智能化小区弱电系统解决预案培训文件

113/113一、施工组织设计1.1、项目实施方案第一章工程概况智能建筑（IntelligentBuilding，缩写IB）是信息时代的必定产物，是计算机技术、通信技术、操纵技术与建筑技术紧密结合的结晶。随着全球社会信息化与经济国际化的深入进展，智能建筑已成为各国综合经济实力的具体象征，也是各大企业集团国际竞争实力的形象标志。同时，在国内外正在加速建设信息高速公路的今天，智能建筑也是“信息高速公路（InformationSuperHighway）”的主结点。因而，各国政府机关、各企业集团公司也都在竞相实现其建筑智能化。可见兴建智能型建筑已成为当今跨世纪性的进展目标。第二章建设目标民航云南监管办综合业务楼作为一座面向21世纪的建筑，其最终建设目标是：依照有用和适用的原则，建设大楼内的建筑设备自动化系统、通信自动化系统、办公自动化系统，并对这些系统进行有机的一体化集成，构成整个大楼的智能系统，从而为大楼内的设备提供安全、稳定的运行环境，为用户提供高效、便捷、舒适的办公环境，为用户提供安全、节能、便于维护治理的环境，最终使本项目的智能系统达到《智能建筑设计标准》（GBT50314-2000）的甲级设计标准，从而为大楼保持长久的竞争力。民航云南监管办综合业务楼的智能化系统建成以后，应体现如下特点：高效节能：大楼内设备依照实际用量自动调节工作，从而节约能耗；主、备设备之间定期轮换、维护，延长使用寿命，优化治理手段，配置少量的人员就能够满足大楼的日常运作。安全舒适：大楼因应内外环境的变化，自动调节空气、照度；采纳人机合一的方式，保障用户的利益不受侵犯。无限通讯：用户与内外部交流时，可采取不同的方式（语音、传真、互联网、视讯），不受距离和速度的约束。集成度高：企业治理人员在同一地点就能够对不同的子系统进行监控、治理，并能够进行异地远程设置。稳定可靠：考虑到大楼对外服务和内部治理的重要性，因此在方案设计中应充分考虑到智能化系统长期不间断运行的要求，各种弱电智能化子系统应建立在一个坚实内用、性能稳定的综合布线系统基础之上。第三章建设原则办公智能化系统必须坚持先进性、扩展性、可靠和安全性、可维护性、适用性的原则，结合其需求特点和系统特征，针对各子系统功能特点进行设计和实施，只有如此才能充分发挥智能化系统功能，取得最佳的投资效应。1、有用性系统设计依照大楼规划有的放矢，从实际需要动身，注重性价比。2、先进性系统设计应采纳技术成熟、性能先进的产品结构，保证大楼的智能化应用在10年内不落伍。3、开放性各子系统的设计应围绕大楼智能化综合治理平台，开放通讯协议和接口，高度集成。而且，只要通过同意并具备相同以太网协议的设备均可接入大楼内部网络，扩展功能和端口。4、安全性和可靠性设计应考虑系统长期运行的稳定性，是否能够安全可靠。此外，在网络通讯方面应采取防病毒、防黑客措施，保障不受破坏。5、兼容性和扩展性系统设计除规划近期的实施方案外，还考虑中远期的扩容和进展规划。不同类型的产品均容易集成，使整个智能化系统随着技术的进展和进步不断得到充实和提高。6、专业性和规范性系统设计应遵循国内外最新的行业规范，建成后应优于国际规范要求。第四章综合布线（数据、语音）系统综合布线是一个模块化、灵活性极高的建筑物内或建筑群之间的信息传输通道，是智能建筑的“信息高速公路”。它既能使语音、数据、图像设备和交换设备与其它信息治理系统彼此相连，也能使这些设备与外部通信网相连接。它包括建筑物外部网络或电信线路的连线点与应用系统设备之间的所有线缆及相关的连接部件。综合布线由不同系列和规格的部件组成，其中包括：传输介质，相关连接硬件（如配线架、连接器、插座、插头、适配器）以及电气爱护设备等。这些部件可用来构建各种子系统，它们都有各自的具体用途，不仅易于实施，而且能随需求的变化而平稳升级。一个设计良好的综合布线系统对其服务的设备应具有一定的独立性，并能互连许多不同应用系统的设备，如模拟式或数字式机的公共系统设备，也应能支持图像（电视会议、监视电视）等设备。4.1工作区子系统工作区布线子系统由终端设备连接到信息插座的连线（或软线）组成，它包括装配软线、适配器和连接所需的扩展软线，并在终端设备和I/O之间搭桥。计算机终端通过RJ45跳线与数据信息插座连接，而电话机终端则通过RJ11跳线与语音信息插座连接，其中数据和语音信息插座均采纳相同标准的模块，插座底盒距离地面30cm。故系统的可互换性特不行，如此就实现了语音/数据完全可互换，使电话与电脑之间的线路转换十分简单，仅仅只需要在配线架上改变跳线即可，大大方便了今后的实际应用，使综合布线系统的灵活性得到最完美的体现。每个模块化插座都印有568A和568B两种端接方式的线缆排列，使端接时出错概率明显下降。为了爱护跳线，减少弯角上的辐射和衰减，减少插座内积灰阻碍电气性能和防水，本投标方案所采纳的信息插座全部使用86型防尘面板。RJ45埋入式信息插座与其旁边电源插座应保持20cm的距离，信息插座和电源插座的低边沿线距地板水平面30cm。如下图所示：讲明：由于信息点的布置与装潢有关，双孔面板只是设计者自己的理解，双孔面板的具体配置可依照用户需求随时调整。4.2水平区子系统水平子系统是将干线子系统经楼层配线间的治理区连接并延伸到工作区的信息插座。水平子系统与干线子系统的区不在于：水平子系统总是处在同一楼层上，线缆一端接在配线间的配线架上，另一端接在信息插座上。在建筑物内，干线子系统总是位于垂直的弱电间，并采纳大对数双绞电缆或光缆，而水平子系统多为4对双绞电缆。这些双绞电缆能支持大多数终端设备。在需要较高带宽应用时，水平子系统也能够采纳“光纤到桌面”的方案。由于采纳了四对六类非屏比双绞线UTP，该双绞线的传输带宽为许多于200MHz；数据传输速率100Mbps以上，最高可达1Gbps。水平子系统包括连接配线间和信息之间的线缆。水平布线距离应不超过90M，信息插孔到终端设备连线不超过10M。其走线方式有两种:采纳走吊顶的轻型槽形电缆桥架的方式这种方式适用于大型建筑物（如图5所示），为水平布线系统提供机械爱护和支持，装配式槽形电缆桥架是一种闭合式金属桥架，安装在吊顶内，从弱电竖井引向各个设有信息点的房间。再由预埋在墙内及地下的不同规格的铁管及线，将线路引到墙上的暗装铁盒内及地面出口处。按照标准的线槽设计方法，应依照水平的外径来确定线槽的容量。即：线槽的横截面积=水平线缆横截面积之和X2线槽的材料应为泠轧合金板，表面可进行相应处理，如镀锌，喷塑，烤漆等。线槽能够依照情况选用不同的规格，为保证线缆的转弯半径，线槽须配以相应规格的分支辅件，以提供线路路由的弯转自如。为确保线路的安全，应使槽体有良好的接地端，金属线槽，金属软管，电缆桥架及各分配线机柜均需整体连接，然后接地，如不能确定信息出口淮确位置，拉线时可先将线缆盘在吊顶内的出线口，待具体位置确定后，再引到信息出口。采纳地面线槽走线方式这种方式适用于大开间的办公室，有密集的地面型信息出口的情况，建议先在地面垫层中预埋金属线槽，主干槽从弱电竖井引出，沿走廊引向设有信息点的各房间，再用支线槽引向房间内的各信息点出线口，强电线路能够与弱电线路平等配置，但需分隔于不同的线槽中，如此能够向每一个用户提供一个包括数据，语音，不间断电源，照明电源出口的集成面板，真正做到在一个清洁的环境下，实现办公自动化。由于地面垫层中可能会有消防等其它系统的线路，因此必须由建筑设计单位，要依照综合各系统的实际情况，完成地面线槽路由部分的设计。线槽容量的计算应依照水平线缆的外径来确定。即：线槽的横截面积=水平线缆横截面积之和x2吊顶吊顶水平线槽(内穿水平线或光纤)预埋铁管信息插座（包括面板、模块和铁盒）由电话、计算机引出的RJ45接头办公间隔段水平线缆的计算：水平系统电缆的计算按照《开放式布线系统设计总则》标准的方法进行计算,其中：平均长度P1=（最短长度+最长长度+4）/2（米）总平均长度P2=平均长度+10%余量+线架预留+工作区预留（米）每箱可布电缆数N=最大可定购长度（305米）/总平均长度（条）线缆箱数=信息端口数目/每箱可布线电缆数。