【文章內容簡介】 的連通性、可監(jiān)測性、集成能力和可控性有著很高的要求。 系統設計系統需要從空間、時間、功能三維的角度整體規(guī)劃建設，它是博覽中心數字化、信息化建設的基礎應用部分，是通信與信息交互平臺的核心。216。 提供博覽中心各展館、辦公、互聯網接入等服務，還要為其他系統搭建網絡平臺，如：安全防范、信息發(fā)布等。216。 考慮未來發(fā)展，與會議中心連接主干網采用萬兆網，網絡結構采用星型結構，網絡核心交換備份。216。 針對博覽中心，特別考慮網絡安全、網絡系統冗余、負載均衡、IPv6與IPv4互通等技術。216。 休閑、大公共工作區(qū)域無線網絡的接入。216。 適應展會后展館商業(yè)模式網絡的應用需要。216。 利用集中或分布式網絡管理平臺實現全網設備統一管理，通過流量分析系統實現全網業(yè)務流的高可見性管理，實現網絡平臺的高可管理性。 系統架構本項目計算機網絡系統包含四個相對獨立的網絡：公眾網絡、智能網絡、票證網絡、辦公網絡。216。 公眾網絡公眾網絡負責為參展商和參展人員提供有線及無線的互聯網接入、網上業(yè)務辦理服務；同時為商業(yè)區(qū)提供電話及互聯網的接入。216。 智能網絡智能網絡主要為智能化各子系統的聯網需要提供一套專用網絡。216。 票證網絡為辦展方人員提供票證網絡，涉及到售票及檢票系統。216。 辦公網絡為博覽中心管理方提供辦公網絡的平臺。1）網絡架構公眾網絡采用核心—匯聚—接入三層結構，整個網絡在傳輸層/網絡層采用TCP/IP協議，使用國際標準的路由協議為核心層/匯聚層以及各區(qū)核心之間提供動態(tài)路由和負載均衡，各主干網絡采用高速網絡。公眾網絡拓撲圖如圖所示：219公眾網主要供展會期間各個參展商的外網訪問需求，因為參展商類型多樣性、對于各自展會網絡應用的復雜性、內網各自數據安全的保密性、甚至網速的要求都不盡相同，另外，展商的上網權限采用付費方式，因此公眾網絡的有償式internet接入服務的穩(wěn)定性也是非常重要的因素。因此公眾網對網絡應用的特殊要求都要體現在整個網絡架構中，我們要充分考慮到展商網絡應用的特殊性、數據安全性、網絡的高穩(wěn)定性、高可靠性基于以上幾點要求，我們做出如下設計：考慮到展商的intenret接入的安全性和重要性，因此在出口安置一臺防火墻設備，內網口接出口流量管理系統、外網口接internet，防火墻對公眾內網做NAT地址轉換，開啟內置的安全功能，例如防DDOS攻擊、防TCP端口掃描、Syn flood攻擊、ICMP flood攻擊等安全防護功能；另，可建議布置兩臺防火墻，做出口安全設置的冗余和負載均衡；防火墻下聯至出口流量管理系統，主要對公眾網的展商上網流量進行有效的控制和管理，保證展商和其他展商用戶正常的應用，如HTTP、EMAIL、FTP、Telnet、SQL Server等，對于帶寬占用非常大的網絡應用做嚴格的控制和管理，例如live、PPSTREAM、PPLIVE、Bittorrent、電驢、迅雷等P2P類、游戲類、視頻點播類應用，限制其帶寬在規(guī)定的最小范圍值內，如：1100Kbit/s；對于公眾網的關鍵應用和關鍵用戶的做帶寬保證，如：1015Mbit/s。另外網絡管理員可以定期或不定期的采集流量管理系統的日志、報表,檢查每天、周、月的帶寬出口占用情況，及最占帶寬的前10個用戶、前10個應用，某個時間段的在線IP數、在線會話數，還可以通過日志來詳細查詢每個IP訪問的網址記錄，真正做到公眾網出口流量的安全、合理管理；出口流量管理系統對下聯至公眾網的兩臺核心交換機，因為公眾網的用戶數量最多，對網絡性能的要求、網絡的穩(wěn)定、可靠性要求都非常高，核心交換機建議模塊化的高性能的三層設備，配置兩臺。