南京市xx局.doc_咨信网zixin.com.cn

资源描述

南京市XX局智能化系统设计方案书上海XX信息产业股份有限公司 2007年1月目录第1章工程概况 1 第2章设计依据 1 第3章设计原则 2 第4章设计范围 4 第5章结构化布线系统设计 4 5.1 概述 5 5.2 设计原则 11 5.3 系统设计 12 5.4 耐康（DYNACOM）综合布线系统介绍 15 5.5 系统配置清单 18 第6章计算机网络系统设计 19 6.1 设计原则 19 6.2 系统设计说明 21 6.2.1 内网系统设计 21 6.2.2 外网系统设计 24 6.3 产品介绍 24 6.3.1 华为-3COM Quidway S5624P交换机 24 6.3.2 华为-3COM Quidway S5624P交换机 27 6.3.3 华为-3COM Quidway S3026C交换机 29 6.3.4 天融信NGFW系列防火墙 32 6.4 系统配置清单 44 第7章语音通讯系统设计 44 7.1 概述 44 7.2 系统设计原则 44 7.3 系统设计说明 45 7.4 系统功能 47 7.5 设备参数及指标 50 7.6 系统配置清单 51 7.7 系统概述 51 7.8 系统主要设备及技术特点介绍 52 7.9 二层40平方米大会议室（3层电教室，4层培训室）设计 52 7.9.1 系统分析 52 7.9.2 系统设计 53 第8章闭路监控系统（安全防范系统）设计 64 8.1 系统描述 64 8.1.1 闭路电视监控系统概述 64 8.1.2 防盗报警系统概述 65 8.2 系统设计说明 66 8.2.1 闭路监控系统设计 66 8.2.2 防盗报警系统设计 72 第9章有线电视系统设计 75 9.1 系统概述 75 9.2 系统设计说明 75 9.3 系统组成 76 9.3.1 电视网络结构 76 9.3.2 电缆电视分配系统 76 9.4 系统主要技术参数 76 9.5 系统设备清单 77 第10章公共广播系统设计 77 10.1 概述 77 10.2 系统设计说明 77 10.2.1 音源设备 78 10.2.2 放大和处理设备 78 10.2.3 传输线路 78 10.2.4 放音设备 78 10.3 系统结构图 79 10.4 系统功能 79 10.5 主要设备性能 79 10.6 系统配置清单 80 第11章触摸屏及大屏幕显示系统设计 81 11.1 触摸屏查询系统设计 81 11.2 电子大屏幕显示系统设计 86 11.3 系统配置清单 91 第12章机房工程设计 91 12.1 概述 91 12.2 中央机房要求 92 12.2.1 地板 92 12.2.2 墙体 92 12.2.3 吊顶 93 12.2.4 机房环境要求 93 12.3 UPS不间断电源系统设计 94 12.4 防雷接地系统设计 96 12.4.1 防雷系统设计 96 12.4.2 接地系统 96 12.5 系统配置清单 97 第1章工程概况南京市XX局办公楼位于南京市XX。大楼位置通行方便，是一幢4层的办公用房。主楼总计4层， 1层主要用于办公和政务处理接待，包含4间办公室、1间值班室、1间政务大厅；2层为6间办公室和1间会议室；3层用于办公室1间，宿舍3间和1间电教室，计算机机房也位于3层；4层有1个培训室和4间办公室。南京市XX局办公楼的楼层根据建设状况功能定位为政务办公、会议、培训、等。根据需求来分析，本大楼将全面实现办公自动化、指挥自动化、通讯自动化、安保和管理自动化，以适应现代化信息的要求，为办公及接待提供一个舒适、安全、高效、多功能的环境。