寫字樓通信網(wǎng)絡(luò)系統(tǒng)建議方案

1、寫字樓通信網(wǎng)絡(luò)系統(tǒng)建議方案目錄TOC o 1-2 h u HYPERLINK l _Toc19005 1 建設(shè)目標及范圍 PAGEREF _Toc19005 1 HYPERLINK l _Toc27213 2 設(shè)計原則 PAGEREF _Toc27213 1 HYPERLINK l _Toc4656 3 總體方案規(guī)劃 PAGEREF _Toc4656 2 HYPERLINK l _Toc14338 4 詳細方案描述 PAGEREF _Toc14338 3 HYPERLINK l _Toc3338 4.1 數(shù)據(jù)網(wǎng)絡(luò)-CISCO PAGEREF _Toc3338 4 HYPERLINK l _To

2、c7591 4.2 無線網(wǎng)絡(luò)-CISCO PAGEREF _Toc7591 17 HYPERLINK l _Toc21287 4.3 UC統(tǒng)一通信系統(tǒng)-AVAYA PAGEREF _Toc21287 44 HYPERLINK l _Toc31057 4.4 呼叫中心系統(tǒng)-AVAYA PAGEREF _Toc31057 114 HYPERLINK l _Toc31941 5 網(wǎng)絡(luò)安全性設(shè)計 PAGEREF _Toc31941 164 HYPERLINK l _Toc29377 6 方案優(yōu)勢及特點 PAGEREF _Toc29377 186建設(shè)目標及范圍本次系統(tǒng)目標是在XXX在亦莊新建的大樓內(nèi)配置

3、整套通信網(wǎng)絡(luò)，來實現(xiàn)行政辦公的UC系統(tǒng)、數(shù)據(jù)網(wǎng)絡(luò)、無線無線和呼叫中心的融合，UC系統(tǒng)和呼叫中心系統(tǒng)在物理上都基于基于數(shù)據(jù)網(wǎng)絡(luò)在同一個語音平臺來部署，在邏輯上可以進行隔離，從而保證用戶的行政辦公網(wǎng)絡(luò)和語音通信網(wǎng)絡(luò)能統(tǒng)一管理，又互不影響。設(shè)計原則優(yōu)化人員及業(yè)務(wù)流程效率提高人員效率網(wǎng)絡(luò)不會創(chuàng)造價值，只有人才能創(chuàng)造價值?？梢哉f當今世界的“商業(yè)關(guān)系”是企業(yè)的核心資產(chǎn)。 我們?yōu)楸本XX設(shè)計的統(tǒng)一通訊和呼叫中心融合的解決方案可以幫助您的員工更加高效合作，他們通過使用創(chuàng)新、安全、可靠的通信使他們能夠開拓更豐富、更有價值的客戶、供應(yīng)商及合作伙伴關(guān)系。按需通信分布式的企業(yè)通信，如流動銷售隊伍、遠程辦公、代理商、

4、分公司和公司辦公室等所有通信對象可以無縫集成到同一通信環(huán)境，將可以獲得前所未有的通信效率和較低的成本。我們?yōu)楸本XX設(shè)計的統(tǒng)一通訊的解決方案可以幫助您的員工無論身處何地，都可以使合適技能的人員協(xié)同高效協(xié)作。業(yè)務(wù)處理更加智能化人員與業(yè)務(wù)流程互動，創(chuàng)造更大價值?；贏vaya Software-base的融合通信技術(shù)及Avaya全球服務(wù)中心所具有的融合通信能力，并結(jié)合與多廠商集成的強大組織能力，使我們?yōu)楸本XX設(shè)計的統(tǒng)一通訊和呼叫中心融合的解決方案將引領(lǐng)整合通信應(yīng)用和業(yè)務(wù)應(yīng)用與業(yè)務(wù)流程之路，并促使這種全新的統(tǒng)一通訊功能成為現(xiàn)實。充分利用現(xiàn)有資源，拓展企業(yè)價值A(chǔ)vaya的解決方案可以充分利用北京

5、XXX企業(yè)現(xiàn)有的資源設(shè)備，進行有效利用并創(chuàng)造新得價值。從傳統(tǒng)通信遷移到IP電話，北京XXX現(xiàn)有的設(shè)備能實現(xiàn)部分的保留。同時我們將通過擴展現(xiàn)有資源的能力、充分發(fā)揮現(xiàn)有資源的性能、保護投資來使北京XXX企業(yè)的價值最大化。最終按照北京XXX企業(yè)的需求實現(xiàn)多廠商設(shè)備的協(xié)同工作、無縫遷移、集成。實現(xiàn)這一切都有賴于Avaya所掌握得先進通信技術(shù)，及在通信應(yīng)用中設(shè)計、建設(shè)、管理和維護能力及豐富的系統(tǒng)遷移、多廠商系統(tǒng)的融合通信集成經(jīng)驗。與此同時，我們?yōu)楸本XX提供的解決方案，給北京XXX提供了靈活多樣的選擇。其中包括選擇新的開放架構(gòu)技術(shù)平臺、安全可靠的工業(yè)標準解決方案、提供具有開放架構(gòu)并最終能夠方便快速與企

6、業(yè)應(yīng)用集成的軟件進行集成。在軟件應(yīng)用上的價值我們通過軟件模塊的方式實現(xiàn)電話、呼叫中心、消息系統(tǒng)和統(tǒng)一通信上的功能，提供一個具有高互操作性和高成本效益的方案。我們還提供了功能豐富的應(yīng)用軟件與企業(yè)通信產(chǎn)品。我們具有最全面的多廠商通信服務(wù)能力。服務(wù)是使您企業(yè)當前資源價值最大化的關(guān)鍵因素。我們可以為用戶提供全面的多廠商協(xié)作統(tǒng)一通信服務(wù)，使您的企業(yè)價值最大化，并能夠使您將更多的資源集中到企業(yè)得核心業(yè)務(wù)上。 創(chuàng)造新的業(yè)務(wù)模式 為企業(yè)潛在的通信需求進行前瞻性設(shè)計，是企業(yè)創(chuàng)造新價值和獲取重要競爭優(yōu)勢的有效途徑。 Avaya一直在開放和實施創(chuàng)新的解決方案，激發(fā)新的能力，使北京XXX能夠獲取更先進的業(yè)務(wù)流程模式和

7、市場。 未來能幫助北京XXX提供差異化的服務(wù)，通過通信驅(qū)動流程（communication-enabled processes）或其他解決方案，使企業(yè)業(yè)務(wù)流程能夠更智能?；贏vaya獨有的智能通訊應(yīng)用解決方案，可以有效提高北京XXX企業(yè)價值、創(chuàng)造企業(yè)競爭優(yōu)勢。我們?yōu)楸本XX提供的遠程解決方案能夠使北京XXX遠程分支獲得與總部相同的通信服務(wù)功能。這樣將能進一步方便企業(yè)拓展新的市場、專家服務(wù)，從而為企業(yè)開展新的業(yè)務(wù)、服務(wù)提供有力的支持?？傮w方案規(guī)劃用戶辦公大樓共有十三層，其中機房部署在第七層，呼叫中心坐席分布在第五層和第六層，坐席終端采用模擬或者IP分機。其他各層部署行政辦公分機，分機采用IP

