智能化小區(qū)網(wǎng)絡規(guī)劃設計畢業(yè)論文

摘 要 近年來中國大步跨入了信息化社會，人們的工作生活與通信、信息的關系日益緊 密， 信息化社會在改變我們生活方式與工作習慣的同時，也對傳統(tǒng)的居民區(qū)提出了挑 戰(zhàn)。人們對居住環(huán)境要求不斷提高，希望有一個安全、舒適、便捷的家，智能小區(qū)于 是在中國各地蓬勃發(fā)展起來，并已成為 21 世紀建筑業(yè)的發(fā)展主流。 智能化小區(qū)是指可以為社區(qū)居民提供計算機網(wǎng)絡、智能家居、物業(yè)服務和管理、 電子商務平臺、社區(qū)服務信息網(wǎng)等全方位信息服務的多媒體綜合信息系統(tǒng)。通過這些 服務，用戶可以實現(xiàn)高速 INTERNET 接入、網(wǎng)上教育、網(wǎng)上游戲、家中視頻點播等多 種功能，還可實現(xiàn)辦公家居自動化管理。園區(qū)網(wǎng)絡的建設對于學校來說是一項大的工 程，必須精心設計、精心施工，做到經(jīng)濟適用，技術先進、開放性能良好、投資強度 合理、能長期、穩(wěn)定運行的高性能智能網(wǎng)絡。 計算機網(wǎng)絡技術可以說是當前業(yè)界最為熱門的技術之一，我們可以把網(wǎng)絡劃分為 兩個部分：骨干網(wǎng)和接入網(wǎng)。接入網(wǎng)即是終端用戶和骨干網(wǎng)絡之間的連接部分。隨著 骨干網(wǎng)速度的快速提升，各種寬帶接入技術開始涌現(xiàn)。從發(fā)展來看，光纖接入，特別 是寬帶光接入輔以無線接入手段將占主導地位。本文將常見的寬帶接入技術加以總結、 分析其優(yōu)劣。并從網(wǎng)絡的需求分析，網(wǎng)絡規(guī)劃，綜合布線，服務器的搭建，網(wǎng)絡管理 和安全等方面介紹局域網(wǎng)的規(guī)劃，設計、綜合布線和實施。作為局域網(wǎng)，最基本的是 滿足日常業(yè)務，提供各種服務。 智能小區(qū)是在智能大廈的基本含義中擴展和延伸出來的，它通過對小區(qū)建筑群四 個基本要素（結構、系統(tǒng)、服務、管理以及它們之間的內(nèi)在關聯(lián)）的優(yōu)化考慮，提供 一個投資合理，又擁有高效率、舒適、溫馨、便利以及安全的居住環(huán)境。計算機網(wǎng)絡， 也漸漸成為人們生活中不可分割的一部分。 關鍵詞：智能化小區(qū)； 寬帶網(wǎng)絡 ；網(wǎng)絡方案；網(wǎng)絡協(xié)議 I Abstract In recent years Chinese step into the information society, the relationship between work life and communication, people increasingly close, the information society is changing the way we live and work habits at the same time, it also challenges the traditional residential area. People on the living environment of continuous improvement, I hope to have a safe, comfortable and convenient home, intelligent residential areas in China and flourish, and has become the mainstream of the development of the construction industry in twenty-first Century.The intelligent community refers to the multimedia information system can provide the computer network, intelligent Home Furnishing, services and property management, e- commerce platform, community service information network, a full range of information services for community residents. Through these services, users can achieve high-speed INTERNET access, online education, online games, home video on demand and other functions, but also to achieve office automation management. Computer network technology can be said to be one of the most popular technologies in the industry, we