XX基地園區(qū)網(wǎng)絡(luò)方案建議書(shū)

1、共享知識(shí)分享快樂(lè)XX集團(tuán)園區(qū)網(wǎng)絡(luò)技術(shù)建議書(shū)H3CITolP解決方案專(zhuān)家杭州華三通信技術(shù)有限公司目錄第1章 總體建設(shè)要求 3第2章設(shè)計(jì)原則5第3章網(wǎng)絡(luò)整體方案設(shè)計(jì) 73.1 總體網(wǎng)絡(luò)設(shè)計(jì)描述73.2 網(wǎng)絡(luò)結(jié)構(gòu)設(shè)計(jì)73.3 網(wǎng)絡(luò)拓?fù)鋱D93.3.1 網(wǎng)絡(luò)拓?fù)鋱D（內(nèi)網(wǎng)） 93.3.2 網(wǎng)絡(luò)拓?fù)鋱D（外網(wǎng)） 93.3.3 網(wǎng)絡(luò)拓?fù)鋱D（智能網(wǎng)） 103.4 組網(wǎng)描述103.4.1 網(wǎng)絡(luò)出口設(shè)計(jì)103.4.2 核心層設(shè)計(jì)113.4.3 匯聚層設(shè)計(jì)133.4.4 接入層設(shè)計(jì)133.4.5 用戶認(rèn)證：143.4.6 網(wǎng)絡(luò)管理系統(tǒng)： 153.5 安全設(shè)計(jì)153.5.1 安全設(shè)計(jì)要點(diǎn)153.5.2 網(wǎng)絡(luò)邊界安全防護(hù)

2、16第4章有線無(wú)線一體化設(shè)計(jì) 204.1 無(wú)線控制器204.2 無(wú)線 AP 214.3 POE 供電234.4 無(wú)線網(wǎng)管運(yùn)維234.5 無(wú)線用戶認(rèn)證 244.6 方案特點(diǎn)25第5章方案優(yōu)勢(shì)介紹28第1章總體建設(shè)要求根據(jù)XX園區(qū)信息化對(duì)計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)的需求，我們選擇采用基于TCP/IP協(xié)議的、以1/10G BASE-X光纖鏈路為骨干的網(wǎng)絡(luò)，各樓棟內(nèi)采用千兆到桌面，要求能兼容IPV4與IPV6,通過(guò)VLA破IJ分不同邏輯區(qū)域分別供不同部門(mén)的接入使用。在共用主干網(wǎng)絡(luò)線路的前提下實(shí)現(xiàn)各區(qū)域的邏輯性隔離，以實(shí)現(xiàn)安全、使用以及資源利用最大化。1、區(qū)域劃分XX公司園區(qū)網(wǎng)由四棟新建樓宇組成，分別是保障中心、集

3、控大廳、周轉(zhuǎn)宿舍、多功 能綜合樓；保障中心作為整個(gè)園區(qū)的網(wǎng)絡(luò)核心，中心機(jī)房部署在三樓，分別通過(guò)光纜連接 其它樓棟，大樓內(nèi)設(shè)置匯聚交換機(jī)，接入交換機(jī)對(duì)本大樓內(nèi)的信息點(diǎn)位進(jìn)行接入。2、網(wǎng)絡(luò)拓樸的設(shè)計(jì)根據(jù)業(yè)務(wù)情況，把園區(qū)網(wǎng)絡(luò)分為3套網(wǎng)絡(luò)：內(nèi)網(wǎng)、外網(wǎng)、智能網(wǎng)，三套網(wǎng)絡(luò)要求物理隔離；網(wǎng)絡(luò)主體架構(gòu)采用星型拓樸結(jié)構(gòu)，計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)考慮在保障中心三樓機(jī)房各設(shè)計(jì)2臺(tái)萬(wàn)兆交換機(jī)作為 XX公司個(gè)業(yè)務(wù)網(wǎng)絡(luò)的核心交換機(jī)，同時(shí)必須虛擬化能力，采用雙核心設(shè) 計(jì)，把雙核心虛擬成一臺(tái)具有高性能、高可靠、高安全的虛擬交換機(jī)；核心交換機(jī)通過(guò)萬(wàn)兆單光纜連接到保障中心、集控大廳、周轉(zhuǎn)宿舍、多功能綜合樓的匯聚機(jī)房，根據(jù)信息點(diǎn)位設(shè)計(jì)一臺(tái)萬(wàn)

4、兆匯聚交換機(jī)，通過(guò)千兆單模對(duì)本樓層的接入交換機(jī)提供接入，樓層設(shè)計(jì)多臺(tái)千兆接入交換機(jī)對(duì)本棟大樓信息點(diǎn)提供千兆桌面接入。3、網(wǎng)絡(luò)管理系統(tǒng)基于網(wǎng)絡(luò)中所涉及的設(shè)備較多，需要對(duì)設(shè)備進(jìn)行狀態(tài)檢測(cè)、設(shè)備配置、策略設(shè)置等， 在網(wǎng)絡(luò)發(fā)生故障時(shí)能夠及時(shí)發(fā)現(xiàn)問(wèn)題，這需要一套功能強(qiáng)大的網(wǎng)絡(luò)管理軟件。方案中選用 智能網(wǎng)管軟件作為局域網(wǎng)管理平臺(tái)，能夠與方案中設(shè)計(jì)的網(wǎng)絡(luò)設(shè)備、安全設(shè)備、無(wú)線、監(jiān) 控良好配合。4、無(wú)線覆蓋設(shè)計(jì)利用無(wú)線網(wǎng)絡(luò)技術(shù)進(jìn)一步擴(kuò)展網(wǎng)絡(luò)的覆蓋范圍，提高網(wǎng)絡(luò)的用戶自適應(yīng)性， 在無(wú)線的覆蓋范圍內(nèi)實(shí)現(xiàn)數(shù)據(jù)業(yè)務(wù)和語(yǔ)音業(yè)務(wù)的無(wú)線傳輸，并且可實(shí)現(xiàn)三層漫游，使無(wú)線局域網(wǎng)和有線 網(wǎng)成為一個(gè)整體，提供安全的無(wú)線接入。無(wú)線要求

5、采用FIT AP組網(wǎng)方式，由無(wú)線控制器又集團(tuán)內(nèi)所有的無(wú)線AP進(jìn)行統(tǒng)一接入管理，AP供電采用POE程供電方式；5、 對(duì)IP地址、DNS?網(wǎng)絡(luò)基礎(chǔ)資源的規(guī)劃XX共有上千個(gè)網(wǎng)絡(luò)點(diǎn)及多個(gè)無(wú)線AP,其IP地址劃分按 C類(lèi)協(xié)議劃分，可以考慮不同樓棟的不同部門(mén)上網(wǎng)采用不同的IP段。6、 對(duì)安全的考慮方案中對(duì)系統(tǒng)安全作如下考慮，在對(duì)外連接上采用高性能防火墻，提供充足的千兆端口和處理系能。對(duì)于集團(tuán)上網(wǎng)的各種應(yīng)用進(jìn)行行為和流量控制，配置應(yīng)用控制網(wǎng)關(guān)，對(duì)集團(tuán)各種行為進(jìn)行精細(xì)化管理和控制，對(duì)上網(wǎng)行為提供事后行為審計(jì)能力。7、綜合布線綜合布線是本次網(wǎng)絡(luò)改造的重點(diǎn)，要求做點(diǎn)規(guī)范、整潔、美觀、方便、耐用，樓棟之間采用室外光

