1、XXX 省应急指挥平台建设方案XXX 有限公司目 录第 1 章 业务体系 .121.1 应急平台的组织结构 .121.2 应急平台的业务流程 .13第 2 章 总体设计 .132.1 总体目标和职能 .132.1.1 建设的总体目标 132.1.2 建设的主要职能 142.2 设计的原则、依据和标准 .142.2.1 设计的原则 142.2.2 设计的依据及主要标准 152.2.2.1 国家、地方和相关部门的政策、条令、规范和标准 152.2.2.2 现行的国际、国内相关标准及行业规范 152.3 系统总体结构 .15第 3 章 基础支撑系统设计 .173.1 计算机网络系统设计 .173.1
2、.1 网络建设目标 173.1.2 网络系统设计原则 173.1.3 网络建设现状 203.1.3.1 省中心核心节点 213.1.3.2 省中心用户接入节点 223.1.4 系统部署设计 223.1.5 采用主要技术 263.1.6 路由设计 273.1.7 QoS 策略设计 293.2 主机存储与备份系统设计 .343.2.1 主机系统设计目标 343.2.2 主机集群 353.2.3 存储系统设计原则 363.2.4 存储技术介绍 383.2.5 备份方式介绍 413.2.6 存储备份的架构设计实现 423.3 有线通信系统设计 .433.3.1 语音交换系统 443.3.2 自动语音应
3、答 IVR 子系统 .453.3.3 CTI 服务子系统 463.3.4 传真子系统 473.3.5 其他辅助子系统 483.4 数字录音系统设计 .483.4.1 数字录音需求分析 483.4.2 系统组成及实现原理 493.4.3 有线电话录音 493.4.4 无线集群录音 503.4.5 系统容量分析 503.4.6 主要模块 513.4.7 系统主要功能 523.4.7.1 录音台的端口设置功能 523.4.7.2 录音及录音号传送功能 523.4.7.3 录音台的放音功能 523.4.7.4 4、录音系统管理功能 .533.4.7.5 录音文件自动备份功能 543.4.7.6 录音文
4、件的查询 543.4.7.7 重大案事件录音纪录归档 543.4.7.8 录音文件格式的转换 543.5 视频监控系统设计 .543.5.1 系统概述 543.5.2 系统总体设计 553.5.2.1 总体设计目标 553.5.2.2 总体设计思想 553.5.2.3 系统各部份的功能 553.5.2.4 视频监控系统功能 563.5.3 图像监控整合原则 573.6 视频会议系统设计 .593.6.1 需求分析 593.6.2 建设目标 593.6.3 建设原则 603.6.3.1 先进性原则 603.6.3.2 开放性原则 603.6.3.3 可靠性原则 603.6.3.4 全业务兼容原则
5、 613.6.4 遵循标准 613.6.4.1 国家标准 613.6.4.2 系统框架协议 613.6.5 视频会议的概述 623.6.5.1 视频会议的标准 623.6.5.2 视频会议的主流标准 623.6.5.2.1 H.320 标准 .623.6.5.2.2 H.323 标准 .623.6.5.3 H.320 与 H.323 的比较 .633.6.5.4 结论 643.6.6 “新视通”会议系统 643.6.6.1 “新视通”业务简介 .643.6.6.2 系统组网说明 653.6.6.3 投资估算 663.6.7 高清视频会议系统 673.6.7.1 系统总体介绍 673.6.7.1
6、.1 高质量的会议效果 .673.6.7.1.2 极高的会议稳定性 .683.6.7.1.3 良好的兼容性 .693.6.7.2 系统组网方案 693.6.7.3 系统配置 703.6.7.4 投资估算 713.6.7.5 带宽需求统计 713.6.8 方案比较 713.6.9 已建视频会议系统对接 733.6.9.1 标准 H.323 视频会议 .733.6.9.2 H.320/ H.323 混协议视频会议 .733.7 电话会议系统设计 .733.7.1 “会易通” 系统 743.8 大屏幕显示系统设计 .753.8.1 屏显系统概述 753.8.2 显示屏组合模式 763.8.2.1 L
7、CD 多屏拼接模式 763.8.2.2 电视墙显示模式 763.8.3 系统整体结构设计 763.8.4 系统拓扑结构 783.8.5 系统分布图 783.8.6 屏显系统功能 793.8.6.1 显示方式 793.8.6.2 网络信号显示 803.8.6.3 计算机信号显示 803.8.6.4 视频信号显示 813.8.6.5 信号综合处理 813.8.6.6 显示效果及图像拼接 813.8.6.7 系统开放性 823.8.6.8 系统控制 823.8.6.9 可维护性 833.9 移动应急平台设计 .833.10 容灾备份系统设计 .833.10.1 容灾备份系统影响因素 853.10.2
