计算机网络、弱电、监控及建筑智能化系统集成
我司专业从事计算机应用技术监控系统、电话语音系统、智能化门禁系统、一卡通系统、安防系统、机房弱电安装及相关配套服务的服务。公司设有系统集成部、信息安全部、网络工程部、客户服务部等部门。公司拥有一批经验丰富的专业工程师,项目管理师、安全员、多年从事通信、网络系统设计规划和施工、安防技术应用、机房弱电工程、消防及报警系统为用户提供系统集成解决方案。
众多产品及资质,请查看附件资质文件。
温度检测系统在工业生产、科学研究和通常常生活领域中,得到了广泛应用。生产安全、产品质量等一系列问题都直接受测量温度的影响,准确的测量机房温度控制,对于保证系统正常运行和保证产品质量都具有重要的意义。
室内工作区空气温度的梯度和平面温差也不能过大,否则由于各元件本身对温度的敏感性不同而易形成电气故障。
机房一般对温度精度范围要求不高,但对工作区平面温差却有一定的要求。以满足程控设备长期工作为条件并考虑机房操作人员的舒适性,同时考虑由于程控设备制造厂的不同而对室内参数的要求有所差异,机房的空调设计温度在满足电信机房规范要求的基础上取夏季(23±3)℃,冬季(21±3)℃比较合适。
**项目机房前端采用集中数据采集器,在该设备基础上可对配电柜、UPS、空调、漏水、温湿度等设备进行统一的集中监控管理,建立的 TCP/IP 监控平台可极其方便地为现场设备管理和环境监控提供安全可靠的一体化解决方案,不但大大简化现场监控设备,而且能有效地提高整个系统的稳定性和安全性,形成一个合理布局的环境安全监控系统。
方案设计原理就是通过测量现场机房里的温湿度的大小,并通过有线或者无线的方式将监测到的数据主动上传到数据中心。上传的现场数据经过服务器归类分析处理后,再进行前台界面显示;通过前台界面可以形象且直观的看到系统中各个机房的环境状态数据。
另外声光报警器、短信报警器模块、漏水监测、三相电源监测、红外报警系统等为可选设备、对于一些监控比较严格的区域建议使用这些设备、以确保设备的正常运行。系统结构示意图如下所示:
基于**项目的应用要求分析,网络系统总体设计以高性价比、高安全性、良好的可扩展性、可管理性和统一的网管及可靠组播为原则,以及考虑到技术的先进性、成熟性,并采用模块化的设计方法。
系统增加部署一台核心交换机及 17 台接入交换机满足园内网络应用需要等。
Ø 核心层设计
核心层负责整个网络的数据交换,同时也是整个网络的路由交换中心,全网绝大部分第三层的转发交换都通过核心节点集中进行,核心设备的性能会影响到整个网络的性能。因此,在选用核心层设备时应该考虑到设备处理性能、网络的可靠性、扩展能力以及网络的安全性等方面。华为7700核心交换机对上述各项业务都提供了强有力的支持,并且在处理性能、网络的可靠性、扩展能力以及网络的安全性等方面完全可以满足**项目网络建设的要求。
华为7700系列交换机在提供大容量、高性能L2/L3交换服务基础上,进一步融合了硬件IPv6、网络安全、网络业务分析等智能特性,可作为构建融合业务。
Ø 接入层设计
接入层交换机提供到桌面的数据业务连接服务,因此,接入层交换机必须具有灵活的业务处理能力,如安全策略、扩展能力和强大的QoS能力等。为了达到学校网络建设的全千兆的要求,我们采用全千兆以太网交换机作为此次项目的接入交换机,它是构建高安全、高智能网络需求而专门设计的新一代以太网交换机产品,该产品均支持802.1x认证,在用户接入网络时完成必要的身份认证,而且可以通过灵活的MAC、IP、VLAN任意组合绑定,有效的防止非法用户访问网络。此外,该产品支持智能弹性架构,具备完备的安全控制策略和丰富的QOS策略,提供基于源MAC地址、目的MAC、 MAC地址范围、源IP地址、目的IP地址、IP协议类型、物理端口、TCP/UDP端口、 TCP/UDP端口范围、VLAN、VLAN范围等定义ACL,可为**项目校园网用户提供快速、高效、灵活的网络接入服务。
