通信一张网架构 通信网组网结构

1.光缆光纤骨干网

        室外光缆为主、室内光纤为主的骨干网通信，光纤传输以光导纤维为传输媒介、以光波为载波进行信息传输，由三部分组成：激光发送、光传输及激光接收。

光纤传输示意图

2.安防骨干网组网设计

2.1设计思路

        骨干网为三层组网设计由接入交换机、汇聚交换机及核心交换机组成，三层组网常用的组网类型是堆叠核心组网，核心层采用堆叠，核心层与汇聚层之间通过Eth-Trunk互联，汇聚层推荐堆叠（注1），堆叠+Eth-Trunk（链路聚合）组网是一种无环组网，配置简单，不需要复杂的环网协议和可靠性协议（如RSTP、MSTP、RRPP、VRRP等），该组网保证了网络高可靠性和高性能，同时堆叠组网简化网络的运维管理。核心层采用冗余设计，部署两台专网核心交换机，向上与同机房数据中心出口路由器通过万兆链路口字型互联，向下与各二级网络汇聚节点交换机通过千兆链路星型互联。接入层交换机单千兆链路上联汇聚层交换机。

        堆叠+Eth-Trunk（链路聚合）组网的好处：

1. 简化运维:：整个堆叠会被作为一台交换机管理，简化运维。
2. 可靠性高：堆叠内一台设备故障，其他设备可以接管堆叠的控制和转发，避免单点故障。
3. 无环网络：跨设备的链路聚合，在堆叠和其他设备互联时，天然避免了环路问题。
4. 链路均衡：100%的网络链路和带宽利用率。

注1：依据项目需要，两台交换机放置距离稍远时，采用E-Trunk实现聚合

2.2全光IP网络架构

        全光IP网络独立组网，与其他系统网络实现物理隔离，对传输链路进行加密，确保信息安全可靠传输，依据网络环境的大小、设备的转发能力以及在网络结构中所处位置，将网络划分为核心层、汇聚层、接入层。

        核心层可以提供最优的区间传输，选用框式交换机，部署在通信机房内，向上与同机房数据中心出口路由器通过万兆链路口字型互联，向下与各二级网络汇聚节点交换机通过千兆链路星型互联。 汇聚层可以提供基于策略的连接，选用框式交换机，部署在各个监控中心内，而接入层可以为多业务应用和其他的网络应用提供终端到网络的接入，选用机架式交换机，部署在各个值班或监控点内，以千兆链路上联汇聚层交换机。

        从接入层到和核心层网络通信全采用双机全热备确保网络冗余设计及虚拟化组网，通过选型支持堆叠+Eth-Trunk技术将两台核心交换机或两台汇聚交换机构建堆叠交换机系统来实现，并优先选用支持堆叠连接链路采用主控板直连方式，实现管理链路和转发链路分离的交换机。

骨干主网示意

1.核心层

        核心层是网络主干部分，是整个网络性能的保障，其设备包括路由器、防火墙、核心层交换机等等。

        核心层是所有流量的最终承受者和汇聚者，所以对核心层的设计以及网络设备的要求十分严格，它的功能主要是实现骨干网络之间的优化传输，骨干层设计任务的重点通常是冗余能力、可靠性和高速的传输。因此，核心层设备采用双机冗余热备份，并使用负载均衡功能，来改善网络性能。网络的控制功能最好尽量少在骨干层上实施。在中心通信机房部署两台专网核心交换机，实现互为热备份与业务分担工作模式，向上与同机房数据中心、出口路由器通过万兆链路口字互联，向下与各二级网络汇聚节点交换机通过万兆链路星型互联。

2.汇聚层

        汇聚层也被称为分布层，它是网络接入层和核心层的“中介”，用来连接核心层和接入层，处于中间位置，它在工作站接入核心层前先做汇聚，以减轻核心层设备的负荷。在各监控中心（总控、分控）放置两台汇聚交换机，通过万兆链路光纤连接到核心层交换机实现视频业务上传。向下与各接入交换机通过千兆链路星型互联。

