《X地铁总公司大楼网络工程设计方案》由会员分享,可在线阅读,更多相关《X地铁总公司大楼网络工程设计方案(39页珍藏版)》请在金锄头文库上搜索。
1、网络工程设计方案XX地铁总公司网络工程设计方案II目录一、项目概述3二、需求分析32.1.网络现状分析32.2.网络需求分析4三、总体设计方案63.1. 系统设计原则63.1.1 高可靠性63.1.2 高安全性63.1.3 先进性63.1.4 易管理、易维护73.1.5 可扩展性73.2系统设计概述73.2.1网络体系结构和逻辑结构设计73.2.2网络拓扑结构73.2.3网络管理系统的确定73.2.4连接Internet7四、系统方案84.1主干网设计方案84.1.1基本网络结构设计84.1.1.1基本网络物理结构84.1.1.3系统的特点94.1.2.2应用功能104.1.3备份服务(建议采
2、用)124.2.防火墙及防病毒解决方案134.2.1网络安全风险分析134.2.3安全管理134.2.4安全方案144.2.5网络设备的安全配置144.2.6对服务器访问的控制144.2.7CheckPoint FireWall-1 4.0154.2.7.1产品简介154.2.7.2状态检测机制164.2.7.3 OPSEC164.2.7.4 企业级防火墙安全管理174.2.7.5 分布的客户机/服务器结构174.5. 主干网拓扑图334.2.7.6 认证(Authentication)194.2.7.7 地址翻译(NAT)194.2.7.8 内容安全224.3. 监控和存诸234.4. 无线
3、网254.5. 设备选型25网络工程设计方案一、项目概述XX地铁总公司的新办公场所位于XX市中山五路与解放路交界处的中旅商业城第16层,面积约为3700m2,集中了地铁总公司的财务部、企业管理总部、人力资源总部等行政管理部门,大约将有230多名工作人员在此办公。XX地铁总公司将在中旅商业城16层建立计算机网络,该网络是XX地铁总公司企业管理信息系统的平台,将提供以下的服务:l 各种数据库管理系统,如财务管理系统、合同管理系统等; l 办公自动化信息管理,如公文流转、电子邮件系统等;l 国际互联网Internet接入;l 6间会议室有少量的多媒体信息传输;l 要求实现与公司其他总部位于芳村西朗的
4、运营事业总部、位于北京路广百大厦29层的资源开发总部、位于公园前地铁控制中心的建设事业总部、位于环市西路204号的地铁设计院网络互联,构筑XX地铁总公司城域网,实现全公司信息的共享;l 允许外出的工作人员通过拨号访问地铁总公司网络、互换信息。二、需求分析2.1网络现状分析l 布线工程已由XX地铁总公司委托其他公司完成。线该布工程全部采用Lucent公司的超五类设备进行施工,将达到Lucent公司十五年保用标准。l 共有三个设备间,其中一个与计算机房合在一起。三个设备间之间都有电缆直接连接,可形成环路。l 网络布线端口数达到320个,每个设备间所联信息点基本一样,大约为110个。网络操作系统将采
5、用MS Windows 2000 Server。2.2网络需求分析在人流量很高和事故率频繁的城市地铁,就要求安防系统对地铁候车厅和地铁轨道等重点控区进行实时的监控和对危险情况进行实时的报警。采用专业的、全数字化、网络化和智能化的监控方案,可提高对视频实时监控/记录/报警、事后查询水平及信息交互的能力。在视频监控系统建设的过程中,要考虑到图像的质量、网络的稳定、录像资料的有效保存等问题,北京鹏开翔云科技有限公司采用MPEG-4的压缩方式、高品质的图像质量,确保地铁安全有序的为顾客服务。由网络摄像机进行实时压缩和数字编码处理并生成数字视频流,数字视频流通过网络交换机传输至AimetisSympho
