遼東學院企業(yè)網絡工程設計方案

1 遼東學院企業(yè)網絡工程設計方案 一、需求分析 （一）網絡構建背景需求 為了適應業(yè)務的發(fā)展和國際化的需要，積極參與國家信息化進程，提高管理水平，展現全新的形象，某廠準備建立一個現代化的機構內部網，實現信息的共享、協(xié)作和通訊，并和 下屬各個 部門互連，并在此基礎上開發(fā)建設現代化的企業(yè)應用系統(tǒng)，實現智能型、信息化、快節(jié)奏、高效率的管理模式。總體目標是建立該企業(yè)的辦公業(yè)務信息網絡交換平臺，集成下屬各部門信息網絡系統(tǒng)，功能齊全、技術先進、集成化的網絡系統(tǒng)。 （二）網絡應用需求 1、 實現企業(yè)局域網與其他各網絡之間的安全、高速 數據訪問交換 。 2、 采用 理服務，實現企業(yè)所有站點通過電腦網絡高速訪問 3、 建立 務器，實現企業(yè)在 的信息發(fā)布，使公司內外的人員能夠即使了解公司的最新信息。 4、 建立郵件服務器，實現企業(yè)工作人員與上級機構、分支機構等的電子信息的傳遞。 5 、 構 建 起 企 業(yè) 運 行 基 于 網 絡 設 計 的 客 戶 機 / 服務器 ) 或覽器 /服務器 )結構的辦公自動化系統(tǒng)、各種信息管理系統(tǒng)的網絡硬件平臺和系統(tǒng)運行平臺。 公司 用是作為我們設計網絡一期的依據，因此，我們從公司 用及應用發(fā)展入手，分析目前及未來發(fā)展的公司 用，并根據這些應用的自身特點，從帶寬需求、傳輸時延、傳輸的可靠性、傳輸的安全性等因素來分析，綜合考慮并總結出公司 用的發(fā)展需求。 （三）網絡技術需求 1、主干網絡采用速率為 1000交換技術。作為公司主干的支撐網絡，要求安全可靠，并可實現主干網絡冗余、鏈路容錯等功能。 2、系統(tǒng)各層網絡之間良好互聯。 3、千兆交換機與主機服務器之間良好互聯。 4、 具有良好便捷網絡管理平臺。網管系統(tǒng)是開放式網管平臺，并可以對全網進行故障管理、配置管理、性能管理、事物處理管理、流量控制管理、日志管理、多廠家產 2 品管理、 理、效率管理和圖形化管理。 5、網絡骨干設備具有較高的可靠性；核心設備支持熱插拔，具有容錯設計。 6、網絡設備具有較好的擴展性，系統(tǒng)能夠平滑升級及擴充。 7、采用國際標準 P 協(xié)議。 （四）功能需求 設計 的 網絡 要達到的功能 如下： (1)信息的共享 功能 ； (2)公司管理； (3)辦公自動化； (4)高速 浪 ； （ 5）網絡的各個桌 面用戶可共享數據庫、共享打印機，實現辦公自動化系統(tǒng)中的各功能； （ 6）通信服務功能； （ 7）最終用戶通過廣域網連接可以收發(fā)電子郵件、實現 用、接入互聯網、進行安全的廣域網訪問； （ 8）多媒體功能； （ 9）支持多媒體組播，具有卓越的服務質量保證功能； （ 10）遠程 入訪問功能； （ 11）系統(tǒng)支持遠程 入，外地員工可利用 程訪問公司資源。 （五）網絡安全需求 網絡安全主要解決訪問互聯網及中心服務器的安全問題，考慮以下因素： 1、公司網與 相連后具有“防火墻” 過濾功能，以防止網絡黑客入侵網絡系統(tǒng)； 2、良好的認證體系可防止假冒合法用戶的攻擊； 3、良好的備份和恢復機制，可在攻擊造成損失時，幫助系統(tǒng)盡快地恢復數據和系統(tǒng)服務； 4、多層防御，攻擊者在突破第一道防線后，應有多層防御可以延緩或阻斷其到達攻擊目標； 5、通過 址轉換功能隱藏內部信息，這樣可以使攻擊者不能了解系統(tǒng)內的基本情況； 6、設立安全監(jiān)控中心為信息系統(tǒng)提供安全體系管理、監(jiān)控、保護及緊急情況服務。 3 二、 網絡規(guī)劃設計 （一）設計目標 該企業(yè)網絡系統(tǒng)應是一個以寬帶 為目標，建立數據、語音、 視頻三網合一的一體化內部辦公網絡和外部寬帶。網絡系統(tǒng)應實現虛擬局域網（ 功能，以保證全網的良好性能及網絡安全性。主干網交換機應具有很高的包交換速度，整個網絡應具有高速的三層交換功能。主干網絡應該采用成熟的、可靠的千兆以太網技術作為網絡系統(tǒng)主干。同時該網應選用先進的網管軟件，建立完善的網絡管理體系；在設備方面，應選擇有成功案例的網絡廠商的設備，同時為 號用戶和移動用戶提供接口，網絡還應具有良好的擴展性。 （二）設計原則 1、 遵循中國公眾多媒體通信網技術體制、中國公眾多媒體通信 網工程實施技術要求以及其它國家相關標準和技術體制。 2、 采用層次化設計，網絡結構的不同部分有不同的功能，使網絡具有優(yōu)良的結構。 3、 優(yōu)化網絡和系統(tǒng)結構，并在各個層面考慮冗余和備份，使系統(tǒng)具有較高的容錯能力和應變能力，以保證系統(tǒng)的可靠和有效運作 。 4、 選用的技術確保開放性、可移植性、兼容性和 可 擴展性。 采用通用的國際標準和協(xié)議，不采用有礙網絡互通的廠家特有性能。 5、 提供有效的安全保密措施，確保整個網絡的安全。重要網絡設備應有適當的冗余備份。 6、 盡量詳細準確，減低工程的復雜程度，使系統(tǒng)建設和改造 的工作量減至最少，以保證工程的順利和有效完成。 （三）設計要求 1、 實用性：網絡建設從應用實際需求出發(fā)，堅持為領導決策服務，為經營管理服務，為生產建設服務。另外，如果是對現有網絡升級改造，還應該充分考慮如何利用現有資源，盡量發(fā)揮設備效益。 2、 適度先進性：規(guī)劃局域網，不但要滿足用戶當前的需要，還應該有一定技術前瞻性和用戶需求預見性，考慮到能夠滿足未來幾年內用戶對網絡功能和帶寬的需要。采 4 用成熟的先進技術，兼顧未來的發(fā)展趨勢，即量力而行，又適當超前，留有發(fā)展余地。 3、 經濟性：要求價格適中，設備及耗材要求采用質 量過硬，物美價廉，投資預算不超過 20 萬。 4、 安全可靠性：確保網絡可靠運行，在網絡的關鍵部分應具有容錯能力，提供公共網絡連接、通信鏈路、服務器等全方位的安全管理系統(tǒng)。 5、 開放性：采用國際標準通信協(xié)議、標準操作系統(tǒng)、標準網管軟件、采用符合標準的設備，保證整個系統(tǒng)具有開放特點，增強與異機種、異構網的互聯能力。 6、 可擴展性：系統(tǒng)便于擴展，保證前期的投資的有效性與后期投資的連續(xù)性 7、 安全保密性：為了保證網上信息的安全和各種應用系統(tǒng)的安全，在規(guī)劃時就要為局域網考慮一個周全的安全保密方案。 （四）設備分析 根據對 網絡需求的考察，根據合理性、實用性和節(jié)約費用等原則進行設備選擇 ： 1、 基于路由器和交換機的局部網間的互聯是最好的解決方案。網絡協(xié)議方面，以網際協(xié)議（ 為校園網網絡系統(tǒng)的公用網絡協(xié)議實行標準化，使用 為標準傳輸協(xié)議，在以后對網絡進行擴充以與其它的網絡互連時，可以跨越多個平臺自然而然地提供互操作能力和無縫連接功能 。 2、 在主干網建設時，選擇 統(tǒng)產品，它能夠以極具競爭力的價格提供所有技術，為我們提供一個集成化、高性能、靈活、可伸縮、安全和高性能價格比的解決方案的標準。 3、 在局部網建設方面，選 擇使用 備作為骨干網基礎設施的基礎。 夠高速傳輸數據，同時通過它們 一體化的網絡解決方案。 4、 計算機終端設備的選型既考慮性能、價格比、設備的運行維護費用，也考慮設備的可擴充性，確保系統(tǒng)主要設備的投入在整個系統(tǒng)的生命周期內能得到充分利用并具有強健靈活的體系結構。同時，也考慮局部子網對硬件和信息流量的要求，必須能夠提供專用的高速帶寬，以處理日常數據信息和峰值操作，并能夠支持各種新技術和新增用戶。 5、 安 全性是另一個關鍵要求，要保證能夠安全地接入 （五） 網絡拓撲結構設計 在用戶的網絡結構設計中，我們建議采用層次化的結構設計。 對于用戶即將建設的網絡系統(tǒng)來說，想要建設成為一個覆蓋范圍廣、網絡性能優(yōu)良、 5 具有很強擴展能力和升級能力的網絡，在起初的設計中就必須采用層次化的網絡設計原則。采用這樣的結構所建設的網絡具有良好的擴充性、管理性，因為新的子網模塊和新的網絡技術能被更容易集成到整個系統(tǒng)中，而不破壞已存在的骨干網。 大多數的網絡都可以被層次性劃分為三個邏輯服務單元：核心骨干網 (匯聚網 (接入網 (模塊化網絡設計方法的目標在于把一個大型的網絡元素劃分成一個個互連的網絡層次。層次性結構如下圖 一 所示。 圖一 根據項目的具體需求及現有的光纖結構，結合網絡建設的基本理論和原則，各入網部門的實際情況，應用需求，資金條件和遠，近目標等各方面的要求，設計出該網絡為拓撲結構為分層的集中式結構或稱星型分級拓撲。 內部網絡拓撲圖： 6 圖二 網絡邏輯拓撲結構如圖 二 所示。它是在基于高端路由交換機的基礎之上而設計的新的網絡拓撲結構。