一、概述
----XXX大楼计算机网络系统作为3A智能化系统的核心骨干支持架构,担负着为业务办公系统(OA)、楼宇自动化控制系统(BA)以及通信自动化系统(CA)的运作提供一个可靠、稳定网络环境的重要任务。系统从拓扑结构上分成网络平台、系统主机以及软件平台三大部分组成。
二、 系统总体规划
1、设计原则
----1) 安全性和可靠性
----2) 成熟性和先进性
----3) 开放性和可扩展性
----4) 集成性和可管理性
----5) 经济性。
2、系统结构
----大厦计算机网络系统分为网络平台、系统主机、软件平台三个组成部分,其中核心网络由主干交换机组(核心层)和桌面接入交换机群(访问层)、路由器(访问层)构成,并在逻辑上通过VLAN(虚拟专用子网)技术根据功能划分为业务办公网、智能楼宇网以及广域网三个子网;系统主机包括业务办公数据库主机、业务办公应用软件主机以及楼宇智能服务器;软件平台包括网络操作系统、业务应用软件、数据库系统、BA的应用管理软件等。
三、网络平台设计
1、局域网设计
----根据实际应用情况,建议采用千兆以太网与三层交换作为技术定位的局域网网络方案。
2.逻辑拓朴结构
----在逻辑拓扑中网络可划分为若干虚拟局域网,虚拟局域网不受设备物理位置的限制,灵活性较大。按各部分功能划分:SERVER VLAN为服务器群虚网,将各种主要服务器(数据库服务器、应用软件服务器、楼宇智能服务器等)放在一个虚网内便于管理、维护,同时也可以尽可能减少外部入侵及破坏系统的可能性;OA VLAN为业务办公子网、BA VLAN为楼宇智控子网、……根据不同的部门职能,还可划分更细的以部门为单位的子网如VLAN 1、VLAN2……。
3.局域网络具体设计
----根据可靠性及稳定性的设计原则,网络建设将采用新型的Clustering技术,核心交换机采用两台具备智能第二、三层交换能力的1000M企业级交换机冗余并且支持光纤接入。
----根据功能区划分,桌面接入交换机组由带光纤堆叠模块的100M交换机搭载原有的Intel交换机来完成,同时,为了避免浪费投资,我们将区检原来购买的Intel 550和400交换机作为一个桌面接入交换机组,共计6个交换机组。适当的增加交换机堆叠数量,可提供200~600个100M交换端口,具备很强的扩充能力。所有工作站都通过100M网卡连接到桌面接入交换机组上,使100M全交换到桌面。交换机组采用GBIC模块通过1000M光纤上行链路分别与两台主干交换机做相连。
----中心计算机房的业务办公数据库主机和应用软件服务器、楼宇智能服务器等设备直接通过冗余铜缆线路与两台1000M核心交换机上的100M以太网口连接。中心机房内的网管工作站以及一些工作站可通过原来的Intel 400系列交换机冗余连接到主干交换机上或者直接连接到主干交换机上。
----利用主干交换机的三层交换能力以及VLAN功能,将网络划分多个子网:业务办公子网、楼宇智控子网、广域子网、服务器子网等,各子网间能够安全隔离。
4.无线移动接入设计
----由于大楼中存在一些位置难于使用有线线路获得网络访问,而且有些地方存在室内装修不能受到破坏等问题无法进行有线布线。并且在以后的使用过程中,可能有些地方还会出现需要建立临时网络的问题。考虑到这些情况我们引入了先进的无线局域网技术。
----无线局域网是一个灵活的数据通信系统,它能够取代或扩展有线局域网,以提供更多功能。利用射频(RF)技术,无需架设线缆,无线局域网就可以通过空气,穿越墙壁、屋顶甚至水泥结构建筑物来发送和接收数据。无线局域网具有象以太网和令牌环这样的传统局域网技术的所有特性和优势,而且不受电缆连接的限制。这实现了更大的自由和灵活性
采用客户机/服务器无线配置模式来构建无线局域网接入。在需要建立无线局域网的地点或其附近铺设1~2个有线信息点,用于无线局域网接入点设备接入有线局域网。无线局域网解决方案可提供高达11Mbps的吞吐量。
5、广域网设计
1)因特网接入设计
----系统通过一台高性能的并具备安全防护能力的路由器使用ISP提供的DDN数字线路连接到国际互联网。工作站均可通过路由器的Internet网关浏览Internet上的资讯。业主还可建立自己的WEB服务器并连接到互联网上。
2)远程接入设计
----通过使用ACT公司的SDM-9500高性能的路由接口来作为业主专网的远程接入设备,支持帧中继、DDN等多种广域网线路,并且采用模块化设计,具备良好的扩展能力。对于下级单位节点的接入,可根据情况通过帧中继或DDN网来实现。
对于远程办公或外地拨入访问,可通过在路由器上加载Modem模块来实现。这样在内部人员在外地需要查询资料时,可通过拨号访问方式连入网络系统。
3)IP电话系统
----电话网关是实现IPHONE的最关键的硬件设备。它起到了将传统的PSTN的话音信号转换成可以在IP网络上传输的数据包的作用。
----本方案考虑了以后扩展增加IP电话功能的设计,预留了IP电话网络接口。我们面向专线用户的VoIP解决方案中选用的电话网关设备是CISCO的路由器。CISCO路由器符合H.323标准,除提供IPHONE的功能外,它还可以当成标准的提供路由功能的路由器使用,进而提供上网服务,一机多用。
6、区院网络总体拓扑结构图
7、网络管理
----网络管理是保持当今的企业网络以高峰效率运行的一个关键工具。网络管理可以帮助您决定网络中的故障、性能和配置变化。
