智能化小区网络说明.docx
《智能化小区网络说明.docx》由会员分享,可在线阅读,更多相关《智能化小区网络说明.docx(35页珍藏版)》请在冰豆网上搜索。
智能化小区网络说明
智能化小区网络设计说明书
1汤臣二品小区网络的设计目标
1.1汤臣二品小区网络项目说明
汤臣二品小区位于太原市小店区,是由太原市人民政府出资建造经济适用房,小区占地18万平方米,建筑面积为6万平方米。
汤臣二品小区为新时代高档智能化小区,小区内有住宅楼26栋,每栋25层,每层8户,区内可容纳5200户。
另外小区内设有小学、医院、商店、超市、酒店等公共设施。
小区建筑于2010年11月初竣工,现要求为小区组建网络,在三周时间内完成网络的设计和总体的布线设计,实现小区内部之间以及内部与外部的网络连通,并使小区内住户可以高速稳定的上网。
1.2汤臣二品小区网络设计目标
1、建网的目的
小区的网络建设以实现小区的智能化管理为目的,实现小区内多种业务的统一的、智能的管理。
对于用户而言,须实现内部用户之间的网络连通和使内部用户能够访问因特网。
2、小区主要网络应用和服务
小区内提供丰富的网络应用和服务,对于小区的物业管理而言,需实现小区内住户的信息存储与统计以及小区各项活动与通知的公告,还有小区内监控等安全管理和远程抄表等多种业务。
而对于小区内居民而言,必须实现其日常的浏览网页、网上聊天、发送和接收电子邮件、网络游戏、网络电视及上传和下载文件等。
3、项目的技术要求
本小区为较大规模的高档小区,其组网技术一定是当期较为主流的技术,一定要实现小区网络的高速、安全、稳定,这样既满足了用户良好的上网状态,也方便了小区通过网络实现的智能化管理。
4、安全要求
对于此类大规模高档的小区,网络的安全是必不可少的。
首先,在小区的内部网络中,一定要防止内部的网络攻击,防止病毒在网络内部扩散。
其次,针对于小区内部与外部的网络连接过程中,一定要有适当的过滤技术,防止外部非法的或恶意的数据包进入到小区内部网络而造成伤害。
最后,网络设备的安全也是必不可少的,一定要保证其工作在良好的环境中,而设备的登录也要实行严格的控制,只有管理员才能登录设备,不给非法用户任何的机会。
5、管理要求
随着社会的发展以及科技的进步,智能化的管理以渐渐成为一种趋势,对于小区的管理,智能化管理亦必不可少。
小区的管理应该实现集中管理,所有业务通过小区物业统一管理,比如小区水电煤气的管理,小区的监控录像,门禁识别等,这些都可以通过网络来管理。
随着三网融合的逐步推进,网络的管理会越来越智能,不久的将来,有线电视和电话也会由网络来统一管理。
1.3汤臣二品小区网络项目设计进度说明
1、进度说明
开始时间(2010-11-22)~结束时间(2010-12-10)
2010-11-22接到项目后,开始搜索资料或实地考察,全面了解项目的背景及其现实状况,比如小区的规模,小区内住户的数量,小区内包含哪些公共设施等,然后根据小区的具体状开始着手设计。
2010-11-24根据前期调研的情况实现初步的设计并提交需求分析,并将项目细化,统计其所要实现的功能,然后为团队的成员分配任务。
2010-11-25~2010-11-26各小组汇报设计预案,确定具体设计指标,如果项目可行则开始着手实现。
2010-11-27~2010-12-08在实验室实现预期的功能并做进一步的验证。
2010-12-08晚提交完整的设计报告。
2010-12-09~2010-12-10答辩验收。
2需求分析
2.1汤臣二品小区网络项目需求
2.1.1汤臣二品小区的地理环境
1、项目的地理分布和环境环境说明
汤臣二品小区位于太原市小店区亲贤8号,地理位置优越,地处宽阔平坦区域,小区占地总面积18万平方米,建筑面积6万平方米。
小区规划如图2-1所示
图2-1汤臣二品小区规划图
2.1.2汤臣二品小区的结构说明
1、小区结构说明
小区的组织结构包括小区居民,小区管理委员会以及小区的公共设施部分,其中管理委员会包括物业管理和居民委员会,公共设施部分包括医院、小学、超市、酒店等。
2、小区结构图
小区总体组织结构如图2-2所示
图2-2小区总体组织结构图
小区细分结构如图2-3所示