簡要說明如下 ： 整個網絡由核心層、匯聚層和接入層兩大部分組成。 核心層是由 業(yè)級核心路由交換機組成。 匯聚層 是 由 由交換機組成。 接入層是由接入層樓層交換機 成。 主要網絡設備列表： 拓撲結構 設備型號 數量（臺） 核心層路由交換機 匯聚層路由交換機 接入層樓層交換機 6 以行政樓中心機房為中心，下屬部門為接入點的星型連接方式。現階段出于用戶的應用和先進性考慮，通過千兆光纖連接。 各樓層的辦公網是以星型的方式千兆直接連接到各匯聚機房的匯聚交換機上后，由匯聚交換機通過千兆接到核心交換機。我們可采用千兆路由交換機與各 段的交 7 換機（ 接而組成星型網絡，實現千兆核心網絡到各樓層，百兆到桌面，滿足各種應用的需要。 核心層交換機與服務器群的相連是以千兆以太網的方式。 （六） 內部網絡設計 1 核心層交換機的設計 核心層主要功能是給 下層各業(yè)務匯聚節(jié)點提供 務平面高速承載和交換通道，負責進行數據的高速轉發(fā)，同時核心層是局域網的骨干，是局域網互連的關鍵。對核心骨干網絡設備的部署應為能夠提供高帶寬、大容量的核心路由交換設備，同時應具備極高的可靠性，能夠保證 24 小時全天候不間斷運行，也就必須考慮設備及鏈路的冗余性、安全性，而且核心骨干設備同時還應擁有非常好的擴展能力，以便隨著網絡的發(fā)展而發(fā)展。 基于對核心層的功能及作用，根據用戶的實際需求，本方案中對網絡系統(tǒng)中核心層由 列的企業(yè)級核心交換機 成 。其主要任務是提供高性能、高安全性的核心數據交換、 為接入層提供高密度的上聯端口。為整個大樓寬帶辦公網提供交換和路由的核心，完成各個部分數據流的中央匯集和分流。同時為數據中心的服務器提供千兆高速連接。 根據該企業(yè)的建筑分布及網絡規(guī)模，以行政樓的中心機房作為整個網絡系統(tǒng)的核心節(jié)點。核心節(jié)點由 2 臺同檔次的網絡核心設備構成，它們互為備份且流量負載均衡。 2臺網絡核心交換機作為整個網絡的核心層設備，為各個匯聚層和接入層交換機提供上聯。同時提供了各個服務器的可靠接入。 由于 路 由交換機，也即同時具有第二層和第三層的交換能力，為了充分利用資源，將 務器、 E 務器、數據庫服務器、文件 務器、認證的服務器（ 及網管設備等通過千兆直接連人核心交換機，以解決帶寬瓶頸，充分利用核心交換機的交換能力。 核心交換機作為信息網絡的核心設備，性能的優(yōu)劣直接影響到整個網絡運行。在設備的選型上必須考慮到有足夠的背板帶寬，包交換能力，是否支持設備的冗余，安全性，擴展性等各種性能。企業(yè)級核心交換機 全滿足上述的各項要求。 企 業(yè)級核心路由交換機 性能特性及技術指標如下： 交換機類：企業(yè)級交換機 應用層級：三層 接口介質： 10/100 1008 傳輸速率： 1000 端口數量： 48 背板帶寬： 32 持：支持 網管功能：網管功能 包轉發(fā)率： 址： 12k 網絡標準： 端口結構：非模塊化 2 匯聚層交換機的設計 匯聚層主要完 成的任務是對各業(yè)務接入節(jié)點的業(yè)務匯聚、管理和分發(fā)處理，是完成網絡流量的安全控制機制，以使核心網和接入訪問層環(huán)境隔離開來；同時匯聚層起著承上啟下的作用，對上連接至核心層，對下將各種寬帶數據業(yè)務分配到各個接入層的業(yè)務節(jié)點，匯聚層位于中心機房或下聯單位的分配線間，主要用于匯聚接入路由器以及接入交換機。 因此對匯聚層的交換機部署時必須考慮交換機必須具有足夠的可靠性和冗余度，防止網絡中部分接入層變成孤島；還必須具有高處理能力，以便完成網絡數據會聚、轉發(fā)處理；具有靈活、優(yōu)化的網絡路由處理能力，實現網絡匯聚的優(yōu)化。而且 規(guī)劃匯聚層時建議匯聚層節(jié)點的數量和位置應根據業(yè)務和光纖資源情況來選擇；匯聚層節(jié)點可采用星形連接，每個匯聚層節(jié)點保證與兩個不同的核心層節(jié)點連接。 根據匯聚層在整個網絡中的作用以及用戶的實際需求，本方案中匯聚層共設計了 3個節(jié)點，即：行政樓、生產車間和運輸樓（工段辦）。 匯聚層網絡設備全部采用了 換機。該交換機支持各種高級路由協(xié)議，如 播、 由。 匯聚路由交換機 性能特性及技術指標如下： 交換機類：企業(yè)級交換機 應用層級：三層 接口介質： 10/100 100 傳輸速率： 1000 端口數量： 24 背板帶寬： 32 持：支持 9 網管功能： 管理 3 接入層交換機的設計 接入層主要用來支撐客戶端機器對服務器的訪問，主要是指接入路由器、交換機、終端訪問用戶。