某监狱信息化建设设计方案
2.1.7 设备清单
按照综合布线要求,实施语音、视频、数据传输的统一布线,具体设备及材料明细如下表:
序号 网络综合布线设备 1 2 3 4 5 6 7 8 9 10 11 程控电话设备 1 2 3 4 5 6 7 8 9 光纤布线系统 1 2 3 4
设备名称 规格及型号 品牌 单位 数量 146 658 10 10 8 8 658 658 250 158 11 1 72 279 8 8 8 279 279 800 7200 54 72 12 超五类屏蔽双绞线 1071004 ESL 超五类模块 MPS100E-262 超五类48口配线架 PM2150-48 48口理线器 PM2150-48 超五类24口配线架 PM2150-24 24口理线器 PM2150-24 超五类数据跳线5FT D8PS-5 标准底盒 86*86 双口外盖面板 M12CF-262 单口外盖面板 M11CF-262 42U标准机柜 600*600/42U 24外线288内程控电话交换机 线 超五类4对非屏蔽双绞线 1061004CSL 电话模块 MPS100E-262 110配线架 110AB2-100FT 110背板 110RD2-200-19 110配线架水平走线110B3 槽 标准底盒 86*86 单口面板 M10CF-262 3类50对主干电缆 1010050AGY 单模光纤 光纤跳线 法兰 机架式光纤终端盒 十二芯单模 LC-FC/FC-FC FC-FC 24口 康普 箱 康普 块 康普 台 康普 只 康普 台 康普 只 康普 根 国产 个 康普 台 康普 台 华美 台 中联 康普 康普 康普 康普 康普 台 箱 块 台 只 个 国产 个 康普 个 康普 米 长飞 长飞 长飞 国产 米 条 只 个 26
某监狱信息化建设设计方案
2.2 计算机网络系统
计算机网络系统(CNS)是以网络技术为依托,将分布在不同地点的计算机、终端、外部设备、服务器等设备,通过网络设备和通讯线路连接起来,在网络通讯协议和网络操作系统控制下,实现信息传递、资源共享的系统。
2.2.1 业务需求
某监狱计算机网络系统要求建立覆盖监狱机关办公区与监管区范围内的局域网络,不仅要满足所有子系统数据信息的高效传递,同时要能通过监狱内部网站这一公用平台满足同其他各种功能系统的集成与应用,并能实现全监所有联机电脑、领导桌面终端、上级管理部门终端、其他相关业务机关(如驻监武警部队)终端之间的数据传输。随着网络新技术的出现和多种新业务(数字监控、视频会议、心理咨询等)应用的拓展,原有的计算机网络应用的范围扩大了,必须能够支持传递数据、视频和语音数据。
2.2.2 方案设计
2.2.2.1 技术路线
网络系统设计时,要选择合适的网络拓扑结构,采用能够满足未来业务应用的组网技术,选取适合应用要求的网络设备,充分考虑网络安全和管理要求。
1、组网技术
目前,网络组网技术主要有百兆以太网、千兆以太网、万兆以太网、ATM等。从组网技术的先进性、成熟实用性和经济性角度综合考虑,结合省局网络管理规范、网络应用需求、建设成本和目前建网的主流技术,网络主干采用万兆以太网技术,桌面采用百兆或千兆快速以太网技术。
2、隔离技术
隔离从广义上讲分为网络隔离和数据隔离,只有达到这两种要求才是真正意义的隔离。实现隔离的方式有多种,如:代理服务、网关、虚拟网络(VLAN)、软硬防火墙和从物理层到网络层的物理隔离,以及这些隔离方式的组合应用。
27
某监狱信息化建设设计方案
由于监狱内网络不允许与INTERNET有任何连接,如有计算机有INTERNET的需要,则需从线路和网络通路上与监狱内网作彻底的物理隔离。在与省局机关进行广域连接时,采用专网和防火墙技术;监狱内网与监狱外网之间实现物理隔离。服刑指导网与监狱外网之间实现物理隔离。
监狱内网与监狱外网在网络设备和布线层面实现物理隔离,即采用不同的布线系统,不同的网络设备。因监狱存在一些需跨监狱内网与监狱外网的应用(如某些监狱使用罪犯进行超市购物管理,以及罪犯进行远程网上心理咨询应用等),设计可将一些应用管理服务器跨这两个网络进行应用,即服务器上安装两个网卡,一个网卡属于监狱内网,另一个网卡属于服刑指导网。或者可以采用防火墙设备,跨两个网络,将服务器接到防火墙上,实现既对两个网络的隔断,又能实现对服务器的共享访问。同时,必须加强服刑指导网终端的管理,应设置桌面管理软件,控制服刑指导网上计算机终端的使用功能,以最大限度的确保信息安全。
