基地園區(qū)網(wǎng)絡(luò)方案建議書

1、XX 集團(tuán)園區(qū)網(wǎng)絡(luò)技術(shù)建議書杭州 xx 通信技術(shù)有限公司第1章總體建設(shè)要求3第2章設(shè)計(jì)原則5第3章網(wǎng)絡(luò)整體方案設(shè)計(jì) 73.1總體網(wǎng)絡(luò)設(shè)計(jì)描述73.2網(wǎng)絡(luò)結(jié)構(gòu)設(shè)計(jì)73.3網(wǎng)絡(luò)拓?fù)鋱D93.3.1網(wǎng)絡(luò)拓?fù)鋱D（內(nèi)網(wǎng)） 93.3.2網(wǎng)絡(luò)拓?fù)鋱D（外網(wǎng)） 93.3.3網(wǎng)絡(luò)拓?fù)鋱D（智能網(wǎng)） 103.4組網(wǎng)描述103.4.1網(wǎng)絡(luò)出口設(shè)計(jì)103.4.2核心層設(shè)計(jì)113.4.3匯聚層設(shè)計(jì)133.4.4接入層設(shè)計(jì)133.4.5用戶認(rèn)證：143.4.6網(wǎng)絡(luò)管理系統(tǒng)： 153.5安全設(shè)計(jì)153.5.1安全設(shè)計(jì)要點(diǎn)153.5.2網(wǎng)絡(luò)邊界安全防護(hù) 16第4章有線無(wú)線一體化設(shè)計(jì) 204.1無(wú)線控制器204.2 無(wú)線 AP 21

2、4.3 POE 供電234.4無(wú)線網(wǎng)管運(yùn)維234.5無(wú)線用戶認(rèn)證 244.6方案特點(diǎn)25第5章方案優(yōu)勢(shì)介紹 28第1章 總體建設(shè)要求根據(jù) XX 園區(qū)信息化對(duì)計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)的需求，我們選擇采用基于 TCP/IP 協(xié)議的、以1/10G BASE-X光纖鏈路為骨干的網(wǎng)絡(luò)，各樓棟內(nèi)采用千兆到桌面，要求能兼容IPV4與IPV6 ,通過(guò)VLAN劃分不同邏輯區(qū)域分別供不同部門的接入使用。在共用主干網(wǎng)絡(luò)線路的前提下實(shí)現(xiàn)各區(qū)域的邏輯性隔離，以實(shí)現(xiàn)安全、使用以及資源利用最大化。1、區(qū)域劃分XX 公司園區(qū)網(wǎng)由四棟新建樓宇組成，分別是保障中心、集控大廳、周轉(zhuǎn)宿舍、多功 能綜合樓；保障中心作為整個(gè)園區(qū)的網(wǎng)絡(luò)核心，中心機(jī)

3、房部署在三樓，分別通過(guò)光纜連接 其它樓棟，大樓內(nèi)設(shè)置匯聚交換機(jī)，接入交換機(jī)對(duì)本大樓內(nèi)的信息點(diǎn)位進(jìn)行接入。2、網(wǎng)絡(luò)拓樸的設(shè)計(jì)根據(jù)業(yè)務(wù)情況，把園區(qū)網(wǎng)絡(luò)分為3 套網(wǎng)絡(luò)：內(nèi)網(wǎng)、外網(wǎng)、智能網(wǎng)，三套網(wǎng)絡(luò)要求物理隔離；網(wǎng)絡(luò)主體架構(gòu)采用星型拓樸結(jié)構(gòu)，計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)考慮在保障中心三樓機(jī)房各設(shè)計(jì)2臺(tái)萬(wàn)兆交換機(jī)作為 XX公司個(gè)業(yè)務(wù)網(wǎng)絡(luò)的核心交換機(jī)，同時(shí)必須虛擬化能力，采用雙核心設(shè) 計(jì)，把雙核心虛擬成一臺(tái)具有高性能、高可靠、高安全的虛擬交換機(jī)；核心交換機(jī)通過(guò)萬(wàn)兆單光纜連接到保障中心、集控大廳、周轉(zhuǎn)宿舍、多功能綜合樓的匯聚機(jī)房， 根據(jù)信息點(diǎn)位設(shè)計(jì)一臺(tái)萬(wàn)兆匯聚交換機(jī)， 通過(guò)千兆單模對(duì)本樓層的接入交換機(jī)提 供接入，樓層設(shè)計(jì)

4、多臺(tái)千兆接入交換機(jī)對(duì)本棟大樓信息點(diǎn)提供千兆桌面接入。3、網(wǎng)絡(luò)管理系統(tǒng)基于網(wǎng)絡(luò)中所涉及的設(shè)備較多，需要對(duì)設(shè)備進(jìn)行狀態(tài)檢測(cè)、設(shè)備配置、策略設(shè)置等， 在網(wǎng)絡(luò)發(fā)生故障時(shí)能夠及時(shí)發(fā)現(xiàn)問(wèn)題，這需要一套功能強(qiáng)大的網(wǎng)絡(luò)管理軟件。方案中選用 智能網(wǎng)管軟件作為局域網(wǎng)管理平臺(tái)，能夠與方案中設(shè)計(jì)的網(wǎng)絡(luò)設(shè)備、安全設(shè)備、無(wú)線、監(jiān) 控良好配合。4、無(wú)線覆蓋設(shè)計(jì)利用無(wú)線網(wǎng)絡(luò)技術(shù)進(jìn)一步擴(kuò)展網(wǎng)絡(luò)的覆蓋范圍， 提高網(wǎng)絡(luò)的用戶自適應(yīng)性， 在無(wú)線的覆 蓋范圍內(nèi)實(shí)現(xiàn)數(shù)據(jù)業(yè)務(wù)和語(yǔ)音業(yè)務(wù)的無(wú)線傳輸，并且可實(shí)現(xiàn)三層漫游，使無(wú)線局域網(wǎng)和有線 網(wǎng)成為一個(gè)整體，提供安全的無(wú)線接入。無(wú)線要求采用FIT AP組網(wǎng)方式，由無(wú)線控制器對(duì)集團(tuán)內(nèi)所有的無(wú)線AP

5、進(jìn)行統(tǒng)一接入管理，AP供電采用POE遠(yuǎn)程供電方式；5、對(duì)IP地址、DNS等網(wǎng)絡(luò)基礎(chǔ)資源的規(guī)劃XX共有上千個(gè)網(wǎng)絡(luò)點(diǎn)及多個(gè)無(wú)線AP,其IP地址劃分按 C類協(xié)議劃分，可以考慮不同樓棟的不同部門上網(wǎng)采用不同的IP段。6、對(duì)安全的考慮方案中對(duì)系統(tǒng)安全作如下考慮， 在對(duì)外連接上采用高性能防火墻， 提供充足的千兆端 口和處理系能。對(duì)于集團(tuán)上網(wǎng)的各種應(yīng)用進(jìn)行行為和流量控制， 配置應(yīng)用控制網(wǎng)關(guān)， 對(duì)集團(tuán)各種行為 進(jìn)行精細(xì)化管理和控制，對(duì)上網(wǎng)行為提供事后行為審計(jì)能力。7、綜合布線 綜合布線是本次網(wǎng)絡(luò)改造的重點(diǎn)，要求做點(diǎn)規(guī)范、整潔、美觀、方便、耐用，樓棟之間采用室外光纜進(jìn)行布放，光纜兩端采用光端盒，光端盒必須出可接

6、跳線的耦合器，不能 直接出尾纖。光纜必須走地下，不能從空中拉；室內(nèi)采用六類非屏蔽線纜，除了新教學(xué)樓，其它大樓均采用一個(gè)弱電機(jī)房，所有信息點(diǎn)的網(wǎng)線直接拉到大樓弱電機(jī)房，在機(jī)房采用配線架集中整合。線纜布放必須采用橋架方 式進(jìn)行布放；XX 公司網(wǎng)絡(luò)建設(shè)的總體目標(biāo)是建立一個(gè)開(kāi)放的、基于標(biāo)準(zhǔn)的數(shù)字化園區(qū)系統(tǒng)平臺(tái)， 利用企業(yè)信息交換、 資源共享、 遠(yuǎn)程會(huì)議等現(xiàn)代化辦公手段， 面向員工及用戶提供個(gè)性化、 人性化的服務(wù)。并可支持未來(lái)數(shù)據(jù)、語(yǔ)音和視頻等多業(yè)務(wù)在現(xiàn)有網(wǎng)絡(luò)技術(shù)平臺(tái)的融合。計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)是整個(gè) XX公司信息管理系統(tǒng)的基礎(chǔ)平臺(tái)與設(shè)施，為保證信息管理系 統(tǒng)應(yīng)用系統(tǒng)的高效、安全、可靠，必須在整個(gè)網(wǎng)絡(luò)系統(tǒng)建設(shè)

