H3C智能建筑IP網(wǎng)絡(luò)解決方案及其廣泛應(yīng)用
計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)是智能建筑弱電系統(tǒng)中必不可少的部分����,杭州華三通信技術(shù)有限公司(以下簡稱H3C)是國內(nèi)主要的IP網(wǎng)絡(luò)產(chǎn)品和解決方案供應(yīng)商之一���,有豐富的IP網(wǎng)絡(luò)產(chǎn)品和方案供弱電設(shè)計(jì)單位����、弱電集成商在設(shè)計(jì)和施工時(shí)選擇����。下面我們以智能樓宇為例介紹幾個(gè)H3C公司的IP網(wǎng)絡(luò)解決方案�����。
一��、低層樓宇I(lǐng)P網(wǎng)絡(luò)方案
低層樓宇整體的數(shù)據(jù)信息點(diǎn)數(shù)較少��,而且各樓層距離底層機(jī)房的距離較近��,因此一般核心設(shè)備不需要采用很高檔次設(shè)備���,另外對(duì)核心交換機(jī)光纖接口的數(shù)量要求較少。
設(shè)備選型:
1�、 每樓層弱電間接入交換機(jī)建議選擇H3C S3100-EI系列的智能安全交換機(jī)。
a) 可以根據(jù)信息點(diǎn)數(shù)量選擇8口��、16口����、24口、48口���,如果數(shù)量更多����,可以堆疊擴(kuò)展端口數(shù)。
b) 從弱電間接入交換機(jī)到核心交換機(jī)采用何種鏈路取決于兩者間距離�,如果距離小于100米,可采用超五類線�;如果距離超過100米,可采用多模光纖傳輸����。
c) 上行鏈路由于匯集了所有的接入流量,一般采用千兆帶寬�����,S3100-EI均提供足夠的GE電口和光模塊供選擇���。
d) 如果有無線AP、IP電話機(jī)等設(shè)備�,為便于供電,可以選擇S3100-EI的POE款型��,采用POE方式給這些設(shè)備供電�����。
2、 位于底層的機(jī)房部署核心交換機(jī)��,由于低層樓宇需要的光纖匯聚端口較少�,采用H3C S5500-28F-EI千兆光纖匯聚交換機(jī)即可滿足要求。如果對(duì)核心設(shè)備的可靠性要求很高��,采用H3C S7502E機(jī)箱式交換機(jī)可滿足要求�。
3、 配置一套網(wǎng)絡(luò)管理系統(tǒng)H3C iMC����,實(shí)現(xiàn)對(duì)所有網(wǎng)絡(luò)設(shè)備的綜合管理,包括設(shè)備管理����、性能管理、告警管理����、配置管理、拓?fù)涔芾怼?
4�、 大樓到internet連接可以采用H3C公司的路由器或防火墻,有豐富的產(chǎn)品類型可供選擇�,不再贅述����。
二�����、高層樓宇I(lǐng)P網(wǎng)絡(luò)方案
不同行業(yè)的高層樓宇建設(shè)模式差別非常大:選擇的設(shè)備差異大�、帶寬差異大、組網(wǎng)方案差異大��、網(wǎng)絡(luò)結(jié)構(gòu)差異大��,投資差異大��,下面簡單地探討一些基本規(guī)律����。
接入層設(shè)備選型考慮:
很多高層樓宇都是行業(yè)內(nèi)或某個(gè)區(qū)域內(nèi)具有代表性的建筑,建設(shè)規(guī)格較高�,對(duì)信息化要求也較高,需要考慮到技術(shù)先進(jìn)性����。當(dāng)前網(wǎng)絡(luò)的一個(gè)重要的發(fā)展趨勢是千兆接入的普及��,因此很多高層樓宇的接入層采用了千兆接入交換機(jī)。
H3C擁有業(yè)內(nèi)最齊全的千兆交換機(jī)產(chǎn)品線��,S5120-EI/S5120-SI都是性價(jià)比很高的千兆二層交換機(jī)��。上行鏈路可以采用萬兆光纖�,這樣可以使每個(gè)接入用戶可以獲得足夠高的帶寬。也可以先使用多個(gè)千兆捆綁方式上行�����,以后需要時(shí)采用萬兆鏈路�。
對(duì)于仍然希望采用百兆接入的客戶,H3C有S3100系列/S3600系列豐富款型的百兆接入交換機(jī)供選擇�。采用百兆接入交換機(jī),可以參考低層樓宇部分的選型考慮�。
核心設(shè)備的考慮:
核心設(shè)備故障會(huì)影響到整個(gè)大樓的網(wǎng)絡(luò)使用,因此必須具備足夠高的可靠性和穩(wěn)定性����,此外還必須具備很強(qiáng)的擴(kuò)展性、多業(yè)務(wù)支持能力���、安全防護(hù)能力��、大容量接入能力等��。
