某基地園區(qū)網(wǎng)絡方案建議書

1、-. z. - .- -可修編- -*集團園區(qū)網(wǎng)絡技術建議書華三通信技術-. z.目 錄 TOC o 1-4 h z u HYPERLINK l _Toc392864692第1章 總體建設要求 PAGEREF _Toc392864692 h 3HYPERLINK l _Toc392864693第2章 設計原則 PAGEREF _Toc392864693 h 5HYPERLINK l _Toc392864694第3章 網(wǎng)絡整體方案設計 PAGEREF _Toc392864694 h 7HYPERLINK l _Toc3928646953.1 總體網(wǎng)絡設計描述 PAGEREF _Toc392864

2、695 h 7HYPERLINK l _Toc3928646963.2 網(wǎng)絡結構設計 PAGEREF _Toc392864696 h 7HYPERLINK l _Toc3928646973.3 網(wǎng)絡拓撲圖 PAGEREF _Toc392864697 h 9HYPERLINK l _Toc392864698 網(wǎng)絡拓撲圖（網(wǎng)） PAGEREF _Toc392864698 h 9HYPERLINK l _Toc392864699 網(wǎng)絡拓撲圖（外網(wǎng)） PAGEREF _Toc392864699 h 9HYPERLINK l _Toc392864700 網(wǎng)絡拓撲圖（智能網(wǎng)） PAGEREF _Toc39

3、2864700 h 10HYPERLINK l _Toc3928647013.4 組網(wǎng)描述 PAGEREF _Toc392864701 h 10HYPERLINK l _Toc392864702 網(wǎng)絡出口設計 PAGEREF _Toc392864702 h 10HYPERLINK l _Toc392864703 核心層設計 PAGEREF _Toc392864703 h 11HYPERLINK l _Toc392864704 匯聚層設計 PAGEREF _Toc392864704 h 13HYPERLINK l _Toc392864705 接入層設計 PAGEREF _Toc392864705

4、 h 13HYPERLINK l _Toc392864706 用戶認證： PAGEREF _Toc392864706 h 14HYPERLINK l _Toc392864707 網(wǎng)絡管理系統(tǒng)： PAGEREF _Toc392864707 h 15HYPERLINK l _Toc3928647083.5 安全設計 PAGEREF _Toc392864708 h 15HYPERLINK l _Toc392864709 安全設計要點 PAGEREF _Toc392864709 h 15HYPERLINK l _Toc392864710 網(wǎng)絡邊界安全防護 PAGEREF _Toc392864710 h

5、 16HYPERLINK l _Toc392864711第4章 有線無線一體化設計 PAGEREF _Toc392864711 h 20HYPERLINK l _Toc3928647124.1 無線控制器 PAGEREF _Toc392864712 h 20HYPERLINK l _Toc3928647134.2 無線AP PAGEREF _Toc392864713 h 21HYPERLINK l _Toc3928647144.3 POE供電 PAGEREF _Toc392864714 h 23HYPERLINK l _Toc3928647154.4 無線網(wǎng)管運維 PAGEREF _Toc39

6、2864715 h 23HYPERLINK l _Toc3928647164.5 無線用戶認證 PAGEREF _Toc392864716 h 24HYPERLINK l _Toc3928647174.6 方案特點 PAGEREF _Toc392864717 h 25HYPERLINK l _Toc392864718第5章 方案優(yōu)勢介紹 PAGEREF _Toc392864718 h 28總體建設要求根據(jù)*園區(qū)信息化對計算機網(wǎng)絡系統(tǒng)的需求，我們選擇采用基于TCP/IP協(xié)議的、以1/10G BASE-*光纖鏈路為骨干的網(wǎng)絡，各樓棟采用千兆到桌面，要求能兼容IPV4與IPV6，通過VLAN劃分不同

7、邏輯區(qū)域分別供不同部門的接入使用。在共用主干網(wǎng)絡線路的前提下實現(xiàn)各區(qū)域的邏輯性隔離，以實現(xiàn)安全、使用以及資源利用最大化。區(qū)域劃分*公司園區(qū)網(wǎng)由四棟新建樓宇組成，分別是保障中心、集控大廳、周轉宿舍、多功能綜合樓；保障中心作為整個園區(qū)的網(wǎng)絡核心，中心機房部署在三樓，分別通過光纜連接其它樓棟，大樓設置匯聚交換機，接入交換機對本大樓的信息點位進行接入。網(wǎng)絡拓樸的設計根據(jù)業(yè)務情況，把園區(qū)網(wǎng)絡分為3套網(wǎng)絡：網(wǎng)、外網(wǎng)、智能網(wǎng)，三套網(wǎng)絡要求物理隔離；網(wǎng)絡主體架構采用星型拓樸結構，計算機網(wǎng)絡系統(tǒng)考慮在保障中心三樓機房各設計2臺萬兆交換機作為*公司個業(yè)務網(wǎng)絡的核心交換機，同時必須虛擬化能力，采用雙核心設計，把雙核

8、心虛擬成一臺具有高性能、高可靠、高安全的虛擬交換機；核心交換機通過萬兆單光纜連接到保障中心、集控大廳、周轉宿舍、多功能綜合樓的匯聚機房，根據(jù)信息點位設計一臺萬兆匯聚交換機，通過千兆單模對本樓層的接入交換機提供接入，樓層設計多臺千兆接入交換機對本棟大樓信息點提供千兆桌面接入。網(wǎng)絡管理系統(tǒng)基于網(wǎng)絡中所涉及的設備較多，需要對設備進行狀態(tài)檢測、設備配置、策略設置等，在網(wǎng)絡發(fā)生故障時能夠及時發(fā)現(xiàn)問題，這需要一套功能強大的網(wǎng)絡管理軟件。方案中選用智能網(wǎng)管軟件作為局域網(wǎng)管理平臺，能夠與方案中設計的網(wǎng)絡設備、安全設備、無線、監(jiān)控良好配合。無線覆蓋設計利用無線網(wǎng)絡技術進一步擴展網(wǎng)絡的覆蓋圍，提高網(wǎng)絡的用戶自適應