7、方案設(shè)計(jì)中按照國(guó)家和行業(yè)標(biāo) 準(zhǔn)，達(dá)到一定的設(shè)計(jì)、建設(shè)原則和目標(biāo)。建設(shè)一個(gè)支持?jǐn)?shù)字化、 網(wǎng)絡(luò)化、 自動(dòng)化的國(guó)內(nèi)先進(jìn)的基礎(chǔ)網(wǎng)絡(luò)平臺(tái)， 滿足數(shù)字化企業(yè) 建設(shè)的需要，也滿足企業(yè)信息化建設(shè)的長(zhǎng)期要求。網(wǎng)絡(luò)平臺(tái)具有良好的服務(wù)質(zhì)量、較高安 全性、便于管理和維護(hù)，能夠支持企業(yè)的各種辦公和科研應(yīng)用，也支持移動(dòng)辦公、信息發(fā) 布。第 2章 設(shè)計(jì)原則在 XX 公司網(wǎng)絡(luò)建設(shè)項(xiàng)目中，為節(jié)省用戶投資，保證業(yè)務(wù)的正常、優(yōu)質(zhì)開(kāi)展，整個(gè)網(wǎng)絡(luò)系統(tǒng)必須總體規(guī)劃，統(tǒng)一標(biāo)準(zhǔn)。為達(dá)到XX公司網(wǎng)絡(luò)建設(shè)的目標(biāo)要求，在網(wǎng)絡(luò)設(shè)計(jì)構(gòu)建中， 應(yīng)堅(jiān)持以下建網(wǎng)原則：需求驅(qū)動(dòng)原則： 以實(shí)際應(yīng)用需求為依據(jù)，選擇技術(shù)和設(shè)備。根據(jù)企業(yè)信息化建設(shè)的實(shí)際需求，考慮遠(yuǎn)

8、程辦公與合作，特別是數(shù)據(jù)信息傳輸與數(shù)字視頻業(yè)務(wù)的需要， 要充分考慮網(wǎng)絡(luò)系統(tǒng)的服務(wù)質(zhì)量和可靠性。根據(jù)現(xiàn)在的需求和可以預(yù)見(jiàn)的需求增 長(zhǎng)情況設(shè)計(jì)網(wǎng)絡(luò)，不追求空洞的技術(shù)先進(jìn)性，避免追求高檔和最新技術(shù)花費(fèi)的巨 大代價(jià)。先進(jìn)性原則： 企業(yè)信息化需要最新技術(shù)的支撐，特別是網(wǎng)絡(luò)技術(shù)和多媒體計(jì)算機(jī)技術(shù)，必須采用先進(jìn)成熟的技術(shù)，并兼顧未來(lái)發(fā)展趨勢(shì)。本方案所選擇H3C公司設(shè)備在技術(shù)上具有很強(qiáng)的先進(jìn)性，其性能、技術(shù)體系可保證企業(yè)5-8 年的發(fā)展需要，有力的保護(hù)了企業(yè)投資。投資保護(hù)原則： 由于企業(yè)已在網(wǎng)絡(luò)應(yīng)用方面做了大量的投入進(jìn)行信息化建設(shè)，企 業(yè)信息化在各部門或不同的應(yīng)用上對(duì)網(wǎng)絡(luò)的需求不盡相同，原有的很多工作已經(jīng) 證

9、明是有效的，這部分軟硬件可以繼續(xù)發(fā)揮作用，從而保護(hù)原有投資，節(jié)省建設(shè) 經(jīng)費(fèi)。標(biāo)準(zhǔn)化原則： 從機(jī)房建設(shè)、綜合布線工程規(guī)范、到網(wǎng)絡(luò)技術(shù)標(biāo)準(zhǔn)和網(wǎng)絡(luò)協(xié)議，都 有相應(yīng)的國(guó)際標(biāo)準(zhǔn)和國(guó)家標(biāo)準(zhǔn)，所有設(shè)計(jì)與建設(shè)要遵循該原則，從而可以實(shí)現(xiàn)標(biāo) 準(zhǔn)化管理，延長(zhǎng)整體項(xiàng)目的生命周期，做到投資保護(hù)。安全性原則： 企業(yè)信息化工作的特殊性，對(duì)網(wǎng)絡(luò)與信息安全提出了很高的要求。 由于安全性的要求與投入成正比，并且涉及管理與應(yīng)用的方方面面，是一個(gè)復(fù)雜 的系統(tǒng)工程，實(shí)際上沒(méi)有一個(gè)絕對(duì)安全的系統(tǒng)，安全只是相對(duì)而言，所以該原則 是充分評(píng)估安全風(fēng)險(xiǎn)，制定安全策略，采取必要的安全措施。是防止非法訪問(wèn)者 通過(guò)互聯(lián)網(wǎng)絡(luò)對(duì)網(wǎng)絡(luò)節(jié)點(diǎn)進(jìn)行攻擊的能力。從

10、網(wǎng)絡(luò)設(shè)備來(lái)講，防止外部攻擊主要靠路由器實(shí)現(xiàn)，華為路由器在這方面具有獨(dú)到的優(yōu)勢(shì)。華為3C0M產(chǎn)品的全部軟件及硬件均為公司自行開(kāi)發(fā)研制，具有完全的知識(shí)產(chǎn)權(quán)。工程原則： 網(wǎng)絡(luò)系統(tǒng)建設(shè)涉及機(jī)房與網(wǎng)絡(luò)配線間環(huán)境、通信管道與通信線纜、樓內(nèi)綜合布線系統(tǒng)、電源及其防護(hù)、網(wǎng)絡(luò)交換機(jī)與路由器、服務(wù)器設(shè)備以及相關(guān)的 軟硬件系統(tǒng)，在設(shè)計(jì)建設(shè)時(shí)要體現(xiàn)工程原則，做到有工程規(guī)劃、項(xiàng)目有設(shè)計(jì)、實(shí)施有控制等，實(shí)現(xiàn)整個(gè)系統(tǒng)的可管理、可維護(hù)、可擴(kuò)展和可升級(jí)。健壯性及開(kāi)放性：它應(yīng)具有很好的收斂性和可擴(kuò)展性，同時(shí)其網(wǎng)絡(luò)額外開(kāi)銷是極小的，且受到國(guó)際標(biāo)準(zhǔn)的支持，保證不同設(shè)備見(jiàn)的互通性?？蓴U(kuò)展性：考慮到今后信息化的進(jìn)程和逐步演進(jìn)，網(wǎng)絡(luò)要建設(shè)

11、成完整統(tǒng)一、組網(wǎng)靈活、易擴(kuò)充的彈性網(wǎng)絡(luò)平臺(tái)，能夠隨著需求變化，充分留有擴(kuò)充余地。經(jīng)濟(jì)性：應(yīng)該充分的利用現(xiàn)有的網(wǎng)絡(luò)資源，充分考慮經(jīng)濟(jì)和安全的最佳結(jié)合點(diǎn)。設(shè)備在保障性能和可靠安全的基礎(chǔ)上，應(yīng)能達(dá)到最佳性價(jià)比。指導(dǎo)書第3章 網(wǎng)絡(luò)整體方案設(shè)計(jì)3.1總體網(wǎng)絡(luò)設(shè)計(jì)描述從應(yīng)用結(jié)構(gòu)上來(lái)講，XX公司網(wǎng)絡(luò)系統(tǒng)可分為三個(gè)大的層次：安全保障系統(tǒng)互聯(lián)支撐網(wǎng)絡(luò)互聯(lián)支撐層是 XX公司管理網(wǎng)的基礎(chǔ)，由 XX公司管理中心統(tǒng)一規(guī)劃、構(gòu)建及管理，支撐層利用寬帶IP技術(shù)，保證網(wǎng)絡(luò)的互聯(lián)互通性，提供具有一定 QoS的帶寬保證，并提供各部門、系統(tǒng)網(wǎng)絡(luò)間的一定隔離，保證互訪的安全控制；安全保障系統(tǒng)是指通過(guò)認(rèn)證、加密、授權(quán)、綁定控制等技術(shù)對(duì)

