智能小区解决方案中思志诚首页模板.doc

1、 智能小区解决方案中思志诚首页 16 资料内容仅供参考，如有不当或者侵权，请联系本人改正或者删除。 一、 工程概况 　　智能小区网属于园区网络, 一般来说跨度大, 信息点相对集中, 是整个智能小区智能化系统的一个重要部分, 它的功能主要表现在下面几个方面: l 在INTERNET服务方面: 　　智能化小区网络能提供给小区住户以经济、 高速、 稳定、 完整的INTERNET服务, 诸如浏览网页、 收发E-MAIL、 网络聊天、 网络游戏等INTERNET提供的各项功能与服务。 l 在增值服务方面: 　　能够提供许多传统ICP、

2、ISP无法实现的服务, 使物业管理公司能在最短的时间内为小区提供因特网接入、 网上论坛、 网上家教、 网上医疗、 网上影视音乐点播、 网上中介、 网上购物等服务。 终端用户分类: l 单个用户: 需要一个固定的IP地址; l 公司用户: 需要一段IP地址。 二、 工程设计 1． 局域网结构设计 小区局域网络采用两层结构设计: 核心层和接入层。接入层主要用于终端用户的接入, 连接PC等设备。核心层主要用于汇聚接入层数据, 并提供高速转发。核心层设备应具有较高的背板带宽和转发能力。接入层设备应具有较多的接入端口和提供一定的网络控制技术手段, 以便能接入更多的用户和为用户提供更好的服

3、务。核心层与接入层设备之间采用千兆以太网技术连接, 这样增强了数据转发能力, 提高了网络整体性能。 小区网络跨度达数公里, 节点可扩展至数千户, 经过1000Mbps以太网接到小区楼宇, 最终实现10/100Mbps以太网接入到住户端, 建成的小区宽带网络的终端用户带宽可达10/100Mbps, 完全能够满足小区内业主服务、 娱乐的需要, 而且网络带宽可方便升级。同时可并入安防、 楼宇控制等系统, 以实现整个社区的一体化管理。为每个最终用户提供独享的10M或100M高的带宽, 可为用户提供支持MPEG-1、 MPEG-2标准的视频服务, 快速高效, 实用性强。 小区楼内局域网用户数较多,

4、需要根据各楼层用户的信息进行相应的网络逻辑隔离, 提高网络的安全性, 并避免广播域太大, 当前业界采用的逻辑隔离以太网的技术为VLAN( 虚拟局域网技术) , 并有国际标准IEEE802.1Q对VLAN进行了定义, 因此建议采用支持标准802.1Q VLAN的交换机, 对小区楼内用户进行VLAN划分, VLAN的划分根据需要, 可按照区域进行划分, 还能够按照用户来划分VLAN。划分VLAN的目的: 一是提高网络安全性, 不同VLAN的数据不能自由交流, 需要接受第三层的检验, 在一定程度上加强了虚网间的隔离, 有效防止外部用户入侵, 提高了安全性; 二是隔离广播信息, 划分VLAN后, 广播

5、域缩小有利于改进网络性能, 将广播风暴控制在一个VLAN内部, 同时使网络管理趋于简单。三是增强网络应用的灵活性, VLAN是在一个有多台交换机的局域网中统一设定的, 使得用户能够不受所连交换机的限制, 不论用户节点移动到局域网中哪一台交换机上, 只要仍属于原来的VLAN, 则应用环境没有任何改变。 2． 交换机上的端口隔离设计 在同一接入层交换机上接入终端用户, 为了保证这些用户的安全, 在交换机上使用端口隔离。经过端口隔离特性, 能够将不同用户的端口划分到同一个VLAN, 不同用户之间不能互通, 从而增强了网络的安全性, 提供了灵活的组网方案, 同时节省了大量的VLAN资源。 针对不

6、同用户能够使用下列方法隔离端口 l 单个用户之间能够使用端口隔离组隔离, 一台接入交换机上建立一个隔离组, 将这些连接单个用户的端口加入隔离组。即使这样这些用户的IP在同一网段也不能相互访问, 可是都能够经过交换机的上行链路访问到路由器, 从而经过路由器接入互联网。 l 对于公司用户, 由于使用了独立的IP地址范围, 这能够经过划分VLAN和使用访问控制列表来限制此类用户与其它用户的相互间访问。 3． 双出口互联网设计 为了保障网络接入互联网的容量和可靠性, 建议使用两条专线接入。由于专线的出口速度是一定的, 采用把用户的流量手工分担在两条专线上, 即不同的用户从特定的出口出去, 达到

