年5月29日辦公大樓智能化項(xiàng)目技術(shù)方案文檔僅供參考技術(shù)方案項(xiàng)目名稱:辦公大樓智能化項(xiàng)目文件內(nèi)容:技術(shù)方案制作人:有限公司目錄TOC\o"1-4"\h\z\u第一章項(xiàng)目概述 61.1項(xiàng)目名稱 61.2項(xiàng)目背景 6第二章大樓綜合布線系統(tǒng) 62.1 系統(tǒng)概述 62.2 系統(tǒng)需求 72.3 系統(tǒng)設(shè)計(jì)原則 82.3.1 相關(guān)標(biāo)準(zhǔn)及法律法規(guī) 82.3.2 系統(tǒng)設(shè)計(jì)特性 92.3.3 產(chǎn)品選型 92.3.4 系統(tǒng)工程范圍 102.4 系統(tǒng)設(shè)計(jì) 102.4.1 總體設(shè)計(jì)考慮 102.4.2 信息點(diǎn)分布 112.5 布線系統(tǒng)的性能指標(biāo) 112.5.1 非屏蔽六類布線系統(tǒng)的技術(shù)指標(biāo) 122.5.2 光纖系統(tǒng)的性能指標(biāo) 132.6 基本結(jié)構(gòu) 132.6.1 工作區(qū)子系統(tǒng) 142.6.2 水平子系統(tǒng) 152.6.3 管理子系統(tǒng) 182.6.4 垂直主干子系統(tǒng) 192.6.5 設(shè)備間子系統(tǒng) 202.7 用戶設(shè)備與布線系統(tǒng)的連接 202.7.1 電話系統(tǒng)與布線系統(tǒng)的連接 202.7.2 計(jì)算機(jī)網(wǎng)絡(luò)與布線系統(tǒng)的連接 212.7.3 對計(jì)算機(jī)網(wǎng)絡(luò)的考慮 222.8 管線設(shè)計(jì)方案 222.8.1 綜合考慮 222.8.2 橋架設(shè)計(jì)方案 232.8.3 水平子系統(tǒng)管線方案 232.8.4 對管路的要求 242.8.5 信息插座底盒 25第三章網(wǎng)絡(luò)系統(tǒng) 263.1 建設(shè)目標(biāo) 263.2 設(shè)計(jì)原則 263.3 網(wǎng)絡(luò)設(shè)計(jì)思路 273.4 網(wǎng)絡(luò)結(jié)構(gòu)設(shè)計(jì) 293.5 網(wǎng)絡(luò)設(shè)備選型 303.6 辦公大樓解決方案 373.6.1 網(wǎng)絡(luò)整體結(jié)構(gòu) 373.6.2 核心層設(shè)備 373.6.3 接入層設(shè)備 383.7 網(wǎng)絡(luò)組網(wǎng)方案特點(diǎn) 383.8 網(wǎng)絡(luò)安全設(shè)計(jì) 403.8.1 安全滲透網(wǎng)絡(luò)設(shè)計(jì) 403.8.2 核心交換機(jī)強(qiáng)大內(nèi)置安全特性 413.8.3 基層網(wǎng)絡(luò)安全 423.9 提供服務(wù)器的安全保障和防護(hù)功能 453.9.1 防火墻過濾 453.9.2 高可靠性 463.9.3 QoS保證 46第四章機(jī)房建設(shè) 474.1 裝修部分 474.1.1 機(jī)房裝修設(shè)計(jì)原則 474.1.2 裝修材料選擇原則 474.1.3 天棚 474.1.4 架空地板工程 484.1.5 墻面工程 494.1.6 門窗工程 504.2 精密空調(diào)系統(tǒng) 504.3 新風(fēng)系統(tǒng) 514.4 機(jī)柜及KVM切換系統(tǒng) 524.5 接地系統(tǒng) 534.6 消防系統(tǒng) 544.7 門禁系統(tǒng) 544.8 機(jī)房設(shè)備監(jiān)控系統(tǒng) 544.9 UPS電源系統(tǒng)方案 564.10 UPS供配電系統(tǒng)方案 654.11 UPS供電系統(tǒng)防雷方案 67第五章監(jiān)控系統(tǒng)概況 705.1 系統(tǒng)總體需求 705.2 設(shè)計(jì)依據(jù) 705.3 設(shè)計(jì)原則 715.4 系統(tǒng)方案設(shè)計(jì) 725.4.1 系統(tǒng)構(gòu)成 725.4.2 系統(tǒng)原理 735.4.3 系統(tǒng)功能 735.5 監(jiān)控前端設(shè)計(jì) 735.5.1 前端系統(tǒng)說明 735.5.2 監(jiān)控點(diǎn)位表 745.6 監(jiān)控中心設(shè)計(jì) 745.7 存儲系統(tǒng)設(shè)計(jì) 755.8 傳輸網(wǎng)絡(luò)設(shè)計(jì) 765.9 系統(tǒng)環(huán)境設(shè)計(jì)和要求 775.9.1 安裝要求 775.9.2 操作控制臺(室)裝修及設(shè)備位置要求 775.9.3 光線要求 775.9.4 走線及線槽要求 785.9.5 空調(diào)要求 785.9.6 供電電源 78第六章公共廣播系統(tǒng)方案 796.1 系統(tǒng)項(xiàng)目概述 796.2 系統(tǒng)設(shè)計(jì)依據(jù)及選型原則 796.3 數(shù)碼消防廣播系統(tǒng) 82第七章停車場系統(tǒng) 877.1 系統(tǒng)功能 877.2 設(shè)計(jì)總則 907.2.1 系統(tǒng)概述 907.2.2 系統(tǒng)設(shè)計(jì)原則 917.2.3 系統(tǒng)設(shè)計(jì)依據(jù) 917.3 系統(tǒng)介紹 917.3.1 出入口控制機(jī) 917.3.2 數(shù)字式道閘功能特點(diǎn)(多款可選) 937.3.3 車輛檢測器 947.3.4 RS485通訊卡 957.3.5 臨時卡計(jì)費(fèi)器 957.3.6 IC卡發(fā)行器 957.3.7 出卡機(jī)(可選設(shè)備) 967.4 軟件性能特點(diǎn) 967.5 軟件功能說明 977.6 軟件主要功能 987.7 系統(tǒng)使用的智能卡類 1007.8 系統(tǒng)主要優(yōu)點(diǎn) 1017.9 系統(tǒng)安裝相關(guān) 1017.10 系統(tǒng)功能擴(kuò)展 1037.11 主要設(shè)備參數(shù) 103第八章有線電視系統(tǒng) 1058.1. 設(shè)計(jì)說明 1058.2. 網(wǎng)絡(luò)設(shè)計(jì)依據(jù)和標(biāo)準(zhǔn): 1068.3. 系統(tǒng)規(guī)劃 1078.3.1 節(jié)目源 1078.3.2 系統(tǒng)帶寬 1078.3.3 網(wǎng)絡(luò)系統(tǒng) 1078.4. 系統(tǒng)工程設(shè)計(jì) 1098.4.1 系統(tǒng)總體規(guī)劃 1098.4.2 采用技術(shù) 1098.4.3 系統(tǒng)工程設(shè)計(jì) 1098.5. 主要設(shè)備器材選擇 111

項(xiàng)目概述1.1項(xiàng)目名稱辦公大樓智能化項(xiàng)目1.2項(xiàng)目背景數(shù)字化作為全面推進(jìn)社會信息化進(jìn)程的一個有效途徑,當(dāng)前已受到全世界的廣泛關(guān)注。在中國緊鑼密鼓地掀起數(shù)字化建設(shè)浪潮的時候,信息化建設(shè)更以其信息化發(fā)展的龍頭作用成為當(dāng)前數(shù)字化建設(shè)的一個重點(diǎn)。隨著改革的深化,辦公大樓的業(yè)務(wù)工作范圍更廣泛、服務(wù)對象更直接具體、信息處理量越來越大,而傳統(tǒng)的管理模式、業(yè)務(wù)流程和操作手段已不能應(yīng)對業(yè)務(wù)發(fā)展的需求和宏觀管理的需要。信息化建設(shè)是提高服務(wù)水平、實(shí)施規(guī)范化管理、提高工作效率的必要手段,是推動事業(yè)發(fā)展的重要措施,此次辦公大樓信息化基礎(chǔ)建設(shè)項(xiàng)目就是在這樣一種趨勢下應(yīng)運(yùn)而生。大樓綜合布線系統(tǒng)系統(tǒng)概述辦公大樓的結(jié)構(gòu)化綜合布線系統(tǒng)是作為語音、數(shù)據(jù)及圖像、通信等系統(tǒng)的傳輸媒介,是保證辦公大樓高質(zhì)量信息傳輸?shù)年P(guān)鍵,它的設(shè)計(jì)合理性和施工規(guī)范性關(guān)系到弱電系統(tǒng)能否正常運(yùn)行和靈活擴(kuò)展。在此,我們將全面考慮辦公大樓將來各種應(yīng)用的要求,使布線系統(tǒng)能夠靈活適應(yīng)多種多樣的網(wǎng)絡(luò)結(jié)構(gòu)。大容量并易于增容的系統(tǒng)支持高質(zhì)量語音通訊服務(wù)支持高速數(shù)據(jù)通訊服務(wù)支持視像及圖像傳送服務(wù)支持多媒體通訊服務(wù)辦公大樓是現(xiàn)代化智能建筑工程,需要采用綜合布線作為大樓內(nèi)語音、數(shù)據(jù)、圖像通信等系統(tǒng)的傳輸媒質(zhì)?？紤]到現(xiàn)代化生活與辦公環(huán)境對通訊自動化(CA)、辦公自動化(OA)等系統(tǒng)的信息傳輸?shù)男枨?在布線方面要求具有高度的靈活性、可靠性及綜合性,而且要求易擴(kuò)容、應(yīng)面向未來發(fā)展及方便維護(hù)和管理。我公司將為該建筑設(shè)計(jì)美觀、實(shí)用、先進(jìn)且能夠與標(biāo)志性建筑相匹配的完整的一套綜合布線系統(tǒng)。為了能夠順利地完成該大樓的綜合布線設(shè)計(jì)和實(shí)施工作,在本設(shè)計(jì)方案中,我公司將根據(jù)辦公大樓的實(shí)際情況,充分發(fā)揮我們在布線設(shè)計(jì)和施工方面的技巧和經(jīng)驗(yàn),以及在布線工程中的綜合協(xié)調(diào)能力,向甲方提出我公司的解決方案。希望本方案能夠?yàn)榧追浇⒁粋€實(shí)用的、可靠的、先進(jìn)的布線系統(tǒng)出一份力。本方案對用戶的需求進(jìn)行了認(rèn)真的分析和配置。其特點(diǎn)是使用方便、擴(kuò)充容易、管理簡便、滿足未來十年各種計(jì)算機(jī)網(wǎng)絡(luò)的實(shí)際需求,并充分考慮了計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)的需求。本方案針對辦公大樓的實(shí)際情況以及標(biāo)書的要求,綜合布線系統(tǒng)采用耐克森公司(即原阿爾卡特公司)的綜合布線非屏蔽六類產(chǎn)品,本方案中結(jié)合本公司的特點(diǎn)對綜合布線系統(tǒng)和管路的設(shè)計(jì)提出了自己的方案。系統(tǒng)需求本綜合布線系統(tǒng)設(shè)計(jì)方案是一個高標(biāo)準(zhǔn)的布線系統(tǒng),按照國標(biāo)<智能建筑設(shè)計(jì)標(biāo)準(zhǔn)>中的甲級標(biāo)準(zhǔn)和<建筑與建筑群綜合布線系統(tǒng)工程設(shè)計(jì)規(guī)范>中的綜合配置標(biāo)準(zhǔn)。根據(jù)標(biāo)書要求,本設(shè)計(jì)水平系統(tǒng)和工作區(qū)采用非屏蔽六類元件,主干采用光纖和大對數(shù)電纜,支持主干萬兆、百兆或千兆到桌面的以太網(wǎng),不但能滿足現(xiàn)有數(shù)據(jù)、語音、圖像等信息傳輸?shù)囊?更為今后的發(fā)展奠定了基礎(chǔ)。該系統(tǒng)應(yīng)具備配置靈活,易于管理、維護(hù)、和擴(kuò)充的特點(diǎn),充分體現(xiàn)服務(wù)、開放、務(wù)實(shí)的精神。本綜合布線系統(tǒng)采用非屏蔽六類布線系統(tǒng)(銅纜和光纜聯(lián)合布線方案),樓內(nèi)所有數(shù)據(jù)點(diǎn)、語音點(diǎn)均采用非屏蔽六類布線系統(tǒng)。