广州某酒店弱电系统方案展示

广州XXXX酒店弱电系统安装工程投标技术文件目录TOC\o"1-4"\h\z\u第一章 前言 5一、系统概述 5二、项目概况 5三、建设宗旨 6四、设计思想 6五、设计依据 7第二章 方案设计 91、综合布线系统 91.1、系统概述 91.2系统设计需求 101）、基本要求 102）、结构化综合布线系统的结构要求 113）、工作区子系统设计要求 114）、水平子系统设计要求 115）、管理子系统的设计要求 126）、垂直主干子系统设计要求 137）、设备间子系统设计要求 148）、智能化系统桥架线槽、线管设计要求 141.3系统组成 141.4系统信息点分布： 151.6、主要设备简介 212.2计算机网络系统系统 232.2.1、系统概述 232.2.2、系统需求 262.2.3系统功能 28网络内部安全考虑 28外部网络安全问题分析 30网络可靠性考虑 62网络服务质量(QoS)考虑 66本次项目QoS支持情况 80网络IP地址考虑 80网络路由协议考虑 81本次项目路由协议选择建议 83IPv6相关考虑 84本次项目设备IPv6支持情况 87网络系统管理考虑 870网络流量监控考虑 99本次项目网络流量监控支持情况 1022.2.4、系统设备分布 102A、内网络设备分布、统计表： 102B、外网络设备分布、统计表： 103C、网络信息点位分布 1032.2.5、主要设备简介 1031）、ZXR106900系列万兆路由交换机 1032）、ZXR102900系列智能以太网交换机 1073）、路由器 1124）、安全网关 1132.3综合保安系统（包括视频监控、安防报警、保安巡更） 1162.3.1 系统概述 116A、视频监控系统： 117B、紧急报警求助、红外报警系统： 117C、保安巡更系统： 1172.3.2系统需求 118A、视频监控系统 118B、紧急报警求助、红外报警系统 119C、保安巡更系统： 1192.3.3系统组成 120A、视频监控系统 120B、紧急报警求助、红外报警系统 121C、保安巡更系统： 1212.3.4、点位布局： 1212.3.5、主要设备简介 1252.4、有线电视系统 1452.4.1系统概述 1452.4.3、系统组成 1462.5A栋多媒体信息发布系统 1492.5.1系统概述 1492.5.2系统设计需求 1502.5.3 系统组成 151鼎科多媒体控制播放系统功能 151鼎科多媒体控制播放系统特点 153鼎科多媒体控制播放系统特性 154系统框架图 1552.5.4系统信息点分布： 1572.5.5主要设备简介 157主控中心主机 157DK-C1000网络控制器技术规格 158网络控制器控制软件要求 1592.6消防广播、背景音乐系统 1602.6.1系统概述 1602.6.2系统设计需求 1612.6.3系统组成 1632.6.4系统信息点分布： 1632.6.5、主要设备简介 1692.7 A栋地下室停车场管理系统 1742.7.1、系统概述 1742.7.2系统设计需求 1742.7.3系统组成 1762.7.4系统主要设备简介 1792.8、可视对讲系统 1852.8.1系统概述 1852.8.2系统设计需求 1872.8.3系统组成 187系统特点 188系统功能阐述 1882.8.4主要设备简介 1921）、家庭智能多媒体终端 1922)、浴室TV机 1933）、小门口机 1934）、大堂对讲 1946）、小区管理服务软件 1952.9、电梯紧急呼叫 197第三章工程实施方案 1983.1概述 1983.1.1项目背景 1983.1.2建设目标 1983.1.3建设内容 1983.1.4实施方案编制依据 1993.1.5术语解释： 1993.2施工组织方案 2003.2.1项目组织结构与分工 200组织结构图 200人员结构 200各机构构成与职责 2013.2.2人力资源组织保障措施 206人力资源安排 206项目实施步骤 209系统设备及配件安装事项说明 2103.3项目管理、工期进度 2123.3.1项目管理总体概述 2123.3.2项目管理过程 2133.4采购人配合条件 2273.5项目工作流程 2283.5进度计划 2313.5.1编制原则和依据 2313.5.2实施进度计划编制 2313.5.3项目进度计划表 2323.5.4项目进度的强化管理 2323.5.5实施进度控制措施 2323.5.6保证工期的实施措施 2343.6现场施工管理 2353.6.1现场实施材料工具管理 2353.6.2安全生产文明施工 2353.6.3技术组织措施 2383.7测试验收方案 2413.7.1验收目的 2413.7.2系统验收标准 2413.7.3验收原则 2423.8验收流程 2423.9验收程序 2433.10项目文件验收要求 2433.10.1设备器材核对 2443.10.2项目总验收 2453.11培训方案 247第一章 前言一、系统概述本设计书是为广州XXXX酒店弱电系统工程做的技术方案，关于本方案的设计目的、标准、内容、系统造价以及设计工作当中的其他事宜总体表现如下。二、项目概况广州XXXX酒店为一座星级酒店，地处山清水秀、环境优美的九龙湖社区。酒店分为A、B栋，本方案设计为A栋，A栋包括酒店和商品公寓。负三层～一层为酒店，包括餐厅包房、多功能宴会厅、中/西餐厅、咖啡厅、SPA室、多功能会议室，以及办公室、球会包厢、球会车库以及管理服务用房等。