古镇智慧园区方案建议书

1、古镇智慧园区方案建议书2019 年 5 月 13 日第一章系统概述1.前言XXX古镇坐落于重庆市北碚区北温泉镇境内的缙云山下嘉陵江畔，离北碚 城区 5 公里，这里山峦拱翠，古树参天，水流潺潺。因缙云山中有一块高6米，宽 2 米的天然巨石，相传唐人在巨石上题刻“金刚”二字，又因此地有一石深入嘉陵江中，人称“金刚碚”，故得名“金刚碑”，从清康熙年间兴街，至今已有 300 多年沧桑历史。系统设计依据及原则设计依据信息化建设项目建设，将遵循以下依据设计：综合布线工程验收规范GB50312-2007；民用建筑电气设计规范JGJ16-2008；电子信息系统机房施工及验收规范GB50462-2008；交流电

2、气装置的接地设计规范GB/T50065-2011；视频安防监控系统工程设计规范GB50395-2007安全防范工程验收规则GA/T308-2001工业电视系统工程设计规范GB50115-2009智能建筑设计标准 GB/T50314-2006入侵报警系统工程设计规范GB50394-2007出入口控制系统工程设计规范GB50396-2007综合布线系统工程设计规范GB50311-2007通信管道工程施工及验收规范GB50374-2006通信用多模光纤系列GB/T12357-2004通信用单模光纤系列GB/T9771.19771.5-2000LED显示屏通用规范 SJ/T 11141-2012安全防

3、范系统供电技术要求GBT15408-2011软交换设备总体技术要求YD/T 1434-2006 ；电子信息系统机房设计规范（GB 50174-2008）中华人民共和国通信行业标准通信局( 站) 电源系统总技术要求YD/T 1051-2000；中华人民共和国通信行业标准通信局（站）防雷与接地工程设计规范YD 5098-2005；中华人民共和国通信行业标准电信设备安装抗震设计规范YD 5059- 2005；中华人民共和国通信行业标准通信工程建设环境保护技术暂行规定YD5039-2009；中华人民共和国国家标准电磁辐射防护规定GB8702-88；中华人民共和国通信行业标准宽带IP城域网工程设计暂行规

4、定YD/T 51172005；中华人民共和国通信行业标准通信线路工程设计规范YD5102-2010； 中华人民共和国通信行业标准通信线路工程验收规范YD5121-2010；民用闭路电视系统工程技术规范GB50198-94；中华人民共和国公共安全行业标准GA/T 669-2008安全防范工作技术规范GB50348-2004；防盗报警控制器材通用技术条件GB/12663-90；防盗报警中心控制台GB/T16572-1996；报警图像信号有线传输装置GB/T16677-1996；报警系统电源装置、测试方法和性能规范GB/T15408-94；安全防范工程程序与要求GA/T75-94；出入口控制系统技术

5、要求GA/T7394-2002；厅堂扩声系统特性指标GYJ25-86；厅堂扩声特性测量方法GB4959-95；会议系统电及音频性能要求GBJ76-84；声系统设备互连用连接器的应用GB/T14197-93；声系统设备互连的优选配接值GB/T14947-94；视听系统设备互连用连接器的应用GB/T15644-95；视听、视频和电视系统中设备互连的优选配接值GB/T15859-1995；声系统设备一般术语解释和计算方法GB12060-89；城市区域环境的噪声标准GB3096-93；民用建筑电气设计规范JGJ/T16-92 ；智能建筑设计标准 DBJ08-47-95；通信设备汉语清晰度测试方法SJ2

6、467；火灾自动报警系统设计规范GB50116-98；安全防范系统通用图形符号GA/T74-2000地下通信线缆敷设图集05X101-2设计原则古镇智慧园区项目建设，将遵循以下原则： 可靠性：在信息系统中，可靠性至关重要。系统所采用的技术与产品必须是成熟和高质量的，当外界或内部条件发生突变时，系统能够经受住干扰和冲击， 确保系统在运行期间不间断工作。先进性：采用先进的技术与设备，不仅应当采用先进的手段，更应当在世界范围内处于领先水平，而且应体现在相关技术上具有前瞻性。安全性：在物理设备上，各类线缆、设备辐射指标应达到相关的安全要求；在应用系统的设计上，适当采用信息加密、权限管理、访问控制等技术

7、，确保信息安全。标准性：系统设计时，所采用的技术手段必须遵循业界标准，特别是要提供标准接口，使系统具有较高的灵活性，方便扩展及与其它系统互联；同时，标准性也为今后的升级或引进新技术提供了保障。可维护性：系统运行后，其管理（如设备的维护）是可操作的。这些管理、维护工作应尽可能简单、方便。这要求提供规范的系统与工程程序，提供智能化的软件或硬件模块。开放性：系统设计时，考虑提供丰富的二次开发接口，通过应用定制，其它外围系统可通过二次开发方便的调用平台视频资源，与平台软硬件设备实时交互， 实现丰富的系统集成功能。经济性：采用功能合理，价格合适的产品。可再利用性：充分考虑展会时的使用需求和展会后的系统重

8、复利用需求，尽量减少临时性投入，系统规划设计和建设时考虑两方面的功能需求，避免会后重复建设，确保投资使用最大化。系统设计需求分析系统设计需求分析为达到古镇智慧园区智能化、精细化管理、满足市民休闲的目标，要求管理者能够实时掌握园区内人流、物流、信息流等各方面信息，并根据信息 来源和特点，迅速响应和指挥，各机构及服务供应商、合作伙伴协同合作。 我方根据智慧游园和智慧城市的建设经验积累，将古镇建设成为一个可感知、可控、可管理的智慧园区。系统建设利用当今先进的物联网、智慧城市的概念，进行园区信息化的 系统方案设计。利用先进ICT 技术支撑，通过云计算方式汇总系统运算和控制能力，共享园区会内部数据；通过

