智慧安监项目基础网络建设方案

智慧安监项目基础网络建设方案系统概述“智慧安监”项目依托XX市现有政务外网，统一对涉及安全生产的各类专网、3G网络和私有网络等，进行整合接入，实现全市各个安全生产领域和单位信息的交互共享，真正实现在一张网上融合各类安全生产数据和视频信息的互联互通，提供跨越空间、时间和部门限制的沟通和协作渠道。根据中办发[2002]17号文件中明确规定的政务网络平台建设规定。政务外网与政务内网物理隔离，与互联网逻辑隔离，主要用于运行政务部门不需要在内网上运行的业务和政务部门面向社会的专业性服务，为政务部门的业务系统提供网络、信息、安全等支撑服务，为社会公众提供政务信息服务。国家电子政务外网总体框架图6105国家政务外网总体框架根据国家政务外网所承载的业务和系统服务的类型的不同，在逻辑上，国家政务外网划分为专用网络区、公用网络区和互联网接入区三个功能域，分别提供专用VPN业务，政务外网互联互通业务和互联网业务。图6106国家政务外网逻辑区域划分图公用网络区：即采用国家政务外网注册地址（59地址）的网络区域，是国家政务外网的主干道，实现各部门、各地区互联互通，为跨地区、跨部门的业务应用提供支撑平台；国家政务外网承载网只路由国家政务外网注册地址。专用网络区：是依托国家政务外网基础设施，开辟地为有特定需求的部门或业务设置的VPN网络区域，实现不同部门或不同业务之间的相互隔离，VPN业务主要为少数中央部门的敏感数据传输提供安全通道。中央级政务外网采用MPLSVPN技术将敏感业务数据与其他数据安全隔离，用于满足“自上而下”及“自下而上”的业务需求，为中央政务部门与各省、市、自治区相关部门的互联互通提供安全通道。该区域主要采用私有地址，在骨干网上采取标签进行交换。互联网接入区：是各级政务部门通过逻辑隔离安全接入互联网的网络区域，满足各级政务部门利用互联网的需要。同时也是移动办公的公务人员通过数字证书认证，安全接入政务外网的途径。在互联网接入区，采取了综合的安全防护措施，采用防火墙系统、入侵防御系统和网络防病毒系统，对互联网接入业务提供一定的安全防护。中央和地方分级出口，中央政务外网采取BGP协议与主要运营商进行互联，为中央部门单位提供互联网业务服务，各地政务外网自行出口，采取NAT技术，通过静态路由连接本地互联网。国家政务外网主干网不路由互联网业务业务用户XX市“智慧安监”通过网络服务的对象在市一级具体涉及市安监局、质监局、住建局；在区县一级主要涉及集聚区管委会。表6-59公共信息化基础用户表序号用户类别业务操作备注1安监局1、通过政务外网，对全市安全生产领域的视频、数据等信息的获取；2、安监指挥中心对安全生产领域的网络监管和安监局业务应用系统信息传输。2质监局1、质监局通过政务外网和互联网对气瓶、电梯等的安全状态监管。3住建局1、住建局通过政务外网和互联网对建筑工地人员进出的监管和审查。4集聚区管委会1、通过政务外网，对集聚区安全生产领域的视频、数据等信息的获取；2、集聚区指挥中心对安全生产领域的网络监管和安监局业务应用系统信息传输。业务功能满足“智慧安监”各个业务应用和部门间的信息传输XX市政务外网承载各个职能部门之间的信息传输和交互共享，数据、视频、语音业务的统一融合。“智慧安监”建设根据XX市现有政务外网状况，将采用联通、移动、电信建设，并涉及安全生产的3G视频信息和定位信息，统一通过现有互联网网络出口传输到市政务外网，为“智慧安监”各类业务系统提供详实可靠的实时信息。满足“智慧安监”的各个领域的核心业务信息系统正常运行所需的基础网络支撑环境，使涉及“智慧安监”的各个政务部门和企事业单位能够在统一的市政务外网平台上能够实现不同行业、不同部门以及不同业务之间受控互访和隔离，推动安全生产领域各个业务部门的互联互通和3G移动网络的统一接入，提高安全生产业务应用的覆盖面和资源的共享性，有序建设、合理配置技术设施和资源，使之更好地满足各项应用需求。提供“智慧安监”前端感知接入网络环境构建起与政务外网逻辑隔离的安全生产感知网，主要用于对对各类专网（交通专网、“天眼”视频专网等）和私有网络（涉及安全生产企业的监测和视频等）的互联互通，实现全市安全生产领域的视频、传感器等感知前端的统一整合接入，便于安全生产领域的前端感知信息接入实时采集到市政务外网，实现“智慧安监”的信息交互共享和数据的挖掘应用。