can divide the network into two parts: backbone network and access network. The access network is the connection part between the end user and the backbone network. With the rapid increase of backbone network speed, a variety of broadband access technology began to emerge. From the development point of view, fiber access, especially broadband optical access supplemented by wireless access will dominate. In this paper, the common broadband access technologies are summarized and analyzed. And from the network needs analysis, network planning, integrated wiring, server building, network management and security aspects of the local area network planning, design, integrated wiring and implementation. As a local area network, the most basic is to meet the daily business, providing a variety of services. Keywords: Intelligent community; broadband network; network solution;Network protocol 目目 錄錄 II 摘摘 要要. Abstract. 1 網(wǎng)絡分析網(wǎng)絡分析.1 1.1 用戶需求分析.1 1.2.1 規(guī)模分析.1 1.2.1 設備需求分析設.1 1.2 設計目標.1 1.2.1 功能設計.1 2 邏輯網(wǎng)絡設計邏輯網(wǎng)絡設計.3 2.1 技術選擇.3 2.2.1 主干技術選擇.3 2.2.1 拓撲結構選擇.3 2.2 IP 地址規(guī)劃.4 2.2.1 編制原則.4 2.2.2 地址規(guī)劃 .4 3.2 網(wǎng)絡設備.12 3.2.1 交換機概述.12 3.2.2 交換機參數(shù)與選擇.13 3.2.3 路由器概述.16 3.2.4 路由器的參數(shù)與選擇.16 3.2.5 防火墻.17 3.2.6 傳感器.18 3.2.7 測試結果.19 2.3 網(wǎng)絡設計重點考慮的問題.7 3 物理網(wǎng)絡設計物理網(wǎng)絡設計.10 3.1 綜合布線設計.10 3.1.1 綜合布線設計標準.10 3.1.2 綜合布線設計要求.11 3.1.2 綜合布線詳細設計.12 2.2 網(wǎng)絡設備配置.5 III 2.2.1 配置原則概述.6 3.2.7 測試結果.19 結結 論論.20 致致 謝謝.21 參考文獻參考文獻.22 附錄附錄.23 0 1 網(wǎng)絡分析 1.1 用戶需求分析 智能化建筑的系統(tǒng)組成和基本功能主要由三大部分構成，即大樓自動化又稱建筑 自動化、通信自動化和辦公自動化，這是智能化建筑中最重要的而且必須具備的基本 功能。 智能化建筑是現(xiàn)代信息、自動控制和建筑工程等科學技術融會集成為整體的高新 科技產(chǎn)物。它具有多種科學互相結合的特征。此外，智能化建筑環(huán)境規(guī)劃支持系統(tǒng)和 整個建筑工程本身是智能化建筑賴以存在的基礎，它們必須滿足智能化建筑的特殊功 能要求，智能化建筑的智能化程度和功能將隨著科學技術的不斷發(fā)展而繼續(xù)改進和完 善，同時作為智能化建筑基礎的建筑環(huán)境和建筑工程也必然要適應這種發(fā)展趨勢。 通過分析現(xiàn)狀和需求, 結合當前網(wǎng)絡技術發(fā)展水平, 初步?jīng)Q定以光纖千兆網(wǎng)技術實 現(xiàn)網(wǎng)絡主干線。這是當前應用最廣泛、性價比最高、最成熟之干線網(wǎng),是一個符合 OSI 的標準化網(wǎng)絡。網(wǎng)絡 10/100M 入戶，住戶獨享 10/100M 帶寬。10/100M 的帶寬能夠滿 足住戶所有的需求了，包括視頻點播、IP 電話等。 1.1.1 規(guī)模分析 萬科金色花園智能小區(qū)建成于 2015 年，總占面積為 2 萬平方米，6 棟住宅大樓， 每棟樓 30 層，每層 4 個住戶，整個小區(qū)一共 720 個住戶，一個社區(qū)服務中心，下轄物 業(yè)管理中心和網(wǎng)絡管理與監(jiān)控中心。