大厦网络规划项目设计方案文档格式.docx
- 文档编号:19293277
- 上传时间:2023-01-05
- 格式:DOCX
- 页数:25
- 大小:757.55KB
大厦网络规划项目设计方案文档格式.docx
《大厦网络规划项目设计方案文档格式.docx》由会员分享,可在线阅读,更多相关《大厦网络规划项目设计方案文档格式.docx(25页珍藏版)》请在冰豆网上搜索。
供热;
给排水;
电力供应;
闭路电视;
多媒体音响;
智能卡;
停车场管理;
体育、娱乐管理。
3、便捷服务功能
办公自动化;
通信自动化;
计算机网络;
结构化综合布线;
商业服务;
饮食业服务;
酒店管理。
大厦在屋里商科划分为四个基本组成部分:
结构——建筑环境结构;
系统——智能化系统;
服务——用户需求服务;
管理——物业运行管理。
这四个基本组成部分缺一不可,它们既相互联系又相互依存,组成了一个完整一致的智能大厦体系。
二、方案设计的目标和原则:
网络系统在智能建筑中起到非常重要的作用,它不是简单的计算机之间的联网,而是一个复杂的系统工程,要采用系统的设计方法。
(1)实用化,先进性。
从实用的观点出发来考虑网络系统的总体结构,满足系统技术要求,同时应该选用先进的符合国际标准的可以开发的系统产品。
(2)模块化,可扩展。
网络系统应该采用模块化设计,便于在网络工程中根据投资等情况的变化而加以调整,同时又是一个开放式系统,以保证系统的扩展。
(3)工程化,可靠性。
在网络系统设计过程中充分考虑工程的要求,在达到系统业务需求的前提下,确保更高的可靠性。
(4)集成化,高效性。
网络系统是通信子系统、控制子系统、办公自动化子系统筹集成的基础,要体现集成化设计思想,所有子系统有机地集成一个智能系统,保证总系统的高效益。
2.1网络系统的设计原则
(1)充分满足当前各种信息服务的需求,同时为将来的系统扩充留有充分的余地。
(2)充分考虑与其他子系统之间的联系。
(3)统一规划,全面设计,做到有根有据,有条有理。
(4)符合国际化标准组织(ISO)提出的开放系统互联标准(OSI)和实用的TCP/IP协议系统标准。
(5)便于维护和管理。
(6)在保护实现系统需求的前提下,提高系统的系能价格比。
三、网络方案设计
3.1网络拓扑结构介绍
大型网络的设计中,我们采用层次化模型来设计网络拓扑结构。
所谓“层次化”模型,就是将复杂的网络设计分成几个层次,每个层次着重于某些特定的功能,这样就能够使一个复杂的大问题变成许多简单的小问题。
层次模型既能够应用于局域网的设计,也能够应用于广域网的设计。
层次化模型的好处:
在大型企业网设计中,使用层次化模型有许多好处,列举如下:
1、节省成本
在采用层次模型之后,各层次各司其职,不再在同一个平台上考虑所有的事情。
层次模型模块化的特性使网络中的每一层都能够很好地利用带宽,减少了对系统资源的浪费。
2、易于理解
层次化设计使得网络结构清晰明了,可以在不同的层次实施不同难度的管理,降低了管理成本。
3、易于扩展
在网络设计中,模块化具有的特性使得网络增长时网络的复杂性能够限制在
子网中,而不会蔓延到网络的其他地方。
而如果采用扁平化和网状设计,任何一个节点的变动都将对整个网络产生很大影响。
4、易于排错
层次化设计能够使网络拓扑结构分解为易于理解的子网,网络管理者能够轻易地确定网络故障的围,从而简化了排错过程。
3.2智能大厦总体结构图
3.3
3.2.1智能大厦的局域网络具有如下特点:
1、网络规模大。
一幢大厦的网络终端数目多,有的多达几千台。
2、覆盖面适中。
网络用户一般分布在几百米的围。
3、传输速率高。
众多楼层局域子网要求有大容量的数据传输支持。
4、快速反应。
大厦的客户大多书都是从事商业信息业服务,要求计算机逐级反应迅速。
3.2.2智能大厦对网络系统的具体要求如下
网络结构要合理稳定,网络设备要具有高可靠性和安全性。
整个网络的网络设备要支持统一的网络管理,便于今后的维护和扩容。
每个楼层汇聚点要能实现多个VLAN、网段的划分,为各独立公司提供部划分VLAN的需求。
在大楼部,只有经过认证的企业人员可以使用网络,避免其他非认证人员上网,保证网络安全。
需要保证不同独立公司的用户只能访问本公司的各种业务服务器,包括远程和楼本企业用户,XX的用户不得访问。
