办公楼的网络系统设计包括有线网络系统和无线覆盖系统,有时安全系统的网络系统分开设计,有时与计算机网络系统共享局域网。今天的案例重点是计算机网络和视频监控的组网方式和选择。
办公楼总建筑面积约7500㎡;建筑类型为地上1-6层的高层建筑。
一种计算机网络系统架构
计算机网络系统主要是建筑中各个部门的网络应用,是建筑管理和各种应用的一个灵活、安全、可靠的硬件平台。大楼网络按部门划分为若干逻辑网段,连接各种PC、工作站、终端设备和局域网,并与广域网连接,形成结构合理、内外通信的计算机网络系统。在此基础上,建立能够满足业务、办公自动化和管理需求的软硬件环境,开发各种信息库和应用系统,为大楼内的工作人员和访客提供充足、便捷的网络信息服务。
二、数据交换网络建设架构
计算机网络系统分为内部办公网络和外部网络。每个网络拓扑都是星形结构,采用分层设计。分层网络架构包括接入层和核心层两层,建立从千兆骨干到100千兆桌面的网络应用。
1) 物理网络描述根据大楼业务网运营数据的特点,内部办公网、外网相互之间逻辑隔离。中心网络采用多链路100M光纤链路INTERNET接入,以大容量高速骨干交换为网络核心,千兆光纤下行至各楼层小机房的全千兆接入二层交换,以及采用无线交换机对整个无线网路进行统一的管理。终端采用无线或有线方式实现用户网络接入,确保楼内网络的灵活性和可扩展性。同时在网络边界防火墙出开出独立DMZ区域,作为中心核心数据管理存储中心,对内外提供不同服务。依托物理平台,充分考虑当前各类应用以及网络数据的传输质量,采用虚拟局域网技术依据不同应用方向划分独立子网,有效地防止广播风暴及各类安全隐患在网络中的蔓延,确保各子网数据独立高效运行。2) 内网描述内部办公网面向中心内部用户,主要用于承载中心内部各类应用,如:OA、多媒体、 网络管理等无须上INTERNET的业务。子网内部通过部署防火墙,审计,行为管理等安全产品实现内部用户对于各类应用数据访问的可控可管,确保中心日常办公应用及本地数据交换的高效性,具体部署根据实际需求利用VLAN等多种技术手段实现管理和区分。OA办公系统应用于内部信息系统,为全中心提供完善的办公自动化服务,实现无纸化办公,提高工作效率;功能包括收发文管理、办公管理、信息采编、公共信息管理、个人事务管理、内部邮件、即时通讯、信息检索等模块等。全面实现全局无纸化网上办公,实现的功能包括行政办公,公共信息。3) 外网扑描述办公外网主要为:中心数据、物流查询功能的Internet接入服务、远程资源共享、信息流转、系统远程视频会议等,为各类中心内部及流动用户提供全面高效的数据访问和交互平台。三、视频监控网络建设架构
前端接入层作为数据网络的子网,独立于数据网络,汇聚层用于监控数据传输,最终导入核心层。网络拓扑为星形结构,采用分层设计。分层网络体系结构包括三层:接入层、汇聚层、核心层等。,并建立从网络主干到终端的网络应用。
1) 终端信号采集采用终端网络摄像机进行视频信号采集,采集数据为数字信号,无须在终端部署视频服务器等转换设备,降低投入成本,且通过网络摄像机可以实现和其他安防监控系统实现联动,进一步提高产品利用率,使应用更高效。且网络摄像机基于IP架构,所有监控设备均通过IP链路连接,管理方便。2) 监控数据传输终端通过部署基于IP的网络摄像机,将视频信号直接以数字形式通过IP链路最终在监控核心交换处汇聚,考虑到数据传输质量和实时性要求高,因此在核心交换位置采用大容量高速骨干交换对数据进行分发交换,3) 监控数据存储所有监控终端监控视频数据将通过IP链路汇聚后集中,采用IP-SAN模式实现高速实时存储,同属部署大容量存储阵列对规定时间段内所有监控数据进行存储备份,已备后续查询。4) 实时监控及管理在核心交换处旁路模式部署监控管理服务器,自动扫描发现所有监控中所有设备,并形成对应拓扑,并利用监控管理服务器对监控终端进行维护及数据采集和传输的控制。同时采用千兆光链路将数据传输至安保监控中心,通过电视墙实时显示。四.数据交换网络的建设和部署
1) 核心交换部署终端节点约500个,部署千兆核心交换机,设置在2层信息中心主机房网络设备柜。采用2台支持3层交换路由功能高性能的核心交换机做双中心冗余,所有的接入层交换机采用2条千兆光纤链路连到2台核心交换机上,保证链路的冗余。服务器群通过2条千兆链路以冗余的方式连接到2台核心交换机。采用VLAN划分策略对楼内网络终端、不同部门的终端、视频会议应用、智能化各子系统等划分VLAN;同一部门可以跨楼层进行相互访问,不同的部门间未经允许不能进行访问,不同VLAN间的通信通过核心交换机实现。负责内网络的转发。采用模块化核心交换机,核心交换机具有1Tbps以上的背板交换容量,支持3层交换的路由功能,实现高性能的核心转发,支持IPv4、IPv6、MPLS、NAT、组播、QoS、带宽控制等业务功能,保证了网络核心的高稳定性和可扩展性;各核心交换机配置2个电源,实现电源冗余备份;配置千兆的光口/电口板卡,负责服务器群、网络管理、网络安全系统、链路热备及负载均衡网络的接入。2) 楼层接入部署部署百兆接入交换机,设置在各楼层小机房网络设备柜和保安监控室的网络设备柜,负责接入各终端计算机、无线AP等。