广电网络方案.docx
《广电网络方案.docx》由会员分享,可在线阅读,更多相关《广电网络方案.docx(28页珍藏版)》请在冰点文库上搜索。
广电网络方案
1.1网络设计方案
此次选择租用天津广播电视网络有限公司供给的链路
天津广播电视网络有限公司在长久的天津市有线电视、数字电视和数据链路专网及互联网服务过程中,累积了丰富的网络资源和人材资源,而且成立了完美的光缆施工保护、网络设备安装调试和保护队伍,并建设了成熟的网络管理平台。
公司下辖19个分公司、3个维修分部、一个一致客服平台,有超出2000名正式职工。
并有数十个工程建设队伍和特意的网络服务销售商和网络保护代理商。
十年来,天津广电在数据业务市场上承载了天津市视频监控网数据传输、天津市交通管理局智能交通项目、天津市医保社保联网、天津市检察院联网等等大批的政府和企事业单位的联网数据传输。
设计要求
保证该项目中所有视频监控点位和电子卡口点位的所有前端设备有效联入
全市视频监控网,每个前端监控杆供给不低于100M带宽并知足实质需求。
设计原则
1、GA/T669-2008《城市监控报警联网系统系列标准》
2、GB50348-2004《安全防备工程技术规范》
3、GB50395-2007《视频安防监控系统技术要求》
4、GB50394-2007《入侵报警系统技术要求》
5、GB50198-1994《民用闭路监督电视系统工程技术规范》
6、GA/T74-2000《安全防备系统通用图形符号》
7、GB16796《安全防备报警设备安全要乞降试验方法》
8、GB/T20271-2006《信息安全技术信息系统通用安全技要求》
9、GA/T379-2002《报警传输系统串行数据接口的信息格式和协
议》
1/20
10、YD/T1171-2001《IP网络技术要求--网络性能参数与指标》
11、GA/T75-94《安全防备工程程序与要求》
12、GAT496-2009《闯红灯自动记录系统通用技术条件》
13、GAT497-2009《公路车辆智能监测记录系统通用技术条件》
14、GAT832-2009《道路交通安全违纪行为图像取证技术规范》
15、GA/T367-2001《视频安防系统技术要求》
16、GA/T509《公安交通电视监督系统查收规范》
17、GB50057-94《建筑物防雷设计规范》
18、GB50343-2004《建筑物电子信息系统防雷技术规范》
19、JGJ/T16-92《民用建筑电气设计规范》
网络拓扑构造图
设计方案
天津广播电视网络有限公司自2003年开始即参加天津市视频监
2/20
控网规划、设计、试点和建设工作,广电网络公司以当时先进、现已成熟的MPLSVPN设备平台为基础进行了长久建设,现已成为天津市视频监控网络链路的骨干网。
综合剖析该项目需求,我们建议持续采纳成熟、安全、稳固、靠谱、带宽资源丰富的MPLSVPN技术方案进行后继项目建设。
1.1.4.1链路方案综述
视频监控网以点位数目多、散布范围广,技术、设备种类多、所有者种类多为特色。
天津市公安局为此进行了编码设备和传输设备标准化,已能够一致进行网络传输、储存和办理。
依据本次项目招标要求,我公司的网络链路拓扑图以下列图:
方案重点说明以下:
1.依靠广电网络公司的大容量MPLSVPN骨干网、汇聚网进行承载,该网络采纳两级路由架构,架构简短合理,以双10Gbps链路双归
3/20
上联实现保护,安全、靠谱;
2.为进一步提高安全性、稳固性以及缩短故障倒换时间,我公司
MPLSVPN网络由OTN网络承载,实现骨干、汇聚链路倒换50ms的电路级别标准;
3.供给1000条MPLSVPN链路并知足视频监控网视频监控点1000
点联网链路传输需求;
4.接入网介质均为光纤,使用广电网络的MSAP平台或许光纤收发器+互换机作为接入平台,每个接入点带宽为100Mbps;针对某些特许需求点位,具备升级带宽至1000Mbps的能力;
5.与骨干网的对接:
因视频监控网骨干依靠于广电网络的MPLSVPN平台,招标中指定的所有点位就近直接接入广电网络的远端机房、二级分中心或许一级分中心计房进行汇聚。
6.而后依据天津广电网络的网络路由状况在广电机房内直接接入
(已建)的MPLSVPN平台,既已达成与视频监控网骨干网的连结;鉴于视频监控网骨干的分层稳固成熟架构,此种接入方式省去了多营运商对接过程中产生的诸多问题,更为迅速便利,不会对现网的运转环境造成影响;
7.网络路由规划状况:
本次整合点接入方案路由规划,依据天津广电网络多年在天津视频监控网项目上的实践经验,详细路由规区分为三层:
接入层、汇聚层、骨干层。
1)接入层:
接入层路由状况依据前端需重点位地点,就近接入天津广电
4/20
网络远端机房,每个前端点位接入介质均为光纤,接入带宽不小
与100Mbps,而且能够依据实质状况进行相应升级;;
2)汇聚层:
汇聚层依据天津广电网络机房路由规划,将汇聚机房内部下的远端机房所接入的点位进行汇聚;
3)骨干层:
依据天津广电网络网络状况,汇聚层机房内已部署天津广电
网络MPLSVPN平台(天津视频监控网骨干),汇聚节点在机房
内直接接入视频监控网骨干。
8.供给带宽为10GE光纤链路与集中储存中心进行接入,将项目中所有点位视频信号传输到集中储存机房进行储存。
9.MPLSVPN平台现有足够的带宽预留,依据现有运转状况和本项目特色,视频监控网骨干在增添本项目所需带宽后在应用中不会产生带宽瓶颈。
在此后再增添带宽需求并将产生瓶颈,我公司可安排以1G或10G为单位升级平台骨干带宽或某地区接入带宽。
1.1.4.2与视频监控骨干网对接说明
与骨干网的对接:
因视频监控网主骨干依靠于广电网络的
5/20
MPLSVPN平台,招标中指定的所有点位就近直接接入广电网络
的远端机房、二级分中心或许一级分中心计房进行汇聚。
而后依据天津广电网络的网络路由状况在广电机房内直接接入(已建)的MPLSVPN平台,既已达成与视频监控网骨干网的连结;鉴于视频监控骨干的分层稳固成熟架构,此种接入方式省去了多营运商对接过程中产生的诸多问题,更为迅速便利,不会对现网的运转环境造成影响;
1.1.4.3有关网络资源、网络平台说明及优势
1、网络资源
天津广电网络覆盖天津市所有行政地区,在机房和光缆资源上以市级核心、区县一级中心、区县内二级分中心、远端机房构成四级网络资源架构。
目前拥有三个核心计房,19个一级分中心(原19个行政区县),约200个二级分中心(市内六区每区4-6个,其余区县的每镇1个二级分中心),近1000个远端机房(每个二级分中心均匀带
5个远端机房,并仍在扩建)。
机房间光缆均采纳大芯数缆,接入光缆
一致由远端机房出局。
优势:
网络基础设备丰富、构造合理。
经多年建设,现有远端机
房均匀覆盖半径1-2公里,已特别方便达成各种企事业单位的各种接
入需求。
接入光缆遍及各小区、交通路口、建筑、企事业单位等,光
缆资源极其丰富。
6/20
2、网络平台
1)MPLSVPN平台
a)MPLSVPN技术介绍
MPLS(multi-protocollabelswitch)是Internet核心多层互换计算
的发展。
MPLS将转发部分的标记互换和控制部分的IP路由组合在
一同,加速了转发速度。
MPLS技术供给了近似于虚电路的标签互换
业务,这类鉴于标签的互换能够供给近似于帧中继、ATM的网络安
全性。
MPLSVPN一般采纳下列图所示的网络构造。
此中VPN是由若干
不一样的site构成的会合,一个site能够属于不一样的VPN,属于同一VPN的site拥有IP连通性,不一样VPN间能够有控制地实现互访与隔
离。
有关于传统的VPN技术来说,MPLSVPN能够实现基层标签自动的分派,在业务的供给上比传统的VPN技术更低价,更迅速。
同
时MPLSVPN能够充分的利用MPLS技术的一些先进的特征,比方说MPLS流量工程能力,MPLS的服务质量保证,联合这些能力,