每棟樓 2 個單元，每個單元一個網(wǎng)絡接入點，每 個住戶至少一個客戶端；安保中心一臺管理機，連接門禁視頻監(jiān)視安保巡邏電話等端 口；住戶服務中心每間辦公室至少 6 個客戶端，分別連接每棟樓的住戶；物業(yè)服務中 心一臺管理機，連接到各個部門。 1.1.2 設備需求分析 組建網(wǎng)絡系統(tǒng)需要以下設備：服務器、光纖、防火墻、無線路由器、三層交換機、 二層交換機、路由器、PC 機,無線電波傳感器，煙霧傳感器，紅外視頻監(jiān)視器，家電控 制器等。 1.2 設計目標 1 1.2.1 功能設計 綜合考慮到小區(qū)實際需求，采用以太網(wǎng)技術建設該小區(qū)網(wǎng)絡系統(tǒng)。按照小區(qū)的要 求，考慮到整體系統(tǒng)的安全性，高適用性。主要實現(xiàn)的功能如下： 1.提供窄帶話音，寬窄帶數(shù)據(jù)業(yè)務。 2.支持高速上網(wǎng)，電子商務等。 3.提供家居住宅智能信息服務。 包括網(wǎng)絡控制水電煤三表自動抄錄等。 4.提供網(wǎng)絡電視，支持 VOD 視頻點播。 5.提供遠程教育，遠程醫(yī)療等。 6.支持閉路電視監(jiān)控和保安巡更等功能。 7.支持停車場管理功能。 2 2 邏輯網(wǎng)絡設計 2.1 技術選擇 2.1.1 主干技術的選擇 以端到端方式傳輸多媒體視頻數(shù)據(jù)流量；采用 Multilink PPP 提供經(jīng)濟有效的按需高帶 寬；采用隊列機制來保證關鍵應用在廣域網(wǎng)上的傳輸；核心路由器上采用 ACL 訪問控 制列表，NAT 轉換，靜態(tài)路由協(xié)議，遠程訪問；核心和匯聚交換機上設置管理 VLAN 配置遠程訪問；核心交換機上配置 DHCP，虛擬路由，快速生成樹協(xié)議，設置優(yōu)先級， ACL 訪問控制，VLAN 劃分；在樓層交換機上配置 VLAN 劃分。全交換 100M/1000M 網(wǎng)絡主干；交換 10M/100M 到住戶桌面 PC；在主干帶寬不能滿足網(wǎng)絡應用高速增長的 需求時，可采用帶寬聚合技術，將多個 100M 或 1000M 的鏈路綁在一起，以最經(jīng)濟的 方法實現(xiàn)帶寬的線性增長，并提供好的連接冗余性。從而使得網(wǎng)絡性能隨著應用的增 加而增長，滿足應用的需求。 2.1.2 拓撲結構的選擇 根據(jù)萬科金色智能小區(qū)的需求分析，該網(wǎng)絡采用星型結構，設計出該網(wǎng)絡拓撲結 構圖，大致顯示了整個局域網(wǎng)的邏輯連接關系，網(wǎng)絡拓撲結構設計圖如圖 2.1 所示。 圖 2.1 總網(wǎng)絡拓撲結構設計圖 2.2 IP 地址規(guī)劃 2.2.1 編址原則 整體網(wǎng)絡采用 NAT 地址轉換，內(nèi)網(wǎng)采用自編地址，用戶可由 VBN Server 動態(tài)分 配地址，或者可以自己按規(guī)劃靜態(tài)分配，但不能占用 Internet 地址資源。另外在對于有 Internet 訪問需求的用戶，小區(qū)可集中采用 VBN Server 的網(wǎng)絡地址轉換功能來實現(xiàn)。 3 地址分配應遵循如下原則： 簡單性：網(wǎng)絡地址的分配一定要簡單，以避免在小區(qū)內(nèi)采用復雜的掩碼方式。 連續(xù)性：每一棟住宅樓內(nèi)的區(qū)域應該分配連續(xù)的網(wǎng)絡地址，以便于網(wǎng)絡中心的管 理和維護。 可擴充性：在分配整個小區(qū)和樓內(nèi)區(qū)域的網(wǎng)絡地址時，必須要具有一定的容量， 在主機的數(shù)量增加時仍然能夠保持地址的連續(xù)性。 靈活性：網(wǎng)絡地址分配時不應局限于某個網(wǎng)絡路由策略的優(yōu)化方案，應該便于多 數(shù)路由策略在該地址分配方案上實現(xiàn)優(yōu)化。 可管理性：要有層次的分配網(wǎng)絡地址，當某個局部的網(wǎng)絡地址發(fā)生變動時不會影 響上層和全局。 安全性：小區(qū)內(nèi)分配地址時要按照工作內(nèi)容的不同劃分不同的網(wǎng)段，以進行管理。 2.2.2 地址規(guī)劃方案 按照小區(qū)現(xiàn)有用戶 720 戶左右的規(guī)模，結合以上分配原則，可以為用戶提供動態(tài) 分配或靜態(tài)分配的原則。 住宅樓，安保中心，快遞保潔服務中心，物業(yè)管理中心，中心配置。 住宅樓：192.168.10.254/24192.168.30.254/24 安保中心：192.168.40. 254/24 住戶服務中心：192.168.50.254/24 物業(yè)管理中心：192.168.60.254/24 中心配置：中心交換機 在虛擬局域網(wǎng)中，當每個新站點在入網(wǎng)時不需要進行過多的配置，交換機則會根 據(jù)各個站點的網(wǎng)絡地址，自動將其劃分成不同的虛擬局域網(wǎng)。VLAN 規(guī)劃如表 2.1 所示。 