它利用多種接入技術，迅速覆蓋至用戶節(jié)點，將不同地理分布的用戶快速有效地接入到信息網的匯聚。對上連 接至匯聚層和核心層，對下進行帶寬和業(yè)務分配，實現用戶的接入。 根據我們所借鑒的項目設計經驗，匯聚層節(jié)點與接入層節(jié)點可考慮采用星形連接，每個接入層節(jié)點與兩個匯聚層節(jié)點連接。當接入層采用其它結構（如環(huán)行）連接到匯聚層時，建議提供兩條不同路由通道。 根據接入層處在網絡系統(tǒng)中所起的作用以及用戶的實際需求，本方案中接入層部分由 司的 換機構成。其主要功能是為該區(qū)域下屬各部門的網絡用戶提供大量性價比極高的 10/100 兆網絡接口，并與信息中心的核心交換機通過 1000 兆光纖 鏈路互聯為接入的用戶提供高速上聯。 接入層樓層交換機 性能特性及技術指標情況如下： 交換機類：快速以太網交換機 應用層級：二層 傳輸速率： 1000000M 端口數量： 24 背板帶寬： 16 持：支持 網管功能： 覽器 包轉發(fā)率： 址： 8K 網絡標準： 02 端口結構：非模塊化 交換方式：存 儲 產品內存： 64 傳輸模式：支持全雙工 網管支持：支持 模塊化插： 2 10 4軟件選擇 1、名稱： 數據庫 品牌： i 型號規(guī)格： i 標準版 (5 用戶 ) 2、 名稱： 務器 品牌： 型號規(guī)格： 5000 用戶 美國億郵公司專業(yè)郵件系統(tǒng) 3、名稱： 服務器操作系統(tǒng) 品牌： 微軟 型號規(guī)格： 000 教育中文標準版 (5 客戶 ) 4、 名稱： 服務器操作系統(tǒng) 品牌： 型號規(guī)格： 5、名稱： 000 品牌： 微軟 型號規(guī)格： 育中文標準版 (5 客戶 ) 5 址的設計 （ 1） 址規(guī)劃和分配原則 1） 根據目前網絡結構和以后擴展，遵循以下原則進行 址分配。 址必須唯一，一個 址對應一臺數據通訊設備； 同一網絡區(qū)域分配連續(xù)的網絡地址，便于規(guī)劃，同時提高路由器尋徑效率； 址的分配應該有層次性，某個局部的變動不影響網絡的其它部分； 用可變長子網掩碼技術，要求采用支持可變長子網掩碼技術的 P 協(xié)議族； 便路由匯總，縮減路由表條目，提高路由器處理效率。 要考慮到 址的使用現狀，又要考慮到未來信息網絡的發(fā)展，為各單位分配合理的地址空間，在網絡上盡可能少地做 少網絡設備 理負擔和加快網絡訪問速度。 2）業(yè)務地址的劃分可以按照兩個原則來分配： 個部門一個獨立的網段；這種方案適合業(yè)務種類單一的情況，管理方便。 種業(yè)務一 個網段，所有的地市同一業(yè)務使用同一網段，這種方案適合業(yè)務之間互訪的控制。 （ 2） 網絡地址分配 址規(guī)劃和分配包括以下內容： 1）設備及互連鏈路地址規(guī)劃與分配 2）業(yè)務地址規(guī)劃與分配 11 3）服務器地址規(guī)劃與分配 根據以上 址的劃分原則，本方案建議 設計如下： A 段（行政樓、門衛(wèi)）： 2 B 段（生產車間、產區(qū)辦）： 3 C 段（運輸樓、工段辦）： 7 6 設計 （ 1） 劃分的作用及原則 虛擬局域網的英文縮寫，它最簡明的描述就是可以實現將連接在同一個物理網絡上面的主機分組，使它們看起來就象連接在不同的網絡上一樣。我們可以通過 網絡分段，各個網段可以共用同一套網絡設備，節(jié)約了網絡硬件的開銷，同時在遷移中所需的工作量也大幅度降低了，從而降低了連網成本。 在用戶的企業(yè)局域網系統(tǒng)中，我們建議基于 準實現 在 計中，我們使用 到兩個目的： 第一，不同業(yè)務部門之間的隔離和通信控制； 第二，廣播范圍抑制。 （ 2） 分 建議根據各個辦公室的地理位置來劃分 如果同一棟樓內包含很多部門，而這些部門的職能和工作內容又有很大的區(qū)別，我們就可以在樓內按照部門來劃分 另外，如果某個部門需要跨越很多建筑物，分布范圍比較廣，例如部門 A 分布的很散，在很多交換機上都預留了部門 A 的信息點，我們則可以按照交換機的位置來設置 樣，部門 A 就可能對應多個 果 部門 A 所對應的 間需要通信的話，我們可以通過 的路由來實現。這樣做的好處是：可以減少廣播數據包對網絡主干的影響。