网络系统集成项目方案(编辑修改稿)

网络系统集成项目方案(编辑修改稿)内容摘要：

护体系，全方位、多层次地实现信息系统的安全保障，具体建设内容包括多级的安全访问控制、主机系统冗余备份、安全管理机制和组织体系等。 建立 统一的安全体系是建设信息化办公的一个重要方面，要实现全系统的应用安全、系统安全、网络安全和物理安全统一管理的应用安全平台，制定相应的安全管理制度，提供有效的安全保障。 按照高可靠性和高标准的故障恢复能力，建立完善的备份与恢复系统。 做好现场备份、同城备份，建立一个高度可靠和高度可用的系统。 智 能门禁系统是指基于现代电子与信息技术，在建筑物内外的出入口安装自动识别系统和图像监控系统，通过对人（或物）的进出实施放行、拒绝、记录等操作的智能化管理系统。 门禁管理系统其目的是为了有效的控制人员的出入，并且记录所有出入 的详细情况，来实现出入口的方便、安全管理，包含发卡、出入授权、实时监控、出入查询及打印报表等；控制机可以联网和脱机工作；单门控制机、 TCP/IP 门禁机、万能超强门禁机、网络多门机可以选择使用；根据使用场合标准型、增强型、国际型可选择使用；门禁的出入记录可以做为考勤依据；门禁机同时也可兼做巡更，巡更人员刷卡时会记录刷卡信息但不会开门。 1. 系统功能及特点 1) 基本功能 可控制各种不同的电控锁。 对不同的人可以设置不同的通行权限。 一天可设置六个时间段，可严格控制人员在每个时段的进出与否。 可以设定允许 通行的时段在节假日及周末是否有效。 强行开门，超时未关门等自动报警。 11 多种信息记录：每次开门时间，开门卡、编号，报警原因、位置。 开门延时可调。 可脱机或联网使用。 多级看门狗电路设计杜绝死机。 采用美国原装内置电池芯片，数据、时钟永不丢失。 2) 联动功能 安防联动：开门动作（包括非法闯入，门锁被破坏）时，启动联动监视系统，发出实时报警信息。 灯光等联动：当刷卡有效时，自动打开相应区域灯光等 消防联动：当出现火警时，自动打开相应区域通道 此功能实现有两种方式： 消防联动的信号可以按区域分别直接接入该区的门禁控制主机，出现火警，相关门全部自动打开。 消防联动信号输入门禁电脑软件，软件控制所有的门全部打开，此种方式要求软件一直运行。 3) 集中管理 管理中心统一对人员出入权限设置、更改、取消、恢复。 管理中心可远程控制开门。 管理中心可以实时监控每个门的状况及人员出入情况。 可以集中查询、打印等。 4) 脱机运行 门禁主机本身已具备存储、计算的功能，相当于一台小型电脑，管理中心通过软件把此门的权限信息下载到门禁主机，门禁主机能保存这些信息，即可不依赖于管 理中心的 PC 能自动识别、判 断、读写、记录进出人员的资料， PC 机可随时发送指令给门禁机，更改人员权限或读取出入记录等。 12 门禁管理系统其特点如下： 防雷击设计（ 10KV500A 反应速度 110 纳秒） 适应市电电压波动 (开关电源设计，输入范围 AC180V—250V) 附加功能强大（报警、巡更等） 软件设计完善，千锤百炼，满足各种需求 支持 TCP/IP 协议、 Inter 管理 单日 6 时段、周日、周六、周六下午、 30 个自定义节假日、通道自由组合进出管制；万能超强门禁机则门禁时段、管制 人数均为无限。 具有关门到位检测，开锁后自动检查关门状况，超过开门延时发出警告信号 具备遭遇如火灾、盗窃等非常事件应对处理功能 特殊情况紧急按钮开门、电脑远程开门功能 定时开门（每天可设置两个时段将门 /锁打开，在此其间无需刷卡进出） 联网在线兼备巡更功能，巡更卡刷卡后只留记录但不开门 /锁 人员进出记录可作考勤使用 具备人员刷卡出入记录、报警事件、系统管理人员登录等情况的查询、报表统计、输出等 ID（ EM） /IC（ Mifare HID Motorola TI） /指纹识别模 式可选 中心软件布防、撤防；现场刷卡、密码或指纹布防、撤防 刷卡开门、密码开门、指纹开门、卡加密码、卡加指纹开门等多种开门方式可通过软件随时设置和更改 5) 门禁管理系统独特之处： 智能卡识别和指纹识别能在一个系统中混合使用，同一套软件统一管理，用户可根据不同出入口的安全级别选用不同的识别方式。 杜绝死机 (多级看门狗电路设计 ) 数据、时钟永不丢失（采用美国原装内置电池芯片） 分体机硬件设计高度集成，结构更简单，故障更少（后备电源主机一体设计等） 13 分体机铁箱外壳，坚固耐用，抗破坏性强 定时设置开关门（每天可设置两个时段将门 /锁打开，在此其间无需刷卡进出） 实用型、标准型、增强型、国际型、万能超强型可在一个系统中综合使用发挥最高的性价比。 六、 统实施规划及设备功能简介 局域网系统部署 中电投吐鲁番项目部中心机房位于办公楼五层。 综合布线包括办公楼二、三两层，包括信息及语音。 信息模块布设所有办公室，实现每个办公点位的网络信息及语音。 线路由五楼总机房通过金属桥架到每个楼层，进入办公室以后，为了保持办公环境的整洁，所有办公室内部线路都必须走暗线。 每个办公点一个信息和语音点，单间办公 室、会议室采用不少于四个信息和语音点。 局域网建设拓扑图如下： 14 1. 高 性能 可靠的服务器 服务器是一种高性能的计算机，它是能够提供各种共享服务（网络、 Web 应用、数据库、文件、打印等）以及其他方面的高性能应用 ,它的高性能主要体现在高速度的运算能力、长时间的可靠运行、强大的外部数据吞吐能力等方面 , 是网络的中枢和信息化的核心。 由于服务器是针对具体的网络应用特别制定的，在处理能力、稳定性、可靠性、安全性、可扩展性、可管理性等方面存在很大的区别。 而最大的差异 就是在多用户多任务环境下的可靠性上。 一台服务器所面对的是 整个网络的用户，需要 7X24 小时不间断工作，所以它必须具有极高的稳定性。 按服务器按用途划分为通用型服务器和专用型服务器两类。 通用 型服务器是没有为某种特殊服务专门设计的 ，也就是我们所谓的应用服务器。 应用 服务器 一般用来运行应用软件系统，如目前“金财工程”所需要用到的“用友财务软件系统”，以及中间件软件系统。 通用性服务器 可以提供各种服务功能的服务器，当前大多数服务器是通用型服务器。 这类服务器因为不是专为某一功能而 15 设计，所以在设计时就要兼顾多方面的应用需要，服务器的结构就相对较为复杂，对应用软件的兼容性也就扩展的 比较好， 而且要求性能 也 较高。 专用型 （或称 “ 功能型 ” ）服务器是专门为某一种或某几种功能专门设计的服务器。 在某些方面与通用型服务器不同。 如光盘镜像服务器主要是用来存放光盘镜像文件的，在服务器性能上也就需要具有相应的功能与之相适应。 光盘镜像服务器需要配备大容量、高速的硬盘以及光盘镜像软件 ， 这就要求服务器在硬盘稳定性、存取速度、 I/O（输入 /输出）带宽方面具有明显优势 ，在兵团农二师服务器建设中，数据库服务器我们建议采用专用型的服务器。 数据库系统本身运行环境比较复杂，并且它是应用软件的运行平台和重要数据的集中站，采 用专用型服务器能够更好的达到数据采集、传输安全的目的。 2. 高性能的网间加速 VPN 我们建议中电投项目部企业的互连，采用 VPN 建立政务专网，各单位、用户通过互联网出口，连接到中电投项目部总部的 VPN，利用 VPN 建立的加密隧道，访问总部信息 中心的业务数据系统，考虑到办公系统业务数据的敏感性，对数据安全性要求较高，为了满足这个要求，所以在建设虚拟专用网络的时候采用 IPSec 协议作为 VPN连接的标准协议。 1) VPN 的优越性 VPN 的出现，解决了用户所面临的一大难题，即如何在有限的网络投入和管理工具条件下，提供 较高的网络性能。 借助于公共网络服务平台， VPN 可以为用户提供廉价而广泛的通信；同时，通过各种安全技术的引入，可以保证通信的安全性。 正如设计的初衷， VPN 兼备了公众网和专用网的许多优点，将公众网低廉的价格、丰富的功能与专用网的高性能、高安全性结合在一起，成为构建用户专用网络的一种行之有效的解决方案。 安全性 VPN 非常高，保护数据传输的完整性、保密性、不可抵赖性；安全控制在用户手里投资成本及后续的运营维护成本。 极为显著的成本效益也正是 VPN 引起广泛关注的关键所在。 16 2) 良好的扩展性 VPN 使用户摆脱了固定的专用物 理线路，可以通过公用网络方便地重构广域专用网络，加强与各地区、单位之间的联系。 与专线式架构相比， VPN 具有更大的弹性，可以很容易地实现网络的扩充和网络架构的变更。 2) VPN 的工作模式 如图所示： 网关 —— 网关模式 两个 VPN 网关之间通过密钥进行连接，从而在公共网络上开辟了一条虚拟的专线。 