1、XX智慧路口网络解决方案技术建议书2021年11月目 录1 项目概述11.1 项目名称11.2 建设目标11.3 设计依据和参考标准31.1.1 政策文件依据31.1.2 技术规范依据32 现状和需求分析62.1 业务现状及痛点62.1.1 交通数据源不足导致交通态势掌控不准确62.1.2 交通运输监控手段不足62.1.3 信息资源未实现有效交换共享72.2 信息化现状及痛点82.2.1 旧的采集体系功能有限，新的感知体系尚未建立82.2.2 整体可靠性不强，存在较大安全隐患82.3 交警行业网络现状92.3.2 前端路口接入网现状102.3.3 城域传输网络现状122.3.4 光纤资源现状12、32.3.5 网络安全现状132.4 关键网络需求分析142.4.1 业务系统宏观需求142.4.1.1 通信基础设施建设需求162.4.1.2 通信应用建设需求172.4.1.3 通信结构需求172.4.1.4 通信内容需求182.4.1.5 通信带宽需求182.4.1.6 通信安全需求192.4.1.7 数据规程需求202.4.2 网络需求分析202.4.2.1 网络现状与业务需求差距总结212.4.2.2 网络需求分析总结233 智慧路口网络方案设计263.1 网络设计目标263.2 网络总体架构273.2.1 交警网络总体架构273.2.2 前端接入网络系统架构283.3 前端接入网络3、方案293.3.1 交通路口网络方案293.3.2 路段卡口网络方案343.3.3 重点场所路口网络方案363.3.4 高点监控站点网络方案383.3.5 诱导屏站点网络部署方案383.4 零信任接入安全设计393.4.1 零信任接入安全总体方案设计393.4.2 摄像机接入安全设计413.5 管理运维设计443.5.1 视频网络管理443.5.1.1 网管部署建议443.5.1.2 零配置部署443.5.1.3 视频监控智能运维473.5.2 PLC网络管理513.5.2.1 PLC网络管理建议513.5.2.2 单机模式部署533.5.2.3 集群模式部署543.6 方案亮点总结55iii4、1 项目概述1.1 项目名称项目名称：xxxx1.2 建设目标以提升交通管理水平、服务水平为核心，加快建设信息资源共享化、服务为民、决策科学化、运输高效化、运行安全化、调度信息化、控制自动化的一体化智慧交通管理体系，实现交通运输行业、执法、路面全链条智慧管理，公众出行全过程智慧服务，并支撑带动新型产业发展。全面提升县区道路交通智能化管理水平，构建高效、安全、环保、智能的道路交通网络体系，显著提升行业管理、服务水平和办公效率，最终建成数字交通、智慧交通、效益交通以及和谐交通。总体目标图 1-1总体目标，主要体现如下图所示的七大方面：图1-1 总体目标1、实现交通信息资源共享化交通信息资源是智慧交5、通管理系统的基础，要发挥智慧交通管理系统的作用，关键是实现各个系统内资源的整合和数据交互。实现对各交通信息的充分关联和深度挖掘，使交通管理者站在一个统一的高度，对整个城市的交通进行统一协调指挥决策。2、实现服务为民通过智慧交通管理系统的建设，结合有关部门公交路线及公交车的控制策略、车场设置等，使智慧交通管理系统能根据实际情况及时、准确地协调交通组织，完善公交优先的大公交思想，为市民出行提供准确及时的诱导等，同时可为有关的新闻媒体提供有关交通的资料，更好服务市民，充分体现信息取之于民用之于民，提高县区的政府形象。3、促进交通管理决策科学化通过对各种业务信息的高度集成，建立共享的数据库，实现定性管6、理与定量分析管理相结合，为交通管理决策提供可靠、准确的科学依据，并提高对道路交通的科学化管理水平，警务人员的现代化管理及交通意外事件的预案报警和快速反应能力。4、实现交通运输高效化智慧交通管理系统借助各种交通诱导和控制手段，可以非常有效地提高交通流运行的通畅性，促进运输车辆的合理调度，提高车辆的行驶效率，减少交通阻塞，从而促进全区交通运输经济效益的提高。5、实现交通运行安全化智慧交通管理系统可以为驾驶人和交通部门提供详细而准确的交通信息，提高交通的安全水平，降低事故发生的可能性，减轻事故的损害程度，防止事故后灾难的不断扩大。6、实现交通指挥调度信息化以交通地理信息系统和交通流动态现实系统为基础7、，以视频、检测、监控等技术为手段，对交通进行宏观、动态、实时的调控。同时，配之以先进的警务管理机制，使警务指挥调度高效、统一。7、实现交通信号控制自动化对城区内信号灯实现中心集中控制，建立起点、线、面相结合的交通控制系统。在控制模式上将实现集中与分散相结合；在控制方式上实现自适应（集中式）与感应式（单点控制）相结合；在控制范围上将实现线控与面控相结合，协调、优化交通流，从而提高点、线、面及整个路网的通行能力。1.3 设计依据和参考标准1.1.1 政策文件依据l 中华人民共和国交通安全法l 中华人民共和国交通安全法实施条例l 国务院关于投资体制改革的决定(国发200420号)；l 国务院办公厅关8、于保留部分非行政许可审批项目的通知（国办发200462号）；l 工程建设项目可行性研究报告增加招标内容和核准招标事项暂行规定（国家发展计划委员会令第九号）；l 国家发改委关于印发审批地方政府投资项目有关规定（暂行）的通知（发改投资20051392号）；l 国务院关于调整固定资产投资项目资本金比例的通知（国发200927号）；1.1.2 技术规范依据依据国家相关法律规章、国家和行业相关标准、相关研究成果等资料进行本设计，具体如下：l 道路交通信号灯设置与安装规范（GB 14886-2016）l 道路交通信号灯（GB 14887-2011）l 计算机信息系统安全保护等级划分准则（GB 17859-9、1999）l 信息安全技术信息系统安全等级保护基本要求（GB/T 22239-2008）l 民用闭路监视电视系统工程技术规范（GB 50198-2011）l 道路交通信号控制机（GA 47-2002）l 道路交通流量调查（GA/T 299-2001）l 道路交通堵塞度及评价方法（GA/T 115-1995）l 交通指挥系统建设技术规范（GA/T 445-2010）l LED道路交通诱导可变标志（GA/T 484-2018）l 道路交通信号控制机安装规范（GA/T 489-2016）l 闯红灯自动记录系统通用技术条件（GA/T 496-2014）l 公路车辆智能监测记录系统通用技术条件（GA/T10、 497-2016）l 城市交通信号控制系统术语（GA/T 509-2004）l 交通电视监控系统验收规范 (GA/T 514-2004)l 交通指挥系统工程设计制图规范（GA/T 515-2011）l 城市道路交通信号控制方式适用规范（GA/T 527-2015）l 交通指挥系统工程建设程序与要求（GA/T 651-2014）l 交通管理设备外场设备施工要求（GA/T 652-2017）l 城市道路设计规范（CJJ 37-2012）l 安全防范工程程序与要求（GA/T 75-1994）l 安全防范系统验收规则（GA 308-2001）l 安全防范工程技术规范（GB 50348-2018）l 11、城市道路交叉口规划规范（GB 50647-2011）l 道路交通安全违法行为图像取证技术规范（GA/T 832-2014）l 机动车号牌图像自动识别技术规范（GA/T 833-2016）l 交通指挥系统设计规范（GA/T 515-2011）l 公路网运行监测与服务暂行技术要求2 现状和需求分析2.1 业务现状及痛点2.1.1 交通数据源不足导致交通态势掌控不准确交通流检测数据量不足，采集设备数据质量参差不齐。由于采集设备布设范围和设备功能等限制因素，采集数据的类型不全，各类数据质量情况参差不齐，数据清洗工作量大，且数据采集类型和精度、频度有待提升。并且不同区域采集设备覆盖不均。现状数据采集未覆12、盖到交通全行业，路面、城市客运方面覆盖较为密集，其他行业覆盖较少；在重要枢纽、主要通道、交通节点和集散地等空间的覆盖范围不足。无法满足对道路交通态势的准确判别，致使交通态势显示以及诱导发布准确度不高、不及时，缺乏对市民出行路线的选择、无法为指挥者对交通的指挥决策提供有力的数据支撑。路况监控：包括高德浮动数据、 视频监控、群众报警、路面民警上报等途径。当前指挥中心重点关注主干道的拥堵检测，只能通过互联网的高德数据，然后通过视频确认。拥堵确认后直接语音调度路面警员处理，没有系统记录和跟踪。例如事故、坏车、违停（通知挪车）等异常事件引起的交通拥堵，因无法快速感知异常事件和出警时间过长，最终导致因异常13、原因引起的大面积拥堵蔓延。其次因信控配时或者道路规划不合理导致的拥堵，对这类拥堵，可通过科技手段进行解决，例如交通信号优化、交通组织优化。2.1.2 交通运输监控手段不足视频监控主要在市区主干道实现对社会车辆的监控与违法行为监测，而未涉及对道路、桥梁运输的安全、事故、超限超载等方面的监控，无法实现对县区内主干公路（道路）、公交站场、客运站场、非法营运黑点等进行实时视频监控，无法知晓大桥、特大桥、涵洞和人行天桥等发生的施工、塌垮事故、撒漏等现象，无法实现对物流源头园区、重点建设工地、重要市场的超限超载监控。因此，对道路交通运输监控的技术手段有待加强。2.1.3 信息资源未实现有效交换共享交通信息14、交换与共享是智慧交通系统是否完整高效的核心和关键，也是国内发达城市智慧交通系统建设共同的难题，其数据共享程度直接影响各应用系统的使用效率和区域、系统的协同，其难点不是技术性的，而是行政体制性的。