8、计算机网络系统设计摘要
8.1网络机构
总体网络设计时,采用二层结构:核心层、汇聚接入层。核心层采用高性能路由交换机,完成核心数据的高速交换,汇聚接入层则采用三层交换机,完成用户接入,不同部门VLAN间汇聚,VLAN间路由。通过应用网管平台、千兆核心设备、百兆接入交换设备,(核心交换机支持万兆模块扩容)来构建网络系统,使得网络系统具有先进性、稳定性、安全性等众多特点,可以满足新疆徕远广场办公楼现在及未来若干年的发展需要。
8.2元器件配置
汇聚接入交换机配置原则如下:
在接入点少于24信息点的配线间用24口交换机通过千兆上行到核心,百兆到桌面。
在接入点多于24,少于48节点的配置一台48口交换机通过千兆上行到核心,百兆到桌面。
对于接入点多于48节点的配线间,配置24口交换机和48口交换机通过堆叠技术实现高密度用户的接入。通过两条千兆光纤做链路捆绑上行到核心,百兆到桌面。
Internet边缘设备采用一台千兆防火墙设备和一台高性能路由器路由器,同时,在中心机房搭建网管平台,对整网设备进行统一配置管理。
核心层设备:
按新疆徕远广场办公楼网络结构,网络设计以星形扩散,即中心核心层,周围是接入层。核心节点的网络设备需要高速运送整个网络的流量,设备承载的压力较大。因此核心节点的建设,通常必须遵循以下几个原则:
1、必须具备高可靠性和高冗余性;
2、必须能够提供较高性能、容量,并且具备良好的扩展能力; 必须具有迅速升级能力;
采用先进的逐包转发技术,具备抵御“冲击波”等病毒的能力。 汇聚接入层设备:
网络接入层主要负责将用户流量引入网络,采用三层交换机。同时该三层交
-31-
换机应具备千兆上联的能力,并且进行必要的网络安全限制,例如支持802.1Q VLAN、MAC地址和端口绑定等。我们对超过48端口的配线间通过交换机的堆叠技术来满足高密度接入的需求
防火墙设备建议:
配置一台千兆防火墙作为出口防火墙,支持外部攻击防范、内网安全、流量监控、网页过滤、邮件过滤等功能,能够有效地保证网络的安全;采用ASPF状态检测技术,可对连接过程和有害命令进行监测,并协同ACL完成动态包过滤;提供多种智能分析和管理手段,支持邮件告警,支持多种日志,提供网络管理监控,协助网络管理员完成网络的安全管理;支持AAA、NAT等技术,可以确保在开放的Internet上实现安全的、满足可靠质量要求的网络;支持多种VPN业务,如L2TP VPN、IPSec VPN、GRE VPN、华为动态VPN、SSL VPN等等,可以构建Internet、Intranet、Access等多种形式的VPN;提供基本的路由能力,支持RIP/OSPF/BGP/路由策略及策略路由;支持丰富的QoS特性,提供流量监管、流量整形及多种队列调度策略。
Internet出口设备:
新疆徕远广场办公楼网络出口设置1台高性能路由器,出口路由器担负着网络和Internet连通的重任,必须较高的可靠性,稳定性、强大的性能和丰富的路由协议、策略支持
网管系统的组成
网络管理包括有两个部分:网管平台和设备管理软件。
网管平台则需要对全网进行管理,要有拓扑发现功能等,它力求全面地覆盖企业IT业务的各个方面。
网元管理系统一般均由设备原厂商提供,实现对网络设备的故障管理、配置管理和性能管理、故障管理等。
另外,对于复杂业务,如MPLS VPN和QOS 管理等业务,一些领先厂商提供了专业的业务网管系统,如VPN Manager和Qos Manager。
网管组网方式
对组网设备的网管可有带外网管与带内网管两种组网方式。通常带内网管组网比较简单、灵活,对于新疆徕远广场办公楼网络,建议采用带内网管方式建网。
-32-
根据目前网络的规模和业务的实际需求,建议网管中心间及各节点设备间的通信可以采用网络内部配置的通路,即带内网管。
网络安全
新疆徕远广场网络安全策略和安全体系包含:
访问控制:通过对特定网段及服务建立的访问控制体系,系统将绝大多数攻击阻止在到达攻击目标之前;
检查安全漏洞:对安全漏洞进行周期性的检查,使得绝大多数攻击即使到达攻击目标也无破坏;
攻击监控:通过对特定网段及服务建立的攻击监控体系,系统可实时检测出绝大多数攻击,并采取相应的行为(如断开网络连接、记录攻击过程、跟踪攻击源等);
认证:良好的认证体系可防止假冒合法用户的攻击;
备份和恢复:良好的备份和恢复机制,可在攻击造成损失时,帮助系统尽快地恢复数据和系统服务;
多层防御:攻击者在突破第一道防线后,多层防御可以延缓或阻断其到达攻击目标;
隐藏内部信息:这样可以使攻击者不能了解系统内的基本情况; 设立安全监控中心:为信息系统提供安全体系管理、监控、保护及紧急情况服务。
