廣電網(wǎng)絡方案

網(wǎng)絡設(shè)計方案此次選擇租用天津播送電視網(wǎng)絡提供的鏈路天津播送電視網(wǎng)絡在長期的天津市有線電視、數(shù)字電視和數(shù)據(jù)鏈路專網(wǎng)及互聯(lián)網(wǎng)效勞過程中，積累了豐富的網(wǎng)絡資源和人才資源，并且建立了完善的光纜施工維護、網(wǎng)絡設(shè)備安裝調(diào)試和維護隊伍，并建設(shè)了成熟的網(wǎng)絡管理平臺。公司下轄19個分公司、3個維修分部、一個統(tǒng)一客服平臺，有超過2000名正式員工。并有數(shù)十個工程建設(shè)隊伍和專門的網(wǎng)絡效勞銷售商和網(wǎng)絡維護代理商。十年來，天津廣電在數(shù)據(jù)業(yè)務市場上承載了天津市視頻監(jiān)控網(wǎng)數(shù)據(jù)傳輸、天津市交通管理局智能交通工程、天津市醫(yī)保社保聯(lián)網(wǎng)、天津市檢察院聯(lián)網(wǎng)等等大量的政府和企事業(yè)單位的聯(lián)網(wǎng)數(shù)據(jù)傳輸。設(shè)計要求保證該工程中全部視頻監(jiān)控點位和電子卡口點位的全部前端設(shè)備有效聯(lián)入全市視頻監(jiān)控網(wǎng)，每個前端監(jiān)控桿提供不低于100M帶寬并滿足實際需求。設(shè)計原那么1、GA/T669-2023《城市監(jiān)控報警聯(lián)網(wǎng)系統(tǒng)系列標準》2、GB50348－2004《平安防范工程技術(shù)標準》3、GB50395－2007《視頻安防監(jiān)控系統(tǒng)技術(shù)要求》4、GB50394－2007《入侵報警系統(tǒng)技術(shù)要求》5、GB50198-1994《民用閉路監(jiān)視電視系統(tǒng)工程技術(shù)標準》6、GA/T74－2000《平安防范系統(tǒng)通用圖形符號》7、GB16796《平安防范報警設(shè)備平安要求和試驗方法》8、GB/T20271-2006《信息平安技術(shù)信息系統(tǒng)通用平安技要求》9、GA/T379-2002《報警傳輸系統(tǒng)串行數(shù)據(jù)接口的信息格式和協(xié)議》10、YD/T1171-2001《IP網(wǎng)絡技術(shù)要求--網(wǎng)絡性能參數(shù)與指標》11、GA/T75-94《平安防范工程程序與要求》12、GAT496-2023《闖紅燈自動記錄系統(tǒng)通用技術(shù)條件》13、GAT497-2023《公路車輛智能監(jiān)測記錄系統(tǒng)通用技術(shù)條件》14、GAT832-2023《道路交通平安違法行為圖像取證技術(shù)標準》15、GA/T367-2001《視頻安防系統(tǒng)技術(shù)要求》16、GA/T509《公安交通電視監(jiān)視系統(tǒng)驗收標準》17、GB50057-94《建筑物防雷設(shè)計標準》18、GB50343-2004《建筑物電子信息系統(tǒng)防雷技術(shù)標準》19、JGJ/T16-92《民用建筑電氣設(shè)計標準》網(wǎng)絡拓撲結(jié)構(gòu)圖設(shè)計方案天津播送電視網(wǎng)絡自2003年開始即參與天津市視頻監(jiān)控網(wǎng)規(guī)劃、設(shè)計、試點和建設(shè)工作，廣電網(wǎng)絡公司以當時先進、現(xiàn)已成熟的MPLSVPN設(shè)備平臺為根底進行了長期建設(shè)，現(xiàn)已成為天津市視頻監(jiān)控網(wǎng)絡鏈路的骨干網(wǎng)。