目前，县区各职能部门已建或在建各种相关项目的积极开展，形成了海量的业务资源数据，但仍无法做到县区政府大数据共享应用，一方面是由于缺乏统一的规划和领导，使大多数系统或多或少存在封闭开发、标准不统一、基础数据不能共享、缺乏完整性等问题，“信息孤岛”现象普遍存在，另一方面是由于GA部关于GA信息共享的有关规范的要求，使得政府其他部门很难共享利用GA信息网和视频专网中的数据。交通数据只是孤立提供给交通管理应用，15、造成极大的数据浪费，如何有效的利用这些数据，整合GA治安防控采集的公共安全管理数据、政府部门行政管理采集的数据等，形成有效的立体大数据生态系统，打造政府信息化航母，成为了当前政府面临的紧迫需求。目前数据采集还不全面，数据分散在政府各个部门相互独立，数据存储也未形成规模化资源池，制约政府大数据应用的发展：1、数据信息共享：与政府部门没有数据安全交换通道，无法提供数据共享服务，环运、气象等部门都是采取行政审批流程，人工调取数据的模式，极大的浪费政府资源。迫切需要建设政府部门数据安全交换链路，打通政府部门与GA部门间的信息共享通道，解决部门间数据分散、相互独立的问题，实现包含治安防控与政府行政管理一16、体化的大数据应用；2、安全数据交换：随着国家对信息安全的重视，要求关键网络安全设备多元化，应选用多元化硬件设备，同时原来的安全数据交换链路存在交换带宽小、多任务交换能力弱、数据完整性保障能力低等技术问题，成为制约大数据信息资源整合的性能瓶颈，需要采用高性能数据安全缓存交换等新技术、新手段，解决性能瓶颈；3、高清卡口平台集成：随着县区智慧城市信息化采集力度的不断加大，以高清卡口、电子警察以及传感器等为代表的信息采集终端数量需要不断建设扩充，信息采集终端高清化、数字化技术水平的不断提高，每天信息采集的流量大幅增加，需要扩容原有卡口平台系统，满足扩容的需要。4、车辆数据资源库存储池：智慧交通前期项目17、还未与电子警察二、三、四期的数据整合，也未与高清治安卡口数据关联应用，还处于“信息孤岛”状态，为了尽快实现大数据云图，有效利用各类数据信息，智慧交通需要建设资源库、大数据和云计算平台，为政府提供数据共享服务支撑。2.2 信息化现状及痛点2.2.1 旧的采集体系功能有限，新的感知体系尚未建立大数据作为交通管控业务的基础已成为共识。目前，交警大队建成以车驾管数据、违法数据、事故数据为支撑，以车辆时空数据、视频监控流数据和办事、违法处理中的过程数据为辅助的基础数据体系，但从数量和质量上仍无法满足以大数据为基础的新警务模式的需要。一方面因为以往系统更关注传统数据采集手段，现有数据建设体系相对被动且功能18、有限，主要集中于路口和车辆，对“人”的出行信息采集不足难以支撑交通系统的全息化感知体系（人-车-路-交通流-环境）的形成。另一方面，设备维护更新存在滞后性，缺乏长效的设备更新完善机制。信号控制系统中，超过XX%的设备使用超过x年，故障频发。高清视频对路口交通秩序的保障有积极作用，目前仅有XXX余套高清电警，其余仍为模拟相机或者标清产品，产品高清化改造工作迫在眉睫。而且老旧设备返回的数据时延大，其次缺乏路口方向和车道号信息，完全无法进行车辆数据分析。实时路况研判价值也大大降低。因此迫切需要感知体系由“被动建设、缺乏层次” 向“深度洞察、全息感知” 转变。2.2.2 整体可靠性不强，存在较大安全隐19、患网络整体可靠性不强主要体现在：核心层、汇聚层、接入层网络中关键节点无备份，一旦出现故障影响大，导致成片区域的断连，极易发生业务中断风险；前端网络仍存在100M链路，无法满足业务增长需求，大量前端网络设备未联网管理，网络故障定位困难，同时设备接入安全薄弱，总体上前端视频接入的网络可靠性较低，运维管理成本高，设备在线率低，带宽租赁费用也逐年攀升，同时存在较大的安全隐患。2.3 交警行业网络现状通信网络作为智能交通科技系统的配套工程，随着科技系统的建设在同步进行。指挥调度、综合监测、信号控制、信息服务等系统已初步构建起智能交通管理体系，根据这些业务系统的需求，交警行业交管局已陆续建设了交警GA信息20、网、交警视频专网（部分地区也叫交通专网、交警专网，其中承载了交警视频监控、交通信号、非现场执法、交通流检测等多类子业务系统），为智能交通科技系统的正常应用提供基础的通信保障。除了交警GA网、交警视频专网，交警网络还涉及移动警务相关的移动/联通/电信VPDN，涉及相应的安全边界等，以下是总体网络组成示意图。图2-1 总体网络构成现状交警GA网承载着支队各单位日常办公业务数据交换转发，横向通过安全边界与交警专网进行数据交互，纵向上联该市GA局GA信息网。交警视频专网承载着高清视频监控、信号灯、信号板、电子警察等业务数据传输交换。向下通过有线/无线方式获取前端业务数据，向上对接该市GA视频专网提供相21、关数据；横向通过安全边界与交警支队GA信息网进行数据交互。本文档聚焦于市级交警视频专网解决方案的规划设计。省级各省交警总队主要承担全省核心业务数据的集中存储和应用、部署省级核心业务平台，以各地市交通管理数据汇聚，各地市执法、驾考、机动车检验等业务合规为战略考量，重点关注在六合一平台稳定性、集中指挥平台全省集中、省内高速管理等方面。GA部交管局/无锡交科所主要作为整体设计/标准制定/应用开发/建设指导的牵头单位，以大数据为未来发展重点，实现交通全行业数据和应用的集中为战略，重点关注在全国交警集成指挥平台、部本级大数据综合研判等方面建设。2.3.2 前端路口接入网现状路口局域网只包括接入层，部署接22、入交换机或光网络单元、光纤收发器、视频光端机等设备用于接入信号机、视频检测主机等路口感知部件，采用工业级网络设备以适应路口环境，从路口到局中心的链路通过租用电信运营商或交警自建网络。路口网络架构如下：图2-2 路口网络示意图路口接入网将路口的高清网络摄像机、信号处理机、各类感知终端的数据汇集起来。若网络摄像机、处理机距离汇集点较近，则直接通过超五类线与汇集点交换机连接，若网络摄像机、处理机距离汇集点较远，则部署多台交换机、将交换机互联或通过光纤拉远（光纤收发器）进行连接。智能交通发展需要大量前端设备支撑，随着城市化的发展，智能交通ICT建设突飞猛进，相应的交通各类前端设备逐年递增。以交通信号控23、制系统为例，据不完全统计，仅深圳、广州两地的现网信号机就超过5000台，信号灯组超过100000组，近年来还以每年20%以上的比例增长。而基于传统的建设模式，前端路口接入网当前存在如下问题：1、前端业务子网科室单位独立建设，技术标准和管理规范不统一，部分重复建设交通违法检测、信号灯控制、交通电视监控、交通诱导显示、交通流自动检测、车辆旅行时间检测、其他物联应用等不同科室在不同时期分头建设了各业务子网，缺少统一的技术标准和管理规范，对网络设备、安全设备及应用系统的综合利用带来一定影响，各业务子网之间互联互通、联动以及信息资源相互共享难度较大（路口无智能化设备，电子警察、信号机、交通诱导牌等系统相24、互联动弱，无法发挥最大交通管理作用）。网络局部重复建设，无法做好光纤光缆资源的共享，存在重复租用网络链路等资源的现象。2、前端设备安装施工成本高，部署困难交通前端设施建设，线缆众多，工序复杂。以路口信号控制系统建设为例，需要有强电与弱电的施工，而在安装时，强弱电必须分管穿线，要有挖沟、顶管、调试、复原等施工流程，花费时间长，且需要多个人力配合，安装、维护均极为不便。据不完全统计，单个十字路口需耗费5人10天工作量进行顶管施工，并且需要大件机器的协助，施工流程较复杂。3、大量前端设备未联网管理当前，交通传统的前端设备，例如信号机，电子警察，卡口，诱导屏设备已实现联网，但仍有大量的前端设备未能联网25、。例如信号灯组，倒计时牌，频闪灯等前端设备，在线管理存在大量盲点，无法达到全设备统一管理的目的。以深圳为例，平均每天都接到市民投诉信号灯问题30宗以上，信号灯故障导致的交通拥堵和事故频发，引发市民投诉，影响城市形象。4、海量前端设备故障定位困难前端系统工作不正常时，不能快速定位是哪里的问题。以某地交警为例，当地前端设备出现故障时，需先考虑是否是电力问题，而后考虑是否是网络问题，最后再考虑是否是设备问题。故障定位需涉及电力局、网络运营商及设备厂家等多个责任主体，界面不清晰，过程费时费力。2.3.3 城域传输网络现状城域网络是业务承载网，可承载IP数据网络、专用电路等业务，目前市交警城域网络上承载26、的业务包含旅行时间、电视监控、信号控制、互联网、政务外网、六合一系统、对外信息发布系统、GA网备份等业务网络，是市交管局各类业务统一承载和调度的综合传送平台。交警城域网多采用典型的层次化、模块化组网结构，逻辑上多分为骨干层和汇聚接入层。骨干-汇聚-接入之间根据不同历史时期建设情况，存在有路由器/交换机直接互连形成的数通城域网，也存在SDH/MSTP链状或环网，部分地区建设有DWDM光传输系统。光传输系统依据不同地区的不同业务量，配置不同类型/不同速率的业务接口，挂载数通设备，用于基层/路口各类业务终端数据的汇聚传输。传输网通过2M、FE、GE等接口实现多种业务的统一承载及调度，路由器和交换机等27、数据通信设备接入到传输设备的业务侧。根据交警业务发展趋势和各地交管局基础设施建设的总体框架，对现有不满足业务发展需求的老旧设备进行更新换代，部署城域智能IP网络，以便于更好地综合承载业务。2.3.4 光纤资源现状目前交管局交警网络多采用租赁运营商裸光纤组建传输网及城域数据通信网，信号控制系统通过租用运营商带宽搭建路口到局中心的IP通信链路。