住宅小區(qū)接入網(wǎng)方案設(shè)計(jì)摘要:現(xiàn)代化的住宅小區(qū)向小區(qū)內(nèi)的廣大住戶(hù)提供寬帶多媒體綜合信息資訊服務(wù),是住宅小區(qū)接入網(wǎng)的重要體現(xiàn),也是信息社會(huì)發(fā)展的客觀需要。計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)是智能化住宅小區(qū)的基礎(chǔ)平臺(tái),是小區(qū)智能化的基礎(chǔ)和關(guān)鍵。本文選擇了局域網(wǎng)技術(shù)作為接入網(wǎng)技術(shù)，給出一種現(xiàn)代住宅小區(qū)接入網(wǎng)的方案設(shè)計(jì)。關(guān)鍵詞:接入網(wǎng)局域網(wǎng)網(wǎng)絡(luò)安全I(xiàn)NTERNET1引言現(xiàn)今,計(jì)算機(jī)網(wǎng)絡(luò)對(duì)人類(lèi)社會(huì)產(chǎn)生了巨大的影響,計(jì)算機(jī)技術(shù)發(fā)展的方向已經(jīng)向網(wǎng)絡(luò)發(fā)展。網(wǎng)絡(luò)已經(jīng)進(jìn)入了我們生活的每一種角落。寬帶小區(qū)接入可以以便顧客使用互聯(lián)網(wǎng)與理解信息及外界溝通(瀏覽、電子郵件);運(yùn)用寬帶網(wǎng)與小區(qū)物業(yè)管理中心連接,享有智能小區(qū)的全方位服務(wù);建立家庭局域網(wǎng)將家庭網(wǎng)絡(luò)設(shè)備內(nèi)部組網(wǎng)再與寬帶網(wǎng)相連,可以實(shí)現(xiàn)家庭辦公SOHO;選擇合用的信息家電(包括網(wǎng)絡(luò)家電產(chǎn)品)。安裝配置智能家居系統(tǒng)連入寬帶網(wǎng)實(shí)現(xiàn)遠(yuǎn)程控制。顧客根據(jù)需求可選用多種增值服務(wù)如網(wǎng)絡(luò)教育、視頻點(diǎn)播、網(wǎng)絡(luò)游戲、網(wǎng)上炒股、網(wǎng)上金融服務(wù)等等。2需求分析在業(yè)務(wù)需求方面,信息化小區(qū)作為特定的大顧客群,具有下列特點(diǎn)及需求:Internet訪問(wèn)型居民顧客占絕大多數(shù);業(yè)務(wù)以一般HTTP的Web頁(yè)面訪問(wèn)和部分流媒體業(yè)務(wù)(推/拉)為主,未來(lái)也許會(huì)發(fā)展對(duì)稱(chēng)交互式流媒體業(yè)務(wù);顧客有一定的接入速率規(guī)定,同步規(guī)定針對(duì)不一樣應(yīng)用的接入速率限制。規(guī)定網(wǎng)絡(luò)具有良好、靈活的顧客管理能力和計(jì)費(fèi)方略;顧客數(shù)據(jù)的安全性需要得到保證,目前,大部分小區(qū)已經(jīng)進(jìn)行綜合布線(xiàn),這時(shí),一般采用FTTX+LAN的以太網(wǎng)接入方式滿(mǎn)足高密度的顧客接入需求。FTTX+LAN運(yùn)用光纖加五類(lèi)線(xiàn)方式,通過(guò)以太網(wǎng)接入技術(shù)實(shí)現(xiàn)寬帶互聯(lián)網(wǎng)接入,從城域網(wǎng)的節(jié)點(diǎn)通過(guò)互換器將網(wǎng)線(xiàn)直接連接到客戶(hù)的桌面,形成大規(guī)模的高速局域網(wǎng)。這種LAN入戶(hù)的小區(qū)寬帶接入的重要長(zhǎng)處就是高速、持續(xù)、穩(wěn)定以及廉價(jià)的Internet接入及互聯(lián)。3設(shè)備選擇3.1關(guān)鍵層寬帶小區(qū)中心匯聚層設(shè)備選擇。這層次的設(shè)備為寬帶小區(qū)中的關(guān)鍵層設(shè)備,需要將各樓棟的流量進(jìn)行匯聚,并提供寬帶小區(qū)到城域網(wǎng)的出口。在選擇路由器時(shí),可以選擇Cisco的中端路由器,中端路由器合用于大中型住宅小區(qū)和Internet服務(wù)供應(yīng)商,或者行業(yè)網(wǎng)絡(luò)中地市級(jí)網(wǎng)點(diǎn)的應(yīng)用,產(chǎn)品的檔次應(yīng)當(dāng)相稱(chēng)于Cisco的模塊化3600系列,或Cisco4500系列等,選用的原則也是考慮端口支持能力和包互換能力。