兩臺核心交換機通過千兆或萬兆端口捆綁做端口鏈路聚合，一方面可以通過VRRP熱備份路由協議來實現公眾網核心的全冗余性和負載均衡，另一方面端口的萬兆和千兆鏈路聚合增加了兩臺核心交換機之間的數據吞吐量，從而整體提高公眾網核心的健狀性；核心交換機旁路方式連接IDS入侵檢測系統，防火墻對于某些攻擊入侵行為不能做到100%的檢測，因此在公眾網絡中旁路放置一臺IDS，通過IDS內置更為豐富的預攻擊探測，拒絕服務攻擊，針對各種服務漏洞的攻擊，針對Windows和Unix網絡的攻擊檢測與與防火墻一起進行聯動的方式，由防火墻來完成阻斷操作。通過IDS和防火墻的聯動，可以最大限度的保證公眾網的安全；服務器區(qū)的設計：公眾全網管理的網管服務器，該網管服務器將對有線網絡和無線網絡分別做網絡管理，在所有的有線網絡設備在開啟SNMP V3協議，讓網管軟件可以監(jiān)控到核心交換機、接入交換機、防火墻等網絡設備，查看其工作狀態(tài)，端口負荷、CPU利用率、接口流量，可以讓網絡管理員清楚的了解目前網絡運行的健康程度，另外，無線網管軟件將可以對整網的無線AP射頻環(huán)境的全面控制，監(jiān)視并記錄無線網絡實時運行情況，可精確地對無線局域網進行動態(tài)調整和平衡，并可輸出長達30天的設備運行情況及用戶記錄，在無線的安全性上，無線管理系統必須對每用戶或每用戶組進行全面的管理和保護，跟蹤無線網絡上的所有業(yè)務，要實現針對用戶組的認證接入控制、靈活可控的漫游策略、對帶寬使用的監(jiān)視，來增強無線局域網的安全性，并實現安全連接和漫游；認證計費服務器，該服務器要求對公眾網的所有有線用戶、無線用戶做統一的認證計費管理，即只采用一套認證計費管理系統。（認證計費的實現方式在后面闡述）；配置無線控制器，連接至核心交換機上，主要用來管理整個公眾網的280多個無線AP，無線控制器用來提供眾多數量無線AP的集中式、可視化的管理和控制，在公眾網無線用戶安全性問題上，通過無線控制器來提供保障基于用戶身份的控制功能，使用戶在漫游時具有諸如虛擬專用組成員資格、訪問控制列表 (ACL)、認證、漫游策略和歷史、位置跟蹤、帶寬使用以及其他授權等內容。還可通知公眾網管理人員哪些展商用戶已連接、位于何處、曾經位于何處及正在使用哪些服務或他們曾經使用過哪些服務等；公眾網建議全部采用固定IP的方式，因為公眾網用戶數量非常大，采用DHCP自動分配地址的方式將不利于公眾網的統一規(guī)劃和管理，當某臺PC機發(fā)生病毒攻擊后很難快速定位，如果用戶系統發(fā)生其它的DHCP服務則很容易造成內網的不安全，無法正常上網。整個公眾網設計在邏輯上將分為4個子區(qū)間，即：1）3號展廳；2）6號展廳；3）9號展廳；4）112號展廳針對每個子區(qū)間來進行詳細分析、設計：3號展廳（余同）：3號展廳采用24口全千兆三層匯聚交換機（帶萬兆擴展），通過千兆接口上聯至公眾網核心交換機；全千兆三層匯聚交換機千兆接口下聯至3號展廳的接入層交換機；其中1號展廳配置4臺24口百兆接入層交換機，2臺24口POE接入層交換機和24臺無線瘦AP，2臺POE交換機主要用于24臺無線AP的連接；2號展廳配置4臺24口百兆接入層交換機，2臺24口POE接入層交換機和24臺無線瘦AP，2臺POE交換機主要用于24臺無線AP的連接；3號展廳配置4臺24口百兆接入層交換機，2臺24口POE接入層交換機和24