《网络系统方案》由会员分享,可在线阅读,更多相关《网络系统方案(13页珍藏版)》请在金锄头文库上搜索。
1、计算机网络系统、无线 WIFI 系统、综合布线系统方案11通信网络系统111计算机网络系统1.1.1.1建设内容计算机网络系统是建筑智能化系统的核心系统。所有其他系统的核心调控都有赖于计 算机系统的实现。本次计算机网络的建设主要分为3部分内容:互联网、智能化网、业务 专网。计原则高性能:本项目的网络主要作为数据、视频、语音的综合承载平台,核心交换机需要提供充足 的带宽和高品质的服务质量,采用最新科技,以适应大量数据传输以及多媒体信息的传输, 在国内三到五年内保持领先水平,并具有长足的发展能力,以适应未来网络技术的发展。 如核心交换机须采用具备全分布式、线速交换能力、支持丰富的业务扩展模块等。(
2、二)高可靠性:网络系统是日常业务和各种应用系统的基础设施,应保证工作日和重点时间不间断运 行。整个网络应有足够的冗余,设备在发生故障时能以热插拔的方式在最短时间内加以修 复。可靠性还应充分考虑网络系统的健壮性,使整个网络具有一定的容错能力,减少单点 故障。(三)采用标准化产品:本项目中所选购的网络设备应符合有关国际标准以保证不同厂家网络设备之间的互 操作性和网络系统的开放性。(四)可扩展性:网络设备不仅要满足当前需要,并在扩充模块后满足可预见的未来需求。网络设计要 考虑本期网络系统应用和今后网络的发展,便于向更新技术的升级与衔接。要留有扩充余 量,包括端口数量、带宽、业务保障的升级能力。(五)
3、易管理性:网络设备应易于管理,易于维护,操作简单,易学,易用,便于进行网经各配置,发现故障。(六)需支持多媒体应用:网络设备需支持文本、语音、图形、图像及音频、视频等多种媒体信息的传输、查询 服务,具有多种基于优先队列的QOS保证,多媒体应用对服务质量有很高的要求,如带宽、 延迟等,需要网络对服务质量(QOS)有很好的支持。(七)安全性:网络系统中传输的数据和文件需具有高度的安全性,网络设备本身应有较高的安全性, 对使用的信息进行严格的权限管理,在技术提供先进的、可靠的、全面的安全方案和应急 措施,确保系统万无一失。同时应符合国家关于网络安全的标准和管理条例。互联网本项目互联网为三层网络架构,
4、现需考虑在基地项目(1期)的办公室、会议室、指 挥中心、休息室等区域的互联网接入。本次方案考虑采用双核心交换机;2台交换机之间 通过10GE端口互联进行堆叠;核心交换机与汇聚交换机采用双链路连接。具体网络拓扑图 如下:Intwrwl| 岀口丄馬行总滾网AW1交找机 POE晝康叽主悅弓L POEJStettPCf仝檢比图1.1-1大楼互联网拓扑示意图(二)智能化专网本项目大楼需新建一个智能化专网,服务于安防监控、公共广播、门禁等系统。智能 化专网内部分系统需实现移动终端通过互联网连接的远程访问和操作,因此智能化专网需 接入互联网。具体网络拓扑图如下:O阿囤交A檣JS接几 L P0交膜叽拔层接人煤
5、冷按人 交挾 tfl POEitK咚壬護入媒层按人 交換机吧F交検VL爆人咚忌柱人 K po 立换川弓弓号弓弓弓召弓(共用帀莊冋肪火聒j二期広豊交按机(幅)_一-二孫心交劇1 集群刘老图 5.5-2智能化专网拓扑示意图由于智能化专网内部分系统需实现移动终端通过互联网连接的远程操作,智能化专网 需接入互联网,为确保智能化专网内系统的安全,需新增1台防火墙与其他区域进行逻辑 隔离。(三)业务专网根据大楼的接入需求,业务专网与其他网络进行物理隔离。由于业务专网为涉密网络, 业务专网做双核心冗余,等保二级安全防护。本设计只根据应急大楼情况提出网络设备需 求和点位设计。根据目前应急大楼的情况,业务专网的