9、分层建设，达到园区资源和社会资源的 综合支撑。最终使游客享受便捷、优质的园区服务，使园区会的园区管理实 现数字化；使园区相关职能部门能够实现管理现代化，游客游览实现智能化。系统整体设计方案整体、全面、思路清晰、特色鲜明、技术先进，实现各子系统的数据集成、通信集成、信息共享、资源共享以及集中统一管理和调度， 达到系统建设最终要求。技术路线需求分析遵循以下主要技术路线：需求驱动，适度超前，注意展会应用和会后利用相结合，充分考虑性价比，依托当今先进的物联网及智慧城市技术，采用分层设计的方法，理清思路，逐层分析，确定功能。系统开发和运行以 N层 B/S 架构为主， C/S 架构为辅。主要采用 J2EE

10、或者.NET 的解决方案框架体系。采用 SOA面向服务的体系结构来实现系统整合。系统工程建设需求分析系统建设目标我方将结合信息化技术和现有管理体系，建设一套智能化的园区综合管理信息平台，为服务游客、媒体、贵宾、合作方等各类客户及园区管理提供先进的技术手段。形成集决策指挥、安全、宣传、服务、营销、管理、生态保护等功能于一体智能化系统。从而成为演绎园区主题的重要手段和基本保障。系统建设内容古镇智慧园区项目建设，将实现系统总体架构设计和分系统设计；技术方案将实现整体、全面、思路清晰、特色鲜明、技术先进的最终目标要求。总系统将主要是涵盖如下内容和各个子系统，分别为：光纤通信系统计算机网络系统无线园区系

11、统视频监控系统周界报警系统电子巡更系统门禁管理系统停车管理系统接警应急指挥系统数字广播系统无线对讲系统运营管理中心LED大屏显示系统信息发布系统能耗监测系统环境监测系统机房建设系统电子政务云平台系统电子商务系统融资担保系统智慧社区管理系统智慧园区运营管理系统智慧园区经济信息库园区及企业服务云系统第二章系统方案光纤通信系统系统概述古镇智慧园区项目光纤通信系统是实现各子系统互联互通的基础。服务于各类信息应用系统，为所有客户群提供物理通信链路。系统总体结构光纤通信系统为简化设计，采用分层设计的方法，依照实际应用，将光纤通信系统分为中继层、核心层、汇聚层、接入层四个层次。中继层为中心机房至各运营商局端

12、机房的中继光缆，中继光缆主要满足宽带因特网访问、运营商 2G/3G/4G 基站通信承载链路、公安、政务、气象、银行等特定客户群专网通信需求。核心层光纤实现中心机房至汇聚机房主干通信功能，是连接特色园通信干线光缆，承载视频、语音、数据等各类应用信息流，宜采用主、备线路实现安全通信。汇聚层光纤实现各节点通信 / 弱电机房 / 弱电间连接到中心机房的汇聚功能。为保障安全通信，同时考虑性价比等因素，汇聚层光纤根据通信节点的地理位置及通信管网的分布，建设以中心机房为核心的光缆路由拓扑。接入层光缆是指终端机房和用户设备终端之间的光缆，实现用户终端接入的接入层功能。对位于室外的视频监控终端、公共广播、显示大

13、屏等设备， 根据设备功能合理设计光纤芯数，采用主备的双路由保护。系统建设内容光缆的敷设方式采取灵活、可行和经济的原则。根据光缆路由，主干传输采用 48 芯光纤，支线光缆采用12 芯光纤。建设标准中华人民共和国通信线路工程设计规范（YD5102-2010） YD50722005 通信管道和光 ( 电) 缆通道工程施工规范 YD5039-1997 通信工程建设环境保护技术规定中华人民共和国通信行业标准通信线路工程设计规范YD5102-2010； 中华人民共和国通信行业标准通信线路工程验收规范YD5121-2010；中华人民共和国通信行业标准光纤到户（FTTH）体系结构和总体要求YD/T 1636-

14、2007 ；中华人民共和国通信行业标准接入网技术要求- 基于以太网方式的无源光网络（ GPO）N YD/T 1250-2003 ；原邮电部通信规划设计手册等其他相关规划设计规范；光纤通信系统设计光纤通信系统结构组成光缆网是通信网重要的组成部分，作为通信网络中最基础的部分，它为各业务网提供了大容量、长距离、高可靠性的传输通道，同时也为各业务网向分组化、宽带化、智能化、移动化、服务差异化和终端多样化的方向发展提供了有力保证，在整个信息化项目的建设内容中光缆网是重中之重。考虑各信息技术系统实际应用，结合当今信息技术的发展趋势，建议在全园区实施基于Fttx技术的全光纤网络，采用G比特无源光网络（ GP

15、O）N 技术组建通信网络。为简化系统设计，采用分层设计的方法，依照实际应用，将光缆网分为中继层、核心层、汇聚层、接入层四个层次。中继层为中心机房至各运营商局端机房的中继光缆。中继光缆主要满足 宽带因特网访问、运营商2G/3G/4G 基站通信承载链路、公安、政务、气象、银行等特定客户群专网通信需求。核心层光纤实现中心机房至特色园机房的主干通信功能，是通信干线光缆，承载视频、语音、数据等各类关键应用信息流，宜采用主备份线路实现安全通信。汇聚层光纤实现光纤到建筑或楼层（FTTB/FTTH）的光缆网架构。为节省光缆资源，利用GPON网络的技术优势，采用分光的方式（1： 2， 1： 4， 1： 8,1:

16、16 ）实现用户接入层的汇接。由于天府园区形状不规则，地势起伏，汇聚机房分布较分散，将所有汇聚机房按照环状拓扑组网比较困难，且通信管网的建设难度和投资都过高，建议采用环型拓扑和星型拓扑混合组网模式。按照汇聚机房地域分布，首先连接位于主要汇聚点的汇聚机房形成汇聚环， 部分较分散汇聚机房以星型拓扑就近接入汇聚环，为保证可靠性，采用同路由主备方式布缆。接入层线缆实现用户终端接入的接入层功能，考虑到目前终端设备接口大都为电口，建议接入层线缆根据终端的接口不同数据、语音采用5 类非屏蔽双绞线实施水平综合布线。位于室外的视频监控终端、公共广播、显示大屏等设备，接入层线缆采用光纤接入，末端光电转换为相应设备

17、接口对应的电缆。设计内容、范围设计包含整个核心、主干光缆路由。管道光缆的敷设安装与防护设计。机房内部光缆的敷设安装与防护设计。4.ODF架的配置与安装。本设计与传输设备设计的分工以光纤分配架（ODF）上的光纤熔接头为界，熔接头以外由本设计负责，熔接头以内由传输设备安装工程设计负责。本工程负责机房内部ODF架的配置与安装。光缆金属构件防雷地线的安装。光缆线路维护人员及维护工、器具的配置。光缆设计的规则设计原则工程设计应做到技术先进，经济合理，安全可靠，能满足施工、生产和使用的要求。工程设计要处理好局部与整体，近期与远期。采用新技术与挖潜等关系，明确本工程的配套工程与其他工程的关系。设计单位应对设

18、计文件的科学性、客观性、可靠性、公正性负责。光缆设计路由的选择光缆网络是传输网络建设的基础，其建设进度及网络完善程度直接关系到整个传输网络建设工程的进度及整体性能，是传输网络建设的重中之重。核心层中继光缆是连接骨干节点的光缆，主要特点是传输流量大、安全性要求高，宜采用网状的结构。汇接层光缆是连接汇聚点与骨干节点的光缆，应根据业务汇聚方向建立与上层骨干节点的直达路由，同时还应考虑在同层次节点间建设迂回保护路由，光缆网络宜采用 “环型”的结构。对新建的节点应建设至少两条不同方向的光缆入局，以双路由的形式保证网络安全。光缆要以管道方式进行敷设。光缆路由选择以满足和保障通信需求及质量、使线路安全可靠、

19、经济合理和便于维护、施工。路由选择时，应以现有的地形、地物、建筑设施和即定的建设规划为主要依据，并应考虑有关部门发展规划的影响。光缆路由须沿靠公路或大道并顺路取直，以方便施工维护，但尽可能避开在战时易遭轰炸的重要干线铁路、公路和重大军事目标。不应与高压输电线路和电气化铁路平行接近。光缆路由应选择在地质稳固、地势较平坦的地段。在平原地区，要尽可能避开湖泊、沼泽、排涝蓄洪地带，尽量少穿越水塘、沟渠。通过山区时， 宜选择在地势较平、石方工作量较少的地方，避开陡峭、沟壑、滑坡、泥石 流，以及洪水危害、水土流失等地方。如需要通过时，应采取保护与可行的 施工措施。光缆路由穿越河流，在不太偏离路由走向的情况

20、下，应尽量选择过桥或水流平缓、河床稳定、无抛锚、符合水底光缆安全要求的地方。光缆线路遇到水库时，应在水库的上游通过。当需在下游通过时，必须考虑水库发生事故时的保护措施。光缆不应在水坝上或坝基下敷设。如需在此处敷设时，须经过工程主管单位和水坝主管单位共同批准。光缆线路不宜穿越大的工业基地、矿区等。当必须通过时，应充分考虑工业建设或地层塌陷对线路的威胁并采取保护措施。光缆线路不宜穿越与电路分配无关的城镇、村庄，不宜通过森林、果园、茶林、苗圃和其它经济林场，以避免赔偿费用太高和地下树根对光缆可能的危害。对于地面上的建筑设施和电力线、通信杆线，地下各种水、气、电管道和缆线等应尽量避开，须穿越时要保持足

21、够的距离并采取保护措施。光缆线路应避开强电影响、易受雷害、机械损伤、化学腐蚀、以及白蚁攻击的地方。当无法避开时，必须采取相对应的保护措施，确保通信线路的传输安全。计算机网络系统概述计算机网络系统是实现园区信息流转和数据共享的核心系统。根据用户实际应用安全性要求，计算机网统主要分为园区内网和园区综合通信服务网 两个承载不同应用的计算机网络系统。另外，如果园区需要有公安专网、气 象专网、各银行专网等的接入，这些专网具备特殊的行业安全要求，一般按 照各行业特殊安全要求，由运营商通过光纤专线直接接入到指定地点，各自 完全独立，接入设备一般也由使用方自己负责提供，不与园区网络物理连接， 架构相对简单，在

22、光缆网和综合布线系统中考虑好线缆预留，具体实施中建 设即可.需求分析方案制定目的建设有特色的、高效的网上专业应用，促进基础信息化( 对内服务，包含 OA,园区网络应用 ) ；建设服务园区的网络推进基于公共服务的协同网络平台( 对外的服务 )整个的建设分为三个层面（基础环境、基础数据、应用服务），四个系统（基础环境系统、基础数据系统、基础应用系统、服务提供系统），两个支撑（安全支撑、运行维护支撑）的建设。对于IT基础架构来说主要是考虑建设覆盖园区的高速骨干网络系统、IDC 数据中心、汇接中心的基础建设和协同办公、视频通讯、生产安防监控的应用，以及安全和管理的支撑建设。目前数字化园区主要关注问题网

