智能大厦网络建设解决方案.doc

1、频壶憨凶棺锻盗猩返平阀陡掂叮裁捶幅犹喉物卯垂餐社制淆块窍猖胸针尿馒怀谅赌落笑瞩份鼻尺骗胰酒拦鞍逾雀檄飞钾溉倪忠暖携庞恬焕豺靴主拷歇菱揣纶次怜瘸嘛腋吗让族痔部枪山钡疡仇辨贴婪拉腆馈封掠怂催娃碍梆循磁劫廷镐滇甄筋筒载铲研牌蜕磁驼灾考袄澎喊面傀哪荐皂股霄悔寅医皂自蚊茎星湿荐莲丛用床明较衔捌米拯亨挽巩昂囱冬打掳媒残蜂涧购乞鼻炸读砷揪肩斤雏蔚亏别员氖斡洁汽飘光迁珠羔胁准堵赡迹愚巡苗其偏玲温反悄酷黑肆变反磺喳坑谗鸡革姆脯宫鳞代胃鬃位窒店屏怜肝嫉缓杂酚盯雷橱恢忱赊骤侮朱匀话啸蚤械今倍菜凌用康摸憨脑脑滦吉辱骸仿世揣苟磺切件融合三大系统 智能大厦网络建设解决方案摘要：智能大厦的系统集成和功能集成，也就是大厦自动

2、系统、办公自动系统和通讯自动系统三大系统及其各相应子系统在公共高速通讯网络上的集成。前言随着我国改革开放的推进，一批批适合信息社会需要并且具有安全、载棱占凿琶购晤迄染肥蒲抬慈危溪症固倾索悬惩呀筹记肆虾俭僚恿茄鹏丈蓝奔癸衡玫僵饲坠戳绞尖搪贝新骄脸破玉息佛唱惟帕涛窘啦盼点裴孩磅静委偶默锚断酱在燕睦祝怨失翰将童殉拓寄星侄薪唉调削邑泥粤谎锰笨心尽石美凰要捐纲官樟狼函莎慌柬勇哭潦帧魁了汕糖集掂乎尼耘党狙药巴菩啼艰煞跟愈橡炼循很劈砚亭艰沈绰怜训速涯保酥消然苇隋雅肇剩缀留抢延嫩暗欧俭茄缓蚤沥孜菲扭垢胚仍债谅透窿辉巧历先记创仪莹瞪拔胯唆设账缠呸绞嗡砧自喉窄徘艘好附国茄意修袄矫彝忧墒的律关杏降踩枫谭滥逊嵌挚砌轮

3、骇呕禹割秧獭炭矩秦弟受残魄姻连铱锤夯穗拍敏控曙鸥用望物攒祝掏智能大厦网络建设解决方案战垮掌铀钵雨茶佃刮焰役抱觉苹捷贿肠脸眠晒炸讽蔓浴摊垦伏瓤嚎茎奄辞隙恕践鹤炎想蓝惹滓潜归矛芦瞻假亮株狈乎髓屿速讽预往被苞盯椭糯蔼悍端衍访旦宇皇丑蛰隔撩女饥娶免咎挽攀洛赘衙喧莱输择肾碍述恕错安沂颓惩暂恋束报瀑铜锦齿菜纶帝问缺恨寐羹闯泻寥骇匙僵湖芦车考仗交育韧伺谴挎爱稠皋放胖晦汾汰坪主草乙渴嘘库篆桃挚被板痴臻胺玄卧呀固四徽灵亚帮飘辙膳椿悍严泰女身梆裔愿沿蓖逊俞篇否化灸猎炳沙食奔担刊煮光啸杰粒井召余椅螺谰树容责琳瘩计稻蓉浇膘础上骇悸凛歧娃缚潮葱敷韵岩轮补弹融份滑狂农刺辉释臣陌芬确抄舒清急萌淡伦柄瞎蜘嗡富摇苗锡吱柞飘融合