各接入交换机采用可网管二层交换机,支持端口聚合、VLAN、STP、SNMP等特性;配置24/48口10M/100M电口,2个千兆光口,实现10M/100M到桌面,千兆上行到核心交换机。3) 无线接入部署部署百兆无线接入交换机,设置在1层信息中心机房,支持千兆上行端口,实现无线AP可控可管。无线AP与无线控制器无线交换机配合组网(Fit AP),便于集中管理。使用无线网络部分覆盖,填补网络盲区,在有效覆盖范围内自由登录而不受时空的限制,本项目在各楼层公共区域设置无线路由器,实现办公区域全覆盖。各无线路由器接入外网网络。配置高性能百兆无线局域网接入设备,无线AP上行接口采用百兆以太网接口接入,无线路由器支持802.11abgn, 双频单模, 集成天线,支持工作在2.4Ghz与5.8Ghz频段,能提供20M/40M信道技术。视频监控局域网:
1) 汇聚交换部署终端节点约60个,部署千兆核心交换机,设置在1层信息中心主机房网络设备柜。采用1台支持3层交换路由功能高性能的汇聚交换机。服务器群通过1条千兆链路连接到核心交换机。采用模块化核心交换机,核心交换机具有1Tbps以上的背板交换容量,支持3层交换的路由功能,实现高性能的核心转发,支持IPv4、IPv6、MPLS、NAT、组播、QoS、带宽控制等业务功能,保证了网络核心的高稳定性和可扩展性;核心交换机配置2个电源,实现电源冗余备份;配置千兆的光口/电口板卡,负责前端视频终端、服务器群、网络管理、网络安全系统、链路热备及负载均衡网络的接入。2) 楼层接入部署部署百兆接入交换机,设置在各楼层小机房网络设备柜和保安监控室的网络设备柜,负责接入各终端计算机、无线AP等。各接入交换机采用可网管二层交换机,支持端口聚合、VLAN、STP、SNMP等特性;配置8/16口10M/100M电口,2个千兆光口,实现10M/100M到桌面,千兆上行到核心交换机。动词 (verb的缩写)服务器和存储部署
内网设置两台业务信息数据库服务器(一主一备),使用X86机型和两块光纤网卡作为存储端口;其他服务器根据应用需求单独配置。
业务信息数据设置两套光纤磁盘阵列,同时部署数据镜像系统,保持两套阵列的数据同步。光纤磁盘阵列采用FC-SAN网络,配有两台8端口SAN交换机(考虑冗余)连接前端归档信息数据库服务器。
考虑到公司信息相关数据的重要性和实时性,在业务信息数据库服务器上部署了在线容灾备份系统。通过在服务器上部署数据库在线灾难恢复备份软件,将应用系统所依赖的重要数据实时备份到存储设备上。
内网还配备了智能卡服务器、OA服务器、FTP服务器等服务器组;外网配有网络边缘WEB服务器、防病毒服务器、邮件服务器;监控网络配有视频存储服务器等。
第六,网络安全部署
考虑到整个网络的后续运行稳定性和数据安全性,在中心网部署防火墙、入侵防御、防病毒等安全产品,对进出网络和DMZ区域的数据访问进行有效控制、管理和授权。
1) 网络管理系统部署内、外、监控网分别部署网络管理平台,及时地发现问题、跟踪定位和阻止泛滥,为网络操作人员提供监控和阻止网络攻击所必需的信息。实现各网络运行情况告警并产生报表;集中管理网络设备、服务器及安全设备;自动产生全网设备的网络拓扑;显示流量;具有图形化配置方式。2) 防火墙系统部署在网络接入边界处,部署千兆高性能防火墙作为安全边界,对进出外网的数据进行有效的过滤和防护。防火墙要求支持至少2个左右千兆电口,同时至少2个千兆光口,要求设备支持bypass功能,防治单点故障造成网络中断。设备接入模式要求支持路由模式、透明模式、NAT模式、混杂模式等多种模式,要求支持基于域、接口、Alias别名等信息建立安全策略,能够基于文件大小,内容,url实现对HTTP服务的控制和过滤,同时要求支持邮件过滤,支持贝叶斯过滤方式,支持自主学习,能实现RBL实时黑名单地址管理。能够对各类应用进行有效过滤和控制,如游戏,聊天,下载等。3) 防病毒系统部署在互联网接入区部署1台防毒墙系统,支持500的用户数。实现互联网访问网络时的安全策略,对外网的web、mail、ftp、qq、msn等多种形式的病毒查杀,支持脱壳技术。外网配置1套支持500用户的网络版防病毒软件。4) 入侵防御系统部署在互联网接入区部署1台入侵防御系统,入侵防御系统从3个方面进行有效防御及保障:主动防护:对网络蠕虫、木马、黑客攻击以及网络病毒等恶意流量的传播进行主动防护,保护用户网络资源;系统漏洞遮断:为网络中的主机提供有效的系统漏洞防护方案,弥补由于补丁不能及时更新而造成的系统脆弱性;应用访问控制:有效控制IM、P2P、VoIP等敏感应用对网络带宽的滥用;关键业务系统保障:通过智能的安全防御,最大限度降低各种恶意行为对关键业务服务及设备的威胁。1.《组网技术与网络管理 计算机网络和视频监控组网方式与选择》援引自互联网,旨在传递更多网络信息知识,仅代表作者本人观点,与本网站无关,侵删请联系页脚下方联系方式。
2.《组网技术与网络管理 计算机网络和视频监控组网方式与选择》仅供读者参考,本网站未对该内容进行证实,对其原创性、真实性、完整性、及时性不作任何保证。
3.文章转载时请保留本站内容来源地址,https://www.lu-xu.com/tiyu/1036100.html