6、ny服务器以供用户检索查询或进行实时的智能化分析处理。地铁监控的另外一个重要的任务是对临时的突发事件进行准确及时的报警。比如说当有人不慎掉入地铁轨道或者在地铁轨道上行走,监视系统必须在事件发生的同一时刻报告给安防主管来采取一系列的措施。2.21监控需求分析对地铁现有监控系统的升级改造,达到网络化、实时报警监控和事后查询水平。视频前端设备需要保证4CIF的分辨率和25FPS的实时视频流。需要最多16点实时查看功能,并对有警报的点实时的进行切换。整套系统必须能够同时支持有分析功能的许可证和普通录制功能的许可证。系统中心配置每周备份,并且可以随时恢复到以前的配置。视频监控软件和分析软件必须共享同一个
7、平台。2.2.2智能视频需求分析具有实时的图像智能分析功能,对行人在地铁轨道或者其他禁区上行走的行为系统进行实时的报警。准确检测地铁列车到站,停驶和离开的行为。当火车经过地铁站的时候,系统将不需要报警。当行人在站台上行走或者停留,系统将不需要报警。利用先进的IT技术让地铁的基础网络,无线网络系统,语音系统,信息服务系统,数据中心系统,网管系统,网络安全系统,语音及网络流量计费系统等进行统一,实现智能化网络管理与应用服务,不仅能提升乘客体验,更能获得更多利润机会和更高的ROI投资回报率,提高市场核心竞争力。2.2.3 PIS系统信息化需求PIS系统作为地铁公司与乘客之间最直观的信息交互平台,所有
8、实时播放的媒体流不能出现图像马赛克、声音停顿的情况,这需要有线网络、车地无线通信网均有足够的带宽和良好的QoS保障机制,同时网络的可靠性要求也非常高,不能因为网络的中断导致PIS系统故障。为了保障列车播放图像的高清晰,目前PIS系统所需最低带宽为8M(按MPEG 2格式),考虑到车辆内部监控还需4M带宽(每列车有多个摄像头,同时只上传两路图像),平均无线网带宽应至少在12M以上,带宽是保障图像高质量的最基本要求。为了满足多辆列车同时接收赛事、股票等实时信息的转播需求,列车PIS系统均要求支持组播技术,但由于列车在快速行驶过程中车载AP与轨旁AP存在漫游切换,而车载网络却无法及时感知这个过程,会
9、依然试图从原有轨旁AP接收数据,最终导致组播数据流的中断,如何保障车辆移动过程中的组播报文不丢失,也是PIS系统成功应用的一个关键技术。由于早期地铁建设缺乏车、地无线通信技术,地铁监控只能局限于车站级别,不能对车辆内部进行监控,并以模拟技术为主,但由于模拟监控大规模部署成本高,不支持远程调阅,历史图像查询困难等多种原因,现在基于IP的数字监控系统已经成为新的发展潮流。新建地铁除了车站可采用IP监控,更可利用PIS系统车、地无线通信网的富裕带宽,构建基于IP的车辆监控系统,地铁控制中心和地铁公安系统能及时发现车辆内的安全事故隐患并提前处理,确保列车行驶安全。以IP技术为核心,车辆监控和车站监控还
10、可融合为一体化解决方案,实现调度系统、存储系统、外置显示系统等多种系统的共享和一体化管理,降低成本,提高监控效率。为了促进列车与地面间顺畅通信,提高列车安防保护水平,增加乘客了解信息渠道,并在日后获得更多的ROI投资回报,XX地铁决定加装列车安防系统和乘客信息系统。凭借思科产品的优良性能,承建单位中国铁路通信信号上海工程公司的雄厚施工力量,业主方XX地铁丰富的协调管理经验。项目施工进展十分顺利。安防系统项目搭建完备的无线宽带传输网络,使得列车无论在站台位置还是高速运行中,都可以在地面与列车之间实现清晰的数字视频流实时播放,控制中心对车厢内的情况观察,列车火灾报警信息实时上传等功能。地铁车站和控
