第1章 计算机 络系统(含无线 络AP覆盖)
1.1 计算机 络系统
XX广场计算机 络主要包智能化专 、办公 、统一通讯 及WIFI无线 络,四 实现物理隔离。办公 、统一通讯 络及WIFI无线 络的核心使用数据中心级万兆交换机,利用虚拟交换技术实现双核心 络冗余,核心交换机设置在1 楼西楼三层互联 机房。
1.1.1 系统概述
计算机 络系统的设计应满足XX广场所需的信息服务、管理的需求,同时考虑到信息 络向数字化、综合化、宽带化发展的趋势。
本项目计算机 络系统的设计主要针对XX广场的日常需求,包括智能化专 、办公 、统一通讯 及WIFI无线 络的需求,同时考虑到信息 络向数字化、综合化、宽带化发展的趋势,为未来数据交换的发展提供扩充空间, 络通信功能需求满足内外 络应用的需求。
XX广场计算机 络需要具备高可靠性和稳定性,同时其高速的通讯能力和数据处理能力也是必不可少的一部分;办公 及统一通讯 作为员工上 和收发邮件的平台、语音通话、视频电话、视频电话会议以及无线 络的接入;智能化专 主要用于安防、智能卡、建筑设备监控以及数字电视等智能化应用系统使用。
络出口部分配置防火墙及路由器,防止系统数据的窃取、丢失,杜绝的各种非法操作,从而实现数据高度安全性。
1.1.2 需求分析
XX广场的计算机 络系统设计应满足智能化系统、日常办公及公共WIFI无线 络的数据通讯需求,为未来数据交换的发展提供扩充空间。 络通信功能需求满足两种:对内的局域 通信和对外的广域 通信。
XX广场计算机 络主要包智能化专 、办公 、统一通讯 及WIFI无线 络,四 实现物理隔离。办公 、统一通讯 络及WIFI无线 络的核心使用数据中心级万兆交换机,利用虚拟交换技术实现双核心 络冗余,核心交换机设置在1 楼西楼三层互联 机房。
整个大楼设计一套智能化专 用于满足大楼智能化系统的数据传输,核心是用万兆交换机,设计采用冗余热备技术。
整个大楼主干 传输建立在GPON无源光纤 络上,GPON 络可以取代原有计算机 络中的二/三层交换机,所有接入层交换机均采用GPON终端ONU设备,因此本系统只设计计算机 络核心设备。
? 系统主要功能需求
2 主干 传输速率按1000Mb/s;
2 络设计到桌面的传输速率达到10/100/1000Mbps自适应,以保证多媒体信息的传输;
2 满足大楼办公自动化及各类开发应用的通信需要;
2 向用户提供完整的INTERNET服务,诸如电子信箱、 页发布等;
2 提供安全的 络技术,具有防火墙,在不同的接口上提供多种安全级别,确保用户信息安全和对外信息服务器的正常信息服务及资料安全;
2 应用成熟的快速以太 技术设计 络,保证 络的先进、可靠、安全、易于管理维护和升级扩展;
2 支持VLAN(虚拟 ),并且提供了高性能的第三层交换技术;
2 采用管理软件进行 络管理;
2 支持内部信息共享与交换的需要,提供相关的数据库,方便信息的查询和检索,对重要信息提供长期备份的功能。
? 其它需求的界定:
1)安全保密防范要求
本项目计算机 络系统除少数对外提供公开信息服务外,必须采用通信安全保密、互联设备的过滤措施、应用层访问权限控制等保密措施,并有良好的防止恶意攻击的防范措施。
2) 络管理需求
络管理必须为系统管理员提供系统及 络设备运行状况、系统故障诊断方面的信息,以保证系统的正常运行和便于系统维护工作。
3)IP地址需求
为了实现与外部的信息交换,必要时可为行政中心的计算机提供有效的IP地址。
4)数据吞吐率的要求
从长远看,XX广场 络内部需要应支持部份图形、图像、数据传输和大量的普通资料的传输,局域 的主干的数据传输速率近期应当能提供1000Mbps。
1.1.3 系统设计说明
1.1.3.1 计算机 络拓扑结构图
1.1.3.2 系统架构设计