根據(jù)小區(qū)的不一樣,可以選擇對(duì)應(yīng)的路由器。這里我推薦使用Cisco3640路由器。Cisco3640是一種適合大中型小區(qū)和Internet服務(wù)供應(yīng)商的模塊化、多功能訪問(wèn)平臺(tái)家族。Cisco3640擁有70多種模塊化接口選項(xiàng),提供語(yǔ)音/數(shù)據(jù)集成、虛擬專(zhuān)網(wǎng)(VPN)、撥號(hào)訪問(wèn)和多協(xié)議數(shù)據(jù)路由處理方案。Cisco3640通過(guò)運(yùn)用Cisco的語(yǔ)音/傳真網(wǎng)絡(luò)模塊,容許客戶(hù)在單個(gè)網(wǎng)絡(luò)上合并語(yǔ)音、傳真和數(shù)據(jù)流量。高性能的模塊化體系構(gòu)造保護(hù)了客戶(hù)的網(wǎng)絡(luò)技術(shù)投資,并將多種設(shè)備的功能集成到一種可管理的處理方案之中。3.2互換機(jī)中心互換機(jī)的選用有諸多種,這里選用CiscoCatalyst6509。顧客可以根據(jù)自身特點(diǎn)來(lái)選擇。第二層互換機(jī)的選擇。我推薦在每棟樓使用CiscoCatalyst3560系列互換機(jī),根據(jù)小區(qū)顧客規(guī)定和數(shù)量不一樣可以選擇不一樣的型號(hào)。Catalyst3560系列是合用于每棟樓房布線(xiàn)或分支機(jī)構(gòu)環(huán)境的理想接入層互換機(jī),這些環(huán)境將其LAN基礎(chǔ)設(shè)施用于布署全新產(chǎn)品和應(yīng)用,如IP電話(huà)、無(wú)線(xiàn)接入點(diǎn)、視頻監(jiān)視、建筑物管理系統(tǒng)和遠(yuǎn)程視頻信息亭。顧客可以布署網(wǎng)絡(luò)范圍的智能服務(wù),如高級(jí)QoS、速率限制、訪問(wèn)控制列表、組播管理和高性能IP路由,并保持老式LAN互換的簡(jiǎn)便性。Catalyst356024端口版本可以以支持24個(gè)15.4W的同步全供電PoE端口,從而獲得了最佳上電設(shè)備支持。通過(guò)采用CiscoCatalyst智能電源管理,48端口版本可支持24個(gè)15.4W端口、48個(gè)7.7W端口,或它們的任意組合。當(dāng)Catalyst3560互換機(jī)與思科冗余電源系統(tǒng)675(RPS675)共用時(shí),可提供針對(duì)內(nèi)部電源故障的無(wú)縫保護(hù),而不間斷電源(UPS)系統(tǒng)可防備電源中斷狀況,從而使融合式語(yǔ)音和數(shù)據(jù)網(wǎng)絡(luò)實(shí)現(xiàn)最高電源可用性。3.3服務(wù)器對(duì)于現(xiàn)代小區(qū)來(lái)說(shuō),服務(wù)器也是網(wǎng)絡(luò)的重要部分,本文選用IBMxSeries3650(7979I01)服務(wù)器分別作為文獻(xiàn)服務(wù)器。IBMxSeries3650(7979I01)針對(duì)多達(dá)八核處理器的性能進(jìn)行了優(yōu)化,可以提供密集的機(jī)柜密度、雙核或四核計(jì)算能力,其設(shè)計(jì)具有超前性。IBM在該款產(chǎn)品中采用了高級(jí)的電源管理和矢量校準(zhǔn)冷卻技術(shù),有助于減少數(shù)據(jù)中心的電力和冷卻成本。x36507979I01配置了1.8GHz主頻的WoodCrestXeon5120處理器,處理器外頻為266MHz,標(biāo)配了2條512M內(nèi)存。局限性之處是1GB的標(biāo)配內(nèi)存,會(huì)影響其在浮點(diǎn)應(yīng)用、Web服務(wù)器應(yīng)用方面的體現(xiàn)。對(duì)于住宅小區(qū)來(lái)說(shuō),已經(jīng)可以滿(mǎn)足小區(qū)網(wǎng)絡(luò)的需要。4防火墻和安全措施防火墻選用NetScreen-100。Netscreen-100為網(wǎng)絡(luò)管理員提供了綜合的網(wǎng)絡(luò)流量控制措施,從而實(shí)現(xiàn)了高效的網(wǎng)絡(luò)流量管理。