網絡設計方案此次選擇租用天津播送電視網絡提供的鏈路天津播送電視網絡在長期的天津市有線電視、數字電視和數據鏈路專網及互聯網效勞過程中，積累了豐富的網絡資源和人才資源，并且建立了完善的光纜施工維護、網絡設備安裝調試和維護隊伍，并建設了成熟的網絡管理平臺。公司下轄19個分公司、3個維修分部、一個統一客服平臺，有超過2000名正式員工。并有數十個工程建設隊伍和專門的網絡效勞銷售商和網絡維護代理商。十年來，天津廣電在數據業務市場上承載了天津市視頻監控網數據傳輸、天津市交通管理局智能交通工程、天津市醫保社保聯網、天津市檢察院聯網等等大量的政府和企事業單位的聯網數據傳輸。設計要求保證該工程中全部視頻監控點位和電子卡口點位的全部前端設備有效聯入全市視頻監控網，每個前端監控桿提供不低于100M帶寬并滿足實際需求。設計原那么1、GA/T669-2023《城市監控報警聯網系統系列標準》2、GB50348－2004《平安防范工程技術標準》3、GB50395－2007《視頻安防監控系統技術要求》4、GB50394－2007《入侵報警系統技術要求》5、GB50198-1994《民用閉路監視電視系統工程技術標準》6、GA/T74－2000《平安防范系統通用圖形符號》7、GB16796《平安防范報警設備平安要求和試驗方法》8、GB/T20271-2006《信息平安技術信息系統通用平安技要求》9、GA/T379-2002《報警傳輸系統串行數據接口的信息格式和協議》10、YD/T1171-2001《IP網絡技術要求--網絡性能參數與指標》11、GA/T75-94《平安防范工程程序與要求》12、GAT496-2023《闖紅燈自動記錄系統通用技術條件》13、GAT497-2023《公路車輛智能監測記錄系統通用技術條件》14、GAT832-2023《道路交通平安違法行為圖像取證技術標準》15、GA/T367-2001《視頻安防系統技術要求》16、GA/T509《公安交通電視監視系統驗收標準》17、GB50057-94《建筑物防雷設計標準》18、GB50343-2004《建筑物電子信息系統防雷技術標準》19、JGJ/T16-92《民用建筑電氣設計標準》網絡拓撲結構圖設計方案天津播送電視網絡自2003年開始即參與天津市視頻監控網規劃、設計、試點和建設工作，廣電網絡公司以當時先進、現已成熟的MPLSVPN設備平臺為根底進行了長期建設，現已成為天津市視頻監控網絡鏈路的骨干網。綜合分析該工程需求，我們建議繼續采用成熟、平安、穩定、可靠、帶寬資源豐富的MPLSVPN技術方案進行后繼工程建設。鏈路方案綜述視頻監控網以點位數量多、分布范圍廣，技術、設備種類多、所有者種類多為特點。天津市公安局為此進行了編碼設備和傳輸設備標準化，已可以統一進行網絡傳輸、存儲和處理。根據本次工程招標要求，我公司的網絡鏈路拓撲圖如下列圖：方案要點說明如下：依托廣電網絡公司的大容量MPLSVPN骨干網、會聚網進行承載，該網絡采用兩級路由架構，架構簡潔合理，以雙10Gbps鏈路雙歸上聯實現保護，平安、可靠；為進一步提升平安性、穩定性以及縮短故障倒換時間，我公司MPLSVPN網絡由OTN網絡承載，實現骨干、會聚鏈路倒換50ms的電路級別標準；提供1000條MPLSVPN鏈路并滿足視頻監控網視頻監控點1000點聯網鏈路傳輸需求；接入網介質均為光纖，使用廣電網絡的MSAP平臺或者光纖收發器+交換機作為接入平臺，每個接入點帶寬為100Mbps；針對某些特許需求點位，具備升級帶寬至1000Mbps的能力；與骨干網的對接：因視頻監控網骨干依托于廣電網絡的MPLSVPN平臺，招標中指定的所有點位就近直接接入廣電網絡的遠端機房、二級分中心或者一級分中心機房進行會聚。