第2章设计依据《智能建筑设计标准》CB／T 5 0314-2000 《建筑与建筑群综合布线系统工程设计规范》CB/T50311-2000 《民用建筑电气设计规范》JGJ／T16—92 《有线电视系统工程技术规范》GB50200-94 《民用闭路监视电视系统工程技术规范》CB5 0198-94 《安全防范工程程序与要求》CA／T75-1994 《会议系统电视及音频的性能要求》CB／T1 5 381—94 《电子计算机场地通用规范》(GB／T 2887—2000) 《电子计算机机房施工及验收规范》(SJ／T30003--93) 《通讯机房静电防护通则》YD／丁754-95 《建筑物防雷设计规范》GB50057-94 《用户楼宇通用布线标准》IS0／IEC 11801 《商用建筑通讯布线标准》TIA／EIA-568 《商用建筑通讯布线线槽及空间标准》ASSI／EIA／TIA 《涉密计算机网络建设规范》各相关专业及部门设计资料等第3章设计原则本次弱电系统工程的建设在常规设计和施工的基础上，要特别注意南京市XX局办公楼的专用和特殊要求系统工程的设计与施工。设计和施工时遵循以下原则： n 先进性充分考虑信息技术和信息需求的迅速发展的趋势，在技术上应具有一定的超前性，采用国际或国内通行的先进技术，以适应现代科学技术的发展。总体设计要一步到位，要保证南京市XX局办公楼总体智能化水平达到较高档次。在管线到位的情况下，可根据技术的发展和南京市XX局办公楼投资状况，分步实施智能化系统，以提升整体技术应用水平。应保证将南京市XX局办公楼建成为先进的、现代化的智能化南京市XX局办公楼和多年后不落后。以适度超前的意识为指导原则，设计中采用先进的系统设备及系统软件和开发工具，保证系统在技术上领先，成熟稳定，符合今后的发展趋势。 n 成熟性和实用性采用被实践证明为成熟和实用的技术和设备，最大限度地满足南京市XX局办公楼现在和将来的业务发展需要，确保耐久实用。系统管理功能全面，能充分满足南京市XX局办公楼自身各种业务的管理要求。应具有完全的操作环境，界面简练、友好，联机帮助功能健全有效。 n 开放性充分考虑南京市XX局办公楼发展的需要，采用开放的技术标准，使系统与未来的新增设备具有互联性和操作性，且能很方便地融入全球信息网络中。智能化系统应具备开放性和兼容性。采用高度模块化设计，可与未来更换扩展的设备具有互连性和互操作性，各子系统之间留有标准通用通讯接口，为子系统的扩充、集成留有余地。 n 集成性和可扩展性应充分考虑弱电智能化系统所涉及的各子系统的集成和信息共享，保证系统总体上的先进性和合理性，采用集中管理，操作和分散控制的模式。根据智能化系统的实际情况，按需要分层次实现各子系统的集成和信息共享，保证系统总体上的先进性和合理性，采用集中管理、分散控制的模式。总体结构具有兼容性和可扩展性，既可包容不同厂类型的产品，便于升级换代，使整个智能化系统可以随着技术的发展与进步，不断得到充实、完善、改进和提高，并在管路预埋和主干敷设上留有冗余，以便于将来的扩展。 n 标准化和模块化根据南京市XX局办公楼智能化系统总体结构的要求，各子系统必须标准化、模块化，代表当今新的、先进的科技水平。 n 安全性和可靠性南京市XX局办公楼智能化系统必须具有高度的安全性、可靠性和稳定性，包括系统自身安全和信息传递的安全，以及运行的可靠性。对网络系统、数据系统的数据交换、存储和访问等应有有效的安全措施，防止数据被破坏、窃取、丢失等事故发生。安全级别控制健全，防止截取操作，能有效审计用户操作，以便追查事故原因。计算机网络系统的软、硬件设备要求运行稳定，故障率低，容错性强，应采取有效措施，保证系统无故障连续运行。 n 服务性和便利性（强调以人为本）强调以人为本的设计思想，适应多功能、外向型的需求，对于来自南京市XX局办公楼内外的各种信息进行收集、处理、存储、传输、检索、查询，为南京市XX局办公楼的使用者和管理者提供有效的信息服务和充分的决策依据，为用户和管理人员提供安全、舒适、方便、快捷、高效、节约的工作和办公环境。 n 可维护性具备故障诊断和分析工具，能帮助维护人员迅速判断故障原因，并具备有效的维护工具和系统自恢复工具，能保证及时准确排除故障。智能化系统同时具备有一定的远程诊断和维护能力。 n 经济性在实现先进性和可靠性的前提下，达到较高的性能价格比以及经济的优化设计。设备选型和系统设计要在确保用户需求、系统集成要求的前提下应具有良好的性价比。 n 整体规划性系统设计中采用先进、成熟、实用的技术，整体进行系统的优化集成设计。从立足现在、展望未来的观点出发，提供系统近期的实施方案、中期的扩容方案和远期的发展规划。总体设计中，考虑未来智能化的发展、应用趋势，结合未来XX系统的功能拓展及延伸服务等，充分实现资源共享、信息共享，同时对XX系统应用的特殊要求，如数据安全性、网络的可靠性、各种系统的容错性等均提供较高级别的运行及服务保障。