        汇聚层具有实施策略、安全、工作组接入、虚拟局域网（VLAN）之间的路由、源地址或目的地址过滤等多种功能。在汇聚层中，采用支持三层交换技术和VLAN的交换机，以达到网络隔离和分段的目的。

3.接入层

        将网络中直接面向终端连接或访问网络的部分称为接入层，具有低成本和高端口密度特性。在各值班、监控点放置一台接入交换机用于接入远端点位；通过万兆链路光纤连接到汇聚，向下支持各个智能网络箱内的光纤交换机通过千兆链路接入。

        接入层为用户提供了在本地网段访问应用系统的能力，主要解决相邻用户之间的互访需求，并且为这些访问提供足够的带宽，接入层还应当适当负责一些用户管理功能（如地址认证、用户认证等），以及用户信息收集工作（如IP地址、MAC地址、访问日志等）。非IP设备通过通信转换装置实现IP接入。

3功能设计

        核心层交换机的主要功能是用于路由选择及高速转发的，提供优化、可靠的骨干传输结构，因此核心层交换机应用有更高的可靠性和吞吐量。汇聚层交换机是多台接入层交换机的汇聚点，作用是将接入节点统一出口，同样也做转发及选路。它能够处理来自接入层设备的所有通信量，并提供到核心层的上行链路。接入层交换机的功能是将终端用户连接到网络，具有低成本和高端口密度特性。

3.1安全运维

        建设网络入侵检测系统，提供网络入侵检测、防护、告警等功能，网络用户异常行为可监测告警。

        建设病毒防护系统，提供网络系统的病毒检测、客户端定期升级等功能，用户端部署杀毒软件，防止病毒入侵、感染。

        建设网络管理系统,提供网络状态实时监测、故障告警、网络分析、网络管理等功能。

3.2虚拟化技术

        网络核心层和汇聚层设备都进行了虚拟化的部署，以提高整个网络的可靠性以及资源利用率。

        采用虚拟化技术组网后具备如下特点：

（1）简化管理—虚拟化堆叠组形成后，用户通过任意成员设备的任意端口都可以登录虚拟化系统，便于对虚拟化集群内所有成员设备进行统一管理；

（2）高可靠性—虚拟化堆叠组的高可靠性体现在：

        虚拟化堆叠组由多台成员设备组成，Master设备负责虚拟化堆叠组的运行、管理和维护，Slave设备在作为备份的同时也可以处理业务；

        一旦Master设备故障，系统会迅速自动选举新的Master，可保证业务不会中断；

        此外，成员设备之间的虚拟化堆叠组链路支持聚合功能，虚拟化堆叠组和上、下层设备之间的物理链路也支持聚合功能，多条链路之间可以互为备份也可以进行负载分担，从而进一步提高了虚拟化堆叠组的可靠性；

（3）扩展设备的转发能力——通过增加成员设备，扩展了虚拟化堆叠组的端口数、带宽。由于各成员设备都有CPU，能够独立处理协议报文、进行报文转发。

3.3开放架构

        网络设计采用通讯协议和接口符合国际标准，支持国际上通用标准的网络协议（如TCP/IP）、国际标准的大型的动态路由协议（如BGP，OSPF）等开放协议，有利于保证与其他网络在之间的平滑连接互通。

        同时，基于开放应用架构的设计理念，可提供对外开放的业务平台及其一套完整、标准的对外接口（API接口）。

3.4QOS策略

        比如视频监控、视频会议需要高带宽、低延迟抖动的保证；语音业务虽然不一定要求高带宽，但非常注重时延，在拥塞发生时要求优先获得处理。

        服务质量QoS是各种存在服务供需关系的场合中普遍存在的概念，它评估服务方对客户的服务需求提供支持的能力，目的就是向用户的业务提供端到端的服务质量保证。一般情况，QoS度量指标如下：