6、纜進(jìn)行布放，光纜兩端采用光端盒，光端盒必須出可接跳線的耦合器，不能直接出尾纖。光纜必須走地下，不能從空中拉；室內(nèi)采用六類(lèi)非屏蔽線纜，除了新教學(xué)樓，其它大樓均采用一個(gè)弱電機(jī)房，所有信息點(diǎn)的網(wǎng)線直接拉到大樓弱電機(jī)房，在機(jī)房采用配線架集中整合。線纜布放必須采用橋架方 式進(jìn)行布放；XX公司網(wǎng)絡(luò)建設(shè)的總體目標(biāo)是建立一個(gè)開(kāi)放的、基于標(biāo)準(zhǔn)的數(shù)字化園區(qū)系統(tǒng)平臺(tái)，利用企業(yè)信息交換、 資源共享、遠(yuǎn)程會(huì)議等現(xiàn)代化辦公手段，面向員工及用戶提供個(gè)性化、人性化的服務(wù)。并可支持未來(lái)數(shù)據(jù)、語(yǔ)音和視頻等多業(yè)務(wù)在現(xiàn)有網(wǎng)絡(luò)技術(shù)平臺(tái)的融合。計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)是整個(gè) XX公司信息管理系統(tǒng)的基礎(chǔ)平臺(tái)與設(shè)施，為保證信息管理系 統(tǒng)應(yīng)用系統(tǒng)的高效

7、、安全、可靠，必須在整個(gè)網(wǎng)絡(luò)系統(tǒng)建設(shè)方案設(shè)計(jì)中按照國(guó)家和行業(yè)標(biāo) 準(zhǔn)，達(dá)到一定的設(shè)計(jì)、建設(shè)原則和目標(biāo)。建設(shè)一個(gè)支持?jǐn)?shù)字化、 網(wǎng)絡(luò)化、自動(dòng)化的國(guó)內(nèi)先進(jìn)的基礎(chǔ)網(wǎng)絡(luò)平臺(tái)，滿足數(shù)字化企業(yè)建設(shè)的需要，也滿足企業(yè)信息化建設(shè)的長(zhǎng)期要求。網(wǎng)絡(luò)平臺(tái)具有良好的服務(wù)質(zhì)量、較高安 全性、便于管理和維護(hù)，能夠支持企業(yè)的各種辦公和科研應(yīng)用，也支持移動(dòng)辦公、信息發(fā)布。第2章設(shè)計(jì)原則在XX公司網(wǎng)絡(luò)建設(shè)項(xiàng)目中，為節(jié)省用戶投資，保證業(yè)務(wù)的正常、優(yōu)質(zhì)開(kāi)展，整個(gè)網(wǎng)絡(luò) 系統(tǒng)必須總體規(guī)劃，統(tǒng)一標(biāo)準(zhǔn)。為達(dá)到XX公司網(wǎng)絡(luò)建設(shè)的目標(biāo)要求， 在網(wǎng)絡(luò)設(shè)計(jì)構(gòu)建中， 應(yīng)堅(jiān)持以下建網(wǎng)原則：需求驅(qū)動(dòng)原則： 以實(shí)際應(yīng)用需求為依據(jù)，選擇技術(shù)和設(shè)備。根據(jù)企業(yè)信息

8、化建設(shè) 的實(shí)際需求，考慮遠(yuǎn)程辦公與合作，特別是數(shù)據(jù)信息傳輸與數(shù)字視頻業(yè)務(wù)的需要， 要充分考慮網(wǎng)絡(luò)系統(tǒng)的服務(wù)質(zhì)量和可靠性。根據(jù)現(xiàn)在的需求和可以預(yù)見(jiàn)的需求增 長(zhǎng)情況設(shè)計(jì)網(wǎng)絡(luò)，不追求空洞的技術(shù)先進(jìn)性，避免追求高檔和最新技術(shù)花費(fèi)的巨 大代價(jià)。先進(jìn)性原則：企業(yè)信息化需要最新技術(shù)的支撐，特別是網(wǎng)絡(luò)技術(shù)和多媒體計(jì)算機(jī)技術(shù)，必須采用先進(jìn)成熟的技術(shù)，并兼顧未來(lái)發(fā)展趨勢(shì)。本方案所選擇H3c公司設(shè)備在技術(shù)上具有很強(qiáng)的先進(jìn)性，其性能、技術(shù)體系可保證企業(yè)5-8年的發(fā)展需要，有力的保護(hù)了企業(yè)投資。 投資保護(hù)原則： 由于企業(yè)已在網(wǎng)絡(luò)應(yīng)用方面做了大量的投入進(jìn)行信息化建設(shè)，企 業(yè)信息化在各部門(mén)或不同的應(yīng)用上對(duì)網(wǎng)絡(luò)的需求不盡相同

9、，原有的很多工作已經(jīng) 證明是有效的，這部分軟硬件可以繼續(xù)發(fā)揮作用，從而保護(hù)原有投資，節(jié)省建設(shè) 經(jīng)費(fèi)。標(biāo)準(zhǔn)化原則：從機(jī)房建設(shè)、綜合布線工程規(guī)范、到網(wǎng)絡(luò)技術(shù)標(biāo)準(zhǔn)和網(wǎng)絡(luò)協(xié)議，都 有相應(yīng)的國(guó)際標(biāo)準(zhǔn)和國(guó)家標(biāo)準(zhǔn)，所有設(shè)計(jì)與建設(shè)要遵循該原則，從而可以實(shí)現(xiàn)標(biāo) 準(zhǔn)化管理，延長(zhǎng)整體項(xiàng)目的生命周期，做到投資保護(hù)。安全性原則：企業(yè)信息化工作的特殊性，對(duì)網(wǎng)絡(luò)與信息安全提出了很高的要求。 由于安全性的要求與投入成正比，并且涉及管理與應(yīng)用的方方面面，是一個(gè)復(fù)雜 的系統(tǒng)工程，實(shí)際上沒(méi)有一個(gè)絕對(duì)安全的系統(tǒng)，安全只是相對(duì)而言，所以該原則 是充分評(píng)估安全風(fēng)險(xiǎn)，制定安全策略，采取必要的安全措施。是防止非法訪問(wèn)者 通過(guò)互聯(lián)網(wǎng)絡(luò)對(duì)網(wǎng)絡(luò)節(jié)

10、點(diǎn)進(jìn)行攻擊的能力。從網(wǎng)絡(luò)設(shè)備來(lái)講，防止外部攻擊主要 靠路由器實(shí)現(xiàn)，華為路由器在這方面具有獨(dú)到的優(yōu)勢(shì)。華為3CO用品的全部軟件及硬件均為公司自行開(kāi)發(fā)研制，具有完全的知識(shí)產(chǎn)權(quán)。工程原則：網(wǎng)絡(luò)系統(tǒng)建設(shè)涉及機(jī)房與網(wǎng)絡(luò)配線間環(huán)境、通信管道與通信線纜、樓 內(nèi)綜合布線系統(tǒng)、電源及其防護(hù)、網(wǎng)絡(luò)交換機(jī)與路由器、服務(wù)器設(shè)備以及相關(guān)的 軟硬件系統(tǒng)，在設(shè)計(jì)建設(shè)時(shí)要體現(xiàn)工程原則，做到有工程規(guī)劃、項(xiàng)目有設(shè)計(jì)、實(shí) 施有控制等，實(shí)現(xiàn)整個(gè)系統(tǒng)的可管理、可維護(hù)、可擴(kuò)展和可升級(jí)。健壯性及開(kāi)放性： 它應(yīng)具有很好的收斂性和可擴(kuò)展性，同時(shí)其網(wǎng)絡(luò)額外開(kāi)銷(xiāo)是極 小的，且受到國(guó)際標(biāo)準(zhǔn)的支持，保證不同設(shè)備見(jiàn)的互通性。可擴(kuò)展性：考慮到今后信息化的

11、進(jìn)程和逐步演進(jìn)，網(wǎng)絡(luò)要建設(shè)成完整統(tǒng)一、組網(wǎng) 靈活、易擴(kuò)充的彈性網(wǎng)絡(luò)平臺(tái)，能夠隨著需求變化，充分留有擴(kuò)充余地。經(jīng)濟(jì)性：應(yīng)該充分的利用現(xiàn)有的網(wǎng)絡(luò)資源，充分考慮經(jīng)濟(jì)和安全的最佳結(jié)合點(diǎn)。 設(shè)備在保障性能和可靠安全的基礎(chǔ)上，應(yīng)能達(dá)到最佳性價(jià)比。卑微如蟋蟻、堅(jiān)強(qiáng)似大象第3章 網(wǎng)絡(luò)整體方案設(shè)計(jì)3.1 總體網(wǎng)絡(luò)設(shè)計(jì)描述從應(yīng)用結(jié)構(gòu)上來(lái)講，XX公司網(wǎng)絡(luò)系統(tǒng)可分為三個(gè)大的層次：安全保隙系統(tǒng)互聯(lián)支撐網(wǎng)絡(luò)互聯(lián)支撐層是 XX公司管理網(wǎng)的基礎(chǔ)，由 XX公司管理中心統(tǒng)一規(guī)劃、構(gòu)建及管理，支 撐層利用寬帶IP技術(shù)，保證網(wǎng)絡(luò)的互聯(lián)互通性， 提供具有一定 QoS的帶寬保證，并提供各部 門(mén)、系統(tǒng)網(wǎng)絡(luò)間的一定隔離，保證互訪的安全控制；