第4章设计范围本次南京市XX局办公楼智能化系统的实际需要，共包括9个大系统： l 结构化布线系统 l 计算机网络系统 l 语音通讯系统（电话） l 会议系统 l 闭路监控系统(安全防范系统) l 有线电视系统 l 公共广播系统 l 触摸屏查询及电子大屏幕显示系统 l 机房工程第5章结构化布线系统设计结构化布线系统(PDS)是在楼宇和园区范围内，利用统一的传输介质上建立的可以连接电话、计算机、会议电视和监视电视等设备的结构化信息传输系统。PDS使用标准的双绞线和光纤，支持高速率的数据传输。它包括一系列专用的插座和连接硬件，使用户可以把设备连到标准的话音／数据信息插座上，使安装、维护、升级和扩展都非常方便，并节省费用。PDS使用星型拓扑结构，使系统的集中管理成为可能，也使每个信息点的故障、改动或增加不影响其他的信息点。 5.1 概述综合布线系统一般由六个独立的子系统组成，采用星型结构布放线缆，可使任何一个子系统独立的进入综合布线系统中，其六个独立的子系统分别为： l 工作区子系统（Work Area Subsystem） l 水平子系统（Horizontal Cabling Subsystem） l 管理子系统（Administration Subsystem） l 主干子系统（Backbone Cabling Subsystem） l 设备室子系统（Equipment Room Subsystem） l 建筑群子系统（CAVAYAus Subsystem）这六个独立的子系统每一个均为独立的单元组，更改其中任何一个子系统都不会影响其他于系统，同时结构化布线系统也是一个非常灵活的布线系统，可根据不同的需求而采用不同的设计。结构化布线系统具有开放式的结构，它能支持不同厂家的设备和系统的应用，包括数据终端、模拟和数字电话、计算机主机、可视电话会议系统、多媒体应用、智能化楼宇系统以及其他通用系统和设备。这六个独立的子系统的结构示意图如下： n 工作区子系统工作区子系统就是将用户的通信设备（电话、FAX、计算机、打印机等）连接到结构化布线系统的信息插座上。信息插座对于UTP来说，一般是采用T568A-ISDN或T568B-ALT标准的8位置模组化信息插座。对于光缆来说T568A规定使用具有SC连接器的信息插座。工作区子系统中依赖于用户使用的通讯设备还将要求有各种适配器，如IBM的的同轴电缆适配器等。所以工作区于系统中包括各种适配器，连接器和连接硬件（跳线），既工作区子系统还包括各种将用户设备与信息插座相连的硬件。 n 水平子系统水平子系统是在楼层平面范围内的信息传输介质（即4对UTP非屏蔽双绞线或水平光缆及其相关部件）。为了支持飞速发展的通信，4对UTP非屏蔽双绞线已成为标准的传输介质用来支持ISDN、6BasesT、60Base-T、TP-PMD，甚至于兆位以太网等，所以为了保护投资，适应网络的发展，应尽量选用高品质的五类 UTP来组成水平子系统。在有些场合，如距离较远，超过UTP非屏蔽双绞线支持的90m的范围，或FDDI网、高清晰度的视像到桌面等应用，可采用光纤到桌面的水平布线。水平子系统的特点是水平布线UTP或光缆的一端必须端接在安装于墙上或地板上的信息插座，另一端则端接在分配线间（IDF）中的UTP铜缆配线架或光纤配线架上。水平子系统是工作区子系统和管理子系统的连接桥梁，由于它和工作区直接相连，并与建筑平面布线设计相关，故它的设置成功与否将极大地影响结构化布线系统。 n 管理子系统管理子系统是指支持水平交叉连接、中间交叉连接、主交叉连接的配线系统，它们是实现结构化布线系统的关键。管理子系统主要由铜缆配线架、光纤配线架、相关配套交叉连接元件及色标规则等组成，为连接其它的子系统及相应的管理提供手段。为了使结构化布线系统易于管理，EIA/TIA 606规定了商业建筑的电信通道结构的管理标准，标准给出了建议的颜色分区编码及所需提供的管理标签。管理子系统一般有单点管理和双点管理两种方式。其工作均在连接场上实现（连接场是在配线设备上，用不同颜色区分各种不同用途线路所占的范围），场的结构取决于工作区、布线规范和选用的硬件。 