因為如果將部門 A 全部劃分到一個 ，而這些 跨越了網絡主干，分布在眾多不同的交換機上，這樣如果有廣播包時，這些廣播包必然會在網絡的主干上傳輸，然后到達相應的交換機上，也就占用了網絡主干的帶寬，容易造成其他業(yè)務的時延。 為了減少傳輸沖突，提高系統(tǒng)整體性能和網絡處理能力，另外，還考慮到網絡良好的管理性，易于維護和安全策略的實施，針對用戶網絡系統(tǒng)的實際情況，可以 把功能（應用）相近的設備群組劃分到同一 同部門的設備劃分到不同 去，這樣就能夠通過訪問控制列表技術實施安全策略。限制未授權的用戶訪問重要的服務器和 12 數據庫。 （ 3） 間安全控制 在用戶網絡系統(tǒng)中，由于在中心使用了三層核心交換機，因此所有的 間的訪問都需要通過三層核心交換機進行，因此可以通過 問控制列表）控制 樣就可以允許高優(yōu)先級的 訪問低優(yōu)先級的 ，而低優(yōu)先級的 不能訪問或有限的訪問高優(yōu)先級 。 （七） 外部 網絡設計 該企業(yè)網絡用戶為對 行訪問，而且為了保證其安全性，要求能夠訪問用戶與不能訪問 用戶進行完全的物理隔離，則需要另建立一套網絡系統(tǒng) (簡稱為外網 )。網絡用戶 (即外網用戶 ) 通過外網布線系統(tǒng)接至各樓層的交換機，匯總到外網的主交換機后，接入到防火墻上，防火墻通過 址轉換功能（ 將網絡用戶 (即外網用戶 )的私有 址轉換成 網 址，通過光電轉換器與電信相連的方式訪問 使該企業(yè)網絡內外網互相獨立，達到 完全的物理隔離的目的。 與外部網絡互連的設備是帶防火墻的路由器，根據需要選擇企業(yè)級路由器 性能特性及技術指標情況如下： 端口結構：非模塊化 廣域網接： 2 個 局域網接： 4 個 傳輸速率： 10/100/1000 網絡管理： 理 用戶數量： 800 臺 防火墻：內置防火墻 持：支持 持：支持 處理器： 64 位全千兆網絡芯片 網絡安全：支持網站過濾 上網限制 狀態(tài)指示： 度，電源， 電源功 率：最大 25W 環(huán)境標準：工作溫度： 0 工作 其它性能： 纖、以太網、 13 三、綜合布線設計 （一）綜合布線概述 現代科技的進步使計算機及網絡技術飛速發(fā)展，提供越來越強大的計算機處理能力和網絡通信能力。計算機及網絡通信技術的應用大大提高了現代企業(yè)的生產管理效率，降低運作成本，并使得現代企業(yè)能更快速有效地獲取市場信息，及時決策反應，提供更快捷更滿意的客戶服務，在競爭中保持領先。計算機及網絡通信技術的應用已經成為企業(yè)成功的一個關鍵因素。 綜合布線系統(tǒng)就是為了順應發(fā)展需求而特別設計的一 套布線系統(tǒng)。對于現代化的大樓來說，就如 人 體內的神經，它采用了一系列高質量的標準材料，以模塊化的組合方式，把語音、數據、圖像和部分控制信號系統(tǒng)用統(tǒng)一的傳輸媒介進行綜合，經過統(tǒng)一的規(guī)劃設計，綜合在一套標準的布線系統(tǒng)中，將現代建筑的三大子系統(tǒng)有機地連接起來，為現代建筑的系統(tǒng)集成提供了物理介質?？梢哉f結構化布線系統(tǒng)的成功與否直接關系到現代化的大樓的成敗，選擇一套高品質的綜合布線系統(tǒng)是至關重要的。 計算機及通信網絡均依賴布線系統(tǒng)作為網絡連接的物理基礎和信息傳輸的通道。傳統(tǒng)的基于特定的單一應用的專用布線技術因缺乏靈活性 和發(fā)展性，已不能適應現代企業(yè)網絡應用飛速發(fā)展的需要。而新一代的結構化布線系統(tǒng)能同時提供用戶所需的數據、話音、傳真、視像等各種信息服務的線路連接，它使話音和數據通信設備、交換機設備、信息管理系統(tǒng)及設備控制系統(tǒng)、安全系統(tǒng)彼此相連，也使這些設備與外部通信網絡相連接。它包括建筑物到外部網絡或電話局線路上的連線、與工作區(qū)的話音或數據終端之間的所有電纜及相關聯的布線部件。布線系統(tǒng)由不同系列的部件組成，其中包括：傳輸介質、線路管理硬件、連接器、插座、插頭、適配器 、 傳輸電子線路、電器保護設備和支持硬件 等。 （二）綜合布線系 統(tǒng)的特點 相對于以往的布線，綜合布線系統(tǒng)的特點可以概況為： 實用性 ： 實施后 ， 布線系統(tǒng)將能夠適應現代和未來通信技術的發(fā)展，并且實現話音、數據通信等信號的統(tǒng)一傳輸 。 