H3C S10500/S9500E/S7500E等高端交換機(jī)���,是國內(nèi)外主流的核心交換機(jī)之一�����,擁有數(shù)十項(xiàng)可靠性技術(shù)保障���,并且在國內(nèi)網(wǎng)上有大量的應(yīng)用,成熟穩(wěn)定性已經(jīng)經(jīng)歷了充分考驗(yàn)����。
為了實(shí)現(xiàn)大樓不同部門網(wǎng)絡(luò)之間的安全隔離,以及防范來自外網(wǎng)對(duì)大樓內(nèi)部網(wǎng)的各種網(wǎng)絡(luò)安全威脅��,需要核心交換機(jī)支持集成各種安全業(yè)務(wù)板卡�,以方便地實(shí)現(xiàn)安全防范技術(shù)的部署。H3C S10500/S9500E/S7500E交換機(jī)可支持FW/IPS/NTA等多種安全業(yè)務(wù)板卡���,實(shí)現(xiàn)高集成度低成本的安全部署���。
網(wǎng)絡(luò)管理系統(tǒng)建設(shè)的考慮:
H3C iMC智能管理中心是一個(gè)基礎(chǔ)網(wǎng)管平臺(tái),通過增加不同的管理組件�,可以實(shí)現(xiàn)用戶、業(yè)務(wù)�����、資源三者之間的融合管理���。也就是幫你看清楚網(wǎng)絡(luò)上有什么資源�?哪些業(yè)務(wù)在用這些資源���?哪些用戶在用這些資源���?哪些用戶在使用哪些業(yè)務(wù)?
三����、有線無線一體化IP網(wǎng)絡(luò)方案
雖然在樓宇規(guī)劃建設(shè)時(shí),已經(jīng)鋪設(shè)了光纖或者是銅纜作為大樓的骨干網(wǎng)絡(luò)�。但有線網(wǎng)絡(luò)在某些場合還是要受到布線的限制:如布線、改線工程量大�����;線路容易損壞���;網(wǎng)絡(luò)中的節(jié)點(diǎn)不可移動(dòng)等�����。特別是對(duì)于家庭用戶���,網(wǎng)絡(luò)節(jié)點(diǎn)位置相對(duì)不固定���,而且,網(wǎng)絡(luò)鋪設(shè)盡量要避免開槽等大工作量施工��。
|
|
有線網(wǎng)絡(luò)
|
無線網(wǎng)絡(luò)
|
|
布設(shè)線纜或租用線路
|
是
|
否
|
|
線路是否易損
|
是
|
否
|
|
施工難易度
|
高
|
低
|
|
工程時(shí)間
|
較長
|
短
|
|
工程美觀度
|
雜亂
|
簡潔美觀
|
|
維護(hù)
|
復(fù)雜
|
簡單
|
通過上面的比較��,可以看出無線網(wǎng)絡(luò)相對(duì)有線網(wǎng)絡(luò)具有很多獨(dú)特的優(yōu)點(diǎn)�。根據(jù)目前在智能建筑中的網(wǎng)絡(luò)建設(shè)實(shí)踐來看,兩種網(wǎng)絡(luò)“同時(shí)部署��,相互補(bǔ)充”已經(jīng)成為一種趨勢��。網(wǎng)絡(luò)的骨干����、固定信息點(diǎn)更多采用有線網(wǎng)絡(luò),而不易布線的信息點(diǎn)、移動(dòng)信息點(diǎn)更多采用無線網(wǎng)絡(luò)�。
而當(dāng)前一個(gè)突出問題是:多數(shù)情況下,無線網(wǎng)作為獨(dú)立的網(wǎng)絡(luò)與有線網(wǎng)絡(luò)分開管理��。這就導(dǎo)致了無線網(wǎng)需要單獨(dú)的管理系統(tǒng)和安全策略�����,使得無線網(wǎng)的管理成本居高不下�����。
H3C公司在智能建筑倡導(dǎo)“有線無線一體化網(wǎng)絡(luò)解決方案”�,主要特點(diǎn)是“設(shè)備一體化��、管理一體化���、安全一體化�����、業(yè)務(wù)一體化”����,下面我們結(jié)合一些實(shí)際的工程介紹這幾個(gè)特點(diǎn):
1、 設(shè)備一體化
無線網(wǎng)絡(luò)的設(shè)備主要有無線控制器(AC)��、無線接入點(diǎn)(AP)�。所謂的“設(shè)備一體化”是指有線設(shè)備和無線設(shè)備的融合,主要體現(xiàn)在無線控制器和有線網(wǎng)絡(luò)設(shè)備的融合�。
H3C公司有“一高一低”兩種融合方式:“一高”是指高端無線控制器和高端交換機(jī)的融合,高端無線控制器直接做成交換機(jī)板卡�,插在高端交換機(jī)的槽位中使用,H3C公司的S7500E和S9500高端交換機(jī)都支持無線控制器插卡���。
H3C的“7500E 系列交換機(jī) + 無線控制器模塊 + SecBlade防火墻”的無縫融合
無線控制器和高端交換機(jī)融合有什么好處呢����?
