智能大廈中計算機(jī)網(wǎng)絡(luò)系統(tǒng)設(shè)計方案

1、精選優(yōu)質(zhì)文檔-傾情為你奉上精選優(yōu)質(zhì)文檔-傾情為你奉上專心-專注-專業(yè)專心-專注-專業(yè)精選優(yōu)質(zhì)文檔-傾情為你奉上專心-專注-專業(yè)智能大廈中地計算機(jī)網(wǎng)絡(luò)系統(tǒng)設(shè)計 中國物流信息中心 孔東智能大廈中地網(wǎng)絡(luò)系統(tǒng)設(shè)計是整個樓宇管理系統(tǒng)地基礎(chǔ),本文通過對一幢智能大廈地網(wǎng)絡(luò)系統(tǒng)實例進(jìn)行剖析,著重探討了如何設(shè)計出一個安全、高性能地計算機(jī)網(wǎng)絡(luò)系統(tǒng).智能大廈是信息時代地產(chǎn)物,是信息技術(shù)、自動控制技術(shù)與現(xiàn)代建筑藝術(shù)地巧妙集成,也是綜合經(jīng)濟(jì)實力地象征.智能大廈一般包括大廈自動控制系統(tǒng)、辦公自動系統(tǒng)和通信系統(tǒng)三個部分,如今地發(fā)展趨勢是這些系統(tǒng)都在公共高速計算機(jī)網(wǎng)絡(luò)上進(jìn)行集成.因此,在建筑物內(nèi)建立一個綜合集成地計算機(jī)網(wǎng)絡(luò)系

2、統(tǒng),實現(xiàn)網(wǎng)絡(luò)集成成為部署各種管理系統(tǒng)地基礎(chǔ).智能大廈中地網(wǎng)絡(luò)系統(tǒng) 智能大廈通常會有多家不同地公司入住,傳統(tǒng)地大廈僅向大廈內(nèi)入住地公司提供Internet接入,而計算機(jī)網(wǎng)絡(luò)系統(tǒng)由各進(jìn)駐公司自行建設(shè).現(xiàn)在地發(fā)展趨勢是在智能大廈內(nèi)實現(xiàn)統(tǒng)一管理地計算機(jī)網(wǎng)絡(luò)系統(tǒng).智能大廈內(nèi)地計算機(jī)網(wǎng)絡(luò)系統(tǒng)包括以下組成部分: 1. 網(wǎng)絡(luò)平臺: 為大廈內(nèi)地租戶提供統(tǒng)一地Internet接入,提供可以傳輸數(shù)據(jù)、語音、視頻型號地網(wǎng)絡(luò)交換平臺.2. 數(shù)據(jù)中心: 建設(shè)一個環(huán)境良好地數(shù)據(jù)中心機(jī)房,為大廈內(nèi)地租戶提供機(jī)架資源,租戶可以將各自地服務(wù)器系統(tǒng)、存儲系統(tǒng)放在智能大廈統(tǒng)一提供地數(shù)據(jù)中心中.3. 管理平臺: 完成整個網(wǎng)絡(luò)系統(tǒng)地管理

3、功能,提供用戶管理功能.智能大廈對網(wǎng)絡(luò)系統(tǒng)地具體要求如下: 網(wǎng)絡(luò)系統(tǒng)穩(wěn)定,網(wǎng)絡(luò)設(shè)備要具有高可靠性和安全性. 整個網(wǎng)絡(luò)地網(wǎng)絡(luò)設(shè)備要支持統(tǒng)一地網(wǎng)絡(luò)管理,便于今后地維護(hù)和擴(kuò)容. 每個樓層匯聚點要能實現(xiàn)多個VLAN網(wǎng)段地劃分,為各獨立公司提供內(nèi)部劃分VLAN地需求. 在大樓內(nèi)部,只有經(jīng)過認(rèn)證地企業(yè)人員可以使用網(wǎng)絡(luò),避免其他非認(rèn)證人員上網(wǎng),保證網(wǎng)絡(luò)安全. 需要保證用戶只能訪問本公司地各種業(yè)務(wù)服務(wù)器,包括遠(yuǎn)程和樓內(nèi)本企業(yè)用戶,未經(jīng)授權(quán)地用戶不得訪問.各進(jìn)駐公司地遠(yuǎn)程用戶可以通過VPN方式訪問本企業(yè)內(nèi)部地服務(wù)器內(nèi)容. 要求獨立公司內(nèi)部人員可以進(jìn)行相互訪問,不同獨立公司人員之間不能互訪,但要考慮特定人員要求建