8、分機。系統(tǒng)所有服務(wù)器和網(wǎng)關(guān)等部署在七樓的機房內(nèi)，在每層的弱點機房放置一臺標準機柜放置網(wǎng)絡(luò)交換機，交換機采用POE供電模式，用于接入所在樓層的IP話機和桌面電腦。如果用戶呼叫中心坐席采用模擬或者數(shù)字的終端，還必須在第五層和第六層的弱點機房配置相對應(yīng)的配線架，建議采用壁掛式配線架。用戶可通過在遠端分支機構(gòu)配置IP話機的方式來是實現(xiàn)總部和分支機構(gòu)的通信。無需其他硬件設(shè)備。如要保證整個語音通信網(wǎng)絡(luò)的通訊順暢，需要用戶數(shù)據(jù)網(wǎng)絡(luò)預(yù)留足夠的帶寬，按照一路通話占用40K帶寬來計算，若要100門辦公電話同時通話，需要預(yù)留4M帶寬共行政辦公來使用。方案特點方案中的主要設(shè)備都采用獨立部署的方式，包括PBX(媒體服務(wù)

9、器和媒體網(wǎng)關(guān)),IVR等。一臺設(shè)備出現(xiàn)故障不會影響其他設(shè)備的正常運行。其中媒體服務(wù)器采用基于光纖的備份方式，主服務(wù)器和備份服務(wù)器間實時傳輸系統(tǒng)信息，當切換時不影響用戶已存在和正在建立鏈接的通話。系統(tǒng)配制閃存卡及閃存讀取器，用來備份數(shù)據(jù)。通過快閃卡讀取器連接S8730媒體服務(wù)器的一個USB口來備份數(shù)據(jù)。所有的備份都是熱備份，切換時無需人工干預(yù)，并且可以保留已接續(xù)和正在接續(xù)的呼叫，實現(xiàn)無縫切換。交換機的配置信息系統(tǒng)會定期自動備份，可以使用備份文件重建系統(tǒng)。如果IVR系統(tǒng)出現(xiàn)故障，在我們設(shè)計的方案中還可以通過PBX中的Anouncement功能轉(zhuǎn)到人工座席上，以保證系統(tǒng)的使用。如果CTI系統(tǒng)出現(xiàn)故障

10、，在我們設(shè)計的方案中還可以通過PBX內(nèi)置的ACD功能來接替CTI的路由功能，以保證系統(tǒng)的使用。詳細方案描述4.1 數(shù)據(jù)網(wǎng)絡(luò)-CISCO4.1.1總體規(guī)劃本工程采用IP數(shù)據(jù)網(wǎng)絡(luò)，并按三層結(jié)構(gòu)組網(wǎng)。分公司及分支機構(gòu)通過Internet線路VPN至本地局域網(wǎng)，實現(xiàn)語音通信。本工程在大廈七層新設(shè)2套CISCO4506核心交換機和2套CISCO3560G-24TS-E匯聚層交換機；在1至6層及8至13層根據(jù)信息點數(shù)量新設(shè)樓層接入交換機，此接入交換機可使用PoE交換機接入IP電話和無線AP。核心交換機通過1臺CISCO ASA5520與CISCO3825連接最終接入Internet。同時使用CISCO的無

11、線解決方案，在核心區(qū)域新架設(shè)1臺無線控制器，對在各個樓層的無限接入點進行注冊管理，各個樓層根據(jù)無線信號的覆蓋區(qū)域及接入終端的密度布放無線接入點。核心層的2臺CISCO4506交換機和匯聚層的2臺CISCO3560G-24TS-E采用全網(wǎng)狀連接；各樓層CISCO2960交換機與2個匯聚層交換機采用點對點星形連接，構(gòu)成雙歸網(wǎng)絡(luò)，具體分為3層結(jié)構(gòu)：核心層：七層新設(shè)2臺CISCO4506交換機，通過雙絞線與2臺CISCO3560G-24TS-E組成網(wǎng)狀網(wǎng)絡(luò)，進行數(shù)據(jù)交換。4個結(jié)點通過千兆端口使用雙絞線兩兩互聯(lián)形成網(wǎng)狀網(wǎng)絡(luò)，提供鏈路冗余連接。2臺CISCO4506交換機通過千兆接口分別與CISCO AS

12、A5520防火墻內(nèi)部接口連接，外部接口連接至CISCO3825路由器，接入Internet。防火墻通過對通過安全設(shè)備的數(shù)據(jù)包進行狀態(tài)監(jiān)控，并對未經(jīng)允許的流量進行過濾。匯聚層：在七層的弱電間新設(shè)2臺CISCO3560G-24TS-E交換機，通過千兆端口使用雙絞線與核心層2臺CISCO4506交換機兩兩互聯(lián)。同時每臺CISCO3560G-24TS-E交換機與各樓層接入交換機通過千兆端口使用雙絞線互聯(lián)，形成雙歸網(wǎng)絡(luò)，為網(wǎng)絡(luò)提供鏈路冗余。接入層：各樓層新設(shè)CISCO2960接入交換機，職員的桌面PC通過接入交換機接入網(wǎng)絡(luò)。同時VoIP電話和無線AP也連接至接入交換機。整個網(wǎng)絡(luò)系統(tǒng)圖如下圖所示：本系統(tǒng)主

13、設(shè)備的名稱、型號、及業(yè)務(wù)處理能力如下：地點名稱型號系統(tǒng)容量轉(zhuǎn)發(fā)性能核心交換機CISCO4506WS-X451564Gbps48Mpps匯聚交換機CISCO3560GWS-C3560G-2432Gbps38.7Mpps接入交換機CISCO2960GWS-C2960G-2432Gbps6.5Mpps4.1.2方案描述 網(wǎng)絡(luò)系統(tǒng)的組網(wǎng)結(jié)構(gòu)符合典型的三層模塊化設(shè)計模型。按照當前網(wǎng)絡(luò)技術(shù)和應(yīng)用的發(fā)展，網(wǎng)絡(luò)中各部分所需要承擔的功能的不同，把網(wǎng)絡(luò)分為三個層次：接入層（access layer）匯聚層（distribution layer）核心層（core layer）這種分層方法使網(wǎng)絡(luò)設(shè)計人員可以定義連接用

