本系统方案围绕办公楼的信息化网络体系展开,覆盖有线与无线网络、安防专网的整体架构设计,强调分层结构、子网划分、数据安全与高可用性,力求实现高效稳定的网络支撑。
一、计算机网络系统建设架构
- 目标与原则:以部门应用和楼宇管理为核心,打造一个灵活、可靠的硬件平台,支撑日常办公、信息化应用与数据管理。
- 网段与互联方式:将楼宇网络按部门划分为若干逻辑网段,汇聚各类PC、工作站、终端设备,连接局域网并接入广域网,形成结构清晰、内外通信顺畅的计算机网络体系。
- 软硬件环境:在上述基础上构建满足商务运作、办公自动化和管理需求的软硬件环境,开发信息库与应用系统,为职员与访客提供高效便捷的网络信息服务。
二、数据交换网络建设架构
- 总体分工:计算机网络系统区分为内部办公网与对外外网,拓扑采用分层星型设计,核心层与接入层共同组成稳定的网络主干,桌面应用实现千兆级带宽传输。
- 物理网络描述
- 业务分离:内部办公网与外网在逻辑层面隔离,保障安全与性能。
- 核心骨干:中心网络通过多链路100M光纤接入互联网,以高容量骨干交换机作为核心,向各楼层的小机房提供全千兆级接入,无线设备由统一交换平台管理。
- 接入与边界:终端以有线或无线方式接入,边界设独立DMZ区域,承担中心数据管理与对外服务。通过虚拟局域网实现不同应用方向的独立子网,防止广播风暴与安全隐患扩散,确保子网数据稳定运行。
- 内网描述
- 使用场景:内部办公网面向中心内部用户,承载OA、多媒体、网络管理等无需对外互联网的应用。
- 安全与管理:在子网边界部署防火墙、审计与行为管理等安全设备,对数据访问进行可控、可审计的管理,结合VLAN实现跨部门访问控制与资源分离。
- OA系统:提供完备的办公自动化服务,覆盖收发文、办公管理、信息采编、公共信息、个人事务、内部邮件、即时通讯、信息检索等模块,全面支持无纸化办公与行政信息化需求。
- 外网描述
- 功能定位:对接中心数据、物流信息查询、远程资源共享、信息流转与系统远程视频会议等外部访问,为内部和移动用户提供稳定、高效的数据访问与协同能力。
三、视频监控网络建设架构
- 子网定位:视频监控作为独立数据子网,前端接入分离于数据网络,汇聚层专注监控数据传输,最终进入核心层进行处理与存储。
- 系统层级:采用三层星型结构,接入层、汇聚层、核心层分工明确,网络主干为千兆级,终端到桌面的连接为百兆级。
- 终端信号采集
- 设备形态:选用IP网络摄像机进行数字信号采集,减少前端硬件成本与维护工作量。
- 联动性:基于IP架构的摄像机便于与其他安防系统联动,提高整体利用效率。
- 监控数据传输与存储
- 数据传输:监控终端将视频信号以数字形式通过IP链路在监控核心交换处汇聚,核心层提供高容量骨干交换机以确保实时性和稳定性。
- 存储方案:采用IP-SAN模式进行集中化存储,部署大容量存储阵列并实现按时段备份,方便后续查询与留存。
- 实时监控与管理
- 管控方式:核心交换机旁布置监控管理服务器,自动发现并绘制设备拓扑,完成维护、数据采集与传输控制。
- 显示与传输:监控数据经千兆光链路传输至安防中心,在电视墙上实现实时显示与快速调度。
四、数据交换网络建设部署
- 核心交换部署
- 节点与冗余:约500个接入节点接入,配备千兆核心交换机,布局于二层信息中心机房,建立双核心冗余结构。
- 接入层互连:所有接入层交换机通过两条千兆光链路连接至两台核心交换机,服务器群以冗余链路接入核心,确保故障时仍可通畅传输。
- VLAN与访问控制:按部门、应用、视频会议与智能子系统等划分VLAN,跨楼层同部门可互访,部门之间需授权才可通信,核心交换机承担跨VLAN路由与转发任务。
- 核心能力:核心交换机具备1Tbps以上背板容量,支持三层路由、IPv4/IPv6、MPLS、NAT、组播、QoS、带宽控制等特性,确保网络核心的稳定性与扩展性。核心设备具备双电源冗余及多端口高密度接口,以支撑服务器群、网络管理与安全系统的接入。