綜合分析該工程需求，我們建議繼續(xù)采用成熟、平安、穩(wěn)定、可靠、帶寬資源豐富的MPLSVPN技術(shù)方案進行后繼工程建設(shè)。鏈路方案綜述視頻監(jiān)控網(wǎng)以點位數(shù)量多、分布范圍廣，技術(shù)、設(shè)備種類多、所有者種類多為特點。天津市公安局為此進行了編碼設(shè)備和傳輸設(shè)備標準化，已可以統(tǒng)一進行網(wǎng)絡傳輸、存儲和處理。根據(jù)本次工程招標要求，我公司的網(wǎng)絡鏈路拓撲圖如下列圖：方案要點說明如下：依托廣電網(wǎng)絡公司的大容量MPLSVPN骨干網(wǎng)、會聚網(wǎng)進行承載，該網(wǎng)絡采用兩級路由架構(gòu)，架構(gòu)簡潔合理，以雙10Gbps鏈路雙歸上聯(lián)實現(xiàn)保護，平安、可靠；為進一步提升平安性、穩(wěn)定性以及縮短故障倒換時間，我公司MPLSVPN網(wǎng)絡由OTN網(wǎng)絡承載，實現(xiàn)骨干、會聚鏈路倒換50ms的電路級別標準；提供1000條MPLSVPN鏈路并滿足視頻監(jiān)控網(wǎng)視頻監(jiān)控點1000點聯(lián)網(wǎng)鏈路傳輸需求；接入網(wǎng)介質(zhì)均為光纖，使用廣電網(wǎng)絡的MSAP平臺或者光纖收發(fā)器+交換機作為接入平臺，每個接入點帶寬為100Mbps；針對某些特許需求點位，具備升級帶寬至1000Mbps的能力；與骨干網(wǎng)的對接：因視頻監(jiān)控網(wǎng)骨干依托于廣電網(wǎng)絡的MPLSVPN平臺，招標中指定的所有點位就近直接接入廣電網(wǎng)絡的遠端機房、二級分中心或者一級分中心機房進行會聚。然后根據(jù)天津廣電網(wǎng)絡的網(wǎng)絡路由情況在廣電機房內(nèi)直接接入〔已建〕的MPLSVPN平臺，既已完成與視頻監(jiān)控網(wǎng)主干網(wǎng)的連接；基于視頻監(jiān)控網(wǎng)骨干的分層穩(wěn)定成熟架構(gòu)，此種接入方式省去了多運營商對接過程中產(chǎn)生的諸多問題，更加快速便捷，不會對現(xiàn)網(wǎng)的運行環(huán)境造成影響；網(wǎng)絡路由規(guī)劃情況：本次整合點接入方案路由規(guī)劃，根據(jù)天津廣電網(wǎng)絡多年在天津視頻監(jiān)控網(wǎng)工程上的實踐經(jīng)驗，具體路由規(guī)劃分為三層：接入層、會聚層、骨干層。接入層：接入層路由情況根據(jù)前端需要點位位置，就近接入天津廣電網(wǎng)絡遠端機房，每個前端點位接入介質(zhì)均為光纖，接入帶寬不小與100Mbps，并且可以根據(jù)實際情況進行相應升級；;會聚層：會聚層根據(jù)天津廣電網(wǎng)絡機房路由規(guī)劃，將會聚機房內(nèi)下屬的遠端機房所接入的點位進行會聚；骨干層：根據(jù)天津廣電網(wǎng)絡網(wǎng)絡情況，會聚層機房內(nèi)已部署天津廣電網(wǎng)絡MPLSVPN平臺〔天津視頻監(jiān)控網(wǎng)骨干〕，會聚節(jié)點在機房內(nèi)直接接入視頻監(jiān)控網(wǎng)骨干。提供帶寬為10GE光纖鏈路與集中存儲中心進行接入，將工程中所有點位視頻信號傳輸?shù)郊写鎯C房進行存儲。