智慧校園無線網(wǎng)絡(luò)平臺方案建議書

1、 智慧校園無線網(wǎng)絡(luò)平臺方案建議書目 錄 TOC o 1-3 h z u HYPERLINK l _Toc3323183 1.網(wǎng)絡(luò)設(shè)計(jì)描述 PAGEREF _Toc3323183 h 3 HYPERLINK l _Toc3323184 2.總體方案設(shè)計(jì)描述 PAGEREF _Toc3323184 h 4 HYPERLINK l _Toc3323185 2.1網(wǎng)絡(luò)安全 PAGEREF _Toc3323185 h 4 HYPERLINK l _Toc3323186 2.1.1 核心層網(wǎng)絡(luò)安全 PAGEREF _Toc3323186 h 4 HYPERLINK l _Toc3323187 2.1.2

2、接入層網(wǎng)絡(luò)安全 PAGEREF _Toc3323187 h 5 HYPERLINK l _Toc3323188 2.2核心層設(shè)計(jì) PAGEREF _Toc3323188 h 6 HYPERLINK l _Toc3323189 2.3匯聚層設(shè)計(jì) PAGEREF _Toc3323189 h 6 HYPERLINK l _Toc3323190 2.4接入層設(shè)計(jì) PAGEREF _Toc3323190 h 6 HYPERLINK l _Toc3323191 2.5 無線認(rèn)證設(shè)計(jì) PAGEREF _Toc3323191 h 7 HYPERLINK l _Toc3323192 2.5 統(tǒng)一管理設(shè)計(jì) PAG

3、EREF _Toc3323192 h 8 HYPERLINK l _Toc3323193 3.無線網(wǎng)絡(luò)設(shè)計(jì) PAGEREF _Toc3323193 h 8 HYPERLINK l _Toc3323194 3.1無線網(wǎng)絡(luò)覆蓋設(shè)計(jì) PAGEREF _Toc3323194 h 8 HYPERLINK l _Toc3323195 4.4.2漫游切換支持方案 PAGEREF _Toc3323195 h 9 HYPERLINK l _Toc3323196 4.4.3業(yè)務(wù)QOS支持方案 PAGEREF _Toc3323196 h 9 HYPERLINK l _Toc3323197 4.4.4智能射頻管理方案

4、 PAGEREF _Toc3323197 h 10 HYPERLINK l _Toc3323198 4.4.5智能負(fù)載均衡方案 PAGEREF _Toc3323198 h 10 HYPERLINK l _Toc3323199 4.4.6IPV6支持方案 PAGEREF _Toc3323199 h 11 HYPERLINK l _Toc3323200 4. 網(wǎng)絡(luò)部署設(shè)計(jì) PAGEREF _Toc3323200 h 12 HYPERLINK l _Toc3323201 1.1 IP地址規(guī)劃 PAGEREF _Toc3323201 h 12 HYPERLINK l _Toc3323202 1.2 V

5、LAN設(shè)計(jì) PAGEREF _Toc3323202 h 13 HYPERLINK l _Toc3323203 1.3 QoS部署 PAGEREF _Toc3323203 h 14 HYPERLINK l _Toc3323204 5.本次設(shè)計(jì)所用部分產(chǎn)品介紹 PAGEREF _Toc3323204 h 17 HYPERLINK l _Toc3323205 5.5.1防火墻插卡介紹 PAGEREF _Toc3323205 h 17 HYPERLINK l _Toc3323206 5.5.2核心交換機(jī)介紹 PAGEREF _Toc3323206 h 19 HYPERLINK l _Toc332320

6、7 5.5.3匯聚交換機(jī)介紹 PAGEREF _Toc3323207 h 22 HYPERLINK l _Toc3323208 5.5.4無線控制器介紹 PAGEREF _Toc3323208 h 25 HYPERLINK l _Toc3323209 5.5.5室內(nèi)AP介紹 PAGEREF _Toc3323209 h 31 HYPERLINK l _Toc3323210 5.5.6一體化管理平臺介紹 PAGEREF _Toc3323210 h 341.網(wǎng)絡(luò)設(shè)計(jì)描述本次中學(xué)無線校園網(wǎng)整體方案拓?fù)淙缦拢焊鶕?jù)目前第三中學(xué)的網(wǎng)絡(luò)狀況，對原有網(wǎng)絡(luò)改造升級，增加無線校園網(wǎng)，有線網(wǎng)絡(luò)采用接入、核心兩層組網(wǎng)結(jié)

7、構(gòu)，兩層扁平化體系結(jié)構(gòu)是相對業(yè)務(wù)標(biāo)準(zhǔn)的三層網(wǎng)絡(luò)體系結(jié)構(gòu)而言，去掉中間的匯聚層只保留核心層與接入層兩個層次來進(jìn)行網(wǎng)絡(luò)體系構(gòu)建。扁平化體系結(jié)構(gòu)具有多、快、好、省的優(yōu)點(diǎn)，“多”是指可以接入較多用戶、提供多種業(yè)務(wù)的特點(diǎn)，“快”是指由于去掉了匯聚層從而網(wǎng)絡(luò)建設(shè)與業(yè)務(wù)部署更快速，“好”是指網(wǎng)絡(luò)層次簡單明了，便于管理和維護(hù)，今后在網(wǎng)絡(luò)規(guī)模擴(kuò)大時直接把現(xiàn)有的核心層下移或者在兩層體系中間插入?yún)R聚層就可以實(shí)現(xiàn)網(wǎng)絡(luò)的平滑擴(kuò)容，同時由于網(wǎng)絡(luò)層次的簡單，網(wǎng)絡(luò)穩(wěn)定性增強(qiáng)，單點(diǎn)故障減少，能夠提供一個穩(wěn)定高效的局域網(wǎng)絡(luò)，“省”是指去掉匯聚層之后網(wǎng)絡(luò)投資得到明顯減少，既能夠滿足用戶業(yè)務(wù)需求，又減少了用戶的投資。第三中學(xué)核無線校

