【摘要】本文針對(duì)智能化建筑弱電工程中的網(wǎng)絡(luò)接入方案進(jìn)行了論述。許多網(wǎng)絡(luò)接入控制解決方案都太昂貴以至于不能部署和管理。本文將告訴你需要了解什么知識(shí)來確定適合你的環(huán)境類型的最佳的網(wǎng)絡(luò)接入控制選擇。

　　【關(guān)鍵詞】弱電工程 網(wǎng)絡(luò)接入

　　Abstract: This article in view of the intelligence building in the project of electricity network access schemes are discussed in this paper. Many network access control solutions are too expensive so can not deploy and management. This article will tell you need to know what knowledge to determine suitable for your environment types of the best network access control the selection

　　Key Words: weak electric engineering network access

　　中圖分類號(hào)：TN711 文獻(xiàn)標(biāo)識(shí)碼：A 文章編號(hào)：

　　前言

　　在智能化建筑的弱電工程中，網(wǎng)絡(luò)接入控制能夠迅速判斷來自不應(yīng)該獲得接入批準(zhǔn)的那些系統(tǒng)的用戶，并且保證防火墻設(shè)置、殺毒軟件和補(bǔ)丁水平都保持最新的狀態(tài)。在使用正確的時(shí)候。網(wǎng)絡(luò)接入控制能夠創(chuàng)造一個(gè)沒有病毒感染的通訊流及沒有與安全突破有關(guān)的許多其他風(fēng)險(xiǎn)的網(wǎng)絡(luò)。

　　一、網(wǎng)絡(luò)接入控制的主要類型

　　1、基于硬件的網(wǎng)絡(luò)接入控制

　　我們首先看看基于硬件的方法是如何發(fā)揮作用的。這種形式的網(wǎng)絡(luò)接入控制一般需要一臺(tái)設(shè)備。這臺(tái)設(shè)備在內(nèi)部網(wǎng)絡(luò)中運(yùn)行或者在通訊的帶外運(yùn)行。這類設(shè)備有些可以取代接入交換機(jī)，而有些在接入層和網(wǎng)絡(luò)交換機(jī)之間工作。無論采用哪一種方法，都需要考慮部署、管理和運(yùn)行變化等許多問題。

　　首先，基于硬件的網(wǎng)絡(luò)接入控制解決方案有許多固有的缺陷。最主要的是它創(chuàng)建了這個(gè)網(wǎng)絡(luò)上的一個(gè)單個(gè)的故障點(diǎn)。這種設(shè)備還會(huì)影響網(wǎng)絡(luò)通訊，對(duì)于地理上分散的或者高度分散的網(wǎng)絡(luò)也許是不理想的。不僅需要每個(gè)地方都安裝一臺(tái)這種設(shè)備，而且還要進(jìn)一步安裝到網(wǎng)絡(luò)上。這些方法為網(wǎng)絡(luò)通訊提供了較少的可見 性。當(dāng)你在一個(gè)大型子網(wǎng)上看不到或者不能阻止一個(gè)入侵者的通訊的時(shí)候，很難相信使用網(wǎng)絡(luò)接入控制設(shè)備會(huì)更安全。

　　此外，帶外的方法(如使用802.11的設(shè)備)常常需要更高水平的網(wǎng)絡(luò)和服務(wù)器設(shè)置變化以及要跟蹤的端口。這不僅增加了網(wǎng)絡(luò)管理成本而且還提高了錯(cuò)誤的風(fēng)險(xiǎn)。

　　2、基于辦理的軟件網(wǎng)絡(luò)接入控制和無辦理的軟件網(wǎng)絡(luò)接入控制

　　接下來是無辦理的網(wǎng)絡(luò)接入控制。無辦理的網(wǎng)絡(luò)接入控制的常見方法包括在允許端點(diǎn)設(shè)備進(jìn)入網(wǎng)絡(luò)之前對(duì)端點(diǎn)設(shè)備進(jìn)行安全漏洞掃描或者政策評(píng)估掃描， 或者同時(shí)進(jìn)行這兩項(xiàng)掃描。不用說，這種做法會(huì)增加繁忙的網(wǎng)絡(luò)的負(fù)擔(dān)。這個(gè)掃描的結(jié)果將發(fā)送到一個(gè)政策服務(wù)器，如果有必要的話，將對(duì)任何不遵守規(guī)定的系統(tǒng)采取補(bǔ)救措施。

　　無辦理網(wǎng)絡(luò)接入控制的潛力是明顯的：不需要安裝任何辦理。遺憾的是它并非那樣簡(jiǎn)單。總是有一些不利的方面。無辦理的方法不能提供一個(gè)一致的方法來全面評(píng)估這個(gè)端點(diǎn)的狀態(tài)。