9、性，在無線的覆蓋圍實現(xiàn)數(shù)據(jù)業(yè)務和語音業(yè)務的無線傳輸，并且可實現(xiàn)三層漫游，使無線局域網(wǎng)和有線網(wǎng)成為一個整體，提供安全的無線接入。無線要求采用FIT AP組網(wǎng)方式，由無線控制器對集團所有的無線AP進行統(tǒng)一接入管理，AP供電采用POE遠程供電方式；對IP地址、DNS等網(wǎng)絡基礎資源的規(guī)劃*共有上千個網(wǎng)絡點及多個無線AP，其IP地址劃分按C 類協(xié)議劃分，可以考慮不同樓棟的不同部門上網(wǎng)采用不同的段。 對安全的考慮方案中對系統(tǒng)安全作如下考慮，在對外連接上采用高性能防火墻，提供充足的千兆端口和處理系能。對于集團上網(wǎng)的各種應用進行行為和流量控制，配置應用控制網(wǎng)關，對集團各種行為進行精細化管理和控制，對上網(wǎng)行為提

10、供事后行為審計能力。綜合布線綜合布線是本次網(wǎng)絡改造的重點，要求做點規(guī)、整潔、美觀、方便、耐用，樓棟之間采用室外光纜進行布放，光纜兩端采用光端盒，光端盒必須出可接跳線的耦合器，不能直接出尾纖。光纜必須走地下，不能從空中拉；室采用六類非屏蔽線纜，除了新教學樓，其它大樓均采用一個弱電機房，所有信息點的網(wǎng)線直接拉到大樓弱電機房，在機房采用配線架集中整合。線纜布放必須采用橋架方式進行布放；*公司網(wǎng)絡建設的總體目標是建立一個開放的、基于標準的數(shù)字化園區(qū)系統(tǒng)平臺，利用企業(yè)信息交換、資源共享、遠程會議等現(xiàn)代化辦公手段，面向員工及用戶提供個性化、人性化的服務。并可支持未來數(shù)據(jù)、語音和視頻等多業(yè)務在現(xiàn)有網(wǎng)絡技術平

11、臺的融合。計算機網(wǎng)絡系統(tǒng)是整個*公司信息管理系統(tǒng)的基礎平臺與設施，為保證信息管理系統(tǒng)應用系統(tǒng)的高效、安全、可靠，必須在整個網(wǎng)絡系統(tǒng)建設方案設計中按照國家和行業(yè)標準，達到一定的設計、建設原則和目標。建設一個支持數(shù)字化、網(wǎng)絡化、自動化的國先進的基礎網(wǎng)絡平臺，滿足數(shù)字化企業(yè)建設的需要，也滿足企業(yè)信息化建設的長期要求。網(wǎng)絡平臺具有良好的服務質量、較高安全性、便于管理和維護，能夠支持企業(yè)的各種辦公和科研應用，也支持移動辦公、信息發(fā)布。設計原則在*公司網(wǎng)絡建設項目中，為節(jié)省用戶投資，保證業(yè)務的正常、優(yōu)質開展，整個網(wǎng)絡系統(tǒng)必須總體規(guī)劃，統(tǒng)一標準。為達到*公司網(wǎng)絡建設的目標要求，在網(wǎng)絡設計構建中，應堅持以下建

12、網(wǎng)原則：需求驅動原則：以實際應用需求為依據(jù)，選擇技術和設備。根據(jù)企業(yè)信息化建設的實際需求，考慮遠程辦公與合作，特別是數(shù)據(jù)信息傳輸與數(shù)字視頻業(yè)務的需要，要充分考慮網(wǎng)絡系統(tǒng)的服務質量和可靠性。根據(jù)現(xiàn)在的需求和可以預見的需求增長情況設計網(wǎng)絡，不追求空洞的技術先進性，避免追求高檔和最新技術花費的巨大代價。先進性原則：企業(yè)信息化需要最新技術的支撐，特別是網(wǎng)絡技術和多媒體計算機技術，必須采用先進成熟的技術，并兼顧未來發(fā)展趨勢。本方案所選擇H3C公司設備在技術上具有很強的先進性，其性能、技術體系可保證企業(yè)5-8年的發(fā)展需要，有力的保護了企業(yè)投資。投資保護原則：由于企業(yè)已在網(wǎng)絡應用方面做了大量的投入進行信息化

13、建設，企業(yè)信息化在各部門或不同的應用上對網(wǎng)絡的需求不盡相同，原有的很多工作已經(jīng)證明是有效的，這部分軟硬件可以繼續(xù)發(fā)揮作用，從而保護原有投資，節(jié)省建設經(jīng)費。標準化原則：從機房建設、綜合布線工程規(guī)、到網(wǎng)絡技術標準和網(wǎng)絡協(xié)議，都有相應的國際標準和國家標準，所有設計與建設要遵循該原則，從而可以實現(xiàn)標準化管理，延長整體項目的生命周期，做到投資保護。安全性原則：企業(yè)信息化工作的特殊性，對網(wǎng)絡與信息安全提出了很高的要求。由于安全性的要求與投入成正比，并且涉及管理與應用的方方面面，是一個復雜的系統(tǒng)工程，實際上沒有一個絕對安全的系統(tǒng)，安全只是相對而言，所以該原則是充分評估安全風險，制定安全策略，采取必要的安全措