7、负载分担的作用。同时两条专线还必须互为备份, 保障某一条专线故障后, 所有的用户流量从另一条专线出口出去。使用的技术方法为策略路由和不等值默认路由。 4． 限制用户流量设计 由于接入互联网的资源是有限的, 如果不限制用户发送和接收的流量, 那么大量用户不断突发的数据只会使网络更拥挤。为了使有限的网络资源能够更好地发挥效用, 更好地为更多的用户服务, 必须对用户的流量加以限制。比如限制每个时间间隔某个流只能得到承诺分配给它的那部分资源, 防止由于过分突发所引发的网络拥塞。当流量超出规格时, 能够采取限制或惩罚措施, 以保护网络建设者的利益和网络资源。 针对不同用户的流量能够使用下列方法限制

8、 l 若此用户直接接在接入交换机的某个端口时, 经过在接入交换机的端口上使用硬件端口限速, 来达到限制此用户接入网络的带宽。 l 若此用户在接入交换机上使用的多个端口时, 经过用户的IP信息来识别具体的数据流, 可在在路由器内网口上使用CAR配置来限制用户的流量。即在路由器端口上限制某个特定用户( 使用IP地址区分) 接收互联网的流量( 发往用户的数据) 的大小。承诺该用户使用1M的互联网接入带宽, 当互联网发往用户的流量超过1M时这丢弃超出部分的数据包, 以达到限制用户挤占带宽的目的。 l 若此用户使用了某个接入交换机所有的端口时, 能够在核心交换机上使用硬件端口限速, 来达到限制

9、此用户接入网络的带宽。 三、 设备选型 1． 核心交换机 核心层交换机选用Quidway® S8500交换机。Quidway® S8500系列万兆核心路由交换机是由华为3Com公司自主开发的新一代高性能路由交换机产品, 可广泛应用于运营商IP城域网核心层、 汇聚层以及行业网骨干层。 Quidway® S8500系列基于新一代核心交换机的设计理念, 具备大容量、 高性能、 多业务和可扩展性的特点。Quidway® S8500系列采用分布式处理、 业务模块化以及Crossbar交换网等设计理念, 具备业界领先的交换容量, 而且交换容量可持续平滑升级。Quidway® S8500系列支持新一

10、代高性能万兆接口, 能够为城域网、 行业网提供超高速链路, 可打造低成本、 高性能、 具有丰富业务支持能力的以太网络。Quidway® S8500系列内置高性能的业务处理引擎, 能够支持二三层报文、 MPLS VPN业务、 组播业务的全线速转发。同时, Quidway® S8500系列支持完善的QoS服务、 全面的安全管理机制和电信级的高可靠性, 是一款业界领先的万兆核心路由交换机产品。 2． 接入交换机 虽然当前业界流行的二层以太网交换机均支持标准的802.1Q VLAN, 能够较好的对二层的网络进行隔离, 但二层的交换机不能处理不同VLAN、 不同IP子网之间的数据交换。小区各楼层用户

11、数较多, 每个楼层均需要进行相应的VLAN划分, 并会涉及到不同VLAN、 不同IP子网之间的数据转发, 如果各楼层不同VLAN、 不同IP子网之间的数据转发均由核心交换机来完成, 将极大的增加核心交换机的负担, 因此建议在小区各楼层采用能够实现VLAN、 不同IP子网之间数据转发的三层交换机实现各楼层用户的接入。 建议小区内各楼层交换机选用华为公司Quidway S3928TP－SI系列安全智能三层以太网交换机, 原因如下: l 大容量全线速的智能交换: S3928TP－SI系列安全智能三层交换机32Gbps的总线带宽为交换机所有的端口提供三层线速交换能力, S3928TP－SI三层

12、包转发率分别为9.6Mpps。硬件支持层线速交换, 能够识别、 处理四到七层的应用业务流, 所有端口都具有单独的数据包过滤、 区分不同应用流, 并根据不同的流进行不同的管理和控制。 l 高可靠性: S3928TP－SI系列安全智能三层交换机不但支持STP/RSTP生成树协议, 还提供了基于多VLAN的生成树MSTP, 极大提高了链路的冗余备份, 提高容错能力, 保证网络的稳定运行。支持VRRP虚拟路由冗余协议, 与其它三层交换机构建VRRP备份组。构建故障时的冗余路由拓朴结构, 保持通讯的连续性和可靠性, 有效保障网络稳定。支持在设备上配置多条等价路由的方式实现上行路由的冗余备份, 当主上行