臺無線瘦AP，2臺POE交換機主要用于24臺無線AP的連接；，交換機的基于硬件的IP+MAC地址綁定將提高參展的接入用戶的安全性，防ARP欺騙和DOS攻擊；2）網絡安全公眾網的有線安全設計：由于公眾網有12個展廳，每個展廳都將有非常多的信息點接入，考慮到這么大的接入網如果全部在一個網絡域內將會造成很多的問題，例如：多播域增大、攻擊病毒的泛洪、MAC地址表的不穩(wěn)定等，因此除了在接入層交換機和匯聚層交換機要求具備可靠的CPU安全保護機制外還要做到IP+MAC+端口的ARP欺騙保護、防DOS攻擊保護、防IP掃描。在網絡邏輯的規(guī)劃上可以考慮將每個展廳劃分為一個VLAN，這樣可以有效的將數量龐大的用戶細分劃到相對較小的安全區(qū)域，減少廣播沖突、無效數據包的泛洪等，VLAN區(qū)域的建立將保障不同展廳展商的安全性，因為不同的VLAN用戶之間是無法訪問的。如果同一個展商在展會上同時占用2個或3個不同的展廳，則可以把這2個或3個展廳在匯聚交換機上設置相應的路由和訪問控制，即可實現同一展商的用戶在不同的展廳VLAN間還是正?；ピL的，而不同展商之間還是不同訪問的安全模式。公眾網的無線AP安全設計：公眾網展廳的無線AP非獨立的網絡，無線結合公眾網的有線網絡融合在一起工作，因此，為了避免在規(guī)劃中的無線網絡部署影響到有線網絡的路由和VLAN等部署，本次設計采用智能無線交換網絡架構就可以做到無需更改有線網絡結構的目的。另外，公眾網由于展商的數量和無線用戶的不確定性，可能會發(fā)生無線筆記本用戶在不同的展廳區(qū)域間來回移動，因此保證無線用戶在不同無線覆蓋區(qū)域的正常上網，而不掉線就要充分考慮到無線的AP的無縫漫游，因此本項目中通過公眾網的無線控制器，來對所有無線用戶信息進行保存，并不保存在本地的無線接入點中，即全部集中在無線交換機上，因此無論是單臺無線交換機還是多臺無線交換機的集群體，包括連接狀態(tài)、認證狀態(tài)、IP地址分配信息、加密驗證狀態(tài)等用戶信息總是實時存在的，即便是無線用戶跨網段移動，還是會延續(xù)原有的IP地址、認證與加密方式，不存在重新獲取的必要，因此也不會中斷連接，從而對展商的網絡服務將提供可靠有力的保障。公眾網的有線和無線統一認證計費設計：公眾網12個展廳的所有接入層交換機、，當展廳展商有上網需求時，將提前通知公眾網的網絡管理員，網絡管理員分配相對應的用戶名和密碼。，但無線AP無需為每一個用戶終端安裝無線接入軟件，認證可以基于WEB頁面認證，認證只需用戶打開瀏覽器就可以登陸。而且可以根據不同的類型用戶提供不同的賬號，還可以與有線網絡保持一致，便利地實現賬號漫游。：上網用戶需要通過安裝客戶端的方式輸入正確的用戶名和密碼才能訪問網絡；：投資低：公眾網僅需要購置一套認證計費軟件系統即可實現，有線用戶通過認證客戶端的方式被允許上網；防ARP欺騙：通過后臺的認證計費系統可以清楚的管理和查詢到上網的用戶狀態(tài)，通過認證客戶端還可以非常好的解決網關的ARP欺騙，認證客戶端的防ARP欺騙功能將能非常好的保證用戶的上網；安全性：+MAC+接入交換機端口+用戶名+帳號的多元素綁定，無線網用戶可以做到：用戶名+用戶IP+用戶MAC+無線SSID+無線交換機IP+接入AP的MAC地址多元素綁定，不論是有線的還是無線的多無線綁定即可以防止內網的用戶名、密碼竊取，IP的盜用，也可以方便管理員對交費用戶管理，同時也有效的杜絕了內網用戶間的ARP欺騙；認證速度快：考慮到公眾網的在展會期間數量上網數量可能會非常大，即數據包從用戶PC機經過最下層的接入層交換機時就將被驗證，因此當有大量訪問internet請求時，；易管理：公眾網管理員可快速利用計費認證系統做到上網用戶的管理，例如：踢用戶下線、發(fā)送短消息、阻斷網關流量、上網明細查詢、在線人數分析、網關流量查詢等。