数字化城市管理系统建设项目设计方案
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
数字化城市管理系统建设项目
设计方案
目录
第1章项目概况 (3)
1.1. 项目建设背景 (3)
1.2. 概况 (4)
1.3. 城市管理现状 (4)
第2章项目需求分析 (5)
2.1. 网络建设需求 (5)
2.2. 主机和存储建设需求 (5)
2.3. 基础软件平台建设需求 (6)
2.4. 系统安全需求 (6)
第3章整体网络设计 (6)
3.1. 设计原则 (6)
3.2. 总体拓扑图 (8)
3.3. 各区域设计说明 (8)
3.3.1. 核心交换区设计 (8)
3.3.2. 数据中心设计 (14)
3.3.3. 网络安全设计 (19)
3.3.4. 网络管理 (24)
3.4. 办公网设计 (34)
3.4.1. 核心交换机 (35)
3.4.2. 接入层交换机 (38)
第4章项目培训总体介绍 (40)
第5章设备厂商介绍 (43)
5.1. 杭州华三通信技术有限公司 (43)
5.2. H3C领先的网络解决方案提供商 (44)
5.3. H3C在百行百业 (45)
第1章项目概况
1.1.项目建设背景
为了解决城市管理相对滞后引发的各种难题,市东城区委、区政府成立课题组进行攻关,并率先提出运用网格管理法和城市部件﹑城市事件管理法相结合的方式,应用、整合多项数字城市技术,研发以手机为原型的多功能通讯传输工具“城管通”,采用信息实时采集﹑传输的手段,建立城市管理监督中心和指挥中心,再造城市管理流程,从而实现精确、敏捷、高效、可视化﹑全时段、全方位覆盖的城市管理模式。
住房和城乡建设部于2005年7月、2006年11月、2007年7月先后在北京市、扬州市、成都市召开了现场会,先后公布了三批试点城市,积累经验,为全面推广数字化城管模式奠定基础。
目前,全国已有近400个城市(城区)开展了数字化城市管理建设工作,在试点城市的带动下,已经呈现了全面建设数字化城市管理新模式的良好态势。
为落实省政府提出的“十二五”末实现全省县以上城市数字城管全覆盖的目标要求,省住房城乡建设厅相继出台了数字城管建设导则和相关标准,并把数字城管作为文明城市、人居环境奖、优秀管理城市评比的重要指标。
在推动全省数字城管建设的同时,也大大提高了城市管理整体水平。
目前全省已有三分之二的城市建成了数字城管。
当前,我县正处在全面落实科学发展观,加快发展转型,建设更高水平小康社会,率先迈向基本现代化的重要时期。
在城市管理方面,将围绕市委、市政府的战略目标,紧扣生态文明城市建设发展方向,秉承“在关注民生服务发展中提升城市管理水平”工作理念,进一步理顺管理体制,创新管理手段,加大管理投入,建立健全城市管理长效机制,以现代化的城市管理推动城市经济和社会发展效益的最大化,推动市民素质和城市文明程度的提高,为“十二五”总体目标的实现,创造良好的城市环境。
为此,我县数字化城管将充分利用我县现有的各种资源,开通数字城管服务热线,构建集约化的数字城管平台。
同时,建立并依托城市管理综合协调委员会,充分发挥相关职能部门的主管作用,建立和完善工作例会、情况通报、联系走访等机制,努力解决推诿扯皮,使城市管理横向到边、纵向到底,形成大城管格局。
1.2.概况
1.3.城市管理现状