部分发达地区采用自建光缆光纤来连接业务节点的传输设备和数据通信设备。2.3.5 网络安全现状交警网络及系统平台例如指挥调度、车管系统、综合信息查询系统等，在相应区域内大多都部署有防火墙、网络入侵检测系统；其安全基础设施还包括病毒防护与预警系统、GA数字身份认28、证与访问控制(PKI/PMI)等。交警视频专网、交警GA网、GA移动信息网等承载的信息系统各项安全基础设施已初步建立，监测范围逐步完善，初步具备一定的风险发现和急处置能力。但是经过十几年的发展，随着交通业务、信息技术的快速发展，大数据、云计算、物联网、移动通信等新技术给交警网络安全建设带来了新的动力和新的挑战。现阶段已呈现出以下问题：（1）安全防护设备老旧。一些安全防护设备年限到期，老旧现象严重，防护技术单一，无法快速响应突发安全事件，安全设备能力不强。（2）网络安全防护体系不够完备，部分网络基层和节点缺乏必要的安全保护。安全防护措施跟随网络和业务系统建设进行部署，呈现分散的建设模式，缺少关联29、整合和统一部署，性能规格无法满足现有信息技术的安全需求；加之交通管理业务部署发生变化，原有安全建设已经不再适应（例如原来不作交警数据存储的节点未作充分的安全防护，现在该节点需要进行一定的数据存储，因而需要新的安全体系建设）。（3）安全等级保护有欠缺。国家网络安全法要求各单位要按照等级保护政策要求，对信息系统进行定级、备案、测评、整改。近期，GA交管部也做出了整体部署，要求全国GA交管机关按照等级保护要求开展相关工作。目前，多地交管部门的应用系统尚未全面开展定级备案和测评整改工作，合规性仍需加强。（4）授权管理粒度粗，网络安全分级分权分域管控等理念有待完善落实。利用GA的PKI/PMI系统建立的30、第一代授权体系，属于静态授权模式，无法灵活、动态调整，授权对象分类不合理，权限规则和实际需求“倒挂”，无法适应大数据中心对动态、精细化授权的要求。交警视频专网原安全系统侧重于网络边界和中心平台的防护，缺少终端安全、内部网络分区隔离、分级防护的有效措施。（5）态势感知不灵敏。安全审计监测技术手段建设相对分散，审计内容不够全面，难以对安全事件溯源，安全监测数据与威胁状态信息收集掌握不全面、不及时，综合分析深度挖掘模型不足，不能及时准确掌握安全态势，威胁预警反应能力弱。（6）交警视频专网感知终端基数大且分布广泛，品牌多样，末端非IP化部件众多，机关管理部门目前无技术工具自动统计。视频监控设备和其他众31、多感知终端部署地点大都暴露在道路、街区等公共场所，极易被恶意侵入，进而侵入到整个网络，导致核心业务系统无法正常运行、大量涉密信息面临窃取风险。另外GA机关采取分布式管理，无集中式管理平台，安全管理运维难度大。（7）安全运营不到位。安全专业技术人员数量不足，培训不充分，专业技能更新无法跟上安全技术发展。缺少集中统一的安全运营中心，难以满足快速应对、有效处置风险的要求。2.4 关键网络需求分析交警网络覆盖的地理区域面积大，城市道路和路口建设逐年增多，而交通系统本身具有分布式特点，其中参与交通的实体，无论是人，还是外场采集设备和信息发布终端，都需要有通信系统来进行信息交换。只有完善的交通信息平台和通32、信链路的建设，才能保证交通系统中交通流信息，交通指令信息等信息的传输。2.4.1 业务系统宏观需求交管局信息化网络在多年发展的过程中，逐年按需建设，前期设计未考虑大数据的建设需求，对于新的交管大数据、各类业务云的承载能力不足，无法实现不同云数据中心间的互通互联和灵活调度，难以全面满足未来发展需求，在当前大数据融合驱动下，逐渐暴露出各类问题，主要体现在以下几方面：网络基础设施需要升级改造交管局信息化网络设备、系统服务器和存储设备等使用时间大多超过五年，原有基础资源架构较为老旧，并且应用系统呈“烟囱式”建设模式，内部形成许多“信息孤岛”，无法满足云计算、大数据时代的信息化发展要求。因此，迫切需要建33、设交通管理警务云及大数据中心，实现基础资源的动态调配，软硬件资源集约化管理，有效保障业务连续性。海量数据融合处理需要网络通信提供支撑当前，多地交管局已积累形成PB量级交通数据，但分散在各系统和各业务部门，在采集、存储、计算、应用过程中，当前的系统架构暴露出诸多瓶颈：系统存储无法弹性扩容；查询速度慢，无法快速响应突发事件；各类型数据资源分散，无法做到整合分析。根据业务系统需求，亟需提升多节点之间的数据整合管理、多并发的数据处理与应用、跨行业的数据关联挖掘分析等能力。新技术的应用需要通信网络进一步支撑大数据、云计算、移动互联网等新技术应用，已成为引领、支撑、服务实践的重要推动力。面向未来的车路协同34、智能汽车、实现路口边缘计算和交通大脑等新技术理念正在逐步转向细节落地，支撑道路科学管理。但交管局在新技术应用上，以往缺少前瞻性研究和整体性布局。例如，一些系统建设还是沿用以往的技术标准和独立的上端平台，没有考虑大数据、云计算等技术架构，给系统集成整合和数据共享应用带来不便。实践应用管理需要全面加强经过十几年建设，交管局科技信息化已积累了一定硬件基础，但在应用和管理上仍然较为薄弱，科技应用停留在“少数人干，多数人看”的层面，没有形成全警参与、全警应用的格局；海量信息没有物尽其用，仅停留在搜集数据、简单比对等初级应用上，数据信息的深度关联、广度拓展、高端应用亟待加强。路面科技设备的通信需求需要抓35、紧更新按照GA部道路交通技术监控设备运行维护规范（GAT1043-2013）标准，科技设备使用年限为5至7年。而交管局日常应用的科技设备有半数使用时间达到7年以上，老化和损坏现象严重，存在安全和使用隐患；部分设备技术指标落后，难以满足当前实践应用需求。科技管理机制需要整合规范多年来，各业务部门、各交通支（大）队大力推进科技系统建设，取得了显著效果，但由于各个系统建设标准不统一、管理要求不一致，一定程度上造成重复建设、资源浪费、数据信息不能共享等问题，不利于一体化管理。当前，规划、设计、立项、建设、应用、维护等环节亟待规范，明确各单位职责任务，制定具体管理规定和实施细则，既强化科技工作统一归口管36、理和统筹全盘推动，又能最大程度激发各单位科技应用热情。2.4.1.1 通信基础设施建设需求根据交管局交警未来的业务部署规划，未来交管局业务将实现云化布局，进一步完善车牌识别、高清视频监控、高清电子警察、信号控制、行车诱导等业务系统，未来的计算和存储资源将逐步实现云化共享，核心汇聚机房之间的通信需求将大大提高。以高清视频监控为例，1路IP高清摄像头带宽按照8M计算，多数的普通中等城市大约有2000个路口，每个路口（及路段卡口等）平均以2.5个摄像头来计，则全市所有IP高清摄像头并发带宽将达到40G，可认为是对汇聚到骨干核心网络系统能力的常规要求，因此需要建设一个满足视频业务需要的高带宽高品质核心37、汇聚网络。同时，现代化的智慧交通要求交警网络打通最后100米，实现路口大物联，为交通大脑提供有效输入；前端协同调优，实现高效交通管理；末端有线无线等全场景接入，配合边缘网关“小脑”实现设备自组网、智能故障定界、回传路径调优等；布局车联网，占据路口优势资源先机，基于路口智能网关扩展网络，兼容802.11p，全面实现V2X全交互。综上所述，在通信基础设施建设方面，需要对现有不满足业务发展需求的老旧设备进行更新换代，增加部署IP城域核心汇聚设备、接入网及路口数据通信设备等，以满足各路口数据的接入、分中心数据上传局中心的网络需求。同时在新建的分中心增加数据网络交换设备、老旧数据中心机房数据通信设备升级38、改造，与局中心数据网络交换设备保持高效通信。结合GA部交管局下发的推进城市道路交通信号灯配时智能化工作方案，国内30W套信号机需在5年内实现联网改造。根据路口点位分布，对现有区县、远郊、乡镇等覆盖情况进行查漏补缺，增加部署可靠的、可管可控的、IP化接入设备；有条件的路段路口，在不影响现网业务的前提下，对已有业务子系统进行优化改造，考虑引入智能物联。2.4.1.2 通信应用建设需求需要利用新的设备搭建层次化结构，改变原有网络结构中不合理的部分。控制系统主干网络进行分层设计，采用层次化架构的设计方法，重新规划中心系统内部网络。要求做到合理配置核心路由器/交换机，充分发挥核心设备的硬件性能；根据业务39、需求合理规划路由、划分VLAN，控制广播范围，抑制广播风暴，提高局域网的整体性能和安全性；提高网络对突发事故的自动容错能力，最小化网络的失效时间。内部网络区域设计，将原先单一的内部局域网根据不同功能与安全防护需求重新划分为多个相对独立的区域，共同接入核心层交换机，功能区间的通讯与互访要求可控制与可规划。服务器独立组网，在网络核心层建立稳定的服务器子网，将中心系统的服务器集中到该子网内，保障对内对外的服务质量。2.4.1.3 通信结构需求智能交通信号控制系统主要由交通控制中心、前端路口（检测器、信号控制机）、通信网络三部分组成。检测器完成对车辆信息的采集和处理，信号控制机负责现场交通信号的处理和40、实施上层控制命令的功能；交通信号控制系统中心完成交通信号的控制、管理与优化。1. 交通控制中心交通控制中心设备主要包括中心控制服务器、区域控制服务器、通信服务器、数据库服务器、客户端等，服务器安装在指挥中心，客户端既安装在指挥中心，主要用于监视和修改路口控制参数等。2. 前端路口路口部分设备主要包括信号机、检测器等，信号机根据车辆检测器检测的交通信息（包括车流量等）实时调整路口控制方案（信号周期和绿信比），实现路口的有序控制。