14、戶和服務(wù)的構(gòu)件區(qū)塊。構(gòu)件區(qū)塊包括分布式網(wǎng)絡(luò)服務(wù)和網(wǎng)絡(luò)職能。最佳管理的園區(qū)網(wǎng)通常是按照此分級模型進行設(shè)計的。這個模型簡化了網(wǎng)絡(luò)管理并允許可控的發(fā)展。如下圖所示：接入層網(wǎng)絡(luò)的接入層是最終用戶被許可接入網(wǎng)絡(luò)的點。該分層能夠通過過濾或訪問控制列表提供對用戶流量的進一步控制；然而，該分層的主要功能是為最終用戶提供網(wǎng)絡(luò)接入。在園區(qū)網(wǎng)環(huán)境中，接入層的主要功能如下：接入；交換；第二層服務(wù)，如基于接口或MAC地址的VLAN成員資格和數(shù)據(jù)流過濾，在這一層也可以提供安全接入特性。匯聚層匯聚層也叫分布層，網(wǎng)絡(luò)的匯聚層是網(wǎng)絡(luò)接入層和核心層之間的分界點。匯聚層也幫助定義和區(qū)分網(wǎng)絡(luò)核心層。該分層提供了邊界定義，并在該處對潛

15、在的費力的數(shù)據(jù)包操作進行處理。在園區(qū)網(wǎng)環(huán)境中，匯聚層執(zhí)行最多的功能：VLAN的聚合；部門級或工作組接入；廣播域或多點廣播域定義；VLAN間路由；介質(zhì)轉(zhuǎn)換；安全；核心層核心層是園區(qū)網(wǎng)的主干。核心層的主要目的是盡可能快速地交換數(shù)據(jù)。網(wǎng)絡(luò)的這個分層不應(yīng)該被牽扯到費力的數(shù)據(jù)包操作或者任何減慢數(shù)據(jù)交換的處理。應(yīng)該避免在核心層中使用像訪問控制列表和數(shù)據(jù)包過濾這類的功能。核心層主要負責以下的工作：提供交換區(qū)塊間的連接；提供到其他區(qū)塊的訪問；盡可能快地交換數(shù)據(jù)幀或數(shù)據(jù)包；分層園區(qū)網(wǎng)設(shè)計可最有效地利用多種第3層業(yè)務(wù)，包括分段負載分擔和故障恢復(fù)。 網(wǎng)絡(luò)保護的工作內(nèi)容及采用的技術(shù)核心交換機CISCO4506和匯聚交

16、換機CISCO3560G間使用2條千兆雙絞線捆綁（GEC）兩兩相連，是鏈路帶寬達到2Gbps，鏈路之間做冗余備份和負載均衡，接口配置為路由模式，啟動OSPF動態(tài)路由協(xié)議。匯聚交換機CISCO3560G間使用2條千兆光纖鏈路捆綁（GEC），使鏈路帶寬達到2G，鏈路配置成trunk模式，兩個匯聚交換機之間啟用HSRP冗余熱備份協(xié)議，鏈路之間做冗余備份和負載均衡。以上核心層4臺交換機在拓撲結(jié)構(gòu)上采用全網(wǎng)狀結(jié)構(gòu)（也是環(huán)結(jié)構(gòu)），采用OSPF動態(tài)路由協(xié)議，OSPF協(xié)議支持相同成本(equal cost)的負載均衡技術(shù)。一旦匯聚層設(shè)備連接至核心層設(shè)備的某個鏈路出現(xiàn)中斷，OSPF協(xié)議更新動態(tài)路由表，會通過另一

17、條連接至核心層設(shè)備的鏈路連通，保證網(wǎng)絡(luò)故障切換后的連通。樓層交換機至匯聚交換機鏈路：每個樓層接入交換機至匯聚交換機之間鏈路啟用STP協(xié)議，配置成TRUNK模式，設(shè)置其中一臺的交換機有最高的網(wǎng)橋優(yōu)先級，作為根網(wǎng)橋；另一臺次之，作為備份根網(wǎng)橋。通過設(shè)置生成樹協(xié)議端口的cost成本值，阻塞冗余端口，維護一個無環(huán)路、穩(wěn)定、可靠的網(wǎng)絡(luò)。接入層交換區(qū)域的可靠性通過STP實現(xiàn)，當樓層交換機至匯聚交換機的鏈路或原指配的匯聚節(jié)點出現(xiàn)故障時，生成樹協(xié)議會重新計算，阻塞的冗余端口會啟用，形成新的生成樹，會自動將把業(yè)務(wù)端口切換到冗余鏈路，保證網(wǎng)絡(luò)故障切換后的連通。為了防止一臺匯聚交換機的故障造成以其為缺省網(wǎng)關(guān)的用戶無

18、法訪問其它VLAN的問題，采用HSRP協(xié)議，兩臺三層匯聚交換機，每一個VLAN都有兩個可供選擇的網(wǎng)關(guān)地址，為同一VLAN的每一對網(wǎng)關(guān)設(shè)置一個虛擬的IP網(wǎng)關(guān)地址，VLAN中的用戶都將自己的網(wǎng)關(guān)地址設(shè)置為此虛擬地址，這樣任何一臺交換機出現(xiàn)故障時，另一臺都可以接替它的所有工作，保證網(wǎng)絡(luò)的正常運行。同時通過對優(yōu)先級的控制，可以實現(xiàn)交換機的負載均衡，即在正常運轉(zhuǎn)情況下，兩臺三層交換機各自為接近相當數(shù)目的VLAN提供網(wǎng)關(guān)服務(wù)。當匯聚交換機至匯聚交換機的鏈路出現(xiàn)故障時，生成樹協(xié)議會重新計算，樓層交換機至匯聚交換機會通過某個樓層交換機形成新的鏈路，HSRP協(xié)議也可以正常工作。采用的技術(shù)1）生成樹協(xié)議生成樹協(xié)議

19、是一種二層管理協(xié)議，它通過有選擇性地阻塞網(wǎng)絡(luò)冗余鏈路來達到消除網(wǎng)絡(luò)二層環(huán)路的目的，同時具備鏈路的備份功能。生成樹即SpanningTree，是一種二層算法，采用這種算法的技術(shù)消除了網(wǎng)橋的冗余連接，用邏輯的BLOCK使每個節(jié)點對外的拓撲都呈樹狀，避免了因為環(huán)路而造成的廣播風暴，一旦拓撲發(fā)生變化，SpanningTree又重新生成樹，保證了網(wǎng)絡(luò)通訊的可靠。但生成樹協(xié)議的收斂速度較慢，一般要幾十秒時間。Cisco對標準STP協(xié)議進行了一些優(yōu)化，使用Uplinkfast、Backbonefast等技術(shù)完成自動切換到冗余鏈路，并解決spanning tree收斂速度慢的問題。portfast使用port