23、络的智能化、可靠性、广覆盖要求：原有各自独立的路由、交换、安全、语音、视频等功能，现在都开始向融合方向发展，在这个演进发展趋势中，通用性的网络设备如何实现个性化、行业化的定制，成为网络智能化发展的方向，同时带来了集成化后的设备配置和管理方面的易用性要求；对于网络可靠性的保障，尤其是对核心层架构和设备的可靠性要求；对于在不同的环境下的接入技术的要求，如远距离的PON架构，解决布线困难的无线技术；网络对于多业务承载，需要逻辑隔离，并且端到端保障用户权限的控制等；数据中心的整合：应用系统将深度融合，数据高度集中，在数据大集中的过程中，区域原有分散建设的各自独立的异构系统需要进行整合，需要 有一套标准

24、化的技术和协议对整合后的平台进行规范，有利于后续业务的发 展和扩张。在这样的数据大集中后，最大的挑战是随之带来的风险的大集中， 如何保障集中后数据访问的可靠、数据访问的安全，这不仅仅只需考虑网络， 还有数据的备份和恢复，访问的安全控制等。协同办公：区域信息化能给区域效益带来极大提高，但仍然通讯系统之间的割裂，比如通讯录和电话，电话、即时消息和短信等，可以通过系统办公的系统，来完成通信资源的融合，使工作更高效 .多媒体的建设：视频会议等多媒体网络技术的应用，可以很大的节省区域的日常业务成本，而园区内的监控部署（安防和生产），可以很好的预防区域生产事故的发生，更好的对现场进行远程控制。全网全方位的

25、安全：当前的安全也已经从单一的对网络安全防护，扩展到全方位的安全规划，不仅原有的防火墙、IPS 在融合，对员工的安全认证、管理也必须考虑，还要考虑环境的安全，供电、防潮、防进入等，这样才能构建一个真正意义上的安全环境。统一管理：诸多的网络设备、诸多的业务系统、诸多的访问用户，管理面临的是完全分散的，相互隔离的管理资源，如何简单的做到整体资源的统一管理，只有通过面向业务的管理方式，统一资源、业务、人贯穿到整个业务平台实际需求解析园区内、外应用网为智慧城市数字化园区各类信息技术系统提供基础通信功能，覆盖智慧城市全园区各个需要信息数据服务的终端和用户及数据中心，是本规划重点规划内容。智慧城市新建设园

26、区内、外网。网络结构按照核心、汇聚层、接入层的层次化架构设计，采用双核心交换（热机备份）+GPON的结构。接入层利用GPON实现对语音、数据的综合接入，利用汇聚层与核心层设备把所有系统结合起来，达到互联互通。主干链路采取万兆接口， 千兆下联（以后平滑到升级到万兆），双上联接入，实现主要点位千兆到桌面。系统需配置独立的网络管理系统、防火墙、入侵检测系统，确保网络安全，出口部署路由器可实现因特网接入和分支机构包括出差员工通过虚拟专有网接入。4.网络设计建设整体符合园区数字化、信息化、系统化、现代化的需要。要求通过先进成熟的网络技术、计算机信息技术、自控技术、现代化通信技 术结合实际，完成建设一套先

27、进、成熟、可靠、开放、实用的办公自动化及 信息系统。使之能够更好地提供信息化的服务。本次项目设计考虑到本次网 络建设的需求，并且要满足未来几年办公网络络扩容升级的需求。主要网络流量分析及测算外网流量分析1、办公系统数据流量办公 OA系统预计点数100 个。数据流包括信息发送、邮件、文件流转等， OA系统连续数据流量不多，但是有一定的时敏感性，预计给每个OA点留 1M带宽，累计约 100M。2、固定语音系统数据流量园区固定电话（传真）系统预计装机量10 个左右。电话语音经压缩后，占用带宽很低，给每个点留64K带宽，累计约640K。3、 门户网站门户网站采用主机托管的方式委托新闻网提供服务，考虑到

28、访问量较大，使用的服务器至少拥有一个千兆网卡，预留带宽200M。为了保证业务的可靠性， 可以同时部署多台虚拟机提供门户服务。为提升用户访问体验，应考虑CDN的应用部署。4、手机智慧导游系统及无线园区应用手机智慧导游系统，持有智能手机的游客可以安装智慧城市手机智慧导游 系统实现园区内的智能智能导缆、社交网络及互动参与等各类应用，手机智慧 导游系统为手机应用APP开发完成后可在官方网站及园区内指定游客服务中心内下载安装，大量智能导游的服务集成在APP软件包中，不会产生网络流量， 应用流量主要包括导航信息、文本信息推送、微博信息发布交流、手机照片、 视频等上传，手机应用带宽控制在平均50K左右 。5

29、、 其他园区内其他各种应用，如电瓶车管理调度、公交管理调度等各类管理信息系统，数据流主要为文本字符流，占用带宽都比较小，不会对园区网络带宽造成大的影响。6、互联网访问出口带宽分析园区互联网应用包括执委会日常办公互联网查询访问、信息发布，游客智 能手机智能导缆系统信息交流与发布以及媒体大厅媒体服务等三大类互联网访 问服务。其中执委会日常办公互联网访为需求时限为筹办期到智慧城市结束执 委会解散全过程，数据流量包括网上信息查询、网页浏览、电子邮件等，用户 数量筹建期 100 人左右，运营期200 人左右，考虑到租用运营商线路费用建议租用 50M宽带互联网访问专用线路，并根据互联网访问应用的不同，设置

30、一定的带宽优先级保证，如：优先保证电子邮件数据带宽，限制下载、视频等应用。游客智能手机智能导缆系统信息交流与发布以及媒体大厅媒体服务等三大 类联网访问服务尽在展会开办期间使用，考虑到各自服务的客户群的不同，并 考虑性价比，建议各申请独立的50M互联网访问链路，确保游客、管理部门都能进行顺畅的互联网访问，互不干扰。外网流量序号业务类型算法总流量（预估）1办公系统数据用户数每个用户流量100M2固定语音系统数据用户数每门线路流量640K3门户网站预估带宽预留50M4手机智慧导游系统及无线园区应用用户数每门线路流量50M总约 200M计表 1- 1外网流程分析汇总表内网流量分析1、公共广播系统数据流