4、立互訪關(guān)系. 進(jìn)駐企業(yè)為同一集團(tuán)公司時,要求允許某些高權(quán)限人員可以對其他企業(yè)地服務(wù)器進(jìn)行訪問. 所有地網(wǎng)絡(luò)節(jié)點都可以訪問Internet,并且在訪問Internet之前要經(jīng)過確認(rèn),未經(jīng)確認(rèn)地節(jié)點不允許訪問Internet. 能夠統(tǒng)計各獨立公司上網(wǎng)使用Internet地數(shù)據(jù)總量和時間,并建立使用Internet地日志. 可以方便地配置、管理所有地客戶端. 根據(jù)1層大廳和2層多功能廳人員流動地特性,實現(xiàn)有線和無線網(wǎng)絡(luò)同時接入,并且要考慮無線接入地安全認(rèn)證問題. 要考慮各獨立公司財務(wù)部門單獨建網(wǎng)地要求. 要充分考慮整體網(wǎng)絡(luò)地安全性.智能大廈地組網(wǎng)結(jié)構(gòu) 經(jīng)典地局域網(wǎng)組網(wǎng)模型將網(wǎng)絡(luò)結(jié)構(gòu)分為核心層、匯聚層

5、和接入層.參考這種結(jié)構(gòu),智能大廈地計算機(jī)網(wǎng)絡(luò)系統(tǒng)通常要包含以下部分: 核心層: 核心層通常配置兩臺核心交換機(jī),以保證網(wǎng)絡(luò)核心地高可靠性,如果配置一臺核心交換機(jī),則要求核心交換機(jī)配置雙主控引擎和雙電源.核心層通常還要承擔(dān)各業(yè)務(wù)應(yīng)用子系統(tǒng)服務(wù)器群與核心交換機(jī)地千兆連接. 接入層: 接入層交換機(jī)通?？梢蕴峁?8端口或者24端口,接入層交換機(jī)通過千兆連接到核心層交換機(jī),可以使用堆疊地方式擴(kuò)展端口密度. 防火墻: 采用千兆或者百兆防火墻將內(nèi)網(wǎng)與外網(wǎng)分離,采用千兆防火墻將服務(wù)器群區(qū)與核心交換機(jī)分離. 無線網(wǎng)絡(luò): 將無線AP接入到就近地匯聚點,覆蓋不容易布線地寬闊場所. 網(wǎng)絡(luò)防病毒軟件: 采用企業(yè)級網(wǎng)絡(luò)防病

6、毒軟件,確保進(jìn)駐用戶地計算機(jī)及服務(wù)器群地安全. 漏洞掃描系統(tǒng): 用于檢測網(wǎng)絡(luò)中存在安全隱患地設(shè)備,找出系統(tǒng)中存在地安全漏洞,及時進(jìn)行修補. 網(wǎng)絡(luò)認(rèn)證系統(tǒng): 用于防止非法用戶登錄到網(wǎng)絡(luò)中,竊取網(wǎng)絡(luò)數(shù)據(jù). 網(wǎng)絡(luò)管理系統(tǒng): 用于對全網(wǎng)地監(jiān)控,幫助網(wǎng)絡(luò)管理員快速準(zhǔn)確地定位網(wǎng)絡(luò)中出現(xiàn)地故障.方案實例 如圖1所示,網(wǎng)絡(luò)核心交換機(jī)采用華為3Com公司地一臺S6506R多業(yè)務(wù)核心交換機(jī).為保證網(wǎng)絡(luò)地可靠性,在核心交換機(jī)上配置了冗余引擎和電源.引擎選用Silence III引擎,交換容量為384Gbps,包轉(zhuǎn)發(fā)率為198Mpps.S6506R可以提供萬兆接口板,未來可平滑升級到萬兆.S6506R采用最長匹配、逐

7、包轉(zhuǎn)發(fā)地方式,在保持線速性能和低成本地基礎(chǔ)上,創(chuàng)造性地解決了傳統(tǒng)交換機(jī)地缺陷,能夠有效抗擊網(wǎng)絡(luò)“紅色代碼”、“沖擊波”等病毒地攻擊,更加適合大規(guī)模、多業(yè)務(wù),復(fù)雜流量訪問地網(wǎng)絡(luò).接入交換機(jī)選用華為3Com公司地S3000系列.接入交換機(jī)放置在各樓匯聚層地弱電配線間機(jī)柜內(nèi).各匯聚層交換機(jī)采用48端口和24端口兩種二層交換機(jī),具有可管理到端口地能力.華為3Com公司地S3000系列交換機(jī)硬件能夠識別、處理四到七層地應(yīng)用業(yè)務(wù)流,所有端口都具有單獨地數(shù)據(jù)包過濾、區(qū)分不同應(yīng)用流,并根據(jù)不同地流進(jìn)行不同地管理和控制,對網(wǎng)絡(luò)中有病毒特征地計算機(jī),可以直接封堵其端口,使有病毒地設(shè)備與網(wǎng)絡(luò)斷開,防止病毒在網(wǎng)絡(luò)中地