MPLSVPN平臺現(xiàn)有足夠的帶寬預留，根據(jù)現(xiàn)有運行狀況和本工程特點，視頻監(jiān)控網(wǎng)主干在增加本工程所需帶寬后在應用中不會產(chǎn)生帶寬瓶頸。在今后再增加帶寬需求并將產(chǎn)生瓶頸，我公司可安排以1G或10G為單位升級平臺骨干帶寬或某區(qū)域接入帶寬。與視頻監(jiān)控骨干網(wǎng)對接說明與骨干網(wǎng)的對接：因視頻監(jiān)控網(wǎng)主骨干依托于廣電網(wǎng)絡的MPLSVPN平臺，招標中指定的所有點位就近直接接入廣電網(wǎng)絡的遠端機房、二級分中心或者一級分中心機房進行會聚。然后根據(jù)天津廣電網(wǎng)絡的網(wǎng)絡路由情況在廣電機房內(nèi)直接接入〔已建〕的MPLSVPN平臺，既已完成與視頻監(jiān)控網(wǎng)主干網(wǎng)的連接；基于視頻監(jiān)控骨干的分層穩(wěn)定成熟架構(gòu)，此種接入方式省去了多運營商對接過程中產(chǎn)生的諸多問題，更加快速便捷，不會對現(xiàn)網(wǎng)的運行環(huán)境造成影響；相關(guān)網(wǎng)絡資源、網(wǎng)絡平臺說明及優(yōu)勢1、網(wǎng)絡資源天津廣電網(wǎng)絡覆蓋天津市所有行政區(qū)域，在機房和光纜資源上以市級核心、區(qū)縣一級中心、區(qū)縣內(nèi)二級分中心、遠端機房組成四級網(wǎng)絡資源架構(gòu)。目前擁有三個核心機房，19個一級分中心〔原19個行政區(qū)縣〕，約200個二級分中心〔市內(nèi)六區(qū)每區(qū)4-6個，其它區(qū)縣的每鎮(zhèn)1個二級分中心〕，近1000個遠端機房〔每個二級分中心平均帶5個遠端機房，并仍在擴建〕。機房間光纜均采用大芯數(shù)纜，接入光纜統(tǒng)一由遠端機房出局。優(yōu)勢：網(wǎng)絡根底設(shè)施豐富、結(jié)構(gòu)合理。經(jīng)多年建設(shè)，現(xiàn)有遠端機房平均覆蓋半徑1-2公里，已非常方便完成各類企事業(yè)單位的各類接入需求。接入光纜遍布各小區(qū)、交通路口、建筑、企事業(yè)單位等，光纜資源極其豐富。2、網(wǎng)絡平臺MPLSVPN平臺MPLSVPN技術(shù)介紹MPLS〔multi-protocollabelswitch〕是Internet核心多層交換計算的開展。MPLS將轉(zhuǎn)發(fā)局部的標記交換和控制局部的IP路由組合在一起，加快了轉(zhuǎn)發(fā)速度。MPLS技術(shù)提供了類似于虛電路的標簽交換業(yè)務，這種基于標簽的交換可以提供類似于幀中繼、ATM的網(wǎng)絡平安性。MPLSVPN一般采用下列圖所示的網(wǎng)絡結(jié)構(gòu)。其中VPN是由假設(shè)干不同的site組成的集合，一個site可以屬于不同的VPN，屬于同一VPN的site具有IP連通性，不同VPN間可以有控制地實現(xiàn)互訪與隔離。相對于傳統(tǒng)的VPN技術(shù)來說，MPLSVPN可以實現(xiàn)底層標簽自動的分配，在業(yè)務的提供上比傳統(tǒng)的VPN技術(shù)更廉價，更快速。同時MPLSVPN可以充分的利用MPLS技術(shù)的一些先進的特性，比方說MPLS流量工程能力，MPLS的效勞質(zhì)量保證，結(jié)合這些能力，MPLSVPN可以向客戶提供不同效勞質(zhì)量等級的效勞，也更容易實現(xiàn)跨運營商骨干網(wǎng)效勞質(zhì)量的保證。