XX省高速公路专用通信网设计方案

yilei97

XX省高速公路专用通信网是承载实现包括收费系统、监控系统、通信系统、养护管理系统、工程数据库、事故分析及紧急救援系统、公众信息发布系统等业务系统。专用通信网主要实现与部机关及其它在XX直属单位业务信息系统的连接，同时依托拟建的高速公路干线传输网实现与省内各交通行业业务信息系统的连接。专用通信网的建设将提高基础传输网带宽资源的利用率，为相关部门提供灵活、便捷的宽带数据传输服务。

根据部省间业务信息传输需求，核心数据网以成都A、成都B为核心节点，以XX省各地市为接入节点，依托高速公路干线光传输网宽带资源，采用IP技术建成贯通全省的宽带通信平台骨干网。为XX省高速公路输行业管理的各类业务系统提供稳定高效的数据承载网络支撑。

1.1  网络总体方案

核心数据网采用主流IP承载网技术进行建设。结合XX省高速公路业务信息流量、流向分布情况，成都A、B、绵阳、宜宾、广元、乐山等16个节点作为数据网骨干网大区节点，每个节点设置一套大区节点路由器设备。依托拟建的高速公路干线光传输网实现与各省交通系统单位数据承载网的连接。

1.2  带宽需求估算

核心数据网主要承载XX省地市业务信息系统数据信息的传输。考虑到地市间业务主要呈现汇聚性的特点，中心干线传输系统与数据网传输接口带宽按不小于10G 考虑。

1.3  IP地址规划

本工程建设的核心数据网为交通行业系统内部专用网络，与其他外部网络没有业务联系，因此将全部使用私有地址空间。

根据交通运输部目前数据网的网络地址设置情况，结合各个接入节点网络规模情况，并适当考虑将来发展对地址空间要求，按RFC1918中保留地址网段：10.0.0.0 - 10.255.255.255资源中进行分配。各个站点分配的地址尽量连续，方便聚合。

具体分配方案由根据所选设备地址配置要求，通过现场勘查，与用户协商后，最终提出并确定地址分配方案。

1.4  网络安全

为保证系统网络的安全运行，应至少采取如下技术手段加强数据通信系统的安全。

1.4.1  防火墙

在各节点核心数据网节点安装防火墙，能根据制定的安全策略来控制出入网络的信息流，进行基于地址的粗粒度访问控制，还可以通过口令认证对用户身份进行鉴别，既而实现基于用户的细粒度访问控制。

本次防火墙的部署方式采用在节点核心路由器上配置防火墙插卡，这样实现了安全与网络的融合，能够减少单点故障，提高可靠性。在路由器设备内部，防火墙插卡通过背板总线进行数据交换。即便防火墙板卡出现故障，可以通过Bypass方式使得流量自动绕过故障插卡，保证业务流正常处理和转发，不会出现单点故障。

同时借用路由器设备所有的关键部件都可以冗余部署。单独的盒式设备，一般最多提供双电源的可靠性设计。而插卡式设备，包括电源、引擎、接口板、业务板等都可以冗余部署，提高了可靠性。

1.4.2  安全审计

安全审计设备主要完成对网络系统中的网络设备运行状况、网络流量、用户行为等进行日志记录。审计记录包括：事件的日期和时间、用户、事件类型、事件是否成功及其他与审计相关的信息；能够根据记录数据进行分析，并生成审计报表；对审计记录进行保护，避免受到未预期的删除、修改或覆盖等。

1.5  网管系统1.5.1  总体要求

（1）   核心数据网网管系统能够将本工程新建的所有网络设进行资源数据配置管理、拓扑配置管理、性能管理、故障管理，权限管理等基本功能。XX省高速公路专用通信网核心数据网所有大量设备节点分散的广域网络中，需要对这些用户侧设备进行有效的远程集中管理，本次部署网管系统支持分支节点部署管理能力        

（2）   网管系统采用B/S结构。全网系统运维数据同时送到主备用网管系统，主备用网管系统间保持数据的同步。当主用网管系统出现故障时，可倒换至备用网管系统，实现对网络的监控。倒换实现采用双机冷备的方式，即两台网管服务器角色分别设置为主网管服务器，备份网管服务器。在正常情况下，由主网管服务器提供网管功能，当主网管服务器发生故障时，网管业务切换至备份网管服务器上。

（3）   网管中心网元管理系统硬件平台由网管服务器、数据存储设备、数据通信设备以及相关的应用和系统软件组成，软件平台应支持开放型系统结构，全中文多窗口的操作系统。

1.5.2  基础网络管理

第一章  

1.1

1.2

1.3

1.4

1.5

1.5.1

1.5.2

1.5.2.1 资源管理

网络的管理支持网络资源、用户和业务的融合管理，提供基本的网络资源管理、拓扑管理、故障管理、性能管理、用户管理及系统安全管理，基于B/S架构，通过资源管理与拓扑管理作为整体共同为用户提供网络资源的管理，通过资源管理可以：