近年来,在县委、县政府的高度重视下,团结拼搏,开拓进取,务实工作,城市容貌和形象有了显著提升,为经济社会又好又快发展做出了积极的贡献。
城市管理正在发生着日新月异的变化:一是城市管理观念在更新。
工作方式正从“以堵为主”向“以疏为主”转变;指导思想正在向“为民服务”转变;二是城市管理手段在更新。
逐步实现区域化、网络化、长效化管理;三是城市管理的体制、机制在更新。
体现在以城管指挥部为标志的大城管机制的形成,以及属地化管理;四是队员素质在更新。
组织纪律性明显增强、业务能力大幅提升、社会满意度不断提高。
但距离城市化和城市现代化发展的要求、人民群众对提升人居环境质量的需求,还有不小的差距,还存在诸多比较突出的问题。
一是人民群众对城市优质公共空间的需求与落后的城市管理手段之间的矛盾。
为人民群众提供优质的公共空间是政府不可推卸的责任。
但是,由于我们在体制机制、管理能力、政策法规、技术装备、信息收集与处理措施等方面准备不足,使中心城区、近郊区的城市管理出现盲区。
二是突击运动式管理与长效管理机制亟待建立的矛盾。
由于缺乏对城市管理的系统研究,城市管理一直局限于就事论事,热衷于搞运动、搞突击。
如不建立一套长效管理机制来解决长远问题,这类专项突击运动就容易造成雷声大、雨点小,老虎头、老鼠尾,群众埋怨,效果不好的情况。
三是政府管理粗放滞后、管理成本过高、效率低下。
我们对中心城区管理对象的底数不清,如某个区域内必须实施现场管理的各类设施的数量是多少、地理位置如何,难以提供准确的统计数据并及时更新,更不要说在出现紧急情况时采取什么对策了。
这就给城市管理工作带来了极大的阻碍,导致我们的管理只能是粗放的、低效型的。
四是日益复杂的中心城区城市活动与管理投入不足的矛盾。
中心城区城市管理人力、物力和财力(包括从机关到一线的人员编制、工作经费标准、技术装备、技术先进性、专业技术人才、干部资源等)投入严重不足,与中心城区快速发展的现实情况很不匹配。
五是城市管理各专业部门之间职责不清、职能交叉,造成有的事情无人管,有的事情多
头管。
从事城市管理工作的部门众多,有利的事大家抢着管,无利的事都不管,这个问题由来已久,一直没有得到很好的解决。
六是表现为缺乏统一高度,部门联动机制不健全。
从事城市管理工作的有那么多部门,但由于各部门的工作侧重点和依据的法律也不同及难以考核,往往是各行其是,协调配合不够,更谈不上建立相互之间的既监督又协同的关系,致使以收代管、以罚代管、只审批不管理的现象时有发生。
第2章项目需求分析
2.1.网络建设需求
本次系统需要的网络环境主要为有线网络
有线网络既包括纵向市级与各外部平台之间的网络,也包括横向的各级中心与同级各专业部门之间的网络,要求保证能够连通城市管理相关的专业部门,连通数字化城市管理监督指挥中心和各街(镇)、开发区。
2.2.主机和存储建设需求
一、主机系统
数字城管服务器平台是数字城管应用软件及相关系统软件的承载、运行的硬件平台,根据主流数字城管应用软件架构的需要,根据应用功能及所承载的系统软件的不同,可分为应用服务器、数据库服务器、GIS服务器、城管通服务器、备份一体机、省厅接口服务器等,关键服务器如数据库服务器及应用服务器考虑双机运行,保证系统运行的可靠性及稳定性。
二、存储系统
系统应具有海量数据存储和管理能力,支持存储设备容量的平滑升级。
存储主要考虑存储业务数据,考虑至少5年的存储需要,同时需要考虑地理信息数据、视频截图等容量。
同时在条件具备情况下,能够建设异地备份系统.