12、XX公司管理網(wǎng)上的用戶訪問(wèn)及數(shù)據(jù)實(shí)施安全保障的監(jiān)控系統(tǒng)，他與互聯(lián)支撐層相對(duì)獨(dú)立，由管理中心與各部門單位 共同規(guī)劃，分布構(gòu)建，如數(shù)據(jù)加密等措施建議在用戶網(wǎng)絡(luò)處（各部門）實(shí)施；業(yè)務(wù)應(yīng)用層就是在安全互聯(lián)的基礎(chǔ)上實(shí)施XX公司管理網(wǎng)的各種應(yīng)用，由管理中心與各系統(tǒng)單位統(tǒng)一規(guī)劃，分別實(shí)施。在本方案中，各個(gè)網(wǎng)絡(luò)系統(tǒng)均采用星型結(jié)構(gòu)，星型結(jié)構(gòu)特點(diǎn)是結(jié)構(gòu)簡(jiǎn)單，時(shí)延固定，便于管理和故障排除，接入層單點(diǎn)故障不會(huì)影響整個(gè)網(wǎng)絡(luò)，提高網(wǎng)絡(luò) 的可靠性。3.2 網(wǎng)絡(luò)結(jié)構(gòu)設(shè)計(jì)網(wǎng)絡(luò)的拓?fù)浣Y(jié)構(gòu)很大程度上決定了網(wǎng)絡(luò)的性能，常見(jiàn)的網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)主要有星型結(jié)構(gòu)、網(wǎng)狀結(jié)構(gòu)、環(huán)形結(jié)構(gòu)等幾種，根據(jù)xx集團(tuán)園區(qū)網(wǎng)的特點(diǎn)，結(jié)合性能和經(jīng)濟(jì)方面的考慮，推薦

13、采用星型結(jié)構(gòu) 搭建園區(qū)網(wǎng)。根據(jù)功能區(qū)的不同劃分為以下3層，核心層、匯聚層、接入層 ：名稱功能備注核心設(shè)備核心層為網(wǎng)絡(luò)提供骨干組件或 高速交換組件，高效速度傳輸是核 心層的目標(biāo)核心交換機(jī)米用基于 CLOS多級(jí)交 換架構(gòu)的交換機(jī) S10500,控制和轉(zhuǎn)發(fā)物 理分離，真正保證大數(shù)據(jù)量的無(wú)阻塞轉(zhuǎn) 發(fā)，冋時(shí)支持多業(yè)務(wù)安全插卡，保證整個(gè)網(wǎng)絡(luò)的數(shù)據(jù)傳輸安全匯聚設(shè)備匯聚層是核心層和終端用戶接入層的分界面，匯聚交換選擇 S5800萬(wàn)兆交換機(jī)， 提供24個(gè)千兆光口， 4個(gè)萬(wàn)兆光接口， 對(duì)上通過(guò)萬(wàn)兆單模連接到兩臺(tái)核心，向 下采用多模千兆接入樓層接入交換機(jī)， 匯聚層完成網(wǎng)絡(luò)訪問(wèn)的策略控制、廣播 域的定義、VLAN 間

14、的路由、數(shù)據(jù)包處 理、過(guò)濾尋址及其他數(shù)據(jù)處理的任務(wù)。接入設(shè)備接入層向本地網(wǎng)段提供用戶接 入。接入交換機(jī)采用 S5110千兆交換機(jī)， 通過(guò)千兆多模接到匯聚交換機(jī)，通過(guò)六類 網(wǎng)線提供用戶千兆接入，主要提供網(wǎng)絡(luò)分 段、廣播能力、多播能力、介質(zhì)訪問(wèn)的安 全性、MAC地址的過(guò)濾和路由發(fā)現(xiàn)等任 務(wù)3.3 網(wǎng)絡(luò)拓?fù)鋱D331網(wǎng)絡(luò)拓?fù)鋱D（內(nèi)網(wǎng)）華能集團(tuán)園區(qū)網(wǎng)絡(luò)拓?fù)鋱D無(wú)線控制葺ssnoaap匯鶴交按機(jī)S5flOO-32F3.3.2跑酬褊明 萬(wàn)兆單憎 一 方兆務(wù)情 千兆電口 千1L4R1K華能證團(tuán)內(nèi)園丄盼火覽曲共AP WA26aCh膽哥羽匯IfLSSa20V2-52Q=A-L.；J:-?nS105D&-V保障中外.

15、JM空大廳*閥話血、參功能得咅懦各対虛一宿網(wǎng)絡(luò)拓?fù)鋱D（外網(wǎng)）iES!APWA26i1W1華能集團(tuán)園區(qū)網(wǎng)絡(luò)拓?fù)鋱D桜心層S；0M?V 霉SRfi602眼柴器匯螫 防火:If LS-5620V2-52Q和愛(ài)層檢入層BlStviHI萬(wàn)拄MSI 萬(wàn)北片IB月韭捋也 干韭電口于北單1H半能床團(tuán)欽據(jù)中心3.3.3 網(wǎng)絡(luò)拓?fù)鋱D（智能網(wǎng)）華能集團(tuán)區(qū)網(wǎng)絡(luò)拓?fù)鋱D.入侵町御系:統(tǒng)無(wú)線建趙器那勢(shì)磊;匸賢LS-582CV2-52Q梭心立損機(jī)S4050S-VWAPCAP扎侵麗御系讒核心層萬(wàn)韭單頂 用北年 萬(wàn)兆參拽 豐兆電口 不兆犖換接入層接人交按屯L S5110-2SP匯舷換機(jī)S5800-32FP.QLSttUL S511

16、0-匸聚交按機(jī)M00-52F面恆AP AA2610HliilllTiiSAPWAZCOOi3.4 組網(wǎng)描述根據(jù)本期工程的需求和建設(shè)目標(biāo)，整個(gè)園區(qū)網(wǎng)絡(luò)分為三張網(wǎng)絡(luò)：內(nèi)網(wǎng)、外網(wǎng)、智能網(wǎng)， 三張網(wǎng)絡(luò)的邏輯結(jié)構(gòu)及設(shè)備選型類似，要求三張網(wǎng)絡(luò)物理隔離，獨(dú)立組網(wǎng)；網(wǎng)絡(luò)結(jié)構(gòu)設(shè)計(jì)上采用三層架構(gòu)，核心交換機(jī)、匯聚交換機(jī)、接入交換機(jī)，樓間采用萬(wàn)兆 單模連接，大樓內(nèi)的匯聚和接入通過(guò)千兆單模光纖連接，千兆到桌面，同時(shí)實(shí)現(xiàn)園區(qū)部分場(chǎng) 所的無(wú)線無(wú)縫覆蓋，為園區(qū)提供高速、穩(wěn)定、方便的無(wú)線接入平臺(tái)，保證園區(qū)各種應(yīng)用能夠 隨時(shí)隨地的開(kāi)展。3.4.1 網(wǎng)絡(luò)出口設(shè)計(jì)三張網(wǎng)絡(luò)（內(nèi)網(wǎng)、外網(wǎng)、智能網(wǎng)）的出口分別通過(guò)核心交換機(jī)接到集團(tuán)原有相

17、應(yīng)網(wǎng)絡(luò)上，在核心交換機(jī)上部署安全插卡 （防火墻、入侵防御系統(tǒng)），有效阻止來(lái)自網(wǎng)絡(luò)中的各種安全威脅，如黑客、木馬、病毒、網(wǎng)頁(yè)篡改等；在外網(wǎng)考慮兩個(gè)出口， 一個(gè)出口為集團(tuán)外網(wǎng)接入，另外考慮單獨(dú)的互聯(lián)網(wǎng)出口，在互聯(lián)網(wǎng)出口部署一臺(tái)高性能出口路由器SR6602-X1 ，提供 15M 的包轉(zhuǎn)發(fā)能力， 4個(gè)千兆光口， 4 個(gè)千兆電口，2個(gè)萬(wàn)兆接口， 4個(gè)業(yè)務(wù)擴(kuò)展槽位，出口路由器要做NAT轉(zhuǎn)換，SR6602具備400萬(wàn)的并發(fā)連接數(shù)， 完全滿足園區(qū)用戶的上網(wǎng)需要， 園區(qū)內(nèi)部全部采用私有地址， 通過(guò) NAT 后 訪問(wèn)互聯(lián)網(wǎng)，可以很好解決公網(wǎng)地址不足的問(wèn)題。3.4.2 核心層設(shè)計(jì)隨著園區(qū)網(wǎng)信息化的完善，園區(qū)的應(yīng)用越