14、施。是防止非法訪問者通過互聯(lián)網(wǎng)絡對網(wǎng)絡節(jié)點進行攻擊的能力。從網(wǎng)絡設備來講，防止外部攻擊主要靠路由器實現(xiàn)，華為路由器在這方面具有獨到的優(yōu)勢。華為3產(chǎn)品的全部軟件及硬件均為公司自行開發(fā)研制，具有完全的知識產(chǎn)權。工程原則：網(wǎng)絡系統(tǒng)建設涉及機房與網(wǎng)絡配線間環(huán)境、通信管道與通信線纜、樓綜合布線系統(tǒng)、電源及其防護、網(wǎng)絡交換機與路由器、服務器設備以及相關的軟硬件系統(tǒng)，在設計建設時要體現(xiàn)工程原則，做到有工程規(guī)劃、項目有設計、實施有控制等，實現(xiàn)整個系統(tǒng)的可管理、可維護、可擴展和可升級。健壯性及開放性：它應具有很好的收斂性和可擴展性，同時其網(wǎng)絡額外開銷是極小的，且受到國際標準的支持，保證不同設備見的互通性。可擴展

15、性：考慮到今后信息化的進程和逐步演進，網(wǎng)絡要建設成完整統(tǒng)一、組網(wǎng)靈活、易擴充的彈性網(wǎng)絡平臺，能夠隨著需求變化，充分留有擴充余地。經(jīng)濟性：應該充分的利用現(xiàn)有的網(wǎng)絡資源，充分考慮經(jīng)濟和安全的最佳結合點。設備在保障性能和可靠安全的基礎上，應能達到最佳性價比。網(wǎng)絡整體方案設計總體網(wǎng)絡設計描述從應用結構上來講，*公司網(wǎng)絡系統(tǒng)可分為三個大的層次：互聯(lián)支撐網(wǎng)絡安全保障系統(tǒng)網(wǎng)絡業(yè)務應用互聯(lián)支撐層是*公司管理網(wǎng)的基礎，由*公司管理中心統(tǒng)一規(guī)劃、構建及管理，支撐層利用寬帶IP技術，保證網(wǎng)絡的互聯(lián)互通性，提供具有一定QoS的帶寬保證，并提供各部門、系統(tǒng)網(wǎng)絡間的一定隔離，保證互訪的安全控制；安全保障系統(tǒng)是指通過認證、

16、加密、授權、綁定控制等技術對*公司管理網(wǎng)上的用戶訪問及數(shù)據(jù)實施安全保障的監(jiān)控系統(tǒng)，他與互聯(lián)支撐層相對獨立，由管理中心與各部門單位共同規(guī)劃，分布構建，如數(shù)據(jù)加密等措施建議在用戶網(wǎng)絡處(各部門)實施；業(yè)務應用層就是在安全互聯(lián)的基礎上實施*公司管理網(wǎng)的各種應用，由管理中心與各系統(tǒng)單位統(tǒng)一規(guī)劃，分別實施。在本方案中，各個網(wǎng)絡系統(tǒng)均采用星型結構，星型結構特點是結構簡單，時延固定，便于管理和故障排除，接入層單點故障不會影響整個網(wǎng)絡，提高網(wǎng)絡的可靠性。網(wǎng)絡結構設計網(wǎng)絡的拓撲結構很大程度上決定了網(wǎng)絡的性能，常見的網(wǎng)絡拓撲結構主要有星型結構、網(wǎng)狀結構、環(huán)形結構等幾種，根據(jù)*集團園區(qū)網(wǎng)的特點，結合性能和經(jīng)濟方面的

17、考慮，推薦采用星型結構搭建園區(qū)網(wǎng)。根據(jù)功能區(qū)的不同劃分為以下3層，核心層、匯聚層、接入層：名稱功能備注核心設備核心層為網(wǎng)絡提供骨干組件或高速交換組件，高效速度傳輸是核心層的目標核心交換機采用基于CLOS多級交換架構的交換機S10500，控制和轉發(fā)物理分離，真正保證大數(shù)據(jù)量的無阻塞轉發(fā)，同時支持多業(yè)務安全插卡，保證整個網(wǎng)絡的數(shù)據(jù)傳輸安全匯聚設備匯聚層是核心層和終端用戶接入層的分界面， 匯聚交換選擇S5800萬兆交換機，提供24個千兆光口，4個萬兆光接口，對上通過萬兆單模連接到兩臺核心，向下采用多模千兆接入樓層接入交換機，匯聚層完成網(wǎng)絡訪問的策略控制、廣播域的定義、VLAN間的路由、數(shù)據(jù)包處理、過

18、濾尋址及其他數(shù)據(jù)處理的任務。接入設備接入層向本地網(wǎng)段提供用戶接入。接入交換機采用S5110千兆交換機，通過千兆多模接到匯聚交換機，通過六類網(wǎng)線提供用戶千兆接入，主要提供網(wǎng)絡分段、廣播能力、多播能力、介質訪問的安全性、MAC地址的過濾和路由發(fā)現(xiàn)等任務網(wǎng)絡拓撲圖網(wǎng)絡拓撲圖（網(wǎng)）網(wǎng)絡拓撲圖（外網(wǎng)）網(wǎng)絡拓撲圖（智能網(wǎng)）組網(wǎng)描述根據(jù)本期工程的需求和建設目標，整個園區(qū)網(wǎng)絡分為三網(wǎng)絡：網(wǎng)、外網(wǎng)、智能網(wǎng)，三網(wǎng)絡的邏輯結構及設備選型類似，要求三網(wǎng)絡物理隔離，獨立組網(wǎng)；網(wǎng)絡結構設計上采用三層架構，核心交換機、匯聚交換機、接入交換機，樓間采用萬兆單模連接，大樓的匯聚和接入通過千兆單模光纖連接，千兆到桌面，同時實現(xiàn)園

