新一代公安信息网网络方案

新一代公安信息网设计方案总体要求一二三骨干网设计要求接入网设计要求骨干网和接入网互联要求建设任务目录四五链路、设备选型参考六一、总体要求需求分析业务需求1.公安大数据建设需求，支撑公安大数据战略，建立适应大数据高速传输、可靠高效的网络。2.用户访问需求，汇聚公安各类用户终端，建立统一的安全访问通道，满足高并发访问要求。3.数据交换需求，汇聚公安内外部各类数据，满足各部门间高效共享，部、省、市间数据高速交换。4.网间数据交换和访问需求，提供跨网的安全接入、数据交换和高并发的应用访问网络通道。功能需求1.多业务承载，包括警务工作、大数据业务、视频监控、移动警务、视频语音会议、PDT等2.用户数据分离，分别满足数据交换的传输效率和用户访问的安全控制3.IPv6网络，遵循国家战略要求，分享下一代互联网技术红利。4.高效运维，基于大数据、AI等新技术实现网络的“统一标准，分级管理，协同运维”需求分析性能需求1.带宽，可弹性扩容，平均峰值带宽利用率应不大于50%2.时延、抖动、丢包率，针对不同业务类型，提供SLA性能保障网络安全需求1.网络协议、设备、架构，要求合理稳定可靠，抵抗设备故障、自然灾害、战争等网络可用性风险2.网络准入，对入网的终端、哑终端、网络设备配置统一的准入控制和管理3.安全访问与交换平台，合理部署安全访问与交换平台在网络中的位置，通过网络配置保证流量流向不跨越安全访问与交换平台公安部大数据智能化建设-网络任务构建新一代公安信息网：•优化网络架构，构建扁平、高效的公安网骨干网；•建设数据中心机房间互联网络，实现多数据中心资源整合；•提升网络自动化水平，实现新业务快速部署；•增强网络感知能力，为公安大数据业务提供差异化服务；•融合业务专网，强化公安敏感业务数据访问控制；•加强网络安全纵深防御，实现网络主动防护；•开展网络运维智能化建设，实现网络精细化管理。新一代公安网的主要特点1、用户数据分离5、网络扁平化6、IPv62、专网融合3、多网互通4、综合承载7、智能管理新一代公安信息网——网络架构设计演进需求分析关键设计设计关键里程碑网络和业务分离全国建设应用推进会2019.3月现场宣贯方案，介绍广东试点经验。2019.4月广西南宁全国培训宣贯。网络支撑大数据战略架构扁平化、用户/数据两网承载带宽弹性、支持10G/100G、灵活调度节省投资、应急保障及时下发、主备冗余用户和数据分离极简架构新一代公安信息网2019.3月采纳专家意见，并结合公安大数据发展的网络需求调整方案。2019.3月完成《新一代公安信息网网络架构技术要求》和《新一代公安信息网第一阶段建设任务》。多业务承载稳定可靠构建安全访问控制平台，消除网络壁垒，融合业务专网PKI/PMI认证、终端复用大带宽专家论证2019.2月邀请专家教授论证。提出针对公安信息网的网络架构和技术建议，并更名“新一代公安信息网”。用户数据分离全程国密加密、主动防御、整网防御、对整网威胁状态做到态势感知可信安全业务自动化运维智能化“一网双域”的公安信息网2018.10月成立工作组对网络演进方案研讨。研究专网融合，网安专网升级改造，分步骤演进。2018.11月形成“一网双域”公安信息网网络架构和三个阶段演进步骤。2018.12月深圳会议。“一网双域”方案和第一阶段任务征求意见。网络智能管理用户/业务的行为数字化、构建网络感知体系、全网统一监控、云网安维协同网络大数据和AI网络架构设计新一代公安网由骨干网和接入网组成，新一代公安信息网骨干网分为一级网和二级网。骨干网是用来连接部、省、市各级接入网的高速长途网络，承载语音、视频、数据等多种公安业务，满足大带宽、高质量的网络需求。骨干网一级网二级网接入网接入网划分为部级接入网、省级接入网、市级接入网。各级接入网包含用户汇聚节点、数据汇聚节点及用于终端接入的其他网络设施。