•    吞吐量（Throughput）：又可称为带宽，表示一定时间内业务流的平均速率。通常通过流量监管（CAR）、流量整形（GTS）实现带宽调度。
•    时延(Latency)：表示业务流穿过网络时需要的平均时间。对于网络中的一个设备来说，一般将不同时延的业务分为几种优先级，通过队列调度保证业务需求。
•   抖动(Jitter)：表示业务流穿过网络的时间的变化，可通过拥塞避免等技术防止流量抖动。
•   丢包率（Drop Ratio）：在网络中传输数据包时丢弃数据包的最高比率。数据包丢失一般是由网络拥塞引起的。

        针对带宽、时延、抖动、丢包率等要求，QoS可以通过优先级映射、流量监管、流量整形、队列调度、拥塞避免等技术提升网络服务质量，满足用户在有限的资源限制情况下，获得多业务部署的最佳体验。推荐采用Diff-Serv模型提供Qos保障。

3.5绿色节能

        节能减排，是当下网络建设的重要目标之一。

        IT设备的整体能耗约占到网络机房总体耗能的30、空调等制冷系统约占45%、UPS及照明等辅助系统约占25%。

        在网络侧采用如下方案实现绿色数据业务网的建设：

（1）选用具备优良的散热风道的低能耗绿色网络设备。

（2）采用网络与安全融合的设备，相对于多台同等性能的独立设备而言，可节能约50%以上。

（3）网络安全设备，以硬件业务模块的形态扩展在路由器和交换机上，在提供可靠性的同时，降低能源消耗。

4.性能设计

        核心层交换机是三层交换机，高速转发，有大容量接口带宽（比如万兆接口），较大的背板处理能力，因此它的性能以汇聚层交换机和接入层交换机都要高。汇聚层交换机也具备部分路由功能，可以是二层/三层交换机，而接入层交换机属于二层交换机，因此汇聚层交换机与接入层交换机比较，性能更高，端口更少和速率更高。这三种交换机的性能对比结果是：核心层交换机>汇聚层交换机>接入层交换机。

5.应用设计

        对于核心层交换机、汇聚层交换机以及接入层交换机，它们处于哪一层主要取决于网络环境的大小及设备的转发能力，其主要是要求更经济、节能并简化的运维方式，以及满足业务对高宽带、高安全性及高可靠性的要求。

网络分层应用

5.1应用概述

        通过整合通信网络设施和信息资源，构建高速数据传输、开放共享的综合信息交换处理平台，形成数据汇集、管理和应用的完整链条，满足管控平台、边缘计算、末端监控点的网络传输需要。

        网络系统建设的目标是为实现远程指挥、日常执勤值班、实时监控等提供先进可靠的数据承载传输平台，共需要建设局域网、指挥网、跨区网物理隔离的网络传输承载网络系统，以及用于各功能房间音视频交互的网络系统。

        计算机网络设计覆盖跨区，要求区域间直接传输速率主干到万兆，各区域的网络主干从其汇聚交换机全部汇聚到某区域网络中心机房的核心交换机，同时要求具有通畅的外部连接通道，接入相应的网络系统，设计核心交换、汇聚交换、接入交换三层网络，以满足监控、办公和日常管理等业务需求，为便于维护为每种网络配备独立网管软件，能够对所有网络设备进行远程管理、故障报警、网络流量监控管理，使网络具有高性能、可靠性、安全性、前瞻性、易管理和易维护性。

        所有网络设备具备安全保密措施：所有网络采用物理隔离的方式并架设网络防火墙。配置专用网管软件和配套硬件，能对不同专网分别实施集中网络管理、网络配置和网络监控能力。

        传输线路以光缆为主干，六类非屏蔽千兆网线为支线，用户速率不低于千兆。为保障网络稳定，配备高性能核心网络交换机部署在网络信息中心机房，核心网络交换机采取双机冗余热备份技术，核心网络交换机与各区网络汇聚交换机采用双线路链路聚合方式，既可使骨干网络带宽达到万兆以上，也保证如果1条主干线路或1个核心网络交换机出现故障，网络仍然能够正常运行。与其它监控点之间采用接入交换机接入布设在监控中心的汇聚交换机。