8、 实现容灾备份系统的软件配置 863.10.3 容灾备份系统部署图 87第 4 章 信息资源库设计 .894.1 建设思路 .894.2 建设内容 .894.2.1 基础地理数据库 894.2.2 应急专题数据库 90第 5 章 数据交换平台设计 .925.1 需求分析 .925.2 系统结构 .925.2.1 对各地市县、机构、系统的信息提取 935.2.2 对各地市县、机构的信息传输 945.2.3 中心平台的信息处理 955.3 系统功能 .955.3.1 异构数据交换功能 955.3.2 异构应用系统集成功能 965.3.3 系统管理工具 97第 6 章 综合应用系统设计 .976.1
9、 综合业务管理系统 .976.1.1 应急值守 976.1.2 信息报送 976.1.3 刊物报表 996.2 风险隐患监测预警接入系统 .1006.2.1 目标 1006.2.2 数据接入 1006.2.3 图像接入 1006.3 协同会商辅助决策系统 .1006.3.1 目标 1006.3.2 特点 1016.3.3 系统结构 1026.3.4 系统功能 1026.3.4.1 决策功能 1036.3.4.2 信息汇集 1036.3.4.3 实时视频获取功能 1046.3.4.4 移动指挥功能 1046.3.4.5 突发公共事件管理 1046.3.4.6 协同会商 1056.4 智能预案系统
10、 .1056.4.1 预案制作 1056.4.2 预案管理 1056.4.3 预案专家系统 1056.5 地理信息系统 .1076.5.1 功能结构列表 1076.5.2 基础地图操作 1086.5.3 地图查询与分析 1106.5.4 突发事件定位 1116.5.5 专题图制作与输出 1136.5.6 GPS 车辆跟踪 .1136.5.7 视频监控功能 1156.6 应急资源管理系统 .1156.6.1 目标 1156.6.2 应急资源的分类 1166.6.3 业务体系 1176.6.4 系统功能 1176.6.4.1 应急力量管理功能 1176.6.4.2 应急资金管理管理功能 1186.
11、6.4.3 应急储备物资管理功能 1186.6.4.4 医疗急救机构管理功能 1196.6.4.5 交通运输资源管理功能 1196.6.4.6 紧急避难场所管理功能 1206.6.4.7 应急通讯资源管理功能 1206.6.4.8 救援设备管理功能 1206.6.4.9 其它资源管理功能 1206.6.4.10 应急资源调度功能 1216.6.5 技术路线 1216.6.6 运行机制 1226.7 应急评估系统 .1226.7.1 目标 1226.7.2 系统功能 1226.8 应急培训和演练系统 .1236.8.1 突发事件应急指挥和处理的演练和培训 1236.8.2 对各种突发事件进行仿真
12、模拟 1256.8.3 演练应急预案 1256.8.4 三维系统功能 1266.9 信息发布系统 .1286.9.1 栏目管理 1286.9.2 文档管理 1306.9.3 文档维护 1316.9.4 文档检索 1326.9.5 主题词库管理 1326.9.6 文件访问记录 1326.9.7 历史文件归档保存 1326.9.8 回收站 1326.9.9 文件权限管理 1336.9.10 可视化模版编辑 1336.9.11 网站内容编辑 1346.9.12 网站内容发布 135第 7 章 系统安全设计 .1367.1 安全系统需求分析 .1367.2 系统安全设计思路 .1367.2.1 安全级
13、别定位 1367.2.2 设计原则 1377.2.3 建设设计标准 1387.2.3.1 应用标准 1387.2.3.2 法则和文件 1397.2.4 安全概述 1397.2.4.1 安全风险分析 1397.2.4.2 网络安全需求分析 1407.2.4.3 网络安全建设目标 1417.2.5 安全防范策略 1427.2.5.1 安全管理策略 1427.2.5.2 安全组织策略 1427.2.5.3 安全技术策略 1437.2.6 安全系统设计 1477.2.6.1 网络划分 网络分段 1477.2.6.1.1 技术概况 .1477.2.6.2 身份鉴别 CA 身份认证 1487.2.6.2.