然后根據天津廣電網絡的網絡路由情況在廣電機房內直接接入〔已建〕的MPLSVPN平臺，既已完成與視頻監控網主干網的連接；基于視頻監控網骨干的分層穩定成熟架構，此種接入方式省去了多運營商對接過程中產生的諸多問題，更加快速便捷，不會對現網的運行環境造成影響；網絡路由規劃情況：本次整合點接入方案路由規劃，根據天津廣電網絡多年在天津視頻監控網工程上的實踐經驗，具體路由規劃分為三層：接入層、會聚層、骨干層。接入層：接入層路由情況根據前端需要點位位置，就近接入天津廣電網絡遠端機房，每個前端點位接入介質均為光纖，接入帶寬不小與100Mbps，并且可以根據實際情況進行相應升級；;會聚層：會聚層根據天津廣電網絡機房路由規劃，將會聚機房內下屬的遠端機房所接入的點位進行會聚；骨干層：根據天津廣電網絡網絡情況，會聚層機房內已部署天津廣電網絡MPLSVPN平臺〔天津視頻監控網骨干〕，會聚節點在機房內直接接入視頻監控網骨干。提供帶寬為10GE光纖鏈路與集中存儲中心進行接入，將工程中所有點位視頻信號傳輸到集中存儲機房進行存儲。MPLSVPN平臺現有足夠的帶寬預留，根據現有運行狀況和本工程特點，視頻監控網主干在增加本工程所需帶寬后在應用中不會產生帶寬瓶頸。在今后再增加帶寬需求并將產生瓶頸，我公司可安排以1G或10G為單位升級平臺骨干帶寬或某區域接入帶寬。與視頻監控骨干網對接說明與骨干網的對接：因視頻監控網主骨干依托于廣電網絡的MPLSVPN平臺，招標中指定的所有點位就近直接接入廣電網絡的遠端機房、二級分中心或者一級分中心機房進行會聚。然后根據天津廣電網絡的網絡路由情況在廣電機房內直接接入〔已建〕的MPLSVPN平臺，既已完成與視頻監控網主干網的連接；基于視頻監控骨干的分層穩定成熟架構，此種接入方式省去了多運營商對接過程中產生的諸多問題，更加快速便捷，不會對現網的運行環境造成影響；相關網絡資源、網絡平臺說明及優勢1、網絡資源天津廣電網絡覆蓋天津市所有行政區域，在機房和光纜資源上以市級核心、區縣一級中心、區縣內二級分中心、遠端機房組成四級網絡資源架構。目前擁有三個核心機房，19個一級分中心〔原19個行政區縣〕，約200個二級分中心〔市內六區每區4-6個，其它區縣的每鎮1個二級分中心〕，近1000個遠端機房〔每個二級分中心平均帶5個遠端機房，并仍在擴建〕。機房間光纜均采用大芯數纜，接入光纜統一由遠端機房出局。優勢：網絡根底設施豐富、結構合理。經多年建設，現有遠端機房平均覆蓋半徑1-2公里，已非常方便完成各類企事業單位的各類接入需求。接入光纜遍布各小區、交通路口、建筑、企事業單位等，光纜資源極其豐富。2、網絡平臺MPLSVPN平臺MPLSVPN技術介紹MPLS〔multi-protocollabelswitch〕是Internet核心多層交換計算的開展。MPLS將轉發局部的標記交換和控制局部的IP路由組合在一起，加快了轉發速度。MPLS技術提供了類似于虛電路的標簽交換業務，這種基于標簽的交換可以提供類似于幀中繼、ATM的網絡平安性。MPLSVPN一般采用下列圖所示的網絡結構。其中VPN是由假設干不同的site組成的集合，一個site可以屬于不同的VPN，屬于同一VPN的site具有IP連通性，不同VPN間可以有控制地實現互訪與隔離。相對于傳統的VPN技術來說，MPLSVPN可以實現底層標簽自動的分配，在業務的提供上比傳統的VPN技術更廉價，更快速。