二～四层为商品公寓，包括A、B、C、D、E五种户型的商品公寓55套；总统套房3套；管理用房及办公室3间。广州XXXX酒店A栋的弱电系统，其内容包括如下：1、综合布线（含语音电话、网络布线）2、计算机网络系统3、综合安防系统（视频监控系统、安防报警系统、保安巡更系统）4、有线电视系统5、多媒体信息发布系统6、背景音乐/消防广播系统7、停车场管理系统8、可视对讲系统9、电梯紧急呼叫系统三、建设宗旨一个智能信息化的系统是由多个独立的子系统组成的。要充分发挥各子系统的作用必须进行大系统集成，以便进一步开拓各子系统的功能。本次项目工程其于以下几方面进行集成：（1）各子系统数据接口统一规范。在以往的信息化系统建设中，需求功能都是基本上自成一体系，无法相互利用，无法实现接口开放性，规范性。为此我们在设计各子系统中根据子系统的功能与作用统一规范国际标准，以便将各子系统集成在统一的操作平台。（2）各子系统数据的相互利用。基于统一规范基础上，各子系统的数据是开放的、可以相互利用。（3）利用各子系统基本功能开发形成或衍生另外的教学和管理功能。在信息化系统设计中在设备选型和技术路线方面必须考虑整体系统集成的理念，仅仅考虑当前的某些功能需要进行选择是非常浪费的。所以设备选择必须考虑接口的开放性，标准性的规范性。这样在整个系统完成之后可以利用其基本功能进一步开发。四、设计思想架构合理：采用先进、成熟的技术来架构各个子系统，能使其安全平稳的运行，有效地消除各个系统可能产生的瓶颈，并通过合适的设备保证各个子系统具备良好的扩展性。系统必须基于稳定、安全、保密的大型数据库，以保证系统运行正常，同时也就具有良好的数据共享、实时故障修复和实时备份等完善的管理体系。技术的先进性：整个系统选型、软硬件设备的配置均应符合高新技术的潮流，关键的视频当数字化、压缩与解压缩、传输等均采用在国内外工程建设中被广泛采用的产品，并具备相关部门资格认证的主流设备。在满足功能的前提下，系统设计不仅在当前先进性，而且在今后一段时间也保证一定的先进性。稳定性：只有稳定运行的系统，才能确保系统平稳运行，系统的技术先进性是系统高性能的保证和基础，同时可有效地减少使用人员和系统维护人员的麻烦。模块化：从组建各分系统，到总系统，均严格履行模块化结构方式，以满足系统功能扩充、运行设备的替换和维护，以确保系统高效、可靠的运行。安全性：系统必须是安全的系统，确保系统可靠运行。可扩展性：保证当用户有更多的要求时，引入的新设备可以顺利地与本次配置的设备共同工作，进一步扩展与提高系统的性能。产品主流：系统是否采用当今主流产品，关系到系统的整体质量和未来能否得到良好技术支持以及完整的技术文档资料。在设备选型时，主要依据建设方提出的具体要求，同时考虑产品厂家的技术先进性、产品是否为主流产品，原厂商的产品技术资料的完整性，原厂商的技术支持力量和产品制造公司的发展前景。所有这些是保证用户得到良好技术支持的条件，也是保障用户投资的基本条件。低成本低维护量：具有良好的性能价格比，所采用的产品应是简单、易操作、易维护、高可靠性的。系统是否具有优良的性能价格比是判断一个系统优劣条件的重要依据。系统的易操作和易维护性是保证非专业人员使用好一个系统的条件。高可靠性是保障系统运行的基本要求，也是易维护性的保障。五、设计依据《智能建筑设计标准》GB/T50314-2006《电子计算机房设计规范》GB50174-93《电子计算机场地通用规范》GB/T2887-2000《综合布线系统工程设计规范》GB/50311-2007《综合布线系统工程验收规范》GB/50312-2007《建筑物防雷设计规范》GBJ50057-94（2000年版）《信息技术互连国际标准》ISO/IEC11801-95《电磁兼容性标准》IEC801《通信局（站）电源系统总技术要求》YD/T1051-2000《电信线路遭受强电线路危险影响的容许值》GB6830-86）《安全防范工程技术规范》GB/50348-2004《安全防范系统通用图形符号》GA/T74-2000《视频安防监控系统技术要求》GA/T367-2001《安全防范系统验收规则》GA308-2001《广东省安全技术防范管理条例》《广东省安全技术防范管理条例实施办法》粤公[2002]374号《建筑工程设计文件编制深度的规定》2003年版，建质[2003]84号《民用建筑电气设计规范》JG/T16-92《厅堂扩声系统声学特性指标》GYJ25-86《厅堂扩声系统设备互联的优选电气配接值》SJ2112-82《火灾自动报警系统设计规范》GB50116-98《30MHZ～1GHZ声音和电视信号的电缆分配系统》技术指标GB/T6510-1996；《有线电视广播系统技术规范》GY/T106-1999；《有线电视系统工程技术规范》BG50200-1994；《有线电视系统测量方法》GY/121-1995；《民用建筑电缆电视广播网设计规范》BGJ-89；建设方提供的图纸资料及技术要求第二章 方案设计1、综合布线系统1.1、系统概述综合布线系统范围包括酒店和商品公寓。负三层～一层为酒店，包括餐厅包房、多功能宴会厅、中/西餐厅、咖啡厅、SPA室、多功能会议室，以及办公室、球会包厢、球会车库以及管理服务用房等。二～四层为商品公寓，包括A、B、C、D、E五种户型的商品公寓55套；总统套房3套；管理用房及办公室3间。综合布线机房设在负一层。