在XX广场的 络管理构架中,智能化专 、办公 、统一通讯 及WIFI无线 络是物理隔离的。四者均采用二层 络拓扑结构,即核心层+接入层。办公 、统一通讯 络及WIFI无线 络的核心使用数据中心级万兆交换机,利用虚拟交换技术实现双核心 络冗余,核心交换机设置在1 楼西楼三层互联 机房。
整个大楼设计一套智能化专 用于满足大楼智能化系统的数据传输,核心是用万兆交换机,设计采用冗余热备技术,核心交换机设在1 楼一层消防安防控制中心。
1.1.3.3 络安全方案设计
络的安全是对于XX广场的信息 络向数字化、智能化、综合化、宽带化及发展的一个潜在的隐患。本项目中为客户 配置了 络防火墙,下面是对需要 络安全防护的各个部分实现方式及功能进行一个简单的分析描述。
1.1.3.3.1 络设备的安全
构成 络的不同模块在 络中有着特定的功能和不同的安全需求,先分析一下 络中哪些现有设备是安全设计的目标,而这些设备本身应采用一定的安全防范措施。
1)防火墙
防火墙控制着 络之间的访问,也是受攻击的目标之一。防火墙的安全是任何安全实施的关键部件,通常会在防火墙上采取以下一些安全措施:
2 设置访问控制列表(ACL);
2 控制对路由器的远程登录;
2 控制对路由器的SNMP访问;
2 通过TACACS+或RADIUS来对路由器的接入进行AAA控制;
2 关掉不需要的服务;
2 设置不同的登录级别;
2 对路由更新进行认证。
2)局域 交换机
对于交换机,和路由器一样也要对远程登录、SNMP进行安全控制外,还需要下面的一些安全措施:
对于不需做中继的端口,将其中继模式设置为OFF(缺省为AUTO)防止某台主机安装了支持VLAN中继封装的 卡将链路变为中继而收到中继上所有VLAN的信息;
确保中继端口的NativeVLAN为 络中不使用的VLAN ;
将交换机上未使用的所有端口设置到无第三层连接的VLAN或者将其关闭。
3) 络
对整个 络的攻击不只是使某台设备受害,而是使整个 络无法响应,合法用户也无法得到服务。例如分布式拒绝服务攻击(DDoS)通过数十或数百台机器同时一个IP地址发送伪造数据来实现。常见的DdoS有ICMPfloods,TCPSYNfloods,或者UDPfloods。通常可以在ISP路由器的出口和企业 边界路由器的入口上设置对ICMP和TCPSYN的速率限制,同时可以在 络边界部分和内部关键服务器所在部分部署基于 络的入侵监测系统。
1.1.3.3.2 Internet接入的安全设计
XX广场 络系统建成后与Internet的连接是肯定的,其中Internet接入点是用户 络与Internet外部 络的连接处,该点承受着多种可能的对内部 络的攻击威胁,但由于在Internet上开展业务、宣传、查询资料的需要,又必须对开通部分的 络服务。
1.1.3.3.3 建立统一的安全策略
随着日后信息 络规模的扩大和越来越复杂, 络安全的管理也会变得复杂繁琐。为解决安全设备和安全策略的统一管理问题, 络的安全策略的统一制定和实施非常重要,为保证整个 络的安全性的一致,避免安全漏洞的存在,同时减轻繁重的配置、管理工作,建议需要设置一套安全策略管理软件。考虑到管理的方便,这一部分管理平台可以集合到管理中心,由管理人员统一管理。
1.1.3.3.4 络管理设计
系统安全管理
系统安全管理功能主要有包括:操作日志管理、操作员管理、分组分级与权限管理、操作员登录管理等。
所包含的主要功能有:
操作员登录管理;
操作员密码管理;
分组分级权限管理
操作日志管理;
操作员在线监控和管理;
资源管理
资源管理与拓扑管理作为整体共同为用户提供 络资源的管理。通过资源管理可以:
络自动发现;
络手工管理;
络视图管理;
络设备的管理;
设备及业务管理系统的集成管理;
设备分组权限管理;
拓扑管理
拓扑管理从 络拓扑的解决直观的提供给用户对整个 络及 络设备资源的管理。拓扑管理包括:
拓扑自动发现;
支持自定义拓扑;
自动识别各种 络设备和主机的类型;
设备状态、连接状态、告警状态等信息在拓扑图上的直观显示;
拓扑能提供设备管理便捷入口;
故障(告警/事件)管理
故障管理,即告警/事件管理,是管理平台的核心模块,是智能管理平台及其他业务组件统一的告警中心。如下图所示,以故障管理流程为引导,介绍其故障管理能力:
性能管理
管系统提供丰富的性能管理功能,同时以直观的方式显示给用户。例如:可以提供折线图、方图、饼图等多种显示方式并能生成相应的 表。通过性能任务的配置,可自动获得 络的各种当前性能数据,并支持设置性能的阈值,当性能超过阈值时, 络以告警的方式通知告警中心:
支持At a Glance、TopN功能,用户能够对CPU利用率、流量等关键指标一目了然;
提供各类常用性能指标的缺省采集模板;
支持实时性能监视,支持二级阈值告警设置,当链路或端口的流量超过阈值,系统将会发送性能告警,使 络管理人员可以能够及时了解 络中的隐患,及时消除隐患。同时为故障定位提供手段;
提供基于历史数据的分析,为用户扩容 络、及早发现 络隐患提供保障;
支持饼图、折线图、曲线图等多种图形方式,直观地反映性能指标的变化趋势;提供灵活的组合条件统计和查询;性能 表支持导出Html、Txt、Excel、Pdf格式文件:
1.1.4 系统功能
计算机 络解决方案总体设计以高性能、高可靠性、高安全性、良好的可扩展性、可管理性和统一的 管系统,以及考虑到技术的先进性、成熟性,并采用模块化的设计方法。为了便于 络故障的排除和将来 络的扩展, 络建设采用模块化设计的方法构建一个层次化 络。最终实现一个安全、稳定、高速的 络环境。
通过有线 络与无线 络的部署满足XX广场internet外 连接、内部 络数据交换需求。
1.2 无线 络AP覆盖
XX广场无线AP 络信 做到整个大楼建筑全覆盖。由 POE交换机接入AP,并同时完成POE供电的功能。
1.2.1 系统概述
无线局域 (WLAN)技术于20世纪90年代逐步成熟并投入商用,既可以作传统有线 络的延伸,在某些环境也可以替代传统的有线 络。对比传统的有线传输解决方案,使用WLAN 络实现数据传输具有以下显著特点:
? 简易性:WLAN 络传输系统的安装快速简单,可极大的减少敷设管道及布线等繁琐工作。
? 灵活性:无线技术使得WLAN设备可以灵活的进行安装并调整位置,使无线 络达到有线 络不易覆盖的区域。
? 综合成本较低:一方面WLAN 络减少了布线的费用,另一方面在需要频繁移动和变化的动态环境中,无线局域 技术可以更好地保护已有投资。同时,由于WLAN技术本身就是面向数据通信领域的IP传输技术,因此可直接通过百兆自适应 口和企业内部Intranet相连,从体系结构上节省了协议转换器等相关设备。
? 扩展能力强:WLAN 络系统支持多种拓扑结构及平滑扩容,可以十分容易地从小容量传输系统平滑扩展为中等容量传输系统。
1.2.2 需求分析
为了适应内部人员及来访客户的无线上 的需要,XX广场的无线 络设计考虑WIFI的全覆盖,采用无线 络技术搭建无线局域 平台。该平台可以根据需要,采用不同的工作模式,通过多个接入点分别与有线 络联接,形成以有线 络为主干的多接入点的无线 络,所有的无线终端都可以通过就近的无线接入点接入客户 ,并访问 络资源。
1.2.3 系统设计说明
1.2.3.1 无线组
根据实际需求,XX广场为办公人员及来访客户无线提供上 服务,其无线 通过无线AP接入点的设置,无线 络的全覆盖,方便用户使用移动智能设备上 。
设计采用AP就近接入的原则接入弱电间ONU,由 带POE功能的ONU接入AP,并同时完成POE供电的功能。
整 采用FIT AP方案,通过AC对AP进行集中管理。