19、區(qū)部分場所的無線無縫覆蓋，為園區(qū)提供高速、穩(wěn)定、方便的無線接入平臺，保證園區(qū)各種應用能夠隨時隨地的開展。網(wǎng)絡出口設計三網(wǎng)絡（網(wǎng)、外網(wǎng)、智能網(wǎng)）的出口分別通過核心交換機接到集團原有相應網(wǎng)絡上， 在核心交換機上部署安全插卡（防火墻、入侵防御系統(tǒng)），有效阻止來自網(wǎng)絡中的各種安全威脅，如黑客、木馬、病毒、網(wǎng)頁篡改等；在外網(wǎng)考慮兩個出口，一個出口為集團外網(wǎng)接入，另外考慮單獨的互聯(lián)網(wǎng)出口，在互聯(lián)網(wǎng)出口部署一臺高性能出口路由器SR6602-*1，提供15M的包轉發(fā)能力，4個千兆光口，4個千兆電口，2個萬兆接口，4個業(yè)務擴展槽位，出口路由器要做NAT轉換，SR6602具備400萬的并發(fā)連接數(shù)，完全滿足園區(qū)用戶

20、的上網(wǎng)需要，園區(qū)部全部采用私有地址，通過NAT后訪問互聯(lián)網(wǎng)，可以很好解決公網(wǎng)地址不足的問題。核心層設計隨著園區(qū)網(wǎng)信息化的完善，園區(qū)的應用越來越多，上網(wǎng)的人也越來越多，業(yè)務也遍布辦公、娛樂、生活各個領域， 接入方式不局限于有線，有高帶寬的無線接入，所以園區(qū)核心交換機需要同時承載多種業(yè)務，所有業(yè)務都要經(jīng)過核心交換機處理，建議核心交換機必須滿足大容量、高性能、高可靠、高安全及網(wǎng)絡擴展的要求，本次三網(wǎng)絡（網(wǎng)、外網(wǎng)、智能網(wǎng)）核心層均采用雙核心設計，核心交換機采用H3C多級交換架構（CLOS）數(shù)據(jù)中心級交換機S10508-V，兩臺核心通過虛擬化技術IRF2虛擬成一臺設備邏輯設備，H3C S10500是中國

21、國第一款100G平臺交換機，支持未來40GE和100GE以太網(wǎng)標準，采用先進的CLOS多級多平面交換架構，獨立的交換網(wǎng)板卡，控制引擎和交換網(wǎng)板硬件相互獨立，最大程度的提高設備可靠性，同時為后續(xù)產(chǎn)品帶寬的持續(xù)升級提供保證；為了滿足數(shù)據(jù)中心級網(wǎng)絡高可靠、高可用、虛擬化的要求，S10500采用創(chuàng)新IRF2（第二代智能彈性架構）設計，將多臺高端設備虛擬化為一臺邏輯設備，簡化路由協(xié)議運行狀態(tài)與運維管理，同時大大縮短設備及鏈路出現(xiàn)故障快速切換，避免網(wǎng)絡震蕩。IRF2互聯(lián)鏈路采用2*10GE捆綁，保證高可靠及橫向互訪高帶寬。在每臺核心交換機S10508配置配置1個控制引擎、3個電源、2個獨立的交換引擎、32

22、個萬兆光口（含4個萬兆單模光模塊，2個萬兆多模光模塊），用于連接樓棟匯聚（保障中心、集控大廳、周轉宿舍、多功能綜合樓），配置48個千兆電接口，便于集團服務器、工作站接入；核心節(jié)點到樓層交換機和各大樓匯聚交換機之間通過10GE鏈路連接，核心設備支持虛擬化，兩臺核心可虛擬為一臺路由設備，為接入的用戶提供缺省網(wǎng)關的冗余，便于后期雙核心擴展。IRF2虛擬化技術核心組網(wǎng)可靠性：實現(xiàn)兩臺核心交換機S10508-V虛擬成一臺邏輯設備，通過跨設備鏈路捆綁實現(xiàn)核心和接入的點對點互聯(lián)，消除二層網(wǎng)絡的環(huán)路，這樣就直接避免了在網(wǎng)絡中部暑STP，同時對于核心的兩臺設備虛擬化為一臺邏輯設備之后，網(wǎng)關也將變成一個，無需部署

23、傳統(tǒng)的VRRP協(xié)議。 在管理層面，通IRF2多虛一之后，管理的設備數(shù)量減少一半以上，對于本項目，管理點只有核心和接入兩臺設備，網(wǎng)絡管理大幅度簡化。如下圖所示： 多級交換（CLOS）架構核心硬件可靠性： 1、轉發(fā)任務分擔到多塊交換網(wǎng)板，轉發(fā)效率急速提升，性能大幅提高 2、主控轉發(fā)物理分離，引擎壓力驟減，交換網(wǎng)板相互備份，可靠性更高 3、交換網(wǎng)板可熱插拔升級，可擴展性能，滿足長遠需求保障核心節(jié)點的高可靠性。數(shù)據(jù)大集中后整個系統(tǒng)將承載多個業(yè)務系統(tǒng)，不同的業(yè)務對網(wǎng)絡的帶寬、時延等要求也不同，這就要求核心交換設備業(yè)務與性能并重；核心交換機必須采用功能強大的ASIC芯片實現(xiàn)業(yè)務的分布式線速處理，從而在為用

24、戶提供有保障的業(yè)務特性的同時保障數(shù)據(jù)報文的線速轉發(fā)。匯聚層設計由于*園區(qū)各大樓的信息點位較多，各樓層均考慮了接入交換機，所以在三網(wǎng)絡（網(wǎng)、外網(wǎng)、智能網(wǎng)）各大樓出口處設計一臺高性能匯聚交換機S5800-32F：LS-5800-32F-H3 S5800-32F匯聚交換機主要完成各大樓樓層交換機的匯聚，提供360Gbps數(shù)據(jù)交換能力，具備156Mpps的數(shù)據(jù)包轉發(fā)能力，天然支持全線速分布式轉發(fā)，提供24個千兆接口， 4個萬兆接口，配置2個單模萬兆上聯(lián)至兩臺核心交換機S10508-V，提供1個業(yè)務插槽，便于后期接口擴展，接入交換機通過千兆多模連接到匯聚交換機，保證接入交換機的上行帶寬，同時在匯聚層交換

25、機支持流量采集功能，可對對整網(wǎng)的全網(wǎng)流量進行分析。 根據(jù)業(yè)務需要，S5800-32F可擴展16端口光接口板，16端口電接口板，4端口萬兆接口板，無線控制器插卡（可支持128個AP的接入控制能力），滿足未來業(yè)務擴展的要求。接入層設計*園區(qū)各大樓樓層的信息點比較多，各樓層單獨考慮接入交換機，接入交換機通過千兆單模接到大樓的匯聚交換機，通過六類網(wǎng)線提供本樓層的千兆接入，通過對*園區(qū)接入需求分析，建議選用H3C的千兆接入交換機LS-S5110-28P：LS-S5110-28P POE交換機 提供256G的交換容量，40Mbps的包轉發(fā)能力，提供24個10/100/1000Base-T以太網(wǎng)端口和4個復

26、用的1000Base-* SFP千兆以太網(wǎng)端口，實現(xiàn)千兆到桌面設計，千兆以太網(wǎng)逐漸延伸到桌面已經(jīng)成為最迫切的需要之一，隨著園區(qū)多媒體應用的增加，應用在消耗大量帶寬的同時，也在追求終端用戶的滿意度，基于銅纜的千兆以太網(wǎng)可以將更多的應用從低速鏈路中解放出來，并且為罷工人員工作創(chuàng)新提供了一個嶄新高效能工作平臺。用戶認證：*園區(qū)無線用戶包括兩部分，部辦公人員和外來辦事人員，本次三網(wǎng)絡各配置一套EIA終端智能接入：針對部用戶，采用MAC地址認證，職工采用分配固定，并可實現(xiàn)終端MAC地址和IP地址等多元素的綁定，防止非法用戶的訪問部網(wǎng)絡。針對訪客，系統(tǒng)提供臨時接入賬號的訪客管理功能，訪客管理員可創(chuàng)建來賓賬

27、號，或訪客通過自助系統(tǒng)登記相關信息，并申請訪客接入網(wǎng)絡服務。通過后臺管理批準的訪客賬號，并以短信方式通知訪客和密碼，之后可訪問部網(wǎng)絡，該賬號將在超過保留時長后失效。當用戶接入網(wǎng)絡后，可強化對用戶接入的管理：基于用戶的權限控制策略，可以為不同用戶定制不同網(wǎng)絡訪問權限。可以控制用戶的上網(wǎng)帶寬（QoS）、限制用戶同時在線數(shù)、禁止用戶設置和使用代理服務器，有效防止個別用戶對網(wǎng)絡資源的過度占用。支持最大閑置時長限制?？梢詫崿F(xiàn)對用戶ACL、VLAN 的控制，限制用戶對部敏感服務器和外部非法的訪問?？梢韵拗朴脩鬒P 地址分配策略，防止IP 地址盜用和沖突。監(jiān)控用戶認證成功后的IP 地址，若有變更則強制要求下

28、線?？梢韵拗朴脩舻慕尤霑r段和接入?yún)^(qū)域，用戶只能在允許的時間和地點上網(wǎng)?？梢韵拗平K端用戶使用多網(wǎng)卡和撥號網(wǎng)絡，禁止修改終端MAC 地址，防止部信息泄露?？梢韵拗朴脩舯仨毷褂脤Ｓ冒踩蛻舳耍娭谱詣由?，防止安全客戶端被破解，確保認證客戶端的安全性。接入用戶網(wǎng)關配置，提供接入用戶網(wǎng)關IP、MAC 地址配置信息。 本次在*集團三網(wǎng)絡（網(wǎng)、外網(wǎng)、智能網(wǎng)）各配置一套H3C用戶接入管理EIA，并配置1000用戶的并發(fā)認證許可，實現(xiàn)對本網(wǎng)絡的用戶進行接入認證和控制。網(wǎng)絡管理系統(tǒng)：集團的網(wǎng)絡設備和用戶越來越多，有一套智能管理軟件，可以大大簡化網(wǎng)絡管理人員的工作量，同時可以提供網(wǎng)絡管理的工作效率，網(wǎng)絡管理軟件

29、必須具備網(wǎng)絡拓撲、網(wǎng)絡性能、網(wǎng)絡配置、網(wǎng)絡安全、網(wǎng)絡告警、網(wǎng)絡業(yè)務的統(tǒng)一管理，同時在其上可以配置有多種業(yè)務管理組件，如本次推薦配置有線無線一體化管理組件，方便管理大規(guī)模的無線管理網(wǎng)絡；智能配置中心，可以方便的管理上百臺設備的軟件、配置變更、收集軟件版本、配置的基線庫，為多臺設備統(tǒng)一批量配置和升級，大大節(jié)省管理員的工作量。 本次在*集團三網(wǎng)絡（網(wǎng)、外網(wǎng)、智能網(wǎng)）各配置一套H3C智能管理中心IMC，并配置50個節(jié)點的管理，實現(xiàn)對本網(wǎng)絡的設備進行智能管理。安全設計安全設計要點安全是一個系統(tǒng)工程，為了合理的解決網(wǎng)絡安全問題，必須充分分析網(wǎng)絡邏輯組成，網(wǎng)絡中不同部分的功能不同，所關注的安全問題也不同。所

