大厦网络规划项目设计方案
大厦网络规划项目设计方案
一、需求分析
1.1工程项目概况
智能大厦或智能建筑物的组成统称包括三大基本要素:即楼宇自动化系统(BAS, Building Automation System)、通信自动化系统(CAS, Communication Automation System)和办公自动化系统(OAS, Office Automation System)。通常人们把它们成为3A。建筑环境是智能大厦基本组成要素的支持平台。
设计智能大厦的目的是,通过对建筑物结构、系统、服务和管理四个基本要素以及它们之间内在联系的分析,运用系统工程的观点进行优化组合(系统集成),来提供一个投资合理、舒适、安全、方便环境的建筑物。为此,智能大厦应满足两个基本要求,达到四个主要目标,实现三项服务功能。
1.1.1 两个基本要求:
1、对于大厦的管理者来说,智能大厦应当有一套挂历、控制、运行、维护的通设施,能够花较少的经费便能及时地与外界取得联系(例如消防队、医院、安全保卫机关、新闻单位等)。
2、对大厦的使用者来说,要有一个有利于提高工作效率、有利于激发人的创造性的环境。
1.1.2 四个目标:
1、能够提供高度共享的信息资源。
2、确保提高工作效率和舒适的工作环境。
3、节约管理费用,达到短期投资长期受益的目标。
4、适应管理工作的发展需要,做到具有可扩展性、可变性、适应性环境的变化和工作性质的多样化。
1.1.3 三项服务功能:
1、安全服务功能
·防盗报警;
·出入口控制;
·闭路电视监视;
·保安巡更管理;
·电梯安全与运控;
·周界防卫;
·火灾报警;
·消防;
·应急照明;
·应急呼叫。
2、舒适服务功能
·空调通风;
·供热;
·给排水;
·电力供应;
·闭路电视;
·多媒体音响;
·智能卡;
·停车场管理;
·体育、娱乐管理。
3、便捷服务功能
·办公自动化;
·通信自动化;
·计算机网络;
·结构化综合布线;
·商业服务;
·饮食业服务;
·酒店管理。
大厦在屋里商科划分为四个基本组成部分:
·结构——建筑环境结构;
·系统——智能化系统;
·服务——用户需求服务;
·管理——物业运行管理。
这四个基本组成部分缺一不可,它们既相互联系又相互依存,组成了一个完整一致的智能大厦体系。
二、方案设计的目标和原则:
网络系统在智能建筑中起到非常重要的作用,它不是简单的计算机之间的联网,而是一个复杂的系统工程,要采用系统的设计方法。
(1)实用化,先进性。从实用的观点出发来考虑网络系统的总体结构,满足系统技术要求,同时应该选用先进的符合国际标准的可以开发的系
统产品。
(2)模块化,可扩展。网络系统应该采用模块化设计,便于在网络工程中根据投资等情况的变化而加以调整,同时又是一个开放式系统,以保
证系统的扩展。
(3)工程化,可靠性。在网络系统设计过程中充分考虑工程的要求,在达到系统业务需求的前提下,确保更高的可靠性。
(4)集成化,高效性。网络系统是通信子系统、控制子系统、办公自动化子系统筹集成的基础,要体现集成化设计思想,所有子系统有机地集
成一个智能系统,保证总系统的高效益。
2.1 网络系统的设计原则
(1)充分满足当前各种信息服务的需求,同时为将来的系统扩充留有充分的余地。
(2)充分考虑与其他子系统之间的联系。
(3)统一规划,全面设计,做到有根有据,有条有理。
(4)符合国际化标准组织(ISO)提出的开放系统互联标准(OSI)和实用的TCP/IP协议系统标准。
(5)便于维护和管理。
(6)在保护实现系统需求的前提下,提高系统的系能价格比。
三、网络方案设计
3.1网络拓扑结构介绍
大型网络的设计中,我们采用层次化模型来设计网络拓扑结构。所谓“层次化”模型,就是将复杂的网络设计分成几个层次,每个层次着重于某些特定的功能,这样就能够使一个复杂的大问题变成许多简单的小问题。层次模型既能够应用于局域网的设计,也能够应用于广域网的设计。
层次化模型的好处:
在大型企业网设计中,使用层次化模型有许多好处,列举如下:
1、节省成本