13、路由发生故障时自动切换到下一个备份路由上去, 实现上行路由的多级备份。 l 扩展性强: S3928TP－SI系列安全智能三层交换机支持2个10/100/1000M电口和2个SFP模块接口, 支持堆叠, 能够方便的实现用户各楼层网络用户的扩容。 l 丰富的QOS策略: S3928TP－SI系列安全智能三层交换机支持基于源MAC地址、 目的MAC地址、 源IP地址、 目的IP地址、 端口、 协议的L2~L7复杂流分类; 支持1K个流规则。提供了灵活的队列调度算法, 能够同时基于端口和队列进行设置, 支持SP、 WRR、 SP+WRR三种模式; 支持8个优先级队列, 3个丢弃优先级; 支持WRE

14、D拥塞避免算法和端口流量整形。支持CAR功能, 流量限速的粒度为8Kbit/s。 l 多样的管理方式: S3928TP－SI系列安全智能三层交换机支持SNMP, 可支持Open View等通用网管平台, 以及华为公司Quidview®、 iManager® 网管系统。支持CLI命令行, Web网管, TELNET, HGMP集群管理, 使设备管理更方便。 3． 防火墙 防火墙选用Quidway® SecPath 1000F防火墙。Quidway® SecPath 1000F防火墙是华为3Com公司面向大型企业用户开发的新一代专业防火墙设备。支持外部攻击防范、 内网安全、 流量监控、 网

15、页过滤、 邮件过滤等功能, 能够有效地保证网络的安全; 采用ASPF状态检测技术, 可对连接状态过程和异常命令进行检测; 提供多种智能分析和管理手段, 支持邮件告警, 支持多种日志, 提供网络管理监控, 协助网络管理员完成网络的安全管理; 支持AAA、 NAT等技术, 能够确保在开放的Internet上实现安全的、 满足可靠质量要求的网络; 支持多种VPN业务, 如L2TP VPN、 IPSec VPN、 GRE VPN、 华为动态VPN等等, 能够构建Internet、 Intranet、 Remote Access等多种形式的VPN; 提供基本的路由能力, 支持RIP/OSPF/BGP/路

16、由策略及策略路由; 支持丰富的QoS特性, 提供流量监管、 流量整形及多种队列调度策略。 SecPath 1000F防火墙特点 l 防火墙安全过滤能力: 支持状态检测包过滤技术, 还能够按照时间段进行过滤; 支持华为3Com专有ASPF应用层报文过滤( Application Specific Packet Filter) 协议; l 提供多种攻击防范技术: 包括多种DoS/DDoS攻击防范、 ARP欺骗攻击的防范、 提供ARP主动反向查询、 TCP报文标志位不合法攻击防范、 超大ICMP报文攻击防范、 地址/端口扫描的防范、 ICMP重定向或不可达报文控制功能、 Tracert报文控

17、制功能、 带路由记录选项IP报文控制功能、 静态和动态黑名单功能、 MAC和IP绑定功能, 支持智能防范蠕虫病毒技术。 l 支持细粒度内容过滤能力: 支持邮件过滤、 SMTP邮件地址过滤、 SMTP邮件标题过滤、 SMTP邮件内容过滤、 HTTP URL过滤、 HTTP内容过滤; l 支持多种安全认证: 提供基于PKI /X.509的证书认证功能; 支持RSA SecurID动态口令认证; 在PPP线路上支持CHAP和PAP验证协议; 支持USB Key方式存储数字证书、 配置信息以及用户名密码; 支持用户身份管理, 不同身份的用户拥有不同的命令执行权限; 支持用户视图分级, 不同级别的

18、用户赋予不同的管理配置权限; 支持与Radius服务器配合, 实现对接入用户的验证、 授权和计费; 另外, OSPF、 RIP2具有MD5认证功能, 确保所交换路由信息的可靠性。 l 强大灵活的管理功能: 提供各种日志功能、 流量统计和分析功能、 各种事件监控和统计功能、 邮件告警功能。 l 全面的NAT应用支持: 提供多对一、 地址池、 ACL控制等地址转换方式, 在一个接口上支持多个不同的地址转换服务, 经过内部服务器能够向外提供FTP、 Telnet和WWW等服务, 实现公网和私网混合地址解决方案。支持多种应用协议, 如FTP、 H323、 RAS、 HWCC、 SIP、 ICMP、

19、 DNS、 ILS、 PPTP、 NBT的NAT ALG功能。 l 支持L2TP VPN、 GRE VPN、 IPSec VPN、 华为动态VPN等多种VPN业务模式; 利用华为专利——动态VPN( DVPN) 技术, 实现穿越NAT网关、 动态IP地址灵活构建VPN网络; l 支持经过QuidView VPN Manager组件进行统一网管和统一的VPN隧道监控; l 采用电信级设备保证高可靠性: 设备关键部件均采用冗余设计; 支持接口模块热插拔; 支持机箱内部环境温度自动检测, 并可经过网管自动采集告警信息; 双电源冗余备份; 支持双机热备, 支持Active/Active方式