20、fast技術(shù)，交換機的端口不經(jīng)過偵聽、學(xué)習兩個狀態(tài)，直接由阻塞狀態(tài)進入轉(zhuǎn)發(fā)狀態(tài)，這個過程只需1秒的時間。Uplinkfast當交換機的根端口發(fā)生故障，冗余端口不經(jīng)過偵聽、學(xué)習兩個狀態(tài)，直接由阻塞狀態(tài)進入轉(zhuǎn)發(fā)狀態(tài)，這個過程只需1秒的時間。如下圖所示：Backbonefast交換機通過BPDU得知與它連接的交換機失去到根交換機的連接時，快速將冗余鏈路激活，使交換機到根交換機的干線連接能很快恢復(fù)。如下圖所示：2）千兆以太通道技術(shù)同時，通過千兆以太通道（Gigabit Ethernet Channel）技術(shù)，可以大大提高千兆以太網(wǎng)主干的鏈路冗余能力和性能。以太通道技術(shù)可將多條并行的物理鏈路在邏輯上合并

21、為一條鏈路，以增加主干的帶寬，采用這一技術(shù)，可將多條千兆線路合并得到高速通道。3）VLAN技術(shù)對于一個大型的局域網(wǎng)絡(luò)來說，VLAN的劃分是非常重要的功能，它為限制全網(wǎng)范圍的廣播和多點廣播提供了有效的手段。虛擬網(wǎng)絡(luò)VLAN是對網(wǎng)絡(luò)系統(tǒng)采用邏輯化而非物理化的管理技術(shù)來實現(xiàn)網(wǎng)絡(luò)安全的策略，其主要協(xié)議為 IEEE 802.1q，VLAN可以將通訊量進行有效的分割，從而很好的利用帶寬，并可以從邏輯的角度出發(fā)將實際的LAN基礎(chǔ)結(jié)構(gòu)分割成多個子網(wǎng)，這樣減輕了擴容的壓力。 VLAN的信息可以通過802.1q中繼進行傳輸。802.1q是一個國際標準，可用于連接多個交換機的干線，匯聚各VLAN的信息，并可跨多個交

22、換機間劃分VLAN。采用用802.1q技術(shù)，每個以太網(wǎng)幀頭也要封裝一個VLAN ID號以及其它信息以便其它交換機識別它。在網(wǎng)絡(luò)中配置VLAN可以實現(xiàn)不同部門或不同業(yè)務(wù)功能的隔離，在一定程度上保證了系統(tǒng)安全性，同時也以限制接入層的大量廣播包在骨干網(wǎng)絡(luò)的泛濫，提高了系統(tǒng)性能和可用性。4）熱備份路由協(xié)議不同虛擬網(wǎng)或不同子網(wǎng)間的訪問需要路由設(shè)備，局域網(wǎng)內(nèi)的工作站或服務(wù)器都必須配置自己的默認網(wǎng)關(guān)。當默認網(wǎng)關(guān)出現(xiàn)故障時，不同虛擬網(wǎng)或不同子網(wǎng)間的訪問不能進行。因此為了提高網(wǎng)絡(luò)系統(tǒng)的可靠性，采用熱備份路由協(xié)議HSRP。HSRP（熱備份路由協(xié)議）是為網(wǎng)絡(luò)接入設(shè)備提供三層網(wǎng)關(guān)冗余的技術(shù)，HSRP協(xié)議允許兩個或多個

23、配置HSRP協(xié)議的網(wǎng)關(guān)使用一個虛擬網(wǎng)關(guān)的MAC地址和IP地址。因此，當網(wǎng)絡(luò)在一個網(wǎng)關(guān)失效不能工作時，網(wǎng)絡(luò)中的另一個網(wǎng)關(guān)自動接管失效網(wǎng)關(guān)，從而實現(xiàn)IP路由容錯。在本投標的技術(shù)方案中，兩個派出所的交換機采用熱備份路由協(xié)議HSRP，當出現(xiàn)主用網(wǎng)關(guān)故障時，快速切換到備份網(wǎng)關(guān)上。同時通過對備份優(yōu)先級的控制，我們可以實現(xiàn)兩臺派出所匯聚交換機的負載均衡，即在正常運轉(zhuǎn)情況下，每臺匯聚交換機各自為一部分VLAN提供網(wǎng)關(guān)服務(wù)。配置的HSRP網(wǎng)關(guān)向接入設(shè)備提供虛擬IP和MAC地址，并使用hello包檢測HSRP成員狀態(tài)，確保網(wǎng)關(guān)冗余。HSRP設(shè)置優(yōu)先級，確保高優(yōu)先級網(wǎng)關(guān)為激活狀態(tài)；HSRP優(yōu)先級策略應(yīng)與STP的根網(wǎng)

24、橋主備設(shè)置一致。5）OSPF動態(tài)路由協(xié)議OSPF是鏈路狀態(tài)路由協(xié)議。使用OSPF的路由器通過發(fā)送、接收鏈路狀態(tài)消息（LSA）構(gòu)建鏈路狀態(tài)數(shù)據(jù)庫，再用最短路徑優(yōu)先算法生成最短路徑樹，由此得到該路由器的路由表。OSPF路由器知道網(wǎng)絡(luò)的總體拓撲結(jié)構(gòu)，最短路徑樹就是到網(wǎng)絡(luò)各節(jié)點的最佳路徑。OSPF的網(wǎng)絡(luò)設(shè)計采用層次性結(jié)構(gòu)，通過將網(wǎng)絡(luò)劃分為層次結(jié)構(gòu)的不同區(qū)域，可縮短路由表的長度，提高路由的效率。OSPF是國際標準協(xié)議，可以使網(wǎng)絡(luò)在拓撲變化時的快速收斂、網(wǎng)絡(luò)在故障時的快速恢復(fù)，保證網(wǎng)絡(luò)帶寬的充分有效利用、利于網(wǎng)絡(luò)的靈活擴展。 網(wǎng)絡(luò)系統(tǒng)的擴展、升級方式本方案采用的CISCO網(wǎng)絡(luò)設(shè)備提供靈活和簡單的網(wǎng)絡(luò)升級、

25、擴容和系統(tǒng)重新配置。CISCO公司的網(wǎng)絡(luò)產(chǎn)品有很長的生命期，在設(shè)計時就很好的考慮到產(chǎn)品的可擴展性、可升級性及用戶的投資保護，系統(tǒng)具有方便的擴展功能，需要時，只需增加少量板卡、修改軟件就可實現(xiàn)。（1）增加接口和模塊1）核心交換機：核心交換機配置WS-X4515引擎，其中含2個千兆光口；WS-X4424-GB-RJ45，24千兆電口模塊。剩余4個業(yè)務(wù)擴展插槽，可以用于以后網(wǎng)絡(luò)規(guī)模擴大后配置各種接口模塊或業(yè)務(wù)模塊。CISCO4506可以增加接口模塊而不影響本節(jié)點的其它業(yè)務(wù)，所有的接口模塊和接口卡都是可熱拔插并更換的。2）匯聚交換機CISCO3560G-24有24個10/100/1000以太網(wǎng)端口，還

