《智能小区解决方案-中思志诚首页.docx》由会员分享,可在线阅读,更多相关《智能小区解决方案-中思志诚首页.docx(5页珍藏版)》请在三一办公上搜索。
1、一、 工程概况智能小区网属于园区网络,一般来说跨度大,信息点相对集中,是整个智能小区智能化系统的一个重要部分,它的功能主要表现在下面几个方面: l 在INTERNET服务方面:智能化小区网络能提供给小区住户以经济、高速、稳定、完整的INTERNET服务,诸如浏览网页、收发E-MAIL、网络聊天、网络游戏等INTERNET提供的各项功能与服务。 l 在增值服务方面:可以提供许多传统ICP、ISP无法实现的服务,使物业管理公司能在最短的时间内为小区提供因特网接入、网上论坛、网上家教、网上医疗、网上影视音乐点播、网上中介、网上购物等服务。终端用户分类:l 单个用户:需要一个固定的IP地址;l 公司用
2、户:需要一段IP地址。二、 工程设计1 局域网结构设计小区局域网络采用两层结构设计:核心层和接入层。接入层主要用于终端用户的接入,连接PC等设备。核心层主要用于汇聚接入层数据,并提供高速转发。核心层设备应具有较高的背板带宽和转发能力。接入层设备应具有较多的接入端口和提供一定的网络控制技术手段,以便能接入更多的用户和为用户提供更好的服务。核心层与接入层设备之间采用千兆以太网技术连接,这样增强了数据转发能力,提高了网络整体性能。小区网络跨度达数公里,节点可扩展至数千户,通过1000Mbps以太网接到小区楼宇,最终实现10/100Mbps以太网接入到住户端,建成的小区宽带网络的终端用户带宽可达10/
3、100Mbps,完全可以满足小区内业主服务、娱乐的需要,而且网络带宽可方便升级。同时可并入安防、楼宇控制等系统,以实现整个社区的一体化管理。为每个最终用户提供独享的10M或100M高的带宽,可为用户提供支持MPEG-1、MPEG-2标准的视频服务,快速高效,实用性强。小区楼内局域网用户数较多,需要根据各楼层用户的信息进行相应的网络逻辑隔离,提高网络的安全性,并避免广播域太大,目前业界采用的逻辑隔离以太网的技术为VLAN(虚拟局域网技术),并有国际标准IEEE802.1Q对VLAN进行了定义,因此建议采用支持标准802.1Q VLAN的交换机,对小区楼内用户进行VLAN划分,VLAN的划分根据需
4、要,可按照区域进行划分,还可以按照用户来划分VLAN。划分VLAN的目的:一是提高网络安全性,不同VLAN的数据不能自由交流,需要接受第三层的检验,在一定程度上加强了虚网间的隔离,有效防止外部用户入侵,提高了安全性;二是隔离广播信息,划分VLAN后,广播域缩小有利于改善网络性能,将广播风暴控制在一个VLAN内部,同时使网络管理趋于简单。三是增强网络应用的灵活性,VLAN是在一个有多台交换机的局域网中统一设定的,使得用户可以不受所连交换机的限制,不论用户节点移动到局域网中哪一台交换机上,只要仍属于原来的VLAN,则应用环境没有任何改变。2 交换机上的端口隔离设计在同一接入层交换机上接入终端用户,
5、为了保证这些用户的安全,在交换机上使用端口隔离。通过端口隔离特性,可以将不同用户的端口划分到同一个VLAN,不同用户之间不能互通,从而增强了网络的安全性,提供了灵活的组网方案,同时节省了大量的VLAN资源。针对不同用户可以使用下列方法隔离端口l 单个用户之间可以使用端口隔离组隔离,一台接入交换机上建立一个隔离组,将这些连接单个用户的端口加入隔离组。即使这样这些用户的IP在同一网段也不能相互访问,但是都可以通过交换机的上行链路访问到路由器,从而通过路由器接入互联网。l 对于公司用户,由于使用了独立的IP地址范围,这可以通过划分VLAN和使用访问控制列表来限制此类用户与其它用户的相互间访问。3 双
6、出口互联网设计为了保障网络接入互联网的容量和可靠性,建议使用两条专线接入。由于专线的出口速度是一定的,采用把用户的流量手工分担在两条专线上,即不同的用户从特定的出口出去,达到负载分担的作用。同时两条专线还必须互为备份,保障某一条专线故障后,所有的用户流量从另一条专线出口出去。使用的技术方法为策略路由和不等值默认路由。4 限制用户流量设计由于接入互联网的资源是有限的,如果不限制用户发送和接收的流量,那么大量用户不断突发的数据只会使网络更拥挤。为了使有限的网络资源能够更好地发挥效用,更好地为更多的用户服务,必须对用户的流量加以限制。比如限制每个时间间隔某个流只能得到承诺分配给它的那部分资源,防止由