n 主干子系统主干子系统是结构化布线系统的骨于。在结构化布线系统中，主干子系统将设备室中的主配线系统 MDF（支持主交叉连接）与分配线间中的分配线系统IDF（支持水平交叉连接）互连起来。主干子系统主要由各种主干铜缆及光缆组成。在多层建筑物中，每层或多层有一个分配线间IDF，主干子系统经由分配线间中的分配线系统与水干子系统互连，经由设备室中的主配线系统与户外系统互连。因此主干子系统就是一条通信干线，从概念上讲它是楼群内的主干通信系统。主干子系统并非一定垂直布置的，在一些特定的场合中，比如单层平面比较大的厂房，主于子系统就是平面布置的，它同样起着连接各水平子系统的作用。 n 设备室子系统设备室子系统是一个可安放许多用户共用的通信装置的场所；是通信设施、配线设备的所在地；也是线路管理的集中点。设备室子系统将各种公共系统的设备互连，如PBX、大型计算机、计算机网络设备等，并提供户外系统公共、专用网络接口缆的引入设施等。在大型建筑物中，有时还不止一个设备子系统。同时在建筑物中，设备室的位置和环境的选择亦是一个重要的问题。 n 建筑群子系统建筑群子系统包括建筑物间的主干布线及建筑物中的引入设施。在建筑群环境中，主设备室要放在一个建筑物内，其它的每一个建筑物内都要配一个中间设备室。这样才能支持结构化布线系统中的星型拓扑结构。同时，建筑物间的主干布线要注意路由的选定、敷设方式、线缆型号（铜缆还是光缆），特别要注意保护装置，除应符合我国的相关规范外，还要注意满足设备厂家的接地与保护的特殊要求。 5.2 设计原则综合布线规划不仅要满足现有需求，更要为今后的发展留有余地，整体布线设计上，应采用结构化布线作为传输基础，所以我们应遵循以下原则： l 先进性采用技术成熟、先进的产品，工程设计和施工能够适应未来技术的发展，保证整个综合布线系统不仅仅能够满足当前应用，而且还要适应今后不断发展的技术标准，并要提供一定期限的质保。 l 标准化整个方案设计和选用产品必须坚持标准化原则，遵从国际化组织所制定的多种国际标准及工业标准，从而使得整个综合布线工程具有高质量、高兼容性与高联通性等特点。高质量表现在整个工程能够满足标准化布线系统测试标准(EIA/TIA-568A/569工业标准和商业建筑布线标准;建筑与建筑群综合布线系统工程设计规范)。高兼容性表现在能够适应多种媒体信息的传输，而且能够适应多个厂家的符合国际标准的计算机设备、通信设备的连接，以便在今后的设备选择上具有开放性和多样性。高联通性使得今后构建网络时方便、灵活，支持各种网络结构和网络协议，并且支持多种通信介质，能够实现多种网络系统互联。 l 可维护性要求设计要保证各个部分的连接清晰、明确、简洁，保证有足够的空间进行维护和使用。 l 灵活性结构设计应做到配线容易，信息口设置合理，做到即插即用。 l 模块化结构化布线系统中除去固定于建筑物内的水平或竖直线缆外，其余所有的接插件都应是积木式的标准件，以方便管理和扩充。 l 经济性一次性投资后，维护费用较低，使整体投资达到最少。 5.3 系统设计南京XX局的综合布线包括了语音系统布线和网络系统布线，其中语音系统布线分为内线电话、外线电话和专线电话，网络系统布线分为内网和外网，全部采用物理隔离方式。根据我们对图纸的统计，所有信息点的数量如下表所示：楼层外线内线专线外网内网 A区一楼 22 2 22 22 二楼 26 2 26 26 三楼 24 2 24 24 四楼 17 2 17 87 总计 89 8 159 89 针对以上分析，再结合比较目前综合布线产品的性价比，为了满足以后的发展，布线系统必须超前考虑，为此我们选用性价比高的美国耐康（DYNACOM）综合布线产品。在大楼A区五层设置网络中心机房，各信息点全部采用六类模块化信息插座，可以实现语音/数据信息点的灵活转换。从中心机房到各信息点之间全部直接采用耐康（DYNACOM）六类双绞线。按照六类标准对系统进行配置。在走线设计时，我们严格按照综合布线的标准，从配线机柜出发的电缆先通过埋入墙内的线槽进入吊顶中的线槽，沿线槽到达房间或工作区位置后，再分出PVC支管到房间或工作区内吊顶，剔墙或沿柱而下走暗线到达信息出口处。