系統(tǒng)設(shè)計(jì)原則相關(guān)標(biāo)準(zhǔn)及法律法規(guī)本次設(shè)計(jì)將依據(jù)以下資料進(jìn)行設(shè)計(jì):辦公大樓大樓建筑平面設(shè)計(jì)圖紙智能樓宇綜合布線系統(tǒng)驗(yàn)收規(guī)范建筑與建筑群綜合布線系統(tǒng)工程設(shè)計(jì)規(guī)范(CECS72:97)建筑與建筑群綜合布線系統(tǒng)工程施工及驗(yàn)收規(guī)范(CECS89:97)智能建筑設(shè)計(jì)標(biāo)準(zhǔn)(DBJ08-47-95)民用建筑電氣設(shè)計(jì)規(guī)范(JGJ/T16-92)建筑及建筑群綜合布線國際標(biāo)準(zhǔn)(ISO/IECIS11801,1995年7月)大樓通用綜合布線系統(tǒng)(YD/T926.1-2-1997)工業(yè)企業(yè)通信設(shè)計(jì)規(guī)范(GBJ42-81)電氣裝置安裝工程施工及驗(yàn)收規(guī)范(GBJ232-92)商用建筑線纜標(biāo)準(zhǔn)(EIA/TIA-568A-5,增強(qiáng)型5類草案)商用建筑通信通道和空間標(biāo)準(zhǔn)(EIA/TIA-569)商用建筑電信設(shè)施管理標(biāo)準(zhǔn)(EIA/TIA-606)商用建筑通信接地接續(xù)要求(EIA/TIA-607)本次設(shè)計(jì)嚴(yán)格按照高標(biāo)準(zhǔn)來進(jìn)行設(shè)計(jì),完全符合中國的有關(guān)法律法規(guī)及地方消防管理?xiàng)l例和標(biāo)準(zhǔn),并嚴(yán)格按照如下優(yōu)先級順序:國際標(biāo)準(zhǔn)、規(guī)范國家標(biāo)準(zhǔn)、規(guī)范部頒標(biāo)準(zhǔn)、規(guī)范行業(yè)標(biāo)準(zhǔn)、規(guī)范地方標(biāo)準(zhǔn)、規(guī)范制造商使用的標(biāo)準(zhǔn)、規(guī)范系統(tǒng)設(shè)計(jì)特性本次設(shè)計(jì)按照以下特性進(jìn)行設(shè)計(jì):實(shí)用性:滿足本大樓的辦公自動化和計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)對布線的需求以及能夠適應(yīng)未來技術(shù)的發(fā)展。能滿足話音、數(shù)據(jù)、圖像等多媒體的傳輸要求,支持各種網(wǎng)絡(luò)設(shè)備、通訊協(xié)議,并可與外部網(wǎng)絡(luò)連接。本方案所用的非屏蔽六類系統(tǒng)完全能夠滿足要求。先進(jìn)性:本布線系統(tǒng)具有技術(shù)的超前性,能充分適應(yīng)通信和計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)的發(fā)展,為系統(tǒng)集成綜合管理及辦公自動化打下了堅(jiān)實(shí)的線路基礎(chǔ)。靈活性:為開放式結(jié)構(gòu),能支持話音及多種計(jì)算機(jī)數(shù)據(jù)系統(tǒng),在應(yīng)用上能支持會議電視、多媒體等系統(tǒng)的需要。即任一信息點(diǎn)能夠連接不同類型的設(shè)備,如計(jì)算機(jī)、打印機(jī)、終端或電話以及各種傳感器件、圖像監(jiān)控設(shè)備等。模塊化:布線系統(tǒng)中,除去固定在建筑物內(nèi)的線纜外,其余所有的接插件都是積木式的標(biāo)準(zhǔn)件,以方便管理和擴(kuò)充使用。擴(kuò)充性:布線系統(tǒng)是可擴(kuò)充的,以便將來有更大的發(fā)展時,很容易將設(shè)備擴(kuò)展進(jìn)去。本方案采用樹狀星型結(jié)構(gòu),以支持當(dāng)前和將來各種網(wǎng)絡(luò)的應(yīng)用。經(jīng)過跳線和不同的網(wǎng)絡(luò)設(shè)備,能夠?qū)崿F(xiàn)各種不同邏輯拓?fù)浣Y(jié)構(gòu)的網(wǎng)絡(luò)。標(biāo)準(zhǔn)性:滿足最新、最高的布線系統(tǒng)標(biāo)準(zhǔn)?？煽啃?在設(shè)計(jì)中充分考慮到系統(tǒng)的長期可靠性。經(jīng)濟(jì)性:在滿足應(yīng)用要求的基礎(chǔ)上,盡可能降低造價。兼容性:nexans布線系統(tǒng)是一套全開放式的布線系統(tǒng)。產(chǎn)品選型良好的綜合布線產(chǎn)品和高質(zhì)量的工程施工是智能建筑系統(tǒng)工程的重要環(huán)節(jié)。在辦公大樓的綜合布線系統(tǒng)中,選用的布線產(chǎn)品必須重點(diǎn)滿足高速寬帶網(wǎng)絡(luò)傳輸?shù)囊?以及考慮高可靠性的要求,具有先進(jìn)可靠、易于管理維護(hù)、易于擴(kuò)展等特性,而且能配合中心業(yè)務(wù)網(wǎng)絡(luò)的應(yīng)用發(fā)展和管理,具有長遠(yuǎn)的效益。系統(tǒng)工程范圍我方將按招標(biāo)要求承擔(dān)以下工作:1、本綜合布線系統(tǒng)包括辦公大樓綜合布線系統(tǒng)。2、提供完整的技術(shù)方案、系統(tǒng)配置清單、項(xiàng)目投標(biāo)報(bào)價及系統(tǒng)圖紙等。系統(tǒng)設(shè)計(jì)布線系統(tǒng)是弱電系統(tǒng)數(shù)據(jù)傳遞的基本通道。在布線系統(tǒng)的基礎(chǔ)上,能夠形成遍布整個建筑群的計(jì)算機(jī)網(wǎng)絡(luò)。布線系統(tǒng)是信息系統(tǒng)中最基礎(chǔ)的組成部分,它的性能直接影響到信息系統(tǒng)的性能和壽命。綜合布線系統(tǒng)是建筑物或建筑群內(nèi)的信息傳輸系統(tǒng)。布線系統(tǒng)由不同系列的部件組成,其中包括:傳輸介質(zhì)、線路管理硬件、連接器、插座、插頭、適配器、傳輸電子線路、電器保護(hù)設(shè)備和支持硬件。本次設(shè)計(jì)為辦公大樓進(jìn)行綜合布線系統(tǒng)設(shè)計(jì)?？傮w設(shè)計(jì)考慮本綜合布線系統(tǒng)在系統(tǒng)設(shè)計(jì)處理上充分考慮辦公大樓的宏觀要求和特定功能要求,做出以下的總體設(shè)計(jì)考慮:為充分滿足辦公大樓內(nèi)部及對外高速高容量信息通信的需要,采用高速大容量光纖主干建設(shè)辦公大樓的計(jì)算機(jī)通信網(wǎng)絡(luò)主干,每層配線間至弱電機(jī)房采用1條16芯(62.5/125um)室內(nèi)多模光纖,辦公電腦采用六類非屏蔽雙絞線上配線架,再經(jīng)過網(wǎng)絡(luò)跳線連接到接入交換機(jī)。語音主干采用三類大對數(shù)銅纜,完全滿足用戶使用要求及將來擴(kuò)容需求。大樓地上12層,地下1層,弱電機(jī)房設(shè)置在2層,所有接入交換機(jī)經(jīng)過光纖連接到核心交換機(jī),再經(jīng)過防火墻,連通互聯(lián)網(wǎng)。系統(tǒng)結(jié)構(gòu)圖參見附件<結(jié)構(gòu)化綜合布線系統(tǒng)結(jié)構(gòu)圖>信息點(diǎn)分布根據(jù)招標(biāo)書要求和圖紙,本次綜合布線系統(tǒng)的信息點(diǎn)總數(shù)為216個。詳細(xì)的信息點(diǎn)分布如下表所示:樓層半球攝像機(jī)槍型攝像機(jī)2TOWTOTV-106430111017372100193435016324501632550153265016347501532850153295015321050153211501532機(jī)房01200合計(jì)6671803631弱電機(jī)房語音、數(shù)據(jù)總配線間MDF位于二層弱電機(jī)房,設(shè)備間子系統(tǒng)是由設(shè)備間中的UPS、精密空調(diào)、配線架及機(jī)柜、防雷電保護(hù)裝置、交換機(jī)及數(shù)據(jù)存儲和處理設(shè)備等構(gòu)成。樓層配線間每層設(shè)置一個弱電間,由光纖配線架和網(wǎng)絡(luò)配線架、機(jī)柜、交換機(jī)等構(gòu)成布線系統(tǒng)的性能指標(biāo)非屏蔽六類布線系統(tǒng)應(yīng)滿足千兆、百兆到桌面的網(wǎng)絡(luò)傳輸,參考各種最新的國際標(biāo)準(zhǔn),確定其主要性能指標(biāo)如下:非屏蔽六類布線系統(tǒng)的技術(shù)指標(biāo)非屏蔽六類布線系統(tǒng)應(yīng)滿足ClassE的鏈路技術(shù)性能指標(biāo)和信道性能,要求水平雙絞線系統(tǒng)的綜合性能應(yīng)超過ISO11801的ClassE的應(yīng)用。所組成的布線系統(tǒng)的各種鏈路應(yīng)超過ISO11801的ClassE的鏈路。水平配線電纜為非屏蔽六類非屏蔽阻燃型電纜。滿足或高于ISO11801的技術(shù)性能要求,其主要技術(shù)指標(biāo)如下:非屏蔽六類水平4對雙絞線電纜頻率(MHz)PairtoPairNEXTPSNEXTPSELFEXTReturnLossChannelPSACRPairtoPairACR1-84.1-81-74-30.080834-72.0-69.0-62-30.071748-66.0-63.0-56.0-30.0636510-64.1-61.0-54.0-30.0626416-59.9-56.9-49.9-30.0555720-58-55-48-30.0535425-56.1-53.1-46.1-30.0505231.25-54.1-51.1-44.1-30.0475062.5-48.1-45.1-38.1-25.13636100-44-41-34-21.02829155-40.2-37.2-30.2-17.21719175-39.2-36.2-29.2-16.11517200-38-35-28-151113250-36.1-33.1-26.1-1356信息插座、配線模塊、轉(zhuǎn)換接頭和交叉連接配線架等連接硬件必須滿足或高于ISO11801所提出的要求。信息插座為耐克森系列非屏蔽六類RJ45型插座。所有配線面板必須是19”模塊化部件,能夠方便地安裝在19”標(biāo)準(zhǔn)機(jī)柜中。該機(jī)柜應(yīng)具有玻璃門(帶鎖),后門和側(cè)門可拆卸,帶交流電源插座和風(fēng)扇。非屏蔽六類非屏蔽測試節(jié)選如下:光纖系統(tǒng)的性能指標(biāo)光纖鏈路應(yīng)符合ISO118017.3節(jié)的技術(shù)性能要求。光纖系統(tǒng)技術(shù)指標(biāo):垂直主干光纖為8芯62.5/125m多模光纖,符合ISO11801技術(shù)性能要求,其主要技術(shù)指標(biāo)如下:波長EIA/TIA568A標(biāo)準(zhǔn)最大值ISO11801標(biāo)準(zhǔn)最大值IBDN規(guī)格最大值850nm3.75dB/km3.5dB/km3.0dB/km1300nm1.50dB/km1.0dB/km0.8dB/km基本結(jié)構(gòu)根據(jù)國際標(biāo)準(zhǔn)(ISO/IEC11801)的設(shè)計(jì)原則,本布線系統(tǒng)將由工作區(qū)子系統(tǒng)、水平子系統(tǒng)、管理子系統(tǒng)、垂直干線子系統(tǒng)、設(shè)備間子系統(tǒng)構(gòu)成。在本方案中充分考慮了布線系統(tǒng)的高度可靠性、高速率傳輸特性及可擴(kuò)充性。本方案所采用的布線系統(tǒng)中各子系統(tǒng)劃分示意圖本方案所采用的布線系統(tǒng)中各子系統(tǒng)劃分示意圖工作區(qū)子系統(tǒng)工作區(qū)子系統(tǒng)是最終用戶的辦公區(qū)域,主要指信息插座及連接設(shè)備的端接跳線器件。工作區(qū)子系統(tǒng)是最終用戶的辦公區(qū)域,主要指信息插座及連接設(shè)備的端接跳線器件。工作區(qū)子系統(tǒng)示意圖本方案對各樓層工作區(qū)子系統(tǒng)的信息插座均采用國標(biāo)86型預(yù)埋盒暗裝敷設(shè),并采用標(biāo)準(zhǔn)單口面板和雙孔面板,所有面板都配有標(biāo)簽與透明標(biāo)簽護(hù)套。信息插座:本系統(tǒng)數(shù)據(jù)點(diǎn)和語音點(diǎn)選用耐克森非屏蔽六類非屏蔽信息插座模塊,數(shù)據(jù)模塊為采用RJ45標(biāo)準(zhǔn)插座并帶有防塵蓋板。