靈活性 ： 布線系統(tǒng)能滿足各種應用的要求，即任一信息點能夠連接不同類型的終端設備，如電話、計算機、打印機、電腦終端、傳真機、各種傳感器件以及圖 像 監(jiān)控設備等。 模塊化 ： 綜合布線系統(tǒng)中除去固定于建筑物內的水平纜線外，其余所有的接插件都是基本式的標準件，可互連所有話音、數據、圖 像 、網絡和樓宇自動化設備，以方便使用、搬遷、更改、擴容和管理。 14 擴展性 ： 綜合布線系 統(tǒng)是可擴充的，以便將來有更大的用途時 ， 很容易將新設備擴充進去。 經濟性 ： 采用綜合布線系統(tǒng)后可以使管理人員減少，同時，因為模塊化的結構，工作難度大大降低了日后因更改或搬遷系統(tǒng)時的費用。 通用性 ： 對符合國際通信標準的各種計算機和網絡拓撲結構均能適應，對不同傳遞速度的通信要求均能適應，可以支持和容納多種計算機網絡的運行。 （三）綜合 布線系統(tǒng) 的結構 根據國際標準 定義，結構化布線系統(tǒng)可由以下系統(tǒng)組成：工作區(qū)子系統(tǒng) 、 水平干線子系統(tǒng) 、 垂直干線子系統(tǒng) 、 設備間子系統(tǒng) 、 管理子系統(tǒng) 、 建筑群子系統(tǒng)。 整個建筑的綜 合布線系統(tǒng)是將各種不同組成部分構成一個有機的整體，而不是像傳統(tǒng)的布線那樣自成體系，互不相干，也很難互通。 1工作區(qū) 子系統(tǒng) 工作區(qū)子系統(tǒng)（ 它是由 線與信息 插 座所連接的設備（終端或工作站）組成的。其中，信息 插 座有墻上型、地面型、桌上型等多種。 在進行終端設備和 I/O 連接時，可能需要某種傳輸電子裝置，但這種裝置并不是工作區(qū)子系統(tǒng)的一部分。例如，調制解調器，它能為終端與其他設備之間的兼容性傳輸距離的延長提供所需的轉換信號，但不能說是工作區(qū)子系統(tǒng)的一部分。 工作區(qū) 子系統(tǒng)中所使用的連接器必須具備有國際 準的 8 位接口，這種接口能接收樓宇自動化系統(tǒng)所有低壓信號以及高速數據網絡信息和數碼聲頻信號。工作區(qū)子系統(tǒng)設計時要注意如下要點 ： （ 1） 從 座到設備間的連線用雙絞線，一般不要超過 5m； （ 2） 座必須安裝在墻壁上或不易碰到的地方，插座距離地面 30上 ； （ 3） 配線架上的信息模塊與信息插座和插頭的線纜的制作要采用同一標準，如68A 或 568B，不可接錯。 2水平干線子系統(tǒng) 水平干線子系統(tǒng)（ 稱為水平子系統(tǒng)。水平干線子系統(tǒng)是整個布線系統(tǒng)的一部分 ， 它是從工作區(qū)的信息插座開始到管理間子系統(tǒng)的配線架 。 結構一般為星狀結構，它與垂直干線子系統(tǒng)的區(qū)別在于：水平干線子系統(tǒng)總是在一個樓層上，僅與信息插座、管理間連接。在綜合布線系統(tǒng)中，水平干線子系統(tǒng)由 4 對 屏蔽雙絞線）組成，能支持大多數現代化通信設備，如果有磁場干擾或信息保密時可用屏蔽雙絞線。在高寬帶應用時，可以采用光纜。 15 從用戶工作區(qū)的信息插座開始，水平布線子系統(tǒng)在交叉處連接，或在小型通信系統(tǒng)中的以下任何一處進行互聯：遠程（衛(wèi)星）通信接線間、干線 接線間或設備間。在設備間中，當終端設備位于同一樓層時，水平干線子系統(tǒng)將在干線接線間或遠程通信（衛(wèi)星）接線間的交叉連接處連接。 在水平干線子系統(tǒng)的設計中，綜合布線的設計必須具有全面介質設施方面的知識，能夠向用戶或用戶的決策者提供完善而又經濟的設計。 考慮用戶的需求， 設計時要注意如下要點 ： （ 1） 水平干線子系統(tǒng)用線一般為雙絞線 ； （ 2） 長度一般不超過 90m； （ 3） 用線必須走線槽或在天花板吊頂內布線，盡量不走地面線槽 ； （ 4） 用 五 類雙絞線可傳輸速 率 為 100s，用超五類雙絞線可傳輸速率為 1s； （ 5） 確定介質布線方法和線纜的走向 ； （ 6） 確定距服務接線間距離最近的 I/O 位置 ； （ 7） 確定距服務接線間距離最遠的 I/O 位置 ； （ 8） 計算水平區(qū)所需線纜長度。 3垂直干線子系統(tǒng) 垂直干線子系統(tǒng)也稱骨干子系統(tǒng)（ 它是整個建筑物綜合布線系統(tǒng)的一部分。它提供建筑物的干線電纜，負責連接管理間子系統(tǒng)到設備間子系統(tǒng)的子系統(tǒng)，一般使用光纜或選用大對數的非屏蔽雙絞線。