各进驻公司的远程用户可以通过VPN方式访问本企业部的服务器容。
要求独立公司部人员可以进行相互访问,不同独立公司人员之间既不能互访又要考虑特定人员要求建立互访关系。
进驻企业为同一集团公司,要求对有些高权限人员可以对其他企业的服务器进行访问。
所有的网络节点都可以访问Internet,并且在访问Internet之前要经过确认,未经确认的节点不允许访问Internet。
要求能够统计各独立公司上网使用Internet的数据总量和时间,并建立使用Internet的日志。
要求可以方便的配置,管理所有的客户端。
根据1层大厅和2层多功能厅人员流动的特性,实现有线和无线网络同时接入,并且要考虑无线接入的安全认证问题。
要考虑各独立公司财务部门单独建网的要求。
要充分考虑整体网络的安全性。
3.2.3、组网结构
经典的局域网组网模型将网络结构分为核心层、汇聚层和接入层。
智能大厦的计算机网络系统通常要包含以下部分:
核心层:
核心层通常配置两台核心交换机,保证网络核心的高可靠性,如果配置一台核心交换机,则要求核心交换机配置双主控引擎和双电源。
核心层通常还要承担各业务应用子系统服务器群与核心交换机的千兆连接。
接入层:
接入层交换机通常可以提供48端口或者24端口,接入层交换机通过千兆连接到核心层交换机,可以使用堆叠的方式扩展端口密度。
Internet接入部分,采用10M或双10M光缆专线接入。
防火墙部分,采用千兆或者百兆防火墙将网与外网分离,采用千兆防火墙将服务器群区与核心交换机分离。
无线网络部分,采用将无线AP接入到就近的汇聚点处点,覆盖不容易布线的宽阔场所。
网络防病毒软件:
采用企业级网络防病毒软件,确保进驻用户的计算机及服务器群的安全。
漏洞扫描系统:
用于检测网络中存在安全隐患的设备,找出系统中存在的安全漏洞,及时进行修补。
网络认证系统:
用于防止非法用户登陆到网络中,窃取网络数据
网络管理系统:
用于对全网的监控,帮助网络管理员快速准确地定位网络中出现的故障。
3.2.4智能化办公大楼计算机网络系统拓扑结构:
网络核心交换机采用华为3Com公司的一台S6506R多业务核心交换机,为保证网络的可靠性,我们在核心交换机上配置了冗余引擎和电源。
引擎选用SilenceIII引擎,交换容量为384Gbps,包转发率为198Mpps。
S6506R可以提供万兆接口板,未来可平滑升级到万兆。
S6506R采用最长匹配、逐包转发的方式,在保持线速性能和低成本的基础上,革命性的解决了传统交换机的缺陷,能够有效的抗击网络“红色代码”、“冲击波”等病毒的攻击,更加适合大规模、多业务,复杂流量访问的网络。
接入交换机选用华为3Com公司的S3000系列。
接入交换机放置在各楼汇聚层的弱电配线间机柜。
各汇聚层交换机采用48端口和24端口两种二层交换机,具有可管理到端口的能力。
华为3Com公司的S3000系列交换机硬件能够识别、处理四到七层的应用业务流,所有端口都具有单独的数据包过滤、区分不同应用流,并根据不同的流进行不同的管理和控制,对网络中有病毒特征的计算机,可以直接封堵其端口,使有病毒的设备与网络断开,防止病毒在网络中的传播。
我们在智能大厦设置独立的数据中心。
数据中心交换机使用华为3Com公司
的S6502。
S6502的交换引擎置于接口板中,交换容量可达192Gbps。
在S6502上配置10/100/1000MRJ45千兆电接口板,用于连接网卡为100M或1000M接口的服务器,随着服务器数量的增加,可以灵活的扩充响应的板卡,以适应各进驻公司业务的发展。
为了保证数据中心的安全性,在数据中心前部署一台千兆防火
Internet出口路由器选用华为3Com公司的AR4640。
AR4640采用双总线结构,包转发能力可达350Kpps,如果使用增强引擎,包转发性能可提升到1Mpps。
3.2.5网络安全设计
为了保证网络系统的安全性,除了部署传统的防火墙、IDS、漏洞扫描等系统之外,对终端的接入进行控制越来越成为一种重要的安全控制手段。
智能大厦的网络安全解决方案应该从多方面出手,进行立体防御。
防火墙是网络系统的核心基础防护设备,它可以对整个网络进行网络区域分割,提供基于IP地址和TCP/IP服务端口等的访问控制,防火墙的部署从以下几个方面考虑:
1、在Internet出口部署防火墙:
在整个局域网的Internet出口部署华为3Com公司的Secpath100F防火墙对外的服务器,如Web、Email服务器放在防火墙的DMZ区。
2、服务器区部署防火墙:
在核心交换机与服务器区交换机之间配置防火墙;
服务器区防火墙部署华为3Com公司的Secpath1000F。
除了部署传统的防火墙之外,还应该对用户能否接入网络进行控制
3、端点准入防御
利用华为3Com端点准入防御(EAD,EndpointAdmissionControl)模块,从用户终端准入控制入手,整合网络接入控制与终端安全产品,通过安全客户端、安全策略服务器、网络设备以及第三方软件的联动,对接入网络的用户终端强制实施企业安全策略,严格控制终端用户的网络使用行为,可以加强用户终端的主动防御能力,大幅度提高网络安全。
EAD在用户接入网络前,通过统一管理的安全策略强制检查用户终端的安全状态,并根据对用户终端安全状态的检查结果实施接入控制策略,对不符合企业安全标准的用户进行“隔离”并强制用户进行病毒库升级、系统补丁安装等操作;
在保证用户终端具备自防御能力并安全接入的前提下,通过动态分配ACL、VLAN
合理控制用户的网络权限,提升整网的安全防御能力。
EAD的应用是从信息安全角度出发,基于现有的网络环境,通过软硬件设备对网络安全进行加固,基本思想是认证-检查—隔离—加固—管理的安全闭环管理。
认证:
对接入网络的用户身份进行分析,根据用户身份动态分配用户使用网络的权限;
检查:
根据需求制定安全策略和防病毒策略,根据安全策略对接入网络的用户终端进行安全检查和病毒扫描;
隔离:
对有安全问题和安全隐患的用户终端进行隔离,以免其感染网络域中的其它用户终端和整个网络;
加固:
帮助有安全问题和安全隐患的用户终端进行安全修补和加固,以便其能够正常进入网络,使用网络资源;
管理:
提供对有安全问题的终端定位统计功能,提供用户日志查询功能,提供安全策略编辑、修改功能等。
通过制定新的安全策略,持续保障网络的安全。
EAD系统的应用模型如下:
EAD方案可以依据角色对网络接入用户实施不同的安全检查策略并授予不
同的网络访问权限。
其原理性的流程如下:
1.用户上网前必须首先进行身份认证,确认是合法用户后,安全客户端还要检测病毒软件和补丁安装情况,上报CAM。
S
2.CAMS检测补丁安装、病毒库版本等是否合格,如果合格进入步骤7,如
果不合格。
3.CAMS通知接入设备(S30/50系列或其他EAD使能的交换机),将该用户的访问权限限制到隔离区。
此时,用户只能访问补丁服务器、病毒服务器等安全资源,因此不会受到外部病毒和攻击的威胁。
4.安全客户端调通知用户进行补丁和病毒库的升级操作。
5.用户升级完成后,可重新进行安全认证。
如果合格则解除隔离,进入步骤7。
6.如果用户补丁升级不成功,用户仍然无法访问其他网络资源,回到步骤
4
7.用户可以正常访问其他授权(ACL、VLAN)的网络资源。
EAD系统的应用具有有以下特点:
严格的身份认证
支持用户与设备IP地址、接入端口、VLAN、用户IP地址和MAC地址等硬件信息的绑定认证,增强用户认证的安全性,防止账号盗用和非法接入。
可以与Windows域管理器、第三方系统(必须支持LDAP协议)的统一认证,避免用户记忆多个用户名和密码。
完备的安全评估
EAD可以帮助管理员加强对终端用户的管理,集中部署终端安全策略。
过对终端安全状态进行评估,使得只有符合企业安全标准的终端才能准许访问网络,确保企业安全策略的统一。
“危险”用户隔离
系统补丁、病毒库版本不及时更新或已感染病毒的用户终端,可以被限制访问权限,只能访问病毒服务器、补丁服务器等用于系统修复的网络资源。
用户上网过程中,如果终端发生感染病毒等安全事件,EAD系统可实时隔离该“危险”终端。
基于角色的服务
EAD可基于终端用户的角色,向安全客户端下发系统配置的接入控制策略,按照用户角色权限规用户的网络使用行为。
终端用户的ACL访问策略、动态VLAN、是否禁止使用代理、是否禁止使用双网卡以及病毒监控策略等安全措施均可由管理员统一管理和实施。
3.2.6移动办公解决方案
我们在Internet出口部署了防火墙,所有未经许可的用户是无法通过Internet访问到公司网的。
但是,在很多情况下,出差在外地的员工、或者在家办公的员工都需要通过Internet访问公司部资源,如何保证访问的安全性呢?
