某办公楼盘算机网络系统建立架构

　　某办公楼拟建总修建面积约4500㎡;修建范例为高层修建，地上1-6层。各层修建功能如下：

　　1层主要修建功能为入口门厅、信息中心机房、保安监控室、大型集会室、中型集会室、业务办公室、邮寄包裹兼司机办公室等;

　　1层夹层为集会室、培训室等;

　　2层为业务办公室、各级司理室、备用室、美工打印室、创意集会室、区域小机房等;

　　2层夹层为业务办公室、各级司理室等;

　　3层为业务办公室、各级司理室、集会室、各类健身室、区域小机房等;

　　4层为业务办公室、各级总监室、各级司理室、区域小机房等;

　　5层为业务办公室、各级总监室、各级司理室、小集会室、档案室、区域小机房等;

　　6层为业务办公室、总司理室、副总司理室、秘书室、工会主席室、各级司理室、贵宾欢迎室、资料室、区域小机房等。

　　本方案的重点在于需求分析、系统布局框架及系统功能的设计，我院设计中接纳的技能门路是成熟先进的技能，在实际工程中已有较多的应用及产物支持，以使本设计具有较好的通用性，详细选用产物可在系统优化设计时最终确定。

　　盘算机网络系统建立架构

　　盘算机网络系统主要是大楼内部各部分的网络应用以及为大楼的管理和各种应用搭建一个机动应用，安全可靠的硬件平台。将大楼的网络按部分分为若干个逻辑网段，将大楼的各种PC机、工作站、终端设备和局域网毗连起来，并与广域网相连，形成布局公道、内外沟通的盘算机网络系统，并在此底子上创建能满意商务、办公自动化和管理需要的软硬件情况，开辟各类信息库和应用系统，为大楼内的工作人员、访客提供充实、便捷的网络信息服务。

　　盘算机网络系统分内部办公网、外网。各个网络拓扑为星型布局，接纳分层设计，条理网络架构包罗：接入层、焦点层等二层，创建网络主干千兆，百兆到桌面的网络应用。

　　1) 物理网络形貌

　　根据大楼业务网运营数据的特点，内部办公网、外网相互之间逻辑隔离。

　　中心网络接纳多链路100M光纤链路INTERNET接入，以大容量高速骨干互换为网络焦点，千兆光纤下行至各楼层小机房的全千兆接入二层互换，以及接纳无线互换机对整个无线网路举行统一的管理。终端接纳无线或有线方式实现用户网络接入，确保楼内网络的机动性和可扩展性。同时在网络界限防火墙出开出独立DMZ区域，作为中心焦点数据管理存储中心，对内外提供差别服务。

　　依托物理平台，充实思量当前各类应用以及网络数据的传输质量，接纳虚拟局域网技能依据差别应用方向分别独立子网，有效地防止广播风暴及各类安全隐患在网络中的伸张，确保各子网数据独立高效运行。

　　2) 内网形貌

　　内部办公网面向中心内部用户，主要用于承载中心内部各类应用，如：OA、多媒体、网络管理等无须上INTERNET的业务。子网内部通过摆设防火墙，审计，行为管理等安全产物实现内部用户对于各类应用数据访问的可控可管，确保中心日常办公应用及当地数据互换的高效性，详细摆设根据实际需求使用VLAN等多种技能手段实现管理和区分。OA办公系统应用于内部信息系统，为全中心提供完善的办公自动化服务，实现无纸化办公，提高工作效率;功能包罗收发文管理、办公管理、信息采编、公共信息管理、个人事务管理、内部邮件、即时通讯、信息检索等模块等。全面实现全局无纸化网上办公，实现的功能包罗行政办公，公共信息。

　　3) 外网扑形貌

　　办公外网主要为：中心数据、物流查询功能的Internet接入服务、远程资源共享、信息流转、系统远程视频集会等，为各类中心内部及活动用户提供全面高效的数据访问和交互平台。

　　part 2监控网络建立架构

　　监控网络作为数据网络的子网，前端接入层独立于数据网络之外，接纳汇聚层专注用于监控数据传输，最后汇入焦点层。网络拓扑为星型布局，接纳分层设计，条理网络架构包罗：接入层、汇聚层、焦点层等三层，创建网络主干千兆，百兆到终端的网络应用。