31、量规划园区公共广播系统点位计算。按照语音/ 音乐 CD级(128K, 16bit)标准计算，给每个点留128K带宽，累计约 64M。2、视频系统数据流量规划中将部署室外及重点区域监控摄像头。如果全部并入网络，按照一个高清摄像头需要 8M带宽计算，计算总共需要带宽。由于视频传输是时敏感传输， 带宽利用率如果超过 60便会造成延迟、颤抖、拥塞等 QoS不能满足需求的情况，所以实际预留带宽应该更大。视频还应考虑园区内视频会议、信息亭相关提供业务的带宽需求。3、 信息发布系统流量园区信息发布系统信息流主要包括通知、公告等字符流、，也包括图像、宣传视频等展示信息。园区规划部署 134 余个信息发布终端，

32、每个终端设计10M带宽流量，总计 1.4G。内网流量序号业务类型算法流量1公共广播系统数据点位总数每个点位流量64M2视频系统数据监控总数每个点位流量5.5G3信息发布系统发布信息点数每点流量1.4G总计约 7G设计原则表 1- 2内网流量分析统计表此次古镇智慧园区网建设要实现内部全方位的数据共享，应用三层交换，汇聚层及接入网采用 GPON网络架构实现，提供全面的 QoS保障服务，使网络安全可靠，从而实现管理、多媒体自动化，而且还要通过 Internet 提供可管理的应用，必须具备高性能、高安全性、高可靠性，可管理特性以及开放性、兼容性、可扩展性。基于对古镇智慧园区网业务需求的深入理解，结合自

33、身产品和技术特点， 我公司推出了完善的古镇智慧园区网解决方案，为智慧城市提供“高扩展、多业务、高安全”的精品网络。古镇智慧园区网建设遵循以下基本原则：计算机网络系统，通过承载企业的多种业务，形成一个科技园区网络。园区网络设计必须适应当前信息化各项应用，又可面向未来信息化发展的需要， 因此必须是高质量的。园区网通常是一种用户高密度的非运营网络，在有限的空间内聚集了大量的终端和用户。同时对于园区网而言，注重的是网络的简单可靠、易部署、易维护。园区网设计通常遵循如下原则：层次化将园区网络划分为核心层、汇聚层、接入层。每层功能清晰，架构稳定， 易于扩展和维护。模块化将园区网络中的每个部门或者每个功能区

34、划分为一个模块，模块内部的调整涉及范围小，易于进行问题定位。冗余性关键设备采用双节点冗余设计；关键链路采用Trunk 方式冗余备份或者负载分担；关键设备的电源、主控板等关键部件冗余备份。提高了整个网络的可 靠性。安全隔离园区网络应具备有效的安全控制。按业务、按权限进行分区逻辑隔离，对设备网、安防网进行物理隔离。可管理性和可维护性网络应当具有良好的可管理性。为了便于维护，应尽可能选取集成度高、模块可通用的产品。经济性和投资保护应以较高的性能价格比构建本计算机网络系统，使资金的产出投入比达到最大值。能以较低的成本、较少的人员投入来维持系统运转，提供高效能与高效益。尽可能保留延长已有系统的投资，充分

35、利用以往在资金与技术方面的投入。设计标准此次园区网络及网络安全主要以国家、行业相关规范和标准为设计标准及依据，具体如下：? 信息技术开放系统互连网络层安全协议（ GB/T 17963）? 信息安全技术信息系统通用安全技术要求GB/T20271-2006? 计算机信息系统安全 （GA 216.1 1999）? 信息技术设备的安全GB4943-2001? 计算机软件开发规范 （GB8566-88）园区基础网系统设计园区网系统拓扑图园区外网图 1- 1计算机网络系统外网整体构架图园区内网图 3- 2计算机网络系统内网整体构架图园区外部应用网络园区外部网络逻辑架构及分层介绍如图 1-1 所示，整个外部

36、应用网络分为四层，分别为核心层、汇聚层、接入层、应用层。古镇智慧园区外部应用网络主要承载整个园区内各个办公区域使用INTERNET的需求，并且此网络还要作为无线园区的核心接入层。还有部分智慧“旅游”平台中 的系统需要和网络进行连接及数据交换，也是此网络为基础传输的。整个网络由于涉 及到与 INTERNET连接，所以要充分的考虑网络接入的安全性和网络架构内部的安全防范措施。应用层为园区提供所有相关公网及智慧旅游平台的应用服务，包含园区内各办公区域INTERNET接入，整个园区WLAN业务的核心接入区，还有其他园区智能化系统与公网连接的需求。接入层负责将各种终端接入到园区网络，本次智慧城市将采用G

37、PON的组网模式 , 对新建的 7 个分支机房进行光纤到楼（FTTB）的建设。部署了多台接入ONU，二层交换机、分光器。接入方式提供了三种模式，分别是ONU直接接入、 ONU通过交换机连接接入和在OLT下级分光后接入ONU接入。如图 1-1 接入层模型。本次工程业务需求主要为高品质带宽的服务，为相关应用系统提供高速高效的网络传输保障。汇聚层汇聚层将众多的接入设备和大量用户经过一次汇聚后再接入到核心层，扩展核心层接入用户的数量。本次建设OLT作为汇聚节点，在汇聚层部署了1 台 OLT并冷备了一台 OLT设备来保证出现异常情况第一时间更换。承担L2/L3 边缘设备的角色，提供用户管理、安全管理、Q

