弱电智能化技术建议书Word格式.docx
《弱电智能化技术建议书Word格式.docx》由会员分享,可在线阅读,更多相关《弱电智能化技术建议书Word格式.docx(64页珍藏版)》请在冰点文库上搜索。
5、监控专网;
6、无线覆盖网
整体综合布线系统有如下设计要点:
1、数据与语音水平布线均采用六类非屏蔽UTP,便于信息功能的互换;
2、艺术家工作室1,2号楼承租楼层采用CP集中箱,CP箱至区域终端由承租方入驻后自行接入;
3、艺术家工作室1,2号楼承租楼层及演员公寓大堂配置无线覆盖网;
3、商业中心采用在每分配线间预留12芯多模光缆和大对数电缆方式,分配线间至区域终端由承租方入驻后物业配合接入;
4、语音主干采用三类大对数电缆;
5、数据传输系统主干,演员公寓选用室内多模6芯光缆,艺术家工作室及商业中心采用室内多模12芯光缆,其中演员公寓与商业中心采用千兆主干,艺术家工作室采用万兆主干;
6、商业中心1层3个分配线间,2层4个分配线间,3层1个分配线间;
7、艺术家工作室1号楼二层以上每层1个分配线间;
艺术家工作室2号楼每层3个分配线间;
8、演员公寓两侧由于信息传输距离较短,每3层共用一个分配线间;
9、地下1层,演员公寓、商业中心及艺术家工作室均设置1个总配线间,总配线间汇聚至电信模块局机房,数据传输线缆选用室内多模万兆24芯光缆;
10、地下1层设置弱电进线间,接入室外园区弱电线缆,设置电信运营商机房,接入电信运营商光缆;
11、6套网之间采用物理隔离的方式,即配线架完全分开,平台数据汇联在地下一层实施;
语音部分则单独配置。
1.3.1光缆传输主干子系统
综合办公大楼主机房(FD)连接到各建筑物楼层配线间(FD)采用万兆光缆,支持距离达到300米。
所有主干均采用低烟无卤阻燃(LSZH)光缆。
光纤配线架采用机架式配线架,2U的空间可容纳12-48芯光纤,耦合器与机架可折分,机架可兼容SC、FC、LC或各厂商自主研发的耦合器,并在机架前应配备一个有机玻璃前盖,在保护光纤跳线的同时,便于发现里面跳线的完整性,并具有耦合器填空条,保证尘不会进入配线架内,污染到未使用的接口。
室内语音主干采用三类大对数非屏蔽UTP双绞线铜缆。
楼层配线间通过三类UTP双绞线与办公楼地下一层的主机房相连通,并为整栋楼的语音通讯提供传输通道。
语音点配置铜缆的线对数须具有30%的预留。
除必须符合对所有产品的要求的标准外,还必须符合EN50167,EN50168及EIA/TIA568B对三类线缆的其他技术要求,以满足中速网络应用的需求。
1.3.2管理间子系统
楼层配线间中数据水平线端使用24口角形模块式配线架;
语音水平线采用卡接式110配线架;
光纤接续箱必须采用机架式的,光纤采用熔接方式,要求采用LC头;
每根光缆所有纤芯都要做好熔接;
所有的配线架需要配置一一对应的理线架,并应预留5-10%的余量,以供今后扩展。
楼层配线架的分布在保证系统连接可靠、设备管理、维护便利的前提下,还应考虑系统的经济性。
要求楼层配线架维护方便,对任何一根线缆的维护均不得影响其它线缆的正常工作。
1.3.3设备间子系统
主配线间配线架采用模块化方式管理主干铜缆。
语音主配线架要求采用110型类配线架或密集型通讯模块配线架管理,适配条采用4对或25对连接条,110配线架为19英寸机架安装,并配有足够的双芯快接式语音跳线及相应的跳线过线槽。
光纤采用光纤机柜式配线架,并配有足够的光纤耦合器,及制造商原厂光纤跳线。
此外,应提交设备间的规划建议及设备安装相关图纸。
1.3.4数据/语音水平子系统
