網絡架構建設

網絡架構建設

副標題

ABUIABAEGAAgzN6s6AUotvXIdDCuBDjPAQ

前言

網絡系統設計,既有有線網絡系統,也有無線覆蓋系統,并且安防系統的網絡系統有時候會單獨設計,有時候和計算機網絡系統共用局域網。

以某辦公樓擬建總建筑面積約7500㎡;建筑類型為高層建筑,地上1-6層。為例

?   計算機網絡系統建設架構

計算機網絡系統主要是大樓內部各部門的網絡應用以及為大樓的管理和各種應用搭建一個靈活應用,安全可靠的硬件平臺。將大樓的網絡按部門分為若干個邏輯網段,將大樓的各種PC機、工作站、終端設備和局域網連接起來,并與廣域網相連,形成結構合理、內外溝通的計算機網絡系統,并在此基礎上建立能滿足商務、辦公自動化和管理需要的軟硬件環境,開發各類信息庫和應用系統,為大樓內的工作人員、訪客提供充分、便捷的網絡信息服務。

?   數據交換網絡建設架構

計算機網絡系統分內部辦公網、外網。各個網絡拓撲為星型結構,采用分層設計,層次網絡架構包括:接入層、核心層等二層,建立網絡主干千兆,百兆到桌面的網絡應用。

1) 物理網絡描述

根據大樓業務網運營數據的特點,內部辦公網、外網相互之間邏輯隔離。

中心網絡采用多鏈路100M光纖鏈路INTERNET接入,以大容量高速骨干交換為網絡核心,千兆光纖下行至各樓層小機房的全千兆接入二層交換,以及采用無線交換機對整個無線網路進行統一的管理。終端采用無線或有線方式實現用戶網絡接入,確保樓內網絡的靈活性和可擴展性。同時在網絡邊界防火墻出開出獨立DMZ區域,作為中心核心數據管理存儲中心,對內外提供不同服務。

依托物理平臺,充分考慮當前各類應用以及網絡數據的傳輸質量,采用虛擬局域網技術依據不同應用方向劃分獨立子網,有效地防止廣播風暴及各類安全隱患在網絡中的蔓延,確保各子網數據獨立高效運行。

2) 內網描述

內部辦公網面向中心內部用戶,主要用于承載中心內部各類應用,如:OA、多媒體、 網絡管理等無須上INTERNET的業務。子網內部通過部署防火墻,審計,行為管理等安全產品實現內部用戶對于各類應用數據訪問的可控可管,確保中心日常辦公應用及本地數據交換的高效性,具體部署根據實際需求利用VLAN等多種技術手段實現管理和區分。

OA辦公系統應用于內部信息系統,為全中心提供完善的辦公自動化服務,實現無紙化辦公,提高工作效率;功能包括收發文管理、辦公管理、信息采編、公共信息管理、個人事務管理、內部郵件、即時通訊、信息檢索等模塊等。全面實現全局無紙化網上辦公,實現的功能包括行政辦公,公共信息。

3) 外網撲描述

辦公外網主要為:中心數據、物流查詢功能的Internet接入服務、遠程資源共享、信息流轉、系統遠程視頻會議等,為各類中心內部及流動用戶提供全面高效的數據訪問和交互平臺。

?   視頻監控網絡建設架構

視頻監控網絡作為數據網絡的子網,前端接入層獨立于數據網絡之外,采用匯聚層專注用于監控數據傳輸,最后匯入核心層。網絡拓撲為星型結構,采用分層設計,層次網絡架構包括:接入層、匯聚層、核心層等三層,建立網絡主干千兆,百兆到終端的網絡應用。

1) 終端信號采集

采用終端網絡攝像機進行視頻信號采集,采集數據為數字信號,無須在終端部署視頻服務器等轉換設備,降低投入成本,且通過網絡攝像機可以實現和其他安防監控系統實現聯動,進一步提高產品利用率,使應用更高效。且網絡攝像機基于IP架構,所有監控設備均通過IP鏈路連接,管理方便。

2) 監控數據傳輸

終端通過部署基于IP的網絡攝像機,將視頻信號直接以數字形式通過IP鏈路最終在監控核心交換處匯聚,考慮到數據傳輸質量和實時性要求高,因此在核心交換位置采用大容量高速骨干交換對數據進行分發交換,