它也提供了建筑物垂直干線電纜的路由。該子系統(tǒng)通常是在兩個單元之間，特別是在位于中央結點的公共系統(tǒng)設備處 提供多個線路設施。該子系統(tǒng)由所有的布線電纜組成，或由導線和光纜以及將此光纜連到其他地方的相關支撐硬件組合而成。傳輸介質可能包括一幢多層建筑物的樓層之間垂直布線的內部電纜或從主要單元如計算機房或設備間和其他干線接線間來的電纜。 為了與建筑群的其他建筑物進行通信，干線子系統(tǒng)將中繼線交叉連接點和網絡接口（由電話局提供的網絡設施的一部分）連接起來。網絡接口通常放在設備相鄰的房間。 垂直干線子系統(tǒng)還包括如下幾項 ： （ 1） 垂直干線或遠程通信（衛(wèi)星）接線間、設備間之間的豎向或橫向的電纜走向用的通道 ； （ 2） 設備間和網絡接 口之間的連接電纜或設備與建筑群子系統(tǒng)各設施間的電纜 ； （ 3） 垂直干線接線間與各遠程通信（衛(wèi)星）接線間之間的連接電纜 ； （ 4） 主設備間和計算機主機房之間的干線電纜 。 設計 與安裝 時要注意如下要點 ： 16 （ 1） 垂直干線子系統(tǒng)一般選用 超五類 纜或多模光纖 ，以提高傳輸速率 ； （ 2） 光纜可選用多模的（室外遠距離的），也可以是單模的（室內） ； （ 3） 垂直干線電纜的拐彎處不要直角拐彎，應有相當的弧度，以防光纜受損 ； （ 4） 垂直電纜要求安裝在 內或槽內 ，架空電纜要防止雷擊 ； （ 5） 確定每層樓的干線要求和防雷電的設施 ； （ 6） 滿足整幢大樓干線要求和防雷擊的設施。 4設備間子系統(tǒng) 設備間子系統(tǒng)也稱設備子系統(tǒng)（ 設備間子系統(tǒng)由電纜、連接器和相關支撐硬件組成。它把各種公共系統(tǒng)設備的多種不同設備互聯起來，其中包括郵電部門的光纜、同軸電纜、程控交換機等。設計時注意要點如下 ： （ 1） 設備間要有足夠的空間保障設備的存放 ； （ 2） 設備間要有良好的工作環(huán)境（溫度、濕度） ； （ 3） 設備間的建設標準應按機房建設標準設計 ，要有性能良好的接地保護系統(tǒng) 。 5管理子系統(tǒng) 管理間子系統(tǒng)（ 交連、互聯和 I/O 組成。管理間為連接其他子系統(tǒng)提供手段，它是連接垂直干線子系統(tǒng)和水平干線子系統(tǒng)的設備，其主要設備是配線架、 機柜、電源。 交連和互聯允許將通信線路定位或重定位在建筑物的不同部分，以便能更容易地管理通信線路。 I/O 位于用戶工作區(qū)和其他房間或辦公室，使在移動終端設備時能夠方便地進行插拔。在使用跨接線或插入線時，交叉連接允許將端接在單元一端的電纜上的通信線路連接到端接在單元另一端的電纜上的線路。跨接線是一根很短的單根導線，可將交叉連接處的二根導線端點連 接起來；插入線包含幾根導線，而且每根導線末端均有一個連接器。插入線為重新安排線路提供了一種簡易的方法。 互聯與交叉連接的目的相同，但它不使用跨接線或插入線，只使用帶插頭的導線、插座、適配器?；ヂ摵徒徊孢B接也適用于光纖。在遠程通信（衛(wèi)星）接線區(qū)，如果是安裝在墻上的布線區(qū)，交叉連接可以不要插入線，因為線路經常是通過跨接線連接到 I/ 設計時要注意如下要點： （ 1） 配線架的配線對數可由管理的信息點數決定 ； （ 2） 利用配線架的跳線功能，可使布線系統(tǒng)實現靈活、多功能的能力 ； （ 3） 配線 柜一般由配線模塊、配線架和 理線面板組成； （ 4） 管理間子系統(tǒng)應有足夠的空間放置配線架和網絡設備（ 換 機 等） ； 17 （ 5） 網絡設備需配有安全接地保護系統(tǒng)和功率匹配的凈化電源或 （ 6） 設備房間內 保持一定的溫度和濕度， 以利于設備維護 。 6 建筑群子系統(tǒng) 該子系統(tǒng)將一個建筑物的電纜延伸到另外一些建筑物中的通信設備和裝置上，是結構化布線系統(tǒng)的一部分，支持提供樓群之間通信所需的硬件。它由大對數電纜、光纜和入樓處線纜上的過流、過壓電氣保護設備等相關硬件組成，常用介質是光纜。 設計中進入主設備間的所有光纖、大對數電纜、電信電纜都采用金 屬橋架或鋼管進行硬件保護，同時采用 對保護器對銅纜予以電氣保護，避免人員和設備免遭外部電壓和電流的傷害。 