30、謂安全威脅，就是未經(jīng)授權，對位于服務器、網(wǎng)絡和桌面的數(shù)據(jù)和資源進行訪問，甚至破壞或者篡改這些數(shù)據(jù)/資源。從安全威脅的對象來看，可以分為網(wǎng)絡傳送過程、網(wǎng)絡服務過程和軟件應用過程三類。網(wǎng)絡傳送過程主要針對數(shù)據(jù)鏈路層和網(wǎng)絡層協(xié)議特征中存在的漏洞進行攻擊，如常見的監(jiān)聽、IP地址欺騙、路由協(xié)議攻擊、ICMP Smurf攻擊等；網(wǎng)絡服務過程主要針對TCP/UDP以及居于其上的應用層協(xié)議進行，如常見的UDP/TCP欺騙、TCP流量劫持、TCP DoS、FTP反彈、DNS欺騙等等；軟件應用過程則針對位于服務器/主機上的操作系統(tǒng)以及其上的應用程序，甚至是基于Web的軟件系統(tǒng)發(fā)起攻擊。從安全威脅的手法來看，蠕蟲、

31、拒絕服務、監(jiān)聽、木馬、病毒都是常見的攻擊工具。對關鍵的主機系統(tǒng)和子網(wǎng)，能夠進行網(wǎng)絡資源檢查，并及時發(fā)現(xiàn)問題。使用安全掃描軟件，對關鍵的主機系統(tǒng)和網(wǎng)絡定期進行掃描，可以檢查出網(wǎng)絡弱點和策略配置上的問題。根據(jù)掃描軟件發(fā)現(xiàn)的問題，及時更新操作系統(tǒng)補丁，查殺病毒，更新安全策略。定期強制更新用戶口令，并制定用戶口令規(guī)則，禁止使用不符合規(guī)則的口令。定期檢查文件系統(tǒng)的訪問權限是否合理，檢查用戶的使用是否正常。網(wǎng)絡邊界安全防護在傳統(tǒng)的數(shù)據(jù)中心網(wǎng)絡安全部署時，往往是網(wǎng)絡與安全各自為戰(zhàn)，在網(wǎng)絡邊界或關鍵節(jié)點串接安全設備(如FW、IPS、LB等)。隨著數(shù)據(jù)中心部署的安全設備的種類和數(shù)量也越來越多，這將導致數(shù)據(jù)中心機

32、房布線、空間、能耗、運維管理等成本越來越高。傳統(tǒng)部署方式 H3C插卡部署方式本次方案中采用了H3C SecBlade安全插卡可直接插在核心交換機S10508-V的業(yè)務槽位，通過交換機背板互連實現(xiàn)流量轉發(fā)，共用交換機電源、風扇等基礎部件。融合部署除了簡化機房布線、節(jié)省機架空間、簡化管理之外，還具備以下優(yōu)點：互連帶寬高。SecBlade系列安全插卡采用背板總線與交換機進行互連，背板總線帶寬一般可超過40Gbps，相比傳統(tǒng)的獨立安全設備采用普通千兆以太網(wǎng)接口進行互連，在互連帶寬上有了很大的提升，而且無需增加布線、光纖和光模塊成本。業(yè)務接口靈活。SecBlade系列安全插卡上不對外提供業(yè)務接口（僅提供

33、配置管理接口），當交換機上插有SecBlade安全插卡時，交換機上原有的所有業(yè)務接口均可配置為安全業(yè)務接口。此時再也無需擔心安全業(yè)務接口不夠而帶來網(wǎng)絡安全部署的局限性。性能平滑擴展。當一臺交換機上的一塊SecBlade安全插卡的性能不夠時，可以再插入一塊或多塊SecBlade插卡實現(xiàn)性能的平滑疊加。而且所有SecBlade插卡均支持熱插拔，在進行擴展時無需停機中斷現(xiàn)有的業(yè)務。本次*集團園區(qū)項目設計在三網(wǎng)的核心交換機S10508-V上部署多種安全插卡：防火墻（LSQM1FWBSC0）、入侵防御系統(tǒng)（LSQM1IPSSC0），實現(xiàn)網(wǎng)絡安全的一體化防護。數(shù)據(jù)中心出口安全具備訪問控制、區(qū)域隔離、狀態(tài)檢

34、測等2-4層安全功能，同時也具備對木馬、病毒、蠕蟲等應用層安全威脅進行檢查、阻斷、告警等4-7層安全防護功能，實現(xiàn)2-7層的立體安全防護功能。LSQM1FWBSC0防火墻插卡 LSQM1IPSSC0入侵防御系統(tǒng)插卡如部署防火墻插卡，防火墻插卡設備雖然部署在交換機框中，但仍然可以看作是一個獨立的設備。它通過交換機部的10GE接口與網(wǎng)絡設備相連，它可以部署為2層透明設備和三層路由設備。防火墻與交換機之間的三層部署方式與傳統(tǒng)盒式設備類似。 虛擬防火墻示意圖如上圖FW三層部署所示，防火墻可以與宿主交換機直接建立三層連接，也可以與上游或下游設備建立三層連接，不同連接方式取決于用戶的訪問策略?？梢酝ㄟ^靜態(tài)

35、路由和缺省路由實現(xiàn)三層互通，也可以通過OSPF這樣的路由協(xié)議提供動態(tài)的路由機制。如果防火墻部署在服務器區(qū)域，可以將防火墻設計為服務器網(wǎng)關設備，這樣所有訪問服務器的三層流量都將經(jīng)過防火墻設備，這種部署方式可以提供區(qū)域部服務器之間訪問的安全性。防火墻是網(wǎng)絡系統(tǒng)的核心基礎防護措施，它可以對整個網(wǎng)絡進行網(wǎng)絡區(qū)域分割，提供基于IP地址和TCP/IP服務端口等的訪問控制；對常見的網(wǎng)絡攻擊方式，如拒絕服務攻擊（ping of death, land, syn flooding, ping flooding, tear drop）、端口掃描（port scanning）、IP欺騙(ip spoofing)、I

36、P盜用等進行有效防護；并提供NAT地址轉換、流量限制、用戶認證、IP與MAC綁定等安全增強措施。對于云計算數(shù)據(jù)中心虛擬機服務網(wǎng)關的選擇上，建議根據(jù)不同用戶的安全需求進行區(qū)分對待，不建議將所有網(wǎng)關配置在FW上，以分散FW的壓力，滿足用戶的安全域隔離，具體設計如下：對于需要FW的業(yè)務的用戶，網(wǎng)關部署在vFW上；對于不需要FW的普通用戶，網(wǎng)關部署在核心交換機上。多用戶安全隔離示意圖無線網(wǎng)工程的總體原則如下：側重實際應用，覆蓋*園區(qū)各大樓所有區(qū)域，為教學、科研、辦公及學習、生活、交流提供切實可用的、穩(wěn)定的無線網(wǎng)絡環(huán)境。采取先進通行的協(xié)議標準，即目前無線局域網(wǎng)普遍采用802.11系列標準，無線局域網(wǎng)提供

37、802.11a、802.11b、802.11g、802.11n標準的聯(lián)網(wǎng)支持，提供可供實際應用的穩(wěn)定網(wǎng)絡通訊服務。實現(xiàn)室無線網(wǎng)絡的合理分布，考慮室實現(xiàn)無線網(wǎng)絡的不同情況和特點以及目前辦公人員及外來人員手提電腦/智能終端（手機、平板電腦）用戶數(shù)量日益增多的情況，應采取合理的布網(wǎng)方式滿足現(xiàn)在以及未來發(fā)展的需要。在辦公室、會議室采用室面板式AP部署或者吸頂AP。新建網(wǎng)絡需要實現(xiàn)與現(xiàn)有的無線網(wǎng)和有線網(wǎng)的網(wǎng)絡融合與統(tǒng)一管理。在實施無線覆蓋工程時，如無特別說明，以考慮信號覆蓋圍為主，單個AP的并發(fā)用戶數(shù)及每用戶無線上網(wǎng)帶寬也要作為工程的重要因素予以考慮。所有*集團園區(qū)各大樓部區(qū)域采用部署11n，使得*集團

38、園區(qū)的無線接入帶寬達到300M接入帶寬，同時考慮到用戶終端的多樣性，要求AP要向下兼容11a/b/g，主要吸頂安裝為主，兩種應用場景，第一種過道式部署，建議一個AP覆蓋6個左右的辦公室，過道安裝每隔15-20米左右安裝一個AP，對于第二種場景，1-5樓比較空曠的展區(qū)，建議每個15-20米安裝一個AP。無線系統(tǒng)須具備對無線AP進行統(tǒng)一控制、管理的軟硬件平臺，軟硬件控制、管理平臺所提供的網(wǎng)元License數(shù)量與實際網(wǎng)元數(shù)量相匹配并易于擴充運維系統(tǒng)須提供必要的網(wǎng)絡監(jiān)控、管理、統(tǒng)計、報表功能，提供足夠數(shù)量的License授權。無線網(wǎng)系統(tǒng)必須實現(xiàn)與有線網(wǎng)現(xiàn)有認證系統(tǒng)對接，從而實現(xiàn)*集團有線網(wǎng)與無線網(wǎng)的統(tǒng)

39、一身份認證。有線無線一體化設計*園區(qū)網(wǎng)絡部分樓棟功能區(qū)要考慮無線覆蓋，三網(wǎng)絡（網(wǎng)、外網(wǎng)、智能網(wǎng)）都有無線覆蓋要求，三網(wǎng)絡的無線部分分別設計，三無線網(wǎng)絡的邏輯結構和選型完全一致，每棟樓設計1臺24口POE千兆交換機，POE交換機上通過光纖接到大樓匯聚交換機，下連本樓層的無線AP，同時對AP進行POE供電，采用FIT AP解決方案，只需要在保障中心三樓機房放置1臺智能無線控制器(AC)，AC可支持熱備，便于后期雙控制器擴展，兩個無線控制器互為備份，在接入層部署11n 300M的智能無線接入點(AP)，即可完成整網(wǎng)的部署。無線控制器如果僅僅只采用AP本身進行無線覆蓋，即傳統(tǒng)的胖AP模式進行無線覆蓋，

40、采用這樣的部署方式去部署*園區(qū)的無線網(wǎng)絡有極大的缺點。其一、胖AP把所有的配置均配置到AP本身上，如此數(shù)量多的AP，使客戶的維護管理工作量大大增加。其二、胖AP無法統(tǒng)一管理控制，AP之間本身就不能無縫融合，則就會出現(xiàn)當你離開一個區(qū)域到另一個區(qū)域時必然出現(xiàn)不斷重新認證的問題。其三、AP與AP之間無聯(lián)系，無法實現(xiàn)智能的負載分擔和均衡。因此，決定采用統(tǒng)一的無線控制器對AP進行統(tǒng)一管理，AC+FIT AP（瘦AP）的組網(wǎng)方式。這樣可以大大減少維護管理工作量，能實現(xiàn)無縫漫游和負載分擔。此次*園區(qū)三網(wǎng)絡（網(wǎng)、外網(wǎng)、智能網(wǎng)）分別設計一臺無線控制器W*5510E，提供8個千兆b口，和2個萬兆接口，整機支持51

41、2個AP接入能力，本次每臺配置128個AP接入授權。EWP-W*5510E無線控制器W*5510E采用下列部署方式：集中式控制，在*園區(qū)保障中心三樓核心機房三網(wǎng)絡部署各1臺無線控制器，集中對*園區(qū)各網(wǎng)絡AP進行接入控制。無線控制器支持N+1熱備，不存在單點故障，AP分批實施時AC可按需擴容，部署方案靈活；多業(yè)務無線控制器W*5510E集精細的用戶控制管理、完善的管理及安全機制、快速漫游、超強的QoS及IPv4&IPv6等多功能于一體，提供強大的WLAN接入控制功能。用戶管理、加密、漫游、AP管理等功能全部集中到無線控制器上進行，減輕了AP負擔，在規(guī)模越大的網(wǎng)絡上管理越簡單，同時無線控制器會自動

42、調節(jié)AP的工作信道以及發(fā)射功率。這樣可以簡化整個網(wǎng)絡AP的管理，提高設備的工作效率。無線AP由于無線WLAN采用沖突避免的載波偵聽多路訪問機制當用戶數(shù)量多大，用戶接入速度就會受到影響。一般建議每AP按照2530戶規(guī)劃為最佳，如果使用雙頻AP，則每個頻段能規(guī)劃2530個用戶。在覆蓋圍上：一般來說，AP在室普通環(huán)境下覆蓋30米。在接入速率上：采用11N 300M的AP，大大超過了傳統(tǒng)的無線AP接入速率，能夠很好的保證網(wǎng)絡數(shù)據(jù)的高速傳輸。針對園區(qū)各功能區(qū)域的無線場景，建議吸頂放裝型APEWP-WA2620i-AGN-FIT和面板AP EWP-WA2610H-GN-FIT。正對會議室、過道、咖啡廳等采

43、用放裝型AP，對于辦公室、接待中心采用面板型AP。 放裝AWA2620 面板AP WA2610H-GN吸頂放裝示意圖AP置終端智能感知型天線，直接吸頂安裝于天花板即可，無需外接天線。面板AP安裝示意圖5步！安裝一個AP只需35分鐘。WA2610H-GN采用國際標準的插座安裝方法進行設計，和其他開關面板一樣，更換一個面板式AP只需要簡單的5個步驟，總耗時不超過5分鐘，可以極大的加快客戶部署無線網(wǎng)絡的速度。WA2610H-GN之5步安裝方法POE供電接入交換機采用支持POE供電的交換機，可提供最大24口POE供電，POE接入交換機通過光纖與各自樓棟匯聚交換機互聯(lián)。本次選用H3C LS-S5110-

44、28P-PWR作為AP的數(shù)據(jù)接入和遠程供電設備，LS-S5110-28P-PWR提供24個10/100/1000Base-T以太網(wǎng)端口，4個1000Base-*以太網(wǎng)端口，提供370W POE輸出能力，滿足24個千兆電口同時POE供電。LS-S5110-28P-PWR POE交換機PoE交換機在無線部署工程中具有非常明顯的優(yōu)勢，具體如下：簡化安裝，降低成本，不需為每個網(wǎng)絡設備單獨提供數(shù)據(jù)和電力線纜。靈活性提高，網(wǎng)絡裝置可被安裝在任何位置，而不需靠近一個已存在的電源輸出口?？煽啃栽鰪姡蠸NMP能力的PoE裝置，可實施遠程檢測和控制，能有效地處理或修理裝置的耗電量和（或）失效故障。交換機通過以太

45、網(wǎng)線來匯聚AP的流量，同時為AP提供電源，這樣可以簡化布線，部署美觀，同時減少故障點，提高網(wǎng)絡的可靠性。根據(jù)*園區(qū)實際情況，在每棟樓部署相應的POE交換機對AP進行POE供電。無線網(wǎng)管運維為了對*園區(qū)網(wǎng)的無線網(wǎng)絡、有線網(wǎng)絡等設備進行統(tǒng)一有效的管理，能夠實時監(jiān)控網(wǎng)絡設備的運行狀況，網(wǎng)絡拓撲結構的變化等網(wǎng)絡問題，所有在本次的*集團園區(qū)無線網(wǎng)絡建設中擬配置智能網(wǎng)絡管理系統(tǒng)，該智能管理系統(tǒng)平臺實現(xiàn)網(wǎng)絡資源、用戶和業(yè)務的融合管理，提供基本的網(wǎng)絡資源管理、拓撲管理、故障管理、性能管理、用戶管理及系統(tǒng)安全管理，更科學合理的規(guī)劃和管理網(wǎng)絡，實現(xiàn)對包括交換機、無線AP，無線控制器的統(tǒng)一管理。針對無線運維管理，本

46、次配置三網(wǎng)各配置一套H3C WSM無線運維管理，實現(xiàn)整個園區(qū)無線網(wǎng)絡的統(tǒng)一管理，對于網(wǎng)絡中的AC、FAT AP、FIT AP、移動終端、POE交換機等無線設備與有線設備進行一體化集中管理，全網(wǎng)設備信息和狀態(tài)一目了然。網(wǎng)絡資源通過多種視圖進行查看，視圖分組管理，將規(guī)模巨大的無線接入設備有效組織，便于管理員維護。無線用戶認證*園區(qū)無線用戶包括兩部分，部辦公人員和外來辦事人員，本次三網(wǎng)絡各配置一套EIA終端智能接入：針對部用戶，采用MAC地址認證，職工采用分配固定，并可實現(xiàn)終端MAC地址和IP地址等多元素的綁定，防止非法用戶的訪問部網(wǎng)絡。針對訪客，系統(tǒng)提供臨時接入賬號的訪客管理功能，訪客管理員可創(chuàng)建來賓賬號，或訪客通過自助系統(tǒng)登記相關信息，并申請訪客接入網(wǎng)絡服務。通過后臺管理批準的訪客賬號，并以短信方式通知訪客和密碼，之后可訪問部網(wǎng)絡，該賬號將在超過保留時長后失效。當用戶接入網(wǎng)絡后，可強化對用戶接入的管理：基于用戶的權限控制策略，可以為不同用戶定制不同網(wǎng)絡訪問權限?？梢钥刂朴脩舻纳暇W(wǎng)帶寬（QoS）、