核心交换机是整个网络的核心和心脏，如果核心交换机发生致命性的故障，将导致本地网络的瘫痪，所造成的损失也是难以估计的。所以我们在选择核心交换机时，经常会看到有的核心交换机具有堆叠或热备份等功能。一、什么是核心交换机的热备份 对核心交换机采用热备份是提高网络可靠性的必然选择。在一个核心交换机完全不能工作的情况下，它的全部功能便被系统中的另一个备份路由器完全接管，直至出现问题的路由器恢复正常，这就是热备份路由协议。实现HSRP的条件是系统中有多台核心交换机，它们组成一个“热备份组”，这个组形成一个虚拟路由器。在任意时刻，一个组内只有一个路由器是活动的，并由它来转发数据包，如果活动路由器发生了故障，将选择一个备份路由器来替代活动路由器，但是在本网络内的主机看来，虚拟路由器没有改变。所以主机仍然保持连接，没有受到故障的影响，这样就较好地解决了核心交换机切换的问题。为了减少网络的数据流量，在设置完活动核心交换机和备份核心交换机之后，只有活动核心交换机和备份核心交换机定时发送HSRP报文。如果活动核心交换机失效，备份核心交换机将接管成为活动核心交换机。如果备份核心交换机失效或者变成了活跃核心交换机，将由另外的核心交换机被选为备份核心交换机。二、交换机的热备份实现原理1、当某台接入层交换机到主核心交换机的线路出现故障，切换至备机，数据流走向当接入层交换机1上联至核心交换机A的数据链路出现故障，导致接入层交换机1的数据链路切换至核心交换机B，但在切换期间接入层交换机1分丢6个数据包，如上图所示。当服务器与核心交换机A之间主链路出现故障（如线路、网卡等），服务器主网卡切换至备用网卡上时，会丢6个数据包，但当主链路恢复以后，服务器会自动从备用网卡切换至主网卡，而这次切换时数据包不会丢失。具体终端访问服务器的数据流走向如下图。

有朋友问，通信的原理是什么？在了解通信原理之前，我们首先要对通信常用的设备进行熟悉，计算机网络体系中，有几样通信设备或者说网络名词出现的频率相当的高，它们是：中继器、集线器、网桥、交换机、路由器和网关。其实，弄清楚这几个计算机网络的名词并不困难，如果能以计算机网络层次的概念给它们划清界限的话，那就很容易把它们区分出来。那我现在就有条理地梳理一下它们各自的含义和作用，以及它们之间的联系。那我们首先看一下这些网络设备分别处于计算机网络的哪些层次：一、中继器中继器(Repeater)是连接网络线路的一种装置,常用于两个网络节点之间物理信号的双向转发工作。中继器是＊简单的网络互联设备,主要完成物理层的功能,负责在两个节点的物理层上按位传递信息,完成信号的复制、调整和放大功能,以此来延长网络的长度。它在OSI参考模型中的位置物理层。由于存在损耗, 在线路上传输的信号功率会逐渐衰减,衰减到一定程度时将造成信号失真,因此会导致接收错误。中继器就是为解决这一问题而设计的。它完成物理线路的连接,对衰减的信号进行放大,保持与原数据相同。中继器是模拟设备，用于连接两根电缆段。中继器不理解帧、分组和头的概念，他们只理解电压值。一句话总结：中继器，就是简单的信号放大器，信号在传输的过程中是要衰减的，中继器的作用就是将信号放大，使信号能传的更远。二、集线器             集线器（Hub）是中继器的一种形式，区别在于集线器能够提供多端口服务，也称为多口中继器。集线器在OSI／RM中的物理层。一句话总结：集线器，差不多就是个多端口的中继器，把每个输入端口的信号放大再发到别的端口去，集线器可以实现多台计算机之间的互联，因为它有很多的端口，每个口都能连计算机。三、网桥                                   网桥(Bridge)是一个局域网与另一个局域网之间建立连接的桥梁。网桥是属于数据链路层的一种设备，它的作用是扩展网络和通信手段，在各种传输介质中转发数据信号，扩展网络的距离，同时又有选择地将现有地址的信号从一个传输介质发送到另一个传输介质，并能有效地限制两个介质系统中无关紧要的通信。一句话总结：网桥工作在数据链路层，将两个LAN连起来，根据MAC地址来转发帧，可以看作一个“低层的路由器”。四、交换机                             交换机（Swich)工作在第二层（即数据链路层），它要比集线器智能一些，它能分辨出帧中的源MAC地址和目的MAC地址，因此可以在任意两个端口间建立联系，在数据帧的始发者和目标接收者之间建立临时的交换路径，使数据帧直接由源地址到达目的地址。交换机通过对信息进行重新生成，并经过内部处理后转发至指定端口，具备自动寻址能力和交换作用。但是 交换机并不懂得IP地址，它只知道MAC地址。交换机是使用硬件来完成以往网桥使用软件来完成过滤、学习和转发过程的任务。交换机速度比HUB快，这是由于HUB不知道目标地址在何处，发送数据到所有的端口。而交换机中有一张MAC地址表，如果知道目标地址在何处，就把数据发送到指定地点，如果它不知道就发送到所有的端口。这样过滤可以帮助降低整个网络的数据传输量，提高效率。但是交换机的功能还不止如此，它可以把网络拆解成网络分支、分割网络数据流，隔离分支中发生的故障，这样就可以减少每个网络分支的数据信息流量而使每个网络更有效，提高整个网络效率。现代交换机是这样处理数据帧的：一旦目标头域（目标地址）已经进来了，尽管帧的其他部分还没有到达，则只要输出线路可以使用，交换机就开始转发该帧，而不需理会帧后面的内容，也即是说交换机并没有使用“存储—转发”交换方式。一句话总结：交换机，可以理解为高级的网桥，他有网桥的功能，但性能比网桥强。交换机和网桥的细微差别就在于：交换机常常用来连接独立的计算机，而网桥连接的目标是LAN，所以交换机的端口较网桥多。五、路由器                                 路由器（Router)工作在第三层（即网络层），它比交换机还要“聪明”一些，它能理解数据中的IP地址，如果它接收到一个数据包，就检查其中的IP地址，如果目标地址是本地网络的就不理会，如果是其他网络的，就将数据包转发出本地网络。与工作在网络物理层，从物理上划分网段的交换机不同，路由器使用专门的软件协议从逻辑上对整个网络进行划分。例如，一台支持IP协议的路由器可以把网络划分成多个子网段，只有指向特殊IP地址的网络流量才可以通过路由器。当IP子网中的一台主机发送IP分组给同一IP子网的另一台主机时，它将直接把IP分组送到网络上，对方就能收到。而要送给不同IP于网上的主机时，它要选择一个能到达目的子网上的路由器，把IP分组送给该路由器，由路由器负责把IP分组送到目的地。如果没有找到这样的路由器，主机就把IP分组送给一个称为“缺省网关（default gateway）”的路由器上。对于每一个接收到的数据包，路由器都会重新计算其校验值，并写入新的物理地址。网络中的设备用它们的网络地址（TCP／IP网络中为IP地址）互相通信。IP地址是与硬件地址无关的“逻辑”地址。目前TCP／IP网络，全部是通过路由器互连起来的，Internet就是成千上万个IP子网通过路由器互连起来的国际性网络。路由器用于连接多个逻辑上分开的网络，几个使用不同协议和体系结构的网络。路由器利用网络层定义的“逻辑”上的网络地址（即IP地址）来区别不同的网络，实现网络的互连和隔离，保持各个网络的独立性。当一个子网传输到另外一个子网时，可以用路由器完成。它具有判断网络地址和选择路径的功能，过滤和分隔网络信息流。一方面能够跨越不同的物理网络类型（DDN、FDDI、以太网等等），另一方面在逻辑上将整个互连网络分割成逻辑上独立的网络单位，使网络具有一定的逻辑结构。一句话总结：路由器的主要工作就是为经过路由器的每个IP数据包寻找一条＊佳传输路径，并将该数据有效地传送到目的站点。路由器的基本功能是，把数据（IP报文）传送到正确的网络。六、网关                               网关(Gateway)又称网间连接器、协议转换器。网关在网络层以上实现网络互连，是＊复杂的网络互连设备，仅用于两个高层协议不同的网络互连。网关既可以用于广域网互连，也可以用于局域网互连。网关是一种充当转换重任的计算机系统或设备。使用在不同的通信协议、数据格式或语言，甚至体系结构完全不同的两种系统之间，网关是一个翻译器。与网桥只是简单地传达信息不同，网关对收到的信息要重新打包，以适应目的系统的需求。一句话总结：网关，通过字面意思解释就是网络的关口。从技术角度来解释，就是连接两个不同网络的接口，比如局域网的共享上网服务器就是局域网和广域网的接口。