2.3.基础软件平台建设需求
软件平台主要包括操作系统、数据库系统、GIS平台、中间件及系统安全软件等。
软件平台应选取性能稳定、功能全面、兼容性较强、有良好应用基础的软件系统。
2.4.系统安全需求
从系统建设及应用来看,根据国家对保密方面的有关规定,本系统具备较高的保密等级,因此在系统设计和网络应用上要考虑到安全性,建议从以下几个方面进行考虑:
1.与外部网络的隔离和过滤:主要办法为在网络的边界处采用防火墙;
2.操作系统的及时更新;
3.病毒的防护和查杀;
4.重要数据的及时备份;
5.与公安视频等对接安全要求较高的配备网闸设备。
第3章整体网络设计
本次项目实施为我县数字化城市管理系统建设,包括对核心交换区的设计和数据中心的设计两大块。
包括综合网关、交换机、路由器、服务器、存储等设备,以及相应的一些管理软件。
3.1.设计原则
为了能适应今后很长一段时间内网络和通信技术的高速发展,计算机网络系统要采用当今流行的网络技术。
要求该系统不仅能体现当今先进技术水平,而且具有高度开放性,能为用户提供一个高效、标准和开放的基础平台。
先进性和实用性
采用先进成熟的技术满足内部应用系统的需求,兼顾其他相关的管理需求,尽可能采用先进的网络技术以适应更高的数据、视频(多媒体)的传输需要,使整个系统在相当一段时期内保持技术的先进性,以适应未来信息化的发展的需要
●安全性和可靠性
为保证各项业务应用,网络必须具有高可靠性,尽量避免系统的单点故障。
要对网络结构、网络设备等各个方面进行高可靠性的设计和建设。
在网络设计上应采用硬件备份、冗余等可靠性技术提高整个网络系统的可靠性。
网络系统承载多种不同安全等级的信息系统,要求网络在设计上具备安全性,除了在网络边界处设置安全网关进行访问控制外,从用户接入内部网络,访问数据中心资源,到访问外部网络资源等,要进行端到端的安全设计。
从PC终端要有安全检查和接入控制功能,网络交换机设备必须具备多种安全措施保证网络的安全,数据中心网络设计要有分权限进行安全防护。
●灵活性和可扩展性
计算机网络系统是一个不断发展的系统,所以它必须具有良好的灵活性和可扩展性,能够根据不断深入发展的需要,方便的扩展网络覆盖范围、扩大网络容量和提高网络的各层次节点的功能。
具备支持多种应用系统的能力,提供技术升级、设备更新的灵活性。
●开放性和互连性
具备与多种协议计算机通信网络互连互通的特性,确保本计算机网络系统的基础设施的作用可以充分的发挥。
在结构上真正实现开放,基于开放式标准,包括各种局域网、广域网等,坚持统一规范的原则,从而为未来的发展奠定基础。
●可管理性
由于内部局域网本身具有一定复杂性,随着业务的不断发展,网络管理的任务必定会日益繁重。
所以在网络设计中,必须建立一套全面的网络管理解决方案。
网络设备必须采用智能化,可管理的设备,同时采用先进的网络管理软件,实现先进的管理。
最终能够实现监控、监测整个网络的运行情况,合理分配网络资源、动态配置网络负载、可以迅速确定网络故障等。
通过先进的管理策略、管理工具提高网络的运行性能、可靠性,简化网络的维护工作,从而为办公、管理提供最有力的保障。
3.2.总体拓扑图
3.3.各区域设计说明
3.3.1.核心交换区设计
1、核心交换机
本次选配2台H3C S10506 作为核心交换机,整机共有6个业务插槽可灵活的根据实际应用进行端口板卡的选配与扩容;通过配备的万兆堆叠线缆进行IRF2智能弹性虚拟化架构设计以达到冗余备份目的,配备万兆端口板卡通过万兆多模光纤与2层、3层、8层汇聚间的汇聚交换机进行双万兆链路捆绑互联实现链路冗余备份、实现20G链路带宽;根据业务需要,部署防火墙插卡、入侵防御插卡等对整网进行安全防护实现网络安全一体化解决方案。