本方案中的建筑群子系統(tǒng)包括與電信部門的電纜 /光纜連接，及將來與職工住宅小區(qū)的連接；住宅小區(qū)通過光纜主干與辦公樓連接，可使辦公區(qū)、住宅區(qū)共享一條寬帶，實現家庭辦公的需要，節(jié)省網絡使用費。 （四）系統(tǒng)總體設計 根據公司建筑物的結構以及綜合布線的設計方案，規(guī)劃出線纜走向，綜合布線的各個系統(tǒng)以及線纜的大致走向的示意圖如圖 示。 圖 合布線的示意圖 18 （五）系統(tǒng)結構設計描述 在企業(yè)網絡 的規(guī)劃與設計的布線設計中，我們針對辦公樓的建筑布局、信息點分布及弱電井位置等實際情況，在樓層配線間的設計上進行了優(yōu)化配置：既考慮了樓層配線架的安裝位置盡量不占用辦公區(qū)域，便于管理；也考慮了使用上的靈活性及水平線纜90m 的要求。根據公司對上網的要求，我們采用高帶寬的光纖接入。在綜合布線的整個過程中我們依照以下設計原則： 以“滿足客戶的需求”為第一前提，適當超前，統(tǒng)一規(guī)劃； 先進性：選擇的產品要技術領先期長、產品豐富，價格適中；具有大容量、高速率，能適應將來發(fā)展的應用； 可擴展性：布線系統(tǒng)不但要能滿足現階段的 業(yè)務需求，還要滿足將來業(yè)務增長和新技術發(fā)展的要求； 便于升級：計算機網絡技術以驚人的速度向前發(fā)展，因此系統(tǒng)的設計要便于升級； 高可靠性：綜合布線系統(tǒng)是網絡應用所依賴的基礎，因此選擇的系統(tǒng)產品要具備較好的可靠性和抗干擾性； 標準化：通訊協(xié)議和接口符合國際標準，并應是今后的發(fā)展主流； 開放性：能容納不同廠家的設備和不同的網絡平臺； 安全性：具有保證信息不被竊、不丟失的機制； 實用性：系統(tǒng)拓撲結構滿足公司的各種應用要求； 設計、施工、運營與服務：強調以人為本的設計思想，為用戶提供安全、舒適、方便、快捷、高效、工作 環(huán)境； 由于布線系統(tǒng)有很長的使用期，反復布線只會造成投資上的浪費和時間上的消耗。因此，在設計時盡量做到統(tǒng)一規(guī)劃，注重實用，適當超前，一次達到較為先進的水平。 19 四、 網絡安全設計 網絡安全是一種策略及管理，而不僅僅是某一種產品，是一個系統(tǒng)工程，它包括了物理層、網絡層、應用層等一系列安全措施和策略。從外在上安全包括五個基本要素：機密性、完整性、可用性、可控性與可審查性。 1、 機密性：確保信息不暴露給未授權的實體或進程。 2、 完整性：只有得到允許的人才能修改數據，并且能夠判別出數據是否已被篡改。 3、 可 用性：得到授權的實體在需要時可訪問數據，即攻擊者不能占用所有的資源而阻礙授權者的工作。 4、 可控性：可以控制授權范圍內的信息流向及行為方式。 5、 可審查性：對出現的網絡安全問題提供調查的依據和手段。 （一） 網絡安全設計 通常認為，安全是三分技術，七分管理，因此我們建議該企業(yè)網絡系統(tǒng)的安全保護措施： 1 人員角色劃分 要對用戶網絡進行有效的安全管理，必須對系統(tǒng)的使用人員和管理人員的不同角色進行清晰的劃分，不同的角色擁有不同的權限和職責，互相制約，共同保障整個系統(tǒng)的安全性。 對于用戶網絡系統(tǒng)涉及的各類 人員，我們建議劃分如下角色： (1) 決策專家。 (2) 安全管理員。 (3) 審計員。 (4) 系統(tǒng)管理員。 2 路由認證和保護 路由認證（ 就是運行于不同設備的相同的動態(tài)路由協(xié)議之間，對相互傳遞的路由刷新報文進行的確認，以便使得設備能夠接受真正而安全的路由刷新報文。 任何運行一個不支持路由認證的路由協(xié)議，都存在著巨大的安全隱患。某些惡意的攻擊者可以利用這些漏洞，向網絡發(fā)送不正確或者不一致的路由刷新，由于設備無法證實這些刷新，而使得設備被欺騙，最終導致網絡的癱瘓。 目前，多數路由協(xié)議支持 路由認證，并且實現的方式大體相同。認證過程有基于明 20 文的，也有基于更安全的 驗。 證與明文認證的過程類似，只不過密鑰不在網絡上以明文方式直接傳送。路由器將使用 法產生一個密鑰的 “消息摘要 ”。這個消息摘要將代替密鑰本身發(fā)送出去。這樣可以保證沒有人可以在密鑰傳輸的過程中竊取到密鑰信息。使用 證算法的路由協(xié)議有： 本 2 關閉 能服務 有些 性對局域網來說是有用的，但對廣域網或城域網節(jié)點的設備是不適用的。如果 這些特性被惡意攻擊者利用，會增加網絡的危險，因此，網絡設備應具備關