住宅小区网-系统设计

住宅小区网-系统设计第一页，共61页。小区简介该住宅小区共有17栋楼，楼高6层，每层楼有两户住户，每户有5~6间房间，第一栋楼附近是物业办公室，物业办公楼共有11间房间，第一栋楼和第13栋楼之间一座2层的楼房是计算中心，10个房间。楼号楼层户数信息点数备注1栋6层2户26中心机房到7号楼约500M，到3号楼约300M，到17号楼约400M，到5号楼约350M。每个楼层预留2个信息点2栋6层2户263栋6层2户264栋6层2户26…………17栋6层2户26物业办公室2层10个房间22合计信息点数：共计464个第二页，共61页。目录第三页，共61页。1.总体设计第四页，共61页。局域网技术局域网LAN(LocalAreaNetwork)是指一般用微型计算机或工作站通过高速通信线路相连，但地理上则局限在较小范围内的计算机网络。对于住宅小区有限的物理范围而言，局域网是小区网络主体的基础。局域网拓补结构星形网环形网总线网树形网第五页，共61页。1.1住宅小区网设计原则实用性先进性可靠性实施的可行性标准化和开放性可扩展性数据安全易操作针对性第六页，共61页。1.2总体设计网络层次化体系结构第七页，共61页。1.2总体设计根据小区网络系统所要实现的功能，结合小区的施工情况，比较目前流行的网络技术，以及考虑到用户投资保护及未来的升级，采用千兆以太网为主干，10/100Mbps自适应到户，星型物理拓扑结构来构建社区的内部网络。这样构造方式是目前几种计算机网络技术中的主流，不仅满足了当前的网络应用，而且便于维护，还方便日后升级，充分保护用户的投资。第八页，共61页。1.3网络系统的结构在物理上分为两套网络系统：内部网系统、外部网系统第九页，共61页。2网络逻辑设计第十页，共61页。2.1网络结构层次第十一页，共61页。2.2逻辑拓补结构

第十二页，共61页。2.2逻辑拓补结构

社区网络架构图第十三页，共61页。2.3子网划分IP地址规划第十四页，共61页。2.3子网划分

第十五页，共61页。2.3子网划分

第十六页，共61页。2.3子网划分

IP地址划分AFE545454第十七页，共61页。2.3子网划分楼栋IP范围网关1栋~542栋~543栋~544栋~545栋~546栋~54………17栋~54物业办公楼~54第十八页，共61页。3网络设备选择第十九页，共61页。3物理设备选择物理层互联设备中继器集线器数据链路层互联设备交换机网络层互联设备路由器应用层互联设备

网卡第二十页，共61页。3.1物理设备选择物理层互联设备

第二十一页，共61页。3.1物理设备选择物理层互联设备

集线器：第二十二页，共61页。3.2物理设备选择数据链路层互联设备交换机：选择支持路由功能、带千兆光纤接口的可网管型交换机

第二十三页，共61页。3.3物理设备选择网络层互联设备

路由器：当两个不同类型的网络彼此相连时，必须使用路由器。思科路由器第二十四页，共61页。3.4物理设备选择应用层互联设备网卡：从目前小区网络建设的实际情况来看，网卡选择PCI总线的100Mbit/s/1000Mbit自适应网卡最适合。第二十五页，共61页。3.5物理设备选择

服务器设备：服务器在本小区中提供Web、数据及邮件等功能，目前市场上提供服务器的厂家很多，如HP、IBM、联想等，根据此系统的建设原则和最终功能，通过对服务器市场的考虑和性能分析，最终做出如下建议：Web及邮件服务器：HPProLiantML110服务器是企业入门级塔式服务器，机身高度为4U,高速缓存2级缓存，可最大支持8GB的ECCDDRII内存，标准160GBSATA硬盘，最大支持到2TB，带有嵌入式RAID的惠普（HP）嵌入式4端口SATA控制器。嵌入式Broadcom5721千兆网卡。数据应用服务器：本小区中服务器选择HPProLiantML570。HPProLiantML570服务器是企业级塔式服务器，支持4个XeonMPCPU,高速2级缓存，ECCDDRII内存最大支持到64GB，内部最大支持3.0TB的SCSL硬盘，充分体现了该应用中海量存储的要求。HPProLiantML110价格为12300元/台，HPProLiantML570价格为38000元台第二十六页，共61页。3.6物理设备选择光纤：在选择光纤时采用国产天津立浮光纤与国外品牌光纤的性能相差无几，但在价格上却相差甚大，从性能价格比上考虑，选择国产天津立浮光纤。在光纤连接器上，选用AMP压接式光纤头，连接方式采用ST连接方式。光纤价格为5元/m.第二十七页，共61页。3.7物理设备选择设备名称描述数量