12、安全保障系統(tǒng)是指通過(guò)認(rèn)證、加密、授權(quán)、綁定控制等技術(shù)對(duì)XX公司管理網(wǎng)上的用戶訪問(wèn)及數(shù)據(jù)實(shí)施安全保障的監(jiān)控系統(tǒng)，他與互聯(lián)支撐層相對(duì)獨(dú)立，由管理中心與各部門(mén)單位 共同規(guī)劃，分布構(gòu)建，如數(shù)據(jù)加密等措施建議在用戶網(wǎng)絡(luò)處（各部門(mén)）實(shí)施；業(yè)務(wù)應(yīng)用層就是在安全互聯(lián)的基礎(chǔ)上實(shí)施XX公司管理網(wǎng)的各種應(yīng)用，由管理中心與各系統(tǒng)單位統(tǒng)一規(guī)劃，分別實(shí)施。在本方案中，各個(gè)網(wǎng)絡(luò)系統(tǒng)均采用星型結(jié)構(gòu)，星型結(jié)構(gòu)特點(diǎn)是 結(jié)構(gòu)簡(jiǎn)單，時(shí)延固定，便于管理和故障排除，接入層單點(diǎn)故障不會(huì)影響整個(gè)網(wǎng)絡(luò)，提高網(wǎng)絡(luò) 的可靠性。3.2 網(wǎng)絡(luò)結(jié)構(gòu)設(shè)計(jì)網(wǎng)絡(luò)的拓?fù)浣Y(jié)構(gòu)很大程度上決定了網(wǎng)絡(luò)的性能，常見(jiàn)的網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)主要有星型結(jié)構(gòu)、 網(wǎng)狀結(jié)構(gòu)、環(huán)形結(jié)構(gòu)等幾種

13、，根據(jù)XX集團(tuán)園區(qū)網(wǎng)的特點(diǎn)，結(jié)合性能和經(jīng)濟(jì)方面的考慮，推薦采用星型結(jié)構(gòu) 搭建園區(qū)網(wǎng)。根據(jù)功能區(qū)的不同劃分為以下3層，核心層、匯聚層、接入層 ：名稱(chēng)功能備注核心設(shè)備核心層為網(wǎng)絡(luò)提供骨干組件或 高速交換組件，高效速度傳輸是核 心層的目標(biāo)核心交換機(jī)米用基于CLOS多級(jí)交換架構(gòu)的交換機(jī) S10500,控制和轉(zhuǎn)發(fā)物理分離，真正保證大數(shù)據(jù)量的無(wú)阻塞轉(zhuǎn)發(fā),同時(shí)支持多業(yè)務(wù)安全插卡，保證整個(gè)網(wǎng)絡(luò)的數(shù)據(jù)傳輸安全匯聚設(shè)備匯聚層是核心層和終端用戶接入層的分界面，匯聚交換選擇 S5800萬(wàn)兆交換機(jī)， 提供24個(gè)千兆光口， 4個(gè)萬(wàn)兆光接口， 對(duì)上通過(guò)萬(wàn)兆單模連接到兩臺(tái)核心，向 下采用多模千兆接入樓層接入交換機(jī)， 匯聚層完

14、成網(wǎng)絡(luò)訪問(wèn)的策略控制、廣播 域的定義、VLAN 間的路由、數(shù)據(jù)包處 理、過(guò)濾尋址及其他數(shù)據(jù)處理的任務(wù)。接入設(shè)備接入層向本地網(wǎng)段提供用戶接入。接入交換機(jī)采用 S5110千兆交換機(jī)， 通過(guò)千兆多模接到匯聚交換機(jī)，通過(guò)六類(lèi) 網(wǎng)線提供用戶千兆接入，主要提供網(wǎng)絡(luò)分 段、廣播能力、多播能力、介質(zhì)訪問(wèn)的安 全性、MAC地址的過(guò)濾和路由發(fā)現(xiàn)等任 務(wù)3.3 網(wǎng)絡(luò)拓?fù)鋱D3.3.1 網(wǎng)絡(luò)拓?fù)鋱D（內(nèi)網(wǎng)）年能集團(tuán)園區(qū)網(wǎng)絡(luò)拓?fù)鋱D懂心思也索尼再塞華向一 萬(wàn)我.事 方乩芬, 一 年#L電口3.3.2 網(wǎng)絡(luò)拓?fù)鋱D（外網(wǎng)）華能集團(tuán)園區(qū)網(wǎng)絡(luò)拓?fù)漤バ谋萾ofriAin幡3【至層后入仁3.3.3 網(wǎng)絡(luò)拓?fù)鋱D（智能網(wǎng)）華能集區(qū)網(wǎng)絡(luò)拓?fù)錁?/p>

15、心層KA或R?ftP3.4 組網(wǎng)描述根據(jù)本期工程的需求和建設(shè)目標(biāo)，整個(gè)園區(qū)網(wǎng)絡(luò)分為三張網(wǎng)絡(luò)：內(nèi)網(wǎng)、外網(wǎng)、智能網(wǎng)，三張網(wǎng)絡(luò)的邏輯結(jié)構(gòu)及設(shè)備選型類(lèi)似，要求三張網(wǎng)絡(luò)物理隔離，獨(dú)立組網(wǎng)；網(wǎng)絡(luò)結(jié)構(gòu)設(shè)計(jì)上采用三層架構(gòu)，核心交換機(jī)、匯聚交換機(jī)、接入交換機(jī)，樓間采用萬(wàn)兆單模連接，大樓內(nèi)的匯聚和接入通過(guò)千兆單模光纖連接，千兆到桌面，同時(shí)實(shí)現(xiàn)園區(qū)部分場(chǎng) 所的無(wú)線無(wú)縫覆蓋，為園區(qū)提供高速、穩(wěn)定、方便的無(wú)線接入平臺(tái)，保證園區(qū)各種應(yīng)用能夠 隨時(shí)隨地的開(kāi)展。3.4.1 網(wǎng)絡(luò)出口設(shè)計(jì)三張網(wǎng)絡(luò)（內(nèi)網(wǎng)、外網(wǎng)、智能網(wǎng)）的出口分別通過(guò)核心交換機(jī)接到集團(tuán)原有相應(yīng)網(wǎng)絡(luò)上，在核心交換機(jī)上部署安全插卡 （防火墻、入侵防御系統(tǒng)），有效阻止來(lái)

16、自網(wǎng)絡(luò)中的各種安全威脅，如黑客、木馬、病毒、網(wǎng)頁(yè)篡改等；在外網(wǎng)考慮兩個(gè)出口,在互聯(lián)網(wǎng)一個(gè)出口為集團(tuán)外網(wǎng)接入，另外考慮單獨(dú)的互聯(lián)網(wǎng)出口，出口部署一臺(tái)高性能出口路由器SR6602-X1 ,提供15M的包轉(zhuǎn)發(fā)能力，4個(gè)千兆光口， 4個(gè)千兆電口，2個(gè)萬(wàn)兆接口， 4個(gè)業(yè)務(wù)擴(kuò)展槽位，出口路由器要做 NAT轉(zhuǎn)換，SR6602具備400 萬(wàn)的并發(fā)連接數(shù)，完全滿足園區(qū)用戶的上網(wǎng)需要， 園區(qū)內(nèi)部全部采用私有地址， 通過(guò)NAT后訪問(wèn)互聯(lián)網(wǎng)，可以很好解決公網(wǎng)地址不足的問(wèn)題。3.4.2 核心層設(shè)計(jì)隨著園區(qū)網(wǎng)信息化的完善，園區(qū)的應(yīng)用越來(lái)越多，上網(wǎng)的人也越來(lái)越多，業(yè)務(wù)也遍布辦 公、娛樂(lè)、生活各個(gè)領(lǐng)域，接入方式不局限于有線，

