弱电智能化项目计算机网络设计方案

1、弱电智能化项目计算机网络方案要建立一个具有高安全性、高可靠性的信息化网络平台，使教学 和办公等各类信息畅通无阻地传输，就必须提供一个统一、可靠、安 全的信息通信平台，支持话音、数据和图像的交换与传输，实现计算 机数据、话音、电视会议、图片传输等多种信息通信业务，此外还要 具有完备的网络管理系统，实现安全与系统地外网访问。网络拓扑采用核心和接入二层拓扑结构，通过交换机级连来扩展。在弱电 井设置24/48端口的接入层交换机，通过布线系统接入核心交换机 （核心交换机连接防火墙与外网），再利用虚拟网技术分配到各网络 系统中，内部实现千兆网络线路。网络技术根据本项目网络线路的复杂性，考虑到今后XXXXX

2、中心网络使用 的稳定性和可靠性，我公司将采用以下网络技术：使用VALN技术进行广播域隔离，抑制广播风暴；使用TRUNK技术实现VLAN跨交换机进行访问； STP技术防止二层环路，避免广播风暴，提高转发效率；采用路由技术实现多出口分流；采用P2P限流技术保护带宽资源。网络技术指标网络技术指标主要有有时延、吞吐量、丢包率、时延抖动、路由、 带宽、响应时间、利用率和效率。其中，时延、带宽、丢包率被作为 网络性能测量中最基本的三大指标。1）时延时延是从网络的一端发送一个比特到网络的另一端接收到这个 比特所经历的时间。时延分为传播时延、发送时延、重传时延和排队时延。总的传播时延如下所示：时延二传播时延+

3、传输时延+排队时延传播时延二距离/光在媒体中的速度传输时延二信息量/带宽为了更好精确地分析IP网络时延参数，可将网络时延分为：往返时延：往返时延指的是从网络的一段发送一个消息到另一 端，然后该消息再返回到发送端所需要的时间。单向时延：单向时延指的是从网络的一端发送一个消息在另一端 被接收到所需要的时间。在Intemet环境下，路由通常存在不对称 性，所以以下公式在一般情况下是不成立的：RTT=2 X OWL吞吐量吞吐量是单位时间内传输无差错数据的能力，可以使用下面的四 种常见的描述参数：每秒包数每秒字符数每秒事务数每小时事务数丢包率丢包率是在一定的时段内在两点间传输中丢失分组与总的分组 发送量

4、的比率。常见系统的丢包率如下：无拥塞时路径丢包率为：0%。轻度拥塞时丢包率为：1%4%。严重拥塞时丢包率为：5%15%。时延抖动时延抖动是说明从源到目的地的连续分组到达时间的波动的数 据量，一般变化量应小于时延的l%2%。路由在Internet中，通信网是通过IP路由器互联的，路由的选择 是非常复杂的，其复杂性体现在如下两个方面：路由选择是网络中的 所有相关节点共同协调工作的结果：路由选择的环境往往是在变化 的，而这种变化有时无法事先知道。因此，ip数据系统被认为是不可靠的、尽力而为的、无连接的 分组投递系统。带宽带宽是网络数据传输的通道宽度的一个度量，带宽通常是以比特 /秒(b/s)表示。响

5、应时间响应时间是从服务请求发出到接收响应所花费的时间。一般来 说，用户比较关心这个网络性能参数。影响响应时间的因素为：连接速度协议优先机制主机繁忙程度网络设备等待时间网络配置链路差错率常见的响应时延包括论询时延、连接时延、等待时延、CPU时 延、网卡时延和物理媒体时延。利用率利用率是反映指定设备在使用时所能发挥的最大能力的度量。在网络分析与设计中，通常考虑CPU利用率和链路利用率。链 路利用率表示能够被有效使用的连接带宽占总带宽的百分比。如线路 最大的带宽为：64Kb/s X 32=2.048Mb/s，如果只是仅有8个通道有效，则当 前利用率仅达到最大带宽的25%：64Kb/s X 8=512

6、Kb/sIEEE通过对CSMA/CD的研究提出了：共享式以太网的平均利用 率不超过37%。如果某段网的利用率超过这个值，那么该网段就必须分成多个共 享网段或交换网段。这是设计应有的约束条件。9）效率网络效率表明了为产生所需的输出，要求的系统开销。它明确了 发送通信需要多大的系统开销，不论这些系统开销是否由冲突、差错、 重定向或确认等原因所致。网络设计原则经济实用性原则:系统建设首先要从系统的实用性角度出发，用户 内部的信息传输都将依赖于计算机网络系统，所以系统设计必须 具有很强的实用性，满足不同用户信息服务的实际需要，具有很 高的性能价格比，能为多种应用系统提供强有力的支持平台。安全性原则：网

