徐州市交通执法专网改造方案设计.docx

1、徐州市交通执法专网改造方案设计发布时间：2022-01T8T01:38:15.199Z来源：工程建设标准化2021年11月22期作者：张允林导读随着徐州市交通运输综合行政执法改革基本完成张允林徐州市交通运输综合行政执法支队摘要：随着徐州市交通运输综合行政执法改革基本完成，徐州市交通执法系统原有网络体系存在着网络多样、带宽不足、覆盖不全、运维困难等问题，通过对徐州市交通执法支队现有网络整合优化，升级改造，以更好满足徐州市交通运输智慧执法工作需要。关键词：网络设计改造VPN1项目背景2021年8月，省交通执法局印发文件明确要求，“各基层执法机构要按照职责分工和技术要求加快推进VpN网络改造的实施工

2、作，有序推进在用系统迁移。”2021年8月，徐州市交通运输综合行政执法支队挂牌成立。徐州市交通执法支队整合了原市运管处、市海事局等9家单位行政执法职责，统一承担全市交通运输系统行政执法工作。改革后，原市运管处、原市海事局的网络设备老旧，无法满足执法支队业务需求，因此，亟需对徐州市交通执法网络进行升级改造，以有力支撑徐州市交通综合执法业务要求。2现状分析升级改造前，徐州市交通执法支队现有网络设备及架构现状如下：2.1基石出设备方面支队网络基础设施主要沿用原市运管处、原市海事局的资产，存在设备老旧、网络多样、带宽不足、覆盖不全、运维困难等问题。关键设备节点（核心出口路由器、核心交换机）缺乏冗余备份

3、一旦设备发生故障将导致整个内网瘫痪。2. 2网络架构和业务访问方面改革后，由于职能整合调整，原有人员、办公地点发生了很大变化，网络结构也随之发生变化。原有的市、县两级运管专网和海事专网不能很好的融合，导致网络结构分散、层级多。分散混乱的网络结构造成访问不同的业务系统，需要使用不同的网络路径。水上大队要通过市港航专网来访问业务；治超大队要通过市公路专网来访问业务。运政在线、联网联控平台、治超平台、车辆检测等系统使用执法内网访问；主动防控系统、货运源头治超系统、海江河港口系统使用外网访问。23带宽方面支队到省局专线链路带宽在IOoM以内；支队与各县（市）区大队专线带宽在IOM以内，业务高峰期经常

4、出现带宽不足。同时，随着智慧执法建设深入推进，5G视频场景应用，更多的智能执法终端、外场视频将接入到执法专网中，高带宽需求迫在眉睫。2.4 网络安全方面支队使用的业务系统、执法记录仪已按照信息安全技术网络安全等级保护测评要求GB/T28448-2019进行三级测评。支队VPN改造完成后，部分县（市、区）大队还未改完，仍需将执法专网接入纳入安全防护范围内。2.5 网雌护及使用成本方面目前，部分直属大队需要借用其他单位专网线路接入业务系统，存在维护边界不清晰，出现问题排查困难，需协调相关单位，维护效率低等问题。部分基层站所网络IP地址不能双向互通，只能站所访问支队及省执法局，省执法局不能访问站点，

5、不能做到统一监管和维护。支队使用数字线路59条，专线较多，租赁成本较高，而“宽带+VPN”设备方式的维护成本较低。3改造方案4.1 架构设计采用IPSECVPN技术，建立省局到市支队，市支队到各县（市、区）大队（单兵、执法车、智能终端）的三层架构。在基础网络架构上部署安全边界防护、业务系统防护。同时利用原有的交通专网做备份线路，和改造完成的执法VPN网络形成冗余链路。总体网络架构图图1总体网络架构图4.2 VPN网络建设以原海事专网为基础，将支队南办公区机房作为综合执法专网的中心机房。中心机房建立多条IPSECVPN加密隧道，用于连接省局、12个办公场所、7个县级大队。支队上联VPN网关和省执

6、法局VPN网关建立400MVPN加密隧道，12个支队办公场所分别和支队下联VPN网关建立100MVPN加密隧道，7个县级大队分别和支队下联VPN网关建立150MVPN加密隧道。通过整合优化路由协议手段实现横向网、YPN执法专网互为冗余备份；当主线路故障时可自动切换到备用线路，从而提高支队、大队使用VPN执法专网的可靠性，而且可以根据不同业务进行分流。在支队部署SSLVPN,满足支队移动办公人员西办公区办公人员访问内网的需求。改造完成后网络整体拓扑图（包括网络安全）如下VFNz*-,一我A应成改活的要毁小Ii位G保制或蝌按二巾技大陕修入千我月建龟C今为万加光纤想吠YI.用行为管理傅入的侪 屹“4

7、WJ L Ml) hi JfcAK伟“S大从旷诊场“包念支队机大办公冷 工 ） X!M图2升级改造完成后网络整体架构图4. 3网络主、备链路建设网关支队机关下辂12个办公场所网关7个县级大队VPN网关图示:执法业务主线路视频券面带宽主线路支队到省局有两条运营商专线链路，一条是原海事专网链路，一条是横向接入交通专网的备份链路。本次改造将原海事专网专线停掉，新建一条40OY的VPN链路，直连省局，此链路作为支队、县级大队访问部、省级业务的主要链路，同时作为视频类、高带宽类业务的备用链路。利旧原市海事局到市交通运输局的电信专线链路作为支队、县级大队访问省、部级业务的备份链路。同时作为视频类、高带宽类

