大厦网络规划项目设计方案.doc

大厦网络规划项目设计方案一、 需求分析1.1 工程项目概况智能大厦或智能建筑物的组成统称包括三大基本要素：即楼宇自动化系统（BAS, Building Automation System）、通信自动化系统（CAS, Communication Automation System）和办公自动化系统（OAS, Office Automation System）。通常人们把它们成为3A。建筑环境是智能大厦基本组成要素的支持平台。设计智能大厦的目的是，通过对建筑物结构、系统、服务和管理四个基本要素以及它们之间内在联系的分析，运用系统工程的观点进行优化组合（系统集成），来提供一个投资合理、舒适、安全、方便环境的建筑物。为此，智能大厦应满足两个基本要求，达到四个主要目标，实现三项服务功能。1.1.1 两个基本要求： 1、对于大厦的管理者来说，智能大厦应当有一套挂历、控制、运行、维护的通设施，能够花较少的经费便能及时地与外界取得联系（例如消防队、医院、安全保卫机关、新闻单位等）。 2、对大厦的使用者来说，要有一个有利于提高工作效率、有利于激发人的创造性的环境。1.1.2 四个目标： 1、能够提供高度共享的信息资源。 2、确保提高工作效率和舒适的工作环境。 3、节约管理费用，达到短期投资长期受益的目标。 4、适应管理工作的发展需要，做到具有可扩展性、可变性、适应性环境的变化和工作性质的多样化。1.1.3 三项服务功能：1、安全服务功能 防盗报警； 出入口控制； 闭路电视监视； 保安巡更管理； 电梯安全与运控； 周界防卫； 火灾报警； 消防； 应急照明； 应急呼叫。 2、舒适服务功能 空调通风； 供热； 给排水； 电力供应； 闭路电视； 多媒体音响； 智能卡； 停车场管理； 体育、娱乐管理。 3、 便捷服务功能 办公自动化； 通信自动化； 计算机网络； 结构化综合布线； 商业服务； 饮食业服务； 酒店管理。大厦在屋里商科划分为四个基本组成部分： 结构建筑环境结构； 系统智能化系统； 服务用户需求服务； 管理物业运行管理。这四个基本组成部分缺一不可，它们既相互联系又相互依存，组成了一个完整一致的智能大厦体系。二、 方案设计的目标和原则：网络系统在智能建筑中起到非常重要的作用，它不是简单的计算机之间的联网，而是一个复杂的系统工程，要采用系统的设计方法。（1） 实用化，先进性。从实用的观点出发来考虑网络系统的总体结构，满足系统技术要求，同时应该选用先进的符合国际标准的可以开发的系统产品。（2） 模块化，可扩展。网络系统应该采用模块化设计，便于在网络工程中根据投资等情况的变化而加以调整，同时又是一个开放式系统，以保证系统的扩展。（3） 工程化，可靠性。在网络系统设计过程中充分考虑工程的要求，在达到系统业务需求的前提下，确保更高的可靠性。（4） 集成化，高效性。网络系统是通信子系统、控制子系统、办公自动化子系统筹集成的基础，要体现集成化设计思想，所有子系统有机地集成一个智能系统，保证总系统的高效益。2.1 网络系统的设计原则 （1）充分满足当前各种信息服务的需求，同时为将来的系统扩充留有充分的余地。 （2）充分考虑与其他子系统之间的联系。 （3）统一规划，全面设计，做到有根有据，有条有理。 （4）符合国际化标准组织（ISO）提出的开放系统互联标准（OSI）和实用的TCP/IP协议系统标准。（5）便于维护和管理。（6）在保护实现系统需求的前提下，提高系统的系能价格比。三、 网络方案设计3.1网络拓扑结构介绍 大型网络的设计中，我们采用层次化模型来设计网络拓扑结构。所谓“层次化”模型，就是将复杂的网络设计分成几个层次，每个层次着重于某些特定的功能，这样就能够使一个复杂的大问题变成许多简单的小问题。层次模型既能够应用于局域网的设计，也能够应用于广域网的设计。层次化模型的好处：在大型企业网设计中，使用层次化模型有许多好处，列举如下：1、节省成本在采用层次模型之后，各层次各司其职，不再在同一个平台上考虑所有的事情。层次模型模块化的特性使网络中的每一层都能够很好地利用带宽，减少了对系统资源的浪费。2、易于理解层次化设计使得网络结构清晰明了，可以在不同的层次实施不同难度的管理，降低了管理成本。3、易于扩展 在网络设计中，模块化具有的特性使得网络增长时网络的复杂性能够限制在子网中，而不会蔓延到网络的其他地方。而如果采用扁平化和网状设计，任何一个节点的变动都将对整个网络产生很大影响。4、易于排错层次化设计能够使网络拓扑结构分解为易于理解的子网，网络管理者能够轻易地确定网络故障的范围，从而简化了排错过程。3.2智能大厦总体结构图3.2.1智能大厦的局域网络具有如下特点：1、 网络规模大。一幢大厦内的网络终端数目多，有的多达几千台。2、 覆盖面适中。网络用户一般分布在几百米的范围。3、 传输速率高。众多楼层局域子网要求有大容量的数据传输支持。4、 快速反应。大厦内的客户大多书都是从事商业信息业服务，要求计算机逐级反应迅速。3.2.2智能大厦对网络系统的具体要求如下:网络结构要合理稳定，网络设备要具有高可靠性和安全性。整个网络的网络设备要支持统一的网络管理，便于今后的维护和扩容。每个楼层汇聚点要能实现多个VLAN、网段的划分，为各独立公司提供内部划分VLAN的需求。在大楼内部，只有经过认证的企业人员可以使用网络，避免其他非认证人员上网，保证网络安全。需要保证不同独立公司的用户只能访问本公司的各种业务服务器，包括远程和楼内本企业用户，未经授权的用户不得访问。各进驻公司的远程用户可以通过VPN方式访问本企业内部的服务器内容。要求独立公司内部人员可以进行相互访问，不同独立公司人员之间既不能互访又要考虑特定人员要求建立互访关系。进驻企业为同一集团公司，要求对有些高权限人员可以对其他企业的服务器进行访问。所有的网络节点都可以访问Internet，并且在访问Internet之前要经过确认，未经确认的节点不允许访问Internet。要求能够统计各独立公司上网使用Internet的数据总量和时间，并建立使用Internet的日志。要求可以方便的配置，管理所有的客户端。根据1层大厅和2层多功能厅人员流动的特性，实现有线和无线网络同时接入，并且要考虑无线接入的安全认证问题。要考虑各独立公司财务部门单独建网的要求。要充分考虑整体网络的安全性。3.2.3、 组网结构经典的局域网组网模型将网络结构分为核心层、汇聚层和接入层。智能大厦的计算机网络系统通常要包含以下部分:核心层:核心层通常配置两台核心交换机，保证网络核心的高可靠性，如果配置一台核心交换机，则要求核心交换机配置双主控引擎和双电源。核心层通常还要承担各业务应用子系统服务器群与核心交换机的千兆连接。接入层:接入层交换机通常可以提供48端口或者24端口，接入层交换机通过千兆连接到核心层交换机，可以使用堆叠的方式扩展端口密度。Internet接入部分，采用10M或双10M光缆专线接入。防火墙部分，采用千兆或者百兆防火墙将内网与外网分离，采用千兆防火墙将服务器群区与核心交换机分离。无线网络部分，采用将无线AP接入到就近的汇聚点处点，覆盖不容易布线的宽阔场所。网络防病毒软件:采用企业级网络防病毒软件，确保进驻用户的计算机及服务器群的安全。漏洞扫描系统:用于检测网络中存在安全隐患的设备，找出系统中存在的安全漏洞，及时进行修补。网络认证系统:用于防止非法用户登陆到网络中，窃取网络数据网络管理系统:用于对全网的监控，帮助网络管理员快速准确地定位网络中出现的故障。3.2.4智能化办公大楼计算机网络系统拓扑结构:网络核心交换机采用华为3Com公司的一台S6506R多业务核心交换机，为保证网络的可靠性，我们在核心交换机上配置了冗余引擎和电源。引擎选用Silence III引擎，交换容量为384Gbps，包转发率为198Mpps。S6506R可以提供万兆接口板，未来可平滑升级到万兆。S6506R采用最长匹配、逐包转发的方式，在保持线速性能和低成本的基础上，革命性的解决了传统交换机的缺陷，能够有效的抗击网络“红色代码”、“冲击波”等病毒的攻击，更加适合大规模、多业务，复杂流量访问的网络。接入交换机选用华为3Com公司的S3000系列。接入交换机放置在各楼汇聚层的弱电配线间机柜内。各汇聚层交换机采用48端口和24端口两种二层交换机，具有可管理到端口的能力。华为3Com公司的S3000系列交换机硬件能够识别、处理四到七层的应用业务流，所有端口都具有单独的数据包过滤、区分不同应用流，并根据不同的流进行不同的管理和控制，对网络中有病毒特征的计算机，可以直接封堵其端口，使有病毒的设备与网络断开，防止病毒在网络中的传播。我们在智能大厦设置独立的数据中心。数据中心交换机使用华为3Com公司的S6502。S6502的交换引擎内置于接口板中，交换容量可达192Gbps。在S6502上配置10/100/1000M RJ45千兆电接口板，用于连接网卡为100M或1000M接口的服务器，随着服务器数量的增加，可以灵活的扩充响应的板卡，以适应各进驻公司业务的发展。为了保证数据中心的安全性，在数据中心前部署一台千兆防火墙。Internet出口路由器选用华为3Com公司的AR4640。AR4640采用双总线结构，包转发能力可达350Kpps，如果使用增强引擎，包转发性能可提升到1Mpps。3.2.5 网络安全设计为了保证网络系统的安全性，除了部署传统的防火墙、IDS、漏洞扫描等系统之外，对终端的接入进行控制越来越成为一种重要的安全控制手段。智能大厦的网络安全解决方案应该从多方面出手，进行立体防御。防火墙是网络系统的核心基础防护设备，它可以对整个网络进行网络区域分割，提供基于IP地址和TCP/IP服务端口等的访问控制，防火墙的部署从以下几个方面考虑:1、 在Internet出口部署防火墙:在整个局域网的Internet出口部署华为3Com公司的Secpath100F防火墙。对外的服务器，如Web、Email服务器放在防火墙的DMZ区。2、 服务器区部署防火墙:在核心交换机与服务器区交换机之间配置防火墙;服务器区防火墙部署华为3Com公司的Secpath1000F。除了部署传统的防火墙之外，还应该对用户能否接入网络进行控制。3、端点准入防御利用华为3Com端点准入防御(EAD，Endpoint Admission Control)模块，从用户终端准入控制入手，整合网络接入控制与终端安全产品，通过安全客户端、安全策略服务器、网络设备以及第三方软件的联动，对接入网络的用户终端强制实施企业安全策略，严格控制终端用户的网络使用行为，可以加强用户终端的主动防御能力，大幅度提高网络安全。EAD在用户接入网络前，通过统一管理的安全策略强制检查用户终端的安全状态，并根据对用户终端安全状态的检查结果实施接入控制策略，对不符合企业安全标准的用户进行“隔离”并强制用户进行病毒库升级、系统补丁安装等操作;在保证用户终端具备自防御能力并安全接入的前提下，通过动态分配ACL、VLAN合理控制用户的网络权限，提升整网的安全防御能力。EAD的应用是从信息安全角度出发，基于现有的网络环境，通过软硬件设备对网络安全进行加固，基本思想是认证-检查 隔离 加固 管理的安全闭环管理。认证:对接入网络的用户身份进行分析，根据用户身份动态分配用户使用网络的权限;检查:根据需求制定安全策略和防病毒策略，根据安全策略对接入网络的用户终端进行安全检查和病毒扫描;隔离:对有安全问题和安全隐患的用户终端进行隔离，以免其感染网络域中的其它用户终端和整个网络;加固:帮助有安全问题和安全隐患的用户终端进行安全修补和加固，以便其能够正常进入网络，使用网络资源;管理:提供对有安全问题的终端定位统计功能，提供用户日志查询功能，提供安全策略编辑、修改功能等。通过制定新的安全策略，持续保障网络的安全。EAD系统的应用模型如下:EAD方案可以依据角色对网络接入用户实施不同的安全检查策略并授予不同的网络访问权限。其原理性的流程如下:1. 用户上网前必须首先进行身份认证，确认是合法用户后，安全客户端还要检测病毒软件和补丁安装情况，上报CAMS。2. CAMS检测补丁安装、病毒库版本等是否合格，如果合格进入步骤7，如果不合格。3. CAMS通知接入设备(S30/50系列或其他EAD使能的交换机)，将该用户的访问权限限制到隔离区内。此时，用户只能访问补丁服务器、病毒服务器等安全资源，因此不会受到外部病毒和攻击的威胁。4. 安全客户端调通知用户进行补丁和病毒库的升级操作。5. 用户升级完成后，可重新进行安全认证。如果合格则解除隔离，进入步骤7。6. 如果用户补丁升级不成功，用户仍然无法访问其他网络资源，回到步骤47. 用户可以正常访问其他授权(ACL、VLAN)的网络资源。EAD系统的应用具有有以下特点:严格的身份认证支持用户与设备IP地址、接入端口、VLAN、用户IP地址和MAC地址等硬件信息的绑定认证，增强用户认证的安全性，防止账号盗用和非法接入。可以与Windows域管理器、第三方邮件系统(必须支持LDAP协议)的统一认证，避免用户记忆多个用户名和密码。完备的安全评估EAD可以帮助管理员加强对终端用户的管理，集中部署终端安全策略。过对终端安全状态进行评估，使得只有符合企业安全标准的终端才能准许访问网络，确保企业安全策略的统一。“危险”用户隔离系统补丁、病毒库版本不及时更新或已感染病毒的用户终端，可以被限制访问权限，只能访问病毒服务器、补丁服务器等用于系统修复的网络资源。用户上网过程中，如果终端发生感染病毒等安全事件，EAD系统可实时隔离该“危险”终端。 基于角色的服务EAD可基于终端用户的角色，向安全客户端下发系统配置的接入控制策略，按照用户角色权限规范用户的网络使用行为。终端用户的ACL访问策略、动态VLAN、是否禁止使用代理、是否禁止使用双网卡以及病毒监控策略等安全措施均可由管理员统一管理和实施。3.2.6 移动办公解决方案我们在Internet出口部署了防火墙，所有未经许可的用户是无法通过Internet访问到公司内网的。但是，在很多情况下，出差在外地的员工、或者在家办公的员工都需要通过Internet访问公司内部资源，如何保证访问的安全性呢?我们设计采用IPsec VPN的方式保证访问的安全性。在本应用方案中，采用的华为3Com的出口路由器AR4640和出口防火墙Secpath100F均支持IPsec VPN功能，可以作为移动办公用户的VPN接入网关。如果使用AR4640作为VPN网关，则AR4640的外网口必须使用有效IP地址。如果使用Secpath100F作为VPN接入网关，则Secpath100F的外网口必须使用有效IP地址。为了保证AR4640和Secpath100F都能具备比较好的性能，我们建议将VPN网关功能和NAT功能分开，建议使用Secpath100F作为VPN接入网关，使用AR4640作为NAT设备。如上图所示，移动办公(出差)员工首先连接到Internet，然后通过客户端软件，向VPN网关(AR4640或者Secpath100F)发起连接请求，VPN网关接受用户的请求后，将请求转交给认证服务器，进行基于用户身份的认证;认证不通过，将请求拒绝;认证通过，vpn网关将与移动用户创建IPsec VPN隧道，保证重要信息在internet的传输过程中做到私密性。这样，出差员工就可以通过internet安全的访问公司内网资源。3.2.7、 方案特点在本网络建设应用方案中，设备选型是以国内排名前三名的设备厂家为招标对象，降低了设备采购成本，实现了高档交换机作为核心交换机，建立以千兆为主干的先进的以太交换网络。1、高性能和可靠性核心交换机采用双交换引擎和冗余电源方式，替代双机热备份方式，减少了网络总体投资，同时确保了交换机工作的可靠性。接入交换机千兆光纤上联到核心交换机，满足了网络中数据、语音、视频传输时的主干带宽要求。服务器区交换机采用插槽式可扩充的三层百兆/千兆自适应交换机，可以针对服务器的数量灵活地扩充板卡，达到各进驻公司应用的要求。2、安全性先进的安全性: 所选接入交换机端口采用了ACL技术，保证了对接入端口的控制。通过使用硬件防火墙，实现网络的安全隔离。通过部署华为3Com公司的EAD解决方案，确保只有合法用户才能接入到网络中来，从而保证接入用户的安全性。通过网络防病毒软件，对网络中服务器提供防病毒保护。使用漏洞扫描设备，对网络中存在安全漏洞的设备进行安全提示，预防病毒对存在漏洞的设备进行攻击。四、 智能大厦的自动化管理：智能大厦的自动化管理主要包括三方面内胎：办公自动化管理，通信自动化管理，楼宇自动化管理。4.1、 办公自动化系统办公自动化系统可以使办公人员利用现代化科学技术的最新成果，借助先进的办公设备，实现办公活动科学化、自动化。目的是最大限度地提高办公效率和改进办公室质量，缩短办公周期，减少或避免各种差错，提高管理和决策的科学的水平。智能大厦办公自动化系统与企事业单位的办公自动化系统不完全相同，前者要求系统的设计目标简单、实用、方便、安全。在客户、服务器方式下，通过局域网络互联能迅速的实施大厦的管理职能。智能大厦的办公自动化系统的主要组成部分如下：1、 人事、财务类人事档案管理系统建立人事台账，对人事情况进行动态管理。财务管理系统建立财务账目，对财务账目数据进行复核、分类、统计，及时提供年、月、人员、成本费、盈亏情况，以及提供银行账务往来和客户账务往来的情况。固定资产管理系统工资支付管理系统2、 领导办公类公文管理系统领导要事管理安排系统文档管理系统总经理查询系统本行业国内外商情管理系统重要新闻3、 管理类酒店管理系统大厦大事记系统客房管理系统停车场管理系统大厦运行管理系统4、 商场类商场POS管理系统商品供应管理系统商品合同管理系统商品库存管理系统餐厅、酒吧管理系统舞厅、游泳、健身房管理系统5、 公共服务类 顾客综合服务系统民航班机时刻表管理火车时刻表管理汽车时刻表管理邮政编码管理电话号码管理游览观光服务系统市内公交车索引公园导游名胜古迹导游购物导游音乐、广播管理系统电子布告管理系统通过上述五大类服务类别的系统管理可以提高大厦管理功能和经济效益。4.2、 通讯自动化系统通讯自动化系统是智能大厦的“中枢神经”,它包括电话系统、计算机系统、监控报警系统、闭路电视监视系统、网络管理系统等，这些系统集成为一体化的综合信息网。智能大厦通信自动化系统的指标是：1、 综合BA、CA、OA、MA(Maintenance Automation)、FA的通信需求，统一考虑通信网络的设计与施工。2、 计算机通信的主干道速率为100Mbps以上，工作区应确保10Mbps或10Mbps以上。3、 计算机网络的拓扑结构可为星型结构。4.2.1、 标准化和规范化选择符合工业标准或事实工业标准的网络通信协议、操作系统、网管平台。系统软件、网络通信介质、网络布线、连接件及布线所用的材料、器件、布线施工过程也须遵守国际上通用的网络工程规范及国家、建筑、电气工程实施标准、只有采用标准化、规范化设计，使得系统具有开放性，才能保证用户在系统上进行有效的开发和使用，并为以后的发展提供一个良好环境。4.2.3、 先进性与成熟性为了确保整个通信网络系统结构和楼宇管理系统结构的技术先进性、可靠性，应选择合理、实用、便于扩展与升级的网络拓扑和技术先进、由信誉保证并得到广大用户认可的厂家产品、4.2.4 安全性和可靠性楼宇自动化管理、通信网络和办公自动化是一个复杂的综合系统，需要在软、硬件两个方面采取措施，以保证整个系统安全可靠地运行。首先要保证作为基础的结构化综合布线系统的安全与可靠。从结构化综合布线系统方案设计、材料与器材的选择到工程实施各个阶段都必须考虑到所有影响整个系统安全性、可靠性的各种因素。结构化综合布线施工完成后，必须严格按照标准进行有关参数的测试。软件方面要案中案系统类型、数据类型加密，设置权限，以实现系统的安全性。4.2.5 可管理性和可维护性楼宇自动化管理、计算机网络和办公自动化是一个比较复杂的系统。在设计组建时，必须采用先进的、标准的、用户界面良好的管理软件，合理的设备布局，做到走线规范、标记清楚、文档齐全，以便对整个系统提供可管理性和可维护性4.2.6 灵活性和可扩充性为了保证用户的已有投资，以及用户不断增长的业务需求，整个系统必须又灵活的结构，并留有合理的扩充余地，以便用户根据需要进行适当的变动与扩充。4.2.7 实用性和可行性综合考虑系统需求和资金投入，方案设计应采用成熟技术，保证技术可行性。4.2.8优化性能价格比考虑到系统性能、功能以及在可预见期间内不是其先进性，应尽量使得整个系统所需投资合理，从而构成一个性能价格比优化的系统。4.2.9 开放性与兼容性采用支持和符合标准的产品，使系统具有良好的兼容性，这有利于设备、器材的选型，便于施工、维护和降低成本。4.2.10 标准化和规范化采用与技术发展潮流相吻合的产品和技术，保证前期工程与后期投资的亲和性，使得能构想今后的1000兆以太网或ATM技术平稳过渡，节省用户投资。4.3、 楼宇自动化系统楼宇自动化控制系统一般可分为三种类型：即基本型建筑自动化控制系统、综合型建筑自动化控制系统、开放型建筑物自动化控制系统。4.1.3.1 基本型建筑物自动化系统基于基本型的BAS可以配置成文本显示中央操作站，也可以配置成全功能化的图形终端。它在Windouws NT环境下操作，局域网LAN可以为以太网或令牌环网，在一个多建筑物的校园内，可以配置多个分布式工作站。基本型BAS是一个独特的“插上就运行”的系统。它可以不需要众多的PC介入而提供整体系统运作，从而使系统可以在线快速投入工作，并减少安装工时和节省系统启动费用。基本型BAS为各种类型建筑物空调自动控制（HVAC）提供了管理方案。由于采用了先进的高科技技术，系统具有极大的灵活性，在满足用户当前需要的同时，它还是未来增强功能和革新的平台。基本型BAS的每个PC工作站都体现着工业标准的Microsoft Windows/Windows NT操作系统。基本型建筑物自动化系统具有以下几个特征：1. 规模可大可小的结构 可以从单台PC到基于网络技术的局域网（LAN）。2. 简易的工作环境可以是PC/386、PC/486、PC/586；支持高速控制器总线；支持MS-Windows或Windows NT.3. 符合用户需要的各种联结方式方便用户与控制总线联结；方便用户与局域网或广域网联结；方便用户使用调制解调器和“拨号控制”；方便用户与控制器B端口直接联结。4. 开放的系统结构支持Open Link;支持DDE接口；支持多种网络通信协议。5. 适应主流网络工作环境 Windows NT；TCP/IP；DDE。6适应主流计算机结构适应Microsoft环境；适应NovellIBMMicrosoft Lan;适应和支持硬件及外围设备的灵活性;支持第三方软件的应用.7.具有通用的BMS(Belief Maintenance System)功能提供点的显示和命令;历史数据采集;图形;报表;便于安装学习使用和维护。4.3.1综合型建筑物自动化控制系统 综合型建筑物自动化控制系统是在基本型建筑物自动化控制系统的基础上建立起来的.综合型可以监控来自系统的数据,包括同层总线Peer Bus,防火与保安总线F&S Bus, S总线设备等,这些总线可以将多个工作站连接至Nocvell LAN,以提供与其他分支的维护管理接口。4.3.2开放型建筑物自动化控制系统开放型建筑物自动化系统是基于UNIX的,它监控着许多分布式子系统,像空调自控防火与保安等,并且可以把其他公司的系统综合在一个网络系统中.它采用符合工业标准的操作系统LAN通信相关数据库和图形系统.它生成同类的“单一窗口”供建筑物自动化系统使用,在设计上充分考虑到未来技术的发展.4.3.3空调监控系统空调监控系统的监控要求如下:1. 空调系统的温度控制;2. 空调系统的湿度控制;3. 新风回风排风的控制;4. 制冷器的防冻监控;5. 过滤器的状态检测;6. 风机的状态及故障报警.4.3.4冷冻站监控系统冷冻站监控系统包括对冷冻水泵冷却塔风机的自动控制,以及冷水机的自动控制,以及冷水机组台数的节能控制和冷冻水系统的压差控制;还包括中央管理站对冷冻站的控制.因此需解决如下问题:1. 冷却塔风机运行状态监测控制和故障报警;2. 冷却水泵运行状态监测控制和故障报警;3. 冷水机组冷却水进水温度监测及控制;4. 冷水机组冷却水出水温度流量监测及控制;5. 分水器集水器压差监测及控制;6. 冷水机组运行状态监测控制和故障报警.4.3.5给排水监控系统 对大厦生活用水消防用水污水冷却水箱等给排水系统装置进行监测和启停控制,其中包括压力测量点液位测量点以及开关量控制点.要求显示各监测点的参数设备运行状态和非正常状态的故障报警,并控制相关设备的启挺.4.3.6变配电监控系统变配电监控系统包括低压配电系统。要求对计算机不间断UPS电源系统、冷冻站配电、变压器、高压系统和高压二次线中的各个点进行监测控制，主要包括电流量、电压量、有功电度、无功电度、功率因数、温度等量的测量和开关量的控制。要求实时监测和计量供电系统的运行参数，显示主接线图、交直流系统和UPS系统运行参数，对系统各开关变位和故障变位进行正确区分，对参数超限报警，对事故、故障进行顺序记录，可查询事故原因并显示、制表和打印，可绘制负荷曲线并显示，打印运行报表。4.3.7热力站监控系统由中央监控系统监测热交换器的热水出水温度，热水流量和控制热水水泵的启停。4.3.8照明监控系统由中央监控系统按每天预定的时间顺序进行开关控制及监视其开关状态，工作状态可用文字、图形显示和打印出来。4.3.9安全防范监控系统安全防范监控系统是智能大厦必不可少的部分，它为大厦提供了安全监视、侵入报警、出入门控制管理。安全监视系统采用微机控制矩阵系统，集中完成视频切换控制、水平/俯仰/变焦控制及自备检测功能。系统可设分控键盘以便于管理。安全监视系统功能主要表现为：侵入报警系统通过给类传感器（如主动红外探测器、被动红外探测器、红外微波双鉴探测器、玻璃破碎传感器、震动传感器，以及各类手动、脚动开关等）获得大厦的主要通道、出入口、重要部位及周边的情况，以利防范工作。 出入门控制系统对出进门的人员进行识别和选择，即所有人员的出入都得到监控。系统识别人员的身份后，根据所储存的数据决定是否允许其出入。每一项出入都作为一个事件记录储存起来，根据需要，这些数据可以有选择地输出。整个防范系统组成一个有机的整体，当侵入报警或出入门非授权侵入时，在中央控制室接到报警信息，通过信息交换，安全监视系统打开报警低点附近的摄像机并切换到指定监视器上监视，同时打开视频录像机自动记录现场情况，以便查询使用。4.4智能大厦的卫星通信与有线电视卫星通信与有线电视在我国发展很快，特别是有线电视已发展到城市联网、地区联网阶段，并有利用宽带综合信息传输通道的发展趋势。卫星通信和有线电视系统不但能为智能大厦提供信息交换手段，而且还能为智能大厦提供丰富多彩的电视节目。4.4.1、智能大厦卫星通信系统简述卫星通信是指利用人造地球卫星做中继站转发或发射无线电信号，在两个或多个地球卫星地面站之间进行通信。卫星通信有三种方式：（1） 宇宙站与地球站之间的通信。（2） 宇宙站之间的通信；（3） 通过宇宙站转发或反射而进行的地球站相互之间的通信。 卫星通信系统一般有两种类型，即基带信号类型和多址方式类型。4.4.2、基带信号类型基带信号类型又分为模拟卫星通信系统和数字卫星通信系统。1、 模拟卫星通信系统 模拟卫星通信系统主要采用地面微波中继通信所采用的模拟通信技术。它的特点是按各种信号的频率特征，采用频谱搬移的方法将信号排列成基带。其工作方式有两种：FDM/FM/FDMA和FDM/FM/SDMA。2.数字卫星通信系统与模拟卫星通信系统相比，数字卫星通信系统有如下特点：多址连接能增大传输容量。在数字卫星通信方式中，一般采用时分多址连接方式，即每瞬间只发送一路载波，这样，行波管功放工作在饱和区也不会产生干扰，所以传输容量可以加大；能够把传输速率不同的数字信号进行副接和多址连接，便于配合综合业务数字网工作以及和地面通信网的连接；便于纠错和加密；便于利用大规模集成电路及其他先进技术，从而降低成本。4.4.3、多址方式类型多址方式类型又分为：频分多址卫星通信系统；时分多址卫星通信系统；码分多址卫星通信系统；空分多址卫星通信系统；混合多址卫星通信系统。 在卫星通信的多址方式中，信道的分配方法有预分配和按需分配两种。其中，预分配是只固定分配方式，当然也有按时间调整预先分配方式；按需分配就是按临时申请分配方式，这是信道的分配是根据各地球站的业务需求临时安排的，这就使信道的使用变得十分灵活，利用率也大大提高了。4.5智能大厦网络设计与设备选择 智能大厦大致可以分为两种类型，一种是写字楼性质的智能大厦，除了提供普通的网络接入和Internet接入外，通常不提供其他网络服务，因此，只需考虑交换机的连接与设置。