H3C智能建筑IP網(wǎng)絡(luò)解決方案及其廣泛應(yīng)用
計算機網(wǎng)絡(luò)系統(tǒng)是智能建筑弱電系統(tǒng)中必不可少的部分�,杭州華三通信技術(shù)有限公司(以下簡稱H3C)是國內(nèi)主要的IP網(wǎng)絡(luò)產(chǎn)品和解決方案供應(yīng)商之一�����,有豐富的IP網(wǎng)絡(luò)產(chǎn)品和方案供弱電設(shè)計單位���、弱電集成商在設(shè)計和施工時選擇�����。下面我們以智能樓宇為例介紹幾個H3C公司的IP網(wǎng)絡(luò)解決方案����。
一、低層樓宇I(lǐng)P網(wǎng)絡(luò)方案
低層樓宇整體的數(shù)據(jù)信息點數(shù)較少����,而且各樓層距離底層機房的距離較近,因此一般核心設(shè)備不需要采用很高檔次設(shè)備�����,另外對核心交換機光纖接口的數(shù)量要求較少�。
設(shè)備選型:
1��、 每樓層弱電間接入交換機建議選擇H3C S3100-EI系列的智能安全交換機��。
a) 可以根據(jù)信息點數(shù)量選擇8口����、16口、24口����、48口���,如果數(shù)量更多,可以堆疊擴展端口數(shù)���。
b) 從弱電間接入交換機到核心交換機采用何種鏈路取決于兩者間距離�,如果距離小于100米�,可采用超五類線;如果距離超過100米��,可采用多模光纖傳輸�。
c) 上行鏈路由于匯集了所有的接入流量,一般采用千兆帶寬��,S3100-EI均提供足夠的GE電口和光模塊供選擇�。
d) 如果有無線AP、IP電話機等設(shè)備��,為便于供電��,可以選擇S3100-EI的POE款型���,采用POE方式給這些設(shè)備供電�。
2、 位于底層的機房部署核心交換機�����,由于低層樓宇需要的光纖匯聚端口較少�����,采用H3C S5500-28F-EI千兆光纖匯聚交換機即可滿足要求���。如果對核心設(shè)備的可靠性要求很高�����,采用H3C S7502E機箱式交換機可滿足要求。
3�����、 配置一套網(wǎng)絡(luò)管理系統(tǒng)H3C iMC�����,實現(xiàn)對所有網(wǎng)絡(luò)設(shè)備的綜合管理�,包括設(shè)備管理��、性能管理�����、告警管理�、配置管理���、拓撲管理��。
4���、 大樓到internet連接可以采用H3C公司的路由器或防火墻,有豐富的產(chǎn)品類型可供選擇���,不再贅述����。
二����、高層樓宇I(lǐng)P網(wǎng)絡(luò)方案
不同行業(yè)的高層樓宇建設(shè)模式差別非常大:選擇的設(shè)備差異大、帶寬差異大�、組網(wǎng)方案差異大���、網(wǎng)絡(luò)結(jié)構(gòu)差異大,投資差異大����,下面簡單地探討一些基本規(guī)律。
接入層設(shè)備選型考慮:
很多高層樓宇都是行業(yè)內(nèi)或某個區(qū)域內(nèi)具有代表性的建筑�,建設(shè)規(guī)格較高,對信息化要求也較高���,需要考慮到技術(shù)先進性��。當前網(wǎng)絡(luò)的一個重要的發(fā)展趨勢是千兆接入的普及����,因此很多高層樓宇的接入層采用了千兆接入交換機�。
H3C擁有業(yè)內(nèi)最齊全的千兆交換機產(chǎn)品線,S5120-EI/S5120-SI都是性價比很高的千兆二層交換機�。上行鏈路可以采用萬兆光纖�����,這樣可以使每個接入用戶可以獲得足夠高的帶寬�����。也可以先使用多個千兆捆綁方式上行,以后需要時采用萬兆鏈路����。
對于仍然希望采用百兆接入的客戶,H3C有S3100系列/S3600系列豐富款型的百兆接入交換機供選擇�����。采用百兆接入交換機�,可以參考低層樓宇部分的選型考慮。
核心設(shè)備的考慮:
核心設(shè)備故障會影響到整個大樓的網(wǎng)絡(luò)使用����,因此必須具備足夠高的可靠性和穩(wěn)定性,此外還必須具備很強的擴展性�����、多業(yè)務(wù)支持能力��、安全防護能力�����、大容量接入能力等。