综合布线系统主要表现为它的兼容性、开放性、灵活性、可靠性、先进性和经济性
合理规划综合布线系统融入的信息系统的种类与数量,综合考虑用户需求、建筑物功能、校园网特点等因素。
技术先进,适当超前。采用先进的概念、技术、方法和设备,做到既能反映当前水平,又具有较大发展潜力。
标准化的设计。在设计时应符合最新的综合布线标准,还应符合在防火、接地、计算机战场地等方面的国家现行的相关强制性或推荐性标准规范的规定。在设计中必须选用符合国家或国际有关技术标准的定型产品,未经国家认可的产品或未经质量监督检验机构鉴定合格的设备及主要材料,不得在工程中使用。
系统的可扩展性。综合布线系统应是开放式结构,应能支持语音、数据、图像及监控等系统的需要。在进行布线系统的设计时,应适当考虑今后信息业务种类和数量增加的可能性,预留一定的发展余地。
方便维护和管理。综合布线系统应采用星状/树状结构,用层次管理原则,同一级结点之间应避免线缆直接连通。建成的网络布线系统应能根据实际需求而变化,进行各种组合和灵活配置,方便地改变网络应用环境,所有的网络形态都可以借助于跳线完成。
经济合理。在满足上述原则的基础上,力求线路简洁,距离最短,尽可能降低成本,使有限的投资发挥最大的效用。
Ø 工作区子系统
**项目工作区子系统由终端设备到信息插座的连线和信息插座组成,包括各个不同功能的工作区域构成。在相应区域的墙面或安装信息插座,信息出口采用双口墙面型面板和六类模块。
在工作区内的每个信息插座都是标准的8芯、RJ45模块化六类插座,支持100M以上的带宽。
不同型号的电脑和终端通过RJ45跳线和RJ11跳线可方便地连接到通讯插座上。
插座及模块的连接标准如下:
a)本工程使用的插座底盒全部为国际86型。
b)插座连接标准为ISO11801 及 TIA/EIA 568B。
c)信息插座与强电插座距离≥30cm。
d)配线架及模块的连接采用T568B标准。
Ø 水平子系统
水平子系统直接从配线架延伸至用户工作区,并和工作区处于同一大楼中,末端接在信息插座上。
本方案中,根据TIA/EIA568-A 的水平线独立应用原则,水平子系统采用六类4对(UTP)线缆,完全支持将来千兆以太网的应用。
每个信息点能够灵活应用,可随时转换接插电话、微机或数据终端,并可随着用户的进一步应用需求。
①线缆的敷设按下列要求:
a)线缆的型号、规格应与设计规定相符,布放应自然平直,不得产生扭绞、打圈接头等现象,不应受外力的挤压和损伤。
b)线缆两端应贴有标签,标明编号。标签书写应清晰,端正和正确。标签应选用不易损坏的材料。
c)线缆终接后,应有余量。电源线、综合布线系统线缆应分隔布放,线缆间的最小净距应符合规定。
②设置线缆桥架和线缆线槽保护要求如下:
a)桥架水平敷设时,支撑间距一般为1.5—3m,垂直敷设时,固定在建筑物构体上的间距宜小于2m,距地1.8m以下部分应加金属盖板保护。
b)金属线槽敷设时,在下列情况下设置支架或吊架:线槽接头处;每间距3m;离开线槽两端出口0.5m处;转弯处。
c)金属线槽接地应符合设计要求。
d)金属线槽、线缆桥架穿过墙体或楼板时,应有防火措施。
Ø 设备间子系统
设备间子系统由主配线机柜中的电缆、连接模块和相关支撑硬件组成,它把中心机房中的公共设备与各管理间子系统的设备互连,从而为用户提供相应的服务。本方案的主配线间设在中心机房,语音和数据合用一个配线机柜,所有语音主干和数据主干全部连到该配线机柜的相应模块配线架上。主配线机柜采用19英寸24U规格机柜,除安装配线设备外,还可放置网络设备;机柜材料选用金属喷塑,并配有网络设备专用配电电源端接位置。此种安装模式具有整齐美观、可靠性高、防尘、保密性好、安装规范的特点.
