基于科研、设计、办公管理的网络设计

向文鹏 谭晓健

【摘要】本文从办公自动化网络设计的一般原则出发，基于科研、设计、办公管理方面网络设计对安全性的特殊要求，并结合用户的需求，提出了具体的设计方案，主张采用COMMSCOPE SYSTIMAX? SCS结构化布线系统。

【关键词】网络；结构化布线；设计

一、引言

办公自动化网络建设，旨在把办公大楼的计算机等信息设备用通信电缆和网络设备连接起来从而实现社会各单位、部门之间以及各单位、部门内部之间的资源共享和信息的快速交换。

办公网络的建成能充分发挥各种信息设备的综合效益，并能形成包括多媒体信息在内的各种信息共享，为各单位、部门单位提供网络自动化的办公环境。办公自动化网络改变了传统的办公方式，使办公效率产生质的提升，是办公方式的巨大变革。

二、设计原则

办公自动化网络建设中，总的原则要从办公需求出发，力求提供一个安全、可靠、易管理的多业务网络平台。而基于科研、设计、办公管理的网络设计，除遵循一般原则外，确保网络的信息安全，是一个重要目标。

基于科研、设计、办公、管理方面的网络设计构建中，应按照国家标准，即《大楼通信综合布线系统.》（YD/T 926.3-2009）的相关要求，[1]同时应根据用户需求考虑设计原则。具体应该包括：

1.标准化及规范化。

选择符合工业标准或事实工业标准的网络通信协议、操作系统、网管平台和系统软件。采用标准化、规范化设计，使得系统具有开放性，保证用户在系统进行有效的开发和使用，并为以后的发展提供一个良好的环境。

2.先进性及成熟性。

为了保证整个系统结构、网络技术的先进性以及网络运行的可靠性，选择合理的、实用的、便于扩展与升级的网络拓朴结构。网络系统所用的设备、器材以及软件产品，应选择技术先进的、有技术保证的、得到广大用户认可的可靠厂家产品。使用主流的网络技术和网络设备，以保证符合网络技术的发展趋势。保证网络系统能够在很长的时间内满足应用的需要。

3.高可靠性。

应合理设计网络架构，制订可靠的网络备份策略，设备有充分的冗余设计；采取多层次的冗余备份手段和技术，保证设备发生故障时能在最短的时间内恢复，以最大程度的保证网络的正常运转。

4.高性能。

网络链路和设备具备足够高的数据转发能力，大幅提高网络带宽，保证各种信息（数据、图象）的高质量传输，从桌面至主干交换机各级网络设备全方位的采用智能化网管设备，尽量避免拥塞，在改善相应时间的同时还应提供对服务质量的保证机制。

5.灵活性及可扩展性。

根据未来业务的增长和变化，网络可以平滑地扩充和升级，尽可能的选取集成度高、模块化、各通用的产品，最大程度的减少对网络架构和现有设备的调整。

6.高可管理性及可维护性。

因系统节点众多，网络规模大，所以要求能对网络实行集中监测、分权管理，并统一分配带宽资源。计算机网络是一个比较复杂的系统，在设计、组建一个网络时，必须在通信网络、资源配置、系统服务和网络管理上有良好的分层设计，使网络结构清晰，合理的设备布局，便于使用、管理和维护。此外，整个网络系统建成后应整理一套完整的文档资料，以便提高整个系统的可管理性与可维护性。

7.兼容性。

支持国际上通用的网络协议、路由协议等开放的协议标准，形成一个开放型的网络，有利于保证不同品牌网络设备之间以及与其它网络（如中国教育网、公共数据网、学校之间等其它网络）之间的平滑连接互通，以及将来网络的扩展。

8.整体规划安排。

从网络建设全局和全面工作需要出发，考虑部门的地理分布和通信条件，整体规划网络建设方案，对网络系统的目标、总体结构、服务功能、经费预算、建设步骤等重大问题作出规划。

9.优化性能價格比。

在满足系统性能、功能以及考虑到在可预见期仍不失其先进性的条件下，尽量使得整个网络系统所需投资合理，以便构成一个性价比优化的网络系统。

10.安全性。

对于科研、设计、办公、管理方面的网络设计，是十分重要的一个方面。要根据网络管理制度和网络策略制定一套完善统一的安全策略，采用合适的技术手段，将科研、设计和办公管理采用接入交换机的方式利用隔离防火墙将其分割开来，以充分保证网络的安全，有效防止外部攻击，并保证关键数据不被非法窃取、篡改或泄漏。规范用户合理使用网络资源。要根据不同部门划分出不同的VLAN，对不同的部门进行隔离。对于有的VLAN之间的交互，则通过在核心交换机做路由来保证VLAN之间的互通。由此而形成一个良好的安全的高性能的网络体系结构。

