..省級應急指揮平臺建設方案目錄TOC\o"1-7"\h\z\u省級應急指揮平臺建設方案1第1章業務體系121.1應急平臺的組織結構121.2應急平臺的業務流程13第2章總體設計132.1總體目標和職能13建設的總體目標13建設的主要職能142.2設計的原則、依據和標準14設計的原則14設計的依據及主要標準15國家、地方和相關部門的政策、條令、規范和標準15現行的國際、國內相關標準及行業規范152.3系統總體結構15第3章基礎支撐系統設計173.1計算機網絡系統設計17網絡建設目標17網絡系統設計原則17網絡建設現狀20省中心核心節點21省中心用戶接入節點22系統部署設計22采用主要技術26路由設計27QoS策略設計293.2主機存儲與備份系統設計34主機系統設計目標34主機集群35存儲系統設計原則36存儲技術介紹38備份方式介紹41存儲備份的架構設計實現423.3有線通信系統設計43語音交換系統44自動語音應答IVR子系統45CTI服務子系統46傳真子系統47其他輔助子系統483.4數字錄音系統設計48數字錄音需求分析48系統組成及實現原理49有線電話錄音49無線集群錄音50系統容量分析50主要模塊51系統主要功能52.1錄音臺的端口設置功能52錄音及錄音號傳送功能52錄音臺的放音功能52.44、錄音系統管理功能53錄音文件自動備份功能54錄音文件的查詢54重大案事件錄音紀錄歸檔54錄音文件格式的轉換543.5視頻監控系統設計54系統概述54系統總體設計55總體設計目標55總體設計思想55系統各部份的功能55視頻監控系統功能56圖像監控整合原則573.6視頻會議系統設計59需求分析59建設目標59建設原則60先進性原則60開放性原則60可靠性原則60全業務兼容原則61遵循標準61國家標準61系統框架協議61視頻會議的概述62視頻會議的標準62視頻會議的主流標準62H.320標準62H.323標準62H.320與H.323的比較63結論64"新視通"會議系統64"新視通"業務簡介64系統組網說明65投資估算66高清視頻會議系統67系統總體介紹67高質量的會議效果67極高的會議穩定性68良好的兼容性69系統組網方案69系統配置70投資估算71帶寬需求統計71方案比較71已建視頻會議系統對接73標準H.323視頻會議73H.320/H.323混協議視頻會議733.7電話會議系統設計73"會易通"系統741、支持各種語音接入方式742、電信級優質平臺/網絡743、充足的中繼/語音資源744、周到的會議秘書服務745、簡明的操作方式746、強大的Web功能支持757、實用的通訊簿管理758、方便的會議記錄功能753.8大屏幕顯示系統設計75屏顯系統概述75顯示屏組合模式76LCD多屏拼接模式76電視墻顯示模式76系統整體結構設計76系統拓撲結構78系統分布圖78屏顯系統功能79顯示方式79網絡信號顯示80計算機信號顯示80視頻信號顯示81信號綜合處理81顯示效果及圖像拼接81系統開放性82系統控制82可維護性833.9移動應急平臺設計833.10容災備份系統設計83容災備份系統影響因素85實現容災備份系統的軟件配置86容災備份系統部署圖87第4章信息資源庫設計894.1建設思路894.2建設內容89基礎地理數據庫89應急專題數據庫90第5章數據交換平臺設計925.1需求分析925.2系統結構92對各地市縣、機構、系統的信息提取93對各地市縣、機構的信息傳輸94中心平臺的信息處理955.3系統功能95異構數據交換功能95異構應用系統集成功能96系統管理工具97第6章綜合應用系統設計976.1綜合業務管理系統97應急值守97信息報送97刊物報表996.2風險隱患監測預警接入系統100目標100數據接入100圖像接入1006.3協同會商輔助決策系統100目標100特點101系統結構102系統功能102決策功能103信息匯集103