Ø 建筑群子系统
建筑群子系统是用来连接楼栋和楼栋之间的线缆,是整个布线系统的主干。
本方案的建筑群子系统指连接中心机房至各栋楼弱电间的主干光纤和大对数电缆。主干光缆采用6芯多模室外光缆,带宽可高达1Gbps以上,可提供高品质数据传输通道;支持的千兆位以太网的传输距离具有比国际标准更为优良的性能表现。
根据机房工程项目的状况,机房改造工程必须满足各项业务应用需求,同时又面向未来快速增长的发展需求,因此应是高质量的、灵活的、开放的。
根据标准机房建设要求对计算机机房环境进行改造建设,具体内容如下:
(1)机房墙面及管道孔洞检查,部署防鼠铁丝网;
(2)机房墙面地脚线的设计,重新铺装机房防静电地板;
(3)机房保温棉的铺设,节约机房空调能耗,保证机房温度;
(4)机房防雷地网的建设,增加绝缘端子,机柜做汇流接地接入大楼防雷接入点;
(5)机房线路梳理及修改综合布线系统。
Ø 地板工程
活动防静电地板在计算机房中是必不可少的。
机房敷设活动防静电地板主要有两个作用:首先,在活动地板下形成隐蔽空间,可以在地板下敷设电源线管、线槽、综合布线、消防管线等以及一些电气设施(插座、插座箱等);其次,由于敷设了活动防静电地板可以在活动地板下形成空调送风静压箱。此外,活动地板的抗静电功能也为计算机及网络设备的安全运行提供了保证。
抗静电地板安装时,同时安装静电泄漏系统。铺设静电泄漏地网,通过静电泄漏干线和机房安全保护地的接地端子封在一起,将静电泄漏掉。
中心机房活动地板敷设高度为0.2~0.3米,活动地板安装过程中,地板与墙面交界处,活动地板需精确切割下料。切割边需封胶处理后安装。地板安装后,用铝塑板踢脚板压边装饰。铝塑板踢脚板与铝塑板玻璃隔墙互相衬托,协调一致,效果极佳。
在机房静电地板下做好保温、防尘处理工作。
Ø 接地处理
利用建筑物基础地作防雷地及电源地。现代建筑基础使用大面积钢筋绑扎,柱子主钢筋及四周墙体钢筋直通到达屋顶女儿墙防雷带。其接地电阻值一般都能满足GB50057—94的要求,即≦4Ω。
机房一般有四种接地形式,即:计算机专用直流逻辑地、交流工作地、安全保护地、防雷保护地。本次设计考虑采用原接地极,并采用联合接地方式;接地电阻应小于1欧姆。
直流工作地在大楼计算机机房内的布局,是作数字电路等电位地网(或逻辑接地接地网)。该网用铜排在活动地板下,依据计算机设备布局,纵横组成网格,
配有专用接地端子,用编织软铜线以最短的长度与计算机设备相连。计算机直流地需用接地干线引下至接地端子。
本工程只需考虑配置低成本、标准化程度高、符合IT系统云计算演进趋势的X86架构的物理服务器。
目前通用X86架构服务器分为机架式服务器和刀片式服务器两种,两种服务器的比较见下表:
|
刀片式服务器 |
机架式服务器 |
空间密度 |
2路服务器平均每刀片占用空间1U,机框一般最多可插14/16块刀片,1个机架安装1个机框 |
2路服务器一般占用空间2U,1个机架最多可安装约8台2路服务器 |
功耗 |
2路服务器平均每刀片功耗约为300W,整个机架功耗约为4.5KW左右 |
2路服务器平均每台功耗约为500W,整个机架功耗约为4KW |
扩展性 |
单片刀片接口类型和数量受刀片机框的限制,其外设插槽受空间限制也有限,但在已有机框内增加刀片,则比机架式施工方便 |
每台服务器单独配置接口板卡,外设插槽较多并可通过扩展框扩展,配置较为灵活,扩展性更加灵活 |
采购成本 |
共享电源、风扇的设计,一定程度降低了成本,但如需较多的网络端口或光模块,则需机框上配置相应的交换模块,又增加了成本,且各厂家技术不通用,刀片不能混插,因此一般来说单台刀片式的平均成本高于机架式 |
