从上图的流量模型上来看，在网络出现问题交换机B出现故常的情况下，省局调取吉林分局（红色线）监控图像时，监控的数据流会流经分局和交换机A；省局调取靖宇分局（黄色线）监控图像时，监控的数据流会流经分局和交换机A到达分局。

3.1.2 吉林省高速公路管理局——各分局监控网络优化建议

1）吉林省高速公路管理局——分局监控网络优化建议

经过现场实际调研发现，全省分局使用的都和吉林分局相同

方便分局办公领导直接访问本地的监控网，在分局，把监控网和办公网联通，中间通过启用安全设备，既实现监控网和办公网之间的安全访问也可以节省网络的带宽资源，降低网络设备的运行压力，使网络结构更加合理。

2）吉林省高速公路管理局——各分局监控业务流量描述

例如：改造后，吉林分局的办公网用户调取吉林分局吉林收费站（红色线）监控图像时，监控的数据流从吉林分局监控网直接到达吉林分局办公网。不像以前，绕了一圈，才看到，这样节省了网路资源的浪费和降低了网络设备的压力及减小了图像调取的延迟。

3.1.3 吉林省高速公路管理局——网络覆盖性

吉林省高速公路管理局的监控网络采用省局到分局，分局到管理处、管理处到收费站的四级网络机构，目前有线都已经覆盖到各收费站，网络覆盖性较好。

我公司建议，在有线的基础上，再增加无线或3G覆盖。当有线出现故障时，直接切换到无线或3G网络以保障网络的高可靠、高覆盖性。

3.1.4吉林省高速公路管理局——网络设备管理性建议

建议吉林省高速公路管理局在网络运维管理上通过以下几个方面进行加强：

1. 出具网络运维管理制度及应急预案。
   
2. 增加一套网络运维管理软件，如H3C IMC，主要管理监控网络所有设备。IMC主要功能如下：
   

• 支持用户在自己的权限范围内定制个性化主页。并通过高分辨率大屏幕监视网络运行情况，以便实时掌握网络运行状态，显示的内容可根据管理员的需求进行定制。如下图：
  

• 支持使用移动客户端（智能手机、平板电脑）访问iMC中的资源，以简化网络的日常管理和监控，提升管理效率。通过iMC移动智能客户端，管理员可以查询特定设备，浏览存在故障的设备信息及接口信息，对设备进行可达性测试（Ping，TraceRoute）等操作。
  

• 更多的管理设备类型：除了传统的路由器、交换机外，更能对网络中的无线、安全、语音、存储、监控、服务器、打印机、UPS等设备进行管理，实现设备资源的集中化管理。
  

• 清晰的网络设备资产管理：在将iMC平台中管理的设备增加到网络资产管理的同时，系统还会自动发现该设备上可以管理的配件信息，并将这些配件加入到网络资产中进行管理，管理员可以对网络资产信息进行修改，还可以查看该资产的子模块信息、接口信息以及变更审计历史信息。
  

• 多种网络拓扑视图：除传统的IP拓扑视图外，iMC平台还提供全网络的拓扑视图和自定义拓扑视图，使用户可以根据自己的组织结构、地域情况、甚至楼层情
  
• 清晰灵活地绘制出客户化的网络拓扑。
  
  • 数据中心机房、机架拓扑：iMC平台支持按设备物理位置进行组织的数据中心机房和机架拓扑。通过此拓扑视图，用户可以很方便的找到设备在机房中所处位置，进而对设备物理实体进行管理维护。
    

  
  

• 直观的故障列表：H3C智能管理中心能自动汇总全网中故障设备，形成故障设备列表，使管理员能快速、清晰的找到需要关注的故障设备。告警方式可以警声光提示、转Email、转短信等方式外，还可以针对不同的告警定义不同的提示内容以及对应维护参考，当再次出现同类告警后能直接对应到相应的维护参考。
  

  
  

  
  