18、來(lái)越多，上網(wǎng)的人也越來(lái)越多，業(yè)務(wù)也遍布辦 公、娛樂(lè)、生活各個(gè)領(lǐng)域， 接入方式不局限于有線，有高帶寬的無(wú)線接入，所以園區(qū)核心交 換機(jī)需要同時(shí)承載多種業(yè)務(wù)，所有業(yè)務(wù)都要經(jīng)過(guò)核心交換機(jī)處理，建議核心交換機(jī)必須滿足 大容量、高性能、高可靠、高安全及網(wǎng)絡(luò)擴(kuò)展的要求，本次三張網(wǎng)絡(luò)（內(nèi)網(wǎng)、外網(wǎng)、智能網(wǎng)） 核心層均采用雙核心設(shè)計(jì)，核心交換機(jī)采用H3C多級(jí)交換架構(gòu)（CLOS）數(shù)據(jù)中心級(jí)交換機(jī)S10508-V，兩臺(tái)核心通過(guò)虛擬化技術(shù)IRF2虛擬成一臺(tái)設(shè)備邏輯設(shè)備，H3C S10500是中國(guó)國(guó)內(nèi)第一款100G平臺(tái)交換機(jī)，支持未來(lái) 40GE和100GE以太網(wǎng)標(biāo)準(zhǔn)，采用先進(jìn)的CLOS多級(jí)多平面交換架構(gòu) ，獨(dú)立的交換網(wǎng)板

19、卡，控制引擎和交換網(wǎng)板硬件相互獨(dú)立，最大程度的提高設(shè) 備可靠性，同時(shí)為后續(xù)產(chǎn)品帶寬的持續(xù)升級(jí)提供保證；為了滿足數(shù)據(jù)中心級(jí)網(wǎng)絡(luò)高可靠、高 可用、虛擬化的要求，S10500采用創(chuàng)新IRF2 （第二代智能彈性架構(gòu)）設(shè)計(jì)，將多臺(tái)高端設(shè)備虛擬化為一臺(tái)邏輯設(shè)備，簡(jiǎn)化路由協(xié)議運(yùn)行狀態(tài)與運(yùn)維管理，同時(shí)大大縮短設(shè)備及鏈路出 現(xiàn)故障快速切換，避免網(wǎng)絡(luò)震蕩。IRF2互聯(lián)鏈路采用2*10GE捆綁，保證高可靠及橫向互訪高帶寬。在每臺(tái)核心交換機(jī) S10508配置配置1個(gè)控制引擎、3個(gè)電源、2個(gè)獨(dú)立的交換引擎、32 個(gè)萬(wàn)兆光口 （含 4 個(gè)萬(wàn)兆單模光模塊， 2 個(gè)萬(wàn)兆多模光模塊） ，用于連接樓棟匯聚 （保障中心、 集控大廳

20、、周轉(zhuǎn)宿舍、多功能綜合樓） ，配置 48個(gè)千兆電接口，便于集團(tuán)服務(wù)器、工作站接 入；核心節(jié)點(diǎn)到樓層交換機(jī)和各大樓匯聚交換機(jī)之間通過(guò)10GE 鏈路連接，核心設(shè)備支持虛擬化，兩臺(tái)核心可虛擬為一臺(tái)路由設(shè)備，為接入的用戶提供缺省網(wǎng)關(guān)的冗余，便于后期雙核 心擴(kuò)展。IRF2 虛擬化技術(shù)核心組網(wǎng)可靠性 ：實(shí)現(xiàn)兩臺(tái)核心交換機(jī) S10508-V虛擬成一臺(tái)邏輯設(shè)備，通過(guò)跨設(shè)備鏈路捆綁實(shí)現(xiàn)核心和接 入的點(diǎn)對(duì)點(diǎn)互聯(lián)，消除二層網(wǎng)絡(luò)的環(huán)路，這樣就直接避免了在網(wǎng)絡(luò)中部暑STP,同時(shí)對(duì)于核心的兩臺(tái)設(shè)備虛擬化為一臺(tái)邏輯設(shè)備之后，網(wǎng)關(guān)也將變成一個(gè)，無(wú)需部署傳統(tǒng)的VRRP協(xié)議。管理點(diǎn)只有在管理層面，通IRF2多虛一之后，管理的設(shè)備

21、數(shù)量減少一半以上，對(duì)于本項(xiàng)目,核心和接入兩臺(tái)設(shè)備，網(wǎng)絡(luò)管理大幅度簡(jiǎn)化。如下圖所示：部罟IRF2后偉充組網(wǎng)網(wǎng)卡雙活胯設(shè)備鏈踣摳鄂第設(shè)備統(tǒng)一管理多級(jí)交換（CLOS架構(gòu)一一核心硬件可靠性：1、轉(zhuǎn)發(fā)任務(wù)分擔(dān)到多塊交換網(wǎng)板，轉(zhuǎn)發(fā)效率急速提升，性能大幅提高2、主控轉(zhuǎn)發(fā)物理分離，引擎壓力驟減，交換網(wǎng)板相互備份，可靠性更高3、交換網(wǎng)板可熱插拔升級(jí)，可擴(kuò)展性能，滿足長(zhǎng)遠(yuǎn)需求:s:s LO審高性能32T的 奩換容甲更謚屋刃霏王控好舍r引第再蕭L亞按阿板均兀親功能車全 全.兀4S區(qū)卡保障核心節(jié)點(diǎn)的高可靠性。數(shù)據(jù)大集中后整個(gè)系統(tǒng)將承載多個(gè)業(yè)務(wù)系統(tǒng)，不同的業(yè)務(wù)對(duì) 網(wǎng)絡(luò)的帶寬、時(shí)延等要求也不同，這就要求核心交換設(shè)備業(yè)務(wù)與

22、性能并重；核心交換機(jī)必須 采用功能強(qiáng)大的 ASIC芯片實(shí)現(xiàn)業(yè)務(wù)的分布式線速處理，從而在為用戶提供有保障的業(yè)務(wù)特 性的同時(shí)保障數(shù)據(jù)報(bào)文的線速轉(zhuǎn)發(fā)。3.4.3 匯聚層設(shè)計(jì)由于XX園區(qū)各大樓的信息點(diǎn)位較多，各樓層均考慮了接入交換機(jī)， 所以在三張網(wǎng)絡(luò)（內(nèi)網(wǎng)、外網(wǎng)、智能網(wǎng)）各大樓出口處設(shè)計(jì)一臺(tái)高性能匯聚交換機(jī)S5800-32F:LS-5800-32F-H3S5800-32F匯聚交換機(jī)主要完成各大樓樓層交換機(jī)的匯聚，提供360Gbps數(shù)據(jù)交換能力，具備156Mpps的數(shù)據(jù)包轉(zhuǎn)發(fā)能力，天然支持全線速分布式轉(zhuǎn)發(fā)，提供24個(gè)千兆接口，4個(gè)萬(wàn)兆接口，配置2個(gè)單模萬(wàn)兆上聯(lián)至兩臺(tái)核心交換機(jī)S10508-V，提供1個(gè)業(yè)

23、務(wù)插槽，便于后期接口擴(kuò)展，接入交換機(jī)通過(guò)千兆多模連接到匯聚交換機(jī)，保證接入交換機(jī)的上行帶寬，同 時(shí)在匯聚層交換機(jī)支持流量采集功能，可對(duì)對(duì)整網(wǎng)的全網(wǎng)流量進(jìn)行分析。根據(jù)業(yè)務(wù)需要，S5800-32F可擴(kuò)展16端口光接口板，16端口電接口板，4端口萬(wàn)兆接口板，無(wú)線控制器插卡（可支持128個(gè)AP的接入控制能力），滿足未來(lái)業(yè)務(wù)擴(kuò)展的要求。3.4.4接入層設(shè)計(jì)XX園區(qū)各大樓樓層的信息點(diǎn)比較多，各樓層單獨(dú)考慮接入交換機(jī)，接入交換機(jī)通過(guò)千兆單模接到大樓的匯聚交換機(jī)，通過(guò)六類網(wǎng)線提供本樓層的千兆接入，通過(guò)對(duì)XX園區(qū)接入需求分析，建議選用H3C的千兆接入交換機(jī) LS-S5110-28P :LS-S5110-28P