水平布线是整个布线系统的主要部分,它将干线子系统线路延伸到用户工作区。
根据TIA/EIA-568-B的水平线独立应用原则,水平子系统采用符合EIA/TIA568-B等国际标准拟定的六类UTP铜缆指标值;
铜缆信息点为全六类配置,具有较高的性能价格比,既考虑到经济性又兼顾到将来的网络发展需求。
每个信息点能够灵活应用,可随时转换接插电话、微机或数据终端,并可随着用户的进一步应用需求,支持相应同一厂家适配器或转换设备。
数据线缆需满足智能卡、视频保安监控(CCTV),宽带视频信号的有线电视(CATV),以及多媒体会议电视等系统的传输应用。
除必须符合对所有产品要求的标准外,必须符合EMC标准的电磁兼容性要求。
1.3.5工作区子系统
采用六类信息插座(CAT6),能够满足高速数据及语音信号的传输,传输参数可测试到250MHz。
信息模块应采用45度(斜角)安装方式,信息模块采用不同的颜色用以区分语音信息点及数据信息点。
2、计算机网络系统
2.1概述
信息化是我国产业优化升级和实现工业化、现代化的关键环节,积极运用现代化科技手段,特别是先进信息技术,加快企业信息化进程,建立高效的电子平台,是增加企业竞争力和信息化发展的迫切要求,本次网络建设的总体目标是:
一、建立高速、高效的网络平台,满足大数据量传输和快速业务实现的需求;
二、建立高安全的网络平台,保证业务数据和管理系统等多层次的安全保障;
三、建立易维护的网络管理平台,实现对设备和业务的全方位管理;
四、建立易扩展的网络平台,为综合网络系统提供持续发展保障;
五、建立面向多业务的网络平台,可方便实现目前和今后多业务的方便部署;
六、建立规范化、标准化的网络平台,实现不同厂家设备的无缝互联;
2.2设计原则
进行酒店楼网络设计时,系统总体设计应遵循原则:
实用性原则:
网络建设将以满足现行需求为基础,在节省投资的同时,充分考虑发展的需要来确定系统规模;
尤其考虑到今后网络的扩展。
安全性原则:
网络平台服务于楼内酒店需要,对安全级别要求很高。
系统应能提供网络层的安全手段配合整体系统的安全建设,防止系统外部成员的非法侵入以及操作人员的越级操作,保护网络建设者的合法利益。
系统应具有对主要环节的监视和控制功能,严防非法用户的越权操作。
做好系统内权限的分级管理,并且应使网络通信系统具有较强的容错和故障恢复能力。
高可用性原则:
具有较高的可靠性和可用性前提下,保证业务系统的正常运行。
网络设备及设计具备在线故障恢复能力,关键设备、线路能做到实时备份和自动故障切换。
网络系统具有强大的容错功能以确保各种应用的正常运行,在网络设计上采用网络级备份或线路及设备的冗余配置。
没有单故障点,线路之间相关系数最小。
规范性原则:
系统设计所采用的技术和设备应符合国际标准、国家标准和业界标准,为系统的扩展升级、与其他系统的互联提供良好的基础。
开放性和标准化原则:
在设计时,要求提供开放性好、标准化程度高的网络设备和网络协议;
设备的各种接口满足开放和标准化原则。
可扩充和扩展化原则:
所有系统设备不但满足当前需要,并在扩充模块后满足可预见将来需求,如带宽和设备的扩展,应用的扩展和酒店地点的扩展等。
保证建设完成后的系统在向新的技术升级时,能保护现有的投资。
在设计上应注重兼容性、连续性,
依据标准化和模块化的设计思想,不仅在体系结构上保持很大的开放性,而且同时能够提供多种灵活可变的接口,使系统今后的扩展非常方便,保护系统的投资。
可管理性原则:
整个系统的设备应易于管理,易于维护,易学,易用,便于进行系统配置,在设备、安全性、数据流量、性能等方面很好的监视和控制,远程管理和故障诊断。