　　1) 终端信号收罗

　　接纳终端网络摄像机举行视频信号收罗，收罗数据为数字信号，无须在终端摆设视频服务器等转换设备，低落投入本钱，且通过网络摄像机可以实现和其他安防监控系统实现联动，进一步提高产物使用率，使应用更高效。且网络摄像机{方案}IP架构，所有监控设备均通过IP链路毗连，管理方便。

　　2) 监控数据传输

　　终端通过摆设{方案}IP的网络摄像机，将视频信号直接以数字形式通过IP链路最终在监控焦点互换处汇聚，思量到数据传输质量和实时性要求高,因此在焦点互换位置接纳大容量高速骨干互换对数据举行分发互换，由于前端所有网络摄像机路由至1层信息中心机房处在90米以内，因此前端网络视频信号直接汇入1层信息中心机房处的焦点互换机。

　　3) 监控数据存储

　　所有监控终端监控视频数据将通过IP链路汇聚后会合，接纳IP-SAN模式实现高速实时存储，同属摆设大容量存储阵列对规定时间段内所有监控数据举行存储备份，已备后续查询。

　　4) 实时监控及管理

　　在焦点互换处旁路模式摆设监控管理服务器，自动扫描发现所有监控中所有设备，并形成对应拓扑，并使用监控管理服务器对监控终端举行维护及数据收罗和传输的控制。同时接纳千兆光链路将数据传输至安保监控中心，通过电视墙实时显示。

　　part 3数据互换网络建立摆设

　　1) 焦点互换摆设

　　终端节点约500个，摆设千兆焦点互换机，设置在1层信息中心主机房网络设备柜。接纳2台支持3层互换路由功能高性能的焦点互换机做双中心冗余，所有的接入层互换机接纳2条千兆光纤链路连到2台焦点互换机上，包管链路的冗余。服务器群通过2条千兆链路以冗余的方式毗连到2台焦点互换机。接纳VLAN分别计谋对楼内网络终端、差别部分的终端、视频集会应用、智能化各子系统等分别VLAN;同一部分可以跨楼层举行相互访问，差别的部分间未经允许不能举行访问，差别VLAN间的通信通过焦点互换机实现。负责内网络的转发。

　　接纳模块化焦点互换机，焦点互换机具有1Tbps以上的背板互换容量，支持3层互换的路由功能，实现高性能的焦点转发，支持IPv4、IPv6、MPLS、NAT、组播、QoS、带宽控制等业务功能，包管了网络焦点的高稳定性和可扩展性;各焦点互换机配置2个电源，实现电源冗余备份;配置千兆的光口/电口板卡，负责服务器群、网络管理、网络安全系统、链路热备及负载平衡网络的接入。

　　2) 楼层接入摆设

　　摆设百兆接入互换机，设置在各楼层小机房网络设备柜和保安监控室的网络设备柜，负责接入各终端盘算机、无线AP等。

　　各接入互换机接纳可网管二层互换机，支持端口聚合、VLAN、STP、SNMP等特点;配置24/48口10M/100M电口，2个千兆光口，实现10M/100M到桌面，千兆上行到焦点互换机。

　　3) 无线接入摆设

　　摆设百兆无线接入互换机，设置在1层信息中心机房，支持千兆上行端口，实现无线AP可控可管。无线AP与无线控制器\无线互换机配合组网(Fit AP)，便于会合管理。

　　使用无线网络部门覆盖，填补网络盲区,在有效覆盖范围内自由登录而不受时空的限制，本项目在各楼层公共区域设置无线路由器，实现办公区域全覆盖。

　　各无线路由器接入外网网络。配置高性能百兆无线局域网接入设备，无线AP上行接口接纳百兆以太网接口接入，无线路由器支持802.11abgn, 双频单模, 集整天线,支持工作在2.4Ghz与5.8Ghz频段，能提供20M/40M信道技能。

　　监控网：

　　1) 汇聚互换摆设

　　终端节点约50个，摆设千兆焦点互换机，设置在1层信息中心主机房网络设备柜。接纳1台支持3层互换路由功能高性能的汇聚互换机。服务器群通过1条千兆链路毗连到焦点互换机。