线缆走向如下图：在配线间里，通过一个多层次的星型拓扑结构，我们可以在配线架上完成各种连接和组网，为各种各样的应用提供通用和特殊的网络(环型、星型、总线型、树型等)。用户方便的管理自己的系统，只要在管理子系统内部稍做调整即可实现功能的调整及I/O位置的调整。通过对各层配线间的合理布局，可预留空间支持用户由于业务发展对对系统扩容的需求。本系统主要采用机柜安装方式，即将配线架分别安放在19英寸标准机柜内。此种形式有以下优点：管理方便：网络设备与配线架同时安放在机柜中，为以后的网络设备的调整及维修提供方便。美观大方：全部水平线缆皆位于机柜后部，表面只见到连接跳线。为了布线及配线间的美观化，我们采用国产42U大机柜。该机柜采用密封式理线器走线方式，机柜前面板所有跳线均采用1U密封式理线器整理，无一条外露的跳线，机柜后部则采用侧板走线方式，所有线缆均沿机柜侧板分组以线扎捆绑后，从机柜后部直接进入静电地板下，机柜后部无任何零乱线缆或跳线。如下图所示：根据如上的布线图，我们依此来分别统计网络布线和语音布线所需线缆的长度及数量。根据要求，我们将内外网的布线及跳线采用不同颜色的线缆进行铺设，以便对于线路的管理和维护，因此在计算网络布线的材料时，需要对内网和外网分别进行统计。 n 外网布线所需双绞线（灰色）的箱数双绞线布线长度公式：总箱数（箱）=INT（总信息点数/（INT（305/（平均长度*1.05+6））） /INT/——取整函数 /总信息点数/——89（外网信息数据点总数） /305/——每箱双绞线长度 /平均长度/——布线平均长度取65米 /1.05/——双绞线在拉伸时的伸缩度 /6/——双绞线两端各留出3米余量总箱数=INT（89/（INT（305/（65*1.05+6））） ≈41（箱） n 内网布线所需双绞线（蓝色）的箱数总箱数=INT（159/（INT（305/（65*1.05+6））） ≈52（箱） n 外线电话布线所需双绞线（蓝色）的箱数总箱数=INT（89/（INT（305/（65*1.05+6））） ≈21（箱） n 专线电话布线所需双绞线（蓝色）的箱数总箱数=INT（8/（INT（305/（65*1.05+6））） ≈5（箱）总计所需灰色六类双绞线的箱数为41箱，所需蓝色六类双绞线的箱数为159箱。 5.4 耐康（DYNACOM）综合布线系统介绍 6类双绞线产品特点 DYNACOM 6类布线系统是一整套端到端的系统解决方案，6类系统的各个组件外形和性能有了显著的改进。 6类双绞线采用独特的生产工艺技术，提高了6类电缆的同芯度，铜导体的直径公差在0.0002mm以内，绝缘外径偏差在0.01mm以内，同芯度达到96%以上，提高了电缆的回波损耗性能。 6类双绞线增加了电缆直径，从24AWG（美国线规，值越小直径越粗）改为23AWG，降低了信号衰减。 6类双绞线采用了经过一定比例预先扭绞的十字型塑料骨架，保持电缆结构的稳定性的同时降低了线对之间的串扰，此外，6类双绞线单位长度的扭绞密度比六类更为紧密，使近端串扰和抗干扰性能得到改善。 DYNACOM 6类双绞线远超过6类标准TIA/EIA568-B.2-1的要求，可达到600MHZ的应用带宽。 DYNACOM 6类双绞线性能 6类信息插座产品特点六类信息插座金属针采用50u镀金，可重复插拔1000余次；性能达到和超越六类标准可提供两种TIA/EIA的接线方案可提供多种不同颜色的信息插座及色码图标 110 IDC端接及专利印刷电路板设计可将信息插座和SF连接器快速插入各种国标框盒及面板可支持T568A及T568B接线指引,适合用于多媒体的解决方案多种选择,美观悦目,支持TIA/EIA标准端接容易,经久耐用,高性能,确保质量和性能的一致性 6类配线架产品特点 6类配线架采用模块化设计，便于安装和维护，每个模块都可以独立更换。六类信息插座金属针采用50u镀金，可重复插拔1000余次；可支持T568A及T568B接线指引,适合用于多媒体的解决方案带支撑缆线的托架，插座外观齐平，接线板卷边设计因此DYNACOM NETCONNECT6类布线系统是一整套端到端完整的系统解决方案，系统组件能够达到最佳的性能匹配；6类系统可以提供更高的信道余量，能够支持未来更高的网络应用；6类系统可以支持更经济的千兆以太网解决方案－1000Base-TX,降低了千兆以网的综合建设成本；DYNACOM NETCONNECT 6类系统最先通过了ETL实验室四连接100米通道测试。 