每台服务器均配置独立的电源、风扇等模块,一般来说采购成本较低 |
布线和管理 |
只要从机框统一布网络线、电源线,布线和管理简单 |
要分别对每台服务器的网络线、电源线进行配线,布线和管理复杂 |
可见在通用的配置下,刀片式服务器的集成度密优于机架式服务器。但刀片式服务器在提高计算密度的同时,给数据中心的供电和制冷带来更高要求(对供电、冷却等进行改造,防止局部过热);供电和制冷能力的限制,将大大影响刀片式服务器在提高密度、减少空间占用方面的效果。
本期工程计算资源包括X86物理机资源和虚拟机资源,以满足应用系统的不同计算需求。物理机和虚拟机的应用场景如下:
(1)物理机使用场景
(2)虚拟机使用场景
根据上述服务器选型分析以及各业务系统的需求,建议本工程选择2路或4路通用X86架构服务器,其中物理机采用刀片式服务器,虚拟机采用机架式服务器,同时因为部署虚拟机需要占用一定的内存空间,建议部署虚拟化的服务器配置较高内存。物理机和虚拟机的具体配置如下:
本工程计算服务器的CPU、内存利用率均不超过70%,集中块存储系统建设方案
考虑到目前大部分IT系统的软件设计架构中包含关系型数据库,而关系型数据库需要块存储的访问方式,对于高性能的块存储需求,目前分布式存储技术仍不成熟,因此云化基础设施中仍配置集中的块存储设备,用于部署关系型数据库及IO性能要求较高的数据存储。
集中的块存储设备通过块存储系统为用户的虚拟机和物理服务器提供可按需扩展存储空间的块级别存储服务,用户虚拟机/物理服务器的操作系统以卷设备的方式访问块存储空间。
脱机备份有两种业务场景的需求
对于热点数据的备份,目前有两种实现方式,一种是虚拟带库,另一种是备份一体机,对比如下:
比较项 |
虚拟带库 |
备份一体机 |
磁盘管理模式 |
磁盘被作为磁带驱动器和磁带来管理,被当成磁带来进行容量的管理 |
磁盘被真正被作为磁盘来管理(随机访问),是NetBackup 高级磁盘管理功能 |
磁盘读写模式 |
磁带的过期管理而不是image级别的管理;同一时间同一盘磁带只能被一个media server读或者写 |
基于磁盘可以同时读写image |
重复数据删除 |
支持 |
支持 |
扩容方案 |
上期工程购买了虚拟带库,由于一套虚拟带库需要共用一个控制器,建议虚拟带库在同一个机房内采用扩容硬盘框和SIR引擎的方式进行建设,现有机房内还预留了一个扩展柜的扩容空间 |
可以在新机房新增1台备份一体机 |
(1)组网方案建议
建议采用层次化、模块化设计,并进行资源进行逻辑分区。整个网络分为三层:
(1) 网络出口层负责与外部网络的互联,保证资源池内部网络高速访问互联网,并对资源池内网和外网的路由信息进行转换和维护。
(2) 核心层向下负责汇聚网络内的汇聚层交换设备,保证网络内汇聚层交换设备之间的高速交换,向上与出口路由设备进行互联。在核心层部署防火墙,用于NAT转换并提供安全防护。
(3) 接入汇聚层向下负责接入汇聚网络接入设备及终端设备。向上与核心交换设备进行互联。对于业务网络来说,终端设备为弹性计算设备。对于存储网络来说,终端设备为云存储和块存储设备。对于管理网络来说,终端设备包括所有需要管理的网元设备。
(1)业务/云存储网络
业务/云存储网络主要由刀片服务器、机架服务器、虚拟机系统、小型机、云存储服务器及相应的网络设备组成。
刀片式及机架式服务器接入计算资源接入交换机,接入交换机成对配置。刀片服务器的业务网口以2*10GE链路分别上联两台刀片计算资源接入交换机,每对刀片计算资源接入交换机下联14框刀片服务器(约414台刀片服务器);机架式服务器的业务网口以1*10GE链路分别上联两台机架计算资源接入交换机,每对机架计算资源接入交换机下联156台机架式服务器。小型机以2*10GE链路分别上联两台小型机接入交换机。云存储服务器以1*10GE链路分别上联两台存储接入交换机,每对存储接入交换机下联32台云存储服务器。
