智能大厦的系统集成和功能集成,也就是大厦自动系统、办公自动系统和通讯自动系统三大系统及其各相应子系统在公共高速通讯网络上的集成。因此,在建筑物内要建立一个综合集成的计算机网络系统,实现网络集成是实现系统集成和功能集成的第一步。
1、 智能大厦对计算机网络系统的需求
智能大厦特别是写字楼通常会有多家不同的公司入住,传统的智能大厦仅向大厦内入住的公司提供
internet接入,计算机网络系统由各进驻公司自行建设,本方案是在智能大厦内实现统一的管理和应用的计算机网络系统。
智能大厦内的计算机网络系统包括以下组成部分:
1、 网络平台:为大厦内的租户提供统一的Internet接入,提供可以传输数据、语音、
视频型号的网络交换平台。
2、 数据中心:建设一个环境良好的数据中心机房,为大厦内的租户提供机架资源,租户可以将各自的
服务器系统、存储系统放在智能大厦统一提供的数据中心中。
3、 管理平台:完成整个网络系统的管理功能,提供用户管理功能。
智能大厦对网络系统的具体要求如下:
?在大楼内部,只有经过认证的企业人员可以使用网络,避免其他非认证人员上网,保证网络
安全。
?需要保证不同独立公司的用户只能访问本公司的各种业务
服务器,包括远程和楼内本企业用户,未经授权的用户不得访问。
?各进驻公司的远程用户可以通过VPN方式访问本企业内部的
服务器内容。 ?要求独立公司内部人员可以进行相互访问,不同独立公司人员之间既不能互访又要考虑特定人员要求建立互访关系。
?进驻企业为同一集团公司,要求对有些高权限人员可以对其他企业的
服务器进行访问。
?所有的网络节点都可以通过
win7旗舰版访问Internet,并且在访问Internet之前要经过确认,未经确认的节点不允许访问Internet。
?要求能够统计各独立公司上网使用Internet的数据总量和时间,并建立使用Internet的日志。
?要求可以方便的配置,管理所有的客户端。
?根据1层大厅和2层多功能厅人员流动的特性,实现有线和
无线网络同时接入,并且要考虑
无线接入的
安全认证问题。
?要考虑各独立公司财务部门单独建网的要求。
?要充分考虑整体网络的
安全性。
2、 组网结构
经典的局域网组网模型将网络结构分为核心层、汇聚层和接入层。智能大厦的计算机网络系统通常要包含以下部分:
?核心层:核心层通常配置两台核心交换机,保证网络核心的高可靠性,如果配置一台核心交换机,则要求核心交换机配置双主控引擎和双电源。核心层通常还要承担各业务应用子系统
服务器群与核心交换机的千兆连接。
?接入层:接入层交换机通常可以提供48端口或者24端口,接入层交换机通过千兆连接到核心层交换机,可以使用堆叠的方式扩展端口密度。
?Internet接入部分,采用10M或双10M光缆专线接入。
?防火墙部分,采用千兆或者百兆防火墙将内网与外网分离,采用千兆防火墙将
服务器群区与核心交换机分离。
?
无线网络部分,采用将
无线AP接入到就近的汇聚点处点,覆盖不容易布线的宽阔场所。
?网络防
病毒软件:采用企业级网络防病毒
软件,确保进驻用户的计算机及
服务器群的
安全。
?