部级接入网省级接入网市级接入网新一代公安信息网与公安信息网架构对比公安信息网新一代公安信息网骨干网接入网部级局域网、城域网一级网部级接入网省级接入网市级接入网省级二级网一级网局域网、城域网市级局域网、城域网三级网二级网接入网新一代公安信息网与公安信息网架构对比对比项新一代公安信息网公安信息网骨干网两级，简化了网络结构，提高了网络效率；去中心化，将部级节点调整为接入网，提高了网络可靠性。网络拓扑骨干网三级，网络结构复杂管理域划分细化，有利于用户数据分离和网络安全控制。对应管理区域为：部级管理域管理一级网和部级接入网、省级管理域管理二级网和省级接入网，市级管理域管理市级接入网。管理域划分相对较粗网络管理数据和用户分离，用户终端和数据分别接入，数据接入专注数据承载能力，用户接入专注终端接入，提高了网络设备效率，便于安全实现。网络安全IP技术数据和用户不分离基于ipv4基于ipv6运维技术应用AI、大数据技术实现智能管理智能化程度较低新一代公安信息网——网络架构图接入网外部网络骨干网终端用户汇聚节点一级网外网接入安全平台主数据中心公安部区域节点数据汇聚节点数据汇聚节点数据汇聚节点分数据中心备份数据中心终端终端省级节点二级网外网接入用户汇聚节点数据汇聚节点安全平台数据中心重点市级节点市级节点市级节点外网接入用户汇聚节点数据汇聚节点安全平台数据中心骨干链路用户接入链路数据接入链路新一代公安信息网——网络管理设计原则1.统一标准：由公安部制定全国统一的网络管理资源、接口、流程、权限、操作和数据的标准化规范；2.分级管理：骨干网由公安部统一监控，一级网、二级网由公安部、各省厅分别管理，各级接入网由各级单位分别管理；3.协同运维：在部省市三级的用户汇聚网络部署“用户网管系统”，在数据汇聚网络部署“数据网管系统”，并统一接入本级的“网络智能管理平台”。各级“网络智能管理平台”间通过标准接口实现全国级联。分级管理-省级网络管理范围网络智能管理平台用户网管系统数据网管系统新一代公安信息网公安信息网骨干网二级网数据汇聚节点用户汇聚节点二级网省级节点省级核心数据中心出口安全平台数据中心市级节点市级核心终端分级管理-市级网络管理范围网络智能管理平台用户网管系统数据网管系统公安信息网数据汇聚节点用户汇聚节点市级核心三级网数据中心出口安全平台数据中心县级核心终端二、骨干网设计要求1、骨干网架构要求2、骨干网管理要求2.1、骨干网架构要求（一）、骨干网网络设计1.定义：新一代公安信息网的骨干网，是一张新建的覆盖全国的高速综合承载骨干通道，作为部、省、市各级接入网的数据交换和用户访问的高速广域网络。骨干网公安部区域节点一级网2.组成：公安部区域节点、省级节点、重点地市节点、市级节点等骨干节点及骨干节点间互联链路。不再延伸到县及以下。3.分级：骨干网采用层次化架构覆盖全国各省市，分为一级网和二级网。由公安部管理一级网，由省厅管理二级网。4.结构：一级网由公安部区域节点组成，去中心、扁平化、按需互联组网，承载公安部区域节点间流量的高速转发。二级网由省级节点、市级节点组成，按需采用灵活、可靠的拓扑结构，承载省市节点间流量的高速转发。重点市级节点同时上联省级节点和公安部区域节点。骨干网以路由控制为主，不可以部署透明模式的防火墙。公安部区域节点公安部区域节点公安部区域节点公安部区域节点二级网省级节点省级节点市级节点重点市级节点市级节点市级节点新一代公安信息网与公安信息网骨干网比较对比项公安信息网无新一代公安信息网用来连接部、省、市各级接入网的高速长途网络一级网、二级网骨干网定义骨干网包括一级网、二级网、三级网逐级汇聚去中心、扁平、结构简单一级网：区域节点扁平组网二级网：星型或其他一级网：1+8+32星+环组网；二级网：星形组网三级网：星型、环形网络结构IP技术IPv4155M-2.5GIPv6为主，IPv4为辅链路带宽端口类型标志性划代标志性特征10G-更高POS、以太以太IP战胜ATMIPv6替换IPv4全互联、抗毁性、应急性大带宽、高效转发、低时延、下一代互联网一级网设计1.