PoE光纤收发器就是具有以太网供电功能的光电转换器，它可以通过网线来远程IP摄像机、无线设备和VoIP电话供电，省去了单独安装电源线的麻烦。目前，PoE光纤收发器主要用于两种网络：千兆以太网和快速以太网，可以支持PoE和PoE+两种供电方式。市场上常见的PoE光纤收发器通常配置有1个RJ45接口和1个SFP接口，还有的PoE光纤收发器会配置双工RJ45接口和双工光纤接口，支持使用固定光纤连接器或SFP光模块。一、光纤收发器是如何工作的？一、光纤收发器是如何工作的？PoE光纤收发器有两个功能，一个是光电转换，一个是通过网线给近端设备输送直流电，也就是说，SFP接口通过光纤来接收和发送光信号，RJ45接口通过网线来输送电信号以及给近端设备供电。那么PoE光纤收发器是如何利用网线来给近端设备供电呢？其工作原理和其他PoE设备一样，我们知道，超五类、六类等网线内包含有4对双绞线，而在10BASE-T和100BASE-T网络中，只有两对双绞线是用来传输数据信号，剩下两对双绞线则是闲置的，这时，我们就要利用这两对双绞线传送直流电。二、POE光纤收发器的应用光纤收发器主要有三种应用：无线接入点、IP摄像机和VoIP电话：1、PoE光纤收发器在无线接入点中的应用2、PoE光纤收发器在IP摄像机中的应用3、PoE光纤收发器在IP电话中的应用PoE光纤收发器满足了远距离、高速、高宽带的千兆以太网和快速以太网工作组用户的需求，可以广泛应用于安防监控、会议系统、智能建筑工程等各种数据通讯领域。

路由器我们每天都会在用，但是很多人并不了解路由器其实分为软路由和硬路由。那么软路由和硬路由两者有什么区别呢？软路由相当于一台虚拟化服务器，用＊低的成本，发挥＊大的应用；满足日益增长的基础构架需求和复杂性的同时，支持新的工作负载和用例，均衡工作负载，并确定资源分配的优先顺序，以确保应用的＊佳性能。简单的说就是在电脑的硬件基础上加上路由系统来实现路由器的所有功能。   硬路由就是我们普遍使用的家用路由器及机房路由器，由厂家提供整体的解决方案，包括路由器的硬件和软件。      软路由和硬路由应用管理范围不同及功能也有差异，价格方面软路由太昂贵。软路由一般为中小企业、网吧、出租屋、酒店、工厂宿舍；而硬路由一般大多数为家庭及需要的网络接口比较小的地方。在经济条件好的家庭可以考虑选择使用软路由，因为软路由和硬路由功能基本上一样，软路由的一些管理功能可以不用即可。    软路由主板由网安（迷你）工控主板，内部安装有赛扬或其他品牌的CPU，一般为四核四线程，主频2.0GHz，内存2G的DDR3L，硬盘至少8GBMSATA，有intel全千兆网卡，直流电源功率比硬路由功率大一些。软路由可以安装Lede/爱快/PfSense高格等X86系统，支持物理网卡直通，充分发挥光纤每一兆带宽。软路由的优点也是非常多的，这里说一说软路由的5个方面的优点。第1个方面它有它的这个硬件优势，我们用的这种硬件路由器的它的一般都是单核或者双核的，现在也有四核的CPU；但是它这个CPU都是800兆，1.2G主频，而现在用的软路由它一般都是用工控机，或者是用这个服务器的配置。那这样的话它X86的这种结构，它可以达到那个4核，目前＊牛的一个ROS的软路由，CPU可以达到36核，1.2G的CPU可以达到36核，它这个转发能力都还是都是非常强劲的，这是硬件优势。第2个方面就是它的那个扩展性，而硬件路由你买的时候是什么功能就是什么功能，如果是你要升级功能的话，那你只能等厂家给你推送升级包；当然现在的这个智能路由器。软路由的这个方向发展就非常明显了，它里面有成百上千个功能包，你想装什么功能包，需要什么功能包就可以安装什么样的功能包，这是第2个优势第3个优势，就是对于一些喜欢折腾的爱好者们而言，可以学习这些网络知识；企业级的路由器、交换机价格太贵，如果是用这种软路由，或者是直接在电脑上装一个虚拟机，在虚拟机上装这种软路由，它的学习的成本是非常低的，所以它的第3个优势就是它的学习成本低。第4个优势是它的性价比优势，为什么说软路由的性价比高呢？第1个的话，如果是你对稳定性要求不高的情况下，你完全可以用旧的电脑，或者是退役的这种服务器来安装这个软件，这个比一般的硬件路由器要强劲得多的路由操作系统，一般的话用在这种中小企业、网吧、出租屋、工厂宿舍；这这WiFi覆盖这种的场合呢用的比较多，这个性价比是非常有优势的。第5个就是它的一个功能优势，我们买的这种硬件路由，由于它的CPU及内存、FLASH它们都不是配置特别高，这样的话你如果是做那种7层识别，或者是行为管理这方面它是有局限性的，而这种软路由的话，就没有局限性。普通路由器它没办法实现什么PPPOE的一个拨号服务器的一个功能，或者是VPN的那个异地组网的这些功能，而软路由的这些功能都是这种软路由的标配了。

核心交换机参数概念详解一、背板带宽背板带宽也称交换容量，是交换机接口处理器或接口卡和数据总线间所能吞吐的＊大数据量，就像是立交桥所拥有的车道的总和。由于所有端口间的通信都需要通过背板完成，所以背板所能提供的带宽，就成为端口间并发通信时的瓶颈。带宽越大，提供给各端口的可用带宽越大，数据交换速度越大；带宽越小，给各端口提供的可用带宽越小，数据 交换速度也就越慢。也就是说，背板带宽决定着交换机的数据处理能力，背板带宽越高，所能处理数据的能力就越强。若欲实现网络的全双工无阻塞传输，必须满足＊小背板带宽的要求。计算公式如下背板带宽=端口数量×端口速率×2提示：对于三层交换机而言，只有转发速率和背板带宽都达到＊低要求，才是合格的交换机，二者缺一不可。例如，如何一款交换机有24个端口，背板带宽=24*1000*2/1000=48Gbps。二、二层三层的包转发率网络中的数据是由一个个数据包组成，对每个数据包的处理要消耗资源。转发速率（也称吞吐量）是指在不丢包的情况下，单位时间内通过的数据包数量。吞吐量就像是立交桥的车流量，是三层交换机＊重要的一个参数，标志着交换机的具体性能。如果吞吐量太小，就会成为网络瓶颈，给整个网络的传输效率带来负面影响。交换机应当能够实现线速交换，即交换速率达到传输线上的数据传输速度，从而＊大限度地消除交换瓶颈。对于三层核心交换机而言，若欲实现网络的无阻塞传输，这个速率能≤标称二层包转发速率和速率能≤标称三层包转发速率，那么交换机在做第二层和第三层交换的时候可以做到线速。那么公式如下吞吐量（Mpps）=万兆位端口数量×14.88 Mpps+千兆位端口数量×1.488 Mpps+百兆位端口数量×0.1488 Mpps。算出的吞吐如果小于你交换机的吞吐量的话，那就可以做到线速。这里面万兆位端口与百兆端口如果有就算上去，没有就可以不用算。例如，对于一台拥有24个千兆位端口的交换机而言，其满配置吞吐量应达到24×1.488 Mpps=35.71 Mpps，才能够确保在所有端口均线速工作时，实现无阻塞的包交换。同样，如果一台交换机＊多能够提供176个千兆位端口，那么其吞吐量至少应当为 261.8 Mpps（176×1.488 Mpps=261.8 Mpps），才是真正的无阻塞结构设计。那么，1.488Mpps是怎么得到的呢?包转发线速的衡量标准是以单位时间内发送64byte的数据包(＊小包)的个数作为计算基准的。对于千兆以太网来说，计算方法如下：1，000，000，000bps/8bit/(64+8+12)byte=1,488,095pps 说明：当以太网帧为64byte时，需考虑 8byte的帧头和12byte的帧间隙的固定开销。故一个线速的千兆以太网端口在转发64byte包时的包转 发率为1.488Mpps。快速以太网的统速端口包转发率正好为千兆以太网的十分之一，为148.8kpps。