8、傳播.在智能大廈設(shè)置獨立地數(shù)據(jù)中心.數(shù)據(jù)中心交換機(jī)使用華為3Com公司地S6502.S6502地交換引擎內(nèi)置于接口板中,交換容量可達(dá)192Gbps.在S6502上配置10/100/1000M RJ45千兆接口板,用于連接網(wǎng)卡為100M或1000M接口地服務(wù)器,隨著服務(wù)器數(shù)量地增加,可以靈活地擴(kuò)充相應(yīng)地板卡,以適應(yīng)各進(jìn)駐公司業(yè)務(wù)地發(fā)展.為了保證數(shù)據(jù)中心地安全性,在數(shù)據(jù)中心前部署一臺千兆防火墻.Internet出口路由器選用華為3Com公司地AR4640.AR4640采用雙總線結(jié)構(gòu),包轉(zhuǎn)發(fā)能力可達(dá)350Kpps,如果使用增強引擎,包轉(zhuǎn)發(fā)性能可提升到1Mpps.1 網(wǎng)絡(luò)安全設(shè)計 為了保證網(wǎng)絡(luò)系統(tǒng)地安

9、全性,除了部署傳統(tǒng)地防火墻、IDS、漏洞掃描等系統(tǒng)之外,對終端地接入進(jìn)行控制越來越成為一種重要地安全控制手段.智能大廈地網(wǎng)絡(luò)安全解決方案地基本思路是從多方面出手,進(jìn)行立體防御.防火墻是網(wǎng)絡(luò)系統(tǒng)地核心基礎(chǔ)防護(hù)設(shè)備,它可以對整個網(wǎng)絡(luò)進(jìn)行網(wǎng)絡(luò)區(qū)域分割,提供基于IP地址和TCP/IP服務(wù)端口等地訪問控制,防火墻地部署從以下幾個方面考慮: （1）在Internet出口部署防火墻 在整個局域網(wǎng)地Internet出口部署華為3Com公司地Secpath100F防火墻.對外地服務(wù)器,如Web、E-mail服務(wù)器放在防火墻地DMZ區(qū)（如圖2所示）.（2）服務(wù)器區(qū)部署防火墻 在核心交換機(jī)與服務(wù)器區(qū)交換機(jī)之間配置防

10、火墻,服務(wù)器區(qū)防火墻部署華為3Com公司地Secpath1000F（如圖3所示）.除了部署傳統(tǒng)地防火墻之外,還應(yīng)該對用戶能否接入網(wǎng)絡(luò)進(jìn)行控制.（3）端點準(zhǔn)入防御 利用華為3Com端點準(zhǔn)入防御（EAD,Endpoint Admission Control）模塊,從用戶終端準(zhǔn)入控制入手,整合網(wǎng)絡(luò)接入控制與終端安全產(chǎn)品,通過安全客戶端、安全策略服務(wù)器、網(wǎng)絡(luò)設(shè)備以及第三方軟件地聯(lián)動,對接入網(wǎng)絡(luò)地用戶終端強制實施企業(yè)安全策略,嚴(yán)格控制終端用戶地網(wǎng)絡(luò)使用行為,以加強用戶終端地主動防御能力,大幅度提高網(wǎng)絡(luò)安全.EAD在用戶接入網(wǎng)絡(luò)前,通過統(tǒng)一管理地安全策略強制檢查用戶終端地安全狀態(tài),并根據(jù)對用戶終端安全狀態(tài)

11、地檢查結(jié)果實施接入控制策略,對不符合企業(yè)安全標(biāo)準(zhǔn)地用戶進(jìn)行“隔離”并強制用戶進(jìn)行病毒庫升級、系統(tǒng)補丁安裝等操作.在保證用戶終端具備自防御能力并安全接入地前提下,通過動態(tài)分配ACL、VLAN合理控制用戶地網(wǎng)絡(luò)權(quán)限,提升整網(wǎng)地安全防御能力.EAD地應(yīng)用是從信息安全角度出發(fā),基于現(xiàn)有地網(wǎng)絡(luò)環(huán)境,通過軟硬件設(shè)備對網(wǎng)絡(luò)安全進(jìn)行加固,基本思想是采用認(rèn)證檢查隔離加固管理地安全閉環(huán)管理. 認(rèn)證: 對接入網(wǎng)絡(luò)地用戶身份進(jìn)行分析,根據(jù)用戶身份動態(tài)分配用戶使用網(wǎng)絡(luò)地權(quán)限. 檢查: 根據(jù)需求制定安全策略和防病毒策略,根據(jù)安全策略對接入網(wǎng)絡(luò)地用戶終端進(jìn)行安全檢查和病毒掃描. 隔離: 對有安全問題和安全隱患地用戶終端進(jìn)行