同時MPLSVPN可以充分的利用MPLS技術的一些先進的特性，比方說MPLS流量工程能力，MPLS的效勞質量保證，結合這些能力，MPLSVPN可以向客戶提供不同效勞質量等級的效勞，也更容易實現跨運營商骨干網效勞質量的保證。MPLSVPN還可以向客戶提供傳統基于路由技術VPN無法提供的業務種類，比方像支持VPN地址空間復用。對于MPLS的客戶來說，運營商的MPLS網絡可以提供客戶需要的平安機制，以及組網的能力，VPN底層連接的建立、管理和維護主要由運營商負責，客戶運營其VPN的維護和管理都將比傳統的VPN解決方案簡單，也減低了企業在人員和設備維護上的投資和本錢。基于MPLS的VPN可以作為傳統的基于二層專線的VPN、純三層的IPVPN和隧道方式的VPN的替代技術。廣電網絡MPLSVPN平臺2023年我公司采用業界高端路由器完成了MPLSVPN骨干網、會聚網擴容，網絡平臺拓撲圖如下。核心核心1核心2和平南開紅橋河北河東河西塘沽大港接入交換機用戶北辰寧河靜海西青薊縣津南東麗漢沽寶坻武清新的MPLSVPN網絡平臺采用兩級網絡架構，架構簡潔合理。二級網絡為會聚層，從區內各二級分中心的MPLSVPN接入路由器以雙歸路由鏈路的方式上聯至本區和相鄰區的兩個區一級分中心MPLSVPN會聚路由器。在業務重點區采用2x10Gbps鏈路帶寬上聯，在普通區采用2x1Gbps鏈路帶寬上聯。一級網絡為骨干層，從各區的一級分中心會聚路由器以雙歸路由鏈路的方式上聯至網絡的兩個核心層路由器，骨干層鏈路帶寬為2x10Gbps。特點和優勢：兩級網絡架構，架構簡潔合理；各層均采用鏈路雙歸上聯實現鏈路保護，平安、可靠；采用分區、分層雙歸架構，同時骨干和重點區采用2x10Gbps帶寬鏈路連接，使網絡具有超大容量承載能力。此外，為進一步提升平安性、穩定性以及縮短故障倒換時間，我公司MPLSVPN網絡由OTN網絡承載，從而實現了骨干、會聚鏈路故障恢復時間50ms的電路交換級別標準，是一個非常穩定的數據傳輸平臺。OTN平臺OTN〔光傳輸網絡〕定位為底層傳送網絡，為各種業務網絡提供底層傳送功能，包括：MPLSVPN網、寬帶網、視頻承載網以及區縣MSAP與上一級網絡間的互聯。同時提供大顆粒業務接入能力。OTN的核心技術：DWDM密集波分復用，基于光波分通道的網絡平臺。ASON自動交換光網絡，實現所承載業務的自動調度。廣電網絡OTN架構OTN網絡骨干為兩級結構，通過多個主環構建成連接各區的一級環形骨干網，在每個區內也是通過環形組網形式組建二級骨干網。核心、骨干、會聚層設備為目前國內頂級，具備Tbit容量，80個波長的承載能力，帶寬為80x10Gbps。具備電交叉功能，鏈路最小封裝顆粒以及交叉調度顆粒為ODU0〔1Gbps〕。特點和優勢：通過多種組網保護形式，提供全網范圍的50ms自愈保護，從而為用戶效勞打下良好的技術保障根底。接入平臺光纖收發器+交換機接入平臺：2023年以前大量使用的接入方式，現正在使用MSAP平臺替換該平臺。MSAP接入平臺：MSAP本質上是MSTP技術和分組交換技術在接入層融合的一種產品形態，主要有會聚端的設備和遠端設備組成，適用于接入層多場景下中、小顆粒業務的會聚和端口的復用。即可上聯ASON、MSTP網絡，也可上聯交換機、路由器等分組交換網絡。向下即可以接入標準的PDH、SDH等設備如E1設備，同時也提供10/100/1000Mbps以太網數據接入。在實際組網應用中，MSAP適合用于大客戶接入、小型基站及室內分布系統的接入。