8、业务的主用链路。图3主、备链路示意图4.4 SSLVPN改造通过在支队机关的VPN网关，建立SSLVPN,优先使用下联VPN网关接入支队执法内网，接受统一的选路方案。支队外勤人员，执法执法业务、M可靠、加密需求业务图示备线路车船，智能执法终端可通过SSLVPN方便快捷地访问支队执法内网。智能执法终端、执法车、外出人员0B4SSLVPN接入鹿拓扑图VPN设备及客户端支持域名解析服务器地址下发功能，确保接入VPN网络后用户可以将省局域名服务器作为首选域名解析服务器。对接入用户和接入网关统一身份认证和权限管理，并按照接入用户类型和访问业务需求配置SSLVPN访问策略。4.5 IPi址规划方案本次改造

9、除新建VPN网络外，还需对支队各办公场所、县级大队使用的IP地址进行全面规范。根据省局分配的大地址段10.54.64.0/19进行二次分配。按照24位子网撞码划分地址段，各县级大队分配23位撞码的地址段，县皴大队根据实际情况再细化。接口地址选用30位子网掩码（只有2个主机地址）用于设备互联。地址分配如表：序号网络名称P网段地址子网掩码地址数量1服务器及安全设备网段10.54.64.0255.255.255.02562VPDN网段10.54.65.0255.255.255.02563SSLVPN网段10.54.66.0255.255.255.02564支队南办公区无线网络10.54.67.025

10、5.255.255.02565支队南办公区有线网络10.54.68.0255.255.255.02566支队南办公区有线网络（监控10.54.69.0255.255.255.1281287交通局办公点10.54.69.128255.255.255.1281288支队机关西办公区110.54.70.0255.255.254.05129支队机关西办公区210.54.72.0255.255.255.025610老交通局办公点10.54.73.0255.255.255.12812811鼓楼大队10.54.73.128255.255.255.12812812开发区大队10.54.74.0255.255.

11、255.12812813泉山大队10.54.74.128255.255.255.12812814云龙大队10.54.75.0255.255.255.12812815秦洪海事所10.54.75.128255.255.255.12812816塔山海事所10.54.76.0255.255.255.12812817解台海事所10.54.76.128255.255.255.12812818蔺家坝海事所10.54.77.0255.255.255.12812819市行政服务中心10.54.77.128255.255.255.12812820丰县大队10.54.78.0255.255.254.O51221沛县

12、大队10.54.80.0255.255.254.051222睢宁县大队10.54.82.0255.255.254.051223邛州市大队10.54.84.0255.255.254.051224新沂市大队10.54.86.0255.255.254.051225贾汪区大队10.54.88.0255.255.254.051226铜山区大队10.54.90.0255.255.254.051227IPSecVPN互联网段和网络设备互联网段（含县级大队）10.54.94.0255.255.254.051228预留10.54.92.0/23表1支队IP地址分配表4.7网络安全改造方案对支队已有的安全防护体系

13、进行升级改造，扩展安全防御范围，将新建VPN通道纳入保障体系。改造后安全体系架构图如下:市及办公场 所河关边 界防护:服务器区Bia边界防.描网I为雌互联网 出口区PC癌入区 支队机关南办公 区核心交换机J埠餐火Kk核这 边界展互联网g 防火堵：,支队核心器由r边界防火堵外联区U省执法局:安全管理区MTESEL :同M机 联势超知网管T r指挥中心；Im .Jq回日志审计以.瓜应实备二大虱按人R大Pn边护 级V关防 同队网界3落，气$，器VPN宋 先 C 取遣的BJ*tt*ttL 保稻、建知海事技术装备专 线图5整合后安全拓扑图4.9升级信息安全保障体系将支队执法专网划分为核心区、PC接入区、

14、大队接入区、互联网出口区、安全管理区、外联区、服务器区，各区域之间逻辑隔离。新增4台边界防火墙、1台堡垒机、1台日志审计、1台态势感知+探针，1台网管一体机，1台灾备一体机。利旧2台边界防火墙、1台网闸、1台上网行为管理、1台入侵防御。为管理提供上网行为审计；支队机关VPN网关开通IPS模块做执法专网VP链路边界防护；服务器区边界防火墙开通杀毒模块+IPS模块提供业务系统区域边界安全防护。网管一体机提供网络设备统一管理、网路连接管理、终端统一管理，态势感知。5结束语通营对V州市交通执法支队网络进行升级改造，一方面可以打破原有“各自为政”的网络架构，更好的适应改革后的业务需求，另一方可以提供高效、先进、可靠、安全的执法网络环境，打造良好的交通执法专网，为徐州市交通运输智慧执法建设打下坚实基础。#文献：夏攀，基宇TPCM可信根的可信网络连接设计与实现J,信息技术与网络安全，2021作者简介：张允林(1986-)，男，江苏沛县人，硕士，工程师，研究方向：智能交通信息化