26、有4個為千兆T/SFP雙介質(zhì)可選端口。SFP光纖接口主要作為遠程網(wǎng)絡(luò)設(shè)備間光纖連接，可通過配置千兆光接口收發(fā)器實現(xiàn)，目前還剩余4個用于以后網(wǎng)絡(luò)規(guī)模擴大后的擴展，光纖收發(fā)器可熱插拔而不影響本節(jié)點的其它業(yè)務(wù)。CISCO 3960G-24采用全千兆交換，32G背板帶寬，38.7Mpps的包轉(zhuǎn)發(fā)率，完全可以作為匯聚層的交換機，通過其千兆接口級聯(lián)其它樓層接入交換機，以擴展端口。3）接入層交換機CISCO 2960-24有20個10/100以太網(wǎng)端口，2個千兆以太電口。CISCO 2960-24采用全百兆交換，8.8Gps背板帶寬，6.6Mpps的包轉(zhuǎn)發(fā)率，完全可以作為樓層接入交換機，通過其千兆接口級聯(lián)匯

27、聚層交換機。（2）增加結(jié)點增加交換機節(jié)點到網(wǎng)絡(luò)中，不會影響現(xiàn)有網(wǎng)絡(luò)的工作狀態(tài)?？赏ㄟ^光纖遠程連接，或通過千兆RJ45接口本地擴展。 產(chǎn)品列表型號描述數(shù)量用途CISCO3825-SEC/K93825 Security Bundle,Advanced Security,64F/256D1廣域網(wǎng)路由器ASA5520-K8ASA 5520 Appliance with SW, HA, 4GE+1FE, DES1防火墻WS-C4506-ECat4500 E-Series 6-Slot Chassis, fan, no ps2核心交換機PWR-C45-1300ACVCatalyst 4500 1300W

28、AC Power Supply (Data and PoE)2PWR-C45-1300ACV/2Catalyst 4500 1300W AC Power Supply (Data and PoE)2S45ES-12231SGACisco CAT4500 IOS ENTERPRISE SERVICES W/O CRYPTO2WS-X4515Catalyst 4500 Supervisor IV (2 GE),Console(RJ-45)2WS-X4124-RJ45Catalyst 4500 10/100 Module,24-Ports(RJ45)2WS-C3560G-24TS-ECatalyst

29、 3560 24 10/100/1000T + 4 SFP + IPS Image2匯聚層交換機WS-C2960-24LT-LCatalyst 2960 24 10/100 (8 PoE)+ 2 1000BT LAN Base Image7樓層接入交換機WS-C2960-24PC-LCatalyst 2960 24 10/100 PoE + 2 T/SFP LAN Base Image5WS-C2960-48PST-LCatalyst 2960 48 10/100 PoE + 2 1000BT +2 SFP LAN Base Image15無線產(chǎn)品列表型號描述數(shù)量AIR-WLC4402-50-

30、K94400 Series WLAN Controller for up to 50 Lightweight APs1GLC-T1000BASE-T SFP2WCS-STANDARD-K9WCS Top Level SKU for AP capacity options.1WCS-APLOC-50WCS-Standard-K9 50 AP Location. License Only.1WCS-CD-K9CD With Windows And Linux. No License.1AIR-LOC2710-L-K9New Location Appliance, successor to 2700

31、1AIR-LAP1242AG-C-K9802.11ag LWAPP AP Dual 2.4,5GHz RP-TNC China Cnfg36AIR-ANT49412.4 GHz,2.2 dBi Dipole Antenna Black w/RP-TNC Connect.Qty. 1724.1.3數(shù)據(jù)網(wǎng)絡(luò)可選規(guī)劃 非POE標準版功能設(shè)備名稱型號描述數(shù)量廣域網(wǎng)接入邊緣路由器多業(yè)務(wù)路由器CISCO3825-SEC/K93825 Security Bundle,Advanced Security,64F/256D1網(wǎng)絡(luò)安全網(wǎng)絡(luò)邊界安全防火墻ASA5520-K8ASA 5520 Appliance wi

32、th SW, HA, 4GE+1FE, DES1核心交換機冗余核心交換機核心交換機（6槽）WS-C4506-ECat4500 E-Series 6-Slot Chassis, fan, no ps2電源PWR-C45-1300ACVCatalyst 4500 1300W AC Power Supply (Data and PoE)2熱冗余電源PWR-C45-1300ACV/2Catalyst 4500 1300W AC Power Supply (Data and PoE)2交換機操作系統(tǒng)軟件S45ES-12231SGACisco CAT4500 IOS ENTERPRISE SERVICES

33、 W/O CRYPTO2交換機引擎（6代）WS-X4515Catalyst 4500 Supervisor IV (2 GE),Console(RJ-45)224百兆雙絞線接口卡WS-X4124-RJ45Catalyst 4500 10/100 Module,24-Ports(RJ45)2匯聚層交換機冗余匯聚層交換機24千兆接口三層交換機WS-C3560G-24TS-ECatalyst 3560 24 10/100/1000T + 4 SFP + IPS Image2接入層交換機非PoE接口樓層交換機48百兆接口二層交換機（48個百兆接口+2個千兆口）WS-C2960-48TT-LCataly

34、st 2960 48 10/100 + 2 1000BT LAN Base Image1524百兆接口二層交換機（24個百兆接口+2個千兆口）WS-C2960-24TT-LCatalyst 2960 24 10/100 + 2 1000BT LAN Base Image12以太網(wǎng)跳線超五類雙絞線無線設(shè)備無線控制器無線控制器（支持50個AP）AIR-WLC4402-50-K94400 Series WLAN Controller for up to 50 Lightweight APs1千兆雙絞線收發(fā)器GLC-T1000BASE-T SFP2無線控制管理軟件無線控制管理軟件WCS-STANDAR

35、D-K9WCS Top Level SKU for AP capacity options.1無線控制管理軟件許可（50個AP定位許可）WCS-APLOC-50WCS-Standard-K9 50 AP Location. License Only.1無線控制管理軟件（CD媒體）WCS-CD-K9CD With Windows And Linux. No License.1無線接入點定位器AP定位器AIR-LOC2710-L-K9New Location Appliance, successor to 27001無線接入點無線接入點AIR-LAP1242AG-C-K9802.11ag LWAP

36、P AP Dual 2.4,5GHz RP-TNC China Cnfg36無線接入點2.4 GHz天線AIR-ANT49412.4 GHz,2.2 dBi Dipole Antenna Black w/RP-TNC Connect.Qty. 172電源注射器AIR-PWRINJ3Power Injector for 1100, 1130AG, 1200 1230AG, 1240AG, 52136AP安裝組件AIRLAP-FIPSKITFIPS Kit for LWAPP APs36此版本為是在PoE標準版的基礎(chǔ)上將樓層接入交換機更換為非PoE供電的交換機，相應(yīng)的無線接入點的供電將通過為每臺A

37、P增加電源注射器實現(xiàn)。其他未作改動。 POE標準版功能設(shè)備名稱型號描述數(shù)量廣域網(wǎng)接入邊緣路由器多業(yè)務(wù)路由器CISCO3825-SEC/K93825 Security Bundle,Advanced Security,64F/256D1網(wǎng)絡(luò)安全網(wǎng)絡(luò)邊界安全防火墻ASA5520-K8ASA 5520 Appliance with SW, HA, 4GE+1FE, DES1核心交換機冗余核心交換機核心交換機（6槽）WS-C4506-ECat4500 E-Series 6-Slot Chassis, fan, no ps2電源PWR-C45-1300ACVCatalyst 4500 1300W AC

38、Power Supply (Data and PoE)2熱冗余電源PWR-C45-1300ACV/2Catalyst 4500 1300W AC Power Supply (Data and PoE)2交換機操作系統(tǒng)軟件S45ES-12231SGACisco CAT4500 IOS ENTERPRISE SERVICES W/O CRYPTO2交換機引擎（6代）WS-X4515Catalyst 4500 Supervisor IV (2 GE),Console(RJ-45)224百兆雙絞線接口卡WS-X4124-RJ45Catalyst 4500 10/100 Module,24-Ports(

39、RJ45)2匯聚層交換機冗余匯聚層交換機24千兆接口三層交換機WS-C3560G-24TS-ECatalyst 3560 24 10/100/1000T + 4 SFP + IPS Image2接入層交換機PoE接口樓層交換機24百兆接口（8個PoE接口+2個千兆口）WS-C2960-24LT-LCatalyst 2960 24 10/100 (8 PoE)+ 2 1000BT LAN Base Image724百兆接口（24個PoE接口+2個千兆口）WS-C2960-24PC-LCatalyst 2960 24 10/100 PoE + 2 T/SFP LAN Base Image548百兆

40、接口（48個PoE接口+2個千兆口）WS-C2960-48PST-LCatalyst 2960 48 10/100 PoE + 2 1000BT +2 SFP LAN Base Image15以太網(wǎng)跳線超五類雙絞線無線設(shè)備無線控制器無線控制器（支持50個AP）AIR-WLC4402-50-K94400 Series WLAN Controller for up to 50 Lightweight APs1千兆雙絞線收發(fā)器GLC-T1000BASE-T SFP2無線控制管理軟件無線控制管理軟件WCS-STANDARD-K9WCS Top Level SKU for AP capacity opt

41、ions.1無線控制管理軟件許可（50個AP定位許可）WCS-APLOC-50WCS-Standard-K9 50 AP Location. License Only.1無線控制管理軟件（CD媒體）WCS-CD-K9CD With Windows And Linux. No License.1無線接入點定位器AP定位器AIR-LOC2710-L-K9New Location Appliance, successor to 27001無線接入點無線接入點AIR-LAP1242AG-C-K9802.11ag LWAPP AP Dual 2.4,5GHz RP-TNC China Cnfg36無線接

42、入點2.4 GHz天線AIR-ANT49412.4 GHz,2.2 dBi Dipole Antenna Black w/RP-TNC Connect.Qty. 172AP安裝組件AIRLAP-FIPSKITFIPS Kit for LWAPP APs36此版本的總體結(jié)構(gòu)明晰，接入層、匯聚層、核心層分別設(shè)置，功能區(qū)劃獨立，這種分層方法使網(wǎng)絡(luò)設(shè)計人員可以定義連接用戶和服務(wù)的構(gòu)件區(qū)塊。廣域網(wǎng)接入使用CISCO3825路由器，分支使用CISCO路由器或防火墻，經(jīng)由VPN實現(xiàn)總部和分支之間安全可靠地互聯(lián)，并且為遠程銷售提供IPSEC VPN的接入。在邊界路由器后設(shè)置CISCO ASA5520防火墻，實

43、現(xiàn)自防御網(wǎng)絡(luò)的邊界安全。通過在樓層弱電間設(shè)置二層接入交換機實現(xiàn)客戶終端的百兆雙絞線網(wǎng)絡(luò)接入，該分層能夠通過過濾或訪問控制列表提供對用戶流量的進一步控制。我們在七層的弱電間設(shè)置匯聚層的三層交換機，此層是接入層和核心層之間的分界點，在此匯聚層的三層設(shè)備上配置VLAN的網(wǎng)關(guān)，并實現(xiàn)VLAN間路由。接入層網(wǎng)絡(luò)設(shè)備通過2條超五類雙絞線千兆級聯(lián)至兩臺匯聚層三層交換機，提供設(shè)備及鏈路的冗余，此千兆線路保證了數(shù)據(jù)傳輸?shù)膸挕Ｖ行臋C房的核心交換機是本地局域網(wǎng)的主干，主要目的是盡可能地交換數(shù)據(jù)，并且將交換區(qū)塊連接至核心區(qū)域。兩臺核心交換機提供了設(shè)備冗余，并且與兩臺匯聚層三層交換機兩兩互聯(lián)，通過設(shè)備與鏈路的冗余保證

44、了整個系統(tǒng)的高可用性。無線部分使用了Cisco Aironet 1240AG系列輕量級無線接入點，其為辦公機構(gòu)的理想接入點，它提供了一個高容量、高度安全的WLAN，并且同時支持支持802.11a、802.11b 和802.11g 標準，提供108Mbps 容量，并且適用于多種2.4 和5GHz 天線的連接器。同時設(shè)置了思科無線局域網(wǎng)控制器，并提供了系統(tǒng)級無線局域網(wǎng)功能。它們與Cisco 1242系列輕型接入點和思科無線控制系統(tǒng)(WCS)軟件共用，可支持關(guān)鍵的無線應(yīng)用。從語音和數(shù)據(jù)服務(wù)到地點跟蹤，WLAN控制器提供了必要的控制能力、可擴展性和可靠性。思科無線定位設(shè)備可跟蹤無線AP設(shè)備。它為重要資

45、產(chǎn)跟蹤、IT管理和基于位置的安全技術(shù)提供了一個經(jīng)濟有效、高分辨率的定位解決方案。 POE基礎(chǔ)版功能設(shè)備名稱型號描述數(shù)量廣域網(wǎng)接入邊緣路由器多業(yè)務(wù)路由器CISCO3825-SEC/K93825 Security Bundle,Advanced Security,64F/256D1網(wǎng)絡(luò)安全網(wǎng)絡(luò)邊界安全防火墻ASA5520-K8ASA 5520 Appliance with SW, HA, 4GE+1FE, DES1核心（匯聚）交換機冗余核心交換機核心交換機（3槽）WS-C4503-ECat4500 E-Series 3-Slot Chassis, fan, no ps2電源PWR-C45-1300

46、ACVCatalyst 4500 1300W AC Power Supply (Data and PoE)2熱冗余電源PWR-C45-1300ACV/2Catalyst 4500 1300W AC Power Supply (Data and PoE)2交換機操作系統(tǒng)軟件S45ES-12231SGACisco CAT4500 IOS ENTERPRISE SERVICES W/O CRYPTO2交換機引擎（5代）WS-X4516Catalyst 4500 Supervisor V (2 GE),Console(RJ-45)248千兆雙絞線接口卡WS-X4548-GB-RJ45Catalyst

