大廈網(wǎng)絡(luò)規(guī)劃項(xiàng)目設(shè)計(jì)方案

1、大廈網(wǎng)絡(luò)規(guī)劃項(xiàng)目設(shè)計(jì)方案需求分析1.1 工程項(xiàng)目概況智能大廈或智能建筑物的組成統(tǒng)稱包括三大基本要素：即樓宇自動(dòng)化系統(tǒng) ( BAS, Building Automation System )、通信自動(dòng)化系統(tǒng)( CAS, Communication Automation System )和辦公自動(dòng)化系統(tǒng)( OAS, Office Automation System )。 通常人們把它們成為3A。建筑環(huán)境是智能大廈基本組成要素的支持平臺(tái)。設(shè)計(jì)智能大廈的目的是， 通過對(duì)建筑物結(jié)構(gòu)、 系統(tǒng)、服務(wù)和管理四個(gè)基本要 素以及它們之間在聯(lián)系的分析， 運(yùn)用系統(tǒng)工程的觀點(diǎn)進(jìn)行優(yōu)化組合 (系統(tǒng)集成)， 來提供一個(gè)投資

2、合理、舒適、安全、方便環(huán)境的建筑物。為此，智能大廈應(yīng)滿足 兩個(gè)基本要求，達(dá)到四個(gè)主要目標(biāo)，實(shí)現(xiàn)三項(xiàng)服務(wù)功能。1.1.1 兩個(gè)基本要求：1 、對(duì)于大廈的管理者來說，智能大廈應(yīng)當(dāng)有一套掛歷、控制、運(yùn)行、維護(hù)的 通設(shè)施，能夠花較少的經(jīng)費(fèi)便能及時(shí)地與外界取得聯(lián)系(例如消防隊(duì)、醫(yī)院、安 全保衛(wèi)機(jī)關(guān)、新聞單位等) 。2 、對(duì)大廈的使用者來說，要有一個(gè)有利于提高工作效率、有利于激發(fā)人的創(chuàng) 造性的環(huán)境。1.1.2 四個(gè)目標(biāo)：1 、能夠提供高度共享的信息資源。2 、確保提高工作效率和舒適的工作環(huán)境。3 、節(jié)約管理費(fèi)用，達(dá)到短期投資長(zhǎng)期受益的目標(biāo)。4 、適應(yīng)管理工作的發(fā)展需要，做到具有可擴(kuò)展性、可變性、適應(yīng)性環(huán)境

3、的變 化和工作性質(zhì)的多樣化。1.1.3 三項(xiàng)服務(wù)功能：1、安全服務(wù)功能防盜報(bào)警；出入口控制； 閉路電視監(jiān)視； 保安巡更管理； 電梯安全與運(yùn)控； 周界防衛(wèi)； 火災(zāi)報(bào)警； 消防； 應(yīng)急照明；應(yīng)急呼叫。2 、舒適服務(wù)功能 空調(diào)通風(fēng)； 供熱； 給排水； 電力供應(yīng)； 閉路電視； 多媒體音響； 智能卡； 停車場(chǎng)管理； 體育、娛樂管理。3 、 便捷服務(wù)功能 辦公自動(dòng)化； 通信自動(dòng)化； 計(jì)算機(jī)網(wǎng)絡(luò)； 結(jié)構(gòu)化綜合布線； 商業(yè)服務(wù)； 飲食業(yè)服務(wù)； 酒店管理。 大廈在屋里商科劃分為四個(gè)基本組成部分： 結(jié)構(gòu)建筑環(huán)境結(jié)構(gòu)； 系統(tǒng)智能化系統(tǒng)； 服務(wù)用戶需求服務(wù)； 管理物業(yè)運(yùn)行管理。這四個(gè)基本組成部分缺一不可，它們既相互聯(lián)

4、系又相互依存，組成了一個(gè)完整一致的 智能大廈體系。二、方案設(shè)計(jì)的目標(biāo)和原則 ： 網(wǎng)絡(luò)系統(tǒng)在智能建筑中起到非常重要的作用， 它不是簡(jiǎn)單的計(jì)算機(jī)之間的聯(lián) 網(wǎng)，而是一個(gè)復(fù)雜的系統(tǒng)工程，要采用系統(tǒng)的設(shè)計(jì)方法。（ 1） 實(shí)用化，先進(jìn)性。從實(shí)用的觀點(diǎn)出發(fā)來考慮網(wǎng)絡(luò)系統(tǒng)的總體結(jié)構(gòu)，滿 足系統(tǒng)技術(shù)要求，同時(shí)應(yīng)該選用先進(jìn)的符合國(guó)際標(biāo)準(zhǔn)的可以開發(fā)的系 統(tǒng)產(chǎn)品。（ 2） 模塊化，可擴(kuò)展。網(wǎng)絡(luò)系統(tǒng)應(yīng)該采用模塊化設(shè)計(jì)，便于在網(wǎng)絡(luò)工程中 根據(jù)投資等情況的變化而加以調(diào)整，同時(shí)又是一個(gè)開放式系統(tǒng)，以保 證系統(tǒng)的擴(kuò)展。（ 3） 工程化，可靠性。在網(wǎng)絡(luò)系統(tǒng)設(shè)計(jì)過程中充分考慮工程的要求，在達(dá) 到系統(tǒng)業(yè)務(wù)需求的前提下，確保更高的可靠

5、性。（ 4） 集成化，高效性。網(wǎng)絡(luò)系統(tǒng)是通信子系統(tǒng)、控制子系統(tǒng)、辦公自動(dòng)化 子系統(tǒng)籌集成的基礎(chǔ)，要體現(xiàn)集成化設(shè)計(jì)思想，所有子系統(tǒng)有機(jī)地集 成一個(gè)智能系統(tǒng)，保證總系統(tǒng)的高效益。2.1 網(wǎng)絡(luò)系統(tǒng)的設(shè)計(jì)原則（1）充分滿足當(dāng)前各種信息服務(wù)的需求，同時(shí)為將來的系統(tǒng)擴(kuò)充留有充分的 余地。（2）充分考慮與其他子系統(tǒng)之間的聯(lián)系。（3）統(tǒng)一規(guī)劃，全面設(shè)計(jì)，做到有根有據(jù)，有條有理。（4）符合國(guó)際化標(biāo)準(zhǔn)組織（ISO）提出的開放系統(tǒng)互聯(lián)標(biāo)準(zhǔn)（OSI）和實(shí)用的 TCP/IP 協(xié)議系統(tǒng)標(biāo)準(zhǔn)。（ 5）便于維護(hù)和管理。（ 6）在保護(hù)實(shí)現(xiàn)系統(tǒng)需求的前提下，提高系統(tǒng)的系能價(jià)格比。三、網(wǎng)絡(luò)方案設(shè)計(jì)3.1 網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)介紹大型網(wǎng)絡(luò)的

6、設(shè)計(jì)中， 我們采用層次化模型來設(shè)計(jì)網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)。 所謂“層次 化”模型，就是將復(fù)雜的網(wǎng)絡(luò)設(shè)計(jì)分成幾個(gè)層次， 每個(gè)層次著重于某些特定的功 能，這樣就能夠使一個(gè)復(fù)雜的大問題變成許多簡(jiǎn)單的小問題。 層次模型既能夠應(yīng) 用于局域網(wǎng)的設(shè)計(jì)，也能夠應(yīng)用于廣域網(wǎng)的設(shè)計(jì)。層次化模型的好處：在大型企業(yè)網(wǎng)設(shè)計(jì)中，使用層次化模型有許多好處，列舉如下：1、節(jié)省成本在采用層次模型之后， 各層次各司其職， 不再在同一個(gè)平臺(tái)上考慮所有 的事情。層次模型模塊化的特性使網(wǎng)絡(luò)中的每一層都能夠很好地利用帶寬， 減少 了對(duì)系統(tǒng)資源的浪費(fèi)。2、易于理解層次化設(shè)計(jì)使得網(wǎng)絡(luò)結(jié)構(gòu)清晰明了， 可以在不同的層次實(shí)施不同難度的 管理，降低了管理成本

7、。3、易于擴(kuò)展在網(wǎng)絡(luò)設(shè)計(jì)中，模塊化具有的特性使得網(wǎng)絡(luò)增長(zhǎng)時(shí)網(wǎng)絡(luò)的復(fù)雜性能夠限制在子網(wǎng)中，而不會(huì)蔓延到網(wǎng)絡(luò)的其他地方。而如果采用扁平化和網(wǎng)狀設(shè)計(jì)，任何一 個(gè)節(jié)點(diǎn)的變動(dòng)都將對(duì)整個(gè)網(wǎng)絡(luò)產(chǎn)生很大影響。4、易于排錯(cuò)層次化設(shè)計(jì)能夠使網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)分解為易于理解的子網(wǎng)，網(wǎng)絡(luò)管理者能 夠輕易地確定網(wǎng)絡(luò)故障的圍，從而簡(jiǎn)化了排錯(cuò)過程。3.2智能大廈總體結(jié)構(gòu)圖數(shù)字電話群傳真智能大樓PABXCCT系統(tǒng) CAT係統(tǒng)電子布告欄$專用視像系統(tǒng)大樓管理監(jiān)視中心安全監(jiān)察系統(tǒng)多 重 裝 置 化探安C頭保C傳系T感統(tǒng)V器監(jiān) 察 系 統(tǒng)大樓物業(yè) 信息管理 系統(tǒng)智能大廈的局域網(wǎng)絡(luò)具有如下特點(diǎn)：1、網(wǎng)絡(luò)規(guī)模大。一幢大廈的網(wǎng)絡(luò)終端數(shù)目多，有