MPLSVPN還可以向客戶提供傳統(tǒng)基于路由技術(shù)VPN無法提供的業(yè)務種類，比方像支持VPN地址空間復用。對于MPLS的客戶來說，運營商的MPLS網(wǎng)絡可以提供客戶需要的平安機制，以及組網(wǎng)的能力，VPN底層連接的建立、管理和維護主要由運營商負責，客戶運營其VPN的維護和管理都將比傳統(tǒng)的VPN解決方案簡單，也減低了企業(yè)在人員和設(shè)備維護上的投資和本錢。基于MPLS的VPN可以作為傳統(tǒng)的基于二層專線的VPN、純?nèi)龑拥腎PVPN和隧道方式的VPN的替代技術(shù)。廣電網(wǎng)絡MPLSVPN平臺2023年我公司采用業(yè)界高端路由器完成了MPLSVPN骨干網(wǎng)、會聚網(wǎng)擴容，網(wǎng)絡平臺拓撲圖如下。核心核心1核心2和平南開紅橋河北河東河西塘沽大港接入交換機用戶北辰寧河靜海西青薊縣津南東麗漢沽寶坻武清新的MPLSVPN網(wǎng)絡平臺采用兩級網(wǎng)絡架構(gòu)，架構(gòu)簡潔合理。二級網(wǎng)絡為會聚層，從區(qū)內(nèi)各二級分中心的MPLSVPN接入路由器以雙歸路由鏈路的方式上聯(lián)至本區(qū)和相鄰區(qū)的兩個區(qū)一級分中心MPLSVPN會聚路由器。在業(yè)務重點區(qū)采用2x10Gbps鏈路帶寬上聯(lián)，在普通區(qū)采用2x1Gbps鏈路帶寬上聯(lián)。一級網(wǎng)絡為骨干層，從各區(qū)的一級分中心會聚路由器以雙歸路由鏈路的方式上聯(lián)至網(wǎng)絡的兩個核心層路由器，骨干層鏈路帶寬為2x10Gbps。特點和優(yōu)勢：兩級網(wǎng)絡架構(gòu)，架構(gòu)簡潔合理；各層均采用鏈路雙歸上聯(lián)實現(xiàn)鏈路保護，平安、可靠；采用分區(qū)、分層雙歸架構(gòu)，同時骨干和重點區(qū)采用2x10Gbps帶寬鏈路連接，使網(wǎng)絡具有超大容量承載能力。此外，為進一步提升平安性、穩(wěn)定性以及縮短故障倒換時間，我公司MPLSVPN網(wǎng)絡由OTN網(wǎng)絡承載，從而實現(xiàn)了骨干、會聚鏈路故障恢復時間50ms的電路交換級別標準，是一個非常穩(wěn)定的數(shù)據(jù)傳輸平臺。OTN平臺OTN〔光傳輸網(wǎng)絡〕定位為底層傳送網(wǎng)絡，為各種業(yè)務網(wǎng)絡提供底層傳送功能，包括：MPLSVPN網(wǎng)、寬帶網(wǎng)、視頻承載網(wǎng)以及區(qū)縣MSAP與上一級網(wǎng)絡間的互聯(lián)。同時提供大顆粒業(yè)務接入能力。OTN的核心技術(shù)：DWDM密集波分復用，基于光波分通道的網(wǎng)絡平臺。ASON自動交換光網(wǎng)絡，實現(xiàn)所承載業(yè)務的自動調(diào)度。廣電網(wǎng)絡OTN架構(gòu)OTN網(wǎng)絡骨干為兩級結(jié)構(gòu)，通過多個主環(huán)構(gòu)建成連接各區(qū)的一級環(huán)形骨干網(wǎng)，在每個區(qū)內(nèi)也是通過環(huán)形組網(wǎng)形式組建二級骨干網(wǎng)。核心、骨干、會聚層設(shè)備為目前國內(nèi)頂級，具備Tbit容量，80個波長的承載能力，帶寬為80x10Gbps。具備電交叉功能，鏈路最小封裝顆粒以及交叉調(diào)度顆粒為ODU0〔1Gbps〕。特點和優(yōu)勢：通過多種組網(wǎng)保護形式，提供全網(wǎng)范圍的50ms自愈保護，從而為用戶效勞打下良好的技術(shù)保障根底。