XX基地園區(qū)網(wǎng)絡(luò)方案建議書

1、XX集團(tuán)園區(qū)網(wǎng)絡(luò)技術(shù)建議書H3CITolP解決方案專家杭州華三通信技術(shù)有限公司目錄第1章總體建設(shè)要求3第2章設(shè)計(jì)原則5第3章網(wǎng)絡(luò)整體方案設(shè)計(jì)73.1 總體網(wǎng)絡(luò)設(shè)計(jì)描述73.2 網(wǎng)絡(luò)結(jié)構(gòu)設(shè)計(jì)73.3 網(wǎng)絡(luò)拓?fù)鋱D93.3.1 網(wǎng)絡(luò)拓?fù)鋱D（內(nèi)網(wǎng)）93.3.2 網(wǎng)絡(luò)拓?fù)鋱D（外網(wǎng)）93.3.3 網(wǎng)絡(luò)拓?fù)鋱D（智能網(wǎng)）103.4 組網(wǎng)描述103.4.1 網(wǎng)絡(luò)出口設(shè)計(jì)103.4.2 核心層設(shè)計(jì)113.4.3 匯聚層設(shè)計(jì)133.4.4 接入層設(shè)計(jì)133.4.5 用戶認(rèn)證：143.4.6 網(wǎng)絡(luò)管理系統(tǒng)：153.5 安全設(shè)計(jì)153.5.1 安全設(shè)計(jì)要點(diǎn)153.5.2 網(wǎng)絡(luò)邊界安全防護(hù)16第4章有線無線一體化設(shè)計(jì)20

2、4.1 無線控制器204.2 無線AP214.3 POE供電234.4 無線網(wǎng)管運(yùn)維234.5 無線用戶認(rèn)證244.6 方案特點(diǎn)25第5章方案優(yōu)勢介紹28第1章總體建設(shè)要求根據(jù)XX園區(qū)信息化對(duì)計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)的需求，我們選擇采用基于TCP/IP協(xié)議的、以1/10GBASE-X光纖鏈路為骨干的網(wǎng)絡(luò)，各樓棟內(nèi)采用千兆到桌面，要求能兼容IPV4與IPV6,通過VLA破IJ分不同邏輯區(qū)域分別供不同部門的接入使用。在共用主干網(wǎng)絡(luò)線路的前提下實(shí)現(xiàn)各區(qū)域的邏輯性隔離，以實(shí)現(xiàn)安全、使用以及資源利用最大化。1、區(qū)域劃分XX公司園區(qū)網(wǎng)由四棟新建樓宇組成，分別是保障中心、集控大廳、周轉(zhuǎn)宿舍、多功能綜合樓；保障中心作為

3、整個(gè)園區(qū)的網(wǎng)絡(luò)核心，中心機(jī)房部署在三樓，分別通過光纜連接其它樓棟，大樓內(nèi)設(shè)置匯聚交換機(jī)，接入交換機(jī)對(duì)本大樓內(nèi)的信息點(diǎn)位進(jìn)行接入。2、網(wǎng)絡(luò)拓樸的設(shè)計(jì)根據(jù)業(yè)務(wù)情況，把園區(qū)網(wǎng)絡(luò)分為3套網(wǎng)絡(luò)：內(nèi)網(wǎng)、外網(wǎng)、智能網(wǎng)，三套網(wǎng)絡(luò)要求物理隔離；網(wǎng)絡(luò)主體架構(gòu)采用星型拓樸結(jié)構(gòu)，計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)考慮在保障中心三樓機(jī)房各設(shè)計(jì)2臺(tái)萬兆交換機(jī)作為XX公司個(gè)業(yè)務(wù)網(wǎng)絡(luò)的核心交換機(jī)，同時(shí)必須虛擬化能力，采用雙核心設(shè)計(jì)，把雙核心虛擬成一臺(tái)具有高性能、高可靠、高安全的虛擬交換機(jī)；核心交換機(jī)通過萬兆單光纜連接到保障中心、集控大廳、周轉(zhuǎn)宿舍、多功能綜合樓的匯聚機(jī)房，根據(jù)信息點(diǎn)位設(shè)計(jì)一臺(tái)萬兆匯聚交換機(jī)，通過千兆單模對(duì)本樓層的接入交換機(jī)提供接

4、入，樓層設(shè)計(jì)多臺(tái)千兆接入交換機(jī)對(duì)本棟大樓信息點(diǎn)提供千兆桌面接入。3、網(wǎng)絡(luò)管理系統(tǒng)基于網(wǎng)絡(luò)中所涉及的設(shè)備較多，需要對(duì)設(shè)備進(jìn)行狀態(tài)檢測、設(shè)備配置、策略設(shè)置等，在網(wǎng)絡(luò)發(fā)生故障時(shí)能夠及時(shí)發(fā)現(xiàn)問題，這需要一套功能強(qiáng)大的網(wǎng)絡(luò)管理軟件。方案中選用智能網(wǎng)管軟件作為局域網(wǎng)管理平臺(tái)，能夠與方案中設(shè)計(jì)的網(wǎng)絡(luò)設(shè)備、安全設(shè)備、無線、監(jiān)控良好配合。4、無線覆蓋設(shè)計(jì)利用無線網(wǎng)絡(luò)技術(shù)進(jìn)一步擴(kuò)展網(wǎng)絡(luò)的覆蓋范圍，提高網(wǎng)絡(luò)的用戶自適應(yīng)性，在無線的覆蓋范圍內(nèi)實(shí)現(xiàn)數(shù)據(jù)業(yè)務(wù)和語音業(yè)務(wù)的無線傳輸，并且可實(shí)現(xiàn)三層漫游，使無線局域網(wǎng)和有線網(wǎng)成為一個(gè)整體，提供安全的無線接入。無線要求采用FITAP組網(wǎng)方式，由無線控制器又集團(tuán)內(nèi)所有的無線AP進(jìn)行

5、統(tǒng)一接入管理，AP供電采用POE程供電方式；5、 對(duì)IP地址、DNS?網(wǎng)絡(luò)基礎(chǔ)資源的規(guī)劃XX共有上千個(gè)網(wǎng)絡(luò)點(diǎn)及多個(gè)無線AP,其IP地址劃分按C類協(xié)議劃分，可以考慮不同樓棟的不同部門上網(wǎng)采用不同的IP段。6、 對(duì)安全的考慮方案中對(duì)系統(tǒng)安全作如下考慮，在對(duì)外連接上采用高性能防火墻，提供充足的千兆端口和處理系能。對(duì)于集團(tuán)上網(wǎng)的各種應(yīng)用進(jìn)行行為和流量控制，配置應(yīng)用控制網(wǎng)關(guān)，對(duì)集團(tuán)各種行為進(jìn)行精細(xì)化管理和控制，對(duì)上網(wǎng)行為提供事后行為審計(jì)能力。7、綜合布線綜合布線是本次網(wǎng)絡(luò)改造的重點(diǎn)，要求做點(diǎn)規(guī)范、整潔、美觀、方便、耐用，樓棟之間采用室外光纜進(jìn)行布放，光纜兩端采用光端盒，光端盒必須出可接跳線的耦合器，不能