2.3整体设计
网络整体设计为三层架构:
核心层、汇聚层、接入层。
各个层次设备互联均采用千兆光纤互联,接入层通过千兆网线接口提供千兆接入功能,并通过无线AP设备提供无线网络接入服务,每个楼层部署1台POE接入交换机,为AP设备进行以太网供电,免去部署电源的繁琐工作,并且方便维护。
网络出口部分作为网络的核心区域非常重要。
核心网络一旦出现问题,可能会影响整网的业务。
所以为了保证网络的高可靠性,核心设备和汇聚设备均采用双机热备方式,设备之间采用冗余链路互联,消除单点故障,保障网络的不间断运行。
在核心交换机上行链路中,部署上网行为管理设备,可方便管理员对接入用户进行灵活查看和灵活控制。
在网络出口部署防火墙和VPN设备,方便其他分支机构以及个人远程接入公司内网。
在网络核心交换机侧挂网管服务器,用华为eSight网管软件对网络设备进行专业的管理,方便了管理员的工作量,也提高了网络维护人员的工作效率,增强网络的质量。
本方案部署了eSight策略管理组件,可方便对接入用户进行portal认证,可配合TSM等相关系统共同实现BYOD解决方案。
2.3.1有线网络整体设计
核心交换
汇聚层交换
接入层交换
网络的高速交换主干,整个网络的关键。
核心层应该具有如下几个特性:
可靠性、高效性、冗余性、容错性、可管理性、适应性、低延时性等。
是网络接入层和核心层的“中介”,就是在工作站接入核心层前先做汇聚,以减轻核心层设备的负荷。
向本地网段提供工作站接入。
减少同一网段的工作站数量,能够向工作组提供高速带宽。
两台核心交换设备
单台或两台交换机
固定端口配置交换机
核心交换机关键部件采用冗余配置(电源、控制引擎等)
关键部件冗余(电源、引擎等)
可能的情况下配置电源冗余
主干采用10GB光纤模块
采用10GB光纤接口,用于上联和下联
配置双路10GB上联光纤接口
配置10/100/100M以太网电接口模块
通常不需要配置电口模块
例如Cisco35XX系列,29XX系列交换机
核心设备通过双链路连接至核心交换机
例如Cisco6500、Cisco4500系列交换机
交换机电接口应支持POE功能(RJ45)
其他设备
网络中应配置相应的安全设备,如路由器、审计网关、防火墙、VPN、IDS、防病毒及应用服务器等
2.3.2网络整体设计图:
2.3.3网络拓扑图
2.3.4核心层设计
核心层采用双核心架构,规划为两台核心交换机,两台核心设备通过两条千兆光纤互联,互为备份,由此可达到设备级高可靠性。
核心交换机配置双引擎、双电源冗余结构,可有效避免因模块故障所造成的业务中断。
核心交换机配置千兆光接口,为汇聚设备以及无线AC设备提供光纤接入;
配置千兆电接口,为服务器、网管软件等设备提供网络接入。
本方案核心交换机选型为华为S7706,配置双主控板,双交流电源基础模块;
配置48端口电接口板和24端口光接口板,为汇聚层交换机、无线控制器AC以及服务器等设备提供接入。
2.3.5汇聚层设计
汇聚层设备采用华为全光口交换机,为接入交换机提供千兆光纤接入;
汇聚层交换机上行为千兆光接口,双链路上联核心交换机,为网络提供链路级高可靠性,避免单链路故障对业务的影响。
2.3.6接入层设计
接入层交换机采用上行千兆光接口,下行千兆电接口设备;
通过光接口单链路上联汇聚层设备,并为终端提供千兆接入。
结合业界主流设备选型经验和用户的需求考虑,建议汇聚层、接入层设备均可考虑采用华为S5700系列交换机。
S5700支持BFD链路快速检测功能,能为OSPF、ISIS、VRRP、PIM等协议提供毫秒级检测机制,提高网络可靠性。