表 2.1 VLAN 劃分 VLAN-ID使用網(wǎng)段網(wǎng)關地址VLAN 名稱 10/30192.168.10/30.0/24192.168.10/30.1Residence 40192.168.40.0/24192.168.40.1Security 50192.168.50.0/24192.168.50.1service 60192.168.60.0/24192.168.60.1property 4 VLAN 10/30 對應網(wǎng)段 192.168.10/30.X/24； VLAN70 對應網(wǎng)段 192.168.40.X/24； VLAN 80 對應網(wǎng)段 192.168.50.X/24； VLAN 90 對應網(wǎng)段 192.168.60.X/24； 在核心的 CENTER 上起 SVI 三層接口，和每棟樓的交換機走 trunk 互連，并在 trunk 口用 VLAN 修剪。 2.2 網(wǎng)絡設備 3.2.1 交換機概述 交換機處除了最基本的連接計算機和網(wǎng)絡設備的基本功能以外，一些網(wǎng)管交換機 還能將網(wǎng)絡劃分多個虛擬網(wǎng)段，既便于網(wǎng)絡管路員的管理，又可以增加安全性：還可 以隔離廣播，避免網(wǎng)絡風暴，提高傳輸效率。由于交換機的主要功能是連接計算機和 網(wǎng)絡設備，因此，交換機有的端口數(shù)量比較多。連接許多的設備，從而構建一個完整 的局域網(wǎng)，實現(xiàn)所有設備之間達到通信。作為局域網(wǎng)的核心與樞紐，交換機的性能決 定著網(wǎng)絡的性能，交換機的帶寬決定著網(wǎng)絡帶寬。劃分 VLAN 的作用就是減少網(wǎng)絡風 暴，限制不同子網(wǎng)間的通信，提高安全性，也便于管理。 2.2.2 交換機的參數(shù)與選擇 1.三層交換機的主要參數(shù)與選擇 由于三層交換機主要被用于核心交換機，以及大型網(wǎng)絡中的匯聚層交換機，承擔 者網(wǎng)絡傳輸中的大部分數(shù)據(jù)流量的轉發(fā)任務，決定著整個網(wǎng)絡的傳輸效率。因此，三 層交換機應當擁有較高的處理性能和可擴展性。 (1)轉發(fā)速率 交換機達到傳輸線上的數(shù)據(jù)傳輸速度，從而最大限度的消除交換瓶頸。對于千兆 交換機而言，若欲實現(xiàn)網(wǎng)絡的無阻塞傳輸，必須符合如吞吐量(Mpps)=萬兆端口數(shù)量 14.88Mpps+千兆端口數(shù)量1.488Mpp+百兆端口數(shù)量0.1488Mpps。 (2)背板帶寬 帶寬是交換機的借口處理或接口卡金和數(shù)據(jù)總線所能吞吐的最大數(shù)據(jù)流量。背板 帶寬決定著交換機數(shù)據(jù)處理能力，特別是對那些匯聚層交換機和中心交換機而言，背 5 板帶寬越大越好。若欲實現(xiàn)網(wǎng)絡的雙工物阻塞傳輸，必須滿足最小背板帶寬的要求， 其計算公式如下：背板帶寬=端口數(shù)量端口速率2。 (3)可擴展性 三層交換機往往承擔著核心層和匯聚層的交換機，需要適應各種復雜的網(wǎng)絡環(huán)境， 其可拓展性顯得尤其重要，可拓展應包括兩個方面：插槽數(shù)量決定著交換機所容納的 端口數(shù)量和交換機的可拓展；模塊類型交換機支持的模塊類型越多，可拓展性就越強。 (4)系統(tǒng)冗余 第三層交換機作為網(wǎng)絡核心或骨干，其工作狀態(tài)的穩(wěn)定性直接決定著網(wǎng)絡的穩(wěn)定 性，而部件的物理損毀又是難以避免的，因此，部件的冗余顯得尤其重要。 (5)管理功能 換機的管理功能指的是交換機如何控制用戶的訪問以及用戶對交換機的可視程度。 必須支持 SNMP 協(xié)議。 2.二層交換機的主要參數(shù)與選擇 二層交換機是根據(jù)數(shù)據(jù)鏈路層的 MAC 地址和 MAC 地址表來完成端到端的數(shù)據(jù)交 換，它只需識別數(shù)據(jù)幀中的 MAC 地址，直接根據(jù) MAC 地址轉發(fā)。 (1)端口類型 由于二層交換機主要用于接入層，上聯(lián)同一建筑內(nèi)的匯聚交換機，下聯(lián)普通計算 機，傳輸距離非常有限，因此，通常只需要擁有 RJ-45 接口即可。 (2)端口速率 交換機達到傳輸線上的數(shù)據(jù)傳輸速度，從而最大限度的消除交換瓶頸。毫無疑問， 千兆位的帶寬能夠滿足任何網(wǎng)絡功能，完全滿足各種形式的網(wǎng)絡需求，是搭建高性能 網(wǎng)絡的當然選擇。 (3)延時 交換機延時(Latency)也稱延遲時間，是指從交換機接收到數(shù)據(jù)包到開始向目的端 口復制數(shù)據(jù)包之間的時間間隔。延時越小，數(shù)據(jù)的傳輸速率越快，網(wǎng)絡的效率也越高。 (4)MAC 地址表 6 交換機的每個端口都有足夠的內(nèi)存記憶 MAC 地址，該端口多連接的站點越多，其 內(nèi)存也越大，對于接入層交換機而言，只要 1024 個 MAC 地址就夠了。 (5)VLAN 表項 VLAN 表項限制了網(wǎng)絡內(nèi)可容納的 VLAN 數(shù)量，以及對 VLAN 訪問控制的能力。 如果 VLAN 表項較小，將限制對 VLAN 的劃分，不適宜于安全和應用較為復雜的網(wǎng)絡。 (6)鏈路匯聚 端口聚合協(xié)議可以將多個端口綁定在一起，從而成倍的提高網(wǎng)絡的帶寬，并實現(xiàn) 鏈路備份，以及端口間的負載平衡，以及快速的從故障中恢復。 核 2.3.3 路由器概述 路由器的主要作用是為不同的網(wǎng)絡之間提供信息通道，以及網(wǎng)絡傳輸控制功能。 包括轉發(fā)決定，轉發(fā)以及輸出數(shù)據(jù)鏈路調(diào)度的等。廣泛的應用于網(wǎng)絡地址轉換， Internet 接入和網(wǎng)絡互連等各個方面，主要實現(xiàn)功能有：連接不同的網(wǎng)絡，隔離廣播， 訪問遠程網(wǎng)絡，網(wǎng)絡安全等。 2.3.4 路由的參數(shù)與選擇 和交換機一樣，路由器也出現(xiàn)了不同的類型。而不同的產(chǎn)品，其功能也不一樣。 要根據(jù)網(wǎng)絡的實際需求選擇。CPU 負責交換路由信息，路由表查找以及轉發(fā)數(shù)據(jù)包， CPU 的能力直接影響路由器的吞吐量和路由計算能力。背板能力指的是路由器背板容 量或者總線帶寬能力，體現(xiàn)路由器的吞吐量，對于保證整個網(wǎng)絡之間的連接速度是非 常重要的。端口吞吐量是指路由器在某個端口的包轉發(fā)率，可以衡量路由的路由性能。 丟包率 影響著路由器線路的實際工作速度，嚴重時甚至會使線路中斷。網(wǎng)絡協(xié)議路由 器應支持所有的開放網(wǎng)絡協(xié)議。 2.2.5 防火墻 防火墻是一種重要的網(wǎng)絡防護設備，它的主要功能是抵御外來非法用戶的入侵， 具有隔離網(wǎng)絡網(wǎng)段，提供代理服務、流量控制等功能。 1.防火墻的特性 (1)網(wǎng)絡之間的所有網(wǎng)絡數(shù)據(jù)包都必須經(jīng)過防火墻過濾 7 這是網(wǎng)絡防火墻在網(wǎng)絡中位置的特性，同是也是一個實現(xiàn)過濾功能的前提。因為 只有當防火墻是網(wǎng)絡之間數(shù)據(jù)傳輸上網(wǎng)唯一通信時，才有可能對所有的數(shù)據(jù)包進行過 濾。以拒絕非法數(shù)據(jù)的入侵。一般的防火墻體系結構如圖 3-6 所示 圖 3-6 防火墻體系網(wǎng)絡結果 (2)只有符合相應安全策略的數(shù)據(jù)包才可以通過防火墻。 這也是網(wǎng)絡防火墻工作原理的主要特性。主要依據(jù)網(wǎng)絡管理員設置的數(shù)據(jù)包過濾 機制，這些過濾機制使得允許通過的數(shù)據(jù)包不受任何影響。 (3)防火墻自身應具有非常強的抗攻擊能力和免疫力。 防火墻自身具有完整信任關系的操作系統(tǒng)有關，還有就是防火墻具有非常低的服 務功能。雖然防火墻有許多的優(yōu)點，但是隨著攻擊知識的日趨成熟，攻擊工具與手法 的日趨復雜多樣性，單純的防火墻已經(jīng)無法滿足企業(yè)的安全需要。 2.2.6 傳感器 1.可視對講/門禁管理、防盜控制； 紅外傳感器，人體熱釋電傳感器，超聲波傳感器。聯(lián)接 110 報警控制機。 2.消防報警 外傳報警執(zhí)行（119 火警）、自動噴淋裝置；溫度傳感器、煙霧傳感器、煤氣泄漏 傳感器、氧傳感器、環(huán)境自動調(diào)節(jié)器。 3.電器控制管理 載波電器控制器、家電自動監(jiān)測控制如電視機、計算機、音響設備、空調(diào)機、其 他家電設備；衛(wèi)生間排氣扇控制水、電、氣閥門控制；自動抄表如電表、水表、燃氣 表。 5.家庭保健護理系統(tǒng)。 8 檢測體溫，檢測血壓，脈搏跳動次數(shù)；護理資料，保健資料，急救助報警。 2.3 網(wǎng)絡設計重點考慮的問題 1.安全問題 由于社區(qū)網(wǎng)絡是提供公共接入服務的運營管理平臺，所以在為用戶提供了高速接 入的同時，用戶數(shù)據(jù)通信的安全性將是一個需要迫切解決的問題。由于傳統(tǒng)以太網(wǎng)技 術本身的一些弱點，如：廣播、SPT 等，對整個網(wǎng)的的服務可靠性造成威脅。同時如 果不采取措施，以太網(wǎng)內(nèi)的用戶，將面臨本地黑客從網(wǎng)絡第二層次的直接竊聽甚至攻 擊。 對于以上問題，傳統(tǒng)以太網(wǎng)絡采用虛擬網(wǎng)絡技術從用戶端口到網(wǎng)絡出口建立專用 邏輯通路。但由于一般網(wǎng)絡將承載數(shù)以百計的用戶，網(wǎng)絡管理員通過靜態(tài)設置，管理 同樣數(shù)量的虛擬網(wǎng)和路由，其繁雜度和不靈活性可想而知。與此同時還要考慮此種設 置方案下，網(wǎng)絡設備的承載能力。 假如一臺邊緣交換機提供 24 個以太網(wǎng)接口，要做到完全軟件隔離，就需要軟件設 置 24 個 VLAN,這 24 個 VLAN 需要通過邊緣交換機的上聯(lián)端口的 802.1Q 技術連接到 中心交換機，然后經(jīng)過三層轉發(fā)實現(xiàn)設備互通。如果一臺中心交換機連接 20 個邊緣交 換機，就需要提供 480 個 VLAN 的路由。從目前的交換機處理能力來看，還遠遠達不 到這種需求；更何況隨著網(wǎng)絡規(guī)模的擴大，每臺中心交換機的下聯(lián)設備回大幅度增加。 另外，對于大數(shù)目 VLAN 的引入，勢必增加網(wǎng)絡操作、管理、維護的難度。從長遠眼 光來看，對于邊緣交換機應該是越簡單越好。減輕網(wǎng)絡管理、配置負擔。 所以在本方 案中我使用寬帶以太網(wǎng) VCN 交換機，利用 VCN 交換機端口的硬件特性從網(wǎng)絡二層上 完全隔離了每個端口的用戶數(shù)據(jù)流而實現(xiàn)用戶數(shù)據(jù)的安全性，同時由于通過硬件提供 網(wǎng)絡安全，因此不會降低網(wǎng)絡的整體性能。對于一個完整的社區(qū)網(wǎng)絡來說，不僅僅要 考慮到內(nèi)部用戶在社區(qū)內(nèi)數(shù)據(jù)通信的安全性，同時也要考慮到內(nèi)部用戶在社區(qū)外訪問 社區(qū)內(nèi)網(wǎng)絡的數(shù)據(jù)通信的安全性，所以對于一個移動用戶通過公網(wǎng)來訪問社區(qū)網(wǎng)絡的 安全性問題，一般通過虛擬私有網(wǎng)絡（VPN）來實現(xiàn)，即通過 PPTP 或 L2TP 在公網(wǎng)與 社區(qū)網(wǎng)絡之間建立一條 VPN 隧道，在該隧道中的通過 IPSec 進行數(shù)據(jù)加密的封裝以保 證數(shù)據(jù)通信的安全性。這些對于處于網(wǎng)絡二層上的 VCN 交換機而言也是完全透明的。 傳統(tǒng)的用戶在實現(xiàn)內(nèi)網(wǎng)安全時，往往采用劃分 VLAN、IP 地址和 MAC 地址的綁 定等等。但針對成千上萬的小區(qū)用戶來說是非常不現(xiàn)實的，因為大量的 VLAN 會嚴重 9 消耗交換機的資源，常常會因為交換機過載而丟包。由于小區(qū)用戶數(shù)量多，組成復雜， 如果運營商試圖通過綁定 IP 和 PCMAC 得方式來保證內(nèi)網(wǎng)的安全，勢必花費大量的人 力物力，并且會增加運營成本，因為綁定 IP 和 PC MAC 須增加交換機三層路由模塊。 但是采用 3COM VCN 社區(qū)專用寬帶接入交換機，利用其獨有的數(shù)據(jù)轉發(fā)機制，則可 以在節(jié)約以上成本的情況下，完全的實現(xiàn)內(nèi)網(wǎng)安全。 2.組播實現(xiàn) 網(wǎng)絡拓撲結構對組播 Multicast 的支持分兩個層次：路由網(wǎng)絡和二層交換網(wǎng)絡。 路 由網(wǎng)絡需支持 DVMRP、MOSPF 或 PIM。 對于二層交換式網(wǎng)絡，主要是通過標準協(xié) 議 IGMPSnooping，VCNSwitch 支 IGMPSnooping 來實現(xiàn)。 3.認證與計費 對于多功能系統(tǒng)網(wǎng)絡服務運營平臺，以及智能化社區(qū)的網(wǎng)絡建設，僅僅有高速的 物理網(wǎng)絡是遠遠不夠的還需要客戶服務運營管理，用以形成強大的后臺支撐系統(tǒng)，推 薦采用在城域網(wǎng)中心提供集中的管理計費。 通過采用集中計費管理，就不用在每個小 區(qū)設置網(wǎng)絡中心，從而大大節(jié)約管理成本，使運營商處于有利的競爭地位。 4.網(wǎng)絡管理 對于一個完整的社區(qū)網(wǎng)絡而言，由于存在著大量的網(wǎng)絡設備，所以為了保障整個 網(wǎng)絡正常運作，就需要使用網(wǎng)管軟件來對整個網(wǎng)絡的運作進行監(jiān)控。網(wǎng)絡安全的正常 運行、網(wǎng)絡資源的合理使用，都離不開完善的網(wǎng)管系統(tǒng)。網(wǎng)管系統(tǒng)通過 SNMP、RMON 等網(wǎng)絡管理協(xié)議，對網(wǎng)絡中的網(wǎng)絡設備進行遠程的監(jiān)控，通過探測每 臺網(wǎng)絡設備的工作狀態(tài)，來保證整個網(wǎng)絡的可靠性，一旦網(wǎng)絡設備出現(xiàn)問題，則網(wǎng)管 系統(tǒng)就會及時準確的發(fā)現(xiàn)問題所在，并發(fā)出警告信息。網(wǎng)管的另一重要的任務是記錄 網(wǎng)絡的運行狀態(tài)，這將為日后網(wǎng)絡資源的合理調(diào)配提供準確的數(shù)據(jù)，另外通過監(jiān)測網(wǎng) 絡中的數(shù)據(jù)流量，可計算出各網(wǎng)絡使用單位對網(wǎng)絡運行所應承擔的費用。 網(wǎng)管系統(tǒng)是 由安裝在網(wǎng)絡設備中的網(wǎng)絡管理模塊和網(wǎng)絡管理工作站組成。位于設備中的網(wǎng)管模塊 負責收集設備本身運行狀態(tài)的各項指標和參數(shù)，然后將其發(fā)送到指定網(wǎng)管工作站上。 網(wǎng)管工作站負責接收這些信息，然后對其進行分析和整理，作出必要的反應。 根據(jù)本網(wǎng)絡對網(wǎng)絡的安全控制要求，網(wǎng)絡管理系統(tǒng)要求能夠對整個網(wǎng)絡進行網(wǎng)絡 的劃分和管理以及交換機配制管理，以保證網(wǎng)絡用戶在各自的職權范圍內(nèi)進行操作， 10 避免對其它用戶造成干擾和侵犯。