技术方案本次建设的网络遵循“四分”的原则：网络分散、节点分层、服务分级、应用分组，并采取各种先进的网络技术，确保各类业务支撑环境的高效、安全、可扩展。图6107XX市“智慧安监”网络架构图分层式网络比其它网络模型有更佳的可扩充性。分层式网络是以各个独立的模块所组成，每个模块间都有其特定的职司，就因为他们的设计是模块化的，要做网络扩充时就只是在现有的网络加入新的模块。因为是模块化的网络，管理上比较容易。这种分层式的概念在网络设计时可提高效能及降低成本。网络层次化的设计方案和原则：采用了层次化、模块化的设计方法，使得整个网络系统在安全性、服务等级、服务内容上更具层次化。网络设计中，应采用层次化的网络设计方法，保证网络设计的规范性、完整性和便于网络将来的管理和扩展。网络的层次化设计方法把网络设计分为三个部分：核心层交换机：是网络的骨干，它的主要功能是尽快交换数据包。由于核心层是网络的心脏，所以它必须是冗余的、可靠的并且与网络中的任意目标地址都保持连通性。由于核心层中数据包交换必须是快速的，所以网络中该部份必须限制并尽可能避免数据包过滤与策略路由。这是因为这些功能会降低数据包处理的效率，同时对核心交换机的性能造成冲击。下列事项是在设计核心层时必须考虑的：设计高可靠性的核心层设备，同时考虑容量升级的简易性。考量速度问题，核心网络需要很小延迟或者固定的延迟。汇聚层交换机：通常是由边缘到核心或从核心到边缘的数据量聚合点。同时，它也能控制并将网络边界的不稳定性与核心隔离开来。在核心层时，强调的是速度，而在汇聚层，则是强调控制。接入层交换机：用于实现用户终端设备与汇聚层的互连，在接入设备中必须采用数据包过滤以及安全策略来保证网络内所有设备不会受到攻击。另外，本层可控制使用者与群组对网络资源的使用。在这一层中所包含的部份功能如下：从汇聚层延伸下来的存取控制与网络政策建立不同区段的碰撞领域进入到分布层的群组连接市本级政务外网延伸本次建设根据“智慧安监”的业务需求，在XX市本级充分利用现有网络基础的前提下，整合联通、电信、移动的3G网络，在涉及安全生产的横向部门、网络间实现高速互联，进而实现安全生产领域各部门之间信息快速安全传递和资源共享，延伸市政务外网到安全生产领域，服务“智慧安监”的业务应用。核心层设计核心交换网是整个电子政务业务运行平台的高速公路，为此核心交换网建设的好坏将直接影响整个系统的运行效率。核心层：本次“智慧安监”建设借助现有市电子政务外网的核心网络，实现安全生产领域的视频、数据等信息的快速交换处理。汇聚层设计汇聚层是网络接入层和核心层的“中介”,就是在工作站接入核心层前先做汇聚,对同类接入业务进行汇聚，以减轻核心层设备的负荷。图6108网络逻辑拓扑示意图汇聚层:本次“智慧安监”采用电子政务中心现有汇聚设备，实现安全生产领域的视频、数据、语音等信息的汇聚。接入层设计接入层是实现感知前端、安全生产企事业单位等前端节点的连接，由于点位数量较多，在满足端口需求的同时，需要制定相应的层次化Qos，业务VLAN划分策略能够降低接入层对上层造成的数据冲击。接入链路带宽根据接入业务的不同，选择不同带宽，避免带宽资源浪费。图6109市级接入层设计图数据中心接入交换机：作为“智慧安监”业务交互计算的接入网络设备，满足数据中心的业务数据交互要求，并为后续计算资源、存储资源、视频会议服务等提供足够的带宽容量。互联网出口设计XX市政务外网网络出口采用电信网络访问互联网，带宽为2000M,在现有网络出口基础上，对采用联通、移动3G的安全生产管理终端设备实现对接及平台间信息共享，满足3G视频资源调用等高带宽要求的业务。在政务外网现有网络出口基础上增加移动、联通互联网的接入，并依托现有安全设备实现不同VPN、网络的接入，保证市政务外网的网络出口安全和信息的安全传输。网络管理系统采用现有的网管系统实现对政务网络设备和IT设备的统一管理。安全生产感知网建设根据“智慧安监”的视频整合业务需求，充分利用现有政务外网网络基础的前提下，构建安全生产感知接入网，用于整合交通、天眼等各类专网和安全生产企事业单位私有网络的视频感知信息，在涉及安全生产领域的横向网络间实现高速互联，并通过网络交换平台为政务外网提供视频源，进而实现安全生产领域各部门之间信息快速安全传递和资源共享。