系统设计规范：1ANSI/EIA/TIA-568B住宅大楼电信布线标准ANSI/EIA/TIA-569住宅建筑物电信通道和空间标准ANSI/EIA/TIA-570住宅和小型商业建筑物电信布线标准ANSI/EIA/TIA-607住宅大楼接地线和耦合线标准ANSI/EIA/TIA-606住宅大楼电信布线基础设施管理标准ANSI/EIA/TIA-TSB-67非屏蔽双绞线布线测试标准ANSI/EIA/TIA-TSB-72集中式光纤布线准则ANSI/EIA/TIA-TSB-75大开间办公环境附加水平布线惯例ISO/IEC11801信息技术-用户建筑综合布线EN50173信息技术-建筑综合布线系统EN55022信息技术设备的无线电干扰限值和测量方法EN55024信息技术设备的抗干扰限值和测量方法《建筑与建筑群综合布线系统工程设计规范》GB/T50311-2000《建筑与建筑群综合布线系统工程施工及验收规范》GB/T50312-2000《大楼通信综合布线系统标准》YD/T926.2-2000《中国民用建筑设计规范》JGJ/T16-92《通讯光缆的一般要求》GB/T7427-87《工业企业通信设计规范》GBJ42-81招标要求、图纸、答疑文件本设计参照以下国际标准：IEEE802.310BASE-TIEEE802.3aa100BASE-T，100BASE-FXIEEE802.3zGigabitEthernetIEEE802.3ab1000BASE-T/1000BASE-SX/1000BASE-LXIEEE802.3ae10Gb/sEthernetIEEE802.5TokenRingANSIFDDI/TPDDIATMForum155Mbps/622MbpsITU-TISDN1.2系统设计需求综合布线主要包括网络布线和语音布线。A栋数据网络部分垂直干线采用6芯多模光纤从主设备间接入至各楼层管理间，采用超五类双绞线从楼层管理间敷设至各终端数据信息点；语音部分垂直干线采用3类大对数通信电缆从主设备间接入至各楼层管理间，采用四芯电话线从楼层管理间敷设至各终端语音信息点。1）、基本要求适用性：适应未来通信网络、计算机网络、楼宇设备监控网络的技术发展上的需求，能够支持数据通信、语音通讯、多媒体通信以及监控信号通讯。灵活性：能满足楼内各种通信设备的功能要求，即在不同楼层里支持组建特定的通讯子网；在大楼任意的信息点上能够连接不同类型的设备，如计算机、打印机、计算机终端、电话、传真机、摄像机等。模块化：布线系统中除固定于建筑物内的线缆外，其余所有的接插件都是积木式的标准件，以方便管理和使用。扩充性：实施后的结构化系统是可扩充的，以便将来有更大的要求时很容易将设备安装进去。2）、结构化综合布线系统的结构要求结构化布线系统应采用星形的物理结构。垂直干线的星形结构中心在中间层通信主机房内，辐射向各个楼层，传输介质使用多模光缆。水平子系统部分的星形中心在管理间内，由配线架引出水平双绞线到各个信息点。机房主服务器系统布线。能够满足未来五年内处于领先地位，不淘汰。在主机房布线及设备的选择上必须保证能够有效的预防黑客攻击及虚拟网段的分配。酒店内各营业区域网络布线系统，要考虑设计的安全性及错误冗余处理，设计方面能够应付突发事件（比如连线断裂或突然停电等），并能够便于安装和维修。内部办公网络布线系统，能够满足无纸化办公。设备间系统，设备间将放置PBX、酒店主干计算机网络设备如中心服务器、主干网的交换机、路由器、防火墙等。楼宇自控管理网络线缆也引至设备间。主干线缆按电话进线、计算机光缆分别端接到相应的主配线架上，采用快速跳线方式，采用双点管理双交连方式，将主干线引至各子配线间，从而构成酒店信息集成管理网络(主干网)、酒店办公自动化网络等。3）、工作区子系统设计要求工作区子系统由设在各工作区的信息插座、跳线（连接信息插）组成。本工程中大多数信息点为墙面型安装，用底盒安装在电脑桌下；墙上型信息插座，通常安装在离地面30cm处；根据环境的不同，也可以有不同安装方法。信息插座可选择90度(垂直)或45度(斜角)安装方式，面板应采用方形，并应有明显的语音及数据的标识；所有信息端口以标签加以标识，并清楚地表明其用途,所有使用的标签为机器打印，标签上的编号应同时支持简体汉字、英文字母、数字、标点，标签上每个字母的高度不小于4mm，标签具有永久的防脱落、防水、防高温性。信息插座采用超五类信息插座，能够满足高速数据及语音信号的传输，电气性能达到超五类标准TIA/EIA568BCAT5E的要求。信息插座采用不同的颜色用以区分语音信息点及数据信息点，信息面板采用86式面板。4）、水平子系统设计要求水平布线是链接通讯和工作区的一部分。铜缆(4对UTP)或光纤用于工作区的每一个通讯设备的需要。本工程所以的水平布线全部采用超五类4对双绞线，避免多种线缆类型造成灵活性的降低和管理上的困难。水平布线子系统是结构化布线系统的一部分，它由每层配线间至信息插座的配线电缆和工作区用的信息插座组成。水平布线采用星型拓扑结构，信息插座分别连接到物理终端，如下图所示。每个工作区的信息插座都要和配线间子系统相连。图水平布线示意图按结构化布线技术标准规定工作区与配线间的水平布线的最大水平距离为90米，工作区内设备（终端）与信息插座的距离为3米以下。水平布线方式采用先走线槽再分管方式，即在建筑天花采用线槽布线方式（如线槽布线示意图所示），然后通过串墙护管进入房间，在房间内采用护壁板管道布线方式进行。5）、管理子系统的设计要求分配线间是各管理子系统的安装场所。