17、有高帶寬的無(wú)線接入，所以園區(qū)核心交換機(jī)需要同時(shí)承載多種業(yè)務(wù)，所有業(yè)務(wù)都要經(jīng)過(guò)核心交換機(jī)處理，建議核心交換機(jī)必須滿足 大容量、高性能、高可靠、高安全及網(wǎng)絡(luò)擴(kuò)展的要求，本次三張網(wǎng)絡(luò)（內(nèi)網(wǎng)、外網(wǎng)、智能網(wǎng)） 核心層均采用雙核心設(shè)計(jì)，核心交換機(jī)采用H3c多級(jí)交換架構(gòu)（CLOS）數(shù)據(jù)中心級(jí)交換機(jī)S10508-V,兩臺(tái)核心通過(guò)虛擬化技術(shù)IRF2虛擬成一臺(tái)設(shè)備邏輯設(shè)備，H3C S10500是中國(guó)國(guó)內(nèi)第一款100G平臺(tái)交換機(jī)，支持未來(lái) 40GE和100GE以太網(wǎng)標(biāo)準(zhǔn)，采用先進(jìn)的CLOS多級(jí)多平面交換架構(gòu)，獨(dú)立的交換網(wǎng)板卡，控制引擎和交換網(wǎng)板硬件相互獨(dú)立，最大程度的提高設(shè) 備可靠性，同時(shí)為后續(xù)產(chǎn)品帶寬的持續(xù)升級(jí)提

18、供保證；為了滿足數(shù)據(jù)中心級(jí)網(wǎng)絡(luò)高可靠、高 可用、虛擬化的要求，S10500采用創(chuàng)新IRF2 （第二代智能彈性架構(gòu)）設(shè)計(jì)，將多臺(tái)高端設(shè)備虛擬化為一臺(tái)邏輯設(shè)備，簡(jiǎn)化路由協(xié)議運(yùn)行狀態(tài)與運(yùn)維管理，同時(shí)大大縮短設(shè)備及鏈路出 現(xiàn)故障快速切換，避免網(wǎng)絡(luò)震蕩。IRF2互聯(lián)鏈路采用2*10GE捆綁，保證高可靠及橫向互訪高帶寬。在每臺(tái)核心交換機(jī) S10508配置配置1個(gè)控制引擎、3個(gè)電源、2個(gè)獨(dú)立的交換引擎、32 個(gè)萬(wàn)兆光口 （含4個(gè)萬(wàn)兆單模光模塊，2個(gè)萬(wàn)兆多模光模塊），用于連接樓棟匯聚（保障中心、 集控大廳、周轉(zhuǎn)宿舍、多功能綜合樓），配置48個(gè)千兆電接口，便于集團(tuán)服務(wù)器、工作站接入；核心節(jié)點(diǎn)到樓層交換機(jī)和各大樓

19、匯聚交換機(jī)之間通過(guò)10GE鏈路連接，核心設(shè)備支持虛擬化，兩臺(tái)核心可虛擬為一臺(tái)路由設(shè)備，為接入的用戶提供缺省網(wǎng)關(guān)的冗余，便于后期雙核 心擴(kuò)展。IRF2虛擬化技術(shù)一一核心組網(wǎng)可靠性：實(shí)現(xiàn)兩臺(tái)核心交換機(jī) S10508-V虛擬成一臺(tái)邏輯設(shè)備，通過(guò)跨設(shè)備鏈路捆綁實(shí)現(xiàn)核心和接 入的點(diǎn)對(duì)點(diǎn)互聯(lián)，消除二層網(wǎng)絡(luò)的環(huán)路，這樣就直接避免了在網(wǎng)絡(luò)中部暑STP,同時(shí)對(duì)于核心的兩臺(tái)設(shè)備虛擬化為一臺(tái)邏輯設(shè)備之后，網(wǎng)關(guān)也將變成一個(gè)，無(wú)需部署傳統(tǒng)的VRR項(xiàng)、議。在管理層面，通IRF2多虛一之后，管理的設(shè)備數(shù)量減少一半以上，對(duì)于本項(xiàng)目，管理點(diǎn)只有核心和接入兩臺(tái)設(shè)備，網(wǎng)絡(luò)管理大幅度簡(jiǎn)化。如下圖所示:部舌1RF2后傳統(tǒng)組網(wǎng)多級(jí)交換（

20、CLOS架構(gòu)一一核心硬件可靠性：1、轉(zhuǎn)發(fā)任務(wù)分擔(dān)到多塊交換網(wǎng)板，轉(zhuǎn)發(fā)效率急速提升，性能大幅提高2、主控轉(zhuǎn)發(fā)物理分離，引擎壓力驟減，交換網(wǎng)板相互備份，可靠性更高3、交換網(wǎng)板可熱插拔升級(jí)，可擴(kuò)展性能，滿足長(zhǎng)遠(yuǎn)需求*1晶呻CLOS田宮n能 BHT蚓0幅者早比福主可靠主拄方言.引堂L電俎交1*網(wǎng)版均冗親電IHS更全安全、無(wú)埼fe米保障核心節(jié)點(diǎn)的高可靠性。數(shù)據(jù)大集中后整個(gè)系統(tǒng)將承載多個(gè)業(yè)務(wù)系統(tǒng)，不同的業(yè)務(wù)對(duì) 網(wǎng)絡(luò)的帶寬、時(shí)延等要求也不同，這就要求核心交換設(shè)備業(yè)務(wù)與性能并重；核心交換機(jī)必須 采用功能強(qiáng)大的 ASIC芯片實(shí)現(xiàn)業(yè)務(wù)的分布式線速處理，從而在為用戶提供有保障的業(yè)務(wù)特 性的同時(shí)保障數(shù)據(jù)報(bào)文的線速轉(zhuǎn)發(fā)

21、。3.4.3 匯聚層設(shè)計(jì)S5800-32F:由于XX園區(qū)各大樓的信息點(diǎn)位較多，各樓層均考慮了接入交換機(jī)， 所以在三張網(wǎng)絡(luò)（內(nèi) 網(wǎng)、外網(wǎng)、智能網(wǎng)）各大樓出口處設(shè)計(jì)一臺(tái)高性能匯聚交換機(jī)LS-5800-32F-H3S5800-32F匯聚交換機(jī)主要完成各大樓樓層交換機(jī)的匯聚，提供360Gbps數(shù)據(jù)交換能力，具備156Mpps的數(shù)據(jù)包轉(zhuǎn)發(fā)能力，天然支持全線速分布式轉(zhuǎn)發(fā)，提供 24個(gè)千兆接口，4個(gè)萬(wàn)兆接口，配置2個(gè)單模萬(wàn)兆上聯(lián)至兩臺(tái)核心交換機(jī)S10508-V,提供1個(gè)業(yè)務(wù)插槽，便于后期接口擴(kuò)展，接入交換機(jī)通過(guò)千兆多模連接到匯聚交換機(jī)，保證接入交換機(jī)的上行帶寬，同 時(shí)在匯聚層交換機(jī)支持流量采集功能，可對(duì)對(duì)整

22、網(wǎng)的全網(wǎng)流量進(jìn)行分析。根據(jù)業(yè)務(wù)需要，S5800-32F可擴(kuò)展16端口光接口板，16端口電接口板，4端口萬(wàn)兆接口板，無(wú)線控制器插卡（可支持128個(gè)AP的接入控制能力），滿足未來(lái)業(yè)務(wù)擴(kuò)展的要求。3.4.4 接入層設(shè)計(jì)XX園區(qū)接入XX園區(qū)各大樓樓層的信息點(diǎn)比較多，各樓層單獨(dú)考慮接入交換機(jī)，接入交換機(jī)通過(guò)千兆單模接到大樓的匯聚交換機(jī)，通過(guò)六類(lèi)網(wǎng)線提供本樓層的千兆接入，通過(guò)對(duì)需求分析，建議選用H3C的千兆接入交換機(jī) LS-S5110-28P :LS-S5110-28P POE 交換機(jī)提供256G的交換容量，40Mbps的包轉(zhuǎn)發(fā)能力，提供 24個(gè)10/100/1000Base-T以太網(wǎng)端口和4個(gè)復(fù)用的10