6、直接出尾纖。光纜必須走地下，不能從空中拉；室內(nèi)采用六類非屏蔽線纜，除了新教學(xué)樓，其它大樓均采用一個(gè)弱電機(jī)房，所有信息點(diǎn)的網(wǎng)線直接拉到大樓弱電機(jī)房，在機(jī)房采用配線架集中整合。線纜布放必須采用橋架方式進(jìn)行布放；XX公司網(wǎng)絡(luò)建設(shè)的總體目標(biāo)是建立一個(gè)開放的、基于標(biāo)準(zhǔn)的數(shù)字化園區(qū)系統(tǒng)平臺(tái)，利用企業(yè)信息交換、資源共享、遠(yuǎn)程會(huì)議等現(xiàn)代化辦公手段，面向員工及用戶提供個(gè)性化、人性化的服務(wù)。并可支持未來數(shù)據(jù)、語音和視頻等多業(yè)務(wù)在現(xiàn)有網(wǎng)絡(luò)技術(shù)平臺(tái)的融合。計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)是整個(gè)XX公司信息管理系統(tǒng)的基礎(chǔ)平臺(tái)與設(shè)施，為保證信息管理系統(tǒng)應(yīng)用系統(tǒng)的高效、安全、可靠，必須在整個(gè)網(wǎng)絡(luò)系統(tǒng)建設(shè)方案設(shè)計(jì)中按照國家和行業(yè)標(biāo)準(zhǔn)，達(dá)到一定

7、的設(shè)計(jì)、建設(shè)原則和目標(biāo)。建設(shè)一個(gè)支持?jǐn)?shù)字化、網(wǎng)絡(luò)化、自動(dòng)化的國內(nèi)先進(jìn)的基礎(chǔ)網(wǎng)絡(luò)平臺(tái)，滿足數(shù)字化企業(yè)建設(shè)的需要，也滿足企業(yè)信息化建設(shè)的長期要求。網(wǎng)絡(luò)平臺(tái)具有良好的服務(wù)質(zhì)量、較高安全性、便于管理和維護(hù)，能夠支持企業(yè)的各種辦公和科研應(yīng)用，也支持移動(dòng)辦公、信息發(fā)布。第2章設(shè)計(jì)原則在XX公司網(wǎng)絡(luò)建設(shè)項(xiàng)目中，為節(jié)省用戶投資，保證業(yè)務(wù)的正常、優(yōu)質(zhì)開展，整個(gè)網(wǎng)絡(luò)系統(tǒng)必須總體規(guī)劃，統(tǒng)一標(biāo)準(zhǔn)。為達(dá)到XX公司網(wǎng)絡(luò)建設(shè)的目標(biāo)要求，在網(wǎng)絡(luò)設(shè)計(jì)構(gòu)建中，應(yīng)堅(jiān)持以下建網(wǎng)原則：需求驅(qū)動(dòng)原則：以實(shí)際應(yīng)用需求為依據(jù)，選擇技術(shù)和設(shè)備。根據(jù)企業(yè)信息化建設(shè)的實(shí)際需求，考慮遠(yuǎn)程辦公與合作，特別是數(shù)據(jù)信息傳輸與數(shù)字視頻業(yè)務(wù)的需要，要充分考慮

8、網(wǎng)絡(luò)系統(tǒng)的服務(wù)質(zhì)量和可靠性。根據(jù)現(xiàn)在的需求和可以預(yù)見的需求增長情況設(shè)計(jì)網(wǎng)絡(luò)，不追求空洞的技術(shù)先進(jìn)性，避免追求高檔和最新技術(shù)花費(fèi)的巨大代價(jià)。先進(jìn)性原則：企業(yè)信息化需要最新技術(shù)的支撐，特別是網(wǎng)絡(luò)技術(shù)和多媒體計(jì)算機(jī)技術(shù)，必須采用先進(jìn)成熟的技術(shù)，并兼顧未來發(fā)展趨勢。本方案所選擇H3c公司設(shè)備在技術(shù)上具有很強(qiáng)的先進(jìn)性，其性能、技術(shù)體系可保證企業(yè)5-8年的發(fā)展需要，有力的保護(hù)了企業(yè)投資。投資保護(hù)原則：由于企業(yè)已在網(wǎng)絡(luò)應(yīng)用方面做了大量的投入進(jìn)行信息化建設(shè)，企業(yè)信息化在各部門或不同的應(yīng)用上對(duì)網(wǎng)絡(luò)的需求不盡相同，原有的很多工作已經(jīng)證明是有效的，這部分軟硬件可以繼續(xù)發(fā)揮作用，從而保護(hù)原有投資，節(jié)省建設(shè)經(jīng)費(fèi)。標(biāo)準(zhǔn)化

9、原則：從機(jī)房建設(shè)、綜合布線工程規(guī)范、到網(wǎng)絡(luò)技術(shù)標(biāo)準(zhǔn)和網(wǎng)絡(luò)協(xié)議，都有相應(yīng)的國際標(biāo)準(zhǔn)和國家標(biāo)準(zhǔn)，所有設(shè)計(jì)與建設(shè)要遵循該原則，從而可以實(shí)現(xiàn)標(biāo)準(zhǔn)化管理，延長整體項(xiàng)目的生命周期，做到投資保護(hù)。安全性原則：企業(yè)信息化工作的特殊性，對(duì)網(wǎng)絡(luò)與信息安全提出了很高的要求。由于安全性的要求與投入成正比，并且涉及管理與應(yīng)用的方方面面，是一個(gè)復(fù)雜的系統(tǒng)工程，實(shí)際上沒有一個(gè)絕對(duì)安全的系統(tǒng)，安全只是相對(duì)而言，所以該原則是充分評(píng)估安全風(fēng)險(xiǎn)，制定安全策略，采取必要的安全措施。是防止非法訪問者通過互聯(lián)網(wǎng)絡(luò)對(duì)網(wǎng)絡(luò)節(jié)點(diǎn)進(jìn)行攻擊的能力。從網(wǎng)絡(luò)設(shè)備來講，防止外部攻擊主要靠路由器實(shí)現(xiàn)，華為路由器在這方面具有獨(dú)到的優(yōu)勢。華為3CO用品的全部

10、軟件及硬件均為公司自行開發(fā)研制，具有完全的知識(shí)產(chǎn)權(quán)。工程原則：網(wǎng)絡(luò)系統(tǒng)建設(shè)涉及機(jī)房與網(wǎng)絡(luò)配線間環(huán)境、通信管道與通信線纜、樓內(nèi)綜合布線系統(tǒng)、電源及其防護(hù)、網(wǎng)絡(luò)交換機(jī)與路由器、服務(wù)器設(shè)備以及相關(guān)的軟硬件系統(tǒng)，在設(shè)計(jì)建設(shè)時(shí)要體現(xiàn)工程原則，做到有工程規(guī)劃、項(xiàng)目有設(shè)計(jì)、實(shí)施有控制等，實(shí)現(xiàn)整個(gè)系統(tǒng)的可管理、可維護(hù)、可擴(kuò)展和可升級(jí)。健壯性及開放性：它應(yīng)具有很好的收斂性和可擴(kuò)展性，同時(shí)其網(wǎng)絡(luò)額外開銷是極小的，且受到國際標(biāo)準(zhǔn)的支持，保證不同設(shè)備見的互通性?？蓴U(kuò)展性：考慮到今后信息化的進(jìn)程和逐步演進(jìn)，網(wǎng)絡(luò)要建設(shè)成完整統(tǒng)一、組網(wǎng)靈活、易擴(kuò)充的彈性網(wǎng)絡(luò)平臺(tái)，能夠隨著需求變化，充分留有擴(kuò)充余地。經(jīng)濟(jì)性：應(yīng)該充分的利用現(xiàn)

11、有的網(wǎng)絡(luò)資源，充分考慮經(jīng)濟(jì)和安全的最佳結(jié)合點(diǎn)。設(shè)備在保障性能和可靠安全的基礎(chǔ)上，應(yīng)能達(dá)到最佳性價(jià)比。第3章網(wǎng)絡(luò)整體方案設(shè)計(jì)3.1 總體網(wǎng)絡(luò)設(shè)計(jì)描述從應(yīng)用結(jié)構(gòu)上來講，XX公司網(wǎng)絡(luò)系統(tǒng)可分為三個(gè)大的層次：安全保隙系統(tǒng)互聯(lián)支撐網(wǎng)絡(luò)互聯(lián)支撐層是XX公司管理網(wǎng)的基礎(chǔ)，由XX公司管理中心統(tǒng)一規(guī)劃、構(gòu)建及管理，支撐層利用寬帶IP技術(shù)，保證網(wǎng)絡(luò)的互聯(lián)互通性，提供具有一定QoS的帶寬保證，并提供各部門、系統(tǒng)網(wǎng)絡(luò)間的一定隔離，保證互訪的安全控制；安全保障系統(tǒng)是指通過認(rèn)證、加密、授權(quán)、綁定控制等技術(shù)對(duì)XX公司管理網(wǎng)上的用戶訪問及數(shù)據(jù)實(shí)施安全保障的監(jiān)控系統(tǒng)，他與互聯(lián)支撐層相對(duì)獨(dú)立，由管理中心與各部門單位共同規(guī)劃，分布

12、構(gòu)建，如數(shù)據(jù)加密等措施建議在用戶網(wǎng)絡(luò)處（各部門）實(shí)施；業(yè)務(wù)應(yīng)用層就是在安全互聯(lián)的基礎(chǔ)上實(shí)施XX公司管理網(wǎng)的各種應(yīng)用，由管理中心與各系統(tǒng)單位統(tǒng)一規(guī)劃，分別實(shí)施。在本方案中，各個(gè)網(wǎng)絡(luò)系統(tǒng)均采用星型結(jié)構(gòu)，星型結(jié)構(gòu)特點(diǎn)是結(jié)構(gòu)簡單，時(shí)延固定，便于管理和故障排除，接入層單點(diǎn)故障不會(huì)影響整個(gè)網(wǎng)絡(luò)，提高網(wǎng)絡(luò)的可靠性。3.2 網(wǎng)絡(luò)結(jié)構(gòu)設(shè)計(jì)網(wǎng)絡(luò)的拓?fù)浣Y(jié)構(gòu)很大程度上決定了網(wǎng)絡(luò)的性能，常見的網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)主要有星型結(jié)構(gòu)、網(wǎng)狀結(jié)構(gòu)、環(huán)形結(jié)構(gòu)等幾種，根據(jù)XX集團(tuán)園區(qū)網(wǎng)的特點(diǎn)，結(jié)合性能和經(jīng)濟(jì)方面的考慮，推薦采用星型結(jié)構(gòu)搭建園區(qū)網(wǎng)。根據(jù)功能區(qū)的不同劃分為以下3層，核心層、匯聚層、接入層：名稱功能備注核心設(shè)備核心層為網(wǎng)絡(luò)提供骨干

13、組件或高速交換組件，高效速度傳輸是核心層的目標(biāo)核心交換機(jī)米用基于CLOS多級(jí)交換架構(gòu)的交換機(jī)S10500,控制和轉(zhuǎn)發(fā)物理分離，真正保證大數(shù)據(jù)量的無阻塞轉(zhuǎn)發(fā),同時(shí)支持多業(yè)務(wù)安全插卡，保證整個(gè)網(wǎng)絡(luò)的數(shù)據(jù)傳輸安全匯聚設(shè)備匯聚層是核心層和終端用戶接入層的分界面，匯聚交換選擇S5800萬兆交換機(jī)，提供24個(gè)千兆光口，4個(gè)萬兆光接口，對(duì)上通過萬兆單模連接到兩臺(tái)核心，向下采用多模千兆接入樓層接入交換機(jī)，匯聚層完成網(wǎng)絡(luò)訪問的策略控制、廣播域的定義、VLAN間的路由、數(shù)據(jù)包處理、過濾尋址及其他數(shù)據(jù)處理的任務(wù)。接入設(shè)備接入層向本地網(wǎng)段提供用戶接入。接入交換機(jī)采用S5110千兆交換機(jī)，通過千兆多模接到匯聚交換機(jī)，通

14、過六類網(wǎng)線提供用戶千兆接入，主要提供網(wǎng)絡(luò)分段、廣播能力、多播能力、介質(zhì)訪問的安全性、MAC地址的過濾和路由發(fā)現(xiàn)等任務(wù)3.3 網(wǎng)絡(luò)拓?fù)鋱D3.3.1 網(wǎng)絡(luò)拓?fù)鋱D（內(nèi)網(wǎng)）年能集團(tuán)園區(qū)網(wǎng)絡(luò)拓?fù)鋱D懂心思也索尼再塞華向一萬我.事方乩芬,一年#L電口3.3.2 網(wǎng)絡(luò)拓?fù)鋱D（外網(wǎng)）華能集團(tuán)園區(qū)網(wǎng)絡(luò)拓?fù)漤バ谋萾ofriAin幡3【至層后入仁3.3.3 網(wǎng)絡(luò)拓?fù)鋱D（智能網(wǎng)）華能集區(qū)網(wǎng)絡(luò)拓?fù)錁切膶覭A或R?ftP3.4 組網(wǎng)描述根據(jù)本期工程的需求和建設(shè)目標(biāo)，整個(gè)園區(qū)網(wǎng)絡(luò)分為三張網(wǎng)絡(luò)：內(nèi)網(wǎng)、外網(wǎng)、智能網(wǎng)，三張網(wǎng)絡(luò)的邏輯結(jié)構(gòu)及設(shè)備選型類似，要求三張網(wǎng)絡(luò)物理隔離，獨(dú)立組網(wǎng)；網(wǎng)絡(luò)結(jié)構(gòu)設(shè)計(jì)上采用三層架構(gòu)，核心交換機(jī)、匯聚交換

15、機(jī)、接入交換機(jī)，樓間采用萬兆單模連接，大樓內(nèi)的匯聚和接入通過千兆單模光纖連接，千兆到桌面，同時(shí)實(shí)現(xiàn)園區(qū)部分場所的無線無縫覆蓋，為園區(qū)提供高速、穩(wěn)定、方便的無線接入平臺(tái)，保證園區(qū)各種應(yīng)用能夠隨時(shí)隨地的開展。3.4.1 網(wǎng)絡(luò)出口設(shè)計(jì)三張網(wǎng)絡(luò)（內(nèi)網(wǎng)、外網(wǎng)、智能網(wǎng)）的出口分別通過核心交換機(jī)接到集團(tuán)原有相應(yīng)網(wǎng)絡(luò)上，在核心交換機(jī)上部署安全插卡（防火墻、入侵防御系統(tǒng)），有效阻止來自網(wǎng)絡(luò)中的各種安全威脅，如黑客、木馬、病毒、網(wǎng)頁篡改等；在外網(wǎng)考慮兩個(gè)出口,在互聯(lián)網(wǎng)一個(gè)出口為集團(tuán)外網(wǎng)接入，另外考慮單獨(dú)的互聯(lián)網(wǎng)出口，出口部署一臺(tái)高性能出口路由器SR6602-X1,提供15M的包轉(zhuǎn)發(fā)能力，4個(gè)千兆光口，4個(gè)千兆電口