总体上，路口涉及视频类前端，如电警、卡口、道路监控等，同时也涉及非视频前端，如信号机、信号灯、雷达、诱导屏等。为了同局内其他交通管理系统达到数据共享目的，在建设交通信号控41、制系统时必须按照GA部和局内已有的标准要求进行建设，在中心系统的协议上避免采用私有协议，在保障系统的后期扩展上为项目提供有效的保障。3. 通信网络面对众多类型的前端设备，可提供多种类型的接入网络，包括传统光端机/光纤收发器方式、PLC电力线通信方式、一体化站点回传方式，工业交换机接入方式等。从前端路口到交警局中心，数据经过接入网、IP城域汇聚及核心网络、骨干光传输网络等环节，实现各类交警业务数据的最终汇集。2.4.1.4 通信内容需求设备通讯遵循ITS通信专用协议。（1） 前端信号控制器设备可以直接控制信号灯的灯色变化，并接收检测数据，进行初步处理、基本控制配置等；（2） 主中心、分中心服务器42、可以进行各种系统管理，配时管理，优化，状态监控等；（3） 数据传输设备负责数据的传输。2.4.1.5 通信带宽需求交通信号控制系统是典型的Center-To-Field系统，通过上下端的通信完成对路口的控制。交通信号控制系统一般有全双工和半双工两种传输方式：全双工时，上下端能同时完成上载和下载的功能；半双工时，某一时刻只能执行一种动作。现有的通用通信协议一般都同时支持这两种传输方式，普遍采用全双工传输方式。根据交警系统通信的一般需求，每套闯红灯监测带宽需求4M，每套综合监测带宽需求10M，每套视频监控带宽需求10M，超速及禁行监测等带宽需求2M。信号控制系统每处带宽需求2M。前端路口根据实际路43、口类型和检测设备多少分为两种类型，第一种类型包括多路交叉、平面十字、桥下十字三种；第二种类型包括行人过街、平面T型/平面丁字、平面Y型、桥上环岛、桥下T型、桥下环岛等七种。第一种类型需要在路口建设闯红灯综合检测设备、电视监控设备、信号控制设备、诱导显示屏设备、旅行时间检测设备等多种智能交通设备，按照每套摄像机需要实现过车数据实时回传，高清视频实时回传，违章数据实时回传的需求，单套设备需要10M带宽，单个路口平均需要接入7套各类智能交通前端设备设计，单个路口带宽需求按照70M。第二种类型需要在路口建设闯红灯综合检测设备、电视监控设备、信号控制设备、诱导显示屏设备、旅行时间检测设备等多种智能交通设44、备，单个路口按照平均需要接入3套各类智能交通前端设备设计，单个路口宽带需求按照30M。考虑到今后交通移动警务系统、车路协同系统及4K高清视频的接入需求，每个路口上行带宽需达到100M以上，因此每个路口上行带宽设计需要充分考虑。对于IP城域汇聚及核心网络，以高清视频监控为例，1路IP高清摄像头带宽按照8M计算，多数的普通中等城市大约有2000个路口，每个路口（及路段卡口等）平均以2.5个摄像头来计，则全市所有IP高清摄像头并发带宽将达到40G，可认为是对汇聚到骨干核心网络系统能力的常规要求，因此需要建设一个满足视频业务需要的高带宽高品质核心汇聚网络。从前端路口到交警局中心，数据经过接入网、IP城45、域汇聚及核心网络、骨干光传输网络等环节，实现各类交警业务数据的最终汇集。网络采取分层、适度收敛、按需冗余等原则考虑设备配置。2.4.1.6 通信安全需求物理和环境安全方面，机房建设应符合GB 50174-2017数据中心设计规范相关要求。网络和通信安全需求方面，在网络架构、区域边界、安全通信、入侵防范、恶意代码、安全审计、集中管控方面需要满足等级保护三级安全的要求。网络架构安全需求，网络架构中设备和链路要满足冗余性需求。区域边界防护需求，一是完善建设安全平台，打通专网之间的安全数据交换通道，二是需加强违规外联的检测，及时消除专网与互联网违规连通的风险。安全通信需求，需保障网络通信数据的完整性和46、保密性，防止通信数据被窃听、篡改、泄露。入侵防护需求，需要通过安全审计监控、安全事件分析、攻击溯源和态势感知技术，及时发现和阻断各种来自境内和境外黑客组织、恶意攻击者发起的网络入侵，对安全威胁进行分析、预警和联动处置。网络恶意代码防护需求，需在网络的边界处对数据包进行拆包检查发现恶意代码。设备和计算安全需求方面，在身份鉴别、访问控制、安全审计、入侵防护、恶意代码防护和程序可信执行、资源控制方面需要满足等级保护三级以上安全要求。系统漏洞防护需求，需要系统安全加固系统对操作系统进行安全加固，使用漏洞扫描系统和补丁分发系统来主动发现系统、数据库、应用服务系统存在的安全风险，并修复安全隐患。主机安全加47、固需求，使用主机加固技术抵御未知漏洞攻击。主机恶意代码防范需求，安装杀毒软件对恶意代码进行查杀。应用和数据安全需求方面，需建设身份鉴别、授权、审计体系，对数据进行分级分类，对数据进行授权和鉴权，保证数据的保密性、完整性和可用性，对应用需进行全流程防护，确保不被黑客攻击。2.4.1.7 数据规程需求数据规程是保证系统之间正常交换信息的一组约定法则，需要定义通信的数据格式、对话的控制、纠错处理以及传输质量协调等。区域信号控制系统根据信号部署的实际方式选择数据规程，必须遵循国家标准交通信号控制机与上位机间的数据通信协议（GB/T20999-2017）、GA/T 1049GA交通集成指挥平台通信协议。48、2.4.2 网络需求分析基于上述交警业务系统发展的宏观需求，打造智能交通管理体系，以数据中心为主导，集成指挥调度平台、综合信息平台、对外信息发布平台的多个应用系统，共同形成对当地交通的科技化管理。作为支撑科技应用系统的通信网络，应完善包含前端路口接入网、IP城域汇聚及核心网络、骨干光传输网络等各层次环节。随着业务的全面IP化、宽带化发展，以及数据业务爆炸式增长带来的网络带宽压力，建设一套支撑全业务、超宽带、高可靠、低时延的端到端通信网络已经是大势所趋。在保证网络建设的“安全性、统一性、完整性、先进性、高可用性”的基础上，需采用易于平滑演进的网络架构，以业务需求为导向，发展预测为基础，组建一个网49、络结构清晰、层次分明、调度便捷、高带宽、高可靠性的高速网络，满足现有业务需求，同时为未来5-10年的业务开展作好网络资源储备。2.4.2.1 网络现状与业务需求差距总结总体分析目前网络现状与业务需求的差距，在网络系统及设备方面主要表现出如下特征：1. 网络设备老化严重，故障率高交警骨干传输网和IP城域网部分设备均运行超过一定年限，部分设备厂商公司已经不再提供技术支持及维修服务，目前设备故障越来越多，对于故障设备只能进行替换。IP城域数据通信网络设备的路由器/交换机也存在服务时间较长、部分即将停产或停止服务的风险。早年建设的SDH /MSTP网络多以点到点或点到多点连接方式为主，链路冗余及保护倒50、换、扩展能力也已经不能满足应用需求，扩展过程中对纤芯资源的需求较大，设备性能也逐年下降。前端路口接入网设备在历史建设过程中缺乏统一规范，部分通信设备未完全IP化，部分设备不支持网管，加之年限已久，故障率逐年增加，管理运维效率不能很好地支撑新的智能交通管理体系应用。2. 各网络间互通不够规范，数据交换缺乏深度和广度在缺乏系统性的顶层设计和整体规划前提下，目前各个不同网络之间的数据整合深度广度不足，还没形成支撑实践的大数据资源；各个子系统（例如交通违法检测系统、信号灯控制系统、交通电视监控系统、交通诱导显示系统、交通流自动检测系统、车辆旅行时间系统等）独立组网，结构复杂，管理困难；线路资源利用效率51、极低；各个系统网络间的互联互通不规范，网络稳定性较差。互联网、交警GA网、交警视频专网之间需要高性能的安全交互平台，目前安全接入平台不能满足需求。3. 网络弹性能力差，无法实现流量的灵活调度网络流量存在不均衡现象，主要表现在区域流量不均和链路流量不均。部分大区或区域链路资源不足或业务流较大、流量负载率较高时，不能实现带宽的弹性扩缩容，无法根据业务需求进行灵活选路并实现实时的流量调度，造成资源和投资浪费。链路可靠性存在隐患，部分主备链路颗粒度不一，流量主要承载在主链路上。当主用链路异常时，备用链路无法承载流量，网络故障恢复效率低下。4. 网络链路带宽不满足业务发展需求，设备处理能力不足设备平台存52、在老化情况，对网络新技术支持能力不足，网络扩展能力较差，带宽升级受到硬件接口类型和接口数量限制，不能满足新业务新需求的快速部署实施，无法满足大数据时代对设备的可靠性需求，例如较多地区目前的千兆骨干带宽利用率已经到达50%以上，不能有效的支撑大数据、云计算等业务的通信需求。5. 网络可靠性和安全风险高网络存在单点故障，光缆链路缺乏保护机制，单链路中断影响业务开展。支队、大队/中队、城区及郊县对外业务各自出口不统一，无法有效监控操作和数据。路口终端设备接入鉴权及控制等缺乏完善的安全准入机制。6. 网络运维的可视化、自动化、智能化水平低目前网络依靠手工配置、效率低，针对突发业务如大型活动安保或应急突53、发事件等，无法快速响应，无法实现配置即时下发、即时生效。业务感知能力弱，基本做到“通、断”可视的程度（部分接入网靠近路口区域网络存在不可视、不支持网管的现象），缺乏可显示业务拓扑、网络时延、路径信息等的可视界面，无法实时监控网络质量并根据网络实际对业务、应用进行差异化的保障。网络管理系统各级独立管理（或分区域独立建设），各个网管系统缺少联动集成，网络故障排查难、分析难，缺乏网络故障自动定位和实时恢复技术，运维效率低、运维成本大，大数据和云的业务诉求对现有运维模式增加了运维工作量和复杂度。7. 