网络系统由网络交换机平台、服务器、管理软件平台组成。网络平台由主干交换机组(核心层)和桌面接入交换机群(访问层)构成,在逻辑上通过VLAN(虚拟专用子网)技术根据功能要求划分子网;服务器包括数据库服务器、业务应用文件服务器以及WEB应用等相关服务器;软件平台包括应用软件和系统软件,应用软件主要有办公自动化OA系统和各种专项及综合应用系统等,系统软件主要有网络操作系统、数据库系统、网管系统和网络防病毒软件系统等。
2.2.2.2 方案描述
监狱计算机网络是为监狱信息化应用提供通信网络应用的重要基础设施,根据《全国监狱信息化建设规划》及监狱电子政务、安全防范和应急指挥、服刑人员改造等方面的需要,总体上规划建设监狱内网、服刑指导网和监狱外网这三个相互隔离的网络。
? 监狱内网
主要为监狱的监控、报警、监听、门禁、办公、网站及各项业务管理应用系统提供通信支撑平台。该网络将延伸到监狱机关,以及监区和分监区民警职工办公区,并接入全省监狱内网网络中,从而在全省范围内形成一个网络互联互通的基础内网网络平台。
28
某监狱信息化建设设计方案
? 服刑指导网
凡是以罪犯自助使用形式存在的计算机,只能接入该网络。如罪犯进行狱务公开查询的触摸屏、浏览服刑指导网站的计算机、与民警进行远程心理咨询的计算机等。
? 监狱外网
主要用于监狱民警职工接入国际互联网,进行信息查询等工作。也用于部分罪犯在民警控管下,进行互联网上进行远程会见等应用时网络接入。
一、路由方案
根据监狱局域网的网络结构以及所选择的网络设备,考虑在核心交换机与接入交换机之间运行路由协议,而采用三层交换网络。
1、路由协议的选择
路由协议包含两类:内部网关协议(IGP)和外部网关协议(EGP),内部网关协议包括RIP和OSPF,外部网关协议包括EGPHE BGP等。
监狱网络作为一个独立的网络系统,使用内部网关协议IGP(Interior Gateway Protocol),目前使用最广泛的路由协议有OSPF(Open Shortest Path First)、SR(Static Routes)等已形成国际标准的协议,考虑到运行维护的便利性,OSPF为IETF标准路由协议,开放性比较好,而且可供工程技术人员参考的资料丰富,未了保证系统的互通性,应该选用国际标准的、先进高效的OSPF动态路由协议作为骨干网互联协议。
2、路由区域划分
OSPF的区域划分的基本原则如下: 每个区域内路由器不超过100个,
每个路由器接口的相邻路由器不超过60个, 每个路由器所属区域不超过3个, 所有区域必须物理地连接到骨干区域。 3、IP地址规划方案
采用静态分配和动态分配相结合的方式来分配IP地址。 设备互连地址,设备Loopback地址等采用固定IP地址, 各级局域网中,服务器采用省局分配的一般数据应用固定地址,
29
某监狱信息化建设设计方案
视频会议应用地址采用省局分配的视频会议应用地址, IP电话应用地址采用省局分配的IP电话应用地址, 监控应用地址采用省局分配的监控应用地址。
一般而言,对于开机率比较低的区域,或主机位置及人员变化相对较频繁的区域,如办公区等采用动态地址分配,办公区的主机开机时通过DHCP请求获得一个地址,用户的网络通信使用该地址,关机后系统回收该IP地址,这样既可以节约IP,也使得网络用户便于管理。 二、监狱内网
监狱内网是以核心交换机为中心,然后接入二级交换机,三级交换机,从而形成多层次的网络体系。
内网采用三层交换机为核心交换机。接入交换机采用二层的VLAN隔离,从而形成VLAN隔离的局域网。也可在二层接入交换机上跑三层路由,核心交换机与接入交换机之间进行路由交换,并在核心交换机和接入交换机上划分VLAN。
? 边界接入:
设置边界接入路由器,边界接入路由器与监狱内网核心交换机直接相连,也可在接入路由器与监狱内网核交换机之间安装防火墙、防毒墙和抗攻击等安全防护设备。
? 核心层:
监狱内网应是以支持三层交换和VLAN功能,并带网管功能的交换机为核心的局域网。从核心交换机到二级交换机之间支持达到万兆或千兆。本次系统推荐选型华为Quidway S9306系列以太网交换机作为核心交换机,配扩展卡,支持24端口百兆/千兆以太网光接口和8端口百兆/千兆Combo电接口板(SA,SFP/RJ45)。
? 二级/三级交换机:
通过光纤或双绞线与核心层交换机相连。选择支持VLAN功能,并带网管功能的交换机,并支持三层路由交换模式。下连信息点之间支持百兆或千兆速率。本次系统推荐选型华为LS-S3328TP-EI-AC、LS-S3352P-EI-AC以太网交换机,24/48个10/100Base-T,2个10/100/1000Base-T与1000Base-X SFP COMBO,交流供电。
30