47、4500 Enhanced 48-Port 10/100/1000 Base-T (RJ-45)2接入層交換機PoE接口樓層交換機24百兆接口（8個PoE接口+2個千兆口）WS-C2960-24LT-LCatalyst 2960 24 10/100 (8 PoE)+ 2 1000BT LAN Base Image724百兆接口（24個PoE接口+2個千兆口）WS-C2960-24PC-LCatalyst 2960 24 10/100 PoE + 2 T/SFP LAN Base Image548百兆接口（48個PoE接口+2個千兆口）WS-C2960-48PST-LCatalyst 2960

48、48 10/100 PoE + 2 1000BT +2 SFP LAN Base Image15以太網(wǎng)跳線超五類雙絞線無線設(shè)備無線控制器無線控制器（支持50個AP）AIR-WLC4402-50-K94400 Series WLAN Controller for up to 50 Lightweight APs1千兆雙絞線收發(fā)器GLC-T1000BASE-T SFP2無線接入點無線接入點AIR-LAP1242AG-C-K9802.11ag LWAPP AP Dual 2.4,5GHz RP-TNC China Cnfg36無線接入點2.4 GHz天線AIR-ANT49412.4 GHz,2.2

49、dBi Dipole Antenna Black w/RP-TNC Connect.Qty. 172AP安裝組件AIRLAP-FIPSKITFIPS Kit for LWAPP APs36此版本的在PoE標準版的基礎(chǔ)上將匯聚層與核心層合并設(shè)置，這種分層方法使網(wǎng)絡(luò)結(jié)構(gòu)更加緊湊，使用一臺設(shè)備實現(xiàn)了數(shù)據(jù)的匯聚與VLAN間的路由。相應(yīng)的將核心交換設(shè)備的處理引擎性能配置升級，以應(yīng)付處理更多的任務(wù)。同時將原來配置的百兆接口板更換為千兆接口板，作為樓層接入設(shè)備級聯(lián)的連接端口同時提供給服務(wù)器連接。在樓層弱電間設(shè)置的二層接入交換機依舊通過2條超五類雙絞線千兆級聯(lián)至兩臺核心交換機，提供設(shè)備及鏈路的冗余，保留千兆線

50、路保證數(shù)據(jù)傳輸?shù)膸?。無線部分保留了Cisco Aironet 1240AG系列輕量級無線接入點和思科無線局域網(wǎng)控制器，簡化了思科無線控制系統(tǒng)(WCS)軟件和思科無線定位設(shè)備，提供了無線系統(tǒng)基本的應(yīng)用及管理解決方案。4.2 無線網(wǎng)絡(luò)-CISCO4.2.1 設(shè)計原則根據(jù)具體需求和勘測情況，在此次網(wǎng)絡(luò)建設(shè)的規(guī)劃、設(shè)計和實施中遵循以下原則：先進性和實用性并重系統(tǒng)建設(shè)要有一定的前瞻性。在無線網(wǎng)絡(luò)建成后的3-5年之內(nèi)，不會由于業(yè)務(wù)量的增加導(dǎo)致對網(wǎng)絡(luò)結(jié)構(gòu)及主要設(shè)備的重大調(diào)整。同時要考慮實際的應(yīng)用水平，避免技術(shù)環(huán)境過于超前造成投資浪費。兼容性網(wǎng)絡(luò)采用開放式體系結(jié)構(gòu)，易于擴充，使相對獨立的系統(tǒng)易于進行組合和調(diào)

51、整。選用的通信協(xié)議符合國際標準或工業(yè)標準，網(wǎng)絡(luò)的硬件環(huán)境、通信環(huán)境、軟件環(huán)境相互獨立，自成平臺，使相互間依賴減至最小，同時保證網(wǎng)絡(luò)的互聯(lián)，我們設(shè)計的無線局域網(wǎng)全部支持從交換機直接通過PoE供電，不必為AP另行配置電源插座。但是假如AP離交換機之間線長超過60M，建議使用墻電電源注射器的方式。Cisco的無線局域網(wǎng)系統(tǒng)滿足國際和國內(nèi)的無線標準， WLAN最大程度的兼容符合Wi-Fi標準的各種無線終端設(shè)備，如Intel訊馳系統(tǒng)、國內(nèi)和臺灣、香港生產(chǎn)的通過Wi-Fi認證的無線局域網(wǎng)絡(luò)終端設(shè)備，事實上，幾乎今天在市面上知名的品牌均可以兼容。無線輻射根據(jù)中國國家無線電管理委員會的規(guī)定，在辦公室內(nèi)部署無線

52、網(wǎng)絡(luò)信號輻射不得超過100mw，以避免2.4GHz和5GHz對人體的影響。同樣的原因，在通常情況下，終端使用5mw左右的發(fā)射功率，以避免大功率長期輻射對人體的影響。無線接入點即AP隨著終端和AP之間的信號的強弱，AP和終端會自動協(xié)商根據(jù)信號的衰減程度，自動降低傳輸速率和增大傳輸功率。思科無線系統(tǒng)在辦公室內(nèi)部署的型號統(tǒng)一都根據(jù)國家規(guī)定最大為100mw，功率智能調(diào)節(jié)。實時的射頻自動監(jiān)測無線信號容易受到其他信號的干擾，無線局域網(wǎng)使用的2.4GHz和5GHz頻段是開放頻段，無需注冊即可獲得使用，因此下列設(shè)備可能造成干擾：微波爐其他大廈區(qū)域的無線系統(tǒng)2.4GHz的無繩電話等因此AP實時進行射頻的監(jiān)測，A

53、P后臺的控制器能夠?qū)崟r對AP進行控制，控制功率的大小，比如當1個AP實效以后，其他的AP通過自動計算對功率進行增加；出現(xiàn)信號的時候，控制器能夠?qū)π盘柛蓴_來源進行定位，確定何處的信號干擾，信號干擾的程度如何，并地圖方式顯示在網(wǎng)管上（需配置WCS及定位器）。傳統(tǒng)有線網(wǎng)絡(luò)在物理安全方面存在一定的優(yōu)勢。有線接口位于建筑物內(nèi)部，這意味著企業(yè)可以利用加密卡和通行證來將未經(jīng)授權(quán)的用戶拒之門外。但是在無線網(wǎng)絡(luò)中，這種物理保護并不存在。無線信號會擴散到物理圍墻之外，從而可能將企業(yè)的WLAN拓展到某個停車場或者相鄰建筑物。為了最大限度地解決這個問題，必須采用正確的RF設(shè)計、發(fā)射功率控制和先進的定位技術(shù)。自動負載均