3) 監控數據存儲

所有監控終端監控視頻數據將通過IP鏈路匯聚后集中,采用IP-SAN模式實現高速實時存儲,同屬部署大容量存儲陣列對規定時間段內所有監控數據進行存儲備份,已備后續查詢。

4) 實時監控及管理

在核心交換處旁路模式部署監控管理服務器,自動掃描發現所有監控中所有設備,并形成對應拓撲,并利用監控管理服務器對監控終端進行維護及數據采集和傳輸的控制。同時采用千兆光鏈路將數據傳輸至安保監控中心,通過電視墻實時顯示。

?   數據交換網絡建設部署

1) 核心交換部署

終端節點約500個,部署千兆核心交換機,設置在2層信息中心主機房網絡設備柜。采用2臺支持3層交換路由功能高性能的核心交換機做雙中心冗余,所有的接入層交換機采用2條千兆光纖鏈路連到2臺核心交換機上,保證鏈路的冗余。服務器群通過2條千兆鏈路以冗余的方式連接到2臺核心交換機。采用VLAN劃分策略對樓內網絡終端、不同部門的終端、視頻會議應用、智能化各子系統等劃分VLAN;同一部門可以跨樓層進行相互訪問,不同的部門間未經允許不能進行訪問,不同VLAN間的通信通過核心交換機實現。負責內網絡的轉發。

采用模塊化核心交換機,核心交換機具有1Tbps以上的背板交換容量,支持3層交換的路由功能,實現高性能的核心轉發,支持IPv4、IPv6、MPLS、NAT、組播、QoS、帶寬控制等業務功能,保證了網絡核心的高穩定性和可擴展性;各核心交換機配置2個電源,實現電源冗余備份;配置千兆的光口/電口板卡,負責服務器群、網絡管理、網絡安全系統、鏈路熱備及負載均衡網絡的接入。

2) 樓層接入部署

部署百兆接入交換機,設置在各樓層小機房網絡設備柜和保安監控室的網絡設備柜,負責接入各終端計算機、無線AP等。

各接入交換機采用可網管二層交換機,支持端口聚合、VLAN、STP、SNMP等特性;配置24/48口10M/100M電口,2個千兆光口,實現10M/100M到桌面,千兆上行到核心交換機。

3) 無線接入部署

部署百兆無線接入交換機,設置在1層信息中心機房,支持千兆上行端口,實現無線AP可控可管。無線AP與無線控制器\無線交換機配合組網(Fit AP),便于集中管理。

使用無線網絡部分覆蓋,填補網絡盲區,在有效覆蓋范圍內自由登錄而不受時空的限制,本項目在各樓層公共區域設置無線路由器,實現辦公區域全覆蓋。

各無線路由器接入外網網絡。配置高性能百兆無線局域網接入設備,無線AP上行接口采用百兆以太網接口接入,無線路由器支持802.11abgn, 雙頻單模, 集成天線,支持工作在2.4Ghz與5.8Ghz頻段,能提供20M/40M信道技術。

?   視頻監控局域網

1) 匯聚交換部署

終端節點約60個,部署千兆核心交換機,設置在1層信息中心主機房網絡設備柜。采用1臺支持3層交換路由功能高性能的匯聚交換機。服務器群通過1條千兆鏈路連接到核心交換機。

采用模塊化核心交換機,核心交換機具有1Tbps以上的背板交換容量,支持3層交換的路由功能,實現高性能的核心轉發,支持IPv4、IPv6、MPLS、NAT、組播、QoS、帶寬控制等業務功能,保證了網絡核心的高穩定性和可擴展性;核心交換機配置2個電源,實現電源冗余備份;配置千兆的光口/電口板卡,負責前端視頻終端、服務器群、網絡管理、網絡安全系統、鏈路熱備及負載均衡網絡的接入。

2) 樓層接入部署

部署百兆接入交換機,設置在各樓層小機房網絡設備柜和保安監控室的網絡設備柜,負責接入各終端計算機、無線AP等。

各接入交換機采用可網管二層交換機,支持端口聚合、VLAN、STP、SNMP等特性;配置8/16口10M/100M電口,2個千兆光口,實現10M/100M到桌面,千兆上行到核心交換機。