14、1 技术概述 .1487.2.6.2.2 技术要求 .1497.2.6.3 访问控制 入侵检测 1507.2.6.3.1 技术概述 .1507.2.6.3.2 系统结构 .1517.2.6.3.3 技术要求 .1517.2.6.4 安全审计跟踪 漏洞扫描 1517.2.6.4.1 技术概述 .1517.2.6.4.2 技术要求 .1527.2.6.5 网络安全监控 主机审计 1527.2.6.5.1 技术概述 .1527.2.6.5.2 技术要求 .1537.2.6.6 访问控制 防火墙 1537.2.6.6.1 技术概述 .1537.2.6.6.2 技术要求 .1547.2.6.7 备份与恢
15、复 数据备份 1557.2.6.7.1 技术概述 .1557.2.6.7.2 技术要求 .1567.2.6.8 病毒检测与消除 防病毒 1567.2.6.8.1 技术概述 .1567.2.6.8.2 技术要求 .1577.2.6.9 环境安全 机房监控 157第 1 章 业务体系1.1 应急平台的组织结构省级应急平台的组织结构如下图所示:1.2 应急平台的业务流程省级应急平台省级专项指挥部地市 ( 县 ) 应急平台市级专项指挥部应急处置力量反馈反馈抄送专业监测系统反馈反馈反馈反馈反馈突发应急事件军队 、 武警联动协调国务院应急平台上图为省级应急平台的整体业务流程,在整个业务流程中有 2 条主线
16、,一条是政府应急平台,一条是专项指挥部。在发生突发应急事件的时候,由地市(县)专项指挥部负责接警。市级专项指挥部在接到报警信息时,一边上报地市(县)应急平台,同时向上一级专项指挥部报告。地市(县)应急平台在接到突发事件信息时,判断突发事件的等级,对于一般和较大的突发事件不再继续上报,就地协调专业部门处置解决;对于特大和重大应急事件,上报省级应急平台,省省级应急平台根据需要,一边上报国务院应急平台,一边协调各单位、各部门共同处置突发事件。第 2 章 总体设计2.1 总体目标和职能2.1.1 建设的总体目标在整合和利用城市现有条件的基础上,采用现代信息等先进技术,建立高度智能化的 XXX 省级应急
17、平台,具体包括: 与国务院应急平台对接; 与地市(县)应急平台对接; 与专业应急平台对接; 整合全省各类应急信息与应急资源; 完善的业务系统。通过电信网络,与全省各已建成的应急平台联网,实现信息共享、统一协调、辅助决策,同时加快建设其他各级应急平台,最终实现覆盖全省应急网络。2.1.2 建设的主要职能省级应急平台是国家和省应急平台体系的重要组成部分,与国务院应急平台、省级专业应急平台、地市应急平台互通互联,具有国务院应急平台相应功能。主要功能有: 通过与专业应急平台互联,利用专业部门监测网络,对突发公共事件隐患进行动态监控,特别是掌握重大危险源、关键基础设施和重要防护目标等的空间分布和运行状况
18、分析; 整合全省的应急信息及应急资源; 指挥、协调各专业部门,地市应急平台协同处置特别重大和重大突发事件; 信息发布与通告; 事后评估总结2.2 设计的原则、依据和标准2.2.1 设计的原则XXX 省应急平台建设工程是一项结构复杂、技术难度较大、功能强、涉及面广的信息建设工程,为确保工程达到预期的目地,工程建设应遵循实用性、可靠性、经济性和先进性的基本原则,具体体现在: 系统建设应遵循“整体布局、分步实施、实用先进”的原则。以应用为驱动,在充分利用现有设施和资源的条件下,力求高起点,既满足近期需求,又适应长远发展的需要。 坚持标准化与开放性原则。充分考虑现代信息技术的飞速发展,适应未来功能升级
19、的要求,使系统具有开放性、兼容性、扩展性,系统建设应优先选择符合开放性和国际标准化的产品和技术,遵循相关的规范要求。 坚持确保安全原则。系统设计及建设根据要求达到相应安全级别,确保系统运行有高度的可靠性和安全性。 坚持跟踪、反馈、更新、完善的原则,使系统不断贴近生产实践的需要。2.2.2 设计的依据及主要标准2.2.2.1 国家、地方和相关部门的政策、条令、规范和标准2.2.2.2 现行的国际、国内相关标准及行业规范2.3 系统总体结构系统总体结构如下图所示:自下而上分为四个层次,依次是:1. 基础支撑系统基础支撑体系包括计算机网络系统、主机存储与备份系统2. 信息资源库信息资源库主要包括专家