计算资源接入交换机至核心交换机采用全网状互联方式,考虑一定收敛比,其中刀片计算资源接入交换机与核心交换机之间的链路数量根据下联业务接入交换机的数量采用7:1收敛,即每对刀片计算资源接入交换机与核心交换机之间以8*10GE链路上联;机架计算资源接入交换机与核心交换机之间的链路数量根据下联业务接入交换机的数量采用6.5:1收敛,即每对机架计算资源接入交换机与核心交换机之间以16*10GE链路上联;小型机接入交换机与核心交换机之间的链路数量根据下联业务接入交换机的数量采用4:1收敛,即每对小型机接入交换机与核心交换机之间以8*10GE链路上联;存储接入交换机与核心交换机之间的链路数量根据下联业务接入交换机的数量采用4.5:1收敛,即每对存储接入交换机与核心交换机之间以16*10GE链路上联;
核心交换机成对设置,每对核心交换机之间采用3*10GE进行互联。核心交换机向上与一对互联网出口防火墙采用网状互联方式,云化基础资源平台所有至互联网流量均需通过互联网出口防火墙进行安全防护。核心交换机至互联网出口防火墙的互联带宽与防火墙上联出口路由器带宽对应,每台核心交换机与每台互联网出口防火墙之间采用8*10GE方式互联。
同时核心交换机采用旁挂方式连接核心防火墙和负载均衡器,考虑所有出口流量、不同区域及业务之间互访流量需经过核心防火墙,单台核心交换机与单台防火墙之间采用8*10GE连接;对于有负载均衡需求的应用系统,其流量需经过负载均衡器,本工程按照单台核心交换机与单台负载均衡器之间采用8*10GE连接考虑。根据需求,本工程需要对核心交换机、核心防火墙和负载均衡器进行扩容。
统一设置了CMNET出口和IP专用承载网出口,并统一部署了安全防护策略,本工程资源池将通过与其相关出口设备实现接入CMNET和IP专用承载网。
(2)集中存储网络
本工程部分计算服务器可通过FCOE卡分别接入计算资源接入交换机,通过接入交换机接入成对设置的光纤交换机,进而与磁盘阵列连接实现计算服务器对块存储设备的共享。
(3)管理网络
管理网络主要用于云化基础资源平台内部管理,其上部署云化基础资源管理平台等公共管理应用,绝大部分设备均通过独立的物理端口连接到管理网络,被云化基础资源管理平台管理。
机架式计算服务器、机架式云存储服务器以及网络、安全设备的管理接口以1*GE链路接入管理接入交换机,刀片式计算服务器统一通过计算资源汇聚交换机以1*GE链路分别接入成对设置的管理接入交换机, 每台管理接入交换机下联约40台设备,并以2*10GE链路接入管理汇聚交换机,管理汇聚交换机之间采用2*10GE互联。
云化基础资源管理平台的各管理服务器直接通过GE链路分别接入一对独立设置的管理接入交换机,通过管理网络实现对资源的运营及管理。每台管理汇聚交换机以2*10GE链路上联业务核心交换机,进而实现管理维护的接入。
(2)IP地址规划
IP地址规划遵循以下原则:
私有云的总体接口架构如下图所示:
图 2.4‑1 资源池总体架构图
其中涉及资源池的接口包括IF1、IF2和IF3:
(1) 私有云管理平台与资源池系统管理平台之间的接口IF1
私有云管理平台与资源池系统的接口IF1接口分为业务管理接口和资源操作接口两个部分。
业务管理接口:提供创建、修改、删除资源模板等功能;提供资源池系统资源告警信息上报功能。