AP部署:AP通过POE模块连接和供电,接入到相应区域。AP首先在区域AC上注册,由区域AC管理。AP选择IEEE 802.11a,IEEE 802.11b,IEEE 802.11g,IEEE 802.11n。
1.2.3.2 无线安全
无线局域 络是开放型的 络,存在各种恶意攻击的可能,此时 络安全问题在建 时必须考虑问题,安全问题需要着重考虑。
无线 络安全部分主要包括以下方面的内容:
I. MAC地址过滤:目前支持基于MAC地址的过滤,限制具有某种类型的MAC地址特征的终端才能进入 络中;
II. SSID管理:是一种 络标识的方案,将 络进行一个逻辑化标识,对终端上发的 文都要求进行上带SSID,如果没有SSID标识则不能进入 络;
III. 非法AP发现和控制:通过AC控制AP扫描无线环境,发现非法接入的AP,并列入黑白名单,同时加以反制。
IV. 无线IPS功能:结合的AC设备的安全功能,实现无线防火墙功能,防范用户的蠕虫,DDOS攻击,并将实施攻击的非法用户踢下线。
1.2.3.3 频率规划与负载均衡
? 频率规划(支持双频三模,建议部署802.11g)
802.11g使用开放的2.4GHz ISM频段,可工作的信道数为欧洲标准信道数13个。由于其支持直序扩频技术造成相邻频点之间存在重叠。对于真正相互不重叠信道只有相隔5个信道的工作中心频点。因此对于802.11g在2.4GHz地工作频段,理论上只能进行三信道的蜂窝规划实现对需要规划的热点的无缝覆盖。此外,由于功率模板是否能做到符合邻道、隔道不干扰也非常影响频率规划的效果。
针对如何进行802.11g的频率规划作了大量的实验,实验证明3载频也可以实现蜂窝对需要覆盖的区域进行无缝覆盖,并提供更高的服务带宽提高服务质量,和高带宽业务的开展。`
频率规划需要配合使用的功能包括:
I. AP支持13个信道设置
II. AP支持100mW最大射频功率以及多级功率控制
III. AP支持外置天线以及定向天线
IV. 针对特殊应用还需要AP支持桥接功能、接入功能以及WDS功能
1.2.3.4 络管理
基于标准的SNMP协议实现对设备的管理,专门的无线局域 管理软件iMC无线组件可实现对WLAN所有 元的管理。 管工作站可以放在 上的任意位置,通过标准的SNMP即可实现对无线交换机的管理。无线AC可以实现更为强大的管理包括AP的自动拓扑发现、自动升级、批量配置、分级管理、分级告警等,并可实现针对无线覆盖空间内的射频扫描、非法接入点监听等安全功能。而无线局域 管理软件WSM可以实现配置管理整个WLAN无线 络,其具备以下特点:
1、零配置安装:接入点无需准备预设置,AP从无线控制器继承配置信息。可将无线控制器AC接入到有线 中,无需事先进行任何配置,即通过接入层交换机接入有线 络,并自动注册到AC上,获得DHCP SERVER分配的IP地址,并自动下载配置文件正常工作,在大规模AP的项目中大量节省安装维护成本。
2、防盗防入侵:敏感配置信息不在本地保存,即使设备被入侵被盗也不会丢失安全信息。实际运营中很多AP是放置在公共场所,如果密钥、SSID等安全信息在本地保存的话,一旦失窃对全 安全性造成威胁,由于其零配置安装,一旦掉电不会保存任何信息,避免入侵。
3、支持灵活的拓扑结构:AP允许多种部署,从而能够直接或间接连接到管理它的无线局域 控制器。AC与AP之间可以隔离任何路由器或交换机,只要共同连接进有线 络,AP就可以自动寻找到AC实现注册。
4、自动设置发射功率和分配射频信道:自动设置发射功率和分配射频信道,用以优化射频单元大小和满足各国对射频信道的要求。当有个别AP故障时,AC会自动调大相邻AP的功率弥补信 盲区。
5、基于身份的组 :根据用户名对用户权限进行区分,不同于传统的WLAN 络通过接入的有线交换机端口对用户权限进行划分,并且可以对用户的位置、带宽以及漫游等历史数据进行记录跟踪。