        网管系统为网络配置台式计算机用于安装配置网管系统监控网络，工程实施时，为网络配置笔记本电脑用于网络管理。按工程实施需求配置光纤熔接机、OTDR 光时域反射仪和光功率计等设备用于检测光路信号故障和熔接光纤。

5.2系统设计

        釆用核心一汇聚一接入的3层网络设计。核心交换机通过万兆光纤与汇聚交换机和数据中心连接，汇聚交换机通过万兆光纤与接入交换机连接，保障汇聚到各楼层以及数据中心的高速骨干，稳定运行信息系统等高带宽需求的业务系统。

        核心层设置于某地区信息中心机房。设置两台支持业务扩展的框式交换机，通过万兆链路捆绑实现虚拟化，提高光纤线路利用率和故障切换时间。同时在核心上启用虚拟化功能，并根据业务服务器区、安全运维区、有线接入区等划分不同VLAN，并定义相应的DHCP资源池。

        汇聚层设在各区机房，通过万兆链路捆绑实现虚拟化，通过万兆光纤与核心交换机连接，通过万兆光纤与接入交换机连接。

        接入层主要在各个监控或值班点，放置相应多口（24口）千兆接入交换机，多台接入层交换机通过万兆堆叠线堆叠成一台逻辑设备，方便管理。通过光纤链路下联到安防监控点，同时其通过万兆光纤连接到汇聚交换机。

5.2.1SDN方案

        采用VXLAN+SDN的技术，通过构建基于VXLAN的新一代的柔性基础网络，支持BGP-EVPN作为VXLAN的控制平面，简化VXLAN 的部署，配合软件定义的相关理念，实现整个安防网范围内的“网随人动”的效果，在不需要做任何网络配置调整，增加运维复杂度的基础上，让人和终端可以在整个营区任意角落移动，保持用户和终端始终处于既定的隔离网络、延续既定的网络策略，从而大大降低营区网的运维复杂度，满足移动化和物联网浪潮下对于营区区网络新的诉求。

具体实现步骤如下:

        识别：SDN方案可以自动识别用户所属的用户组、也可以自动识别物联终端，比如IP可视电话、视频监控设备等。

        标记:SDN利用柔性网络的位址分离的能力，既可以把用户组或同一类终端捆绑成同一类业务，通过固定的IP网段对该业务进行标记；还可以通过该网段内IP对终端或用户进行终生绑定，成为用户或终端在网络的唯一标识。

        策略：SDN方案可以针对营区网内的业务按照VRF进行业务上的强隔离，也可以针对同业务内的终端和用户按照ACL进行弱隔离；还可以结合5W1H的场景限定网络内相关人员和终端在不同时间、位置等场景下获取不同的网络权限。

        跟随：用户终端位置变动、IP不变、接入的虚拟网络不变、策略不变；营区内执勤部门及人员增加，网络也无需调整，可以自适应。

5.2.2IPv6 建设

        为适应IPv6的发展，要求按照IPv6网络进行建设和部署。核心交换机支持ipv6/ipv4隧道、双栈、协议转换转换。

        在实际运行中，将不可避免有IPv4网络的接入。对于中心内部的IPV6/IPV6转换由本项目的核心交换机完成。

6规划设计

6.1软件系统规划

客户端

        PC安装代理客户端软件，并将软件中的认证模式设置为802.1XO

服务器端

        -认证前域部署准入服务器、DHCP服务器、DNS服务器，以及软件服务器。

        -隔离域部署补丁服务器、病毒服务器。

        -网络管理服务器及业务系统部署在认证后域。

        -根据网络可靠性级别要求，可部署准入服务器备份。

6.2网络设备规划

IP地址的规划原则：

        唯一性：一个IP网络中不能有两个主机采用相同的IP地址。即使使用MPLS（Multiprotocol Label Switching，多协议标记交换） 或VPN（Virtual Private Network，虚拟专用网）隔离，也建议不同VPN-Instance（VRF）下不要使用相同的IP地址。