• 一目了然的网络TopN性能指标：CPU利用率、内存利用率、带宽利用率、设备响应性能、设备不可达等是网络性能管理中用户最关注的几项，iMC平台通过TopN列表，使用户能一目了然当前网络中的性能瓶颈问题。
  

  
  

• 资源化的配置和软件管理： iMC平台以资源管理的角度提供了配置模板库和设备软件库的管理。配置模板库维护网络设备配置模板文件、用户常用的配置模板片段两种资源；配置模板文件可部署为设备的启动配置或者运行配置；配置模板片断可部署为设备的运行配置，也可通过启用”下发命令后将设备运行配置保存为启动配置”选项部署为启动配置，并且配置内容可以带有参数，在部署时根据设备的差异设置不同的值。
  

1. 在指挥中心安装显示设备，主要显示IMC管理平台，当出现故障时，可以直观的在显示设备上显示出来。
   
2. 建议监控网的交换机都配置上远程管理，同时都开启SNMP(简单网络管理协议)。
   

3.2网络IP地址优化建议

本章节主要对于整个网络IP地址规划进行现状描述。

3.2.1网络IP地址优化建议

对目前全网地址规划不统一的情况进行调整，对已经建立的收费站，进行逐渐的修改，对新建的收费站按照统一的IP地址规划来进行分配。

3.3网络路由状况优化

本章节主要针对监控网使用的路由协议做优化

3.3.1 网络路由情况优化

1. 省局监控网中的，从收费站到管理处再到分局最后到省局走的都是路由模式，全网使用OSPF协议进行互联互通符合大网的要求，建议从省局到分局用OSPF 区域0，各分局独立使用一个OSPF区域如下图
   

这样大幅度减小网络设备的压力，也是网络更规范化、合理化。

具体如下表格

3.4其他网络协议协议运行优化

本章节主要对于整个网络的NTP(Network Time Protocol 网络时间协议)、STP（Spanning Tree Protocol 生成树协议）协议及ARP(Address Resolution Protocol 地址解析协议)进行优化描述，并给出合理化建议。

3.4.1 NTP

省局监控网未运行 NTP 协议来同步时间。网内设备的时间同步性较差，对于一些故障的判断定位存在不利影响，如故障时间无法定位或是定位时间不准确。建议在监控网里面，架设一台NTP服务器，在设备上配置NTP客户端服务，来完成全网设备时间的的统一。

3.4.2 STP

监控网内的交换机没有开启STP（Spanning Tree Protocol 生成树协议），建议在交换机上开启生成树协议且接入交换机端口上开启本地回环功能。

3.4.3 ARP

在监控网络的设备上，尤其是编码器和解码器的网关设备，都没有启用ARP防护策略，建议收费站的监控交换机把编码器的ip地址和mac地址
绑定到交换机上。

1. 组播协议
   

在查看各个收费站的交换机发现，各个组播地址（每一路监控图像），都选出了BSR，配置BSR的目的就是发布网络中所有可能的RP信息。BSR通过去年的省局更换H3C 7502已经配置并得到了优化，但是各分局和管理处的RP的配置及规划不是很合理，可能导致调取图像的延时过大，因为收费站看本地的图像不需要RP及BSR（上一级看图像必须要使用这些参数）建议把管理处所管辖的收费站的组播地址范围的RP手动配置管理处的地址，分局直接管辖（不通过管理处）的收费站组播地址段的RP通过配置的方式落在分局的交换机上。如下图

3.5 监控网主要设备性能分析

本章节主要根据各分局的监控交换机的CPU利用率高、内存使用率大、出厂日期较早及统一网络设备的思想建议更换的设备，进行统计。以及根据网络实际情况需要增加的设备情况。

3.5.1 需要更换的设备总表

3.5.2设备更换总表

交换设备

新增安全设备列表

四 各地分局网络改造建议

4.1 长春分局

4.1.1 网络架构改造方案

    (1) 长春分局网络架构现状

长春分局网络架构，以星形拓扑为主。分局的监控网和分局办公网之间通过省局的监控和办公网连接的。长春分局办公网如果访问监控网，数据会从省局流过，从架构上来看，存在不合理情况。

