H3C智能建筑IP網(wǎng)絡(luò)解決方案及其廣泛應(yīng)用

計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)是智能建筑弱電系統(tǒng)中必不可少的部分，杭州華三通信技術(shù)有限公司（以下簡(jiǎn)稱(chēng)H3C）是國(guó)內(nèi)主要的IP網(wǎng)絡(luò)產(chǎn)品和解決方案供應(yīng)商之一，有豐富的IP網(wǎng)絡(luò)產(chǎn)品和方案供弱電設(shè)計(jì)單位、弱電集成商在設(shè)計(jì)和施工時(shí)選擇。下面我們以智能樓宇為例介紹幾個(gè)H3C公司的IP網(wǎng)絡(luò)解決方案。

一、低層樓宇I(lǐng)P網(wǎng)絡(luò)方案

低層樓宇整體的數(shù)據(jù)信息點(diǎn)數(shù)較少，而且各樓層距離底層機(jī)房的距離較近，因此一般核心設(shè)備不需要采用很高檔次設(shè)備，另外對(duì)核心交換機(jī)光纖接口的數(shù)量要求較少。

設(shè)備選型：

1、 每樓層弱電間接入交換機(jī)建議選擇H3C S3100-EI系列的智能安全交換機(jī)。

a) 可以根據(jù)信息點(diǎn)數(shù)量選擇8口、16口、24口、48口，如果數(shù)量更多，可以堆疊擴(kuò)展端口數(shù)。

b) 從弱電間接入交換機(jī)到核心交換機(jī)采用何種鏈路取決于兩者間距離，如果距離小于100米，可采用超五類(lèi)線(xiàn)；如果距離超過(guò)100米，可采用多模光纖傳輸。

c) 上行鏈路由于匯集了所有的接入流量，一般采用千兆帶寬，S3100-EI均提供足夠的GE電口和光模塊供選擇。

d) 如果有無(wú)線(xiàn)AP、IP電話(huà)機(jī)等設(shè)備，為便于供電，可以選擇S3100-EI的POE款型，采用POE方式給這些設(shè)備供電。

2、 位于底層的機(jī)房部署核心交換機(jī)，由于低層樓宇需要的光纖匯聚端口較少，采用H3C S5500-28F-EI千兆光纖匯聚交換機(jī)即可滿(mǎn)足要求。如果對(duì)核心設(shè)備的可靠性要求很高，采用H3C S7502E機(jī)箱式交換機(jī)可滿(mǎn)足要求。

3、 配置一套網(wǎng)絡(luò)管理系統(tǒng)H3C iMC，實(shí)現(xiàn)對(duì)所有網(wǎng)絡(luò)設(shè)備的綜合管理，包括設(shè)備管理、性能管理、告警管理、配置管理、拓?fù)涔芾怼?

4、 大樓到internet連接可以采用H3C公司的路由器或防火墻，有豐富的產(chǎn)品類(lèi)型可供選擇，不再贅述。

二、高層樓宇I(lǐng)P網(wǎng)絡(luò)方案

不同行業(yè)的高層樓宇建設(shè)模式差別非常大：選擇的設(shè)備差異大、帶寬差異大、組網(wǎng)方案差異大、網(wǎng)絡(luò)結(jié)構(gòu)差異大，投資差異大，下面簡(jiǎn)單地探討一些基本規(guī)律。

接入層設(shè)備選型考慮：

 很多高層樓宇都是行業(yè)內(nèi)或某個(gè)區(qū)域內(nèi)具有代表性的建筑，建設(shè)規(guī)格較高，對(duì)信息化要求也較高，需要考慮到技術(shù)先進(jìn)性。當(dāng)前網(wǎng)絡(luò)的一個(gè)重要的發(fā)展趨勢(shì)是千兆接入的普及，因此很多高層樓宇的接入層采用了千兆接入交換機(jī)。