實時視頻獲取功能104移動指揮功能104突發公共事件管理104協同會商1056.4智能預案系統105預案制作105預案管理105預案專家系統1056.5地理信息系統107功能結構列表107基礎地圖操作108地圖查詢與分析110突發事件定位111專題圖制作與輸出113GPS車輛跟蹤113視頻監控功能1156.6應急資源管理系統115目標115應急資源的分類116業務體系117系統功能117應急力量管理功能117應急資金管理管理功能118應急儲備物資管理功能118醫療急救機構管理功能119交通運輸資源管理功能119緊急避難場所管理功能120應急通訊資源管理功能120救援設備管理功能120其它資源管理功能120應急資源調度功能121技術路線121運行機制1226.7應急評估系統122目標122系統功能1226.8應急培訓和演練系統123突發事件應急指揮和處理的演練和培訓123對各種突發事件進行仿真模擬125演練應急預案125三維系統功能1266.9信息發布系統128欄目管理128文檔管理130文檔維護131文檔檢索132主題詞庫管理132文件訪問記錄1326.9.7歷史文件歸檔保存132回收站132文件權限管理133可視化模版編輯133網站內容編輯134網站內容發布135第7章系統安全設計1367.1安全系統需求分析1367.2系統安全設計思路136安全級別定位136設計原則137建設設計標準138應用標準138法則和文件139安全概述139安全風險分析139網絡安全需求分析140網絡安全建設目標141安全防范策略142安全管理策略142安全組織策略142安全技術策略143安全系統設計147網絡劃分—網絡分段147技術概況147.2身份鑒別—CA身份認證148技術概述148技術要求149訪問控制—入侵檢測150技術概述150系統結構151技術要求151安全審計跟蹤—漏洞掃描151技術概述151技術要求152網絡安全監控—主機審計152技術概述152技術要求153訪問控制—防火墻153技術概述153技術要求154備份與恢復—數據備份155技術概述155技術要求156病毒檢測與消除—防病毒156技術概述156技術要求159環境安全—機房監控159業務體系應急平臺的組織結構省級應急平臺的組織結構如下圖所示：應急平臺的業務流程上圖為省級應急平臺的整體業務流程,在整個業務流程中有2條主線,一條是政府應急平臺,一條是專項指揮部。在發生突發應急事件的時候,由地市〔縣專項指揮部負責接警。市級專項指揮部在接到報警信息時,一邊上報地市〔縣應急平臺,同時向上一級專項指揮部報告。地市〔縣應急平臺在接到突發事件信息時,判斷突發事件的等級,對于一般和較大的突發事件不再繼續上報,就地協調專業部門處置解決；對于特大和重大應急事件,上報省級應急平臺,省省級應急平臺根據需要,一邊上報國務院應急平臺,一邊協調各單位、各部門共同處置突發事件。總體設計總體目標和職能建設的總體目標在整合和利用城市現有條件的基礎上,采用現代信息等先進技術,建立高度智能化的XXX省級應急平臺,具體包括：與國務院應急平臺對接；與地市〔縣應急平臺對接；與專業應急平臺對接；整合全省各類應急信息與應急資源；完善的業務系統。通過電信網絡,與全省各已建成的應急平臺聯網,實現信息共享、統一協調、輔助決策,同時加快建設其他各級應急平臺,最終實現覆蓋全省應急網絡。建設的主要職能省級應急平臺是國家和省應急平臺體系的重要組成部分,與國務院應急平臺、省級專業應急平臺、地市應急平臺互通互聯,具有國務院應急平臺相應功能。主要功能有：通過與專業應急平臺互聯,利用專業部門監測網絡,對突發公共事件隱患進行動態監控,特別是掌握重大危險源、關鍵基礎設施和重要防護目標等的空間分布和運行狀況分析；整合全省的應急信息及應急資源；指揮、協調各專業部門,地市應急平臺協同處置特別重大和重大突發事件；信息發布與通告；事后評估總結設計的原則、依據和標準設計的原則XXX省應急平臺建設工程是一項結構復雜、技術難度較大、功能強、涉及面廣的信息建設工程,為確保工程達到預期的目地,工程建設應遵循實用性、可靠性、經濟性和先進性的基本原則,具體體現在：系統建設應遵循"整體布局、分步實施、實用先進"的原則。