(2) 长春分局网络架构实施方案

长春分局的监控网和分局办公网之间，采取增加安全设备的方式进行直接连接，当办公网络调取监控网图像时，直接从本地进行调取。

4.1.2 长春分局网络IP地址规划

4.1.3 长春分局网络路由规划

OSPF区域0是网络的主干运行的区域，长春分局所管辖的收费站除了新建的开安管理处运行在ospf 区域2外，都运行在ospf 区域0内。

规划完毕后，长春分局运行在OSPF0.0.4.30，长春分局独立运行在一个区域内，即便于管理，也能降低网络设备的负载。

4.1.4 长春分局协议规划

1 组播协议优化

组播的BSR规划落到省局的H3C7502上；组播中的RP，分局直接管辖收费站落在分局上，管理处管辖的收费站落在管理处上，如下图

1）、 可以在管理处和分局的交换上配置如下命令

acl number 2430

rule 0 permit source 224.1.170.0 0.0.0.255

rule 1 permit source 224.1.171.0 0.0.0.255

#

pim

c-rp LoopBack0 group-policy 2430 priority 50

分局和管理处，使用的组播地址段不同，可以通过查看后，在加到访问控制列表里面，在收费站的三层交换机删除以上的命令。

2、收费站、管理处、分局的监控网中有接入交换机，在接入交换机上也要配置上组播的命令，命令如下

Igmp-snooping enable

Vlan 1

Igmp-snooping enable

2）、OSPF路由协议规划

1、长春分局与省局连接使用OSPF区域0，长春分局与所管辖的的管理处及收费站之间使用OSPF 区域0.0.4.30，命令需要在长春分局所管辖的所有收费站及管理处的设备上键入命令
命令如下