资源操作接口:提供物理机服务接口、虚拟机服务接口、小型机(本期不考虑,后续支持)服务接口、通用存储资源类服务接口、非通用存储资源类服务接口、网络资源类服务接口、本地备份服务接口
(2) 资源池系统管理平台与ISMG之间的接口IF2
资源池系统管理平台通过ISMG实现短信通知功能,用于向用户及私有云管理人员发送短信通知。
为确保系统的安全,本工程主要考虑采用以下安全措施:
业务网络分为DMZ区、核心生产区、测试区等安全域(资源分区),各个区域之间在核心层进行逻辑隔离或者在防火墙上进行安全访问策略控制。
在互联网出口设置双层异构防火墙,内层防火墙主要保证各业务系统核心生产区的安全,并对核心生产区与DMZ、测试区、管理维护区的访问策略进行控制;外部防火墙,部署在DMZ区域和互联网CMNET之间,对云化基础资源平台系统和外部访问之间的流量进行安全策略控制和IP地址翻译;内层和外层配置异构防火墙确保外层防火墙被攻击后,只有DMZ区域服务器受到安全威胁,其他区域设备仍受内层防火墙的保护。
内层防火墙根据各个业务系统的需求配置不同的安全等级。为了提高防火墙的可维护性,建议内层防火墙根据运营单位划分虚拟防火墙,每个运营单位在分配好的虚拟防火墙上配置系统相关的安全策略。
VLAN按照不同安全域成段分配,不同安全域使用不同的VLAN段,每个安全域内不同的业务系统使用不同的VLAN,所有VLAN之间缺省是互相隔离的,如果有互访需求需要在防火墙上做策略允许其互访,包括同一业务系统内部不同安全域的互访,也包括不同业务系统之间的互访。
入侵检测主要是通过部署入侵检测系统弥补防火墙的不足,为网络安全提供实时的入侵检测及采取相应的防护手段,降低网络安全风险。本工程需对原有的IPS设备进行扩容。
漏洞扫描系统对网络设备、操作系统和数据库三个方面进行扫描,指出有关网络的安全漏洞及被测系统的薄弱环节,给出详细的检测报告,并针对检测到的网络安全隐患给出相应的修补措施和安全建议。
本工程按照传统的服务器/客户端方式建设集中防病毒系统,即在所有X86服务器、虚拟机上部署代理软件,进行日常病毒查杀和异常事件上报。
(1)VPN接入网关
采用VPN接入网关,为资源池管理平台管理员和用户、承载的应用系统的运维人员通过互联网远程访问提供接入手段。
(2)远程集中维护
远程集中维护通常有两种手段:
(1)IPMI管理
IPMI是智能型平台管理接口(Intelligent Platform Management Interface)的缩写,是管理基于Intel结构的一种工业标准,可以监视服务器的物理健康特征,如温度、电压、风扇工作状态、电源状态等。目前该标准最新版本为IPMI 2.0,该版本在原有基础上有了不少的改进,包括可以通过串口、Modem以及Lan等远程环境管理服务器系统(包括远程开关机),以及在安全、VLAN 和刀片支持等方面的提高。
(2)KVM管理
KVM系统分为传统KVM和KVM over IP技术,传统KVM通过一台KVM切换器依次串接至多个服务器的鼠标、键盘、显示器接口,实现近距离的服务器管理。KVM over IP技术,由KVM设备通过Over IP技术将模拟信号转换成IP数据包并连接到IP网络,可从远程对被管设备进行管理。
目前各厂家均支持管理口集成IPMI及KVM over IP技术,仅需将管理口通过普通网线连接至管理接入交换机,进而即可通过IP网络以远程web界面登陆的方式进行集中维护管理
本工程进一步完善管理网络的分层建设,将所有刀片式服务器、机架式计算服务器、机架式云存储服务器设备、网络设备、安全设备分别通过管理接口接入管理接入交换机,管理接入交换机通过管理汇聚交换机进行汇聚从而实现远程集中维护及管理功能。