以應用為驅動,在充分利用現有設施和資源的條件下,力求高起點,既滿足近期需求,又適應長遠發展的需要。堅持標準化與開放性原則。充分考慮現代信息技術的飛速發展,適應未來功能升級的要求,使系統具有開放性、兼容性、擴展性,系統建設應優先選擇符合開放性和國際標準化的產品和技術,遵循相關的規范要求。堅持確保安全原則。系統設計及建設根據要求達到相應安全級別,確保系統運行有高度的可靠性和安全性。堅持跟蹤、反饋、更新、完善的原則,使系統不斷貼近生產實踐的需要。設計的依據及主要標準國家、地方和相關部門的政策、條令、規范和標準現行的國際、國內相關標準及行業規范系統總體結構系統總體結構如下圖所示：自下而上分為四個層次,依次是：基礎支撐系統基礎支撐體系包括計算機網絡系統、主機存儲與備份系統信息資源庫信息資源庫主要包括專家庫、預案庫、知識庫、應急物資庫、基礎地理信息庫等。數據交換平臺數據交換平臺是一個既能實現異構系統之間數據交換又能實現異構系統之間業務流程自動化的數據交換平臺。應用軟件系統應用軟件系統包括綜合業務管理系統、風險隱患監測預警接入系統、協同會商輔助決策系統、智能預案系統、地理信息系統、應急資源管理系統、應急評估系統、應急演練系統、信息發布系統。用戶通過登錄應急門戶使用這些業務系統?；A支撐系統設計計算機網絡系統設計網絡建設目標網絡系統應具有較高性能、最好的升級途徑、充分的帶寬,在關鍵性業務中不存在單點故障,在出現問題時提供快速的恢復能力。網絡設備也能進行負載均衡和動態伸縮。系統選用的設備和技術應符合國際標準。網絡中使用的設備和協議應完全符合國際通用的技術標準,兼容現有的網絡環境,提供很好的互聯性；網絡系統應該有很高的可靠性、穩定性及冗余,在投資充裕的前提下,提供拓撲結構及設備的冗余和備份,把單點失效對網絡系統的影響減少到最小,避免由于網絡故障造成用戶損失。網絡系統應提供足夠的帶寬,豐富的接口形式,滿足用戶對應用和帶寬的基本需要,并保留一定的余量供擴展使用,最大可能地降低網絡傳輸的延遲,網絡系統應具有良好的可擴充性,對未來的應用和技術有一定的前瞻性,隨著網絡的規模及其運行的應用在不斷發展,現有系統應提供足夠的擴充能力,適應發展的需要,網絡系統應易于安裝、操作和維護,能對網絡設備進行必要的必不可少的配置,并能夠以直觀、靈活的方式展現出來,提供完整的網絡拓撲圖,可以根據網絡的流量情況作出分析和建議。XXX省級應急平臺網絡與通信系統建設是整體系統的重要組成部份,其主要目的就是為覆蓋全區范圍并在其上的各種支撐平臺、應用系統提供網絡支持,保證系統的正確連通,正常運行。目前建設的網絡系統主要是連接XXX省應急指揮中心、應用服務器所部署的省電信機房、電子政務網中的相關應急單位部門,同時提供INTERNET的接入。網絡系統設計原則結合XXX省級應急平臺建設工程的實際應用和發展要求,在進行網絡系統設計時,以需求為導向、以應用促發展。網絡系統的建設應遵循以下原則：1、高性能原則網絡的設計方案不但要保證理論上可行,更重要的是實際上可用。要充分考慮到應用系統的具體情況,最好地滿足需求。迅速地處理通信數據,需要網絡設備支持高速通信鏈路,提供高數據吞吐能力。當今世界,通信技術和計算機技術的發展日新月異。方案應適應新技術發展的潮流,既兼顧了技術上的成熟性,同時也保證了系統的先進性。所選設備無論在硬件設備還是軟件功能上,都在網絡界處在領先地位。2、可靠性原則硬件網絡產品的選用需具有很高的可靠性,較高的MTBF〔平均無故障時間MeanTimeBetweenFailures值；全對稱各處理器的硬件體系結構,能夠做到任意一個處理器和網絡接口模塊出現故障都不會影響其他模塊,所有的功能部件〔電源、系統總線、處理器模塊、網絡接口模塊等均可以熱插拔和冗余熱備份。