图6110安全生产感知网部署图市本级安全生产感知接入网设计安全生产感知接入网，是实现视频感知前端、安全生产企事业单位等前端节点的连接，由于点位数量较多，在满足端口和带宽需求的同时，网络设计采用千兆网络应用环境，并提供未来扩充到万兆的升级需求。考虑到各类专有网络（交通专网、“天眼”视频专网）和私有网络（企业的监测和视频网络）的视频、传感器等感知设备的信息接入，通过安全交换系统，统一接入专有网络（交通专网、“天眼”视频专网）和私有网络（企业的监测和视频网络）的安全生产信息，构建与市政务外网隔离的安全生产前端感知接入网，新增业务和行业的接入设备用于各类前端业务的整合接入，保证政务外网的接入安全。集聚区安全生产感知接入网依托全市的政务外网架构,实现集聚区安全生产领域的3G（电信、联通、移动）视频、定位等信息的统一接入。通过建立集聚区1000M安全生产感知接入网，实现专网和私有网络（企业的监测和视频网络等）视频、传感器等感知前端的视频、定位等信息接入,通过网络安全交换平台，汇聚到集聚区的网络设备，并上联到市政务外网的核心网络。集聚区前端感知接入层：考虑到视频、传感器等感知设备的接入，构建满足集聚区安全生产建设需要的的前端感知接入层网络设备，对前端感知业务数据进行快速、有效的传输交换，统一归集到全市的政务外网一张网中。集聚区政务外网升级集聚区政务外网承载着下属部门及相关单位，以及集聚区“智慧安监”中各系统的业务应用相互间的贯穿任务，为集聚区提供网络、信息、安全等支撑服务,促进集聚区业务应用系统的互联互通、资源共享，为社会公众提供便捷的政务信息服务。集聚区政务网需要承载语音、视频、数据等各类业务，集聚区现有百兆带宽无法满足视频业务的使用，因此需要将集聚区目前的政务网骨干网络升级至千兆骨干以太网，同时对现有网络设备升级改造，满足后续发展需要，保障后续网络安全稳定。集聚区本级：对集聚区政务网汇聚层依托现有市政务网的千兆骨干网络，连接到市政务外网的核心网络，同时支持未来万兆带宽上联到市核心节点和满足集聚区“智慧安监”的视频、数据等业务的下联千兆传输网络环境要求。集聚区各政务部门及企事业单位：通过裸光纤连接到集聚区汇聚交换机，对集聚区各个政务部门的业务应用实现千兆网络传输环境，实现至集聚区各类安全生产的视频、数据等信息汇聚的1000M接入。集聚区政务外网是XX市政务网的重要组成部分，是依托于市政务外网骨干网络，在集聚区区域对相关的政务部门和企事业单位的政务网系统进行升级改造，以适应未来业务以及“智慧安监”运行的需要。集聚区汇聚层设计为了更好的集聚区各业务的稳定运行，政务外网的设计充分考虑了设备冗余、链路冗余和路由冗余，能够保证在设备或者链路单点故障时不会影响业务的正常开展，保证网络具有故障自愈的能力，最大限度地提升网络自身的可靠性。集聚区汇聚节点拟采购2台设备,原有集聚区汇聚设备利旧为接入设备，对汇聚交换机进行堆叠虚拟化设计，采用两台设备虚拟化为一台设备使用，整个网络结构清晰，网络设备之间天然无环，避免了部署防环协议的困难。图6111虚拟化建立后网络逻辑拓扑新增汇聚设备之间的互联链路设计采用千兆光纤链路，以保证集聚区政务网络的无阻塞转发;汇聚节点间采用千兆链路捆绑，以充分保证节点之间的高带宽，满足集聚区政务外网网承载语音、视频、数据等多种业务的需求。集聚区接入层设计接入层负责集聚区政务部门、企事业单位的连接，由于数量较多，在满足端口需求的同时，需要制定相应的层次化Qos，业务VLAN划分策略能够降低接入层对上层造成的数据冲击。政务部门一级采用三层交换机作为节点交换机，企事业单位的接入交换机根据地域划分接入到不同三层区域交换机。接入链路带宽根据接入业务的不同，选择不同100M或1000M带宽，避免带宽资源浪费。图6112集聚区接入层设计图集聚区服务器群接入层：构建接入交换机作为业务交互计算核心，单独使用三层交换机，和汇聚交换机之间采用2根光纤千兆互联，满足业务数据交互要求，并为后续政务桌面云、政务服务等提供足够的带宽容量。系统配置表6-60公共信息化基础配置表序号产品名称技术描述（实现的功能）和基本配置（参数）单位数量备注一基础网络1应用软件2硬件采购2.1市政务外网延伸2.1.1安监局服务器接入交换机20千兆SFP;4千兆Combo;双电源;光模块-eSFP-GE-单模模块(1310nm,10km,LC)*12台42.1.2安监局指挥中心交换机20千兆SFP;4千兆Combo;双电源;光模块-eSFP-GE-单模模块(1310nm,10km,LC)