1、*县政法综合信息网建设规划一、背景和需求分析政法综合信息网(以下简称政法网) ,是包含政法委、公安、检查院、法院、司法和国家安全系统的内部工作网络和信息共享基础平台。可承载数据、语音(电话、传真、电话会议等)和视频(视频会议、视频监控、视频指挥)等综合应用,与其他网络物理隔离。政法网是根据中央政法委等九部委关于推进政法部门网络设施共建和信息资源共享的意见提出的要求,为有效推进政法部门设施共建、信息共享,统筹规划建设政法部门业务网络间横向互联互通设施,以节约资金、避免重复投资和盲目建设,充分发挥政法网络资源和信息资源的整体效能,实现政法部门按工作需要及时便捷地相互获取利用信息资源,提升业务能力和
2、工作效率,维护国家安全和社会稳定所进行建设的政法系统统一、共用的业务专网。政法网的建设,以政法各部门业务应用需求为导向,充分利用已有网络和信息资源,共同推进政法部门网络基础设施共建、信息资源整合共享,充分发挥信息化投资的综合效益和政法信息资源的整体效能,提升政法工作的科技含量,努力满足政法工作对信息的即时需求,更好地发挥政法部门在“构建社会主义和谐社会、确保国家长治久安中”的重要作用。政法综合信息网由:1、由*县到*市的纵向互联网络;2、由*县各政法机构和部门之间的横向互联网络;3、由*县和乡镇派出所的接入网络; 政法网建设的目标是在政法系统现有网络设施的基础上,构建覆盖,各级政法部门的功能完
3、善、体系健全、安全可靠的网络平台;政法系统网络资源得到有效整合和开发利用,实现政法各部门间信息共享、业务协同;形成网络建设、运行和管理的良性机制,保障各类应用系统安全可靠运行和可持续发展,为实现政法工作信息化奠定基础。二、关键点及解决思路:(一) 关键点分析:政法网是承载各级政法委、公安、检察院、法院、司法和国家安全六部门业务的统一网络平台,建成之后将作为政法信息共享的基础网络平台,实现政法系统间的政法信息资源共享共建,通过政法信息资源共享共建项目建设,能够实现政法各部门的统一指挥调度,对维护社会稳定、打击恐怖势力、处置突发事件和反分裂斗争,保证社会经济稳定发展,具有重要的积极作用。在省级政法
4、网建设过程中有如下关键点需要进行关注:(1)政法综合信息网主要覆盖党政网、政法网、大调解系统;(2)政法综合信息网是政法系统各部门的核心网络平台,一旦出现问题,将直接影响到各部门的正常工作,因此要求网络必须具备高可靠性;(3)随着政法系统音、视频等高带宽业务应用的开展,势必要求政法网基础网络平台的带宽必须足够并且能面向未来很好的过渡到更高带宽;(4)政法系统中的业务主要包括语音、视频和数据,并且不同的业务应用之间存在不同的优先级需求,因此要求网络能够很好的区分不同业务,提供不同等级的服务质量(5)政法系统各部门因为访问权限不同,要求纵向业务网络相互独立,但是物理信道带宽独享,可以按需调整,同时
5、共享物理传输介质;(6)目前网络中的安全问题对于网络造成的危害日益严重,而政法网作为政法六部门统一的网络承载平台,显然需要加强对于各类安全问题的防范能力;(7)在政法网建设之后,因为涉及部门众多,维护工作量巨大。因此,在建设网络之初就需要考虑如何降低建成之后的维护工作量,从而提高管理效率。(二) 解决思路(1)一个网络平台的可靠性主要取决于如何减少关键设备的故障率和缩短网络故障恢复时间两个因素。减少关键设备故障率主要依赖于每台设备自身的可靠性设计,而缩短网络故障恢复时间主要依赖于组网的冗余设计。只有两个方面同步完善,才能最大程度的提高网络平台的可靠性。(2)对于网络线路和带宽的需求,一方面是立
6、足于眼前的业务应用,确定需要的线路类型和带宽,而另一方面更要着眼于未来的发展,使得设备能够满足未来带宽升级的情况下,可以满足接口和带宽的平缓过渡,同时设备也能够提供足够的转发性能保证带宽升级之后的业务快速转发。(3)在网络中区分不同业务,要求整个网络能够满足端到端的 QoS 部署,仅部署局部和不部署一样都是没有实际意义的。在部署端到端的 QoS 之前,要充分了解网络中的业务,并且对不同业务产生的数据流根据优先级和数据流特性进行区分、标识和调度;(4)目前的网络面临的安全威胁日益复杂,针对问题集中部署安全设备虽能解决部分问题,但是仍然要求关键自身能够面对这些安全威胁,采用分布式体系对典型安全问题