24、POE 交換機(jī)提供256G的交換容量，40Mbps的包轉(zhuǎn)發(fā)能力，提供 24個(gè)10/100/1000Base-T以太網(wǎng)端 口和4個(gè)復(fù)用的1000Base-X SFP千兆以太網(wǎng)端口，實(shí)現(xiàn)千兆到桌面設(shè)計(jì)， 千兆以太網(wǎng)逐漸延 伸到桌面已經(jīng)成為最迫切的需要之一，隨著園區(qū)多媒體應(yīng)用的增加，應(yīng)用在消耗大量帶寬的 同時(shí)，也在追求終端用戶的滿意度，基于銅纜的千兆以太網(wǎng)可以將更多的應(yīng)用從低速鏈路中解放出來(lái)，并且為罷工人員工作創(chuàng)新提供了一個(gè)嶄新高效能工作平臺(tái)。3.4.5 用戶認(rèn)證:XX園區(qū)無(wú)線用戶包括兩部分，內(nèi)部辦公人員和外來(lái)辦事人員，本次三張網(wǎng)絡(luò)各配置一套EIA終端智能接入：Ami針對(duì)內(nèi)部用戶，采用 MAC地址認(rèn)

25、證，職工采用分配固定帳號(hào)，并可實(shí)現(xiàn)終端MAC地址和IP地址等多元素的綁定，防止非法用戶的訪問(wèn)內(nèi)部網(wǎng)絡(luò)。針對(duì)訪客，系統(tǒng)提供臨時(shí)接入賬號(hào)的訪客管理功能，訪客管理員可創(chuàng)建來(lái)賓賬號(hào)，或訪客通過(guò)自助系統(tǒng)登記相關(guān)信息，并申請(qǐng)?jiān)L客接入網(wǎng)絡(luò)服務(wù)。通過(guò)后臺(tái)管理批準(zhǔn)的訪客賬號(hào)，并以短信方式通知訪客帳號(hào)和密碼，之后可訪問(wèn)內(nèi)部網(wǎng)絡(luò)， 該賬號(hào)將在超過(guò)保留時(shí)長(zhǎng)后失效。當(dāng)用戶接入網(wǎng)絡(luò)后，可強(qiáng)化對(duì)用戶接入的管理：基于用戶的權(quán)限控制策略，可以為不同用戶定制不同網(wǎng)絡(luò)訪問(wèn)權(quán)限?？梢钥刂朴脩舻纳暇W(wǎng)帶寬（ QoS、限制用戶同時(shí)在線數(shù)、禁止用戶設(shè)置和使用代理 服務(wù)器，有效防止個(gè)別用戶對(duì)網(wǎng)絡(luò)資源的過(guò)度占用。支持最大閑置時(shí)長(zhǎng)限制?？梢詫?shí)現(xiàn)對(duì)

26、用戶 ACL、VLAN的控制，限制用戶對(duì)內(nèi)部敏感服務(wù)器和外部非法網(wǎng)站的 訪問(wèn)?？梢韵拗朴脩?IP 地址分配策略， 防止 IP 地址盜用和沖突。 監(jiān)控用戶認(rèn)證成功后的IP 地址，若有變更則強(qiáng)制要求下線?？梢韵拗朴脩舻慕尤霑r(shí)段和接入?yún)^(qū)域，用戶只能在允許的時(shí)間和地點(diǎn)上網(wǎng)?？梢韵拗平K端用戶使用多網(wǎng)卡和撥號(hào)網(wǎng)絡(luò)，禁止修改終端MAC地址，防止內(nèi)部信息泄露?？梢韵拗朴脩舯仨毷褂脤Ｓ冒踩蛻舳?， 并強(qiáng)制自動(dòng)升級(jí)， 防止安全客戶端被破解，確保認(rèn)證客戶端的安全性。接入用戶網(wǎng)關(guān)配置，提供接入用戶網(wǎng)關(guān)IP、MAC地址配置信息。本次在 XX 集團(tuán)三張網(wǎng)絡(luò) （內(nèi)網(wǎng)、 外網(wǎng)、 智能網(wǎng)）各配置一套 H3C 用戶接入管理 EI

27、A，并配置 1000 用戶的并發(fā)認(rèn)證許可，實(shí)現(xiàn)對(duì)本網(wǎng)絡(luò)內(nèi)的用戶進(jìn)行接入認(rèn)證和控制。3.4.6 網(wǎng)絡(luò)管理系統(tǒng)：集團(tuán)的網(wǎng)絡(luò)設(shè)備和用戶越來(lái)越多，有一套智能管理軟件，可以大大簡(jiǎn)化網(wǎng)絡(luò)管理人員的 工作量，同時(shí)可以提供網(wǎng)絡(luò)管理的工作效率，網(wǎng)絡(luò)管理軟件必須具備網(wǎng)絡(luò)拓?fù)?、網(wǎng)絡(luò)性能、 網(wǎng)絡(luò)配置、網(wǎng)絡(luò)安全、網(wǎng)絡(luò)告警、網(wǎng)絡(luò)業(yè)務(wù)的統(tǒng)一管理，同時(shí)在其上可以配置有多種業(yè)務(wù)管 理組件，如本次推薦配置有線無(wú)線一體化管理組件，方便管理大規(guī)模的無(wú)線管理網(wǎng)絡(luò)；智能 配置中心，可以方便的管理上百臺(tái)設(shè)備的軟件、配置變更、收集軟件版本、配置的基線庫(kù)， 為多臺(tái)設(shè)備統(tǒng)一批量配置和升級(jí)，大大節(jié)省管理員的工作量。本次在 XX 集團(tuán)三張網(wǎng)絡(luò) （內(nèi)

28、網(wǎng)、 外網(wǎng)、 智能網(wǎng)）各配置一套 H3C 智能管理中心 IMC ，并配置 50 個(gè)節(jié)點(diǎn)的管理，實(shí)現(xiàn)對(duì)本網(wǎng)絡(luò)內(nèi)的設(shè)備進(jìn)行智能管理。3.5 安全設(shè)計(jì)3.5.1 安全設(shè)計(jì)要點(diǎn)安全是一個(gè)系統(tǒng)工程，為了合理的解決網(wǎng)絡(luò)安全問(wèn)題，必須充分分析網(wǎng)絡(luò)邏輯組成，網(wǎng) 絡(luò)中不同部分的功能不同，所關(guān)注的安全問(wèn)題也不同。所謂安全威脅，就是未經(jīng)授權(quán)，對(duì)位 于服務(wù)器、 網(wǎng)絡(luò)和桌面的數(shù)據(jù)和資源進(jìn)行訪問(wèn)， 甚至破壞或者篡改這些數(shù)據(jù) /資源。 從安全威 脅的對(duì)象來(lái)看，可以分為網(wǎng)絡(luò)傳送過(guò)程、網(wǎng)絡(luò)服務(wù)過(guò)程和軟件應(yīng)用過(guò)程三類。網(wǎng)絡(luò)傳送過(guò)程主要針對(duì)數(shù)據(jù)鏈路層和網(wǎng)絡(luò)層協(xié)議特征中存在的漏洞進(jìn)行攻擊，如常見(jiàn)的監(jiān)聽(tīng)、IP地址欺騙、路由協(xié)議攻擊、I