所有信息插座都是模塊化的,并配有防塵蓋,防止因?yàn)榛覊m積累令插座接觸點(diǎn)的傳輸功能減低。防塵蓋在配置數(shù)量上與模塊數(shù)量一致,一個模塊端接一條4對UTP線纜,一個雙孔信息面板安裝兩個模塊。具體配置數(shù)量見材料清單。模塊及防塵面板示意圖如下:Cat.6模塊ACS防塵面板非屏蔽六類模塊的特性與益處:150MHz可用帶寬保證比提議的非屏蔽六類標(biāo)準(zhǔn)更多的裕量專利技術(shù)提供長期的可靠性和穩(wěn)定性獨(dú)特的通用IDC端接塊允許使用BIX,110或Krone工具一線式IDC端接界面配合快捷的線對分離設(shè)計(jì)方便安裝于各類安裝環(huán)境易辯的568A/B色碼布置防治端接錯誤透明保護(hù)帽緩解端接線正確拉力同時能夠檢查端接水平子系統(tǒng)水平子干線系統(tǒng)的作用是將主干子系統(tǒng)的線路延伸到用戶工作區(qū)子系統(tǒng)。水平子系統(tǒng)中數(shù)據(jù)點(diǎn)和語音點(diǎn)的水平線纜選用耐克森非屏蔽六類非屏蔽雙絞線,能滿足語音、圖形、影像等多媒體信息和低、高速數(shù)據(jù)傳輸要求?？蓪?shí)現(xiàn)數(shù)據(jù)、語音點(diǎn)互換。系統(tǒng)帶寬大于150Mhz的高帶寬傳輸。設(shè)計(jì)最大傳輸距離為100米,線從配線架至最遠(yuǎn)端工作區(qū)端口的距離不超過90米(因?yàn)榕渚€架跳線和終端設(shè)備接線扣去10米)。每一個信息插座到管理間都用水平非屏蔽六類線纜連接。從管理間出來的每一根布線遵循下列標(biāo)準(zhǔn):用顏色標(biāo)記;EIA/TIA-568<民用建筑通信標(biāo)準(zhǔn)>;非屏蔽六類雙絞線支持?jǐn)?shù)據(jù)、語音及多媒體應(yīng)用。每根布線穿PVC線管,沿最近路徑從吊頂內(nèi)進(jìn)金屬橋架。水平線槽水平線槽(內(nèi)穿水平線)信息插座(包括面板、模塊和PVC盒)每個插孔功能可任意由電話、計(jì)算機(jī)引出的RJ45接頭辦公間隔段水平子系統(tǒng)示意圖非屏蔽六類的要求傳輸性能:優(yōu)點(diǎn):最寬的頻帶寬度和余量,可用于”嚴(yán)酷”的應(yīng)用,或噪聲的環(huán)境中。對于同時傳送的并行傳輸協(xié)議,優(yōu)化了其傳輸參數(shù)的平衡性。規(guī)格小,適合小型安裝。采用LCL均衡控制,降低電磁干擾,消除噪音。采用高品質(zhì)零部件,提供25年質(zhì)量保證。管理子系統(tǒng)管理子系統(tǒng)涉及各樓層的電腦/電話的配線管理,設(shè)計(jì)中充分考慮到今后綜合業(yè)務(wù)的發(fā)展,因此在管理子系統(tǒng)(含弱電井道)設(shè)有垂直主干的光纖配線箱、電腦的快接式跳線架和電話的壓接式配線架。管理子系統(tǒng)示意圖各配線間采用非屏蔽六類及110配線架,可為多系統(tǒng)應(yīng)用提供最大靈活性。對不同的區(qū)域采用標(biāo)準(zhǔn)顏色標(biāo)記。管理子系統(tǒng)由交連、互連配線架組成。管理點(diǎn)為連接其它子系統(tǒng)提供連接手段。交連和互連允許將通訊線路定位或重定位到建筑物的不同部分,以便能更容易地管理通信線路。使在移動終端設(shè)備時能方便地進(jìn)行插拔。配線架是一種高性能的,配置靈活,且性價比極好的機(jī)架式配線架,易于在19”機(jī)柜中安裝。19英寸24RJ45模塊化配線盤光纖配線架管理:多模光纖配線架選用體積小、安裝簡便、便于維護(hù)的機(jī)架式配線架。同時考慮到綜合布線系統(tǒng)建成后的通用性和靈活性,并滿足用戶的要求,配線架中采用SC光纖耦合器模塊,設(shè)計(jì)采用國產(chǎn)的結(jié)構(gòu)化、模塊化的12/24口機(jī)架式配線。電話配線架管理:考慮到綜合布線系統(tǒng)的整體性、安裝的方便整齊和日后網(wǎng)絡(luò)設(shè)備的安裝,所有管理子系統(tǒng)的配線架產(chǎn)品均選用19”工業(yè)標(biāo)準(zhǔn)的部件,進(jìn)行統(tǒng)一安裝(安裝在19”標(biāo)準(zhǔn)設(shè)備柜內(nèi))、統(tǒng)一管理。語音的垂直線纜在IDF中的端接采用國產(chǎn)的BIX系統(tǒng),用來端接垂直的3類100對大對數(shù)電纜。垂直主干子系統(tǒng) 本子系統(tǒng)是實(shí)現(xiàn)計(jì)算機(jī)設(shè)備、程控交換機(jī)(PABX)、控制中心的設(shè)備子系統(tǒng)與各管理子系統(tǒng)間的連接,常見介質(zhì)是大對數(shù)雙絞線電纜、光纜。垂直主干子系統(tǒng)示意圖本系統(tǒng)中選用8芯62.5/125m多模室內(nèi)光纖作為大樓的數(shù)據(jù)主干(4*2根非屏蔽六類雙絞線做外網(wǎng)主干)。選用室內(nèi)3類100對大對數(shù)雙絞線電纜作為大樓話音主干。分別從四樓中心機(jī)房引至二樓、四樓、六樓、八樓配線間。產(chǎn)品說明:綜合布線系統(tǒng)的數(shù)據(jù)主干線纜采用國產(chǎn)立孚(62.5/125m)六芯室內(nèi)多模光纖。對于語音的主干,我們采用國產(chǎn)3類大對數(shù)電纜來作為主干。設(shè)備間子系統(tǒng)光纖主干配線采用19英寸機(jī)架安裝式12/24口架裝光纖配線架。配置工業(yè)標(biāo)準(zhǔn)19英寸42U規(guī)格密封式玻璃門機(jī)柜,配標(biāo)準(zhǔn)電源插座和散熱風(fēng)扇,用于放置配線設(shè)備和網(wǎng)絡(luò)設(shè)備。12/24口光配線架 語音主干配線架(遠(yuǎn)端配線架)上端接了通往各個樓層配線架的大對數(shù)電纜。為了更利于與電話交換機(jī)的協(xié)調(diào)和配合,此次設(shè)計(jì)中不包含電話交換機(jī)的近端配線架(電話交換機(jī)的配線架、電話進(jìn)線配線架),該配線架將由電話交換機(jī)供應(yīng)商提供。大樓中心機(jī)房設(shè)在大樓的二層,需要放置辦公大樓外部網(wǎng)絡(luò)的核心設(shè)備,并接入電話和其它通信系統(tǒng)。用戶設(shè)備與布線系統(tǒng)的連接電話系統(tǒng)與布線系統(tǒng)的連接電話系統(tǒng)使用的標(biāo)準(zhǔn)插頭為RJ11插頭,可直接插入由布線系統(tǒng)提供的標(biāo)準(zhǔn)RJ45插座內(nèi)。其連接步驟是:在電話機(jī)的輸出線端裝上RJ11插頭。然后,將其插入布線系統(tǒng)提供的雙孔信息插座或單孔信息插座上。一個信息插座孔可輸出8PIN,因此,其最大容量可裝4部電話。在擴(kuò)容時,必須由工程技術(shù)人員對插座進(jìn)行配線,在主、分配線架上進(jìn)行跳線,將水平線路和與PBX相連的線路連接起來。需要指出的是,在PBX連接時,外線不經(jīng)過PBX,直接上主配線架、分配線架,使之成為直撥電話線路。而中繼線經(jīng)過PBX與內(nèi)線連接,內(nèi)線再上主從配線架,構(gòu)成分機(jī)電話線路。計(jì)算機(jī)網(wǎng)絡(luò)與布線系統(tǒng)的連接計(jì)算機(jī)與布線系統(tǒng)的連接時,需待鋪設(shè)布線系統(tǒng)后,在計(jì)算機(jī)擴(kuò)展槽上插上網(wǎng)卡。如果網(wǎng)卡的接口不是雙絞線接口,則還需配備從該種接口至RJ45的轉(zhuǎn)換器,然后用一條兩端配有RJ45插頭的線纜分別插在網(wǎng)卡輸出端的RJ45插孔和信息插座上。在擴(kuò)容時,同樣要由工程技術(shù)人員對插座進(jìn)行配線,在主、從配線架上進(jìn)行跳線。對計(jì)算機(jī)網(wǎng)絡(luò)的考慮本綜合布線系統(tǒng)是為計(jì)算機(jī)網(wǎng)絡(luò)和電話系統(tǒng)而設(shè)計(jì)的,因此在設(shè)計(jì)時我公司已經(jīng)對大樓可能使用的計(jì)算機(jī)網(wǎng)絡(luò)和電話系統(tǒng)進(jìn)行了認(rèn)真地分析和討論?，F(xiàn)匯報(bào)如下:計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)布線系統(tǒng)在某種意義上是網(wǎng)絡(luò)系統(tǒng)的工藝實(shí)現(xiàn)。根據(jù)對招標(biāo)書的分析,在本方案中,對計(jì)算機(jī)網(wǎng)絡(luò)設(shè)備的考慮如下:主干計(jì)算機(jī)網(wǎng)絡(luò)將使用千兆以太網(wǎng)(光纖網(wǎng)),以提高整個計(jì)算機(jī)系統(tǒng)的傳輸速率。所采用的標(biāo)準(zhǔn)機(jī)柜同樣能夠安裝網(wǎng)絡(luò)設(shè)備。需要專門為網(wǎng)絡(luò)設(shè)備準(zhǔn)備跳線管理器的空間,使網(wǎng)絡(luò)設(shè)備上的跳線能夠沿著給定的路線行進(jìn),使整體造型美觀,減少因跳線互相纏繞而引起電纜損壞,并影響對網(wǎng)絡(luò)設(shè)備上各種指示燈的觀察。管線設(shè)計(jì)方案綜合考慮根據(jù)大樓平面圖,綜合布線系統(tǒng)所配套的橋架和管道將按以下考慮布局:垂直橋架的作用是提供弱電豎井內(nèi)垂直干線的通道。這部分在每層樓的各配線機(jī)柜旁,經(jīng)過橋架將光纜和電話用電纜引出,進(jìn)入弱電管道間的配線機(jī)柜內(nèi)。電纜井的位置應(yīng)設(shè)在靠近支持電纜的墻壁附近。垂直線纜經(jīng)過垂直橋架貫通整個大樓。水平線纜經(jīng)過各層走廊上方吊頂內(nèi)的水平橋架進(jìn)入各個房間。在房間內(nèi),將根據(jù)實(shí)際情況,使用PVC電線管。各配線機(jī)房內(nèi),將鋪設(shè)金屬線槽,將水平橋架、垂直橋架和配線機(jī)柜(包括電話主配線架)連接起來。具體設(shè)計(jì)參見結(jié)構(gòu)化綜合布線系統(tǒng)各平面圖橋架設(shè)計(jì)方案垂直橋架安裝在弱電豎井內(nèi),自下而是,貫通整個大樓。橋架應(yīng)固定在墻面上,要求橋架為全密封結(jié)構(gòu),可經(jīng)過鎖扣開啟蓋子,橋架之間經(jīng)過配套的連接片和螺栓連接。橋架底面要求沖穿線環(huán),提供能夠固定線纜的支架,以免線纜因重力損傷。根據(jù)布線標(biāo)準(zhǔn),要求每隔600mm高度沖一排(每排均布4個穿線環(huán)),見圖5.1。要求沒有毛刺。垂直橋架要與各層的水平橋架連接,而且要與各樓層配線間的橋架連接。根據(jù)綜合布線系統(tǒng)的穿線工藝,要求橋架的內(nèi)截面尺寸應(yīng)大于所穿線纜截面積之和的3倍。橋架轉(zhuǎn)彎處應(yīng)采用弧線形彎頭或折線型彎頭,以免發(fā)生線。橋架連接處要求經(jīng)過接地線彼此連接。橋架施工時間應(yīng)在內(nèi)裝潢期間,與強(qiáng)電工程同步進(jìn)行。本次橋架規(guī)格為250*150*1.2水平子系統(tǒng)管線方案水平管線是大樓內(nèi)信息系統(tǒng)的血管。根據(jù)圖紙,水平電纜(包括光纖)從每層配線間引出后,先沿走廊吊頂內(nèi)的主電纜橋架敷設(shè)至各個設(shè)有信息點(diǎn)的房間,再由各房間吊頂內(nèi)的分路橋架和或PVC線槽,將電纜引到墻上暗裝的信息插座內(nèi)。為確保線路的安全,應(yīng)使管線有良好的接地端。金屬線槽、金屬軟管、電纜橋架及各配線機(jī)柜均需整體連接,然后接地。由于內(nèi)裝潢與弱電管線之間有著密切的關(guān)聯(lián),需要獲得安裝公司的大力支持,例如隔斷內(nèi)是否有橫檔、弱電管線與強(qiáng)電管線的交叉、在剪力墻上不能動大手術(shù)、在玻璃隔斷上不能穿線、部分柱子要剔槽或外包裝、某些垂直橋架要安裝假柱子等等,因此有關(guān)管線的實(shí)際走向有待于與內(nèi)裝潢工程的承包商商談后,再提供準(zhǔn)確的管線方案。對管路的要求金屬橋架用來安放和引導(dǎo)電纜,并起到機(jī)械保護(hù)的作用。同時還提供了一個防火、密封、緊固的空間使線纜能夠安全地延伸到目的地,并為今后維護(hù)和擴(kuò)充提供方便。