7、络系统的数据和文件多数要求具有安全性，能防止 系统外部成员的非法侵入以及操作人员的越级操作，保证信息系 统的正常使用。因此，系统本身要有较高的安全性，对使用的信 息进行严格的权限管理，在技术上提供先进的、可靠的、全面的 安全方案和应急措施。同时符合国家关于网络安全标准和管理条 例。整个网络的设计充分体现防窃听、防窃取、防攻击、防侵入， 具备对入侵者监视和跟踪技术。可靠性原则:系统设计在设备的选择和关键设备的互联时，应尽量 提供充分的冗余备份，一方面最大限度地减少故障的可能性，另 一方面要保证网络能在最短时间内修复。成熟和先进性原则：系统平台所采用的设备和技术一定要体现成 熟性和先进性，系统结构

8、设计、系统配置、系统管理方式等方面 采用国际上先进同时又是成熟、实用的技术。成熟性是指技术稳 定、用户多、推广使用的时间比较长;先进性是指选用的产品和技 术是目前市场上的主流技术。开放性和规范性原则：系统设计所采用的技术和设备应符合国际 标准、国家标准和业界标准，为系统的扩展升级、与其他系统的 互联提供良好的基础。在设计时，要求提供开放性好、标准化程 度高的技术方案;设备的各种接口满足开放和标准化原则。可扩充和扩展化原则:所有系统设备不但满足当前需要，并在扩充 模块或增加设备后满足可预见将来需求，如带宽和设备的扩展， 应用的扩展和办公地点的扩展等。保证建设完成后的系统在向新 的技术升级时，能保

9、护现有的投资。系统设计的每一个环节在设 计上都体现出弹性原则，以满足系统将来的平滑升级，不会因升 级而导致系统工作不正常，并且尽可能在升级时要保护原来的设 备资源。可管理和可维护性原则:整个系统的设备应易于管理，易于维护， 操作简单，易学，易用，便于进行系统配置，在设备、安全性、 数据流量、性能等方面得到很好的监视和控制，并可以进行远程 管理和故障诊断。灵活性原则：网络平台的设计充分考虑到灵活性，采用分层结构 进行设计。网络系统总体要求1）总体网络指标要求连通性：要求有99%及以上测试路径的连通性达到网络设计 的要求。丢包率：使用ICMP 64字节测试数据包（100个及以上）测 试时，有95%

10、及以上路径的丢包率小于1%。平均往返延迟：在使用ICMP 64字节测试数据包的情况下， 98%的跳数小于6的路径的往返延迟小于10ms。吞吐率:在允许的丢包率小于0.03%的前提下，使用ICMP 1518 字节测试数据包以100%的利用率传输时，通过速率不小于理 论值的92%为优秀，通过速率不小于理论值的88%为良好，通 过速率不小于理论值的83%为合格。2）核心交换机核心交换机是整个数据网络系统的核心部件，要求提供足够的接 口数量，并且完全满足本技术规格的各项要求。用途：为计算机网络宽带、高速数据交换服务，以满足所有 办公及客人网络需求。结构：选用千兆位以太网交换机，配置热插拔模块，具有冗

11、余措施；具备线速的二/三层交换能力；背板带宽达到64G, 包转发率达到96Mpps可达400Mpps，第三层路由信息达到 10K，MAC地址表存储空间达到1.5M个；具有多个优先队列， 支持组播应用，支持多点传送。要求提供足够的10/100M端 口来满足接入需求，支持IPV6，VPN，VOIP等。须采用双CUP主机，互为备份。选用高性能的机箱式模块化核心交换机，配置冗余电源，每 台核心交换机插槽数量6个，客人网交换机提供24个1000M 光纤端口，办公网11个1000M光纤端口。技术：支持IEE802.1q，提供基于端口/协议/MAC地址的VLAN 技术。支持标准的 802.3, 802.3U