8、的多達(dá)幾千臺(tái)。2、覆蓋面適中。網(wǎng)絡(luò)用戶一般分布在幾百米的圍。3、傳輸速率高。眾多樓層局域子網(wǎng)要求有大容量的數(shù)據(jù)傳輸支持。4、快速反應(yīng)。大廈的客戶大多書都是從事商業(yè)信息業(yè)服務(wù)，要求計(jì)算機(jī)逐級(jí)反應(yīng)迅 速。智能大廈對(duì)網(wǎng)絡(luò)系統(tǒng)的具體要求如下網(wǎng)絡(luò)結(jié)構(gòu)要合理穩(wěn)定，網(wǎng)絡(luò)設(shè)備要具有高可靠性和安全性。整個(gè)網(wǎng)絡(luò)的網(wǎng)絡(luò)設(shè)備要支持統(tǒng)一的網(wǎng)絡(luò)管理，便于今后的維護(hù)和擴(kuò)容。每個(gè)樓層匯聚點(diǎn)要能實(shí)現(xiàn)多個(gè) VLAN網(wǎng)段的劃分，為各獨(dú)立公司提供部 劃分VLAN的需求。在大樓部， 只有經(jīng)過認(rèn)證的企業(yè)人員可以使用網(wǎng)絡(luò)， 避免其他非認(rèn)證人員 上網(wǎng)，保證網(wǎng)絡(luò)安全。需要保證不同獨(dú)立公司的用戶只能訪問本公司的各種業(yè)務(wù)服務(wù)器， 包括遠(yuǎn) 程和樓本

9、企業(yè)用戶，未經(jīng)授權(quán)的用戶不得訪問。各進(jìn)駐公司的遠(yuǎn)程用戶可以通過 VPN方式訪問本企業(yè)部的服務(wù)器容。要求獨(dú)立公司部人員可以進(jìn)行相互訪問， 不同獨(dú)立公司人員之間既不能互 訪又要考慮特定人員要求建立互訪關(guān)系。進(jìn)駐企業(yè)為同一集團(tuán)公司， 要求對(duì)有些高權(quán)限人員可以對(duì)其他企業(yè)的服務(wù) 器進(jìn)行訪問。所有的網(wǎng)絡(luò)節(jié)點(diǎn)都可以訪問 Internet ，并且在訪問 Internet 之前要經(jīng)過 確認(rèn)，未經(jīng)確認(rèn)的節(jié)點(diǎn)不允許訪問 Internet 。要求能夠統(tǒng)計(jì)各獨(dú)立公司上網(wǎng)使用 Internet 的數(shù)據(jù)總量和時(shí)間，并建立 使用 Internet 的日志。要求可以方便的配置，管理所有的客戶端。根據(jù) 1 層大廳和 2 層多功能

10、廳人員流動(dòng)的特性， 實(shí)現(xiàn)有線和無線網(wǎng)絡(luò)同時(shí) 接入，并且要考慮無線接入的安全認(rèn)證問題。要考慮各獨(dú)立公司財(cái)務(wù)部門單獨(dú)建網(wǎng)的要求。要充分考慮整體網(wǎng)絡(luò)的安全性。3.2.3 、 組網(wǎng)結(jié)構(gòu)經(jīng)典的局域網(wǎng)組網(wǎng)模型將網(wǎng)絡(luò)結(jié)構(gòu)分為核心層、 匯聚層和接入層。 智能大廈 的計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)通常要包含以下部分 :核心層 : 核心層通常配置兩臺(tái)核心交換機(jī)，保證網(wǎng)絡(luò)核心的高可靠性，如 果配置一臺(tái)核心交換機(jī)， 則要求核心交換機(jī)配置雙主控引擎和雙電源。 核心層通 常還要承擔(dān)各業(yè)務(wù)應(yīng)用子系統(tǒng)服務(wù)器群與核心交換機(jī)的千兆連接。接入層：接入層交換機(jī)通?？梢蕴峁?8端口或者24端口，接入層交換機(jī) 通過千兆連接到核心層交換機(jī)，可以使用堆疊的

11、方式擴(kuò)展端口密度。 In ternet接入部分，采用10M或雙10M光纜專線接入。防火墻部分，采用千兆或者百兆防火墻將網(wǎng)與外網(wǎng)分離，采用千兆防火墻將服務(wù)器群區(qū)與核心交換機(jī)分離。無線網(wǎng)絡(luò)部分，采用將無線 AP接入到就近的匯聚點(diǎn)處點(diǎn)，覆蓋不容易布 線的寬闊場(chǎng)所。網(wǎng)絡(luò)防病毒軟件 ： 采用企業(yè)級(jí)網(wǎng)絡(luò)防病毒軟件，確保進(jìn)駐用戶的計(jì)算機(jī)及 服務(wù)器群的安全。漏洞掃描系統(tǒng) ： 用于檢測(cè)網(wǎng)絡(luò)中存在安全隱患的設(shè)備，找出系統(tǒng)中存在的 安全漏洞，及時(shí)進(jìn)行修補(bǔ)。網(wǎng)絡(luò)認(rèn)證系統(tǒng) ： 用于防止非法用戶登陸到網(wǎng)絡(luò)中，竊取網(wǎng)絡(luò)數(shù)據(jù)網(wǎng)絡(luò)管理系統(tǒng) ： 用于對(duì)全網(wǎng)的監(jiān)控，幫助網(wǎng)絡(luò)管理員快速準(zhǔn)確地定位網(wǎng)絡(luò) 中出現(xiàn)的故障。3.2.4 智能化

12、辦公大樓計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)拓?fù)浣Y(jié)構(gòu) ：Set path 104JF1iXH WOODBi»«X訓(xùn)DR創(chuàng)聘皿初，Err HP叫思.豆層”七耘：'1自MQ5DC希1古M02就世雀AB. re；1 會(huì) 330500101 肥 BBE*畝皿靈1 asaotxi: W1 希甌口直I Li S和50相1芒汩隊(duì)邛壘A悔蟲嚴(yán)S«WR >f-® S3056C 哄-亠二»»»*»««'»* *!»»-» »»w I VWQiF?SiZM希

13、網(wǎng)嶺熬的Fl用答黔Vww?林班"AJS "1ilS3C5DC網(wǎng)絡(luò)核心交換機(jī)采用華為3Com公司的一臺(tái)S6506R多業(yè)務(wù)核心交換機(jī)，為保 證網(wǎng)絡(luò)的可靠性，我們?cè)诤诵慕粨Q機(jī)上配置了冗余引擎和電源。弓I擎選用Silenee III引擎，交換容量為 384Gbps包轉(zhuǎn)發(fā)率為198Mpps S6506R可以提供萬兆接口板，未來可平滑升級(jí)到萬兆。S6506R采用最長(zhǎng)匹配、逐包轉(zhuǎn)發(fā)的方式，在保持線速性能和低成本的基礎(chǔ)上， 革命性的解決了傳統(tǒng)交換機(jī)的缺陷， 能 夠有效的抗擊網(wǎng)絡(luò)“紅色代碼”、“沖擊波”等病毒的攻擊，更加適合大規(guī)模、 多業(yè)務(wù)，復(fù)雜流量訪問的網(wǎng)絡(luò)。接入交換機(jī)選用華為3Com公司

14、的S3000系列。接入交換機(jī)放置在各樓匯聚 層的弱電配線間機(jī)柜。各匯聚層交換機(jī)采用 48端口和24端口兩種二層交換機(jī)， 具有可管理到端口的能力。華為 3Com公司的S3000系列交換機(jī)硬件能夠識(shí)別、 處理四到七層的應(yīng)用業(yè)務(wù)流，所有端口都具有單獨(dú)的數(shù)據(jù)包過濾、 區(qū)分不同應(yīng)用 流，并根據(jù)不同的流進(jìn)行不同的管理和控制，對(duì)網(wǎng)絡(luò)中有病毒特征的計(jì)算機(jī)，可以直接封堵其端口，使有病毒的設(shè)備與網(wǎng)絡(luò)斷開，防止病毒在網(wǎng)絡(luò)中的傳播。我們?cè)谥悄艽髲B設(shè)置獨(dú)立的數(shù)據(jù)中心。數(shù)據(jù)中心交換機(jī)使用華為 3Com公司 的S6502 S6502的交換引擎置于接口板中，交換容量可達(dá) 192Gbps在S6502 上配置10/100/100