MPLSVPN能够向客户供给不一样服务质量等级的服务,也更简单实现
跨营运商骨干网服务质量的保证。
MPLSVPN还能够向客户供给传统鉴于路由技术VPN没法供给的业务种类,比方像支持VPN地点空间复用。
关于MPLS的客户来说,营运商的MPLS网络能够供给客户需要的安全体制,以及组网的能力,VPN基层连结的成立、管理和保护主要由营运商负责,客户运
7/20
营其VPN的保护和管理都将比传统的VPN解决方案简单,也减低了
公司在人员和设备保护上的投资和成本。
鉴于MPLS的VPN能够作为传统的鉴于二层专线的VPN、纯三
层的IPVPN和地道方式的VPN的代替技术。
b)广电网络MPLSVPN平台
2011年我公司采纳业界高端路由器达成了MPLSVPN骨干网、
汇聚网扩容,网络平台拓扑图以下。
蓟县
宝坻
武清
北辰
河
核心1
核
红桥
心
南开
2
西
和平
河北
河东
塘沽
大港
西青
汉沽东丽津南
静海
接入互换机用户
新的MPLSVPN网络平台采纳两级网络架构,架构简短合理。
二级网络为汇聚层,从区内各二级分中心的MPLSVPN接入路由器
以双归路由链路的方式上联至本区和相邻区的两个区一级分中心
8/20
MPLSVPN汇聚路由器。
在业务重点区采纳2x10Gbps链路带宽上联,在一般区采纳2x1Gbps链路带宽上联。
一级网络为骨干层,从各区的一级分中心汇聚路由器以双归路由链路的方式上联至网络的两个核心层路由器,骨干层链路带宽为2x10Gbps。
特色和优势:
两级网络架构,架构简短合理;
各层均采纳链路双归上联实现链路保护,安全、靠谱;
采纳分区、分层双归架构,同时骨干和重点区采纳2x10Gbps带宽链路连结,使网络拥有超大容量承载能力。
别的,为进一步提高安全性、稳固性以及缩短故障倒换时间,我公司MPLSVPN网络由OTN网络承载,进而实现了骨干、汇聚链路故障恢复时间50ms的电路互换级别标准,是一个特别稳固的数据传输平台。
2)OTN平台
OTN(光传输网络)定位为基层传递网络,为各样业务网络供给基层传递功能,包含:
MPLSVPN网、宽带网、视频承载网以及区县
MSAP与上一级网络间的互联。
同时供给大颗粒业务接入能力。
OTN的核心技术:
DWDM密集波分复用,鉴于光波分通道的网络平台。
ASON自动互换光网络,实现所承载业务的自动调动。
广电网络OTN架构
9/20
OTN网络骨干为两级构造,经过多个主环建立成连结各区的一
级环形骨干网,在每个区内也是经过环形组网形式组建二级骨干网。
核心、骨干、汇聚层设备为目前国内顶级,具备Tbit容量,80个波长的承载能力,带宽为80x10Gbps。
具备电交错功能,链路最小封装颗粒以及交错调动颗粒为ODU0(1Gbps)。
特色和优势:
经过多种组网保护形式,供给全网范围的50ms自愈保护,进而为用户服务打下优秀的技术保障基础。
3)接入平台
光纤收发器+互换机接入平台:
2012年从前大批使用的接入方式,现正在使用MSAP平台代替该
平台。
MSAP接入平台:
10/20
MSAP实质上是MSTP技术和分组互换技术在接入层交融的一种
产品形态,主要有汇聚端的设备和远端设备构成,合用于接入层多场
景下中、小颗粒业务的汇聚和端口的复用。
即可上联ASON、MSTP网
络,也可上联互换机、路由器平分组互换网络。
向下即能够接入标准
的PDH、SDH等设备如E1设备,同时也供给10/100/1000Mbps以太网数据接入。
在实质组网应用中,MSAP合适用于大客户接入、小型基站及室内散布系统的接入。
MSAP的功能构造:
MSAP平台采纳SDH/MSTP内核,继承了SDH/MSTP的交错连结、VC映照、以太网业务在电路容器上的承载和级联、成环和保护倒换等功能,同时,依据边沿网络大客户接入的特色和网络的现
状,交融了PDH复用/解复用、以太网协议变换、V.35协议变换等技术,具备灵巧的接入功能,可承载目前边沿接入网的多种业务。
MSAP的主要特色