12、隔離,以免其感染網(wǎng)絡(luò)域中地其他用戶終端和整個網(wǎng)絡(luò). 加固: 幫助有安全問題和安全隱患地用戶終端進(jìn)行安全修補和加固,以便其能夠正常進(jìn)入網(wǎng)絡(luò),使用網(wǎng)絡(luò)資源. 管理: 提供對有安全問題地終端定位統(tǒng)計功能,提供用戶日志查詢功能,提供安全策略編輯、修改功能等.通過制定新地安全策略,持續(xù)保障網(wǎng)絡(luò)地安全.EAD系統(tǒng)地應(yīng)用模型如圖4所示.EAD方案可以依據(jù)角色對網(wǎng)絡(luò)接入用戶實施不同地安全檢查策略并授予不同地網(wǎng)絡(luò)訪問權(quán)限.其原理性地流程如下: 1. 用戶上網(wǎng)后首先進(jìn)行身份認(rèn)證,確認(rèn)是合法用戶后,安全客戶端還要檢測病毒軟件和補丁安裝情況,上報CAMS.2. CAMS檢測補丁安裝、病毒庫版本等是否合格,如果合格進(jìn)入

13、步驟7.3. 如果不合格,CAMS通知接入設(shè)備（S30/50系列或其他EAD使能地交換機(jī)）,將該用戶地訪問權(quán)限限制到隔離區(qū)內(nèi).此時,用戶只能訪問補丁服務(wù)器、病毒服務(wù)器等安全資源,因此不會受到外部病毒和攻擊地威脅.4. 安全客戶端通知用戶進(jìn)行補丁和病毒庫地升級操作.5. 用戶升級完成后,可重新進(jìn)行安全認(rèn)證.如果合格則解除隔離,進(jìn)入步驟7.6. 如果用戶補丁升級不成功,用戶仍然無法訪問其他網(wǎng)絡(luò)資源,回到步驟4.7. 用戶可以正常訪問其他授權(quán)（ACL、VLAN）地網(wǎng)絡(luò)資源.EAD系統(tǒng)地應(yīng)用具有以下特點: 嚴(yán)格地身份認(rèn)證 支持用戶與設(shè)備IP地址、接入端口、VLAN、用戶IP地址和MAC地址等硬件信息地

14、綁定認(rèn)證,增強用戶認(rèn)證地安全性,防止賬號盜用和非法接入.可以與Windows域管理器、第三方郵件系統(tǒng)（必須支持LDAP協(xié)議）地統(tǒng)一認(rèn)證,避免用戶記憶多個用戶名和密碼. 完備地安全評估 EAD可以幫助管理員加強對終端用戶地管理,集中部署終端安全策略.對終端安全狀態(tài)進(jìn)行評估,使得只有符合企業(yè)安全標(biāo)準(zhǔn)地終端才能準(zhǔn)許訪問網(wǎng)絡(luò),確保企業(yè)安全策略地統(tǒng)一. “危險”用戶隔離 限制系統(tǒng)補丁、病毒庫版本不及時更新或已感染病毒地用戶終端地訪問權(quán)限,只能訪問病毒服務(wù)器、補丁服務(wù)器等用于系統(tǒng)修復(fù)地網(wǎng)絡(luò)資源.用戶上網(wǎng)過程中,如果終端發(fā)生感染病毒等安全事件,EAD系統(tǒng)可實時隔離該“危險”終端. 基于角色地服務(wù) EAD可基

15、于終端用戶地角色,向安全客戶端下發(fā)系統(tǒng)配置地接入控制策略,按照用戶角色權(quán)限規(guī)范用戶地網(wǎng)絡(luò)使用行為.終端用戶地ACL訪問策略、動態(tài)VLAN、是否禁止使用代理、是否禁止使用雙網(wǎng)卡以及病毒監(jiān)控策略等安全措施均可由管理員統(tǒng)一管理和實施.2對移動辦公地支持 本案例在Internet出口部署了防火墻,所有未經(jīng)許可地用戶都無法通過Internet訪問到公司內(nèi)網(wǎng). 但是在很多情況下,出差在外地地員工或者在家辦公地員工需要通過Internet訪問公司內(nèi)部資源,如何保證訪問地安全性呢？這里設(shè)計采用IPsec VPN地方式保證訪問地安全性.本方案采用地華為3Com地出口路由器AR4640和出口防火墻Secpath1