*对于万兆以太网，一个线速端口的包转发率为14.88Mpps。*对于千兆以太网，一个线速端口的包转发率为1.488Mpps。*对于快速以太网，一个线速端口的包转发率为0.1488Mpps。这个数据我们能用就行。所以说，如果能满足上面三个条件（背板带宽、包转发率）那么我们就说这款核心交换机真正做到了线性无阻塞。一般是两者都满足的交换机才是合格的交换机。背板相对大，吞吐量相对小的交换机，除了保留了升级扩展的能力外就是软件效率/专用芯片电路设计有问题;背板相对小。吞吐量相对大的交换机，整体性能比较高。不过背板带宽是可以相信厂家的宣传的，可吞吐量是无法相信厂家的宣传的，因为后者是个设计值，测试很困难的并且意义不是很大。三、可扩展性可扩展性应当包括两个方面：1、插槽数量：插槽用于安装各种功能模块和接口模块。由于 每个接口模块所提供的端口数量是一定的，因此插槽数量也就从根本上决定着交换机所能容纳的端口数量。另外，所有功能模块(如超级引擎模块、IP语音模块、 扩展服务模块、网络监控模块、安全服务模块等)都需要占用一个插槽，因此插槽数量也就从根本上决定着交换机的可扩展性。2、模块类型：毫无疑问，支持的模块类型(如LAN接口模块、WAN接口模块、ATM接口模块、 扩展功能模块等)越多，交换机的可扩展性越强。仅以局域网接口模块为例，就应当包括RJ-45模块、GBIC模块、SFP模块、10Gbps模块等，以适 应大中型网络中复杂环境和网络应用的需求。四、四层交换第四层交换用于实现对网络服务的快速访问。在四层交换中，决定传输的依据不仅仅是MAC地址(第二层网桥)或源/目标地址(第三层路由)，而且包括 TCP /UDP(第四层)应用端口号，被设计用于高速Intranet应用。四层交换除了负载均衡功能外，还支持基于应用类型和用户ID的传输流控制功能。此 外，四层交换机直接安放在服务器前端，它了解应用会话内容和用户权限，因而使它成为防止非授权访问服务器的理想平五、模块冗余冗余能力是网络安全运行的保证。任何厂商都不能保证其产品在运行的过程中不发生故障。而故障发生时能否迅速切换就取决于设备的冗余能力。对于核心交换机而 言，重要部件都应当拥有冗余能力，比如管理模块冗余、电源冗余等，这样才可以在＊大程度上保证网络稳定运行。六、路由冗余利用HSRP、VRRP协议保证核心设备的负荷分担和热备份，在核心交换机和双汇聚交换机中的某台交换机出现故障时，三层路由设备和虚拟网关能够快速切换，实现双线路的冗余备份，保证整网稳定性。

交换机的配置一直是弱电人的难点，尤其是在大型网络中，前面我们曾提到关于华为、h3c、锐捷等品牌交换机基本配置，本期我们将通过一个网络的配置案例，来详细了解清楚交换机的vlan的创建与实现不同vlan间的隔离。这个实例基本包括了交换机在配置vlan过程中的大部分基础问题，以H3C交换机为例，我们一起来看下H3C交换机配置。一、实例要求与组网拓扑图这是一个经典的交换机组网图，很多项目都是这个组构，我们来重点了解Trunk接口的应用，这也是很多朋友经常不理解的地方。实现同一 Vlan 内的主机互通，不同一 Vlan间的主机隔离。VLAN 10：PC1、PC3；VLAN 20：PC2、PC4；使同vlan的pc能够互访，不同vlan的pc不能互访。二、基本信息配置一、VLAN配置SW1配置system-view[H3C]hostname SW1[SW1]vlan 10 // 创建 vlan 10[SW1-vlan10]port GigabitEthernet 1/0/2 // 将接口加入 vlan 10[SW1]interface GigabitEthernet 1/0/2 // 进入接口 1/0/2[SW1-GigabitEthernet1/0/2]port link-type access // 配置为 access 模式[SW1]interface GigabitEthernet 1/0/3 // 创建 vlan 20[SW1]interface GigabitEthernet 1/0/3 // 进入接口 1/0/3[SW1-GigabitEthernet1/0/3]port link-type access // 配置为 access 模式SW2配置[SW2]vlan 10 // 创建 vlan 10[SW2-vlan10]port GigabitEthernet 1/0/2 // 将接口加入 vlan 10[SW2]interface GigabitEthernet 1/0/2 // 进入接口 1/0/2[SW2-GigabitEthernet1/0/2]port link-type access // 配置为 access 模式[SW2]vlan 20 // 创建 vlan 20[SW2]interface GigabitEthernet 1/0/3 // 进入接口 1/0/3[SW2-GigabitEthernet1/0/3]port link-type access // 配置为 access 模式二、TrunK配置(1) SW3——SW4 的 Trunk 链路调测SW1配置[SW1]interface GigabitEthernet 1/0/1[SW1-GigabitEthernet1/0/1]port link-type trunk[SW1-GigabitEthernet1/0/1]port trunk permit vlan allSW2配置[SW2]interface GigabitEthernet 1/0/1[SW2-GigabitEthernet1/0/1]port link-type trunk[SW2-GigabitEthernet1/0/1]port trunk permit vlan all三、主机 IP 地址配置(1) PC1 网卡 IP 地址配置：192.168.10.10/24(2) PC2 网卡 IP 地址配置：192.168.11.20/24(3) PC3 网卡 IP 地址配置：192.168.10.30/24(4) PC4 网卡 IP 地址配置：192.168.11.40/24鼠标右键点击PC1，点击配置步骤2＊后补充：在配置过程中，如果需要查看当前的配置情况，可以用这些命令。查看接口信息操作[SW1]display interface g1/0/2 // 查看接口信息查看交换机 Vlan 信息[SW1]display vlan brief

楼宇自控BA系统工程检测的准则：由于国际上没有统一的楼宇自控系统的测试标准，因此，楼宇自控系统的验收测试一般以采用设备厂家标准为基本依据，同时可参考国家相关的楼控系统设计标准，以下三点可以认为是BA系统工程检测的基本准则：（1）BA系统的检测是工程检测，它不同于实验室检测，必须结合建筑设备现场实际情况制定检测方案。（2）BA系统工程检测的合格率以设计的监控点数为基数，检测不合格的点数超过1% （或0.5%）时,系统应判为不合格。（3）BA系统工程检测人员的专业技术能力应包括有仪表、电气、计算机、暖通、控制、给排水等领域，并对建筑设备的系统与工艺有深入的理解，否则难以实现正确与准确的检测。BAS系统验收前提条件BAS满足下列条件方可进行测试系统验收：（1）BA系统的全部设备包括现场的各种阀门、执行器、传感器等全部安装完毕，线路敷设和接线全部符合设计图纸的要求；（2）BA系统的受控设备及其自身的系统不仅安装完毕，而且单体或自身系统的调试结束；同时其设备或系统的测试数据必须满足自身系统的工艺要求，例如空调系统中冷水机组其单体运行必须正常，而且其冷量和冷冻水的进出口压力，进出口水温等必须满足空调系统的工艺要求。（3）检查BA系统与各系统的联动、信息传输和线路敷设等必须满足设计要求。BAS的验收资料（1）图纸与资料系统图，控制原理图、监控点数表、技术设计图（安装大样图，控制盘内布置图、接线图，电气原理图）、施工管线平面图（包括管线端子图）、软件参数设定表（包括逻辑图）、产品说明书（包括产品随机资料）。