Ospf 430

Area 0.0.4.30

Network 192.168.10.0 0.0.0.255

2、
建议下连接用户的vlan 接口的ospf 进程中键入如下优化命令

silent-interface
interface vlan 10

已防止用户侧有网络设备，未经授权计入。

3、分局和收费站的设备开启ospf验证功能，防止设备的未经授权的私自接入，命令如下
osfp 10

Area 0.0.4.30

authentication-mode simple

interface vlan 10

ospf authentication-mode simple
password |

3）、STP协议规划

在所有的交换机开启生成树，并把生成树改成RSTP模式命令如下

开启生成树 stp enable

把生成树的模式改成RSTP模式 Stp mode rstp

在所有接入交换机开启本地回环

在交换机全局模式下键入 loopback-detect enable

再交换机的接口模式下键入 loopback-detect enable

4）、NTP协议规划

建议在省局架设NTP服务器，后在所有交换上键入（192.168.100.100为省局NTP服务器地址）

ntp-service unicast-server 192.168.100.100

5）、ARP协议优化

在收费站的网关设备上开启ARP绑定功能防止病毒及其他电脑的私自接入，命令如下

arp static 192.168.10.2 0001-5678-94d9

在 interface vlan 1 接口下键入

arp max-learning-num 0

4.1.5 长春分局网络设备主要性能

长春分局都为去年年底更换的H3C5500设备，性能可以满足使用。

新增安全设备

4.2 德惠分局

4.2.1 网络架构改造方案

    (1) 德惠分局网络架构现状

德惠以星形拓扑为主。分局的监控网和分局办公网之间通过省局的监控和办公网连接的。长春分局办公网如果访问监控网，数据会从省局流过，从架构上来看，存在不合理情况。

(2) 德惠分局网络架构实施方案

德惠分局的监控网和分局办公网之间，采取增加防火墙的方式进行直接连接，当办公网络调取监控网图像时，直接从本地进行调取。

4.2.2 德惠分局网络IP地址规划

建议靖宇分局、分局、管理处、收费站的交换机的环回口，统一IP地址段，作为设备的管理地址段，例如使用10.4.31.0/24地址段。

4.2.3 德惠分局网络路由规划

原始路由规划

OSPF区域0是网络的主干运行的区域，德惠分局所管辖的收费站都运行在ospf 区域0内。

新路由规划

规划完毕后，德惠分局运行在OSPF0.0.4.31，德惠分局独立运行在一个区域内，即便于管理，也能降低网络设备的负载。

4.2.4 德惠分局协议规划

1 组播协议优化

组播的BSR规划落到省局的H3C7502上；组播中的RP，分局直接管辖收费站落在分局上，管理处管辖的收费站落在管理处上，如下图

1）、 可以在管理处和分局的交换上配置如下命令

acl number 2431

rule 0 permit source 224.4.31.0 0.0.0.255

#

pim

c-rp LoopBack0 group-policy 2431 priority 50

分局和管理处，使用的组播地址段不同，可以通过查看后，在加到访问控制列表里面，在收费站的三层交换机删除以上的命令。

2、收费站、管理处、分局的监控网中有接入交换机，在接入交换机上也要配置上组播的命令，命令如下

Igmp-snooping enable

Vlan 31

Igmp-snooping enable

2）、OSPF路由协议规划

德惠分局与省局连接使用OSPF区域0，德惠分局与所管辖的的管理处及收费站之间使用OSPF 区域0.0.4.31，命令需要在长春分局所管辖的所有收费站及管理处的设备上键入命令 命令如下