接入平臺光纖收發(fā)器+交換機接入平臺：2023年以前大量使用的接入方式，現(xiàn)正在使用MSAP平臺替換該平臺。MSAP接入平臺：MSAP本質(zhì)上是MSTP技術(shù)和分組交換技術(shù)在接入層融合的一種產(chǎn)品形態(tài)，主要有會聚端的設(shè)備和遠端設(shè)備組成，適用于接入層多場景下中、小顆粒業(yè)務的會聚和端口的復用。即可上聯(lián)ASON、MSTP網(wǎng)絡，也可上聯(lián)交換機、路由器等分組交換網(wǎng)絡。向下即可以接入標準的PDH、SDH等設(shè)備如E1設(shè)備，同時也提供10/100/1000Mbps以太網(wǎng)數(shù)據(jù)接入。在實際組網(wǎng)應用中，MSAP適合用于大客戶接入、小型基站及室內(nèi)分布系統(tǒng)的接入。MSAP的功能結(jié)構(gòu)：MSAP平臺采用SDH/MSTP內(nèi)核，繼承了SDH/MSTP的交叉連接、VC映射、以太網(wǎng)業(yè)務在電路容器上的承載和級聯(lián)、成環(huán)和保護倒換等功能，同時，根據(jù)邊緣網(wǎng)絡大客戶接入的特點和網(wǎng)絡的現(xiàn)狀，融合了PDH復用/解復用、以太網(wǎng)協(xié)議轉(zhuǎn)換、V.35協(xié)議轉(zhuǎn)換等技術(shù)，具備靈活的接入功能，可承載當前邊緣接入網(wǎng)的多種業(yè)務。MSAP的主要特點綜合接入；局端為統(tǒng)一平臺，通過遠端設(shè)備的不同形態(tài)表達差異化接入能力，支持PDH等現(xiàn)有接入網(wǎng)設(shè)備、SDH/MSTP設(shè)備以及分組交換網(wǎng)絡設(shè)備在網(wǎng)絡中同時接入。接入靈活；采用模塊化結(jié)構(gòu)，后期業(yè)務擴容或新客戶接入只需通過網(wǎng)管配置或放置相應遠端就可實現(xiàn)。且可以支持環(huán)形、鏈形、星形等多種組網(wǎng)拓撲，應用靈活。可靠性高提供多種保護方式，如1+1保護、SNCP保護、線性MSP保護、電源熱備份等，保證了客戶業(yè)務的可靠性。MSAP系統(tǒng)網(wǎng)絡位置和參考模型MSAP多業(yè)務接入平臺是集協(xié)議轉(zhuǎn)換器、光端機、光纖收發(fā)器、XDSL于一體的大用戶多業(yè)務專線接入平臺，所以MSAP作為末端接入系統(tǒng)，能夠向用戶提供E1/V.35租用線和專線業(yè)務以及以太網(wǎng)專線業(yè)務，通過SDH接口或以太網(wǎng)接口與SDH/MSTP傳送網(wǎng)或IP城域網(wǎng)相連；通過E1、10/100/1000BASE-T接口或V.35接口和客戶設(shè)備相連。如下列圖所示：MSAP系統(tǒng)網(wǎng)絡位置圖網(wǎng)絡可靠性設(shè)計〔QoS實現(xiàn)策略〕概述QoS規(guī)劃：選擇DiffServ體系架構(gòu)，不信任其它Diffserv域的標記，在入端口進行重新標記。業(yè)務等級規(guī)劃：公安專網(wǎng)定義8個標記，7個業(yè)務等級。調(diào)度和丟包策略：隊列調(diào)度采用PQ〔優(yōu)先級調(diào)度算法PriorityQueueing〕加WRR〔加權(quán)輪循算法WeightedRoundRobin，WRR〕的方式，并對PQ進行限速，根據(jù)等級不同限速不同，網(wǎng)管隊列分配5%的帶寬，其余隊列的帶寬分配根據(jù)實際業(yè)務流量模型決定。