（2）监控点测试数据表（3）单体设备测试报告（4）软件功能测试报告BA系统检测的前期工作BA系统的检测工作要根据工程设计文件和合同技术文件全面了解整个系统的功能和性能指标，来制定BA系统的检测方案，被检测系统的业主与工程承包商需提供的主要文件必须有：系统选型论证、系统规模容量、控制工艺说明、系统功能说明及性能指标、BA系统结构图、各子系统控制原理图、BA系统设备布置与布线图、与BA系统监控相关的动力配电箱电气原理图、现场设备安装图、DDC站与中央管理工作站操作员站的监控过程程序流程图、中央监控室设备布置图、BA系统供货合同及工程合同、BA系统施工质量检查记录、相关的工程设计变更单、BA系统投入运行后三个月的运行记录。在此基础上，根据BA系统的验收标准,制定出一套切实、合理的BA系统检测方案。楼宇自控BA系统工程测试内容BA系统的检测性质是工程检测，而不是实验室内的测试。BA系统检测主要是功能的检测，而且检测的内容要与建筑设备工程设计与工艺要求相结合，检测的方法要因现场的实际情况而灵活采用各种技术手段。因此，BA系统的检测方案并无固定的模式。检测一般分为三个层次：中央监控站、子系统（DDC站）与现场设备（传感器、变送器、执行机构等）来进行功能检测。1、中央监控站的检测中央监控站是对楼宇内各子系统的DDC站数据进行采集、刷新、控制和报警的中央处理装置。检测的项目如下： 在中央监控站上观察现场状态的变化，中央监控站屏幕上的状态数据是否不断被刷新及其响应时间； 通过中央监控站控制下属系统模拟输出量或数字输出量，观察现场执行机构或对象是否动作正确、有效及动作响应返回中央监控站的时间；人为在DDC站的输入侧制造故障时，观察在中央监控站屏幕是否有报警故障数据登陆，并发出声响提示及其响应时间；人为制造中央监控站失电，重新恢复送电后，中央监控站是否丢失数据、能否自动恢复全部监控管理功能； 检测中央监控站是否对进行操作的人员赋予操作权限，以确保BA系统的安全。应从非法操作、越权操作的拒绝，给以证实；人机界面是否汉化，由中央监控站屏幕以画面查询、控制设备状态、观察设备运行过程是否直观操作方便，以证实界面的友好性；检测中央监控站是否具有设备组的状态自诊断功能；检测中央监控站显示器和打印机是否能以报表图形及趋势图方式，提供所有或重要设备运行的时间、区域、编号和状态的信息；检测系统是否提供可进行系统设计、应用、建立图形的软件工具；检测中央监控站所设定的控制对象参数，与现场所测得的对象参数是否与设计精度相符； 检测中央监控站显示各设备运行状态数据是否完整、准确。2、子系统的检测子系统（DDC站）是一个可以独立运行的（下位机）计算机监控系统，对现场各种传感器、变送器的过程信号不断进行采集、计算、控制、报警等，通过通信网络传送到（上位机）中央监控站的数据库，供中央监控站进行实时显示、控制、报警、打印等。检测子系统的项目如下：启停建筑设备，观察各相关设备与执行机构动作的顺序是否符合工艺要求；改变建筑设备工况的设定值，观察各相关执行机构动作的顺序/趋势是否符合工艺要求； 人为制造中央监控站停机，观察各子系统（DDC站）能否正常工作；人为制造子系统（DDC站）失电，重新恢复送电后，子系统能否自动恢复失电前设置的运行状态；人为制造子系统（DDC站）与中央监控站通信网络中断，现场设备是否保持正常的自动运行状态，且中央监控站是否有DDC站离线故障报警信号登录；检测子系统（DDC站）时钟是否与中央监控站时钟保持同步，以实现中央监控站对各类子系统（DDC站）进行监控。3、现场设备的检测根据系统设计监控要求，电信号分为模拟量和开关量。传感器、变送器是将各种物理量（温度、湿度、压差、流量、电动阀开度、液位、电压、电流、功率、功率因数、运行状态等）转换成相应的电信号的装置。执行机构是根据DDC输出的控制信号进行工作的装置。现场设备的检测项目如下：检查现场的传感器、变送器、执行机构、DDC箱安装是否规范、合理，便于维护；检测中央监控站所显示的数据、状态是否与现场的读数、状态一致； 检测执行机构的动作范围、动作顺序是否与设计的工艺相符；当参数超过允许范围时，是否产生报警信号； 在中央监控站控制下的执行机构动作是否正常。4、功能检测BA系统对建筑设备的监控通常是按功能与区域实现的。因此，检测功能也是按区域进行的。 以空调和公共照明区域为例。空调区域是人们工作、休息的场所，在BA系统的控制下，空调系统应保证提供舒适的室内温度和良好的空气品质。检测空调和公共照明区域的项目如下： 检测中央监控站对空调系统的控制是否能按时间表进行；检测空调区域温度、湿度是否与中央监控站显示数据相符；检测室内二氧化碳含量是否符合卫生标准；检测能否根据时间程序，控制公共照明区域灯的开关和设置夜间照明，以达到节能的目的。通过对以上三个层次和功能的检测，可以对BA系统的实时性、可靠性、安全性、易操作性、易维护性、设备的安装质量、控制精度作出综合评价，对存在的问题提出整改意见。通过整改使被检测的BA系统达到正常运行的功效。楼宇自控BA系统检测工程存在的常见问题在多种国内外品牌的BA系统项目工程检测中，所有项目都发现了许多问题，经过一定时间整改后，＊终大部分BA系统都基本符合工程设计文件和合同技术文件所列的功能和技术指标，系统运行情况良好，可实现一定的节能效果。检测合格的BA系统对建筑设备的监控是有效的，检测、控制及报警的实时响应快，操作界面汉化率高，操作与维护方便，并具备设备综合管理的条件，系统对操纵人员权限控制严格，层次清晰，系统工作可靠，空调区域的控制精度可满足空调设计要求。在BA系统检测中通常遇到的问题及其主要原因有以下几方面：1、少数建筑专业、暖通专业和电气专业的设计人员在扩初设计时没有很好配合，以至空调机房空间过小，设备维护通道难以行走；新风口位置设置不合理，新风质量不理想；电气控制箱缺少与BA系统相配的电气输入/出端等。2、部分BA系统设计与工程实施人员对建筑设备不熟悉、对设备系统的整体了解不深入，致使传感器位置设置错误、电动调节阀关闭压力不够、甚至系统缺少应有的传感器与软件工具。3、部分BA系统设计与工程实施人员对空调系统的运行工况和工艺了解不全面，结果BA系统对空调系统的运行控制方式不合理，不能达到有效的节能目标。4、有些施工人员在设备安装过程中，没有按照规范操作，接线错误、传感器安装位置错误、执行机构与设备连接不牢固、DDC箱内布线乱、箱体进出线处不加保护橡皮垫圈、金属软管乱拉、接地系统混乱等，给系统的正常运行带来隐患。5、少数物业管理公司在BA系统投运后，未能进行必要的维护保养；BA系统操作管理人员缺乏专业技能训练，致使原本正常的系统频发故障。6、BA系统的工程竣工文档不全，操作手册未汉化并缺少针对性，影响后续人员对系统的了解与掌握。

交换机是监控网络传输的核心设备。交换机的选型，有很多的重要技术参数需要考虑，硬件上包括百兆/千兆/万兆速率的端口、电口/光口/PoE口、端口数量、MAC地址表深度、转发延迟、缓存大小、VLAN、隔离等等。很多项目就是因为交换机选择不当，出现各种各样的问题，严重影响项目的交付与体验。今天就分享一下交换机选型的时候，需要重点考虑的几个点。下面我们就交换机选型时的四个主要方面讲一下。1选择千兆还是百兆？视频监控系统的网络中，需要传输大量、持续的视频数据，这就要求交换机具有稳定转发数据的能力。交换机接入的摄像头数量越多，流经该交换机的数据量就会越大。我们可以码流想象成水流，交换机就是一个个的水利枢纽，一旦流转的水流超出负荷，大坝就会溃堤。同理，如果交换机下的摄像头转发的数据量超出某个端口的转发能力，也同样会造成这个端口丢弃大量的数据，出现问题。比如百兆的交换机转发超出100M的数据量，就会造成大量丢包，导致花屏卡顿现象。那么，到底接入多少个摄像头就需要选择千兆交换机呢？有一个标准，看摄像头上联端口转发数据量的大小：如果上联端口转发数据量大于70M，就选择千兆端口，即选择千兆交换机或千兆上联交换机。