融合三大系统智能大厦网络建设解决方案摘要:智能大厦的系统集成和功能集成,也就是大厦自动系统、办公自动系统和通讯自动系统三大系统及其各相应子系统在公共高速通讯网络上的集成。前言随着我国改革开放的推进,一批批适合信息社会需要并且具有安全、高效、舒适、便利和灵活特点的智能大厦拔地而起,智能大厦是信息时代的产物,是高科技与现代建筑艺术的巧妙集成,也是综合经济实力的象征。智能大厦的系统集成和功能集成,也就是大厦自动系统、办公自动系统和通讯自动系统三大系统及其各相应子系统在公共高速通讯网络上的集成。因此,在建筑物内要建立一个综合集成的计算机网络系统,实现网络集成是实现系统集成和功能集成的第一步。1、智能大厦对计算机网络系统的需求智能大厦特别是写字楼通常会有多家不同的公司入住,传统的智能大厦仅向大厦内入住的公司提供Internet接入,计算机网络系统由各进驻公司自行建设,本方案是在智能大厦内实现统一的管理和应用的计算机网络系统。智能大厦内的计算机网络系统包括以下组成部分:1、网络平台:为大厦内的租户提供统一的Internet接入,提供可以传输数据、语音、视频型号的网络交换平台。2、数据中心:建设一个环境良好的数据中心机房,为大厦内的租户提供机架资源,租户可以将各自的服务器系统、存储系统放在智能大厦统一提供的数据中心中。3、管理平台:完成整个网络系统的管理功能,提供用户管理功能。智能大厦对网络系统的具体要求如下:·网络结构要合理稳定,网络设备要具有高可靠性和安全性。·整个网络的网络设备要支持统一的网络管理,便于今后的维护和扩容。·每个楼层汇聚点要能实现多个VLAN、网段的划分,为各独立公司提供内部划分VLAN的需求。·在大楼内部,只有经过认证的企业人员可以使用网络,避免其他非认证人员上网,保证网络安全。·需要保证不同独立公司的用户只能访问本公司的各种业务服务器,包括远程和楼内本企业用户,未经授权的用户不得访问。·各进驻公司的远程用户可以通过VPN方式访问本企业内部的服务器内容。·要求独立公司内部人员可以进行相互访问,不同独立公司人员之间既不能互访又要考虑特定人员要求建立互访关系。·进驻企业为同一集团公司,要求对有些高权限人员可以对其他企业的服务器进行访问。·所有的网络节点都可以访问Internet,并且在访问Internet之前要经过确认,未经确认的节点不允许访问Internet。·要求能够统计各独立公司上网使用Internet的数据总量和时间,并建立使用Internet的日志。·要求可以方便的配置,管理所有的客户端。·根据1层大厅和2层多功能厅人员流动的特性,实现有线和无线网络同时接入,并且要考虑无线接入的安全认证问题。·要考虑各独立公司财务部门单独建网的要求。·要充分考虑整体网络的安全性。2、组网结构经典的局域网组网模型将网络结构分为核心层、汇聚层和接入层。智能大厦的计算机网络系统通常要包含以下部分:·核心层:核心层通常配置两台核心交换机,保证网络核心的高可靠性,如果配置一台核心交换机,则要求核心交换机配置双主控引擎和双电源。核心层通常还要承担各业务应用子系统服务器群与核心交换机的千兆连接。·接入层:接入层交换机通常可以提供48端口或者24端口,接入层交换机通过千兆连接到核心层交换机,可以使用堆叠的方式扩展端口密度。·Internet接入部分,采用10M或双10M光缆专线接入。·防火墙部分,采用千兆或者百兆防火墙将内网与外网分离,采用千兆防火墙将服务器群区与核心交换机分离。·无线网络部分,采用将无线AP接入到就近的汇聚点处点,覆盖不容易布线的宽阔场所。·网络防病毒软件:采用企业级网络防病毒软件,确保进驻用户的计算机及服务器群的安全。·漏洞扫描系统:用于检测网络中存在安全隐患的设备,找出系统中存在的安全漏洞,及时进行修补。·网络认证系统:用于防止非法用户登陆到网络中,窃取网络数据·网络管理系统:用于对全网的监控,帮助网络管理员快速准确地定位网络中出现的故障。下图为中国诚通控股公司新建智能化办公大楼计算机网络系统拓扑结构:网络核心交换机采用华为3Com公司的一台S6506R多业务核心交换机,为保证网络的可靠性,我们在核心交换机上配置了冗余引擎和电源。引擎选用SilenceIII引擎,交换容量为384Gbps,包转发率为198Mpps。S6506R可以提供万兆接口板,未来可平滑升级到万兆。S6506R采用最长匹配、逐包转发的方式,在保持线速性能和低成本的基础上,革命性的解决了传统交换机的缺陷,能够有效的抗击网络“红色代码”、“冲击波”等病毒的攻击,更加适合大规模、多业务,复杂流量访问的网络。接入交换机选用华为3Com公司的S3000系列。接入交换机放置在各楼汇聚层的弱电配线间机柜内。各汇聚层交换机采用48端口和24端口两种二层交换机,具有可管理到端口的能力。华为3Com公司的S3000系列交换机硬件能够识别、处理四到七层的应用业务流,所有端口都具有单独的数据包过滤、区分不同应用流,并根据不同的流进行不同的管理和控制,对网络中有病毒特征的计算机,可以直接封堵其端口,使有病毒的设备与网络断开,防止病毒在网络中的传播。我们在智能大厦设置独立的数据中心。数据中心交换机使用华为3Com公司的S6502。S6502的交换引擎内置于接口板中,交换容量可达192Gbps。在S6502上配置10/100/1000MRJ45千兆电接口板,用于连接网卡为100M或1000M接口的服务器,随着服务器数量的增加,可以灵活的扩充响应的板卡,以适应各进驻公司业务的发展。为了保证数据中心的安全性,在数据中心前部署一台千兆防火墙。Internet出口路由器选用华为3Com公司的AR4640。AR4640采用双总线结构,包转发能力可达350Kpps,如果使用增强引擎,包转发性能可提升到1Mpps。3、网络安全设计为了保证网络系统的安全性,除了部署传统的防火墙、IDS、漏洞扫描等系统之外,对终端的接入进行控制越来越成为一种重要的安全控制手段。智能大厦的网络安全解决方案应该从多方面出手,进行立体防御。防火墙是网络系统的核心基础防护设备,它可以对整个网络进行网络区域分割,提供基于IP地址和TCP/IP服务端口等的访问控制,防火墙的部署从以下几个方面考虑:1、在Internet出口部署防火墙:在整个局域网的Internet出口部署华为3Com公司的Secpath100F防火墙。对外的服务器,如Web、Email服务器放在防火墙的DMZ区。2、服务器区部署防火墙:在核心交换机与服务器区交换机之间配置防火墙;服务器区防火墙部署华为3Com公司的Secpath1000F。除了部署传统的防火墙之外,还应该对用户能否接入网络进行控制。3、端点准入防御利用华为3Com端点准入防御(EAD,EndpointAdmissionControl)模块,从用户终端准入控制入手,整合网络接入控制与终端安全产品,通过安全客户端、安全策略服务器、网络设备以及第三方软件的联动,对接入网络的用户终端强制实施企业安全策略,严格控制终端用户的网络使用行为,可以加强用户终端的主动防御能力,大幅度提高网络安全。EAD在用户接入网络前,通过统一管理的安全策略强制检查用户终端的安全状态,并根据对用户终端安全状态的检查结果实施接入控制策略,对不符合企业安全标准的用户进行“隔离”并强制用户进行病毒库升级、系统补丁安装等操作;在保证用户终端具备自防御能力并安全接入的前提下,通过动态分配ACL、VLAN合理控制用户的网络权限,提升整网的安全防御能力。EAD的应用是从信息安全角度出发,基于现有的网络环境,通过软硬件设备对网络安全进行加固,基本思想是认证-检查—隔离—加固—管理的安全闭环管理。·认证:对接入网络的用户身份进行分析,根据用户身份动态分配用户使用网络的权限;·检查:根据需求制定安全策略和防病毒策略,根据安全策略对接入网络的用户终端进行安全检查和病毒扫描;·隔离:对有安全问题和安全隐患的用户终端进行隔离,以免其感染网络域中的其它用户终端和整个网络;·加固:帮助有安全问题和安全隐患的用户终端进行安全修补和加固,以便其能够正常进入网络,使用网络资源;·管理:提供对有安全问题的终端定位统计功能,提供用户日志查询功能,提供安全策略编辑、修改功能等。通过制定新的安全策略,持续保障网络的安全。EAD系统的应用模型如下:EAD方案可以依据角色对网络接入用户实施不同的安全检查策略并授予不同的网络访问权限。其原理性的流程如下:1.用户上网前必须首先进行身份认证,确认是合法用户后,安全客户端还要检测病毒软件和补丁安装情况,上报CAMS。2.CAMS检测补丁安装、病毒库版本等是否合格,如果合格进入步骤7,如果不合格。3.CAMS通知接入设备(S30/50系列或其他EAD使能的交换机),将该用户的访问权限限制到隔离区内。此时,用户只能访问补丁服务器、病毒服务器等安全资源,因此不会受到外部病毒和攻击的威胁。4.安全客户端调通知用户进行补丁和病毒库的升级操作。5.用户升级完成后,可重新进行安全认证。如果合格则解除隔离,进入步骤7。6.如果用户补丁升级不成功,用户仍然无法访问其他网络资源,回到步骤47.用户可以正常访问其他授权(ACL、VLAN)的网络资源。EAD系统的应用具有有以下特点:·严格的身份认证支持用户与设备IP地址、接入端口、VLAN、用户IP地址和MAC地址等硬件信息的绑定认证,增强用户认证的安全性,防止账号盗用和非法接入。可以与Windows域管理器、第三方邮件系统(必须支持LDAP协议)的统一认证,避免用户记忆多个用户名和密码。·完备的安全评估EAD可以帮助管理员加强对终端用户的管理,集中部署终端安全策略。过对终端安全状态进行评估,使得只有符合企业安全标准的终端才能准许访问网络,确保企业安全策略的统一。·“危险”用户隔离系统补丁、病毒库版本不及时更新或已感染病毒的用户终端,可以被限制访问权限,只能访问病毒服务器、补丁服务器等用于系统修复的网络资源。用户上网过程中,如果终端发生感染病毒等安全事件,EAD系统可实时隔离该“危险”终端。·基于角色的服务EAD可基于终端用户的角色,向安全客户端下发系统配置的接入控制策略,按照用户角色权限规范用户的网络使用行为。终端用户的ACL访问策略、动态VLAN、是否禁止使用代理、是否禁止使用双网卡以及病毒监控策略等安全措施均可由管理员统一管理和实施。4、移动办公解决方案我们在Internet出口部署了防火墙,所有未经许可的用户是无法通过Internet访问到公司内网的。但是,在很多情况下,出差在外地的员工、或者在家办公的员工都需要通过Internet访问公司内部资源,如何保证访问的安全性呢?我们设计采用IPsecVPN的方式保证访问的安全性。在本应用方案中,采用的华为3Com的出口路由器AR4640和出口防火墙Secpath100F均支持IPsecVPN功能,可以作为移动办公用户的VPN接入网关。如果使用AR4640作为VPN网关,则AR4640的外网口必须使用有效IP地址。如果使用Secpath100F作为VPN接入网关,则Secpath100F的外网口必须使用有效IP地址。为了保证AR4640和Secpath100F都能具备比较好的性能,我们建议将VPN网关功能和NAT功能分开,建议使用Secpath100F作为VPN接入网关,使用AR4640作为NAT设备。如上图所示,移动办公(出差)员工首先连接到Internet,然后通过客户端软件,向VPN网关(AR4640或者Secpath100F)发起连接请求,VPN网关接受用户的请求后,将请求转交给认证服务器,进行基于用户身份的认证;认证不通过,将请求拒绝;认证通过,vpn网关将与移动用户创建IPsecVPN隧道,保证重要信息在internet的传输过程中做到私密性。这样,出差员工就可以通过internet安全的访问公司内网资源。5、方案特点在本网络建设应用方案中,设备选型是以国内排名前三名的设备厂家为招标对象,降低了设备采购成本,实现了高档交换机