6、网络设备需求为汇聚交换机 1 台, 48口接入交换机2台。汇聚交换机和接入交换机的端口数量、交换容量、包转发率等性能 参数需完全满足网络需求。具体网络拓扑图如下::IL妇机松同捲入女挨4JI号号(四) 网络安全设计:一碾:惡隹町-主M.沁:ti.忖FB顯加二JHH卑立換机预砂本项目安全技术体系包括物理安全、网络安全、主机安全、应用安全、数据安全与备 份恢复等几个方面的,根据本项目实际情况和各系统的重要程度业务特点和不同发展水平 分类分级分阶段进行实施,通过划分不同的安全区域,实现不同强度的安全保护。(1)物理安全物理安全主要涉及的方面包括环境安全(防火、防水、防雷击等)设备和介质的防盗 窃防破
7、坏等方面。具体包括:物理位置的选择、物理访问控制、防盗窃和防破坏、防雷击、 防火、防水和防潮、防静电、温湿度控制、电力供应和电磁防护等方面。(2)网络安全网络安全主要包括:网络结构、网络边界以及网络设备自身安全等,具体包括:结构 安全、访问控制、安全审计、边界完整性检查、入侵防范、网络设备防护等七个方面。(3)主机安全主机安全主要包括身份鉴别、访问控制、安全审计、入侵防范、恶意代码防范、资源 控制等六方面。(4)应用安全应用安全主要包括身份鉴别、访问控制、安全审计、通信完整性、通信保密性、软件 容错、资源控制等几个方面。(五)具体解决方案:结合大楼的安全现状及需求,为大楼信息安全解决方案:(1
8、)防火墙在互联网、智能化网、业务专网对外网络出口处分别部署1台防火墙进行访问控制, 防止不必要的服务请求进入网络系统,减少被攻击的可能性;同时进行边界安全防护,应 对外部攻击,对数据进行全面检查和分析,实时阻断和记录网络流量中的病毒、蠕虫、木 马、间谍软件、网页篡改、注入攻击、跨站脚本攻击、DoS/DDoS攻击、漏洞扫描、异常 协议、网络钓鱼等网络攻击(web应用防火墙主要是用于Web安全防护,针对的是瞄准web 的网络攻击);并且日志实时记录网络事件,提供精准全面的事后审计。(2)上网行为管理软件在互联网部署上网行为管理设备,具有身份认证、网页过滤、访问控制、流量管理、 上网行为记录、报表统
9、计和安全防护功能,可实现对互联网访问行为的全面管理。在P2P 应用控制、防止内网泄密、防范法规风险、互联网访问记录、上网安全提供有效的管理手 段。(3)网络准入控制在互联网、业务专网部署网络准入控制是用于防止病毒和蠕虫等新兴黑客技术对企业 安全造成危害。借助网络准入控制,客户可以只允许合法的、值得信任的端点设备(例如 PC、服务器、PDA)接入网络,而不允许其它设备接入。(4)无线网络安全控制针对无线非法用户接入所采取的措施:可在无线控制器上将无线设备进行IP与MAC地址一对一绑定,建立IP-MAC地址表, 启用接入设备IP与MAC地址检查,非法接入设备会因MAC地址非法而无法接入无线网络;
10、如果是固定设备连接无线网络,可采用隐藏SSID的做法,让无线网络不被轻易发现。112无线WIFI系统1.1.2.1建设内容移动互联网时代,人们离不开手机,更离不开网络。因为方便快捷,WiFi成为现代人 上网的主要方式之一。大楼WIFI的建设是建设智慧楼宇的关键,能为大楼的工作人员、访 客提供高速、无缝漫游的无线网络,满足大楼无线安全,实现无线办公。本项目需实现大 楼一层至八层的无线WIFI覆盖。1.1 22设计原则(一)定性(1)产品方案可靠性沿用成熟的WIFI系统方案设计。(2)信号强度AP应采用国际主流的MIMO架构的高性能信号传输功能,整机最大传输速率要三 600Mbps。(3)带宽分配