16、，2個(gè)萬兆接口，4個(gè)業(yè)務(wù)擴(kuò)展槽位，出口路由器要做NAT轉(zhuǎn)換，SR6602具備400萬的并發(fā)連接數(shù)，完全滿足園區(qū)用戶的上網(wǎng)需要，園區(qū)內(nèi)部全部采用私有地址，通過NAT后訪問互聯(lián)網(wǎng)，可以很好解決公網(wǎng)地址不足的問題。3.4.2 核心層設(shè)計(jì)隨著園區(qū)網(wǎng)信息化的完善，園區(qū)的應(yīng)用越來越多，上網(wǎng)的人也越來越多，業(yè)務(wù)也遍布辦公、娛樂、生活各個(gè)領(lǐng)域，接入方式不局限于有線，有高帶寬的無線接入，所以園區(qū)核心交換機(jī)需要同時(shí)承載多種業(yè)務(wù)，所有業(yè)務(wù)都要經(jīng)過核心交換機(jī)處理，建議核心交換機(jī)必須滿足大容量、高性能、高可靠、高安全及網(wǎng)絡(luò)擴(kuò)展的要求，本次三張網(wǎng)絡(luò)（內(nèi)網(wǎng)、外網(wǎng)、智能網(wǎng)）核心層均采用雙核心設(shè)計(jì)，核心交換機(jī)采用H3c多級(jí)交換

17、架構(gòu)（CLOS）數(shù)據(jù)中心級(jí)交換機(jī)S10508-V,兩臺(tái)核心通過虛擬化技術(shù)IRF2虛擬成一臺(tái)設(shè)備邏輯設(shè)備，H3CS10500是中國國內(nèi)第一款100G平臺(tái)交換機(jī)，支持未來40GE和100GE以太網(wǎng)標(biāo)準(zhǔn)，采用先進(jìn)的CLOS多級(jí)多平面交換架構(gòu)，獨(dú)立的交換網(wǎng)板卡，控制引擎和交換網(wǎng)板硬件相互獨(dú)立，最大程度的提高設(shè)備可靠性，同時(shí)為后續(xù)產(chǎn)品帶寬的持續(xù)升級(jí)提供保證；為了滿足數(shù)據(jù)中心級(jí)網(wǎng)絡(luò)高可靠、高可用、虛擬化的要求，S10500采用創(chuàng)新IRF2（第二代智能彈性架構(gòu)）設(shè)計(jì)，將多臺(tái)高端設(shè)備虛擬化為一臺(tái)邏輯設(shè)備，簡化路由協(xié)議運(yùn)行狀態(tài)與運(yùn)維管理，同時(shí)大大縮短設(shè)備及鏈路出現(xiàn)故障快速切換，避免網(wǎng)絡(luò)震蕩。IRF2互聯(lián)鏈路采用

18、2*10GE捆綁，保證高可靠及橫向互訪tWj帶寬。在每臺(tái)核心'交換機(jī)S10508配置配置1個(gè)控制引擎、3個(gè)電源、2個(gè)獨(dú)立的交換引擎、32個(gè)萬兆光口（含4個(gè)萬兆單模光模塊，2個(gè)萬兆多模光模塊），用于連接樓棟匯聚（保障中心、集控大廳、周轉(zhuǎn)宿舍、多功能綜合樓），配置48個(gè)千兆電接口，便于集團(tuán)服務(wù)器、工作站接入；核心節(jié)點(diǎn)到樓層交換機(jī)和各大樓匯聚交換機(jī)之間通過10GE鏈路連接，核心設(shè)備支持虛擬化，兩臺(tái)核心可虛擬為一臺(tái)路由設(shè)備，為接入的用戶提供缺省網(wǎng)關(guān)的冗余，便于后期雙核心擴(kuò)展。IRF2虛擬化技術(shù)一一核心組網(wǎng)可靠性：實(shí)現(xiàn)兩臺(tái)核心交換機(jī)S10508-V虛擬成一臺(tái)邏輯設(shè)備，通過跨設(shè)備鏈路捆綁實(shí)現(xiàn)核心和

19、接入的點(diǎn)對(duì)點(diǎn)互聯(lián)，消除二層網(wǎng)絡(luò)的環(huán)路，這樣就直接避免了在網(wǎng)絡(luò)中部暑STP,同時(shí)對(duì)于核心的兩臺(tái)設(shè)備虛擬化為一臺(tái)邏輯設(shè)備之后，網(wǎng)關(guān)也將變成一個(gè)，無需部署傳統(tǒng)的VRR項(xiàng)、議。在管理層面，通IRF2多虛一之后，管理的設(shè)備數(shù)量減少一半以上，對(duì)于本項(xiàng)目，管理點(diǎn)只有核心和接入兩臺(tái)設(shè)備，網(wǎng)絡(luò)管理大幅度簡化。如下圖所示:部舌1RF2后傳統(tǒng)組網(wǎng)多級(jí)交換（CLOS架構(gòu)一一核心硬件可靠性：1、轉(zhuǎn)發(fā)任務(wù)分擔(dān)到多塊交換網(wǎng)板，轉(zhuǎn)發(fā)效率急速提升，性能大幅提高2、主控轉(zhuǎn)發(fā)物理分離，引擎壓力驟減，交換網(wǎng)板相互備份，可靠性更高3、交換網(wǎng)板可熱插拔升級(jí)，可擴(kuò)展性能，滿足長遠(yuǎn)需求*1晶呻CLOS田宮n能BHT蚓0幅者早比福主可靠主拄方

20、言.引堂L電俎交1*網(wǎng)版均冗親電IHS更全安全、無埼fe米保障核心節(jié)點(diǎn)的高可靠性。數(shù)據(jù)大集中后整個(gè)系統(tǒng)將承載多個(gè)業(yè)務(wù)系統(tǒng)，不同的業(yè)務(wù)對(duì)網(wǎng)絡(luò)的帶寬、時(shí)延等要求也不同，這就要求核心交換設(shè)備業(yè)務(wù)與性能并重；核心交換機(jī)必須采用功能強(qiáng)大的ASIC芯片實(shí)現(xiàn)業(yè)務(wù)的分布式線速處理，從而在為用戶提供有保障的業(yè)務(wù)特性的同時(shí)保障數(shù)據(jù)報(bào)文的線速轉(zhuǎn)發(fā)。3.4.3 匯聚層設(shè)計(jì)S5800-32F:由于XX園區(qū)各大樓的信息點(diǎn)位較多，各樓層均考慮了接入交換機(jī)，所以在三張網(wǎng)絡(luò)（內(nèi)網(wǎng)、外網(wǎng)、智能網(wǎng)）各大樓出口處設(shè)計(jì)一臺(tái)高性能匯聚交換機(jī)LS-5800-32F-H3S5800-32F匯聚交換機(jī)主要完成各大樓樓層交換機(jī)的匯聚，提供360

21、Gbps數(shù)據(jù)交換能力，具備156Mpps的數(shù)據(jù)包轉(zhuǎn)發(fā)能力，天然支持全線速分布式轉(zhuǎn)發(fā)，提供24個(gè)千兆接口，4個(gè)萬兆接口，配置2個(gè)單模萬兆上聯(lián)至兩臺(tái)核心交換機(jī)S10508-V,提供1個(gè)業(yè)務(wù)插槽，便于后期接口擴(kuò)展，接入交換機(jī)通過千兆多模連接到匯聚交換機(jī)，保證接入交換機(jī)的上行帶寬，同時(shí)在匯聚層交換機(jī)支持流量采集功能，可對(duì)對(duì)整網(wǎng)的全網(wǎng)流量進(jìn)行分析。根據(jù)業(yè)務(wù)需要，S5800-32F可擴(kuò)展16端口光接口板，16端口電接口板，4端口萬兆接口板，無線控制器插卡（可支持128個(gè)AP的接入控制能力），滿足未來業(yè)務(wù)擴(kuò)展的要求。3.4.4 接入層設(shè)計(jì)XX園區(qū)接入XX園區(qū)各大樓樓層的信息點(diǎn)比較多，各樓層單獨(dú)考慮接入交換機(jī)

22、，接入交換機(jī)通過千兆單模接到大樓的匯聚交換機(jī)，通過六類網(wǎng)線提供本樓層的千兆接入，通過對(duì)需求分析，建議選用H3C的千兆接入交換機(jī)LS-S5110-28P:LS-S5110-28PPOE交換機(jī)提供256G的交換容量，40Mbps的包轉(zhuǎn)發(fā)能力，提供24個(gè)10/100/1000Base-T以太網(wǎng)端口和4個(gè)復(fù)用的1000Base-XSFP千兆以太網(wǎng)端口，實(shí)現(xiàn)千兆到桌面設(shè)計(jì)，千兆以太網(wǎng)逐漸延伸到桌面已經(jīng)成為最迫切的需要之一，隨著園區(qū)多媒體應(yīng)用的增加，應(yīng)用在消耗大量帶寬的同時(shí)，也在追求終端用戶的滿意度，基于銅纜的千兆以太網(wǎng)可以將更多的應(yīng)用從低速鏈路中解放出來，并且為罷工人員工作創(chuàng)新提供了一個(gè)嶄新高效能工作平

23、臺(tái)。3.4.5 用戶認(rèn)證：XX園區(qū)無線用戶包括兩部分，內(nèi)部辦公人員和外來辦事人員，本次三張網(wǎng)絡(luò)各配置一套EIA終端智能接入：針對(duì)內(nèi)部用戶，采用MACM址認(rèn)證，職工采用分配固定帳號(hào)，并可實(shí)現(xiàn)終端MACM址和IP地址等多元素的綁定，防止非法用戶的訪問內(nèi)部網(wǎng)絡(luò)。針對(duì)訪客，系統(tǒng)提供臨時(shí)接入賬號(hào)的訪客管理功能，訪客管理員可創(chuàng)建來賓賬號(hào)，或訪客通過自助系統(tǒng)登記相關(guān)信息，并申請(qǐng)?jiān)L客接入網(wǎng)絡(luò)服務(wù)。通過后臺(tái)管理批準(zhǔn)的訪客賬號(hào)，并以短信方式通知訪客帳號(hào)和密碼，之后可訪問內(nèi)部網(wǎng)絡(luò)，該賬號(hào)將在超過保留時(shí)長后失效。當(dāng)用戶接入網(wǎng)絡(luò)后，可強(qiáng)化對(duì)用戶接入的管理：?基于用戶的權(quán)限控制策略，可以為不同用戶定制不同網(wǎng)絡(luò)訪問權(quán)限。?

24、可以控制用戶的上網(wǎng)帶寬（QoS、限制用戶同時(shí)在線數(shù)、禁止用戶設(shè)置和使用代理服務(wù)器，有效防止個(gè)別用戶對(duì)網(wǎng)絡(luò)資源的過度占用。?支持最大閑置時(shí)長限制。?可以實(shí)現(xiàn)對(duì)用戶ACL、VLAN的控制，限制用戶對(duì)內(nèi)部敏感服務(wù)器和外部非法網(wǎng)站的訪問。?可以限制用戶IP地址分配策略，防止IP地址盜用和沖突。監(jiān)控用戶認(rèn)證成功后的IP地址，若有變更則強(qiáng)制要求下線。?可以限制用戶的接入時(shí)段和接入?yún)^(qū)域，用戶只能在允許的時(shí)間和地點(diǎn)上網(wǎng)。?可以限制終端用戶使用多網(wǎng)卡和撥號(hào)網(wǎng)絡(luò)，禁止修改終端MAC地址，防止內(nèi)部信息泄露。?可以限制用戶必須使用專用安全客戶端，并強(qiáng)制自動(dòng)升級(jí)，防止安全客戶端被破解，確保認(rèn)證客戶端的安全性。?接入用戶

25、網(wǎng)關(guān)配置，提供接入用戶網(wǎng)關(guān)IP、MAC地址配置信息。本次在XX集團(tuán)三張網(wǎng)絡(luò)（內(nèi)網(wǎng)、外網(wǎng)、智能網(wǎng)）各配置一套H3c用戶接入管理EIA,并配置1000用戶的并發(fā)認(rèn)證許可，實(shí)現(xiàn)對(duì)本網(wǎng)絡(luò)內(nèi)的用戶進(jìn)行接入認(rèn)證和控制。3.4.6 網(wǎng)絡(luò)管理系統(tǒng)：集團(tuán)的網(wǎng)絡(luò)設(shè)備和用戶越來越多，有一套智能管理軟件，可以大大簡化網(wǎng)絡(luò)管理人員的工作量，同時(shí)可以提供網(wǎng)絡(luò)管理的工作效率，網(wǎng)絡(luò)管理軟件必須具備網(wǎng)絡(luò)拓?fù)洹⒕W(wǎng)絡(luò)性能、網(wǎng)絡(luò)配置、網(wǎng)絡(luò)安全、網(wǎng)絡(luò)告警、網(wǎng)絡(luò)業(yè)務(wù)的統(tǒng)一管理，同時(shí)在其上可以配置有多種業(yè)務(wù)管理組件，如本次推薦配置有線無線一體化管理組件，方便管理大規(guī)模的無線管理網(wǎng)絡(luò)；智能配置中心，可以方便的管理上百臺(tái)設(shè)備的軟件、配置變更、

26、收集軟件版本、配置的基線庫，為多臺(tái)設(shè)備統(tǒng)一批量配置和升級(jí)，大大節(jié)省管理員的工作量。本次在XX集團(tuán)三張網(wǎng)絡(luò)（內(nèi)網(wǎng)、外網(wǎng)、智能網(wǎng)）各配置一套H3C智能管理中心IMC,并配置50個(gè)節(jié)點(diǎn)的管理，實(shí)現(xiàn)對(duì)本網(wǎng)絡(luò)內(nèi)的設(shè)備進(jìn)行智能管理。3.5 安全設(shè)計(jì)3.5.1 安全設(shè)計(jì)要點(diǎn)安全是一個(gè)系統(tǒng)工程，為了合理的解決網(wǎng)絡(luò)安全問題，必須充分分析網(wǎng)絡(luò)邏輯組成，網(wǎng)絡(luò)中不同部分的功能不同，所關(guān)注的安全問題也不同。所謂安全威脅，就是未經(jīng)授權(quán)，對(duì)位于服務(wù)器、網(wǎng)絡(luò)和桌面的數(shù)據(jù)和資源進(jìn)行訪問，甚至破壞或者篡改這些數(shù)據(jù)/資源。從安全威脅的對(duì)象來看，可以分為網(wǎng)絡(luò)傳送過程、網(wǎng)絡(luò)服務(wù)過程和軟件應(yīng)用過程三類。網(wǎng)絡(luò)傳送過程主要針對(duì)數(shù)據(jù)鏈路層和網(wǎng)

27、絡(luò)層協(xié)議特征中存在的漏洞進(jìn)行攻擊，如常見的監(jiān)聽、ip地址欺騙、路由協(xié)議攻擊、ICMPSmuf攻擊等；網(wǎng)絡(luò)服務(wù)過程主要針對(duì)TCP/UDP以及居于其上的應(yīng)用層協(xié)議進(jìn)行，如常見的UDP/TCP欺騙、TCP流量劫持、TCPDoSFTP反彈、DNS欺騙等等；軟件應(yīng)用過程則針對(duì)位于服務(wù)器/主機(jī)上的操作系統(tǒng)以及其上的應(yīng)用程序，甚至是基于Web的軟件系統(tǒng)發(fā)起攻擊。從安全威脅的手法來看，蠕蟲、拒絕服務(wù)、監(jiān)聽、木馬、病毒都是常見的攻擊工具。對(duì)關(guān)鍵的主機(jī)系統(tǒng)和子網(wǎng)，能夠進(jìn)行網(wǎng)絡(luò)資源檢查，并及時(shí)發(fā)現(xiàn)問題。使用安全掃描軟件，對(duì)關(guān)鍵的主機(jī)系統(tǒng)和網(wǎng)絡(luò)定期進(jìn)行掃描，可以檢查出網(wǎng)絡(luò)弱點(diǎn)和策略配置上的問題。根據(jù)掃描軟件發(fā)現(xiàn)的問題

