物流中心快递类海关监管作业场所系统设计——计算机网络系统

    系统概述
    计算机网络系统作为重要的信息系统设施之一，它立足于结构化综合布线的基础之上，为上层应用提供数据传输、交换、收集、存储等功能。通过建设本系统，一方面能够实现信息系统的资源共享和交互，满足内部日常办公及来访办理业务者的各种信息服务的需要，另一方面建立与 Internet 的连接，为各种服务提供网络支持环境。计算机网络系统将充分利用先进的以太网交换技术，在海关监管场所建成万兆骨干，千兆到桌面的高性能网络通信平台，实现各业务联网系统的自动化及因特网的互联互通，为行政办公、会议等系统提供统一的宽带通信平台。
    设计原则
    (一)高可用性及先进性
    网络的稳定可靠是应用系统正常运行的关键，在网络设计中选用高可靠性的网络产品设备，充分考虑冗余、容错和备份能力，同时合理设计网络架构，制订可靠的网络备份策略，保证网络具有故障自愈的能力，最大限度地支持系统的可靠运行。在保证满足基本业务应用的同时，又要体现出先进性。在网络设计中要把先进的技术与现有的成熟技术和标准结合起来，充分考虑到网络应用的现状和未来发展趋势。
    在设备方面，选用具有高速处理能力的核心设备及智能化的接入设备，支持多用户并发连接，提供服务质量保护，提供较高的吞吐能力，满足各种应用（如：语音视讯系统等）对网络带宽的需求，体现系统的高可用性及先进性。
    (二)高性能
    骨干网络的性能是整个网络良好运行的基础，在设计中必须保障网络及设备的高吞吐能力，保证各种信息（数据、语音、图象）的高质量传输，才能使网络不成为业务开展的瓶颈。
    (三)标准开放性
    支持国际上通用标准的网络协议、国际标准的动态路由协议等开放协议，有利于以保证与其它网络之间的平滑连接互通，以及将来网络的扩展。
    (四)安全性
    针对本项目网络系统，安全问题是一个很重要的方面，必须采取多样的手段，全方位的考虑系统安全配置，以保证系统的健康运行。制订统一的网络安全策略，整体考虑网络平台的安全性，包括端点接入安全、网络边界安全、应用层安全防御等，做到业务数据的安全传递和网络设备不受来自网络内、外的黑客攻击或误操作的影响。
    (五)可扩充性和兼容性
    根据未来业务的增长、变化以及规模的不断扩大，网络可以平滑地扩充和升级，最大程度的减少对网络架构和现有设备的调整。对于新技术及新设备，能够平滑的实现过渡，例如对于 IPv6 的支持等。
    (六)全局性、综合性、整体性
    方案将运用系统工程的观点、方法，从网络的整体角度出发，结合系统实际业务，提出一个具有相当高度、整体性和可操作性的解决方案。
    系统设计
    计算机网络系统将充分利用先进的以太网交换技术，本项目将建成万兆骨干，千兆到桌面的高性能网络通信平台，实现各业务联网系统的自动化及因特网的互联互通，为行政办公、会议等等系统提供统一的宽带通信平台。计算机网络按照使用的对象不同，分为海关业务网、互联网（含无线覆盖）和视频监控网。
    总体网络架构
    本项目网络建设方案采用层次化、模块化的设计思路，按照接入层、汇聚层、核心层和出口层进行网络设备设计部署，通过无线控制器、防火墙等实现增值业务功能，满足日益增长的业务需求。

    海关业务网
    海关业务网：分为业务网主用和业务网备用两部分。采用二层网络架构，核心交换机采用单链路千兆链路下联楼层接入交换机；接入交换机千兆到桌面，为海关内部办公人员提供内网服务。具体网络拓扑结构如下图：

    互联网（含无线）
    外网与无线网采用二层网络架构，核心交换机采用单链路千兆链路下联楼层接入交换机；接入交换机千兆到桌面，同时在信息外网部署无线 AP，为终端用户提供有线无线一体化接入方式。具体网络拓扑结构如下图：

