案例:办公楼的网络建设架构方案(含监控规划)

办公楼的网络系统设计，既有有线网络系统，也有无线覆盖系统。

并且安防系统的网络系统有时候会单独设计，有时候和计算机网络系统共用局域网。

今天的案例重点介绍计算机网络和视频监控组网方式与选择。

某办公楼拟建总建筑面积约7500㎡；建筑类型为高层建筑，地上1-6层。

一、计算机网络系统建设架构

计算机网络系统主要是大楼内部各部门的网络应用以及为大楼的管理和各种应用搭建一个灵活应用，安全可靠的硬件平台。

将大楼的网络按部门分为若干个逻辑网段，将大楼的各种PC机、工作站、终端设备和局域网连接起来，并与广域网相连，形成结构合理、内外沟通的计算机网络系统。

并在此基础上建立能满足商务、办公自动化和管理需要的软硬件环境，开发各类信息库和应用系统，为大楼内的工作人员、访客提供充分、便捷的网络信息服务。

二、数据交换网络建设架构

计算机网络系统分内部办公网、外网。

各个网络拓扑为星型结构，采用分层设计，层次网络架构包括：接入层、核心层等二层，建立网络主干千兆，百兆到桌面的网络应用。

1) 物理网络描述

根据大楼业务网运营数据的特点，内部办公网、外网相互之间逻辑隔离。

中心网络采用多链路100M光纤链路INTERNET接入，以大容量高速骨干交换为网络核心，千兆光纤下行至各楼层小机房的全千兆接入二层交换，以及采用无线交换机对整个无线网路进行统一的管理。

终端采用无线或有线方式实现用户网络接入，确保楼内网络的灵活性和可扩展性。同时在网络边界防火墙出开出独立DMZ区域，作为中心核心数据管理存储中心，对内外提供不同服务。

依托物理平台，充分考虑当前各类应用以及网络数据的传输质量，采用虚拟局域网技术依据不同应用方向划分独立子网，有效地防止广播风暴及各类安全隐患在网络中的蔓延，确保各子网数据独立高效运行。

2) 内网描述

内部办公网面向中心内部用户，主要用于承载中心内部各类应用，如：OA、多媒体、 网络管理等无须上INTERNET的业务。

子网内部通过部署防火墙，审计，行为管理等安全产品实现内部用户对于各类应用数据访问的可控可管，确保中心日常办公应用及本地数据交换的高效性，具体部署根据实际需求利用VLAN等多种技术手段实现管理和区分。

OA办公系统应用于内部信息系统，为全中心提供完善的办公自动化服务，实现无纸化办公，提高工作效率。

功能包括收发文管理、办公管理、信息采编、公共信息管理、个人事务管理、内部邮件、即时通讯、信息检索等模块等。

全面实现全局无纸化网上办公，实现的功能包括行政办公，公共信息。

3) 外网描述

办公外网主要为：中心数据、物流查询功能的Internet接入服务、远程资源共享、信息流转、系统远程视频会议等，为各类中心内部及流动用户提供全面高效的数据访问和交互平台。

三、视频监控网络建设架构

视频监控网络作为数据网络的子网，前端接入层独立于数据网络之外，采用汇聚层专注用于监控数据传输，最后汇入核心层。

网络拓扑为星型结构，采用分层设计，层次网络架构包括：接入层、汇聚层、核心层等三层，建立网络主干千兆，百兆到终端的网络应用。

1) 终端信号采集

采用终端网络摄像机进行视频信号采集，采集数据为数字信号，无须在终端部署视频服务器等转换设备，降低投入成本。

且通过网络摄像机可以实现和其他安防监控系统实现联动，进一步提高产品利用率，使应用更高效。且网络摄像机基于IP架构，所有监控设备均通过IP链路连接，管理方便。

2) 监控数据传输

终端通过部署基于IP的网络摄像机，将视频信号直接以数字形式通过IP链路最终在监控核心交换处汇聚。

考虑到数据传输质量和实时性要求高，因此在核心交换位置采用大容量高速骨干交换对数据进行分发交换。

3) 监控数据存储

所有监控终端监控视频数据将通过IP链路汇聚后集中，采用IP-SAN模式实现高速实时存储，同属部署大容量存储阵列对规定时间段内所有监控数据进行存储备份，已备后续查询。

4) 实时监控及管理

在核心交换处旁路模式部署监控管理服务器，自动扫描发现所有监控中所有设备，并形成对应拓扑，并利用监控管理服务器对监控终端进行维护及数据采集和传输的控制。

同时采用千兆光链路将数据传输至安保监控中心，通过电视墙实时显示。

四、数据交换网络建设部署

1) 核心交换部署

终端节点约500个，部署千兆核心交换机，设置在2层信息中心主机房网络设备柜。

采用2台支持3层交换路由功能高性能的核心交换机做双中心冗余，所有的接入层交换机采用2条千兆光纤链路连到2台核心交换机上，保证链路的冗余。服务器群通过2条千兆链路以冗余的方式连接到2台核心交换机。

采用VLAN划分策略对楼内网络终端、不同部门的终端、视频会议应用、智能化各子系统等划分VLAN；同一部门可以跨楼层进行相互访问，不同的部门间未经允许不能进行访问，不同VLAN间的通信通过核心交换机实现。负责内网络的转发。

采用模块化核心交换机，核心交换机具有1Tbps以上的背板交换容量，支持3层交换的路由功能，实现高性能的核心转发，支持IPv4、IPv6、MPLS、NAT、组播、QoS、带宽控制等业务功能，保证了网络核心的高稳定性和可扩展性。