5.5 系统配置清单序号产品名称产品型号品牌产地单位数量 1 工作区子系统　　　　　 1.1 双孔面板（带防尘盖） 1060P-2 Dynacom 美国个 1.2 六类信息模块 10606C-XXX Dynacom 美国个 2 水平子系统　　　　 2.1 六类UTP双绞线(灰) 600W-BLU Dynacom 美国箱 2.2 六类UTP双绞线(蓝) 600W-GRY Dynacom 美国箱 4 管理子系统　　　　 4.1 100对110型配线架 110RM-100-X Dynacom 美国个 4.2 1U过线槽 2013-WMPB1 Dynacom 美国个 4.3 六类24口配线架 2013-24C6 Dynacom 美国个 4.4 配线间机柜，19英寸 800X600X1200 中国国产个 5 设备间子系统　　　　 5.9 六类RJ45跳线(灰) 定制（1.5米）国产中国条 5.10 六类RJ45跳线(蓝) 定制（1.5米）国产中国条 5.11 设备间机柜 19’42U 　国产个 6 工具　　　　 6.1 110单对打线工具 DY-14B Dynacom 美国把 6.2 5对打线工具 788JH1 Dynacom 美国把第6章计算机网络系统设计 6.1 设计原则为了保证南京XX局办公楼的计算机网络系统建设能够切实可用，在方案设计时，我们将严格遵循以下设计原则： Ø 开放性开放是网络系统得以生存的基础。一个开放的网络系统可以包容各种技术，包括成熟的技术和最先进的技术。对于一个开放网络系统来讲，最重要的是要遵循国际工业化标准，支持各种标准协议、传输方式及传输接口，充分考虑未来异种计算机系统和计算机网络互联的情况，以保证系统有较长的生命周期。 Ø 实用性使用是网络建设的目的。如果脱离开网络的实际使用目的而只是简单堆砌一些网络技术，那无异于空中楼阁。网络设计的实用性建立在对用户需求的仔细理解基础上。 Ø 先进性在保证开放性和实用性原则的基础上，在资金许可的情况下，采用先进的网络技术，适当的网络组合，发挥最佳的集成效果，保证在相当长一段时间内系统整体处于先进水准。 Ø 可扩展性近几年来，网络业务发展非常快，因此，今天的网络必须适应明天的发展，可以迅速扩展，同时保护已有投资。对于用户来讲，需求是不断变化着的，尤其是对于南京XX局办公楼的网络环境来说，要兼顾目前的网络需求和今后较长时期的网络发展需要，即设计时必须留有恰如其分的余量，使系统具有良好的可缩放性，确保在今后需求变化时，结构上不做或只做很小的改动。网络系统的可缩放性表现在网络带宽的可缩放性、网络规模的可缩放性以及网络服务的可增删性等。 Ø 可靠性因为网络中断会直接影响开展业务，产生巨大的直接或者间接经济损失。所以网络的稳定性至关重要。相应地在网络设计时，必须强调系统备份与网络冗余连接，要求网络有较好的容错能力，做到系统自动备份及线上即时管理，整个网络可靠地不间断工作，以确保系统的安全与稳定运作。 Ø 安全性对于南京XX局办公楼来说，系统安全是非常重要的。一个完整的安全解决方案应该包括从网络、主机/服务器一直到应用的安全。在网络设计时，需考虑多级安全防范措施，包括路由器过滤、防火墙隔离、加密传输、身份认证等多种方法组合防护，根据不同的需要进行不同的网络安全设计，最大程度地保护整个网络系统的安全。 Ø 可管理性未来的网络越来越复杂只有容易管理和维护的网络才能保证网络的可靠和稳定。同时降低运行成本。尤其是对于南京XX局办公楼网络系统来说，一套完善的网络管理解决方案是必不可少的。只有通过网管系统，才能及时方便地了解网络的运行状况，提高网络运行效率，及时发现各种网络故障并迅速排除，以保障网络系统正常、高效地运行。 Ø 多协议支持由于可能需要应用多种网络传输协议，如TCP/IP、SPX/IPX、NetBEUI、DECnet、甚至SNA等，因此在网络设计时，必须保证能够集成上述各种网络协议，以支持各种网络应用。 Ø 多服务支持网络技术的发展趋势是在同一个网络传输介质中支持更多的网络传输服务，从传统的单一数据传输向集成语音和视频等服务的多媒体网络发展。