这里有一个快速计算和选择的方法：带宽值=（子码流+主码流）*通道数*1.2①带宽值＞70M，用千兆②带宽值＜70M，用百兆举个例子来说明：有台交换机，接入了20台H.264 200W的摄像机（4+1M），那么按此计算，上联端口的转发速率就是（4+1）*20*1.2=120M>70M，这种情况就要用千兆交换机。某些场景里，交换机只有一个端口需要是千兆，但如果不能优化系统结构，平衡流量，那么就需要配千兆交换机或者千兆上联交换机。问题1：码流计算过程是很清楚，但是为什么要乘以1.2呢？因为根据网络通讯原理，数据包的封装也是遵循TCP/IP协议的，数据部分需要打上各个协议层的头部字段才能顺利传输，所以头部也会占用一定比例的开销。我们经常说的摄像机4M码率、2M码率等，指的其实都是数据部分的大小。根据数据通信比例，头部开销约占20%，所以公式里要乘以1.2。▲数据头部约占20%的开销问题2：为什么是70M不是100M呢？主要是为了考虑突发流量。视频数据流是由很多的帧组成的，看似平缓的数据流，实际会发生很多瞬间突发数据，这种情况就需要交换机对数据的波动能够进行缓冲和整流处理。交换机对这些数据进行存储-转发-存储-转发，所以建议有一定的预留，设计交换网络时能有30%~40%的预留，一个100M的端口，建议转发流量不超出70M。工程上常用的摄像机主要有H.264和H.265两种码率，根据这个码率大小计算：我们以H.264 200W摄像机（主子码流按4+1M计算），常见的串联型网络中的带宽计算和交换机选型：星型的网络结构如下：2怎么选择核心交换机？大中型的监控网络，通常会按照接入-汇聚-核心三层结构设计。核心交换机是整个网络的数据转发中心，承载着大量的数据流，所以必须保证核心交换机的各个端口转发没有瓶颈。有些人对于核心交换机的选择有一些误区，比如有 200、500 个摄像头，如果按照 500*5M=2500M 的方式计算，结果远远大于千兆端口的转发速率，这种项目一定要用万兆交换机吗？也不一定，实际上，典型的大型监控网络，流量不会集中于一个端口，一定会分布在多个端口，由多个千兆端口进行转发。如下图：可以看出图中每个端口均没有超出 1000M，而全千兆交换机的任何两个千兆端口之间就可以实现 1000M 的双向传输，总的吞吐量（满载）一般小于或等于交换机的背板带宽。所以在选择核心交换机的时候，根据IPC数量，建议如下：①100~200台，推荐千兆管理型交换机②200~500台，推荐三层管理型交换机目前二/三层管理型全千兆交换机，均适合作为监控网络的核心交换，承担大容量数据交换。组建各样的网络。对于大型或超大型（300~1000）的监控网络，需要使用三层交换机划分网段，建议使用三层交换机。下面给大家100、300、500个点位的组网方案。100台IPC的组网方案100个左右点位，设计重点在无阻塞转发核心。300台IPC的组网方案300个左右点位，设计重点多网段、流畅转发。500台IPC的组网方案500个点位的规模，需要进行冗余设计，非常适合在政企等大型园区。3如何选择PoE交换机？PoE是通过网线进行供电和数据传输的一种技术，只需要一条网线就可以接入一个PoE摄像机点位，不需要额外的电源布线。在选择PoE交换机的时候，有哪些需要考虑的地方？· 单端口功率单端口功率是否可以满足交换机下挂接的任意一款IPC的＊高功率，也就是根据IPC的＊大功率选择交换机的规格。普通PoE IPC功率不会超过10W，所以交换机只需要支持802.3af即可。但部分高速球机的功率需求约20W，或者部分无线接入AP的功率会更高，那么则需要交换机支持802.3at。下面是两种技术对应的输出功率：· 整机＊大供电功率确认整机＊大供电功率满足要求，设计时需要将所有IPC的功率都考虑在内。交换机的＊大输出供电功率需要大于所有IPC的功率之和。· 供电类型使用八芯网线进行传输，不需要考虑。如果是四芯网线，则需要确认交换机是否支持A类供电。选择的时候，可以结合各类PoE的优势和成本考虑进行选择：4怎么选光纤交换机？在远距离点位的监控中，经常会用到光纤收发器、光纤交换机。下面的例子里，就包含了比较全面的光纤交换网络设备，如收发器、交换机、模块等。光交换机、光纤收发器、光模块是可以相互搭配着使用的。在选择的时候，要注意成对使用，务必保证 A-B 端匹配。A/B 端就是光纤传输的两端，无论两端选择的是交换机、光模块还是光纤收发器，两端必须分别是 A、B 才能配对使用（在产品型号上有标明是A端或B端）。A 端设备的工作波长是 1310nm（RX）、1550nm（TX），必须要搭配B 端光纤收发器（RX1550nm、TX1310nm）使用。＊后，也同样需要考虑端口速率、光纤类型、双纤or单纤这些事项。

一、人员通道系统1.1系统概述人员通道子系统能够对受控区域进行有效管控，所有进出受控区域的人员均需经过认证后方可通行，可以有效防止未授权人员随意进入受控区域，提升内部安全系数。此外，该系统可有效控制人员通行秩序，使得出入口通行井然有序，方便人员出入管理。1.2系统设计人员通道子系统由人员通道闸机、工作站和发卡器等组成，对于安保要求严格的场景，还可以配置人脸识别组件的人脸闸机。系统架构示意图如下：图1人员通道系统架构示意图根据出入口通道管理需要，选用网络型门禁控制主机，通过TCP/IP通讯方式进行与上层管理层通讯方式，支持联机或脱机独立运行，并可联动附近视频监控设备进行抓拍存储，门禁控制主机接入综合管理平台可实现设备资源、人员权限与配置的统一管理。1）人员通道闸机人行通道闸机阻拦体受控制系统驱动，人员身份验证通过后，阻拦体自动打开，延时后闭合。闸机可辅以摄像头、身份证读卡器、CPU卡读卡器、二维码读卡器、指纹识别仪、显示屏、自动收卡器、恒温箱等配件，认证方式和逻辑灵活多样。2）门禁控制主机门禁控制主机可选择内置在闸机内，也可以选择外置，负责人员通道闸机输入、输出信息的处理和储存，用于闸机开关的控制。3）人脸识别组件对于需要1：N比对验证的场所，人员通道闸机可以配置人脸识别组件，能够确保实人通行，即时比对通过。1:N比对设备抓拍人脸照片，进行人实时比对，比对通过后予以放行。图2人脸闸机4）工作站工作站主要用于对出入口控制操作进行记录，供出入口控制管理人员进行数据查询和管理。采用人脸闸机时，需配置中心录入仪或USB相机录入人脸照片。1.3部署设计企业人员通道点位部署主要考虑受控区域的进出权限控制，结合企业的环境特点与实际应用需求，通过对进出通道设置人员通道，限定不同人员的出入权限，并对人员进出信息进行记录查询等。在针对不同受控区域进行人员通道配置时，应遵循以下原则：按需确定受控区域：人员通道点位设计应首先确定受控区域与控制需求，例如企业场景下往往会在企业主要出入口设置人员通道限制非本企业人员随意进出；全面的点位设置：对于需要通行权限控制的区域，应全面考虑该区域的进出通道，对所有可能进入该受控区域的出入口设置人员通道或门禁点。配合门禁控制逻辑：人员通道配置需要与系统控制逻辑相对应，可根据现场需求的不同单向控制进门或出门，而另一方向可通道手动或红外的方式控制；双向控制的人员通道配置标准的通道控制器即可。企业场景常见的人员通道以双向控制居多。在人员通道设计的过程中，应同时考虑人员通道与其它系统的联动，确定各门禁点的联动属性，如某一人员通道与消防信号联动的分区对应关系等。便携的识别方式：人员通道通过通道读卡器或生物识别仪对进出人员的身份进行识别，人员通道点位设置时应根据区域特点与受控区域的安全级别，同时考虑便携性需求，选择不同的识别方式，如单纯的刷卡认证、人脸识别（人脸闸机）、指纹认证或多种认证方式相结合等。1.4系统功能多种工作模式人脸比对系统的硬件设备可根据不同场景及功能需求支持多种比对模式，目前比对模式分为以下几种，刷人脸、刷卡（IC卡或身份证）+人脸、接下来将对这几种比对模式分别做介绍。1）刷人脸图3人脸比对模式示意图设定该模式后，直接刷人脸进行核验。用户在人脸设备上通过人脸框校准采集人脸后，与本地人脸库进行本地人脸照片比对，设备输出语音或文字提示界面结果，对用户进行身份核验。在这种比对模式下，用户仅需要采用自带的生物识别（人脸）特征这一种方式进行比对，无需携带卡片，在使用上给客户带来便利，其安全性也高于传统的刷卡验证。2）刷卡+人脸图4刷卡+人脸模式示意图设定该模式后，需要刷卡（IC卡/身份证）+人脸进行身份核验。用户在人脸设备上刷IC卡，并通过设备上人脸框校准采集人脸照片，在设备端先核对IC卡信息，再对该卡关联的人脸信息进行1：1比对，设备输出语音或文字提示界面结果，同时返回比对结果给平台，对用户进行身份核验。用户在人脸设备上刷身份证，并通过设备上人脸框校准采集人脸照片，在设备端先核对身份证信息，再对身份证芯片存储的人脸信息进行1：1比对，设备输出语音或文字提示界面结果，同时返回比对结果给平台，对用户进行身份核验。在这种模式下，用户需要使用卡（IC卡/身份证）+人脸两种验证方式，安全性比单独刷人脸有所提高，必须两种方式都正确才能通过核验，适合使用对权限要求较高的场所场景。3）智能模式图5智能模式示意图设定该模式后，支持两种（刷人脸）/（刷卡+人脸）两种模式自动切换，系统默认为刷脸模式，当检测到卡（IC卡/身份证）时，系统会自动切换成（刷卡+人脸）验证模式。在这种模式下，用户可跟根据需要在刷人脸或刷（卡+人脸）模式间自由切换，一方面有卡+人脸生物识别验证方式保证安全性，另外也给了客户一定的自由度，在忘带卡的情况下也可以使用人脸生物识别验证方式核验通行。应急联动具备紧急逃生功能，在发生紧急情况如火灾时，人员通道能够自动打开放行，不会阻碍人员的紧急疏散。注：需要与火灾报警系统对接，在断网的情况下不可用。时段常开上下班高峰期，为了保证人员快速通过，人员通道可保持常开，避免发生拥挤、滞留事件。二、人脸门禁系统2.1系统概述门禁系统管理主要实现重要场所出入口的安全管理，对门禁资源、卡片、人员、权限、报警等进行一体化管理。控制端对门禁资源进行统一的操作管理，对报警、事件实现中心化管理，从而在满足用户对出入口安全需求的同时，为人们的工作、生活、学习建立了一个安全、高效、舒适、方便的环境。2.2系统设计系统架构门禁子系统主要由设备前端、传输网络与管理中心三个部分组成。图6人脸门禁系统架构图前端设备包括人脸门禁一体机、电控锁、出门按钮等，主要负责采集与判断人员身份信息与通道进出权限。另外，电锁接收开门信号，完成开门动作，控制人员放行。传输网络主要负责数据传输，包含门禁一体机与管理中心之间的数据通讯。管理中心负责系统配置与信息管理，实时显示系统状态等，主要由综合安防管理平台和中心发卡授权设备组成。前端设备设计前端设备主要负责采集人员的人脸照片并判断人员的进出权限。认证通过后人脸一体机输出电锁开门信号，完成开门动作，控制人员放行。主要产品如下：1)人脸门禁一体机目前前端设备包括均已一体机的形态存在。门禁一体机将身份信息采集判断和门禁控制功能进行了融合，同时人脸门禁一体机可支持多种不同认证方式的组合应用，具体如下表所示：2)出门按钮出门按钮为人脸门禁系统的其中一部分，适用于严进宽出的应用场景，当现场要求严格管理进出时，可将出门按钮更换为人脸门禁一体机。3)电控锁电控锁是一个由继电器控制的机械锁装置，在门禁系统中处于不可缺少的一部分，同时根据现场应用场景的不同可分别安装电插锁（阳极锁）、阴极锁（电锁口）、磁力锁、电控锁等。4)门禁控制器（选配）门禁控制器主要集成权限控制、房门开关等控制功能，本方案中通过门禁控制器的协同作用实现多门互锁、反潜回等门禁高级应用。传输网络设计传输网络是系统能够稳定运行的关键环节之一，设计原则如下：1、人脸门禁一体机通过TCP/IP或WIFI（可定制4G/3G/GPRS）接入管理中心；2、部分人脸门禁一体机通过RS485通讯方式外接副读卡器；3、人脸门禁一体机下行通过多芯信号线接入：输出门锁开关控制信号与报警联动信号等；管理中心设计管理中心主要由USB相机、门禁管理软件、工作站等组成，可对门禁系统整体运行状态进行有效的监控管理，降低系统管理难度、降低维护成本、降低人员依赖性。门禁管理软件除了具备对人脸照片的记录配置之外，也能实现参数设置、设备监控、报警处理、故障定位等系统应用和管理功能，可以极大提升整个门禁管理系统使用的便捷性和有效性。2.3系统部署严进宽出进门：人脸识别；  选用设备：人脸门禁一体机人证访客机或管理中心完成人脸照片下发，用户到达人脸门禁一体机前进行人脸比对进行人脸照片比对。人脸门禁一体机能抓拍人脸信息并传送到一体机内部进行数据分析和对比，同时一体机内部自动判断当前时间该用户是否允许出入，若允许进入门禁控制器中的继电器将操作电子锁开门。同时比对成功后输出界面文字显示，并将人员身份信息及现场抓拍图片上传至后台进行完整记录。出门：按钮出门；  选用设备：出门按钮用户出门时通过出门按钮接入到人脸门禁一体机即可实现出门。严进严出进门：人脸识别；  选用设备：人脸门禁一体机人证访客机或管理中心完成人脸照片下发，用户到达人脸门禁一体机前进行人脸比对进行人脸照片比对。人脸门禁一体机能抓拍人脸信息并传送到一体机内部进行数据分析和对比，同时一体机内部自动判断当前时间该用户是否允许出入，若允许进入门禁控制器中的继电器将操作电子锁开门。同时比对成功后输出界面文字显示，并将人员身份信息及现场抓拍图片上传至后台进行完整记录。出门：人脸识别；  选用设备：人脸门禁一体机人证访客机或管理中心完成人脸照片下发，用户到达人脸门禁一体机前进行人脸比对进行人脸照片比对。人脸门禁一体机能抓拍人脸信息并传送到一体机内部进行数据分析和对比，同时一体机内部自动判断当前时间该用户是否允许出入，若允许进入门禁控制器中的继电器将操作电子锁开门。同时比对成功后输出界面文字显示，并将人员身份信息及现场抓拍图片上传至后台进行完整记录。严进严出+高级应用(如：多门互锁)进门：人脸识别；  选用设备：人脸门禁一体机人证访客机或管理中心完成人脸照片下发，用户到达人脸门禁一体机前进行人脸比对进行人脸照片比对。人脸门禁一体机能抓拍人脸信息并传送到一体机内部进行数据分析和对比，同时一体机内部自动判断当前时间该用户是否允许出入，若允许进入门禁控制器中的继电器将操作电子锁开门。同时比对成功后输出界面文字显示，并将人员身份信息及现场抓拍图片上传至后台进行完整记录。出门：人脸识别；  选用设备：人脸门禁一体机人证访客机或管理中心完成人脸照片下发，用户到达人脸门禁一体机前进行人脸比对进行人脸照片比对。人脸门禁一体机能抓拍人脸信息并传送到一体机内部进行数据分析和对比，同时一体机内部自动判断当前时间该用户是否允许出入，若允许进入门禁控制器中的继电器将操作电子锁开门。同时比对成功后输出界面文字显示，并将人员身份信息及现场抓拍图片上传至后台进行完整记录。协同管理：增加门禁控制器，同时将人脸门禁一体机设定为读卡器模式如现场需要实现多门互锁、反潜回等高级应用时，需要增配门禁控制器实现上述的功能。门禁控制器通过接收人脸门禁一体机所接受的信息并结合门禁设定的规则再判断是否开启房门。2.4系统功能1）采用非接触式智能卡方式系统可以采用多种门禁方式，对使用者进行多级控制；同时对不同的区域和特定的门及通道进行进出管制。子系统能够实现远程管理，实施数据修改、安全密钥验证等功能。2）实时监控功能系统管理人员可以通过微机实时查看每个门区人员的进出情况（计算机屏幕上可以立刻显出当前开启的门号、通过人员的卡号及姓名、读卡和通行是否成功等信息）、每个门区的状态（包括门的开关，各种非正常状态报警等）；也可以在紧急状态打开或关闭所有的门区。3）权限管理系统可针对不同的受控人员，设置不同的区域活动权限，将人员的活动范围限制在与权限相对应的区域内；对人员出入情况进行实时记录管理。系统可实现对指定区域分级、分时段的通行权限管理，限制外来人员随意进入受控区域，并根据管理人员的职位或工作性质确定其通行级别和允许通行的时段，有效防止内盗外盗。考虑其安全性，系统可设置一定数量的操作员并设置不同的密码，根据各受控区域的不同分配操作员的权限。4）动态电子地图功能以图形的形式显示门禁的状态，比如当前门是开门还是关门状态，或者是门长时间打开而产生的报警状态。此时管理人员可以透过这种直观的图示来监视当前各门的状态，或者对长时间没有关闭而产生的报警门进行现场察看。同时拥有权限的管理人员，在电子地图上可对各门点进行直接地开/闭控制。