橋架材料均為冷軋鋼板,表面鍍鋅。管線施工單位要求能夠根據(jù)國家標(biāo)準(zhǔn),確保電纜鋪設(shè)的可能性,清除管內(nèi)毛刺和垃圾,并在管內(nèi)留有穿線所需的引導(dǎo)鋼絲。為了確保穿線順利,在電線管排放中,施工單位應(yīng)根據(jù)建筑規(guī)范在管線分支、連接、轉(zhuǎn)彎處設(shè)過線盒。根據(jù)綜合布線系統(tǒng)的施工要求,每根電纜的轉(zhuǎn)彎半徑要求為其電纜外徑的8-10倍。因此,吊頂內(nèi)橋架在轉(zhuǎn)彎或分路處均應(yīng)設(shè)置45。轉(zhuǎn)角,在管線轉(zhuǎn)彎處不能拐死角,轉(zhuǎn)彎半徑>10cm。水平線槽和豎井梯架連接處,及水平線槽和管線各連接處須配以相應(yīng)規(guī)格的分支附件,不能斷接,以保證線路路由的彎曲自如以及線路的安全。若管線長度不夠,需加套管時,應(yīng)加外套,不能加內(nèi)套。在個別地方不能經(jīng)過PVC槽時,可用軟管連接,軟管內(nèi)徑不能小于PVC管內(nèi)徑。所有橋架在線纜安裝完畢后,全部要求使用鎖扣封閉,以防鼠害。為確保線路安全,應(yīng)使橋架有良好的接地端。金屬橋架、金屬管均需整體連接,并在本樓層內(nèi)接地(強(qiáng)電保護(hù)地)。接地線截面積不小于6平方毫米。所有PVC電線管均用鎖扣與橋架連接。為防止電磁干擾,信息線纜線路與強(qiáng)電線路平行走向之間距離不能小于如下距離:<2KVA2-5KVA>5KVA127mm305mm610mm信息插座底盒此次使用的信息插座底盒全部為國標(biāo)86型PVC盒。由于辦公家具的情況不明,暫定所有底盒的底面距地面高度為300mm。在各信息插座處應(yīng)在墻內(nèi)預(yù)埋國標(biāo)86型PVC盒,各PVC盒與墻內(nèi)管路應(yīng)連接良好,不能斷接。信息插座距離強(qiáng)電插座應(yīng)該大于20cm。

網(wǎng)絡(luò)系統(tǒng)建設(shè)目標(biāo)本著以用為主的目標(biāo),網(wǎng)絡(luò)建成后可實(shí)現(xiàn)集中統(tǒng)一網(wǎng)管。網(wǎng)絡(luò)性能應(yīng)能實(shí)現(xiàn)高帶寬、高數(shù)據(jù)分發(fā)速率,能滿足易用、高服務(wù)質(zhì)量、無阻塞等使用要求。整網(wǎng)還要具有可靠性、堅(jiān)固性、良好的擴(kuò)展能力、強(qiáng)大的管理能力以及擁塞控制和服務(wù)質(zhì)量保證等一系列良好的性能。大樓局域網(wǎng)采用星型二級結(jié)構(gòu),包括核心層和接入層。主干采用光纖,三層千兆交換到桌面。大樓局域網(wǎng)采用萬兆雙機(jī)互連的方式,各接入層交換機(jī)經(jīng)過萬兆多模光纖與兩臺核心交換機(jī)互連(實(shí)現(xiàn)雙歸屬)。局域網(wǎng)重要服務(wù)器和服務(wù)器區(qū)交換機(jī)相聯(lián)。設(shè)計(jì)原則計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)設(shè)計(jì)必須適應(yīng)信息化各項(xiàng)應(yīng)用,又可面向未來信息化發(fā)展的需要,因此必須是高質(zhì)量的。在設(shè)計(jì)網(wǎng)絡(luò)時,需要遵循以下原則:(1)實(shí)用性和先進(jìn)性采用先進(jìn)成熟的技術(shù)滿足辦公大樓大規(guī)模數(shù)據(jù)業(yè)務(wù)需求,兼顧其它相關(guān)的管理需求,盡可能采用先進(jìn)的網(wǎng)絡(luò)技術(shù)以適應(yīng)更高的數(shù)據(jù)、語音、視頻(多媒體)的傳輸需要,使整個系統(tǒng)在相當(dāng)一段時期內(nèi)保持技術(shù)的先進(jìn)性,以適應(yīng)未來信息化的發(fā)展的需要。(2)安全可靠性為保證各項(xiàng)業(yè)務(wù)應(yīng)用,網(wǎng)絡(luò)必須具有高可靠性,盡量避免系統(tǒng)的單點(diǎn)故障。要對網(wǎng)絡(luò)結(jié)構(gòu)、網(wǎng)絡(luò)設(shè)備、服務(wù)器設(shè)備等各個方面進(jìn)行高可靠性的設(shè)計(jì)和建設(shè)。在采用硬件備份、冗余等可靠性技術(shù)的基礎(chǔ)上,采用相關(guān)的軟件技術(shù)提供較強(qiáng)的管理機(jī)制、控制手段和事故監(jiān)控與網(wǎng)絡(luò)安全保密等技術(shù)措施提高整個網(wǎng)絡(luò)系統(tǒng)的安全可靠性。(3)靈活性和可擴(kuò)展性計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)是一個不斷發(fā)展的系統(tǒng),因此它必須具有良好的靈活性和可擴(kuò)展性,能夠根據(jù)辦公大樓信息系統(tǒng)不斷深入發(fā)展的需要,方便的擴(kuò)展網(wǎng)絡(luò)覆蓋范圍、擴(kuò)大網(wǎng)絡(luò)容量和提高網(wǎng)絡(luò)的各層次節(jié)點(diǎn)的功能。具備支持多種通信媒體、多種物理接口的能力,提供技術(shù)升級、設(shè)備更新的靈活性。(4)開放性和互連性具備與多種協(xié)議計(jì)算機(jī)通信網(wǎng)絡(luò)互連互通的特性,確保本計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)的基礎(chǔ)設(shè)施的作用能夠充分的發(fā)揮。在結(jié)構(gòu)上真正實(shí)現(xiàn)開放,基于開放式標(biāo)準(zhǔn),包括各種局域網(wǎng)、廣域網(wǎng)、計(jì)算機(jī)等,堅(jiān)持統(tǒng)一規(guī)范的原則,從而為未來的發(fā)展奠定基礎(chǔ)。(5)經(jīng)濟(jì)性和投資保護(hù)應(yīng)以較高的性能價格比構(gòu)建本計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng),使資金的產(chǎn)出投入比達(dá)到最大值。能以較低的成本、較少的人員投入來維持系統(tǒng)運(yùn)轉(zhuǎn),提供高效能與高效益。盡可能保留延長已有系統(tǒng)的投資,充分利用以往在資金與技術(shù)方面的投入。網(wǎng)絡(luò)設(shè)計(jì)思路(1)模塊化設(shè)計(jì)辦公大樓數(shù)據(jù)點(diǎn)比較多,網(wǎng)絡(luò)規(guī)模較大,網(wǎng)絡(luò)建成后不同的數(shù)據(jù)點(diǎn)實(shí)現(xiàn)不同的功能,除大部分辦公數(shù)據(jù)點(diǎn)外,還存在連接服務(wù)器的數(shù)據(jù)點(diǎn)、網(wǎng)絡(luò)維護(hù)接入點(diǎn)等等,其功能的不同決定了不同的數(shù)據(jù)點(diǎn)對網(wǎng)絡(luò)的要求和網(wǎng)絡(luò)設(shè)計(jì)中考慮的因素不同。當(dāng)某部分功能要求有所變化時,也只需要針對相應(yīng)的功能模塊進(jìn)行重新設(shè)計(jì)和改造升級,對網(wǎng)絡(luò)的其它組成模塊和網(wǎng)絡(luò)的主干沒有任何影響?；谶@些優(yōu)勢,辦公大樓局域網(wǎng)的設(shè)計(jì)采用模塊化的設(shè)計(jì)模式,當(dāng)前主要考慮:核心交換模塊、樓層接入模塊、服務(wù)器群模塊等三大模塊。(2)高可靠性網(wǎng)絡(luò)系統(tǒng)應(yīng)具有高可靠性、高安全性。除了采用高可靠性的網(wǎng)絡(luò)設(shè)備以外還應(yīng)考慮物理層、數(shù)據(jù)鏈路層和網(wǎng)絡(luò)層的備份。(3)高性能在辦公大樓局域網(wǎng)絡(luò)中,不但要求網(wǎng)絡(luò)主干是高帶寬的,作為一個整體的系統(tǒng),網(wǎng)絡(luò)應(yīng)具有可控的智能化的高性能。也就是說,網(wǎng)絡(luò)中以太網(wǎng)(100M/1G/10Gbps)連接的節(jié)點(diǎn)之間的交換,不論它們的VLAN屬性如何,我們都能夠控制它在本地交換機(jī)交換或經(jīng)過千兆以太網(wǎng)主干進(jìn)行交換。(4)可擴(kuò)展性和升級性系統(tǒng)要具有高可擴(kuò)展性和升級性,隨著業(yè)務(wù)的增長和應(yīng)用水平的提高,網(wǎng)絡(luò)中的數(shù)據(jù)和信息流將按指數(shù)增長,需要網(wǎng)絡(luò)有很好的可擴(kuò)展性,并能隨著技術(shù)的發(fā)展不斷升級。(5)標(biāo)準(zhǔn)協(xié)議支持網(wǎng)絡(luò)系統(tǒng)應(yīng)支持標(biāo)準(zhǔn)協(xié)議IP,是一個開放型的網(wǎng)絡(luò),支持各種協(xié)議的互聯(lián)。(6)易管理、易維護(hù)由于辦公大樓網(wǎng)絡(luò)系統(tǒng)規(guī)模較大,需要網(wǎng)絡(luò)系統(tǒng)具有良好的可管理性,網(wǎng)管系統(tǒng)具有流量監(jiān)測、故障診斷、故障隔離、過濾設(shè)置等功能,以便于系統(tǒng)的管理和維護(hù)。同時應(yīng)盡可能選取集成度高、模塊可通用的產(chǎn)品,以便于管理和維護(hù)。(7)安全性網(wǎng)絡(luò)系統(tǒng)應(yīng)具有良好的安全性。由于辦公大樓局域網(wǎng)為多個用戶內(nèi)部網(wǎng)提供互聯(lián)并支持多種業(yè)務(wù),網(wǎng)絡(luò)系統(tǒng)應(yīng)支持多VLAN的劃分,并能在VLAN之間進(jìn)行第三層交換時進(jìn)行有效的安全控制,以保證系統(tǒng)的安全性。(8)QoS保證當(dāng)今網(wǎng)絡(luò)中的多媒體的應(yīng)用越來越多,這類應(yīng)用對服務(wù)質(zhì)量的要求較高。辦公大樓局域網(wǎng)應(yīng)能保證QoS,以支持這類應(yīng)用。由于網(wǎng)絡(luò)中多媒體的應(yīng)用,如VideoConference、VOD等越來越多,往往會占用大量的帶寬資源。因此網(wǎng)絡(luò)系統(tǒng)應(yīng)能支持IPMulticast,以節(jié)省主干的帶寬。(9)符合國際標(biāo)準(zhǔn)選用符合國際標(biāo)準(zhǔn)的系統(tǒng)和產(chǎn)品,能夠保證系統(tǒng)具有較長的生命力和擴(kuò)展能力,滿足將來系統(tǒng)升級的要求。網(wǎng)絡(luò)平臺的可靠特性和冗余特性;網(wǎng)絡(luò)協(xié)議的標(biāo)準(zhǔn)性和可擴(kuò)展特性;充分考慮局域網(wǎng)安全特性;充分考慮網(wǎng)絡(luò)的高速和高運(yùn)行效率;充分利用現(xiàn)有網(wǎng)絡(luò)線路資源;統(tǒng)一的網(wǎng)絡(luò)管理。網(wǎng)絡(luò)結(jié)構(gòu)設(shè)計(jì)1、辦公大樓局域網(wǎng)采用雙核心、二層扁平結(jié)構(gòu)本次樓層交換機(jī)提供大量信息點(diǎn)的接入。因此在整網(wǎng)配置兩臺核心交換機(jī)作為整個網(wǎng)絡(luò)的核心交換節(jié)點(diǎn),避免了單點(diǎn)故障對整網(wǎng)的影響范圍,從而提高了整個網(wǎng)絡(luò)的安全性。辦公大樓信息點(diǎn)多、網(wǎng)絡(luò)帶寬需求大,同時又具有信息點(diǎn)地址位置集中的特點(diǎn),為此建議采用兩層扁平化網(wǎng)絡(luò)體系結(jié)構(gòu)進(jìn)行網(wǎng)絡(luò)規(guī)劃建設(shè)。所謂兩層扁平化體系結(jié)構(gòu)是相對業(yè)務(wù)標(biāo)準(zhǔn)的三層網(wǎng)絡(luò)體系結(jié)構(gòu)而言,去掉中間的匯聚層只保留核心層與接入層兩個層次來進(jìn)行網(wǎng)絡(luò)體系構(gòu)建。