由于整个布线要紧涉及的建筑物均为现修建建筑，因此工程中所有的线管采纳预埋暗装方式。依照实际情况，楼垂直部分（各楼栋弱电井内）安装采纳PVC桥架，水平部分采纳PVC线管预埋。墙体内支线预埋PVC管。PVC管内表面光滑，布线时可不能划破线缆，有利于保障安装质量。每根Φ25管最多同意穿3根六类线缆，每根Φ20管最多同意穿2根六类线缆，网络线缆在分线盒内转弯半径必须大于90°，在同一水平面上超过三个弯角时必须加过线盒。线缆敷设注意事项在敷设线管时，应确保网络线与强电线之间水平距离大于下表规定的距离。在有垂直相交的情况下就尽量分离。电力线<480V最小间隔距离<2KVA2-5KVA>5KVA开放的或非金属的通讯线槽与非屏蔽的电力线127mm305mm610mm接地的金属通讯线槽与非屏蔽的电力线64mm152mm305mm接地的金属通讯线槽与屏蔽的电力线76mm152mm4.3治理间子系统设计讲明：治理子系统由交连、互连和配线架及相关跳线组成。治理点为连接其他子系统提供连接手段。交连和互连同意你将通信线路定位或重定位到建筑物的不通部分，以便容易地治理通信线路。通过卡接或插接式跳线，交叉连接同意你将端接在配线架一端的通信线路与端接于另一端配线架上的线路相连。插入线为重新安排线路提供一种简易的方法，而且不需要安装跨接线时使用的专用工具。数据水平电缆配线架数据非屏蔽配线架选用先进、有用的快接式模块化配线架，便于日后维护。每个模块都能够单独更换；配线架采纳9mm和12mm两种标签，本次采纳24口标准19英寸配线架，六类布线系统水平线缆采纳配线架进行终结。所有水平线缆在治理间均采纳模块式配线架进行终结。光纤配线架采纳12/24口光纤配线架进行光缆的终结。语音100对110配线架采纳100对110配线架进行室内语音主干—大对数电缆终结。跳线铜缆六类跳线：采纳两头差不多上RJ45的六类快速跳线，能够把模块式配线架跳接到网络设备上。语音跳线：采纳一头是RJ45，一头是RJ11的跳线将语音信息点跳接到100对110配线架上。光纤跳线：选用SC-SC端口的光纤跳线进行光缆的熔接。机柜与机架在每个IDF各配置1个42U标准机柜作为数据、语音主配线柜。机柜材料的选用金属喷塑，并配有网络设备专用配电电源端接位置，可将网络设备同放置其中。此种安装模式具有整齐美观、可靠性高、防尘、保密性好、安装规范。标签配线架上有明显颜色区分内网及外网信息点，标签打字打印机。治理间环境要求：由于治理间内需要安装各种设备（如交换机、功率放大器、视频编码器、硬盘录像机等），因此治理见需进行必要的装修，并配备照明设备以便于设备维护，同时为保证设备的可靠运行，治理见内应配备独立供电的220V电源插座以及UPS不间断电源，每治理间功率不小于400W。治理间同时应保证温、湿度适宜，以便各种设备能够稳定运行。4.4垂直干线子系统垂直主干采纳6芯室内多模光缆，将中心机房与主配线治理区(MDF)用星形结构联接起来，作为信息传递的主干道。语音通过3类大对数电缆连接，中心机房与MDF数据部分通过多模光纤连接。数据主干使用6芯室内多模光缆连接到各个楼栋。我们选择垂直子系统拓扑结构为星型拓扑结构，这是因为星型拓扑结构：1)便于治理，星型拓扑结构的所有通信都要通过中心节点来支配，因此维护管里比较方便。2)便于重新配置。用户能够在楼层配线架上任意增加、删除或移动、互换某个或某些信息插座，而且仅仅涉及它们所连接的终端设备。3)便于故障隔离与检测。由于各信息点都连接到楼层配线架，相互之间保持相当大的独立性，因此能够方便地检测故障点，并清除。4)便于系统的分段、级连与扩充。4.5设备间子系统设备间子系统由主配线架以及跳线组成，要紧用于汇接各个IDF，并放置服务器(计算机网络设备等)、程控交换机（PABX）、IDF接入设备。本系统中，中心机房设置在科学实验楼4楼。本方案能够满足各种计算机网络系统对布线系统的要求。计算机网络能够通过光纤跳线能够组成结构上的线路连接，并通过各种网络协议支持着各种计算机网络。采纳标准型机柜,所有信息点均通过一定的编码规则(该规则将依照布线标准、用户方法和工程经验)和颜色规则，以方便用户的使用和治理方便。机柜的机壳和箱体。定购国产配套产品，其色彩和周围环境保持一致。4.6引入间子系统建筑群子系统将一个建筑物中的电缆延伸到建筑群的另外一些建筑物中的设备和装置上。它是整个布线系统的一部分（包括传输介质）并支持提供楼群之间通信设施所需的硬件，其中有导线电缆、光缆和防止电缆的浪涌电压进入建筑物的电气爱护。4.7产品选型民航云南监管办综合业务楼综合布线系统采纳国际闻名品牌SIMON电气综合布线产品进行工程设计和实施。系统采纳“六类非屏蔽水平系统”和“多模光纤数据主干系统”结合设计，产品技术成熟领先、质量可靠、性价比高。所有子系统的布线材料均采纳同一品牌的产品，以便工程验收合格后向厂家申请25年“认证系统质量保证”。其要紧产品技术参数如下：HiSPEED60六类四对非屏蔽双绞线（1）讲明SimNETS61230线缆系列为4对UTP电缆，测试到350MHz，超出了ANSI/TIA/EIA-568-B.2-1的6类要求。当用在HiSPEED60系统中作为水平布线时，它能够提供至少250MHz的信道带宽。（2）特性和益处增加的带宽和信噪比余量；为多对并行传输协议进行优化的平衡传输性能；十字分隔设计，提供更稳定的性能；所有材料具有25年性能保证；线对中的两根线颜色互配，方便安装；方便安装、操作和库存治理的纸箱线轴包装。（3）应用HiSPEED60六类传输性能保证用户在250MHz的宽带下完美地使用2.4Gbps高速率千兆位以太网,适合政府、金融、商用写字楼、交通部门、校园等多种场合的数据通讯电缆。支持如下应用：10BASE-TEthernet；100BASE-TXFastEthernet；1000BASE-TXGigabitEthernet以及其它传输速率高达2.4Gbps的局域网协议；155MbpsATM；622MbpsATM；2.4GbpsATM。（4）保证具有高品质电气及机械性能，采纳中心十字骨架线缆隔离技术，性能保证达到250MHz，以及99.99%的零误码率。NEXT超越六类标准要求，最小有5dB性能余量。（5）电缆结构线芯：芯线材质：无氧铜；芯线线规：23AWG（美国线规标准）。绝缘：绝缘材料:PE(高密度聚乙烯)。护套：护套材料:LSZH。（6）机械特性预留的带宽保证即使在恶劣的安装情况下也能通过测试。最小弯曲半径(操作)33mm最小弯曲半径(安装)65mm导体直径0.57mm绝缘直径0.98mm护套外径6.3mm最大安装拉力100N（7）电气性能FrequencyMHzAttenuationdB/100mNEXTpr/prdBACRdBPSNEXTdBEL-FEXTpr/prdB/100mPSEL-FEXTdB/100mRLdB1410162031.2562.5100200250（8）其他性能时延值（ns/100m）45传播延迟值（ns/100m）536特性阻抗（Ohm）100±15Ω（9）环境性能安装温度0℃～+50℃运行温度-20℃～+60℃HiSPEED60六类非屏蔽信息模块（1）讲明SimNETS62103模块是模块化连接产品线中的一种卡接式UTP连接器。HiSPEED60系列六类模块采纳PCB板配合结构，IDC端子采纳45度卡接方式的设计，确保极佳的长期可靠性和极其稳定的传输性能。测试到350MHz，超出了ANSI/TIA/EIA-568-B.2-1的6类要求。当用在HiSPEED60系统中，它能够提供至少250MHz的信道带宽。并向下兼容于超五类、五类非屏蔽跳线。（2）应用信息插座连接；多用户信息插座连接；集中点连接；模块配线架连接。（3）特性和益处六类RJ45信息插座模块适用于设备间与工作区的通信插座连接。依照TIA/EIA568B设计制造的8线式RJ45六类信息模块，采纳线簧错位排列和PCB板配合结构。