办公楼弱电建设方案.doc

办公楼弱电建设方案 需求分析1.1 建设背景目前，计算机技术、通讯技术、网络技术、工业控制技术正在以前所未有的速度飞速发展。这些高速发展的新技术、带动了人类步入计算机发展的新时代网络时代。数据、话音、视讯、多媒体等信息量急剧膨胀。信息传输的高速、安全、可靠及各人一点之间的计算机网络通讯，对信息传输介质及结构提出了更高的要求。如何适应当前及将来网络技术飞速发展对建筑物布线的挑战，是在一开始就要认真考虑的课题。因此，建筑内采用的网络通讯设施及布线系统一定要有先进性（超前性），力求高标准。并且有很强的适应性、扩展性、可靠性和长远效益，以满足未来的需要。1.2 弱电系统需求1、 工程需求概述本项目要求在*办公大楼建设一个合理使用的弱电系统。本项目主要包括计算机网络安装及相关设备配备，会议系统的安装和调试。l 方案遵循合理性、完整性、先进性和易维护管理性。l 机房建设（包括机房静电地板和门禁系统）l UPS电源一套，为*弱电系统提供安全的用电环境。l 本次扩建工程的布线均采用暗管式走线。对于已建成使用的大楼采用暗伏的布线方式。l 增加两套会议系统。2、 计算机网络安装及相关设备配备技术要求综合布线的技术要求：l 根据有关综合布线设计标准，按工作区子系统、水平布线子系统、干线子系统、设备间子系统、管理子系统和建筑群子系统等六个子系统进行详细设计和描述；l 要求投标方在布线系统中根据网络带宽要求合理选择符合要求的网络布线产品；l 建筑体间采用光缆连接，光缆的芯数选择应考虑冗余性，至少有一对光纤留做备用；l 一楼的信息点可以根据具体情况选择统一在配线间管理或通过上行链路连接到二楼的分机房；投标方应考虑中心机房布线系统的接地和网络设备的电源保障，交流工作接地电阻不宜大于4W，安全保护接地电阻不宜大于4W。计算机网络系统的技术要求：建筑物之间采用千兆光纤连接，网络主干基于第三层交换并且网络速率达到千兆的大楼范围内的网络。网络主干采用光纤或超五类铜缆布线，楼层水平采用超五类屏蔽或非屏蔽双绞线10/100M自适应到桌面。新建的*办公大楼弱电系统将各办公室、多功能会议室、接待大厅所使用的PC机、服务器、工作站、终端设备及各个子网联接起来，在此基础上建立满足办公、管理所需的软硬件环境，为*提供充分的网络信息。3、 会议系统安装及相关设备配备技术要求 新建两套多媒体会议系统，能够实现多媒体会议的功能。1.3 工程范围*办公大楼弱电系统项目的工程范围有：1) 计算机网络系统2) 结构化综合布线系统3) 机房建设4) UPS电源系统5) 多媒体会议系统67第一章 网络系统建设方案2.1总体设计*办公大楼新建的计算机网络系统共有126个办公信息点（见综合布线部分点位表）。同时计算机网络系统及各进驻单位都需各类数据服务器和应用服务器，因此需为服务器预留网络端口。现有设备包括：港湾Flexhammer5210-24（无SFP光纤模块）、光电转换器1个、1米机柜一个。拓扑设计：利用现有港湾Flexhammer5210-24三层交换机（具备路由功能）作为核心交换机，新置5台Hammer24E二层交换机作为接入交换机。Flexhammer5210-24的24个10/100M口用于各类数据服务器和应用服务器，同时剩余端口作为办公信息点扩展预留用；5台Hammer24E共120个10/100M口用于办公大楼信息点的接入需求。从网络安全的角度考虑，任何接触到Internet的网络都会面临来自Internet的威胁，如：网络病毒、木马、黑客等。因此，我们建议*内网在接入的同时要考虑到网络安全，通过防火墙接入，同时在整网上安装网络版的防病毒软件。防火墙和可以使*内网和外网逻辑隔离，防病毒软件可以有效地防止和阻隔网络病毒的传播，有效地隔离来自Internet的安全威胁，保护内网网络安全。以下为网络结构拓扑图：2.2交换机选型2.2.1一级核心交换设备的选型要求需要提供一台核心交换机，用于整个网络系统的数据交换与处理；同时可以设定*的网络出口路由。1功能要求n VLAN数量：4000n VLAN类型：基于端口, 基于IEEE 802.1Q和基于MACn Unicast：静态路由、RIP V1/V2 、OSPF V2、BGPV4、IS-IS等n MAC地址表：12Kn 限速：支持8K粒度的基于流和端口的速度限制2性能要求n 包转发能力9.6Mppsn 交换容量32Gn 千兆位端口数量：4个2.2.2二级接入设备的选型要求 需要提供多台接入交换机，用于将终端设备归并后接入汇接交换机或核心交换机。1功能要求n VLAN数量：50n VLAN类型：基于端口, 基于IEEE 802.1Q和基于MACn ACL规则/行数量：1014 (可以用于入口或出口)n 第二层地址数量：8Kn 限速：基于流量的带宽策略管理/限速：315个限速器池，可以用于任何分类的ACL流量(包括入口流量或出口流量)，限速间隔：在10/100BASE-T端口上1 Mb/s。在1000BASE-T端口上8Mb/s2性能要求n 背板带宽12.8 Gb/s非阻塞n 10/100端口数量：24个n 千兆位端口数量：2个2.2.3产品选择综合以上产品性能要求，同时由于在原来建设中交换机产品采用的均为港湾公司的产品，使用相同品牌、同型号的产品不仅可以减少售后服务的麻烦，而且原有的备品、备件都可以通用；从设备维护角度来讲，同一品牌的产品可以减轻管理人员的维护负担，同时由于技术的延续性，系统管理员可以比较容易的对设备进行管理。因而，在产品的选择上，我们比较倾向于港湾公司的产品，对于核心交换机我们选用华港湾公司Flexhammer5210-24智能三层交换机交换机。对于二级接入交换机我们选用港湾公司Hammer24E二层智能交换机。通过两种产品的组合，来完成*办公大楼网络系统的建设。a) Flexhammer5210交换机 FlexHammer5210智能多层交换机是为了满足高安全、多业务承载、高性能的网络环境所开发的智能多层交换机，具备传统三层交换机大容量、高性能等优点，同时还具有安全特性，适合作为关注业务、服务、关注网络安全的中小型城域网汇聚三层交换机、小区核心汇聚层交换机和企业级大客户接入层交换机。安全特性 针对目前网络面临着各种安全威胁，存在着各种类型的机密泄漏和攻击方式，FlexHammer5210系列安全智能多层交换机具有领先的安全特性，完全能够保证网络的安全运行：支持完善的ACL访问控制策略，支持基于用户MAC地址、IP地址、IP协议（TCP/UDP）、TCP端口号、UDP端口号以及基于时间的ACL控制；可通过Port-IP-MAC的捆绑精确识别合法业务终端；支持用户接入控制协议802.1x，提供比传统接入控制方式更为有效的用户端口控制能力，端口MAC地址限定功能可以对端口接入的主机数目进行限制；支持PVLAN，在一个802.1QVLAN内部实现各个端口的严格隔离，在保障业务开展的同时实现高安全性；拥有专利的CPU保护技术，对发送到CPU的数据进行检查，过滤，以避免对CPU的恶意攻击；对于RIP、OSPF、BGP等协议可以提供多种验证方式（明文验证、MD5验证），保证路由和网络拓扑的可控，具备更高级别的安全性；基于源IP地址的Telnet控制，通过配置禁止/允许Telnet用户的源IP地址可以增强设备的安全性，避免黑客恶意控制设备；支持网络管理服务NMS（Network Manage Service）,控制对设备的访问多级授权，防止非法用户对设备的控制；强大的基于端口的风暴抑制功能，用户可以设定单位时间的门限值，超出门限值时又可以采取不同的措施，比如丢弃超出部分，或者关闭物理端口；门限值的设定可以是基于包的数量的，也可以是基于流量；支持港湾的ERRP（Ethernet Ring Redundancy Protocol）以太网环冗余协议，提供具备毫秒级环倒换时间的链路保护机制； QoS保障 FlexHammer5210系列安全智能多层交换机具有QoS保障能力，通过以下技术保证语音、视频等多种实时多媒体业务的高服务质量需求：基于IEEE802.1P标记信息和五元组流分类服务的优先级；支持基于流的多层CoS、ToS，满足实时多媒体业务如会议电视等应用的需求；自定义的多层流分类规则，整机支持1024条流规则；每端口支持8个优先级队列，支持拥塞避免和流量整形；支持8K粒度的基于流和端口的速度限制。 路由技术支持 FlexHammer5210系列安全智能多层交换机支持丰富的路由技术，基本覆盖了目前的路由技术：支持的单播路由协议有：RIP V1、RIP V2、OSPF、BGP、静态路由等；支持的组播路由协议有：IGMP-SNOOPING、IGMP、PIM等；其它路由协议：策略路由、QoS路由、ECMP、WCMP等价路由等。 802.1Q VLAN控制能力 支持基于端口的VLAN；支持基于协议的VLAN；支持基于Subnet的VLAN；支持PVLAN；支持Q in Q；最多可配置的VLAN数目为4094个。 可靠性 FlexHammer5210系列安全智能多层交换机支持STP/RSTP/MSTP协议，能实现链路冗余备份，提高容错，保证网络的稳定性；支持VRRP虚拟路由，与其它三层交换机一起构成VRRP组，形成冗余路由备份，极大的提高了网络可靠性；支持RPS外置冗余电源系统，可为设备提供电源的冗余，大大提高了FlexHammer 5210的容错和可持续运行能力。维护管理功能 随着网络规模的增大，设备的可维护特性成为降低用户维护成本的关键，FlexHammer5210系列安全智能多层交换机具有便捷的管理功能和强大的可维护特性：支持远程/本地的端口环回测试，可以方便检测端到端链路的连通性；支持独具创新的TPS技术，可以直接在交换机上远程、无干扰的对线路进行维护，能测量出线路上的各种故障，比如断路、短路，测量精度在1米之内，极大的的方便了网络链路问题的定位，降低维护成本；通过一台命令交换机可管理多达64台Hammer交换机集群，大大降低网管管理成本，简化管理操作，提高了管理效率；对于运营网络来说，还大大节省IP地址开销；支持SNMP、CLI、RMON、TELNET、WEB网络管理方式；支持BOOTP、FTP，提供了完备、快捷的软件升级功能。我们选用FlexHammer5210系列中的FlexHammer5210-24安全智能多层交换机。FlexHammer5210-24：24电口全线速安全智能多层交换机。24个百兆电口、4个千兆SFP扩展插槽。特性指标特性指标详细描述产品名称FlexHammer5210-24端口数量24个10/100M电口4个1000MSFP接口交换容量32G包转发能力9.6Mpps功 耗55W基本性能MAC地址表12KBuffer容量共享32M转发模式存储转发模式（store-and-forward）网络和流量控制PVLAN支持VLAN802.1Q 4kQoS每端口支持8个优先级队列；支持流量整形和丰富的调度策略队列调度方式支持WRR、SP、WRR+SP端口汇聚支持FE端口聚合、支持GE端口聚合；最多32组，每组最多8个端口超长帧支持，9Kbyte路由协议Unicast静态路由、RIP V1/V2 、OSPF V2、BGPV4、IS-IS等MulticastMulticast IGMP-SNOOPING、IGMP、PIM等策略路由支持等价路由支持ECMP、WCMPQoS routes支持路由接口数512安全特性802.1X支持STP/RSTP/MSTP均支持ACL1KMAC地址限制支持广播风暴抑制支持CPU保护支持限速粒度8K粒度管理特性集群管理最多可支持64台SNMPSNMP 支持RMON1、2、3、9HTTP支持CLI支持物理尺寸(长 X 宽 X 高)440mm360mm43.8mm （5210-24G的尺寸为440mm360mm66.8mm）工作环境-545 5%95%,无凝结重 量5Kgb) Hammer24E交换机Hammer24E系列交换机，是港湾网络推出的性能卓越、功能完善可网管的增强型二层以太网交换机，提供无阻塞的线速交换能力、增强的PORT/VLAN/QoS 特性、以及丰富的管理方式，并且还在用户标识、业务控制、防雷等运营特性上有了很大的增强，适用于运营商宽带城域网小区的接入和汇聚，以及大型企业网络的接入或中小型企业网络的二层汇聚。无阻塞全线速交换Hammer/24E系列增强型以太网交换机具有12.8G的交换容量，无阻塞交换结构保证所有端口可线速工作在全双工状态；每个端口独占10M/100M带宽。 超强的VLAN支持能力支持基于端口的VLAN；支持4K个可同时激活802.1Q VLAN；支持PVLAN，实现同一802.1Q VLAN内部的端口隔离；支持SVLAN（Stack VLAN），即Q in Q，解决运营商用VLAN ID标识用户与业务时遇到的VLAN ID不足的问题，最大可支持到4K*4K=16M个VLAN；也可在中小城域网通过SVLAN组建企业VPN，最大可支持到4K*4K=16M个企业VPN；支持GVRP（GARP VLAN Registration Protocol），可以动态的配置VLAN；贴近运营的QoS特性支持64K的端口限速粒度，可以灵活控制最终用户的带宽，使网络运营更加精细化，并可以限制P2P业务对上行带宽的不合理抢占；每端口可同时支持两条入口限速策略和一条出口限速策略；可以基于端口、单播、组播或广播实现限速；支持FIFO、PQ、WRR队列调度方式；支持基于端口、MAC地址、802.1P、DSCP到优先级的映射；低功耗静音设计Hammer2000E系列增强型以太网交换机，全部采用低功耗设计，设备发热量低，无需风扇散热，彻底免除噪音；完善的安全特性增强的防雷击设计，所有端口都能承受4000V的高压，适合运营商小区接入与汇聚；支持网络管理服务NMS（Network Manage Service）,可以通过配置禁止或允许TELNET、WEB、SNMP、ICMP的源IP地址，来增强设备的安全性，避免黑客恶意控制设备；支持MACLIMIT功能，可以限制端口上连接的主机数量，并且能定义超过限制时的惩罚措施，可以简单有效的防止用户私接网吧或HUB；支持MAC地址与端口的绑定，还可以指定对源或目的MAC的数据报文进行丢弃；支持基于端口和MAC的802.1x接入认证功能，可以支持在认证前获取IP地址、访问部分网络资源，支持window XP的802.1x客户端；支持端口下行环路检测，发现有环路可自动关闭相应端口，并可以在用户配置的恢复时间后自动重新打开端口，既确保了无环路，又可大大减少网管人员的维护工作量；可以限定广播报文占端口带宽的百分比，从而实现对广播风暴的有效抑制；支持STP、RSTP、MSTP；支持SSH（Secure Shell），可以通过SSH对传输的数据进行加密，建立起安全的管理通道；可运营的组播支持支持二层组播IGMP-SNOOPING；整机支持256个组播组；支持IGMP-Filter，可以更好的满足运营商IP TV的布署；增强的端口特性Hammer2008E/2016E/2024E/24E快速以太网交换机分别具有固定配置的9、16、24、24个10/100Base-TX端口。其中Hammer 2016E/Hammer 2024E/Hammer 24E还采用灵活的模块化结构设计，除提供固定的10/100BaseTx端口外，还提供1/2/2个扩展槽,可以配置不同的百兆光、电模块，Hammer 24E还支持千兆光、电模块，用户可根据实际需要灵活选配。所有固定电口都支持端口自适应，具有MDI/MDIX自校准功能，对于直连线和交叉线均可直接使用；支持端口电缆故障诊断功能，适应于所有固定电口，可以识别线路的断路、短路，精度在1米之内，极大的方便了网络链路问题的定位，降低运维成本；端口镜象功能，支持一对一或多对一的镜象，并且还能精确的对出或入的流量单独做镜象，提升网络监控和诊断效率；支持FE和GE的端口汇聚，流量均衡的模式可以是基于源MAC、目的MAC或源和目的MAC；丰富的管理方式支持SNMP V1/V2/V3，支持港湾网络的HammerView/EasyTouch以及Open View等通用网管平台的管理、配置与维护；可对于冷/热启动、链路状态变化、STP状态变化、SNMP认证错误、修改配置等发SNMP trap，便于网络管理者随时监控网络变化；支持WEB、CLI、TELNET等管理方式；支持港湾网络自主研发的H.Link集群管理功能，可以实现通过单一IP地址对多达32台Hammer1000系列交换机的管理，大大减少了网管系统中的网元数量，提升网管效率；特性指标特性指标详细描述产品名称Hammer24E固定端口24个10/100M以太网口 1个Console扩展插槽2个HC扩展插槽，可以支持百兆、千兆单/多模光口模块以及百兆千兆电口模块外形尺寸（宽深高）442mm270mm44mm交换容量12.8G交换能力线速（6.6Mpps）MAC地址表8K功耗30W输入电压AC：85-264VDC：-40.5 -72 VBuffer容量共享32M转发模式存储转发模式（store-and-forward）VLAN支持PORT BASE VLAN；支持4k个802.1Q VLAN；支持Private vlan（Protected Port/isolated port）；支持SVLAN，即QinQ，最大报文长度1532byte；支持GVRP；QoS支持基于端口的优先级；支持基于MAC地址的优先级；支持基于DSCP（Differentiated Services Codepoint Priority）优先级；支持基于802.1p的优先级；支持端口出方向和入方向报文的双向端口限速；支持64K的带宽限速粒度；基于端口或基于单播、多播或广播的限速；支持支持FIFO、PQ以及WRR队列调度算法；组播支持IGMP SNOOPING；支持IGMP Filter；最大256个组播组；端口汇聚支持2组FE和1组GE的汇聚，每组最多8个端口；端口镜象支持，1对1或多对1的镜象，被镜象端口的数量没有限制；安全特性支持基于端口/MAC的802.1x；支持端口与MAC的绑定；支持MAC地址限制；支持PVLAN，VLAN内部的端口隔离；支持网络管理服务NMS（Network Manage Service）；支持端口下行环路检测；支持基于带宽百分比的广播风暴抑制；支持SSH；支持STP/RSTP/MSTP；管理维护特性支持SNMP V1 /V2/V3；支持RMON 1、2、3、9；支持WEB；支持CLI；支持H.Link Server，可以管理H.Link Client产品；支持精确的线缆故障定位；安规EN 60950、UL 60950、CAN/CSA-C22.2 NO. 60950、GB 4943、IEC 60950、AS/NZS 60950电磁兼容静电放电(ESD) IEC 61000-4-2辐射抗扰度(RS) IEC 61000-4-3电快速瞬变脉冲群(EFT/B) IEC 61000-4-4浪涌(Surge) IEC 61000-4-5传导抗扰度(CS) IEC 61000-4-6工频磁场抗扰度(PMS)IEC 61000-4-8电压跌落/短时中断(DIP) IEC61000-4-11辐射发射(RE) CISPR 22，EN55022传导发射(CE) CISPR 22，EN55022交流电源谐波 IEC 61000-3-2交流电源闪烁 IEC 61000-3-3工作环境温度：工作温度：-10+50；存储温度：-15+70湿度：非工作状态 5-95，无凝结；工作状态 10-85，非冷凝；工作：0.35Grms2，3500Hz非工作：1.0Grms，35002.3防火墙选型我们推荐使用华堂HT-2200防火墙。HT-2200防火墙采用专业的硬件，针对局级单位设计，提供多达4个10/100M以太网接口，并发用户说多达60万。HT2200采用华堂专用安全内核，可提供防火墙、基本IDS、安全事件审计、负载均衡、虚拟专用网以及安全管理等功能。该系统主要采用的技术和实现的功能有：安全可靠的硬件设计HT-2200的硬件采用针对HT-2200特点自行设计的系统板。理论和经验表明，系统集成度越高，可靠性也就越高。为了提高硬件系统的可靠性，该系统板几乎取消了所有的接插件和与网络产品无关的功能。该系统板上集成了三个10/100M 自适应的网络控制器和128M的随机存储器以及一个可以扩展的非易失性存储设备和最新的低功耗CPU。这一CPU 系统使用代码融合技术，可以使用与X86 兼容的指令集，同时具有快速和低功耗的特点，非常适合于网络产品应用。自主版权的网络安全系统HT-2200防火墙操作系统使用开放源代码的嵌入式Linux 系统，使用开放源代码系统是为了保证没有系统后门。同时，为了适合于网络安全产品的使用，我们对系统作了以下处理： 安全加固（Security-Enhancing）增强了系统存取控制策略，保证防火墙系统程序不会受其他错误或恶意程序的破坏（如Buffer Overflow）保证了Linux 的核心的一致性和完整性，使系统免于错误或恶意的程序的破坏去除不安全的系统调用（如setuid）而代之以经过安全检查的系统调用。 系统裁减（System Trim）更改了系统的启动方式；去除了所有无关的服务和应用；使用更小的、高效的C 链接库；程序代码压缩储存，初始化时解压缩到内存，节约存储空间提高运行效率；采用模块化结构，可根据用户需求，只装载必要的功能模块，进一步提高了系统效率。 多种工作模式由于工作在IP 层，从本质上看，防火墙设备属于路由设备。在已有的网络环境中添加一台防火墙设备，将需要重新规划网络结构，这需要作大量的工作，在某些环境中，网络结构不允许更动。为了适应各种复杂的网络环境和需求。HT-2200提供了透明网桥模式，在该模式下，HT-2200是一个完全符合802.3d 标准的网桥设备，同时可以在它所连接的三个网段之间进行IP 包的过滤。简化了系统安装和配置。 状态过滤包过滤型防火墙的过滤规则用于禁止可疑的、不安全的或恶意的连接，而允许合法的、必须的连接。由于通讯是双向的，因此决定连接的发起者是非常重要的。对于TCP 协议，通过检查该数据包的特定字段，可以决定这是一个初始连接报文还是响应报文。但是对于UDP数据报，没有可供检查的字段。某些特定的应用层协议(如主动FTP)也会存在这种情况。通过使用状态过滤技术（Stateful filter）, HT-2200在处理这种数据报时，会首先记住一些必要的数据包（状态），当新的报文到达时，会根据以前的状态进行检查，已决定该报文是一个初始连接报文、响应报文或者非法报文，然后根据过滤规则进行过滤。使用状态过滤技术，可以有效的过滤UDP,ICMP 协议以及主动FTP 协议，同时，还可以记录所有非法的或者伪造的数据包。 主动防御技术包过滤防火墙根据事先指定的规则进行数据包的转发，属于被动防御技术。当有新的攻击方式，需要用户主动干预，重新制定规则，不能对攻击进行实时响应。入侵检测系统（Intrusion Detective System）属于主动防御技术，但IDS 通常只是检测、报警，一般不对恶意的连接进行处理（有的IDS 可以通过使用RST 数据包使连接断开，但并不完全禁止该连接）。将防火墙和IDS 系统进行结合，将可以得到一个更高安全级别的网络安全系统。在HT-2200防火墙上提供了与IDS 的接口，IDS 可以实时的向HT-2200发送入侵信息，通知防火墙切断该连接。为了保证安全性，发送信息采用了校验并进行加密传输。目前可以实现和国内多家IDS 系统互动。该功能为用户以后网络改造和升级提供极大方便。 虚拟主机技术(NAT)华堂HF-F2000 系统NAT 功能有主机映射、虚拟主机和网络映射。虚拟主机是虚拟主机技术和NAT 功能具体应用之一，该功能可以对内部网络主机进行负载平衡。虚拟主机（Virtual Server）使用PNAT 技术，将对外部同一个IP 地址的某一端口的访问转换为对内部多台主机的相同或不同端口的访问，转换过程使用ECM 技术，从而达到负载平衡的效果。 安全防御能力华堂HT-2200防火墙可以防止如Ping Sweeps, TCP/UDP scan, SATAN, IP Half Scan, Port Scan 等多种探测攻击。华堂HT-2200防火墙通过智能分析“状态列表”和预定义TCP ACK 阀值可抗击DOS/DDOS拒绝服务攻击。当源站指定了一个信息包穿越Internet 时应采取的路径，这类攻击企图绕过安全措施，并使信息包沿一条意外(疏漏)的路径到达目的地。华堂HT-2200防火墙通过舍弃所有包含这类源路由选项的信息包方式，来挫败这类攻击。入侵者利用IP 残片特性生成一个极小的片断并将TCP 报头信息肢解成一个分离的信息包片断。华堂HT-2200防火墙通过舍弃所有协议类型为TCP、IP 片断偏移值等于1 的信息包的方式，即可挫败残片的攻击。华堂HT-2200防火墙通过智能分析“状态列表”和预定义TCP ACK 阀值可抗击DNS/RIP/ICMP 等缓冲区溢出和程序错误攻击。入侵者从伪装成源自一台内部主机的一个外部地点传送一些信息包，这些信息包似乎像包含了一个内部系统的源IP 地址。如果这些信息包到达防火墙的外部接口，HT-2200防火墙舍弃每个含有这个源IP 地址的信息包，从而挫败这种源欺骗攻击。华堂HT-2200防火墙工作在ISO 七层协议的网络层、TCP/IP 协议栈的IP 层。防火墙具有三个以太网网络接口，用于连接不同的以太网段。通过对进出于防火墙的IP 数据包根据安全规则进行有选择的转发，从而达到保护某一网段免于另外网段的基于IP 欺骗的网络攻击。 虚拟专用网络(VPN)华堂HT-2200防火墙提供VPN 功能，支持多种认证方式和加密算法。如：sjy01a、des、3des、sha-1 及md5。VPN 功能保证了各子网、分公司、客户之间数据的安全传输。 完备的日志管理和审计华堂防火墙系统有完备的日志接收、查看和审计功能，日志接收即可以通过日志接收程序实时获取流量日志和事件日志，也可以通过E-MAIL、声音系统等非在线形式接收有关日志信息，华堂防火墙系统提供较为全面的日志查询和审计功能，查询可以按日期、IP 地址、服务类型、某条过滤规则等，形式有文字、表格、图形等。华堂防火墙系统为网络管理者提供科学、合理、和准确的审计功能，为网络的维护提供客观的依据，节省网络管理者时间。提供日志导出功能、备份功能。 带宽管理(Qos)华堂HT-2200防火墙系统为网络管理者提供了监测和管理网络信息流量的手段，可以按照客户的需求对流量进行控制，以防止线路资源的不正常消耗，从而使网络在不同的应用中合理分配带宽，保证重要服务的正常运行，流量控制可分8 个优先级。华堂HT-2200防火墙系统含有日志接收程序，该日志程序可以查询和统计定制用户或某个特点连接的信息流量。2.4服务器选型在选择服务器时，首先，服务器的性能必须满足系统的基本需求，如海量数据的高速存取、对事务要求的快速响应、以及系统的稳定性要求等等。其次，考虑服务器的基本指标，如结构、CPU、内存、缓存、通道、磁盘、接口、操作系统、实用软件。再次，服务器还应当具有较佳的性价比。为此我们采用Dell(TM) PowerEdge(TM) SC1425 服务器。底座 PowerEdge(TM) SC1425，英特尔(R)至强(TM)处理器 3.0GHz/2M,EM64T,800MHz前端总线 操作系统 No Operating System, Microsoft Configuration 戴尔服务: 标准硬件维修服务 3 年第二个工作日（8X5）上门服务（配件+人力) 戴尔服务:安装 不要求基本安装 Dell Services: Future Technical Support Future Technical Support 第2个处理器 Single Processor Only DIMM 内存 1GB (2x512), DDR-2 400MHz ECC 1R内存 Hard Drive (SCSI / IDE / SATA) 73GB Ultra320 (10K RPM, 68针) SCSI 硬盘 光驱 24x IDE 超薄CD-ROM 光驱 显示器 不含显示器 键盘 No Keyboard 鼠标 No Mouse Base Dependent: Server / Storage (Do Not Deselect) 嵌入式双SATA控制器 Base Dependent: Server / Storage (Do Not Deselect) 嵌入式双英特尔千兆网卡 Base Dependent: Server / Storage (Do Not Deselect) 嵌入式 ATI Radeon 7000-M (16MB) 工厂配置 C5: SCSI配置(不做RAID)， 1个硬盘 标识带选项 PowerEdge(TM) SC1425的面板 External USB Floppy Drive / CD-ROM Combo 1.44MB USB External Floppy Drive Rack Kits No Rack Mounting Rails 电源线 /装运信息 用于 UPS/PDU 连接的带IEC C13-C14插头的电源线 运输文档/电源线 PESC1425 用户指南及安装和故障排除指南 (简体中文2.5防病毒软件本项目中，为了实现对外网病毒的防治，我们建议采用诺顿企业版杀毒软件Symantec Antivirus Enterprise Edition。该软件技术先进，杀毒彻底，非常适合企业应用。n 多层次解决方案用于保护整个网络免受病毒、垃圾邮件和其他不适宜内容的侵扰n 通过将黑名单和启发式检测技术与白名单结合使用，为电子邮件流量提供多层次的垃圾邮件阻止功能，最大程度地提高检测能力并减少误报垃圾邮件的情况n 集中式网络审核能力有助于识别未受保护的节点以及受到SymantecAntiVirusTMCorporateEdition以及选择的其他第三方防病毒产品保护的节点n 对工作站和网络服务器的平台支持得到扩展，包括WindowsServer2003、64位IntelItaniumTM2硬件和NetwareSecureConsolen 采用赛门铁克获奖的防病毒技术和全球响应，在网关、网络服务器以及工作站层对企业进行全面防护n 从中央控制台提供业界领先的托管工作站以及网络服务器保护（即使在混合运算环境中）n 为大流量的互联网电子邮件和Web网关提供高性能、可伸缩的病毒防护n 提供先进的自动化和专家技术，实现先进企业平台上的快速病毒防护、更新和响应n 由赛门铁克TM安全响应中心世界领先的互联网安全研究和支持组织提供支持第二章 综合布线系统3.1 需求分析*办公大楼内需建立一套支持语音、视频、图像、数据、多媒体通信、计算机网络等系统的智能布线系统。本设计中主要考虑网络布线。3.2 设计依据商用建筑通信布线标准（EIA/TIA-568）客户建筑通用布线系统信息技术国际标准（Draft ISO/IEC 11801）通用布线系统信息技术欧洲标准（EN50173）北美商用建筑电信布线标准（ANSI/TIA/EIA-568-A）（电磁兼容）标准（EMC Standard EN55022）无屏蔽双绞布线系统现场测试传输性能规范（EIA/TIA TSB67）中国工程建设标准化协会标准（CECS 72/89:97）智能建筑设计标准（GB/T50314-2000）建筑及建筑群综合布线系统工程设计规范（GB/T50311-2000）建筑及建筑群综合布线系统工程验收规范（GB/T50312-2000）工业企业通信接地设计规范（GBJ79-85）中国民用建筑电气设计规范（JGJ/16-92）其它有关应用标准：RS232、X.21、RS422异步、同步传输标准IEEE802.3，10BASETIEEE802.3u Ethernet(100BASE-T)IEEE802.3Z 光纤千兆位EthernetATM Forum3.3 设计原则*网络建设的总体设计除了基于需求和设计目标外，着重考虑了经济性、实用性、可靠性、开放性、先进性和易升级性。 经济性考虑到性价比的问题，尽量降低系统造价，针对现有系统实际情况，着重在完善系统功能，在不降低网络性能前提，充分利用现有资源，最大限度地保护用户投资。这是该建设建议设计的基本设计依据之一。 实用性本方案根据*的实际情况，选用成熟的技术和设备，整个系统力求做到易于维护、使用及管理。系统以满足当前需求为主，同时兼顾网络、业务的兼容性和长远发展。 可靠性采用成熟的先进技术，选用高集成、可靠性高的设备，保证系统运行有较高的可靠性。 开放性技术方案和设备具有良好的互联、互操作能力及升级能力，遵循最新的国际标准、国家标准和行业标准，拥有良好的兼容性，以保证系统之间以及将来进一步拓展网络的可连接性、可操作性、应用可移植性和系统的可扩充性。 先进性系统具有较长生命周期，技术设备、软件的先进性和模块化设计，可以使该系统可以不断的升级更新。要考虑到未来国内外计算机网络技术发展方向，在保证实用、可靠的基础上，选择先进性技术，使其整个系统应该容易升级。3.4设计说明在办公大楼的中心机房中设有总配线架，所有数据线缆都集中到此。数据配线架选用机柜型AMP超五类24口配线架。数据主干采用多芯光缆。数据水平和垂直布线均采用AMP超五类UTP电缆。系统共设计126个信息点。*综合布线点位表序号位置数据1一楼24282二楼263三楼164四楼85五楼126六楼12共计126注：为将来公务网的接入在4F、5F共预留十根超五类屏蔽双绞线。 所有信息点一端接在信息插座上另一直接接入到一楼机房。布线方式具体如下：1) 在一层中心机房，内设光纤转换设备，光纤穿管埋地引入中心机房。2) 电缆敷设方式：电缆采用金属桥架吊装敷设，电气竖井内采用金属线槽敷设，至各户的分支线均为穿塑料敷设管埋地或墙敷设。3)数据电缆采用超五类非屏蔽双绞线。4) 各出线口距地0.3米暗装。以上所有电缆均采用铜芯双绞线，可为住户提供通过ADSL、ISDN等连上国际互联网服务。3.5技术说明 阻抗变化范围：100W士 15，即85-115W。 信号衰减 频率1.0MHz4.0MHz10.0MHz16.0MHz20.0MHz31.25MHz62.5MHz125MHz最大衰减2.5dB4.8dB7.5dB9.4dB10.5dB13.1dB18.4dB23.2dB 100米范围内回路直流电阻dB5445393635322724 分布电容：1MHz330pF/100米3.6主要设备技术性能指标产品选择（1）信息面板模块用户的信息面板模块选用AMP超五类的信息面板模块，性能全部超过国际标准ISOIS11801的指标，达到超五类的标准。模块具有以下优点：采用“多层板技术”，使得传输性能远远超出传统方式；为防止插口暴露在灰尘中,产品还包含一个防尘门；安装简单，无需工具，并且模块可前后通过面板，以便端接工作在面板。 超五类信息模块 超五类非屏蔽4对双绞线 （2）超五类非屏蔽4对双绞线超五类UTP是阻抗为100W的24AWG型非屏蔽双绞线，它先进的电缆结构可以满足更高的带宽传输要求，信号传输质量更高。检测到600MHz，适用于基带及数字视频、以太网、令牌网、 CDDI/TP-PMD、 ATM、ISDN、电话及其它多种应用，先进的电缆结构提供极高的NEXT值，保证信号的可靠传输和极低的误码率阻燃、低烟、无卤素的绿色电缆也可提供PVC阻燃型及PLENUM电缆满足EN 50173、 ANSI/TIA/EIA 568A及ISO/IEC 11801要求；经过UL、ETL及DELTA认证。（3）配线架数据配线架选用机柜型AMP超五类24口配线架 AMP超五类24口配线架3.7布线系统测试及验收3.7.1布线系统的测试局域网的安装从线缆开始,线缆是整个网络系统的基础。对结构化布线系统的测试,实质上就是对线缆的测试。据统计,约有一半以上的网络故障与线缆有关,线缆本身的质量及线缆安装的质量都直接影响到网络能否健康地运行。而且,线缆一旦施工完毕,想要维护很困难。现在,普遍采用超5类双绞线完成结构化布线。用户当前的应用环境大多体现在10/100M网络基础上,因此,有必要对结构化布线系统的性能运行测试,以保证将来应用。我们测试的最终目的不是为了判断哪个链路不合格，而是要通过先进的手段认证布线系统全部能达到标准的要求。对于线缆的测试,一般遵循随装随测的原则。根据TSB67的定义,现场测试一般包括:接线图、链路长度、衰减和近端串扰(NEXT)等几部分。1.接线图这一测试验证链路的正确连接。它不仅是一个简单的逻辑连接测试,而且要确认链路一端的每一个针与另一端相应的针连接,同时,对串绕问题进行测试,发现问题并及时更正。保证线对正确绞接是非常重要的测试项目。2.链路长度根据T1A/E1A606标准的规定,每一条链路长度都应记录在管理系统中。链路的长度可以用电子长度测量来估算,电子长度测量是基于链路的传输延迟和线缆的NVP值来实现的。由于NVP具有10%的误差,在测量中应考虑稳定因素。3.衰减衰减是沿链路的信号损失的测量。衰减随频率的变化而变化,所以应测量应用范围内的全部频率上的衰减,一般步长最大为1MHz。TSB-67定义了一个链路衰减的公式,并给了了两种测量模式的衰减允许值表。它定义了在20时的允许值。4.近端串扰(NEXT)损耗NEXT损耗是测量在一条链路中从一对线对另一对线的信号耦合,也就是当信号在一对线上运行时,同时会感应一小部分信号到其它线对,这种现象就是串扰。TSB-67标准规定,5类链路必须在1-10MHz的频宽内测试,测试步长为:在1-31.25MHz频率范围内,最大步长为0.1MHz;在31.26100MHz频率内,最大步长为0.25MHz。所有测试均要进行线时间测试。如4对线要进行6组测试。同时,对NEXT的测试要在两端测试。NEXT并不是测量在近端点产生的串扰值,它只是着眼于在近端点所测量的串扰数值。这个量值会随着线缆长度的衰减而变小,同时远端的信号也会衰减,对其它线对的串扰也相对变小。实验证明:只有在40米内量得的NEXT是较真实的,如果另一端是远于40米的信息插座而它会产生一定程度的串扰,但测量仪器可能就无法测到这个串扰值,因此,必须进行双向测试。3.7.2布线系统的标识大多数人认为布线施工结束后的工作就只有测试验收了，然而，对于布线系统来说，标记管理是日渐突出的问题，也是施工验收中要引起重视的问题，这个问题会影响到布线系统能否有效地管理和运用的问题，有效的布线管理对于布线系统和网络的有效运作与维护具有重要意义。由于我们公司的布线施工严格按照相应的国际以及行业通用标准进行，因此我们的布线方案设计也包括布线系统标识的设计。美国商业建筑电信基础设施管理标准TIA/EIA-606对布线系统的表示定义了相关的标记规范。TIA/EIA-606标准的是为了提供一套独立于系统应用之外的统一管理方案。与布线系统一样，布线的管理系统必须独立于应用之外，这是因