业务子网多头建设、各自管理的问题不同科室、不同时期分头建设的各业务子网缺少统一的技术标准和管理规范，对54、网络设备、安全设备及应用系统的综合利用带来一定影响，各业务子网之间互联互通以及信息资源相互共享难度较大。数据不能共享，网络局部重复建设，无法做好光纤光缆资源的共享，资源利用效率极低，难以做到基层路口设备的就近共享接入。同时各子网之间交互性能参差不齐，建设审批流程也不尽相同。2.4.2.2 网络需求分析总结结合网络现状章节内容所述，综合来讲，由于交警网络所承载的业务发生了巨大的变化，为满足违章检测车牌识别、高清电子警察、高清闭路电视、信号控制、行车诱导业务的开展，要求交警网络能够满足以下需求：1. 路口前端智能接入回传需求交警前端涉及视频类前端，如电警、卡口、道路监控等，同时也涉及非视频前端，如55、信号机、信号灯、雷达、诱导屏等，前端业务子网科室单位独立建设，技术标准和管理规范不统一，部分重复建设；大量前端设备未联网管理（即使发达城市也有海量信号灯未实现联网），维护和故障定位定界困难，信号灯故障导致的交通拥堵和事故频发，引发市民投诉，影响政府形象；前端设备安装施工成本高，例如灯具采用220V供电，强电与通信弱电需要分管穿线，现有施工方案单路口施工成本高昂导致灯具和其它设备入网联网部署困难。面对众多类型的前端设备，需要提供多种类型的接入网络，包括但不限于PLC电力线通信方式，一体化站点回传方式，工业交换机接入方式等。通过分析发现，路口存在有大量设备未联网或网络未IP化多是由于规划不全、线路56、阻塞等原因使得这些设备联网成本高。结合路口电力结构，信号灯、倒计时牌、行人灯等设备与信号机都有电力连接，如果将供电线和通信线合一，将能够改善接入网络部署难的问题。使用PLC电力载波技术电力线通信可以使设备快速联网，实现海量交通前端的高效联网，充分利旧电源、杆件、管道、线路资源快速建网，实现“网随电通”，解决前端设备联网和施工难问题，高效打通路口终端设备，实现新终端快速部署。另外，交警前端视频类设备的电警、卡口、交通监控等，监控点多部署在路口、路段、高速路等室外环境，需要面对高温、雨雾、雷击等恶劣天气，对接入层设备可靠性要求极高。同时，当前的视频设备在线率不高，存在因网络问题、设备问题或电源问题57、而导致的掉线情况，交警对视频设备掉线原因不能快速准确的定位。因此，需要一种一体化数据通信站点方案来解决这些问题，具备支持多场景（路口、路段等）、易部署、易运维、高可靠、高安全、高度集成各类配套组件等优点。交警路口部署网络接入设备除了以往的普通交换机，未来应可以选择部署高集成度的一体化通信站点，或者选择部署工业级接入交换机，用于汇聚路口的各前端设备流量，再统一上行至上层汇聚点。此类设备需满足以下条件：l 可适应户外不同环境的温度条件l 支持多个前端设备的接入需求l 支持万兆以上的上行带宽l 可提供多种安全认证手段l 支持多种可靠性机制l 支持POE+供电2. 大带宽需求根据交管局未来的业务部署规58、划，未来交管局将实现云化布局，进一步完善车牌识别、高清视频监控、高清电子警察、信号控制、行车诱导等业务系统，未来的计算和存储资源将逐步实现云化共享，核心汇聚机房间的通信需求将大大提高。对于IP城域汇聚及核心网络，以高清视频监控为例，1路IP高清摄像头带宽按照8M计算，多数的普通中等城市大约有2000个路口，每个路口（及路段卡口等）平均以2.5个摄像头来计，则全市所有IP高清摄像头并发带宽将达到40G，可认为是对汇聚到骨干核心网络系统能力的常规要求，因此需要建设一个满足视频业务需要的高带宽高品质核心汇聚网络。3. 高可靠需求网络设计应能有效的避免单点失效，在设备的选择和关键设备的互联时，要提供充59、分的冗余备份，一方面最大限度地减少故障的发生，另一方面要保证网络系统全网路由能快速收敛。网络系统要求能适应较复杂的空间使用环境，保证不受高频电气设备、空间电磁波辐射干扰，并保证在信息集成网络系统中传输的各类信号之间互不干扰。主要实现对道路视频点位的全天24小时监控，同时要保障后台监控终端可以实时显示前端摄像机的监控信息，并将所有的监控图像进行实时保存。高清卡口、交通违法行为监测记录系统、交通信号控制系统主要实现中心与系统前端的数据交互，将外端的违法数据等信息传回指挥中心，并将中心的交通控制信息实时传送到路口前端，因此各系统对网络的需求主要体现在高可靠、支持组播、低延时抖动、保证关键业务流传送质60、量以及故障失效快速恢复问题。4. 多业务承载需求对于交警行业各类子业务（交通违法检测、信号灯控制、交通电视监控、交通诱导显示、交通流自动检测、车辆旅行时间检测、其他物联应用等），网络应能根据不用业务的特征、业务优先级、时延等要求应用不同的QoS保障措施，确保各业务统一承载而不互相制约影响。网络系统要求能够支持数据通信、语音通信、多媒体通信以及各种控制信号的通信及质量保障，支持最新的主流网络协议，并能适应不断发展的网络技术的需求。5. 网络安全保障需求在国家网络安全法、等级保护、关键信息基础设施防护等政策法律要求下，网络系统分级分权分区、业务系统按需定级，按照对应的等级保护要求开展建设，构建“主61、动防御、动态监测”的网络安全纵深防御体系，确保整体信息网络安全，实现网络安全的“可信、可知、可控”。6. 易管理需求网络系统要提供较强的系统管理能力，可以有效地进行系统管理、系统维护、系统故障排除等。监视和控制整个网络系统的设备性能、数据流量、安全性等，并可以进行远程管理和故障诊断。7. 可扩展需求系统建设是一个长期的、循序渐进的过程，为了提高网络系统的利用率和投资的有效性，系统配置最好与业务增长的需求相一致，保持同步的增长和适当的超前，所以高可扩展性能够保证业务系统与业务增长的需求在较长的时间内保持同步的增长，从而避免了重复建设对现行业务系统的冲击，保护投资。3 智慧路口网络方案设计3.1 62、网络设计目标1. 高可靠承载对网络的关键节点进行备份改造，强健网络，同时支持SDN、网络功能虚拟化等新技术，实现网络虚拟化、服务化、智能化的承载。2. 高带宽承载根据交警的业务部署规划，将逐渐实现云化布局，同时进一步完善车牌识别、高清视频监控、高清电子警察、信号控制、行车诱导等业务系统，未来的计算和存储资源将逐步实现云化共享，核心机房间的通信需求将大大提高。3. 一体化接入改变传统拼凑式背包箱的建设方式，通过建设高可靠、易安装部署的一体化站点，满足高低温、防雷、防雨、防尘等严酷室外承载环境，提升前端在线率。4. 路口状态可感知改变传统路口盲点多，靠人力排查的现状，通过PLC电力承载技术实现网随63、电通，实时回传信号灯、倒计时牌等设备信息。5. 运维可视化部署新的网络管理平台，感知网络各个节点的实时状态，通过可视化的界面及时告警、及时处理、及时恢复。6. 端管云协同防护对前端、承载网络、以及数据中心经过的每一跳设备进行安全审视，安全加固，实现立体化防御。3.2 网络总体架构3.2.1 交警网络总体架构交警整体网络架构按照从前端到中心，可划分为前端接入层，数据汇聚层，骨干传输层，数据中心网络几个层次，同时在各层加入网络安全管理，通过敏捷交换机、下一代防火墙等实现增值业务功能，满足日益增长的业务需求，整体架构如下图所示：图3-1 网络总体架构图l 前端接入层交警业务需要在路口、路段这些路侧点64、部署多种前端设备，如信号机、电子警察、卡口、流量采集器等，这些设备均需要与上层网络相连，故需要在路侧站点配置工业交换机，汇聚各前端设备流量并上行至上层网络。除此之外，对于电子警察、卡口、道路监控等视频设备，还需要提供安全、可靠、便捷的视频回传方式，可通过配置智能一体化机箱来实现。l 城域网络层城域网络可划分为汇聚层与骨干层：汇聚层用于汇聚本区域的前端路侧点的上行数据，启到一个承上启下的作用。汇聚层可分为中队汇聚和大队汇聚，中队汇聚用于汇聚中队管辖范围内的各个路口、路段的前端流量，大队汇聚用于汇聚大队管辖范围内的各中队流量。骨干网络用于传输各大队汇聚的海量数据，最终数据汇总传输至支队或科技处机房65、，各大队之间数据流量可通过城域IP网络进行传输。l 数据中心网络交警数据中心建设大数据资源池，统一存储海量多源数据，包括前端采集子系统输入的数据流、解析资源池将视图数据转化成的结构化数据等。这就需要建设高可靠、高性能的数据中心网络。l 网络安全交警业务涉及广泛，对于前端接入、数据汇聚、数据中心防护、数据传输、边界交互等，均需要提供网络安全防护。3.2.2 前端接入网络系统架构根据交警前端场景和业务系统的特征，接入网络主要以重点场所、路口、卡口、违停检测、高点监控和诱导系统等几大类进行设计。前端接入网络系统组成前端路口网络包括电警、信控、诱导等业务系统，推荐采用光纤加电力线载波通信进行路口终端全66、连接物联。该场景典型特征是一个分布在路口各方向的多杆互联的小局域网。前端卡口系统，推荐带有网管功能、安全接入控制功能的宽温交换机进行组网，把雷达、电警、监控等终端连接起来。该场景典型特征是一个龙门架上布线和部署设备，上面供电和供网要求都要求高。学校、路段等场所的事件监测和违停监测立杆，推荐高集成的供电和供网一体机进行杆内自组网。该场景典型特征是独立的立杆，杆上终端数量少，且这类立杆一般部署在人流或车流多的路边。诱导屏系统的联网，可根据前端诱导屏立杆的供电和供网难以程度，可选择有线光纤或无线4G、NR接入回传。前端终端的安全接入准入认证控制，通过前端接入网络设备、大队接入安全网关，网络/安全管控67、器联合组成，哑终端接入可通过MAC/IP绑定、设备指纹等方式控制准入。