单价

总价

核心交换机H3CS7506以太网交换机交流主机-POE(含机箱,双电源,软件,资料)238,50077000双机H3CS7500-交换引擎-自带4个SFP千兆接口-Salience™III384G23900078000

H3CS7500-8端口千兆以太网光接口业务板-(SFP,LC)21900038000

光模块-SFP100M/155M-单模模块-(1310nm,15km,LC)4300012000

防火墙H3CSecPathF1000-S主机-双交流电源(4GE/2Slot)168,00068,000

2端口1000M以太网光接口模块(SFP,LC)11700017000

路由器H3CAR46-40路由器机箱(交流/4Slots/3U风扇)15,4005,400

H3CAR46增强型路由处理单元D(512MDDR/2GE/1GE(E/F)/1AUX/1Con/1CFslot)132,00032,000

2端口1000M以太网光接口模块11600016000

光模块-SFP-GE-多模模块-(850nm,0.55km,LC)11,5001,500

管理系统QQSG网络服务控制管理系统主机-1201C1125000125000

QQSG网络服务控制管理系统软件-1201C10

合计：469900

第二十八页，共61页。4安全设计安全体系总体结构：第二十九页，共61页。4安全设计（1）电源安全在小区中除了正常使用的电源外，需建立储备电源，当正常电源断电后启用储备电源（2）数据存储安全数据备份：对存有备份数据的存储介质，保存在安全的地方，防火、防盗及各种灾害，并注意保存环境（温度、湿度等）的正常。数据恢复：构建服务器存储系统使用最广泛的技术是RAID。RAID的实现策略主要是用多个磁盘驱动器替换单一的大容量的磁盘驱动器，并将数据在各个磁盘上进行分布存放并支持同时在多个磁盘进行并行读写，同时利用冗余的磁盘空间将数据从错误中恢复。第三十页，共61页。4安全设计（3）病毒防护

防病毒软件：为每台工作站和服务器安装单机版的防病毒软件，每台计算机定时地下载病毒码信息并进行更新。如360杀毒软件，百度卫士，金山毒霸等。

第三十一页，共61页。4安全设计（3）病毒防护网络防毒系统：在服务器上安装基于服务器的防病毒系统，在Internet网关安装基于Internet网关的防病毒系统。根据小区实际防毒需求，构建多层次病毒防线，分别是网络层防毒、邮件网关防毒、Web网关防毒、群件防毒、应用服务器防毒、客户端防毒，保证斩断病毒可以传播、寄生的每一个节点，实现病毒的全面布控。

第三十二页，共61页。4安全设计防火墙的应用（1）配置防火墙接口IP及区域默认权限（2）设置路由表及默认网关（3）定义防火墙为路由模式（4）定义网络对象（5）指定访问控制策略

控制外部合法用户对内部网络的网络访问

控制外部合法用户对服务器的访问

禁止外部非法用户对内部网络的访问

阻止外部用户对内部网络的攻击

阻止内部主机的IP欺骗（6）制定地址转换策略

第三十三页，共61页。4安全设计（4）网络安全

网络传输安全：对网络传输安全部分采用VPN设备来构建内联网。可在每级管理域内设置一套VPN设备，由VPN设备实现网络传输的加密保护。由一台VPN管理机对CA、中心VPN设备、分支机构VPN设备进行统一网络管理。将对外服务器放置于VPN设备的DMZ口与内部网络进行隔离，禁止外网直接访问内网，控制内网的对外访问、记录日志。这样即使服务器被攻破，内部网络仍然安全。

中心网络VPN设置下级VPN设置第三十四页，共61页。4安全设计（4）网络安全访问控制：

控制外部合法用户对内部网络的网络访问；

控制外部合法用户对服务器的访问；

禁止外部非法用户对内部网络的访问；

控制内部用户对外部网络的网络；

阻止外部用户对内部的网络攻击；

防止内部主机的IP欺骗；

对外隐藏内部IP

地址和网络拓扑结构；

网络监控；

网络日志审计

第三十五页，共61页。4安全设计（4）网络安全入侵检测：入侵检测仪在网络接如上与VPN设备并接使用。入侵检测仪在使用上是独立网络使用的，网络数据全部通过VPN设备，而入侵检测设备在网络上进行疹听，监控网络状况，一旦发现攻击行为将通过报警、通知VPN设备中断网络（即IDS与VPN联动功能）等方式进行控制（即安全设备自适应机制），最后将攻击行为进行日志记录以供以后审查。