扁平化體系結(jié)構(gòu)具有多、快、好、省的優(yōu)點(diǎn),”多”是指能夠接入較多用戶、提供多種業(yè)務(wù)的特點(diǎn),”快”是指由于去掉了匯聚層從而網(wǎng)絡(luò)建設(shè)與業(yè)務(wù)部署更快速,”好”是指網(wǎng)絡(luò)層次簡單明了,便于管理和維護(hù),今后在網(wǎng)絡(luò)規(guī)模擴(kuò)大時直接把現(xiàn)有的核心層下移或者在兩層體系中間插入?yún)R聚層就能夠?qū)崿F(xiàn)網(wǎng)絡(luò)的平滑擴(kuò)容,同時由于網(wǎng)絡(luò)層次的簡單,網(wǎng)絡(luò)穩(wěn)定性增強(qiáng),單點(diǎn)故障減少,能夠提供一個穩(wěn)定高效的局域網(wǎng)絡(luò),”省”是指去掉匯聚層之后網(wǎng)絡(luò)投資得到明顯減少,既能夠滿足用戶業(yè)務(wù)需求,又減少了用戶的投資。在傳統(tǒng)的局域網(wǎng)或是廣域網(wǎng)組網(wǎng)結(jié)構(gòu)中,考慮區(qū)域匯聚以及減輕核心層設(shè)備壓力,一般會采用三層結(jié)構(gòu)。可是從安全可靠性考慮,減少單點(diǎn)故障點(diǎn),本次辦公大樓局域網(wǎng)采用二層網(wǎng)絡(luò)扁平化結(jié)構(gòu)。2、樓層交換機(jī)采用高密度的千兆電口三層交換機(jī)在樓層交換機(jī)的選擇上考慮采用千兆電接口三層交換機(jī),主要是體現(xiàn)高帶寬、高安全的優(yōu)點(diǎn):千兆三層到桌面一個最直接的優(yōu)點(diǎn)就是帶寬大。用戶的接入不在只是百兆帶寬,現(xiàn)在能夠經(jīng)過千兆直接接入網(wǎng)絡(luò),提供10倍與原來的帶寬。有了高帶寬,應(yīng)用業(yè)務(wù)的開展將更為方便與靈活,數(shù)據(jù)、語音、視頻等多種業(yè)務(wù)在新的高帶寬網(wǎng)絡(luò)中將得到充裕的帶寬保證。千兆到桌面之后,同一個樓層內(nèi)的用戶之間能夠?qū)崿F(xiàn)千兆交換,充分發(fā)揮網(wǎng)絡(luò)帶寬高的優(yōu)勢,開展多種豐富的IP網(wǎng)絡(luò)業(yè)務(wù),包括數(shù)據(jù)業(yè)務(wù)、視頻業(yè)務(wù)等,屆時網(wǎng)絡(luò)帶寬問題得到徹底解決,用戶業(yè)務(wù)的開展將不必再為網(wǎng)絡(luò)帶寬不足問題精打細(xì)算。網(wǎng)絡(luò)整體安全性提高。經(jīng)過三層到桌面的方式,整個網(wǎng)絡(luò)中將不再有二層報(bào)文,二層攻擊事件徹底杜絕,設(shè)備與設(shè)備之間的級連鏈路上將只有三層報(bào)文流通,極大提高了網(wǎng)絡(luò)帶寬的利用率與網(wǎng)絡(luò)的安全性。后期業(yè)務(wù)資源預(yù)留性大,投資有效期長。高帶寬的網(wǎng)絡(luò)不但能夠滿足當(dāng)前的網(wǎng)絡(luò)業(yè)務(wù)需求,而且充分的帶寬為今后新興業(yè)務(wù)的開展打好基礎(chǔ),甚至能夠經(jīng)過網(wǎng)絡(luò)資源推動業(yè)務(wù)的改革與發(fā)展。3、大容量的樓層接入交換機(jī)采用高帶寬鏈路上行對于辦公大樓網(wǎng)絡(luò),根據(jù)各樓層信息點(diǎn)數(shù)量情況,接入層交換機(jī)采用萬兆雙上聯(lián)至核心交換機(jī),終端接入采用千兆三層到桌面。4、局域網(wǎng)交換機(jī)采用最長匹配、逐包轉(zhuǎn)發(fā)機(jī)制當(dāng)前如”紅色代碼”、”沖擊波”等網(wǎng)絡(luò)病毒在進(jìn)行攻擊時,基本上都是IP地址在同一個網(wǎng)段內(nèi)遞減或遞增的方式,而當(dāng)前大多數(shù)交換機(jī)都是采用逐包進(jìn)行精確匹配,這樣的話在很短的時間內(nèi)交換機(jī)CPU的占有率就會達(dá)到飽和,出現(xiàn)宕機(jī)甚至是死機(jī)的現(xiàn)象。而采用最長匹配、逐包轉(zhuǎn)發(fā)的方式,能夠有效的抗擊網(wǎng)絡(luò)”紅色代碼”、”沖擊波”等病毒的攻擊,更加適合大規(guī)模、多業(yè)務(wù),復(fù)雜流量訪問的網(wǎng)絡(luò)。網(wǎng)絡(luò)設(shè)備選型(1)核心層設(shè)備選型網(wǎng)絡(luò)中心的核心交換機(jī)是整個網(wǎng)絡(luò)的交換中心,同時也是整網(wǎng)(LAN)的路由中心,全網(wǎng)絕大部分第三層操作(數(shù)據(jù)轉(zhuǎn)發(fā)、服務(wù)器區(qū)數(shù)據(jù)轉(zhuǎn)發(fā))都經(jīng)過核心交換機(jī)集中進(jìn)行,其有效性經(jīng)過兩臺核心交換機(jī)全線速的多層處理性能以及骨干網(wǎng)的高帶寬(10GE)來實(shí)現(xiàn)保證。因此核心交換機(jī)必須具備以下功能:先進(jìn)的體系結(jié)構(gòu):采用全分布式體系結(jié)構(gòu)設(shè)計(jì),可進(jìn)行高速路由查找,并經(jīng)過Crossbar技術(shù)進(jìn)行高速報(bào)文交換,可大大提升了路由交換機(jī)的轉(zhuǎn)發(fā)性能和擴(kuò)充能力,并能夠經(jīng)過軟件設(shè)置工作在主備或負(fù)荷分擔(dān)方式。大容量、高密度線速交換:考慮到核心交換機(jī)承載的局域網(wǎng)網(wǎng)絡(luò)平臺,應(yīng)可提供高密度接口板,支持線速轉(zhuǎn)發(fā)。另外在保持線速轉(zhuǎn)發(fā)性能的基礎(chǔ)上,支持各種高密度接口板和組合接口板,滿足核心層設(shè)備高密度、高吞吐量。高密度萬兆接口:局域網(wǎng)交換機(jī)應(yīng)該能夠提供高密度的萬兆以太網(wǎng)接口板,能夠簡化網(wǎng)絡(luò)結(jié)構(gòu)、降低網(wǎng)絡(luò)建設(shè)成本。因此在本次辦公大樓核心交換機(jī)應(yīng)采用多端口的高密萬兆以太網(wǎng)接口,并能夠提供強(qiáng)大的QoS保障,并支持豐富的ACL、策略路由、安全等特性。同時能夠支持MPLS轉(zhuǎn)發(fā),能夠提供更好的IPVPN業(yè)務(wù)和透明的LAN服務(wù),更能夠經(jīng)過MPLSTE來提供流量工程功能。完善的安全機(jī)制:核心交換機(jī)應(yīng)支持OSPF、RIPv2及BGPv4報(bào)文的明文及MD5密文認(rèn)證;采用802.1x方式對接入用戶進(jìn)行認(rèn)證,支持安全的SNMPv3的網(wǎng)管協(xié)議、支持配置安全,對登錄用戶進(jìn)行認(rèn)證,不同級別的用戶有不同的配置權(quán)限,并提供兩種用戶認(rèn)證方式:本地認(rèn)證和RADIUS認(rèn)證。根據(jù)以上原則,辦公大樓核心交換機(jī)采用S7506E-S高端交換機(jī),兩臺S7506E－S之間采用10G接口聯(lián)接,樓層交換機(jī)分別上聯(lián)到2臺核心設(shè)備上,經(jīng)過兩條上聯(lián)鏈路實(shí)現(xiàn)的鏈路的備份和負(fù)載分擔(dān)。H3CS7506E－S產(chǎn)品是杭州華三通信技術(shù)有限公司(以下簡稱H3C公司)面向融合業(yè)務(wù)網(wǎng)絡(luò)的高端多業(yè)務(wù)路由交換機(jī),該產(chǎn)品基于H3C自主知識產(chǎn)權(quán)的ComwareV5操作系統(tǒng),以IRF2(IntelligentResilientFramework2,第二代智能彈性架構(gòu))技術(shù)為系統(tǒng)基石的虛擬化軟件系統(tǒng),進(jìn)一步融合MPLSVPN、IPv6、網(wǎng)絡(luò)安全、無線、無源光網(wǎng)絡(luò)等多種網(wǎng)絡(luò)業(yè)務(wù),提供不間斷轉(zhuǎn)發(fā)、不間斷升級、優(yōu)雅重啟、環(huán)網(wǎng)保護(hù)等多種高可靠技術(shù),在提高用戶生產(chǎn)效率的同時,保證了網(wǎng)絡(luò)最大正常運(yùn)行時間,從而降低了客戶的總擁有成本(TCO)。H3CS7506E－S符合”限制電子設(shè)備有害物質(zhì)標(biāo)準(zhǔn)(RoHS)”,是綠色環(huán)保的路由交換機(jī)。主要技術(shù)特點(diǎn):基于ASIC的高性能業(yè)務(wù)線速的MPLS業(yè)務(wù)處理H3CS7506E－S支持分布式的MPLS業(yè)務(wù),分布在接口板上的ASIC芯片直接完成MPLS標(biāo)簽的線速處理,不存在集中式處理的瓶頸,MPLS性能業(yè)界最高。與其它集中式的MPLS設(shè)備相比,S7506E-S保障了大業(yè)務(wù)量時MPLS的高可用性,持續(xù)保護(hù)用戶投資。線速的IPv6業(yè)務(wù)處理H3CS7506E－S支持分布式的IPv6業(yè)務(wù),分布在接口板上的ASIC芯片支持對IPv6報(bào)文的線速處理,用戶經(jīng)過升級操作系統(tǒng)可實(shí)現(xiàn)基于ASIC的全線速IPv6轉(zhuǎn)發(fā),極大保護(hù)用戶投資,適應(yīng)網(wǎng)絡(luò)業(yè)務(wù)不斷發(fā)展的需求。大容量高性能路由交換H3CS7506E－S提供業(yè)界領(lǐng)先的交換能力,其最高的384Gbps路由交換引擎能夠?qū)崿F(xiàn)端口的線速轉(zhuǎn)發(fā),三層包轉(zhuǎn)發(fā)能力高達(dá)288Mpps。融合的網(wǎng)絡(luò)安全特性集成的安全特性H3CS7506E－S支持集成的防火墻模塊,能夠?qū)⒎阑饓Φ谋Ｗo(hù)功能擴(kuò)展到交換機(jī)的每個端口;支持集成IPSec模塊,提供安全的互聯(lián)網(wǎng)VPN接入服務(wù);支持端口鏡像和遠(yuǎn)程端口鏡像,將有安全隱患的報(bào)文鏡像到分析端口,并經(jīng)過與IDS聯(lián)動及時阻斷攻擊。設(shè)備自身的安全特性H3CS7506E－S采用”最長匹配、逐包轉(zhuǎn)發(fā)”模式,能夠抵御網(wǎng)絡(luò)病毒的攻擊;支持OSPF、RIPv2及BGPv4報(bào)文的明文及MD5密文認(rèn)證;支持IP、VLAN、MAC和端口等多種組合綁定方式,防范地址盜用;支持廣播報(bào)文抑制,有效控制ARP等非法廣播流量對設(shè)備造成沖擊;支持URPF,防止IP地址欺騙;支持報(bào)文安全過濾,防止非法侵入和惡意報(bào)文攻擊等。管理的安全性H3CS7506E－S支持IEEE802.1x、AAA/Radius、HWTACACS,對用戶身份進(jìn)行合法性認(rèn)證;支持用戶分級管理,不同級別的用戶擁有不同的配置權(quán)限;支持安全的SNMPv3網(wǎng)管協(xié)議;支持安全的遠(yuǎn)程登陸SSHV2;支持受限IP地址方式的Telnet登錄。最長的網(wǎng)絡(luò)正常運(yùn)行時間產(chǎn)品的無單點(diǎn)故障設(shè)計(jì)H3CS7506E－S采用分布式體系結(jié)構(gòu),所有關(guān)鍵部件采用冗余設(shè)計(jì),包括主控板、交換網(wǎng)、電源和風(fēng)扇等;采用無源背板設(shè)計(jì),避免機(jī)箱出現(xiàn)單點(diǎn)故障;所有單板支持熱插拔功能,而且對其它單板上運(yùn)行的業(yè)務(wù)無影響。路由協(xié)議的高可靠保障H3CS7506E－S支持OSPF/IS-IS/BGP的優(yōu)雅重啟技術(shù)(GracefulRestart),能夠?qū)崿F(xiàn)用戶業(yè)務(wù)的不間斷轉(zhuǎn)發(fā);支持動態(tài)路由協(xié)議、跨板端口聚合、虛擬路由冗余協(xié)議(VRRP)等保護(hù)機(jī)制,有效保證全網(wǎng)高速可靠運(yùn)行?？焖僮杂沫h(huán)網(wǎng)保護(hù)技術(shù)H3CS7506E－S支持RPR(彈性分組環(huán)),RPR技術(shù)融合了SDH故障自愈的高可靠性與以太網(wǎng)的經(jīng)濟(jì)性、高帶寬、靈活性、可擴(kuò)展能力等優(yōu)勢,能夠保障小于50ms的故障切換時間,音頻、視頻等實(shí)時業(yè)務(wù)不受故障影響。