在采用层次模型之后,各层次各司其职,不再在同一个平台上考虑所有的事情。层次模型模块化的特性使网络中的每一层都能够很好地利用带宽,减少了对系统资源的浪费。
2、易于理解
层次化设计使得网络结构清晰明了,可以在不同的层次实施不同难度的管理,降低了管理成本。
3、易于扩展
在网络设计中,模块化具有的特性使得网络增长时网络的复杂性能够限制在
子网中,而不会蔓延到网络的其他地方。而如果采用扁平化和网状设计,任何一个节点的变动都将对整个网络产生很大影响。
4、易于排错
层次化设计能够使网络拓扑结构分解为易于理解的子网,网络管理者能够轻易地确定网络故障的范围,从而简化了排错过程。
3.2智能大厦总体结构图
3.2.1智能大厦的局域网络具有如下特点:
1、网络规模大。一幢大厦内的网络终端数目多,有的多达几千台。
2、覆盖面适中。网络用户一般分布在几百米的范围。
3、传输速率高。众多楼层局域子网要求有大容量的数据传输支持。
4、快速反应。大厦内的客户大多书都是从事商业信息业服务,要求计算机逐级反应
迅速。
3.2.2智能大厦对网络系统的具体要求如下:
·网络结构要合理稳定,网络设备要具有高可靠性和安全性。
·整个网络的网络设备要支持统一的网络管理,便于今后的维护和扩容。
·每个楼层汇聚点要能实现多个VLAN、网段的划分,为各独立公司提供内部划分VLAN的需求。
·在大楼内部,只有经过认证的企业人员可以使用网络,避免其他非认证人员上网,保证网络安全。
·需要保证不同独立公司的用户只能访问本公司的各种业务服务器,包括远程和楼内本企业用户,未经授权的用户不得访问。
·各进驻公司的远程用户可以通过VPN方式访问本企业内部的服务器内容。
·要求独立公司内部人员可以进行相互访问,不同独立公司人员之间既不能互访又要考虑特定人员要求建立互访关系。
·进驻企业为同一集团公司,要求对有些高权限人员可以对其他企业的服务器进行访问。
·所有的网络节点都可以访问Internet,并且在访问Internet之前要经过确认,未经确认的节点不允许访问Internet。
·要求能够统计各独立公司上网使用Internet的数据总量和时间,并建立使用Internet的日志。
·要求可以方便的配置,管理所有的客户端。
·根据1层大厅和2层多功能厅人员流动的特性,实现有线和无线网络同时接入,并且要考虑无线接入的安全认证问题。
·要考虑各独立公司财务部门单独建网的要求。
·要充分考虑整体网络的安全性。
3.2.3、组网结构
经典的局域网组网模型将网络结构分为核心层、汇聚层和接入层。智能大厦的计算机网络系统通常要包含以下部分:
·核心层:核心层通常配置两台核心交换机,保证网络核心的高可靠性,如果配置一台核心交换机,则要求核心交换机配置双主控引擎和双电源。核心层通常还要承担各业务应用子系统服务器群与核心交换机的千兆连接。
·接入层:接入层交换机通常可以提供48端口或者24端口,接入层交换机通过千兆连接到核心层交换机,可以使用堆叠的方式扩展端口密度。
·Internet接入部分,采用10M或双10M光缆专线接入。
·防火墙部分,采用千兆或者百兆防火墙将内网与外网分离,采用千兆防火墙将服务器群区与核心交换机分离。
·无线网络部分,采用将无线AP接入到就近的汇聚点处点,覆盖不容易布线的宽阔场所。
·网络防病毒软件:采用企业级网络防病毒软件,确保进驻用户的计算机及服务器群的安全。
·漏洞扫描系统:用于检测网络中存在安全隐患的设备,找出系统中存在的安全漏洞,及时进行修补。
·网络认证系统:用于防止非法用户登陆到网络中,窃取网络数据
·网络管理系统:用于对全网的监控,帮助网络管理员快速准确地定位网络中出现的故障。
3.2.4智能化办公大楼计算机网络系统拓扑结构:
网络核心交换机采用华为3Com公司的一台S6506R多业务核心交换机,为保证网络的可靠性,我们在核心交换机上配置了冗余引擎和电源。引擎选用Silence III引擎,交换容量为384Gbps,包转发率为198Mpps。S6506R可以提供万兆接口板,未来可平滑升级到万兆。S6506R采用最长匹配、逐包转发的方式,在保持线速性能和低成本的基础上,革命性的解决了传统交换机的缺陷,能够有效的抗击网络“红色代码”、“冲击波”等病毒的攻击,更加适合大规模、多业务,复杂流量访问的网络。