产品电气性能优越，具有良好的兼容性。IDC端接界面：卡接簧片整体镀金，可重复卡接次数＞200次；采纳45度卡接方式，使模块与线缆的卡接更牢固；8线式接触针：50μ(inch)镀金耐腐蚀设计，并具有良好的弹性和耐磨损性能；接触电阻(不包括体电阻):＜2.5mΩ；绝缘电阻:＞1000MΩ；介电强度:DC1000V(AC700V)1分钟内无击穿和飞弧现象；电气传输性能:符合TIA/EIA568B.2-1标准。传输带宽达到250MHz，四个连接点信道性能完全超越ISO/IEC11801中的规定。（4）保证完全满足并超越ISO/IEC六类标准，得到真正的性能预留;八根金针良好的弹性提供最少750次重复插拔。（5）安装颜色编号：T568A和T568B；气闭式连接器，绝缘位移卡接技术。卡接线径：0.4～0.6mm；采纳SimNET独特的45度卡接方式；模块支持工作区面板及配线间配线架通用。（6）电气性能FrequencyMHzInsertionLossdB/100mNEXTdBEL-FEXTdB/100mRLdB10.175.075.030.040.175.071.030.0100.174.063.130.0160.169.959.030.0200.168.057.130.00.161000.2054.043.124.02000.2848.037.118.02500.3246.035.116.0SimNET模块化24口UTP/FTP通用配线架（1）讲明SimNETS64304模块配线架为治理间和设备间机架式安装提供了灵活通用的端接解决方案。这种模块式配线架为24空闲端口设计，可依照需要现场装配，以适用任何实际应用中的专门配置。SimNET模块化配线架兼容HiSPEED60、55系列的UTP/FTP全部模块，而无须附加专门元件，为用户的安装提供了灵活性和便捷。（2）应用治理间中的水平布线或设备端接；集中点的互配端接。（3）特性和益处SimNET24口通用模块式配线架是依照国际标准ISO/IEC11801、TIA/EIA568设计制造的标准1U配线架。可安装在标准19”机柜内，适用于设备间的水平布线、设备端接以及集中点的互配端接，还可在一个配线架上实现屏蔽和非屏蔽模块的合用，具有较高的灵活性模块化配线架端口采纳了标准的模块化设计，其基础部分适合国际性和地区性的要求。配线架正面每端口自带活动防尘盖，防尘盖为防脱落设计。通用性机柜内安装的24口模块化通用型配线架，不仅支持超五类及六类RJ45模块的通用，同时还支持非屏蔽及屏蔽系统的应用。稳定性24口模块化通用型配线架设计结构独特，其中架内不锈钢等电位弹性紧固支撑、后部T形电缆固定及带盖的防撞爱护遮罩，都为HiSPEED60非屏蔽及屏蔽系统的长期稳定性能提供了坚实的保障。方便性配线架防护罩与配线架主体之间为抽屉式扣锁关系，正面抽出并下垂30度角的配线架主体，方便了用户在机柜正面安装及维护。配线架正面自带标签标识位，并另配标签供备用。配线架两侧自带活动钮扣，可对配线架主体进行灵活锁定及解锁，方便维护。安全性：依照TIA/EIA-607标准规范的要求，配线架后部配有专门的接地导线。该产品采纳360度全方位屏蔽结构，适合抗EMC电磁干扰环境，辐射抗扰度通过10V/m(r.m.s)的高标准测试，确保了传输数据的安全。（4）安装易于安装，简化屏蔽电缆连接，节约安装时刻。SimNET平口信息面板（1）讲明SIMON公司SimNET平口信息面板为工作区的安装提供了易用性和灵活性。该面板能嵌入安装于标准86型电气盒或墙装配件。SimNET平口面板可容纳1或2个六类、超五类模块。双层设计的卡入式面盖易于操作同时无外露螺钉孔。（2）应用用于工作区的信息插座。（3）特性和益处SIMON公司SimNET平口面板具有时尚的气质，独特的电话和电脑的标签设计，更有利于用户的人性化治理。具有强度高、耐高温、无污染的特点。强度高是产品通过抗冲击实验后得出的具有抗冲击、耐扭曲、抗老化的特点。耐高温是通过高温实验所得，面板被放置于100ºC高温下经受长达60分钟的考验而不变形。无污染是指其产品的材质为真正的绿色产品。提供一位、二位信息面板，满足语音、数据、图像等需求。符合国标86型结构尺寸，采纳嵌入式组合方式，外型美观大方。（4）保证固定架和后座磨砂处理，爱护产品不被尖锐物划伤。采纳优质工程塑料PC为材料，确保高强度及阻燃性能。配有防尘滑门用以爱护模块、遮蔽灰尘和污物进入。采纳单面拆卸口的设计，拆卸时不损坏墙面。（5）安装嵌入式面框，安装方便；滑盖式防尘盖，使用更灵活，无需担心防尘盖脱落；带有橙色数据和蓝色语音端口标识,便于治理。HiSPEED60六类四对非屏蔽跳线（1）讲明SimNETS63252模压式软跳线采纳LSZH六类四对非屏蔽多股软线缆和六类专用水晶头制造而成，用于模块化插座的连接。测试到350MHz，超出了ANSI/TIA/EIA-568-B.2的6类要求。当用在HiSPEED60系统中，它能够提供至少250MHz的信道带宽。并向下兼容于超五类、五类非屏蔽信息插座。（2）应用信息插座连接；多用户信息插座连接；集中点连接；模块配线架连接；设备连接。（3）特性和益处产品采纳高性能的多股UTP软线缆和六类RJ45水晶头制造而成，采纳整体注塑成型的制造工艺，尾部有弯曲张力疏导结构。RJ45水晶头内簧片分上下两层W形错位排列，确保传输的可靠性并将跳线的不稳定性降到最低。（4）技术讲明RJ45插头采纳软尾结构，保证线缆和水晶头之间的连接；水晶头压接簧片50μinch整体镀金，确保优异性能；接线方式：568B-568B，568A-568B（交叉接线），568A-568A；提供各种长度：2m/3m/5m及用户指定长度；护套采纳蓝色LSZH材料。（5）保证电气传输性能完全满足TIA/EIA568B六类标准要求；RJ45水晶头插拔次数>1000次。（6）安装易于安装，方便治理。（7）技术指标外部直径(mm)6.30mm阻抗(Ω)100TopLINK300千兆多模光缆（1）讲明SIMON的TopLINK300系列千兆多模光缆设计用于从小芯数到大芯数的室内/外安装。它为主干和水平应用提供极高的灵活性。这些光缆包括了室内、室外、紧套、松套以及铠装等不同分类。TopLINK300OM1系列千兆多模光缆为62.5/125微米（纤芯/包层）结构，符合国际TIA/EIA-568-B.3标准。（2）特性和益处具有从2芯到24芯等规格，并能够依照工程需要定制更高芯数的光缆；低损耗、低色散、优化的光纤余长操纵和成缆工艺，使光缆具有良好的传输性能及机械性能；采纳国际优质纤芯，误码率低，衰减小；900微米紧缓冲层光纤同意用于现场安装连接器；护套材料具有阻燃、防霉、放水、防紫外线的特性，同时满足室内和室外的使用要求。柔韧的护套提供优良的操作特性；光纤和线缆子单元有彩色编码，方便识不；全绝缘构造（非铠装）光缆无需接地和担心雷击；多层爱护，独特的加强元件，有效防止各种机械损伤及动物性破坏；铠装光缆为高强度防护环境提供了保障；室外光缆独有的阻水带及特种纤膏的双重阻水结构，确保了优良的隔潮密封性能。使用温度范围广，利于多种场合使用，支持架空、管道、直埋多种敷设方式。（3）应用从小芯数到大芯数光纤的需求；适用于水平和竖井、直埋和管道的应用光纤到桌面应用；城域网。（4）光缆彩色编码SimNET布线系列的光缆护套彩色编码标准为：TopLINK300和600光缆：橙色；TopLINK2000光缆：橙色，水绿色；TopLINK5000和5000Plus光缆：黄色，黑色。光纤子单元彩色编码遵循ANSI/TIA/EIA-568B规范，彩色编码如下：兰橙绿棕灰白红黑黄紫玫瑰红水绿色（5）安装提示安装前要规划所有光缆路径，确保光缆维持最小弯曲半径，同时可不能受到化学的或机械的损伤；在安装期间，要监控光缆的拉力，确保光缆的拉力可不能超标；使用能够自由转动的拉线器以防止光缆扭绞；放置光缆时要清除拐角，同时刻缆不可铺设在任何有尖角或尖棱的地点；如使用空导管，可为光缆安装内管以提供额外的爱护，这将使以后安装光缆更容易和安全；光缆在天花板上自由布放时，须以固定间隔绑扎，扎紧的程度为线缆不弯，微弯确实会阻碍光的传播；拉拽线缆时，不能拉外皮，否则外皮会变形伸长，只能让加强纤维受力，在光缆端头打结或使用线缆夹具来拉线。