38、oS（ QualityofService）调度等各项跟用户和业务相关的处理。OLT，集中部署在中心机房。核心层核心层负责整个园区办公网的高速互联，部署核心交换机作为热备，连接OLT和出口设备的枢纽，一般不部署具体的业务。核心网络需要实现带宽的高利用率和网络故障的快速收敛。园区出口园区出口指园区网接入广域网和Internet的出口，园区互联网应用包括执委会日常办公互联网查询访问、媒体发布，游客智能手机智能导缆系统信息交流与发布以及媒体大厅媒体服务等三大类互联网访问服务。对流量的分析，建议租用200M宽带互联网访问专用线路，由于此次采用核心双链路结构，可以在备份链路上由运营商提供一条备份链路，链路

39、带宽根据用户方要求来提供，建议在50M-100M之间。在整个网络中， 根据互联网访问应用的不同，设置一定的带宽优先级保证，如：优先保证电子邮件数据带宽、智慧旅游平台数据传输等应用，限制下载、视频、园区无线AP接入数量等应用。游客智能手机智能导览系统信息交流与发布等二大类联网访问服务，建议申请100M互联网访问链路，确保游客、管理部门都能进行顺畅的互联网访问，互不干扰。具体实施可以采用VLAN划分、 IP 规划、策略路由等手段实现。园区出口网关采用出口防火墙作为安全及路由设备，考虑到古镇智慧园区综合服务网内具备多种关键服务器、存储、数据库等核心设备，网路安全必须慎重考虑，规划设计在网络边界同时部

40、署防火墙设备、入侵检测设备、上网行为管理设备等网路安全设备。出口防火墙至 WAN及 Internet的接口，配置下一条路由。通过设置路由优先级，设置运营商的出口链路为等价路由，实现运营商的流量负载分担。通过设置路由优先 级设置主、备运营商链路的路由，实现主链路故障时的备用链路倒换网络管理区域至 核心交换机链路，配置静态路由。互联区网络根据接入类型及服务类型划分多个不同的互联接入区域：Internet互联园区外部用户（例如园区分支、出差员工等）通过Internet访问园区。 Internet互联区包括出口防火墙设备。其中出口防火墙具备包括防火墙和IPS 两项功能。入侵检测系统 IPS 对掺杂在应

41、用数据流中的恶意代码、攻击行为、DDOS攻击等进行侦测，并实时进行响应。防火墙在网络层面，过滤非法流量、抵御外部的攻击，保护内部资源。防火墙和 IPS 本身都是重要的网络设备，而且其位置一般都是作为网络的出口。其位置和功能决定了防火墙和IPS 设备应该具有非常高的可靠性。为了保证 Internet互联区域的可靠性，所有设备均需要成对部署，即：两台出口防火墙设备。VPN接入区根据需要提供IPSec VPN和 SSL VPN两种接入功能，解决移动用户的安全接入问题。可以部署独立的IPSec VPN网关和 SSL VPN网关，也可以采用出口防火墙设备统一接入。Extranet互联合作单位用户通过广域

42、网WAN或局域网访问园区。由于 Extranet区域属于企业外部用户通过WAN等方式接入的区域，从网络信任关系上讲，安全等级与DMZ相同，都属于非可信网络，不能直接与园区连接。访问权限 应限制在本区域内部及DMZ区域，内网访问应严格控制。业务隔离：同 DMZ区域，主要提供对外服务，因此对该区域网络应与内网隔离，必要的业务可以通过严格控制访问DMZ区域。防火墙：在网络层面，通过NAT 技术隐藏内网拓扑，保护内部资源控制访问权限。Intranet互联园区内部用户访问园区内部或数据中心，称为Intranet互联。网络方面主要考虑双线接入，核心网络设备的冗余备份。需要部署独立的互联接入设备并部署 2

43、台进行热备，保证设备的可靠性。数据中心 / 服务器区域，出口交换机处部署防火墙设备进行安全检查和权限控制；接入层交换机处部署负载均衡器实现服务器资源的有效利用；数据中心出口交换机采用双链路接入园区核心层交换机，实现高可靠性。DHCP设计园区网中办公网络建议使用DHC，P设备使用。DHCP园区部署基本架构每个 DHCP网段应保留部分静态IP 供服务器等建议在园区数据中心或服务器区部署独立的DHCP Server。在汇聚层网关部署DHCP Relay指向 DHCP Server 统一分配地址。DHCP部署基本原则固定 IP 地址段和动态分配IP 地址段保持连续。按照业务区域进行DHCP地址的划分，

44、便于统一管理及问题定位。DHCP需要跨网段获得IP 地址时，启动 DHCP Relay功能。启动 DHCP安全功能，禁止非法DHCP Server的架设和非法用户的接入。DHCP区域划分设计外网主要业务有办公区域网络接入、园区无线AP接入、“智慧旅游”平台公网接入业务、其他外网接入业务等。这四大业务可以根据业务的实际情况进行DHCP池的划分。以下 DHCP池规划为初步设计，二次深化设计时根据实际情况进行调整。外网 VLAN规划VLAN是将 LAN内的设备逻辑地而不是物理地划分为一个个网段，从而实现在一个LAN内隔离广播域的技术。当网络规模越来越庞大时，局部网络出现的故障会影响到整个网络， VL

45、AN的出现可以将网络故障限制在 VLAN范围内，增强了网络的健壮性。VLAN对于网络用户来说是完全透明的，用户感觉不到使用中与交换式网络有任何的差别，但对于网络管理人员则有很大的不同，因为这主要取决于VLAN的几点优势。控制广播风暴通过物理网络分段和VLAN逻辑分段两种方式。提高网络整体安全性，通过路由访问列表和MAC地址分配等 VLAN划分原则， 可以控制用户访问权限和逻辑网段大小。网络管理简单、直观，对于交换式以太网，如果对某些用户重新进行网段分配， 需要网管员对网络系统的物理结构重新进行调整，甚至需要追加网络设备，增大网络 管理的工作量。而对于采用VLAN技术的网络来说，只需网管人员在网