对于信息点不是很多，使用功能又近似的楼层，为便于管理，可共用一个子配线间；对于信息点较多的楼层应在该层设立配线间。配线间的位置可选在距弱电竖井旁附近的房间内。配线间用于安装配线架和安装计算机网络通讯设备。在主配线间采用标准800×600×2000mm19英寸机柜，分配线间采用标准600×600×800mm19英寸壁挂式机柜；采用24口模块式超五类配线架和100对110型插接式配线架或其它的一些配线设备，管理水平数据和语音铜缆信息点，并1：1配置理线器和相应的安装背板，连接块和标签条。在配线机柜中，数据和语音应分开区域设置，采用多个机柜时数据与语音分置。在CD和FD分配线间配置配线架，采用24口模块式超五类配线架和100对110型插接式配线架，管理水平数据和语音铜缆信息点，并1：1配置理线器并配置相应的安装背板，连接块和标签条。在配线机柜中，数据和语音应分开区域设置。给网络和其它设备预留足够的安装位置。FD光纤配线架采用1U高度的6芯光纤配线架，配置小型光纤连接器、光纤端接采用尾纤进行熔接，减小光纤传输损耗。并配有相应的光纤耦合器，及制造商原厂光纤跳线。管理子系统应根据数据信息点按1:1的比率，配备原厂管理区超五类RJ45铜缆跳线；光纤连接器采用先进的高性能的光纤接头，并按照光纤根数提供1:1比率的原厂光纤跳线。实现配线管理，使用颜色编码，易于追踪和跳线。所有机柜均需配备接地端子、风扇、电源及门锁等。在机柜内，所有的信息点均通过一定的编号规则和颜色规则，以方便用户的使用。配线架上的端口单独标签，配线架上的面板纸可以更换，施工时可以将编号作为核对线缆正确与否的手段（此时最终的信息点编号是否与线缆编号一致都没有影响），待施工完毕后再装入新的、正式的面板纸。以下楼层配线间（FD）进行说明：由于管理子系统全部采用先进的机柜型结构，因此布线系统将在各配线机房安装若干个19英寸工业标准机柜，其数量由该机房所管理的线缆数量及网络设备的数量决定。在各楼层配线架中，与水平双绞线连接的数据信息点全部使用了超五类配线架，使每一个信息点完全可以灵活更换。各楼层配线架均设有光纤配线架。光纤配线架用来连接6芯光缆，它安装在19“标准机柜内。它可以用于目前极为普遍的计算机网络设备，如果需要使用具有其他光纤头的网络设备，只要更换跳线即可。为了方便维护，我公司将为每根跳线编号，并使跳线的编号具有唯一性。使今后维护时，维护人员能够凭借线号迅速找到这根跳线的两端。由于采用机柜结构，各种配线面板的数量均可根据实际需要任意添加，因此本设计方案具有非常好的可扩充性。在机柜内，所有的信息点均通过一定的编号规则（该规则将根据布线标准、用户想法，并参考以往的经验构成）和颜色规则，以方便用户的使用。配线架上的面板纸均可更换，因此可随着信息点性质的变化，随时调整面板上的标识。由于配线架上的标识都安装在塑料标识夹中，因此我公司建议使用激光打印机制作标识，然后插入标识夹中。6）、垂直主干子系统设计要求楼层配线间的位置及各配线间的光缆数量，在楼内所有光缆都留有充分的备份。每台电话两对线，并在设计中留有适当余量。根据计算，本系统中实际的冗余量达到15%以上，完全满足了国家综合布线标准GB/T50311-2000的要求。主干线缆的编号完全根据EIA/TIA606标准编排和制作，并使用防水塑料薄膜进行保护。同时在各配线间的桥架中，还将标入塑料标签牌，已便于查找。穿完线后，楼板将使用防火包封堵，防止过火或拔烟。数据传输干线采用室内多模光缆，保证数据传输。语音干线采用三类大对数铜缆。7）、设备间子系统设计要求选用6芯单模室外光纤作为B栋的数据主干；光纤主干配线采用19英寸机架安装式24口多模LC光纤配线架，并配有1U规格线路管理单元。配置工业标准19英寸42U规格密封式玻璃门机柜，配标准电源插座和散热风扇，用于放置配线设备和网络设备。网络主设备间（计算机中心机房）设在负一层，需要放置网络的核心设备-中央网络交换机及服务器等，按电磁屏蔽通信机房/计算机房的设计标准来进行设计规划。设备间语音配线架采用100对110型插接式配线架管理主干铜缆。网络中心机房内配置高密度模块化光纤配线架，可支持48芯光纤的端接。配置LC光纤连接器、光纤端接采用尾纤进行熔接，减小光纤传输损耗。并配备原厂光纤跳线。8）、智能化系统桥架线槽、线管设计要求本次智能化系统工程的桥架、线槽、线管的招标范围包括各建筑物弱电井的垂直部分和走廊等水平部分的主干，以及建筑物天花内、地板内、墻体内等的线管预埋。智能化系统工程建筑物外部的主干管道、管井的建设不包括在本次工程内。综合布线系统、有线电视系统、综合安防系统、考试监控系统共用镀锌分隔金属线槽，水平部分使用PVC塑料线管；公共广播系统单独使用镀锌金属线管。1.3系统组成A栋负一层1个主设备间，负责管理A栋负三层至四层所有的弱电管理间。因楼层面积较大，为满足综合布线水平子系统水平链路不超过90米，每层楼左右两侧各设置1个管理间。因管理间设置在每层的管道坚井内，面积较小，故楼层设备机柜使用壁挂式机柜，负责管理所在层的弱电系统。管理间分布、设备机柜分布表：序号区域管理间管理范围设备机柜数量1负二层左侧FD负二、负三左侧16U600×600×800mm19英寸12负二层右侧FD负二、负三右侧16U600×600×800mm19英寸13负一层左侧CD/FD负一层左侧42U800×600×2000mm19英寸24负一层右侧FD负一层右侧16U600×600×800mm19英寸15一层左侧FD一层左侧16U600×600×800mm19英寸16一层右侧FD一层右侧16U600×600×800mm19英寸17二层左侧FD二层左侧16U600×600×800mm19英寸18二层右侧FD二层右侧16U600×600×800mm19英寸19三层左侧FD三层左侧16U600×600×800mm19英寸110三层右侧FD三层右侧16U600×600×800mm19英寸111四层左侧FD四层左侧16U600×600×800mm19英寸112四层右侧FD四层右侧16U600×600×800mm19英寸11.4系统信息点分布：A栋共设计704个信息点，其中数据点256个，语言点417个；无线AP点26个；光纤信息点5个；152个有线电视点。网络信息点、无线AP点、光纤信息点、语音信息点、有线电视点初步配置表：序号定位间/套数据点语音点无线AP点光纤信息点有线电视点负三层小计杂物间111负二层布草间111电脑房122PA仓11工程部侧11工程部122厨房134职工厨房12仓库122球车机修工作间11员工培训室111司机室111安保考勤11球童部166经理室122球童室112小计19283负一层网络/有线电视房121低压变配电房11仓库111厨房111总经理1231总经理秘书122经理134销售199行政经理123行政办188营运总监123营运部188财务经理123财务部177采购144会所办总监123会所办188档案室122舞台12111接待室111大宴会厅14备餐间111宴会厅接待台122电梯厅接待台122男宾接待台122男宾理容区1114温水浴池区12SPA理容区1112VIP接待厅1111VIP理容区1112VIP布草间11VIP沐足房333休息区18水吧111SPA房101010工作间11技师房121接待区小卖部1111电瓶车等候区13办公区133球童休息区112寄存室111女宾接待台122女宾理容区1112工作间1布草间1女宾足浴房111女宾SPA房222商店1221小计871164151一层A区酒店大堂14酒店服务总台1612大堂吧242行政办公室188VIP包房1211包间3333西餐厅15红酒雪茄吧1钢琴区1备餐区111酒吧台122无烟区红酒吧13多功能会议室36333会员办理室111办公室122厨房111B区酒店大厅14酒店服务总台1612大堂经理值班台111行政办公室166休息区1111消防控制中心111办公室133球会大包厢12111球会小包厢3333球会咖啡厅122球会自助餐厅133VIP包房1211厨房111小计626322420二层办公室166A户型99279C户型10103010E户型1242总统套房14106小计317727三层管理用房133A户型20206020D户型1242总统套房1375小计287427四层管理用房144A户型77217B户型6122412D户型1242总统套房1353小计285824总计256417265152数据点语音点无线AP点光纤信息点有线电视点1.6、主要设备简介1）、D-Link超五类非屏蔽网线满足综合布线系统设计要求的高速、高性能、阻燃室内布线。线缆由多股铜导线构成，外皮采用高密度阻燃聚氯乙烯材料，使用安全。符合并超过国际ISO/IEC11801的相关标准符合美国ANSI/TIA/EIA-568A/B的相关标准符合欧洲CENELECEN50173的相关标准具有优异的传输性能，全面支持所有话音通讯系统、10Base-T、16Mbps、100Base-T、155Mbps和622MbpsATM、1000Mbps、多媒体等方面的高速应用。2）、D-Link超五类非屏蔽模块3）、配线架2.2 计算机网络系统系统2.2.1、系统概述本次网络项目为国王堡酒店A栋提供内部办公内网与因特网外网接入，提供酒店管理、内部办公、接入INTERNET等功能，网络示意图如下图所示：根据对网络高可靠性、高安全性、先进性与高可扩展性的需求，设计网络为核心接入两层星型结构。建议在网络接入层部署千兆智能型以太网交换机ZXR102952-SI，该系列二层智能以太网交换机支持增强安全特性，支持基于业务流的过滤机制，对特征业务流P2P流量、视频流量、病毒包等实现优化控制。该系列交换机提供VLAN控制、支持ACL、提供QOS保证的机制，流量限制、802.1x、抗病毒攻击以及完备的业务控制和用户管理能力。在每一个接入上联处，由2952/28提供两个千兆单模10KM光接口分别上联核心交换机，防止单链路故障。 在网络核心层，在内网部署万兆核心交换机ZXR106902，在外网部署万兆核心交换机ZXR106905，ZXR106900系列万兆路由交换机基于先进的模块化理念进行设计，并采用了基于多处理器并行处理机制和Crossbar空分交换结构的体系结构，关键模块均采用可以1：1进行冗余备份。ZXR106900系列具备10GE、GE、FE等各种丰富的接口模块，并全面支持IPv4、IPv6、组播、QOS、带宽控制等业务功能。ZXR106900系列整个系统所具备的高可靠性、高扩展性、良好的业务能力等特点，可以满足各种网络核心层的建设需求。 中兴网络安全平台ZXSECUS系列产品是基于ASIC加速的硬件设备，功能包括防火墙、虚拟专用网（VPN）、入侵检测和防御（IPS）、网关防病毒、WEB内容过滤、反垃圾邮件等安全防护特性，还全面支持策略管理、服务质量(QoS)、负载均衡、高可用性(HA)和带宽管理等功能。该系统无需安装任何用户软件，极大地提高了企业的安全和管理能力。该系统支持最新的技术和攻击，包括VoIP,IM/P2P,间谍软件,网络钓鱼,混合攻击。为了确保网络正常、高效地运转，还是为了降低运营成本，提高网络运行质量，或者是为了能够及时满足不断变化的客户需求，都需要一种功能强大、可伸缩、高性能的数据网络管理系统。为此，中兴通讯开发了NetNumenN31综合数据网管平台，它基于新的Internet技术，按照自下而上规则设计的高度用户化、电信级、跨平台的数据网络管理平台，适用于管理中兴通讯的所有数据产品设备，涵盖网元管理、网络管理、业务管理。具有全程图形化，易上手易管理的特点。设计规范：高带宽：计算机网络系统需要支持大量的数据传输和语音、视频以及多媒体的传输能力．为此需要采用先进、高带宽的网络技术，以适应目前大量数据和多媒体信息的传输。网络的骨干网为千兆以太网，信息点之间采用1000M或100M传输；高可靠性：网络系统应具有高可靠性、高安全性。网络系统需要提较高的容错设计，实现物理层、数据链路层和网络层的备份技术，支持故障检测和恢复，以保证系统运行的可靠和长久，要求所用交换机能够在高负荷下具有零丢包以及长时间运行无故障工作等特点：可扩展性和可升级性：随着新的应用的出现，在现有网络不能满足需求的情况下，必须对网络进行升级改造。在这种情况下，必须保证升级扩展是平滑的．在保持连通性前提下，充分发挥原有网络性能，保护用户的投资，实现从原有网络到更先进网络的平稳过渡。多协议支持：网络系统应能支持多种协议(IP、IPX、SNA、AppleTalk、DECnet等)，是一个开放型的网络，支持各种协议的互连，支持网络的互联。易管理、易维护：网络设计应充分考虑网络系统需要具有良好的可管理性。选用强大支持能力的网络设备，具有操作简单和完善网络管理，网管系统具有监测、故障诊断、故障隔离、过滤设计等功能，并且尽可能选取集成度高、模块可通用的产品，以便于系统的管理和维护．为保证整个信息系统的安全可靠，还必须建立网络与软件的管理监控系统，对系统的服务器、网络设备、终端、数据库、应用软件等实行有效的实时监控，要求管理平台必须易于使用、集成和扩充，系统中的资源，均可通过直观的人机界面进行监控、管理，使管理员不仅可以处理出现的问题，而且还能够发现系统及网络中潜在问题。安全性：网络系统应具有良好的安全性．系统必须支持VLAN的划分，并能在VLAN之间进行第三层交换时进行有效的安全控制，与外界互联需加载防火墙，以保证系统的安全性．QOS服务质量保证：当今网络中多媒体的应用越来越多，这类应用对服务质量的要求较高，新的网络系统应能保证QOS服务质量，这就要求交换机在数据传输中具有延时低、恒定延时的特性以确保多媒体数据的高质量实时传输，以支持这类应用，如远程视频系统．IP组播Multicast,由于网络中存在许多广播信息，特别是存在多媒体应用如VOD时，往往会占用大量的带宽资源．所以在本项目中，网络系统应能支持IPMulticast，可以减少网络中不必要的广播，节省主干的带宽．符合国际标准：选用符合国际标准的系统和产品，可以保证系统具有较长的生命力和扩展能力，满足将来系统升级的要求．参照以下国际标准：IEEE802.310BASE-TIEEE802.3aa100BASE-T，100BASE-FXIEEE802.3zGigabitEthernetIEEE802.3ab1000BASE-T/1000BASE-SX/1000BASE-LXIEEE802.3ae10Gb/sEthernetIEEE802.5TokenRingANSIFDDI/TPDDIATMForum155Mbps/622MbpsITU-TISDN2.2.2、系统需求网络结构：广州XXXX酒店网络系统分为两套网络：1）、酒店内部办公应用网络2）、商品公寓外部互联网接入网络两套网络相互独立，网络设备在物理上分开，其中酒店的内部办公应用网络不接入互联网。网络在物理上分为两层结构，核心层与接入层。核心层设置在主设备间，接入层设置在各楼层管理间，核心层与接层层之间采用6芯室内多模光纤连接。内部网络主要包括：酒店经营管理系统、后勤办公应用系统、闭路监控（需提供公安网络调度接入点）等内部应用，除了为酒店管理提供高速、可靠连接，同时，还必须保证整个内部网络稳定可靠。外网部分主要为商品公寓提供高速互联网接入，并为整个酒店公共区域提供无线网络接入，以及为酒店经营管理部分有需要的终端提供互联网接入，配置智能网关设备及安全防火墙，以保证住户电脑的任意接入。配置一套日志审计系统（系统日志存储30天数），日志审计系统可满足住客上网、邮件及讲坛的过滤和审计功能，以满足酒店及公安执法部门的网络安全等检查要求。网络功能：1）、可靠性要求：通过热备份技术，在整个网络架构内实现控制平面和数据平面所有信息的冗余备份和无间断的三层转发，极大的增强了网络架构的可靠性和高性能，同时消除了单点故障，避免了业务中断。要求交换机支持MSTP、VRRP协议；交换机要求达到运营商级别的可靠性，达到99．999％标准；2）、协议要求：持路由协议，RIPV1／V2，OSPF，BGP，支持静态路由：支持线速策略路由；支持组播协议：DVMRP，PIM-SM，IGMPV1／V2；3）、安全性要求：要求支持基于硬件的访问控制列表(ACL)；支持DOS攻击保护；要求支持认证服务，支持基于RADIUS或LDAP验证：VLAN支持，支持基于端口、MAC地址、第三层地址和协议类型、用户验证、绑定规则的VLAN：支持802．