我们设计采用IPsecVPN的方式保证访问的安全性。
在本应用方案中,采用的华为3Com的出口路由器AR4640和出口防火墙Secpath100F均支持IPsecVPN功能,可以作为移动办公用户的VPN接入网关。
如果使用AR4640作为VPN网关,则AR4640的外网口必须使用有效IP地址。
如果使用Secpath100F作为VPN接入网关,则Secpath100F的外网口必须使用有效IP地址。
为了保证AR4640和Secpath100F都能具备比较好的性能,我们建议将VPN网关功能和NAT功能分开,建议使用Secpath100F作为VPN接入网关,使用AR4640作为NAT设备。
如上图所示,移动办公(出差)员工首先连接到Internet,然后通过客户端软件,向VPN网关(AR4640或者Secpath100F)发起连接请求,VPN网关接受用户的请求后,将请求转交给认证服务器,进行基于用户身份的认证;
认证不通过,将请求拒绝;
认证通过,vpn网关将与移动用户创建IPsecVPN隧道,保证重要信息在internet的传输过程中做到私密性。
这样,出差员工就可以通过internet安全的访问公司网资源。
3.2.7、方案特点
在本网络建设应用方案中,设备选型是以国排名前三名的设备厂家为招标对象,降低了设备采购成本,实现了高档交换机作为核心交换机,建立以千兆为主干的先进的以太交换网络。
1、高性能和可靠性
核心交换机采用双交换引擎和冗余电源方式,替代双机热备份方式,减少了网络总体投资,同时确保了交换机工作的可靠性。
接入交换机千兆光纤上联到核心交换机,满足了网络中数据、语音、视频传输时的主干带宽要求。
服务器区交换机采用插槽式可扩充的三层百兆/千兆自适应交换机,可以针对服务器的数量灵活地扩充板卡,达到各进驻公司应用的要求。
2、安全性
先进的安全性:
所选接入交换机端口采用了ACL技术,保证了对接入端口的控制。
通过使用硬件防火墙,实现网络的安全隔离。
通过部署华为3Com公司的EAD解决方案,确保只有合法用户才能接入到网络中来,从而保证接入用户的安全性。
通过网络防病毒软件,对网络中服务器提供防病毒保护。
使用漏洞扫描设备,对网络中存在安全漏洞的设备进行安全提示,预防病毒对存在漏洞的设备进行攻击。
四、智能大厦的自动化管理:
智能大厦的自动化管理主要包括三方面胎:
办公自动化管理,通信自动化管理,楼宇自动化管理。
4.1、办公自动化系统
办公自动化系统可以使办公人员利用现代化科学技术的最新成果,借助先进的办公设备,实现办公活动科学化、自动化。
目的是最大限度地提高办公效率和改进办公室质量,缩短办公周期,减少或避免各种差错,提高管理和决策的科学的水平。
智能大厦办公自动化系统与企事业单位的办公自动化系统不完全相同,前者要求系统的设计目标简单、实用、方便、安全。
在客户、服务器方式下,通过局域网络互联能迅速的实施大厦的管理职能。
智能大厦的办公自动化系统的主要组成部分如下:
1、人事、财务类
人事档案管理系统
建立人事台账,对人事情况进行动态管理。
财务管理系统
建立财务账目,对财务账目数据进行复核、分类、统计,及时提供年、月、人员、成本费、盈亏情况,以及提供银行账务往来和客户账务往来的情况。
固定资产管理系统
工资支付管理系统
2、领导办公类
公文管理系统
领导要事管理安排系统
文档管理系统
总经理查询系统
本行业国外商情管理系统
重要新闻
3、管理类
酒店管理系统
大厦大事记系统
客房管理系统
停车场管理系统
大厦运行管理系统
4、商场类
商场POS管理系统
商品供应管理系统
商品合同管理系统
商品库存管理系统
餐厅、酒吧管理系统
舞厅、游泳、健身房管理系统
5、公共服务类
顾客综合服务系统
民航班机时刻表管理
火车时刻表管理
汽车时刻表管理