46、管中心对该用户进行 VLAN网段的重新分配即可。VLAN规划原则根据区分业务 VLAN、管理 VLAN和互联 VLAN按照业务区域划分不同的VLAN同一业务区域按照具体的业务类型（如：Web、APP、DB）划分不同的VLAN。VLAN需连续分配，以保证 VLAN资源合理利用预留一定数目VLAN方便后续扩展。VLAN功能划分在 FTTB组网模式中， VLAN划分推荐采用按业务规划VLAN的方式。宽带业务：宽带业务数据包由ONU在用户接入端口进行VLAN封装，接入 OLT。为防止 ONU下挂的 PC用户二层互通，建议ONU实施用户端口的二层隔离，同时利用DHCPrelay 、PPPoE等+要求。功

47、能，在 BAS、SR上实现对接入用户的控制，满足一定的用户安全性VOIP业务：为保证语音的 QOS，ONU对语音接入进行 VLAN标签封装，同时可对语音数据包设置高优先级。在 OLT上完成用户侧 VLAN到网络侧 VLAN的切换。如下图所示：图 3- 3OLT 上完成用户侧 VLAN到网络侧 VLAN的切换示意图VLAN划分的策略基于端口的 VLAN划分是最简单、最有效的划分方法。该方法只需网络管理员对网络设备的交换端口进行重新分配即可，不用考虑该端口所连接的设备。MAC地址其实就是指网卡的标识符，每一块网卡的MAC地址都是惟一且固化在网卡上的。 MAC地址由 12 位 16 进制数表示，前8

48、 位为厂商标识，后4 位为网卡标识。基于 MAC地址的 VLAN划分其实就是基于工作站与服务器的VLAN组合。在网络规模较小时，该方案亦不失为一个好方法，但随着网络规模的扩大，网络设备和用户的增加，则会很大程度上加大管理难度。路由协议工作在网络层，相应的工作设备有路由器和路由交换机。该方式允许一个 VLAN跨越多个交换机，或一个端口位于多个VLAN中。基于策略的 VLAN划分是一种比较有效而且直接的方式。这主要取决于在VLAN划分中所采用的策略。DNS规划建议DNS服务器的角色划分Master服务器：主服务器，作为DNS的管理服务器，可以增加、删除、修改域名， 修改的信息可以同步到Slave

49、服务器，一般部署1 台。Slave 服务器：从服务器，从Master 服务器获取域名信息，采用多台服务器形成集群的方式，统一对外提供DNS服务，一般采用基于硬件的负载均衡器提供服务器集群的功能。一般部署2 台从服务器。Cache服务器：缓存服务器，用于缓存内部用户的DNS请求结果，加快后续的访问。一般部署在 Slave 服务器上。DNS服务器的 IP 地址Master 服务器：采用园区外部应用网络地址。Slave 服务器：分配园区外部应用网络固定IP 地址，并在负载均衡器上分配一个虚拟的园区外网地址。Internet域名地址有两种方案：一种是在防火墙上做NAT映射，把 Slave 服务器的虚拟

50、地址映射为一个公网IP 地址，用于外部 Internet用户的访问。另一种是在链路负载均衡设备上通过智能DNS为外部 Internet用户提供服务。DNS可靠性设计众多内部用户发送DNS请求，被均匀分担到Slave DNS1 和 DNS2。当 Slave DNS1服务器故障后，所有的DNS请求被分发给 Slave DNS2。最终 DNS服务器必须与外部DNS通讯。Master服务器，建议放置在DMZ区域，并在同区内部建立Slave DNS 服务器。如只对内提供服务的DNS服务器，可以作为二级的DNS服务器，放入其他非DMZ区域。当所有的 Slave DNS 都故障后，用户发送的DNS请求无响应

51、。用户就切换到备DNS，由 Master DNS 处理所有的请求。路由设计采用核心交换机作为路由和交换的分界点。这种设计方法有如下的优点：路由配置简单只需要在 2 台核心交换机上配置路由。接入和汇聚层只做二层交换，配置简单。便于采用接入交换机的“自动配置”功能，减少配置维护工作量。扩展性好在同一个汇聚 / 核心交换机下的服务器扩容方便，并且随着业务的变化不需要更改网络的配置，即插即用。OSPF规划规划合理的 RouteID， RouteID 建议采用 Loopback 接口 IP 地址。出口防火墙和核心交换机之间网络作为OSPF的 Area0，出口防火墙作为ASBR和 ABR，核心交换机为 A

52、BR。园区内部网络逻架构及分层介绍整个外部应用网络分为四层，分别为核心层、汇聚层、接入层、应用层。古镇智慧园区内部应用网络是实现智慧城市数字化园区各种应用系统，提供各种信息化智能应用的核心承载网络，属于数字化园区关键支撑通信网路系统。园区内网主要用于提供政务网访问和金宏收发文、自动化办公应用，设备网络、视频监控网络。主要用于筹建期以及运营期执委会相关职能部门与政府相关部门的沟通及整个园区内部主要应用系统网络，是物理隔离的专用网络，不与因特网有任何物理连接，使用者主要为政府相关部门借调人员及园区内各应用系统的负责维护人员。本网络应用较多，数据量较大，所以采用高端核心处理设备，并且根据实际情况规划

53、各系统 VLAN，便于各应用系统管理。应用层包含园区内的各应用系统，例如视频监控、公共广播、信息发布等系统。OLT通过ODN网络的分光，最终将光缆延伸到各系统应用的前端点位（例如安防监控点位、IP 公共广播编码器等设备上去），连接GPON终端设备 ONU。ONU提供 1FE口（ RJ45 接 头），最终利用网线将设备接入，分别连接各应用系统的前端点位。ONU放置以各系统应用前端为单位，选用下行1FE端口的设备。接入层负责将各种终端接入到园区网络，本次智慧城市将采用GPON的组网模式 , 对新建的 14 个场馆进行光纤到楼（FTTB）的建设。部署了多台接入ONU，二层交换机、分光器。接入方式提供