7、于过分突发所引发的网络拥塞。当流量超出规格时,可以采取限制或惩罚措施,以保护网络建设者的利益和网络资源。针对不同用户的流量可以使用下列方法限制:l 若此用户直接接在接入交换机的某个端口时,通过在接入交换机的端口上使用硬件端口限速,来达到限制此用户接入网络的带宽。l 若此用户在接入交换机上使用的多个端口时,通过用户的IP信息来识别具体的数据流,可在在路由器内网口上使用CAR配置来限制用户的流量。即在路由器端口上限制某个特定用户(使用IP地址区分)接收互联网的流量(发往用户的数据)的大小。承诺该用户使用1M的互联网接入带宽,当互联网发往用户的流量超过1M时这丢弃超出部分的数据包,以达到限制用户挤占
8、带宽的目的。l 若此用户使用了某个接入交换机所有的端口时,可以在核心交换机上使用硬件端口限速,来达到限制此用户接入网络的带宽。三、 设备选型1 核心交换机核心层交换机选用Quidway S8500交换机。Quidway S8500系列万兆核心路由交换机是由华为3Com公司自主开发的新一代高性能路由交换机产品,可广泛应用于运营商IP城域网核心层、汇聚层以及行业网骨干层。Quidway S8500系列基于新一代核心交换机的设计理念,具备大容量、高性能、多业务和可扩展性的特点。Quidway S8500系列采用分布式处理、业务模块化以及Crossbar交换网等设计理念,具备业界领先的交换容量,并且交
9、换容量可持续平滑升级。Quidway S8500系列支持新一代高性能万兆接口,能够为城域网、行业网提供超高速链路,可打造低成本、高性能、具有丰富业务支持能力的以太网络。Quidway S8500系列内置高性能的业务处理引擎,能够支持二三层报文、MPLS VPN业务、组播业务的全线速转发。同时,Quidway S8500系列支持完善的QoS服务、全面的安全管理机制和电信级的高可靠性,是一款业界领先的万兆核心路由交换机产品。2 接入交换机虽然目前业界流行的二层以太网交换机均支持标准的802.1Q VLAN,能够较好的对二层的网络进行隔离,但二层的交换机不能处理不同VLAN、不同IP子网之间的数据交
10、换。小区各楼层用户数较多,每个楼层均需要进行相应的VLAN划分,并会涉及到不同VLAN、不同IP子网之间的数据转发,如果各楼层不同VLAN、不同IP子网之间的数据转发均由核心交换机来完成,将极大的增加核心交换机的负担,因此建议在小区各楼层采用能够实现VLAN、不同IP子网之间数据转发的三层交换机实现各楼层用户的接入。建议小区内各楼层交换机选用华为公司Quidway S3928TPSI系列安全智能三层以太网交换机,原因如下:l 大容量全线速的智能交换: S3928TPSI系列安全智能三层交换机32Gbps的总线带宽为交换机所有的端口提供三层线速交换能力,S3928TPSI三层包转发率分别为9.6
11、Mpps。硬件支持层线速交换,能够识别、处理四到七层的应用业务流,所有端口都具有单独的数据包过滤、区分不同应用流,并根据不同的流进行不同的管理和控制。l 高可靠性:S3928TPSI系列安全智能三层交换机不仅支持STP/RSTP生成树协议,还提供了基于多VLAN的生成树MSTP,极大提高了链路的冗余备份,提高容错能力,保证网络的稳定运行。支持VRRP虚拟路由冗余协议,与其他三层交换机构建VRRP备份组。构建故障时的冗余路由拓朴结构,保持通讯的连续性和可靠性,有效保障网络稳定。支持在设备上配置多条等价路由的方式实现上行路由的冗余备份,当主上行路由发生故障时自动切换到下一个备份路由上去,实现上行路