下面以各子接入场景进行接入网络方案设计。3.3 前端接入网络方案交警的前端业务涉及视频类前端，如电警、卡口、道路监控等，同时也涉及非视频前端，如信号机、信号灯、雷达、诱导屏等。面对众多类型的前端设备，需可提供多种类型的网络接入方案，包括工业交换机接入方式，一体化视频站点接入，和PLC电力线通信接入方式。3.3.1 交通路口网络方案根据交警前端路口网络现状和方案规划，可分为三种场景进行路口网络方案设计：表3-1 网络组网类型网络方案类型加装卡口加装雷达升级电警、监控升级智能视频服务器升级信号机加装灯具PLC物联网设备路口网络方68、案一/可选路口网络方案二/可选/路口网络方案三/可选/路口网络四/l 路口网络方案一：全连接路口网络方案，路口电警和信控系统同时改造，电警系统加装卡口、雷达和智能视频服务器，信控系统更换为联网信号机和加装灯具PLC物联网设备。网络方案主要采用视频接入一体机，工业汇聚交换机，电力线载波PLC连接信控灯具。l 路口网络方案二：路口电警系统和信控系统同时改造的网络方案，主要是电警系统加装卡口、雷达和智能视频服务器，信控系统可选升级为新一代联网信号机，网络方案主要采用视频接入一体机和工业汇聚交换机。l 路口网络方案三：路口电警系统改造的网络方案，主要是电警系统加装卡口，网络方案主要采用视频接入一体机。69、l 路口网络方案四：老旧非联网信号机替换为联网信号机。网络方案主要是街边柜部署可网管型交换机。前端终端的安全接入准入认证控制，通过前端接入网络设备、大队接入安全网关，网络/安全管控器联合组成，哑终端接入可通过MAC/IP绑定、设备指纹等方式控制准入。1. 路口网络方案一：全联接路口网络方案为了满足交通路口高清化、智能化、联网化和数字化发展要求，需对路口的电警系统、信控系统、诱导系统、车流检测系统、视频监控系统等进行替换升级。这时需要一个路口全连接的方案。全连接路口网络方案示意图路口网络方案包括两个网络子系统：电警系统网络和信控系统灯具PLC物联网，下面章节分开展开描述。l 电警系统网络方案设计70、交通路口通常会部署电子警察系统，反向卡口系统及道路监控系统等视频类系统，相关设备处于室外环境，需要面对高温、雨雾、雷击等恶劣天气，对接入层设备可靠性要求极高。同时，当前的视频设备在线率不高，存在因网络问题、设备问题或电源问题而导致的掉线情况，交警对视频设备掉线原因不能快速准确的定位。一体化站点方案可以很好地解决上诉问题，为路口交通设备提供稳定的网络、电源，具有易部署、易运维、高可靠、高安全等多个亮点。交通路口当前基本都会部署信号控制系统，相应的，与信号控制系统配合的电子警察也在常见建设范围内。通常在交通路口四个方向均会部署电子警察，每个方向部署13个电子警察相机，通过一体化站点方案，在每个方向71、的电警杆上安装一个一体化机箱，即可快速接入电子警察，如下图所示：一体化站点路口场景示意图同一个路口多个方向电警杆抱杆设备通过光纤汇聚到路口街边柜，街边柜通过带网管和智能运维的宽温、工业交换机进行汇聚，同时该汇聚交换机还接入信号机、智能视频服务器和PLC物联网关。部分路段的相邻路口距离很短，可多个相邻路口业务汇聚之后再统一回传。相邻路口业务汇聚组网，可采用星型、链型或环形组网。l 信号系统灯具PLC物联网方案设计PLC技术是指利用电力线传输数据和媒体信号的一种通信方式。近年来随着智能电网和PLC技术的发展，PLC广泛应用于智能电网、工业控制、物联网以及家庭网络等众多领域。通过需求分析发现，路口存72、在有大量设备未联网，由于规划不全、线路阻塞等原因，这些设备联网成本高。结合路口电力结构，信号灯、倒计时牌、行人灯等设备与信号机都有电力连接，使用电线通信可以使设备快速联网，将供电线和通信线合一能够改善设备部署难的问题。l PLC灯具物联部署方案：对于有信号机的存量路口，或只是替换升级信号机且灯具利旧场景，推荐PLC旁挂方案。方案优势包括：免破土埋线、免改造信控终端，实现灯态采集和灯具智能运维。PLC电力线通信IoT的旁挂式方案对于路口全量替换，或新建场景，推荐PLC集成式方案，方案主要优势包括：免破土埋线，低成本高效实现信控终端全联网。PLC电力线通信IoT的集成式方案2. 路口网络方案二：路73、口电警系统和信控系统同时改造的网络方案，主要是电警系统加装卡口、雷达和智能视频服务器，信控系统可选升级为新一代联网信号机，网络方案主要采用视频接入一体机和带智能管理和运维的工业汇聚交换机。网络方案可参见“路口网络方案一”中的“电警系统网络方案设计”章节。3. 路口网络方案三：路口电警系统改造的网络方案，主要是电警系统加装卡口，网络方案主要采用视频接入一体机和路口汇聚的带智能管理和运维的宽温交换机。网络方案可参见“路口网络方案一”中的“电警系统网络方案设计”章节。4. 路口网络方案四：老旧非联网信号机替换为联网信号机。网络方案主要是街边柜部署带智能管理和运维的宽温交换机。这样可进行远程可视化管理74、和运维。3.3.2 路段卡口网络方案交通路段在关键卡点会部署卡口系统及交通监控系统，部署点在室外环境，需要面对高温、雨雾、雷击等恶劣天气，对接入层设备可靠性要求极高。同时，当前的视频设备在线率不高，存在因网络问题、设备问题或电源问题而导致的掉线情况，交警对视频设备掉线原因不能快速准确的定位。该场景典型特征是一个龙门架上布线和部署设备，上面供电和供网要求都要求高。一体机柜内部集成网络交换机、无线回传路由器、视频服务器，安全级别高的甚至部署防火墙。回传链路根据供网难以程度，可选用光纤或无线方式。根据卡口大小，卡口内分两种网络设备方案，一种是大卡口，供电和终端设备数量多，推荐智能机柜方式，机柜内部集75、成交换机网络设备、视频服务器等盒式设备。一种是规模较小的小卡口，推荐采用智能一体机设备，该设备集成度高，可靠性高，同时可给杆上终端供电和供网。下图展示的大卡口。卡口网络部署方案路段多个卡口的组网方案推荐如下图，为了提高卡口业务回传可靠性，有条件的路段推荐路段卡口组成环网，卡口比较分散的地方，可直接单点回传到大队汇聚节点。路段卡口网络组网方案前端终端的安全接入准入认证控制，通过前端接入网络设备、大队接入安全网关，网络/安全管控器联合组成，哑终端接入可通过MAC/IP绑定、设备指纹等方式控制准入3.3.3 重点场所路口网络方案重点场所一般是对场所门口周边路段的交通监控和疏导，前端感知系统主要由诱导76、屏，车辆事件检测摄像机，智能终端盒以及违停球所组成，如下图。重要场所周边路段一般会设立诱导屏杆站、违停球杆站和事件检测杆站，根据这几个杆站地理位置关系和距离，建议如下图两种组网方案。重要场所网络部署方案重要场所组网方案1：l 站点距离50米，为提高可靠性，通过光纤链型组网l 小汇聚之后再回传，节省回传网络租赁条数。重要场所组网方案2：l 站点距离50米，通过网线星型组网，节省光模块成本l 小汇聚之后再回传，节省回传网络租赁条数。前端终端的安全接入准入认证控制，通过前端接入网络设备、大队接入安全网关，网络/安全管控器联合组成，哑终端接入可通过MAC/IP绑定、设备指纹等方式控制准入。3.3.4 77、高点监控站点网络方案AR全景摄像机主要应用于城市交通或广场区域场景，面向于横向监控，可满足180的横向视野，城市内一般安装在建筑物顶端，或可选择安装在运营商铁塔上或者路侧广告牌柱上。该场景典型特征是独立的立杆，杆上终端数量少，且这类立杆一般部署在人流或车流多的高点位置，推荐高集成的供电和供网一体机进行杆内自组网。一体化站点方案可以解决上诉问题，可接入交通AR全景相机、监控相机、雷达等设备，具有易部署、易运维、高可靠、高安全等多个亮点。AR全景监控站点网络部署方案前端终端的安全接入准入认证控制，通过前端接入网络设备、大队接入安全网关，网络/安全管控器联合组成，哑终端接入可通过MAC/IP绑定、设78、备指纹等方式控制准入。3.3.5 诱导屏站点网络部署方案诱导屏系统的联网，可根据前端诱导屏立杆的供电和供网难以程度，可选择有线光纤或无线4G、NR接入回传。有光纤回传的场景，该诱导屏立杆推荐采用智能一体机接入回传；对于没有光纤回传场景，推荐NR AR路由接入设备回传。前端终端的安全接入准入认证控制，通过前端接入网络设备、大队接入安全网关，网络/安全管控器联合组成，哑终端接入可通过MAC/IP绑定、设备指纹等方式控制准入。3.4 零信任接入安全设计3.4.1 零信任接入安全总体方案设计交警网络安全总体方案设计要点：根据业务特点和安全级别划分安全区域：云平台区、服务器区、交警GA网互联区、GA视频79、专网互联区、核心交换区、运维管理区、业务办公园区和交通路口、路段接入区；在云平台区边界利旧部署防火墙进行安全隔离，利旧部署WAF对WEB应用实现安全防护；云平台本身的安全另外单独章节进行设计；在服务器区边界新增部署防火墙实现安全隔离，新增部署网络诱捕，实现入侵行为的主动诱捕，形成威慑力；新增部署流量探针监控异常流量；新增部署WAF对WEB应用实现安全防护；在和其他网络互联区，部署网闸进行物理隔离，同时部署防火墙进行安全防护，并部署流量探针监控异常流量；在网络汇聚区每一个节点处部署流量探针监控异常流量，与运维管理区网络安全智系统形成整体，实现安全态势感知；运维管理区另外单独章节进行设计；在业务办80、公园区边界新增部署一台防火墙，与现网防火墙形成双机热备高可靠性方案；在各接入汇聚交换机上部署流量探针实现异常流量检测；在交通路口、路段接入区边界新增部署防火墙实现安全隔离；针对摄像头接入部署接入安全防护；部署网络诱捕对攻击行为主动诱捕，形成威慑力；在汇聚交换机上部署流量探针实现异常流量检测，与运维管理区网络安全智系统形成整体，实现安全态势感知。