6、提供增强的安全性和无缝漫游:通过这项基于身份的组 功能,经过改进的用户组认证接入控制、始终强制的漫游策略以及对带宽使用的监视实现了无线局域 的增强的安全性,实现了无缝的用户移动性和自由性,从而可以进行安全连接和漫游,一次认证多次接入,免去在不同AP下切换的再次认证。
7、安全管理:提供入侵检测功能,专用 AP 可以不断地扫描空域,以便对要求更高安全性的环境提供全天候保护。一旦无线 络中有非法接入点接入,AP将上 相应的告警给AC,并通过 管软件显示。
1.2.3.5 覆盖解决方案
从整体的统计看来,此次的无线覆盖设计基本上可以分为以下几种类型:
根据本项目的业务发展需求,初步确定室内部分主要覆盖以下空间,XX广场WIFI 络设计为全覆盖。
根据实际工勘的结果来看,可以归纳为三大类:AP室内无障碍覆盖、AP室内穿越障碍覆盖、室外开阔空间覆盖,下面则对这三类覆盖分别进行描述:
? AP室内无障碍覆盖(802.11a/b/g):
主要应用于空间较大的室内空间等重点室内区域,此时主要信 进行此空间内覆盖,无需要考虑到穿越墙壁、地板等障碍物对隔壁空间的覆盖;此时又分二种情况,划分原则主要要看是否要使用吸顶天线的问题,根据实现工程勘测情况来看,室内部分都可以采用吸顶天线的方式进行操作。
? AP室内穿越障碍覆盖(802.11 a/b/g):
主要应用于各楼中间走廊两边房间结构室内区域,因为无线信 穿越墙壁、地板等障碍物会存在衰减,但在走廊式结构的室内区域具备一定的穿越障碍的能力,一般是穿越一道墙壁之后信 效果较好。因此这样的结构适合在走廊中布置AP,来覆盖两边的房间区域;并且根据实现工程勘测情况来看,室内走廊部分都可以采用吸顶天线的方式进行操作。
? 室外开阔空间覆盖:
主要应用于各门前空地这样的室外开阔区域,在室外开阔空间中AP的覆盖能力比室内半开阔空间要远,但为了保证效果通常是添加室外天线使用。考虑到AP的有线端需要接入到有线 络,这就存在两种方式:在附近具备有线 络建筑物的情况,往往考虑通过将AP安装在具备有线 络的建筑物的楼顶或是侧壁上通过室外定向天线对室外开阔空间进行覆盖。
1.2.4 系统功能
本项目无线 络覆盖系统在公共活动区域进行WIFI无线 络覆盖接入客户 为办公人员及来访客户无线提供上 服务。
? 采取通行的 络协议标准:无线局域 将主要支持IEEE 802.11a,IEEE 802.11b,IEEE 802.11g,IEEE 802.11n标准以提供可供实际应用的相对稳定的 络通讯服务;室内覆盖范围大于50m。
? 全面的无线 络支撑系统(包括无线 管、无线安全、无线QOS等),以避免无线设备及软件之间的不兼容性或 络管理的混乱而导致的问题;
? 保证 络访问的安全性,支持用户多种接入方式认证机制,包括:基于PPPoE、802.1X、Portal、MAC等认证,支持外置的Portal服务器和外置的AAA服务器系统;
? 安全、认证和管理要求
为了阻止非授权用户访问无线 络,以及防止对无线局域 数据流的非法侦听,无线 络要具有相应的安全手段,主要包括:物理地址(MAC)过滤、服务区标识符(SSID)匹配、AES加密,双向认证等方式。
? 无线 络结构要求:
无线接入所需布设的AP通过接入设备接入到 中,在接入层提供相应的接口给AP使用;
? 工程布线和安装要求:
1、室内部分:定位于较为开阔位置,将 线走暗线敷设到位,无线AP及天线的主要安排方式采用吸顶的方式进行工程施工,不影响装修的视觉效果,如果需要遮蔽,则需要定制非金属安装盒;如果是挂在天花板上,则根据天花板的情况而定,若天花板是非金属结构,可以固定在天花板内。安装过程中应充分考虑防盗问题。
2、供电部分:AP的供电可采用POE方式由接入的 络设备进行供电。
声明:本站部分文章及图片源自用户投稿,如本站任何资料有侵权请您尽早请联系jinwei@zod.com.cn进行处理,非常感谢!