1X认证；支持多种QoS映射方式：802．1P到TOS和Diffserv，TOS到802．1p和Diffserv，Diffserv到802．lp和TOS每端口不少于4个硬件优先级队列，支持以64K为单位的带宽控制；支持多媒体广播，及组插IGMPvl/v2和组播路由协议DVMRP、PIM—SM等；支持端到端的QOS功能；4）、内网服务器区安全设备要求：支持防火墙，支持基于状态检测的包过滤技术，能够根据源和目的IP地址进行数据包过滤。支持基于网络的入侵防护（NIPS）功能，支持基于特征库的IPS，支持不小于3,000种特征文件。支持IPSECVPN、支持SSLVPN；支持硬件防病毒功能，支持病毒库在线升级；支持网页过滤功能；支持防垃圾邮件功能；5）、外网出口安全设备要求：支持防火墙，支持基于状态检测的包过滤技术，能够根据源和目的IP地址进行数据包过滤。支持基于网络的入侵防护（NIPS）功能，支持基于特征库的IPS，支持不小于3,000种特征文件。支持IPSECVPN、支持SSLVPN；支持硬件防病毒功能，支持病毒库在线升级；支持网页过滤功能；支持防垃圾邮件功能；6）、网络管理要求：支持多种管理手段：支持多种管理手段，包括命令行(CLI)、SNMP、完全可编辑文本的配置文件，标准Web浏览器界面等。提供了基于服务水平和策略的配置；支持对交换机管理的安全性，集成了多种安全措施，包括：认证用户访问、SNMPv3和面向加密的SSL，SSH、面向多层访问的网络分权管理。2.2.3系统功能网络内部安全考虑堡垒往往都是从内部攻破的，网络内部的安全有时显得尤为关键和重要，目前网络内部安全中面临的风险和漏洞，在这次网络设计中都有非常好的解决方案，具体如下图所示：外部网络安全问题分析外网网络网络层的安全分析网络设备主要包括网络各节点上的路由器、交换机等设备。网络层不仅为网络提供连接通路和网络数据交换的连接，而且是网络入侵者进攻信息系统的渠道和通路。由于大型网络系统内运行的TCP/IP协议并非专为安全通讯而设计，所以网络系统存在大量安全隐患和威胁。整个网络就会受到来自网络外部和内部的双重威胁。尤其在外网Internet中存在着大量的黑客攻击，他们常常针对web服务器和邮件服务器作为突破口，进行网络攻击和渗透。常见得一些手法如下：IP欺骗、重放或重演、拒绝服务攻击（SYNFLOOD，PINGFLOOD等）、分布式拒绝服务攻击、篡改、堆栈溢出等。黑客可以容易的在政府外网网络出口进出，对系统进行攻击或非法访问。而在网络内部，基本上还没有严格的防范措施，其中的安全隐患不言而喻。如果加上安全管理上的不够完善等因素，或者在已有的服务器与单机中存在着后门程序（木马程序）的话，攻击者就可以很容易地取得网络管理员权限，从而进一步控制计算机系统，网络中大量的数据就会被窃取和破坏。网络中只要一个地方出现了安全问题，那么整个网络都是不安全的。因此，在政府外网网络出口处应配置应用级防火墙来加强访问控制，并部署入侵监控系统，杜绝可能存在的安全隐患，来保证网络安全可靠的正常运行。由于外网网络是一个跨地域的广域网，有很多需要对外保密的业务数据需要通过Internet公用网络链路进行传输，而公众网（Internet）一般没有网络安全措施，采用明文方式传输数据，如果不加密容易被非法分子窃取数据，病毒攻击以及黑客入侵。外网网络系统层的安全分析在政府外网网络中都运行着不同的操作系统，如：Windows、Linux等等，这些系统都或多或少地存在着各种各样的漏洞。据IDC统计1000个以上的商用操作系统存在安全漏洞，如果这些操作系统没有进行系统的加固和正确的安全配置，而只是按照原来系统的默认安装，这样的主机系统是极其不安全的。一名黑客可以通过Unicode、缓存溢出、造成死机等方式进行破坏，甚至取得主机管理员的权限。此外，在网络中，一些黑客利用系统管理员的疏忽用缺省用户的权限和密码口令就可以轻松地进入系统修改权限，从而控制主机。外网网络中存在一定量的服务器，如：数据库服务器、邮件服务器、文件等等，而这些服务器都担负着重要的服务功能，如果这些服务器（尤其是有大量的数据处理的服务器），一旦瘫痪或者因被人植入后门造成远程控制窃取数据，后果不堪设想。为了保证业务数据的正常流通和安全，需对这些重要的服务器进行全方位的防护。外网网络应用层的安全分析外网网络与Internet相连，进行着包括Web、FTP、E-mail、DNS等各种Internet应用。应用系统的安全性主要考虑应用系统能与系统层和网络层的安全服务无缝连接。在应用层的安全问题，黑客往往抓住一些应用服务的缺陷和弱点来对其进行攻击的，比如针对错误的Web目录结构、CGI脚本缺陷、Web服务器应用程序缺陷、为索引的Web页、有缺陷的浏览器甚至是利用Oracle、SAP、Peoplesoft缺省帐户。应用层的安全威胁还包括对各种不良网络内容的访问，比如内网用户访问非法（如发布反动言论、宣扬法轮功等）或不良（色情、迷信）网站等。有的Internet站点上还包含有害的JavaApplet或ActiveX小程序，如果不慎访问将有可能带入病毒和木马程序，甚至有的网页可以通过一段简单的代码直接破坏访问者计算机的数据和系统，对网络安全和效率都将造成极大破坏。外网网络出口病毒风险分析计算机病毒一直是计算机安全的主要威胁。而随着网络的不断发展，网络速度越来越快，网络应用也越来越丰富多彩，使得病毒传播的风险也越来越大，造成的破坏也越来越强。