政法综合信息网（政法网）解决方案

背景和需求分析：

政法综合信息网（以下简称政法网），是包含政法委、公安、检查院、法院、司法和国家安全系统的内部工作网络和信息共享基础平台。可承载数据、语音（电话、传真、电话会议等）和视频（视频会议、视频监控、视频指挥）等综合应用，与其他网络物理隔离。

政法网是根据中央政法委等九部委《关于推进政法部门网络设施共建和信息资源共享的意见》提出的要求，为有效推进政法部门设施共建、信息共享，统筹规划建设政法部门业务网络间横向互联互通设施，以节约资金、避免重复投资和盲目建设，充分发挥政法网络资源和信息资源的整体效能，实现政法部门按工作需要及时便捷地相互获取利用信息资源，提升业务能力和工作效率，维护国家安全和社会稳定所进行建设的政法系统统一、共用的业务专网。政法网的建设，以政法各部门业务应用需求为导向，充分利用已有网络和信息资源，共同推进政法部门网络基础设施共建、信息资源整合共享，充分发挥信息化投资的综合效益和政法信息资源的整体效能，提升政法工作的科技含量，努力满足政法工作对信息的即时需求，更好地发挥政法部门在“构建社会主义和谐社会、确保国家长治久安中”的重要作用。

政法网作为政法系统六部门统一的网络平台，负责接入城域范围内的各政法部门，提供各部门之间的横向信息共享。从覆盖范围来看，政法网可以分为中央政法网和省级政法网。目前中央政法网的建设已经基本完善，省级政法网是2010年重点建设的对象。省级政法网上连国家政法网，下连各市、区县政法网，利用MPLS VPN可实现城域内的各政法部门和省级领导部门以及市、区县下属部门在同一个VPN内部，以便实现各政法部门内部的纵向应用系统。

政法综合信息网由：

1、由中央政法委、公安部、最高法等连接到31个省级、新疆生产兵团的一级骨干网以及相关部门横向互联网络；

2、省连接到地市的二级骨干网以及相关部门横向互联网络；

3、地市连接到区县的三级骨干网以及相关部门横向互联网络；

4、区县连接到基层单位的四级接入网。

政法网建设的目标是在政法系统现有网络设施的基础上，构建覆盖，各个省份各级政法部门的功能完善、体系健全、安全可靠的网络平台；政法系统网络资源得到有效整合和开发利用，实现政法各部门间信息共享、业务协同；形成网络建设、运行和管理的良性机制，保障各类应用系统安全可靠运行和可持续发展，为实现政法工作信息化奠定基础。

关键点及解决思路：

一、关键点分析：

政法网是承载各级政法委、公安、检察院、法院、司法和国家安全六部门业务的统一网络平台，建成之后将作为政法信息共享的基础网络平台，实现政法系统间的政法信息资源共享共建，通过政法信息资源共享共建项目建设，能够实现政法各部门的统一指挥调度，对维护社会稳定、打击恐怖势力、处置突发事件和反分裂斗争，保证社会经济稳定发展，具有重要的积极作用。在省级政法网建设过程中有如下关键点需要进行关注：