网络自动发现：可以通过设置种子的简易方式、路由方式、ARP方式、IPSec VPN、网段方式等五种自动发现方式自学习网络资源及网络拓扑，自动识别包括：路由器、交换机等多种类型网络设备；

网络手工管理：可以手工添加、删除网络设备，可以批量导入、导出网络设备，批量配置Telnet、SNMP参数，以及批量校验Telnet参数等辅助功能；

网络视图管理：支持IP视图、设备视图、自定义视图、下级网络管理视图等多种管理视图，用户可以从不同角度实现整个网络的管理；

网络设备的管理：从任何一种网络视图入口，都可以实现对网络设备的管理，包括：支持对设备的管理/去管理、接口的管理/去管理、设备的详细信息显示和接口详细信息显示、设备和接口实时告警状态、设备和接口的实时性能状态、实时检测存在故障的设备等，用户可以方便的实现所有设备的管理；

设备及业务管理系统的集成管理：支持对主要厂家设备的管理，支持手工添加设备厂商、设备系列及设备型号；支持设备面板管理的动态注册机制，实现与各厂家设备管理系统的有效集成；支持拓扑定位、ACL、VLAN、QoS等业务管理系统的集成，实现设备资源的统一管理；

设备分组权限管理：支持设备分组功能，通过对设备资源进行分组管理，系统管理员方便的分配其他管理员的管理权限，便于职责分离；

1.5.2.2 网络拓扑管理

从网络拓扑的解决直观的提供给用户对整个网络及网络设备资源的管理。拓扑管理包括：

拓扑自动发现

可以自动发现网络拓扑结构，支持全网设备的统一拓扑视图，通过视图导航树提供视图间的快速导航。通过自动发现可以发现网络中的所有设备及网络结构（具体参见资源管理），并且可以将非SNMP设备发现出来，只要设备可以ping通即可。这样就可以将所有网络设备都列入其管理范围（只要设备IP可达）。同时支持自动的拓扑图呈现和自定义拓扑。自动拓扑可以自动将网络中的逻辑连接关系显示出来，同时可以保存为自定义拓扑图并可根据具体情况进行修改以便于网管员对整个网络设备的监控。

支持对全网设备和连接定时轮询和状态刷新，实时了解整个网络的运行情况，并且刷新周期是可定制（刷新周期：60～7200秒），同时也支持对多个设备的刷新周期进行批量配置的功能。

支持自定义拓扑

支持灵活定制拓扑图，使网络拓扑更有重点和层次感。管理员可以按照关注设备不同，管理角度不同定义多种拓扑，并可以针对拓扑不同选择不同的背景图；管理员可以根据网络设备的重要性不同，链路速率不同采用合适的图标显示。

设备状态、连接状态、告警状态等信息在拓扑图上的直观显示

网管的拓扑功能与故障管理和性能管理紧密融合，使拓扑图能够清晰地看到企业IT资源的状态，包括运行是否正常、网络带宽、接口连通、配置变化都能一目了然。多种颜色区分不同级别故障，根据节点图标颜色反映设备状态。

拓扑能提供设备管理便捷入口

网管拓扑能够提供对设备管理的便捷入口，管理员只需通过右键点击拓扑图中的设备图标即可启动设备管理各项功能，实现对设备的面板管理等各项功能配置。

1.5.2.3 网络故障管理

支持故障管理，即告警/事件管理。

支持告警发现和上报

告警中心可以按收各种告警源的告警事件，包括设备告警、本级网管站及下级网管站告警、网络性能监视告警、网络配置监视告警、网络流量异常监视告警、终端安全异常告警等；同时通过支持对设备定时轮询，实现通断告警、响应时间告警等，以告警事件的方式上报给网管中心。

Ø 设备告警包括电源电压、设备温度、风扇等告警事件，设备冷启动、热启动、接口linkdown等重要告警事件，路由信息事件（OSPF，BGP）变化，热备份路由（HSRP）状态变化等告警事件，支持对主流厂商设备告警的识别和解析；

Ø 网络性能监视包括CPU利用率，内存使用率，以及RMON告警的故障管理。

Ø 网络配置监视告警包括设备软件版本、配置信息变更等告警事件，并通过网管实现配置文件定期检查，实现配置变更告警事件。

Ø 定期轮询告警指通过网管的资源管理模块对设备接口信息定时进行轮循，并及时上报通断告警、响应时间告警等告警事件。

告警深度关联分析与统计

网管平台对接收到的告警事件进行深度关联分析，系统缺省支持重复事件阈值告警、闪断事件阈值告警、未知事件阈值告警、未管理设备告警阈值告警，并能在故障恢复时自动确认相关告警；同时用户可以根据自己的需要确定事件的告警规则，以适应网络管理需要。