在网络设计时，必须考虑到对这些网络传输服务以及将来可能的传输服务的支持，以适应国际上网络技术的发展。 Ø 降低总拥有成本总拥有成本包括：设备投资、通信线路投资、运行维护费用、人员培训费用、网络中断所导致的直接或者间接经济损失。 6.2 系统设计说明南京XX局的网络分为内网和外网两个部份，采用物理隔离的方式，其中外网接入到Internet，内网需要接入到XX局专网，如下图所示： 6.2.1 内网系统设计在南京XX局，我们采用一台高端的华为-3COM Quidway S5624P交换机（以下简称S5624P交换机）作为整个南京XX局内网的核心交换机。由于核心交换机需要承担大量的数据转发功能，因此需要大容量的背板带宽和包转发速率，为此我们在S5624P交换机配置1块自带4块SFP接口的iSalience™III交换引擎，提供96Gbps的高交换容量和高达72Mpps的包转发速率。由于大楼A区内没有设置子配线间，因此可以将A区所有的信息点直接与核心交换机联接，这样，A区所有的内网信息数据点都可以共享到核心交换机的大容量背板带宽和高速包转发速率。A区内网数据点共有248个，因此我们可以在S5624P核心交换机上配置4块48端口10/100M自适应模块（共192个端口），同时考虑到部份服务器可能会采用光纤网卡进行接入，所以在S5624P核心交换机上再配置一块4端口千兆以太网SFP光接口业务板，配置4块SFP光接口模块，用于满足光纤接入的需要。由于南京XX局内网同时需要接入到XX局专网（属于三级网接入），因此三级网接入的安全问题也是一个很重要的问题。为此，我们在南京XX局与XX局专网的接入上采用一台天融信NGFW2000-T百兆防火墙，该防火墙与内网S5624P核心交换机联接的端口设置为Inside（即可信任区），与XX局专网联接的端口设置为Outside（即不可信任区）。由于在XX局专网内都必须使用省XX局统一分配的IP地址，因此在防火墙上不需要设置NAT（功能），并且将防火墙设置为透明模式而不是路由模式。我们在三级网接入设备上选用防火墙，也是从安全性角度来考虑，防火墙是解决网络层安全最基本、最经济、最有效的手段之一。防火墙可以实现内外网或不同信任域之间的隔离与访问控制。防火墙可以做到网络间的访问控制需求，过滤一些不安全服务，可以针对协议、端口号、时间、流量等条件实现安全的访问控制。同时防火墙具有很强的日志记录的功能，可以按照既定的安全策略来记录所有不安全的访问行为。天融信NGFW4000-T防火墙上接收的数据首先交给路由模块和透明模块进行处理，然后将数据交给规则检查模块，如果规则检查模块在规则匹配过程中需要对数据进行还原，那么数据将被提交给协议还原模块，协议还原模块根据具体协议的类型，将数据交给具体协议的还原模块去完成。比如FTP 协议数据就交给FTP 还原模块进行还原、HTTP 协议数据就交给HTTP 协议还原模块去处理、SMTP 协议数据就交给SMTP 还原模块去处理，然后根据还原的结果来执行相应的安全策略。防火墙在网络入口点检查网络通信，屏蔽非法侵入，防火墙功能正确实施的关键是其安全策略的配置和管理。南京XX局网络是一个专用性和保密性很强的网络，网络是保证数据进行交换的基础平台，我们知道，在网络中是不允许环路的存在，以下图为例来说明这个问题。如果Switch A收到一个广播帧，下面的过程就会被反复执行。 Switch A向Port 4转发广播帧； Switch B通过Port 6收到广播帧； Switch B向Port 8转发广播帧； Switch C通过Port 7收到广播帧； Switch C向Port 9转发广播帧； Switch A通过Port 5再次收到原来的广播帧，从（1）开始重复以上过程。这样过程重复的结果就是网络会被这一帧以及无穷的副本淹没，这种现象也就称为广播风暴。因此我们面要在网络上配置STP（Spanning Tree Protocol，生成树协议），生成树协议是802.1D网桥协议的一部份，标准的STP可以实现消除网络循环联接带来的网络广播风暴。STP的基本思想就是以网络中的交换机为节点生成一棵转发树，我们知道树是没有环路的，这样所有的数据都只在这棵树所指示的路径上传输，就永远不会产生广播风暴了。 