　　3、動(dòng)態(tài)網(wǎng)絡(luò)接入控制

　　有一些辦理采用動(dòng)態(tài)網(wǎng)絡(luò)接入控制，但是，這些辦理僅安裝在一定比例的系統(tǒng)中。此外，這種方法也稱作P2P網(wǎng)絡(luò)接入，不需要對(duì)網(wǎng)絡(luò)進(jìn)行任何改變，也不需要在每一個(gè)系統(tǒng)上安裝軟件。這些辦理有一部分是“強(qiáng)制執(zhí)行者”，要安裝在可信賴的系統(tǒng)中，很像是警察部隊(duì)。總?cè)丝谥兄挥泻苄”壤�的�?zhí)法隊(duì)伍來保證每一個(gè)人都遵守法規(guī)。采用這種方法可以得到與辦理有關(guān)的高水平的安全以及網(wǎng)絡(luò)接入控制的全部好處，沒有基于硬件的網(wǎng)絡(luò)接入設(shè)備的麻煩，也不用在每一個(gè)網(wǎng)絡(luò)設(shè)備上安裝軟件。

　　例如，假設(shè)許多執(zhí)法者安裝到了一個(gè)局域網(wǎng)的臺(tái)式電腦中，一個(gè)不可信賴的系統(tǒng)試圖要登錄這個(gè)網(wǎng)絡(luò)。這些執(zhí)法者在對(duì)這個(gè)系統(tǒng)進(jìn)行診斷之前將限制它的 網(wǎng)絡(luò)通訊。此外，如果有必要的話，這些辦理要不斷地與中央政策服務(wù)器進(jìn)行聯(lián)系。因此，一個(gè)系統(tǒng)能夠完全隔離或者阻止訪問某一個(gè)網(wǎng)段，或者僅允許訪問互聯(lián)網(wǎng)。

　　二、保證企業(yè)的安全

　　中小企業(yè)幾乎沒有專門的弱電工程人員和專家來配置復(fù)雜的和帶外的方法，如802.1x網(wǎng)絡(luò)配置，以及在發(fā)生問題的時(shí)候正確地排除故障。此外.由于資源的局限性，中小企業(yè)經(jīng)常把IT團(tuán)隊(duì)的重點(diǎn)放在發(fā)展業(yè)務(wù)的IT計(jì)劃上。

　　這正是基于軟件的網(wǎng)絡(luò)接入控制要做的事情：在提高安全性的同時(shí)還能減輕安全和網(wǎng)絡(luò)團(tuán)隊(duì)的管理負(fù)擔(dān)。事實(shí)上.對(duì)于中小企業(yè)來說，在防御辦理方面有許多可說的事情。例如：在端點(diǎn)能夠達(dá)到更高水平的審查，從而增強(qiáng)安全性。現(xiàn)實(shí)是，辦理可以是現(xiàn)有的引起中斷最少的解決方案，特別是應(yīng)用到網(wǎng)絡(luò)通訊的時(shí)候.因?yàn)檗k理是在后臺(tái)悄悄地運(yùn)行的.只是定期地向服務(wù)器發(fā)送更新。因此.如果你是IT資源有限的中小企業(yè)，這個(gè)竅門就是找到最容易管理的、最節(jié)省成本的、基于軟件的網(wǎng)絡(luò)接入控制解決方案或者可用的動(dòng)態(tài)網(wǎng)絡(luò)接入控制解決方案。

　　三、網(wǎng)絡(luò)接入控制的成本

　　無論你是一家地理上分散的零售商、制造商或者金融服務(wù)公司，管理每一個(gè)地方的網(wǎng)絡(luò)接入控制設(shè)備很快將變得非常昂貴。考慮一下，每一個(gè)基于硬件的網(wǎng)絡(luò)接入控制設(shè)備都需要大約2萬(wàn)美元。此外，那個(gè)設(shè)備還需要為初次安裝和配置這個(gè)設(shè)備的專家支付旅差費(fèi)和工時(shí)費(fèi)。然后，還有持續(xù)不斷的維護(hù)和更新的費(fèi)用負(fù)擔(dān)。

　　在某些情況下，根據(jù)你的架構(gòu)的性質(zhì)，如果不對(duì)你的網(wǎng)絡(luò)配置進(jìn)行重大的和有風(fēng)險(xiǎn)的修改。遠(yuǎn)程管理也許就不能實(shí)現(xiàn)。如果你要降低成本，基于軟件的網(wǎng)絡(luò)接入控制解決方案也許是一個(gè)可行的選擇。

　　四、實(shí)例

　　無錫光大銀行弱電工程：局域網(wǎng)系統(tǒng)設(shè)備安裝工程

　　(1)網(wǎng)絡(luò)結(jié)構(gòu)