Ø 重复事件阈值告警：屏蔽重复接收到的相同事件，并可在达到阈值条件时产生新告警通知用户。   

Ø 闪断事件阈值告警：分析接收到的闪断事件，并可在达到阈值条件时产生新告警通知用户。

Ø 未知事件阈值告警：屏蔽接收到的未知事件，并可在达到阈值条件时产生新告警通知用户。

Ø 未管理设备告警阈值告警：屏蔽接收到的未管理设备事件，并可在达到阈值条件时产生新告警通知用户。

Ø 自定义事件过滤规则：用户自定义的事件过滤规则，用户可指定在什么时间范围内、对什么样的告警进行过滤。

网管品太预定义缺省支持各类深度分析后告警事件关联升级为告警的生成规则，同时，管理员可以自定义由告警事件升级为告警的规则，可从事件、事件关键字、事件源、时间范围四个方面进行规则定义，一旦定义事件升级为告警规则后，iMC告警中心会根据定义的规则关联分析后生成不同级别的告警（告警共分成紧急、重要、次要、警告、事件5个级别；在浏览数据窗口，分别以红色、橙色、黄色、蓝色、灰色五种颜色进行显示），将管理员从繁多的告警事件中解脱出来，避免产生告警风暴，让管理员能专心关注告警的根源。

实时告警

网管平台能够提供多种方式将告警通知给管理员，包括：

Ø 实时远程告警：通过手机短信或Email邮件的方式，将告警及时通知管理员，实现远程网络的监控和管理；

Ø 分类、声光告警板，按故障类别及等级实时告警，让管理员通过告警板不但及时知道告警产生，同时可以了解产生的告警的类别和等级：

Ø 实时告警浏览和确认，通过告警首页对目前故障未排除的告警实时刷新并提供故障排除确认的入口：

Ø 通过拓扑实现报告网络及设备状态

1.5.2.4 网络性能管理

网管平台能够提供一目了然的网络TopN性能指标：CPU利用率、内存利用率、带宽利用率、设备响应性能、设备不可达等是网络性能管理中用户最关注的几项，使用户能一目了然当前网络中的性能瓶颈问题。

支持性能视图：用户可灵活定制性能数据浏览视图，分析网络运行趋势。性能视图支持多指标多实例数据组合的展示，支持TopN明细表格、TopN柱图、折线图、柱状图、面积图、汇总数据多种性能监控数据展示方式。

提供性能与告警的深度结合：网管平台支持对每一个性能指标设置两级阈值，发送不同级别的告警。用户可以根据告警信息直接了解到设备监视指标的性能情况，有助于用户随时了解网络的运行状态，预测流量发展趋势，合理优化网络。

详实的性能统计报表：利用采集到的性能数据信息，网管平台能对关键的性能监控内容形成实用、详实的统计报表，用户可以直接打印这些报表，也可以将报表导成Excel、Html、PDF、Word等形式的文件。

丰富的拓扑性能指标实时展示：网管平台支持在的拓扑中展示设备和链路性能监控数据，用户可为不同设备和链路定制不同展示指标。

1.5.2.5 系统安全管理

系统安全管理功能主要有包括：操作日志管理、操作员管理、分组分级与权限管理、操作员登录管理等。

                                                                                                  图1 系统安全管理示意图

所包含的主要功能有：

操作员登录管理

管理员通过制定登录安全策略约束操作员的登录鉴权，实现操作员登录的安全性，通过访问控制模板约束操作员可以登录的终端机器的IP地址范围，避免恶意尝试另人密码进行登录的行为存在，通过密码控制策略，约束操作员密码组成要求，包括密码长度、密码复杂性要求、密码有效期等，以约束操作员定期修改密码，并对密码复杂性按要求设置。

操作员密码管理

管理员为操作员制定密码控制策略，操作员仅能按照指定的策略定期修改密码，以保证访问iMC系统的安全性。

分组分级权限管理

管理员通过设备分组、用户分组的设置，可以为操作员指定可以管理的指定设备分组和用户分组，并指定其管理权限和角色，包括管理员、维护员和查看员，实现按角色、分权限、分资源（设备和用户）的多层权限控制；同时通过设置下级网络管理权限，可以通过限制登录下级网络管理系统的操作员和密码，保证访问下级网络管理系统的安全性。

操作日志管理

对于操作员的所有操作，包括登录、注销的时间、登录IP地址以及登录期间进行的任何可能修改系统数据的操作，都会记录详细的日志。提供丰富的查询条件，管理员可以审计任何操作员的历史操作记录，界定网络操作错误的责任范围。

操作员在线监控和管理

系统管理员通过“在线操作员”可以实时监控当前在线联机登录的操作员信息，包括登录的主机IP地址、登录时间等，同时，系统管理员可以将在线操作员强制注销、禁用/取消禁用当前IP地址等控制操作。