漏洞扫描：本方案中，采用漏洞扫描设备对网络系统进行定期扫描，对存在的系统漏洞、网络漏洞、应用程序漏洞、操作系统漏洞等进行探测、扫描，发现相应的漏洞并告警，第三十六页，共61页。4安全设计（4）应用平台安全网络系统的应用平台安全，一方面涉及用户进入系统的身份鉴别与控制，以及使用网络资源的权限管理和访问控制，对安全相关操作进行的审计等。其中的用户应同时包括各级管理员用户和各类业务用户。另一方面涉及各种数据库系统、WWW服务、E-MAIL服务、FTP和TELNET应用中服务器系统自身的安全以及提供服务的安全。在选择这些应用系统时，选择国内软件开发商进行开发，系统类型也应当尽量采用国内自主开发的应用系统。

第三十七页，共61页。5网络管理设计网络管理系统设计一个完整的网络管理系统由多个部件组成。包括：网络管理协议、网管工作站、代理、管理信息库网络管理软件：选择的网络管理软件IP-guard或WorkWin第三十八页，共61页。5网络管理设计故障管理故障管理是网络管理中最基本的功能之一。在此情况下,网管人员先将网络修复,然后再分析网络故障的原因。分析故障原因对于防止类似故障的再发生相当重要。计费管理

使用上网计费管理软件对小区住户上网使用资源情况进行计费收费，软件有全能上网计费器、万象网管配置管理它初始化网络、并配置网络,以使其提供网络服务。配置管理是一组对辨别、定义、控制和监视组成一个通信网络的对象所必要的相关功能。性能管理由网管人员估价系统资源的运行状况及通信效率等系统性能。其能力包括监视和分析被管网络及其所提供服务的性能机制。性能管理收集分析有关被管网络当前状况的数据信息,并维持和分析性能日志。

第三十九页，共61页。5网络管理设计安全管理安全性一直是网络的薄弱环节之一,而用户对网络安全的要求又相当高,因此网络安全管理非常重要。网络中安全问题:网络数据的私有性(保护网络数据不被侵入者非法获取),授权(authentication)(防止侵入者在网络上发送错误信息),访问控制(控制访问控制(控制对网络资源的访问)。相应的,网络安全管理应包括对授权机制、访问控制、加密和加密关键字的管理,另外还要维护和检查安全日志。

第四十页，共61页。5网络管理设计用户管理将小区内的用户名分为4类：小区网络管理员、小区管理员及居委会领导、小区普通用户。在小区服务器上可以设置用户名和密码，供小区内用户网咯管理员及拥有权限的用户进行管理、维护和访问，其他普通小区内用户只能以只读方式访问其服务，杜绝外部用户对本地服务器的访问，也可以在三层交换机上设计ACL等，以限制外部流量来保护小区的网络安全。第四十一页，共61页。6网络接入设计目前，我国智能化小区，最常用的接入网有以下三种：基于双绞线的ADSL技术（非对称式数字用户线路）、HFC网（由光纤干线和同轴电缆分配网络组成的接入网络）、FTTX+LAN（光纤+局域网）。接入类型最高到户接入速度主要优势主要缺点基础设备端接设备与开户费用户使用费用ADSL1M-8M可与电话并用不够成熟、无小区局域网电话网较低低FTTB+LAN10M-100M成熟、标准化、速率最高需布线计算机局域网网络较低低HFC1M-2M利用原有线路不够成熟、标准化不够、未解决新局面互连网宽带问题HPC有线电视网较低低无线接入11M配置灵活、费用低廉微波、无遮挡无线微波较低高第四十二页，共61页。6网络接入设计接入技术的选择：FTTB+LAN接人方式无论是接入的传输速率，还是用户使用费都在三种接人方式中占有较大优势，理应为小区的首选宽带接人方式。用户上网速率可达10M/100Mbps，上下行速率对称。网络可扩展性强，投资规模小。作为一种高速的宽带接入方式比较适合相对集中的住宅小区第四十三页，共61页。7综合布线设计第四十四页，共61页。网络实施：综合布线综合布线（GenericCabling，GC）是一个能支持多种应用系统的模块化、灵活性极高的建筑物内或建筑物之间的信息高速传输通道，其组成部件包括不同系列和规格的通信介质、连接硬件（如配线架、连接器、适配器、插座和插头）以及电气保护设备等。第四十五页，共61页。综合布线设计标准目前，已出台的综合布线及其产品、线缆、测试标准及规范主要有：（1）EIA/TIA568商业建筑物布线标准。（2）EIA/TIA569商业建筑物通信通道和空间标准。（3）EIA/TIA570住宅电信布线标准。（4）EIA/TIA606商业建筑物电信基础结构管理标准。（5）EIA/TIA607商业建筑物接地和接线规范。（6）EIA/TIATSB-67现场测试非屏蔽双绞线布线系统传输性能规范。（7）EIA/TIATSB-72集中式光纤布线指南（8）EIA/TIATSB-75开放式办公环境水平布线标准。（9）EIA/TIATSB-95支持1000Base-T的5类布线附加传输性能指南。（10）ISO/IEC11801国际布线标准。（11）EN50173欧洲电工技术标准化委员会（CENELEC）布线标准。（12）GB/T50312-2000建筑与建筑群综合布线系统工程设计规范。（13）GB/T50312-2000建筑与建筑群综合布线系统工程施工及验收规范。第四十六页，共61页。总体结构设计综合布线系统采用国际知名品牌AMP的端对端解决方案和产品，以提供可以运行计算机网络系统和通信系统高速数据通信传输的介质平台，根据EIA/TIA570A标准所阐述和AMP综合大楼布线系统设计指南进行设计，为系统的可靠运行奠定基础。系统整体设计拓扑结构为星型CAN结构，确立为网络中心——住宅楼配线间——住户接线箱——用户端。