29、CMP Smurf攻擊等；網(wǎng)絡(luò)服務(wù)過(guò)程主要針對(duì)TCP/UDP以及居于其上的應(yīng)用層協(xié)議進(jìn)行，如常見(jiàn)的 UDP/TCP欺騙、TCP流量劫持、TCP DoS FTP反彈、DNS欺騙等等；軟 件應(yīng)用過(guò)程則針對(duì)位于服務(wù)器 /主機(jī)上的操作系統(tǒng)以及其上的應(yīng)用程序，甚至是基于Web的軟件系統(tǒng)發(fā)起攻擊。從安全威脅的手法來(lái)看，蠕蟲、拒絕服務(wù)、監(jiān)聽(tīng)、木馬、病毒都是常見(jiàn) 的攻擊工具。對(duì)關(guān)鍵的主機(jī)系統(tǒng)和子網(wǎng)，能夠進(jìn)行網(wǎng)絡(luò)資源檢查，并及時(shí)發(fā)現(xiàn)問(wèn)題。使用安全掃描軟件，對(duì)關(guān)鍵的主機(jī)系統(tǒng)和網(wǎng)絡(luò)定期進(jìn)行掃描，可以檢查出網(wǎng)絡(luò)弱點(diǎn)和策略配置上的問(wèn)題。根據(jù)掃描軟件發(fā)現(xiàn)的問(wèn)題，及時(shí)更新操作系統(tǒng)補(bǔ)丁，查殺病毒，更新安全策略。定期強(qiáng)制更新

30、用戶口令，并制定用戶口令規(guī)則，禁止使用不符合規(guī)則的口令。定期檢查文件系統(tǒng)的訪問(wèn)權(quán) 限是否合理，檢查用戶帳號(hào)的使用是否正常。3.5.2 網(wǎng)絡(luò)邊界安全防護(hù)在傳統(tǒng)的數(shù)據(jù)中心網(wǎng)絡(luò)安全部署時(shí)，往往是網(wǎng)絡(luò)與安全各自為戰(zhàn)，在網(wǎng)絡(luò)邊界或關(guān)鍵節(jié)點(diǎn)串接安全設(shè)備（如FW IPS、LB等）。隨著數(shù)據(jù)中心部署的安全設(shè)備的種類和數(shù)量也越來(lái)越 多，這將導(dǎo)致數(shù)據(jù)中心機(jī)房布線、空間、能耗、運(yùn)維管理等成本越來(lái)越高。流顯清洗 防火墻入侵防御負(fù)載均衡流呈滴洗防火墻入侵防的傳統(tǒng)部署方式H3C插卡部署方式本次方案中采用了 H3CSecBlade安全插卡可直接插在核心交換機(jī)S10508-V的業(yè)務(wù)槽位,通過(guò)交換機(jī)背板互連實(shí)現(xiàn)流量轉(zhuǎn)發(fā)，共用交

31、換機(jī)電源、風(fēng)扇等基礎(chǔ)部件。融合部署除了簡(jiǎn)化機(jī)房布線、節(jié)省機(jī)架空間、簡(jiǎn)化管理之外，還具備以下優(yōu)點(diǎn)：互連帶寬高。SecBlade系列安全插卡采用背板總線與交換機(jī)進(jìn)行互連，背板 總線帶寬一般可超過(guò) 40Gbps,相比傳統(tǒng)的獨(dú)立安全設(shè)備采用普通千兆以太網(wǎng)接口進(jìn) 行互連，在互連帶寬上有了很大的提升，而且無(wú)需增加布線、光纖和光模塊成本。業(yè)務(wù)接口靈活。SecBlade系列安全插卡上不對(duì)外提供業(yè)務(wù)接口（僅提供配置 管理接口），當(dāng)交換機(jī)上插有 SecBlade安全插卡時(shí)，交換機(jī)上原有的所有業(yè)務(wù)接口 均可配置為安全業(yè)務(wù)接口。此時(shí)再也無(wú)需擔(dān)心安全業(yè)務(wù)接口不夠而帶來(lái)網(wǎng)絡(luò)安全部 署的局限性。性能平滑擴(kuò)展。當(dāng)一臺(tái)交換機(jī)上

32、的一塊 SecBlade安全插卡的性能不夠時(shí)，可以再插入一塊或多塊SecBlade插卡實(shí)現(xiàn)性能的平滑疊加。而且所有SecBlade插卡均支持熱插拔，在進(jìn)行擴(kuò)展時(shí)無(wú)需停機(jī)中斷現(xiàn)有的業(yè)務(wù)。本次XX集團(tuán)園區(qū)項(xiàng)目設(shè)計(jì)在三張網(wǎng)的核心交換機(jī)S10508-V上部署多種安全插卡：防火墻（LSQM仆WBSCD入侵防御系統(tǒng)（LSQM1IPSSCQ,實(shí)現(xiàn)網(wǎng)絡(luò)安全的一體化防護(hù)。數(shù)據(jù)中心 出口安全具備訪問(wèn)控制、區(qū)域隔離、狀態(tài)檢測(cè)等 2-4層安全功能，同時(shí)也具備對(duì)木馬、病毒、蠕蟲等應(yīng)用層安全威脅進(jìn)行檢查、阻斷、告警等4-7層安全防護(hù)功能，實(shí)現(xiàn) 2-7層的立體安全防護(hù)功能。LSQM1FWBSC0 防火墻插卡LSQM1IPS

33、SC0入侵防御系統(tǒng)插卡如部署防火墻插卡，防火墻插卡設(shè)備雖然部署在交換機(jī)框中，但仍然可以看作是一個(gè)獨(dú)立的設(shè)備。它通過(guò)交換機(jī)內(nèi)部的10GE接口與網(wǎng)絡(luò)設(shè)備相連，它可以部署為2層透明設(shè)備和三層路由設(shè)備。防火墻與交換機(jī)之間的三層部署方式與傳統(tǒng)盒式設(shè)備類似。虛擬防火墻示意圖如上圖FW三層部署所示，防火墻可以與宿主交換機(jī)直接建立三層連接，也可以與上游或下游設(shè)備建立三層連接，不同連接方式取決于用戶的訪問(wèn)策略?？梢酝ㄟ^(guò)靜態(tài)路由和缺省路 由實(shí)現(xiàn)三層互通，也可以通過(guò) OSPF這樣的路由協(xié)議提供動(dòng)態(tài)的路由機(jī)制。如果防火墻部署在服務(wù)器區(qū)域，可以將防火墻設(shè)計(jì)為服務(wù)器網(wǎng)關(guān)設(shè)備，這樣所有訪問(wèn)服務(wù)器的三層流量都將經(jīng) 過(guò)防火墻設(shè)

34、備，這種部署方式可以提供區(qū)域內(nèi)部服務(wù)器之間訪問(wèn)的安全性。防火墻是網(wǎng)絡(luò)系統(tǒng)的核心基礎(chǔ)防護(hù)措施，它可以對(duì)整個(gè)網(wǎng)絡(luò)進(jìn)行網(wǎng)絡(luò)區(qū)域分割，提供基于IP地址和TCP/IP服務(wù)端口等的訪問(wèn)控制； 對(duì)常見(jiàn)的網(wǎng)絡(luò)攻擊方式，如拒絕服務(wù)攻擊(pingof death, la nd, syn floodi ng, ping floodi ng, tear drop)、端口掃描(port sea nning )、IP欺騙(ip spoofing) 、IP盜用等進(jìn)行有效防護(hù)；并提供NAT地址轉(zhuǎn)換、流量限制、用戶認(rèn)證、IP與MAC綁定等安全增強(qiáng)措施。對(duì)于云計(jì)算數(shù)據(jù)中心虛擬機(jī)服務(wù)網(wǎng)關(guān)的選擇上，建議根據(jù)不同用戶的安全需求進(jìn)行區(qū)分

35、對(duì)待，不建議將所有網(wǎng)關(guān)配置在FW上，以分散FW的壓力，滿足用戶內(nèi)的安全域隔離，具體設(shè)計(jì)如下：對(duì)于需要FW的業(yè)務(wù)的用戶，網(wǎng)關(guān)部署在vFW上;對(duì)于不需要FW勺普通用戶，網(wǎng)關(guān)部署在核心交換機(jī)上。租戶2多用戶安全隔離示意圖無(wú)線網(wǎng)工程的總體原則如下:側(cè)重實(shí)際應(yīng)用，覆蓋XX園區(qū)各大樓內(nèi)所有區(qū)域， 為教學(xué)、科研、辦公及學(xué)習(xí)、生活、 交流提供切實(shí)可用的、穩(wěn)定的無(wú)線網(wǎng)絡(luò)環(huán)境。采取先進(jìn)通行的協(xié)議標(biāo)準(zhǔn)， 即目前無(wú)線局域網(wǎng)普遍采用 802.11 系列標(biāo)準(zhǔn)， 無(wú)線局域 網(wǎng)提供 802.11a 、802.11b 、802.11g 、 802.11n 標(biāo)準(zhǔn)的聯(lián)網(wǎng)支持，提供可供實(shí)際應(yīng) 用的穩(wěn)定網(wǎng)絡(luò)通訊服務(wù)。實(shí)現(xiàn)室內(nèi)無(wú)線網(wǎng)絡(luò)的