H3C S10500/S9500E/S7500E等高端交換機����,是國內(nèi)外主流的核心交換機之一,擁有數(shù)十項可靠性技術(shù)保障��,并且在國內(nèi)網(wǎng)上有大量的應(yīng)用�,成熟穩(wěn)定性已經(jīng)經(jīng)歷了充分考驗。
為了實現(xiàn)大樓不同部門網(wǎng)絡(luò)之間的安全隔離���,以及防范來自外網(wǎng)對大樓內(nèi)部網(wǎng)的各種網(wǎng)絡(luò)安全威脅����,需要核心交換機支持集成各種安全業(yè)務(wù)板卡�����,以方便地實現(xiàn)安全防范技術(shù)的部署���。H3C S10500/S9500E/S7500E交換機可支持FW/IPS/NTA等多種安全業(yè)務(wù)板卡���,實現(xiàn)高集成度低成本的安全部署���。
網(wǎng)絡(luò)管理系統(tǒng)建設(shè)的考慮:
H3C iMC智能管理中心是一個基礎(chǔ)網(wǎng)管平臺�,通過增加不同的管理組件,可以實現(xiàn)用戶�����、業(yè)務(wù)�����、資源三者之間的融合管理���。也就是幫你看清楚網(wǎng)絡(luò)上有什么資源�����?哪些業(yè)務(wù)在用這些資源���?哪些用戶在用這些資源?哪些用戶在使用哪些業(yè)務(wù)��?
三�����、有線無線一體化IP網(wǎng)絡(luò)方案
雖然在樓宇規(guī)劃建設(shè)時,已經(jīng)鋪設(shè)了光纖或者是銅纜作為大樓的骨干網(wǎng)絡(luò)�����。但有線網(wǎng)絡(luò)在某些場合還是要受到布線的限制:如布線��、改線工程量大�����;線路容易損壞��;網(wǎng)絡(luò)中的節(jié)點不可移動等�����。特別是對于家庭用戶�,網(wǎng)絡(luò)節(jié)點位置相對不固定,而且����,網(wǎng)絡(luò)鋪設(shè)盡量要避免開槽等大工作量施工。
|
|
有線網(wǎng)絡(luò)
|
無線網(wǎng)絡(luò)
|
|
布設(shè)線纜或租用線路
|
是
|
否
|
|
線路是否易損
|
是
|
否
|
|
施工難易度
|
高
|
低
|
|
工程時間
|
較長
|
短
|
|
工程美觀度
|
雜亂
|
簡潔美觀
|
|
維護
|
復(fù)雜
|
簡單
|
通過上面的比較�,可以看出無線網(wǎng)絡(luò)相對有線網(wǎng)絡(luò)具有很多獨特的優(yōu)點����。根據(jù)目前在智能建筑中的網(wǎng)絡(luò)建設(shè)實踐來看�,兩種網(wǎng)絡(luò)“同時部署���,相互補充”已經(jīng)成為一種趨勢�����。網(wǎng)絡(luò)的骨干����、固定信息點更多采用有線網(wǎng)絡(luò)�,而不易布線的信息點、移動信息點更多采用無線網(wǎng)絡(luò)���。
而當前一個突出問題是:多數(shù)情況下�����,無線網(wǎng)作為獨立的網(wǎng)絡(luò)與有線網(wǎng)絡(luò)分開管理��。這就導(dǎo)致了無線網(wǎng)需要單獨的管理系統(tǒng)和安全策略����,使得無線網(wǎng)的管理成本居高不下。
H3C公司在智能建筑倡導(dǎo)“有線無線一體化網(wǎng)絡(luò)解決方案”���,主要特點是“設(shè)備一體化�、管理一體化�����、安全一體化�、業(yè)務(wù)一體化”,下面我們結(jié)合一些實際的工程介紹這幾個特點:
1����、 設(shè)備一體化
無線網(wǎng)絡(luò)的設(shè)備主要有無線控制器(AC)、無線接入點(AP)����。所謂的“設(shè)備一體化”是指有線設(shè)備和無線設(shè)備的融合,主要體現(xiàn)在無線控制器和有線網(wǎng)絡(luò)設(shè)備的融合�。
H3C公司有“一高一低”兩種融合方式:“一高”是指高端無線控制器和高端交換機的融合,高端無線控制器直接做成交換機板卡�����,插在高端交換機的槽位中使用,H3C公司的S7500E和S9500高端交換機都支持無線控制器插卡���。
H3C的“7500E 系列交換機 + 無線控制器模塊 + SecBlade防火墻”的無縫融合
無線控制器和高端交換機融合有什么好處呢���?