Ospf 431

Area 0.0.4.31

Network 192.168.31.0 0.0.0.255

2、
建议下连接用户的vlan 接口的ospf 进程中键入如下优化命令

silent-interface
interface vlan 31

已防止用户侧有网络设备，未经授权计入。

3、分局和收费站的设备开启ospf验证功能，防止设备的未经授权的私自接入，命令如下

osfp 10

Area 0.0.4.31

authentication-mode simple

interface vlan 31

ospf authentication-mode simple
password |

3）、STP协议规划

在所有的交换机开启生成树，并把生成树改成RSTP模式命令如下

开启生成树 stp enable

把生成树的模式改成快速生成树模式 rstp mode rstp

在所有接入交换机开启本地回环

在交换机全局模式下键入 loopback-detect enable

再交换机的接口模式下键入 loopback-detect enable

4）、NTP协议规划

建议在省局架设NTP服务器，后在所有交换上键入（192.168.100.100为省局NTP服务器地址）

ntp-service unicast-server 192.168.100.100

5）、ARP协议优化

在收费站的网关设备上开启ARP绑定功能防止病毒及其他电脑的私自接入，命令如下

arp static 192.168.31.2 0001-5678-94d9

在 interface vlan 30 接口下键入

arp max-learning-num 0

4.2.5 德惠分局网络设备主要性能

德惠分局都为去年年底更换的H3C5500设备，性能可以满足使用。

新增安全设备

4.3 吉林分局

4.3.1 网络架构改造方案

    (1) 吉林分局网络架构现状

吉林以星形拓扑为主。分局的监控网和分局办公网之间通过省局的监控和办公网连接的。长春分局办公网如果访问监控网，数据会从省局流过，从架构上来看，存在不合理情况。

(2) 吉林分局网络架构实施方案

吉林分局的监控网和分局办公网之间，采取增加防火墙的方式进行直接连接，当办公网络调取监控网图像时，直接从本地进行调取。

4.3.2 吉林分局网络IP地址规划

建议吉林分局、分局、管理处、收费站的交换机的环回口，统一IP地址段，作为设备的管理地址段，例如使用10.4.32.0/24地址段。

4.3.3 吉林分局网络路由规划

原始路由规划

OSPF区域0是网络的主干运行的区域，吉林分局所管辖的收费站都运行在ospf 区域0内。

新路由规划

规划完毕后，吉林分局运行在OSPF0.0.4.32，独立运行在一个区域内，即便于管理，也能降低网络设备的负载。

4.3.4 吉林分局协议规划

1 组播协议优化

组播的BSR规划落到省局的H3C7502上；组播中的RP，分局直接管辖收费站落在分局上，管理处管辖的收费站落在管理处上，如下图

1）、 可以在管理处和分局的交换上配置如下命令

acl number 2432

rule 0 permit source 224.4.32.0 0.0.0.255

#

pim

c-rp LoopBack0 group-policy 2432 priority 50

分局和管理处，使用的组播地址段不同，可以通过查看后，在加到访问控制列表里面，在收费站的三层交换机删除以上的命令。

2、收费站、管理处、分局的监控网中有接入交换机，在接入交换机上也要配置上组播的命令，命令如下

Igmp-snooping enable

Vlan 30

Igmp-snooping enable

2）、OSPF路由协议规划

吉林分局与省局连接使用OSPF区域0，吉林分局与所管辖的的管理处及收费站之间使用OSPF 区域0.0.4.32，命令需要在吉林分局所管辖的所有收费站及管理处的设备上键入命令 命令如下

Ospf 432

Area 0.0.4.32

Network 192.168.32.0 0.0.0.255

2、
建议下连接用户的vlan 接口的ospf 进程中键入如下优化命令

silent-interface
interface vlan 32

已防止用户侧有网络设备，未经授权计入。

3、分局和收费站的设备开启ospf验证功能，防止设备的未经授权的私自接入，命令如下

osfp 10

Area 0.0.4.32

authentication-mode simple

interface vlan 32

ospf authentication-mode simple
password |

3）、STP协议规划

在所有的交换机开启生成树，并把生成树改成RSTP模式命令如下

开启生成树 stp enable

把生成树的模式改成快速生成树模式 rstp mode rstp

在所有接入交换机开启本地回环

在交换机全局模式下键入 loopback-detect enable

再交换机的接口模式下键入 loopback-detect enable

4）、NTP协议规划

建议在省局架设NTP服务器，后在所有交换上键入（192.168.100.100为省局NTP服务器地址）

ntp-service unicast-server 192.168.100.100

5）、ARP协议优化

在收费站的网关设备上开启ARP绑定功能防止病毒及其他电脑的私自接入，命令如下

arp static 192.168.32.2 0001-5678-94d9

在 interface vlan 32 接口下键入

arp max-learning-num 0

4.3.5 吉林分局网络设备主要性能

吉林分局九站、华丹大街、吉林分局在去年年底更换的H3C5500设备，性能可以满足使用。

经更改配置后，可以拿掉设备的收费站

需要更换设备的管理处

新增安全设备

4.4 敦化分局

4.4.1 网络架构改造方案

    (1) 敦化分局网络架构现状

敦化以星形拓扑为主。分局的监控网和分局办公网之间通过省局的监控和办公网连接的。长春分局办公网如果访问监控网，数据会从省局流过，从架构上来看，存在不合理情况。

(2) 敦化分局网络架构实施方案

敦化分局的监控网和分局办公网之间，采取增加防火墙的方式进行直接连接，当办公网络调取监控网图像时，直接从本地进行调取。

4.4.2 敦化分局网络IP地址规划

建议敦化分局、分局、管理处、收费站的交换机的环回口，统一IP地址段，作为设备的管理地址段，例如使用10.4.40.0/24地址段。

4.4.3 敦化分局网络路由规划

原始路由规划

OSPF区域0是网络的主干运行的区域，敦化分局所管辖的收费站都运行在ospf 区域0内。

新路由规划

规划完毕后，敦化分局运行在OSPF0.0.4.40，独立运行在一个区域内，即便于管理，也能降低网络设备的负载。

4.4.4 敦化分局协议规划

1 组播协议优化

组播的BSR规划落到省局的H3C7502上；组播中的RP，分局直接管辖收费站落在分局上，管理处管辖的收费站落在管理处上，如下图

1）、
可以在管理处和分局的交换上配置如下命令

acl number 2440