計算機網絡系統是智能建筑弱電系統中必不可少的部分,杭州華三通信技術有限公司(以下簡稱H3C)是國內主要的IP網絡產品和解決方案供應商之一,有豐富的IP網絡產品和方案供弱電設計單位、弱電集成商在設計和施工時選擇。下面我們以智能樓宇為例介紹幾個H3C公司的IP網絡解決方案。
一、低層樓宇IP網絡方案
低層樓宇整體的數據信息點數較少,而且各樓層距離底層機房的距離較近,因此一般核心設備不需要采用很高檔次設備,另外對核心交換機光纖接口的數量要求較少。
設備選型:
1、 每樓層弱電間接入交換機建議選擇H3C S3100-EI系列的智能安全交換機。
◆ 可以根據信息點數量選擇8口、16口、24口、48口,如果數量更多,可以堆疊擴展端口數。
◆ 從弱電間接入交換機到核心交換機采用何種鏈路取決于兩者間距離,如果距離小于100米,可采用超五類線;如果距離超過100米,可采用多模光纖傳輸。
◆ 上行鏈路由于匯集了所有的接入流量,一般采用千兆帶寬,S3100-EI均提供足夠的GE電口和光模塊供選擇。
◆ 如果有無線AP、IP電話機等設備,為便于供電,可以選擇S3100-EI的POE款型,采用POE方式給這些設備供電。
2、 位于底層的機房部署核心交換機,由于低層樓宇需要的光纖匯聚端口較少,采用H3C S5500-28F-EI千兆光纖匯聚交換機即可滿足要求。如果對核心設備的可靠性要求很高,采用H3C S7502E機箱式交換機可滿足要求。
3、 配置一套網絡管理系統H3C iMC,實現對所有網絡設備的綜合管理,包括設備管理、性能管理、告警管理、配置管理、拓撲管理。
4、 大樓到internet連接可以采用H3C公司的路由器或防火墻,有豐富的產品類型可供選擇,不再贅述。
二、高層樓宇IP網絡方案
不同行業的高層樓宇建設模式差別非常大:選擇的設備差異大、帶寬差異大、組網方案差異大、網絡結構差異大,投資差異大,下面簡單地探討一些基本規律。
接入層設備選型考慮:
很多高層樓宇都是行業內或某個區域內具有代表性的建筑,建設規格較高,對信息化要求也較高,需要考慮到技術先進性。當前網絡的一個重要的發展趨勢是千兆接入的普及,因此很多高層樓宇的接入層采用了千兆接入交換機。
H3C擁有業內最齊全的千兆交換機產品線,S5120-EI/S5120-SI都是性價比很高的千兆二層交換機。上行鏈路可以采用萬兆光纖,這樣可以使每個接入用戶可以獲得足夠高的帶寬。也可以先使用多個千兆捆綁方式上行,以后需要時采用萬兆鏈路。
對于仍然希望采用百兆接入的客戶,H3C有S3100系列/S3600系列豐富款型的百兆接入交換機供選擇。采用百兆接入交換機,可以參考低層樓宇部分的選型考慮。
核心設備的考慮:
核心設備故障會影響到整個大樓的網絡使用,因此必須具備足夠高的可靠性和穩定性,此外還必須具備很強的擴展性、多業務支持能力、安全防護能力、大容量接入能力等。
H3C S10500/S9500E/S7500E等高端交換機,是國內外主流的核心交換機之一,擁有數十項可靠性技術保障,并且在國內網上有大量的應用,成熟穩定性已經經歷了充分考驗。
為了實現大樓不同部門網絡之間的安全隔離,以及防范來自外網對大樓內部網的各種網絡安全威脅,需要核心交換機支持集成各種安全業務板卡,以方便地實現安全防范技術的部署。H3C S10500/S9500E/S7500E交換機可支持FW/IPS/NTA等多種安全業務板卡,實現高集成度低成本的安全部署。
網絡管理系統建設的考慮:
H3C iMC智能管理中心是一個基礎網管平臺,通過增加不同的管理組件,可以實現用戶、業務、資源三者之間的融合管理。也就是幫你看清楚網絡上有什么資源?哪些業務在用這些資源?哪些用戶在用這些資源?哪些用戶在使用哪些業務?