首先是降低了成本����,不再需要為無線控制器提供機(jī)殼、電源��、風(fēng)扇等
其次無線控制器和交換機(jī)成為一臺(tái)設(shè)備��,管理起來更方便
不要在交換機(jī)和無線控制器之間連線����,直接利用背板連接,避免單點(diǎn)故障
擴(kuò)展能力更強(qiáng),高端交換機(jī)可以插更多的無線控制器插卡
占用空間更少�����,消耗的電能更少
“一低”是指較小容量的有線無線一體化交換機(jī)WX3024���,集成了:弱三層功能���、24個(gè)千兆電口/4個(gè)combo口/萬兆插槽�、POE+供電、無線控制器����、DHCP server、Radius server等豐富功能���。真正實(shí)現(xiàn)了智能建筑中的有線網(wǎng)絡(luò)和無線網(wǎng)絡(luò)的一體化�����,簡化了建設(shè)復(fù)雜度����,降低了能耗,實(shí)現(xiàn)綠色節(jié)能的目標(biāo)�����。
2��、 管理一體化
網(wǎng)絡(luò)管理存在一個(gè)現(xiàn)狀:使用誰家的設(shè)備就是用誰家的網(wǎng)管進(jìn)行管理�,這有時(shí)會(huì)帶來麻煩。假如在一個(gè)智能建筑中使用了A廠商的無線網(wǎng)絡(luò)�,B廠商的有線網(wǎng)絡(luò),我們就得使用A廠商的網(wǎng)管����、B廠商的網(wǎng)管,導(dǎo)致無法顯示一張共同的網(wǎng)絡(luò)拓?fù)洹?
H3C公司作為同時(shí)提供有線網(wǎng)絡(luò)和無線網(wǎng)絡(luò)的廠商���,在對(duì)有線網(wǎng)絡(luò)和無線網(wǎng)絡(luò)的管理上占據(jù)優(yōu)勢����。H3C公司提供用于對(duì)所有IT設(shè)備進(jìn)行統(tǒng)一管理的智能管理平臺(tái)——iMC智能管理中心��,用一套iMC能對(duì)有線網(wǎng)絡(luò)和無線網(wǎng)絡(luò)統(tǒng)一管理�����。
能實(shí)現(xiàn)一體化管理的不僅包括設(shè)備管理、拓?fù)涔芾�、告警管理、性能管理�����、配置管理這些基本功能����,iMC還能提供更多的管理功能,比如:網(wǎng)絡(luò)流量分析�����、用戶帳號(hào)管理等���。這些都共用一套iMC系統(tǒng),無需為有線部分��、無線部分各提供一套����。
3、 安全一體化
首先我們分析一下�����,對(duì)于智能建筑有線無線一體化的網(wǎng)絡(luò),需要有哪些安全防護(hù)措施��?