图3-3 整体安全架构图3.4.2 摄像机接入安全设计在交警网络中，视频监控是主要的接入设备。摄像机接入面临多重安全挑战摄像机暴露于户外，无传统的物理防护边界，黑客更容易直接接触设备和网络，使得摄像机接入面临更多的安全挑战：单点的认证系统，认证突破后无下81、一步措施黑客用笔记本非法接入网络，入侵视频专网篡改或恶意删除数据，或外发敏感信息泄露黑客利用IPC漏洞远程控制，进行破坏（让监控失效）或偷取敏感信息；病毒或蠕虫通过网络在IPC和主机之间快速扩散，引起大面积的网络瘫痪或病毒感染；三重防护的概念针对摄像机易被仿冒、易被利用的特点，防火墙通过设备指纹认证、流量指纹过滤、协议漏洞检测等手段，阻断非法入侵，达到摄像机安全接入的目的。具体如下图所示。图3-4 三重认证设备指纹认证设备指纹是指可以用于区分不同摄像机的固有信息，包括MAC、IP、厂商、序列号、固件版本号等信息。防火墙可以通过IP、MAC信息对设备进行认证过滤：l 将授权IP加入安全策略列表，82、非授权IP流量不允许通过l 将授权MAC加入安全策略列表，非授权MAC流量不允许通过l 对IP、MAC进行绑定，IP、MAC关系绑定错误的流量不允许通过对于摄像机通过三层设备接入到防火墙的情况，防火墙可以和三层网络设备联动获取IP、MAC绑定信息，如下图所示：图3-5 指纹认证流量指纹认证黑客可以通过修改设备的固有信息欺骗防火墙，从而达到绕过防火墙指纹认证的目的，为此防火墙提供了流量指纹过滤功能。防火墙对经过的每条流量进行深度识别，确认流量的协议、厂商信息等，同时和策略中配置的协议/厂商信息进行匹配，只对授权流量进行放行。防火墙可以识别国内主流摄像机厂商（大华、海康、宇视、）的各种流量(ONV83、IF、GB-T28181、私有SDK)。流量识别基于特征库，特征库可以在线更新或本地更新，从而及时响应摄像机流量的特征变更。特征库提供自定义功能，可以在特殊情况下灵活配置达到阻断特性流量的功能。视频协议漏洞检测及防护黑客可以控制摄像机，利用摄像机漏洞进行网络入侵。由于恶意流量是通过正常的视频流量进行承载，因此无法通过指纹认证或流量过滤进行拦截。为此防火墙提供了基于漏洞的入侵检测功能。防火墙对经过的每条流量进行深度协议解析和特征匹配，确认是否为恶意流量，同时根据策略配置对流量进行阻断或告警。防火墙可以检测国内主流摄像机厂商（大华、海康、宇视、）的漏洞。入侵检测基于特征库，特征库可以在线更新或本地84、更新，从而及时响应摄像机漏洞。同时特征库提供自定义功能，可以在紧急情况下通过自定义特征配置达到快速阻断特定流量的目的。摄像机资产管理将当前网络拓扑中用户最为关注的设备和网络信息，如总体IPC数量、在线IPC情况、离线IPC情况、各类厂商IPC数量、区域内的流量分布、非法外联或私接流量、IPC相关的威胁分布等信息以图表形式展现，方便网络管理人员第一时间掌握和评估当前IPC和网络安全情况。图3-6 摄像机资产管理3.5 管理运维设计3.5.1 视频网络管理3.5.1.5 网管部署建议建议在市交警支队部署灾备的eSight，高可用系统提供双机热备和倒换的全新功能。主、备站点服务器的软硬件配置要求完全85、一致，通过远程热备份技术，实现主、备站点数据实时同步，并动态监视eSight的运行状态。当主服务器发生硬件故障、操作系统故障、网管关键应用故障或心跳线路故障时，系统会自动倒换到备份服务器，继续对网络进行监控，保证系统不间断运行，如下图所示：图3-7 eSight部署示意图3.5.1.6 零配置部署零配置部署是在现网部署交换机设备，当设备布放完成后，无需网络管理员到安装现场对设备进行软件调试，在设备满足空配置的条件下，设备上电后即可自动连接到指定的管理设备加载指定的配置文件、大包文件、补丁文件等系统文件，实现设备的部署。零配置部署中主要有如下几个角色： 网管：即eSight。给待部署设备分配文件86、服务器的地址、用户名、密码、需下载的文件名；收集部署交换机拓扑信息，建立待部署设备信息数据库；管理待部署设备的部署过程进展等信息； 待部署设备：在零配置部署过程中，待部署设备作为一台二层交换机，默认使用Vlanif 1接口动态获取DHCP。待部署设备会和网管三层互联，从其获取部署信息；并向其发送自身信息；响应网管发送的部署回应，激活等操作； DHCP服务器：可使用交换机或第三方DHCP服务器来提供DHCP服务。DHCP服务器需要支持配置Option 148字段，来设置网管的IP地址。 拓扑根节点：指待部署拓扑网络中的一台已配置部署完的节点，且为最上层节点，下面直接连着待部署设备。总体流程网络规87、划：用户讨论规划设备位置、上联对端接口、管理IP、管理VLAN、其他网络和基本业务配置参数。离线制作配置数据：规划待部署设备拓扑：指定设备位置、互联接口、设备名称、接入设备白名单（可选）；离线制作配置文件：利用模板、自定义方式制作交换机配置文件；关联配置文件：将待部署设备与配置文件进行关联。打通管理通道：选择上级已部署节点作为拓扑根节点。拓扑根节点接入口配置缺省VLAN（PVID）作为部署管理VLAN（可选，默认为VLAN1）。设备上电：现场安装待部署设备，设备上电启动并通过DHCP获取设备管理IP、网管IP等参数。获取拓扑信息/拓扑纠错/白名单过滤：网管上使能拓扑根节点的拓扑收集能力，网管获88、取到待部署设备拓扑信息，与步骤2中规划的拓扑进行比对、纠错；网管根据待部署设备的信息进行白名单合法性过滤；纠错完成后，指定待部署设备使能部署交互。部署交互/传输文件：待部署设备开始和网管之间进行交互，通过文件传输协议传递相应的待部署文件；网管上展示部署状态进展。部署交互/传输文件：待部署设备开始和网管之间进行交互，通过文件传输协议传递相应的待部署文件；网管上展示部署状态进展。3.5.1.7 视频监控智能运维随着视频业务的不断发展，视频业务的运维问题也愈发引起人们的重视，摄像头离线率高，无法满足政府考核要求；视频业务用户体验要求很高，卡顿、花屏都会导致整体客户体验大幅下降；而在交警网络，摄像头数89、量与日俱增，基本每个市在路口路段存在大量的视频监控，海量摄像头应用体验和运维保障也面领着巨大的挑战。随着新建摄像机逐步增加，摄像机日常维护日益困难。当前，多数情况前端摄像机一旦离线，需要安排工作人员到现场故障排查。若是供电的问题，需要有电工资质人员检修；若是网络问题，需要排查人员有一定的网络技能。经常出现一个摄像机离线的问题，需要多次往返才能彻底解决。如果离线的摄像机位于偏远地方，工程师在路上浪费太多时间，导致故障维护成本直线上升，同时，故障处理效率低下，也直接影响了摄像机在线率考核。视频回传方案中，将前端智能一体化设备作为整体网络的末梢节点，由上层网管统一管控。当摄像机离线时，前端智能一体化90、设备，主动上报告警。上层网管能够通过一键式自动定界功能，判断出电源故障、光纤中断、网络故障或摄像头本身故障（如下图所示）。图3-8 电警摄像头故障定界IPC离线诊断与故障定界：网管接收离线诊断指令后，根据轮巡查看IPC端到端拓扑的网络设备状态、端口状态、历史告警等，进行智能分析故障诊断：对于故障1：接入设备管理正常，可初步判断IPC故障（死机、网线接触不良）；对于故障2：接入设备脱管（如NQA ping不通）、网管查询汇聚设备有临终遗言告警，可判断站点掉电；对于故障3：接入设备托管、网管没有收到接入设备的临终遗言告警，可判断为接入与汇聚之间的线路中断；对于故障4&5等上游汇聚设备或链路的故障，91、网管通过查询设备连接状态和临终遗言等告警信息，判断是否是光纤中断或设备掉电。IPC离线诊断能够实现快速定位IPC离线原因及故障类型，提高运维效率。当前如果视频应用出现质量问题时，只能依赖人工手动查排，没有有效手段实现问题定界定位。所以目前的诉求是，希望提供视频质量感知与路径可视化，快速定界视频质量问题，实现故障快速恢复，避免无效上门，降低运维成本，提高视频质量，成为了客户的迫切需要。eMDI算法eMDI (Enhanced Media Delivery Index，增强型媒体传输质量指标) 是XX提出的算法，分为UDP(RTP)和TCP两类指标，UDP指标适用的场景和MDI类似，但降低了解析开92、销，增加了评估FEC、RET特性的指标，可以定界出网络上存在的丢包、乱序、双流、断流问题；TCP指标可评估RTSP/TCP，HLS，DASH等协议的直播或点播视频。eMDI定义测量媒体质量的指标如下：指标指标含义算法eMDIUDPRTP-LR统计周期内RTP丢包率RTP丢包数/（RTP收包数+RTP丢包数-RTP乱序数），其中统计RTP丢包时不做缓冲排序，乱序也统计到丢包数里RTP-SE统计周期内RTP乱序率RTP乱序数/（RTP收包数+RTP丢包数-RTP乱序数），RTP序列号小等于当前最大序列号为乱序RTP-ELF统计周期内FEC有效丢包因子，FEC补偿丢包失败的概率R为FEC冗余包个数，93、L为FEC数据块大小，通过滑动窗口统计L个包内丢包超过R个的次数，ELF_F =L个包内丢包超过R个的次数/滑动窗口数RTP-LP统计周期内最大连续RTP丢包数RTP连续丢包数的最大值TCPMFR统计周期内实际平均速率Mean Flow RateUPLR统计周期内检测点上游丢包率Upstream Packet Loss RateDPLR统计周期内检测点下游丢包率Downstream Packet Loss RateDRTT统计周期内检测点下游平均双向时Downstream Round-Trip TimeURTT统计周期内检测点上游平均双向时Upstream Round-Trip TimeeMD94、I实现原理：待检测RTP数据流的所有报文都会复制一份送到检测模块进行统计计算，交换机上的ENP单板和ENP盒式，可以利用硬件实现，其它形态和单板只能依靠CPU软计算处理。