28、，及時(shí)更新操作系統(tǒng)補(bǔ)丁，查殺病毒，更新安全策略。定期強(qiáng)制更新用戶口令，并制定用戶口令規(guī)則，禁止使用不符合規(guī)則的口令。定期檢查文件系統(tǒng)的訪問權(quán)限是否合理，檢查用戶帳號(hào)的使用是否正常。3.5.2 網(wǎng)絡(luò)邊界安全防護(hù)在傳統(tǒng)的數(shù)據(jù)中心網(wǎng)絡(luò)安全部署時(shí)，往往是網(wǎng)絡(luò)與安全各自為戰(zhàn)，在網(wǎng)絡(luò)邊界或關(guān)鍵節(jié)點(diǎn)串接安全設(shè)備（如FWIPS、LB等）。隨著數(shù)據(jù)中心部署的安全設(shè)備的種類和數(shù)量也越來越多，這將導(dǎo)致數(shù)據(jù)中心機(jī)房布線、空間、能耗、運(yùn)維管理等成本越來越高。傳統(tǒng)部署方式流量清洗防火墻入侵防御負(fù)載均衡H3c插卡部署方式本次方案中采用了H3CSecBlade安全插卡可直接插在核心交換機(jī)S10508-V的業(yè)務(wù)槽位，通過交換機(jī)

29、背板互連實(shí)現(xiàn)流量轉(zhuǎn)發(fā)，共用交換機(jī)電源、風(fēng)扇等基礎(chǔ)部件。融合部署除了簡化機(jī)房布線、節(jié)省機(jī)架空間、簡化管理之外，還具備以下優(yōu)點(diǎn)：?互連帶寬高。SecBlade系列安全插卡采用背板總線與交換機(jī)進(jìn)行互連，背板總線帶寬一般可超過40Gbps,相比傳統(tǒng)的獨(dú)立安全設(shè)備采用普通千兆以太網(wǎng)接口進(jìn)行互連，在互連帶寬上有了很大的提升，而且無需增加布線、光纖和光模塊成本。業(yè)務(wù)接口靈活。SecBlade系列安全插卡上不對(duì)外提供業(yè)務(wù)接口（僅提供配置管理接口）,當(dāng)交換機(jī)上插有SecBlade安全插卡時(shí)，交換機(jī)上原有的所有業(yè)務(wù)接口均可配置為安全業(yè)務(wù)接口。此時(shí)再也無需擔(dān)心安全業(yè)務(wù)接口不夠而帶來網(wǎng)絡(luò)安全部署的局限性。性能平滑擴(kuò)展

30、。當(dāng)一臺(tái)交換機(jī)上的一塊SecBlade安全插卡的性能不夠時(shí)，可以再插入一塊或多塊SecBlade插卡實(shí)現(xiàn)性能的平滑疊加。而且所有SecBlade插卡均支持熱插拔，在進(jìn)行擴(kuò)展時(shí)無需停機(jī)中斷現(xiàn)有的業(yè)務(wù)。本次XX集團(tuán)園區(qū)項(xiàng)目設(shè)計(jì)在三張網(wǎng)的核心交換機(jī)S10508-V上部署多種安全插卡：防火墻（LSQM1FWBSC0入侵防御系統(tǒng)（LSQM1IPSSC0實(shí)現(xiàn)網(wǎng)絡(luò)安全的一體化防護(hù)。數(shù)據(jù)中心出口安全具備訪問控制、區(qū)域隔離、狀態(tài)檢測等2-4層安全功能，同時(shí)也具備對(duì)木馬、病毒、蠕蟲等應(yīng)用層安全威脅進(jìn)行檢查、阻斷、告警等全防護(hù)功能。4-7層安全防護(hù)功能，實(shí)現(xiàn)2-7層的立體安LSQM1FWBSC0防火墻插卡層路由設(shè)備

31、。防火墻與交換機(jī)之間的三層部署方式與傳統(tǒng)盒式設(shè)備類似。虛擬防火墻示意圖LSQM1IPSSC0入侵防御系統(tǒng)插卡如部署防火墻插卡，防火墻插卡設(shè)備雖然部署在交換機(jī)框中，但仍然可以看作是一個(gè)獨(dú)立的設(shè)備。它通過交換機(jī)內(nèi)部的10GE接口與網(wǎng)絡(luò)設(shè)備相連，它可以部署為2層透明設(shè)備和三如上圖FW三層部署所示，防火墻可以與宿主交換機(jī)直接建立三層連接，也可以與上游或下游設(shè)備建立三層連接，不同連接方式取決于用戶的訪問策略?？梢酝ㄟ^靜態(tài)路由和缺省路由實(shí)現(xiàn)三層互通，也可以通過OSPF樣的路由協(xié)議提供動(dòng)態(tài)的路由機(jī)制。如果防火墻部署在服務(wù)器區(qū)域，可以將防火墻設(shè)計(jì)為服務(wù)器網(wǎng)關(guān)設(shè)備，這樣所有訪問服務(wù)器的三層流量都將經(jīng)過防火墻設(shè)備

32、，這種部署方式可以提供區(qū)域內(nèi)部服務(wù)器之間訪問的安全性。防火墻是網(wǎng)絡(luò)系統(tǒng)的核心基礎(chǔ)防護(hù)措施，它可以對(duì)整個(gè)網(wǎng)絡(luò)進(jìn)行網(wǎng)絡(luò)區(qū)域分割，提供基于IP地址和TCP/IP服務(wù)端口等的訪問控制；對(duì)常見的網(wǎng)絡(luò)攻擊方式，如拒絕服務(wù)攻擊(pingofdeath,land,synflooding,pingflooding,teardrop)、端口掃描(portscanning)、IP欺騙(ipspoofing)、IP盜用等進(jìn)行有效防護(hù)；并提供NAT地址轉(zhuǎn)換、流量限制、用戶認(rèn)證、IP與MACW定等安全增強(qiáng)措施。對(duì)于云計(jì)算數(shù)據(jù)中心虛擬機(jī)服務(wù)網(wǎng)關(guān)的選擇上，建議根據(jù)不同用戶的安全需求進(jìn)行區(qū)分對(duì)待，不建議將所有網(wǎng)關(guān)配置在FW/上

33、，以分散FW的壓力，滿足用戶內(nèi)的安全域隔離，具體設(shè)計(jì)如下：?對(duì)于需要FW的業(yè)務(wù)的用戶，網(wǎng)關(guān)部署在vFW上；對(duì)于不需要FW勺普通用戶，網(wǎng)關(guān)部署在核心交換機(jī)上。租戶1多用戶安全隔離示意圖無線網(wǎng)工程的總體原則如下：側(cè)重實(shí)際應(yīng)用，覆蓋XX園區(qū)各大樓內(nèi)所有區(qū)域，為教學(xué)、科研、辦公及學(xué)習(xí)、生活、交流提供切實(shí)可用的、穩(wěn)定的無線網(wǎng)絡(luò)環(huán)境。采取先進(jìn)通行的協(xié)議標(biāo)準(zhǔn)，即目前無線局域網(wǎng)普遍采用802.11系列標(biāo)準(zhǔn)，無線局域網(wǎng)提供802.11a、802.11b、802.11g、802.11n標(biāo)準(zhǔn)的聯(lián)網(wǎng)支持，提供可供實(shí)際應(yīng)用的穩(wěn)定網(wǎng)絡(luò)通訊服務(wù)。實(shí)現(xiàn)室內(nèi)無線網(wǎng)絡(luò)的合理分布，考慮室內(nèi)實(shí)現(xiàn)無線網(wǎng)絡(luò)的不同情況和特點(diǎn)以及目前辦公人