12、，802.3X，802.1D，802.1Q 等多种协议。支持 CLI、TELNET、WEB、SNMP、RMON、SMON 等多种管理方式。支持多媒体服务，有良好的QoS保证。具 有历史、事件、报警、统计等功能。3）接入层交换机用途：设置于楼层弱电间，为各类多媒体信息终端及楼宇智 能化信息系统提供网络交换服务。结构：选用10/100兆位以太网交换机，配置热插拔模块，具 有冗余措施；具备线速的二层可堆栈交换机，堆栈具有冗余 功能且无单点故障，配置冗余电源，支持端口隔离；背板带 宽达到8.8G，支持4个以上VLAN，具有多个队列优先，支持 组播应用，支持多点传送。每台交换机提供12/24/48个10

13、/100M端口，每个堆栈1000BASE-SX光纤口 2个，堆栈带 宽达到2G。技术：支持多媒体和实时应用，具有QoS控制能力；支持基 于802.p和DSCP1的CoS服务等级、支持IPmulticast交换; 支持每端口 2个队列优先级；采用背压式流控防止包丢失和 802.3X流控；支持Spanning Tree计算，保证更可靠的网络 通信；支持标准的802.1Q VLAN协议，实现交换机互连；支 持基于端口 802.X认证，支持端口隔离，支持端口 +MAC绑定; 支持 CLI、TELNET、WEB、SNMP、RMON、SMON 等多种管理方式。支持RMON性能监视，具有历史、事件、报警、统

14、计等功能。数量：在各弱电井分别配置1台12/ 24/48端口的接入层交 换机每台交换机千兆接口数量2个光电复用接口。每个接入交换机的备用接口数量15%。为无线AP提供网络支持的交换机需具有POE供电接口。4）防火墙用途：为网络提供接口，支持信息发布及多用户信息查询。防火墙采用100M以太网与核心交换机相连MTBF=40000小 时，同时最大并发连接数20万，谈吐率99Mbps,RTT0.3ms， 支持防火墙双机备份，采用基于状态检测的过滤防火墙技术。网络技术:支持对非IP协议IPX/NETBEUI的控制，支持HTTP、 FTP、TELNET. POP3、SMTP、NNTP 等协议，支持 TOP

15、SEC 协议; 实现IP地址与MAC地址捆绑、用户与IP和MAC绑定，采用 双向网络地址翻译技术，支持静态NAT及动态NAT，并能够 实现一对一、一对多的地址映像、透明模式、混合模式。通信技术：实现对邮件内容过滤、检查和审记，控制HTTP、 FTP、TELNET. POP3、SMTP、NNTP 等协议命令级；支持VPN， 采用国家鉴定的硬件加密卡所提供的128位对称加密算法和 128位HASH算法，身份认证采用1024位的非对称算法；支 持多种身份认证，控制其访问权限。安全技术：具有对公开服务器保护功能，一旦服务器内容被 非法篡改，可以进行快速恢复，并同时告警；可防TCP、UDP 等端口扫描，

16、防源路由攻击、DNS/RIP/ICMP攻击、SYN攻击， 抗DOS、DDOS攻击；可阻止ActiveX. JAVA入侵；能够与第 三方IDS安全产品联动。操作技术：采用专用硬件平台与专业的安全操作系统，支持 对时间的访问控制，实现基于用户、时间的带宽管理；允许 网络管理员实时监视、分析和分配供各类网络流量使用的带 宽，确保在用户上网浏览时不会损害关键业务流量；能自动 发现新的攻击，采取主动防护的概念；实时监控防火墙当前 的所有连接，监控防火墙主机的当前负载情况。管理技术：面向基于对象的管理配置方式（1?对象、用户对 象、时间对象等）；支持WEB及命令行管理方式；支持本地管 理、选程管理和集中管

17、理；支持基于SSH的远程登录管理和 基于SSL的WEB方式管理；支持SMNP集中管理和监控；具备 完善的日志功能，支持防火墙配置文件信息的备份与恢复； 为管理员检查规则配置的正确性、有效性提供方便、快捷、 有效的工具。5）无线AP（wifi）为指定的区域设置无线接入点，使用户可使用内置无线网卡 的终端设备（笔记本电脑、IPONE等）可在相应的区以无线 方式接入INTERNETo无线接入点须经过接入交换机、核心交换机、外进线，最终 接入INTERNET，而不能采用地区网络运营商直接提供无线网 络覆盖。AP需具有POE功能，由弱电间内楼层交换机通过以太网供电。支持 TCP/IP 协议，符合 IEE