RPR技術(shù)為用戶提供了高可靠的多業(yè)務(wù)傳輸解決方案。融合的多業(yè)務(wù)特性網(wǎng)絡(luò)業(yè)務(wù)分析H3CS7506E－S經(jīng)過高性能的網(wǎng)絡(luò)處理器實(shí)現(xiàn)對網(wǎng)絡(luò)業(yè)務(wù)的分析。支持V5、V8和V9多種日志格式,與XLOG日志審計(jì)系統(tǒng)配合,為用戶提供完整的網(wǎng)絡(luò)流量分析解決方案;支持向主、備服務(wù)器同時發(fā)送日志,防止統(tǒng)計(jì)信息丟失。網(wǎng)絡(luò)業(yè)務(wù)分析使原本不可見的網(wǎng)絡(luò)業(yè)務(wù)應(yīng)用流量變得一目了然,進(jìn)而能夠幫助用戶及時優(yōu)化網(wǎng)絡(luò)結(jié)構(gòu),調(diào)整資源部署。高品質(zhì)QoS特性H3CS7506E－S支持完善的QoS功能,支持流量監(jiān)管,粒度可精細(xì)化到8Kbps;支持流量整形,可基于端口或隊(duì)列靈活設(shè)置;支持報(bào)文DSCP優(yōu)先級、IP優(yōu)先級、TOS優(yōu)先級、COS優(yōu)先級以及Exp優(yōu)先級的重置功能;支持報(bào)文重定向功能,可根據(jù)網(wǎng)絡(luò)流量狀況靈活配置報(bào)文的轉(zhuǎn)發(fā)路徑;支持多種模式的隊(duì)列調(diào)度機(jī)制;支持多種擁塞避免機(jī)制。定制的行業(yè)解決方案H3CS7506E－S根據(jù)行業(yè)用戶的個性化需求,推出了多種新業(yè)務(wù)特性:支持Portal認(rèn)證,使最終用戶無須安裝客戶端即可完成認(rèn)證;支持對BT流量控制,防止P2P業(yè)務(wù)對出口帶寬資源的濫用;在校園網(wǎng)中對不同網(wǎng)段的流量區(qū)分計(jì)費(fèi),滿足教育用戶的需求;支持可編程的開放接口,可針對各行業(yè)客戶需求實(shí)現(xiàn)個性化的業(yè)務(wù)定制。(2)接入層設(shè)備選型樓層交換機(jī)是每個樓層網(wǎng)絡(luò)的交換中心,由于每個樓層用戶之間也存在經(jīng)過劃分VLAN實(shí)現(xiàn)隔離與互訪,而且第三層操作(數(shù)據(jù)轉(zhuǎn)發(fā)、服務(wù)器訪問等)也都會經(jīng)過樓層交換機(jī)集中進(jìn)行,因此樓層交換機(jī)除了具備三層功能之外,還必須具備先進(jìn)的體系結(jié)構(gòu)、大容量高密度端口線速交換、高可靠性設(shè)計(jì)、彈性堆疊擴(kuò)展、精細(xì)化用戶管理等特性,對于不同信息點(diǎn)數(shù)量的樓層分別能夠采用相應(yīng)的產(chǎn)品進(jìn)行組網(wǎng),既滿足業(yè)務(wù)需求,又節(jié)省用戶投資,能夠根據(jù)大樓樓層具體信息點(diǎn)分布情況分別選擇適當(dāng)型號的交換機(jī)。H3CS5500系列增強(qiáng)型IPv6強(qiáng)三層萬兆以太網(wǎng)是H3C公司為設(shè)計(jì)和構(gòu)建高彈性和高智能網(wǎng)絡(luò)需求而推出的新一代以太網(wǎng)交換機(jī)產(chǎn)品。系統(tǒng)采用H3C公司創(chuàng)新的IRF(IntelligentResilientFramework,智能彈性架構(gòu))技術(shù),支持高達(dá)256G的堆疊帶寬和高密度千兆端口,支持萬兆上行。特別適合作為需要高帶寬、高性能和高擴(kuò)展性的中小企業(yè)網(wǎng)核心、大型企業(yè)網(wǎng)絡(luò)和園區(qū)網(wǎng)的匯聚層以及數(shù)據(jù)中心的服務(wù)器接入設(shè)備。主要技術(shù)特點(diǎn)如下:大容量全線速的多層交換S5500系列交換機(jī)具有192G/240G的交換容量和96M/132Mpps的二/三層包轉(zhuǎn)發(fā)能力,支持所有端口線速轉(zhuǎn)發(fā)。設(shè)備最大提供24/48端口10/100/1000M電接口、32個SFP千兆光接口或2個10G接口,充分滿足客戶對高密度GE和萬兆上行設(shè)備的需求。設(shè)備具備強(qiáng)大的IRF堆疊擴(kuò)展能力,極大的節(jié)省了用戶對設(shè)備的投資。IRF2智能彈性架構(gòu)技術(shù)S5500系列交換機(jī)采用創(chuàng)新的IRF2智能彈性技術(shù),與傳統(tǒng)組網(wǎng)技術(shù)相比,在擴(kuò)展性、可靠性、整體架構(gòu)的性能方面具有強(qiáng)大的優(yōu)勢,主要體現(xiàn)在三個方面;擴(kuò)展性－IRF技術(shù)允許交換機(jī)利用互聯(lián)電纜實(shí)現(xiàn)多臺設(shè)備的擴(kuò)展,最大實(shí)現(xiàn)8臺設(shè)備的彈性擴(kuò)展;具有即插即用、單一IP管理,同步升級的優(yōu)點(diǎn),同時大大降低系統(tǒng)擴(kuò)展的成本?？煽啃裕?jīng)過專利的路由熱備份技術(shù),在整個堆疊架構(gòu)內(nèi)實(shí)現(xiàn)控制平面和數(shù)據(jù)平面所有信息的冗余備份和無間斷的三層轉(zhuǎn)發(fā),極大的增強(qiáng)了堆疊架構(gòu)的可靠性和高性能,同時消除了單點(diǎn)故障,避免了業(yè)務(wù)中斷。分布性－經(jīng)過分布式鏈路聚合技術(shù),實(shí)現(xiàn)多條上行鏈路的負(fù)載分擔(dān)和互為備份,從而提高整個網(wǎng)絡(luò)架構(gòu)的冗余性和鏈路資源的利用率。POE(Poweroverethernet)遠(yuǎn)程供電特性S5500系列交換機(jī)支持PoE(PowerOverEthernet)功能,即可經(jīng)過雙絞線向遠(yuǎn)端下掛PD設(shè)備(如IPPhone、WLANAP、Security、BluetoothAP等)提供電源,實(shí)現(xiàn)對下掛PD設(shè)備遠(yuǎn)端供電,使設(shè)備安裝簡單而且節(jié)省空間。作為供電方PSE(PowerSourcingEquipment)設(shè)備,支持IEEE802.3af線路供電標(biāo)準(zhǔn),同時也能夠兼容不符合802.3af標(biāo)準(zhǔn)的PD(PoweredDevice)設(shè)備。交換機(jī)遠(yuǎn)端供電時每個以太網(wǎng)口向下掛設(shè)備提供的最大功率為15.4W。S5500提供千兆電口上的PoE特性,能夠充分滿足未來技術(shù)發(fā)展的需求,為千兆無線技術(shù),語音技術(shù)的發(fā)展提供了支持。經(jīng)過支持POE和VoiceVLAN技術(shù),S5500系列交換機(jī)能夠提供完美的數(shù)據(jù)和語音融合解決方案。完備的安全控制策略S5500系列交換機(jī)支持EAD(端點(diǎn)準(zhǔn)入防御)功能,配合后臺系統(tǒng)能夠?qū)⒔K端防病毒、補(bǔ)丁修復(fù)等終端安全措施與網(wǎng)絡(luò)接入控制、訪問權(quán)限控制等網(wǎng)絡(luò)安全措施整合為一個聯(lián)動的安全體系,經(jīng)過對網(wǎng)絡(luò)接入終端的檢查、隔離、修復(fù)、管理和監(jiān)控,使整個網(wǎng)絡(luò)變被動防御為主動防御、變單點(diǎn)防御為全面防御、變分散管理為集中策略管理,提升了網(wǎng)絡(luò)對病毒、蠕蟲等新興安全威脅的整體防御能力。支持集中式MAC地址認(rèn)證和802.1x認(rèn)證。在用戶接入網(wǎng)絡(luò)時完成必要的身份認(rèn)證,還能夠經(jīng)過靈活的MAC、IP、VLAN、PORT任意組合綁定,有效的防止非法用戶訪問網(wǎng)絡(luò)。支持DUD(DisconnectUnauthorisedDevice)認(rèn)證,經(jīng)過MAC地址學(xué)習(xí)數(shù)目限制和MAC地址與端口綁定實(shí)現(xiàn)。支持用戶分級管理和口令保護(hù),支持MAC地址學(xué)習(xí)數(shù)目限制、MAC地址與端口綁定、端口隔離、MAC地址黑洞;支持防止DoS攻擊功能。支持QoSProfile功能。和802.1x認(rèn)證功能相結(jié)合,能夠動態(tài)的為經(jīng)過認(rèn)證的用戶提供預(yù)先配置的一套QoS功能。用戶在經(jīng)過802.1x認(rèn)證后,交換機(jī)根據(jù)AAA服務(wù)器上配置的用戶名和Profile的對應(yīng)關(guān)系,將相應(yīng)的Profile動態(tài)下發(fā)到用戶登錄的端口上,為該用戶提供量身定做的服務(wù)質(zhì)量保證。支持SSH特性。用戶經(jīng)過一個不能保證安全的網(wǎng)絡(luò)環(huán)境遠(yuǎn)程登錄到以太網(wǎng)交換機(jī)時,能夠提供安全的信息保障和強(qiáng)大的認(rèn)證功能,以保護(hù)以太網(wǎng)交換機(jī)不受諸如IP地址欺詐、明文密碼截取等等攻擊。高可靠性S5500系列交換機(jī)采用IRF2技術(shù)組網(wǎng)后,能夠在整個堆疊組內(nèi)實(shí)現(xiàn)控制平面和數(shù)據(jù)平面所有信息的冗余備份,極大地增強(qiáng)了設(shè)備和網(wǎng)絡(luò)的可靠性,消除了單點(diǎn)故障,避免了業(yè)務(wù)中斷。同時H3CS5500系列交換機(jī)不但支持STP/RSTP生成樹協(xié)議,還提供了基于多VLAN的生成樹MSTP,極大提高了鏈路的冗余備份,提高容錯能力,保證網(wǎng)絡(luò)的穩(wěn)定運(yùn)行。支持VRRP虛擬路由冗余協(xié)議,與其它三層交換機(jī)構(gòu)建VRRP備份組。構(gòu)建故障時的冗余路由拓?fù)浣Y(jié)構(gòu),保持通訊的連續(xù)性和可靠性,有效保障網(wǎng)絡(luò)穩(wěn)定。支持等價路由實(shí)現(xiàn)上行路由的冗余備份和負(fù)載分擔(dān)。采用交、直流雙輸入電源模塊供電,也能夠經(jīng)過更換電源模塊來支持PoE功能,提供所有固定端口的PoE滿負(fù)載。豐富的QOS策略H3CS5500系列交換機(jī)支持基于源MAC地址、目的MAC地址、源IP地址、目的IP地址、端口、協(xié)議的L2~L7復(fù)雜流分類;每端口支持100個流規(guī)則,整機(jī)支持3200/5600個流規(guī)則,充分保障了復(fù)雜網(wǎng)絡(luò)對于QoS規(guī)則的要求。提供靈活的隊(duì)列調(diào)度算法,能夠同時基于端口和隊(duì)列進(jìn)行設(shè)置,支持SP(StrictPriority)、WRR(WeightedRoundRobin)、SP+WRR三種模式;支持8個優(yōu)先級隊(duì)列。支持CAR(CommittedAccessRate)功能,能夠?qū)崿F(xiàn)基于端口和基于流的速率限制,限制的粒度能夠精確至64Kbps,為網(wǎng)絡(luò)帶寬的精細(xì)化管理提供了手段。多樣的管理方式H3CS5500系列交換機(jī)支持CLI(命令行)、Telnet、Console口配置,支持H3C的H3CiMC?網(wǎng)管系統(tǒng),支持WEB網(wǎng)管,使設(shè)備管理更加方便。經(jīng)過各種開放的標(biāo)準(zhǔn)MIB和擴(kuò)展MIB的支持能夠提供完善的基于SNMP的第三方管理能力。辦公大樓解決方案網(wǎng)絡(luò)整體結(jié)構(gòu)在辦公大樓網(wǎng)絡(luò)方案中采用了雙核心路由交換機(jī)S7506E－S承擔(dān)了核心交換機(jī)的功能。同時,由于樓層接入的三層交換機(jī)經(jīng)過雙鏈路分別接入到兩臺核心交換機(jī)上,因此每臺核心交換機(jī)在另一臺設(shè)備故障時,可承擔(dān)整個網(wǎng)絡(luò)的流量。