34、員及外來人員手提電腦/智能終端（手機(jī)、平板電腦）用戶數(shù)量日益增多的情況，應(yīng)采取合理的布網(wǎng)方式滿足現(xiàn)在以及未來發(fā)展的需要。在辦公室、會(huì)議室采用室內(nèi)面板式AP部署或者吸頂AP。新建網(wǎng)絡(luò)需要實(shí)現(xiàn)與現(xiàn)有的無線網(wǎng)和有線網(wǎng)的網(wǎng)絡(luò)融合與統(tǒng)一管理。在實(shí)施無線覆蓋工程時(shí)，如無特別說明，以考慮信號(hào)覆蓋范圍為主，單個(gè)AP的并發(fā)用戶數(shù)及每用戶無線上網(wǎng)帶寬也要作為工程的重要因素予以考慮。所有XX集團(tuán)園區(qū)各大樓內(nèi)部區(qū)域采用部署11n,使得XX集團(tuán)園區(qū)的無線接入帶寬達(dá)到300M接入帶寬，同時(shí)考慮到用戶終端的多樣性，要求AP要向下兼容11a/b/g,主要吸頂安裝為主，兩種應(yīng)用場景，第一種過道式部署，建議一個(gè)AP覆蓋6個(gè)左右的

35、辦公室，過道安裝每隔15-20米左右安裝一個(gè)AP,對(duì)于第二種場景，1-5樓比較空曠的展區(qū)，建議每個(gè)15-20米安裝一個(gè)AP。無線系統(tǒng)須具備對(duì)無線AP進(jìn)行統(tǒng)一控制、管理的軟硬件平臺(tái)，軟硬件控制、管理平臺(tái)所提供的網(wǎng)元License數(shù)量與實(shí)際網(wǎng)元數(shù)量相匹配并易于擴(kuò)充運(yùn)維系統(tǒng)須提供必要的網(wǎng)絡(luò)監(jiān)控、管理、統(tǒng)計(jì)、報(bào)表功能，提供足夠數(shù)量的License授權(quán)。無線網(wǎng)系統(tǒng)必須實(shí)現(xiàn)與有線網(wǎng)現(xiàn)有認(rèn)證系統(tǒng)對(duì)接，從而實(shí)現(xiàn)XX集團(tuán)有線網(wǎng)與無線網(wǎng)的統(tǒng)一身份認(rèn)證。第4章有線無線一體化設(shè)計(jì)XX園區(qū)網(wǎng)絡(luò)部分樓棟功能區(qū)要考慮無線覆蓋，三張網(wǎng)絡(luò)（內(nèi)網(wǎng)、外網(wǎng)、智能網(wǎng)）都有無線覆蓋要求，三張網(wǎng)絡(luò)的無線部分分別設(shè)計(jì)，三張無線網(wǎng)絡(luò)的邏輯結(jié)構(gòu)

36、和選型完全一致，每棟樓設(shè)計(jì)1臺(tái)24口POE千兆交換機(jī)，PO或換機(jī)上通過光纖接到大樓匯聚交換機(jī)，下連本樓層的無線AP,同日對(duì)AP進(jìn)彳TPO聯(lián)電，采用FITAP解決方案，只需要在保障中心三樓機(jī)房放置1臺(tái)智能無線控制器（AC）,AC可支持熱備，便于后期雙控制器擴(kuò)展，兩個(gè)無線控制器互為備份，在接入層部署11n300M的智能無線接入點(diǎn)（AP）,即可完成整網(wǎng)的部署。華能集區(qū)無線示意圖天然接入?yún)^(qū)華法款珈工散掘中心無城技儲(chǔ)網(wǎng)PCAP華能集團(tuán)園區(qū)網(wǎng)55JiCFA=:4.1 無線控制器如果僅僅只采用AP本身進(jìn)行無線覆蓋，即傳統(tǒng)的胖AP模式進(jìn)行無線覆蓋，采用這樣的部署方式去部署XX園區(qū)的無線網(wǎng)絡(luò)有極大的缺點(diǎn)。其一、

37、胖AP把所有的配置均配置到AP本身上，如此數(shù)量多的AP,使客戶的維護(hù)管理工作量大大增加。其二、胖AP無法統(tǒng)一管理控制，AP之間本身就不能無縫融合，那么就會(huì)出現(xiàn)當(dāng)你離開一個(gè)區(qū)域到另一個(gè)區(qū)域時(shí)必然出現(xiàn)不斷重新認(rèn)證的問題。其三、AP與AP之間無聯(lián)系，無法實(shí)現(xiàn)智能的負(fù)載分擔(dān)和均衡。因此，決定采用統(tǒng)一的無線控制器對(duì)AP進(jìn)行統(tǒng)一管理，AC+FITAP（瘦AP）的組網(wǎng)方式。這樣可以大大減少維護(hù)管理工作量，能實(shí)現(xiàn)無縫漫游和負(fù)載分擔(dān)。此次XX園區(qū)三張網(wǎng)絡(luò)（內(nèi)網(wǎng)、外網(wǎng)、智能網(wǎng)）分別設(shè)計(jì)一臺(tái)無線控制器WX5510E,提供8個(gè)千兆comb口，和2個(gè)萬兆接口，整機(jī)支持512個(gè)AP接入能力，本次每臺(tái)配置128個(gè)AP接入授

38、權(quán)。EWP-WX5510E無線控制器WX5510睞用下列部署方式：集中式控制，在XX園區(qū)保障中心三樓核心機(jī)房三張網(wǎng)絡(luò)部署各1臺(tái)無線控制器，集中對(duì)XX園區(qū)各網(wǎng)絡(luò)內(nèi)AP進(jìn)行接入控制。無線控制器支持N+1熱備，不存在單點(diǎn)故障，AP分批實(shí)施時(shí)AC可按需擴(kuò)容，部署方案靈活；多業(yè)務(wù)無線控制器WX5510EEB精細(xì)的用戶控制管理、完善的管理及安全機(jī)制、快速漫游、超強(qiáng)的QoS及IPv4&IPv6等多功能于一體，提供強(qiáng)大的WLANg入控制功能。用戶管理、加密、漫游、AP管理等功能全部集中到無線控制器上進(jìn)行，減輕了AP負(fù)擔(dān)，在規(guī)模越大的網(wǎng)絡(luò)上管理越簡單，同時(shí)無線控制器會(huì)自動(dòng)調(diào)節(jié)AP的工作信道以及發(fā)射功率。