5）出入记录查询功能系统可实时显示、记录所有事件数据；读卡器读卡数据实时传送给计算机，可在管理中心电脑中立即显示；持卡人（姓名、照片等）、事件时间、门点地址、事件类型（进门刷卡记录、出门刷卡记录、按钮开门、无效卡读卡、开门超时、强行开门等）等如实记录且记录不可更改。报警事件发生时，计算机屏幕上会弹出醒目的报警提示框。系统可储存所有的进出记录、状态记录，可按不同的查询条件查询，并生成相应的报表。6）人脸识别加指纹开门功能在重要房间的选配多功能人脸门禁识别一体机可设置为人脸识别加指纹方式，确保内部安全，禁止无关人员随意出入，以提高整个受控区域的安全及管理水平。7）逻辑开门功能（多重认证）同一个门需要多人同时人脸识别才能打开电控门锁。设定某些重要门点如金库等，只有多人同时认证才能开门。（需增加门禁控制器）8）防尾随功能本功能是防止持卡人尾随别人进入，持卡人必须关上刚进入的门才能打开下一个门。在某些特定场合，持卡者从某个门刷卡进来就必须从某个门刷卡出去，刷卡记录必须一进一出严格对应。进入进门未刷卡，尾随别人进来，出门刷卡时系统就不准他出去，如果出门未刷卡，尾随别人出去，下次就不准他进来。或者某人刷卡进来后，从窗户将卡丢给其他人，试图进来，系统也会拒绝该人刷卡进来。该功能可为落实谁何时处于某个区域提供有效证据，同时有效地防止尾随，对于维持良好门禁管理秩序有积极的意义。9）反潜回功能持卡人必须依照预先设定好的路线进出，否则下一通道刷卡无效。配合双向读卡门点设计，系统可将某些门禁点设置为反潜回，限定能在该区域进、出的人员必须按照“进门→出门→进门→出门”的循环方式进出，否则该持卡人会被锁定在该区域内或外。10）多门互锁功能多门互锁包括双门互锁、三门互锁、四门互锁。许多重要区域，通行需经过多道门，要求多道门予以互锁，以方便有效地控制尾随或者秩序进入，可以有效地控制入侵的难度和速度，为保安人员处理突发事件赢得时间。互锁的多门可实现相互制约，提高系统安全性。当其中一个门开启时，其他对应的门都无法打开；当要开启一个门时，其他对应的门必须都是关闭的，否则无法开门。11）强制关门功能如果管理员发现某个入侵者在某个区域活动，管理员可以通过软件，强行关闭该区域的所有门，使得入侵者无法通过偷来的卡刷卡或者按开门按钮来逃离该区域，通知保安人员赶到该区域予以拦截。12）异常报警功能系统具有图形化电子地图，可实时反应门的开关状态。在异常情况下可以实现微机报警或报警器报警，如非法侵入、门超时未关等。13）消防报警功能系统可与火灾自动报警系统联动。如发生火警时，保证自动释放相关区域的通道的出入口控制，使内部人员及时外逃且消防人员可以顺利进入实施灭火救援。14）视频监控联动门禁系统中＊大的安全隐患是非法人员盗用合法卡作案。传统的门禁系统和视频监控系统都无法解决这个问题。因此，为了防止有人盗用他人合法卡作案，保证刷卡记录的真实性，系统支持实时展示并记录刷卡人员信息，以及联动门禁自带监控点或外部视频监控点进行图像抓拍或录像。15）集成功能系统具有开放型结构，便于扩展和联网。门禁系统可提供SDK、HTTP接口，以实现与其他系统的集成。16）WEB查询功能（预留）通过Intranet/Internet，系统具有网络查询功能。根据不同的授权，可以进行网络管理系统信息查询，甚至可以通过网络控制相应的受控点。17）支持脱机工作控制器可脱机（与管理主机失去联系）工作，并且不影响进出门；当门禁与管理中心重新建立通讯时，控制器能实时上传事件信息。18）系统运行模式具备在线、离线和灾害三种模式，分别对应于正常工作、通讯网络故障和灾害三种状况。在线模式系统工作于在线模式为正常情况。此模式下系统管理工作站将门禁控制参数和授权信息下发给门禁控制主机（或门禁主控制器和门禁就地控制器，或门禁一体机）。门禁控制主机（或门禁就地控制器，或门禁一体机）根据工作站要求控制门锁开启或关闭。同时，相关操作信息将全部实时上传至管理工作站。离线模式当通讯网络中断时，系统转为离线工作模式。即脱机情况下，门禁控制主机或门禁一体机可根据本地存储的门禁参数及权限信息独立工作，并存储脱机时的信息记录。一旦通信恢复，将立即将中断时记录的信息上传至工作站。三层架构下，当门禁主控制器与管理工作站之间的网络中断时，门禁主控制器和就地控制器可根据存储的门禁参数及权限信息独立工作；当门禁就地控制器与门禁主控制器之间的网络中断时，门禁就地控制器可根据存储的门禁参数及权限信息独立工作。灾害模式在火警等紧急情况下，工作站根据消防信号或管理员命令自动进入灾害模式。此模式下，工作站向指定区域或所有门禁设备（门禁控制主机、门禁主控制器、门禁就地控制器、门禁一体机）发出开门指令，便于消防疏散和紧急救灾。也可通过紧急联动按钮，对指定区域或所有门禁进行断电释放。门禁主控制器具有消防联动功能，具备防剪防短的消防输入端子，检测到消防输入信号（短路/断路）时可根据预先设置的消防预案，同时自动广播告知各下挂就地控制器打开门锁。

这两种类型交换机的工作方式有所不同：二层交换机可以识别数据包中的MAC地址，根据MAC地址进行转发，并将这些MAC地址与对应的端口记录在自己内部的一个地址表中。二层交换机不遵循路由算法。三层交换机转发基于目标 IP 地址，数据包的目的地是定义的下一跳，三层交换机遵循路由算法。二层交换机如果二层交换机不遵循路由算法，那么它们将如何学习下一跳的 MAC 地址？ 通过遵循ARP(地址解析协议)来实现。ARP的工作内容如下： 我们以网络为例，其中一个交换机连接到四个主机设备，称为 PC1、PC2、PC3 和 PC4。现在，PC1 第一次要向 PC2 发送一个数据包。 虽然 PC1 在第一次通信时知道 PC2 的 IP 地址，但它不知道接收主机的 MAC地址。因此，交换机向所有端口发送ARP请求（不包括PC1所连接的端口），PC2 收到 ARP 请求后，将回复一个带有其 MAC 地址的 ARP 响应消息。这样，PC2 也就收集到了PC1 的 MAC 地址。 通过上述消息的来回流动，交换机就知道哪些MAC地址分配给了哪些端口。同样，当 PC2 在 ARP 响应消息中发送其 MAC 地址时，交换机会收集 PC2 的 MAC 地址并将其存储到自己的 MAC 地址表中。 从现在开始，每当 PC1 想要向 PC2 发送任何数据时，交换机只需在其地址表中查找并转发到 PC2 的目标端口。 如此，交换机将继续维护每个连接主机的硬件地址。冲突和广播域在二层交换中，当两个或多个主机试图在同一网络链路上以相同的时间间隔进行通信时，可能会发生冲突。当数据帧发生冲突，设备必须重新发送数据。冲突对网络性能有严重的负面影响，因此＊＊要避免冲突。 广播是一种信息的传播方式，指网络中的某一设备同时向网络中所有的其他设备发送数据，这个数据所能广播到的范围即为广播域。简单点说，广播域就是指网络中所有能接收到同样广播消息的设备的集合。 使用一个或多个交换机组成的以太网，所有站点都在同一个广播域。随着交换机变多，这个广播域的范围也会变大，于是就会出现难以维护、广播风暴以及安全等问题。 上文说过，一个主机想要获取另外一个网段的主机MAC地址，需要发送ARP广播请求获取对方主机的MAC地址。这个广播请求会广播到每一个主机身上，容易导致广播风暴。VLAN为了克服冲突和广播域问题，在计算机网络系统中引入了VLAN(虚拟局域网)技术。 分隔广播域有两种方法：1. 物理分隔：将网络从物理上划分为若干个小网络2. 逻辑分隔：将网络从逻辑上划分为若干个小的虚拟网络即VLAN 物理分隔有很多缺点，会使得局域网的设计缺乏灵活性，而VLAN则具有灵活性和可扩展性。VLAN配置是在交换机级通过使用不同的接口完成的，不同的交换机可以有不同或相同的 VLAN 配置，并可以根据网络的需要进行设置。 在同一个 VLAN 内的设备和用户并不受物理位置的限制，可以根据功能、部门及应用等因素将它们组织起来，相互之间的通信就好像在同一个网段中一样。因此，与不同交换机相连的主机可以共享同一个广播域。 为了更好地理解VLAN ，我们举个栗子，其中一个使用 VLAN，另一个不使用 VLAN。