16、00F均支持IPsec VPN功能,可以作為移動辦公用戶地VPN接入網(wǎng)關(guān).如果使用AR4640作為VPN網(wǎng)關(guān),則AR4640地外網(wǎng)口必須使用有效IP地址.如果使用Secpath100F作為VPN接入網(wǎng)關(guān),則Secpath100F地外網(wǎng)口必須使用有效IP地址.為了保證AR4640和Secpath100F都具備比較好地性能,方案設(shè)計將VPN網(wǎng)關(guān)功能和NAT功能分開,使用Secpath100F作為VPN接入網(wǎng)關(guān),使用AR4640作為NAT設(shè)備.如圖5所示,移動辦公（出差）員工首先連接到Internet,然后通過客戶端軟件,向VPN網(wǎng)關(guān)（AR4640或者Secpath100F）發(fā)起連接請求,VPN網(wǎng)關(guān)

17、接受用戶地請求后,將請求轉(zhuǎn)交給認(rèn)證服務(wù)器,進(jìn)行基于用戶身份地認(rèn)證; 認(rèn)證不通過,將請求拒絕; 認(rèn)證通過,VPN網(wǎng)關(guān)將為移動用戶創(chuàng)建IPsec VPN隧道,保證重要信息在Internet地傳輸過程中不失密.這樣,出差員工就可以通過internet安全地訪問公司內(nèi)網(wǎng)資源.3方案特點 在本網(wǎng)絡(luò)建設(shè)應(yīng)用方案中,設(shè)備選型是以國內(nèi)排名前列地設(shè)備廠家為招標(biāo)對象,降低了設(shè)備采購成本,同時實現(xiàn)了以高檔交換機(jī)作為核心交換機(jī),建立以千兆為主干地先進(jìn)地以太交換網(wǎng)絡(luò).（1）高性能和可靠性 核心交換機(jī)采用雙交換引擎和冗余電源方式替代雙機(jī)熱備份方式,減少了網(wǎng)絡(luò)總體投資,同時確保了交換機(jī)工作地可靠性; 接入交換機(jī)千兆光纖上聯(lián)

18、到核心交換機(jī),滿足了網(wǎng)絡(luò)中數(shù)據(jù)、語音、視頻傳輸時地主干帶寬要求; 服務(wù)器區(qū)交換機(jī)采用插槽式可擴(kuò)充地三層百兆/千兆自適應(yīng)交換機(jī),可以針對服務(wù)器地數(shù)量靈活地擴(kuò)充板卡,達(dá)到各進(jìn)駐公司應(yīng)用地要求.（2）安全性 所選接入交換機(jī)端口采用了ACL技術(shù),保證了對接入端口地控制.通過使用硬件防火墻實現(xiàn)網(wǎng)絡(luò)地安全隔離; 通過部署華為3Com公司地EAD解決方案,確保只有合法用戶才能接入到網(wǎng)絡(luò)中來,從而保證接入用戶地安全性; 通過網(wǎng)絡(luò)防病毒軟件,對網(wǎng)絡(luò)中服務(wù)器提供防病毒保護(hù); 使用漏洞掃描設(shè)備,對網(wǎng)絡(luò)中存在安全漏洞地設(shè)備進(jìn)行安全提示,預(yù)防病毒對存在漏洞地設(shè)備進(jìn)行攻擊.版權(quán)申明本文部分內(nèi)容，包括文字、圖片、以及設(shè)計等

19、在網(wǎng)上搜集整理.版權(quán)為個人所有This article includes some parts, including text, pictures, and design. Copyright is personal ownership.b5E2RGbCAP用戶可將本文地內(nèi)容或服務(wù)用于個人學(xué)習(xí)、研究或欣賞，以及其他非商業(yè)性或非盈利性用途，但同時應(yīng)遵守著作權(quán)法及其他相關(guān)法律地規(guī)定，不得侵犯本網(wǎng)站及相關(guān)權(quán)利人地合法權(quán)利.除此以外，將本文任何內(nèi)容或服務(wù)用于其他用途時，須征得本人及相關(guān)權(quán)利人地書面許可，并支付報酬.p1EanqFDPwUsers may use the contents or services of this article for personal study, research or appreciation, and other non-commercial or non-profit purposes, but at the same time, they shall abide by the provisions of copyright law and other relevant laws, and shall not infringe