11、制中心值班人员实现观察运行中列车乘客车厢、司机室内情况,司机能实时观察本列车乘客车厢内的情况,控制中心向运行中列车发布及时信息,实时转播数字电视节目;运行中列车的紧急状态,如火灾报警、紧急开关车门,实时上传到控制中心和车辆段车场调度中心。按照每节车厢8块,每列车共48块液晶显示屏的标准进行配置,实时播放基于IP的数字电视节目,视频源采用了广播级的MPEG-2的高清晰码流;每列车安装防暴摄像头,并将对车厢内的观察图像按照MPEG-4编码,通过Wi-Fi网络实时地上传到地铁控制中心。2.2.4 安全需求分析 网络安全需求是保护网络不受破坏,确保网络服务的可用性。对于信息网络内部安全需求,包括:l
12、能够满足信息网络内的授权用户对相关专用网络资源访问; l 能够对于非授权用户的访问进行有效控制和报警; l 能够坚决杜绝病毒和其他危险程序进入网络; l 能够对于远程访问用户进行安全管理; 加强对于整个信息网络资源和人员的安全管理与培训。根据地铁总公司的要求,这次网络工程的主要内容包括四部分:l 中旅商业城十六层XX地铁总公司计算机局域网FF1Bl 中旅商业城十六层XX地铁总公司计算机局域网防火墙及防病毒解决方案;l XX地铁总公司城域网;l 中旅商业城十六层XX地铁总公司计算机局域网国际互联网接入三、总体设计方案3.1系统设计原则3.1.1高可靠性 计算机网络系统应采用可靠性较高的产品和容错
13、较强的网络结构,以使网络具有高度的可靠性。应采取多层次的冗余备份手段和技术,保证设备在发生故障时能在最短时间内恢复,以最大程度地保证网络的正常运转。3.1.2高安全性根据建行的管理制度和网络策略制定一套完善的安全政策,采用合适的技术手段,充分保证网络安全性。3.1.3先进性 在技术上要到达当前的国际先进水平。要采用最大先进网络技术,以适应大量数据和多媒体信息的传输,既要满足目前的业务需求,又要充分考虑未来的发展,保证网络建成后3-5年不落后,选用符合国际标准的系统和产品,以保证系统具有较长的生命力和扩展能力,满足将来系统升级的要求。3.1.4易管理、易维护由于计算机网络系统规模庞大,需要网络系
14、统具有良好的可管理性,网管系统应具有监测、故障诊断、故障隔离、过滤设置等功能,以便于系统的管理和维护。同时应尽可能选取集成度高、模块化、可通用的产品,以便于管理和维护。3.1.5可扩展性网络系统应具有良好可扩展性,随着业务的增长和应用水平的提高,网络应可平滑地扩展的升级,而不需要对网络结构设备进行大的改动。3.2系统设计概述3.2.1网络体系结构和逻辑结构设计确定网络体系结构及相应的通信协议,对于系统的改造是一个十分很重要的问题。由于网络系统的改造涉及到许多部门,而这些部门有的在使用一些专用的系统,有的需要与其它专用系统相连。因此,要共享网络的资源及在网络中交换信息,就必须实现不同系统间的实体
15、通信,这需要不同系统采用同一协议.。网络体系结构的确定:骨干网络使用交换式快速以太网。本网络大量采用以太网产品,因为以太网发展最为迅速,目前拥有广泛用户和众多的产品,容易得到支持。网络的主干采用100Mb/S交换式以太网,原因如下:l 采用100Mb/s以太网交换技术,可使网络主干速率成倍增长;l 便于向千兆位以太网过渡;l 技术成熟;l 有大量的成功案例可查。3.2.2网络管理系统的确定人们往往只重视网络的静态性能,而忽视了对网络动态解决方案重要性的认识。实际上,网络管理有着极其重要的意义。通过网管软件可方便地确定网络故障点,及时解决问题;也可对网络的信息流量进行有效的控制和分流。要管理网络端口,需要网上每台设备都支持SNMP。根据本网络的特点,要求网管程序能够跨越地域对异地的网络节点进行管理。3.2.3连接Internet在与Internet 的连接方面,通