        连续性：同一业务的节点地址要连续，便于路由规划和汇总。连续的地址便于路由聚合，可以减小路由表的大小，加快路由计算和收敛速率。比如，汇聚交换机下接入的网段可能有很多，在规划的时候需要考虑路由聚合，这样可以减少核心网络的路由数。

        扩展性：地址分配在每一层次上都要留有余量，在网络规模扩展时无须新增地址段及路由条目。

        易维护：设备地址段、各业务地址段清晰区分，易于后续基于地址段实施统计监控、安全防护等策略。好的IP地址规划使每个地址具有实际含义，看到一个地址就可以大致判断出该地址所属的设备。IP地址的规划可以与VLAN的规划对应起来。例如，IP地址的第三个字节与VLAN编号的后三位保持一致，这样可以便于管理员记忆和管理。

IP地址：

        客户端IP地址使用DHCP动态获取，用户终端的静态地址可以通过动态分配不变地址的方法解决。有以下两种方法：

        -用户终端申请一次IP地址后，在DHCP Server上将IP与MAC绑定，以后此MAC的终端上线都分配同样的IP地址。

        -釆用option82将IP地址与用户上线的交换机、交换机端口绑定，以后此端口上线的用户都分配同样的IP地址。

VLAN规划：

        VLAN可划分为认证前域Guest VLAN、隔离域Isolate VLAN、认证后域VLAN 三类。实际部署时可以按职能部门分配VLAN,同时预留Guest VLAN和隔离VLAN, 为执勤分配不同的VLAN和ACL列表，隔离流量、分权分域。

域规划：

        认证前域、隔离域、认证后域通过VLAN规划来区分，各个VLAN的访问权限 在汇聚交换机上配置ACL实现控制。部署中根据实际情况，认证前域和隔离域可 以合并为一个域。

认证配置：

        -接入层设备作为接入控制点，配置802.1X认证，指定EAP模式。

        -PC代理客户端配置802. IX认证。

        -打印机、IP 可视电话等终端配置MAC认证。

        -如果即有打印机又有PC从端口接入，则可在接入设备上配置MAC 旁路认证。

6.3路由设计

        路由设计包括内部路由、出口路由。

        内部路由设计主要满足内部设备、终端的互通需求并且与外部路由交互。根据网关位置，按照下方场景设计内部路由：

        网关在汇聚层，核心层、汇聚层都需部署路由，考虑路由表能够根据网络拓扑变化而动态刷新，推荐规划IGP动态路由协议，如OSPF。

        出口路由设计主要满足内部流量访问外部网络的需求。出口需要支持多种链路用于外部互访，需要大量路由引入营区内部，因此建议规划动态路由协议，如OSPF。

        Router ID建议采用Loopback接口IP地址，Router ID选择规则：

        − 优先从Loopback地址中选择最大的IP地址作为路由器的Router ID。

        − 如果没有配Loopback接口，则在接口地址中选取最大的IP地址作为路由器的Router ID。

        − 只有当被选举为Router ID的接口IP地址被删除或修改后，才会进行Router ID的重新选举。

        区域（Area）划分遵循核心、汇聚、接入的分层原则，骨干区域建议包含出口路由器和核心交换机，非骨干区域的设计则是根据地理位置和设备性能而定。如果在单个非骨干区域中使用了较多的低端三层交换产品，由于其产品定位和性能的限制，应该尽量减少其路由条目数量，把区域规划得更小一些或者使用特殊区域。

6.4安全策略规划

        -准入服务器上可以统一配置安全模板，模板内确定安全检查项目，并制定安全级别，安全级别分为一般及严重。

        -终端PC如有一般违规，认证后进入认证后域，准入服务器会下发认证后域的VLAN给接入交换机进行权限控制。虽然没有进行权限限制但是终端PC会收到违规告警，提示用户尽快进行违规修复。