（6）传输性能多模光纤类型最大衰减dB/kmOFL最小带宽MHz·KmRML最小带宽MHz·Km代号规格等级850nm1300nm1550nm850nm1300nm850nmTopLINK30062.5/125OM13.51.25200500250（7）传输距离多模光纤类型千兆以太网距离（米）IEEE802.3Z万兆以太网距离（米）代号规格等级1000BASE-SX1000BASE-LX10GBASE-STopLINK30062.5/125OM130055038第五章网络系统平台及应用系统设计5.1概述目前，全球已掀起一股信息高速公路规划和建设的高潮，作为其雏形，国际互联网（Internet）上相连的计算机已近达数千万台，全球有数亿人在Internet上进行信息交换和各种业务处理。Internet上积存了大量信息资源，这些资源涉及人类面对和从事的各个领域、行业及社会公用服务信息,，成为信息时代全球可共享的最大信息基地。当前由于网络、数据库及与之相关的应用技术不断进展，尤其国际互联网（Internet）和内部网（Intranet）技术的广泛应用，世界正在迈入网络中心计算（NetworkCentricComputing）时代。人们传统的交互和工作模式正在改变。处在不同地理位置的人们能够共享数据，使用群件技术（GroupWare）进而能够协同工作；多媒体数据的存储、传输、应用技术的不断成熟；以上这些计算机技术的进展对民航传统的计算机业务系统产生阻碍，使用户能更方便。更直观的使用系统，也使系统的性能更完善、功能更强大。民航云南监管办综合业务楼网络系统平台分为内网、外网及财务专网。内网是“内部局域网”的简称，指民航监管办及其直属单位用于内部业务治理以及内部信息服务等的局域网。内网必须与国际互联网实行物理隔离。外网是“外部局域网”的简称，指民航监管办或其直属单位访问国际互联网、提供民航监管对外信息服务等的局域网。内网与外网的隔离可采纳两种方式，一种为逻辑隔离，即使用同一套物理设备，但利用软件的方法实现互相隔离。一般持有特不的权限就可实现不同系统之间的信息交换。最典型的逻辑隔离技术有防火墙、虚拟子网。另外一种为物理隔离，是指两个系统之间没有任何的直接物理连接通路。在网络中指从光缆、设备、计算机都自成一套独立的系统。它们之间的信息交换完全依靠人工用盘或手工输入来实现，必须指出在网络之间用网闸进行隔离也是一种物理隔离，用网闸隔离可实现信息的可信自动交换。关于建设民航云南监管办综合业务楼网络如此一个大的系统工程来讲，网络平台是所有系统的基础、关键。综合用户需求，网络技术和设计原则，在对网络方案的设计中，我们重点考虑了下列问题。1.应用的变化传统的应用结构，正在被CLIENT/SERVER的体系结构所取代，越来越多的客户通过网络与中心服务器发生联系，Internet/Intranet结构的兴起，使得传统80/20的原则翻转，大量的流量涌向网络的主干，对主干的要求进一步提高。2.多媒体的需求随着新技术的出现以及硬件成本的较低，在网络上传送视频、音频等多媒体信息越来越成为用户的需求，在网络系统里，从远程视频角度动身，这一需求显得更加重要。这要求我们在网络设计中充分考虑图像及音频信息传输的要求。3.可靠性和安全性网络是各种应用的统一通信平台，平均无故障时刻以及故障恢复时刻，要保持在一个可容忍的许可范围之内。在这种前提下，主干设备应有一定的冗余度，这种冗余度不单单只是设备级的，也应该考虑物理线路，数据链路层、网络层以及应用层的容错能力。关于网络系统，安全性问题不仅来自外部网络，更要紧的威胁依旧来自内部网络，如何有效的设计安全方案是一个专门重要的问题。4.虚拟网络技术的应用出于各部门分工设置、建筑物的集中布线方式以及一些应用和安全的考虑，虚拟网的划分是必须的，此外，用户需要的不仅仅是简单的划分，更多的是如何有效的，简便的、动态修改和配置他们。5.网络治理网络系统将会分布在业务楼每个楼层的各个角落，日常的的网络维护和操作的工作量大大增加，网络系统需要一个可靠，便捷、功能强大的网络治理系统来充分有效的治理和利用网络资源。以上提出了一些在网络设计中应考虑的因素，它与我们的设计原则是相符合的。在网络系统方案的设计中，我们必须坚持从民航云南监管办综合业务楼实际需求动身，利用先进的网络技术，为用户构建真正适合自身的网络系统。5.2系统需求分析1)现监管办综合业务楼共计八层，八楼上还有楼顶平台。依照监管办日常工作，应能满足目前应用。大楼各层之间通过主干光缆相连，主干网光纤带宽1000Mbps。采纳星型拓扑结构建设局域网。局域网采纳6类双绞线，带宽为交换1000Mbps，工作站为100Mbps或1000Mbps。监管办网布线规模200多个点左右，接入工作站可能100台左右。网络主服务器采纳高档配置。主干及接入网络应为千兆接入基于Web/Browser的网管（暂定）。网管中心设在业务楼4楼。在八楼多媒体会议室、五楼和一楼视频会议室以及大楼楼顶等部署802.11n无线网络系统，方便各级人员使用网络资源，形成无网络盲点的办公网络系统。2）具有完善的网络安全机制网络安全是办公局域网应用成败的重要因素。目前各种恶意病毒，木马病毒，黑客工具日益威胁着网络应用，不断挑战网络可靠性及健壮性，一个不安全事件能够导致网络崩溃；各种P2P下载工具也会导致网络资源耗尽，致使正常的办公活动无法通过网络进行；在扫瞄网页的过程中，也会自觉或不自觉的扫瞄不良信息，如反动，色情网站。因此建立一个良好的网络安全机制也是网络建设的重点之一。通过配置高安全性，高强度的防火墙设备与INTERNET相连，通过制定访问策略，包过滤，QOS策略，流量操纵，入侵检测，网关防毒策略等进行网络全方位安全爱护。通过配置网络防病毒软件系统进行服务器及工作站爱护。通过划分VLAN方式合理规划局域网，定义VLAN之间的访问规测，使建立起来的网络能够安全，可靠运行。通过建立802.1X，redius等用户户口令认证系统，使合法用户能够安全有效地进行数据共享，业务应用。3）方便维护和使用的网络治理系统本方案全线采纳增强网管型交换机，能够通过多种网络治理方式，方便的、有效的治理到最终的每一个端口。通过网管软件的使用，方便进行设备维护及故障查找。检测网络设备性能，把不稳定因素消除掉。4)其它中心服务器采纳IBMServer，操作系统为Windows2000Server,数据库为SQLServer其余依照具体情况而定，整体方案设计应该以先进、成熟、经济、有用、扩展性强为特色。5.3内网设计原则为实现办公网络高质、高效互联的目标要求，在网络设计构建中，应始终坚持以下建网原则：高可靠性--网络系统的稳定可靠是应用系统正常运行的关键保证，在网络设计中选用高可靠性网络产品，设备充分考虑冗余、容错能力和备份，同时合理设计网络架构，制订可靠的网络备份策略，保证网络具有故障自愈的能力，最大限度地支持系统的正常运行。主干网络设备的要紧部件必须支持带电热插拔，在万一出现局部故障时应不阻碍网络其他部分的运行，同时故障便于诊断和排除。充分体现计算机网络的高可靠性。技术先进性和有用性--保证满足办公业务应用系统业务的同时，又要体现出网络系统的先进性。在网络设计中要把先进的技术与现有的成熟技术和标准结合起来，充分考虑网络应用的现状和以后进展趋势。高性能--骨干网络性能是整个网络良好运行的基础，设计中必须保障网络及设备的高吞吐能力，保证各种信息（数据、语音、图象）的高质量传输，才能使网络不成为业务开展的瓶颈。标准开放性--支持国际上通用标准的网络协议、国际标准的大型的动态路由协议等开放协议，有利于以保证与其它网络之间的平滑连接互通，以及今后网络的扩展。