如果没有 VLAN，从主机 1 发送的广播消息将到达网络中的所有设备。如果给网络中的两个交换机添加一个名为 fast Ethernet 0 和 fast Ethernet 1 的接口卡（通常表示为 Fa0/0）来配置 VLAN，来自主机1 的广播消息将仅发送到主机2。使用了VLAN的网络 在进行配置时会发生这种情况：只有主机 1 和主机 2 定义在同一组 VLAN 下，而其他设备组件是别的 VLAN 网络的成员。 需要注意的是，二层交换机只能允许主机设备与同一个VLAN的主机通信。要到达另一个网络的主机设备，需要三层交换机或路由器。 VLAN 网络高度安全，因为其配置类型，任何文件都可以通过两个预定义的、物理上没有连接的同一VLAN的主机发送。广播流量也由它管理，因为消息将仅发送和接收到定义的 VLAN集，而不是网络上的每个设备。 访问和中继端口 在交换机端口上可以完成各种类型的配置，给VLAN 分配一个访问端口，就可以访问单个 VLAN 网络。 当我们只需要简单地将主机终端设备配置到特定的 VLAN 网络时，就会使用访问端口。 如果需要访问多个交换机，且需要访问不同的VLAN，则将接口配置为交换机的中继端口。中继端口的智能程度足以承受多个VLAN的流量。 配置 VLAN 1、要在交换机上配置 VLAN，首先要在交换机上启用 ioses 模式。2、创建 VLAN 的命令为onfig mode VLAN NUMBER i.e. Switch(config)# VLAN 10。3、通过使用接口命令，我们可以在 VLAN 下分配快速以太网端口。4、通过使用 switchport 访问命令行，我们可以指定接口是访问模式。5、下一条命令将分配 VLAN 编号到交换机端口访问模式。6、switchport access mode 命令只能分配给单个 VLAN。当需要配置多个 VLAN，使用 switchport trunk mode interface 命令，因为它可以承载多个 VLAN 的流量。 二层交换机的特点下面列出了二层交换机的各种特性。 · 二层交换机可以充当网桥，将计算机网络系统的各种终端设备连接在一个平台上。它们能够非常快速且有效地将数据从LAN 网络的源端传输到目标端。· 二层交换机通过从交换机的地址表中学习目的节点的MAC地址，执行交换功能，将数据帧从源端重新排列到目的端。· MAC地址表为二层设备提供了唯一的地址，用于标识数据下发的终端设备和节点。· 二层交换机将庞大复杂的 LAN 网络拆分为一个个小的VLAN网络。· 通过在一个大型的 LAN 网络中配置多个 VLAN，在没有物理连接的情况下，交换变得更快。二层交换机的应用下面给出了二层交换机的各种应用。通过二层交换机，我们可以轻松地将位于同一VLAN内的数据帧从源端发送到目的端，而无需物理连接或位于同一位置。因此，软件公司的服务器可以集中放置在一个位置，而分散在其他位置的客户端可以轻松访问数据而没有延迟，从而节省服务器成本和时间。组织可以通过使用这些类型的交换机将主机配置在同一个VLAN中，而不需要任何互联网连接，从而实现内部通信。三层交换机当我们需要在不同的 LAN 或 VLAN 之间传输数据时，二层交换机就无法满足了。这时需要三层交换机，因为它们将数据包路由到目的地的技术是IP 地址和子网划分。 三层交换机工作在 OSI 参考模型的第3层，并使用 IP 地址执行数据包的路由。它们比二层交换机具有更快的切换速度，甚至比传统路由器更快，因为它们不使用额外的跃点来执行数据包的路由，从而会带来更好的性能。要理解三层交换机的功能，首先需要先了解路由的概念。 第3层中的源端设备首先查看自己的路由表，路由表中包含了源IP地址、目的IP地址和子网掩码的所有信息。然后，根据它从路由表中收集的信息，将数据包发送到目的地，并可以在不同的LAN、MAN和WAN网络之间进一步传递数据。它遵循＊短且安全的路径在终端设备之间传递数据。这就是路由的总体概念。 各种网络可以通过STM链路连接在一起，STM链路有很高的带宽，DS3链路也可以。连接的类型取决于网络的各种参数。三层交换机的特点三层交换机的各种特性如下所示： 1、执行静态路由，以在不同 VLAN 之间传输数据。而二层设备只能在同一 VLAN网络之间传输数据。2、以与路由器相同的方式执行动态路由，这种动态路由技术允许交换机执行＊佳数据包路由。3、根据网络的实时场景提供一组多路径来传递数据包。交换机可以选择＊可行的路径来路由数据包，目前流行的路由技术包括 RIP 和 OSPF。4、有能力识别关于流量流向的交换机的相关IP地址信息。5、能够根据子网划分或 VLAN 流量标记部署 QoS 分类，而不是像二层交换机那样手动配置交换机端口。6、需要更多的功率来运行，并在交换机之间提供更高带宽的链路，这些链路几乎超过 10Gbits。7、为数据交换提供高度安全的路径。三层交换机的应用三层交换机的应用如下: · 被广泛用于数据中心等大型园区。三层交换机具有静态路由和动态路由等特点，且交换速度比路由器快，因此它被用于局域网连接中，用于多个VLAN和LAN网络的互连。· 三层交换机与多台二层交换机相结合，可以支持更多用户接入网络，无需额外部署三层交换机和更多带宽。如果一个网络平台上的终端用户数量增加，那么无需对网络进行任何增强，就可以轻松地将其容纳在同一个运行场景中。· 三层交换机可以轻松处理高带宽资源和＊终用户应用，它提供了 10Gbits 带宽。· 三层交换机有能力解除过载的路由器的负担。在广域网场景中，每个三层交换机都有一个主路由器，这样交换机就可以管理所有的本地VLAN路由。· 通过遵循上述类型的场景，路由器的工作效率将会提高，并且可以专门用于长距离（WAN）连接和数据传输。· 三层交换机十分智能，可以利用其高带宽处理和管理本地连接的服务器和终端设备的路由和流量控制。因此，公司通常使用三层交换机来连接其监控服务器和子系统NOC中心的主机节点。三层交换机的 VLAN 间路由下图显示了三层交换机与二层交换机相结合的跨 VLAN 路由操作。 我们再举个栗子来帮助理解：在大学中，教职员工和学生的 PC 通过二层和三层交换机连接在不同的VLAN上。某教职员工 VLAN 的 PC 1 想其他教员VLAN中的pc2进行通信。由于两个终端设备属于不同的 VLAN，我们需要三层交换机将数据从PC 1 路由到PC 2。 首先，二层交换机借助硬件部分的MAC地址表来定位目标主机。然后从MAC表中学习接收主机的目的地址。之后，三层交换机根据IP地址和子网掩码进行交换和路由，它将明确PC1希望和哪个VLAN网络的目标PC通信。一旦它收集了所有必要的信息，将在它们之间建立链接，并将数据从发送端路由到接收端。这样就完成了不同VLAN间的通信。总  结二层与三层交换机之间有以下区别： 工作层级不同：二层交换机工作在数据链路层，三层交换机工作在网络层，三层交换机不仅实现了数据包的高速转发，还可以根据不同网络状况达到＊优网络性能。 原理不同：二层交换机的原理是当交换机从某个端口收到一个数据包，它会先读取包中的源MAC地址，再去读取包中的目的MAC地址，并在地址表中查找对应的端口，如表中有和目的MAC地址对应的端口，就把数据包直接复制到这个端口上。三层交换机的原理比较简单，就是一次路由多次交换，通俗来说就是第一次进行源到目的的路由，三层交换机会将此数据转到二层，那么下次无论是目的到源还是源到目的都可以进行快速交换。 功能不同：二层交换机基于MAC地址访问，只做数据的转发，并且不能配置IP地址，而三层交换机将二层交换技术和三层转发功能结合在一起，也就是说三层交换机在二层交换机的基础上增加了路由功能，可配置不同VLAN的IP地址，可通过三层路由实现不同VLAN之间通讯。 应用不同：二层交换机主要用于网络接入层和汇聚层，而三层交换机主要用于网络核心层，但是也存在少部分三层交换机用于汇聚层的现象，下图是三层交换机的实际应用实例。 支持的协议不同：二层交换机支持物理层和数据链路层协议，而三层交换机支持物理层、数据链路层及网络层协议。