 H3C擁有業(yè)內(nèi)最齊全的千兆交換機(jī)產(chǎn)品線(xiàn)，S5120-EI/S5120-SI都是性?xún)r(jià)比很高的千兆二層交換機(jī)。上行鏈路可以采用萬(wàn)兆光纖，這樣可以使每個(gè)接入用戶(hù)可以獲得足夠高的帶寬。也可以先使用多個(gè)千兆捆綁方式上行，以后需要時(shí)采用萬(wàn)兆鏈路。

 對(duì)于仍然希望采用百兆接入的客戶(hù)，H3C有S3100系列/S3600系列豐富款型的百兆接入交換機(jī)供選擇。采用百兆接入交換機(jī)，可以參考低層樓宇部分的選型考慮。

核心設(shè)備的考慮：

 核心設(shè)備故障會(huì)影響到整個(gè)大樓的網(wǎng)絡(luò)使用，因此必須具備足夠高的可靠性和穩(wěn)定性，此外還必須具備很強(qiáng)的擴(kuò)展性、多業(yè)務(wù)支持能力、安全防護(hù)能力、大容量接入能力等。

 H3C S10500/S9500E/S7500E等高端交換機(jī)，是國(guó)內(nèi)外主流的核心交換機(jī)之一，擁有數(shù)十項(xiàng)可靠性技術(shù)保障，并且在國(guó)內(nèi)網(wǎng)上有大量的應(yīng)用，成熟穩(wěn)定性已經(jīng)經(jīng)歷了充分考驗(yàn)。

 為了實(shí)現(xiàn)大樓不同部門(mén)網(wǎng)絡(luò)之間的安全隔離，以及防范來(lái)自外網(wǎng)對(duì)大樓內(nèi)部網(wǎng)的各種網(wǎng)絡(luò)安全威脅，需要核心交換機(jī)支持集成各種安全業(yè)務(wù)板卡，以方便地實(shí)現(xiàn)安全防范技術(shù)的部署。H3C S10500/S9500E/S7500E交換機(jī)可支持FW/IPS/NTA等多種安全業(yè)務(wù)板卡，實(shí)現(xiàn)高集成度低成本的安全部署。

網(wǎng)絡(luò)管理系統(tǒng)建設(shè)的考慮：

 H3C iMC智能管理中心是一個(gè)基礎(chǔ)網(wǎng)管平臺(tái)，通過(guò)增加不同的管理組件，可以實(shí)現(xiàn)用戶(hù)、業(yè)務(wù)、資源三者之間的融合管理。也就是幫你看清楚網(wǎng)絡(luò)上有什么資源？哪些業(yè)務(wù)在用這些資源？哪些用戶(hù)在用這些資源？哪些用戶(hù)在使用哪些業(yè)務(wù)？

三、有線(xiàn)無(wú)線(xiàn)一體化IP網(wǎng)絡(luò)方案

雖然在樓宇規(guī)劃建設(shè)時(shí)，已經(jīng)鋪設(shè)了光纖或者是銅纜作為大樓的骨干網(wǎng)絡(luò)。但有線(xiàn)網(wǎng)絡(luò)在某些場(chǎng)合還是要受到布線(xiàn)的限制：如布線(xiàn)、改線(xiàn)工程量大；線(xiàn)路容易損壞；網(wǎng)絡(luò)中的節(jié)點(diǎn)不可移動(dòng)等。特別是對(duì)于家庭用戶(hù)，網(wǎng)絡(luò)節(jié)點(diǎn)位置相對(duì)不固定，而且，網(wǎng)絡(luò)鋪設(shè)盡量要避免開(kāi)槽等大工作量施工。

通過(guò)上面的比較，可以看出無(wú)線(xiàn)網(wǎng)絡(luò)相對(duì)有線(xiàn)網(wǎng)絡(luò)具有很多獨(dú)特的優(yōu)點(diǎn)。根據(jù)目前在智能建筑中的網(wǎng)絡(luò)建設(shè)實(shí)踐來(lái)看，兩種網(wǎng)絡(luò)“同時(shí)部署，相互補(bǔ)充”已經(jīng)成為一種趨勢(shì)。網(wǎng)絡(luò)的骨干、固定信息點(diǎn)更多采用有線(xiàn)網(wǎng)絡(luò)，而不易布線(xiàn)的信息點(diǎn)、移動(dòng)信息點(diǎn)更多采用無(wú)線(xiàn)網(wǎng)絡(luò)。

而當(dāng)前一個(gè)突出問(wèn)題是：多數(shù)情況下，無(wú)線(xiàn)網(wǎng)作為獨(dú)立的網(wǎng)絡(luò)與有線(xiàn)網(wǎng)絡(luò)分開(kāi)管理。這就導(dǎo)致了無(wú)線(xiàn)網(wǎng)需要單獨(dú)的管理系統(tǒng)和安全策略，使得無(wú)線(xiàn)網(wǎng)的管理成本居高不下。

H3C公司在智能建筑倡導(dǎo)“有線(xiàn)無(wú)線(xiàn)一體化網(wǎng)絡(luò)解決方案”，主要特點(diǎn)是“設(shè)備一體化、管理一體化、安全一體化、業(yè)務(wù)一體化”，下面我們結(jié)合一些實(shí)際的工程介紹這幾個(gè)特點(diǎn)：

1、 設(shè)備一體化

無(wú)線(xiàn)網(wǎng)絡(luò)的設(shè)備主要有無(wú)線(xiàn)控制器（AC）、無(wú)線(xiàn)接入點(diǎn)（AP）。所謂的“設(shè)備一體化”是指有線(xiàn)設(shè)備和無(wú)線(xiàn)設(shè)備的融合，主要體現(xiàn)在無(wú)線(xiàn)控制器和有線(xiàn)網(wǎng)絡(luò)設(shè)備的融合。

H3C公司有“一高一低”兩種融合方式：“一高”是指高端無(wú)線(xiàn)控制器和高端交換機(jī)的融合，高端無(wú)線(xiàn)控制器直接做成交換機(jī)板卡，插在高端交換機(jī)的槽位中使用，H3C公司的S7500E和S9500高端交換機(jī)都支持無(wú)線(xiàn)控制器插卡。

H3C的“7500E 系列交換機(jī) + 無(wú)線(xiàn)控制器模塊 + SecBlade防火墻”的無(wú)縫融合

無(wú)線(xiàn)控制器和高端交換機(jī)融合有什么好處呢？

 首先是降低了成本，不再需要為無(wú)線(xiàn)控制器提供機(jī)殼、電源、風(fēng)扇等

 其次無(wú)線(xiàn)控制器和交換機(jī)成為一臺(tái)設(shè)備，管理起來(lái)更方便

 不要在交換機(jī)和無(wú)線(xiàn)控制器之間連線(xiàn)，直接利用背板連接，避免單點(diǎn)故障

 擴(kuò)展能力更強(qiáng)，高端交換機(jī)可以插更多的無(wú)線(xiàn)控制器插卡

 占用空間更少，消耗的電能更少

“一低”是指較小容量的有線(xiàn)無(wú)線(xiàn)一體化交換機(jī)WX3024，集成了：弱三層功能、24個(gè)千兆電口/4個(gè)combo口/萬(wàn)兆插槽、POE+供電、無(wú)線(xiàn)控制器、DHCP server、Radius server等豐富功能。真正實(shí)現(xiàn)了智能建筑中的有線(xiàn)網(wǎng)絡(luò)和無(wú)線(xiàn)網(wǎng)絡(luò)的一體化，簡(jiǎn)化了建設(shè)復(fù)雜度，降低了能耗，實(shí)現(xiàn)綠色節(jié)能的目標(biāo)。

2、 管理一體化

網(wǎng)絡(luò)管理存在一個(gè)現(xiàn)狀：使用誰(shuí)家的設(shè)備就是用誰(shuí)家的網(wǎng)管進(jìn)行管理，這有時(shí)會(huì)帶來(lái)麻煩。假如在一個(gè)智能建筑中使用了A廠(chǎng)商的無(wú)線(xiàn)網(wǎng)絡(luò)，B廠(chǎng)商的有線(xiàn)網(wǎng)絡(luò)，我們就得使用A廠(chǎng)商的網(wǎng)管、B廠(chǎng)商的網(wǎng)管，導(dǎo)致無(wú)法顯示一張共同的網(wǎng)絡(luò)拓?fù)洹?

H3C公司作為同時(shí)提供有線(xiàn)網(wǎng)絡(luò)和無(wú)線(xiàn)網(wǎng)絡(luò)的廠(chǎng)商，在對(duì)有線(xiàn)網(wǎng)絡(luò)和無(wú)線(xiàn)網(wǎng)絡(luò)的管理上占據(jù)優(yōu)勢(shì)。H3C公司提供用于對(duì)所有IT設(shè)備進(jìn)行統(tǒng)一管理的智能管理平臺(tái)——iMC智能管理中心，用一套iMC能對(duì)有線(xiàn)網(wǎng)絡(luò)和無(wú)線(xiàn)網(wǎng)絡(luò)統(tǒng)一管理。

能實(shí)現(xiàn)一體化管理的不僅包括設(shè)備管理、拓?fù)涔芾�、告警管理、性能管理、配置管理這些基本功能，iMC還能提供更多的管理功能，比如：網(wǎng)絡(luò)流量分析、用戶(hù)帳號(hào)管理等。這些都共用一套iMC系統(tǒng)，無(wú)需為有線(xiàn)部分、無(wú)線(xiàn)部分各提供一套。

3、 安全一體化

首先我們分析一下，對(duì)于智能建筑有線(xiàn)無(wú)線(xiàn)一體化的網(wǎng)絡(luò)，需要有哪些安全防護(hù)措施？

對(duì)智能建筑網(wǎng)絡(luò)的攻擊通常來(lái)自外部和內(nèi)部。來(lái)自外部的攻擊采用網(wǎng)絡(luò)邊界安全解決方案進(jìn)行防范，在網(wǎng)絡(luò)的出口采用防火墻、入侵抵御系統(tǒng)、防毒墻、防垃圾郵件等產(chǎn)品來(lái)進(jìn)行防范。來(lái)自?xún)?nèi)部的安全問(wèn)題采用內(nèi)網(wǎng)安全控制解決方案，這包括不同網(wǎng)絡(luò)區(qū)域之間的安全隔離、重要安全區(qū)域的高等級(jí)安全保護(hù)、端點(diǎn)準(zhǔn)入控制。。。等等。這里面挑戰(zhàn)比較大的就是能否對(duì)有線(xiàn)網(wǎng)絡(luò)、無(wú)線(xiàn)網(wǎng)絡(luò)實(shí)施一致策略的端點(diǎn)準(zhǔn)入控制。

首先對(duì)端點(diǎn)準(zhǔn)入控制進(jìn)行簡(jiǎn)單介紹：俗話(huà)常說(shuō)“家賊難防”，網(wǎng)絡(luò)安全也是如此道理，目前70%的網(wǎng)絡(luò)安全都是從內(nèi)部引發(fā)的，因此業(yè)界越來(lái)越重視內(nèi)網(wǎng)的安全控制。智能建筑內(nèi)網(wǎng)的安全問(wèn)題經(jīng)常由某臺(tái)終端造成的，比如：該終端使用非法軟件形成對(duì)內(nèi)部的網(wǎng)絡(luò)攻擊、或者沒(méi)有及時(shí)升級(jí)病毒庫(kù)導(dǎo)致上網(wǎng)中病毒、或者操作系統(tǒng)補(bǔ)丁未更新而在上網(wǎng)是被黑客入侵而成為傀儡機(jī)器。。。如何避免這樣的問(wèn)題出現(xiàn)呢？H3C推出了“EAD（Endpoint Admission Defense）端點(diǎn)準(zhǔn)入防御”解決方案。

內(nèi)網(wǎng)的任何一臺(tái)PC機(jī)要進(jìn)入內(nèi)部網(wǎng)絡(luò)，都是有條件的：沒(méi)有安裝非法軟件、病毒庫(kù)是最新的、操作系統(tǒng)補(bǔ)丁庫(kù)是最新的、PC機(jī)是內(nèi)部員工使用的。是如何實(shí)現(xiàn)的呢？每臺(tái)PC上都安裝有“H3C iNODE”一個(gè)小軟件，它和“EAD安全策略服務(wù)器”之間保持通信，它會(huì)在你試圖連接到局域網(wǎng)時(shí)對(duì)你的PC機(jī)進(jìn)行檢查，如果發(fā)現(xiàn)你沒(méi)有達(dá)到要求，就拒絕接入網(wǎng)絡(luò)！

目前H3C的EAD對(duì)有線(xiàn)接入、無(wú)線(xiàn)接入、遠(yuǎn)程VPN接入、廣域網(wǎng)接入、網(wǎng)關(guān)接入等不同方式都能統(tǒng)一部署。采用的認(rèn)證協(xié)議上，有線(xiàn)與無(wú)線(xiàn)EAD是相同的，都是采用的802.1X或Portal協(xié)議。不同點(diǎn)：802.1X的EAP認(rèn)證協(xié)議不同，有線(xiàn)中一般采用的是EAP-CHAP，無(wú)線(xiàn)中采用的是EAP-PEAP，EAP-TLS。

通過(guò)“安全一體化”，無(wú)論用戶(hù)是通過(guò)有線(xiàn)、無(wú)線(xiàn)、VPN不同方式進(jìn)入網(wǎng)絡(luò)，安全策略都是一致的，這樣的網(wǎng)絡(luò)是沒(méi)有安全漏洞的，能為智能建筑提供真正安全的有線(xiàn)無(wú)線(xiàn)一體化網(wǎng)絡(luò)環(huán)境。

四、國(guó)內(nèi)的應(yīng)用情況

H3C公司的系列化IP產(chǎn)品和解決方案已經(jīng)廣泛地應(yīng)用到國(guó)內(nèi)外眾多的智能建筑：

 智能樓宇（包括政府大樓、企業(yè)大樓、高檔寫(xiě)字樓、高檔賓館等不同類(lèi)型的樓宇）。例如：新華社新大樓、中石油新大樓、國(guó)電新大樓、京基金融中心、環(huán)球金融中心等。高檔酒店包括北辰洲際酒店、上海環(huán)球金融中心柏悅酒店、喜達(dá)屋集團(tuán)及下屬酒店等。

 大型場(chǎng)館，例如：國(guó)家大劇院、故宮博物院、國(guó)家圖書(shū)館、國(guó)家體育場(chǎng)、奧林匹克公園、國(guó)際會(huì)議中心、五棵松體育館、青島奧帆中心、香港奧運(yùn)賽馬場(chǎng)、山東全運(yùn)會(huì)等。

 數(shù)字化園區(qū)（大型企業(yè)園區(qū)、軟件園之類(lèi)）。例如：用友軟件園區(qū)、東軟大連軟件園等。

 交通工程（鐵路、地鐵、高速公路、公交、民航、港口、碼頭等）。例如：北京地鐵4號(hào)線(xiàn)、5號(hào)線(xiàn)、13號(hào)線(xiàn)、機(jī)場(chǎng)線(xiàn)、沈陽(yáng)地鐵、青藏鐵路、北京公交BRT、首都T3航站樓、深圳機(jī)場(chǎng)、濟(jì)南/青島/武漢/昆明等地機(jī)場(chǎng)。