接入交换机选用华为3Com公司的S3000系列。接入交换机放置在各楼汇聚层的弱电配线间机柜内。各汇聚层交换机采用48端口和24端口两种二层交换机,具有可管理到端口的能力。华为3Com公司的S3000系列交换机硬件能够识别、处理四到七层的应用业务流,所有端口都具有单独的数据包过滤、区分不同应用流,并根据不同的流进行不同的管理和控制,对网络中有病毒特征的计算机,可以直接封堵其端口,使有病毒的设备与网络断开,防止病毒在网络中的传播。
我们在智能大厦设置独立的数据中心。数据中心交换机使用华为3Com公司的S6502。S6502的交换引擎内置于接口板中,交换容量可达192Gbps。在S6502上配置10/100/1000M RJ45千兆电接口板,用于连接网卡为100M或1000M接口的服务器,随着服务器数量的增加,可以灵活的扩充响应的板卡,以适应各进驻公司业务的发展。为了保证数据中心的安全性,在数据中心前部署一台千兆防火墙。
Internet出口路由器选用华为3Com公司的AR4640。AR4640采用双总线结构,包转发能力可达350Kpps,如果使用增强引擎,包转发性能可提升到1Mpps。
3.2.5网络安全设计
为了保证网络系统的安全性,除了部署传统的防火墙、IDS、漏洞扫描等系统之外,对终端的接入进行控制越来越成为一种重要的安全控制手段。智能大厦的网络安全解决方案应该从多方面出手,进行立体防御。
防火墙是网络系统的核心基础防护设备,它可以对整个网络进行网络区域分割,提供基于IP地址和TCP/IP服务端口等的访问控制,防火墙的部署从以下几个方面考虑:
1、在Internet出口部署防火墙:
在整个局域网的Internet出口部署华为3Com公司的Secpath100F防火墙。
对外的服务器,如Web、Email服务器放在防火墙的DMZ区。
2、服务器区部署防火墙:
在核心交换机与服务器区交换机之间配置防火墙;服务器区防火墙部署华为3Com公司的Secpath1000F。
除了部署传统的防火墙之外,还应该对用户能否接入网络进行控制。
3、端点准入防御
利用华为3Com端点准入防御(EAD,Endpoint Admission Control)模块,从用户终端准入控制入手,整合网络接入控制与终端安全产品,通过安全客户端、安全策略服务器、网络设备以及第三方软件的联动,对接入网络的用户终端强制实施企业安全策略,严格控制终端用户的网络使用行为,可以加强用户终端的主动防御能力,大幅度提高网络安全。
EAD在用户接入网络前,通过统一管理的安全策略强制检查用户终端的安全状态,并根据对用户终端安全状态的检查结果实施接入控制策略,对不符合企业安全标准的用户进行“隔离”并强制用户进行病毒库升级、系统补丁安装等操作;在保证用户终端具备自防御能力并安全接入的前提下,通过动态分配ACL、VLAN 合理控制用户的网络权限,提升整网的安全防御能力。
EAD的应用是从信息安全角度出发,基于现有的网络环境,通过软硬件设备对网络安全进行加固,基本思想是认证-检查—隔离—加固—管理的安全闭环管理。
·认证:对接入网络的用户身份进行分析,根据用户身份动态分配用户使用网络的权限;
·检查:根据需求制定安全策略和防病毒策略,根据安全策略对接入网络的用户终端进行安全检查和病毒扫描;
·隔离:对有安全问题和安全隐患的用户终端进行隔离,以免其感染网络域中的其它用户终端和整个网络;
·加固:帮助有安全问题和安全隐患的用户终端进行安全修补和加固,以便其能够正常进入网络,使用网络资源;
·管理:提供对有安全问题的终端定位统计功能,提供用户日志查询功能,提供安全策略编辑、修改功能等。通过制定新的安全策略,持续保障网络的安全。
EAD系统的应用模型如下:
EAD方案可以依据角色对网络接入用户实施不同的安全检查策略并授予不
同的网络访问权限。其原理性的流程如下: