中等难度的网络部署涉及到哪些技术点/知识点?最基础的,需要掌握vlan划分、路由选择、出口NAT处理;你可能还需要了解区域边境道路安全、mstp、网管协议……这些内容在思科/华为认证的初级和中级课程中都有涉及。所以今天特地整理了一个中等难度的网络部署案例,和大家一起欣赏。这种机箱的选择也一定要有讲究,要符合大部分网络工作者平时的工作环境,比如办公室或者写字楼。在这种环境下,您可能需要设计有线网络系统和无线覆盖系统。有时,安防系统的网络系统也单独设计,与计算机网络系统共享局域网。今天的案例重点介绍计算机网络和视频监控组网的方法和选择。部署环境:办公楼拟总建筑面积约7500平方米;建筑类型为地上1-6层的高层建筑。01计算机网络系统建设体系结构计算机网络系统主要是为大楼内各部门的网络应用,为大楼管理和各种应用搭建一个灵活、安全、可靠的硬件平台。这里将大楼的网络按部门划分为若干个逻辑网段,将大楼内的各种PC机、工作站、终端设备和局域网连接起来,并接入广域网,形成一个结构合理、内部结构合理的计算机网络系统。和对外交流。并在此基础上,建立满足业务、办公自动化和管理需要的软硬件环境,开发各类信息数据库和应用系统,为大楼内的工作人员和访客提供充分、便捷的网络信息服务。02数据交换网络建设架构计算机网络系统分为内部办公网络和外部网络。每个网络拓扑结构都是星型结构,采用分层设计。分层网络架构包括:接入层、核心层等两层,建立千兆、百兆到桌面网络应用的网络主干。1.物理网络描述根据大楼业务网络运行数据的特点,内部办公网络与外部网络在逻辑上相互隔离。中心网络采用多链路100M光纤链路上网,以大容量高速骨干交换为网络核心,千兆光纤下行至各楼层小机房全千兆二层交换,整个无线网络的无线交换机。网络统一管理。终端采用无线或有线方式实现用户网络接入,保证了网络在楼宇内的灵活性和可扩展性。同时在网络防火墙边缘开辟了独立的DMZ区域,作为中央核心数据管理存储中心,对内对外提供不同的服务。依托物理平台,充分考虑当前各种应用和网络数据的传输质量,采用虚拟局域网技术,根据不同的应用方向划分独立的子网,有效防止广播风暴和各种安全隐患在网络中蔓延,确保每个子网数据独立高效运行。2、内网描述内部办公网面向中心内部用户,主要用于承载中心内的各种应用,如:OA、多媒体、网管等不需要上网的业务。通过在子网内部署防火墙、审计、行为管理等安全产品,内部用户可以控制和管理对各种应用数据的访问,保证中心日常办公应用和本地数据交换的效率。具体部署根据实际需要使用VLAN等。多种技术手段实现管理和差异化。OA办公系统应用于内部信息系统,为全中心提供全面的办公自动化服务,实现无纸化办公,提高工作效率。功能包括收发文件管理、办公管理、信息采集编辑、公共信息管理、个人事务管理、内部邮件、即时通讯、信息检索等模块。全面实现全球无纸化网上办公,实现行政办公、公共信息等功能。3、外网描述办公外网主要包括:中心数据、具有物流查询功能的互联网接入服务、远程资源共享、信息传递、系统远程视频会议等,为各类中心和移动用户提供全面、高效的数据访问和交互。平台。03视频监控网络建设架构视频监控网络是数据网络的一个子网。前端接入层独立于数据网络,汇聚层用于重点监控数据传输,最终集成到核心层。网络拓扑结构为星型结构,采用分层设计。分层网络架构包括接入层、汇聚层、核心层三层,构建千兆、百兆到终端网络应用的网络主干。1、终端信号采集采用终端网络摄像机进行视频信号采集,采集的数据为数字信号。终端无需部署视频服务器等转换设备,降低投入成本。并且通过网络摄像机,可以实现与其他安防监控系统的联动,进一步提高产品的利用率,让应用更加高效。并且网络摄像机基于IP架构,所有监控设备通过IP链路连接,便于管理。2、监控数据传输终端部署了基于IP的网络摄像机,视频信号在监控核心交换机通过IP链路直接以数字形式汇聚。考虑到数据传输质量和实时性的高要求,在核心交换位置采用大容量、高速的骨干交换来分发和交换数据。3、监控数据存储所有监控终端监控视频数据将通过IP链路聚合后集中,采用IP-SAN方式实现高速实时存储,并部署大容量存储阵列对所有监控数据进行存储和备份在指定的时间段内。跟进查询。4、实时监控管理在核心交换机旁路部署监控管理服务器,自动扫描发现监控中的所有设备,并形成相应的拓扑,并使用监控管理服务器维护监控终端控制数据的收集和传输。同时通过千兆光链路将数据传输到安防监控中心,通过电视墙实时显示。04数据交换网络建设与部署1、核心交换部署终端节点约500个,部署千兆核心交换机,设置于二楼信息中心主机房网络设备柜内。采用两台支持三层交换和路由功能的高性能核心交换机,实现双中心冗余。所有接入层交换机通过两条千兆光纤链路连接到两台核心交换机,保证链路冗余。服务器集群通过2条千兆链路冗余连接到2台核心交换机。采用VLAN划分策略,为楼内网络终端、不同部门终端、视频会议应用、智能子系统划分VLAN;同一部门可以跨楼层互相访问,不同部门不能私自访问。不同VLAN间的互通是通过核心交换机实现的,核心交换机负责内部网络的转发。