23、00Base-X SFP千兆以太網(wǎng)端口，實(shí)現(xiàn)千兆到桌面設(shè)計(jì)， 千兆以太網(wǎng)逐漸延伸到桌面已經(jīng)成為最迫切的需要之一，隨著園區(qū)多媒體應(yīng)用的增加，應(yīng)用在消耗大量帶寬的同時(shí)，也在追求終端用戶的滿意度，基于銅纜的千兆以太網(wǎng)可以將更多的應(yīng)用從低速鏈路中解放出來(lái)，并且為罷工人員工作創(chuàng)新提供了一個(gè)嶄新高效能工作平臺(tái)。3.4.5 用戶認(rèn)證：XX園區(qū)無(wú)線用戶包括兩部分，內(nèi)部辦公人員和外來(lái)辦事人員，本次三張網(wǎng)絡(luò)各配置 一套EIA終端智能接入：針對(duì)內(nèi)部用戶，采用 MACM址認(rèn)證，職工采用分配固定帳號(hào)，并可實(shí)現(xiàn)終端MACM址和IP地址等多元素的綁定，防止非法用戶的訪問(wèn)內(nèi)部網(wǎng)絡(luò)。針對(duì)訪客，系統(tǒng)提供臨時(shí)接入賬號(hào)的訪客管理功能

24、，訪客管理員可創(chuàng)建來(lái)賓賬號(hào)，或訪 客通過(guò)自助系統(tǒng)登記相關(guān)信息，并申請(qǐng)?jiān)L客接入網(wǎng)絡(luò)服務(wù)。通過(guò)后臺(tái)管理批準(zhǔn)的訪客賬號(hào)， 并以短信方式通知訪客帳號(hào)和密碼，之后可訪問(wèn)內(nèi)部網(wǎng)絡(luò)， 該賬號(hào)將在超過(guò)保留時(shí)長(zhǎng)后失效。當(dāng)用戶接入網(wǎng)絡(luò)后，可強(qiáng)化對(duì)用戶接入的管理：? 基于用戶的權(quán)限控制策略，可以為不同用戶定制不同網(wǎng)絡(luò)訪問(wèn)權(quán)限。? 可以控制用戶的上網(wǎng)帶寬（ Qo9、限制用戶同時(shí)在線數(shù)、禁止用戶設(shè)置和使用代理 服務(wù)器，有效防止個(gè)別用戶對(duì)網(wǎng)絡(luò)資源的過(guò)度占用。? 支持最大閑置時(shí)長(zhǎng)限制。? 可以實(shí)現(xiàn)對(duì)用戶 ACL、VLAN的控制，限制用戶對(duì)內(nèi)部敏感服務(wù)器和外部非法網(wǎng)站的 訪問(wèn)。? 可以限制用戶IP地址分配策略，防止IP地址盜

25、用和沖突。 監(jiān)控用戶認(rèn)證成功后的 IP地址，若有變更則強(qiáng)制要求下線。? 可以限制用戶的接入時(shí)段和接入?yún)^(qū)域，用戶只能在允許的時(shí)間和地點(diǎn)上網(wǎng)。? 可以限制終端用戶使用多網(wǎng)卡和撥號(hào)網(wǎng)絡(luò)，禁止修改終端MAC地址，防止內(nèi)部信息泄露。? 可以限制用戶必須使用專(zhuān)用安全客戶端，并強(qiáng)制自動(dòng)升級(jí)，防止安全客戶端被破解，確保認(rèn)證客戶端的安全性。? 接入用戶網(wǎng)關(guān)配置，提供接入用戶網(wǎng)關(guān)IP、MAC地址配置信息。本次在XX集團(tuán)三張網(wǎng)絡(luò)（內(nèi)網(wǎng)、外網(wǎng)、智能網(wǎng)）各配置一套H3c用戶接入管理EIA , 并配置1000用戶的并發(fā)認(rèn)證許可，實(shí)現(xiàn)對(duì)本網(wǎng)絡(luò)內(nèi)的用戶進(jìn)行接入認(rèn)證和控制。3.4.6 網(wǎng)絡(luò)管理系統(tǒng)：集團(tuán)的網(wǎng)絡(luò)設(shè)備和用戶越來(lái)越多

26、，有一套智能管理軟件，可以大大簡(jiǎn)化網(wǎng)絡(luò)管理人員的 工作量，同時(shí)可以提供網(wǎng)絡(luò)管理的工作效率，網(wǎng)絡(luò)管理軟件必須具備網(wǎng)絡(luò)拓?fù)?、網(wǎng)絡(luò)性能、 網(wǎng)絡(luò)配置、網(wǎng)絡(luò)安全、網(wǎng)絡(luò)告警、網(wǎng)絡(luò)業(yè)務(wù)的統(tǒng)一管理，同時(shí)在其上可以配置有多種業(yè)務(wù)管 理組件，如本次推薦配置有線無(wú)線一體化管理組件，方便管理大規(guī)模的無(wú)線管理網(wǎng)絡(luò)；智能 配置中心，可以方便的管理上百臺(tái)設(shè)備的軟件、配置變更、收集軟件版本、配置的基線庫(kù)， 為多臺(tái)設(shè)備統(tǒng)一批量配置和升級(jí)，大大節(jié)省管理員的工作量。本次在XX集團(tuán)三張網(wǎng)絡(luò)（內(nèi)網(wǎng)、外網(wǎng)、智能網(wǎng)）各配置一套H3C智能管理中心IMC , 并配置50個(gè)節(jié)點(diǎn)的管理，實(shí)現(xiàn)對(duì)本網(wǎng)絡(luò)內(nèi)的設(shè)備進(jìn)行智能管理。3.5 安全設(shè)計(jì)3.5.1

27、 安全設(shè)計(jì)要點(diǎn)安全是一個(gè)系統(tǒng)工程，為了合理的解決網(wǎng)絡(luò)安全問(wèn)題，必須充分分析網(wǎng)絡(luò)邏輯組成，網(wǎng) 絡(luò)中不同部分的功能不同，所關(guān)注的安全問(wèn)題也不同。所謂安全威脅，就是未經(jīng)授權(quán)，對(duì)位 于服務(wù)器、網(wǎng)絡(luò)和桌面的數(shù)據(jù)和資源進(jìn)行訪問(wèn)，甚至破壞或者篡改這些數(shù)據(jù) /資源。從安全威脅的對(duì)象來(lái)看，可以分為網(wǎng)絡(luò)傳送過(guò)程、網(wǎng)絡(luò)服務(wù)過(guò)程和軟件應(yīng)用過(guò)程三類(lèi)。網(wǎng)絡(luò)傳送過(guò)程 主要針對(duì)數(shù)據(jù)鏈路層和網(wǎng)絡(luò)層協(xié)議特征中存在的漏洞進(jìn)行攻擊，如常見(jiàn)的監(jiān)聽(tīng)、ip地址欺騙、路由協(xié)議攻擊、ICMP Smuf攻擊等；網(wǎng)絡(luò)服務(wù)過(guò)程主要針對(duì)TCP/UDP以及居于其上的應(yīng)用層協(xié)議進(jìn)行，如常見(jiàn)的 UDP/TCP欺騙、TCP流量劫持、TCP DoS FTP反彈