首先是降低了成本,不再需要為無線控制器提供機殼��、電源��、風(fēng)扇等
其次無線控制器和交換機成為一臺設(shè)備�����,管理起來更方便
不要在交換機和無線控制器之間連線���,直接利用背板連接,避免單點故障
擴展能力更強�,高端交換機可以插更多的無線控制器插卡
占用空間更少,消耗的電能更少
“一低”是指較小容量的有線無線一體化交換機WX3024�,集成了:弱三層功能、24個千兆電口/4個combo口/萬兆插槽����、POE+供電��、無線控制器�、DHCP server�����、Radius server等豐富功能���。真正實現(xiàn)了智能建筑中的有線網(wǎng)絡(luò)和無線網(wǎng)絡(luò)的一體化��,簡化了建設(shè)復(fù)雜度����,降低了能耗�,實現(xiàn)綠色節(jié)能的目標。
2�、 管理一體化
網(wǎng)絡(luò)管理存在一個現(xiàn)狀:使用誰家的設(shè)備就是用誰家的網(wǎng)管進行管理,這有時會帶來麻煩�。假如在一個智能建筑中使用了A廠商的無線網(wǎng)絡(luò),B廠商的有線網(wǎng)絡(luò)��,我們就得使用A廠商的網(wǎng)管��、B廠商的網(wǎng)管���,導(dǎo)致無法顯示一張共同的網(wǎng)絡(luò)拓撲���。
H3C公司作為同時提供有線網(wǎng)絡(luò)和無線網(wǎng)絡(luò)的廠商�����,在對有線網(wǎng)絡(luò)和無線網(wǎng)絡(luò)的管理上占據(jù)優(yōu)勢�。H3C公司提供用于對所有IT設(shè)備進行統(tǒng)一管理的智能管理平臺——iMC智能管理中心��,用一套iMC能對有線網(wǎng)絡(luò)和無線網(wǎng)絡(luò)統(tǒng)一管理�����。
能實現(xiàn)一體化管理的不僅包括設(shè)備管理�����、拓撲管理�、告警管理�、性能管理、配置管理這些基本功能����,iMC還能提供更多的管理功能����,比如:網(wǎng)絡(luò)流量分析���、用戶帳號管理等����。這些都共用一套iMC系統(tǒng)�,無需為有線部分、無線部分各提供一套����。
3、 安全一體化
首先我們分析一下����,對于智能建筑有線無線一體化的網(wǎng)絡(luò),需要有哪些安全防護措施�����?