据ICSA（国际计算机安全协会）的统计，目前已经有超过90%的病毒是通过网络进行传播的。外网网络内用户访问Internet时，无论是浏览WEB页面，还是通过FTP下载文件，或者是收发E-mail，都可能将Internet上的病毒带入网内。而近几年泛滥成灾的网络蠕虫病毒（如红色代码、尼姆达、冲击波、振荡波等）跟传统的通过光盘、软盘等介质进行传播的基于文件的病毒有很大的不同，它们本身是一个病毒与黑客工具的结合体，当网络当中一台计算机感染蠕虫病毒后，它会自动的以极快的速度（每秒几百个线程）扫描网络当中其他计算机的安全漏洞，并主动的将病毒传播到那些存在安全漏洞的计算机上，只要相关的安全漏洞没有通过安装补丁的方式加以弥补，蠕虫病毒就会这样以几何级数的增长速度在网络当中传播，即使计算机上安装了带有实时监控功能的防病毒软件（包括单机版和网络版）对此也无能为力。蠕虫病毒的传播还会大量占用网络带宽，造成网络拥堵，形成拒绝服务式攻击（DoS）。因此，对于新型的网络蠕虫病毒，必须在网关处进行过滤，防止病毒进入内网。网关防病毒已经成为未来防病毒体系中的重中之重，需要引起外网的特别重视。ICSA统计数据：90%以上病毒是通过Internet传播的传统解决方案局限性传统的防火墙、IDS、防病毒系统等安全产品在防范新型攻击时已经力不从心。传统的防火墙系统状态检测防火墙原本是设计成一个可信任企业网络和不可信任的公共网络之间的安全隔离设备，用以保证企业的互联网安全。状态检测防火墙是通过跟踪会话的发起和状态来工作的。通过检查数据包头，状态检测防火墙分析和监视网络层（L3）和协议层（L4），基于一套用户自定义的防火墙策略来允许、拒绝或转发网络流量。传统防火墙的问题在于黑客已经研究出大量的方法来绕过防火墙策略。这些方法包括：利用端口扫描器的探测可以发现防火墙开放的端口。攻击和探测程序可以通过防火墙开放的端口穿越防火墙。如MSN、QQ等IM（即时通信）工具均可通过80端口通信，BT、电驴、Skype等P2P软件的通信端口是随机变化的，使得传统防火墙的端口过滤功能对他们无能为力。SoftEther等软件更可以将所有TCP/IP通讯封装成HTTPS数据包发送，使用传统的状态检测防火墙简直防不胜防。SoftEther可以很轻易的穿越传统防火墙PC上感染的木马程序可以从防火墙的可信任网络发起攻击。由于会话的发起方来自于内部，所有来自于不可信任网络的相关流量都会被防火墙放过。当前流行的从可信任网络发起攻击应用程序包括后门、木马、键盘记录工具等，它们产生非授权访问或将私密信息发送给攻击者。较老式的防火墙对每一个数据包进行检查，但不具备检查包负载的能力。病毒、蠕虫、木马和其它恶意应用程序能未经检查而通过。当攻击者将攻击负载拆分到多个分段的数据包里，并将它们打乱顺序发出时，较新的深度包检测防火墙往往也会被愚弄。使用笔记本电脑、PDA和便携邮件设备的移动用户会在他们离开办公室的时候被感染，并将威胁带回公司网络。边界防火墙对于从企业信任的内部网络发起的感染和攻击爱莫能助。图：被通过知名端口（80端口）攻击的网站数传统的入侵检测系统（IDS）正如传统防火墙一样，传统的IDS为了对付越来越复杂的新型攻击也发展了一些新的技术。攻击者发现了IDS的弱点，并采用了新方法来绕过这些监视系统。IDS的弱点包括：IDS通常放置在关键位置如网络边界和重要节点上。它们不能监视到整个网络。IDS设备能够检查每一个流过的数据包，但它并不是在线式（”in-line”）设备，所以不能实时的主动阻断攻击。它们仅仅是监视设备，在发现恶意流量时进行报警。这就使快速传播的攻击得以成功。IDS会被分段和打乱顺序传送的数据包所蒙蔽。对多个千兆端口的流量进行镜像或重定向很容易使IDS的性能透支，从而导致丢包而漏报。IDS会产生大量的误报，需要连续的监视和对规则的细致调整使之变得更加有效，这就导致很高的维护成本。许多IT人员并没有足够的时间来查看IDS的日志，从而使可疑的流量未被发现而通过。即使IDS与防火墙进行联动，对于网络蠕虫病毒等快速传播的威胁的响应速度仍然是很慢的。为了克服IDS的弱点，一些安全厂商将它们被动的IDS技术转变为主动的IPS（入侵防御系统）。IPS是在线式（”in-line”）设备，能够主动的丢弃或重置可疑和危险的攻击流量以及诸如SYNFlood、ICMP攻击等的协议异常攻击。基于主机的防病毒软件基于主机的防病毒软件是部署得最广泛的安全应用，甚至超过了边界防火墙。基于主机的防病毒软件随着上世纪80年代中期基于文件的病毒开始流行而逐渐普及，如今已成为最受信任的安全措施之一。但是基于主机的防病毒软件也有它的缺点，包括：需要安装、维护和保持病毒特征库更新，这就导致了大量的维护开销。很多用户并没有打开防病毒软件的自动更新功能，也没有经常的手动更新他们的病毒库，这就导致防病毒软件对最新的威胁或攻击无用。用户有时可能会有意或无意的关闭他们的单机安全应用程序。最新的复杂的木马程序能对流行的基于主机的防病毒软件进行扫描，并在它们加载以前就将它们关闭–这就导致即使有了最新的病毒特征码，事实上它们还是不能被检测出来。企业单纯依靠给予主机的防病毒软件和给操作系统和应用程序打补丁的方法会使它们的内部系统面临很高的安全风险。随着业务中使用了越来越多的面向全球且需要持续运行的关键应用，停机来更新操作系统补丁、病毒特征码和应用升级变得越来越困难。而公司的Web、Email、电子商务、数据库、应用等服务器由于长时间