54、了三种模式，分别是ONU直接接入、 ONU通过交换机连接接入和在OLT下级分光后接入ONU接入。如图 3-2 接入层模型。本次工程业务需求主要为高品质带宽的服务，为相关应用系统提供高速高效的网络传输保障。接入层是最靠近用户的网络，为用户提供有线及WLAN多种接入方式，是终端接入网络的第一层。接入层除了需要部署丰富的二层特性外，还需要部署安全、可靠性等相关功能。汇聚层汇聚层将众多的接入设备和大量用户经过一次汇聚后再接入到核心层，扩展核心层接入用户的数量。本次建设OLT作为汇聚节点，和外网汇聚层公用一台冷备OLT。承担 L2/L3 边缘设备的角色，提供用户管理、安全管理、QoS（Qualityof

55、Service）调度等各项跟用户和业务相关的处理。OLT，集中部署在园区地池服务中心机房，将终端送 上来的不同类型业务解调成以太业务，送入不同网络及不同的服务器，从而实现监控、背景音乐等应用系统实现整体的数据传输及控制。核心层核心层负责整个园区内网的高速互联，一般不部署具体的业务。核心网络需要实现带宽的高利用率和网络故障的快速收敛。内部网络属于较安全的区域，是绿色区域， 风险比较低。主要的安全风险来自内部网络自身的用户（如用户未经授权的存取）。 在接入设备中，根据实际需求控制不同分支之间的数据互通的访问控制。通常情况下， 核心层需要采用全连接结构，保持核心层设备的配置尽量简单，并且和业务部门无

56、关。核心层设备需要具有高带宽、高转发性能，否则将无法支撑企业内外部的业务流量。 由于核心层设备的地位非常关键和重要，几乎所有业务信息的传递都要经过核心层， 因此要求设备本身具备高性能之外还须具备很高的可靠性和安全性，此次部署两台高 端交换机实现双机热备，保证核心层设备的高可用性。IP 地址设计考虑到后期扩展性，在园区内部应用网络中的IP 地址规划时主要以易管理为主要目标。内网 IP 地址原则上各应用系统的服务器，特殊终端设备（IP 视频监控设备等） 和生产设备建议采用静态IP。IP 地址规划对于网络系统设计与配置、应用效率、可维护性和可扩展性等方面都有很大影响，因此合理的IP 地址分配是网络设

57、计的重要目标之一。通常IP 地址分配有如下原则：唯一性一个 IP 网络中不能有两个主机采用相同的IP 地址。即使使用了支持地址重叠的MPLS/VPN技术，也尽量不要规划为相同的地址。连续性连续地址在层次结构网络中易于进行路径叠合，大大缩减路由表，提高路由算法的效率。扩展性地址分配在每一层次上都要留有余量，在网络规模扩展时能保证地址叠合所需的连续性。实意性好的 IP 地址规划使每个地址具有实际含义，看到一个地址就可以大致判断出该地址所属的设备。智慧城市数字园区内部应用网络系统IP 地址建议选用 RFC1597文档中的私有 B类IP 地址，通过对智慧城市数字园区内网IP 地址空间进行分配，实现最佳

58、的网络内地址分配，从而达到最佳的业务流量分布。FTTB组网场景下， IP 地址规划时可充分利用私网地址进行独立规划，地址资源充足，地址分配整齐，减少了公网地址消耗，提高网络的安全性。IP 地址规划建议按照PON端口划分网段； MDU和 HGW管理 IP 统一网段， IAD 和 MDU内置话音统一网段。IP 地址规划时应考虑如下原则：合理相对于业务 VLAN和业务接口（三层接口）而言，各设备的管理接口应使用独立的VLAN和 IP 网段。安全IP 地址应根据不同的业务进行划分。可采用动态分配IP 地址，以加强结合动态分配机制的安全认证和管理，节省IP 地址资源。IP 地址分配要尽量给每个区域内的设

59、备或用户分配连续的IP 地址空间；在每个地市中，相同的业务和功能尽量分配连续的IP 地址空间，有利于路由聚合以及安全控制。可扩展IP 地址的规划与划分，即要满足当前对IP 地址的需求，同时要充分考虑未来业务发展，预留相应的地址段。IP 地址的分配需要有足够的灵活性，能够满足各种用户接入如园区用户、专线用户等的需要：对于普通园区工作人员用户，可仅分配私网IP 地址满足相关业务浏览的需求。可维护地址分配是由业务驱动，按照业务量的大小分配各地的地址段。设备之间的通信、运维系统与设备之间的通信，在公有地址有保证的前提下尽量 采用公有地址，如设备的loopback地址等，尽量不要采用与业务相关的地址进行

60、运维方面的通信。应尽量将网络中所有设备的运维管理地址分配在一个子网、一个VLAN，并与业务数据二层隔离。GPON接入网园区 GPON接入层接入层是最靠近用户的网络，为用户提供各种接入方式，是终端接入网络的第一层，一般部署二层设备，双归属到汇聚层两个不同的交换机。接入层除了需要部署丰富的二层特性外，还需要部署安全、可靠性等相关功能。此次园区 GPON网络的建设整个降低了原有采用交换接入所产生较高的费用，并且 在接入层普遍采用光纤接入，这样也提高了整个网络的工作效率。园区外网OLT设备到核心层交换设备采用千兆互联（见图3-1 ）。园区内网 OLT设备到核心层交换机采用万兆互联来保证整个园区内网业务