➢先进的CLOS 多级多平面交换架构
采用先进的CLOS 多级多平面交换架构,提供持续的带宽升级能力。
支持40GE 和100GE 以太网标准,充分满足无阻塞园区网的应用及未来发展需求。
独立的交换网板卡,控制引擎和交换网板硬件相互独立,最大程度的提高设备可靠性,同时为后续产品带宽的持续升级提供保证。
➢创新的分布式多引擎设计
采用了创新的硬件设计,通过全分布式的独立控制引擎、检测引擎、维护引擎为系统提供强大的控制能力和毫秒级的高可靠保障;
分布式的控制引擎,所有业务板均提供强大的控制处理系统,轻松处理各种协议报文及控制报文,并支持协议报文精细控制,为系统提供完善的抗协议报文攻击的能力;
分布式的检测引擎,所有业务板都可以分布式的BFD、OAM等快速故障检测,并与控制平面的协议实行联动,支持快速保护切换和快速收敛,可以实现毫秒级的故障检测,保障业务不中断;
分布式的维护引擎,智能化CPU 系统支持电源智能管理,可以支持单板顺序上下电(降低单板同时上电带来的电源冲击,提高设备寿命,降低电磁辐射,降低系统功耗),设备在线状态检查。
➢数据中心虚拟化和网络融合技术
作为企业级云计算数据中心核心设备,10500系列产品在云计算数据中心虚拟化和网络融合方面都提供了一系列技术解决方案:
TRILL:随着服务器和交换机规模的增加,数据中心网络越来越倾向于扁平化的网络架构以便于维护管理,这就要求构建一个大型的二层网络;10500系列产品支持通过TRILL技术和纵向虚拟化技术来进行数据中心大二层网络的构建
MDC:10500产品可以通过MDC技术实现正真的1:N的虚拟化,即把一台交换机虚拟成N台互相独立的虚拟交换机,不同于传统的交换机虚拟化技术,MDC虚拟出的每台交换机之间物理隔离、安全隔离,拥有独立的硬件资源和管理权限,满足多业务客户共享核心交换机的需求,
FCOE:10500系列产品支持FCOE技术;FCOE技术主要用来解决云计算数据中心LAN网络和存储网络异构的问题,通过FCoE和CEE技术的部署,可以实现数据中心前端网络和后端网络架构的融合,解决数据、计算和存储三网割裂的技术难题,从而大大降低数据中心的采购和扩容成本;
➢基于开放架构的多业务融合
S10500系列秉承H3C公司的开放架构设计理念——开放应用架构(OAA),将传统园区网核心交换机的L2至L3的报文转发的简单功能,重新定义为集成L2至L7的深度业务感知,有线无线一体化,有源无源一体化,IPv4/IPv6一体化,网络流量分析与管控等多业务于一体的多业务承载平台。
S10500系列支持防火墙模块、IPS模块、负载均衡等安全控制模块,可以将安全保护功能扩展到交换机的每个端口;支持虚拟防火墙功能,可以为VPN用户提供网络防火墙的租用服务。
实现了网络业务和安全业务的无缝融合。
S10500系列集成无线控制模块,实现有线无线一体化解决方案。
无线控制模块提供丰富的业务能力,包括精细的用户控制管理、完善的RF管理及安全机制、快速漫游、超强的QoS和对IPv6的支持等;无线控制模块通过与安全策略服务器的联动,实现对无线接入用户的端点准入防御,提高了整网的安全性。
3.3.1.1.核心设备虚拟化设计-多虚1
IRF2(Intelligent Resilient Framework 2 ,第二代智能弹性架构),是H3C自主研发的虚拟化技术,将多台物理设备通过IRF2虚拟化成一台逻辑设备,从而实现多台设备的协同工作、统一管理和不间断维护。
核心未来可通过10G万兆线缆互联采用华三专有的IRF2智能弹性架构技术进行虚拟化堆叠。
➢业界领先的冗余备份技术