各核心交换机配置2个电源，实现电源冗余备份；配置千兆的光口/电口板卡，负责服务器群、网络管理、网络安全系统、链路热备及负载均衡网络的接入。

2) 楼层接入部署

部署百兆接入交换机，设置在各楼层小机房网络设备柜和保安监控室的网络设备柜，负责接入各终端计算机、无线AP等。

各接入交换机采用可网管二层交换机，支持端口聚合、VLAN、STP、SNMP等特性；配置24/48口10M/100M电口，2个千兆光口，实现10M/100M到桌面，千兆上行到核心交换机。

3) 无线接入部署

部署百兆无线接入交换机，设置在1层信息中心机房，支持千兆上行端口，实现无线AP可控可管。无线AP与无线控制器\无线交换机配合组网(Fit AP)，便于集中管理。

使用无线网络部分覆盖，填补网络盲区,在有效覆盖范围内自由登录而不受时空的限制，本项目在各楼层公共区域设置无线路由器，实现办公区域全覆盖。

各无线路由器接入外网网络。配置高性能百兆无线局域网接入设备，无线AP上行接口采用百兆以太网接口接入，无线路由器支持802.11abgn，双频单模，集成天线，支持工作在2.4Ghz与5.8Ghz频段，能提供20M/40M信道技术。

视频监控局域网：

1) 汇聚交换部署

终端节点约60个，部署千兆核心交换机，设置在1层信息中心主机房网络设备柜。采用1台支持3层交换路由功能高性能的汇聚交换机。服务器群通过1条千兆链路连接到核心交换机。

采用模块化核心交换机，核心交换机具有1Tbps以上的背板交换容量，支持3层交换的路由功能，实现高性能的核心转发，支持IPv4、IPv6、MPLS、NAT、组播、QoS、带宽控制等业务功能，保证了网络核心的高稳定性和可扩展性。

核心交换机配置2个电源，实现电源冗余备份；配置千兆的光口/电口板卡，负责前端视频终端、服务器群、网络管理、网络安全系统、链路热备及负载均衡网络的接入。

2) 楼层接入部署

部署百兆接入交换机，设置在各楼层小机房网络设备柜和保安监控室的网络设备柜，负责接入各终端计算机、无线AP等。

各接入交换机采用可网管二层交换机，支持端口聚合、VLAN、STP、SNMP等特性；配置8/16口10M/100M电口，2个千兆光口，实现10M/100M到桌面，千兆上行到核心交换机。

五、服务器及存储部署

内网网络设置2台业务信息化数据库服务器 (一主一备)，采用X86机型，设置2个光纤网卡作为存储端口；其他服务器根据应用需求具体另行配置。

针对业务信息化数据设置2套光纤磁盘阵列，同时部署数据镜像系统，保持2套阵列数据的同步性。光纤磁盘阵列采用FC-SAN网络，配置2台8口SAN交换机(考虑冗余)，连接前端档案信息化数据库服务器。

考虑到公司信息化相关数据的重要性和实时性，对业务信息化数据库服务器部署在线容灾备份系统。通过在服务器上部署数据库在线容灾备份软件，对应用系统所依赖的重要数据实时的备份到存储设备上。

内网另配置智能卡服务器、OA服务器和FTP服务器等服务器群；外网配置网络边缘WEB服务器、防病毒服务器和邮件服务器等；监控网配置视频存储服务器等。

六、网络安全部署

考虑到整个网络后续的运行稳定性和数据安全性，将在中心网络中部署防火墙，入侵防御、防毒墙等安全产品，以有效的对进出网络以及DMZ区域数据访问进行有效的控制管理和授权。

1) 网络管理系统部署

内、外、监控网分别部署网络管理平台，及时地发现问题、跟踪定位和阻止泛滥，为网络操作人员提供监控和阻止网络攻击所必需的信息。

实现各网络运行情况告警并产生报表；集中管理网络设备、服务器及安全设备；自动产生全网设备的网络拓扑；显示流量；具有图形化配置方式。

2) 防火墙系统部署

在网络接入边界处，部署千兆高性能防火墙作为安全边界，对进出外网的数据进行有效的过滤和防护。

防火墙要求支持至少2个左右千兆电口，同时至少2个千兆光口，要求设备支持bypass功能，防治单点故障造成网络中断。

设备接入模式要求支持路由模式、透明模式、NAT模式、混杂模式等多种模式，要求支持基于域、接口、Alias别名等信息建立安全策略，能够基于文件大小，内容，url实现对HTTP服务的控制和过滤，同时要求支持邮件过滤，支持贝叶斯过滤方式，支持自主学习，能实现RBL实时黑名单地址管理。

能够对各类应用进行有效过滤和控制，如游戏，聊天，下载等。

3) 防病毒系统部署

在互联网接入区部署1台防毒墙系统，支持500的用户数。实现互联网访问网络时的安全策略，对外网的web、mail、ftp、qq、msn等多种形式的病毒查杀，支持脱壳技术。

外网配置1套支持500用户的网络版防病毒软件。

4) 入侵防御系统部署

在互联网接入区部署1台入侵防御系统，入侵防御系统从3个方面进行有效防御及保障：

主动防护：对网络蠕虫、木马、黑客攻击以及网络病毒等恶意流量的传播进行主动防护，保护用户网络资源；

系统漏洞遮断：为网络中的主机提供有效的系统漏洞防护方案，弥补由于补丁不能及时更新而造成的系统脆弱性；

应用访问控制：有效控制IM、P2P、VoIP等敏感应用对网络带宽的滥用；

关键业务系统保障：通过智能的安全防御，最大限度降低各种恶意行为对关键业务服务及设备的威胁。