因此建議使用 3COM 公司的 NetworkSupervisor 作為 網(wǎng)管軟件，提供上述的各種功能。 5.設計方案 采用高性能寬帶接入交換機 VCN Switch，從硬件上解決了網(wǎng)絡用戶的安全問題， 并且不影響用戶的網(wǎng)絡性能。整體性能遠高于采用 VLAN 方式實現(xiàn)安全(軟件實現(xiàn))的 傳統(tǒng)交換機。 從物理上解決網(wǎng)絡安全問題，減少整個網(wǎng)絡的 VLAN 數(shù)量，減輕二級交換記路由 負擔，便于整個網(wǎng)絡的合理實現(xiàn)。高效、快捷、安裝操作維護簡單采用 VBN 服務運營 管理服務器實現(xiàn)社區(qū)網(wǎng)絡的運營管理的計費和認證?？梢蕴峁┌炊丝凇AC 地址、時 間、流量計費。 11 3 物理網(wǎng)絡設計 3.1 綜合布線設計 3.1.1 綜合布線標準 根據(jù)中國的大樓通信綜合布線系統(tǒng)(YD/T 926.13-2001)標準規(guī)定，綜合布線 系統(tǒng)由建筑群主干布線子系統(tǒng)、建筑物主干布線子系統(tǒng)、水平布線子系統(tǒng)和工作組子 系統(tǒng)組成。如圖 3-2 所示。 圖 3-1 中國標準綜合布線系統(tǒng)結構 建筑群主干布線子系統(tǒng)：建筑群主干布線子系統(tǒng)是建筑群配線架到各棟建筑物配 線架之間的通信線路。多采用單模光纖和多模光纖。 建筑物主干布線子系統(tǒng)：建筑物主干布線子系統(tǒng)是建筑物內(nèi)部垂直敷設的骨干線 路，從建筑物配線架至樓層配線架的通信線路均屬于該子系統(tǒng)。 水平布線子系統(tǒng)：水平布線子系統(tǒng)是建筑物中分支線路部分，從樓層配線架至信 息插座止的通信線路均屬于該系統(tǒng)。 工作組子系統(tǒng)：工作組子系統(tǒng)是智能建筑綜合布線系統(tǒng)中的未端，也是接近用戶 的通信線路，是用戶使用的終端設備連接到信息插座的所有通信線路。 3.1.2 綜合布線設計要求 1.需求分析 （1）拓撲結構需求分析。只有進行全面的需求分析，設計合理的網(wǎng)絡的規(guī)劃拓撲。 （2）數(shù)據(jù)傳輸需求分析。決定了網(wǎng)絡所采用的網(wǎng)絡連接設備和布線產(chǎn)品。 12 （3）發(fā)展需求分析。必須為以后的擴展留有足夠的空間。 （4）性能需求分析。應慎重考慮網(wǎng)絡對性能的根本要求。 2.設計原則 光纖優(yōu)先，網(wǎng)絡主干和垂直布線系統(tǒng)采用光纖作為通信介質。適當冗余，必 須為以后的擴展留有足夠的空間，一次性充分滿足。必須使用相關的產(chǎn)品規(guī)范與 標準。 3.網(wǎng)絡布線設計要求 （1）實用性，滿足日常的業(yè)務需求與適應計算機網(wǎng)絡體系結構的需要。 （2）靈活性，有益于網(wǎng)絡的日常維護和管理、設備的添加與刪除、升級。 （3）先進性，能夠適應網(wǎng)絡布線技術的發(fā)展潮流，有數(shù)據(jù)圖像聲音的傳輸能力。 （4）可靠性，對環(huán)境擁有良好的適應能力，遭到攻擊系統(tǒng)仍可正常工作。 （5）擴張性，系統(tǒng)不僅支持現(xiàn)有的計算機和網(wǎng)絡設備，還支持未來的接入技術 （6）開放性，支持不同廠商、不同類別的網(wǎng)絡產(chǎn)品、完全開放。 3.1.3 綜合布線的詳細設計 本設計方案的布線系統(tǒng)分為三級，首先第一級為小區(qū)的網(wǎng)絡管理中心，第二級為 每棟樓的配線間，第三級為每個住戶的的小型配線中心。戶內(nèi)布線，從一樓的配線間 的線纜介入戶內(nèi)的配線架，集中管理戶內(nèi)的所有信息點，包括電視、電話、可視電話、 計算機、防盜和火災系統(tǒng)等。每戶的數(shù)據(jù)網(wǎng)絡信息點，分別設在客廳、主臥、書房、 廚房和衛(wèi)生間。以各住宅用戶為單位，每戶的數(shù)據(jù)信息點分布如表 3.1 所示。 如表 3.1 住戶單元內(nèi)的信息點 房間數(shù)據(jù)點語音點可視門鈴有線電視防災報警三表抄表 客廳11111- 主臥111- 書房111- 臥房-1-1- 衛(wèi)生間-1- 廚房-1-23 小計361433 13 家庭戶內(nèi)布線配置如表 3.2 所示。 表3.2 住戶單元布線材料(每戶) 名稱單元數(shù)量 MPS-100E-262 超五類模塊個9 DM2150B PATCHMAX 配線模塊個2 雙孔面板個9 同軸復接面板(四分配器)個1 家庭配線中心安裝盒個1 同軸線纜(CT-100)碼40 1061004CSL米60 機尾線條4 同軸用戶盒個4 每棟樓的凈高為 100 米，垂直電纜平均長度為 30 米。每 1061004CSL(305 米/箱)能 夠拉出 10 條線纜，整個小區(qū)共 6 棟大樓總計有 720 戶，每戶拉 3 條 1061004CSL，則 一共需要 220 箱 1061004CSL(305 米/箱)線纜。 同軸線纜的單位是碼，1 碼0.9144 米。