7、进行防护(如 ARP 攻击、DDOS 攻击等) 。(5)降低维护工作量、提升管理效率可以从两个方面考虑,一是采用标准化、简单易维护的设备;二是采用更多的智能化管理手段,比如集中网管系统,从而降低维护工作量。三、网络设计:方案说明:在公安局建立政法综合信息网数据中心与上级单位的连接保留原有线路不变与 25 个乡镇的连接,全部采用租用电信光纤(单模) ,乡镇司法所及其他机构到派出所的连接全部采用自建光缆(多模)*县县城各级单位之间全部采用自建光缆四、网络平台建设:网络建设是政法综合信息系统的基础,是政法综合信息网建设的重要组成部分。1技术标准在网络带宽、组网灵活性、可扩展性、组网代价、升级和兼容性
8、等方面,以太网技术具有较大优势,特别是千兆位以太网、100M 位以太网和 10M 位以太网具有相同的帧格式和帧大小,以及相同的 CSMA/CD 协议,便于网络的平滑升级。目前采用这种网络技术,为便于网络的互连,采用 IEEE 的 802.3x 以太网技术作为政法综合信息系统局域网的组网技术标准。网络通信协议采用国际工业标准 TCP/IP 协议。2网络结构以太网技术的网络拓扑结构有多种,目前多采用星型拓扑结构。从本质上来说,以太网包括两种基本元素:交换设备(如交换机或集线器)和终端设备(如服务器和用户机) 。终端设备和交换设备的连接采用双绞线,交换设备间的连接采用堆叠的方式、光纤和双绞线分布的方
9、式。3VLAN 划分对于用户节点数目和应用服务器数目较多的局域网络应选用支持 VLAN 划分的交换设备,进行 VLAN 划分。VLAN 划分可优化网络的带宽,增强网络的安全性,方便网络的管理。首先通过 VLAN 划分,可把一个大的广播域分割成多个小的广播域,使VLAN 间链路层隔离,限制子网在链路层的广播范围,提高网络带宽的利用效率,使一个大型的网络不至随着网络规模的膨胀而性能恶化。其次,链路层的隔离可避免敏感信息的扩散,增加网络的安全性,使网络管理员可以使用端口或MAC/IP 地址来划分各种工作组,而工作组间保持信息的隔离。另外,由于 VLAN的“虚拟”特性,使得网络管理员在划分工作组时不必
10、考虑地域因素,无需移动用户端,也不必做任何布线的改变,就可把分散在网络不同位置的用户放在一个组内,方便了网络管理。对于不同 VLAN 间的通信,需要通过路由器或支持第三层交换的交换机来解决,然而后者可为多个 VLAN 服务,用更高的交换速度完成第三层(网络层)的包路由,实现没有路由瓶颈的第三层交换。对于网络中心的局域网络,应采用具有第三层交换能力的交换机,以实现网络中不同 VLAN 之间的路由。VLAN 划分的总体原则:服务器和客户机原则上不共存于同一子网;如果应用服务器数目较多,服务器群应按照应用的类型及业务流向进行子网划分;如果用户节点数目较多,客户机应按照所属单位进行子网划分。4交换设备
11、配置在进行交换设备选择时,除了要注意交换机的物理规格、端口参数外,还要明确交换能力,包转发速度、所支持协议、堆叠数、部件的冗余等参数,从便于管理和维护的角度来看,主干高端交换设备和中低端交换设备采用同一个厂商的产品较合理。(1)数据中心交换设备配置数据中心主干交换机应配置中高端局域网交换机,并使用冗余结构。具体配置要求如下:机箱式路由交换机必须支持集群交换技术业务插槽总数(不含引擎插槽)12 个满足支持 10GE 端口数576 个支持双引擎背板容量12Tbps交换容量2TGbps,最大可扩展到 5.12Tbps包转发率1320Mpps,最大可扩展到 3360Mpps电源支持 N+1 冗余设计,
12、配置电源 1+1 冗余10/100/1000M 铜缆端口48 个1000M 光纤扩展接口48 个支持 EPON 功能支持 MPLS 功能支持 RIP、OSPF、ISIS、BGP 等 IPv4 动态路由协议支持 RIPng、OSPFv3、ISISv6、BGPv4 等 IPv6 动态路由协议支持 PIM DM、PIM SM、PIM SSM支持组播 ACL支持加权轮询、基于连接数、加权 IP 地址 Hash 和基于 HTTP URL 的 Hash 等多种均衡调度算法支持基于 Layer2 协议头、Layer3 协议、Layer4 协议、802.1p优先级的 QoS支持 SNMPv3,SSHv1/v2