除硬件的容錯外,網絡設備還應具備軟件故障隔離和軟件的熱備份和熱啟動等,這樣才能保證網絡運行的萬無一失。為了防止局部的故障引起整個信息系統的癱瘓,要避免網絡出現單點失效。在骨干通信信道上要提供備份鏈路,提供冗余路由。在主要通信設備上要提供冗余配置,保證不會由于局部模塊的故障影響整個設備的運行。為了使網絡可靠地運行,本方案選用了高品質、高性能價格比的產品,把故障率降到最低。同時,我們采用了系統容錯技術,當網絡系統內某一點出現故障時,整個系統仍然能夠繼續運行而不會造成停機,從而把損失降到最小。3、安全性原則為了保護XXX省級應急平臺關鍵性數據的安全可靠,需要網絡能夠提供多種方式和層次的訪問控制〔包括標準訪問控制列表和控制訪問控制列表。XXX省級應急平臺要與Internet網連接,因此要具有強大的防火墻功能和靈活有力的數據包過濾功能,為通信系統提供高質量的安全保障。4、易維護性原則要保證網絡能正常穩定運行,要求網絡維護人員可以方便地對網絡設備進行遠程控制和配置；并且網絡設備要能夠進行熱插拔,方便進行日常維護。5、擴展性原則和易于升級隨著網絡用戶應用規模的不斷擴大,要求網絡能方便地擴充容量,支持更多的用戶和應用。隨著通信技術的不斷發展,網絡要能平滑地過渡到新的技術和設備,保護用戶現有投資。由于XXX省級應急平臺業務系統的不斷發展,網絡系統必然隨之不斷擴大。因此,目前的網絡設計必須為今后的擴充留有足夠的余地,這樣才能最好地保護投資。網絡設備廠商通常采用2種方式增強設備的可擴展性：——將同類設備堆疊、互聯,使多個單體作為一臺設備工作；——設備提供基本的、有多個插槽的機箱,從而可根據客戶的實際需求確定要提供多少處理能力,以及物理接口類型。除單個設備本身的擴展能力之外,在網絡系統的設計過程中,還需要考慮整個網絡系統在未來幾年的擴容能力和擴容辦法。這樣才能既照顧到目前的應用需求,又能滿足今后整個計算機系統的發展需要。6、可管理性原則良好的組織和管理對于XXX省級應急平臺網絡的正常運轉和高效使用有很大幫助。網絡應該能夠提供方便,靈活,有力的管理系統,讓使用者可以有效地控制和管理整個網絡。隨著網絡規模的擴大和系統復雜程度的增加,網絡的管理、監控和維護,以及網絡故障的診斷和排除變得越來越復雜。為了使網絡系統易于管理和維護,本方案將提供先進而完善的網絡管理系統。這樣,既方便網絡管理員的工作,減輕了勞動強度,也提高了網絡系統的管理程度。7、開放性與標準化原則開放的網絡可以讓用戶自由地選擇不同廠家的產品,不受原有廠家的限制。最大程度地保護用戶的利益。要求網絡的設計一定要基于國際標準,使用標準的通信協議。讓不同廠家的設備能夠在同一個網絡上同時運行。在一個復雜的大型網絡系統里,必然共存著多個廠商的硬件和軟件產品。網絡系統的目標就是要通過不同廠商的硬件設備和計算機軟件的互聯,從而實現網絡信息及設備資源的共享。為了保證用戶的網絡系統具有互操作性、可用性、可靠性、可擴充性、可管理性,應建立一個開放的,遵循國際標準的網絡系統。8、流量優化網絡流量優化將有助于提高網絡帶寬的利用率,尤其對于WAN上寶貴的帶寬資源。視頻、語音、數據集成的多媒體應用,一方面為客戶的基礎網絡帶來了更多的增值應用,為用戶提供更加簡便、靈活的信息交流,同時,也大大增加了網絡上的信息流量。隨著應用需求的提高,對帶寬的要求將進一步提高。因此,對于像視頻監控這樣高帶寬的應用,進行網絡流量的優化顯得尤其重要。網絡建設現狀XXX省級應急平臺的網絡建設主要依托XXX省電子政務外網。省電子政務網絡外網：是電子政務網絡對外的窗口,與互聯網通過網絡安全系統邏輯相連,對外提供一些網上服務,如受理申請、審批等；同時也是辦公人員與外面進行信息交流的通道。