灵活性及可扩展性--依照以后业务的增长和变化，网络能够平滑地扩充和升级，减少最大程度的减少对网络架构和现有设备的调整。可治理性--对网络实行集中监测、分权治理，并统一分配带宽资源。选用先进的网络治理平台，具有对设备、端口等的治理、流量统计分析，及可提供故障自动报警。安全性--制订统一的网络安全策略，整体考虑网络平台的安全性。兼容性和经济性――兼容性，能够最大限度地保证民航监管办现有各种计算机软、硬件资源的可用性和连续性，为不同的现存网络提供互联和升级的手段，保证各种在用计算机系统，包括工作站、服务器和微机等设备的互连入网，充分利用现有计算机资源，发挥主干网的优势。经济性，确实是在充分利用现有资源的情况下，最大限度地降低网络系统的总体投资。有打算、有步骤地实施，在保证网络整体性能的前提下，充分利用现有的网络设备或做必要的升级。为切实达到以上的网络设计原则，使网络系统具有良好的扩展性和灵活的接入能力，并易于治理，易于维护，在网络设计及构建中始终应遵循如下方面技术策略及原则。统一标准、统一平台网络的互联及互通关键是对相同标准的遵循，要实现网络业务能融合到一起，实现数据、语音、视频业务的融合，就必须统一标准。从开放性、进展性、成熟性等方面来看，只有IP技术才能成为统一平台网络构建的标准。而在具体实施中，必须统一规划IP地址及各种应用，采纳开放的技术及国际标准，如路由协议、安全标准、接入标准和网络治理平台等，才能保证实现网络的统一，并确保网络的可扩展性。网络分层的原则为减少网络中各部分的相关性，便于网络的实施及治理，在网络的构建中，从整体上能够将网络划分为核心层、接入层等二个层次。核心层负责完成网络各汇聚节点之间的互联及完成高效的数据传输、交换、转发及路由分发。接入层设备提供各种标准接口将数据接入到网络中，完成差不多的业务系统之间的隔离和安全性操纵、认证治理等功能。5.4方案设计5.4.1技术选择交换以太网技术交换以太网是近年来进展起来的先进网络技术。在保证与以太网协议兼容的前提下，提高网络利用率，减少网络资源争夺造成的冲突，使网络性能大幅度提高，以满足各类数据信息传输的要求。交换以太网从产生进展到今天在技术上分为两种：静态交换和动态交换。静态交换：将网络划分为多个时期，网络治理员能够通过网管平台分配到各个网段的负载，即网络治理员能够只利用鼠标就可将工作站从资源争夺紧张的网段移到其他冲突较少的网段上。动态交换：动态交换是在高速总线上支持多对传输的同时进行，它不需人工干预实时地将独占带宽分配给一对节点；而其它节点间也可同时进行数据传输以独占的100M进行，就看起来在两个有数据优先级的支持等。快速以太网技术快速以太网技术实际上是100M版本，因此它的运行速度要比10M以太网快十倍。在用户差不多专门熟悉传统以太网的情况下，快速以太网相对其他高速网络技术更容易被掌握和应用在交换环境下，提供高带宽的共享式网络或主干连接，同时也能够应用在交换式环境下，提供优异的服务质量（QOS）。快速以太网与传统的以太网技术相似，此外它还具备以下优点：快速以太网和一般以太网同样遵循CSMA/CD协议，现有的10BaseT网络设备能够相当简便地升级到快速以太网，爱护用户原有的投资，与其他新型网络技术相比，更方便地使现有的10MLAN无缝连接到期100MLAN上。100BaseT集线器和网络接口卡，只需要比10BaseT同样的设备多花少量费用就可使提供比一般以太网高10倍的性能。因此，100BaseT具备较高的性能价格比。快速以太网（100BaseT）已得到IEEE任命标准为802.3U，并得到了所有主流网络厂商的支持。1000M千兆以太网1998年6月29日，千兆以太网联盟于加利福尼亚PALOALTO正式宣布了千兆以太网标准IEEE802.3Z。这是千兆以太网进展的里程碑。人们对千兆以太网技术给予了充分的重视和信心。简单地讲，这是因为“千兆以太网仍然是以太网，只只是速度更快而已”。这一点是问题的关键。由于“千兆以太网仍然是以太网”，因此千兆以太网继承了10M、100M以太网的特征。由此得出了千兆以太网的以下优点：与现有大多数网络设施的兼容性权威统计表明大多数网络差不多上以太网，因此千兆以太网与现有网络具有天然的兼容性。千兆以太网在与10M、100M以太网通信时不存在需要损失性能的转换操作。简便的网络升级操作千兆以太网由于完全与往常的10M、100M以太网兼容。因此，自然简便的网络升级使得千兆以太网能够“无缝”融入现存的以太网环境中，解决了网络治理员所面临的如何升级现有网络，但不至于造成网络瘫痪的问题。用户总是倾向简单有用，厌恶烦琐复杂的工作。因为升级的挑战过程和额外的知识学习并不是用户建网的目的。技术的成熟性和稳定性以太网技术是十分成熟的技术，它所组成系统的可靠性差不多接近一般的电话通讯系统（我们能够体会到，电话是不大出错的）。“千兆以太网仍然是以太网”意味着千兆以太网是能够信赖的技术。总体开销较低总体性的开销是评价网络技术重要的因素。总体开销不仅包括购买设备的开销，还应包括培训、维护和纠错的开销。而千兆以太网产品能提供较好的性能价格比。从台式机联网的网卡、集线器、交换机、路由器和其它各种设备，千兆以太网和其它类似速率的通信技术比较价格总是低廉的。同时，由于用户早已熟悉了以太网技术，以太网的维护和纠错手段，因此以太网维护的开销也较少。从技术本身的特征分析，千兆以太网的技术复杂度也较低。网络治理人员不需要经历专门多术语，不需要通过复杂的额外培训。灵活的网络互联和网络设计千兆以太网能够支持多种交换、路由和共享式方式。所有当今的网络互联技术，包括第三、四层交换技术和千兆以太网差不多上兼容的。千兆以太网性能专门高千兆以太网能以千兆线速运行。由于多数千兆以太网使用无冲突的交换式、全双工的结构，应当认为现在的吞吐率将能够接近全双工的理论上的2Gb/s的最大吞吐量。提供更高等级的服务质量千兆以太网提供高速连接能力，但本身不提供完整的服务功能如服务质量（QoS），自动冗余容错，或是高层路由功能。这些功能在其它开放标准中定义。如同所有的以太网描述，千兆以太网定义OSI协议模型的数据链路层（第二层），TCP和IP分不在传送层（第四层）和网络层（第三层）部分中定义，同意在应用之间的可靠通信服务。QoS等问题在最初的千兆以太网描述中未曾涉及，然而必须由此类标准的几种中加以定义。在90年代后期出现的应用要求稳定的网络带宽、延迟和敏感性。此类的网络应用包括语音和影像在局域网和广域网上传送，组播软件分发。相关的标准化组织针对此类需求差不多作出了新的开放标准定义如RSVP，IEEE802.1p和IEEE802.1Q标准化小组也正在进行各自的工作。作为推举性的标准，响应连接质量要求、提供网络连接质量的RSVP差不多获得了业界的认可。为了使RSVP能发挥作用，为网络应用提供所要求的持续质量，在客户和服务器之间的任何一个网络部件都必须支持RSVP和正常的通信能力。由于在真正获得服务质量的显著效果之前需要如此多的网络部件支持RSVP，有些厂商开发了一些在某种程度上支持QoS的厂家专有方案。尽管它们能够为用户提供QoS的效益，但要求网络的某些部分是这些厂家所独有的。802.1p和802.1Q靠提供一种所谓的“打标记”的方式实现以太网上的服务质量功能。打标签确实是在数据包上做标记，注明该数据包所期望的服务类型或是优先级不。这种标记使得应用能够与网络互联设备按不同的优先级通信。RSVP能够由将RSVP映射到802.1p服务级不的方式实现。不同的千兆以太网设备一般只有上述部分标准，如此能够使以太网连接更有效率，功能较强。但千兆以太网的成功不依靠于标准中的任何一个。模块化标准的优点是标准的任何部分都能够在市场和和产品质量有需求时进行更新。请注意所有这些标准都和快速以太网和10M以太网相匹配，各个层次的以太网运行性能和质量都能够从标准化的工作中获益。千兆以太网的距离千兆以太网标准定义了传输距离的三个特定目标：最大距离为550米的多模光纤，最大距离为3千米的单模光纤，最大距离不小于25米、理想为100米的铜线。