每棟樓有 2 個單元，所以有 2 條有線電視 支路，每條支路的每個樓層均有一個同軸分支器，把來有線電視信號分為兩對，傳輸 給本單元本層的用戶。樓與樓之間通過主干相連，而從各個住宅樓來的主干最終將會 匯聚在小區(qū)管理中心內(nèi)。兩樓之間的網(wǎng)絡主干干采用 62.5/125um 多模四芯光纖(LGBC- 004)作為高速數(shù)據(jù)網(wǎng)絡連接，這種光纖具有很好的抗干擾性，而且傳輸?shù)娜萘看螅?密性能高，傳輸速率快等優(yōu)點。門禁和安保/火災報警系統(tǒng)，查表系統(tǒng)的樓宇主干線纜 采用三類 50 對室外銅纜主干。有線電視采用同軸線纜。從網(wǎng)絡管理中心分別向住宅樓 引出三條 75 歐同軸線纜(CT-125)(其中一條作備份)。平均每條同軸線纜長 60 米，共需 360 米。從網(wǎng)絡管理中心分別引出 6 條三類 50 對大對數(shù)線纜接入物業(yè)管理中心和社區(qū) 服務中心。按平均距離 60 米計，每箱 305 米可拉 5 條，這樣需 2 箱 1010050 三類 50 對大對數(shù)線纜。 3.2 網(wǎng)絡設備配置 3.2.1 配置原則概述 14 要組建一個網(wǎng)絡，網(wǎng)絡設備是必不可少的，交換機，路由器和防火墻是幾乎所有 局域網(wǎng)絡都要使用的基本設備。其中，交換機主要用于將其他網(wǎng)絡設備和所有的終端 設備連接在一起，實現(xiàn)彼此之間的通信：路由器則用于實現(xiàn)局域網(wǎng)之間，以及局域網(wǎng) 與 Internet 的互聯(lián)，將所有的網(wǎng)絡連接砸開一起：而防火墻則用于在內(nèi)部網(wǎng)絡之間，以 及內(nèi)部網(wǎng)絡和 Internet 之間創(chuàng)建一個安全屏障將惡意攻擊阻攔在內(nèi)部網(wǎng)絡外。不同的網(wǎng) 絡、不同的用途、都要使用不同的設備，因此，在搭建網(wǎng)絡之前就應當先規(guī)劃好要使 用的網(wǎng)絡設備。 通常，一個完整的網(wǎng)絡一般可以劃分為三個部分：網(wǎng)絡控制中心、分建筑網(wǎng)絡以 及水平連接網(wǎng)絡。網(wǎng)絡控制中心用來對整個網(wǎng)絡實施控制和管理，也是整個網(wǎng)絡的核 心，因此，一般需要使用高性能的核心設備。為了網(wǎng)絡的安全，在核心交換機和路由 器之間添加網(wǎng)絡防火墻，以隔離內(nèi)、外部網(wǎng)絡、阻止非法用戶的入侵。分建筑內(nèi)的分 支網(wǎng)絡主要通過光纖直接連接至控制中心，并向下連接到工作組交換機。因此，應根 據(jù)網(wǎng)絡分支的大小選擇不同性能的交換機。如圖 2-2 所示。 圖 3-2 萬科金色園區(qū)物理網(wǎng)絡圖 配置原則： 1.網(wǎng)絡設備互連的物理端口都應該綁定端口的速率和全雙工模式。 2.所有的 VLAN 都不要穿透核心層，所有的 VLAN 都將在匯聚層交換機上終結。 3.不啟用 STP 生成樹協(xié)議，由于所有的 VLAN 都已在匯聚層交換機終結，在二層 上并沒有環(huán)路存在，故無必要啟用；如果開啟基于每個 VLAN 的生成樹協(xié)議，廣播報 文將會很多，影響核心交換機性能和網(wǎng)絡收斂時間。 4. 所有核心層和匯聚層交換機之間的互連端口均設置為 Trunk 模式，只容許互連 VLAN 通過，以應付將來有 VLAN 穿越核心層這種情況。 5.匯聚層交換機和接入交換機之間的互連端口設置為 Trunk 模式。 3.2.2 核心交換機的主要功能 DHCP 配置是住宅用戶的上網(wǎng)客戶端需要配置 IP 地址，子網(wǎng)掩碼，網(wǎng)關才能與 管控樓層的交換機相連，然后將數(shù)據(jù)傳輸?shù)胶诵慕粨Q機上。配置 DHCP 就能自動按 照這個樓層所屬的網(wǎng)關來下放 IP 地址，這樣可以減少操作人員的工作量。測試結 果如圖 3.2 所示。 15 圖 3.2 DHCP 功能測試圖 虛擬路由功能的作用是起到負載均衡。在機房中的核心交換機共有兩臺，兩臺核 心交換機每天要接受整個小區(qū)傳送來的大量數(shù)據(jù)，如果所有數(shù)據(jù)只發(fā)送到一臺核心交 換機上，一旦超過這臺核心交換機的負荷量，很有可能導致這臺核心交換機癱瘓所以 配置了虛擬路由的功能，就可以使傳輸來的數(shù)據(jù)均衡地分配到兩臺核心交換機上。虛 擬路由功能如圖 3.3 所示。 圖 3.3 虛擬路由功能圖 快速生成樹協(xié)議的功能是可以防止兩臺核心交換機出現(xiàn)網(wǎng)絡環(huán)路。啟動了快速生 成樹協(xié)議，就可以使協(xié)商的速度大大提高。它可以快速的監(jiān)視到局域網(wǎng)中可用的鏈路， 關閉冗余的鏈路，可以確保不會出現(xiàn)環(huán)路，避免了廣播風暴，這將大大的減少資源的 浪費。快速生成樹協(xié)議功能如圖 3.4 所示。 16 圖 3.4 快速生成樹協(xié)議功能圖 路由器是外網(wǎng)進入內(nèi)網(wǎng)的第一道關卡，是網(wǎng)絡防御的前沿陣地。路由器上訪