办公楼的网络建设架构方案（含监控规划）

办公楼的网络建设架构方案（含监控规划）

办公楼的网络系统设计，既有有线网络系统，也有无线覆盖系统，并且安

防系统的网络系统有时候会单独设计，有时候和计算机网络系统共用局域

网。今天的案例重点介绍计算机网络和视频监控组网方式与选择。

某办公楼拟建总建筑面积约7500行；建筑类型为高层建筑，地上1-6层。

一、计算机网络系统建设架构

计算机网络系统主要是大楼内部各部门的网络应用以及为大楼的管理和

各种应用搭建一个灵活应用，安全可靠的硬件平台。将大楼的网络按部门

分为若干个逻辑网段，将大楼的各种PC机、工作站、终端设备和局域网

连接起来，并与广域网相连，形成结构合理、内外沟通的计算机网络系

统，并在此基础上建立能满足商务、办公自动化和管理需要的软硬件环

境，开发各类信息库和应用系统，为大楼内的工作人员、访客提供充分、

便捷的网络信息服务。

二、数据交换网络建设架构

计算机网络系统分内部办公网、外网。各个网络拓扑为星型结构，采用

分层设计，层次网络架构包括：接入层、核心层等二层，建立网络主干千

兆，百兆到桌面的网络应用。

・1）物理网络描述

根据大楼业务网运营数据的特点，内部办公网、外网相互之间逻辑隔

离。

中心网络采用多链路100M光纤链路INTERNET接入，以大容量高速

骨干交换为网络核心，千兆光纤下行至各楼层小机房的全千兆接入二层交

换，以及采用无线交换机对整个无线网路进行统一的管理。终端采用无线

或有线方式实现用户网络接入，确保楼内网络的灵活性和可扩展性。同时

在网络边界防火墙出开出独立DMZ区域，作为中心核心数据管理存储中

心，对内外提供不同服务。

依托物理平台，充分考虑当前各类应用以及网络数据的传输质量，采用

虚拟局域网技术依据不同应用方向划分独立子网，有效地防止广播风暴及

各类安全隐患在网络中的蔓延，确保各子网数据独立高效运行。

-2）内网描述

内部办公网面向中心内部用户，主要用于承载中心内部各类应用，如：

OA、多媒体、网络管理等无须上INTERNET的业务。子网内部通过部署

防火墙，审计，行为管理等安全产品实现内部用户对于各类应用数据访问

的可控可管，确保中心日常办公应用及本地数据交换的高效性，具体部署

根据实际需求利用VLAN等多种技术手段实现管理和区分。

0A办公系统应用于内部信息系统，为全中心提供完善的办公自动化服

务，实现无纸化办公，提高工作效率；功能包括收发文管理、办公管理、

信息采编、公共信息管理、个人事务管理、内部邮件、即时通讯、信息检

索等模块等。全面实现全局无纸化网上办公，实现的功能包括行政办公，

公共信息。

・3）外网扑描述

办公外网主要为：中心数据、物流查询功能的Internet接入服务、远程

资源共享、信息流转、系统远程视频会议等，为各类中心内部及流动用户

提供全面高效的数据访问和交互平台。

三、视频监控网络建设架构

视频监控网络作为数据网络的子网，前端接入层独立于数据网络之外，

采用汇聚层专注用于监控数据传输，最后汇入核心层。网络拓扑为星型结

构，采用分层设计，层次网络架构包括：接入层、汇聚层、核心层等三

层，建立网络主干千兆，百兆到终端的网络应用。

1）终端信号采集

采用终端网络摄像机进行视频信号采集，采集数据为数字信号，无须在终

端部署视频服务器等转换设备，降低投入成本，且通过网络摄像机可以实

现和其他安防监控系统实现联动，进一步提高产品利用率，使应用更高

效。且网络摄像机基于IP架构，所有监控设备均通过IP链路连接，管理

方便。

2）监控数据传输

终端通过部署基于IP的网络摄像机，将视频信号直接以数字形式通过IP

链路最终在监控核心交换处汇聚，考虑到数据传输质量和实时性要求高，因

此在核心交换位置采用大容量高速骨干交换对数据进行分发交换，

3）监控数据存储

相互访问，不同的部门间未经允许不能进行访问，不同VLAN间的通信通

过核心交换机实现。负责内网络的转发。

采用模块化核心交换机，核心交换机具有ITbps以上的背板交换容量，

支持3层交换的路由功能，实现高性能的核心转发，支持IPv4、IPv6、

MPLS、NAT、组播、QoS、带宽控制等业务功能，保证了网络核心的高

稳定性和可扩展性：各核心交换机配置2个电源，实现电源冗余备份；配

置千兆的光口/电口板卡，负责服务器群、网络管理、网络安全系统、链路

热备及负载均衡网络的接入。

2)楼层接入部署

部署百兆接入交换机，设置在各楼层小机房网络设备柜和保安监控室的

网络设备柜，负责接入各终端计算机、无线AP等。

各接入交换机采用可网管二层交换机，支持端口聚合、VLAN、STP、

SNMP等特性：配置24/48口10M/100M电口，2个千兆光口，实现

10M/100M到桌面,千兆上行到核心交换机。

3)无线接入部署

部署百兆无线接入交换机，设置在1层信息中心机房，支持千兆上行端

口，实现无线AP可控可管。无线AP与无线控制器'无线交换机配合组网

(FitAP),便于集中管理。

使用无线网络部分覆盖，填补网络盲区，在有效覆盖范围内自由登录而不

受时空的限制，本项目在各楼层公共区域设置无线路由器，实现办公区域

全覆盖。

各无线路由器接入外网网络。配置高性能百兆无线局域网接入设备，无

线AP上行接口采用百兆以太网接口接入，无线路由器支持802.11abgn,双

频单模，集成天线，支持工作在2.4Ghz与5.8Ghz频段，能提供20M/40M信

道技术。

视频监控局域网：

・1）汇聚交换部署

终端节点约60个，部署千兆核心交换机，设置在1层信息中心主机房

网络设备柜。采用1台支持3层交换路由功能高性能的汇聚交换机。服务

器群通过1条千兆链路连接到核心交换机。

采用模块化核心交换机，核心交换机具有"bps以上的背板交换容量，

支持3层交换的路由功能，实现高性能的核心转发，支持IPv4、IPv6、

MPLS、NAT＞组播、QoS、带宽控制等业务功能，保证了网络核心的高

稳定性和可扩展性；核心交换机配置2个电源，实现电源冗余备份；配置

千兆的光口/电口板卡，负责前端视频终端、服务器群、网络管理、网络安

全系统、链路热备及负载均衡网络的接入。

-2）楼层接入部署

部署百兆接入交换机，设置在各楼层小机房网络设备柜和保安监控室的

网络设备柜，负责接入各终端计算机、无线AP等。

各接入交换机采用可网管二层交换机，支持端口聚合、VLAN、STP、

SNMP等特性；配K8/16口10M/100M电口，2个千兆光口，实现

10M/100M到桌面，千兆上行到核心交换机。

五、服务器及存储部署

内网网络设置2台业务信息化数据库服务器（一主一备），采用X86机

型，设置2个光纤网卡作为存储端口；其他服务器根据应用需求具体另行

配置。

针对业务信息化数据设置2套光纤磁盘阵列，同时部署数据镜像系统，

保持2套阵列数据的同步性。光纤磁盘阵列采用FC-SAN网络，配置2台

8口SAN交换机（考虑冗余），连接前端档案信息化数据库服务器。

考虑到公司信息化相关数据的重要性和实时性，对业务信息化数据库服

务器部署在线容灾冬份系统。通过在服务器上部署数据库在线容灾备份软

件，对应用系统所依赖的重要数据实时的备份到存储设备上。

内网另配置智能卡服务器、0A服务器和FTP服务器等服务器群；外网

配以网络边缘WEB服务器、防病揖服务器和邮件服务器等；监控网配置

视频存储服务器等。

六、网络安全部署

考虑到整个网络后续的运行稳定性和数据安全性，将在中心网络中部署防

火墙，入侵防御、防毒墙等安全产品，以有效的对进出网络以及DMZ区

域数据访问进行有效的控制管理和授权。

・1）网络管理系统部署

内、外、监控网分别部署网络管理平台，及时地发现问题、跟踪定位和

阻止泛滥，为网络操作人员提供监控和阻止网络攻击所必需的信息。实现

各网络运行情况告警并产生报表；集中管理网络设备、服务器及安全设

备；自动产生全网设备的网络拓扑；显示流量；具有图形化配置方式。

■2）防火墙系统部署

在网络接入边界处，部署千兆高性能防火墙作为安全边界，对进出外网

的数据进行有效的过滤和防护。防火墙要求支持至少2个左右千兆电口，

同时至少2个千兆光口，要求设备支持bypass功能，防治单点故障造成网

络中断。设备接入模式要求支持路由模式、透明模式、NAT模式、混杂模

式等多种模式，要求支持基于域、接口、Alias别名等信息建立安全策略，

能够基于文件大小，内容，url实现对HTTP服务的控制和过滤，同时要求

支持邮件过滤，支持贝叶斯过滤方式，支持自主学习，能实现RBL实时

黑名单地址管理。能够对各类应用进行有效过'滤和控制，如游戏，聊天，

下载等。

-3）防病毒系统部署

在互联网接入区部署1台防毒墙系统，支持500的用户数。实现互联网

访问网络时的安全策略，对外网的web、mail、f【p、qq、msn等多种形式

的病毒查杀，支持脱壳技术。

外网配置1套支持500用户的网络版防病毒软件。

-4）入侵防御系统部署

在互联网接入区部署1台入侵防御系统，入侵防御系统从3