S5700遵循IEEE802.3ah和802.1ag提供点到点以太网故障管理功能,可以用于检测用户侧最后一公里以太网直连链路上的故障。
S5700支持自动配置、即插即用、USB开局、自动批量远程升级等功能,便于部署升级和业务发放,简化后续的管理和维护性能。
从而大大降低了维护成本。
S5700支持SNMPV1/V2/V3,CLI命令行、Web网管、TELNET等多样化的管理和维护方式,设备管理更加灵活。
支持NTP、SSHv2.0、TACACS+、RMON、多日志主机、基于端口的流量统计,支持NQA网络质量分析,有利于进一步作好网络规划和改造。
2.3.7交换式网络架构
网络采用交换式设计,可以按照每业务区域一个虚拟局域网,在核心设备上划分VLAN,局域网内交换机均运行GVRP协议,可以完成VLAN注册工作;
在核心节点对局域网内的VLAN进行统一管理。
可以按照每楼层来划分VLAN,也可以按照每楼层用户类别划分VLAN;
按照用户需要可以对VLAN的划分进行灵活的控制。
划分VLAN可以减小局域网的广播域,增加带宽的利用率;
同时满足终端用户与外界的通信。
华为设备支持MUX-VLAN,可支持主VLAN与从VLAN之间,不同从VLAN之间的互通,同时可以控制隔离型从VLAN之间的数据隔离;
此时可以灵活控制各个逻辑网络之间的数据通信,和不同类型用户的通信。
华为设备支持sup-VLAN,此协议可以支持在sub-VLAN上不配置网关IP地址,只在sup-VLAN上配置网关地址,可在一定程度上为局域网的IP地址进行更合理节省。
华为设备支持vlan间数据的ACL控制,可以更灵活的控制不同VLAN间的数据交换。
采用交换式网络设计,底层交换机的数据配置相对简单,在核心节点对局域网集中管理;
从而当楼层设备和网络出现故障,不至于对局域网以及网络核心部分造成大的影响,对网络也增加了可靠性能。
2.4可靠性设计
核心交换机采用双引擎,双电源模块,确保设备避免单硬件故障;
环形架构核心部署保证提供网络高可靠性,保证业务完整运行,消除单点网络故障;
核心交换机支持运行中软件升级ISSU,ISSU可以在设备软件升级过程中,减少系统业务中断时间,显著地提高设备的可靠性。
真正使企业网络具备“全天候”提供业务能力,实现设备软件升级流量“零”割接,应用不中断
2.5网络安全设计
在网络出口部署了防火墙设备,有效抵御来自外网的非法数据访问和各种攻击。
考虑到外网的安全问题的同时也考虑到内网安全问题,选用的核心交换机、无线控制器AC设备均支持802.1x认证,Portal认证;
支持RADIUS和HWTACACS用户登录认证;
支持防范DoS攻击、TCP的SYNFlood攻击、UDPFlood攻击、广播风暴攻击、大流量攻击;
支持Firewall板卡功能;
支持IPSec功能;
保证网络安全运行。
内网安全的主要问题在于准入控制,和对内网用户的访问控制;
在准入控制方面,我们可采用网络设备和Radius服务器联动的方式,限制非法用户接入网络,对每个用户进行端口认证,并根据不同用户和用户组来设置对应访问策略,以此实现不同用户和用户组的权限控制。
对内网用户的访问控制,我们可在交换机以及其他网络设备上通过ACL方式限制不同vlan之间的灵活访问控制。
此外,在以上前提下,我们还可以在接入层交换机上做绑定,华为交换机支持端口-IP地址-MAC地址的双重绑定,保证内网的接入安全。
2.6信息安全设计
2.6.1业务系统分析
业务系统包括酒店订房系统、办公OA等;
按照业务范围不同,将大楼整体分为三大区域:
艺术家协会、演员酒店区、商业区。