三、有線無線一體化IP網絡方案
雖然在樓宇規劃建設時,已經鋪設了光纖或者是銅纜作為大樓的骨干網絡。但有線網絡在某些場合還是要受到布線的限制:如布線、改線工程量大;線路容易損壞;網絡中的節點不可移動等。特別是對于家庭用戶,網絡節點位置相對不固定,而且,網絡鋪設盡量要避免開槽等大工作量施工。
有線網絡 | 無線網絡 | |
布設線纜或租用線路 | 是 | 否 |
線路是否易損 | 是 | 否 |
施工難易度 | 高 | 低 |
工程時間 | 較長 | 短 |
工程美觀度 | 雜亂 | 簡潔美觀 |
維護 | 復雜 | 簡單 |
通過上面的比較,可以看出無線網絡相對有線網絡具有很多獨特的優點。根據目前在智能建筑中的網絡建設實踐來看,兩種網絡“同時部署,相互補充”已經成為一種趨勢。網絡的骨干、固定信息點更多采用有線網絡,而不易布線的信息點、移動信息點更多采用無線網絡。
而當前一個突出問題是:多數情況下,無線網作為獨立的網絡與有線網絡分開管理。這就導致了無線網需要單獨的管理系統和安全策略,使得無線網的管理成本居高不下。
H3C公司在智能建筑倡導“有線無線一體化網絡解決方案”,主要特點是“設備一體化、管理一體化、安全一體化、業務一體化”,下面我們結合一些實際的工程介紹這幾個特點:
1、設備一體化
無線網絡的設備主要有無線控制器(AC)、無線接入點(AP)。所謂的“設備一體化”是指有線設備和無線設備的融合,主要體現在無線控制器和有線網絡設備的融合。
H3C公司有“一高一低”兩種融合方式:“一高”是指高端無線控制器和高端交換機的融合,高端無線控制器直接做成交換機板卡,插在高端交換機的槽位中使用,H3C公司的S7500E和S9500高端交換機都支持無線控制器插卡。
H3C的“7500E 系列交換機 + 無線控制器模塊 + SecBlade防火墻”的無縫融合
無線控制器和高端交換機融合有什么好處呢?
首先是降低了成本,不再需要為無線控制器提供機殼、電源、風扇等
其次無線控制器和交換機成為一臺設備,管理起來更方便
不要在交換機和無線控制器之間連線,直接利用背板連接,避免單點故障
擴展能力更強,高端交換機可以插更多的無線控制器插卡
占用空間更少,消耗的電能更少
“一低”是指較小容量的有線無線一體化交換機WX3024,集成了:弱三層功能、24個千兆電口/4個combo口/萬兆插槽、POE+供電、無線控制器、DHCP server、Radius server等豐富功能。真正實現了智能建筑中的有線網絡和無線網絡的一體化,簡化了建設復雜度,降低了能耗,實現綠色節能的目標。
2、管理一體化
網絡管理存在一個現狀:使用誰家的設備就是用誰家的網管進行管理,這有時會帶來麻煩。假如在一個智能建筑中使用了A廠商的無線網絡,B廠商的有線網絡,我們就得使用A廠商的網管、B廠商的網管,導致無法顯示一張共同的網絡拓撲。
H3C公司作為同時提供有線網絡和無線網絡的廠商,在對有線網絡和無線網絡的管理上占據優勢。H3C公司提供用于對所有IT設備進行統一管理的智能管理平臺——iMC智能管理中心,用一套iMC能對有線網絡和無線網絡統一管理。
能實現一體化管理的不僅包括設備管理、拓撲管理、告警管理、性能管理、配置管理這些基本功能,iMC還能提供更多的管理功能,比如:網絡流量分析、用戶帳號管理等。這些都共用一套iMC系統,無需為有線部分、無線部分各提供一套。
3、安全一體化
首先我們分析一下,對于智能建筑有線無線一體化的網絡,需要有哪些安全防護措施?
對智能建筑網絡的攻擊通常來自外部和內部。來自外部的攻擊采用網絡邊界安全解決方案進行防范,在網絡的出口采用防火墻、入侵抵御系統、防毒墻、防垃圾郵件等產品來進行防范。來自內部的安全問題采用內網安全控制解決方案,這包括不同網絡區域之間的安全隔離、重要安全區域的高等級安全保護、端點準入控制等等。這里面挑戰比較大的就是能否對有線網絡、無線網絡實施一致策略的端點準入控制。
首先對端點準入控制進行簡單介紹:俗話常說“家賊難防”,網絡安全也是如此道理,目前70%的網絡安全都是從內部引發的,因此業界越來越重視內網的安全控制。智能建筑內網的安全問題經常由某臺終端造成的,比如:該終端使用非法軟件形成對內部的網絡攻擊、或者沒有及時升級病毒庫導致上網中病毒、或者操作系統補丁未更新而在上網是被黑客入侵而成為傀儡機器。。。如何避免這樣的問題出現呢?H3C推出了“EAD(Endpoint Admission Defense)端點準入防御”解決方案。
內網的任何一臺PC機要進入內部網絡,都是有條件的:沒有安裝非法軟件、病毒庫是最新的、操作系統補丁庫是最新的、PC機是內部員工使用的。是如何實現的呢?每臺PC上都安裝有“H3C iNODE”一個小軟件,它和“EAD安全策略服務器”之間保持通信,它會在你試圖連接到局域網時對你的PC機進行檢查,如果發現你沒有達到要求,就拒絕接入網絡!
目前H3C的EAD對有線接入、無線接入、遠程VPN接入、廣域網接入、網關接入等不同方式都能統一部署。采用的認證協議上,有線與無線EAD是相同的,都是采用的802.1X或Portal協議。不同點:802.1X的EAP認證協議不同,有線中一般采用的是EAP-CHAP,無線中采用的是EAP-PEAP,EAP-TLS。
通過“安全一體化”,無論用戶是通過有線、無線、VPN不同方式進入網絡,安全策略都是一致的,這樣的網絡是沒有安全漏洞的,能為智能建筑提供真正安全的有線無線一體化網絡環境。