（1）政法网是政法系统六部门的核心网络平台，一旦出现问题，将直接影响到六部门的正常工作，因此要求网络必须具备高可靠性；

（2）随着政法系统音、视频等高带宽业务应用的开展，势必要求政法网基础网络平台的带宽必须足够并且能面向未来很好的过渡到更高带宽；

（3）政法系统中的业务主要包括语音、视频和数据，并且不同的业务应用之间存在不同的优先级需求，因此要求网络能够很好的区分不同业务，提供不同等级的服务质量

（4）政法系统各部门因为访问权限不同，要求纵向业务网络相互独立，但是物理信道带宽独享，可以按需调整，同时共享物理传输介质；

（5）目前网络中的安全问题对于网络造成的危害日益严重，而政法网作为政法六部门统一的网络承载平台，显然需要加强对于各类安全问题的防范能力；

（6）在政法网建设之后，因为涉及部门众多，维护工作量巨大。因此，在建设网络之初就需要考虑如何降低建成之后的维护工作量，从而提高管理效率。

二、解决思路

（1）一个网络平台的可靠性主要取决于如何减少关键设备的故障率和缩短网络故障恢复时间两个因素。减少关键设备故障率主要依赖于每台设备自身的可靠性设计，而缩短网络故障恢复时间主要依赖于组网的冗余设计。只有两个方面同步完善，才能更大程度的提高网络平台的可靠性。

（2）对于网络线路和带宽的需求，一方面是立足于眼前的业务应用，确定需要的线路类型和带宽，而另一方面更要着眼于未来的发展，使得设备能够满足未来带宽升级的情况下，可以满足接口和带宽的平缓过渡，同时设备也能够提供足够的转发性能保证带宽升级之后的业务快速转发。

（3）在网络中区分不同业务，要求整个网络能够满足端到端的QoS部署，仅部署局部和不部署一样都是没有实际意义的。在部署端到端的QoS之前，要充分了解网络中的业务，并且对不同业务产生的数据流根据优先级和数据流特性进行区分、标识和调度；

（4）面对共享传输物理介质，不同政法系统部门或不同业务系统之间要实现逻辑隔离，推荐采用MPLS L3 VPN技术实现，依靠标签区分，使得不同的政法部门或者不同业务应用系统处于不同的VPN中，实现访问权限的控制；结合QoS技术，实现带宽独享。

（5）目前的网络面临的安全威胁日益复杂，针对问题集中部署安全设备虽能解决部分问题，但是仍然要求关键自身能够面对这些安全威胁，采用分布式体系对典型安全问题进行防护（如ARP攻击、DDOS攻击等）。

（6）降低维护工作量、提升管理效率可以从两个方面考虑，一是采用标准化、简单易维护的设备；二是采用更多的智能化管理手段，比如集中网管系统，从而降低维护工作量。

方案介绍：

省-地市：

 

如上图所示,对于省级政法网建设，迈普公司推荐产品方案如下：

省核心采用两台MP8600作为六部门的核心汇聚路由器，政法六部门的省级单位各部署一台MP7500高端路由器作为部门接入设备；每个地市采用两台MP7500作为核心汇聚路由器，政法六部门的地市级单位各部署一台MP7500高端路由器作为部门接入设备；每个区县配置两台MP7500作为核心汇聚路由器，政法六部门的地市级单位各部署一台MP7204路由器作为部门接入设备。

方案说明：

省级政法网项目主要是在省、地市和区县实现各部门之间的互通。

由于省级单位需要横向互通，市级和区县级单位也需要横向互通，同时考虑到所访问资源的等级性，我们的设计依据为同级别间可以互相访问，不同级别不可以越权访问。即在省上6部门可以互相连通，在同一地市或者区县6家单位也可以互相连通，但不同地市、区县或各地市、区县与省上都不可以互通。

从整个网络来看，可以按照职能不同划分为骨干网和城域网，整个网络成“王”字型结构。

对于省、地市和区县间的骨干网络，采用双设备、双线路的组网方式，从而实现骨干设备的冗余和骨干链路的备份，从而保证整个网络的可靠性。

对于省、地市和区县的三级城域网，建议有条件的地方采用同城裸光纤的方式，实现高速接入，从而保证统一区域内六部门间的高速数据交换；对于裸光纤资源紧张的地方，可以采用租用运营商MSTP专线的方式，实现高带宽数据接入特点及优势：

一、保证核心骨干网络的高稳定和高可靠性

采用CROSSBAR+NP架构的MP8600和全冗余涉及的MP7500作为骨干网路由器，保障了骨干网络的高稳定和整网的高可靠性。

MP8600系统关键部件，包括交换结构、主控（路由引擎）以及电源、风扇、时钟等都支持冗余备份；支持OSPF、IS-IS以及BGP等路由协议的Graceful restart；支持MPLS Fast Reroute（快速重路由），支持IP FRR和LDP FRR；支持VRRP等协议；所有组件支持热插拔，便于维护。