6.2.2 外网系统设计在南京XX局，只有89个外网数据点，因此只需要中心机房设置外网交换机即可。考虑到受网络出口带宽和限制和网络流量的大小，我们采用1台华为-3COM Quidway S5624P交换机（以下简称S5624P交换机）作为整个南京XX局的外网核心交换机，该交换机具有64Gbps的大容量背板带宽和 24Mpps的高速包转发速率。在S5624P交换机上配置3块4端口10/100/1000M自适应端口模块，用于与外网接入层交换机的联接。对于外网接入层交换机，我们配置8台中低端的华为-3COM Quidway S3026C交换机（以下简称S3026C交换机），S3026C交换机具有9.6Gbps的背板带宽和 3.87Mpps的高速包转发速率，该交换机提供24个10/100M以太网电口，每台S3026C接入层交换机均以100M双绞线与外网S5624P核心交换机联接，这样，每台S3026C接入层交换机可以提供23个10/100M自适应端口，8台S3026C交换机共可以提供184个10/100M自适应端口，足以满足A区所有外网数据点及机房内部所需外网数据点的需求。在外网的接入上，我们同样配置一台天融信NGFWARES-S百兆防火墙，该防火墙与外网S5624P核心交换机联接的端口设置为Inside（即可信任区），与Internet联接的端口设置为Outside（即不可信任区）。与内网设置不同的是，在南京XX局接入外网设置的均是私有IP地址，因此在防火墙上需要设置NAT（功能），并且将防火墙设置为路由模式而不是透明模式。该防火墙的工作模式与原理与内网NGFW2000-T防火墙的工作模式与原理类似，因此在此不再说明。 6.3 产品介绍 6.3.1 华为-3COM Quidway S5624P交换机 Quidway® S5624系列高端多业务路由交换机是华为3Com公司面向IP城域网、大型企业网及园区网用户开发的系列大容量、高密度、模块化的二、三层线速以太网交换机产品，主要作为企业的核心交换机或城域网汇聚层交换机。Quidway® S5624能够为城域网、园区网、数据中心提供超高速链路，打造低成本、高性能、具有丰富业务支持能力的高性能网络。Quidway® S5624提供大容量、高密度、模块化的二、三层线速转发性能，同时具有丰富的业务功能、强大的QoS保障、完善的安全管理机制和电信级的高可靠设计，完全满足行业客户和运营商用户对多业务、高可靠、大容量、模块化的需求。 Quidway® S5624系列高端多业务交换机的特点可以用一句话来概括：“多快好省、高而不贵”。 “多”：产品系列多、引擎规格多、接口板类型多。有利于简化网络结构，降低建网成本。产品设计采用开放式的体系结构、统一的硬件平台、完全兼容的引擎和接口板、相同的软件版本、以及系列化机箱。 S5624可以支持POE（Power Over Ethernet）特性，提供支持POE功能的系列机箱和单板，能够实现向远端受电设备（IP电话、WLAN无线接入点等）进行以太网远端供电。S5624还支持EPON接口板。引擎规格多：基于新一代ASIC技术的Salience™ 系列交换路由引擎将L2/3/4线速转发与丰富的QOS、ACL特性结合在一起，是组建高可靠、低时延的核心网络的重要保障。S5624提供系列化的引擎，可以根据用户的需求在系列化机箱上进行灵活配置。 iSalience™ I（交换容量32Gbps） Salience™ I（交换容量64Gbps） Salience™ II（交换容量64Gbps） Salience™ III 96G（交换容量96Gbps） Salience™ III 384G（交换容量384Gbps） Salience™ III 768G（交换容量768Gbps）接口板类型多：提供百兆、千兆、万兆等各种类型的以太网接口；提供100m-100km可选择的传送距离；提供4口/单板-48口/单板的接口密度；提供多种组合接口板，全面满足客户需求。快：采用先进体系结构设计，交换容量高达768G，支持新一代万兆线速接口，提供网络高性能。先进的体系结构：S5624采用全分布式体系结构设计，采用功能强大的ASI

展开阅读全文