36、合理分布，考慮室內(nèi)實(shí)現(xiàn)無(wú)線網(wǎng)絡(luò)的不同情況和特點(diǎn)以及目前 辦公人員及外來(lái)人員手提電腦 / 智能終端（手機(jī)、平板電腦）用戶數(shù)量日益增多的 情況，應(yīng)采取合理的布網(wǎng)方式滿足現(xiàn)在以及未來(lái)發(fā)展的需要。在辦公室、會(huì)議室采用室內(nèi)面板式AP 部署或者吸頂 AP。新建網(wǎng)絡(luò)需要實(shí)現(xiàn)與現(xiàn)有的無(wú)線網(wǎng)和有線網(wǎng)的網(wǎng)絡(luò)融合與統(tǒng)一管理。 在實(shí)施無(wú)線覆蓋工程時(shí)， 如無(wú)特別說(shuō)明， 以考慮信號(hào)覆蓋范圍為主， 單個(gè) AP 的并發(fā) 用戶數(shù)及每用戶無(wú)線上網(wǎng)帶寬也要作為工程的重要因素予以考慮。所有XX集團(tuán)園區(qū)各大樓內(nèi)部區(qū)域采用部署11n,使得XX集團(tuán)園區(qū)的無(wú)線接入帶寬達(dá)到300M接入帶寬，同時(shí)考慮到用戶終端的多樣性，要求AP要向下兼容11a

37、/b/g， 主要吸頂安裝為主，兩種應(yīng)用場(chǎng)景，第一種過(guò)道式部署，建議一個(gè)AP覆蓋6個(gè)左右的辦公室，過(guò)道安裝每隔15-20米左右安裝一個(gè) AP,對(duì)于第二種場(chǎng)景，1-5樓比較空曠的展區(qū)，建議每個(gè) 15-20 米安裝一個(gè) AP。無(wú)線系統(tǒng)須具備對(duì)無(wú)線 AP進(jìn)行統(tǒng)一控制、管理的軟硬件平臺(tái)，軟硬件控制、管理平 臺(tái)所提供的網(wǎng)元 License 數(shù)量與實(shí)際網(wǎng)元數(shù)量相匹配并易于擴(kuò)充 運(yùn)維系統(tǒng)須提供必要的網(wǎng)絡(luò)監(jiān)控、 管理、 統(tǒng)計(jì)、 報(bào)表功能， 提供足夠數(shù)量的 License 授權(quán)。無(wú)線網(wǎng)系統(tǒng)必須實(shí)現(xiàn)與有線網(wǎng)現(xiàn)有認(rèn)證系統(tǒng)對(duì)接，從而實(shí)現(xiàn)XX集團(tuán)有線網(wǎng)與無(wú)線網(wǎng)的統(tǒng)一身份認(rèn)證。第4章有線無(wú)線一體化設(shè)計(jì)XX園區(qū)網(wǎng)絡(luò)部分樓棟功

38、能區(qū)要考慮無(wú)線覆蓋，三張網(wǎng)絡(luò)（內(nèi)網(wǎng)、外網(wǎng)、智能網(wǎng)）都有無(wú)線覆蓋要求，三張網(wǎng)絡(luò)的無(wú)線部分分別設(shè)計(jì)，三張無(wú)線網(wǎng)絡(luò)的邏輯結(jié)構(gòu)和選型完全一致，每棟樓設(shè)計(jì)1臺(tái)24 口 POE千兆交換機(jī)，POE交換機(jī)上通過(guò)光纖接到大樓匯聚交換機(jī)，下連本樓層的無(wú)線AP,同時(shí)對(duì)AP進(jìn)行POE供電，采用FIT AP解決方案，只需要在保障中心三樓機(jī)房放置1臺(tái)智能無(wú)線控制器（AC），AC可支持熱備，便于后期雙控制器擴(kuò)展，兩個(gè)無(wú)線控制器互為備份，在接入層部署11n 300M的智能無(wú)線接入點(diǎn)（AP），即可完成整網(wǎng)的部署。華能集團(tuán)園區(qū)無(wú)線示意圖爭(zhēng)能集團(tuán)云數(shù)據(jù)中心無(wú)線檸制器WX5510EVWkPCAPS511Q-PWA無(wú)線接人區(qū)4.1 無(wú)

39、線控制器如果僅僅只采用 AP本身進(jìn)行無(wú)線覆蓋，即傳統(tǒng)的胖AP模式進(jìn)行無(wú)線覆蓋，采用這樣的部署方式去部署 XX園區(qū)的無(wú)線網(wǎng)絡(luò)有極大的缺點(diǎn)。其一、胖AP把所有的配置均配置到 AP本身上，如此數(shù)量多的 AP,使客戶的維護(hù)管理工 作量大大增加。其二、胖AP無(wú)法統(tǒng)一管理控制，AP之間本身就不能無(wú)縫融合，那么就會(huì)出現(xiàn)當(dāng)你離開(kāi) 一個(gè)區(qū)域到另一個(gè)區(qū)域時(shí)必然出現(xiàn)不斷重新認(rèn)證的問(wèn)題。其三、AP與AP之間無(wú)聯(lián)系，無(wú)法實(shí)現(xiàn)智能的負(fù)載分擔(dān)和均衡。因此，決定采用統(tǒng)一的無(wú)線控制器對(duì)AP進(jìn)行統(tǒng)一管理，AC+FIT AP（瘦AP）的組網(wǎng)方式。 這樣可以大大減少維護(hù)管理工作量，能實(shí)現(xiàn)無(wú)縫漫游和負(fù)載分擔(dān)。此次XX園區(qū)三張網(wǎng)絡(luò)（內(nèi)網(wǎng)

40、、外網(wǎng)、智能網(wǎng)）分別設(shè)計(jì)一臺(tái)無(wú)線控制器WX5510E，提供8個(gè)千兆comb 口，和2個(gè)萬(wàn)兆接口，整機(jī)支持 512個(gè)AP接入能力，本次每臺(tái)配置 128 個(gè)AP接入授權(quán)。EWP-WX5510E無(wú)線控制器 WX5510E采用下列部署方式：集中式控制，在XX園區(qū)保障中心三樓核心機(jī)房 三張網(wǎng)絡(luò)部署各1臺(tái)無(wú)線控制器，集中對(duì) XX園區(qū)各網(wǎng)絡(luò)內(nèi)AP進(jìn)行接入控制。無(wú)線控制器支 持N+1熱備，不存在單點(diǎn)故障， AP分批實(shí)施時(shí)AC可按需擴(kuò)容，部署方案靈活；多業(yè)務(wù)無(wú)線控制器 WX5510E集精細(xì)的用戶控制管理、完善的管理及安全機(jī)制、快速漫游、 超強(qiáng)的QoS及IPv4&IPv6等多功能于一體，提供強(qiáng)大的 WLANS入控

41、制功能。用戶管理、加密、 漫游、AP管理等功能全部集中到無(wú)線控制器上進(jìn)行，減輕了AP負(fù)擔(dān)，在規(guī)模越大的網(wǎng)絡(luò)上管理越簡(jiǎn)單，同時(shí)無(wú)線控制器會(huì)自動(dòng)調(diào)節(jié)AP的工作信道以及發(fā)射功率。這樣可以簡(jiǎn)化整個(gè)網(wǎng)絡(luò)AP的管理，提高設(shè)備的工作效率。4.2 無(wú)線AP由于無(wú)線 WLAN采用沖突避免的載波偵聽(tīng)多路訪問(wèn)機(jī)制當(dāng)用戶數(shù)量多大，用戶接入速度就會(huì)受到影響。一般建議每 AP按照2530戶規(guī)劃為最佳，如果使用雙頻 AP,則每個(gè)頻段能規(guī) 劃2530個(gè)用戶。在覆蓋范圍上：一般來(lái)說(shuō)，AP在室內(nèi)普通環(huán)境下覆蓋 30米。在接入速率上：采用 11N 300M的AP,大大超過(guò)了傳統(tǒng)的無(wú)線 AP接入速率，能夠很好的 保證網(wǎng)絡(luò)數(shù)據(jù)的高速傳