限速和整形：在入口根據(jù)協(xié)議和規(guī)劃進行限速。Trunk的QOS配置要在物理接口上進行配置。采用默認的逐流方式。視頻專網(wǎng)QoS要求QoS業(yè)務等級規(guī)劃業(yè)務等級開展的業(yè)務標記QoS策略金業(yè)務平臺SIP協(xié)議、無線傳輸7，6高等級隊列，帶寬保證值為〔CIR〕5%，PIR為80％預留5高等級隊列，帶寬保證值(CIR)為10%，PIR為90％銀業(yè)務視頻監(jiān)控管理平臺業(yè)務數(shù)據(jù)4高等級隊列，帶寬保證值(CIR)為60%，PIR為90％預留3低等級隊列，帶寬保證值為8%,，PIR為90％銅業(yè)務普通視頻監(jiān)控點視頻2低等級隊列，帶寬保證值為12%,，PIR為40％預留1低等級隊列，帶寬保證值為4%，PIR為40％預留0低等級隊列，帶寬保證值為1%,，PIR為40％所有P設(shè)備的接口配置outputqueue和trustupstreamdefault。所有PE設(shè)備的接口配置outputqueue和trustupstreamdefault。〔和CE連接的接口，會對進入的流量重新打標識,只配置outputqueue〕視頻專網(wǎng)分類和標記視頻專網(wǎng)中設(shè)備識別業(yè)務并實現(xiàn)QoS分類的依據(jù)是各種標記字段、端口〔物理端口、邏輯端口和子端口〕、源/目的MAC地址、源/目的IP地址、IP層協(xié)議端口、應用層源/目的端口等。使用IPPrecedence、IPDSCP、和802.1p等字段標識QoS等級。IPPrecedence、802.1p等字段均為3位8個等級，IPDSCP那么有8位64個等級。使用IPDSCP的前三位來標識8個等級，后三位均設(shè)為0。以上幾個字段標識的對應關(guān)系如下：IPPrecedenceIPDSCP802.1p000181216232434324540564867567對IP分組在IPPrecedence字段上做標記，以便于與其它標記字段之間進行相互轉(zhuǎn)換，并兼容僅支持IPPrecedence的設(shè)備。對于僅支持IPDSCP的設(shè)備，要求按照以上圖表在IPDSCP字段上做相應的標記。不對CE路由器、交換機實施標記分類和隊列調(diào)度。QoS部署策略會聚層部署1. 啟用隊列調(diào)度機制和擁塞防止機制，按照調(diào)度策略進行設(shè)置2. 只對out方向的流量進行隊列調(diào)度、對in方向的流量不進行隊列調(diào)度3. 對PQ進行限速，按隊列不同限速80%-90％4. 核心路由不直接連接用戶、所以不需要標記和分類 接入層部署5. 啟用隊列調(diào)度機制和擁塞防止機制，按照調(diào)度策略進行設(shè)置6. 在入端口對用戶數(shù)據(jù)流量進行標記、分類7. 只對out方向的流量進行隊列調(diào)度、對in方向的流量不進行隊列調(diào)度8. 對PQ進行限速，按隊列不同限速80%-90％9. 選擇性的對入端口對某些公眾用戶數(shù)據(jù)流量進行限速。QoS平安QoS都是通過QoS標記來識別等級，保證相應等級的效勞質(zhì)量。平安的關(guān)鍵是防止QoS標記誤打，漏打，低等級業(yè)務非法打上高等級標記或利用高等級流量實施平安攻擊。針對這些平安問題，采取如下措施：1. 