對(duì)智能建筑網(wǎng)絡(luò)的攻擊通常來自外部和內(nèi)部�。來自外部的攻擊采用網(wǎng)絡(luò)邊界安全解決方案進(jìn)行防范,在網(wǎng)絡(luò)的出口采用防火墻����、入侵抵御系統(tǒng)、防毒墻��、防垃圾郵件等產(chǎn)品來進(jìn)行防范�。來自內(nèi)部的安全問題采用內(nèi)網(wǎng)安全控制解決方案,這包括不同網(wǎng)絡(luò)區(qū)域之間的安全隔離����、重要安全區(qū)域的高等級(jí)安全保護(hù)、端點(diǎn)準(zhǔn)入控制�����。�����。。等等��。這里面挑戰(zhàn)比較大的就是能否對(duì)有線網(wǎng)絡(luò)��、無線網(wǎng)絡(luò)實(shí)施一致策略的端點(diǎn)準(zhǔn)入控制�����。
首先對(duì)端點(diǎn)準(zhǔn)入控制進(jìn)行簡單介紹:俗話常說“家賊難防”����,網(wǎng)絡(luò)安全也是如此道理,目前70%的網(wǎng)絡(luò)安全都是從內(nèi)部引發(fā)的����,因此業(yè)界越來越重視內(nèi)網(wǎng)的安全控制。智能建筑內(nèi)網(wǎng)的安全問題經(jīng)常由某臺(tái)終端造成的��,比如:該終端使用非法軟件形成對(duì)內(nèi)部的網(wǎng)絡(luò)攻擊��、或者沒有及時(shí)升級(jí)病毒庫導(dǎo)致上網(wǎng)中病毒��、或者操作系統(tǒng)補(bǔ)丁未更新而在上網(wǎng)是被黑客入侵而成為傀儡機(jī)器��。���。����。如何避免這樣的問題出現(xiàn)呢���?H3C推出了“EAD(Endpoint Admission Defense)端點(diǎn)準(zhǔn)入防御”解決方案�����。
內(nèi)網(wǎng)的任何一臺(tái)PC機(jī)要進(jìn)入內(nèi)部網(wǎng)絡(luò)�,都是有條件的:沒有安裝非法軟件��、病毒庫是最新的����、操作系統(tǒng)補(bǔ)丁庫是最新的、PC機(jī)是內(nèi)部員工使用的�����。是如何實(shí)現(xiàn)的呢����?每臺(tái)PC上都安裝有“H3C iNODE”一個(gè)小軟件�,它和“EAD安全策略服務(wù)器”之間保持通信���,它會(huì)在你試圖連接到局域網(wǎng)時(shí)對(duì)你的PC機(jī)進(jìn)行檢查�,如果發(fā)現(xiàn)你沒有達(dá)到要求�,就拒絕接入網(wǎng)絡(luò)!
目前H3C的EAD對(duì)有線接入�、無線接入、遠(yuǎn)程VPN接入���、廣域網(wǎng)接入�、網(wǎng)關(guān)接入等不同方式都能統(tǒng)一部署����。采用的認(rèn)證協(xié)議上,有線與無線EAD是相同的���,都是采用的802.1X或Portal協(xié)議����。不同點(diǎn):802.1X的EAP認(rèn)證協(xié)議不同�����,有線中一般采用的是EAP-CHAP���,無線中采用的是EAP-PEAP���,EAP-TLS。
通過“安全一體化”���,無論用戶是通過有線��、無線�����、VPN不同方式進(jìn)入網(wǎng)絡(luò)�,安全策略都是一致的��,這樣的網(wǎng)絡(luò)是沒有安全漏洞的�����,能為智能建筑提供真正安全的有線無線一體化網(wǎng)絡(luò)環(huán)境��。
四、國內(nèi)的應(yīng)用情況
H3C公司的系列化IP產(chǎn)品和解決方案已經(jīng)廣泛地應(yīng)用到國內(nèi)外眾多的智能建筑:
智能樓宇(包括政府大樓�、企業(yè)大樓、高檔寫字樓���、高檔賓館等不同類型的樓宇)����。例如:新華社新大樓��、中石油新大樓���、國電新大樓��、京基金融中心�����、環(huán)球金融中心等�。高檔酒店包括北辰洲際酒店��、上海環(huán)球金融中心柏悅酒店�����、喜達(dá)屋集團(tuán)及下屬酒店等。
大型場館��,例如:國家大劇院����、故宮博物院�、國家圖書館、國家體育場��、奧林匹克公園��、國際會(huì)議中心�、五棵松體育館、青島奧帆中心�、香港奧運(yùn)賽馬場、山東全運(yùn)會(huì)等�。
數(shù)字化園區(qū)(大型企業(yè)園區(qū)、軟件園之類)�����。例如:用友軟件園區(qū)�、東軟大連軟件園等。
交通工程(鐵路�����、地鐵、高速公路�����、公交�����、民航����、港口、碼頭等)�����。例如:北京地鐵4號(hào)線��、5號(hào)線��、13號(hào)線����、機(jī)場線�、沈陽地鐵���、青藏鐵路���、北京公交BRT、首都T3航站樓����、深圳機(jī)場�����、濟(jì)南/青島/武漢/昆明等地機(jī)場���。
| 