实际上CISCO公司差不多突破了这些距离定义的限制，CISCO公司的千兆以太网传输距离差不多达到城域网的长度，同时差不多利用长距离的千兆以太网的传输手段建设出了长达近百千米的成功城域网范例。这种长距离的千兆位高速传输的解决方案引起了人们的极大兴趣和关注。5.4.2主干网络的选择办公网络以星形拓扑结构为基础，采纳核心到接入二层网络结构。其主干采纳千兆以太交换技术，各桌面系统采纳快速以太网技术。千兆以太网的技术掌握和操作相对简单,ATM需要掌握大量的相关知识，而具备高水平网络人才的中国企业目前还不多，10G网络目前专门少商用。千兆以太网因此而独具优势。实际上关于企业网络治理人员来讲，他们最关怀的是稳定可靠的网络运行。简单有用，幸免复杂的培训和网络治理工作，应当是网管人员的目标。以太网从专门简单的概念中得到效益：网络越简单就越有用。千兆以太网具有价格优势千兆以太网继承了传统以太网的要紧技术特征，以太网长期研发和生产线经验使得千兆以太网的产品具有成熟性和大规模生产的价格优势。从构造层次和技术复杂性来讲，千兆以太网也应在价格上优于其它主干方式。考虑到倍比于设备开销的维护治理开销，千兆以太网大概更应胜出一筹。网络维护和治理以太网在治理QoS和VLAN等功能时会变得复杂。但这也是循序渐进得学习过程。技术的稳定性“稳定性”指技术的成熟标准和众多厂家对该项技术所达成的认识一致性。“千兆以太网依旧以太网”意味着它差不多上是使用多年的成熟技术，具有专门多成熟标准，拥有专门多不同厂家的系列兼容产品支持，它们之间的互操作性早已得到证实。可靠性和弹性可靠性和弹性反映了网络的容错能力和对变化流量支持能力。性能一些三层交换协议和基于硬件的线速路由器使得千兆以太网大概更具优越性。目前的千兆位路由交换机的包处理速度差不多超过三千五百万PPS，而转发不必考虑网络边缘和核心位置。千兆以太网也不是完全没有QoS能力。尽管简单一些，然而以太网也能提供优先级的操纵能力。在办公网络建设中，除非有条件，有专门需求和环境限制，一般在考虑要求较高的主干协议时可能千兆以太网应当首先考虑。故在网络方案中，选用千兆以太网更为实际,也更好一些。基于上述技术选择考虑，民航云南监管办综合业务楼的网络建设满足如下要求：网络中心设置于业务楼4楼，是监管办的数据交换中心，数据存储中心，其中配置千兆以太网交换机，满足网络高速交换和路由需求。高性能服务器能够通过千兆网卡接入核心交换机，提高对应用系统得高速访问。在办公楼各楼层交换机采纳具有千兆光纤接口的部门级接入交换机，一方面能够通过交换机千兆光接口连接到网络中心核心交换机，满足网络带宽需求，连接方式建议采纳冗余链路，保证链路的可靠性；另一方面通过100M电接口与桌面应用系统连接，保证数据高速有效的访问。采纳802.1X认证手段，提高网络安全性。在接入层交换机采纳具有广播报文抑制、端口反查等安全手段的二层交换机。采纳网管平台和可网管交换机，满足网络设备治理需求。网络结构采纳IP优化的星形光纤网络结构。骨干层链路应具备电信级运营网络所具有的自愈爱护功能，具有提供多层次（物理层、数据链路层、网络层）恢复机制的能力；带宽治理支持公平算法、自动拥塞幸免技术、负载均衡技术。物理网络本身支持组播功能。5.4.3网络实现主干网主干网由核心交换机和接入交换机组成，考虑到在目前通信条件的成熟和对性能要求的提高，采纳千兆以太网技术和快速以太网技术相结合，网络的主干建议采纳高性能、高可靠性核心交换机与分布于各楼层的接入交换机相连，交换机之间采纳1000M光纤连接。提供多种模块接口，实现千兆光纤或千兆以太网电口接入。接入交换机则选用高性能，通过一块千兆光纤模块实现网络上联，通过24/48口快速以太网接口连接工作站，实现到桌面的百兆连接。考虑网络可靠性要求，我们在核心交换机上配置有双主控引擎，双电源，保证一旦主控引擎失效或设备升级，系统快速切换到备用引擎上，实现业务不间断运行网络中心机房配置一台千兆接入交换机，用于数据库服务器、Internet服务器等服务器连接，能够通过千兆光接口卡接入核心交换机的千兆光接口模块上，如此能够提供足够的带宽，减少由于用户对服务的集中要求所产生的瓶颈。接入网接入网由接入交换机和面向终端用户的工作站组成，立即建成的民航云南监管办综合楼的用户终端通过100MUTP与接入交换机相连形成接入网络，各接入网络可采纳千兆以太网技术，通过光纤布线接入位于业务楼4楼的网络中心核心交换机上，从而实现数据快速交换及数据共享。本设计方案具有如下特点：有用性接入交换机的端口配置依照本期工程的工作站接入数量确定，今后随着治理和业务系统的应用模块的增加和PC工作站数量的增加，再增加接入交换机的数量，幸免了按信息点数量配置交换机端口造成的设备闲置和白费。而且网络产品的价格一直呈下降趋势，逐步增加交换机的数量能够节约投资。高速交换局域网主干整个网络主干采纳千兆以太网交换技术，保证了主干的高带宽，幸免了传统共享网络的碰撞问题，提高了整个网络系统的性能。可治理性整个网络系统均选用可网管的交换机，采纳统一的网管软件进行统一治理。网管应用软件可运行在当今所有流行的网管平台上，支持全部相关的SNMP标准，可使用方便直观的图形界面进行本地和远程的网络治理和监控，故障诊断及排除，网络的配置及调整，VLAN的划分和治理等，为整个网络系统提供一个功能强大但又简单易用的治理手段。高灵活性和高安全性由于使用了VLAN的划分技术，使得网络系统的划分不再受物理连接的限制。同时，在需要变动节点连接时，不必改变物理线路，而只要通过在网管软件上的鼠标拖动即可完成。同时，任意两个VLAN之间是完全隔离的，假如需要互连则必须通过三层交换机进行，能够操纵对某些重要资源的访问，大大提高了网络系统的内部安全性。对虚拟网（VLAN）标准的支持所有交换机均能提供虚拟网（VLAN）功能，能够跨越主干网建立虚拟网，支持IEEE802.10虚拟网标准和交换机间连接协议（InterSwitchLink-ISL）。虚拟网通过路由交换模块连接，实现第三层交换功能。同时支持动态VLAN和静态VLAN。多协议支持全面支持TCP/IP、IPX等不同网络协议。安全性支持802.1x认证机制，是接入交换机端口的用户安全有效地使用网络资源。能够通过对数据包源地址和目的地址、TCP端口号等因素进行推断，决定是否转发，这使得用户能够通过配置，屏蔽某些不合法的访问，保证网络资源的安全性。可扩展性充分考虑到以后的应用进展需求，能够满足监管办Internet接入、办公自动化系统应用要求。可靠性考虑网络可靠性要求，我们在核心交换机上配置有双主控引擎，双电源，保证一旦主控引擎失效或设备升级，系统快速切换到备用引擎上，实现业务不间断运行5.4.4网络VLAN的划分随着网络系统建设起来后，为了优化网络信息流量的需要，保证网络可靠稳定运行，有必要在局域网范围内划分多个网上工作组，及虚拟局域网（VLAN）。在我们的网络设计中，所有的主干网络设备和工作组交换机均支持VLAN的划分，因此能够实现上述要求。网络VLAN的划分在实际中一般有基于IP或端口、MAC的划分等多种。实际VLAN如何划分在具体实施时我们将同用户共同分析设计。基于MAC地址的VLAN划分的好处是MAC地址是固化在计算机中的，因此基于MAC划分好VLAN以后，那个工作组的成员就固定在对应的计算机上，能够随便移动位置而不能由使用人员或非法人员随意更改或冒充。这种方式安全性好，但由于其配置、实施不灵活而专门少在大型网络中应用。基于端口的VLAN划分能够划分到每一个交换机端口。所有连接到同一端口的计算机（如同一部门人员）都被划分到该端口所在的VLAN中，如此，VLAN的成员不容易操纵，安全性较差一些。另外，由于同一端口只能划分到一个VLAN中，因此在复杂的网络中灵活性较差，我们建议在本方案中依照实际需要适当采纳。基于IP的VLAN划分是专门灵活和常用的方式。