV6双栈下的输入输出ACL。提供线卡分布式的IPFIX监控技术，及时发现网络中的异常流量，有助于提早发现网络中病毒和攻击等不平安行为，并通过流量监控技术提供的详细异常流量数据信息，识别攻击源或攻击手段。核心交换机支持同时启用多组的多端口同步监控技术，并且支持灵活的输入、输出、双向数据镜像，满足灵活的网络监控需求，提升网络监控能力。接入网平安设计各局端所配置的千兆接入交换机支持IP＋MAC＋端口绑定，通过在一个端口下绑定指定用户的IP与MAC：1〕可以有效的防止