引入虚拟化设计方式之后,在不改变传统设计的网络物理拓扑、保证现有布线方式的前提下,以IRF2的技术实现网络各层的横向整合,即将交换网络每一层的两台、多台物理设备使用IRF2技术形成一个统一的交换架构,减少了逻辑的设备数量,如下图所示
在虚拟化整合过程中,被整合设备的互联电缆成为IRF2的内部互联电缆,对IRF2系统外部就不可见了.原来两台设备之间的捆绑互联端口归属的VLAN三层接口网段均能被其它设备可达(如ping通),而归属到IRF2系统内部后,不对互联电缆接口进行IP配置,因此隔离于IRF2外部网络。
本次采用核心交换机S10506支持IRF2技术,最多将4台高端设备虚拟化为一台逻辑设备,在可靠性、分布性和易管理性方面具有强大的优势;
可靠性:通过专利的热备份技术,在整个虚拟架构内实现控制平面和数据平面所有信息的冗余备份和无间断的数据转发,极大的增强了虚拟架构的可靠性和高性能,同时消除了单点故障,避免了业务中断;
分布性:通过分布式跨设备链路聚合技术,实现多条上行链路的负载分担和互为备份,从而提高整个网络架构的冗余性和链路资源的利用率;
易管理性:整个弹性架构共用一个IP管理,简化网络设备管理,简化网络拓扑管理,提高运营效率,降低维护成本。
3.3.1.2.核心设备虚拟化设计-1虚多
MDC(Multitenant Devices Context,多租户设备环境)是H3C自主研发的虚拟化技术,可以实现1:N的虚拟化能力,即一台物理交换机虚拟化成N台逻辑交换机,满足多客户共享核心交换机。
一方面可以充分利用核心交换机的能力;另一方面也降低了用户的投资成本;同时可以通过MDC技术实现对业务的安全隔离。
1、Multitenant Device Context (MDC),MDC技术是一种完全的1:N设备虚拟化技术,将一台物理网络设备通过软件虚拟化成多台逻辑网络设备,虚拟化出来的逻辑网络设备简称MDC(Multitenant Device Context);
2、软件上,MDC将网络设备的控制平面、数据平面、管理平面进行了完全的虚拟化;
3、硬件上,MDC将网络设备的硬件资源进行了虚拟化,不仅可以将板卡、端口等硬件资源划分到独立的逻辑设备,而且可配置每个逻辑设备的CPU、内存、存储空间等资源。
➢Multitenant Device Context (MDC)的优点
1、复用,多台MDC共用物理设备的资源,使物理资源能得到充分利用;
2、隔离,同一台物理设备上的多个MDC具有独立的软硬件资源,独立运行互不影响;
3、高伸缩性,可整合多个物理网络到一个物理设备上,也可以将一个物理设备扩展为多个逻辑网络。
2、出口路由器
核心交换机10506下连出口路由器,本次出口路由器设计为1台H3C SR6604-X,H3C SR6600-X系列产品(以下简称SR6600-X)是H3C自主研发面向新一代云业务需求的高端汇聚路由器。
随着云计算应用的大规模普及,用户对路由设备的要求也越来越高。
除了高性能和大容量之外,还要求虚拟化网络时能够汇聚更多用户和业务流量,并针对各种基于云的数据流进行精细化区分和QoS保障,确保网络互连时的安全性、可靠性。
对此,传统的路由设备在这些方面往往难以满足要求。
H3C新推出的SR6600-X系列路由器有针对性地解决了上述问题。
H3C SR6600-X采用全业务分布式处理架构,业务全部内置无需另外购置业务板卡,同时具备弹性可扩展业务处理能力,并采用自主研发的集路由转发与业务处理于一体的Apollo硬件芯片内核,实现高性能业务线速转发。
与此同时,SR6600-X还创新的以IRF2技术为基础,实现了广域网汇聚虚拟化,在降低运维、管理成本的同时,大幅提高网络可靠性。