它将网络中不同IP地址划分到同一VLAN中，同一子网的计算机在同一VLAN中直接交换（不同子网IP的交换通过3层交换机），VLAN间的交换通过3层交换机来实现。由于计算机IP能够更改，就可能有冒充组员的情况发生。这种情况可通过用户的认证和授权等手段来保证安全性。另外，计算机IP的可移动性和同一IP能够被划分到多个VLAN的特点为基于IP的VLAN划分带来了极大的灵活性。这种VLAN的划分在不同的网络中被广泛使用。VLAN的划分能够在网管平台上实现。考虑办公网络规模，应用需求等因素，建议采纳IP子网与端口混合方式划分VLAN，各IP子网能够通过核心交换机三层交换引擎进行路由通信，保证数据共享及传输。5.4.5远程连入办公网设计（VPN接入）依照民航云南监管办的实际情况，为了实现与下级监管部门的信息共享和业务沟通，建议采纳性价比较优的VPN连接方式，实现这异地之间的互联。VPN（虚拟专网）是指依靠电信Internet宽带网络建立本单位或SOHO远程接入的技术。VPN没有传统专用网络（如DDN和帧中继）的两个结点间的端到端物理链路，却能实现专用网络的功能。具有明显的优点：组网设备费用低。通过宽带上网、拨号上网、ISDN等接入Internet的各地局域网之间实现互联，不需要租用昂贵的专线，如DDN、帧中继。只需支付Internet上网费用，甚至能够共享现有的Internet上网资源。在相同的通讯带宽下，节约80%的通讯费。通过宽带上网连接的VPN，带宽能满足多数教师传输数据、声音、图像的要求。节约网络设备运行和维护费。连接快速、简便和简化WAN连接治理。连网方式安全可靠。5.4.6网络治理网络治理软件是针对数据通信设备如路由器、交换机、视讯等进行统一治理和维护的网管产品，位于网络解决方案的治理层次，能够实现网元治理和网络治理的功能。它与网络设备产品一起提供全网解决方案，对数据通信设备的维护和网络治理提供支持，并提供对设备性能进行适时量化监控。作为数据通信网管整体解决方案之一，网络治理软件为用户提供了灵活的组件化结构，包括网元治理平台、广域网治理系统、局域网治理系统、网络治理工具、多媒体治理系统等，用户能够依照自己的治理需要和网络情况灵活选择自己需要的组件，真正实现“按需建构”。网络治理软件使用灵活的组件技术，支持多种操作平台，并能够与多种通用网管平台集成，实现从设备级到网络级全方位的网络治理，支持民航云南监管办网络拓扑和应用系统运行。网络集中监视网络治理软件提供统一拓扑发觉功能，实现全网监控，能够实时监控所有设备的运行状况，并依照网络运行环境变化提供合适的方式对网络参数进行配置修改，保证网络以最优性能正常运行。全网设备的统一拓扑视图拓扑自动发觉，拓扑结构动态刷新可视化操作方式：拓扑视图节点直接点击进入设备操作面板在网络、设备状态改变时，改变节点颜色，提示用户对网络设备进行定时（轮询间隔时刻可配置）的轮循监视和状态刷新并表现在网络视图上支持拓扑过滤，让用户关注所关怀的网络设备情况支持快速查找拓扑对象，并在导航树和拓扑视图中定位该拓扑对象故障治理故障治理要紧功能是对全网设备的告警信息和运行信息进行实时监控，查询和统计设备的告警信息。告警实时监视，提供告警声光提示，支持外接告警箱支持告警转到Email、手机短信支持告警过滤，让用户关注重要的告警，查询结果可生成报表支持告警基级不重新定义，支持告警转存，保证系统的运行效率和稳定性支持告警拓扑定位，将显示的焦点定位到产生选定告警的拓扑对象支持告警相关性分析，包括屏蔽重复告警、屏蔽闪断告警、屏蔽root-cause告警等集群治理针对大量二层交换机等低端设备的应用环境，网络治理软件提供集群治理功能，通过一个指定公网IP的设备（称作命令交换机）对网络进行治理。实现对一组设备统一、集中、批量配置治理；实现设备的集中维护治理；网络拓扑信息自动收集、维护，动态更新；节约公网IP地址资源；实现方便的软件升级、配置数据备份、配置数据恢复；堆叠治理堆叠是由一组交换机组成的一个治理域，其中包括一个主交换机和若干个堆叠成员交换机（从交换机），利用一个公有IP地址能够实现堆叠内所有交换机的治理。网络治理软件通过堆叠治理，能够集中治理较大量的低端设备，同时为用户提供统一的网管界面，方便用户对大量设备的统一治理维护。其中，主交换机提供了对整个堆叠的治理接口：主交换机在从交换机加入堆叠时，自动给从交换机分配可用的IP地址，网管站通过此IP地址实现对从交换机的治理和维护。流量性能监控网络治理软件能够统计不同线路的利用情况，不同资源的利用情况，为优化或扩充网络提供依据。网络治理软件提出了层次化性能监控的概念，针对不同的侧重点，提供不同的性能监控工具。网络治理软件提供流量检测工具，能够检测网络设备端口流量变化，它使得网络治理者能够直观地观测设备流量的变化，从而对网络设备进行有效的治理。针对用户关注的业务性能，网络治理软件提供了基于报文流七元组信息的流量工具——NSC&NDA，它是网流的收集和分析工具。其中，网流收集器提供快速的网流设备数据收集工具，包含的功能：收集多个网流设备输出的网流统计数据；通过配置过滤器过滤掉不必要的数据；通过聚合减少统计数据的磁盘空间占用量；分层次存储数据（便于客户端应用程序猎取数据）；网流数据分析器（NDA，NetStreamDataAnalyzer）能够分析由NSC生成的所有数据文件，对数据文件中的数据进行进一步的聚合、排序，并将分析的结果以各种图形方式（如柱状图、饼图和趋势图等）显示出来，提供如下功能：详细自治域矩阵数据查询功能网流分布的图形化分析详细自治域矩阵流量分析功能故障定位与地址反查针对最为常见的端口故障，网络治理软件提供了便捷的定位检测工具——路径跟踪和端口环回测试；当用户报告网络端口使用异常时，网络治理员能够通过网管对指定用户端口做环回测试，直接定位端口故障。为了网管工作自动化，网络设备内嵌智能Agent，对需要通过复杂计算的性能数据主动进行监视，在超出阈值时自动上报告警，并转发到Email、BP、手机短信及时通知网络治理员，让网络治理员随时随地监控网络运行状况。端口反查功能支持两种方式的查找定位功能：MAC地址端口反查和IP地址端口反查，使用时分不输入终端用户的MAC地址或IP地址，能够定位该终端用户连接的交换机及交换机的端口，关心网络治理员及早定位非法报文接入网络的原始端口，及时关闭端口，防止一些违规用户进行非法操作比如滥发报文、访问非法站点等，危害网络安全。Web特性提供Web特性，具有完善的安全机制，用户可随时随地治理网络，降低治理网络的难度与强度，使网络运维过程流程化，能够灵活地组织设备集合，快捷地获得设备各类信息。提供设备日志分析工具，使用户及时了解网络中设备运行状况。通过定期轮询机制，关心用户及时了解网络关键设备的在线情况。提供批量配置功能，将用户从烦琐，重复的配置工作中解脱。提供设备配置文件治理功能，关心用户建立配置文件版本治理机制，减少灾难情况下网络的恢复时刻。具有完善的报表功能，让用户对网络运行情况一目了然。提供统一的任务机制，使用户对网络运维治理能够统一流程。5.4.7服务质量(QoS)的实施随着办公业务系统使用等各种在某段时刻内持续高带宽低延时的应用的开展，网络流量的复杂化，IP交换技术的进展，二层、三层交换技术在保障网络应用的服务质量QoS，幸免网络拥塞上能够起到不可缺少的作用。概括而言，QoS要紧包括数据智能分类技术，拥塞操纵技术两大方面，一般在网络中采纳以下步骤实现服务质量：在接入层交换机中对进入网络的数据包进行网络的差不多分类或依照交换机设定来进行重分类（Reclassify），同时对网络的流量采纳监控(Policing)，幸免由于客户设备故障或病毒产生的过度流量，然后依照监控决策结果来将这些流量放入相应的上联端口的队列，然后在此端口上采纳加权算法来对该端口出去的流量进行拥塞操纵(SchedulingCongestionControl)，确保在接入层上关键数据流量的服务质量，在这些数据的处理过程中，同时完成了第二层以太网帧中CoS值和IP包中的TOS值或DSCP值的映射，TOS或DSCP值决定了IP报文的优先级不，而TOS或DSCP值在通过IP路由器默认情况下其值可不能改变，从而能够提供跨全网的端到端的QoS。