15、0M RJ45千兆電接口板，用于連接網(wǎng)卡為 100M或1000M接口 的服務(wù)器，隨著服務(wù)器數(shù)量的增加，可以靈活的擴(kuò)充響應(yīng)的板卡，以適應(yīng)各進(jìn)駐 公司業(yè)務(wù)的發(fā)展。為了保證數(shù)據(jù)中心的安全性，在數(shù)據(jù)中心前部署一臺(tái)千兆防火In ternet出口路由器選用華為3Com公司的AR464Q AR464（采用雙總線結(jié) 構(gòu)，包轉(zhuǎn)發(fā)能力可達(dá)350Kpps,如果使用增強(qiáng)引擎，包轉(zhuǎn)發(fā)性能可提升到IMpps325網(wǎng)絡(luò)安全設(shè)計(jì)為了保證網(wǎng)絡(luò)系統(tǒng)的安全性，除了部署傳統(tǒng)的防火墻、 IDS、漏洞掃描等系 統(tǒng)之外，對(duì)終端的接入進(jìn)行控制越來越成為一種重要的安全控制手段。 智能大廈 的網(wǎng)絡(luò)安全解決方案應(yīng)該從多方面出手，進(jìn)行立體防御。防火

16、墻是網(wǎng)絡(luò)系統(tǒng)的核心基礎(chǔ)防護(hù)設(shè)備，它可以對(duì)整個(gè)網(wǎng)絡(luò)進(jìn)行網(wǎng)絡(luò)區(qū)域分 割,提供基于IP地址和TCP/IP服務(wù)端口等的訪問控制，防火墻的部署從以下幾 個(gè)方面考慮：1、在In ternet 出口部署防火墻：在整個(gè)局域網(wǎng)的In ternet 出口部署華為3Com公司的Secpath100F防火墻對(duì)外的服務(wù)器，如 Web Email服務(wù)器放在防火墻的DMZ區(qū)。2、服務(wù)器區(qū)部署防火墻：在核心交換機(jī)與服務(wù)器區(qū)交換機(jī)之間配置防火墻；服務(wù)器區(qū)防火墻部署華為 3Com公司的 Secpath1000F。SeqaathdOSscpHthlOOOS650OA戔除了部署傳統(tǒng)的防火墻之外，還應(yīng)該對(duì)用戶能否接入網(wǎng)絡(luò)進(jìn)行控制3、端

17、點(diǎn)準(zhǔn)入防御利用華為3Com端點(diǎn)準(zhǔn)入防御(EAD, Endpoint Admission Control)模塊，從 用戶終端準(zhǔn)入控制入手，整合網(wǎng)絡(luò)接入控制與終端安全產(chǎn)品，通過安全客戶端、 安全策略服務(wù)器、網(wǎng)絡(luò)設(shè)備以及第三方軟件的聯(lián)動(dòng)，對(duì)接入網(wǎng)絡(luò)的用戶終端強(qiáng)制 實(shí)施企業(yè)安全策略，嚴(yán)格控制終端用戶的網(wǎng)絡(luò)使用行為， 可以加強(qiáng)用戶終端的主 動(dòng)防御能力，大幅度提高網(wǎng)絡(luò)安全。EAD在用戶接入網(wǎng)絡(luò)前，通過統(tǒng)一管理的安全策略強(qiáng)制檢查用戶終端的安全 狀態(tài)，并根據(jù)對(duì)用戶終端安全狀態(tài)的檢查結(jié)果實(shí)施接入控制策略，對(duì)不符合企業(yè)安全標(biāo)準(zhǔn)的用戶進(jìn)行“隔離”并強(qiáng)制用戶進(jìn)行病毒庫(kù)升級(jí)、系統(tǒng)補(bǔ)丁安裝等操作；在保證用戶終端具備自防御

18、能力并安全接入的前提下，通過動(dòng)態(tài)分配ACL VLAN合理控制用戶的網(wǎng)絡(luò)權(quán)限，提升整網(wǎng)的安全防御能力。EAM應(yīng)用是從信息安全角度出發(fā)，基于現(xiàn)有的網(wǎng)絡(luò)環(huán)境，通過軟硬件設(shè)備 對(duì)網(wǎng)絡(luò)安全進(jìn)行加固，基本思想是認(rèn)證-檢查一隔離一加固一管理的安全 閉環(huán)管理。認(rèn)證：對(duì)接入網(wǎng)絡(luò)的用戶身份進(jìn)行分析，根據(jù)用戶身份動(dòng)態(tài)分配用戶使用 網(wǎng)絡(luò)的權(quán)限；檢查:根據(jù)需求制定安全策略和防病毒策略，根據(jù)安全策略對(duì)接入網(wǎng)絡(luò)的 用戶終端進(jìn)行安全檢查和病毒掃描；隔離：對(duì)有安全問題和安全隱患的用戶終端進(jìn)行隔離，以免其感染網(wǎng)絡(luò)域 中的其它用戶終端和整個(gè)網(wǎng)絡(luò)；加固：幫助有安全問題和安全隱患的用戶終端進(jìn)行安全修補(bǔ)和加固，以便 其能夠正常進(jìn)入網(wǎng)絡(luò)，

19、使用網(wǎng)絡(luò)資源；管理:提供對(duì)有安全問題的終端定位統(tǒng)計(jì)功能，提供用戶日志查詢功能， 提供安全策略編輯、修改功能等。通過制定新的安全策略，持續(xù)保障網(wǎng)絡(luò)的安全。EADS統(tǒng)的應(yīng)用模型如下：EAD方案可以依據(jù)角色對(duì)網(wǎng)絡(luò)接入用戶實(shí)施不同的安全檢查策略并授予不 同的網(wǎng)絡(luò)訪問權(quán)限。其原理性的流程如下：1. 用戶上網(wǎng)前必須首先進(jìn)行身份認(rèn)證，確認(rèn)是合法用戶后，安全客戶端還 要檢測(cè)病毒軟件和補(bǔ)丁安裝情況，上報(bào) CAMS2. CAMS檢測(cè)補(bǔ)丁安裝、病毒庫(kù)版本等是否合格，如果合格進(jìn)入步驟7,如果不合格。3. CAMS!知接入設(shè)備（S30/50系列或其他EAD使能的交換機(jī)），將該用戶的 訪問權(quán)限限制到隔離區(qū)。 此時(shí)，用戶只

20、能訪問補(bǔ)丁服務(wù)器、 病毒服務(wù)器等安全資 源，因此不會(huì)受到外部病毒和攻擊的威脅。4. 安全客戶端調(diào)通知用戶進(jìn)行補(bǔ)丁和病毒庫(kù)的升級(jí)操作。5. 用戶升級(jí)完成后，可重新進(jìn)行安全認(rèn)證。如果合格則解除隔離，進(jìn)入步 驟 7。6. 如果用戶補(bǔ)丁升級(jí)不成功，用戶仍然無法訪問其他網(wǎng)絡(luò)資源，回到步驟47. 用戶可以正常訪問其他授權(quán)（ACL、VLAN的網(wǎng)絡(luò)資源。EAD系統(tǒng)的應(yīng)用具有有以下特點(diǎn)：嚴(yán)格的身份認(rèn)證支持用戶與設(shè)備IP地址、接入端口、VLAN用戶IP地址和MAC地址等硬件 信息的綁定認(rèn)證，增強(qiáng)用戶認(rèn)證的安全性，防止賬號(hào)盜用和非法接入。可以與Windows域管理器、第三方系統(tǒng)（必須支持LDAP協(xié)議）的統(tǒng)一認(rèn)證，

21、避免用戶記憶多個(gè)用戶名和密碼。完備的安全評(píng)估EAD可以幫助管理員加強(qiáng)對(duì)終端用戶的管理，集中部署終端安全策略。過對(duì) 終端安全狀態(tài)進(jìn)行評(píng)估，使得只有符合企業(yè)安全標(biāo)準(zhǔn)的終端才能準(zhǔn)許訪問網(wǎng)絡(luò)， 確保企業(yè)安全策略的統(tǒng)一?！拔ｋU(xiǎn)”用戶隔離系統(tǒng)補(bǔ)丁、病毒庫(kù)版本不及時(shí)更新或已感染病毒的用戶終端， 可以被限制訪 問權(quán)限，只能訪問病毒服務(wù)器、 補(bǔ)丁服務(wù)器等用于系統(tǒng)修復(fù)的網(wǎng)絡(luò)資源。 用戶上 網(wǎng)過程中，如果終端發(fā)生感染病毒等安全事件，EAD系統(tǒng)可實(shí)時(shí)隔離該“危險(xiǎn)” 終端?；诮巧姆?wù)EADM基于終端用戶的角色，向安全客戶端下發(fā)系統(tǒng)配置的接入控制策略， 按照用戶角色權(quán)限規(guī)用戶的網(wǎng)絡(luò)使用行為。 終端用戶的ACL訪問策略

22、、動(dòng)態(tài)VLAN 是否禁止使用代理、是否禁止使用雙網(wǎng)卡以及病毒監(jiān)控策略等安全措施均可由管 理員統(tǒng)一管理和實(shí)施。326移動(dòng)辦公解決方案我們?cè)贗n ternet出口部署了防火墻，所有未經(jīng)許可的用戶是無法通過In ternet 訪問到公司網(wǎng)的。但是，在很多情況下，出差在外地的員工、或者在家辦公的員工都需要通過 In ternet訪問公司部資源，如何保證訪問的安全性呢 ？我們?cè)O(shè)計(jì)采用IPsec VPN 的方式保證訪問的安全性。在本應(yīng)用方案中，采用的華為 3Com的出口路由器AR4640和出口防火墻 SecpathlOOF均支持IPsec VPN功能，可以作為移動(dòng)辦公用戶的 VPN接入網(wǎng)關(guān)。 如果使用AR

23、4640作為VPN網(wǎng)關(guān)，則AR4640的外網(wǎng)口必須使用有效IP地址。如 果使用Secpath100F作為VPN接入網(wǎng)關(guān)，則Secpath100F的外網(wǎng)口必須使用有效 IP地址。為了保證AR4640和 Secpath100F都能具備比較好的性能，我們建議將 VPN網(wǎng)關(guān)功能和NAT功能分開，建議使用Secpath100F作為VPN接入網(wǎng)關(guān)，使用 AR4640作為NAT設(shè)備。ARA3如上圖所示，移動(dòng)辦公(出差)員工首先連接到In ternet ，然后通過客戶端 軟件，向VPN網(wǎng)關(guān)(AR4640或者Secpath100F)發(fā)起連接請(qǐng)求，VPN網(wǎng)關(guān)接受用戶 的請(qǐng)求后，將請(qǐng)求轉(zhuǎn)交給認(rèn)證服務(wù)器，進(jìn)行基于用戶

24、身份的認(rèn)證；認(rèn)證不通過，將請(qǐng)求拒絕；認(rèn)證通過，vpn網(wǎng)關(guān)將與移動(dòng)用戶創(chuàng)建IPsec VPN隧道，保證重要 信息在in ternet的傳輸過程中做到私密性。這樣，出差員工就可以通過in ternet 安全的訪問公司網(wǎng)資源。、 方案特點(diǎn)在本網(wǎng)絡(luò)建設(shè)應(yīng)用方案中，設(shè)備選型是以國(guó)排名前三名的設(shè)備廠家為招標(biāo)對(duì) 象，降低了設(shè)備采購(gòu)成本，實(shí)現(xiàn)了高檔交換機(jī)作為核心交換機(jī)，建立以千兆為主干的先進(jìn)的以太交換網(wǎng)絡(luò)。1、高性能和可靠性核心交換機(jī)采用雙交換引擎和冗余電源方式， 替代雙機(jī)熱備份方式， 減少了 網(wǎng)絡(luò)總體投資，同時(shí)確保了交換機(jī)工作的可靠性。接入交換機(jī)千兆光纖上聯(lián)到核心交換機(jī)， 滿足了網(wǎng)絡(luò)中數(shù)據(jù)、 語音、視頻傳

25、輸時(shí)的主干帶寬要求。服務(wù)器區(qū)交換機(jī)采用插槽式可擴(kuò)充的三層百兆 / 千兆自適應(yīng)交換機(jī)，可以針 對(duì)服務(wù)器的數(shù)量靈活地?cái)U(kuò)充板卡，達(dá)到各進(jìn)駐公司應(yīng)用的要求。2、安全性先進(jìn)的安全性：所選接入交換機(jī)端口采用了 ACL技術(shù)，保證了對(duì)接入端口的 控制。通過使用硬件防火墻，實(shí)現(xiàn)網(wǎng)絡(luò)的安全隔離。通過部署華為3Com公司的EAD解決方案，確保只有合法用戶才能接入到網(wǎng) 絡(luò)中來，從而保證接入用戶的安全性。通過網(wǎng)絡(luò)防病毒軟件，對(duì)網(wǎng)絡(luò)中服務(wù)器提供防病毒保護(hù)。使用漏洞掃描設(shè)備， 對(duì)網(wǎng)絡(luò)中存在安全漏洞的設(shè)備進(jìn)行安全提示， 預(yù)防病毒 對(duì)存在漏洞的設(shè)備進(jìn)行攻擊。四、智能大廈的自動(dòng)化管理：智能大廈的自動(dòng)化管理主要包括三方面胎： 辦公

26、自動(dòng)化管理， 通信自動(dòng)化管 理，樓宇自動(dòng)化管理。4.1 、 辦公自動(dòng)化系統(tǒng)辦公自動(dòng)化系統(tǒng)可以使辦公人員利用現(xiàn)代化科學(xué)技術(shù)的最新成果， 借助先進(jìn) 的辦公設(shè)備， 實(shí)現(xiàn)辦公活動(dòng)科學(xué)化、 自動(dòng)化。目的是最大限度地提高辦公效率和 改進(jìn)辦公室質(zhì)量， 縮短辦公周期， 減少或避免各種差錯(cuò)， 提高管理和決策的科學(xué) 的水平。智能大廈辦公自動(dòng)化系統(tǒng)與企事業(yè)單位的辦公自動(dòng)化系統(tǒng)不完全相同， 前者 要求系統(tǒng)的設(shè)計(jì)目標(biāo)簡(jiǎn)單、實(shí)用、方便、安全。在客戶、服務(wù)器方式下，通過局 域網(wǎng)絡(luò)互聯(lián)能迅速的實(shí)施大廈的管理職能。智能大廈的辦公自動(dòng)化系統(tǒng)的主要組成部分如下：人事檔案管理系統(tǒng)建立人事臺(tái)賬，對(duì)人事情況進(jìn)行動(dòng)態(tài)管理。財(cái)務(wù)管理系統(tǒng)建立

27、財(cái)務(wù)賬目，對(duì)財(cái)務(wù)賬目數(shù)據(jù)進(jìn)行復(fù)核、分類、統(tǒng)計(jì)，及時(shí)提供年、月、 人員、成本費(fèi)、盈虧情況，以及提供銀行賬務(wù)往來和客戶賬務(wù)往來的情況。固定資產(chǎn)管理系統(tǒng)工資支付管理系統(tǒng)2、領(lǐng)導(dǎo)辦公類公文管理系統(tǒng)領(lǐng)導(dǎo)要事管理安排系統(tǒng)文檔管理系統(tǒng)總經(jīng)理查詢系統(tǒng)本行業(yè)國(guó)外商情管理系統(tǒng)重要新聞3、管理類酒店管理系統(tǒng)大廈大事記系統(tǒng)客房管理系統(tǒng)停車場(chǎng)管理系統(tǒng)大廈運(yùn)行管理系統(tǒng)4、商場(chǎng)類商場(chǎng)POS管理系統(tǒng)商品供應(yīng)管理系統(tǒng)商品合同管理系統(tǒng)商品庫(kù)存管理系統(tǒng)餐廳、酒吧管理系統(tǒng)舞廳、游泳、健身房管理系統(tǒng)5、公共服務(wù)類顧客綜合服務(wù)系統(tǒng)民航班機(jī)時(shí)刻表管理火車時(shí)刻表管理汽車時(shí)刻表管理郵政編碼管理管理游覽觀光服務(wù)系統(tǒng)市公交車索引公園導(dǎo)游名勝古跡導(dǎo)

28、游購(gòu)物導(dǎo)游音樂、廣播管理系統(tǒng)電子布告管理系統(tǒng)通過上述五大類服務(wù)類別的系統(tǒng)管理可以提高大廈管理功能和經(jīng)濟(jì)效益。4.2 、 通訊自動(dòng)化系統(tǒng)通訊自動(dòng)化系統(tǒng)是智能大廈的“中樞神經(jīng)” , 它包括系統(tǒng)、計(jì)算機(jī)系統(tǒng)、監(jiān) 控報(bào)警系統(tǒng)、 閉路電視監(jiān)視系統(tǒng)、 網(wǎng)絡(luò)管理系統(tǒng)等， 這些系統(tǒng)集成為一體化的綜 合信息網(wǎng)。智能大廈通信自動(dòng)化系統(tǒng)的指標(biāo)是：1、綜合 BA CA OA MA(Maintenance Automation)、FA的通信需求，統(tǒng)一 考慮通信網(wǎng)絡(luò)的設(shè)計(jì)與施工。2、計(jì)算機(jī)通信的主干道速率為 100Mbps以上，工作區(qū)應(yīng)確保10Mbps或10Mbps 以上。3、計(jì)算機(jī)網(wǎng)絡(luò)的拓?fù)浣Y(jié)構(gòu)可為星型結(jié)構(gòu)4.2.1

29、、 標(biāo)準(zhǔn)化和規(guī)化選擇符合工業(yè)標(biāo)準(zhǔn)或事實(shí)工業(yè)標(biāo)準(zhǔn)的網(wǎng)絡(luò)通信協(xié)議、操作系統(tǒng)、網(wǎng)管平臺(tái)。 系統(tǒng)軟件、網(wǎng)絡(luò)通信介質(zhì)、網(wǎng)絡(luò)布線、連接件及布線所用的材料、器件、布線施 工過程也須遵守國(guó)際上通用的網(wǎng)絡(luò)工程規(guī)及國(guó)家、 建筑、 電氣工程實(shí)施標(biāo)準(zhǔn)、 只 有采用標(biāo)準(zhǔn)化、 規(guī)化設(shè)計(jì)， 使得系統(tǒng)具有開放性， 才能保證用戶在系統(tǒng)上進(jìn)行有 效的開發(fā)和使用，并為以后的發(fā)展提供一個(gè)良好環(huán)境。4. 2.3 、 先進(jìn)性與成熟性為了確保整個(gè)通信網(wǎng)絡(luò)系統(tǒng)結(jié)構(gòu)和樓宇管理系統(tǒng)結(jié)構(gòu)的技術(shù)先進(jìn)性、可靠 性，應(yīng)選擇合理、實(shí)用、便于擴(kuò)展與升級(jí)的網(wǎng)絡(luò)拓?fù)浜图夹g(shù)先進(jìn)、由信譽(yù)保證并 得到廣大用戶認(rèn)可的廠家產(chǎn)品、4.2.4 安全性和可靠性樓宇自動(dòng)化管理、

30、通信網(wǎng)絡(luò)和辦公自動(dòng)化是一個(gè)復(fù)雜的綜合系統(tǒng)， 需要在軟、 硬件兩個(gè)方面采取措施， 以保證整個(gè)系統(tǒng)安全可靠地運(yùn)行。 首先要保證作為基礎(chǔ) 的結(jié)構(gòu)化綜合布線系統(tǒng)的安全與可靠。 從結(jié)構(gòu)化綜合布線系統(tǒng)方案設(shè)計(jì)、 材料與 器材的選擇到工程實(shí)施各個(gè)階段都必須考慮到所有影響整個(gè)系統(tǒng)安全性、 可靠性 的各種因素。 結(jié)構(gòu)化綜合布線施工完成后， 必須嚴(yán)格按照標(biāo)準(zhǔn)進(jìn)行有關(guān)參數(shù)的測(cè) 試。軟件方面要案中案系統(tǒng)類型、數(shù)據(jù)類型加密，設(shè)置權(quán)限，以實(shí)現(xiàn)系統(tǒng)的安全 性。4.2.5 可管理性和可維護(hù)性樓宇自動(dòng)化管理、 計(jì)算機(jī)網(wǎng)絡(luò)和辦公自動(dòng)化是一個(gè)比較復(fù)雜的系統(tǒng)。 在設(shè)計(jì) 組建時(shí)，必須采用先進(jìn)的、 標(biāo)準(zhǔn)的、用戶界面良好的管理軟件， 合理

31、的設(shè)備布局， 做到走線規(guī)、標(biāo)記清楚、文檔齊全，以便對(duì)整個(gè)系統(tǒng)提供可管理性和可維護(hù)性4.2.6 靈活性和可擴(kuò)充性為了保證用戶的已有投資， 以及用戶不斷增長(zhǎng)的業(yè)務(wù)需求， 整個(gè)系統(tǒng)必須又 靈活的結(jié)構(gòu)，并留有合理的擴(kuò)充余地， 以便用戶根據(jù)需要進(jìn)行適當(dāng)?shù)淖儎?dòng)與擴(kuò)充。4.2.7 實(shí)用性和可行性綜合考慮系統(tǒng)需求和資金投入， 方案設(shè)計(jì)應(yīng)采用成熟技術(shù)， 保證技術(shù)可行性。4.2.8 優(yōu)化性能價(jià)格比考慮到系統(tǒng)性能、 功能以及在可預(yù)見期間不是其先進(jìn)性， 應(yīng)盡量使得整個(gè)系 統(tǒng)所需投資合理，從而構(gòu)成一個(gè)性能價(jià)格比優(yōu)化的系統(tǒng)。4.2.9 開放性與兼容性采用支持和符合標(biāo)準(zhǔn)的產(chǎn)品， 使系統(tǒng)具有良好的兼容性， 這有利于設(shè)備、 器

32、 材的選型，便于施工、維護(hù)和降低成本。4. 2.10 標(biāo)準(zhǔn)化和規(guī)化采用與技術(shù)發(fā)展潮流相吻合的產(chǎn)品和技術(shù)， 保證前期工程與后期投資的親和 性，使得能構(gòu)想今后的1000兆以太網(wǎng)或ATM技術(shù)平穩(wěn)過渡，節(jié)省用戶投資。4.3 、 樓宇自動(dòng)化系統(tǒng)樓宇自動(dòng)化控制系統(tǒng)一般可分為三種類型：即基本型建筑自動(dòng)化控制系統(tǒng)、 綜合型建筑自動(dòng)化控制系統(tǒng)、開放型建筑物自動(dòng)化控制系統(tǒng)。4.1.3.1 基本型建筑物自動(dòng)化系統(tǒng)基于基本型的BAS可以配置成文本顯示中央操作站，也可以配置成全功能化 的圖形終端。它在 WindouwsNT環(huán)境下操作，局域網(wǎng)LAN可以為以太網(wǎng)或令牌環(huán) 網(wǎng)，在一個(gè)多建筑物的校園，可以配置多個(gè)分布式工作站。

33、基本型BAS是一個(gè)獨(dú)特的“插上就運(yùn)行”的系統(tǒng)。它可以不需要眾多的 PC 介入而提供整體系統(tǒng)運(yùn)作， 從而使系統(tǒng)可以在線快速投入工作， 并減少安裝工時(shí) 和節(jié)省系統(tǒng)啟動(dòng)費(fèi)用?；拘虰AS為各種類型建筑物空調(diào)自動(dòng)控制 (HVAC提供 了管理方案。 由于采用了先進(jìn)的高科技技術(shù)， 系統(tǒng)具有極大的靈活性， 在滿足用 戶當(dāng)前需要的同時(shí)，它還是未來增強(qiáng)功能和革新的平臺(tái)。基本型BAS的每個(gè)PC工作站都體現(xiàn)著工業(yè)標(biāo)準(zhǔn)的 MicrosoftWin dows/Wi ndows NT操作系統(tǒng)。基本型建筑物自動(dòng)化系統(tǒng)具有以下幾個(gè)特征：1. 規(guī)?？纱罂尚〉慕Y(jié)構(gòu)可以從單臺(tái)PC到基于網(wǎng)絡(luò)技術(shù)的局域網(wǎng)(LAN。2. 簡(jiǎn)易的工作環(huán)境

34、可以是 PC/386、PC/486、PC/586;支持高速控制器總線；支持 MS-Windows或 Windows NT.方便用戶與控制總線聯(lián)結(jié)；方便用戶與局域網(wǎng)或廣域網(wǎng)聯(lián)結(jié)；方便用戶使用調(diào)制解調(diào)器和“撥號(hào)控制”；方便用戶與控制器B端口直接聯(lián)結(jié)。4. 開放的系統(tǒng)結(jié)構(gòu)支持 Open Link;支持 DDE接 口；支持多種網(wǎng)絡(luò)通信協(xié)議。5. 適應(yīng)主流網(wǎng)絡(luò)工作環(huán)境 Windows NT； TCP/IP ； DDE。6適應(yīng)主流計(jì)算機(jī)結(jié)構(gòu)適應(yīng) Microsoft 環(huán)境；適應(yīng) Novell、IBM、Microsoft Lan;適應(yīng)和支持硬件及外圍設(shè)備的靈活性 ;支持第三方軟件的應(yīng)用 .7.具有通用的 BM

35、S(Belief Maintenance System) 功能提供點(diǎn)的顯示和命令 ;歷史數(shù)據(jù)采集 ;圖形 ;報(bào)表 ;便于安裝、學(xué)習(xí)、使用和維護(hù)。綜合型建筑物自動(dòng)化控制系統(tǒng)是在基本型建筑物自動(dòng)化控制系統(tǒng)的基礎(chǔ) 上建立起來的.綜合型可以監(jiān)控來自系統(tǒng)的數(shù)據(jù),包括同層總線Peer Bus,防火與 保安總線 F&S Bus, S 總線設(shè)備等 , 這些總線可以將多個(gè)工作站連接至 Nocvell LAN,以提供與其他分支的維護(hù)管理接口。432 、開放型建筑物自動(dòng)化控制系統(tǒng)開放型建筑物自動(dòng)化系統(tǒng)是基于 UNIX的,它監(jiān)控著許多分布式子系統(tǒng)，像空 調(diào)自控、防火與保安等 , 并且可以把其他公司的系統(tǒng)綜合在

36、一個(gè)網(wǎng)絡(luò)系統(tǒng)中 . 它 采用符合工業(yè)標(biāo)準(zhǔn)的操作系統(tǒng)、LAN通信、相關(guān)數(shù)據(jù)庫(kù)和圖形系統(tǒng).它生成同類 的“單一窗口”供建筑物自動(dòng)化系統(tǒng)使用 , 在設(shè)計(jì)上充分考慮到未來技術(shù)的發(fā)展 .4.3.3 、空調(diào)監(jiān)控系統(tǒng)空調(diào)監(jiān)控系統(tǒng)的監(jiān)控要求如下1. 空調(diào)系統(tǒng)的溫度控制 ;2. 空調(diào)系統(tǒng)的濕度控制 ;3. 新風(fēng)、回風(fēng)、排風(fēng)的控制4. 制冷器的防凍監(jiān)控 ;5. 過濾器的狀態(tài)檢測(cè) ;6. 風(fēng)機(jī)的狀態(tài)及故障報(bào)警 .4.3.4 、冷凍站監(jiān)控系統(tǒng)冷凍站監(jiān)控系統(tǒng)包括對(duì)冷凍水泵、冷卻塔風(fēng)機(jī)的自動(dòng)控制 , 以及冷水機(jī)的自 動(dòng)控制 , 以及冷水機(jī)組臺(tái)數(shù)的節(jié)能控制和冷凍水系統(tǒng)的壓差控制 ; 還包括中央管 理站對(duì)冷凍站的控制 . 因

37、此需解決如下問題 :1. 冷卻塔風(fēng)機(jī)運(yùn)行狀態(tài)監(jiān)測(cè)、控制和故障報(bào)警2. 冷卻水泵運(yùn)行狀態(tài)監(jiān)測(cè)、控制和故障報(bào)警3. 冷水機(jī)組冷卻水、進(jìn)水溫度監(jiān)測(cè)及控制 ;4. 冷水機(jī)組冷卻水出水溫度、流量監(jiān)測(cè)及控制5. 分水器、集水器壓差監(jiān)測(cè)及控制 ;6. 冷水機(jī)組運(yùn)行狀態(tài)監(jiān)測(cè)、控制和故障報(bào)警4.3.5 、給排水監(jiān)控系統(tǒng)對(duì)大廈生活用水、消防用水、污水、冷卻水箱等給排水系統(tǒng)裝置進(jìn)行監(jiān)測(cè) 和啟?？刂?, 其中包括壓力測(cè)量點(diǎn)、液位測(cè)量點(diǎn)以及開關(guān)量控制點(diǎn) . 要求顯示各 監(jiān)測(cè)點(diǎn)的參數(shù)、設(shè)備運(yùn)行狀態(tài)和非正常狀態(tài)的故障報(bào)警 , 并控制相關(guān)設(shè)備的啟 挺.變配電監(jiān)控系統(tǒng)包括低壓配電系統(tǒng)。要求對(duì)計(jì)算機(jī)不間斷UPS電源系統(tǒng)、冷 凍站

38、配電、 變壓器、 高壓系統(tǒng)和高壓二次線中的各個(gè)點(diǎn)進(jìn)行監(jiān)測(cè)控制， 主要包括 電流量、電壓量、有功電度、無功電度、功率因數(shù)、溫度等量的測(cè)量和開關(guān)量的 控制。要時(shí)監(jiān)測(cè)和計(jì)量供電系統(tǒng)的運(yùn)行參數(shù)，顯示主接線圖、交直流系統(tǒng)和 UPS 系統(tǒng)運(yùn)行參數(shù)，對(duì)系統(tǒng)各開關(guān)變位和故障變位進(jìn)行正確區(qū)分，對(duì)參數(shù)超限報(bào)警， 對(duì)事故、故障進(jìn)行順序記錄，可查詢事故原因并顯示、制表和打印，可繪制負(fù)荷 曲線并顯示，打印運(yùn)行報(bào)表。437、熱力站監(jiān)控系統(tǒng)由中央監(jiān)控系統(tǒng)監(jiān)測(cè)熱交換器的熱水出水溫度， 熱水流量和控制熱水水泵的 啟停。4.3.8 、照明監(jiān)控系統(tǒng)由中央監(jiān)控系統(tǒng)按每天預(yù)定的時(shí)間順序進(jìn)行開關(guān)控制及監(jiān)視其開關(guān)狀態(tài)， 工 作狀態(tài)可用文字

39、、圖形顯示和打印出來。4.3.9 、安全防監(jiān)控系統(tǒng)安全防監(jiān)控系統(tǒng)是智能大廈必不可少的部分， 它為大廈提供了安全監(jiān)視、 侵 入報(bào)警、出入門控制管理。 安全監(jiān)視系統(tǒng)采用微機(jī)控制矩陣系統(tǒng)， 集中完成視頻 切換控制、水平/ 俯仰/ 變焦控制及自備檢測(cè)功能。 系統(tǒng)可設(shè)分控鍵盤以便于管理。 安全監(jiān)視系統(tǒng)功能主要表現(xiàn)為：侵入報(bào)警系統(tǒng)通過給類傳感器 （如主動(dòng)紅外探測(cè)器、 被動(dòng)紅外探測(cè)器、 紅外 微波雙鑒探測(cè)器、玻璃破碎傳感器、震動(dòng)傳感器，以及各類手動(dòng)、腳動(dòng)開關(guān)等） 獲得大廈的主要通道、出入口、重要部位及周邊的情況，以利防工作。出入門控制系統(tǒng)對(duì)出進(jìn)門的人員進(jìn)行識(shí)別和選擇，即所有人員的出入都得 到監(jiān)控。系統(tǒng)識(shí)別人

40、員的身份后， 根據(jù)所儲(chǔ)存的數(shù)據(jù)決定是否允許其出入。 每一 項(xiàng)出入都作為一個(gè)事件記錄儲(chǔ)存起來，根據(jù)需要，這些數(shù)據(jù)可以有選擇地輸出。整個(gè)防系統(tǒng)組成一個(gè)有機(jī)的整體， 當(dāng)侵入報(bào)警或出入門非授權(quán)侵入時(shí)， 在中 央控制室接到報(bào)警信息， 通過信息交換， 安全監(jiān)視系統(tǒng)打開報(bào)警低點(diǎn)附近的攝像 機(jī)并切換到指定監(jiān)視器上監(jiān)視， 同時(shí)打開視頻錄像機(jī)自動(dòng)記錄現(xiàn)場(chǎng)情況， 以便查 詢使用。4.4 、智能大廈的衛(wèi)星通信與有線電視衛(wèi)星通信與有線電視在我國(guó)發(fā)展很快，特別是有線電視已發(fā)展到城市聯(lián)網(wǎng)、 地區(qū)聯(lián)網(wǎng)階段， 并有利用寬帶綜合信息傳輸通道的發(fā)展趨勢(shì)。 衛(wèi)星通信和有線電 視系統(tǒng)不但能為智能大廈提供信息交換手段， 而且還能為智能大

41、廈提供豐富多彩 的電視節(jié)目。4.4.1 、智能大廈衛(wèi)星通信系統(tǒng)簡(jiǎn)述 衛(wèi)星通信是指利用人造地球衛(wèi)星做中繼站轉(zhuǎn)發(fā)或發(fā)射無線電信號(hào)， 在兩個(gè)或 多個(gè)地球衛(wèi)星地面站之間進(jìn)行通信。衛(wèi)星通信有三種方式：（1）宇宙站與地球站之間的通信。（2）宇宙站之間的通信；（3）通過宇宙站轉(zhuǎn)發(fā)或反射而進(jìn)行的地球站相互之間的通信。 衛(wèi)星通信系統(tǒng)一般有兩種類型，即基帶信號(hào)類型和多址方式類型。4.4.2 、基帶信號(hào)類型基帶信號(hào)類型又分為模擬衛(wèi)星通信系統(tǒng)和數(shù)字衛(wèi)星通信系統(tǒng)。1、模擬衛(wèi)星通信系統(tǒng)模擬衛(wèi)星通信系統(tǒng)主要采用地面微波中繼通信所采用的模擬通信技術(shù)。它 的特點(diǎn)是按各種信號(hào)的頻率特征，采用頻譜搬移的方法將信號(hào)排列成基帶。 其工

42、作方式有兩種：FDM/FM/FDM和FDM/FM/SDMA2. 數(shù)字衛(wèi)星通信系統(tǒng) 與模擬衛(wèi)星通信系統(tǒng)相比，數(shù)字衛(wèi)星通信系統(tǒng)有如下特點(diǎn)：多址連接能增大傳輸容量。在數(shù)字衛(wèi)星通信方式中，一般采用時(shí)分多址連 接方式，即每瞬間只發(fā)送一路載波， 這樣，行波管功放工作在飽和區(qū)也不會(huì) 產(chǎn)生干擾，所以傳輸容量可以加大；能夠把傳輸速率不同的數(shù)字信號(hào)進(jìn)行副接和多址連接， 便于配合綜合業(yè)務(wù) 數(shù)字網(wǎng)工作以及和地面通信網(wǎng)的連接；便于糾錯(cuò)和加密； 便于利用大規(guī)模集成電路及其他先進(jìn)技術(shù)，從而降低成本。4.4.3 、多址方式類型多址方式類型又分為：頻分多址衛(wèi)星通信系統(tǒng)；時(shí)分多址衛(wèi)星通信系統(tǒng)；碼分多址衛(wèi)星通信系統(tǒng);空分多址衛(wèi)星通

43、信系統(tǒng)；混合多址衛(wèi)星通信系統(tǒng)。在衛(wèi)星通信的多址方式中，信道的分配方法有預(yù)分配和按需分配兩種。 其中， 預(yù)分配是只固定分配方式，當(dāng)然也有按時(shí)間調(diào)整預(yù)先分配方式； 按需分配就是按 臨時(shí)申請(qǐng)分配方式，這是信道的分配是根據(jù)各地球站的業(yè)務(wù)需求臨時(shí)安排的， 這 就使信道的使用變得十分靈活，利用率也大大提高了。4.5智能大廈網(wǎng)絡(luò)設(shè)計(jì)與設(shè)備選擇智能大廈大致可以分為兩種類型，一種是寫字樓性質(zhì)的智能大廈，除了 提供普通的網(wǎng)絡(luò)接入和In ternet接入外，通常不提供其他網(wǎng)絡(luò)服務(wù)，因此，只 需考慮交換機(jī)的連接與設(shè)置。另一種是屬于同一單位或集團(tuán)的智能大廈，不僅需要提供網(wǎng)絡(luò)接入，而且還必須提供各種網(wǎng)絡(luò)應(yīng)用服務(wù)，因此，必

44、須全面考慮集線設(shè)備、路由設(shè)備、網(wǎng)絡(luò)防火墻和服務(wù)器的選擇與設(shè)計(jì)。4.5.1智能大廈網(wǎng)絡(luò)設(shè)計(jì)在未來的網(wǎng)絡(luò)經(jīng)濟(jì)時(shí)代，信息是最重要的資源。智能大廈IP網(wǎng)絡(luò)系統(tǒng)，是提供高速、寬帶、交互的綜合信息數(shù)據(jù)網(wǎng)絡(luò)系統(tǒng)。智能大廈IP網(wǎng)絡(luò)系統(tǒng)將建設(shè)成為一個(gè)交互式信息（媒體）服務(wù)平臺(tái)，保證交互式容可靠地通過網(wǎng)絡(luò)傳送到與 標(biāo)準(zhǔn)兼容的各種類型的接入設(shè)備，能夠提供In ternet訪問及各種多媒體交互式應(yīng)用服務(wù)。IP信息網(wǎng)絡(luò)系統(tǒng)作為智能大廈信息系統(tǒng)的重要組成部分，不但可以 利用網(wǎng)絡(luò)對(duì)大廈進(jìn)行現(xiàn)代化的部管理，還可以為用戶提供高速In ternet訪問、遠(yuǎn)程電子視頻會(huì)議、網(wǎng)上購(gòu)物、網(wǎng)上教育、視頻點(diǎn)播等多種功能，使用戶充分體 驗(yàn)數(shù)

45、字化生活帶來的便利。根據(jù)智能大廈網(wǎng)絡(luò)應(yīng)用需求的特點(diǎn)，網(wǎng)絡(luò)方案采用兩層分布式結(jié)構(gòu)，實(shí)現(xiàn)接 入層交換機(jī)與核心交換機(jī)的直連，節(jié)約設(shè)備購(gòu)置成本、降低設(shè)備維護(hù)難度，搭建 "千兆位做主干、百兆位到桌面"的高性能網(wǎng)絡(luò)，其網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)如圖所示。核心層采用兩臺(tái)高性能模塊化交換機(jī)，為各樓層接入層交換機(jī)提供高速接 入，從而將智能大廈的網(wǎng)絡(luò)組建成一個(gè)擁有千兆位帶寬的、高性能的多層交換網(wǎng) 絡(luò)。核心交換機(jī)選擇交換引擎冗余結(jié)構(gòu)， 并采用冗余連接方式，保證網(wǎng)絡(luò)核心的 穩(wěn)定與安全。當(dāng)計(jì)算機(jī)和網(wǎng)絡(luò)終端數(shù)量少于500臺(tái)時(shí)，可選擇Cisco Catalyst4507R或 Quidway 6506R交換機(jī)；否則，應(yīng)

46、當(dāng)選擇 Cisco Catalyst 6506 或 Quidway 8508交換機(jī)。接入層使用帶有兩個(gè)或多個(gè) SFP端口（選配lOOOBase-SX標(biāo)準(zhǔn)模塊）的千 兆位端口的可網(wǎng)管交換機(jī)。根據(jù)不同樓層計(jì)算機(jī)的數(shù)量，每2或3個(gè)樓層使用一臺(tái)或多臺(tái)，實(shí)現(xiàn)與核心層1 000 Mbps，與用戶100 Mbps的高速連接。當(dāng)使用2 臺(tái)以上的交換機(jī)時(shí)，采用堆疊技術(shù)實(shí)現(xiàn)多交換機(jī)的堆疊與管理，提高計(jì)算機(jī)之間的通信速率，減輕交換機(jī)管理強(qiáng)度。需要注意的是，每個(gè)樓層應(yīng)當(dāng)提供一臺(tái)擁有 PoE功能的交換機(jī)，以保證無線AP遠(yuǎn)程供電的實(shí)現(xiàn)，接入層交換機(jī)建議采用Cisco Catalyst 3750、Catalyst 3560

47、 系列或者 Quidway S3900系列。1. 方案設(shè)計(jì)特點(diǎn)該方案采用千兆位以太網(wǎng)主干解決方案，除了提供高帶寬以外，也支持以太網(wǎng)的服務(wù)類型和服務(wù)質(zhì)量保證相關(guān)協(xié)議，如 IEEE 802.1P、IEEE 802.1Q、IEEE 802.3X、資源預(yù)留協(xié)議（RSVP等關(guān)鍵協(xié)議，保證了千兆位以太網(wǎng)的 QoS其特 點(diǎn)可以概括如下：先進(jìn)性智能大廈網(wǎng)絡(luò)解決方案采用先進(jìn)成熟的網(wǎng)絡(luò)多層交換技術(shù)和方法，根據(jù)現(xiàn)代化智能大廈信息系統(tǒng)的需求設(shè)計(jì)，網(wǎng)絡(luò)核心層采用冗余設(shè)計(jì)、接入層采用高安全 接入等策略設(shè)計(jì)，能支撐各種現(xiàn)在與未來一段時(shí)期的智能大廈的網(wǎng)絡(luò)應(yīng)用?？尚行跃W(wǎng)絡(luò)設(shè)計(jì)方案能夠充分考慮現(xiàn)代化智能大廈的特點(diǎn)和應(yīng)用對(duì)象的技術(shù)

48、、資 源、管理等方面的約束，并很好地結(jié)合網(wǎng)絡(luò)產(chǎn)品特點(diǎn)進(jìn)行方案的設(shè)計(jì)。比如支持 網(wǎng)絡(luò)用戶賬號(hào)、MAC地址與端口的捆綁，實(shí)現(xiàn)高效的用戶控制能力，支持高密度 端口的堆疊模式，支持通信負(fù)載均衡、帶寬聚合、鏈路冗余的新型結(jié)構(gòu)。靈活性網(wǎng)絡(luò)核心層采用模塊化交換機(jī)，按照需求靈活配置各種模塊，做到既滿足需 求，又留有余地。整個(gè)網(wǎng)絡(luò)架構(gòu)采用三層結(jié)構(gòu)，使網(wǎng)絡(luò)具有較好的伸縮性，可以 根據(jù)網(wǎng)絡(luò)建設(shè)的不同階段靈活配置和擴(kuò)展，具有能不斷吸收新技術(shù)、新方法的功 能。實(shí)用性智能大廈的接入安全可以直接應(yīng)用于接入交換機(jī)，采用用戶賬號(hào)認(rèn)證登錄、 MAC地址與端口的捆綁的方式，實(shí)現(xiàn)高效的用戶訪問控制；采用網(wǎng)絡(luò)管理系統(tǒng) View，使網(wǎng)絡(luò)

49、易維護(hù)、易管理，可實(shí)施性好?？煽啃圆捎?02.1Q實(shí)現(xiàn)網(wǎng)絡(luò)多層交換，采用802.1D實(shí)現(xiàn)鏈路冗余可靠連接，保證 了網(wǎng)絡(luò)系統(tǒng)運(yùn)行穩(wěn)定、可靠、高效?？蓴U(kuò)展性采用模塊化交換機(jī)、可堆疊交換機(jī)，使系統(tǒng)既具有良好的可擴(kuò)展性，又具有 發(fā)展?jié)摿Α１热缃o交換機(jī)增加模塊，即可擴(kuò)展網(wǎng)絡(luò)的規(guī)?；蛲卣谷哂噫溌贰７?wù)器設(shè)計(jì)由于智能大廈的計(jì)算機(jī)數(shù)量較多，因此，對(duì)于一些并發(fā)訪問量大、數(shù)據(jù)處理 集中的重點(diǎn)的網(wǎng)絡(luò)服務(wù)，必須采用多CPU架構(gòu)的企業(yè)級(jí)服務(wù)器。對(duì)服務(wù)器性能要 求不太高的網(wǎng)絡(luò)服務(wù)，則可以根據(jù)需要采用部門級(jí)服務(wù)器或工作組服務(wù)器。 當(dāng)然, 也可以將兩臺(tái)甚至多臺(tái)部門級(jí)服務(wù)器制作為群集，代替價(jià)格昂貴的企業(yè)級(jí)服務(wù) 器，其實(shí)際運(yùn)行效

50、果基本相差無幾。除了需要將不同的網(wǎng)絡(luò)服務(wù)分配到不同的服務(wù)器外，還必須為一些重點(diǎn)服務(wù)設(shè)置負(fù)載均衡和群集，一方面可以分擔(dān)過于集中的網(wǎng)絡(luò)請(qǐng)求，減緩每臺(tái)服務(wù)器的 壓力，為客戶的請(qǐng)求提供快速、可靠的響應(yīng)；另一方面，可實(shí)現(xiàn)服務(wù)器的故障冗 余，以確保在一臺(tái)或幾臺(tái)服務(wù)器發(fā)生故障時(shí)，仍然能夠不間斷地提供網(wǎng)絡(luò)服務(wù)。 群集中的各臺(tái)主機(jī)分別運(yùn)行各自的應(yīng)用系統(tǒng)，當(dāng)群集中的某臺(tái)主機(jī)或軟件出現(xiàn)故障時(shí)，不需人工干預(yù)，群集中的其他主機(jī)通過心跳線路，可以自動(dòng)檢測(cè)出該故障主機(jī)，根據(jù)備援規(guī)則，準(zhǔn)確、快速地將原主機(jī)的應(yīng)用系統(tǒng)移交到集群中的另一臺(tái) 主機(jī)上繼續(xù)運(yùn)行，實(shí)現(xiàn)整個(gè)系統(tǒng)的不間斷運(yùn)行。1. 負(fù)載均衡實(shí)現(xiàn)方式負(fù)載均衡實(shí)現(xiàn)的方式主要有4