避免了單點(diǎn)故障對整網(wǎng)的影響范圍,從而提高了整個網(wǎng)絡(luò)的安全性。接入層根據(jù)大樓樓層具體信息點(diǎn)分布情況,每層樓配置一臺或者兩臺S5500-52C-EI接入交換機(jī)。整體網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)示意圖如下:核心層設(shè)備根據(jù)設(shè)備選型原則,辦公大樓核心交換機(jī)采用S7506E－S高端交換機(jī),兩臺S7506E－S之間采用10G接口聯(lián)接,樓層交換機(jī)分別上聯(lián)到2臺核心設(shè)備上,經(jīng)過兩條上聯(lián)鏈路實(shí)現(xiàn)的鏈路的備份和負(fù)載分擔(dān)。為了充分保障核心交換平臺的高可靠特性,每一臺S7506E－S都配置了交換引擎以及雙電源配置,規(guī)格指標(biāo)達(dá)到電信級要求。對于服務(wù)器的接入,同樣配置一臺H3C公司的S7506E-S交換機(jī),用于服務(wù)器的連接,同時在S7506E-S交換機(jī)配置防火墻業(yè)務(wù)板模塊插卡,以提高服務(wù)器區(qū)的網(wǎng)絡(luò)安全性。接入層設(shè)備為了各樓層交換機(jī)能更好的滿足大容量、高帶寬接入的配置需求,在本次建設(shè)中,對于信息點(diǎn)數(shù)量較多的樓層,我們選用了S5500-52C-EI增強(qiáng)型IPv6強(qiáng)三層萬兆以太網(wǎng)交換機(jī)做為樓層接入設(shè)備,經(jīng)過萬兆雙上聯(lián)至核心交換機(jī)。每臺交換機(jī)根據(jù)樓層具體信息點(diǎn)的數(shù)量配置一臺或者兩臺交換機(jī)以及相應(yīng)的上聯(lián)萬兆多模光模塊。為了解決給外來辦公人員也提供一個網(wǎng)絡(luò)平臺,此次項(xiàng)目還規(guī)劃了外來人員接入交換機(jī),配置為H3CS5120-48P-EI,S5120-EI系列交換機(jī)是H3C公司自主開發(fā)的全千兆三層以太網(wǎng)交換機(jī)產(chǎn)品,具備豐富的業(yè)務(wù)特性,提供IPv6轉(zhuǎn)發(fā)功能以及最多4個10GE擴(kuò)展接口。經(jīng)過H3C特有的IRF2(智能彈性架構(gòu))功能,用戶能夠簡化對網(wǎng)絡(luò)的管理。S5120-EI系列千兆以太網(wǎng)交換機(jī)定位為企業(yè)網(wǎng)千兆接入,同時還能夠用于數(shù)據(jù)中心服務(wù)器群的連接。S5120-48P-EI:48個10/100/1000Base-T以太網(wǎng)端口,4個復(fù)用的SFP千兆端口(Combo)。網(wǎng)絡(luò)組網(wǎng)方案特點(diǎn)(1)整網(wǎng)設(shè)備性能高在本次方案中,兩臺核心交換機(jī)S7506E-S采用了交換容量為384Gbps,轉(zhuǎn)發(fā)能力為288Mpps的高性能路由交換引擎,采用全分布式體系結(jié)構(gòu)設(shè)計(jì),可進(jìn)行高速路由查找,并經(jīng)過Crossbar技術(shù)進(jìn)行高速報(bào)文交換,完全滿足本次建設(shè)中所有接入核心交換機(jī)的接口數(shù)據(jù)提供線速轉(zhuǎn)發(fā)。在核心層交換機(jī)在實(shí)現(xiàn)線速轉(zhuǎn)發(fā)的同時,在本次樓層交換機(jī)的交換容量為240Gbps,轉(zhuǎn)發(fā)能力為132Mpps,使樓層接入交換機(jī)能無阻塞的實(shí)現(xiàn)用戶間互訪的線速轉(zhuǎn)發(fā),并經(jīng)過雙歸屬鏈路上聯(lián)到核心交換機(jī)防止單鏈路故障,保證業(yè)務(wù)開展的不間斷,提高整網(wǎng)的高效性、穩(wěn)定性、安全性。(2)網(wǎng)絡(luò)的高可靠性本網(wǎng)絡(luò)方案具有相當(dāng)高的網(wǎng)絡(luò)可靠性和網(wǎng)絡(luò)自愈能力,主要表現(xiàn)在網(wǎng)絡(luò)設(shè)備、冗余鏈路和協(xié)議的可靠性設(shè)計(jì)上。設(shè)備可靠性設(shè)計(jì)主要表現(xiàn)為核心設(shè)備S7506E－S采用分布式體系構(gòu)架;所有關(guān)鍵部件采用冗余設(shè)計(jì),采用無源背板設(shè)計(jì),避免機(jī)箱出現(xiàn)單點(diǎn)故障;所有單板支持熱插拔功能,可最大限度的減少對系統(tǒng)正常運(yùn)行業(yè)務(wù)的影響;支持跨板鏈路聚合、MSTP、VRRP和等價路由等協(xié)議,保障網(wǎng)絡(luò)的動態(tài)鏈路備份,滿足電信級網(wǎng)絡(luò)可靠性要求,系統(tǒng)可靠性達(dá)到99.9999％。鏈路可靠性設(shè)計(jì)即采用一條主鏈路和一條備鏈路。這種冗余設(shè)計(jì)構(gòu)思簡單而且便宜。鏈路的冗余能夠經(jīng)過多種技術(shù)實(shí)現(xiàn),當(dāng)前最流行的是鏈路聚合技術(shù)和生成樹技術(shù)。鏈路冗余還有一個好處是能夠做到均衡負(fù)載。這種方法能夠充分利用兩條鏈路,當(dāng)網(wǎng)絡(luò)正常時,根據(jù)設(shè)計(jì)能夠?qū)⒕W(wǎng)絡(luò)業(yè)務(wù)流量分配到兩個鏈路上,簡單地說,就是將兩條線路看成一條帶寬較寬的線路,當(dāng)其中一條線路或設(shè)備出現(xiàn)故障時,所有的數(shù)據(jù)流自動選擇另一條線路,這樣避免了網(wǎng)絡(luò)設(shè)備和鏈路的單點(diǎn)故障,提高了網(wǎng)絡(luò)的自愈能力。協(xié)議可靠性設(shè)計(jì)就是采用相關(guān)的軟、硬件切換技術(shù)(如STP和VRRP)來保證核心應(yīng)用系統(tǒng)的快速切換,防止局部故障導(dǎo)致整個網(wǎng)絡(luò)系統(tǒng)的癱瘓,避免網(wǎng)絡(luò)出現(xiàn)單點(diǎn)失效,從而保證用戶端在網(wǎng)絡(luò)失效時能快速透明地切換。生成樹協(xié)議(STP)經(jīng)過網(wǎng)格化物理拓?fù)浣Y(jié)構(gòu)而構(gòu)建一個無環(huán)路邏輯轉(zhuǎn)發(fā)拓?fù)浣Y(jié)構(gòu),提供了冗余連接,消除了數(shù)據(jù)流量環(huán)路的威脅。VRRP是一種容錯協(xié)議,它保證若主機(jī)的下一跳路由器故障時能及時由另一臺路由器來代替,從而保持通信的連續(xù)性和可靠性。為了使VRRP工作,需要在路由器上配置虛擬路由器號和虛擬IP地址,同時產(chǎn)生一個虛擬MAC地址,這樣在這個網(wǎng)絡(luò)中就加入了一個虛擬路由器。(3)網(wǎng)絡(luò)設(shè)備的擴(kuò)展性強(qiáng)在本次網(wǎng)絡(luò)方案中,都選用了機(jī)架插板式交換機(jī)設(shè)備,核心的S7506E－S萬兆核心交換機(jī),整機(jī)8個槽位,支雙電源系統(tǒng),最多可提供6個業(yè)務(wù)槽位,支持豐富的業(yè)務(wù)板,包括4端口萬兆業(yè)務(wù)板、8端口萬兆業(yè)務(wù)板、24端口千兆業(yè)務(wù)板、48端口千兆業(yè)務(wù)板、48端口百兆業(yè)務(wù)板以及其它多種形式的業(yè)務(wù)板件。而本次萬兆互連方案單臺核心設(shè)備配置了8個萬兆接口,而S7506E－S整機(jī)最大可提供48個萬兆接口,因此本次選配的兩臺核心設(shè)備能夠最大提供96個萬兆接口滿足今后辦公大樓信息化發(fā)展對網(wǎng)絡(luò)帶寬的需求。在本次樓層交換機(jī)的配置中,我們選用的S5500－EI交換機(jī),經(jīng)過增加配置10GE接口板來滿足本次接入交換機(jī)萬兆上行到核心交換機(jī),保證業(yè)務(wù)開展的不間斷以及用戶的前期投資。(4)網(wǎng)絡(luò)設(shè)備具有強(qiáng)大的平滑升級能力先進(jìn)的體系結(jié)構(gòu)是保證核心交換機(jī)具備平滑升級能力的關(guān)鍵,本次配置的S7506E－S核心交換機(jī)采用全分布式體系結(jié)構(gòu)設(shè)計(jì),并經(jīng)過Crossbar技術(shù)進(jìn)行高速報(bào)文交換,具有強(qiáng)大的硬件平臺升級能力。在背板上預(yù)留大量的總線接口用于以后擴(kuò)容。(5)網(wǎng)絡(luò)具有高安全性在本次網(wǎng)絡(luò)方案的設(shè)計(jì)上充分考慮了整網(wǎng)的高安全、高可靠性。網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)上,在核心層選用了雙核心萬兆交換機(jī)做為整個局域網(wǎng)的核心節(jié)點(diǎn),避免了單節(jié)點(diǎn)故障。接入層交換機(jī)以雙歸屬的鏈路分部接入到雙核心上,提高網(wǎng)絡(luò)運(yùn)行在鏈路上的安全性。在關(guān)鍵服務(wù)器的安全性上,在服務(wù)器接入交換機(jī)S7506E-S上部署了防火墻業(yè)務(wù)插卡,經(jīng)過劃分網(wǎng)絡(luò)區(qū)域的方式來提高服務(wù)器群的安全性,阻止對服務(wù)器的非法攻擊。網(wǎng)絡(luò)安全設(shè)計(jì)安全滲透網(wǎng)絡(luò)設(shè)計(jì)在規(guī)劃辦公大樓網(wǎng)絡(luò)安全系統(tǒng)時,我們將遵循以下原則,以這些原則為基礎(chǔ),提供完善的體系化的整體網(wǎng)絡(luò)安全解決方案:體系化設(shè)計(jì)原則經(jīng)過分析信息網(wǎng)絡(luò)的網(wǎng)絡(luò)層次關(guān)系、安全需求要素以及動態(tài)的實(shí)施過程,提出科學(xué)的安全體系和安全模型,并根據(jù)安全體系和安全模型分析網(wǎng)絡(luò)中可能存在的各種安全風(fēng)險,針對這些風(fēng)險以動態(tài)實(shí)施過程為基礎(chǔ),提出整體網(wǎng)絡(luò)安全解決方案,從而最大限度地解決可能存在的安全問題。全局性、均衡性原則安全解決方案的設(shè)計(jì)從全局出發(fā),綜合考慮信息資產(chǎn)的價值、所面臨的安全風(fēng)險,平衡兩者之間的關(guān)系,根據(jù)信息資產(chǎn)價值的大小和面臨風(fēng)險的大小,采取不同強(qiáng)度的安全措施,提供具有最優(yōu)的性能價格比的安全解決方案?？尚行?、可靠性原則在采用全面的網(wǎng)絡(luò)安全措施之后,實(shí)現(xiàn)在保證網(wǎng)絡(luò)和應(yīng)用系統(tǒng)正常運(yùn)轉(zhuǎn)的前提下,有效的提高網(wǎng)絡(luò)及應(yīng)用的安全強(qiáng)度,保證整個信息資產(chǎn)的安全?？蓜討B(tài)演進(jìn)的原則方案應(yīng)該針對辦公大樓制定統(tǒng)一技術(shù)和管理方案,采取相同的技術(shù)路線,實(shí)現(xiàn)統(tǒng)一安全策略的制定,并能實(shí)現(xiàn)整個網(wǎng)絡(luò)從基本防御的網(wǎng)絡(luò),向深度防御的網(wǎng)絡(luò)以及智能防御的網(wǎng)絡(luò)演進(jìn),形成一個閉環(huán)的動態(tài)演進(jìn)網(wǎng)絡(luò)安全系統(tǒng)。核心交換機(jī)強(qiáng)大內(nèi)置安全特性逐包轉(zhuǎn)發(fā)機(jī)制防止病毒沖擊S7506E-S路由交換機(jī)是采用了逐包轉(zhuǎn)發(fā)的機(jī)制,它和傳統(tǒng)的流轉(zhuǎn)發(fā)機(jī)制在安全性方面有著更本的差異。流轉(zhuǎn)發(fā)主要存在下面兩個問題:(1)、在網(wǎng)絡(luò)拓?fù)漕l繁變化時,設(shè)備的適應(yīng)性差,轉(zhuǎn)發(fā)性能下降嚴(yán)重;(2)存在一定安全隱患問題,特別在網(wǎng)絡(luò)遭受到類似”紅色代碼”這類病毒攻擊時問題尤為嚴(yán)重。