連接范圍為省、市、縣〔區級政府及相關職能部門,以及因需要接入的企事業單位。省中心核心節點在省政府辦公廳信息中心〔省政府1號樓部署華為的QuidwayNE80核心骨干路由器作為省中心核心節點高速交換路由器。NE80采用155MPOS鏈路,通過電信長途SDH傳輸網絡與各地市政府核心節點高速交換路由器相連〔共10條155MPOS鏈路,不包括XX市政府節點；采用GE鏈路,通過省政府大院2.5G的MSTP傳輸網絡與XXX省政府大院66家單位6臺路由交換機相連〔共6條GE鏈路；采用GE鏈路,通過城域10G的MSTP傳輸網絡與XX市政府和XX市區的46家廳局級單位的三層交換機相連〔共4條GE鏈路；采用1條155MATM鏈路,通過電信幀中繼網絡與XX市區40家次級單位接入路由器相連；采用1條FE鏈路,連接華為的QuidwayA8010接入服務器,通過撥號網絡與XX市區88家單位、公司外網相連；采用1條GE鏈路,通過天融信千兆防火墻與XXX省政府辦公廳信息中心外網以及各應用服務器相連；采用1條GE鏈路,通過天融信千兆防火墻與Internet連接,同時采用1條GE鏈路與三零衛士鷹眼入侵檢測系統連接。省中心用戶接入節點省中心用戶接入節點包括多個部分：省政府大院6幢大樓66家單位外網用戶接入：采用華為QuidwayS3526E中端路由交換機。每臺S3526E采用GE鏈路,通過省政府大院的MSTP傳輸網絡上連到省中心核心路由器NE80。省政府辦公廳信息中心外網用戶及各類服務器接入：信息中心外網局域網采用華為QuidwayS3026E中端二層交換機匯聚,以GE鏈路上連QuidwayS6506R高端路由交換機；信息中心應用服務器及網管服務器通過GE鏈路直接上連QuidwayS6506R高端路由交換機；由S6506R通過天融信千兆防火墻以1條GE鏈路上連到省中心核心路由器NE80。XX市區46家廳局級單位外網用戶接入：采用華為QuidwayS3526E中端路由交換機。每臺S3526E采用FE鏈路,通過城域MSTP傳輸網絡匯聚后以4條GE鏈路上連省中心核心路由器NE80。系統部署設計XXX省級應急平臺網絡與通信系統主要功能提供各級節點〔包括XXX省應急指揮中心、設備部署中心〔省電信、地市〔縣應急指揮中心、相關應急單位等的數據傳輸和信息資源共享。使系統用戶可以在網絡上發布信息,實現跨地域、跨部門協作。我們在本方案中給出的網絡系統,還提供了足夠的帶寬,豐富的接口形式,滿足用戶目前對各種應用和帶寬的基本需要,并保留一定的余量供擴展使用,最大可能地降低網絡傳輸的延遲,網絡系統應具有良好的可擴充性,對未來的應用和技術有一定的前瞻性,隨著網絡的規模及其運行的應用在不斷發展,現有系統應提供足夠的擴充能力,適應發展的需要,網絡系統應易于安裝、操作和維護,在網絡中使用統一的網絡管理軟件來管理所有網絡設備,能對網絡設備及VLAN等進行直觀、靈活的配置,提供完整的網絡拓撲圖。在網絡與通信系統中,將該系統包括應用服務器區、省應急指揮中心區,同時考慮同電子政務外網、圖像信號〔視頻會議、視頻監控、省備份應急指揮中心的接入,描述如下：1、應用服務器區設計應用服務器區是整個網絡系統的主干,主要功能是盡可能快速地交換數據。本方案中應用服務器區選用一臺支持背板容量可達96Gbps的高性能雙引擎核心交換機作核心設備,保證網絡核心設備的高性能和高可靠性,該核心交換機提供了快速的信息交換與傳輸。服務器配置千兆網卡,以千兆鏈路接到核心交換機上,保證數據傳輸和處理的高效。該應用服務器區所涉及的硬件設備統一部署在省電信機房。2、省應急指揮中心接入設計部署一臺核心交換機千兆通過防火墻連接省電信的核心交換機,指揮中心用戶通過2臺接入交換機百兆接入系統平臺。本項目中,用戶座席主要包括4個部分：值班人員座席、指揮人員座席和領導座席。3、電子政務外網接入設計XXX省級應急平臺主要通過省電子政務外網,連通相關的專項指揮部的業務系統,進行業務數據的采集、同步,同時考慮聯入各地市〔縣應急聯動平臺。