综合接入;
局端为一致平台,经过远端设备的不一样形态表现差别化接入能力,
支持PDH等现有接入网设备、SDH/MSTP设备以及分组互换网络设
备在网络中同时接入。
接入灵巧;
采纳模块化构造,后期业务扩容或新客户接入只要经过网管配置
或搁置相应远端便可实现。
且能够支持环形、链形、星形等多种组网
拓扑,应用灵巧。
11/20
靠谱性高
供给多种保护方式,如1+1保护、SNCP保护、线性MSP保护、
电源热备份等,保证了客户业务的靠谱性。
MSAP系统网络地点和参照模型
MSAP多业务接入平台是集协议变换器、光端机、光纤收发器、
XDSL于一体的大用户多业务专线接入平台,因此MSAP作为尾端接
入系统,能够向用户供给E1/V.35租用线和专线业务以及以太网专线
业务,经过SDH接口或以太网接口与SDH/MSTP传递网或IP城域
网相连;经过E1、10/100/1000BASE-T接口或V.35接口和客户设备
相连。
以下列图所示:
MSAP系统网络地点图
12/20
网络靠谱性设计(QoS实现策略)
1.1.5.1概括
QoS规划:
选择DiffServ系统架构,不相信其余Diffserv域的标记,在入
端口进行从头标记。
业务等级规划:
公安专网定义8个标记,7个业务等级。
调动和丢包策略:
行列调动采纳PQ(优先级调动算法Priority
Queueing)加WRR(加权轮循算法WeightedRoundRobin,WRR)的
方式,并对PQ进行限速,依据等级不一样限速不一样,网管行列分派5%
的带宽,其余行列的带宽分派依据实质业务流量模型决定。
限速和整形:
在进口依据协讲和规划进行限速。
Trunk的QOS配置要在物理接口长进行配置。
采纳默认的逐流方
式。
1.1.5.2视频专网QoS要求
QoS业务等级规划
业务等级
展开的业务
标记
QoS策略
金业务
平台SIP
协
7,6
高等级行列,带宽保证
议、无线传输
值为(CIR)5%,PIR为80%
预留
5
高等级行列,带宽保证
值(CIR)为10%,PIR为90%
银业务
视频监控管理
4
高等级行列,带宽保证
平台业务数据
值(CIR)为60%,PIR为90%
13/20
预留
3
低等级行列,带宽保证
值为8%,,PIR为90%
一般视频监控
2
低等级行列,带宽保证
铜业务
值为12%,,PIR为40%
点视频
预留
1
低等级行列,带宽保证
值为4%,PIR为40%
预留
0
低等级行列,带宽保证
值为1%,,PIR为40%
所有P设备的接口配置
output
queue和trust
upstream
default
。
所有PE设备的接口配置
output
queue和trust
upstream
default
。
(和CE连结的接口,会对进入的流量从头打表记
只配置
outputqueue)
视频专网分类和标记
视频专网中设备辨别业务并实现QoS分类的依照是各样标记字
段、端口(物理端口、逻辑端口和子端口)、源/目的MAC地点、源/
目的IP地点、IP层协议端口、应用层源/目的端口等。
使用IP
Precedence、IPDSCP、和802.1p等字段表记QoS等级。
IPPrecedence、
802.1p等字段均为3位8个等级,IP
DSCP则有8位64个等级。
使
用IPDSCP的前三位来表记
8个等级,后三位均设为0。
以上几个字
段表记的对应关系以下:
IPPrecedence
IPDSCP
802.1p
0
0
0
1
8
1
2
16
2
14/
20
3
24
3
4
32
4
5
40
5
6
48
6
7
56
7
对IP分组在IPPrecedence字段上做标记,以便于与其余标记字段之间进行互相变换,并兼容仅支持IPPrecedence的设备。
关于仅支持IPDSCP的设备,要求依照以上图表在IPDSCP字段上做相应的标记。
不对CE路由器、互换机实行标记分类和行列调动。