20、库、预案库、知识库、应急物资库、基础地理信息库等。3. 数据交换平台数据交换平台是一个既能实现异构系统之间数据交换又能实现异构系统之间业务流程自动化的数据交换平台。4. 应用软件系统应用软件系统包括综合业务管理系统、风险隐患监测预警接入系统、协同会商辅助决策系统、智能预案系统、地理信息系统、应急资源管理系统、应急评估系统、应急演练系统、信息发布系统。用户通过登录应急门户使用这些业务系统。第 3 章 基础支撑系统设计3.1 计算机网络系统设计3.1.1 网络建设目标网络系统应具有较高性能、最好的升级途径、充分的带宽,在关键性业务中不存在单点故障,在出现问题时提供快速的恢复能力。网络设备也能进行负
21、载均衡和动态伸缩。系统选用的设备和技术应符合国际标准。网络中使用的设备和协议应完全符合国际通用的技术标准,兼容现有的网络环境,提供很好的互联性;网络系统应该有很高的可靠性、稳定性及冗余,在投资充裕的前提下,提供拓扑结构及设备的冗余和备份,把单点失效对网络系统的影响减少到最小,避免由于网络故障造成用户损失。网络系统应提供足够的带宽,丰富的接口形式,满足用户对应用和带宽的基本需要,并保留一定的余量供扩展使用,最大可能地降低网络传输的延迟,网络系统应具有良好的可扩充性,对未来的应用和技术有一定的前瞻性,随着网络的规模及其运行的应用在不断发展,现有系统应提供足够的扩充能力,适应发展的需要,网络系统应易
22、于安装、操作和维护,能对网络设备进行必要的必不可少的配置,并能够以直观、灵活的方式展现出来,提供完整的网络拓扑图,可以根据网络的流量情况作出分析和建议。XXX 省级应急平台网络与通信系统建设是整体系统的重要组成部份,其主要目的就是为覆盖全区范围并在其上的各种支撑平台、应用系统提供网络支持,保证系统的正确连通,正常运行。目前建设的网络系统主要是连接 XXX 省应急指挥中心、应用服务器所部署的省电信机房、电子政务网中的相关应急单位部门,同时提供 INTERNET 的接入。3.1.2 网络系统设计原则结合 XXX 省级应急平台建设工程的实际应用和发展要求,在进行网络系统设计时,以需求为导向、以应用促
23、发展。网络系统的建设应遵循以下原则:1、高性能原则网络的设计方案不但要保证理论上可行,更重要的是实际上可用。要充分考虑到应用系统的具体情况,最好地满足需求。迅速地处理通信数据,需要网络设备支持高速通信链路,提供高数据吞吐能力。当今世界,通信技术和计算机技术的发展日新月异。方案应适应新技术发展的潮流,既兼顾了技术上的成熟性,同时也保证了系统的先进性。所选设备无论在硬件设备还是软件功能上,都在网络界处在领先地位。2、可靠性原则硬件网络产品的选用需具有很高的可靠性,较高的 MTBF(平均无故障时间 Mean Time Between Failures)值;全对称各处理器的硬件体系结构,能够做到任意一
24、个处理器和网络接口模块出现故障都不会影响其他模块,所有的功能部件(电源、系统总线、处理器模块、网络接口模块等)均可以热插拔和冗余热备份。除硬件的容错外,网络设备还应具备软件故障隔离和软件的热备份和热启动等,这样才能保证网络运行的万无一失。为了防止局部的故障引起整个信息系统的瘫痪,要避免网络出现单点失效。在骨干通信信道上要提供备份链路,提供冗余路由。在主要通信设备上要提供冗余配置,保证不会由于局部模块的故障影响整个设备的运行。为了使网络可靠地运行,本方案选用了高品质、高性能价格比的产品,把故障率降到最低。同时,我们采用了系统容错技术,当网络系统内某一点出现故障时,整个系统仍然能够继续运行而不会造
25、成停机,从而把损失降到最小。3、安全性原则为了保护 XXX 省级应急平台关键性数据的安全可靠,需要网络能够提供多种方式和层次的访问控制(包括标准访问控制列表和控制访问控制列表) 。XXX省级应急平台要与 Internet 网连接,因此要具有强大的防火墙功能和灵活有力的数据包过滤功能,为通信系统提供高质量的安全保障。4、易维护性原则要保证网络能正常稳定运行,要求网络维护人员可以方便地对网络设备进行远程控制和配置;并且网络设备要能够进行热插拔,方便进行日常维护。5、扩展性原则和易于升级随着网络用户应用规模的不断扩大,要求网络能方便地扩充容量,支持更多的用户和应用。随着通信技术的不断发展,网络要能平