另，基于WEB網關式的認證計費方式（供參考）：WEB網關型認證的優(yōu)點：上網用戶無須安裝客戶端，減少了網管員的工作量，全部上網用戶通過web方式輸入用戶名和密碼進行身份驗證；WEB網關型認證的缺點：部署成本較高，現在的網關計費系統（硬件）價格較高，；安全性低：因為WEB認證網關是放置在出口處，而不是離用戶端最近的接入層，因為網關型系統無法識別底層的問題：例如無法防止IP盜用、ARP欺騙，而這兩個問題是目前網絡中存在的主要安全隱患；有線用戶和無線用戶無法統一集中管理和控制。智能網絡是由網絡中心和覆蓋部分弱電間的有線網絡組成的、為各智能化子系統、BMS系統以及信息發(fā)布系統提供接入的網絡系統。提供BA子系統BA服務器（放置在網絡中心）的網絡連接；提供網絡控制單元（放置在弱電間）的網絡連接；提供與信息發(fā)布與查詢系統（放置在弱電間）的網絡連接；提供安防系統的連接。1）網絡架構網絡拓撲圖如下：智能網主要要保障整個會展中心所有功能子系統的正常運行，是整個會展中心的核心系統，因此智能網的規(guī)劃一定要考慮到可擴展性和穩(wěn)定可靠性。智能網不接入Internet，智能網屬于會展中心內網，因此不需要考慮Internet接入的安全性；智能網主要分為4個子系統區(qū)，即：安防系統、停車系統、樓宇系統、信息發(fā)布系統；4個子系統通過各子系統的匯聚層交換機上聯到智能網核心交換機； 智能網的服務器區(qū)考慮到目前的應用較少可先設計一臺網管服務器連接至核心交換機；各子系統的匯聚層交換機建議采用全千兆24口三層交換機并支持光口復用和萬兆擴展，全千兆三層交換機具備高性能的交換容量和包轉發(fā)率，可以無阻塞的轉發(fā)數據包，對于智能網這樣重要的核心網一定要保證內部的高速可達性。另外，通過匯聚全千兆三層交換機的高效防攻擊保護和檢測能力，例如自身硬件的CPU保護、硬件防DOS攻擊、防IP掃描、單向鏈路、雙向鏈路檢測等技術可以有效保障各子系統內部的穩(wěn)定性；智能網核心交換機建議采用模塊化的多槽位交換機，因為智能網采用單核心設計，沒有核心冗余，因此在可靠性上我們就要考慮單臺設備的高可靠性，通過雙主控引擎冗余、雙交流電源冗余來提高單臺設備的高可靠性，做到單引擎故障或單電源故障的平滑接管,再配置24或48端口千兆電口（光口）線卡來下聯到各子系統的匯聚三層交換機上；4個子系統區(qū)可以根據不同的職能類型劃分為不同的VLAN，例如：安防系統VLAN、停車系統VLAN、樓宇VLAN、信息發(fā)布VLAN，通過劃分VLAN來有效的隔離無效廣播沖突，減少沖突域，在核心交換機上通過ACL和路由來實現不同的VLAN間的雙向或單向訪問。2）子系統設計安防子系統設計：216。 安防子系統匯聚交換機千兆下聯至展廳配線間的12臺24口百兆接入交換機和安防監(jiān)控室的4臺24口百兆接入交換機；216。 安防子系統需設計數據存儲區(qū)來存儲安防的監(jiān)控視頻類數據，因此數據區(qū)建議采用一臺存儲容量為40T的磁盤陣列系統，采用RAID5陣列方式，支持SATA和SAS磁盤，當有磁盤故障的時候能夠通過RAID5來恢復數據，配置SAS硬盤可提供110MB/S和10000轉的高速讀寫速度可以快速的存儲安防系統視頻類大型文件，另外，數據區(qū)配置一臺