采用模块化核心交换机,核心交换机背板交换容量大于1Tbps,支持三层交换路由功能,实现高性能核心转发,支持IPv4、IPv6、MPLS、NAT、组播、QoS、带宽控制等业务功能,保证网络核心的高稳定性和可扩展性。每台核心交换机配备2路电源,实现电源冗余备份;配备千兆光/电口板,负责服务器集群、网络管理、网络安全系统、链路热备份和负载均衡网络接入。2、楼层接入部署部署100M接入交换机,每层小机房设置网络机柜,安防监控室设置网络机柜,负责接入终端机、无线AP等,每台接入交换机采用网络可管理的方式二层交换机,支持端口聚合、VLAN、STP、SNMP等特性;配备24/48个10M/100M电口和2个千兆光口,实现10M/100M到桌面,千兆上行到核心交换机。3、无线接入部署部署100M无线接入交换机,安装在一楼信息中心机房,支持千兆上联口,实现无线AP的可控管理。无线AP与无线控制器/无线交换机共同组成一个网络(FitAP),便于集中管理。利用无线网络的局部覆盖来填补网络的盲区,用户可以在有效覆盖范围内自由登录,不受时间和空间的限制。本项目在各楼层公共区域设置无线路由器,实现办公区域全覆盖。每个无线路由器都连接到外部网络。配备高性能100M无线局域网接入设备,无线AP上行接口采用100M以太网接口接入,无线路由器支持802.11abgn,双频单模,集成天线,支持工作在2.4Ghz和5.8Ghz频段,并可提供20M/40M信道技术。05视频监控局域网:1、约60个终端节点汇聚交换部署,千兆核心交换机部署,设置在一楼信息中心主机房网络设备柜内。采用高性能汇聚交换机,支持三层交换和路由功能。服务器组通过千兆链路连接到核心交换机。采用模块化核心交换机,核心交换机背板交换容量大于1Tbps,支持三层交换路由功能,实现高性能核心转发,支持IPv4、IPv6、MPLS、NAT、组播、QoS、带宽控制等业务功能,保证网络核心的高稳定性和可扩展性。核心交换机配备2路电源,实现电源冗余备份;配备千兆光口/电口板,负责前端视频终端、服务器群、网管、网络安全系统、链路热备份和负载均衡网络的连接。进入。2、楼层接入部署部署100M接入交换机,每层小机房设置网络机柜,安防监控室设置网络机柜,负责接入终端机、无线AP等,每台接入交换机采用网络可管理的方式二层交换机,支持端口聚合、VLAN、STP、SNMP等特性;配备8/16个10M/100M电口和2个千兆光口,实现10M/100M到桌面,千兆上行到核心交换机。06服务器和存储部署内网网络安装两台业务信息数据库服务器(一主一备),采用X86机型,两块光纤网卡设置为存储端口;其他服务器根据应用需求单独配置。为业务信息化数据设置2套光纤磁盘阵列,同时部署数据镜像系统,保持2套阵列数据的同步。光纤磁盘阵列采用FC-SAN网络,配置两台8口SAN交换机(考虑冗余),连接前端文件信息数据库服务器。考虑到公司信息化相关数据的重要性和实时性,为业务信息化数据库服务器部署在线容灾备份系统。通过在服务器上部署数据库在线容灾备份软件,可以将应用系统所依赖的重要数据实时备份到存储设备中。内网也配置了智能卡服务器、OA服务器、FTP服务器等服务器组;网络边缘的WEB服务器、杀毒服务器、邮件服务器配置在外网;监控网络中配置视频存储服务器。07网络安全部署考虑到后续整个网络的运行稳定性和数据安全,将在中心网络部署防火墙、入侵防御、杀毒墙等安全产品,有效控制数据进出网络和DMZ区域管理和授权。1.网管系统部署内网、外网和监控网络分别部署网管平台,及时发现问题、跟踪定位和防止泛洪,为网络运营商提供监控和防范网络攻击所需的信息。实现每次网络操作的告警并生成报表;集中管理网络设备、服务器和安全设备;自动生成整个网络设备的网络拓扑;显示流量;有一个图形配置模式。2、在网络访问边界部署防火墙系统,部署千兆高性能防火墙作为安全边界,有效过滤和保护进出外网的数据。要求防火墙同时支持至少2个千兆电口和至少2个千兆光口,并要求设备支持bypass功能,防止单点故障导致网络中断。要求设备接入模式支持路由模式、透明模式、NAT模式、混杂模式等多种模式。要求支持基于域、接口、Alias别名等信息建立安全策略,实现基于文件大小、内容、url的HTTP服务。对于控制和过滤,还要求支持邮件过滤,支持贝叶斯过滤,支持自主学习,能够实现RBL实时黑名单地址管理。可以对游戏、聊天、下载等各种应用进行有效过滤和控制。3、防病毒系统部署上网区部署一套防病毒墙系统,支持500个用户。实现从Internet访问网络时的安全策略,查杀外网web、mail、ftp、qq、msn等多种形式的病毒,支持解包技术。外网配置一套支持500个用户的网络版杀毒软件。4.入侵防御系统部署在互联网接入区域部署一套入侵防御系统。入侵防御系统从三个方面提供有效的防御和保护:主动防护:针对网络蠕虫、木马、黑客攻击、网络病毒等恶意流量的传播进行主动防护,保护用户网络资源;系统漏洞拦截:为网络中的主机提供有效的系统漏洞防护解决方案,弥补因补丁不能及时更新导致的系统漏洞;应用访问控制:有效控制IM、P2P、VoIP等敏感应用对网络带宽的滥用;关键业务系统保护:通过智能化安全防御,最大程度降低各种恶意行为对关键业务服务和设备的威胁。