为确保本综合信息网核心数据网的安全性,应从全局考虑,不仅从技术上保证,而且要从管理上协同防范。既要保证综合信息网核心数据网内部网络安全又要保证与外部网络之间的安全,形成整体安全性的网络体系结构。网络安全设计包含内部网络接入控制、与Internet/Extranet等外网的接入、移动办公接入等几个方面。
9、集成管理系统设计
由于建筑功能复杂、规模宏大,个别场所相对独立,建议集成安防、楼控、消防等系统。提供图形化的综合管理和自定义的全局事件功能,提升管理效率、接警、处警效率和建筑的整体联动能力;消除孤岛效应。
王府井商场设置一台工作站。
-33-
集成管理系统主要对楼宇自控系统、闭路电视监控系统、防盗报警系统、门禁系统和消防系统进行集成管理。
对楼宇自控子系统的集成
采用两级网络结构,一级为BMS管理网络,设置了一个EBI服务器,采用HP计算机为操作平台,运行Honeywell公司的EBI系统软件,通过二级网络C-BUS总线挂接Excel 500现场直接数字控制器对给排水系统、送排风系统、照明系统对其进行数据采集和设备控制。在新风机、空调机进风口各对新风机、空调机通过BACnet接口进行数据采集和设备控制,在新风机、空调机进风口各安装公司个室外温/湿度传感器,以控制新风机、空调机在过渡季节的节能控制。
★ 对闭路电视监控子系统、防盗报警子系统的集成
EBI服务器通过RS232接口AD矩阵连接,通过EBI系统软件中的CCTV模块与矩阵通讯,采集数据和图象,并对前端设备机型控制。
★对门禁子系统的集成
通过门禁管理系统的服务器网络接点的连接,利用API、Advance DDE、OPC等与其匹配的协议集成进入EBI集成系统。
各子系统与BMS的信息交换
将各个系统集成在一个平台的基础是将各系统的数据采集到一个统一的数据库(SQL、ODBC、OLE),同时可将信息传送到各子系统。换句话说,必须在BMS和各子系统之间建立一个有效的信息沟通的渠道。
理想的实现方式是建立一种通用的可伸缩性强的标准模式,在这种模式下,各子系统的更换对集成后的系统影响最小。基于这个思想,在Excel 5000 EBI的统一管理下,各个子系统的驱动程序(Driver)即Excel 5000 EBI Manager负责将各自系统的数据以规定的形式传递给上层,并将上层的信息转换成各自系统所能识别的形式传递到各自的系统中,从而实现信息的双向流动。
对网络的集成
Honeywell Excel 5000 采用采用INTERNET上使用的TCP/IP协议,开放的“点对点”(分散控制)通讯技术支持新一代的产品和系统使其运行起来更经济。此外,它还提供非预制环境,以便将来改变或修改系统,完善子系统的集成性,降低运行成本,提供一个舒适、安全的环境。
-34-
在智能大厦的控制系统中,上层通过以太网(ETHERNET)主干线,采用标准国际互连网协议(INTERNET),提供系统高速通信,用于解决数据传输量较大的系统间的集成,以太网支持网络控制器,为楼宇中央通讯系统提供高效的输入/输出的可扩充性。以太网支持更多工作站及WINDOWS NT服务器工作,所有的数据都能在高速网上整体共用。操作员可通过标准拨号电话线与千万个异地通讯。
集成联动功能
BMS楼宇管理系统通过对弱电子系统的集成,提供更有效地对大楼内的各类事件进行全局管理,提高大楼对突发事件的快速响应能力。管理者通过事先软件的设置和编制联动响应程序,通过集成一体化界面的联动状态图形,达到全局事件的联动控制,实现BMS系统整体的防火抗灾能力。
BMS的服务器构筑在大厦的主干网络之上,将大厦的所有弱电系统,包括楼字自控系统、消防报警系统、保安防盗系统、门禁管理系统、闭路监视系统、办公自动化等系统,通过ETHERNET TCP/IP协议集成到Honeywell Excel 5000的中央集成管理系统上。
(1)与楼宇自控系统的联动
BAS主要完成对整个大厦空调系统、送排风系统、给排水系统、照明系统,电梯系统的监控和管理,还能完成节能,统计,维护管理等多种功能。
BMS可实现BA系统的优先级报警点与图像的联动显示。当BA系统的设备发生紧急报警时,BMS中心电脑自动弹出该设备运行图,即时直观指示,或输送到报警打印机作记录。
当发生消防报警时,BMS接收到该报警信号,经确认后,同时作出下列的响应:
- 中控室立即发出声光报警,引起管理者的注意
- 与管理者连接的报警打印机立即报警打印,记录发生火灾的楼层位置、时间、报警设备
- 工作站HMI立即显示该楼层平面图
- 通过HMI发出指令,将相应楼层的公共广播系统强行切换至消防报警系统,及时进行消防紧急广播
-35-