----通过运用CiscoWorks2000工具,Cisco提供自动发现网络设备、跟踪和审计配置变化、监控和记录设备活动以及跟踪和监控终端站连接上的性能数据和报表的能力。
----CISCO IOS管理特性允许您同步化所有网络事件,将这些事件记录到系统日志服务器以便监控和分析,监控设备的特定事件,在报警发出时发送通知。
----将所有这些结合在一起能使网络管理员保持跟踪其网络,最大限度地提高其效率和生产力。网络管理员不仅仅在局域网内通过一台PC监控管理全部的网络设备,还可以通过远程拨入访问的方式异地监控管理区院的网络设备。
三、系统主机设计
----本方案中选用AS/400(OS/400)系统架构作为业务办公的主机平台, 2台HP LH3服务器可采取WindowsNT系统架构来作为楼宇智能服务器(双机容错)。
----对于大厦原有的基于PC(WindowsNT)平台的应用,利用AS/400良好的兼容性来平滑迁移。S/400服务器具有易管理性,支持多种应用体系结构。AS/400全新的集成式Netfinity服务器(NT卡)允许在AS/400服务器里安装多达3套微软Windows2000(服务器版),并且用同一个服务器管理它们。这样用户的应用程序可不用做任何修改,甚至不用重新编译即可在AS/400e上运行。
四、软件平台设计
----采用AS/400e小型机免费捆绑的强大的OS/400 V4R5操作系统和DB 2数据库系统作为业务数据库主机的系统软件。
----对于楼宇智能主机,由于其采用的是PC结构,根据BMS以及BA系统应用软件的实际运行环境以及区检的实际情况,我们选择目前普遍流行的WindowsNT操作系统和MS SQL数据库系统,以保证楼宇智能应用的正常运行。
五、冗余及备份设计
1、系统冗余方案
--1)网络冗余
----将两台主干路由交换机都配置GBIC千兆模块通过1000M光纤链路作为主干冗余连接。通过两台主干交换机冗余以及桌面接入交换机冗余连接到主干交换机,保证主干交换机与主干交换机之间、主干交换机与桌面接入交换机之间都能够相互冗余容错。
----所有的服务器都使用双网卡,通过冗余铜缆线路分别连接到两台主干交换机的100M端口口上。这样做到了主干交换机与服务器之间完全冗余。
----桌面接入交换机组都通过冗余光纤上行线路连接到两台主干交换机上,对主干100M端口也同样到了容错。这样不但增加了网络带宽,还做到了桌面接入交换机和主干交换机的完全冗余。
同时为主干交换机采用冗余电源模块,增强主干交换机的可靠性。
--2)系统主机冗余
----所有的系统主机采用双机容错方式,业务办公主机、楼宇智能服务器均配备备份主机,实现双机热备份,保证系统主机的完全冗余。
2、安全备份及灾难恢复方案 ----
----备份方法可以分为硬件备份和软件备份。硬件备份指的是用额外的硬件保证系统的连续运行,例如磁盘双工和双机容错,如果某个硬件损坏。备份硬件立即接替它的工作。但是,这种备份方式不能防止逻辑错误。据有关资料统计,系统错误有80%以上属于人为误操作。发生逻辑错误时,硬件备份只会将错误复制一遍,而不能保护数据。实际上,硬件备份应称为硬件容错。
----软件备份指的是把数据保存到其他介质里;当系统出错时,备份系统可以把系统恢复到备份时的状态。这种备份方法可以防止逻辑错误,因为备份介质和系统是分开的,错误不会复制到存储到介质里(如海量磁带系统)。这意味着只要保存足够长的历史数据,就可以恢复正确的数据。
----理想的备份系统是在软件备份的基础上增加硬件容错系统,是网络更加安全可靠。实际上,备份应包括文件/数据库备份和恢复、系统灾难恢复和备份任务管理。
----采用双主机工作方式进行硬件容错,同时通过给业务主机配备海量磁带存储设备来进行软件数据备份,达到完全的备份。
六、系统安全设计
1、主机安全
----采用网段分离技术,把网络上相互间没有直接关系的系统主机分布在不同的网段,由于各网段间不能直接互访,从而减少各系统被正面攻击的机会。网段分离可以采用物理方式以及逻辑方式来实现。在物理上,我们将区检察院网络分为内部业务子网和外部访问子网两网段;在逻辑上运用虚拟专用网技术(VLAN),将应用服务器和工作站根据具体情况分别放在不同的虚拟子网上。
2、数据安全
----用户口令加密存储和传输
----分设操作员
----日志记录和分析
3、网络安全
----在内部网络设计中主要考虑的是网络的可靠性和性能,而如何确保网络安全也是一个不容忽视的问题。为进一步保证系统安全,还要在网络中对防火墙和路由等方面做特殊考虑。
----1) 路由
----为了避免入侵者侵入内部资源,应仔细进行路由配置。路由技术虽然能阻止对内部网段的访问,但不能约束外界公开网段的访问。
----2) 防火墙
----路由器通常都具有过滤型防火墙功能。这一功能通俗地说就是由路由器过滤掉非正常IP包,把大量的非法访问隔离在路由器之外。过滤的主要依据在源、目的IP地址和网络访问所使用的TCP或UDP端口号。几乎所有的应用都有其固定的TCP或UDP端口号,通过对端口号的限制,可以限定网络中运行的应用。
七、产品选型(略)
----本方案中所采取的技术与产品充分考虑到了网络未来的升级与发展,无论从局域网的扩展到广域网的建设都作了周密的考虑。再是由于系统选择的是最成熟与标准的千兆位以太网技术,把网络已构筑了高速和坚固的信息高速公路,面对未来的发展将处于非常有利的境界。