　　生產(chǎn)管理中心的計(jì)算機(jī)局域網(wǎng)的網(wǎng)絡(luò)系統(tǒng)采用快速交換式網(wǎng)絡(luò)。網(wǎng)絡(luò)結(jié)構(gòu)分為兩層：邸核心層交換機(jī)與接人層交換機(jī)。核心層交換機(jī)利用光纖采用星型結(jié)構(gòu)聯(lián)接服務(wù)器和各樓層的接人交換機(jī)，樓層的接入交換機(jī)用6類UTP雙絞線聯(lián)接至本層的網(wǎng)絡(luò)數(shù)據(jù)端口，通過網(wǎng)絡(luò)數(shù)據(jù)端口聯(lián)接到用戶計(jì)算機(jī)(PC)。

　　(2)網(wǎng)絡(luò)設(shè)備配置

　　計(jì)算機(jī)局域網(wǎng)系統(tǒng)的核心交換機(jī)、服務(wù)器等設(shè)備安裝在地下一層的弱電機(jī)房?jī)?nèi)，接入交換機(jī)設(shè)備安裝在各樓層的設(shè)備間19寸標(biāo)準(zhǔn)機(jī)柜內(nèi)。

　　1、核心交換機(jī)

　　在局域網(wǎng)系統(tǒng)中配置具有三層交換功能的交換機(jī)2臺(tái)，安裝在地下一層弱電機(jī)房?jī)?nèi)。該交換機(jī)配置雙引擎、雙電源的冗余備份手段和技術(shù)，保證設(shè)備在發(fā)生故障時(shí)能在最短時(shí)間內(nèi)恢復(fù)，以最大程度地保證網(wǎng)絡(luò)的正常運(yùn)轉(zhuǎn)。每臺(tái)核心交換機(jī)配置54個(gè)GE接口，通過劃分VLAN的方式將存續(xù)企業(yè)管理中心、賬務(wù)管理中心、商務(wù)管理中心三個(gè)管理中心隔離，便于對(duì)各中心有效地實(shí)行分層管理。

　　2、接入交換機(jī)

　　接入交換機(jī)配置40臺(tái)。選用24口交換機(jī)，每個(gè)交換機(jī)配置兩個(gè)GE端口和24個(gè)FE端口。

　　3、服務(wù)器

　　在局域網(wǎng)系統(tǒng)中配置兩臺(tái)服務(wù)器和兩臺(tái)工作站，工作方式采用雙機(jī)熱備份工作方式，以保證穩(wěn)定運(yùn)行網(wǎng)絡(luò)的操作系統(tǒng)。

　　(3)互聯(lián)方案

　　生產(chǎn)管理中心新建的局域網(wǎng)與指揮中心局域網(wǎng)互聯(lián)組網(wǎng)，利用指揮中心局域網(wǎng)系統(tǒng)的安全機(jī)制，需要擴(kuò)容相應(yīng)的軟件。

　　五、綜合

　　根據(jù)需求，把網(wǎng)絡(luò)接入控制作為一個(gè)全面的IT安全解決方案的一部分進(jìn)行實(shí)施也許是最佳的選擇。許多大型基礎(chǔ)設(shè)施廠商已經(jīng)與安全廠商合作以便用最好的安全技術(shù)提供他們的服務(wù)。

　　正如你看到的那樣，在你采用網(wǎng)絡(luò)接入控制之前你有許多事情要考慮。無論你選擇什么類型的解決方案.你最終都將扣動(dòng)扳機(jī)和開始部署。網(wǎng)絡(luò)接入控制最好是分階段地實(shí)施。這就是說要逐步地部署網(wǎng)絡(luò)接入控制設(shè)備，逐步地解決一個(gè)具體的需求或者保證某一個(gè)站點(diǎn)的安全或者保證一個(gè)網(wǎng)段的安全。隨著你更加熟悉這個(gè)網(wǎng)絡(luò)接入控制解決方案，你可以在整個(gè)企業(yè)部署這個(gè)解決方案。在開始的時(shí)候，你要計(jì)劃一個(gè)合理的時(shí)間量來監(jiān)視它的工作情況，向管理員提供一些時(shí)間讓他們了解網(wǎng)絡(luò)接入控制對(duì)系統(tǒng)和你的網(wǎng)絡(luò)的影響。

　　結(jié)語(yǔ)

　　考察網(wǎng)絡(luò)接入控制比以往任何時(shí)候都重要。網(wǎng)絡(luò)接入控制解決方案最近不僅取得了一些進(jìn)步，而且失敗的解決方案的許多問題是由于沒有全面地思考網(wǎng)絡(luò)控制從而選擇了錯(cuò)誤的解決方案，太匆忙地進(jìn)入了部署階段或者試圖以非常快的速度做太多的事情。

　　參考文獻(xiàn)

　　【1】(智能建筑設(shè)計(jì)標(biāo)準(zhǔn))GB/TS05，14—2000.中國(guó)計(jì)劃出版社，2000年

　　【2】王雙平 弱電智能化系統(tǒng)項(xiàng)目管理探究[期刊論文]-科技傳播 2010(9)

　　【3】邵勝華 智能化建筑弱電安裝工程管理探究[期刊論文]-科技傳播 2010(14)