12、由的多级备份。l 扩展性强:S3928TPSI系列安全智能三层交换机支持2个10/100/1000M电口和2个SFP模块接口,支持堆叠,可以方便的实现用户各楼层网络用户的扩容。l 丰富的QOS策略:S3928TPSI系列安全智能三层交换机支持基于源MAC地址、目的MAC地址、源IP地址、目的IP地址、端口、协议的L2L7复杂流分类;支持1K个流规则。提供了灵活的队列调度算法,可以同时基于端口和队列进行设置,支持SP、WRR、SP+WRR三种模式;支持8个优先级队列,3个丢弃优先级;支持WRED拥塞避免算法和端口流量整形。支持CAR功能,流量限速的粒度为8Kbit/s。 l 多样的管理方式:S3
13、928TPSI系列安全智能三层交换机支持SNMP,可支持Open View等通用网管平台,以及华为公司Quidview、iManager 网管系统。支持CLI命令行,Web网管,TELNET,HGMP集群管理,使设备管理更方便。3 防火墙防火墙选用Quidway SecPath 1000F防火墙。Quidway SecPath 1000F防火墙是华为3Com公司面向大型企业用户开发的新一代专业防火墙设备。支持外部攻击防范、内网安全、流量监控、网页过滤、邮件过滤等功能,能够有效地保证网络的安全;采用ASPF状态检测技术,可对连接状态过程和异常命令进行检测;提供多种智能分析和管理手段,支持邮件告警
14、,支持多种日志,提供网络管理监控,协助网络管理员完成网络的安全管理;支持AAA、NAT等技术,可以确保在开放的Internet上实现安全的、满足可靠质量要求的网络;支持多种VPN业务,如L2TP VPN、IPSec VPN、GRE VPN、华为动态VPN等等,可以构建Internet、Intranet、Remote Access等多种形式的VPN;提供基本的路由能力,支持RIP/OSPF/BGP/路由策略及策略路由;支持丰富的QoS特性,提供流量监管、流量整形及多种队列调度策略。SecPath 1000F防火墙特点l 防火墙安全过滤能力:支持状态检测包过滤技术,还可以按照时间段进行过滤;支持华
15、为3Com专有ASPF应用层报文过滤(Application Specific Packet Filter)协议;l 提供多种攻击防范技术:包括多种DoS/DDoS攻击防范、ARP欺骗攻击的防范、提供ARP主动反向查询、TCP报文标志位不合法攻击防范、超大ICMP报文攻击防范、地址/端口扫描的防范、ICMP重定向或不可达报文控制功能、Tracert报文控制功能、带路由记录选项IP报文控制功能、静态和动态黑名单功能、MAC和IP绑定功能,支持智能防范蠕虫病毒技术。l 支持细粒度内容过滤能力:支持邮件过滤、SMTP邮件地址过滤、SMTP邮件标题过滤、SMTP邮件内容过滤、HTTP URL过滤、HT
16、TP内容过滤;l 支持多种安全认证:提供基于PKI /X.509的证书认证功能;支持RSA SecurID动态口令认证;在PPP线路上支持CHAP和PAP验证协议;支持USB Key方式存储数字证书、配置信息以及用户名密码;支持用户身份管理,不同身份的用户拥有不同的命令执行权限;支持用户视图分级,不同级别的用户赋予不同的管理配置权限;支持与Radius服务器配合,实现对接入用户的验证、授权和计费;另外,OSPF、RIP2具有MD5认证功能,确保所交换路由信息的可靠性。l 强大灵活的管理功能:提供各种日志功能、流量统计和分析功能、各种事件监控和统计功能、邮件告警功能。l 全面的NAT应用支持:提
17、供多对一、地址池、ACL控制等地址转换方式,在一个接口上支持多个不同的地址转换服务,通过内部服务器可以向外提供FTP、Telnet和WWW等服务,实现公网和私网混合地址解决方案。支持多种应用协议,如FTP、H323、RAS、HWCC、SIP、ICMP、DNS、ILS、PPTP、NBT的NAT ALG功能。l 支持L2TP VPN、GRE VPN、IPSec VPN、华为动态VPN等多种VPN业务模式;利用华为专利动态VPN(DVPN)技术,实现穿越NAT网关、动态IP地址灵活构建VPN网络;l 支持通过QuidView VPN Manager组件进行统一网管和统一的VPN隧道监控; l 采用电