        -用户的终端PC如有严重违规，认证后进入隔离域，终端PC的权限会受到控制，并且会收到严重违规告警，提示用户尽快进行违规修复。 用户可以通过自动修复按钮进行自动修复。修复成功后用户才能够获取认证后域的权限。

        -NAC系统Agile Controller提供实时进行安全检查，如果终端PC重新违规，会触发重新认证进入隔离域，并告警提示。

6.5用户权限规划

合法用户权限控制

        -接入层使用802.lx认证，通过认证前后VLAN的切换变更用户权限。VLAN或网段访问权限控制在汇聚层交换机上配置ACL实现。

不合法用户权限控制

        -不合法用户及未认证用户都在接入交换机上被限制访问权限，只能接入到Guest VLAN限定的网络。

不安全的用户权限控制

        -802.1X认证必须安装代理客户端，准入服务器与终端代理联动对客户端进行安全检查，对于存在不同级别安全风险的终端将会分别对 待。

        -普通的安全违规，如用户未设屏保，共享文件等小风险违规，终端软件将会进行风险提示，但是不会对用户权限进行变更。

        -如果终端有重大安全违规，如补丁未升级，病毒库未更新等，此类安全隐患如不控制将会对内网造成极大危害，所以此类用户将会被直接划入隔离域，并告警提示用户违规并修复。终端代理软件提供了一键自动修复功能，方便用户进行违规修复，待终端修复后再次进行安全检查，如符合安全策略，代理终端自动进行重认证，获取到认证后域的网络权限。

6.6可靠性规划

        - 可以在接入交换机上部署DHCP snooping, IP Source Guard等安 全特性防止用户间地址盗用、欺骗。还可以绑定用户或客户端到交换机 端口，有效限制接入终端和防止终端盗用

6.7资源命名设计

设备命名

        为了方便快捷的标识网络中的设备，需要给网络设备进行命名，遵循如下规则：

1. 网元名称在全网范围内命名唯一。
2. 能表示出网络设备的类型。
3. 能表示出网络设备的物理位置（或机房所在地）。
4. 能表示出网络设备所属的网络层次。
5. 相同物理位置和网络层次的网络设备由不同序号区分。
6. 能反映出该设备的业务属性和网元功能。

举例：

        网络中设备的命名格式为: 物理位置-设备类型-设备描述-序号

        物理位置：反映网元在网络中部署的位置。例如：国内的企业局点，建议使用中文名字或者拼音，国外使用英文缩写。比如：N8，Nanjing，N8F2等等。

        设备类型：表示设备的物理型号，例如：CE12808，S7706，AR3260等。

        设备描述：描述网元在网络中得角色，例如：Core，Agg，Access，Out等

        序号：网元序号为三位数字，具有相同设备类型，设备描述和物理位置的网元设备以序号001，002表示。

接口命名

        为了便于设备维护，快速定位，需要定义网络中各种物理端口，逻辑端口的命名设计。

6.8堆叠配置

        堆叠中的单台交换机称为成员交换机，按照功能不同可以分为以下角色：

        • 主交换机

        主交换机（Master）负责管理整个堆叠。堆叠中只有一台主交换机。

        • 备交换机

        备交换机（Standby）是主交换机的备份交换机。当主交换机故障时，备交换机会接替原主交换机的所有业务。堆叠中只有一台备交换机。

        主、备交换机都可以进行业务流量的转发。添加、移除或替换堆叠成员交换机，都可能导致堆叠成员角色的变化，堆叠交换机系统配置简要步骤如下：

1. 配置各个成员交换机的堆叠成员ID，优先级，域ID以及堆叠连接方式；
2. 在成员交换机创建及配置堆叠端口；
3. 堆叠配置检验，保存配置并使能设备堆叠功能。