對于不信任的其他網(wǎng)絡〔如其它客戶〕，去除其進入公安視頻專網(wǎng)網(wǎng)的QoS標記，再打上相應等級的標記。2. 原那么上使用端口〔物理端口、邏輯端口和子端口〕實現(xiàn)業(yè)務分類和等級標識，但從業(yè)務開展的靈活性角度出發(fā)，可以考慮在跨域QoS或?qū)τ脩魞?nèi)部流量進行區(qū)分時使用IP地址或應用層端口號，但對這樣的業(yè)務要求實施限速。3. 絕對優(yōu)先級僅開展內(nèi)部業(yè)務。僅在指定Access端口才能打上絕對優(yōu)先等級標記。在提供充足的預留帶寬后，對絕對優(yōu)先等級實施限速，以防止該等級餓死其他等級。網(wǎng)絡平安性設(shè)計從體系結(jié)構(gòu)來看，平安體系是一個多層次、多方面的結(jié)構(gòu)。我們通過對天津市視頻監(jiān)控網(wǎng)絡平臺所面臨的平安狀況的分析，將整個視頻監(jiān)控網(wǎng)的平安性在總體結(jié)構(gòu)上分為四個層次：網(wǎng)絡層平安、應用層平安、系統(tǒng)層平安和管理層平安。網(wǎng)絡層平安是指在網(wǎng)絡的下三層(物理層、鏈路層、網(wǎng)絡層)采取各種平安措施來保障網(wǎng)絡平臺的平安；應用層平安是指通過利用各應用系統(tǒng)和數(shù)據(jù)庫自身的平安機制，在應用層保證對網(wǎng)絡上所承載的各種網(wǎng)絡應用系統(tǒng)的信息訪問合法性；系統(tǒng)層平安主要是通過對操作系統(tǒng)的平安設(shè)置，防止不法分子利用操作系統(tǒng)的平安漏洞對網(wǎng)絡構(gòu)成平安威脅；管理層平安主要是從網(wǎng)絡所涉及的各分局和各派出所各級網(wǎng)絡用戶內(nèi)部平安管理和計算機病毒防范兩方面來保障網(wǎng)絡的平安。骨干網(wǎng)平安設(shè)計核心交換機支持冗余的管理模塊、冗余的電源模塊、各種模塊熱拔插等平安穩(wěn)定保障技術(shù)。實時檢測CPU的使用狀態(tài)，并提供業(yè)界領(lǐng)先的硬件CPU保護技術(shù)〔CPP，ControlPlanePolicy〕，CPP技術(shù)對發(fā)往CPU的數(shù)據(jù)進行流區(qū)分和流限速，防止非法攻擊包對CPU的攻擊和資源消耗。采用硬件方式提供多種平安防護能力，例如防DoS攻擊、非法數(shù)據(jù)包檢測、數(shù)據(jù)加密、防源IP地址欺騙等等，防止了傳統(tǒng)軟件實現(xiàn)方式對整機性能的影響。核心交換機提供業(yè)界最為強大的ACL特性，基于SPOH技術(shù)提供IP標準、IP擴展、MAC擴展、時間、專家級等豐富的ACL技術(shù)，支持IPV4/IPV6雙棧下的輸入輸出ACL。提供線卡分布式的IPFIX監(jiān)控技術(shù)，及時發(fā)現(xiàn)網(wǎng)絡中的異常流量，有助于提早發(fā)現(xiàn)網(wǎng)絡中病毒和攻擊等不平安行為，并通過流量監(jiān)控技術(shù)提供的詳細異常流量數(shù)據(jù)信息，識別攻擊源或攻擊手段。核心交換機支持同時啟用多組的多端口同步監(jiān)控技術(shù)，并且支持靈活的輸入、輸出、雙向數(shù)據(jù)鏡像，滿足靈活的網(wǎng)絡監(jiān)控需求，提升網(wǎng)絡監(jiān)控能力。接入網(wǎng)平安設(shè)計各局端所配置的千兆接入交換機支持IP＋MAC＋端口綁定，通過在一個端口下綁定指定用戶的IP與MAC：1〕可以有效的防止