對智能建筑網(wǎng)絡(luò)的攻擊通常來自外部和內(nèi)部���。來自外部的攻擊采用網(wǎng)絡(luò)邊界安全解決方案進行防范���,在網(wǎng)絡(luò)的出口采用防火墻���、入侵抵御系統(tǒng)、防毒墻����、防垃圾郵件等產(chǎn)品來進行防范。來自內(nèi)部的安全問題采用內(nèi)網(wǎng)安全控制解決方案�,這包括不同網(wǎng)絡(luò)區(qū)域之間的安全隔離、重要安全區(qū)域的高等級安全保護�、端點準入控制。����。���。等等����。這里面挑戰(zhàn)比較大的就是能否對有線網(wǎng)絡(luò)����、無線網(wǎng)絡(luò)實施一致策略的端點準入控制��。
首先對端點準入控制進行簡單介紹:俗話常說“家賊難防”��,網(wǎng)絡(luò)安全也是如此道理����,目前70%的網(wǎng)絡(luò)安全都是從內(nèi)部引發(fā)的����,因此業(yè)界越來越重視內(nèi)網(wǎng)的安全控制。智能建筑內(nèi)網(wǎng)的安全問題經(jīng)常由某臺終端造成的�����,比如:該終端使用非法軟件形成對內(nèi)部的網(wǎng)絡(luò)攻擊��、或者沒有及時升級病毒庫導(dǎo)致上網(wǎng)中病毒����、或者操作系統(tǒng)補丁未更新而在上網(wǎng)是被黑客入侵而成為傀儡機器。�。。如何避免這樣的問題出現(xiàn)呢�����?H3C推出了“EAD(Endpoint Admission Defense)端點準入防御”解決方案。
內(nèi)網(wǎng)的任何一臺PC機要進入內(nèi)部網(wǎng)絡(luò)��,都是有條件的:沒有安裝非法軟件�、病毒庫是最新的、操作系統(tǒng)補丁庫是最新的��、PC機是內(nèi)部員工使用的��。是如何實現(xiàn)的呢�?每臺PC上都安裝有“H3C iNODE”一個小軟件,它和“EAD安全策略服務(wù)器”之間保持通信����,它會在你試圖連接到局域網(wǎng)時對你的PC機進行檢查,如果發(fā)現(xiàn)你沒有達到要求����,就拒絕接入網(wǎng)絡(luò)!
目前H3C的EAD對有線接入�����、無線接入�����、遠程VPN接入���、廣域網(wǎng)接入���、網(wǎng)關(guān)接入等不同方式都能統(tǒng)一部署。采用的認證協(xié)議上���,有線與無線EAD是相同的�����,都是采用的802.1X或Portal協(xié)議�����。不同點:802.1X的EAP認證協(xié)議不同�,有線中一般采用的是EAP-CHAP��,無線中采用的是EAP-PEAP���,EAP-TLS���。
通過“安全一體化”���,無論用戶是通過有線、無線���、VPN不同方式進入網(wǎng)絡(luò)�����,安全策略都是一致的����,這樣的網(wǎng)絡(luò)是沒有安全漏洞的�,能為智能建筑提供真正安全的有線無線一體化網(wǎng)絡(luò)環(huán)境。
四���、國內(nèi)的應(yīng)用情況
H3C公司的系列化IP產(chǎn)品和解決方案已經(jīng)廣泛地應(yīng)用到國內(nèi)外眾多的智能建筑:
智能樓宇(包括政府大樓�、企業(yè)大樓��、高檔寫字樓��、高檔賓館等不同類型的樓宇)�。例如:新華社新大樓、中石油新大樓���、國電新大樓�、京基金融中心�����、環(huán)球金融中心等����。高檔酒店包括北辰洲際酒店、上海環(huán)球金融中心柏悅酒店���、喜達屋集團及下屬酒店等�。
大型場館��,例如:國家大劇院����、故宮博物院、國家圖書館�、國家體育場、奧林匹克公園����、國際會議中心����、五棵松體育館�����、青島奧帆中心���、香港奧運賽馬場��、山東全運會等�。
數(shù)字化園區(qū)(大型企業(yè)園區(qū)���、軟件園之類)�����。例如:用友軟件園區(qū)�����、東軟大連軟件園等�。
交通工程(鐵路、地鐵���、高速公路、公交��、民航�、港口、碼頭等)��。例如:北京地鐵4號線�、5號線、13號線���、機場線�、沈陽地鐵�����、青藏鐵路���、北京公交BRT��、首都T3航站樓���、深圳機場���、濟南/青島/武漢/昆明等地機場。
| 