    视频专网
    视频专网采用二层网络架构，核心交换机采用单链路千兆链路下联楼层接入交换机；接入交换机千兆到设备，为大楼内监控、一卡通等智能化设备提供服务。具体网络拓扑结构如下图：

    分层网络设计
    接入层
    接入层交换机部署在楼层的网络机柜中，为终端用户提供高速有线接入以及无线全覆盖二层交换服务功能。
    由于接入层交换机直接连接网络用户，根据用户接入信息点数目和类型（GE），对接入交换机的 GE 接口密度有较高的要求，当交换机连接无线接入点 AP 时需提供 PoE 功能。
    根据网络系统设计要求，每层各个弱电间交换机均已双链路光纤上联至汇聚；各楼层弱电间交换机均采用堆叠技术。按方案规划，弱电间部署接入交换机，采用 GE 光纤为上行链路。
    核心层
    核心层交换机部署在中心机房。核心层是网络的高速交换主干，对整个网络的连通起到至关重要的作用。核心层应该具有如下几个特性：可靠性、高效性、冗余性、容错性、可管理性、适应性、低延时性等。在核心层中，应该采用高带宽的千兆以上交换机。因为核心层是网络的枢纽中心，重要性突出。核心层设备采用双机冗余热备份是非常必要的，也可以使用负载均衡功能，来改善网络性能。
    无线网络
    大楼人员集中区域、办公的区域考虑无线覆盖（具体覆盖范围以图纸布置区域为准）。主要目的：为大楼办公提供方便快捷的无线的网络访问服务。
    无线上网认证方式：免账号认证、手机号+验证码、关注微信公众号、固定账号认证等方式认证上网。
    无线 AP 采用 5G+2.4G 无线接入覆盖，支持 WIFI6、mu-mimo 及802.11kv 技术；所有无线 AP 采用 POE 交换机供电；
    公共区域采用吸顶安装，独立办公室及相关区域采用面板式安装。
    认证方式，对于楼内固定办公的工作人员，采用用户名+密码的WEB 认证方式，对于流动人员或者访客采用微信或者短信的认证方式，从而实现对所有上网人员的实名认证。一旦认证通过，即可正常访问网络。
    无线控制器接入核心交换机，为无线接入点 AP 提供管理平台，为 AP 下发配置文档，实现集中控制与集中认证。所有 AP 采用集中认证、本地转发模式，减少内网网络流量迂回路径，节省带宽资源消耗。
    无线控制器使用双电源方案，均已千兆光纤双链路连接至核心交换机；楼层每一个弱电间各自安放一个 POE 交换机，无线 AP 通过网线下挂至 POE 交换机取电；部分 AP 因网线长度原因无法通过 POE 取电的，可通过就近取电或采用 POE 供电模块的方式取电。
    网络安全
    依据《网络安全等级保护管理条例》（征求意见稿）中等级保护的建设需求，以及参照《网络安全等级保护基本要求》（GB/T22239-2019），针对海关的业务网、互联网、视频网进行二级等级保护建设：
    针对安全区域边界中的网络架构、访问控制、入侵防范和恶意代码防范要求，采用防火墙并开启防病毒模块和入侵防护模块来达到防护要求；
    针对安全区域边界中对网络行为的安全审计要求，采用上网行为管理进行网络流量监控，对网络设备运行状况和管理用户行为进行监控审计；
    针对安全区域边界中安全审计要求，采用日志审计满足第三方数据保存要求；
    针对安全计算环境中恶意代码防范要求，采用终端安全管理系统防病毒模块实现主机层面病毒防护和恶意代码的防护。
    针对安全计算环境中安全审计要求，采用数据库审计针对数据库操作行为进行细粒度审计的合规性管理；
    针对安全管理中心中对系统管理、审计管理要求，可采用堡垒机对不同管理人员的运维权限进行分权管理，并单独进行安全审计。