- 楼层接入部署
- 设备部署:在各楼层小机房布设百兆级接入交换机,负责对终端计算机、无线AP等进行接入管理。
- 功能特性:接入交换机为网管型二层设备,支持端口聚合、VLAN、STP、SNMP等功能,提供10/100M以太端口与千兆上行口,确保从桌面到核心的高效传输。
- 无线接入部署
- 无线覆盖:在一层信息中心部署百兆级无线接入设备,具备千兆上行能力,统一管理无线接入点。
- 控制与组网:无线AP由无线控制器/交换机集中管理,支持Fit AP组网,便于集中运维。
- 覆盖范围:通过在各层公共区域部署无线路由器,确保办公区域实现全覆盖且无感登录。无线设备支持802.11abgn,双频工作(2.4G/5.8G)并提供灵活信道选择。
视频监控局域网
- 汇聚交换部署
- 现场拓扑:约60个前端终端接入,核心层设千兆级汇聚交换机,机房布置在一层信息中心;服务器群通过千兆链路连接至核心交换机。
- 核心能力:核心交换机具备高背板容量与三层路由能力,支持IPv4/IPv6、MPLS、NAT、QoS、带宽控制等,确保核心网络的高稳定性与扩展性。
- 楼层接入部署
- 接入设备:在各楼层布设百兆接入交换机,连接前端视频终端、服务器群、网络管理等。
- 功能特性:网管型二层交换机,支持端口聚合、VLAN、STP、SNMP,提供8/16口10/100M端口与2个千兆光口,确保数据从前端到核心的高效传输。
五、服务器与存储部署
- 内网核心服务器
- 数据库与业务服务器:设两台业务信息化数据库服务器(主备冗余),采用x86架构,配置两张光纤网卡作为存储端口;其他应用服务器按需求配置。
- 存储与备份
- 存储阵列:为业务数据设置两套光纤磁盘阵列,部署数据镜像与在线灾备,采用FC-SAN网络连接前端数据库服务器。
- 灾备设计:通过数据库在线容灾备份软件实现对关键数据的实时备份与恢复能力,提升数据安全性与业务连续性。
- 辅助与外部服务
- 内网服务器群:配置智能卡服务器、OA服务器、FTP服务器等。
- 外网服务:布署边缘WEB、防病毒、邮件等服务器;监控网布置视频存储服务器等,确保综合运维与监控能力。
六、网络安全部署
- 防护体系总体目标:通过在中心网络部署综合安全设备,提升网络运行稳定性与数据安全性,对出入网络及DMZ区域的数据访问进行有效控制与授权。
- 网络管理系统部署
- 功能定位:分区部署内网、外网、监控网的统一网络管理平台,实时发现问题、定位故障、阻断异常,提供监控与防护信息。
- 能力特性:实现故障告警、报表生成、集中设备管理、自动拓扑、流量监控与图形化配置等能力。
- 防火墙系统部署
- 边界防护:在接入边界部署千兆级防火墙,作为安全边界对外网流量进行过滤和保护。
- 功能要求:具备双千兆端口、双千兆光口,支持旁路模式以避免单点故障,引导路由、透明、NAT、混合等工作模式,能够基于域、接口、别名等条件设定安全策略,具备对HTTP、邮件等内容的过滤能力,支持贝叶斯病毒过滤与自学习、RBL实时黑名单管理,且对游戏、聊天、下载等应用进行有效管控。
- 防病毒系统部署
- 外部防护:在互联网接入区域部署防病毒墙,覆盖一定数量的并发用户,实施对外网Web、邮件、FTP、即时通讯等形式的病毒查杀,支持脱壳检测等技术。
- 外网防护软件:配置网络版防病毒软件,覆盖相应用户规模与服务场景。
- 入侵防御系统部署
- 多维防护:在互联网接入区部署入侵防御系统,从主动防护、漏洞阻断、应用访问控制以及关键业务保障等方面提供综合防线。
- 具体能力
- 主动防护:对蠕虫、木马、黑客攻击和恶意流量进行主动阻断,保护资源。
- 漏洞遮断:为主机提供漏洞防护,缓解因补丁滞后造成的风险。
- 应用访问控制:限制IM、P2P、VoIP等敏感应用的带宽滥用。
- 关键业务保障:通过智能防御,降低对关键业务的潜在威胁,提升业务连续性和可用性yy易游。