28、、DNS欺騙等等；軟件應(yīng)用過(guò)程則針對(duì)位于服務(wù)器 /主機(jī)上的操作系統(tǒng)以及其上的應(yīng)用程序，甚至是基于Web的軟件系統(tǒng)發(fā)起攻擊。從安全威脅的手法來(lái)看，蠕蟲(chóng)、拒絕服務(wù)、監(jiān)聽(tīng)、木馬、病毒都是常見(jiàn) 的攻擊工具。對(duì)關(guān)鍵的主機(jī)系統(tǒng)和子網(wǎng)，能夠進(jìn)行網(wǎng)絡(luò)資源檢查，并及時(shí)發(fā)現(xiàn)問(wèn)題。使用安全掃描軟 件，對(duì)關(guān)鍵的主機(jī)系統(tǒng)和網(wǎng)絡(luò)定期進(jìn)行掃描，可以檢查出網(wǎng)絡(luò)弱點(diǎn)和策略配置上的問(wèn)題。根 據(jù)掃描軟件發(fā)現(xiàn)的問(wèn)題，及時(shí)更新操作系統(tǒng)補(bǔ)丁，查殺病毒，更新安全策略。定期強(qiáng)制更新 用戶口令，并制定用戶口令規(guī)則，禁止使用不符合規(guī)則的口令。定期檢查文件系統(tǒng)的訪問(wèn)權(quán) 限是否合理，檢查用戶帳號(hào)的使用是否正常。3.5.2 網(wǎng)絡(luò)邊界安全防護(hù)在傳統(tǒng)的數(shù)

29、據(jù)中心網(wǎng)絡(luò)安全部署時(shí)，往往是網(wǎng)絡(luò)與安全各自為戰(zhàn)，在網(wǎng)絡(luò)邊界或關(guān)鍵節(jié) 點(diǎn)串接安全設(shè)備（如FW IPS、LB等）。隨著數(shù)據(jù)中心部署的安全設(shè)備的種類(lèi)和數(shù)量也越來(lái)越多，這將導(dǎo)致數(shù)據(jù)中心機(jī)房布線、空間、能耗、運(yùn)維管理等成本越來(lái)越高。傳統(tǒng)部署方式流量清洗防火墻入侵防御 負(fù)載均衡H3c插卡部署方式本次方案中采用了 H3CSecBlade安全插卡可直接插在核心交換機(jī)S10508-V的業(yè)務(wù)槽位，通過(guò)交換機(jī)背板互連實(shí)現(xiàn)流量轉(zhuǎn)發(fā)，共用交換機(jī)電源、風(fēng)扇等基礎(chǔ)部件。融合部署除了簡(jiǎn)化機(jī)房布線、節(jié)省機(jī)架空間、簡(jiǎn)化管理之外，還具備以下優(yōu)點(diǎn)：? 互連帶寬高。SecBlade系列安全插卡采用背板總線與交換機(jī)進(jìn)行互連，背板總線帶寬

30、一般可超過(guò)40Gbps,相比傳統(tǒng)的獨(dú)立安全設(shè)備采用普通千兆以太網(wǎng)接口進(jìn)行互連，在互連帶寬上有了很大的提升，而且無(wú)需增加布線、光纖和光模塊成本。業(yè)務(wù)接口靈活。SecBlade系列安全插卡上不對(duì)外提供業(yè)務(wù)接口（僅提供配置管理接口）,當(dāng)交換機(jī)上插有 SecBlade安全插卡時(shí)，交換機(jī)上原有的所有業(yè)務(wù)接口均可配置為安全業(yè)務(wù)接口。此時(shí)再也無(wú)需擔(dān)心安全業(yè)務(wù)接口不夠而帶來(lái)網(wǎng)絡(luò)安全部署的局 限性。性能平滑擴(kuò)展。當(dāng)一臺(tái)交換機(jī)上的一塊 SecBlade安全插卡的性能不夠時(shí)，可以再插 入一塊或多塊SecBlade插卡實(shí)現(xiàn)性能的平滑疊加。而且所有 SecBlade插卡均支持熱插拔，在進(jìn)行擴(kuò)展時(shí)無(wú)需停機(jī)中斷現(xiàn)有的業(yè)務(wù)。

31、本次XX集團(tuán)園區(qū)項(xiàng)目設(shè)計(jì)在三張網(wǎng)的核心交換機(jī)S10508-V上部署多種安全插卡：防火墻（LSQM1FWBSC0入侵防御系統(tǒng)（LSQM1IPSSC0實(shí)現(xiàn)網(wǎng)絡(luò)安全的一體化防護(hù)。數(shù)據(jù)中心出口安全具備訪問(wèn)控制、區(qū)域隔離、狀態(tài)檢測(cè)等2-4層安全功能，同時(shí)也具備對(duì)木馬、病毒、蠕蟲(chóng)等應(yīng)用層安全威脅進(jìn)行檢查、阻斷、告警等全防護(hù)功能。4-7層安全防護(hù)功能，實(shí)現(xiàn) 2-7層的立體安LSQM1FWBSC0 防火墻插卡層路由設(shè)備。防火墻與交換機(jī)之間的三層部署方式與傳統(tǒng)盒式設(shè)備類(lèi)似。虛擬防火墻示意圖LSQM1IPSSC0 入侵防御系統(tǒng)插卡如部署防火墻插卡，防火墻插卡設(shè)備雖然部署在交換機(jī)框中，但仍然可以看作是一個(gè)獨(dú) 立的設(shè)

32、備。它通過(guò)交換機(jī)內(nèi)部的10GE接口與網(wǎng)絡(luò)設(shè)備相連，它可以部署為2層透明設(shè)備和三如上圖FW三層部署所示，防火墻可以與宿主交換機(jī)直接建立三層連接，也可以與上游或下游設(shè)備建立三層連接，不同連接方式取決于用戶的訪問(wèn)策略。可以通過(guò)靜態(tài)路由和缺省路由實(shí)現(xiàn)三層互通，也可以通過(guò) OSPF樣的路由協(xié)議提供動(dòng)態(tài)的路由機(jī)制。如果防火墻部署在服務(wù)器區(qū)域，可以將防火墻設(shè)計(jì)為服務(wù)器網(wǎng)關(guān)設(shè)備，這樣所有訪問(wèn)服務(wù)器的三層流量都將經(jīng) 過(guò)防火墻設(shè)備，這種部署方式可以提供區(qū)域內(nèi)部服務(wù)器之間訪問(wèn)的安全性。防火墻是網(wǎng)絡(luò)系統(tǒng)的核心基礎(chǔ)防護(hù)措施，它可以對(duì)整個(gè)網(wǎng)絡(luò)進(jìn)行網(wǎng)絡(luò)區(qū)域分割，提供基于IP地址和TCP/IP服務(wù)端口等的訪問(wèn)控制； 對(duì)常見(jiàn)的

33、網(wǎng)絡(luò)攻擊方式， 如拒絕服務(wù)攻擊(ping of death, land, syn flooding, ping flooding, tear drop)、 端口掃描 (port scanning )、IP欺騙(ip spoofing) 、IP盜用等進(jìn)行有效防護(hù)；并提供NAT地址轉(zhuǎn)換、流量限制、用戶認(rèn)證、IP與MACW定等安全增強(qiáng)措施。對(duì)于云計(jì)算數(shù)據(jù)中心虛擬機(jī)服務(wù)網(wǎng)關(guān)的選擇上，建議根據(jù)不同用戶的安全需求進(jìn)行區(qū)分 對(duì)待，不建議將所有網(wǎng)關(guān)配置在FW/上，以分散FW的壓力，滿足用戶內(nèi)的安全域隔離，具體設(shè)計(jì)如下：?對(duì)于需要FW的業(yè)務(wù)的用戶，網(wǎng)關(guān)部署在vFW上；對(duì)于不需要FW勺普通用戶，網(wǎng)關(guān)部署在核心交換