三、设计方案

1.COMMSCOPE SYSTIMAX? SCS结构化布线系统的采用

目前，科研、设计、办公、学校、酒店、商场、娱乐中心等各行各业对办公网络自动化系统的需求都有所不同。

针对不同的用户，应采用不同的网络布线方案来保证其网络的传输速度及网络的安全性。结构化布线系统作为将来所有信息传输的主要通道，必须支持现在以及未来语音、数据、图像等信息高速传输的要求。而网络布线系统作为数据网络、通讯系统的基础平台，是建筑物内或建筑群之间的一个模块化、灵活性极高的信息传输通道，是智能建筑的“信息高速公路”。

结合当今国际国内先进的技术，并充分考虑科研、设计、办公管理及未来多媒体信息高速传输的要求，我们主张采用COMMSCOPE SYSTIMAX? SCS结构化布线系统。

要想建立一个高效的信息网络，必须有一套完整的高品质网络布线系统，采用传统的布线方式将难以满足以上要求。针对用户需求和本布线工程性质，采用贝尔实验室（Bell Labs）开发和研制的建筑物与建筑群结构化布线系统SYSTIMAXSCS。这是一套针对宽带综合数字业务网（B-ISDN）需求而特别设计的配线系统，符合中华人民共和国邮电部颁布线标准“大楼通信结构化布线系统规范” （YD/T 926.2-2001），它早在1986年就通过了北美电子通讯标准协会（TIA/EIA 568-A）的认证，一经推入市场便立即获得了全球广泛的响应。

COMMSCOPE公司SYSTIMAX SCS是一个端对端的全套布线解决方案，所有产品都是由COMMSCOPE科技公司独家研发、生产，而没有任何一种产品是与其他厂家OEM生产的，这样就能充分保证的产品性能的完整性和优良的匹配性，这一点在COMMSCOPE SYSTIMAX? SCS结构化布线系统中尤其重要。

基于科研、设计、办公管理的网络设计，我们应综合考虑其企业共有部门，所有数据点汇聚到中心机房，在机房内采用核心交换机和接入交换机的方法，将科研、设计及办公管理分隔开来，以确保科研部门数据安全。数据采用安普超五类布线系统。

2.具体方案

（1）综合布线将覆盖到整个办公楼，需要布点的房间均设置数据信息点。

（2）网络中的数据将以高速传速，到达桌面均为100M网络，由于水平布线采用安普超五类布线系统，完全可以满足现100M网络的需要。

（3）办公中心机房设在顶楼。通过结构化的布线达到便于统一管理和维护，并在机房里设立专用机柜，机柜中有便于集中管理双绞线的配线架。

（4）中心机房使用1个2米专用机柜用于安装网络交换机及路由器。

本方案的特点：

（1）极强的模块扩展能力。

有足够的端口冗余，可通过增加交换机的模块的数量实现网络扩展。

（2）提供TRUNK和冗余功能。

本方案中交换机支持Port Trunk和L2 Trunk技术，可以选择通过绑定多个端口达到更高的网络带宽，同时提供良好的线路冗余

（3）强大的三层交换功能。

核心交换机实现基于IP的三层交换能力，通过划分子网VLAN和设置访问规则，可极大程度上提高网络传输性能和安全特性，极大方便用户对网络进行管理。

（4）ACL的应用。

对于那些确实具有网络接入许可，担试图访问未得到授权的网络资源的用户站点，锐捷系列产品的多层交换引擎能在进行高效的第三层交换的同时，根据用户的IP地址限制其访问不被授权访问的服务器。

3.网络拓扑图及设计说明

关于图1，以一实例来说明：

有一幢7层的办公楼，每层楼高3.5米、面积为15x25=375平方米，其总高度为3.5x7=24.5米.按每10平方米一对数据和话音信息点算，每层楼共有数据和话音信息点各38个，7层楼共有数据和话音信息点28×7=196个。其部门有：重点实验室；CAD设计室；科技情报所；信息中心；检测中心；办公自动化管理。其中心机房考虑设在顶楼。设数据点为196个。计算机网络中心设在7楼。

图1 网络拓普通

图2 办公大楼SCS结构化布线图

设计考虑：

（1）用于传输数据的垂直主干线可采用6芯多模光纤（MMF），一对（两芯）光纤可传输一种数据，另外二对光纤作为备份。

（2）用于传输数据的水平线可采用四对五类UTP（4 pairs cat.5 UTP）。

（3）光纤配线架的设置。光纤通过光纤连接头（也称光纤模块）安装在光纤配线架上，光纤配线架有8口、16口、32口、48口等八种型号可供选择，每种光纤配线架上分别可安装4个、8个、16个、24个光纤连接头；光纤连接头有2芯和4芯两种型号可供选择.考虑到每层楼有6芯光纤，7层楼共42芯光纤，故MC选用2芯光纤连接头21个、24口光纤配线架2个；每层楼HC选用2芯光纤连接头3个、8口光纤配线架1个。[2]