18、E802.11a/b/g 规范，2.4G/5GHz 双频同时运行，平滑过渡到E802.11AC规范。AP点带接力能力，所有的无线网络通过AP转接并经6类线 最终接入有线网络。数据转发支持数据包二层转发模式，即在AP本地转发，而不 通过控制器；16M-32M内存；支持16个vlan用户组；支持 16 个 vlan 用户组；支持 WEP 增强；WPA,WPA2 （802.11i）； 支持远程配置 telnet http snmp； wireless controller 管 理。接口类型要求：天线支持内置或外置天线；网络接口 1个 RJ-45 自适应 10/100/1000 端口。6）路由器用途：

19、拥有多个模块化接口选项，提供语音/数据集成、虚拟 专网（VPN）、拨号访问和多协议数据路由解决方案，可与防 火墙相结合。关键特性：在一个平台中结合拨号访问、先进的局域网络路 由服务、ATM连接以及语音、视频和数据的多服务集成；模 块化、可伸缩的设计提供性能、可伸缩性、灵活性和投资保 护；高密度ISDNPRI功能；预配置的BRI和PRI调制解调器 捆绑；支持Moden-OVER-BRI功能性；集成IP IOS软件；支 持 VPN。7）无线网络管理控制器管理AP数量:本项目要求支持25个AP管理。支持操作系统： 安装平台支持Windows平台和Linux平台；带有供电接口设备，采用POE供电方式。

20、管理方式:采用HTTPS的方式远程进行管理，无需在管理客户 端按照任何软件；热图显示:支持入？热图分布显示；客户端 排错能力：支持通过网管对指定无线客户端进行无线信号检 查、无线层排错分析、认证分析等内嵌工具；配置管理:支持 大批量AP或者控制器的配置模板定制功能，并可通过网管自 动下发配置；设备管理:支持在网管上查看AP所连客户端数量，AP信道状 态，信道使用率，信噪比，信号强度分布，AP状态等信息；非法AP控制:实时显示最近活动的非法AP，可根据情况对非 法AP进行处理，包括纳为合法、继续告警、进行压制等管理模式:采取BS结构，无需在客户端安装任何客户端采用 IE即可访问网管系统；信道分配

21、和AP输出功率设置8）网络管理软件调配、管理电脑网络系统、局域网交换、路由环境，提供网 络配置、管理、监控、故障检测与维修工具，提供可视化的 网络管理手段，支持实时流量监控。采用与核心交换机、楼 层交换机同一厂商的网管软件。实施视讯信息的整合、通讯、交换、管理，视话信息的整合、 通讯、交换、管理，电视信号输入、调配、管理，提供公共 安全防范系统、楼宇BA系统、一卡通系统、汽车库系统、多 媒体信息系统、多媒体导航等系统、自用办公网络接入管理。具有侦测技术、端口分配工具、高级连接分析和配置管理工 具、设备与网络诊断工具等，具备包括故障管理、远程监控、 流量监控等能力。自动构建网络内各设备端口间的连

22、接关系， 并可实时更新；在同一界面中动态准确的表现设备面板；所 有端口及状态、端口连接设备信息（包括IP，MAC，名称等）； 实时更新线路通断情况，并能够以层次方式构建物理拓扑结 构。配置面向操作的多种工具，如故障管理、可扩展的拓扑检查、 路径分析、流量监控、终端工作站工作流应用服务器管理等。采用业界数据共享标准公用信息模型（CIM）和XML，可提供 析取数据和与常用网络管理平台产品结合使用的工具。IP地址规划和DNS域名服务1）IP地址规划IP地址是整个网络系统运行的基石，IP地址规划不仅应该满足 当前的需求，还应该充分的考虑系统将来的扩展性，以满足将来发展 的需要。因此需要对大楼网络系统的

23、IP地址进行统一规划。在整个网络环境中必须保持IP地址的唯一性；根据业务情况， 为每个单位局域网分配一个或多个C类地址段（指掩码为 的地址段），或者使用VLSM技术进一步进行细化，如 分配64个（掩码 92）或者32个（掩码 24） 地址，满足当前要求，并留有一定的扩充余地（如23倍），便于将来 增加节点。地址分配具有层次性和连续性，便于管理，即在IP地址规划时 应该充分的考虑利用路由汇总技术，减少路由波动，使得各局部的变 动不影响整个网络的其它部分，增加网络的稳定性，同时由于路由汇 总技术能够缩减路由表项数，所以还能够提高路由器的处理效率。使用VLSM技术，在划分IP地址时应尽可能的减少IP