26、滑地过渡到新的技术和设备,保护用户现有投资。由于 XXX 省级应急平台业务系统的不断发展,网络系统必然随之不断扩大。因此,目前的网络设计必须为今后的扩充留有足够的余地,这样才能最好地保护投资。网络设备厂商通常采用 2 种方式增强设备的可扩展性:将同类设备堆叠、互联,使多个单体作为一台设备工作;设备提供基本的、有多个插槽的机箱,从而可根据客户的实际需求确定要提供多少处理能力,以及物理接口类型。除单个设备本身的扩展能力之外,在网络系统的设计过程中,还需要考虑整个网络系统在未来几年的扩容能力和扩容办法。这样才能既照顾到目前的应用需求,又能满足今后整个计算机系统的发展需要。6、可管理性原则良好的组织和
27、管理对于 XXX 省级应急平台网络的正常运转和高效使用有很大帮助。网络应该能够提供方便,灵活,有力的管理系统,让使用者可以有效地控制和管理整个网络。随着网络规模的扩大和系统复杂程度的增加,网络的管理、监控和维护,以及网络故障的诊断和排除变得越来越复杂。为了使网络系统易于管理和维护,本方案将提供先进而完善的网络管理系统。这样,既方便网络管理员的工作,减轻了劳动强度,也提高了网络系统的管理程度。7、开放性与标准化原则开放的网络可以让用户自由地选择不同厂家的产品,不受原有厂家的限制。最大程度地保护用户的利益。要求网络的设计一定要基于国际标准,使用标准的通信协议。让不同厂家的设备能够在同一个网络上同时
28、运行。在一个复杂的大型网络系统里,必然共存着多个厂商的硬件和软件产品。网络系统的目标就是要通过不同厂商的硬件设备和计算机软件的互联,从而实现网络信息及设备资源的共享。为了保证用户的网络系统具有互操作性、可用性、可靠性、可扩充性、可管理性,应建立一个开放的,遵循国际标准的网络系统。8、流量优化网络流量优化将有助于提高网络带宽的利用率,尤其对于 WAN 上宝贵的带宽资源。视频、语音、数据集成的多媒体应用,一方面为客户的基础网络带来了更多的增值应用,为用户提供更加简便、灵活的信息交流,同时,也大大增加了网络上的信息流量。随着应用需求的提高,对带宽的要求将进一步提高。因此,对于像视频监控这样高带宽的应
29、用,进行网络流量的优化显得尤其重要。3.1.3 网络建设现状XXX 省级应急平台的网络建设主要依托 XXX 省电子政务外网。省电子政务网络外网:是电子政务网络对外的窗口,与互联网通过网络安全系统逻辑相连,对外提供一些网上服务,如受理申请、审批等;同时也是办公人员与外面进行信息交流的通道。连接范围为省、市、县(区)级政府及相关职能部门,以及因需要接入的企事业单位。3.1.3.1 省中心核心节点在省政府办公厅信息中心(省政府 1 号楼)部署华为的 Quidway NE80 核心骨干路由器作为省中心核心节点高速交换路由器。NE80 采用 155M POS 链路,通过电信长途 SDH 传输网络与各地市
30、政府核心节点高速交换路由器相连(共 10 条 155M POS 链路,不包括杭州市政府节点) ;采用 GE 链路,通过省政府大院 2.5G 的 MSTP 传输网络与 XXX 省政府大院 66 家单位 6 台路由交换机相连(共 6 条 GE 链路) ;采用 GE 链路,通过城域 10G 的 MSTP 传输网络与杭州市政府和杭州市区的 46 家厅局级单位的三层交换机相连(共 4 条 GE 链路) ;采用 1 条 155M ATM 链路,通过电信帧中继网络与杭州市区 40 家次级单位接入路由器相连;采用 1 条 FE 链路,连接华为的 Quidway A8010 接入服务器,通过拨号网络与杭州市区
31、88 家单位、公司外网相连;采用 1 条 GE 链路,通过天融信千兆防火墙与 XXX 省政府办公厅信息中心外网以及各应用服务器相连;采用 1 条 GE 链路,通过天融信千兆防火墙与 Internet 连接,同时采用 1 条 GE 链路与三零卫士鹰眼入侵检测系统连接。3.1.3.2 省中心用户接入节点省中心用户接入节点包括多个部分: 省政府大院 6 幢大楼 66 家单位外网用户接入:采用华为 Quidway S3526E中端路由交换机。每台 S3526E 采用 GE 链路,通过省政府大院的 MSTP 传输网络上连到省中心核心路由器 NE80。省政府办公厅信息中心外网用户及各类服务器接入:信息中心