54、衡有線網(wǎng)絡(luò)在本質(zhì)上具有確定性第二層（以太網(wǎng)）和第三層（IP）交換機和路由器都是便于理解、可以預(yù)測的。但是，用戶在無線網(wǎng)絡(luò)中的體驗則依賴于無線信號的傳播和建筑物的其他特性。這些特性可能會迅速發(fā)生變化，從而影響連接速度和錯誤率。一個位于城區(qū)的辦公場所的RF環(huán)境在早上10點和3點時是完全不同的。在早上10點，有數(shù)以百計的用戶在移動使用網(wǎng)絡(luò)。而在早上3點，辦公室的大門緊鎖，沒有人在辦公，而且附近的辦公室和咖啡廳也不會產(chǎn)生RF干擾。更多的情況下，在同一時間，大家從各自的辦公室匯聚到會議廳，特別是當人數(shù)比較多，超出了1個AP的承受范圍，那么帶寬會慢的無法工作；為了保障帶寬，如果在AP設(shè)置了限制，那么后來的

55、人員無法得到無線連接服務(wù)，因為在無線網(wǎng)絡(luò)控制器的模式，可以對AP自動的負載均衡，將終端分別發(fā)送到不同的AP，自動計算和對終端的流量進行均衡，比如，當這個AP的利用率到了80%，那么控制器自動將用戶引導(dǎo)到另外的空閑的相鄰AP上面，而在我們的設(shè)計中，所有的AP部署已經(jīng)考慮了人員的位置和可能的集中的情況，完全可以智能的處理動態(tài)的負載變化。例如會議室開會的時候，那個區(qū)域?qū)P的使用率會非常高，滿負荷以后可能就無法繼續(xù)使用網(wǎng)絡(luò)了，但是有了控制器，它能控制AP的覆蓋范圍，一個AP滿負荷了，會有其他的AP過來支援。自動頻道管理和跨IP域漫游無線局域網(wǎng)802.11b標準使用3個不重復(fù)的頻道，1、6、11，為了

56、實現(xiàn)自動漫游，需要對頻道的管理。思科無線系統(tǒng)由于采用了后臺集中控制的方式，能夠當AP布放后，通過實時射頻監(jiān)測，然后自動對頻道進行分配，并地圖方式顯示在網(wǎng)管上（需配置WCS及定位器）。無線局域網(wǎng)的AP如果處于不同的子網(wǎng)，在漫游的過程中，需要處理三層的漫游，在后臺保持用戶的DHCP得來的IP租用，認證的會話密鑰等，控制器可以自動完成三層無線漫游。安全性無線網(wǎng)絡(luò)支持最多的安全特性，采用集中認證，對每個數(shù)據(jù)包進行加密。通過對射頻的實時監(jiān)測，發(fā)現(xiàn)并定位惡意的AP，惡意AP是未經(jīng)授權(quán)的人員通過自己設(shè)置一個AP，吸引無線終端連接到惡意AP從而非法獲得數(shù)據(jù)的黑客方法。對惡意AP的掃描配合采用安全無線認證協(xié)議，

57、能夠解決AP和無線之間的相互信任問題。目前無線局域網(wǎng)領(lǐng)域標準主要有思科和微軟等公司，能夠支持最多的安全保障和擴展的端口安全管理。地理化圖形管理界面網(wǎng)絡(luò)管理界面全部圖形化，能夠輸入辦公區(qū)的平面圖，并且能夠進行微調(diào)，能夠輸入障礙物等信息，在網(wǎng)管上面可以操作全部的無線功能。在AP上無需任何配置。4.2.2 詳細方案 CISCO無線網(wǎng)絡(luò)架構(gòu)為了全面地滿足用戶的RF管理需求，我們設(shè)計了一個集中、簡便的WLAN架構(gòu)。它的核心組件是 “分離MAC”架構(gòu)，即將對802.11數(shù)據(jù)和管理協(xié)議的處理，以及接入點功能分別部署于一個輕型接入點和一個集中WLAN控制器（如圖1所示）。更加特別的是，對時間敏感的活動例如信標

58、處理、與客戶端的握手、介質(zhì)訪問控制（MAC）層加密和RF監(jiān)控都是由接入點處理的。其他活動都由WLAN控制器處理，它需要具備整個系統(tǒng)的可見度。這包括802.11管理協(xié)議、幀轉(zhuǎn)換和橋接功能，以及對于用戶移動、安全、QoS和可能更加重要的是實時RF管理的系統(tǒng)級策略。圖1 典型的分離MAC架構(gòu)無線局域網(wǎng)控制器具備的實時RF管理對于輕型無線解決方案具有重要的意義。它是思科產(chǎn)品的一項獨有特色。思科無線局域網(wǎng)控制器可以利用動態(tài)算法，創(chuàng)建一個完全自行配置、優(yōu)化和治愈的環(huán)境，讓思科WLAN適用于提供安全、可靠的業(yè)務(wù)應(yīng)用。這是通過執(zhí)行下列RRM功能實現(xiàn)的：無線資源監(jiān)控動態(tài)信道分配干擾檢測和避免動態(tài)發(fā)射功率控制覆蓋

59、盲區(qū)檢測和糾正客戶端和網(wǎng)絡(luò)負載均衡無線資源監(jiān)控RF網(wǎng)絡(luò)的管理需要充分了解影響無線空間的因素。思科輕型接入點采用了獨特的設(shè)計，不僅能夠提供服務(wù)，還可以同時監(jiān)控所有信道。這源自于思科在它的分離MAC架構(gòu)中對802.11 MAC層所開展的、廣泛的開發(fā)工作。除了提供服務(wù)以外，思科輕型接入點還可以同時掃描所在國家允許的所有有效的802.11a/b/g信道，以及在其他地區(qū)有效的信道。這可以提供最高限度的保護系統(tǒng)將發(fā)現(xiàn)可能從其他國家進口的惡意接入點，或者某個知道怎樣更改所在國家規(guī)定操作方式的黑客。這些黑客能夠讓惡意設(shè)備位于帶外，從而躲過大部分WLAN入侵檢測系統(tǒng)（IDS）的掃描。思科輕型接入點可以在不超過6

60、0ms的時間里進行“信道外”掃描，以監(jiān)聽這些信道。在此期間搜集到的分組將被發(fā)送到思科無線局域網(wǎng)控制器。后者將對這些分組進行分析，以發(fā)現(xiàn)惡意接入點（無論服務(wù)集標識符SSID是否被廣播）、惡意客戶端、臨時客戶端和干擾接入點。動態(tài)信道分配802.11 MAC功能需要采用一種基于二進制指數(shù)退避的沖突避免機制，即帶有沖突檢測的載波偵聽多路存?。–SMA/CA）。802.11 MAC層由一個四路交換協(xié)議定義：Request to Send (RTS) Clear to Send (CTS)Data ACK當某個基站需要發(fā)送信息時，它會將其提供給介質(zhì)。如果介質(zhì)是閑置的，接入點將會允許該基站發(fā)送它的數(shù)據(jù)。否則