组成：一级网由公安部区域节点、公安部区域节点间链路、公安部区域节点到省级节点链路、公安部区域节点到重点市级节点链路组成。公安部区域节点2.功能：为二级网省级节点、重点市级节点提供骨干承载；为公安部接入网提供高效接入，实现公安部数据中心间的异地高速数据交换。公安部区域节点公安部区域节点公安部区域节点3.部署：一级网公安部节点公安部区域节点之间采用多设备、多链路、按需互联、扁平化组网；双设备部署，与其他区域节点最少双链路互联；双设备部署在不同机房内。4.选址：一级网公安部区域节点的部署位置选择，根据社会数据资源分布、运营商链路资源分布、联网终端数量分布、IT资源配置情况和抗各类风险等因素综合考虑。公安部区域节点二级网设计1.组成：二级网由省级节点、市级节点和重点市级节点以及省市节点之间链路组成。重点市级节点由公安部统一指定。2.功能：为各省接入网提供高效接入，实现本省数据中心间的异地高速数据交换。3.结构：二级网按需采用灵活、可靠的拓扑结构，例如“星型”、“环形”组网。省级节点重点市级节点4.选址：骨干接点选址应综合考虑本省数据中心分布情况，运营商链路资源情况，数据机房建设情况。市级节点市级节点5.部署：二级网节点要求最低部署双设备双链路口字型组网保障可靠性；省级节点双设备要求部署在不同机房。二级网设计-省市互联省-市模型省级节点组成：由省级节点、市级节点和省/市节点之间链路组成。结构：高可靠，省级节点、市级节点均采用双设备部署，省级节点与市级节点双链路口字形互连。功能：接入本省的省级、市级接入网，实现本省各接入网的高效连接；向上连接一级网，实现本省各接入网与公安部、其他外省接入网的高效连接。性能：市级节点与省级节点间应不少于2个千兆带宽。重点市级节点市级节点市级节点省级星型组网的二级网示例二级网设计-重点地市互联重点地市模型公安部节点一级网二级网结构：重点市级节点采用双设备、双链路、口字形跨接上连到公安部区域节点。省级节点重点市级节点重点市级节点上联组网示意骨干网设备要求、带宽要求、端口要求，可靠性要求设备端口根据各地实际业务需求配置，冗余数量不低于50％。设备接口要求设备功能/性能要求1、支持BGP/LDP/OSPF/IS-IS协议;2、IPV6路由：支持IPV4、IPv6双协议栈、支持OSPFv3、BGP4+、IS-ISIPv6；3、支持对VPN路由的按需管理和控制能力，满足对VPN业务的区分管理和控制；采用路由功能。建议双设备双链路。新一代公安信设备端口要求支持10GE，可平滑演进40GE、100GE。息网骨干网设支持200G及以上平台，单槽位支持20个万兆端口，4、具备快速路由收敛能力，切换小于300毫秒，回切不丢包，保证业务不中断备支持POS，支持OC12，OC48。槽位不低于3槽位。5、IPv6线速转发不丢包6、设备具备线速转发能力，64字节转发不丢包7、主控、风扇、电源等关健部件具备冗余保护；8、支持按需灵活配置的低时延、低抖动能力，保障业务带宽；9、板卡支持热插拔、热补丁升级。2.2、骨干网管理要求（二）、骨干网路由设计骨干网一级网公安部区域节点AS：645121.骨干网一级网、二级网采用相互独立的路由自治域。骨干网部-省分级管理。2.一级网公安部区域核心为一个自治域。3.二级网省级节点，市级节点为一个自治域。4.沿用现有公安网一级网与二级网的AS号。二级网省级节点AS：645XX市级节点三、接入网设计要求1、接入网总体设计2、用户汇聚网络设计3、数据汇聚网络设计3.1、接入网总体设计（一）接入网总体设计1.定义：接入网是将本地数据中心、固定终端接入到骨干网的同城互联网络。2.组成：各级接入网由数据汇聚节点、用户汇聚节点、本地接入网络设备和链路组成。3.分级：接入网分为公安部接入网、省级接入网、市级接入网。数据汇聚节点用户汇聚节点4.结构：数据汇聚节点和用户汇聚节点作为接入网核心起着承上启下的作用，采用高端核心路由器和高速链路，对上连接至骨干网节点，对下汇聚接入本地的用户网络终端流量和本地的数据中心流量，避免大量的接入