1.5.3  BIMS分支节点部署管理功能

XX省高速公路专用通信网核心数据网有大量设备节点分散的广域网络中，需要对这些用户侧设备进行有效的远程集中管理。然而，传统的远程管理方式（如Telnet、SSH、SNMP、远程Web登录等）具有很多的局限性，如：多厂商的设备命令行、SNMP的不一致，设备地址的经常变化，SNMP使用UDP导致传输不可靠，Web界面及配置方式各异，无法对大量的CPE进行批量自动化管理。本次网管系统采用新的网络管理系统，使得能够满足对广域网中的大量的设备进行远程集中管理的需求。

BIMS分支节点部署管理需要在涵盖TR069协议的资源管理、业务管理、配置管理、告警管理和系统管理等ACS功能的基础上，提供权限控制平台，应具有简单易用、高性能、可扩展的特点，可以帮助网络管理员轻松完成网络的资源、业务和配置等管理任务，极大提高网络的安全性、可管理性和可维护性，能够满足企业、园区和运营商等多种网络解决方案中的TR069管理需求。

资源管理

分支节点部署管理能够提供查看和查询系统中的设备，支持认证、增加、删除、同步和刷新设备等功能，可以查看、修改设备的参数和配置信息，支持设备导入导出，能够对设备进行远程重启和恢复出厂设置等操作。管理员可以借助设备分组实现权限管理，如果操作员具有某个设备分组的权限，那么该设备分组下的设备就可以被此操作员所管理。支持设备信息的导入导出功能，导出功能用于将网管中的CPE设备信息导出到本机文件中保存，需要时可以通过导入功能再将其导入到系统中，通过导入导出功能，能够实现网络设备信息数据的备份和重用，从而方便管理员的日常管理。

业务管理

分支节点部署管理提供对单个设备或者同时对多个设备批量执行IP Ping测试的功能，可以对所选设备的相关业务情况进行诊断；可以对WAN DSL链路、WAN IP连接、WAN PPP连接进行管理，使管理员能够清晰的了解广域网的链路及连接状况。

分支节点部署管理提供丰富的配置管理功能，包括配置文件库管理、设备软件管理、统一的部署向导、部署任务管理、设备配置一览表、备份设备配置和备份历史记录管理等功能。

配置管理

设备模板库管理：对系统中的配置模板和配置文件进行统一有效地管理，支持导入、导出、修改和删除配置模板；支持自定义配置文件夹，方便对配置模板进行分类管理；

设备软件库管理：对系统中的设备软件进行统一有效地管理，支持导入、导出、修改和删除设备软件；

部署向导：提供了统一的部署向导入口，可以方便地创建部署设备配置和设备软件任务，可以定制部署任务的执行方式和执行时间；

部署任务管理：提供了部署任务管理功能，可以查看部署任务的状态、执行结果和任务详细，还能够立即执行、挂起、恢复、复制和删除部署任务；

设备配置一览表：通过该功能可以快速查看系统中设备的配置情况；

设备配置备份管理：支持增加、删除、修改设备配置文件备份任务，可以定制备份任务的执行方式和执行时间；

部分历史记录管理：查看备份任务的执行结果，支持将备份的设备配置文件导入到设备模板库中。

告警管理

分支节点部署管理的告警管理主要包括所有被管理设备上报的和网管系统自身在运行过程中产生的告警信息，可以对告警进行恢复、确认、删除操作，以及查看告警详细信息和编辑告警维护经验等。

提供了实时告警功能，用于实时显示未恢复的警告及其以上级别的告警信息列表，可以恢复、删除列表中的告警信息；

提供了全部告警功能，用于浏览和查询网管系统中的所有告警，告警查询条件有简单查询和高级查询两种，可以恢复、确认、删除列表中的告警信息，点击告警描述字段链接可以查看告警详细信息。

系统管理

提供了整个系统的公共参数设置以及与之相关的配置功能，包括操作员管理、系统配置等功能。

操作员管理：支持增加、删除和修改操作员，支持操作员权限划分（管理员、操作员、查看员），可以设置密码控制策略、操作员访问控制列表，支持对在线操作员进行管理；

操作日志管理：支持对操作日志查询和详细信息显示；

系统参数配置：支持对操作员闲置超时时长、打开Web网管配置、默认轮询时间、周期通知间隔、设备访问参数、CPE设备增加策略、通用密码状态等参数进行修改；

数据转储：支持对操作日志、设备告警、设备交互记录进行转储，支持定时转储和手工转储，可以设置的转储条件包括最大保存条数、最大保存天数、转储文件保存天数等；

组件部署：支持分布式部署自动配置服务器，实现服务器性能负载分担，以提高网管系统管理CPE设备的数量和管理效率；