核心三层交换机在收到了从接入层交换机上传来的数据包，它开始正式对其第三层IP数据包进行分析，首先依照IP地址信息能够选择不同的转发链路，在选择了相应的链路后，这时候核心三层交换机在这些链路上对流量的拥塞不再是依据以太网帧中的CoS，而是依据在接入层交换中以及完成赋值的TOS或DSCP，分布层交换机能够依照这些值能够对网络中的流量进行更细致的划分，保证关键流量将依照其各自的优先权进入网络核心。从上述技术分析来看，实施时技术要求较高，要求在实施前对网络应用模式和具体需要进行详细分析，然后合理的规划采纳连接协议及QoS操纵方式，使网络在满足需求的前提下趋于最高性能和可靠性。具体实现的技术方案：在具有多媒体业务需求的接入层交换机上需要支持提供完善的LAN边缘QoS，即所有的交换机支持两种模式的重新分类方法。一种模式基于IEEE802.1p标准，遵从接入点的服务等级（CoS）值并把数据包分配到合适的队列中。第二种模式，数据包依照由网络治理员分配给接入端口的缺省CoS值来进行重新分类。假如到达的帧没有CoS值(如未做标记的帧)，接入交换机就依照网络治理员分配给每个端口的缺省CoS值来进行分类。一旦数据帧使用上面所讲的两种模式分类或重新分类后，即被分配到最合适的输出队列中去。交换机支持四种输出队列，使网络治理员在为LAN流量的各种应用指定优先权时更加容易区分和有针对性。严格的优先权分配能够保证诸如语音等时刻敏感的应用在通过交换结构时一直使用高速路径。另外，另一种重要的增强措施即加权循环（WRR）策略也能保证低优先级的负载在没有被网络治理员进行优先级配置的情况下，能够得到重视。这些特性使网络治理员能够把关键任务和时刻敏感的流量，如视频（视频会议，视频监控等）、语音（IP电话流量）和CAD/CAM，优于低时刻敏感的应用如FTP或e-mail（SMTP）等来设置更高级不的优先权。5.5网络防病毒系统5.5.1企业网络防病毒解决方案考虑的几个因素一个有用可行的企业级网络防病毒解决方案应该能够在整个网络中只要有可能感染和传播病毒的地点都应该有相应的解决方案，防止病毒的入侵和传播，确保网络的安全，因此，在选择企业级网络防病毒解决方案时要紧应考虑以下几个问题:提供一个多层次、全方位的防病毒体系。而不仅仅是几套防病毒软件，同时具有跨平台的技术及强大功能，也确实是讲，在网络的每一个层次包括网关一级、群件服务器一级、服务器一级、客户端一级以及各种平台下都应有相应的解决方案。在那个防病毒体系中应该具有简易的、统一的、集中的、智能的和自动化的治理手段和治理工具。包括客户端自动化的安装、维护、配置、病毒定义码和扫描引擎的升级、定时调度、实时防护等。尽量使防病毒的治理简单易行。能够有效防范各种混合型的威胁。如类似“尼姆达”、“红色代码”、“求职信”、“Blaster”这种利用系统、应用或服务的漏洞进行传播、感染和攻击的病毒。提供有效直观的治理机制。如能够依照企业的网络分类或组织结构来划分防病毒组，方便治理。如能够针对治理员、市场部、工程部等不同的部门划分不同的治理组，针对这些组能够依照需要配置不同的防病毒策略。通过治理中心能够及时了解整个网络中客户端防病毒软件的安装使用情况。如客户端是否安装了防病毒软件、安装了什么防病毒软件，客户端是否更新了最新的病毒定义码和扫描引擎的情况。采纳先进的防病毒技术。能够有效的查杀各种多态病毒和未知病毒集中和方便地进行病毒定义码和扫描引擎的更新。尤其是能否及时对扫描引擎更新尤为重要，由于在一个防病毒软件中，要紧靠扫描引擎来清除病毒，因此能否方便、快捷地升级扫描引擎直接阻碍到防病毒体系的防毒能力。方便、全面、友好的病毒警报和报表系统治理机制。病毒防护自动化服务机制。防病毒治理策略的强制定义和执行。它能够确保客户端可不能因为人为因素而造成防病毒策略的更改、破坏等。合理的预算规划和低廉的总拥有成本。良好的服务与强大支持。紧急处理能力和对新病毒具有最快的响应速度。由于病毒总是先出现，因此关于这些新出现的病毒，防病毒体系是否具有足够强的紧急处理能力和快速的响应速度，从而确保在新病毒出现时，系统不受其阻碍，或尽量少地受其阻碍。安装完防病毒软件后对现有系统和应用造成阻碍。5.5.2系统规划建议：统一治理、集中监控：要紧指的是由信息中心进行集中监管，包括：由信息中心依照各部门的具体情况统一制定相应的防病毒策略和实施打算。信息中心负责全网的病毒定义码、扫描引引擎和软件修正的升级工作，并将升级文件自动逐级分发至各部门的防病毒客户端。信息中心负责各部门被隔离文件的提交和返回相应的病毒定义码和扫描引擎。建立统一的、分级治理的病毒治理报告体系：内部建立统一的病毒事件治理和报告机制，用于统一存储、统计报告在明信公证处网络发生的病毒事件，以便及时了解全网的病毒事件、病毒的发作情况、病毒的类型情况、在什么地点、什么时候感染了什么病毒。同时该病毒事件治理中心能够依照以后的安全需求扩展成为安全事件治理和响应中心。如现在或以后公司可能需要部署其他的安全产品如防火墙、入侵检测系统、漏洞扫描系统等，能够通过安全治理中心来集中收集、存储、分类、关联来自其他安全产品的安全事件，从而是安全治理员在一个地点就能够了解到全网发生的所有安全事件，并采取相应的响应措施，如图所示安全事件集中治理和响应中心下图是一个病毒事件报警的实例，依照需要能够产生各种各样的图形化报告，或图文混排的报表格式。病毒事件（安全事件）统计报告格式5.5.3部署全面的防病毒软件建议采纳“纵深”防备的措施，即考虑在整个网络中只要有可能感染和传播病毒的地点都应该采取相应的防病毒手段，安装相应的防病毒软件。针对明信公证处的具体情况，要紧考虑服务器的病毒防护以及客户端病毒防护，其中在对服务器的病毒防护上，要紧考虑针对明信公证处内联网内部WindowsNT/2000服务器的病毒防护：部署服务器级防病毒在服务器系统的防病毒爱护上，依照明信公证处网络的具体情况，我们要紧考虑针对WindowsNT/2000/2003服务器的防病毒爱护。建议安装卡巴斯基网络版防病毒系统服务器端，爱护系统、磁盘、可移动磁盘、光盘以及调制解调器连接所收发的文件等免受病毒的感染，部署安装4台应用服务器。部署客户端级防病毒在客户端一级，依照明信公证处司的具体情况和客户端的操作系统类型，分不安装卡巴斯基网络版防病毒系统客户端实现对Windows9X/NT/ME/2000/XP/VISITA等操作系统监控，实现对系统、磁盘、可移动磁盘、光盘以及调制解调器连接所收发文件的病毒防护。部署客户端软件151个用户许可。5.5.4病毒定义码、扫描引擎和软件修正的升级方式依照明信公证处网络的结构，考虑到安全的需求，同时也是便于治理，我们建议在明信公证处网络内采纳级服务器升级的结构，即：配置一台服务器作为网络版防病毒服务器，安装服务器端，通过服务器端定制升级策略和更新策略，首先升级网络中心防病毒服务器的病毒定义码、扫描引擎和软件修正。依照实际情况能够配置网络中心防病毒毒服务器自动或手动通过Internet到卡巴斯基网站升级最新的病毒定义码和扫描引擎。打开同意应用服务器客户端和PC客户端自行升级功能同意客户端自行升级，同时设置客户端的自动调度功能，以使客户端在脱离服务器的情况下能自动进行升级。同意远程客户端实现增量、间断升级。卡巴斯基同意远程客户端在连接的时候自动检测本机的病毒更新，同时实现病毒定义的自动、增量的更新，同时支持断点升级模式。采纳这种升级方式，一方面能够确保明信公证处整个网络内的病毒定义码和扫描引擎的更新差不多保持同步。另一方面，由于整个网络的病毒定义码和扫描引擎的更新、升级自动完成，就能够幸免由于人为因素造成网络中某些机器或某个网络因为没有及时更新最新的病毒定义码和扫描引擎而失去最强的防病毒能力，同时也幸免了各机构自行到Internet升级而带来的不便和