11、功能无线网络需针对不同SSID、不同权限客户有分配带宽功能,以保证重要用户的移动互 联网体验应用。(4)抗干扰能力无线网络部署方案必须有无线射频频谱分析功能,可以针对每一个可用信道进行利用 率分析,如遇到干扰可以分析干扰源,并且对干扰类型进行分类判断,系统可以根据信道 利用率自动调节无线射频,或增大功率,或改变信道以避开或抑制干扰。(二)安全性(1)物理架构安全无线网络建设方案需充分考虑大楼整体的网络基础架构,部署独立的链路系统与办公 网络进行区分。(1)接入安全支持用户接入管控功能,可通过限制其手机号等措施对不良用户进行封禁。同时访问 内容必须可控,可过滤不良网站,屏蔽有安全威胁的恶意网址等
12、,避免敏感事件发生。(2)数据安全通过行为审计与管理系统,对无线客户的流量进行审计与管理,可针对单独的客户进 行应用程序控制,保证无线网络的安全整洁。(三)可管理性(1)实时监控管理功能通过无线网管设备,实现对现有的AP及无线终端进行视图化管理,热图实时监控无线 网络运行状态,并有对无线终端不能上网提供辅助诊断功能。(2)精准定位功能通过无线定位系统,利用频谱检测功能对所有WIFI无线终端等进行精准定位。例如在 无线网络受到流氓AP等无线设备干扰时,能够准确定位,并能对其非法行为采取措施。(四)应用性可以智能识别客户终端,可以按客户账号和设备属性受权访问资源;数据加密与完整性控制采用业界最强安
13、全标准,确保数据在无线局域网内传输时 的安全;能够对无线局域网设备进行统一的控制和管理;无线局域网设备的安装位置要安全、隐蔽并且不能破坏室内装修的整体效果。行23设计方案本次大楼需要实现所有楼层的室内WIFI覆盖,网络拓扑图如下:图1.1-2无线WiFi拓扑示意图本方案根据业主方使用功能部署相应AP数量。无线网络系统部署的无线AP都是支持 最新无线传输技术802.11ax协议。为建设高可靠、高性能的无线网络系统,此次室内无线AP采用POE供电,通过在每层 楼部署千兆POE交换机,为无线AP提供千兆接入的同时,还能通过以太网线对无线AP供 电。WIFI覆盖通过传统的POE交换机+AP的接入方式实
14、现,通过AC和认证平台对AP设备 和接入用户进行认证及管理。其中认证平台需新增认证服务器、认证软件、AC控制器等设 备。POE交换机均接入弱电井汇聚交换机。使用无线控制器+AP时,AP在启动后会自动通过DHCP方式获取IP地址,并自动搜寻 可关联的无线控制器,在和无线控制器建立CAPWAP隧道之后会自动从无线控制器下载配 置文件和更新软件版本。在AP的接入方面,采用智能射频管理,当某一个AP出现故障时,周围的其他AP会自 动调整功率,对该部分区域进行重新的信号覆盖,保证信号的良好覆盖。而当有非法AP进 入无线网络造成信号干扰时,智能射频管理系统可以定位出该AP的位置,以便及时加以排 除。本次无
15、线WiFi系统将统一接入IBMS智能化集成管理平台。1.1.3综合布线系统1.1.3.1建设内容本系统由业务专网、智能化专网、互联网、语音电话网4部分组成.水平线路采用六类屏蔽网线进行传输,主干线路采用2根12芯多模光缆(一主一备)。 接入点位于弱电井,核心汇聚点位于专用弱电机房。接入交换机为千兆,配备48个千兆电 口,4个千兆SFP;核心交换机配备24个10G光口,三24个千兆光口。13 2系统设计本系统采用先进的结构化布线设计理念进行设计,可传输语音、数据和视频信息,提 供各种网络通信服务,系统采用开放式星型拓扑结构,针对本项目特点划分为六个部分: 工作区、配线子系统、干线子系统、建筑群子系统、设备间、管理。互联网、智能化专网、业务专网系统均为三层网络架构,一级管理中心设在弱电机房 内,二级网络管理节点设在各楼层弱电井内。数据垂直主干采用2根12芯室内万兆多模 光纤(一主一备)。在各楼层弱电间内分别设置42U标准机柜,用于安装光纤配线架和铜缆配线架和其他 设备,连接互联网、智能化专网水平布线子系统的配线架均采用6类非屏蔽R