1.1.5.3QoS部署策略
汇聚层部署
1.启用行列调动体制和拥堵防止体制,依照调动策略进行设
置
2.只对out方向的流量进行行列调动、对in方向的流量不进行行列调动
3.对PQ进行限速,按行列不一样限速80%-90%
4.核心路由不直接连结用户、因此不需要标记和分类接入层部署
5.启用行列调动体制和拥堵防止体制,依照调动策略进行设
置
6.在入端口对用户数据流量进行标记、分类
7.只对out方向的流量进行行列调动、对in方向的流量不进
15/20
行行列调动
8.对PQ进行限速,按行列不一样限速80%-90%
9.选择性的对入端口对某些民众用户数据流量进行限速。
1.1.5.4QoS安全
QoS都是经过QoS标记来辨别等级,保证相应等级的服务质量。
安全的重点是防备QoS标记误打,漏打,低等级业务非法打上高等级标记或利用高等级流量实行安全攻击。
针对这些安全问题,采纳以下
举措:
1.关于不相信的其余网络(如其余客户),消除其进入公安视频专网网的QoS标记,再打上相应等级的标记。
2.原则上使用端口(物理端口、逻辑端口和子端口)实现业务分类和等级表记,但从业务展开的灵巧性角度出发,能够考虑在跨
域QoS或对用户内部流量进行区分时使用IP地点或应用层端口号,但对这样的业务要务实行限速。
3.绝对优先级仅展开内部业务。
仅在指定Access端口才能打上绝对优先等级标记。
在供给充分的预留带宽后,对绝对优先等级实行限速,以防备该等级饿死其余等级。
网络安全性设计
从系统构造来看,安全系统是一个多层次、多方面的构造。
我们经过对天津市视频监控网络平台所面对的安全状况的剖析,将整个视
16/20
频监控网的安全性在整体构造上分为四个层次:
网络层安全、应用层
安全、系统层安全和管理层安全。
网络层安所有是指在网络的下三层(物理层、链路层、网络层)采纳
各样安全举措来保障网络平台的安全;
应用层安所有是指经过利用各应用系统和数据库自己的安全体制,
在应用层保证对网络上所承载的各样网络应用系统的信息接见合法
性;
系统层安全主假如经过对操作系统的安全设置,防备非法分子利用操作系统的安全破绽对网络构成安全威迫;
管理层安全主假如从网络所波及的各分局和各派出所各级网络用户内部安全管理和计算机病毒防备双方面来保障网络的安全。
1.1.6.1骨干网安全设计
核心互换机支持冗余的管理模块、冗余的电源模块、各样模块热拔插等安全稳固保障技术。
及时检测CPU的使用状态,并供给业界当先的硬件CPU保护技术(CPP,ControlPlanePolicy),CPP技术对发往CPU的数据进行流区分和流限速,防止非法攻击包对CPU的攻击和资源耗费。
采纳硬件方式供给多种安全防备能力,比如防DoS攻击、非法数据包检测、数据加密、防源IP地点欺诈等等,防止了传统软件实现方式对整机性能的影响。
核心互换机供给业界最为强盛的ACL特征,鉴于SPOH技术供给IP标准、IP扩展、MAC扩展、时间、专家级等丰富的ACL技术,支持
17/20
IPV4/IPV6双栈下的输入输出ACL。
供给线卡散布式的IPFIX监控技术,及时发现网络中的异样流量,有助于提前发现网络中病毒和攻击等不安全行为,并经过流量监控技术供给的详尽异样流量数据信息,辨别攻击源或攻击手段。
核心互换机支持同时启用多组的多端口同步监控技术,而且支持灵巧的输入、输出、双向数据镜像,知足灵巧的网络监控需求,提高网络监控能力。
1.1.6.2接入网安全设计
各局端所配置的千兆接入互换机支持IP+MAC+端口绑定,经过
在一个端口下绑定指定用户的IP与MAC:
1)能够有效的防备用户IP地点矛盾和非法用户接入网络。
2)同时还能够防备内网倡始的DoS攻击。
3)能够防备接入用户对互换机自己进行源IP地点不断变化的
SYN恳求攻击。
4)同时也能够防备接入用户对上司的三层互换机和应用服务器
进行源IP地点不断变化的SYN恳求攻击。
经过在各派出所配置的千兆互换机上实行防歹意
升级会员 