24、地址浪费。2）DNS域名服务域名系统实际上包括了内部域名系统和外部域名系统两个部分。 内部域名系统是为内部电子邮件和内部网站域名解析服务，便于内部 工作人员通过名字来访问各项信息应用系统和其它服务。外部域名系统用于用户网络系统和Internet的信息交换。内部 域名系统单独部署一台服务器，安装windows server 2003操作系统， 设置DNS域名功能。网络安全方案由于网络系统是一个大型的综合性信息网络系统，网上运行着网 络多媒体、办公自动化、各种应用资源、通信信息服务等应用系统， 应用系统的复杂化，使安全成为一个不可忽视的问题。对一个大型网络系统来说，安全威胁可以来自很多方面。主要的

25、 安全威胁如下所列:（1）目前流行的许多操作系统均存在一定网络安 全漏洞，如UNIX服务器、Windows Server服务器及Windows终端。 （2）来自内部用户的安全威胁。（3）缺乏有效的网络系统安全监控手 段。（4）来自电子邮件夹带的病毒、通过其他方式传播的病毒。（5） 许多应用服务系统在访问控制及安全通讯方面考虑较少，一旦出错就 容易造成损失。满足基本的安全要求，是该网络成功运行的必要条件，在此基础 上提供强有力的安全保障，是网络系统安全的重要原则。网络系统内 部署了众多的网络设备、服务器，建立和实施完整的、多层次的安全 措施来保护这些设备的正常运行，维护主要业务系统的安全，是十分

26、 必要的。本项目中网络管理系统，能够对网络设备进行日常状态监测、故 障响应、资源分配和控制等，同时能够采集网络运行数据进行业务流 量、流向分析，并提供网络发展规划。总体来说所网管系统具有以下 功能:1、对网络上的可管理设备进行监测。2、了解网络性能和现状，为网络管理维护提供依据。3、掌握网络运行负荷及设备运行状态，对异常情况进行分析， 以便采取改进措施来有效利用网络资源，并向用户提供优质服务。4、采用分布式一集中控制及处理相结合的原则，对网络设 备系统进行统一管理及配置。5、能够迅速地找到网络故障的根源，并协助网络管理人员进 行网络增长的计划和网络变化的设计。根据大型网络服务网管中心的实践经验

27、及有关近年来研究工作 的进展，结合目前其它主要运行网管系统的现状以及实践经验，并考 虑到网络系统运行和业务特点对网管的要求，该网管体系建设实现了 高精度、实时化的原则，提供对网络单元及运行状态的综合网管的支 持。该网络管理系统采用集中式的管理，负责对整个XXXXX中心网络 系统的进行管理，包括网络配置管理、性能管理、故障管理及生成必 要的网管信息报表等。1)防火墙技术(l)利用防火墙来最大限度地保证网络的安全随着因特网的不断发展，互联网上的攻击方式也各种各样。应该 引起我们充分注意的攻击方式有IP欺骗、各式木马、拒绝服务攻击 等等。防火墙一一防火墙的基本功能有:包过滤、支持路由、应用代理 和I

28、P地址转换;增强功能有:攻击检测、实时报警、用户认证负载平 衡和计费等功能。防火墙是内部网络连接外部网络的唯一出口，可以 检测并控制所有通过的数据，对相关事件进行日志记录。防火墙是近年发展起来的重要安全技术，其主要作用是在网络入 口点检查网络通讯，根据客户设定的安全规则，在保护内部网络安全 的前提下，提供内、外网网络通讯。选择防火墙的基本原则：安全性:即是否通过了严格的入侵测试。抗攻击能力:对典型攻击的防御能力性能:是否能够提供足够的网络吞吐能力自我完备能力：自身的安全性，Fail-close可管理能力:是否支持SNMP网管 VPN支持认证和加密特性服务的类型和原理网络地址转换能力在Intranet/Internet接入网络系统和内部局域网之间配备硬 件防火墙以增加内部网络系统的安全保密性。该网关能利用防火墙的IP包过滤功能以及访问列表控制功能， 规定只有指定地址的机器和网络服务才可跨网访问，即可防止非法用 户入侵内部网络、又能控制内部用户对外部的访问。通过防火墙将网络划分不同安全级别的区。具体有几个安全级别 和区可以根据具体情况来确定。一般可以根据防火墙的端口来确定， 一般为三个。根据计算机网络系统的结构和业务流量特点