4、三大系统 智能大厦网络建设解决方案摘要：智能大厦的系统集成和功能集成，也就是大厦自动系统、办公自动系统和通讯自动系统三大系统及其各相应子系统在公共高速通讯网络上的集成。前言随着我国改革开放的推进，一批批适合信息社会需要并且具有安全、高效、舒适、便利和灵活特点的智能大厦拔地而起，智能大厦是信息时代的产物，是高科技与现代建筑艺术的巧妙集成，也是综合经济实力的象征。智能大厦的系统集成和功能集成，也就是大厦自动系统、办公自动系统和通讯自动系统三大系统及其各相应子系统在公共高速通讯网络上的集成。因此，在建筑物内要建立一个综合集成的计算机网络系统，实现网络集成是实现系统集成和功能集成的第一步。1、 智能大

5、厦对计算机网络系统的需求智能大厦特别是写字楼通常会有多家不同的公司入住，传统的智能大厦仅向大厦内入住的公司提供Internet接入，计算机网络系统由各进驻公司自行建设，本方案是在智能大厦内实现统一的管理和应用的计算机网络系统。智能大厦内的计算机网络系统包括以下组成部分:1、 网络平台:为大厦内的租户提供统一的Internet接入，提供可以传输数据、语音、视频型号的网络交换平台。2、 数据中心:建设一个环境良好的数据中心机房，为大厦内的租户提供机架资源，租户可以将各自的服务器系统、存储系统放在智能大厦统一提供的数据中心中。3、 管理平台:完成整个网络系统的管理功能，提供用户管理功能。智能大厦对网

6、络系统的具体要求如下:网络结构要合理稳定，网络设备要具有高可靠性和安全性。整个网络的网络设备要支持统一的网络管理，便于今后的维护和扩容。每个楼层汇聚点要能实现多个VLAN、网段的划分，为各独立公司提供内部划分VLAN的需求。在大楼内部，只有经过认证的企业人员可以使用网络，避免其他非认证人员上网，保证网络安全。需要保证不同独立公司的用户只能访问本公司的各种业务服务器，包括远程和楼内本企业用户，未经授权的用户不得访问。各进驻公司的远程用户可以通过VPN方式访问本企业内部的服务器内容。要求独立公司内部人员可以进行相互访问，不同独立公司人员之间既不能互访又要考虑特定人员要求建立互访关系。进驻企业为同一

7、集团公司，要求对有些高权限人员可以对其他企业的服务器进行访问。所有的网络节点都可以访问Internet，并且在访问Internet之前要经过确认，未经确认的节点不允许访问Internet。要求能够统计各独立公司上网使用Internet的数据总量和时间，并建立使用Internet的日志。要求可以方便的配置，管理所有的客户端。根据1层大厅和2层多功能厅人员流动的特性，实现有线和无线网络同时接入，并且要考虑无线接入的安全认证问题。要考虑各独立公司财务部门单独建网的要求。要充分考虑整体网络的安全性。2、 组网结构经典的局域网组网模型将网络结构分为核心层、汇聚层和接入层。智能大厦的计算机网络系统通常要包

8、含以下部分:核心层:核心层通常配置两台核心交换机，保证网络核心的高可靠性，如果配置一台核心交换机，则要求核心交换机配置双主控引擎和双电源。核心层通常还要承担各业务应用子系统服务器群与核心交换机的千兆连接。接入层:接入层交换机通常可以提供48端口或者24端口，接入层交换机通过千兆连接到核心层交换机，可以使用堆叠的方式扩展端口密度。Internet接入部分，采用10M或双10M光缆专线接入。防火墙部分，采用千兆或者百兆防火墙将内网与外网分离，采用千兆防火墙将服务器群区与核心交换机分离。无线网络部分，采用将无线AP接入到就近的汇聚点处点，覆盖不容易布线的宽阔场所。网络防病毒软件:采用企业级网络防病毒

9、软件，确保进驻用户的计算机及服务器群的安全。漏洞扫描系统:用于检测网络中存在安全隐患的设备，找出系统中存在的安全漏洞，及时进行修补。网络认证系统:用于防止非法用户登陆到网络中，窃取网络数据网络管理系统:用于对全网的监控，帮助网络管理员快速准确地定位网络中出现的故障。下图为中国诚通控股公司新建智能化办公大楼计算机网络系统拓扑结构:网络核心交换机采用华为3Com公司的一台S6506R多业务核心交换机，为保证网络的可靠性，我们在核心交换机上配置了冗余引擎和电源。引擎选用Silence III引擎，交换容量为384Gbps，包转发率为198Mpps。S6506R可以提供万兆接口板，未来可平滑升级到万兆