这三个区域都有访问互联网的需求,且艺术家协会、商业区的办公人员需要访问各自的业务系统;
所以业务系统作为办公的核心重要数据,应对其重点防护,以免数据丢失,造成不必要的损失。
2.6.2安全风险分析
两岸文化交流中心的整个系统现状主要可以按照两个层面来看:
一个是网络层面现状,一个是系统层面现状。
而所有运行于网络系统平台之上的各种应用系统的载体是网络中各个终端和服务器群,这些终端和服务器群作为基础计算设施实际上构成了“计算设施”层面。
同时贯穿于整个系统的还有一个重要的系统,就是管理系统,他对网络层面、计算设施层面和应用层面都起到直接的监控和管理作用,因此管理系统也可以独立的看作另一个层面:
管理层面。
所以,总体来看,我们在对两岸文化交流中心网络进行整体安全风险及需求分析时,基本上可以按照以下模型来进行综合分析:
2.6.3网络边界安全风险
目前两岸文化交流中心网络边界可分为外部和内部边界2大类,分述如下:
●外部边界
主要指两岸文化交流中心网络平台的所有外部网络边界,包括:
专网外网边界:
该边界位于中心网络与XX专网之间。
专网边界两侧都是内部用户,网络环境、应用环境、用户身份及规章制度都很接近,所面临的网络安全风险及相应的需求也基本类似。
主要需要考虑防止内部的非法访问以及病毒、蠕虫等恶性安全事件的快速蔓延。
互联网边界:
互联网接入主要用于提供对外基于互联网的WEB业务、各接入单位通过互联网接入等,因此在同一个边界具备两种属性。
外网边界直接面临社会各界用户,使用环境复杂面临的安全风险极大。
各类复合网络攻击手段以及针对网站的流量攻击均是常见的安全威胁。
应予以严格的安全防护手段在此边界进行设防,维护整个数据中心不被外部侵入。
●内部安全域边界
在数据中心网络中,可以划分处多个网络安全域,包括多个服务器区、办公区、多个接入区、维护管理区等等。
这些安全域之间存在着内部边界,为能更加有针对性的对各安全域进行防护,在不同的边界应采取不同的边界防护措施。
2.6.4计算区域安全风险
两岸文化交流中心网络作为一个大的计算区域,内部运行着大量的计算设施,这其中包括小型机服务器、高端PC服务器、低端PC服务器以及大量的终端设备,这些计算设施尤其是服务器群作为应用系统的主要载体,其安全性至关重要。
同时,服务器群非常容易成为黑客和蠕虫病毒攻击的主要目标,这也就意味着服务器群的安全风险等级较高;
而终端设备往往部署较为分散,难于统一管理,操作人员的计算机水平也参差不齐,因此终端设备的安全管理成为网络管理人员最为棘手的安全问题。
总体来说,计算区域内的计算设施面临的主要安全风险有以下几种:
●终端行为的管理
终端设备部署较为分散,难于统一管理,操作人员的计算机水平也参差不齐,因此终端设备的安全管理成为网络管理人员最为棘手的安全问题。
终端泄密、非授权访问、内部攻击等都都对数据中心安全造成威胁。
各类终端和服务器系统的补丁管理同样是一个重要问题。
不及时的给系统打漏洞补丁会造成蠕虫以及不怀好意者的入侵。
●终端防病毒
病毒是对计算环境造成危害最大的隐患,当前病毒威胁非常严峻,特别是蠕虫病毒的爆发,会立刻向其他子网迅速蔓延,这样会大量占据正常业务十分有限的带宽,造成网络性能严重下降甚至网络通信中断,严重影响正常业务开展。
因此必须采取有效手段进行查杀,阻止病毒的蔓延危害整个数据中心。
●网络入侵行为检测
攻击行为不仅来自于大家公认的互联网等外部网络,在内部也要防止攻击行为。
通过部署安全措施,要实现主动阻断针对信息系统的各种攻击,如病毒、木马、间谍软件、可疑代码、端口扫描、DoS/DDoS等,能防御针对操作系统漏洞的攻击,能够实现应用层的安全防护,保护核心信息资产的免受攻击危害。