39、這樣可以簡化整個(gè)網(wǎng)絡(luò)AP的管理，提高設(shè)備的工作效率。4.2 無線AP由于無線WLANI用沖突避免的載波偵聽多路訪問機(jī)制當(dāng)用戶數(shù)量多大，用戶接入速度就會(huì)受到影響。一般建議每AP按照2530戶規(guī)劃為最佳，如果使用雙頻AP,則每個(gè)頻段能規(guī)劃2530個(gè)用戶。在覆蓋范圍上：一般來說，AP在室內(nèi)普通環(huán)境下覆蓋30米。在接入速率上：采用11N300M的AP,大大超過了彳統(tǒng)的無線AP接入速率，能夠很好的保證網(wǎng)絡(luò)數(shù)據(jù)的高速傳輸。針對(duì)園區(qū)各功能區(qū)域的無線場景，建議吸頂放裝型APEWP-WA2620i-AGN-FIT和面板APEWP-WA2610H-GN-FIT正對(duì)會(huì)議室、過道、咖啡廳等采用放裝型AP,對(duì)于辦公室、

40、接待中心采用面板型APoHim放裝AWA2620面板APWA2610H-GN?吸頂放裝示意圖AP內(nèi)置終端智能感知型天線，直接吸頂安裝于天花板即可，無需外接天線。?面板AP安裝示意圖5步！安裝一個(gè)AP只需35分鐘。WA2610H-GNI用國際標(biāo)準(zhǔn)的插座安裝方法進(jìn)行設(shè)計(jì)，和其他開關(guān)面板一樣，更換一個(gè)面板式AP只需要簡單的5個(gè)步驟，總耗時(shí)不超過5分鐘，可以極大的加快客戶部署無線網(wǎng)絡(luò)的速度。?WA2610H-GN之5步安裝方法4.3 POE供電接入交換機(jī)采用支持PO聯(lián)電的交換機(jī)，可提供最大24口POE供電，POE接入交換機(jī)通過光纖與各自樓棟匯聚交換機(jī)互聯(lián)。本次選用H3cLS-S5110-28P-PWR

41、作為AP的數(shù)據(jù)接入和遠(yuǎn)程供電設(shè)備，LS-S5110-28P-PW就供24個(gè)10/100/1000Base-T以太網(wǎng)端口，4個(gè)1000Base-X以太網(wǎng)端口，提供370WPOE俞出能力，滿足24個(gè)千兆電口同時(shí)PO聯(lián)電。LS-S5110-28P-PWRPOE交換機(jī)PoE交換機(jī)在無線部署工程中具有非常明顯的優(yōu)勢，具體如下：?簡化安裝，降低成本，不需為每個(gè)網(wǎng)絡(luò)設(shè)備單獨(dú)提供數(shù)據(jù)和電力線纜。?靈活性提高，網(wǎng)絡(luò)裝置可被安裝在任何位置，而不需靠近一個(gè)已存在的電源輸出口。?可靠性增強(qiáng)，有SNMFt歸力的PoE裝置，可實(shí)施遠(yuǎn)程檢測和控制，能有效地處理或修理裝置的耗電量和（或）失效故障。?交換機(jī)通過以太網(wǎng)線來匯聚A

42、P的流量，同時(shí)為AP提供電源，這樣可以簡化布線，部署美觀，同時(shí)減少故障點(diǎn)，提高網(wǎng)絡(luò)的可靠性。根據(jù)XX園區(qū)實(shí)際情況，在每棟樓部署相應(yīng)的PO或換機(jī)對(duì)AP進(jìn)彳TPOE電。4.4 無線網(wǎng)管運(yùn)維為了對(duì)XX園區(qū)網(wǎng)的無線網(wǎng)絡(luò)、有線網(wǎng)絡(luò)等設(shè)備進(jìn)行統(tǒng)一有效的管理，能夠?qū)崟r(shí)監(jiān)控網(wǎng)絡(luò)設(shè)備的運(yùn)行狀況，網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)的變化等網(wǎng)絡(luò)問題，所有在本次的XX集團(tuán)園區(qū)無線網(wǎng)絡(luò)建設(shè)中擬配置智能網(wǎng)絡(luò)管理系統(tǒng)，該智能管理系統(tǒng)平臺(tái)實(shí)現(xiàn)網(wǎng)絡(luò)資源、用戶和業(yè)務(wù)的融合管理，提供基本的網(wǎng)絡(luò)資源管理、拓?fù)涔芾?、故障管理、性能管理、用戶管理及系統(tǒng)安全管理，更科學(xué)合理的規(guī)劃和管理網(wǎng)絡(luò)，實(shí)現(xiàn)對(duì)包括交換機(jī)、無線AP,無線控制器的統(tǒng)一管理。針對(duì)無線運(yùn)維管理，本

43、次配置三張網(wǎng)各配置一套H3cWSME線運(yùn)維管理，實(shí)現(xiàn)整個(gè)園區(qū)無線網(wǎng)絡(luò)的統(tǒng)一管理，對(duì)于網(wǎng)絡(luò)中的AC、FATAP、FITAP、移動(dòng)終端、POE交換機(jī)等無線設(shè)備與有線設(shè)備進(jìn)行一體化集中管理，全網(wǎng)設(shè)備信息和狀態(tài)一目了然。網(wǎng)絡(luò)資源通過多種視圖進(jìn)行查看，視圖內(nèi)分組管理，將規(guī)模巨大的無線接入設(shè)備有效組織，便于管理員維護(hù)。4.5 無線用戶認(rèn)證XX園區(qū)無線用戶包括兩部分，內(nèi)部辦公人員和外來辦事人員，本次三張網(wǎng)絡(luò)各配置一套EIA終端智能接入：針對(duì)內(nèi)部用戶，采用MACM址認(rèn)證，職工采用分配固定帳號(hào)，并可實(shí)現(xiàn)終端MACM址和IP地址等多元素的綁定，防止非法用戶的訪問內(nèi)部網(wǎng)絡(luò)。針對(duì)訪客，系統(tǒng)提供臨時(shí)接入賬號(hào)的訪客管理功

44、能，訪客管理員可創(chuàng)建來賓賬號(hào)，或訪客通過自助系統(tǒng)登記相關(guān)信息，并申請(qǐng)?jiān)L客接入網(wǎng)絡(luò)服務(wù)。通過后臺(tái)管理批準(zhǔn)的訪客賬號(hào)，并以短信方式通知訪客帳號(hào)和密碼，之后可訪問內(nèi)部網(wǎng)絡(luò)，該賬號(hào)將在超過保留時(shí)長后失效。當(dāng)用戶接入網(wǎng)絡(luò)后，可強(qiáng)化對(duì)用戶接入的管理：?基于用戶的權(quán)限控制策略，可以為不同用戶定制不同網(wǎng)絡(luò)訪問權(quán)限。?可以控制用戶的上網(wǎng)帶寬(QoS、限制用戶同時(shí)在線數(shù)、禁止用戶設(shè)置和使用代理服務(wù)器，有效防止個(gè)別用戶對(duì)網(wǎng)絡(luò)資源的過度占用。?支持最大閑置時(shí)長限制。?可以實(shí)現(xiàn)對(duì)用戶ACL、VLAN的控制，限制用戶對(duì)內(nèi)部敏感服務(wù)器和外部非法網(wǎng)站的訪問。?可以限制用戶IP地址分配策略，防止IP地址盜用和沖突。監(jiān)控用戶認(rèn)證成功后的IP地址，若有變更則強(qiáng)制要求下線。?可以限制用戶的接入時(shí)段和接入?yún)^(qū)域，用戶只能在允許的時(shí)間和地點(diǎn)上網(wǎng)。?可以限制終端用戶使用多網(wǎng)卡和撥號(hào)網(wǎng)絡(luò)，禁止修改終端MAC地址，防止內(nèi)部信息泄露。?可以限制用戶必須使用專用安全客戶端，并強(qiáng)制自動(dòng)升級(jí)，防止安全客戶端被破解，確保認(rèn)證客戶端的安全性。?接入用戶網(wǎng)關(guān)配置，提供接入用戶網(wǎng)關(guān)IP、MA