核心交換機以百兆鏈路接入電子政務外網設備PE,在網絡聯網安全上,可將XXX省應急網絡平臺與相關專業單位的涉及業務網絡系統部分組成MPLSVPN,提高網絡聯網安全性。接入INTERNET,連接中國電信"全球眼"視頻監控平臺；向公眾用戶發布專業信息,提供專業應急信息的服務功能,并能及時向公眾發布事件發展情況、緊急救助信息服務和善后處理工作信息。在目錄集成的基礎上,實現了綜合信息門戶與外部網站的集成,能夠對訪問用戶進行統一管理,同時根據安全權限開放信息,提供信息查詢與瀏覽功能。在發布方式上,支持空間信息的Web發布。從安全的角度考慮,屬于XXX省級應急平臺網絡的pc和服務器是不允許訪問公網的,而且Internet網也不允許訪問該區域。4、圖像信號〔視頻會議、視頻監控接入設計XXX省級應急平臺主要通過核心交換機接入城域10G的MSTP傳輸網絡,連接各個專項〔部門應急指揮中心的視頻信號,包括視頻會議、視頻監控信號的接入。5、省備份應急指揮中心接入設計XXX省級應急平臺主要通過防火墻連接位于人防的備份應急指揮中心,平時進行業務數據的同步,當省政府的省應急指揮中心癱瘓時,啟動備份指揮中心,承擔全省的突發公共事件應急指揮的任務。網絡拓撲示意圖如下：采用主要技術1、千兆以太網的技術應用千兆以太網和快速以太網都是在以太網基礎上發展起來的新技術,保留了以太網傳輸結構上的簡單性、靈活性、相同的幀格式、相同的介質訪問方法。國內以太網的市場占有率為80%,采用千兆以太網技術可對已有的應用和產品具有極好的兼容性。它與已有的快速以太網和以太網網絡產品保持了最大的兼容性,它支持交換機到交換機、交換機到終端使用新全雙工操作模式及共享式連接使用半雙工操作模式,它使用光纖、五類非屏蔽雙絞線為傳輸介質。千兆以太網避免了象ATM的局域網仿真〔LANE等棘手問題。為此,千兆以太網已成為業界優選的主干網方案,而且業界10千兆以太網技術發展,升級空間極大。在千兆以太網中,1000BASE-CX是一種基于銅纜的標準,使用8B/10B編碼解碼方式,最大傳輸距離為25米。1000BASE-SX的波長為780nm時,使用62.5微米的多模光纖,傳輸距離為275米,若使用50微米的多模光纖,傳輸距離為525米。1000BASE-LX的波長為1300nm,如果使用多模光纖,傳輸距離為550或525米,使用單模光纖,則可傳輸10公里。目前采用1000BASE-ZX的GBIC技術,采用單模光纖,則可傳輸70公里。1000BASE-T是基于無屏蔽雙絞線傳輸介質,使用1000BASE-TCopperPHY編碼解碼方式,傳輸距離為25米,它具有可選的千兆位介質無關接口<GMII>,當每幀大小為512Bytes時,最大傳輸距離為100米。2、VLAN的技術應用考慮到XXX省級應急平臺系統工程規模較大,連接的用戶非常多,如果將所有的PC都接入一個網絡,那么網絡的廣播風暴非常明顯,而且網絡系統的交換性能也得不到保證,安全也成問題,所以我們必須采用VLAN技術,而且便于網絡管理,我們可以按部門、按節點劃分VLAN。VLAN具有兩個既重要又基本的優點。第一,跨越Intranet的帶寬和性能管理,能有效地對廣播進行控制。VLAN是控制廣播信息轉發的有效技術。它的布置結構最大限度地減少了對最終用戶站、網絡服務器和處理關鍵業務數據的骨干關鍵部分的性能影響。VLAN的第二個優點,就是管理功能的更改方便,用戶可以創建不基于物理位置或介質的工作組,即在整個網絡范圍內與用戶增加、移動和物理位置變更相關的對管理工作的要求,也大為減少。當作出網絡更改時,不僅可以減少了管理工作,而且網絡訪問的安全性、集中化管理和控制也得到相應的控制。綜合上面的兩個優點,通過將VLAN與服務級別對應,在交換機和鏈路上則能設置優先級別,作為交換機內部流量優先功能的一部分,具有更高優先權的VLAN就可以首先通過。