●安全加固配置
无论是审计、入侵检测或是防病毒,某种意义上来说都是被动防御,大都不具备主动防御的能力。
如在危险来临之前就能主动加固系统,进行全面的安全配置,增强系统本身的抵御能力,则在实际运行中发挥十分重要的作用。
2.6.5应用系统安全风险
两岸文化交流中心网络内运行着多种应用系统,这其中包括WINDOWS、UNIX、AIX、LINUX等多种操作系统和多种业务应用系统。
这些应用系统真正从主体内容构上成了两岸文化交流中心的信息化平台,为两岸文化交流中心提供了高效率的信息化处理平台。
一旦这些应用系统受到攻击或破坏,会立即直接影响到两岸文化交流中心的正常办公和各种业务,需要重点防护。
这些应用系统所面临的主要安全风险包括以下几个方面:
病毒对应用系统的威胁:
计算机病毒可以直接破坏操作系统和数据文件,使得应用系统无法正常运行。
近年来,频繁爆发的蠕虫病毒更是令人防不胜防,它通过大量消耗网络资源导致网络瘫痪或者服务器宕机,从而导致应用系统也无法正常运行。
应用系统自身的漏洞:
应用系统自身由于设计或程序上的缺陷,可能存在各种漏洞,例如WEB应用服务的安全漏洞,可能导致WEB服务器容易被黑客攻击,篡改网页,使得WEB服务器无法提供正常WEB应用访问服务。
应用系统的安全策略:
重要的应用系统尤其是数据库是否配置了适当的安全策略来确保应用系统的安全,例如数据库的用户密码管理、数据审计策略等。
人员误操作或违规操作对应用系统的威胁:
操作人员可能对应用系统进行不当操作而威胁到应用系统,例如越权访问应用系统、违规占用网络资源影响应用系统等。
2.6.6管理系统安全风险
目前,两岸文化交流中心拥有多套网络管理系统,对各节点的核心设备和汇聚设备进行统一的性能监控和故障管理,可以及时发现并上报网络故障,并进行记录。
但是,伴随着本次安全建设项目,两岸文化交流中心网络还需要针对安全设备及安全风险,进行综合监管响应。
特别是针对大量部署的防火墙、入侵检测等设备,需要通过集中的安全管理平台,实施统一的设备监控、日志分析、报警响应。
完整的安全技术体系的搭建需要众多的安全设备和安全系统,型号和品牌不一、物理部署位置分散、技术人员能力水平差异大。
有限的管理人员难以对安全设备进行集中管理、及时快捷的部署安全策略,全面掌握设备运行和网络运行的风险状况。
如何用好安全设备和安全系统支撑业务安全稳定运行成了一个棘手的问题。
所以,需要建立安全管理中心,实施统一的设备监控、日志分析、报警响应。
●集中运行监控
能够实现对防火墙、VPN、IDS、IPS、防病毒网关、漏洞扫描、UTM、网闸、网络设备、服务器/主机等设备的进行全面的监控管理,生成拓扑地图,实时掌握各设备的部署情况、运行状况、设备的接入\断开变动。
当网络资源和设备受到攻击,或运行异常时,会以告警等信息方式,通知管理员。
●统一风险管理
实现集中采集防火墙、VPN、IDS、IPS、防病毒网关、漏洞扫描、UTM、网闸、网络设备、服务器/主机等设备的安全日志和事件,并进行统一的存储、备份、管理和统计分析,能够协助管理员实时监测网络中的攻击行为和安全风险,以及时调整安全设备策略,积极应对安全威胁,从而实现网络的整体安全。
总体来看,两岸文化交流中心网络主要面临的安全风险主要涵盖四个层面:
网络边界层面、计算区域层面、应用系统层面和管理系统层面。
网络边界层面风险威胁到网络基础平台,计算区域层面风险威胁到计算基础设施(主机和终端),应用系统层面风险威胁到各种应用系统,管理系统层面风险则贯穿于以上所
升级会员 