视频流从转发硬件模块上送CPU，不能有丢包，否则会影响统计结果。eMDI诊断定界eMDI针对UDP承载的视频业务，检测RTP层序列号等信息，来准确刻画丢包对视频业务的影响， 提高定界准确性。针对TCP承载的视频业务，通过分析TCP的序列号等信息，计算出TCP流上下游的丢包率、时延等信息，从而进行视频业务质量类故障的定图3-9 eMDI示意图检测方法： 如上图路径中的每个设备分别在入端口基于RTP统计丢包等信息，评估计算出视频流95、到达此端口时的质量情况（MOS值）。例如：上图中“1”口的MOS值为5，“2”口的MOS值为3，“3”口的MOS值为3，则可以分析出在“2”口的上游质量已经出现劣化，“1”口的上游无问题，则建议用户排查“2”口到“1”口之间的网络。注：MOS值从0-5，表示质量越来越好，当前认为达到4，视频质量是可接受的。3.5.2 PLC网络管理针对不同的网络规模和网络特征，提供了不同的业务和网络运维的方案。业务发放主要包含下面方式： 在PLC网络变化少的领域，XX提供静默PLC的方案，网络在开局过程就打通，后续少量变化采用CLI修改（包括远程CLI）。XX提供容易使用的开局方案。静默PLC网络，指在一些场96、景使用中，把PLC网络当成一根透明的管道，例如：串口通道； 对于经常需要修改PLC网络配置情况，建议采用Agile Controller-IoT。它包含了设备上线、业务配置、监控和运维手段； 如果需要专业的ICT管控体验，建议采用Agile Controller-IoT。在采用CLI进行业务配置时，也可以采用CLI进行故障定界和故障排除。如果用户希望对于PLC网络进行监控，那么可以调用EC-Core开放的eSDK获取相应的数据，3rd系统根据查询数据进行运维。3.5.2.1 PLC网络管理建议Agile Controller-IoT是针对PLC-IoT解决方案场景的管理控制系统，支持网络设备管97、理、容器管理、网络业务管理、网络安全管理、用户准入管理、网络监控、告警管理和报表管理等特性，提供大数据分析的能力，同时提供开放的接口、支持与其他平台集成。通过Agile Controller-IoT可以实现在多租户网络中独立开展业务开通配置、日常运维等工作，实现规模设备的云化管理。l 设备即插即用当在完成License加载、ESN录入、设备可接入Internet等准备工作都完成后，设备会自动向Agile Controller-IoT注册，双方通过证书完成校验后，Agile Controller-IoT将配置主动下发到设备，这样设备就能够正常使用，并同时被Agile Controller-IoT98、纳管。l 网络业务配置Agile Controller-IoT支持对设备进行相关的网络配置，配置的网络业务包括：IP地址段配置、容器管理、APP管理等。l 网络业务监控Agile Controller-IoT支持告警监控、设备状态监控、异常列表监控等。l 设备管理Agile Controller-IoT支持对于设备管理、设备固件管理、设备证书管理、以及设备的统计信息。l 网络业务维护Agile Controller-IoT支持对于文件管理、设备日志管理、业务的统计分析管理等。l 租户管理Agile Controller-IoT根据业务应用场景支持系统管理员直接创建租户的模式。租户模式是适配企业99、自己内部网络部署管理的场景。系统管理员通过创建多个租户来隔离管理子部门或公司的网络设备。各个租户可以建立自己的管理员进行租户下的网络管理操作。Agile Controller-IoT支持分权管理，且租户和账号管理相互独立，租户可以作为一个对象分配给不同的账号，还可给账号赋予不同的角色，此时，该账号可管理和操作不同的租户。在租户模式下，租户内可创建多个用户和角色，而任何一个用户所创建的角色，在该租户内所有具有管理员权限的用户均可见，且租户内所有角色唯一，不允许重复。l 系统自身管理系统支持管理员账号管理、License管理、系统日志管理以及3rd服务器管理。3rd指的是类似邮件服务器、短信服务器100、Syslog服务器等。3.5.2.2 单机模式部署在单机部署情况，所有组件都是部署在一个HOST。如果仅有一张网卡（包括bond后），那就是所有涉及都是使用这个地址。如果有2张网卡，可以根据使用场景进行区分。对于单机情况，建议两个网卡。物理机器已经有更多网卡情况下，建议采用bond提升网卡可靠性。南北向业务不同网络：南向设备在私网、北向在公网，或者南向业务在公网、北向在私网情况，建议南北向分离。另外，业务平面与南向平面附着一起，内部通信平面与附着在私网上。表5- 7单机南北向不同网络平面的IP地址规划建议节点南向&业务平面网卡北向网卡节点xxx.xxx.1.11xxx.xxx.2.11内部通101、信平面与私网在一起。南北向同处于公网或者私网：建议把南向、北向、业务平面在一张网卡，内部通信平面为另外一张网卡。表5- 8单机南北向相同网络平面的IP地址规划建议节点南向&北向&业务平面网卡内部通信平面网卡节点xxx.xxx.1.11xxx.xxx.2.11对于公共IP地址规划如下：表5- 9单机公共IP地址规划建议业务诉求IP地址说明GaussDB浮动IPxxx.xxx.*.100与管理面共网段LocalDB浮动IPxxx.xxx.*.101与管理面共网段Puppet Master浮动IPxxx.xxx.*.102与管理面共网段北向管理IPxxx.xxx.*.100与北向平面共网段南向业务I102、Pxxx.xxx.*.100与南向平面共网段文件服务器IPxxx.xxx.*.103与南向平面共网段文件服务器虚IPxxx.xxx.*.103与南向平面共网段上面*是根据具体网段来划分，碰到冲突情况请另外分配一个同网段地址。3.5.2.3 集群模式部署在集群模式下，允许存在4平面、3平面、2平面的部署情况。3平面是指南向和北向平面合并到一起，2平面指的是业务平面、南向和北向平面合并到一起。从XX角度看，建议至少部署3平面，减轻网络流量压力。下面按照4平面隔离的方式IP规划建议，其它合并场景下，选择其中一个网卡配置即可，公共IP地址由于合并网段，在原来IP网段下，地址不重复即可。表5- 10平面103、的IP地址规划建议节点内部通信网卡业务网卡北向网卡南向网卡节点1xxx.xxx.1.11xxx.xxx.2.11xxx.xxx.3.11xxx.xxx.4.11节点2xxx.xxx.1.12xxx.xxx.2.12xxx.xxx.3.12xxx.xxx.4.12节点3xxx.xxx.1.13xxx.xxx.2.13xxx.xxx.3.13xxx.xxx.4.13在集群模式下，还有一批公共的IP地址需要规划。表5- 11公共IP地址规划建议业务诉求IP地址说明GaussDB浮动IPxxx.xxx.1.100与管理面共网段LocalDB浮动IPxxx.xxx.1.101与管理面共网段Puppet 104、Master浮动IPxxx.xxx.1.102与管理面共网段负载均衡DIPxxx.xxx.2.100与业务面共网段Nginx浮动IPxxx.xxx.2.102与业务面共网段北向管理IPxxx.xxx.3.100与北向平面共网段北向负载均衡虚IPxxx.xxx.3.100与北向平面共网段南向业务IPxxx.xxx.4.100与南向平面共网段南向负载均衡虚IPxxx.xxx.4.100与南向平面共网段文件服务器IPxxx.xxx.4.103与南向平面共网段文件服务器虚IPxxx.xxx.4.103与南向平面共网段3.6 方案亮点总结交警视频网络设计的主要特点如下l 路口/卡口全物联 通过PLC电力105、载波技术，充分利旧电源、杆件、管道、线路资源，接入信号灯、倒计时牌等，免挖沟快速建网； 每个路口提供一台物联网关，路口每个方向部署智能回传一体机，快速实现所有视频监控的联网、供电、防雷等。l 高可用 骨干网络：通过硬件BFD3.3ms检测+ FRR（TE FRR、VPN FRR、TI-LFA等）快速倒换技术实现高可靠 接入网络：采用集群+堆叠方式+SEP环网确保网络可靠，核心设备部署集群，并提供独立的集群卡确保可靠l 高安全 室外场景各种哑终端，通过网络标识（MAC、IP、接入设备接口）+ 流量指纹（设备类型、厂家、操作系统）识别等多重认证确保安全 智能威胁检测：基于智能算法的高级威胁检测，支持加密通信检测，建立全域信息安全动态监测、分析和预警机制 网络诱捕技术：精确锁定攻击源，实现主动防御 网络安全协同：全网实时阻断威胁，杜绝横向扩散l 易运维 视频故障易定界：eMDI快速定界安防摄像头和网络的责任 室外部署简单化：智能回传一体机，简化室外场景摄像头接入和运维管理l 可演进 高性能组网，部署10GE/40GE网络，满足中长期业务诉求 支持IPv6，面向未来，支持SRv6 + EVPN，大大简化了VPN和TE控制面和转发面协议56