32、外网局域网采用华为 Quidway S3026E 中端二层交换机汇聚,以 GE 链路上连 Quidway S6506R 高端路由交换机;信息中心应用服务器及网管服务器通过 GE 链路直接上连 Quidway S6506R 高端路由交换机;由 S6506R 通过天融信千兆防火墙以 1 条 GE 链路上连到省中心核心路由器 NE80。杭州市区 46 家厅局级单位外网用户接入:采用华为 Quidway S3526E 中端路由交换机。每台 S3526E 采用 FE 链路,通过城域 MSTP 传输网络汇聚后以4 条 GE 链路上连省中心核心路由器 NE80。3.1.4 系统部署设计XXX 省级应急平台网
33、络与通信系统主要功能提供各级节点(包括 XXX 省应急指挥中心、设备部署中心(省电信) 、地市(县)应急指挥中心、相关应急单位等)的数据传输和信息资源共享。使系统用户可以在网络上发布信息,实现跨地域、跨部门协作。我们在本方案中给出的网络系统,还提供了足够的带宽,丰富的接口形式,满足用户目前对各种应用和带宽的基本需要,并保留一定的余量供扩展使用,最大可能地降低网络传输的延迟,网络系统应具有良好的可扩充性,对未来的应用和技术有一定的前瞻性,随着网络的规模及其运行的应用在不断发展,现有系统应提供足够的扩充能力,适应发展的需要,网络系统应易于安装、操作和维护,在网络中使用统一的网络管理软件来管理所有网
34、络设备,能对网络设备及 VLAN 等进行直观、灵活的配置,提供完整的网络拓扑图。在网络与通信系统中,将该系统包括应用服务器区、省应急指挥中心区,同时考虑同电子政务外网、图像信号(视频会议、视频监控) 、省备份应急指挥中心的接入,描述如下:1、应用服务器区设计应用服务器区是整个网络系统的主干,主要功能是尽可能快速地交换数据。本方案中应用服务器区选用一台支持背板容量可达 96Gbps 的高性能双引擎核心交换机作核心设备,保证网络核心设备的高性能和高可靠性,该核心交换机提供了快速的信息交换与传输。服务器配置千兆网卡,以千兆链路接到核心交换机上,保证数据传输和处理的高效。该应用服务器区所涉及的硬件设备
35、统一部署在省电信机房。2、省应急指挥中心接入设计部署一台核心交换机千兆通过防火墙连接省电信的核心交换机,指挥中心用户通过 2 台接入交换机百兆接入系统平台。本项目中,用户座席主要包括 4 个部分:值班人员座席、指挥人员座席和领导座席。3、电子政务外网接入设计XXX 省级应急平台主要通过省电子政务外网, 连通相关的专项指挥部的业务系统,进行业务数据的采集、同步,同时考虑联入各地市(县)应急联动平台。核心交换机以百兆链路接入电子政务外网设备 PE,在网络联网安全上,可将 XXX 省应急网络平台与相关专业单位的涉及业务网络系统部分组成 MPLS VPN,提高网络联网安全性。 接入 INTERNET,
36、 连接中国电信“全球眼”视频监控平台; 向公众用户发布专业信息,提供专业应急信息的服务功能,并能及时向公众发布事件发展情况、紧急救助信息服务和善后处理工作信息。在目录集成的基础上,实现了综合信息门户与外部网站的集成,能够对访问用户进行统一管理,同时根据安全权限开放信息,提供信息查询与浏览功能。在发布方式上,支持空间信息的 Web 发布。 从安全的角度考虑,属于 XXX 省级应急平台网络的 pc 和服务器是不允许访问公网的,而且 Internet 网也不允许访问该区域。4、图像信号(视频会议、视频监控)接入设计XXX 省级应急平台主要通过核心交换机接入城域 10G 的 MSTP 传输网络,连接各
37、个专项(部门)应急指挥中心的视频信号,包括视频会议、视频监控信号的接入。5、省备份应急指挥中心接入设计XXX 省级应急平台主要通过防火墙连接位于人防的备份应急指挥中心,平时进行业务数据的同步,当省政府的省应急指挥中心瘫痪时,启动备份指挥中心,承担全省的突发公共事件应急指挥的任务。网络拓扑示意图如下:3.1.5 采用主要技术1、千兆以太网的技术应用千兆以太网和快速以太网都是在以太网基础上发展起来的新技术,保留了以太网传输结构上的简单性、灵活性、相同的帧格式、相同的介质访问方法。国内以太网的市场占有率为 80%,采用千兆以太网技术可对已有的应用和产品具有极好的兼容性。它与已有的快速以太网和以太网网
38、络产品保持了最大的兼容性,它支持交换机到交换机、交换机到终端使用新全双工操作模式及共享式连接使用半双工操作模式,它使用光纤、五类非屏蔽双绞线为传输介质。千兆以太网避免了象 ATM 的局域网仿真(LANE)等棘手问题。为此,千兆以太网已成为业界优选的主干网方案,而且业界 10 千兆以太网技术发展,升级空间极大。在千兆以太网中,1000BASE-CX 是一种基于铜缆的标准,使用 8B/10B 编码解码方式,最大传输距离为 25 米。1000BASE-SX 的波长为 780nm 时,使用 62.5微米的多模光纤,传输距离为 275 米,若使用 50 微米的多模光纤,传输距离为525 米。1000BA