?   服務器及存儲部署

內網網絡設置2臺業務信息化數據庫服務器 (一主一備),采用X86機型,設置2個光纖網卡作為存儲端口;其他服務器根據應用需求具體另行配置。

針對業務信息化數據設置2套光纖磁盤陣列,同時部署數據鏡像系統,保持2套陣列數據的同步性。光纖磁盤陣列采用FC-SAN網絡,配置2臺8口SAN交換機(考慮冗余),連接前端檔案信息化數據庫服務器。

考慮到公司信息化相關數據的重要性和實時性,對業務信息化數據庫服務器部署在線容災備份系統。通過在服務器上部署數據庫在線容災備份軟件,對應用系統所依賴的重要數據實時的備份到存儲設備上。

內網另配置智能卡服務器、OA服務器和FTP服務器等服務器群;外網配置網絡邊緣WEB服務器、防病毒服務器和郵件服務器等;監控網配置視頻存儲服務器等。

?   網絡安全部署

考慮到整個網絡后續的運行穩定性和數據安全性,將在中心網絡中部署防火墻,入侵防御、防毒墻等安全產品,以有效的對進出網絡以及DMZ區域數據訪問進行有效的控制管理和授權。

1) 網絡管理系統部署

內、外、監控網分別部署網絡管理平臺,及時地發現問題、跟蹤定位和阻止泛濫,為網絡操作人員提供監控和阻止網絡攻擊所必需的信息。實現各網絡運行情況告警并產生報表;集中管理網絡設備、服務器及安全設備;自動產生全網設備的網絡拓撲;顯示流量;具有圖形化配置方式。

2) 防火墻系統部署

在網絡接入邊界處,部署千兆高性能防火墻作為安全邊界,對進出外網的數據進行有效的過濾和防護。防火墻要求支持至少2個左右千兆電口,同時至少2個千兆光口,要求設備支持bypass功能,防治單點故障造成網絡中斷。設備接入模式要求支持路由模式、透明模式、NAT模式、混雜模式等多種模式,要求支持基于域、接口、Alias別名等信息建立安全策略,能夠基于文件大小,內容,url實現對HTTP服務的控制和過濾,同時要求支持郵件過濾,支持貝葉斯過濾方式,支持自主學習,能實現RBL實時黑名單地址管理。能夠對各類應用進行有效過濾和控制,如游戲,聊天,下載等。

3) 防病毒系統部署

在互聯網接入區部署1臺防毒墻系統,支持XX的用戶數。實現互聯網訪問網絡時的安全策略,對外網的web、mail、ftp、qq、msn等多種形式的病毒查殺,支持脫殼技術。

外網配置1套支持XX用戶的網絡版防病毒軟件。

4) 入侵防御系統部署

在互聯網接入區部署1臺入侵防御系統,入侵防御系統從3個方面進行有效防御及保障:

主動防護:對網絡蠕蟲、木馬、黑客攻擊以及網絡病毒等惡意流量的傳播進行主動防護,保護用戶網絡資源;   

系統漏洞遮斷:為網絡中的主機提供有效的系統漏洞防護方案,彌補由于補丁不能及時更新而造成的系統脆弱性;   

應用訪問控制:有效控制IM、P2P、VoIP等敏感應用對網絡帶寬的濫用;   

關鍵業務系統保障:通過智能的安全防御,最大限度降低各種惡意行為對關鍵業務服務及設備的威脅。

華蓋科技依托18年來的渠道經驗、行業經驗、案例積累、專業的團隊,可為不同行業客戶、不同需求的客戶,提供定制化的網絡架構建設解決方案。


首頁      |      產品分銷      |      專業服務      |      解決方案      |      關于我們      |      聯系我們
地址:上海市靜安區江場西路299弄中鐵中環時代廣場4號樓4層          電話: 021-51212121          傳真: 021-51212480          技術支持:4006286280
工作時間:周一至周五(9:00-17:30) 國家法定假日除外
版權所有: 上海華蓋科技發展股份有限公司?2021 保留一切權利 滬ICP備15014351號-1