邮政编码管理
管理
游览观光服务系统
市公交车索引
公园导游
名胜古迹导游
购物导游
音乐、广播管理系统
电子布告管理系统
通过上述五大类服务类别的系统管理可以提高大厦管理功能和经济效益。
4.2、通讯自动化系统
通讯自动化系统是智能大厦的“中枢神经”,它包括系统、计算机系统、监控报警系统、闭路电视监视系统、网络管理系统等,这些系统集成为一体化的综合信息网。
智能大厦通信自动化系统的指标是:
1、综合BA、CA、OA、MA(MaintenanceAutomation)、FA的通信需求,统一考虑通信网络的设计与施工。
2、计算机通信的主干道速率为100Mbps以上,工作区应确保10Mbps或10Mbps以上。
3、计算机网络的拓扑结构可为星型结构
4.2.1、标准化和规化
选择符合工业标准或事实工业标准的网络通信协议、操作系统、网管平台。
系统软件、网络通信介质、网络布线、连接件及布线所用的材料、器件、布线施工过程也须遵守国际上通用的网络工程规及国家、建筑、电气工程实施标准、只有采用标准化、规化设计,使得系统具有开放性,才能保证用户在系统上进行有效的开发和使用,并为以后的发展提供一个良好环境。
4..2.3、先进性与成熟性
为了确保整个通信网络系统结构和楼宇管理系统结构的技术先进性、可靠性,应选择合理、实用、便于扩展与升级的网络拓扑和技术先进、由信誉保证并得到广大用户认可的厂家产品、
4.2.4安全性和可靠性
楼宇自动化管理、通信网络和办公自动化是一个复杂的综合系统,需要在软、硬件两个方面采取措施,以保证整个系统安全可靠地运行。
首先要保证作为基础的结构化综合布线系统的安全与可靠。
从结构化综合布线系统方案设计、材料与器材的选择到工程实施各个阶段都必须考虑到所有影响整个系统安全性、可靠性的各种因素。
结构化综合布线施工完成后,必须严格按照标准进行有关参数的测试。
软件方面要案中案系统类型、数据类型加密,设置权限,以实现系统的安全性。
4.2.5可管理性和可维护性
楼宇自动化管理、计算机网络和办公自动化是一个比较复杂的系统。
在设计组建时,必须采用先进的、标准的、用户界面良好的管理软件,合理的设备布局,做到走线规、标记清楚、文档齐全,以便对整个系统提供可管理性和可维护性
4.2.6灵活性和可扩充性
为了保证用户的已有投资,以及用户不断增长的业务需求,整个系统必须又灵活的结构,并留有合理的扩充余地,以便用户根据需要进行适当的变动与扩充。
4.2.7实用性和可行性
综合考虑系统需求和资金投入,方案设计应采用成熟技术,保证技术可行性。
4.2.8优化性能价格比
考虑到系统性能、功能以及在可预见期间不是其先进性,应尽量使得整个系统所需投资合理,从而构成一个性能价格比优化的系统。
4.2.9开放性与兼容性
采用支持和符合标准的产品,使系统具有良好的兼容性,这有利于设备、器材的选型,便于施工、维护和降低成本。
4..2.10标准化和规化
采用与技术发展潮流相吻合的产品和技术,保证前期工程与后期投资的亲和性,使得能构想今后的1000兆以太网或ATM技术平稳过渡,节省用户投资。
4.3、楼宇自动化系统
楼宇自动化控制系统一般可分为三种类型:
即基本型建筑自动化控制系统、综合型建筑自动化控制系统、开放型建筑物自动化控制系统。
4.1.3.1基本型建筑物自动化系统
基于基本型的BAS可以配置成文本显示中央操作站,也可以配置成全功能化的图形终端。
它在WindouwsNT环境下操作,局域网LAN可以为以太网或令牌环网,在一个多建筑物的校园,可以配置多个分布式工作站。
基本型BAS是一个独特的“插上就运行”的系统。
它可以不需要
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 大厦 网络 规划 项目 设计方案