51、種，一是借助嵌于服務(wù)器的軟件實(shí)現(xiàn)，根據(jù)一 定的算法把一個(gè)IP地址轉(zhuǎn)換成一組IP地址，從而有效地分配來自用戶的訪問， 均衡系統(tǒng)的訪問負(fù)載；二是借助擁有負(fù)載均衡功能的網(wǎng)絡(luò)交換機(jī)實(shí)現(xiàn)；三是借助 專用的負(fù)載均衡設(shè)備實(shí)現(xiàn)；四是借助DNS輪詢方式實(shí)現(xiàn)。其中，第一種方式投資 最少，性能表現(xiàn)最差，第三種方式投資最高，性能表現(xiàn)最出色，而第二種方式則 介于兩者之間。第四種方式雖然也可以實(shí)現(xiàn)負(fù)載均衡，但是，當(dāng)其中一臺(tái)服務(wù)器癱瘓時(shí)，將導(dǎo)致部分客戶的訪問失敗。2. 端口負(fù)載均衡EtherChannel技術(shù)是Cisco開發(fā)的，應(yīng)用于交換機(jī)之間、交換機(jī)和路由器之 間，以及交換機(jī)和服務(wù)器之間的多鏈路技術(shù)（符合標(biāo)準(zhǔn)IEEE80

52、2.p）。使用FastEtherChannel和Gigbit EtherChannel 技術(shù)，可以通過 2條或4條鏈路，將2 個(gè)或4個(gè)10/100 Mbps或1 000 Mbps端口連接在一起，疊加其傳輸帶寬，從而 實(shí)現(xiàn)高達(dá) 400 Mbps（ 10/100 Mbps 端口）、4 Gbps（ 1 000 Mbps 端口）的帶寬 （如圖所示），使網(wǎng)絡(luò)設(shè)備之間通信更加快速與順暢。對(duì)于10/100 Mbps端口而言，EtherChannel無疑是一種廉價(jià)的千兆位以太網(wǎng) 解決方案；對(duì)于1 000 Mbps端口而言，EtherChannel則成倍地增加了網(wǎng)絡(luò)帶寬， 消除了交換機(jī)與服務(wù)器之間的數(shù)據(jù)傳輸瓶頸

53、，滿足了交換機(jī)與服務(wù)器之間的大量數(shù)據(jù)交換。除此之外，EtherChannel還具有負(fù)載分擔(dān)和線路備份的作用。所謂 負(fù)載分擔(dān)，是指當(dāng)交換機(jī)之間或交換機(jī)與服務(wù)器之間在進(jìn)行通信時(shí)，EtherChannel的所有鏈路將同時(shí)參與數(shù)據(jù)的傳輸，從而使所有的傳輸任務(wù)都能 在極短的時(shí)間完成，線路占用的時(shí)間更短，網(wǎng)絡(luò)傳輸?shù)男矢?。所謂線路備份, 是指當(dāng)部分EtherChannel鏈路出現(xiàn)故障時(shí)，并不會(huì)導(dǎo)致連接的中斷，其他鏈路 將能夠不受影響地正常工作，從而增強(qiáng)了網(wǎng)絡(luò)的穩(wěn)定性和安全性。3. 服務(wù)器群集一個(gè)服務(wù)器群集包含多臺(tái)擁有共享數(shù)據(jù)存儲(chǔ)空間的服務(wù)器，各服務(wù)器之間通過部局域網(wǎng)進(jìn)行相互通信（如圖所示）；當(dāng)其中一臺(tái)服

54、務(wù)器發(fā)生故障時(shí)，它所運(yùn) 行的應(yīng)用程序?qū)⒂善渌姆?wù)器自動(dòng)接管；在大多數(shù)情況下，群集中所有的計(jì)算機(jī)都擁有一個(gè)共同的名稱，群集系統(tǒng)任意一臺(tái)服務(wù)器都可被所有的網(wǎng)絡(luò)用戶所使 用。服務(wù)器群集是將一組相互獨(dú)立的計(jì)算機(jī)通過高速的通信網(wǎng)絡(luò)而組合在一起 的一個(gè)單一的計(jì)算機(jī)系統(tǒng)，并以單一系統(tǒng)的模式加以管理。服務(wù)器群集提供系統(tǒng)失效保護(hù)功能，允許滾動(dòng)升級(jí)（有助于消除計(jì)劃停機(jī)時(shí) 間）。系統(tǒng)必須監(jiān)控可預(yù)計(jì)的失效，建立冗余通信網(wǎng)絡(luò)，為避免站點(diǎn)災(zāi)難性事件, 利用擴(kuò)充的群集互連建立遠(yuǎn)程災(zāi)難數(shù)據(jù)恢復(fù)中心或許是必要的。核心交按機(jī)*詳阜交禪機(jī)在群集系統(tǒng)中運(yùn)行的服務(wù)器并不一定是高檔產(chǎn)品，但服務(wù)器的群集卻可以提供相當(dāng)高性能的不停機(jī)服務(wù)；

55、每一臺(tái)服務(wù)器都可承擔(dān)部分計(jì)算任務(wù)，并且由于群集了多臺(tái)服務(wù)器的性能，因此，整體系統(tǒng)的計(jì)算能力將有所提高；同時(shí)，每臺(tái)服 務(wù)器還能承擔(dān)一定的容錯(cuò)任務(wù)，當(dāng)其中某臺(tái)服務(wù)器出現(xiàn)故障時(shí)，系統(tǒng)可以在專用 軟件的支持下將這臺(tái)服務(wù)器與系統(tǒng)隔離，并通過各服務(wù)器之間的負(fù)載轉(zhuǎn)移機(jī)制實(shí) 現(xiàn)新的負(fù)載平衡，同時(shí)向系統(tǒng)管理員發(fā)出報(bào)警信號(hào)。群集系統(tǒng)通過功能整合和故障過渡技術(shù)實(shí)現(xiàn)系統(tǒng)的高可用性和高可靠性，群集技術(shù)還能夠提供相對(duì)低廉的總體擁有成本和強(qiáng)大靈活的系統(tǒng)擴(kuò)充能力。若欲實(shí)現(xiàn)服務(wù)器群集和負(fù)載均衡，建議使用執(zhí)行 lOOOBasT標(biāo)準(zhǔn)的固定端口交換機(jī)， 如 Cisco Catalyst 3750。其他網(wǎng)絡(luò)設(shè)備的選擇，請(qǐng)參見上述相關(guān)容

56、。4.5.3VPN接入方案隨著網(wǎng)絡(luò)技術(shù)的進(jìn)步，許多有異地分支機(jī)構(gòu)的公司都需要建立跨地區(qū)的部網(wǎng) 絡(luò)。同時(shí)，公司分支機(jī)構(gòu)的分布也越來越廣， 各分支機(jī)構(gòu)之間在保證資料存儲(chǔ)和 傳輸安全的前提下共享商業(yè)資料，并且解決方案要盡可能地減少投入，同時(shí)也要 降低成本。VPN技術(shù)就是在這個(gè)背景下應(yīng)運(yùn)而生的，VPN的基本思路就是充分利 用In ternet ，通過加密隧道技術(shù)，將公網(wǎng)虛擬成私有專用網(wǎng)，同時(shí)免除了昂貴 的專線租用費(fèi)用。4.5.4VPN技術(shù)簡(jiǎn)介VPN( Virtual Private Network ，虛擬專用網(wǎng)絡(luò))能夠模擬點(diǎn)對(duì)點(diǎn)專用的方 式，通過In ternet或Intranet在兩臺(tái)計(jì)算機(jī)之間發(fā)送數(shù)據(jù)，是"線路中的線路"， 具有良好的性和抗干擾性。虛擬專用網(wǎng)提供了一個(gè)通過公用網(wǎng)絡(luò)安全地對(duì)企業(yè)部 專用網(wǎng)絡(luò)進(jìn)行遠(yuǎn)程訪問的連接方式，是對(duì)企業(yè)部網(wǎng)的擴(kuò)展，可以幫助遠(yuǎn)程用戶、 公司分支機(jī)構(gòu)、商業(yè)伙伴及供應(yīng)商同公司的部網(wǎng)建立可信的安全連接，并保證數(shù) 據(jù)的安全傳輸(如圖所示)。在虛擬專用網(wǎng)中的主機(jī)將不會(huì)覺察到公共網(wǎng)絡(luò)的存 在，仿佛所有的主機(jī)都處于一個(gè)部網(wǎng)絡(luò)中一樣。Sr