MP7500路由器采用双主控、双风扇、三电源、双星型数据总线、双管理总线、单主控上双Monitor ROM、单主控上双内存、单主控上双Flash等，使得设备不会因为单点故障而导致系统的瘫痪，可达到电信级网络的高可靠性。

二、保证接入层高带宽速率接入

MP8600/MP7500能够支持高密度的POS接口（2.5G、622M和155M）、以太口，能够充分满足SDH、MSTP和裸光纤等多种接入方式。

MP8600采用先进的CROSSBAR交换结构，集中式控制，分布式处理，充分保证每个插槽的线速处理能力。系统具有优越的可扩展性，交换容量高达720Gbps。采用先进的网络处理器技术，可以实现高速接口的IPv4/IPv6、MPLS线速转发，整机的转发性能可高达586Mpps。

MP7500系列路由器采用业界领先的多核处理技术，通过分布式处理机制实现数据转发平面和协议控制平面分离，并实现多个处理内核之间的负载均衡，专有硬件芯片实现支持ACL和策略路由功能，即使配置复杂的软件功能也不会降低性能，使得MP7500系列路由器转发能力达到12-48Mpps，满足未来升级为更高带宽下的需求。

三、保证网络部署QoS的完善部署

MP8600和MP7500可以提供基于硬件的带宽限制，带宽控制粒度精确到8kbps；支持PQ、CBWFQ、 LLQ、WRED等多种拥塞管理和拥塞避免算法，为业务的开展提供完善的QoS机制；支持静态组播和各种动态组播路由协议，支持可控组播；支持策略路由、负荷分担、流量统计等功能。从而能够更大程度上满足政法网上视频、语音和数据的QoS保障。

四、MPLS L3 VPN完美实现部门、业务隔离

核心路由器与6家单位的路由器之间运行BGP，考虑流量负担及设备冗余等角度我们往往会在BGP/MPLS VPN组网中考虑RR（Router Reflector）的分组部署。如下图所示：

我们将骨干网分为两个cluster簇，其中RR1和RR2分别为各自簇的路由反射器，因为存在了两个cluster簇，考虑环路问题，RR1、RR2间不能互为反射器，通过此方案可以保证任何一条链路或P设备down机，网络业不受影响，保证业务的永续。

五、保障设备及网络的安全性

基于Crossbar + np架构的MP8600和基于ATCA架构设计标准，MP7500系列路由器预留资源可扩展高速硬件加密引擎模块、内容处理模块、IDS/IPS模块、硬件防火墙模块、磁盘阵列模块等，为用户未来的业务实现提供无限可能的扩展空间，满足ATCA架构高扩展性的标准。

六、保证网络易维护

基于ATCA架构设计标准，MP7500系列路由器提供多种告警维护手段，在顶端提供液晶显示屏，可实时显示整个系统的温度、CPU利用率、内存占用量等重要情况，并利用液晶显示屏旁边的快捷键可以快速的查看主控卡状态和各个线卡的状态，以及相应各个接口的状态等。另外，MP7500系列路由器提供适应于机房管理的对外开放的告警接口可以与机房第三方告警系统联动，形成最为快捷的告警管理维护系统。例如，当MP7500系列路由器出现严重告警时，迈普综合网络管理系统可以根据预先设定的策略通过播发声音、发送邮件、发送短消息、或拨打电话等各种自动提示方式告诉网络管理人员；并且MP7500系列路由器标准的ATCA接口均会驱动管理办公室里高分贝的震铃系统以及高亮度的大型告警指示灯进行告警，维护人员同时可以利用MP7500系列路由器顶部的液晶显示屏和快捷键进行一些告警故障的现场快速处理。