SR6600-X系列产品支持先进的网络操作系统Comware V7,该操作系统在多核CPU的支持、分布式计算、模块化的设计、高可用性架构、虚拟化、开放性等方面与SR6600完美融合,进一步提高了整个系统的性能和可靠性,并具有更好扩展性。
3、综合安全网关
核心交换机10506上连综合安全网关,本次综合安全网关设计为2台H3C SecPath M9006互为备份。
H3C SecPath M9000系列是杭州华三通信技术有限公司(以下简称H3C公司)结合云计算、IPv6、大数据及高性能计算的发展趋势,针对云计算数据中心、运营商CGN、大型企业及园区网出口等市场推出的新一代高性能多业务安全网关。
全面支持攻击防范、抗DDoS、访问控制、安全域划分、黑名单、流量监控、邮件过滤、网页过滤、应用层过滤等功能,能够有效的保证网络的安全;采用ASPF(Application Specific Packet Filter)应用状态检测技术,可对连接状态过程和异常命令进行检测;支持多种VPN业务,如L2TP VPN、GRE VPN 、IPSec VPN、SSL VPN、MPLS VPN等,满足多种高性能VPN接入的需求;支持业界最丰富的NAT特性,满足各大运营商的NAT需求;提供丰富的路由能力,支持静态路由、RIP/OSPF/BGP/ISIS路由策略及策略路由;全面支持IPv4/IPv6双协议栈。
H3C SecPath M9000系列多业务安全网关充分考虑网络应用对高可靠性的要求,采用领先的多核全分布式架构。
主控引擎1+1冗余,提供整机统一配置管理,支持安全集群;业务引擎和接口单元支持混插,可以根据性能需求灵活进行选择;风扇模块冗余,风扇框支持风扇状态监控,风扇支持无级调速,可以根据环境温度、单板配置自动分组调速;电源模块M+N 备份,交、直流电源模块支持热插拔,多电源模块负载分担,可灵活根据系统功耗配置模块数量,保证模块高效工作。
设备所有单元均支持热插拔,充分满足网络维护、升级、优化的需求。
3.3.2.数据中心设计
本次数据中心设计主要是满足承载在服务器上的一些业务的应用服务器,需要下连核心交换区的综合网关。
通过具有FCOE功能的交换机连接到存储设备。
1、服务器
本次为了满足数据中心设计服务器选用H3C FlexServer UIS8000刀片机箱+H3C UIS B390,H3C FlexServer UIS8000刀片机箱采用了一系列全新的技术,提供了简化的管理、强大的处理能力、超强的网络带宽、更高效的供电和散热。
1个UIS8000刀片机箱可以支持16块半高刀片服务器或8块全高刀片服务器。
H3C FlexServer UIS8000机箱可提供模块化服务器、互连模块和存储组件、电源模块、散热模块及网络模块。
该机箱10U高,可容纳16块半高刀片服务器或8块全高刀片服务器以及可选的冗余网络和存储互连模块。
它内置一个共享的中置背板,可将刀片服务器一次性连接到网络和共享存储设备。
通过OA管理模块和远程管理模块来管理服务器,并可实现全面地控制。
➢节能技术:与动态功率封顶的精确测量和控制相结合,可在无损性能的前提下节能和回收闲置电能。
➢互联架构:连线一次便可动态添加、替换或恢复刀片服务器,不影响网络和存储或产生其他操作。
➢中置背板:无单点故障,可使用户业务正常运行。
➢板载管理:提供了实用的管理工具并简化了日常管理,问题告警,便于用户问题定位及恢复。
UIS 统一管理矩阵是整个UIS的大脑,提供了对数据中心网络、刀片式服务器、机架式服务器、服务器虚拟化、存储、应用、机柜等多个基础部件进行统一管理和部署,它摒弃了传统的割裂式管理,让基础架构部署和IT运维变得简单。