图2-3小区细分结构图
2.1.3汤臣二品小区的网络设计原则
1、网络设计的基本原则
网络设计的基本原则是层次化设计,本栋住宅楼内的网络通信通过接入层或本楼的汇聚交换机直接进行通信,汇聚层以上区域使用OSPF路由协议实现主干部分的通信。
整个小区网络集中出口,由出口路由器的动态NAPT实现与Internet的连接。
其中核心、汇聚层设备实现冗余连接,以保证用户可以稳定的上网。
2、特殊要求
小区内酒吧中应实现无线覆盖,以满足流动客户随时上网;物业管理处实现组播的应用,以保证为居民发布消息和播放宣传片等;由于小区服务器集群及重要信息均由物业统一管理,故物业网络应有更强的安全性。
2.2汤臣二品小区的网络业务
2.2.1网络业务说明
小区的网络业务主要为访问Internet,其他的一切业务均基于Internet,如电子邮件、聊天、网络电视、上传下载文件等。
针对居民的上网业务,为每个用户提供2兆的流量来保证其正常的上网即可。
2.2.2节点分布及流量估计
小区内有住宅楼26栋,每栋容有200个住户,每个住户装有2个信息点。
则住宅区信息点总数为:
26*200*2=10400个
每个信息点实现2M的流量,则住宅区的流量最大为20800Mbps。
加之对公共区域的网络的粗略统计为1200Mbps,则整个小区网络的最大流量为22000Mbps。
2.3汤臣二品小区网络的安全和管理要求
2.3.1安全要求
在科技迅速发展今天,网络安全技术不断进步的同时,黑客的技术也日渐长进。
网络中经常有一些谋求私利以及一些损人不利己的黑客对网路实施攻击,这使得通信十分不安全,所以当今社会的网络安全显得尤为重要。
对于网络的安全保证,主要包括以下几点:
1、防止内部的网络攻击;
2、防止网络病毒在内部网络之间的扩散;
3、防止非法用户对小区内网络服务器的攻击;
4、防止外部网络对内部网络的攻击;
5、对网络设备的管理而言,需要只有特定的用户才可以登录设备进行管理。
以上介绍了网络安全的基本要求,具体技术将在2.5节中详细叙述。
2.3.2管理要求
小区的管理实行由物业统一管理制度,小区内重要的服务器均由物业部门管理,小区网络也有物业部门统一控制。
2.4汤臣二品小区网络的WAN接入技术
小区网络的WAN接入技术实行万兆城域光线接入,通过光纤直接从服务商接到小区出口路由器。
2.5汤臣二品小区网络设计的技术指标
1、核心主干区域网络设计的技术指标
(1)汇聚层以上的路由网络
小区内所有汇聚层交换机及其以上的核心设备实现全网路由,路由协议使用OSPF,以此保证了全网的联通,楼宇之间的通信通过核心交换机实现路由转发,居民与物业管理部门的通信也通过核心交换机实现路由转发。
(2)访问外网的实现
小区内用户若访问外网必须要通过公有的IP地址,出于对上网费用的考虑,决定通过动态NAPT技术实现网络地址的转换,这样可以只向服务商申请50个百兆带宽的公有IP地址即可带动小区内最多10000多个用户的Internet访问服务。
(3)核心设备的安全管理
对于小区网络而言,网络设备的管理是网络中非常重要的一个环节,因为一旦攻击者登录交换机,那么交换机上的所有设备都将化为乌有,因此必须重视设备本身的安全管理。
这里对交换机的Telnet访问可以通过检查来访者的IP地址进行更为细致的访问控制。
可以为Telnet访问方式配置一个或多个合法的访问IP,只有使用合法IP的用户才能使用Telnet方式访问交换机,使用其他的IP地址访问都将被交换机拒绝。
2、住宅区域网络设计的技术指标
(1)汇聚层以下的交换网络
小区内实现每栋住宅楼内的交换网络,每栋住宅楼配有1个汇聚层交换机(三层交换机),其下接有20个接入层交换机供用户上网接入。
每栋住宅楼内实现单独的DHCP动态地址分配,DHCP接在汇聚层交换技上,为本栋楼内所有用户分配同一网段IP地址。
(2)接入层的安全控制
很多时候内部的网络用户也可能对其所连的交换机进行攻击,使得其他的用户无法上网,针对这样的问题也应实现相应的安全控制,比如对本地ARP攻击实施ARP检查等。
(3)用户的流量控制
由于小区内所有用户共用有限的公网IP地址实现上网,因此对每个用户的上网流量必须进行相应的控制,否则如果有的用户使用迅雷、电驴等工具下载文件时,其他的用户将会受到严重的影响。
对此使用QoS技术来均衡网络流量是不错的选择。
(4)用户的认证
由于小区网络的建设与运行都是有成本的,所以网络用户要交相应的费用,因此对缴过费的用户的认证、授权以及计费是一件非常重要的事。
这里我们通过Radius认证来实现对用户的认证、授权以及计费。
3、公共设施区域网络设计的技术指标
由于负责此区域网络的员工罢工,故不详述其技术指标。
其网络应用的技术大概可分为:
(1)VLAN的划分;
(2)组播的应用;
(3)访问控制列表的实施等。
3总体设计和分工说明
3.1总体设计
3.1.1总体网络拓扑设计
网络的总体设计采用双核心、单出口的方式,汇聚层设备与核心之间采用双线连接方式以保证链路的冗余。
总体网络设计拓扑图如图3-1所示
图3-1总体网络设计拓扑图
3.1.2核心区项目设计
小区网络的核心区域设计采用双核心方式,实现流量的负载分担以及网络设备的冗余,以保证所有网络用户能稳定的上网。
核心交换机使用锐捷的RG-S7606高性能核心交换机,其背板带宽为1.6T,交换容量为864G,包转发率可达322Mbps,支持多种网路协议,完全可以满足小区内部的网络负担并实现高速转发。
出口路由器使用锐捷的RG-RSR7708万兆核心分布式路由器,其交换容量可达960G,转发速率可达480Mbps,完全可以负担整个网络的流量出入以及内部的流量转发。
核心主干区域采用全网路由方式实现连通,路由协议使用OSPF路由协议。
出口路由器配置动态NAPT使内部网络共用少数的公有IP地址访问外网,这样可以大大的节省网络成本,且能保证小区内用户高速稳定的访问因特网。
核心主干区域的网络拓扑图如图3-2所所示
图3-2核心主干区域网络拓扑图
3.1.3住宅区项目设计
小区内网络布线采用的是网络星型拓扑结构,采用这种结构的优点是从根本上保证了小区现在及未来的信息化需求,保证了小区的投资和业主的利益,但它的缺点是网络布线系统和网络组网的费用较贵,开发商的投入较高。
住宅楼布线方案如图3-3所示
图3.3小区网络布线方案图
3.1.4公共设施区项目设计
(未如期完成)
3.2地址规划
3.2.1地址说明及规划原则
1、注册地址说明
本小区网络采用集中出口的方式,即内部网络的所有用户共用少量的公网IP地址来访问外网。
小区一共向服务商申请50个公网IP地址,其具体地址为:
202.207.177.21——202.207.177.70
3.2.2地址规划
1、注册地址的分配
小区内公有50个注册地址,全部作为动态NAPT地址池供内部用户访问Internet使用。
2、私有地址的总体规划
小区内部所有网络节点均使用私有IP地址。
核心主干区域节点使用192.168.0.1/24--192.168.220.220/24之间的IP地址。
小区住宅区域节点使用172.16.0.1/23---172.16.51.254/23之间的IP地址。
居民区私有地址的具体分配如表3-1所示
表3-1居民区私有地址分配表
住宅区
IP地址范围
1#
172.16.0.1/23——172.16.1.254/23
2#
172.16.2.1/23——172.16.3.254/23
3#
172.16.4.1/23——172.16.5.254/23
4#——23#
172.16.6.1/23——172.16.45.254/23
24#
172.16.46.1/23——172.16.47.254/23
25#
172.16.48.1/23——172.16.49.254/23
26#
172.16.50.1/23——172.16.51.254/23
核心主干区私有地址的具体分配如表3-2所示
表3-2核心主干区私有地址分配表
设备
接口
IP
RG-RSR7708
F1/0
F1/1
192.168.0.1/24
192.168.1.1/24
RG-S7606-1
F0/50
192.168.0.2/24
F0/1
192.168.10.1/24
F0/2
192.168.11.1/24
F0/3
192.168.12.1/24
......
F0/24
192.168.33.1/24
F0/25
192.168.34.1/24
F0/26
192.168.35.1/24
续表3-2核心主干区私有地址分配表
RG-S7606-2
F0/50
192.168.1.2/24
F0/1
192.168.60.1/24
F0/2
192.168.61.1/24
F0/3
192.168.62.1/24
......
F0/24
192.168.83.1/24
F0/25
192.168.84.1/24
F0/26
192.168.85.1/24
RG-S3760
(1--26台)
F0/1
(1--26台)
192.168.10.2/24
192.168.11.2/24
192.168.12.2/24
......
192.168.33.2/24
192.168.34.2/24
192.168.35.2/24
F0/2
(1--26台)
192.168.60.2/24
192.168.61.2/24
192.168.62.2/24
......
192.168.83.2/24
192.168.84.2/24
192.168.85.2/24
3.3分工说明
1、项目组的分工说明
本项目负责人为组长333,项目整体分工情况如表3-3所示
表3-3项目分工表
姓名
工作
333
小区核心主干的网络设计与实施
333
小区住宅区域的网络设计与实施
2
小区公共设施的网络设计与实施
4核心区网络项目的设计方案(负责人:
333)
4.1核心区网络设计方案
4.1.1核心区网络拓扑设计
1、核心区网络设计说明
核心主干区域采用汇聚层及以上设备全网路由,访问外网则通过出口路由器集中出口,主干区域所有三层设备运行OSPF路由协议实现内部网络连通,出口路由器上配置动态NAPT,实现内部网络共用少量公有IP地址访问外网。
核心区网络拓扑如图4-1所示
图4-1核心区网络拓扑图
4.1.2网络设备选型
小区网络的核心为整个小区网络的心脏部分,所以此区域的设备选型一定要合理,绝对不能让核心设备成为小区网络的瓶颈,但是考虑到经济开销又不宜选太好的设备,所以综合考虑来看小区核心网络设备选择一下设备,如表4-1所示
表4-1网络设备情况表
设备名
设备型号
设备描述
设备报价(元)
数量(台)
总价(元)
出口路由器
RG-RSR7708
交换容量:
320Gbps/960Gbps
转发性能:
240Mpps/480Mpps
支持NAT/NAPT,OSPF
380000
1
380000
核心交换机
RG-S7606
背板:
1.6T
交换容量:
864Gbps
支持OSPF
116800
2
233600
汇聚交换机
RG-S3760-24
24口10/100M自适应端口,2个SFP/GT光电复用口(SFP为千兆/百兆口),1个扩展槽,交流电源
背板:
48G
交换容量:
37.6Gbps
支持OSPF
28800
30
864000
总计(元)
1477600
4.1.3应用技术说明
核心区域使用的技术主要有OSPF路由技术,动态NAPT技术,交换机登录IP过滤技术。
1、OSPF路由
小区网络核心主干区域所有三层设备做OSPF路由,以实现稳定的网络连通,汇聚层交换机与核心之间使用双线连接,这样既可以保证核心交换机的负载分担,也可以保证汇聚层交换机与核心交换机之间的链路冗余,以实现网络连通的稳定。
2、动态NAPT
由于小区内网络用户巨大,如都使用公有IP地址,则会浪费大量的公有IP地址,最终会导致整个网络中的公有IP地址不够用。
而从经济方面,使用大量公有IP地址的也会很高,所以这里使用NAPT技术解决了此问题。
小区只向服务商申请50个公有IP地址,这50个公有IP地址作为动态NAPT的地址池,小区内所有用户通过这些IP地址访问Internet。
3、交换机登录地址过滤
交换机是网络中非常重要的设备,他一定不允许非法用户登录,否则网络将面临严重的威胁。
针对交换机的远程登录,这里使用“登录IP地址过滤”技术,使只有被允许的IP地址才可以远程登录交换机,这样就在一定程度上保证了交换机的安全。
4.2核心区网络项目论证
4.2.1核心区项目论证实验说明
1、实验拓扑图
(1)核心区域的OSPF路由协议验证实验拓扑图如图4-2所示
图4-2核心区域OSPF验证实验拓扑图
注:
RG-RSR7708接口IP地址依次为:
F1/0:
192.168.0.1/24F1/1:
192.168.1.1/24
RG-S7606-1接口IP地址依次为:
F0/1:
192.168.10.1/24F0/2:
192.168.11.1/24
F0/3:
192.168.12.1/24
RG-S7606-2接口IP地址依次为:
F0/1:
192.168.60.1/24F0/2:
192.168.61.1/24
F0/3:
192.168.62.1/24
RG-S3760-1接口IP地址依次为:
F0/1:
192.168.10.2/24F0/2:
192.168.60.2/24
Intvlan1:
172.16.0.1/23
RG-S3760-2接口IP地址依次为:
F0/1:
192.168.11.2/24F0/2:
192.168.61.2/24
Intvlan1:
172.16.2.1/23
RG-S3760-3接口IP地址依次为:
F0/1:
192.168.12.2/24F0/2:
192.168.62.2/24
Intvlan1:
172.16.4.1/23
(2)动态NAPT验证实验拓扑图如图4-3所示
图4-3动态NAPT验证拓扑图
(3)交换机登录IP地址过滤实验拓扑如图4-4所示
图4-4登录IP地址过滤验证图
2、论证实验中的设备替换说明
(1)OSPF验证试验的设备替换说明
由于实验室网络设备有限且上机时间有限,又Cisco模拟器的使用也很方便,所以这里用Cisco模拟器做的OSPF验证实验。
对于本OSPF验证实验而言,思科的命令与锐捷的命令相差的不多,这里只有开启OSPF协议时有差别,思科设备需要在开启OSPF进程时叫上进程号,而锐捷的设备不需要。
(2)动态NAPT验证实验的设备替换说明
动态NAPT的验证实验是在实验室锐捷设备上进行了,由于实验室没有RG-RSR-7708路由器,所以用RG-R-1762路由器代替(RG-R-1762支持动态NAPT)。
(3)交换机登录IP地址过滤实验
本实验也是在实验室做的,用实验室第七组设备中的RG-S2126(支持IP地址过滤功能)代替RG-S7606。
4.2.2核心区网络论证实验调试结果
1、核心区域OSPF路由及网络连通验证
(1)核心区域OSPF路由验证
·设备RG-RSR7708
RG-RSR7708#showiproute
172.16.0.0/23issubnetted,3subnets
O172.16.0.0[110/3]via192.168.0.2,01:
32:
01,FastEthernet1/0
[110/3]via192.168.1.2,01:
32:
01,FastEthernet1/1
O172.16.2.0[110/3]via192.168.0.2,01:
30:
01,FastEthernet1/0
[110/3]via192.168.1.2,01:
30:
01,FastEthernet1/1
O172.16.4.0[110/3]via192.168.0.2,01:
26:
12,FastEthernet1/0
[110/3]via192.168.1.2,01:
26:
12,FastEthernet1/1
C192.168.0.0/24isdirectlyconnected,FastEthernet1/0
C192.168.1.0/24isdirectlyconnected,FastEthernet1/1
O192.168.10.0/24[110/2]via192.168.0.2,01:
53:
15,FastEthernet1/0
O192.168.11.0/24[110/2]via192.168.0.2,01:
53:
05,FastEthernet1/0
O192.168.12.0/24[110/2]via192.168.0.2,01:
52:
55,FastEthernet1/0
O192.168.60.0/24[110/2]via192.168.1.2,01:
45:
08,FastEthernet1/1
O192.168.61.0/24[110/2]via192.168.1.2,01:
44:
52,FastEthernet1/1
O192.168.62.0/24[110/2]via192.168.1.2,01:
44:
42,FastEthernet1/1
192.168.100.0/32issubnetted,1subnets
C192.168.100.1isdirectlyconnected,Loopback0
192.168.101.0/32issubnetted,1subnets
O192.168.101.1[110/2]via192.168.0.2,01:
50:
41,FastEthernet1/0
192.168.102.0/32issubnetted,1subnets
O192.168.102.1[110/2]via192.168.1.2,01:
45:
08,FastEthernet1/1
192.168.103.0/32issubnetted,1subnets
O192.168.103.1[110/3]via192.168.0.2,01:
40:
15,FastEthernet1/0
[110/3]via192.168.1.2,01:
40:
15,FastEthernet1/1
192.168.104.0/32issubnetted,1subnets
O192.168.104.1[110/3]via192
升级会员 