论信息系统建设的网络规划.pdfVIP

论信息系统建设的网络规划 2008 年奥运会期间的安全保卫工作对于奥运会能否成功举办有着至关重要的作用，为 坚实有力地支持奥运安保工作，北京市公安局需要在所有奥运竞赛、非竞赛，以及相关训练 场馆之间构建北京市公安局奥运安保信息专网。作为市局信息通信处的一名技术骨干，我有 幸参与了奥运安保网的规划、设计，并组织参与了整个项目的招标、工程建设，以及奥运期 间该网络的运行维护工作。 此次网络建设任务涉及31 个竞赛场馆、19 个非竞赛场馆、45 个训练场馆共95 个网络 节点，并且需要与现有公安专网实现安全的互联互通。经过反复论证与综合比较，并考虑到 奥运资金预算情况。我们选择“租用为主，自建为辅”的建网方式，也就是网络设备租用 CISCO 的，链路租用网通的，个别重要节点链路选择自行建设。最终整个网络系统分3 层， 分别是市局核心网络、奥运核心网络、场馆局域网。如图所示 1.拓扑规划 奥运会的特殊性，以及安全保卫工作的重要性决定了安保网的可靠性是第一位的。由于 各个场馆物理位置分散，因此奥运安保网总体拓扑选择星性结构，任意节点故障不会影响其 他节点。奥运安保网核心采用异地双核心结构，从根本上避免出现单点故障。为了与原有公 安专网互联，同时为了保证4 个核心之间的链路可靠。在4 个核心处建设一套2.5G 的MSTP 环网，4 个核心之间的互联链路构建在这个环网之上，考虑到奥运赛时网络通信流量主要集 中在奥运安保网内部，因此奥运两核心之间的传输带宽分配 800M，其他 3 条链路分别是 500M 。 奥运竞赛场馆、非竞赛场馆作为奥运会主要的比赛、工作地点，链路的可靠性也是第一 位的。因此所有场馆租用网通2 条不同路由走向的电路分别接入到奥运两个核心。并且每条 电路都构建在网通ASON 传输环网之上。 训练场馆由于不对外开放，因此安保级别有所降低，从经济性、实用性的角度考虑，每 个场馆租用1 条网络电路到奥运其中一个核心。 2.设备选型 设备选择也是把可靠性放在第一位。由于原有公安专网全部都是cisco 网络设备，同一 厂商的设备兼容性更好，并且现有技术人员对CISCO 设备比较熟悉，因此奥运所有网络设备 都选择CISCO 品牌。奥运双核心使用CISCO6509，竞赛、非竞赛场馆选择CISCO ME 3750， 训练场馆选择CISCO 2821 。其中为了保证绝对可靠，CISCO6509 采用双引擎SSO 方式、双电 源热备，风扇、板卡等不能热备的部件采用冷备的方式。所有场馆CISCO ME 3750 采用双电 源模块，分别接场馆 UPS 以及市电。部分重要场馆配备2 台CISCO ME 3750，通过TRUNK 互联，使用HSRP 协议防止出现单点故障。 3.路由协议规划 原有公安专网内部路由使用OSPF 协议，已经稳定运行8 年。奥运安保网必须在对现有 网络影响最小的情况下与之实现互联互通。考虑到OSPF 路由协议调整策略更灵活，易于网 络维护和排障，并且现有技术人员对OSPF 协议熟悉程度更高。因此我们选择将奥运安保网 作为现有OSPF 区域中的一个子区域与整个公安专网实现互联互通。现今三层交换机处理性 能已经得到极大提升，一个OSPF 区域可以支持上百台设备，因此所有双上联链路场馆直接 加入这个OSPF 子区域。单上联链路场馆由于只有唯一出口链路，因此使用静态路由方式注 入奥运安保网子区域。 为了与现有公安专网实现安全的互联互通，奥运安保网与公安专网之间的两条链路上都 必须部署防火墙。由此就会产生一个严重的问题，同一个网络会话的请求与响应将可能走不 同的防火墙，防火墙将会认为这个会话是不完整连接而直接丢弃，造成部分网络中断。为了 避免这个情况的产生，需要调整OSPF 路由协议的参数，增加其中一条链路两端的OSPF COST 数值，使之变成不等效路由。并且需要在原有网络核心6509 之间增加一条奥运安保子AREA 的链路，避免出现子AREA 路由优先的情况。 4.场馆局域网优化 奥运场馆内网络的主要应用是视频监控、可视化指挥、信息查询比对等。通过分析信息 流向以及信息流数据大小，我们使用VLAN 手段把不同应用类型流量隔离开。部分配备了2 台CISCO ME 3750 的场馆，通过使用HSRP 技术，调整每个交换机VLAN