流轉(zhuǎn)發(fā)為一次路由多次交換,它的特點(diǎn)是一旦查找一次路由后,就把查找結(jié)果存放在CACHE里,以后同樣目的地址的包就不用重新查找,直接采用類似二層交換的技術(shù),直接轉(zhuǎn)發(fā)到目的端口去。如果路由表項(xiàng)幾乎不變化,則可經(jīng)過上面所述的硬件精確匹配的方式能夠很快的速度進(jìn)行查表轉(zhuǎn)發(fā)。可是如果應(yīng)用的情況為路由表項(xiàng)經(jīng)常出現(xiàn)變更的情況,就會導(dǎo)致無法經(jīng)過硬件的精確匹配的方式查找到路由,這時三層以太網(wǎng)交換機(jī)的就會轉(zhuǎn)為經(jīng)過CPU軟件進(jìn)行路由查找,查表和轉(zhuǎn)發(fā)速度就會急劇下降。這是工作基本上是處于靠CPU軟件進(jìn)行路由的”多次慢路由”的情況。也就是說三層交換機(jī)在進(jìn)行數(shù)據(jù)報(bào)文轉(zhuǎn)發(fā)時主要根據(jù)數(shù)據(jù)報(bào)文的五元組特征進(jìn)行精確命中數(shù)據(jù)轉(zhuǎn)發(fā),對于”紅色代碼”病毒攻擊時由于其病毒報(bào)文的端口號是頻繁進(jìn)行變換,其五元組信息始終處于一個不停變換階段,這樣導(dǎo)致三層交換機(jī)CPU不停進(jìn)行路由查找,由于這類報(bào)文另外一個特征就是短時間內(nèi)產(chǎn)生大量報(bào)文,從而最終導(dǎo)致三層交換機(jī)CPU在轉(zhuǎn)發(fā)過程中癱機(jī),同時這臺交換機(jī)下掛的三層交換機(jī)同樣接收到大量病毒報(bào)文,基于上述原因其CPU轉(zhuǎn)發(fā)引擎也將癱機(jī)。與此同時當(dāng)上層交換機(jī)從轉(zhuǎn)發(fā)報(bào)文中緩解過來時而下層交換機(jī)又處于癱機(jī)中,這樣網(wǎng)絡(luò)路由必然就會出現(xiàn)較大振蕩,交換機(jī)轉(zhuǎn)發(fā)性能急劇下降,最終導(dǎo)致所有交換機(jī)癱機(jī),整個網(wǎng)絡(luò)不可用。對于采用網(wǎng)絡(luò)拓?fù)潋?qū)動的路由交換機(jī)而言由于采用逐包轉(zhuǎn)發(fā),進(jìn)行的是最大匹配方式路由查找,當(dāng)數(shù)據(jù)報(bào)文端口號進(jìn)行變換的情況下,對路由器轉(zhuǎn)發(fā)不造成影響,因此一旦遭受”紅色代碼”病毒攻擊時沒有任何問題?；鶎泳W(wǎng)絡(luò)安全端口＋I(xiàn)P＋MAC地址的綁定用戶上網(wǎng)的安全性非常重要,H3CS5500EI交換機(jī)能夠做到,端口+IP+MAC地址的綁定關(guān)系,H3CS5500EI交換機(jī)能夠支持基于MAC地址的802.1X認(rèn)證,整機(jī)最多支持1K個下掛用戶的認(rèn)證。MAC地址的綁定能夠直接實(shí)現(xiàn)用戶對于邊緣用戶的管理,提高整個網(wǎng)絡(luò)的安全性、可維護(hù)性。如:每個用戶分配一個端口,并與該用戶主機(jī)的MAC、IP、VLAN等進(jìn)行綁定,當(dāng)用戶經(jīng)過802.1X客戶端認(rèn)證經(jīng)過以后用戶便能夠?qū)崿F(xiàn)MAC地址＋端口＋I(xiàn)P＋用戶ID的綁定,這種方式具有很強(qiáng)的安全特性:防D.O.S的攻擊,防止用戶的MAC地址的欺騙,對于更改MAC地址的用戶(MAC地址欺騙的用戶)能夠?qū)崿F(xiàn)強(qiáng)制下線。防止對DHCP服務(wù)器的攻擊使用DHCPServer動態(tài)分配IP地址會存在兩個問題:一是DHCPServer假冒,用戶將自己的計(jì)算機(jī)設(shè)置成DHCPServer后會與局方的DHCPServer沖突;二是用戶DHCPSmurf,用戶使用軟件變換自己的MAC地址,大量申請IP地址,很快將DHCP的地址池耗光。H3CS5500EI交換機(jī)能夠支持多種禁止私設(shè)DHCPServer的方法。PrivateVLAN解決這個問題的方法之一是在桌面交換機(jī)上啟用PrivateVLAN的功能。但在很多環(huán)境中這個功能的使用存在局限,或者不會為了私設(shè)DHCP服務(wù)器的緣故去改造網(wǎng)絡(luò)。訪問控制列表對于有三層功能的交換機(jī),能夠用訪問列表來實(shí)現(xiàn)。就是定義一個訪問列表,該訪問列表禁止sourceport為67而destinationport為68的UDP報(bào)文經(jīng)過。之后把這個訪問列表應(yīng)用到各個物理端口上。當(dāng)然往端口一個個去添加訪問控制組比較麻煩,能夠結(jié)合interfacerange命令來減少命令的輸入量。新的命令因?yàn)樗娜忠饬x,也為了突出該安全功能,建議有如下單條命令的配置:servicedhcp-offerdeny[excludeinterfaceinterface-typeinterface-number][interfaceinterface-typeinterface-numbert|none]如果輸入不帶選項(xiàng)的命令nodhcp-offer,那么整臺交換機(jī)上連接的DHCP服務(wù)器都不能提供DHCP服務(wù)。excludeinterfaceinterface-typeinterface-number:是指合法DHCP服務(wù)器或者DHCPrelay所在的物理端口。除了該指定的物理端口以外,交換機(jī)會丟棄其它物理端口的in方向的DHCPOFFER報(bào)文。interfaceinterface-typeinterface-numbert|none:當(dāng)明確知道私設(shè)DHCP服務(wù)器是在哪個物理端口上的時候,就能夠選用這個選項(xiàng)。當(dāng)然如果該物理端口下面僅僅下聯(lián)該私設(shè)DHCP服務(wù)器,那么能夠直接disable該端口。該選項(xiàng)用于私設(shè)DHCP服務(wù)器和其它的合法主機(jī)一起經(jīng)過一臺不可網(wǎng)管的或不支持關(guān)閉DHCPOffer功能的交換機(jī)上聯(lián)的情況。選擇none就是放開對dhcp-offer的控制。防止ARP的攻擊隨著網(wǎng)絡(luò)規(guī)模的擴(kuò)大和用戶數(shù)目的增多,網(wǎng)絡(luò)安全和管理越發(fā)顯出它的重要性。由于用戶具有很強(qiáng)的專業(yè)背景,致使網(wǎng)絡(luò)黑客攻擊頻繁發(fā)生,地址盜用和用戶名仿冒等問題屢見不鮮。因此,ARP攻擊、地址仿冒、MAC地址攻擊、DHCP攻擊等問題不但令網(wǎng)絡(luò)中心的老師頭痛不已,也對網(wǎng)絡(luò)的接入安全提出了新的挑戰(zhàn)。ARP攻擊包括中間人攻擊(ManInTheMiddle)和仿冒網(wǎng)關(guān)兩種類型:中間人攻擊:按照ARP協(xié)議的原理,為了減少網(wǎng)絡(luò)上過多的ARP數(shù)據(jù)通信,一個主機(jī),即使收到的ARP應(yīng)答并非自己請求得到的,它也會將其插入到自己的ARP緩存表中,這樣,就造成了”ARP欺騙”的可能。如果黑客想探聽同一網(wǎng)絡(luò)中兩臺主機(jī)之間的通信(即使是經(jīng)過交換機(jī)相連),她會分別給這兩臺主機(jī)發(fā)送一個ARP應(yīng)答包,讓兩臺主機(jī)都”誤”認(rèn)為對方的MAC地址是第三方的黑客所在的主機(jī),這樣,雙方看似”直接”的通信連接,實(shí)際上都是經(jīng)過黑客所在的主機(jī)間接進(jìn)行的。黑客一方面得到了想要的通信內(nèi)容,另一方面,只需要更改數(shù)據(jù)包中的一些信息,成功地做好轉(zhuǎn)發(fā)工作即可。在這種嗅探方式中,黑客所在主機(jī)是不需要設(shè)置網(wǎng)卡的混雜模式的,因?yàn)橥ㄐ烹p方的數(shù)據(jù)包在物理上都是發(fā)送給黑客所在的中轉(zhuǎn)主機(jī)的。仿冒網(wǎng)關(guān):攻擊者冒充網(wǎng)關(guān)發(fā)送免費(fèi)ARP,其它同一網(wǎng)絡(luò)內(nèi)的用戶收到后,更新自己的ARP表項(xiàng),后續(xù),受攻擊用戶發(fā)往網(wǎng)關(guān)的流量都會發(fā)往攻擊者。此攻擊導(dǎo)致用戶無法正常和網(wǎng)關(guān)通信。而攻擊者能夠憑借此攻擊而獨(dú)占上行帶寬。在DHCP的網(wǎng)絡(luò)環(huán)境中,使能DHCPSnooping功能,H3CE152交換機(jī)會記錄用戶的IP和MAC信息,形成IP+MAC+Port+VLAN的綁定記錄。H3CE152交換機(jī)利用該綁定信息,能夠判斷用戶發(fā)出的ARP報(bào)文是否合法。使能對指定VLAN內(nèi)所有端口的ARP檢測功能,即對該VLAN內(nèi)端口收到的ARP報(bào)文的源IP或源MAC進(jìn)行檢測,只有符合綁定表項(xiàng)的ARP報(bào)文才允許轉(zhuǎn)發(fā);如果端口接收的ARP報(bào)文的源IP或源MAC不在DHCPSnooping動態(tài)表項(xiàng)或DHCPSnooping靜態(tài)表項(xiàng)中,則ARP報(bào)文被丟棄。這樣就有效的防止了非法用戶的ARP攻擊。保證網(wǎng)絡(luò)系統(tǒng)的安全運(yùn)行是網(wǎng)絡(luò)設(shè)計(jì)的一個重要環(huán)節(jié),網(wǎng)絡(luò)安全是保證系統(tǒng)安全運(yùn)行的重要基礎(chǔ),因此,為了保護(hù)網(wǎng)絡(luò)上數(shù)據(jù)的安全性,必須提供多種方式和層次的訪問控制、經(jīng)過使用防火墻技術(shù)來保證網(wǎng)絡(luò)系統(tǒng)的安全性。防火墻的傳統(tǒng)角色已經(jīng)發(fā)生了變化。今天的防火墻不但能夠保護(hù)企業(yè)網(wǎng)絡(luò)免受未經(jīng)授權(quán)的外部接入的攻擊,還能夠防止未經(jīng)授權(quán)的用戶接入企業(yè)網(wǎng)絡(luò)的子網(wǎng)、工作組和LAN。方案中建議采用在服務(wù)器接入交換機(jī)上安插SecBlade防火墻模塊方法來保證網(wǎng)絡(luò)安全。SecBlade防火墻模塊是H3C根據(jù)企業(yè)或園區(qū)網(wǎng)絡(luò)的發(fā)展,為H3CS7500E系列路由交換機(jī)進(jìn)行設(shè)計(jì)開發(fā)的插卡模塊。它將交換機(jī)的轉(zhuǎn)發(fā)和業(yè)務(wù)的處理有機(jī)融合在一起,實(shí)現(xiàn)交換機(jī)在高性能數(shù)據(jù)轉(zhuǎn)發(fā)的同時,能夠根據(jù)組網(wǎng)的特點(diǎn)處理安全業(yè)務(wù),實(shí)現(xiàn)安全防護(hù)和監(jiān)控。SecBlade防火墻模塊是有機(jī)地將交換機(jī)的vlan交換技術(shù)和安全網(wǎng)絡(luò)技術(shù)融合在一起實(shí)現(xiàn)的安全業(yè)務(wù)插卡。它不但保留了交換機(jī)線速高容量轉(zhuǎn)發(fā)的特點(diǎn),還能夠根據(jù)用戶對于安全防護(hù)的考慮,將secureVlan技術(shù)融入到vlan技術(shù)中。SecBlade防火墻模塊支持外部攻擊防范、內(nèi)網(wǎng)安全、流量監(jiān)控、網(wǎng)頁過濾、郵件過濾等功能,能夠有效地保證網(wǎng)絡(luò)的安全;采用ASPF狀態(tài)檢測技術(shù),可對連接狀態(tài)過程和異常命令進(jìn)行檢測;提供多種智能分析和管理手段,支持郵件告警,支持多種日志,提供網(wǎng)絡(luò)管理監(jiān)控,協(xié)助網(wǎng)絡(luò)管理員完成網(wǎng)絡(luò)的安全管理;支持AAA、NAT等技術(shù),能夠確保在開放的Internet上實(shí)現(xiàn)安全的、滿足可靠質(zhì)量要求的網(wǎng)絡(luò);提供基本的路由能力,支持RIP/OSPF/BGP/路由策略及策略路由;支持豐富的QoS特性,提供流量監(jiān)管、流量整形及多種隊(duì)列調(diào)度策略。提