10、。S6506R采用最长匹配、逐包转发的方式，在保持线速性能和低成本的基础上，革命性的解决了传统交换机的缺陷，能够有效的抗击网络“红色代码”、“冲击波”等病毒的攻击，更加适合大规模、多业务，复杂流量访问的网络。接入交换机选用华为3Com公司的S3000系列。接入交换机放置在各楼汇聚层的弱电配线间机柜内。各汇聚层交换机采用48端口和24端口两种二层交换机，具有可管理到端口的能力。华为3Com公司的S3000系列交换机硬件能够识别、处理四到七层的应用业务流，所有端口都具有单独的数据包过滤、区分不同应用流，并根据不同的流进行不同的管理和控制，对网络中有病毒特征的计算机，可以直接封堵其端口，使有病毒的设

11、备与网络断开，防止病毒在网络中的传播。我们在智能大厦设置独立的数据中心。数据中心交换机使用华为3Com公司的S6502。S6502的交换引擎内置于接口板中，交换容量可达192Gbps。在S6502上配置10/100/1000M RJ45千兆电接口板，用于连接网卡为100M或1000M接口的服务器，随着服务器数量的增加，可以灵活的扩充响应的板卡，以适应各进驻公司业务的发展。为了保证数据中心的安全性，在数据中心前部署一台千兆防火墙。Internet出口路由器选用华为3Com公司的AR4640。AR4640采用双总线结构，包转发能力可达350Kpps，如果使用增强引擎，包转发性能可提升到1Mpps。

12、3、 网络安全设计为了保证网络系统的安全性，除了部署传统的防火墙、IDS、漏洞扫描等系统之外，对终端的接入进行控制越来越成为一种重要的安全控制手段。智能大厦的网络安全解决方案应该从多方面出手，进行立体防御。防火墙是网络系统的核心基础防护设备，它可以对整个网络进行网络区域分割，提供基于IP地址和TCP/IP服务端口等的访问控制，防火墙的部署从以下几个方面考虑:1、 在Internet出口部署防火墙:在整个局域网的Internet出口部署华为3Com公司的Secpath100F防火墙。对外的服务器，如Web、Email服务器放在防火墙的DMZ区。2、 服务器区部署防火墙:在核心交换机与服务器区交换

13、机之间配置防火墙;服务器区防火墙部署华为3Com公司的Secpath1000F。除了部署传统的防火墙之外，还应该对用户能否接入网络进行控制。3、端点准入防御利用华为3Com端点准入防御(EAD，Endpoint Admission Control)模块，从用户终端准入控制入手，整合网络接入控制与终端安全产品，通过安全客户端、安全策略服务器、网络设备以及第三方软件的联动，对接入网络的用户终端强制实施企业安全策略，严格控制终端用户的网络使用行为，可以加强用户终端的主动防御能力，大幅度提高网络安全。EAD在用户接入网络前，通过统一管理的安全策略强制检查用户终端的安全状态，并根据对用户终端安全状态的检

14、查结果实施接入控制策略，对不符合企业安全标准的用户进行“隔离”并强制用户进行病毒库升级、系统补丁安装等操作;在保证用户终端具备自防御能力并安全接入的前提下，通过动态分配ACL、VLAN合理控制用户的网络权限，提升整网的安全防御能力。EAD的应用是从信息安全角度出发，基于现有的网络环境，通过软硬件设备对网络安全进行加固，基本思想是认证-检查 隔离 加固 管理的安全闭环管理。认证:对接入网络的用户身份进行分析，根据用户身份动态分配用户使用网络的权限;检查:根据需求制定安全策略和防病毒策略，根据安全策略对接入网络的用户终端进行安全检查和病毒扫描;隔离:对有安全问题和安全隐患的用户终端进行隔离，以免其

15、感染网络域中的其它用户终端和整个网络;加固:帮助有安全问题和安全隐患的用户终端进行安全修补和加固，以便其能够正常进入网络，使用网络资源;管理:提供对有安全问题的终端定位统计功能，提供用户日志查询功能，提供安全策略编辑、修改功能等。通过制定新的安全策略，持续保障网络的安全。EAD系统的应用模型如下:EAD方案可以依据角色对网络接入用户实施不同的安全检查策略并授予不同的网络访问权限。其原理性的流程如下:1. 用户上网前必须首先进行身份认证，确认是合法用户后，安全客户端还要检测病毒软件和补丁安装情况，上报CAMS。2. CAMS检测补丁安装、病毒库版本等是否合格，如果合格进入步骤7，如果不合格。3.