34、機(jī)上。租戶1多用戶安全隔離示意圖無(wú)線網(wǎng)工程的總體原則如下：側(cè)重實(shí)際應(yīng)用，覆蓋XX園區(qū)各大樓內(nèi)所有區(qū)域，為教學(xué)、科研、辦公及學(xué)習(xí)、生活、交流提供切實(shí)可用的、穩(wěn)定的無(wú)線網(wǎng)絡(luò)環(huán)境。采取先進(jìn)通行的協(xié)議標(biāo)準(zhǔn)，即目前無(wú)線局域網(wǎng)普遍采用802.11系列標(biāo)準(zhǔn)，無(wú)線局域網(wǎng)提供802.11a、802.11b、802.11g、802.11n標(biāo)準(zhǔn)的聯(lián)網(wǎng)支持，提供可供實(shí)際應(yīng) 用的穩(wěn)定網(wǎng)絡(luò)通訊服務(wù)。實(shí)現(xiàn)室內(nèi)無(wú)線網(wǎng)絡(luò)的合理分布，考慮室內(nèi)實(shí)現(xiàn)無(wú)線網(wǎng)絡(luò)的不同情況和特點(diǎn)以及目前 辦公人員及外來(lái)人員手提電腦 /智能終端（手機(jī)、平板電腦）用戶數(shù)量日益增多的 情況，應(yīng)采取合理的布網(wǎng)方式滿足現(xiàn)在以及未來(lái)發(fā)展的需要。在辦公室、會(huì)議室采用室

35、內(nèi)面板式AP部署或者吸頂AP。新建網(wǎng)絡(luò)需要實(shí)現(xiàn)與現(xiàn)有的無(wú)線網(wǎng)和有線網(wǎng)的網(wǎng)絡(luò)融合與統(tǒng)一管理。在實(shí)施無(wú)線覆蓋工程時(shí)， 如無(wú)特別說(shuō)明，以考慮信號(hào)覆蓋范圍為主，單個(gè)AP的并發(fā)用戶數(shù)及每用戶無(wú)線上網(wǎng)帶寬也要作為工程的重要因素予以考慮。所有XX集團(tuán)園區(qū)各大樓內(nèi)部區(qū)域采用部署11n,使得XX集團(tuán)園區(qū)的無(wú)線接入帶寬達(dá)到300M接入帶寬，同時(shí)考慮到用戶終端的多樣性，要求AP要向下兼容11a/b/g , 主要吸頂安裝為主，兩種應(yīng)用場(chǎng)景，第一種過(guò)道式部署，建議一個(gè)AP覆蓋6個(gè)左右的辦公室，過(guò)道安裝每隔15-20米左右安裝一個(gè) AP,對(duì)于第二種場(chǎng)景，1-5樓比較空曠的展區(qū)，建議每個(gè) 15-20米安裝一個(gè)AP。無(wú)線系統(tǒng)

36、須具備對(duì)無(wú)線 AP進(jìn)行統(tǒng)一控制、管理的軟硬件平臺(tái)，軟硬件控制、管理平 臺(tái)所提供的網(wǎng)元License數(shù)量與實(shí)際網(wǎng)元數(shù)量相匹配并易于擴(kuò)充運(yùn)維系統(tǒng)須提供必要的網(wǎng)絡(luò)監(jiān)控、管理、統(tǒng)計(jì)、報(bào)表功能，提供足夠數(shù)量的License授權(quán)。無(wú)線網(wǎng)系統(tǒng)必須實(shí)現(xiàn)與有線網(wǎng)現(xiàn)有認(rèn)證系統(tǒng)對(duì)接，從而實(shí)現(xiàn)XX集團(tuán)有線網(wǎng)與無(wú)線網(wǎng)的統(tǒng)一身份認(rèn)證。第4章有線無(wú)線一體化設(shè)計(jì)XX園區(qū)網(wǎng)絡(luò)部分樓棟功能區(qū)要考慮無(wú)線覆蓋，三張網(wǎng)絡(luò)（內(nèi)網(wǎng)、外網(wǎng)、智能網(wǎng)）都有無(wú)線覆蓋要求，三張網(wǎng)絡(luò)的無(wú)線部分分別設(shè)計(jì)，三張無(wú)線網(wǎng)絡(luò)的邏輯結(jié)構(gòu)和選型完全一致，每 棟樓設(shè)計(jì)1臺(tái)24 口 POE千兆交換機(jī)，PO或換機(jī)上通過(guò)光纖接到大樓匯聚交換機(jī)，下連本樓層的無(wú)線AP,同日對(duì)

37、AP進(jìn)彳T PO聯(lián)電，采用FIT AP解決方案，只需要在保障中心三樓機(jī)房放置1臺(tái)智能無(wú)線控制器（AC）, AC可支持熱備，便于后期雙控制器擴(kuò)展，兩個(gè)無(wú)線控制器互為備份，在接入層部署11n 300M的智能無(wú)線接入點(diǎn)（AP）,即可完成整網(wǎng)的部署。華能集區(qū)無(wú)線示意圖天然接入?yún)^(qū)華法款珈 工散掘中心無(wú)城技儲(chǔ)網(wǎng) PCAP華能集團(tuán)園區(qū)網(wǎng)55JiC FA=:4.1 無(wú)線控制器如果僅僅只采用 AP本身進(jìn)行無(wú)線覆蓋，即傳統(tǒng)的胖AP模式進(jìn)行無(wú)線覆蓋，采用這樣的部署方式去部署 XX園區(qū)的無(wú)線網(wǎng)絡(luò)有極大的缺點(diǎn)。其一、胖AP把所有的配置均配置到 AP本身上，如此數(shù)量多的 AP,使客戶的維護(hù)管理工 作量大大增加。其二、胖A

38、P無(wú)法統(tǒng)一管理控制，AP之間本身就不能無(wú)縫融合，那么就會(huì)出現(xiàn)當(dāng)你離開(kāi) 一個(gè)區(qū)域到另一個(gè)區(qū)域時(shí)必然出現(xiàn)不斷重新認(rèn)證的問(wèn)題。其三、AP與AP之間無(wú)聯(lián)系，無(wú)法實(shí)現(xiàn)智能的負(fù)載分擔(dān)和均衡。因此，決定采用統(tǒng)一的無(wú)線控制器對(duì)AP進(jìn)行統(tǒng)一管理，AC+FIT AP（瘦AP）的組網(wǎng)方式。這樣可以大大減少維護(hù)管理工作量，能實(shí)現(xiàn)無(wú)縫漫游和負(fù)載分擔(dān)。此次XX園區(qū)三張網(wǎng)絡(luò)（內(nèi)網(wǎng)、外網(wǎng)、智能網(wǎng)）分別設(shè)計(jì)一臺(tái)無(wú)線控制器WX5510E ,提供8個(gè)千兆comb 口，和2個(gè)萬(wàn)兆接口，整機(jī)支持 512個(gè)AP接入能力，本次每臺(tái)配置 128 個(gè)AP接入授權(quán)。EWP-WX5510E無(wú)線控制器 WX5510睞用下列部署方式：集中式控制，在X

39、X園區(qū)保障中心三樓核心機(jī)房 三張網(wǎng)絡(luò)部署各1臺(tái)無(wú)線控制器，集中對(duì) XX園區(qū)各網(wǎng)絡(luò)內(nèi)AP進(jìn)行接入控制。無(wú)線控制器支 持N+1熱備，不存在單點(diǎn)故障， AP分批實(shí)施時(shí)AC可按需擴(kuò)容，部署方案靈活；多業(yè)務(wù)無(wú)線控制器 WX5510EI精細(xì)的用戶控制管理、完善的管理及安全機(jī)制、快速漫游、 超強(qiáng)的QoS及IPv4&IPv6等多功能于一體，提供強(qiáng)大的 WLANg入控制功能。用戶管理、加密、 漫游、AP管理等功能全部集中到無(wú)線控制器上進(jìn)行，減輕了 AP負(fù)擔(dān)，在規(guī)模越大的網(wǎng)絡(luò)上 管理越簡(jiǎn)單，同時(shí)無(wú)線控制器會(huì)自動(dòng)調(diào)節(jié)AP的工作信道以及發(fā)射功率。 這樣可以簡(jiǎn)化整個(gè)網(wǎng)絡(luò)AP的管理，提高設(shè)備的工作效率。4.2 無(wú)線AP由