39、SE-LX 的波长为 1300nm,如果使用多模光纤,传输距离为 550或 525 米,使用单模光纤,则可传输 10 公里。目前采用 1000BASE-ZX 的 GBIC技术,采用单模光纤,则可传输 70 公里。1000BASE-T 是基于无屏蔽双绞线传输介质,使用 1000BASE-T Copper PHY 编码解码方式,传输距离为 25 米,它具有可选的千兆位介质无关接口(GMII) ,当每帧大小为 512Bytes 时,最大传输距离为 100 米。2、VLAN 的技术应用考虑到 XXX 省级应急平台系统工程规模较大,连接的用户非常多,如果将所有的 PC 都接入一个网络,那么网络的广播风暴
40、非常明显,而且网络系统的交换性能也得不到保证,安全也成问题,所以我们必须采用 VLAN 技术,而且便于网络管理,我们可以按部门、按节点划分 VLAN。VLAN 具有两个既重要又基本的优点。第一,跨越 Intranet 的带宽和性能管理,能有效地对广播进行控制。VLAN 是控制广播信息转发的有效技术。它的布置结构最大限度地减少了对最终用户站、网络服务器和处理关键业务数据的骨干关键部分的性能影响。VLAN 的第二个优点,就是管理功能的更改方便,用户可以创建不基于物理位置或介质的工作组,即在整个网络范围内与用户增加、移动和物理位置变更相关的对管理工作的要求,也大为减少。当作出网络更改时,不仅可以减少
41、了管理工作,而且网络访问的安全性、集中化管理和控制也得到相应的控制。综合上面的两个优点,通过将 VLAN 与服务级别对应,在交换机和链路上则能设置优先级别,作为交换机内部流量优先功能的一部分,具有更高优先权的VLAN 就可以首先通过。这些策略的界定有助于控制网络资源和最大限度地减少潜在的问题。VLAN 的实施需要结合设备和用户的具体需求进行。VLAN 可采用以下方式来指定:网络设备端口:基于端口的 VLAN 容许指定交换机的端口到 VLAN。端口可以通过组、整个行甚至经由主干协议通过交换机进行通信来个别地指定。该方法比较通用。MAC 地址:基于 MAC 地址的 VLAN 容许用户加入到同一 V
42、LAN,甚至当用户从一个地方转移到另一个地方时也行。这种方法需要网络管理员识别每一个工作站的 MAC 地址,并且将这个信息配置到交换机。管理起来比较复杂。该方法不常用,但对网络的安全性控制有极大的好处,因为 MAC 地址唯一,非法用户用其它网卡是无论如何也加入不到该 VLAN。用户 ID:由于目前操作系统对用户 ID 管理起来非常方便,一般不采用用户ID 来指定 VLAN。网络地址:基于网络地址的 VLAN 容许用户加入到同一 VLAN,甚至当用户从一个地方移到另一个地方也行。这种方式的 VLAN 和用户连接到的每一个交换机的工作站的第三层地址一同移动。这种方式在安全性方面很重要,并且在访问控
43、制到通过路由器中的访问列表场合很有用。因此,在安全的 VLAN 中的用户,能够搬到另一个建筑同时仍能与同一设备通信,因为第三层地址维护没变。基于网络地址的 VLAN 可能对故障排除来说比较复杂。3.1.6 路由设计目前在网络设计中可供选择的路由协议主要有静态路由和动态路由两种:静态路由是在每一点的路由器上指明去另一点需要走的具体路径。动态路由是网络上的所有路由器互相通告自己所连的网段,各路由器根据某种算法计算出到每一点的最佳路径。静态路由方式适用于网络拓扑结构确定并且结构简单,IP 地址规划完善,网络规模较小的场合。静态路由配置简单,调试方便,但由于静态路由在网络上每增加一个点时,都需要在网络
44、上所有现有路由器中增加路由,这样使得静态路由不适合于网络规模较大,网络不断发展的场合,动态路由因为在网络上的路由器之间相互交换路由信息,增加一个节点时,网络上的其他路由器的配置可以不作任何修改,非常便于网络的扩展。动态路由协议又可以分为两类:内部网关协议 IGP 和外部网关协议EGP。 EGP 包括 BGP4、 IDRP 等路由协议;IGP 包括RIPv1、RIPv2、EIGRP、 OSPF、IS-IS 等。EGP 主要解决多自治系统之间的路由选择的问题;IGP 主要解决自治系统内部的路由选择问题。上述集中 IGP 路由协议,比较常用的协议有以下几种:RIP、EIGRP 、OSPF 和 IS-