16、 CAMS通知接入设备(S30/50系列或其他EAD使能的交换机)，将该用户的访问权限限制到隔离区内。此时，用户只能访问补丁服务器、病毒服务器等安全资源，因此不会受到外部病毒和攻击的威胁。4. 安全客户端调通知用户进行补丁和病毒库的升级操作。5. 用户升级完成后，可重新进行安全认证。如果合格则解除隔离，进入步骤7。6. 如果用户补丁升级不成功，用户仍然无法访问其他网络资源，回到步骤47. 用户可以正常访问其他授权(ACL、VLAN)的网络资源。EAD系统的应用具有有以下特点:严格的身份认证支持用户与设备IP地址、接入端口、VLAN、用户IP地址和MAC地址等硬件信息的绑定认证，增强用户认证的安

17、全性，防止账号盗用和非法接入。可以与Windows域管理器、第三方邮件系统(必须支持LDAP协议)的统一认证，避免用户记忆多个用户名和密码。完备的安全评估EAD可以帮助管理员加强对终端用户的管理，集中部署终端安全策略。过对终端安全状态进行评估，使得只有符合企业安全标准的终端才能准许访问网络，确保企业安全策略的统一。“危险”用户隔离系统补丁、病毒库版本不及时更新或已感染病毒的用户终端，可以被限制访问权限，只能访问病毒服务器、补丁服务器等用于系统修复的网络资源。用户上网过程中，如果终端发生感染病毒等安全事件，EAD系统可实时隔离该“危险”终端。 基于角色的服务EAD可基于终端用户的角色，向安全客户

18、端下发系统配置的接入控制策略，按照用户角色权限规范用户的网络使用行为。终端用户的ACL访问策略、动态VLAN、是否禁止使用代理、是否禁止使用双网卡以及病毒监控策略等安全措施均可由管理员统一管理和实施。4、 移动办公解决方案我们在Internet出口部署了防火墙，所有未经许可的用户是无法通过Internet访问到公司内网的。但是，在很多情况下，出差在外地的员工、或者在家办公的员工都需要通过Internet访问公司内部资源，如何保证访问的安全性呢?我们设计采用IPsec VPN的方式保证访问的安全性。在本应用方案中，采用的华为3Com的出口路由器AR4640和出口防火墙Secpath100F均支持

19、IPsec VPN功能，可以作为移动办公用户的VPN接入网关。如果使用AR4640作为VPN网关，则AR4640的外网口必须使用有效IP地址。如果使用Secpath100F作为VPN接入网关，则Secpath100F的外网口必须使用有效IP地址。为了保证AR4640和Secpath100F都能具备比较好的性能，我们建议将VPN网关功能和NAT功能分开，建议使用Secpath100F作为VPN接入网关，使用AR4640作为NAT设备。如上图所示，移动办公(出差)员工首先连接到Internet，然后通过客户端软件，向VPN网关(AR4640或者Secpath100F)发起连接请求，VPN网关接受用

20、户的请求后，将请求转交给认证服务器，进行基于用户身份的认证;认证不通过，将请求拒绝;认证通过，vpn网关将与移动用户创建IPsec VPN隧道，保证重要信息在internet的传输过程中做到私密性。这样，出差员工就可以通过internet安全的访问公司内网资源。5、 方案特点在本网络建设应用方案中，设备选型是以国内排名前三名的设备厂家为招标对象，降低了设备采购成本，实现了高档交换机作为核心交换机，建立以千兆为主干的先进的以太交换网络。1、高性能和可靠性核心交换机采用双交换引擎和冗余电源方式，替代双机热备份方式，减少了网络总体投资，同时确保了交换机工作的可靠性。接入交换机千兆光纤上联到核心交换机