20、实现负载分担和业务备份; l 全面细粒度的QoS保证: 支持流分类、 流量监管、 流量整形及接口限速; 支持拥塞管理( FIFO、 PQ、 CQ、 WFQ、 CBWFQ、 RTPQ) ; 支持拥塞避免( WRED) ; 4． 路由器 Quidway® NetEngine 20( 简称NE20) 系列高端路由器, 是华为3Com技术有限公司自主开发的面向行业网、 企业网及运营商的高性能的第五代多业务路由器。NE20采用NP硬件技术实现, 具有卓越的转发性能。 NE20系列路由器可作为运营商业务网的边缘设备, 作为小型POP点, 或运营商运营支撑网的高性能集中式联网设备, 也可在企业网

21、中作为企业的中心设备或企业的高性能汇聚路由器。NE20按业务槽位数可分为NE20E-8、 NE20-8、 NE20-4、 NE20-2四款产品。 Quidway NetEngine 20具有以下特点: l 第五代路由器: NE20不同于以往采用CPU软件转发的同类型路由器产品, 采用了业界高性能网络处理器技术实现高速接口报文的集中转发, 有机地结合了软件的灵活性和硬件的高性能, 提供线速转发性能, NE20E-8性能可达到6Mpps, NE20-8、 NE20-4、 NE20-2性能可达4.5Mpps。 l NE20采用高速接口转发与控制平面分离的技术, 高速接口的转发引擎使用了高性能

22、网络处理器, 提高了设备的转发性能、 控制能力、 可靠性和安全性。 l 高品质QOS能力: 完善的QoS机制、 出众的QOS性能, 确保重载下的不同业务的服务质量, 能够提供基于DiffServ的完善QoS机制。支持复杂流分类, 支持精确的流量监管和流量整形; 提供队列调度和拥塞避免功能, 支持CBWFQ、 LLS/NLS、 PBS等先进调度技术, 采用WRED和先进的SA-RED算法, RED支持8个等级的丢弃优先级。精确保证不同业务的带宽、 时延和抖动指标, 满足用户多种业务等级的”区分服务”要求。 l 高可靠性: 采用高可靠的模块化设计方式, 所有板卡、 风扇、 电源模块支持热插拔;

23、 提供互为冗余备份的双电源( 1＋1备份) 模块, 无源背板的设计方式; 提供软件热补丁技术, 实现设备完全平滑升级; 支持动态路由协议、 MPLS流量工程, 提供IP/MPLS快速重路由、 虚拟路由冗余协议( VRRP) 等保护机制, 有效保证了全网运行的高速可靠。整机实现7x24小时的不间断运行。NE20E-8是对NE20的进一步提升, 采用核心路由器的总线技术, 背板带宽当前可达40G, 具备了很强的可扩充性。NE20E-8路由处理板和网络处理板提供( 1＋1) 冗余备份, 具备快速路由备份( FRB: Fast Routing Backup) 特色功能, 实现基于状态的热切换和不间断的

24、路由转发, 提供高品质业务保障。 l 强大的MPLS处理能力: 支持MPLS VPN, 支持MPLS TE, 提供高品质、 安全和多层次的MPLS VPN解决方案, 能够作为高性价比MPLS PE设备使用。 l 业务能力: 软件系统基于华为公司拥有自主知识产权的VRP软件平台, 支持多种方式VPN( L2TP、 GRE、 MPLS VPN等) , 具备丰富的NAT功能, 提供以太网/VLAN、 PPP/MP、 PPPoE、 Frame Relay、 HDLC、 ATM、 X.25、 HDLC和LAPB等丰富的互联功能。 l 路由处理能力: 支持RIP、 OSPF、 BGP、 IS-IS等

25、单播路由协议和IGMP、 PIM、 MBGP、 MSDP等多播路由协议, 支持路由策略以及策略路由。 l IPv6路由能力: 全面支持IPv4和IPv6双协议栈, 实现硬件IPv6转发, 提供丰富的IPV6协议。支持多种IPv4向IPv6的过渡技术: 手工配置隧道、 自动配置隧道、 6to4隧道、 NAT-PT等; 支持IPv6静态路由, 支持BGP4/BGP4+、 RIPng、 OSPFv3、 ISISv6等动态路由协议; 支持ICMPv6 MIB、 UDP6 MIB、 TCP6 MIB、 IPv6 MIB等。 l 可维护性: 支持自动的故障诊断功能。经过运行在PC机上的故障诊断软件, 能够方便地协助工程师快速准确定位系统故障。 四、 网络拓扑