MSAP的功能結構：MSAP平臺采用SDH/MSTP內核，繼承了SDH/MSTP的交叉連接、VC映射、以太網業務在電路容器上的承載和級聯、成環和保護倒換等功能，同時，根據邊緣網絡大客戶接入的特點和網絡的現狀，融合了PDH復用/解復用、以太網協議轉換、V.35協議轉換等技術，具備靈活的接入功能，可承載當前邊緣接入網的多種業務。MSAP的主要特點綜合接入；局端為統一平臺，通過遠端設備的不同形態表達差異化接入能力，支持PDH等現有接入網設備、SDH/MSTP設備以及分組交換網絡設備在網絡中同時接入。接入靈活；采用模塊化結構，后期業務擴容或新客戶接入只需通過網管配置或放置相應遠端就可實現。且可以支持環形、鏈形、星形等多種組網拓撲，應用靈活。可靠性高提供多種保護方式，如1+1保護、SNCP保護、線性MSP保護、電源熱備份等，保證了客戶業務的可靠性。MSAP系統網絡位置和參考模型MSAP多業務接入平臺是集協議轉換器、光端機、光纖收發器、XDSL于一體的大用戶多業務專線接入平臺，所以MSAP作為末端接入系統，能夠向用戶提供E1/V.35租用線和專線業務以及以太網專線業務，通過SDH接口或以太網接口與SDH/MSTP傳送網或IP城域網相連；通過E1、10/100/1000BASE-T接口或V.35接口和客戶設備相連。如下列圖所示：MSAP系統網絡位置圖網絡可靠性設計〔QoS實現策略〕概述QoS規劃：選擇DiffServ體系架構，不信任其它Diffserv域的標記，在入端口進行重新標記。業務等級規劃：公安專網定義8個標記，7個業務等級。調度和丟包策略：隊列調度采用PQ〔優先級調度算法PriorityQueueing〕加WRR〔加權輪循算法WeightedRoundRobin，WRR〕的方式，并對PQ進行限速，根據等級不同限速不同，網管隊列分配5%的帶寬，其余隊列的帶寬分配根據實際業務流量模型決定。限速和整形：在入口根據協議和規劃進行限速。Trunk的QOS配置要在物理接口上進行配置。采用默認的逐流方式。視頻專網QoS要求QoS業務等級規劃業務等級開展的業務標記QoS策略金業務平臺SIP協議、無線傳輸7，6高等級隊列，帶寬保證值為〔CIR〕5%，PIR為80％預留5高等級隊列，帶寬保證值(CIR)為10%，PIR為90％銀業務視頻監控管理平臺業務數據4高等級隊列，帶寬保證值(CIR)為60%，PIR為90％預留3低等級隊列，帶寬保證值為8%,，PIR為90％銅業務普通視頻監控點視頻2低等級隊列，帶寬保證值為12%,，PIR為40％預留1低等級隊列，帶寬保證值為4%，PIR為40％預留0低等級隊列，帶寬保證值為1%,，PIR為40％所有P設備的接口配置outputqueue和trustupstreamdefault。所有PE設備的接口配置outputqueue和trustupstreamdefault。〔和CE連接的接口，會對進入的流量重新打標識,只配置outputqueue〕視頻專網分類和標記視頻專網中設備識別業務并實現QoS分類的依據是各種標記字段、端口〔物理端口、邏輯端口和子端口〕、源/目的MAC地址、源/目的IP地址、IP層協議端口、應用層源/目的端口等。使用IPPrecedence、IPDSCP、和802.1p等字段標識QoS等級。IPPrecedence、802.1p等字段均為3位8個等級，IPDSCP那么有8位64個等級。使用IPDSCP的前三位來標識8個等級，后三位均設為0。以上幾個字段標識的對應關系如下：IPPrecedenceIPDSCP802.1p000181216232434324540564867567對IP分組在IPPrecedence字段上做標記，以便于與其它標記字段之間進行相互轉換，并兼容僅支持IPPrecedence的設備。