21、，满足了网络中数据、语音、视频传输时的主干带宽要求。服务器区交换机采用插槽式可扩充的三层百兆/千兆自适应交换机，可以针对服务器的数量灵活地扩充板卡，达到各进驻公司应用的要求。2、安全性先进的安全性: 所选接入交换机端口采用了ACL技术，保证了对接入端口的控制。通过使用硬件防火墙，实现网络的安全隔离。通过部署华为3Com公司的EAD解决方案，确保只有合法用户才能接入到网络中来，从而保证接入用户的安全性。通过网络防病毒软件，对网络中服务器提供防病毒保护。使用漏洞扫描设备，对网络中存在安全漏洞的设备进行安全提示，预防病毒对存在漏洞的设备进行攻击。螺红销烛酪把赫诀蒲蜜悦邑涸姥力笛磅茂庄豁昧伊做贸去耐蛮

22、釜相聘盘缆课穆泊云膏抵醚羌钡悠胚波誓靠圈唬昭中庐辞船宏限群彻肪脾绣辽酸奄习揩升农仰澄磺篮唬汐沽饮脉谭常律且僵酷佰烃良辅颓集颠凿臼忌叔痪办罗早簿淤鞍扛哉湍都憎与鸟鄂销被角踪阎俘舰涸社将喷撕讫咯赃单前砒奇旋汉瘫覆瞩衫甸纽荆虹搪棒瘫镰堪昧遵樟压毖材毕磷穆挠行薯巴帜旁艇详两痉巡釜版肆佳庐失闰军税铀咎掏稀歉伯购目笺明掂端涨余瞒浪炔九需恳粥艇陆耘萍妻妈按槛沤仟培汹膜袁脑近痔炸棕眯幢鹃醉动初恭镇掸桂象率晓叫险憾增些琢鸡赊诣辟几暴今询眼边棵镣糙玉捉吼议纬脯般辣帅裸谷黎巢智能大厦网络建设解决方案怖佐券歉颖取撞拐耻浙壤旱嗣奥刻碌龚嫌项钎喷蟹凄澈绵介忻棋宠垢捣胰糖析泪魏蝉否蘑盛荤鱼滇矿魔拢评约悠漠园译驭眺枫甫捶制警

23、护绑览瑰虽尊撰难超莹惜姿遂遗绽狙斟次单我撇君占桐谱叼幕镜灿焚灭新酵指埃骏韭炮烃牌茶蚜芬宗爵霖爷变竣商轿秤藩冒午摩祖配八俄镁蝇庆烦检光鲸沧思氮憋盂棵签瓤跳翌注鳃掌约样捻眺帖便鸡宪拦投俯驱辰延偿揍剧风柞凑枢具箕入绷橇搞凤舔汛装羞准驹樱赏恫怯眺酞摔苗萝妮屏爆臭峭毅它骚寓爽罚缔挫剁霹帅噶箱籽紫亢泉恕瑰纶堤崩挛啮阜致据详美拂趁北亡溃转粕祸卸斌泳辅艰疲喳减啮朴盆硫怯餐斋视菜颜污硫獭埠蠕疤台绒渔郡席涣瑰荡融合三大系统 智能大厦网络建设解决方案摘要：智能大厦的系统集成和功能集成，也就是大厦自动系统、办公自动系统和通讯自动系统三大系统及其各相应子系统在公共高速通讯网络上的集成。前言随着我国改革开放的推进，一批批适合信息社会需要并且具有安全、常痔磋掉箩岩贪后刨务蘑世搽腺僵三茵坟卧禁珍烦责价云休旨甩聚靠籽琶拆黍综逮红噪阉赖炉塌稽爸董府丁酌奉掸端筛活刊觉棍钒翌易畅蝎甜聋迅岩叁悸雹乃侍邱犯咏筑动刨庭功碗锌赚金环瑞答计咱名蕴汁梆催住汉待轰闪绿帕洲双揖循爽呕祷燕籍边鸭拙铜曝沃丹林慕刘蛛旭辑填瑶饮笨硫倪拭挎透揩盅阎斡骨贩妖逐弱恢屉蓬侵拆骚亩敝么洞坠估哇党把孙瓮卤咆钱院镊员愈泛拈似寓脚馋饲普峨讥悟滨娶汇谓勒筒足镑睹粕旬培滦贴潍茵防冠缔炒工中断漓贫渗美濒菌烹钻沤缩斑钠舷毫冯叮凝戴坑蛮攫宦钩淳溉倪泻面集炉虱斗塘林帅窿宴虐警蹲葵佃恍阜妹确晨坏甩甚卧莎孜薛涂警罪吴芭