从总体结构上观察，本次结构化布线系统是由建筑群干线，垂直区，工作区和设备管理间组成。在小区内个放置一个计算机主机房，对住宅楼内的主要线缆进行集中式管理，在各栋住宅楼内各设一个分配线间，用于管理各栋住宅楼的水平区电缆，在每个住户内安装一个家居布线接线箱，用于管理住户内的工作区电缆。所设信息点只限于计算机网络通信数据传输，采用星型的拓扑结构，方案采用AMP的快接式配线进行配线管理，用超五类双绞线链接到工作区端，实现端对端管理。建筑群之间采用6芯多模室外光纤，适用于地下管道、直埋安装的应用场合中，钢制护凯为光纤提供防腐蚀和防雷限度的保护。第四十七页，共61页。第四十八页，共61页。第四十九页，共61页。（1）工作区子系统

是放置应用系统终端设备的地方，由终端设备连接到信息插座的连线或接插软线组成。（2）水平子系统 是将干线子系统经楼层配线间的管理区连接并延伸到工作区的信息插座。（3）干线子系统

由设备间和楼层配线间之间的连接线缆组成。（4）设备间子系统

是在建筑物的适当地点放置综合布线线缆和相关连接硬件及其应用系统设备的场所（5）管理区子系统是配线间或设备间的配线区域，它采用交连和互连等方式，管理干线子系统和水平子系统的线缆。（6）建筑群干线子系统由连接各个建筑物的线缆和相关支持硬件组成。第五十页，共61页。工作区设计工作区间子系统在布线系统的设计考虑中，用户数量密度越大，将来终接设备的增减、迁移就灵活。而按照EIA/TIA570A标准，每个用户区最少要有两个信息插座，其中有一个一定要是5类插座，用于数据通信。而认可之信息端口则分别为3类信息模块、5类信息模块、STP-A信息端口及多模光纤信息插口。而根据客户要求，本方案设计中只考虑数据通信，因此每个用户区只设一个数据信息点。元件方面采用AMP的超5类信息模块（T568B接法），用户设备连接线则使用超5类跳线（5ft长，两端采用RJ-45接头）。第五十一页，共61页。水平子系统设计

水平子系统是综合布线结构的一部分，它由配线间到信息插座的电缆和工作区用的信息插座等组成，线缆沿楼层的地板或吊顶布线。第五十二页，共61页。干线子系统设计由于在小区中每座住宅楼信息点可直接进户，所以楼栋垂直子系统介质选择F-NET4芯内室光缆及IBDN三类25对大对数，主干线缆选用6芯多模光缆，可以支持ATM或千兆以太网主干，第五十三页，共61页。设备间设计设备间子系统针对本综合布线的实际情况，在配线架上数据部分别采用600A光纤配线架和PATCHMAX-24的模块式配线架。在跳线上，数据部分各分配线架采用LUCENT的高速跳线和2芯的多模光纤跳线。本小区共设有中心配线间1个位置选定：处于主干网中间位置、距各楼层距离最短、易于运输大型设备、不低于水平面、远离干扰源、便于安装接地装置装修要求：温度0-27湿度60%-80%符合消防规定、满足通信机房要求、防止灰尘和有害气体

第五十四页，共61页。管理区设计

管理子系统是整个配线系统的中心单元，它的布放、选型及环境条件的考虑是否恰当，都直接影响到将来信息系统的正常运行和使用的灵活性，室内照明不低于150Lx，室内应提供UPS电源配电盘，以保证网络设备运行及维护的供电。

每个电源插座的容量不小于300W，管理子系统（配线室）应尽量靠近弱电竖井旁，而弱电竖井应尽量在大楼的中间，以方便布线并节省投资。

设备室的环境条件如下：

温度