45、IS:RIP 和 EIGRP 属于距离向量协议,OSPF 属于链路状态协议;RIP 配置简单,适合于较小规模的网络,这就限制了网络的发展,而且 RIP路由协议的性能低、占用网络带宽高;EIGRP 路由协议只适用于所有设备都是 Cisco 产品的情况,这就限制了网络产品的选型,降低了网络的灵活性,不适于网络规模的扩展;OSPF 和 IS-IS 虽然配置复杂,但是非常适合于较大规模的网络。目前可以用于大规模网络同时又基于开放标准的 IGP 的路由协议有 OSPF和 IS-IS。两种路由协议均是基于链路状态计算的最短路径路由协议;采用同一种最短路径算法(Dijkstra) 。两种路由协议在实现方法,
46、网络结构上十分相似,均在大型 ISP 网络中得到成功应用。鉴于 XXX 省应急网络平台呈星形结构,不存冗余链路和迂回路由,在这种网络结构下,全网使用静态路由配置可以最大化减少路由设备的负载,降低在网络链路上的消耗,减少路由收敛和波动对全网的影响;而且由于没有应用复杂的动态路由协议,对于网络管理、运维的压力也比较小。因为静态路由的实现主要依靠认为的配置,对于一个相对稳定的网络会有很好的效果,但是,在网络规模扩大、网络链路失败的情况下,静态路由不能自动感觉到网络的变化,不能及时地把网络变化反应在路由表中,而这种变化,对于网络的运维管理是比较重要的;在静态路由方式下,失效的路由地处理主要依赖于工作人
47、员的判断和调试,此时,排错的压力比较大,周期长。综上,结合 XXX 省级应急平台网络的架构,我们认为使用静态路由配置可以起到很大的收效,建议采取静态路由协议。3.1.7 QoS 策略设计在新建后 XXX 省级应急平台网络中,将不断增加和完善新的网络应用,网络中将可能存在多种的应用系统,这些应用根据对时延的要求可以分为时间敏感型应用和非时间敏感型应用,其中时间敏感型应用对网络带宽、传输延迟、传输可靠性要求较高,这类应用还可能包括 VoIP 语音及视频服务等,非时间敏感型应用对延迟的要求并不高,这类应用又可分为关键业务应用和非关键业务应用,关键业务应用包括内部业务如数据库访问等,这种类型业务要求有
48、绝对的带宽保证和绝对的可靠性,非关键业务应用指与内部业务关系不大的网络应用。我们主要对链路上的流量控制、数据优先级控制及拥塞控制等内容进行设计,以保证时间敏感型和关键业务应用数据流的服务质量。1、流量整型通用流量整形(GTS)提供的机制可在特定接口上控制信息流,通过限制指定流量的速率,它可减少输出流,从而避免了拥塞的发生,同时对特定流量的突发进行排队。这样,遵守特定标准的流量就可得到整形以满足下行流的要求,消除数据速率不匹配产生的网络瓶颈。我们推荐的网络设备为华为,华为 VRP 支持基于每个端口的通用流量整形,在本系统中,我们建议使用该技术限制各分支节点非关键业务应用数据流进入网络的流量,如
49、FTP 访问等占用的网络带宽。2、排队机制在本系统中,我们推荐使用排队机制达到优先为时间敏感型和关键业务数据流服务的目的,并完成各种业务流占用广域网带宽的分配,以保证它们的服务质量。排队机制介绍网络设备的软件能够实现先进先出排队(FIFO) 、优先级排队(PQ) 、定制排队(CQ )和加权公平排队(WFQ)等几种排队机制,下面对上述几种排队机制进行介绍:1)FIFO :当网络发生拥塞时,它可存贮信息包,并在拥塞消失时按其到达顺序将其转发出去。在某些情况下 FIFO 是缺省的排队算法,因此无需进行配置。但它有几个缺点。最重要的是 FIFO 排队不考虑信息包的优先级,信息包到达顺序将决定其使用带宽、处理速度和缓冲器分配。它还不能防止应用(源)的恶意行为。成组的信息源在传送对时间敏感的应用流量时将产生 很大延迟,将潜在影响网络控制和信令信息的传送。在控制网络流量方面,FIFO 排队只是必需的第一步,而今天的智能网络需要更加成熟的算法。网络设备的软件实施的排队算法克服 FIFO 排队的缺点。2)PQ:PQ 保证重要的流量可在其使用处得到最快处理。它的设计是为重要流量提供严格的优先处理。优先级排队算法可根据网络协议(如 IP、IPX 或Apple Talk) 、输入接口、简单和扩展 IP 访问列表、信息包大小以及应用程序对流量
