辦公室網絡還能這麼搭建?從入門到精通,看這裡
一個難度適中的網絡部署涉及的技術點/知識有哪些?
最基本的,你需要掌握vlan劃分、路由選擇、出口nat處理;你可能還需要懂得區域邊界路安全、mstp、網管協議……這些內容在思科/華為認證的初中級課程中均有涉及。
所以今天,特地安排了一個難度適中的網絡部署案例,和你一起品品。
這種案例的挑選也得有講究,您必須要符合大多數網工平時的工作環境,比如辦公室或者辦公樓。
那在這種環境下,你可能需要進行有線網絡系統和無線覆蓋系統的設計。
有時候,安防系統的網絡系統也會單獨設計,和計算機網絡系統共用局域網。
今天的案例,就重點介紹計算機網絡和視頻監控組網方式與選擇。
部署環境:某辦公樓擬建總建築面積約7500㎡;建築類型為高層建築,地上1-6層。
01 計算機網絡系統建設架構
計算機網絡系統主要是大樓內部各部門的網絡應用以及為大樓的管理和各種應用搭建一個靈活應用,安全可靠的硬件平台。
這裡,將大樓的網絡按部門分為若干個邏輯網段,將大樓的各種PC機、工作站、終端設備和局域網連接起來,並與廣域網相連,形成結構合理、內外溝通的計算機網絡系統。
並在此基礎上建立能滿足商務、辦公自動化和管理需要的軟硬件環境,開發各類信息庫和應用系統,為大樓內的工作人員、訪客提供充分、便捷的網絡信息服務。
02 數據交換網絡建設架構
計算機網絡系統分內部辦公網、外網。
各個網絡拓撲為星型結構,採用分層設計,層次網絡架構包括:接入層、核心層等二層,建立網絡主幹千兆,百兆到桌面的網絡應用。
1.物理網絡描述
根據大樓業務網運營數據的特點,內部辦公網、外網相互之間邏輯隔離。
中心網絡採用多鏈路100M光纖鏈路INTERNET接入,以大容量高速骨幹交換為網絡核心,千兆光纖下行至各樓層小機房的全千兆接入二層交換,以及採用無線交換機對整個無線網路進行統一的管理。
終端採用無線或有線方式實現用戶網絡接入,確保樓內網絡的靈活性和可擴展性。同時在網絡邊界防火牆出開出獨立DMZ區域,作為中心核心數據管理存儲中心,對內外提供不同服務。
依託物理平台,充分考慮當前各類應用以及網絡數據的傳輸質量,採用虛擬局域網技術依據不同應用方向劃分獨立子網,有效地防止廣播風暴及各類安全隱患在網絡中的蔓延,確保各子網數據獨立高效運行。
2.內網描述
內部辦公網面向中心內部用戶,主要用於承載中心內部各類應用,如:OA、多媒體、 網絡管理等無須上INTERNET的業務。
子網內部通過部署防火牆,審計,行為管理等安全產品實現內部用戶對於各類應用數據訪問的可控可管,確保中心日常辦公應用及本地數據交換的高效性,具體部署根據實際需求利用VLAN等多種技術手段實現管理和區分。
OA辦公系統應用於內部信息系統,為全中心提供完善的辦公自動化服務,實現無紙化辦公,提高工作效率。
功能包括收發文管理、辦公管理、信息採編、公共信息管理、個人事務管理、內部郵件、即時通訊、信息檢索等模塊等。
全面實現全局無紙化網上辦公,實現的功能包括行政辦公,公共信息。
3.外網描述
辦公外網主要為:中心數據、物流查詢功能的Internet接入服務、遠程資源共享、信息流轉、系統遠程視頻會議等,為各類中心內部及流動用戶提供全面高效的數據訪問和交互平台。
03 視頻監控網絡建設架構
視頻監控網絡作為數據網絡的子網,前端接入層獨立於數據網絡之外,採用匯聚層專注用於監控數據傳輸,最後匯入核心層。
網絡拓撲為星型結構,採用分層設計,層次網絡架構包括:接入層、匯聚層、核心層等三層,建立網絡主幹千兆,百兆到終端的網絡應用。
1.終端信號採集
採用終端網絡攝像機進行視頻信號採集,採集數據為數字信號,無須在終端部署視頻服務器等轉換設備,降低投入成本。
且通過網絡攝像機可以實現和其他安防監控系統實現聯動,進一步提高產品利用率,使應用更高效。且網絡攝像機基於IP架構,所有監控設備均通過IP鏈路連接,管理方便。
2.監控數據傳輸
終端通過部署基於IP的網絡攝像機,將視頻信號直接以數字形式通過IP鏈路最終在監控核心交換處匯聚。
考慮到數據傳輸質量和實時性要求高,因此在核心交換位置採用大容量高速骨幹交換對數據進行分發交換。
3.監控數據存儲
所有監控終端監控視頻數據將通過IP鏈路匯聚後集中,採用IP-SAN模式實現高速實時存儲,同屬部署大容量存儲陣列對規定時間段內所有監控數據進行存儲備份,已備後續查詢。
4.實時監控及管理
在核心交換處旁路模式部署監控管理服務器,自動掃描發現所有監控中所有設備,並形成對應拓撲,並利用監控管理服務器對監控終端進行維護及數據採集和傳輸的控制。
同時採用千兆光鏈路將數據傳輸至安保監控中心,通過電視牆實時顯示。
04 數據交換網絡建設部署
1.核心交換部署
終端節點約500個,部署千兆核心交換機,設置在2層信息中心主機房網絡設備櫃。
採用2台支持3層交換路由功能高性能的核心交換機做雙中心冗餘,所有的接入層交換機採用2條千兆光纖鏈路連到2台核心交換機上,保證鏈路的冗餘。
服務器群通過2條千兆鏈路以冗餘的方式連接到2台核心交換機。
採用VLAN劃分策略對樓內網絡終端、不同部門的終端、視頻會議應用、智能化各子系統等劃分VLAN;
同一部門可以跨樓層進行相互訪問,不同的部門間未經允許不能進行訪問,不同VLAN間的通信通過核心交換機實現,負責內網絡的轉發。
採用模塊化核心交換機,核心交換機具有1Tbps以上的背板交換容量,支持3層交換的路由功能,實現高性能的核心轉發,支持IPv4、IPv6、MPLS、NAT、組播、QoS、帶寬控制等業務功能,保證了網絡核心的高穩定性和可擴展性。
各核心交換機配置2個電源,實現電源冗餘備份;
配置千兆的光口/電口闆卡,負責服務器群、網絡管理、網絡安全系統、鏈路熱備及負載均衡網絡的接入。
2.樓層接入部署
部署百兆接入交換機,設置在各樓層小機房網絡設備櫃和保安監控室的網絡設備櫃,負責接入各終端計算機、無線AP等。
各接入交換機採用可網管二層交換機,支持端口聚合、VLAN、STP、SNMP等特性;配置24/48口10M/100M電口,2個千兆光口,實現10M/100M到桌面,千兆上行到核心交換機。
3.無線接入部署
部署百兆無線接入交換機,設置在1層信息中心機房,支持千兆上行端口,實現無線AP可控可管。無線AP與無線控制器\無線交換機配合組網(Fit AP),便於集中管理。
使用無線網絡部分覆蓋,填補網絡盲區,在有效覆蓋範圍內自由登錄而不受時空的限制,本項目在各樓層公共區域設置無線路由器,實現辦公區域全覆蓋。
各無線路由器接入外網網絡。配置高性能百兆無線局域網接入設備,無線AP上行接口採用百兆以太網接口接入,無線路由器支持802.11abgn,雙頻單模,集成天線,支持工作在2.4Ghz與5.8Ghz頻段,能提供20M/40M信道技術。
05 視頻監控局域網:
1.匯聚交換部署
終端節點約60個,部署千兆核心交換機,設置在1層信息中心主機房網絡設備櫃。採用1台支持3層交換路由功能高性能的匯聚交換機。服務器群通過1條千兆鏈路連接到核心交換機。
採用模塊化核心交換機,核心交換機具有1Tbps以上的背板交換容量,支持3層交換的路由功能,實現高性能的核心轉發,支持IPv4、IPv6、MPLS、NAT、組播、QoS、帶寬控制等業務功能,保證了網絡核心的高穩定性和可擴展性。
核心交換機配置2個電源,實現電源冗餘備份;配置千兆的光口/電口闆卡,負責前端視頻終端、服務器群、網絡管理、網絡安全系統、鏈路熱備及負載均衡網絡的接入。
2.樓層接入部署
部署百兆接入交換機,設置在各樓層小機房網絡設備櫃和保安監控室的網絡設備櫃,負責接入各終端計算機、無線AP等。
各接入交換機採用可網管二層交換機,支持端口聚合、VLAN、STP、SNMP等特性;配置8/16口10M/100M電口,2個千兆光口,實現10M/100M到桌面,千兆上行到核心交換機。
06 服務器及存儲部署
內網網絡設置2台業務信息化數據庫服務器(一主一備),採用X86機型,設置2個光纖網卡作為存儲端口;
其他服務器根據應用需求具體另行配置。
針對業務信息化數據設置2套光纖磁盤陣列,同時部署數據鏡像系統,保持2套陣列數據的同步性。
光纖磁盤陣列採用FC-SAN網絡,配置2台8口SAN交換機(考慮冗餘),連接前端檔案信息化數據庫服務器。
考慮到公司信息化相關數據的重要性和實時性,對業務信息化數據庫服務器部署在線容災備份系統。通過在服務器上部署數據庫在線容災備份軟件,對應用系統所依賴的重要數據實時的備份到存儲設備上。
內網另配置智能卡服務器、OA服務器和FTP服務器等服務器群;
外網配置網絡邊緣WEB服務器、防病毒服務器和郵件服務器等;監控網配置視頻存儲服務器等。
07 網絡安全部署
考慮到整個網絡後續的運行穩定性和數據安全性,將在中心網絡中部署防火牆,入侵防禦、防毒牆等安全產品,以有效的對進出網絡以及DMZ區域數據訪問進行有效的控制管理和授權。
1.網絡管理系統部署
內、外、監控網分別部署網絡管理平台,及時地發現問題、跟踪定位和阻止氾濫,為網絡操作人員提供監控和阻止網絡攻擊所必需的信息。
實現各網絡運行情況告警並產生報表;集中管理網絡設備、服務器及安全設備;自動產生全網設備的網絡拓撲;顯示流量;具有圖形化配置方式。
2.防火牆系統部署
在網絡接入邊界處,部署千兆高性能防火牆作為安全邊界,對進出外網的數據進行有效的過濾和防護。
防火牆要求支持至少2個左右千兆電口,同時至少2個千兆光口,要求設備支持bypass功能,防治單點故障造成網絡中斷。
設備接入模式要求支持路由模式、透明模式、NAT模式、混雜模式等多種模式,要求支持基於域、接口、Alias別名等信息建立安全策略,能夠基於文件大小,內容,url實現對HTTP服務的控制和過濾,同時要求支持郵件過濾,支持貝葉斯過濾方式,支持自主學習,能實現RBL實時黑名單地址管理。
能夠對各類應用進行有效過濾和控制,如游戲,聊天,下載等。
3.防病毒系統部署
在互聯網接入區部署1台防毒牆系統,支持500的用戶數。實現互聯網訪問網絡時的安全策略,對外網的web、mail、ftp、qq、msn等多種形式的病毒查殺,支持脫殼技術。
外網配置1套支持500用戶的網絡版防病毒軟件。
4.入侵防禦系統部署
在互聯網接入區部署1台入侵防禦系統,入侵防禦系統從3個方面進行有效防禦及保障:
主動防護:對網絡蠕蟲、木馬、黑客攻擊以及網絡病毒等惡意流量的傳播進行主動防護,保護用戶網絡資源;
系統漏洞遮斷:為網絡中的主機提供有效的系統漏洞防護方案,彌補由於補丁不能及時更新而造成的系統脆弱性;
應用訪問控制:有效控制IM、P2P、VoIP等敏感應用對網絡帶寬的濫用;
關鍵業務系統保障:通過智能的安全防禦,最大限度降低各種惡意行為對關鍵業務服務及設備的威脅。