　　接纳模块化焦点互换机，焦点互换机具有1Tbps以上的背板互换容量，支持3层互换的路由功能，实现高性能的焦点转发，支持IPv4、IPv6、MPLS、NAT、组播、QoS、带宽控制等业务功能，包管了网络焦点的高稳定性和可扩展性;焦点互换机配置2个电源，实现电源冗余备份;配置千兆的光口/电口板卡，负责前端视频终端、服务器群、网络管理、网络安全系统、链路热备及负载平衡网络的接入。

　　2) 楼层接入摆设

　　摆设百兆接入互换机，设置在各楼层小机房网络设备柜和保安监控室的网络设备柜，负责接入各终端盘算机、无线AP等。

　　各接入互换机接纳可网管二层互换机，支持端口聚合、VLAN、STP、SNMP等特点;配置8/16口10M/100M电口，2个千兆光口，实现10M/100M到桌面，千兆上行到焦点互换机。

　　part 4服务器及存储摆设

　　内网网络设置2台业务信息化数据库服务器 (一主一备)，接纳X86机型，设置2个光纤网卡作为存储端口;其他服务器根据应用需求详细另行配置。

　　针对业务信息化数据设置2套光纤磁盘阵列，同时摆设数据镜像系统，保持2套阵列数据的同步性。光纤磁盘阵列接纳FC-SAN网络，配置2台8口SAN互换机(思量冗余)，毗连前端档案信息化数据库服务器。

　　思量到公司信息化相关数据的重要性和实时性，对业务信息化数据库服务器摆设在线容灾备份系统。通过在服务器上摆设数据库在线容灾备份软件，对应用系统所依赖的重要数据实时的备份到存储设备上。

　　内网另配置智能卡服务器、OA服务器和FTP服务器等服务器群;外网配置网络边沿WEB服务器、防病毒服务器和邮件服务器等;监控网配置视频存储服务器等。

　　part 5网络安全摆设

　　思量到整个网络后续的运行稳定性和数据安全性，将在中心网络中摆设防火墙，入侵防御、防毒墙等安全产物，以有效的对收支网络以及DMZ区域数据访问举行有效的控制管理和授权。

　　1) 网络管理系统摆设

　　内、外、监控网分别摆设网络管理平台，实时地发现问题、跟踪定位和阻止泛滥，为网络操纵人员提供监控和阻止网络攻击所必须的信息。实现各网络运行情况告警并产生报表;会合管理网络设备、服务器及安全设备;自动产生全网设备的网络拓扑;显示流量;具有图形化配置方式。

　　2) 防火墙系统摆设

　　在网络接入界限处，摆设千兆高性能防火墙作为安全界限，对收支外网的数据举行有效的过滤和防护。防火墙要求支持至少2个左右千兆电口，同时至少2个千兆光口，要求设备支持bypass功能，防治单点故障造成网络中断。设备接入模式要求支持路由模式、透明模式、NAT模式、稠浊模式等多种模式，要求支持{方案}域、接口、Alias别名等信息创建安全计谋，能够{方案}文件巨细，内容，url实现对HTTP服务的控制和过滤，同时要求支持邮件过滤，支持贝叶斯过滤方式，支持自主学习，能实现RBL实时黑名单地点管理。能够对各类应用举行有效过滤和控制，如游戏，谈天，下载等。

　　3) 防病毒系统摆设

　　在互联网接入区摆设1台防毒墙系统，支持500的用户数。实现互联网访问网络时的安全计谋，对外网的web、mail、ftp、qq、msn等多种形式的病毒查杀，支持脱壳技能。

　　外网配置1套支持500用户的网络版防病毒软件。

　　4) 入侵防御系统摆设

　　在互联网接入区摆设1台入侵防御系统，入侵防御系统从3个方面举行有效防御及保障：

　　主动防护：对网络蠕虫、木马、黑客攻击以及网络病毒等恶意流量的流传举行主动防护，掩护用户网络资源;

　　系统毛病遮断：为网络中的主机提供有效的系统毛病防护方案，补充由于补丁不能实时更新而造成的系统脆弱性;

　　应用访问控制：有效控制IM、P2P、VoIP等敏感应用对网络带宽的滥用;

　　关键业务系统保障：通过智能的安全防御，最大限度低落各种恶意行为对关键业务服务及设备的威胁。