這些策略的界定有助于控制網絡資源和最大限度地減少潛在的問題。VLAN的實施需要結合設備和用戶的具體需求進行。VLAN可采用以下方式來指定：網絡設備端口：基于端口的VLAN容許指定交換機的端口到VLAN。端口可以通過組、整個行甚至經由主干協議通過交換機進行通信來個別地指定。該方法比較通用。MAC地址：基于MAC地址的VLAN容許用戶加入到同一VLAN,甚至當用戶從一個地方轉移到另一個地方時也行。這種方法需要網絡管理員識別每一個工作站的MAC地址,并且將這個信息配置到交換機。管理起來比較復雜。該方法不常用,但對網絡的安全性控制有極大的好處,因為MAC地址唯一,非法用戶用其它網卡是無論如何也加入不到該VLAN。用戶ID：由于目前操作系統對用戶ID管理起來非常方便,一般不采用用戶ID來指定VLAN。網絡地址：基于網絡地址的VLAN容許用戶加入到同一VLAN,甚至當用戶從一個地方移到另一個地方也行。這種方式的VLAN和用戶連接到的每一個交換機的工作站的第三層地址一同移動。這種方式在安全性方面很重要,并且在訪問控制到通過路由器中的訪問列表場合很有用。因此,在安全的VLAN中的用戶,能夠搬到另一個建筑同時仍能與同一設備通信,因為第三層地址維護沒變?；诰W絡地址的VLAN可能對故障排除來說比較復雜。路由設計目前在網絡設計中可供選擇的路由協議主要有靜態路由和動態路由兩種：靜態路由是在每一點的路由器上指明去另一點需要走的具體路徑。動態路由是網絡上的所有路由器互相通告自己所連的網段,各路由器根據某種算法計算出到每一點的最佳路徑。靜態路由方式適用于網絡拓撲結構確定并且結構簡單,IP地址規劃完善,網絡規模較小的場合。靜態路由配置簡單,調試方便,但由于靜態路由在網絡上每增加一個點時,都需要在網絡上所有現有路由器中增加路由,這樣使得靜態路由不適合于網絡規模較大,網絡不斷發展的場合,動態路由因為在網絡上的路由器之間相互交換路由信息,增加一個節點時,網絡上的其他路由器的配置可以不作任何修改,非常便于網絡的擴展。動態路由協議又可以分為兩類：內部網關協議IGP和外部網關協議EGP。EGP包括BGP4、IDRP等路由協議；IGP包括RIPv1、RIPv2、EIGRP、OSPF、IS-IS等。EGP主要解決多自治系統之間的路由選擇的問題；IGP主要解決自治系統內部的路由選擇問題。上述集中IGP路由協議,比較常用的協議有以下幾種：RIP、EIGRP、OSPF和IS-IS：RIP和EIGRP屬于距離向量協議,OSPF屬于鏈路狀態協議；RIP配置簡單,適合于較小規模的網絡,這就限制了網絡的發展,而且RIP路由協議的性能低、占用網絡帶寬高；EIGRP路由協議只適用于所有設備都是Cisco產品的情況,這就限制了網絡產品的選型,降低了網絡的靈活性,不適于網絡規模的擴展；OSPF和IS-IS雖然配置復雜,但是非常適合于較大規模的網絡。目前可以用于大規模網絡同時又基于開放標準的IGP的路由協議有OSPF和IS-IS。兩種路由協議均是基于鏈路狀態計算的最短路徑路由協議；采用同一種最短路徑算法<Dijkstra>。兩種路由協議在實現方法,網絡結構上十分相似,均在大型ISP網絡中得到成功應用。鑒于XXX省應急網絡平臺呈星形結構,不存冗余鏈路和迂回路由,在這種網絡結構下,全網使用靜態路由配置可以最大化減少路由設備的負載,降低在網絡鏈路上的消耗,減少路由收斂和波動對全網的影響；而且由于沒有應用復雜的動態路由協議,對于網絡管理、運維的壓力也比較小。因為靜態路由的實現主要依靠認為的配置,對于一個相對穩定的網絡會有很好的效果,但是,在網絡規模擴大、網絡鏈路失敗的情況下,靜態路由不能自動感覺到網絡的變化,不能及時地把網絡變化反應在路由表中,而這種變化,對于網絡的運維管理是比較重要的；在靜態路由方式下,失效的路由地處理主要依賴于工作人員的判斷和調試,此時,排錯的壓力比較大,周期長。