对图2说明如下：

（1）数据信息点采用一台锐捷RG-S3750做为中心交换机。

（2）由于科技情報、信息中心、检测站对外数据交换比较多。所以核心交换机为千兆线速交换，各核心节点之间数据可高速稳定传输，保证了整个网络具有极高的吞吐量。服务器通过千兆网卡与中心交换机千兆电口、光口相连，使服务器可以得到更大的带宽和性能的提升。

（3）该办公楼部门比较多，其中一些部门保密性比较重要。因此要求在网络发生被攻击、破坏事件的情况下，必须尽可能地快速恢复网络信息中心的服务，减少损失。因此，信息安全系统应该包括安全防护机制、安全检测机制和安全恢复机制。

（4）安全防护机制是根据具体系统存在的各种安全威胁采取的相应的防护措施，为了实现网络的高可靠性，应考虑关键网络设备冗余。当其中一个设备因故障停止工作时，另一台设备自动接替其工作，提高网络的可靠度。

（5）安全检测机制是检测系统的运行情况，及时发现和制止对系统进行的各种攻击。安全恢复机制是在安全防护机制失效的情况下，进行应急处理和尽量、及时地恢复信息，减少供给的破坏程度。锐捷系列产品的多层交换引擎能在进行高效的第三层交换的同时，根据用户的IP地址限制其访问不被授权访问的服务器。

4.服务质量（QoS）机制

本网络设计方案采用的交换机支持802.1P、端口优先级、IP TOS、多层过滤等QoS策略，具备MAC流、IP流、应用流、时间流等多层流分类和流控制能力，实现带宽控制、转发优先级等多种流策略；支持网络根据不同的应用以及不同应用所需要的服务质量特性提供服务；实现网络的高效、可靠运行，支持数据、话音和视频之间的无缝集成。从而为用户提供良好的QoS保证，具有下列一些特点：

（1）整个网络在技术上定位为以光纤为主要传输介质，网络体系结构采用TCP/IP为主要网络协议。

（2）骨干网交换设备采用具有第三层交换功能的千兆设备，网络支持IP组播、服务质量（Qos）、服务类型（Cos）；具备足够的背板带宽和第三层转发速率，满足高速端口之间的线速交换，支持链路聚合。

（3）路由协议和IP包转发要能提供高速路由查找和包转发机制，体现高速宽带网络和新一代因特网的特征。支持RIP、OSPF、IGRP、EIGRP、BGP等路由协议。

（4）汇接层交换设备应具有千兆上联端口，支持VLAN、支持多链路聚合，有足够的端口密度，支持策略路由和安全控制的二层、三层交换机。

（5）网络的扩展能力。包括设备交换容量的扩展能力、端口密度的扩展能力、骨干带宽的扩展，以及和外网联接带宽的扩展能力。

（6）网络建设中考虑到了网络安全设备，满足了以下要求：支持SNMP、浏览器和命令行配置，支持数据包过滤、支持NAT和VPN，具有协议状态检测和完善的用户认证体系（支持LDAP）和DMZ非交战区，支持流量统计和计费，支持实时报警和实时入侵监测，能防止Dos攻击并具有日志管理功能，并采用隔离防火墙将重要部门与普通部门分隔开来。网络服务器根据需要应具有足够的I＼O吞吐能力、CPU处理能力，内存、外存容量及总线性能。

四、结语

总之，在网络设计中，我们必须根据现行的国家标准，并结合用户的需求来考虑整个网络的设计方案。对科研单位等重要涉密部门，必须考虑其保密及安全性，应尽量考虑采用隔离防火墙来保证其部门的安全性。

随着计算机及互联网技术的发展，移动设备增多，笔记本电脑、移动电话等移动设备对Internet网接入的需要，必須考虑无线连接的方法。如无线路由器（Wireless Router）好比将单纯性无线AP和宽带路由器合二为一的扩展型产品，它不仅具备单纯性无线AP所有功能如支持DHCP客户端、支持VPN、防火墙、支持WEP加密等等，而且还包括了网络地址转换（NAT）功能，可支持局域网用户的网络连接共享。在室外会议、展会、会场、工厂、家里、车站、码头、民航机场、饭店等场所，移动设备在WIFI安全保证下，都能够轻松地与Internet连接。随着无线网络技术的发展与成熟，我们还可以利用无线网络，对办公室，家庭进行远程监控，对工厂及一些操作人员不容易到达的危险地方进行远程控制。

参考文献

[1]中华人民共和国邮电部.大楼通信综合布线系统（YD/T 926.3-2009）[S/OL].http：//dbpub.cnki.net/grid2008/dbpub/detail.aspx？dbname=SCSD&filename=SCSD000005877565， 2043-05-08.

[2]戴祝英，王刚.如何设计结构化布线系统[J].小型微型计算机系统，1999（5）.

作者简介：

向文鹏（1954—），男，云南昆明人，昆明协和盛昌通讯有限责任公司工程师，主要从事电子技术工程工作。

谭晓健（1964—），男，云南昆明人，云南大学副教授。