智慧园区基础网系统设计方案.docx

智慧园区基础网系统设计方案 园区网系统拓扑图 园区外网 图1- 1 计算机网络系统外网整体构架图 园区内网 图3- 2计算机网络系统内网整体构架图 园区外部应用网络 园区外部网络逻辑架构及分层介绍 如图1-1所示，整个外部应用网络分为四层，分别为核心层、汇聚层、接入层、应用层。XX智慧园区外部应用网络主要承载整个园区内各个办公区域使用INTERNET的需求，并且此网络还要作为无线园区的核心接入层。还有部分智慧“旅游”平台中的系统需要和网络进行连接及数据交换，也是此网络为基础传输的。整个网络由于涉及到与INTERNET连接，所以要充分的考虑网络接入的安全性和网络架构内部的安全防范措施。 应用层 为园区提供所有相关公网及智慧旅游平台的应用服务，包含园区内各办公区域INTERNET接入，整个园区WLAN业务的核心接入区，还有其他园区智能化系统与公网连接的需求。 接入层 负责将各种终端接入到园区网络，本次智慧城市将采用GPON的组网模式,对新建的7个分支机房进行光纤到楼（FTTB）的建设。部署了多台接入ONU，二层交换机、分光器。接入方式提供了三种模式，分别是ONU直接接入、ONU通过交换机连接接入和在OLT下级分光后接入ONU接入。如图1-1接入层模型。本次工程业务需求主要为高品质带宽的服务，为相关应用系统提供高速高效的网络传输保障。 汇聚层 汇聚层将众多的接入设备和大量用户经过一次汇聚后再接入到核心层，扩展核心层接入用户的数量。本次建设OLT作为汇聚节点，在汇聚层部署了1台OLT并冷备了一台OLT设备来保证出现异常情况第一时间更换。承担L2/L3边缘设备的角色，提供用户管理、安全管理、QoS（QualityofService）调度等各项跟用户和业务相关的处理。OLT，集中部署在中心机房。 核心层 核心层负责整个园区办公网的高速互联，部署核心交换机作为热备，连接OLT和出口设备的枢纽，一般不部署具体的业务。核心网络需要实现带宽的高利用率和网络故障的快速收敛。 园区出口 园区出口指园区网接入广域网和Internet的出口，园区互联网应用包括执委会日常办公互联网查询访问、媒体发布，游客智能手机智能导缆系统信息交流与发布以及媒体大厅媒体服务等三大类互联网访问服务。对流量的分析，建议租用200M宽带互联网访问专用线路，由于此次采用核心双链路结构，可以在备份链路上由运营商提供一条备份链路，链路带宽根据用户方要求来提供，建议在50M-100M之间。在整个网络中，根据互联网访问应用的不同，设置一定的带宽优先级保证，如：优先保证电子邮件数据带宽、智慧旅游平台数据传输等应用，限制下载、视频、园区无线AP接入数量等应用。 游客智能手机智能导览系统信息交流与发布等二大类联网访问服务，建议申请100M互联网访问链路，确保游客、管理部门都能进行顺畅的互联网访问，互不干扰。具体实施可以采用VLAN划分、IP规划、策略路由等手段实现。。 园区出口网关采用出口防火墙作为安全及路由设备，考虑到XX智慧园区综合服务网内具备多种关键服务器、存储、数据库等核心设备，网路安全必须慎重考虑，规划设计在网络边界同时部署防火墙设备、入侵检测设备、上网行为管理设备等网路安全设备。 出口防火墙至WAN及Internet的接口，配置下一条路由。通过设置路由优先级，设置运营商的出口链路为等价路由，实现运营商的流量负载分担。通过设置路由优先级设置主、备运营商链路的路由，实现主链路故障时的备用链路倒换网络管理区域至核心交换机链路，配置静态路由。 互联区网络 根据接入类型及服务类型划分多个不同的互联接入区域： 1．Internet互联 园区外部用户（例如园区分支、出差员工等）通过Internet访问园区。Internet互联区包括出口防火墙设备。其中出口防火墙具备包括防火墙和IPS两项功能。 入侵检测系统IPS对掺杂在应用数据流中的恶意代码、攻击行为、DDOS攻击等进行侦测，并实时进行响应。 防火墙在网络层面，过滤非法流量、抵御外部的攻击，保护内部资源。 防火墙和IPS本身都是重要的网络设备，而且其位置一般都是作为网络的出口。其位置和功能决定了防火墙和IPS设备应该具有非常高的可靠性。 为了保证Internet互联区域的可靠性，所有设备均需要成对部署，即：两台出口防火墙设备。 VPN接入区根据需要提供IPSec VPN和SSL VPN两种接入功能，解决移动用户的安全接入问题。可以部署独立的IPSec VPN网关和SSL VPN网关，也可以采用出口防火墙设备统一接入。 2．Extranet互联 合作单位用户通过广域网WAN或局域网访问园区。 由于Extranet区域属于企业外部用户通过WAN等方式接入的区域，从网络信任关系上讲，安全等级与DMZ相同，都属于非可信网络，不能直接与园区连接。访问权限