两个网关之间采用一样的加密算法进行确认，达到互相信任，互相传递的数据通过了加密措施来保证安全性。 因此，即使网络上的不法分子通过非法手段截取了信息，也将无法看到信息的详细内容。 客户端 —— 网关模式 在外地的移动用户可以 通过拨号访问单位的内部网络，在客户端上必须安装由单位网络管理员签发用户名与密码，这样，客户端与内部网之间的通信将用密钥算法加密。 3) VPN 的特点 虚拟性。 与传统的专用网不同， VPN 并不是物理上专用的通信网络，它通过共享的而非独占的网络结构来传输数据。 VPN 的通信端点之间的连接并没有传统专用网所需的点到点的物理链路，而是架构在公用网络服务商所提供的网络平台之上的逻辑网络，用户数据在逻辑链路中传输。 通过在共享的基础通信设施上采用隧道技术和特殊的配置技术措施， VPN 为用户提供仿真的点到点的连接。 17 专用性。 VPN 作 为一种“化公为私”的组网技术，其核心思想是将用户网络从公共网络中隔离出来，正是这种隔离特性提供了通信的保密性和私有性。 因此，虽然从物理上来说 VPN 完全独占的网络，但是通过对公共通信网络的逻辑分割，用户可以认为是在自己所并不是专有的排他性通信环境中进行通信。 很明显， VPN 的“专用”是一个逻辑上的概念，它为用户虚拟出了一个独占的通信环境来保证其专用性。 正是由于以上特点，使得 VPN 可以将用户网安全地延伸到 Inter 等公共网络上，将远程移动用户、用户总部与分支机构、用户的业务合作伙安全地连接起来，从而构成一个 扩展的用户广域网络。 3. 数据转发 功能 强大的路由器 采用了业界高性能网络处理器技术实现高速接口报文的集中转发，有机地结合了软件的灵活性和硬件的高性能，提供线速转发性能，转发性能 ；采用高速接口转发与控制平面分离的技术，高速接口的转发引擎使用了高性能网络处理器，提高了设备的转发性能、控制能力、可靠性和安全性。 1) 高品质 QOS 能力 完善的 QoS 机制、出色的 QOS 性能，确保重载下不同业务的服务质量，可以提供基于 DiffServ 的完善 QoS 机制。 支持复杂流分类，支持精确的流量监管和流量整形；提供队列调度和拥塞 避免功能，支持 CBWFQ、 LLS/NLS、 PBS 等先进调度技术，采用 WRED 和先进的 SARED 算法， RED 支持 8 个等级的丢弃优先级。 精确保证不同业务的带宽、时延和抖动指标，满足用户多种业务等级的“区分服务”要求。 2) 高可靠性 采用高可靠的模块化设计方式，所有板卡、风扇、电源模块支持热插拔；提供互为冗余备份的双电源（ 1＋ 1 备份）模块，无源背板的设计方式；提供软件热补丁技术，实现设备完全平滑升级；支持动态路由协议、 MPLS 流量工程，提供 IP/MPLS快速重路由、虚拟路由冗余协议（ VRRP）等保护机制，有效保证了全网运行的高 18 速可靠。 整机实现 7x24 小时的不间断运行。 3) 业务能力 软件系统基于华为公司拥有自主知识产权的 VRP 软件平台，支持多种方式 VPN（ L2TP、 GRE、 MPLS VPN 等），具备丰富的 NAT 功能，提供以太网 /VLAN、 PPP/MP、PPPoE、 Frame Relay、 HDLC、 ATM、 和 LAPB 等丰富的互联功能。 4) 路由处理能力 支持 RIP、 OSPF、 BGP、 ISIS 等单播路由协议和 IGMP、 PIM、 MBGP、 MSDP等多播路由协议，支持路由策略以及策略路由。 4. 核心交换机 企业级交换机属于一类高端交换机，一般采用模块化的结构，可作为企业网络骨干构建高速局域网，所以它通常用于企业网络的最顶层。 企业级交换机可以提供用户化定制、优先级队列服务和网络安全控制，并能很快适应数据增长和改变的需要，从而满足用户的需求。 对于有更多需求的网络，企业级交换机不仅能传送海量数据和控制信息，更具有硬件冗余和软件可伸缩性特点，保证网络的可靠运行。 这种交换机从它所处的位置可以清楚地看出它自身的要求非同一般，起码在带宽、传输速率以背板容量上要比一般交换机要高出许多，所以企业级交换机一般都是千兆以上以太网交换机。 企业级交换机所采用的端口一般都为光纤接口，这主要是为了保证交换机高的传输速率。 那么什么样的交换机可以称之为企业级交换机呢。 其实。