13、,SSL 管理支持采用自主的节能芯片技术(2)乡镇派出所和较大的县级接入单位的交换设备配置企业级三层交换机背板容量64Gbps交换容量12.8Gbps包转发率9.6Mpps10/100/1000M 铜缆端口24 个支持 2 个 10/100/1000Base-T 千兆 Combo 口支持基于 MAC/协议/IP 子网/策略/端口的 VLAN支持 1:1 和 N:1 VLAN 交换功能 支持静态路由、RIP V1/2、OSPF、IS-IS、BGP、ECMP支持策略路由 硬件支持 IPv4/IPv6 双栈和 IPv6 over IPv4 隧道支持 RRPP 环型拓扑、支持相交环和多实例等功能,故障
14、保护切换时间低于 50ms支持 SmartLink 树型拓朴及 SmartLink 多实例,提供主备链路的毫秒级保护支持 IGMP v1/v2/v3、PIM-SM、PIM-DM支持 L2(Layer 2)L4(Layer 4)包过滤功能,提供基于源MAC 地址、目的 MAC 地址、源 IP 地址、目的 IP 地址、端口、协议、VLAN 的非法帧过滤功能支持堆叠支持虚拟电缆检测(Virtual Cable Test);支持以太网 OAM(802.3ah 和 802.1ag)所有端口具有=6KV 的防雷击能力(3)乡镇司法所和较小的县级接入单位的交换设备配置企业级交换机背板容量32Gbps交换容量
15、8.8Gbps包转发率6.6Mpps10/100M 铜缆端口24 个配置千兆铜缆端口2 个支持基于 MAC/端口的 VLAN支持基于源 MAC 地址、目的 MAC 地址、源 IP 地址、目的 IP 地址、四层端口、协议类型、VLAN、以太网帧协议、CoS 等信息的流分类支持 IPv6 主机功能支持 IPv6 ACL支持配置静态路由支持动态 ARP 检测支持堆叠所有端口具有=6KV 的防雷击能力5服务器系统的选择服务器系统作为政法网数据中心的核心设备,提供计算处理服务、网络应用服务和其他服务。应用层服务器承担着业务系统的各类应用服务,主要强调其强大的计算能力,能够处理大量的并发连接处理,并能在用
16、户数增加的情况下保持良好的性能平衡。除此之外,能够提供连续可用的可靠性,能够适应各种网络环境的扩展能力。基于 RISC 系统的中低端主机系统或高中端 PC 服务器系统是适合于应用层服务器的选择,可根据具体业务需求和投资情况选择双机集群、负载均衡和单主机方案。数据中心服务器配置4U 机架式服务器配置 2 个 Intel 四核 Xeon E7450 处理器配置内存8GB配置 4 块 146G 热插拔硬盘支持 RAID0,1,5 阵列控制器,256M 缓存6网络安全管理网络安全管理包括对安全设备的管理;监视网络危险情况,对危险进行隔离,并把危险控制在最小范围内;身份认证,权限设置;对资源的存取权限的
17、管理;对资源或用户动态的或静态的审计;对违规事件,自动生成报警或生成事件消息;口令的管理,无权操作人员的控制;网络数据备份等。管理员应对所辖范围网络上的网络设备、安全设备、网络上的防病毒软件、入侵检测探测器进行综合管理,同时利用安全分析软件可以从不同角度对所有的设备、服务器、工作站进行安全扫描,分析他们的安全漏洞,并采取相应的措施。五、预算编制:全县按照 25 个乡镇,每个乡镇一个司法所,县级单位共计 70 个接入单位计算,*县政法综合信息网项目建设资金投资估算约为 万元。投资项目名称 金额(万元)一、数据中心建设 33.51 机房建设费用 52 局域网建设费用 153 网络安全建设费用 3.
18、5221.89 4服务器设备费用 10二、接入网络建设 52.51 25 个乡镇派生所 25*6000 2 25 个乡镇司法所 25*3500 3 30 个县级接入单位 30*6000 4 40 个县级接入单位 40*3500三、县级单位接入自建光缆四、司法所接入自建光缆五、人员培训费用 1六、系统集成费 10七、监理费 5八、前期工作和项目管理费用(数据清理等) 5 九、不可预见费用 10建设资金合计(一)数据中心建设1、机房建设主要包括 UPS 电源系统、机柜、以及各个业务系统的连接所需要的综合布线材料;2、局域网建设费用主要指数据中心交换机及其业务板卡;3、网络安全建设费用主要指用于数据安全的防火墙和附属设备;4、服务器费用主要指大调解系统的服务器平台;(二)接入网络建设1、目前的预算是按照满载计算,具体的应用情况根据建设的先后顺序进行。预算编制中列举了单点接入的单价,便于灵活计算。