漏洞扫描系统:用于检测网络中存在
安全隐患的设备,找出系统中存在的
安全漏洞,及时进行修补。
?网络认证系统:用于防止非法用户登陆到网络中,窃取网络数据
?网络管理系统:用于对全网的监控,帮助网络管理员快速准确地定位网络中出现的
故障。
下图为中国诚通控股公司新建智能化办公大楼计算机网络系统拓扑结构:
网络核心交换机采用
华为3Com公司的一台S6506R多业务核心交换机,为保证网络的可靠性,我们在核心交换机上配置了冗余引擎和电源。引擎选用Silence III引擎,交换容量为38
4gbps,包转发率为198Mpps。S6506R可以提供万兆接口板,未来可平滑升级到万兆。S6506R采用最长匹配、逐包转发的方式,在保持线速性能和低成本的基础上,革命性的解决了传统交换机的缺陷,能够有效的抗击网络“红色代码”、“冲击波”等病毒的攻击,更加适合大规模、多业务,复杂流量访问的网络。
接入交换机选用华为3Com公司的S3000系列。
51xp接入交换机放置在各楼汇聚层的弱电配线间机柜内。各汇聚层交换机采用48端口和24端口两种二层交换机,具有可管理到端口的能力。华为3Com公司的S3000系列交换机
硬件能够识别、处理四到七层的应用业务流,所有端口都具有单独的数据包过滤、区分不同应用流,并根据不同的流进行不同的管理和控制,对网络中有病毒特征的计算机,可以直接封堵其端口,使有病毒的设备与网络断开,防止病毒在网络中的传播。
我们在智能大厦设置独立的数据中心。数据中心交换机使用华为3Com公司的S6502。S6502的交换引擎内置于接口板中,交换容量可达192Gbps。在S6502上配置10/100/1000M RJ45千兆电接口板,用于连接网卡为100M或1000M接口的
服务器,随着
服务器数量的增加,可以灵活的扩充响应的板卡,以适应各进驻公司业务的发展。为了保证数据中心的
安全性,在数据中心前部署一台千兆防火墙。
Internet出口路由器选用华为3Com公司的AR4640。AR4640采用双总线结构,包转发能力可达350Kpps,如果使用增强引擎,包转发性能可提升到1Mpps。
3、 网络
安全设计
为了保证网络系统的
安全性,除了部署传统的防火墙、IDS、漏洞扫描等系统之外,对终端的接入进行控制越来越成为一种重要的
安全控制手段。智能大厦的网络
安全解决方案应该从多方面出手,进行立体防御。
防火墙是网络系统的核心基础防护设备,它可以对整个网络进行网络区域分割,提供基于IP地址和TCP/IP服务端口等的访问控制,防火墙的部署从以下几个方面考虑:
1、 在Internet出口部署防火墙:
在整个局域网的Internet出口部署华为3Com公司的Secpath100F防火墙。
对外的
服务器,如
web、Email
服务器放在防火墙的DMZ区。
2、
服务器区部署防火墙:
在核心交换机与
服务器区交换机之间配置防火墙;
服务器区防火墙部署华为3Com公司的Secpath1000F。
除了部署传统的防火墙之外,还应该对用户能否接入网络进行控制。
3、端点准入防御
利用华为3Com端点准入防御(EAD,Endpoint Admission Control)模块,从用户终端准入控制入手,整合网络接入控制与终端
安全产品,通过
安全客户端、
安全策略
服务器、网络设备以及第三方
软件的联动,对接入网络的用户终端强制实施企业
安全策略,严格控制终端用户的网络使用行为,可以加强用户终端的主动防御能力,大幅度提高网络
安全。
EAD在用户接入网络前,通过统一管理的
安全策略强制检查用户终端的
安全状态,并根据对用户终端
安全状态的检查结果实施接入控制策略,对不符合企业
安全标准的用户进行“隔离”并强制用户进行病毒库升级、系统补丁安装等操作;在保证用户终端具备自防御能力并
安全接入的前提下,通过动态分配ACL、VLAN合理控制用户的网络权限,提升整网的
安全防御能力。
EAD的应用是从信息
安全角度出发,基于现有的网络环境,通过软
硬件设备对网络
安全进行加固,基本思想是认证-检查 — 隔离 — 加固 — 管理的
安全闭环管理。
?认证:对接入网络的用户身份进行分析,根据用户身份动态分配用户使用网络的权限;
?检查:根据需求制定
安全策略和防病毒策略,根据
安全策略对接入网络的用户终端进行
安全检查和病毒扫描;
?隔离:对有
安全问题和
安全隐患的用户终端进行隔离,以免其感染网络域中的其它用户终端和整个网络;
?加固:帮助有
安全问题和
安全隐患的用户终端进行
安全修补和加固,以便其能够正常进入网络,使用网络资源;
?管理:提供对有
安全问题的终端定位统计功能,提供用户日志查询功能,提供
安全策略编辑、修改功能等。通过制定新的
安全策略,持续保障网络的
安全。