18、信级设备保证高可靠性:设备关键部件均采用冗余设计;支持接口模块热插拔;支持机箱内部环境温度自动检测,并可通过网管自动采集告警信息;双电源冗余备份;支持双机热备,支持Active/Active方式实现负载分担和业务备份;l 全面细粒度的QoS保证:支持流分类、流量监管、流量整形及接口限速;支持拥塞管理(FIFO、PQ、CQ、WFQ、CBWFQ、RTPQ);支持拥塞避免(WRED);4 路由器Quidway NetEngine 20(简称NE20)系列高端路由器,是华为3Com技术有限公司自主开发的面向行业网、企业网及运营商的高性能的第五代多业务路由器。NE20采用NP硬件技术实现,具有卓越的转发
19、性能。NE20系列路由器可作为运营商业务网的边缘设备,作为小型POP点,或运营商运营支撑网的高性能集中式联网设备,也可在企业网中作为企业的中心设备或企业的高性能汇聚路由器。NE20按业务槽位数可分为NE20E-8、NE20-8、NE20-4、NE20-2四款产品。Quidway NetEngine 20具有以下特点:l 第五代路由器:NE20不同于以往采用CPU软件转发的同类型路由器产品,采用了业界高性能网络处理器技术实现高速接口报文的集中转发,有机地结合了软件的灵活性和硬件的高性能,提供线速转发性能,NE20E-8性能可达到6Mpps,NE20-8、NE20-4、NE20-2性能可达4.5M
20、pps。l NE20采用高速接口转发与控制平面分离的技术,高速接口的转发引擎使用了高性能网络处理器,提高了设备的转发性能、控制能力、可靠性和安全性。l 高品质QOS能力:完善的QoS机制、出色的QOS性能,确保重载下的不同业务的服务质量,可以提供基于DiffServ的完善QoS机制。支持复杂流分类,支持精确的流量监管和流量整形;提供队列调度和拥塞避免功能,支持CBWFQ、LLS/NLS、PBS等先进调度技术,采用WRED和先进的SA-RED算法,RED支持8个等级的丢弃优先级。精确保证不同业务的带宽、时延和抖动指标,满足用户多种业务等级的“区分服务”要求。l 高可靠性:采用高可靠的模块化设计方
21、式,所有板卡、风扇、电源模块支持热插拔;提供互为冗余备份的双电源(11备份)模块,无源背板的设计方式;提供软件热补丁技术,实现设备完全平滑升级;支持动态路由协议、MPLS流量工程,提供IP/MPLS快速重路由、虚拟路由冗余协议(VRRP)等保护机制,有效保证了全网运行的高速可靠。整机实现7x24小时的不间断运行。NE20E-8是对NE20的进一步提升,采用核心路由器的总线技术,背板带宽目前可达40G,具备了很强的可扩充性。NE20E-8路由处理板和网络处理板提供(11)冗余备份,具备快速路由备份(FRB:Fast Routing Backup)特色功能,实现基于状态的热切换和不间断的路由转发,
22、提供高品质业务保障。l 强大的MPLS处理能力:支持MPLS VPN,支持MPLS TE,提供高品质、安全和多层次的MPLS VPN解决方案,可以作为高性价比MPLS PE设备使用。l 业务能力: 软件系统基于华为公司拥有自主知识产权的VRP软件平台,支持多种方式VPN(L2TP、GRE、MPLS VPN等),具备丰富的NAT功能,提供以太网/VLAN、PPP/MP、PPPoE、Frame Relay、HDLC、ATM、X.25、HDLC和LAPB等丰富的互联功能。l 路由处理能力:支持RIP、OSPF、BGP、IS-IS等单播路由协议和IGMP、PIM、MBGP、MSDP等多播路由协议,支持路由策略以及策略路由。l IPv6路由能力:全面支持IPv4和IPv6双协议栈,实现硬件IPv6转发,提供丰富的IPV6协议。支持多种IPv4向IPv6的过渡技术:手工配置隧道、自动配置隧道、6to4隧道、NAT-PT等;支持IPv6静态路由,支持BGP4/BGP4+、RIPng、OSPFv3、ISISv6等动态路由协议;支持ICMPv6 MIB、UDP6 MIB、TCP6 MIB、IPv6 MIB等。l 可维护性:支持自动的故障诊断功能。通过运行在PC机上的故障诊断软件,能够方便地协助工程师快速准确定位系统故障。四、 网络拓扑