40、于無(wú)線 WLANI用沖突避免的載波偵聽(tīng)多路訪問(wèn)機(jī)制當(dāng)用戶數(shù)量多大，用戶接入速度就會(huì)受到影響。一般建議每 AP按照2530戶規(guī)劃為最佳，如果使用雙頻 AP,則每個(gè)頻段能規(guī) 劃2530個(gè)用戶。在覆蓋范圍上：一般來(lái)說(shuō)，AP在室內(nèi)普通環(huán)境下覆蓋 30米。在接入速率上：采用 11N 300M的AP,大大超過(guò)了彳統(tǒng)的無(wú)線AP接入速率，能夠很好的保證網(wǎng)絡(luò)數(shù)據(jù)的高速傳輸。針對(duì)園區(qū)各功能區(qū)域的無(wú)線場(chǎng)景，建議吸頂放裝型AP EWP-WA2620i-AGN-FIT和面板APEWP-WA2610H-GN-FIT正對(duì)會(huì)議室、過(guò)道、咖啡廳等采用放裝型AP,對(duì)于辦公室、接待中心采用面板型ARHim放裝 AWA2620面板

41、AP WA2610H-GN?吸頂放裝示意圖AP內(nèi)置終端智能感知型天線，直接吸頂安裝于天花板即可，無(wú)需外接 天線。?面板AP安裝示意圖5步！安裝一個(gè) AP只需35分鐘。WA2610H-GNI用國(guó)際標(biāo)準(zhǔn)的插座安裝方法進(jìn)行設(shè)計(jì)，和其他開(kāi)關(guān)面板一樣，更換一個(gè)面板式AP只需要簡(jiǎn)單的5個(gè)步驟，總耗時(shí)不超過(guò)5分鐘，可以極大的加快客戶部署無(wú)線網(wǎng)絡(luò)的 速度。? WA2610H-GN 之5步安裝方法4.3 POE供電接入交換機(jī)采用支持 PO聯(lián)電的交換機(jī)，可提供最大24 口 POE供電，POE接入交換機(jī)通過(guò)光纖與各自樓棟匯聚交換機(jī)互聯(lián)。本次選用H3c LS-S5110-28P-PWR作為AP的數(shù)據(jù)接入和遠(yuǎn)程供電設(shè)備

42、，LS-S5110-28P-PW就供 24個(gè) 10/100/1000Base-T 以太網(wǎng)端口，4個(gè) 1000Base-X 以太網(wǎng)端口，提供 370W POE俞出能力，滿足 24個(gè)千兆電口同時(shí) PO聯(lián)電。LS-S5110-28P-PWR POE 交換機(jī)PoE交換機(jī)在無(wú)線部署工程中具有非常明顯的優(yōu)勢(shì)，具體如下：? 簡(jiǎn)化安裝，降低成本，不需為每個(gè)網(wǎng)絡(luò)設(shè)備單獨(dú)提供數(shù)據(jù)和電力線纜。? 靈活性提高，網(wǎng)絡(luò)裝置可被安裝在任何位置，而不需靠近一個(gè)已存在的電源輸出口。? 可靠性增強(qiáng)，有SNMFfB力的PoE裝置，可實(shí)施遠(yuǎn)程檢測(cè)和控制， 能有效地處理或修 理裝置的耗電量和（或）失效故障。? 交換機(jī)通過(guò)以太網(wǎng)線來(lái)匯聚

43、 AP的流量，同時(shí)為 AP提供電源，這樣可以簡(jiǎn)化布線， 部署美觀，同時(shí)減少故障點(diǎn)，提高網(wǎng)絡(luò)的可靠性。根據(jù)XX園區(qū)實(shí)際情況，在每棟樓部署相應(yīng)的PO或換機(jī)對(duì)AP進(jìn)彳T POE電。4.4 無(wú)線網(wǎng)管運(yùn)維為了對(duì)XX園區(qū)網(wǎng)的無(wú)線網(wǎng)絡(luò)、 有線網(wǎng)絡(luò)等設(shè)備進(jìn)行統(tǒng)一有效的管理，能夠?qū)崟r(shí)監(jiān)控網(wǎng)絡(luò)設(shè)備的運(yùn)行狀況，網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)的變化等網(wǎng)絡(luò)問(wèn)題，所有在本次的XX集團(tuán)園區(qū)無(wú)線網(wǎng)絡(luò)建設(shè)中擬配置智能網(wǎng)絡(luò)管理系統(tǒng)，該智能管理系統(tǒng)平臺(tái)實(shí)現(xiàn)網(wǎng)絡(luò)資源、用戶和業(yè)務(wù)的融合管理， 提供基本的網(wǎng)絡(luò)資源管理、拓?fù)涔芾?、故障管理、性能管理、用戶管理及系統(tǒng)安全管理，更 科學(xué)合理的規(guī)劃和管理網(wǎng)絡(luò)，實(shí)現(xiàn)對(duì)包括交換機(jī)、無(wú)線AP,無(wú)線控制器的統(tǒng)一管理。針對(duì)

44、無(wú)線運(yùn)維管理，本次配置三張網(wǎng)各配置一套H3c WSME線運(yùn)維管理，實(shí)現(xiàn)整個(gè)園區(qū)無(wú)線網(wǎng)絡(luò)的統(tǒng)一管理，對(duì)于網(wǎng)絡(luò)中的AC、FAT AP、FIT AP、移動(dòng)終端、POE交換機(jī)等無(wú)線設(shè)備與有線設(shè)備進(jìn)行一體化集中管理，全網(wǎng)設(shè)備信息和狀態(tài)一目了然。網(wǎng)絡(luò)資源通過(guò)多種視 圖進(jìn)行查看，視圖內(nèi)分組管理，將規(guī)模巨大的無(wú)線接入設(shè)備有效組織，便于管理員維護(hù)。4.5 無(wú)線用戶認(rèn)證XX園區(qū)無(wú)線用戶包括兩部分，內(nèi)部辦公人員和外來(lái)辦事人員，本次三張網(wǎng)絡(luò)各配置一套EIA終端智能接入：針對(duì)內(nèi)部用戶，采用 MACM址認(rèn)證，職工采用分配固定帳號(hào)，并可實(shí)現(xiàn)終端MACM址和IP地址等多元素的綁定，防止非法用戶的訪問(wèn)內(nèi)部網(wǎng)絡(luò)。針對(duì)訪客，系統(tǒng)提

45、供臨時(shí)接入賬號(hào)的訪客管理功能，訪客管理員可創(chuàng)建來(lái)賓賬號(hào)，或訪 客通過(guò)自助系統(tǒng)登記相關(guān)信息，并申請(qǐng)?jiān)L客接入網(wǎng)絡(luò)服務(wù)。通過(guò)后臺(tái)管理批準(zhǔn)的訪客賬號(hào)， 并以短信方式通知訪客帳號(hào)和密碼，之后可訪問(wèn)內(nèi)部網(wǎng)絡(luò)， 該賬號(hào)將在超過(guò)保留時(shí)長(zhǎng)后失效。當(dāng)用戶接入網(wǎng)絡(luò)后，可強(qiáng)化對(duì)用戶接入的管理：? 基于用戶的權(quán)限控制策略，可以為不同用戶定制不同網(wǎng)絡(luò)訪問(wèn)權(quán)限。? 可以控制用戶的上網(wǎng)帶寬( Qo9、限制用戶同時(shí)在線數(shù)、禁止用戶設(shè)置和使用代理 服務(wù)器，有效防止個(gè)別用戶對(duì)網(wǎng)絡(luò)資源的過(guò)度占用。? 支持最大閑置時(shí)長(zhǎng)限制。? 可以實(shí)現(xiàn)對(duì)用戶 ACL、VLAN的控制，限制用戶對(duì)內(nèi)部敏感服務(wù)器和外部非法網(wǎng)站的 訪問(wèn)。? 可以限制用戶IP地址分配策略，防止IP地址盜用和沖突。 監(jiān)控用戶認(rèn)證成功后的 IP地址，若有變更則強(qiáng)制要求下線。? 可以限制用戶的接入時(shí)段和接入?yún)^(qū)域，用戶只能在允許的時(shí)間和地點(diǎn)上網(wǎng)。? 可以限制終端用戶使用多網(wǎng)卡和撥號(hào)網(wǎng)絡(luò)，禁止修改終端 MAC地址，防止內(nèi)部信息 泄露。? 可以限制用戶必須使用專(zhuān)用安全客戶端，并強(qiáng)制自動(dòng)升級(jí)，防止安全客戶端被破解，確保認(rèn)證客戶端的安