另一种是属于同一单位或集团的智能大厦，不仅需要提供网络接入，而且还必须提供各种网络应用服务，因此，必须全面考虑集线设备、路由设备、网络防火墙和服务器的选择与设计。4.5.1 智能大厦网络设计在未来的网络经济时代，信息是最重要的资源。智能大厦IP网络系统，是提供高速、宽带、交互的综合信息数据网络系统。智能大厦IP网络系统将建设成为一个交互式信息（媒体）服务平台，保证交互式内容可靠地通过网络传送到与标准兼容的各种类型的接入设备，能够提供Internet访问及各种多媒体交互式应用服务。IP信息网络系统作为智能大厦信息系统的重要组成部分，不但可以利用网络对大厦进行现代化的内部管理，还可以为用户提供高速Internet访问、远程电子视频会议、网上购物、网上教育、视频点播等多种功能，使用户充分体验数字化生活带来的便利。根据智能大厦网络应用需求的特点，网络方案采用两层分布式结构，实现接入层交换机与核心交换机的直连，节约设备购置成本、降低设备维护难度，搭建千兆位做主干、百兆位到桌面的高性能网络，其网络拓扑结构如图所示。核心层采用两台高性能模块化交换机，为各楼层接入层交换机提供高速接入，从而将智能大厦的网络组建成一个拥有千兆位带宽的、高性能的多层交换网络。核心交换机选择交换引擎冗余结构，并采用冗余连接方式，保证网络核心的稳定与安全。当计算机和网络终端数量少于500台时，可选择Cisco Catalyst 4507R或Quidway 6506R交换机；否则，应当选择Cisco Catalyst 6506或Quidway 8508交换机。接入层使用带有两个或多个SFP端口（选配1000BaseSX标准模块）的千兆位端口的可网管交换机。根据不同楼层内计算机的数量，每2或3个楼层使用一台或多台，实现与核心层1 000 Mbps，与用户100 Mbps的高速连接。当使用2台以上的交换机时，采用堆叠技术实现多交换机的堆叠与管理，提高计算机之间的通信速率，减轻交换机管理强度。需要注意的是，每个楼层应当提供一台拥有PoE功能的交换机，以保证无线AP远程供电的实现，接入层交换机建议采用Cisco Catalyst 3750、Catalyst 3560系列或者Quidway S3900系列。1. 方案设计特点该方案采用千兆位以太网主干解决方案，除了提供高带宽以外，也支持以太网的服务类型和服务质量保证相关协议，如IEEE 802.1P、IEEE 802.1Q、IEEE 802.3X、资源预留协议（RSVP）等关键协议，保证了千兆位以太网的QoS。其特点可以概括如下：先进性智能大厦网络解决方案采用先进成熟的网络多层交换技术和方法，根据现代化智能大厦信息系统的需求设计，网络核心层采用冗余设计、接入层采用高安全接入等策略设计，能支撑各种现在与未来一段时期的智能大厦的网络应用。可行性网络设计方案能够充分考虑现代化智能大厦的特点和应用对象的技术、资源、管理等方面的约束，并很好地结合网络产品特点进行方案的设计。比如支持网络用户账号、MAC地址与端口的捆绑，实现高效的用户控制能力，支持高密度端口的堆叠模式，支持通信负载均衡、带宽聚合、链路冗余的新型结构。灵活性网络核心层采用模块化交换机，按照需求灵活配置各种模块，做到既满足需求，又留有余地。整个网络架构采用三层结构，使网络具有较好的伸缩性，可以根据网络建设的不同阶段灵活配置和扩展，具有能不断吸收新技术、新方法的功能。实用性智能大厦的接入安全可以直接应用于接入交换机，采用用户账号认证登录、MAC地址与端口的捆绑的方式，实现高效的用户访问控制；采用网络管理系统View，使网络易维护、易管理，可实施性好。可靠性采用802.1Q实现网络多层交换，采用802.1D实现链路冗余可靠连接，保证了网络系统运行稳定、可靠、高效。可扩展性采用模块化交换机、可堆叠交换机，使系统既具有良好的可扩展性，又具有发展潜力。比如给交换机增加模块，即可扩展网络的规模或拓展冗余链路。4.5.2 服务器设计由于智能大厦的计算机数量较多，因此，对于一些并发访问量大、数据处理集中的重点的网络服务，必须采用多CPU架构的企业级服务器。对服务器性能要求不太高的网络服务，则可以根据需要采用部门级服务器或工作组服务器。当然，也可以将两台甚至多台部门级服务器制作为群集，代替价格昂贵的企业级服务器，其实际运行效果基本相差无几。除了需要将不同的网络服务分配到不同的服务器外，还必须为一些重点服务设置负载均衡和群集，一方面可以分担过于集中的网络请求，减缓每台服务器的压力，为客户的请求提供快速、可靠的响应；另一方面，可实现服务器的故障冗余，以确保在一台或几台服务器发生故障时，仍然能够不间断地提供网络服务。