42、輸。針對(duì)園區(qū)各功能區(qū)域的無(wú)線場(chǎng)景，建議吸頂放裝型AP EWP-WA2620i-AGN-FIT和面板APEWP-WA2610H-GN-FIT正對(duì)會(huì)議室、過(guò)道、咖啡廳等采用放裝型AP,對(duì)于辦公室、接待中心采用面板型APo祥min放裝 AWA2620面板 AP WA2610H-GN吸頂放裝示意圖AP內(nèi)置終端智能感知型天線，直接吸頂安裝于天花板即可，無(wú)需外接 天線。面板AP安裝示意圖5步！安裝一個(gè) AP只需35分鐘。WA2610H-GN采用國(guó)際標(biāo)準(zhǔn)的插座安裝方法進(jìn)行設(shè)計(jì)，和其他開(kāi)關(guān)面板一樣，更換一個(gè)面板式AP只需要簡(jiǎn)單的5個(gè)步驟，總耗時(shí)不超過(guò)5分鐘，可以極大的加快客戶部署無(wú)線網(wǎng)絡(luò)的 速度。你*筒單你的

43、世界楓單了 縱簡(jiǎn)單了.事?tīng)枂瘟薬打i *血* 1V 1d “廠7|(WA2610H-GN 之5步安裝方法4.3 POE供電接入交換機(jī)采用支持 POE供電的交換機(jī)，可提供最大24 口 POE供電，POE接入交換機(jī)通過(guò)光纖與各自樓棟匯聚交換機(jī)互聯(lián)。本次選用H3C LS-S5110-28P-PWR作為AP的數(shù)據(jù)接入和遠(yuǎn)程供電設(shè)備，LS-S5110-28P-PWR提供 24個(gè) 10/100/1000Base-T 以太網(wǎng)端口，4個(gè) 1000Base-X以太網(wǎng)端口，提供 370W POE俞出能力，滿足 24個(gè)千兆電口同時(shí) POE供電。LS-S5110-28P-PWR POE 交換機(jī)PoE交換機(jī)在無(wú)線部署工

44、程中具有非常明顯的優(yōu)勢(shì)，具體如下：簡(jiǎn)化安裝，降低成本，不需為每個(gè)網(wǎng)絡(luò)設(shè)備單獨(dú)提供數(shù)據(jù)和電力線纜。靈活性提高，網(wǎng)絡(luò)裝置可被安裝在任何位置，而不需靠近一個(gè)已存在的電源輸出口?？煽啃栽鰪?qiáng)，有SNMP能力的PoE裝置，可實(shí)施遠(yuǎn)程檢測(cè)和控制， 能有效地處理或修 理裝置的耗電量和（或）失效故障。交換機(jī)通過(guò)以太網(wǎng)線來(lái)匯聚 AP的流量，同時(shí)為 AP提供電源，這樣可以簡(jiǎn)化布線， 部署美觀，同時(shí)減少故障點(diǎn)，提高網(wǎng)絡(luò)的可靠性。根據(jù)XX園區(qū)實(shí)際情況，在每棟樓部署相應(yīng)的POE交換機(jī)對(duì)AP進(jìn)行POE供電。4.4 無(wú)線網(wǎng)管運(yùn)維為了對(duì)XX園區(qū)網(wǎng)的無(wú)線網(wǎng)絡(luò)、 有線網(wǎng)絡(luò)等設(shè)備進(jìn)行統(tǒng)一有效的管理，能夠?qū)崟r(shí)監(jiān)控網(wǎng)絡(luò)設(shè)備的運(yùn)行狀況，網(wǎng)

45、絡(luò)拓?fù)浣Y(jié)構(gòu)的變化等網(wǎng)絡(luò)問(wèn)題，所有在本次的XX集團(tuán)園區(qū)無(wú)線網(wǎng)絡(luò)建設(shè)中擬配置智能網(wǎng)絡(luò)管理系統(tǒng)，該智能管理系統(tǒng)平臺(tái)實(shí)現(xiàn)網(wǎng)絡(luò)資源、用戶和業(yè)務(wù)的融合管理， 提供基本的網(wǎng)絡(luò)資源管理、拓?fù)涔芾怼⒐收瞎芾?、性能管理、用戶管理及系統(tǒng)安全管理，更 科學(xué)合理的規(guī)劃和管理網(wǎng)絡(luò)，實(shí)現(xiàn)對(duì)包括交換機(jī)、無(wú)線AP,無(wú)線控制器的統(tǒng)一管理。9 1 WwtiMW-_lj亠 i v rv v針對(duì)無(wú)線運(yùn)維管理，本次配置三張網(wǎng)各配置一套H3C WSM無(wú)線運(yùn)維管理，實(shí)現(xiàn)整個(gè)園區(qū)無(wú)線網(wǎng)絡(luò)的統(tǒng)一管理，對(duì)于網(wǎng)絡(luò)中的AC、 FAT AP、FIT AP、移動(dòng)終端、POE交換機(jī)等無(wú)線設(shè)備與有線設(shè)備進(jìn)行一體化集中管理，全網(wǎng)設(shè)備信息和狀態(tài)一目了然。網(wǎng)絡(luò)資源

46、通過(guò)多種視 圖進(jìn)行查看，視圖內(nèi)分組管理，將規(guī)模巨大的無(wú)線接入設(shè)備有效組織，便于管理員維護(hù)。4.5 無(wú)線用戶認(rèn)證XX園區(qū)無(wú)線用戶包括兩部分，內(nèi)部辦公人員和外來(lái)辦事人員，本次三張網(wǎng)絡(luò)各配置一套EIA終端智能接入：針對(duì)內(nèi)部用戶，采用 MAC地址認(rèn)證，職工采用分配固定帳號(hào)，并可實(shí)現(xiàn)終端MAC地址和IP 地址等多元素的綁定，防止非法用戶的訪問(wèn)內(nèi)部網(wǎng)絡(luò)。針對(duì)訪客，系統(tǒng)提供臨時(shí)接入賬號(hào)的訪客管理功能，訪客管理員可創(chuàng)建來(lái)賓賬號(hào)，或訪 客通過(guò)自助系統(tǒng)登記相關(guān)信息，并申請(qǐng)?jiān)L客接入網(wǎng)絡(luò)服務(wù)。通過(guò)后臺(tái)管理批準(zhǔn)的訪客賬號(hào)， 并以短信方式通知訪客帳號(hào)和密碼， 之后可訪問(wèn)內(nèi)部網(wǎng)絡(luò)， 該賬號(hào)將在超過(guò)保留時(shí)長(zhǎng)后失效。當(dāng)用戶接入

47、網(wǎng)絡(luò)后，可強(qiáng)化對(duì)用戶接入的管理：基于用戶的權(quán)限控制策略，可以為不同用戶定制不同網(wǎng)絡(luò)訪問(wèn)權(quán)限?？梢钥刂朴脩舻纳暇W(wǎng)帶寬( QoS、限制用戶同時(shí)在線數(shù)、禁止用戶設(shè)置和使用代理服務(wù)器，有效防止個(gè)別用戶對(duì)網(wǎng)絡(luò)資源的過(guò)度占用。支持最大閑置時(shí)長(zhǎng)限制?？梢詫?shí)現(xiàn)對(duì)用戶 ACL、 VLAN 的控制，限制用戶對(duì)內(nèi)部敏感服務(wù)器和外部非法網(wǎng)站的 訪問(wèn)?？梢韵拗朴脩?IP 地址分配策略， 防止 IP 地址盜用和沖突。 監(jiān)控用戶認(rèn)證成功后的IP 地址，若有變更則強(qiáng)制要求下線?？梢韵拗朴脩舻慕尤霑r(shí)段和接入?yún)^(qū)域，用戶只能在允許的時(shí)間和地點(diǎn)上網(wǎng)?？梢韵拗平K端用戶使用多網(wǎng)卡和撥號(hào)網(wǎng)絡(luò)，禁止修改終端MAC地址，防止內(nèi)部信息泄露?？梢韵拗朴脩舯仨毷褂脤Ｓ冒踩蛻舳?， 并強(qiáng)制自動(dòng)升級(jí)， 防止安全客戶端被破解， 確保認(rèn)證客戶端的安全性。接入用戶網(wǎng)