綜上,結合XXX省級應急平臺網絡的架構,我們認為使用靜態路由配置可以起到很大的收效,建議采取靜態路由協議。QoS策略設計在新建后XXX省級應急平臺網絡中,將不斷增加和完善新的網絡應用,網絡中將可能存在多種的應用系統,這些應用根據對時延的要求可以分為時間敏感型應用和非時間敏感型應用,其中時間敏感型應用對網絡帶寬、傳輸延遲、傳輸可靠性要求較高,這類應用還可能包括VoIP語音及視頻服務等,非時間敏感型應用對延遲的要求并不高,這類應用又可分為關鍵業務應用和非關鍵業務應用,關鍵業務應用包括內部業務如數據庫訪問等,這種類型業務要求有絕對的帶寬保證和絕對的可靠性,非關鍵業務應用指與內部業務關系不大的網絡應用。我們主要對鏈路上的流量控制、數據優先級控制及擁塞控制等內容進行設計,以保證時間敏感型和關鍵業務應用數據流的服務質量。1、流量整型通用流量整形〔GTS提供的機制可在特定接口上控制信息流,通過限制指定流量的速率,它可減少輸出流,從而避免了擁塞的發生,同時對特定流量的突發進行排隊。這樣,遵守特定標準的流量就可得到整形以滿足下行流的要求,消除數據速率不匹配產生的網絡瓶頸。 我們推薦的網絡設備為華為,華為VRP支持基于每個端口的通用流量整形,在本系統中,我們建議使用該技術限制各分支節點非關鍵業務應用數據流進入網絡的流量,如FTP訪問等占用的網絡帶寬。2、排隊機制在本系統中,我們推薦使用排隊機制達到優先為時間敏感型和關鍵業務數據流服務的目的,并完成各種業務流占用廣域網帶寬的分配,以保證它們的服務質量。排隊機制介紹網絡設備的軟件能夠實現先進先出排隊〔FIFO、優先級排隊〔PQ、定制排隊〔CQ和加權公平排隊〔WFQ等幾種排隊機制,下面對上述幾種排隊機制進行介紹：1FIFO：當網絡發生擁塞時,它可存貯信息包,并在擁塞消失時按其到達順序將其轉發出去。在某些情況下FIFO是缺省的排隊算法,因此無需進行配置。但它有幾個缺點。最重要的是FIFO排隊不考慮信息包的優先級,信息包到達順序將決定其使用帶寬、處理速度和緩沖器分配。它還不能防止應用〔源的惡意行為。成組的信息源在傳送對時間敏感的應用流量時將產生很大延遲,將潛在影響網絡控制和信令信息的傳送。在控制網絡流量方面,FIFO排隊只是必需的第一步,而今天的智能網絡需要更加成熟的算法。網絡設備的軟件實施的排隊算法克服FIFO排隊的缺點。2PQ：PQ保證重要的流量可在其使用處得到最快處理。它的設計是為重要流量提供嚴格的優先處理。優先級排隊算法可根據網絡協議〔如IP、IPX或AppleTalk、輸入接口、簡單和擴展IP訪問列表、信息包大小以及應用程序對流量進行靈活的優先化。在PQ算法中,根據所分配的優先級,每個信息包被置于以下四個隊列中的一個：高、中、一般和低級隊列。沒有優先級列表分類的信息包將進入一般隊列。在進行傳輸時,算法將為較高優先級隊列提供絕對的優先處理。這是一種簡單直觀的方法,但是這卻會將較高優先級流量本可能經歷的延遲隨機地轉移給較低優先級的流量。從而加大較低優先級流量的抖動。為解決這一問題,可對較高優先級的流量進行速率限制。PQ在確保通過各種廣域網鏈路的關鍵任務流量獲得優先處理方面起到極大作用。3CQ：優先級排隊可能將全部帶寬都給了關鍵任務數據,而不管低優先級數據,而定制排隊能夠保證每個通信類的最小帶寬。定制排隊〔CQ以循環的方式依次為每個非空隊列服務,為每一個隊列傳輸配置的通信比例,定制排隊確?？偸墙o關鍵任務數據分配一定比例的帶寬,同時確保其他通信有可預測的吞吐量。在這種環境中,帶寬必須按比例在應用和用戶之間分配?？墒褂镁W絡設備的CQ特性在潛在擁塞點提供帶寬保障,確保指定流量獲得固定比例的可用帶寬,剩余帶寬則由其它流量使用。本排隊算法可將信息放入17個隊列中的一個〔隊列0存放系統信息,如保持激活、信令等,系統隊列優先級最高,用戶通信不能歸到這個