群集中的各台主机分别运行各自的应用系统，当群集中的某台主机或软件出现故障时，不需人工干预，群集中的其他主机通过心跳线路，可以自动检测出该故障主机，根据备援规则，准确、快速地将原主机的应用系统移交到集群中的另一台主机上继续运行，实现整个系统的不间断运行。1. 负载均衡实现方式负载均衡实现的方式主要有4种，一是借助内嵌于服务器的软件实现，根据一定的算法把一个IP地址转换成一组IP地址，从而有效地分配来自用户的访问，均衡系统的访问负载；二是借助拥有负载均衡功能的网络交换机实现；三是借助专用的负载均衡设备实现；四是借助DNS轮询方式实现。其中，第一种方式投资最少，性能表现最差，第三种方式投资最高，性能表现最出色，而第二种方式则介于两者之间。第四种方式虽然也可以实现负载均衡，但是，当其中一台服务器瘫痪时，将导致部分客户的访问失败。2. 端口负载均衡EtherChannel技术是Cisco开发的，应用于交换机之间、交换机和路由器之间，以及交换机和服务器之间的多链路技术（符合标准IEEE802.p）。使用Fast EtherChannel和Gigbit EtherChannel技术，可以通过2条或4条链路，将2个或4个10/100 Mbps或1 000 Mbps端口连接在一起，叠加其传输带宽，从而实现高达400 Mbps（10/100 Mbps端口）、4 Gbps（1 000 Mbps端口）的带宽（如图所示），使网络设备之间通信更加快速与顺畅。对于10/100 Mbps端口而言，EtherChannel无疑是一种廉价的千兆位以太网解决方案；对于1 000 Mbps端口而言，EtherChannel则成倍地增加了网络带宽，消除了交换机与服务器之间的数据传输瓶颈，满足了交换机与服务器之间的大量数据交换。除此之外，EtherChannel还具有负载分担和线路备份的作用。所谓负载分担，是指当交换机之间或交换机与服务器之间在进行通信时，EtherChannel的所有链路将同时参与数据的传输，从而使所有的传输任务都能在极短的时间内完成，线路占用的时间更短，网络传输的效率更高。所谓线路备份，是指当部分EtherChannel链路出现故障时，并不会导致连接的中断，其他链路将能够不受影响地正常工作，从而增强了网络的稳定性和安全性。3. 服务器群集一个服务器群集包含多台拥有共享数据存储空间的服务器，各服务器之间通过内部局域网进行相互通信（如图所示）；当其中一台服务器发生故障时，它所运行的应用程序将由其他的服务器自动接管；在大多数情况下，群集中所有的计算机都拥有一个共同的名称，群集系统内任意一台服务器都可被所有的网络用户所使用。服务器群集是将一组相互独立的计算机通过高速的通信网络而组合在一起的一个单一的计算机系统，并以单一系统的模式加以管理。服务器群集提供系统失效保护功能，允许滚动升级（有助于消除计划停机时间）。系统必须监控可预计的失效，建立冗余通信网络，为避免站点灾难性事件，利用扩充的群集互连建立远程灾难数据恢复中心或许是必要的。在群集系统中运行的服务器并不一定是高档产品，但服务器的群集却可以提供相当高性能的不停机服务；每一台服务器都可承担部分计算任务，并且由于群集了多台服务器的性能，因此，整体系统的计算能力将有所提高；同时，每台服务器还能承担一定的容错任务，当其中某台服务器出现故障时，系统可以在专用软件的支持下将这台服务器与系统隔离，并通过各服务器之间的负载转移机制实现新的负载平衡，同时向系统管理员发出报警信号。群集系统通过功能整合和故障过渡技术实现系统的高可用性和高可靠性，群集技术还能够提供相对低廉的总体拥有成本和强大灵活的系统扩充能力。若欲实现服务器群集和负载均衡，建议使用执行1000BaseT标准的固定端口交换机，如Cisco Catalyst 3750。其他网络设备的选择，请参见上述相关内容。 4.5.3 VPN接入方案随着网络技术的进步，许多有异地分支机构的公司都需要建立跨地区的内部网络。同时，公司分支机构的分布也越来越广，各分支机构之间在保证资料存储和传输安全的前提下共享商业资料，并且解决方案要尽可能地减少投入，同时也要降低成本。VPN技术就是在这个背景下应运而生的，VPN的基本思路就是充分利用Internet，通过加密隧道技术，将公网虚拟成私有专用网，同时免除了昂贵的专线租用费用。4.5.4 VPN技术简介VPN（Virtual Private Network，虚拟专用网络）能够模拟点对点专用链接的方式，通过Internet或Intranet在两台计算机之间发送数据，是线路中的线路，具有良好的保密性和抗干扰性。虚拟专用网提供了一个通过公用网络安全地对企业内部专用网络进行远程访问的连接方式，是对企业内部网的扩展，可以帮助远程用户、公司分支机构、商业伙伴及供应商同公司的内部网建立可信的安全连