對于僅支持IPDSCP的設備，要求按照以上圖表在IPDSCP字段上做相應的標記。不對CE路由器、交換機實施標記分類和隊列調度。QoS部署策略會聚層部署1. 啟用隊列調度機制和擁塞防止機制，按照調度策略進行設置2. 只對out方向的流量進行隊列調度、對in方向的流量不進行隊列調度3. 對PQ進行限速，按隊列不同限速80%-90％4. 核心路由不直接連接用戶、所以不需要標記和分類 接入層部署5. 啟用隊列調度機制和擁塞防止機制，按照調度策略進行設置6. 在入端口對用戶數據流量進行標記、分類7. 只對out方向的流量進行隊列調度、對in方向的流量不進行隊列調度8. 對PQ進行限速，按隊列不同限速80%-90％9. 選擇性的對入端口對某些公眾用戶數據流量進行限速。QoS平安QoS都是通過QoS標記來識別等級，保證相應等級的效勞質量。平安的關鍵是防止QoS標記誤打，漏打，低等級業務非法打上高等級標記或利用高等級流量實施平安攻擊。針對這些平安問題，采取如下措施：1. 對于不信任的其他網絡〔如其它客戶〕，去除其進入公安視頻專網網的QoS標記，再打上相應等級的標記。2. 原那么上使用端口〔物理端口、邏輯端口和子端口〕實現業務分類和等級標識，但從業務開展的靈活性角度出發，可以考慮在跨域QoS或對用戶內部流量進行區分時使用IP地址或應用層端口號，但對這樣的業務要求實施限速。3. 絕對優先級僅開展內部業務。僅在指定Access端口才能打上絕對優先等級標記。在提供充足的預留帶寬后，對絕對優先等級實施限速，以防止該等級餓死其他等級。網絡平安性設計從體系結構來看，平安體系是一個多層次、多方面的結構。我們通過對天津市視頻監控網絡平臺所面臨的平安狀況的分析，將整個視頻監控網的平安性在總體結構上分為四個層次：網絡層平安、應用層平安、系統層平安和管理層平安。網絡層平安是指在網絡的下三層(物理層、鏈路層、網絡層)采取各種平安措施來保障網絡平臺的平安；應用層平安是指通過利用各應用系統和數據庫自身的平安機制，在應用層保證對網絡上所承載的各種網絡應用系統的信息訪問合法性；系統層平安主要是通過對操作系統的平安設置，防止不法分子利用操作系統的平安漏洞對網絡構成平安威脅；管理層平安主要是從網絡所涉及的各分局和各派出所各級網絡用戶內部平安管理和計算機病毒防范兩方面來保障網絡的平安。骨干網平安設計核心交換機支持冗余的管理模塊、冗余的電源模塊、各種模塊熱拔插等平安穩定保障技術。實時檢測CPU的使用狀態，并提供業界領先的硬件CPU保護技術〔CPP，ControlPlanePolicy〕，CPP技術對發往CPU的數據進行流區分和流限速，防止非法攻擊包對CPU的攻擊和資源消耗。采用硬件方式提供多種平安防護能力，例如防DoS攻擊、非法數據包檢測、數據加密、防源IP地址欺騙等等，防止了傳統軟件實現方式對整機性能的影響。核心交換機提供業界最為強大的ACL特性，基于SPOH技術提供IP標準、IP擴展、MAC擴展、時間、專家級等豐富的ACL技術，支持IPV4/IPV6雙棧下的輸入輸出ACL。提供線卡分布式的IPFIX監控技術，及時發現網絡中的異常流量，有助于提早發現網絡中病毒和攻擊等不平安行為，并通過流量監控技術提供的詳細異常流量數據信息，識別攻擊源或攻擊手段。核心交換機支持同時啟用多組的多端口同步監控技術，并且支持靈活的輸入、輸出、雙向數據鏡像，滿足靈活的網絡監控需求，提升網絡監控能力。接入網平安設計各局端所配置的千兆接入交換機支持IP＋MAC＋端口綁定，通過在一個端口下綁定指定用戶的IP與MAC：1〕可以有效的防止