Netscreen-100的先進(jìn)功能之一,優(yōu)先級(jí)管理,就是對(duì)帶寬按級(jí)別來(lái)分派,保證了網(wǎng)絡(luò)數(shù)據(jù)的高效互換要,這就使諸如視屏?xí)h等特定服務(wù)和應(yīng)用,在所有可用帶寬范圍內(nèi),可被保證一定比例的帶寬而順暢進(jìn)行。與此有關(guān)的,Netscreen-100同步具有全面的網(wǎng)絡(luò)分析能力,如實(shí)時(shí)的日志記錄,迅速精確的報(bào)警功能和以便的報(bào)表能力。NetScreen-100防火墻的專(zhuān)用ASIC芯片提供存取方略的功能。該功能以硬件方式實(shí)現(xiàn),它比軟件防火墻有著無(wú)可比擬的速度優(yōu)勢(shì)。CPU可專(zhuān)門(mén)負(fù)責(zé)管理數(shù)據(jù)流。由于做到了系統(tǒng)級(jí)的安全處理功能,NetScreen-100消除了基于PC平臺(tái)的防火墻的需管理多種部件所引起的性能下降的瓶頸。它提供了多功能和高安全性能的無(wú)縫隙連接,可自動(dòng)調(diào)整端口速率,使其自適10M和100M。此外,該產(chǎn)品容許顧客在遠(yuǎn)程實(shí)現(xiàn)加密通信,并且這種VPN功能不影響性能。NetScreen-100防火墻有三個(gè)端口－Trusted、DMZ、Untrusted。分別用于連接Intranet、Internet和DMZ三個(gè)網(wǎng)域。它獨(dú)創(chuàng)的安全包處理器,將所有的流量方略、安全政策、加密和身份驗(yàn)證都交給硬件處理,從而大大提高了防火墻的處理性能;并且將包的生成交給軟件處理;將包的路由交給路由器處理,集中實(shí)現(xiàn)安全方略下的高速吞吐量。目前的諸多內(nèi)部局域網(wǎng)普遍存在著諸多安全漏洞。例如:一般顧客可以進(jìn)入重要的數(shù)據(jù)服務(wù)器系統(tǒng);外來(lái)人員用便攜式電腦連入住宅網(wǎng)絡(luò)對(duì)服務(wù)器進(jìn)性襲擊或?qū)?shù)據(jù)進(jìn)行竊取等。為了彌補(bǔ)這些漏洞,采用下列手段保證網(wǎng)絡(luò)的安全:(1)通過(guò)虛擬局域網(wǎng)的劃分加強(qiáng)網(wǎng)絡(luò)安全,可以根據(jù)地理位置將每一棟樓劃分為一種虛擬局域網(wǎng),將各個(gè)子網(wǎng)進(jìn)行了有效的隔離,各個(gè)子網(wǎng)間的通信受到ACL(訪問(wèn)控制列表)的嚴(yán)格控制,有效地保證了關(guān)鍵業(yè)務(wù)的安全;(2)通過(guò)互換機(jī)設(shè)置限制站點(diǎn)對(duì)網(wǎng)絡(luò)系統(tǒng)的訪問(wèn),Cisco互換機(jī)提供了MAC(傳播媒體訪問(wèn)控制)地址限制功能。在特定的端口進(jìn)行設(shè)置,容許固定MAC地址網(wǎng)卡的包通過(guò)。只要工作站網(wǎng)卡MAC地址未被該端口登記,這臺(tái)工作站就無(wú)法在網(wǎng)絡(luò)上工作。這種通過(guò)對(duì)互換機(jī)設(shè)置來(lái)限制工作站點(diǎn)的措施可以有效組織非我司的電腦的非法使用,保護(hù)了網(wǎng)絡(luò)的安全;(3)通過(guò)網(wǎng)絡(luò)操作系統(tǒng)的安全管理加強(qiáng)網(wǎng)絡(luò)安全,由于各關(guān)鍵業(yè)務(wù)的數(shù)據(jù)大多是以文獻(xiàn)形式存在于網(wǎng)絡(luò)存儲(chǔ)設(shè)備上的,因此,要嚴(yán)格地限制對(duì)寄存這些關(guān)鍵數(shù)據(jù)的權(quán)限。例如:限定特定顧客在專(zhuān)用的時(shí)間段才能登錄、訪問(wèn)關(guān)鍵數(shù)據(jù)(在Windows系統(tǒng)中,可以通過(guò)域顧客管理來(lái)實(shí)現(xiàn))。此外,網(wǎng)絡(luò)操作系統(tǒng)中都提供了審計(jì)功能,可以對(duì)關(guān)鍵顧客,關(guān)鍵數(shù)據(jù)文獻(xiàn)進(jìn)行審計(jì)核查工作;通過(guò)對(duì)每個(gè)內(nèi)部維護(hù)人員分派獨(dú)立的帳戶(hù),可以清晰地記錄每次關(guān)鍵操作,有助于提高網(wǎng)絡(luò)的安全性