8、園網(wǎng)的部署，使原有的核心設(shè)備不再適合現(xiàn)有網(wǎng)絡(luò)的吞吐量，出現(xiàn)交換和吞吐的瓶頸，核心層設(shè)備是第三中學(xué)網(wǎng)絡(luò)的核心樞紐，應(yīng)該選擇高性能、高可靠、高擴(kuò)展性的核心路由以太網(wǎng)交換機(jī)，本次方案推薦核心采用1臺S7503E-S萬兆以太網(wǎng)交換機(jī)。S7503E-S 交換容量18Tbps，包轉(zhuǎn)發(fā)率4000Mpps，高性能的保障了局域網(wǎng)內(nèi)的高速數(shù)據(jù)交換。為了提高可靠性，核心交換機(jī)配置雙電源。核心交換機(jī)通過千兆光口捆綁連接各樓棟接入交換機(jī)；核心交換機(jī)與網(wǎng)管服務(wù)器接入交換機(jī)采用千兆光口捆綁互連，提高服務(wù)器的數(shù)據(jù)處理能力。S7503E-S共3個槽位，3個業(yè)務(wù)槽位，背板交換容量達(dá)到18Tbps；同時在S7503E-S系列交換機(jī)

9、支持各種業(yè)務(wù)的擴(kuò)展，可以支持防火墻插卡、應(yīng)用控制插卡、無線控制器板卡、IPS（入侵檢測防御系統(tǒng)）插卡、負(fù)載均衡插卡等，對于未來種業(yè)務(wù)的擴(kuò)展都非常方便。樓層部署全千兆接入交換機(jī)，在思源樓替換原有3臺百兆設(shè)備，為了節(jié)省光纖電纜，3臺E528做堆疊，即節(jié)省了光纖，又增加了設(shè)備的冗余性。雋雅樓原網(wǎng)的匯聚和接入交換機(jī)，都是使用光電轉(zhuǎn)換器連接，使整個傳輸速度在百兆以下，降低雋雅樓的寬帶，此次改造使用1臺5500-28F 24口的光口交換機(jī)和E552 48電口的交換機(jī)，使用全千兆口連接核心交換機(jī)，整個雋雅樓全千兆的網(wǎng)絡(luò)帶寬，整個網(wǎng)絡(luò)速度更大的提升。通過部署室內(nèi)壁掛式無線AP WA4320和4330實(shí)現(xiàn)用戶無

10、線上網(wǎng)需求。以及部署和S5110-28P-PWR POE交換機(jī)對AP進(jìn)行POE供電。在網(wǎng)絡(luò)管理方面，部署一套IMC 智能網(wǎng)管中心，實(shí)現(xiàn)對有線網(wǎng)絡(luò)、無線網(wǎng)絡(luò)的設(shè)備、業(yè)務(wù)、用戶一體化的網(wǎng)管。在安全方面，采用防火墻板卡一體化解決方案，負(fù)責(zé)對網(wǎng)絡(luò)協(xié)議的2-4層進(jìn)行控制。防火墻由于其軟硬件針對工作在L2-L4時的情況考慮，不具有對用戶上網(wǎng)行為數(shù)據(jù)流進(jìn)行綜合、深度監(jiān)測的能力，自然就無法有效識別用戶上網(wǎng)行為的動作、訪問非法網(wǎng)站、發(fā)表非法言論、使用P2P軟件暫用大量流量等。因此需要專門針對網(wǎng)絡(luò)4-7層進(jìn)行分析并實(shí)時監(jiān)控上網(wǎng)行為系統(tǒng)，填補(bǔ)防火墻安全層次的不足，此次部署ACG對網(wǎng)絡(luò)用戶的上網(wǎng)行為的審計(jì)。2.總體方

11、案設(shè)計(jì)描述2.1網(wǎng)絡(luò)安全網(wǎng)絡(luò)安全分為核心層網(wǎng)絡(luò)安全、接入層網(wǎng)絡(luò)安全兩部分。2.1.1 核心層網(wǎng)絡(luò)安全核心層網(wǎng)絡(luò)安全建議采用網(wǎng)絡(luò)安全一體化解決方案，即在核心交換機(jī)上部署防火墻插卡來實(shí)現(xiàn)核心層網(wǎng)絡(luò)的L2-L7立體安全防護(hù)，網(wǎng)絡(luò)出口部署上網(wǎng)行為審計(jì)控制上網(wǎng)用戶行為，填補(bǔ)防火墻插卡安全層次的不足。防火墻采用H3C S7500E 防火墻 Lite業(yè)務(wù)板模塊，H3C SecBlade FW是業(yè)內(nèi)第一款萬兆高性能防火墻模塊，可應(yīng)用于H3C S5800/S7500E /S9500E/S10500/S12500交換機(jī)以及SR6600/SR8800/CR16000路由器。SecBlade FW集成防火墻、VPN、

12、內(nèi)容過濾和NAT地址轉(zhuǎn)換等功能，提升了網(wǎng)絡(luò)設(shè)備的安全業(yè)務(wù)能力，為用戶提供全面的安全防護(hù)。H3C SecBlade FW能提供外部攻擊防范、內(nèi)網(wǎng)安全、流量監(jiān)控、URL過濾、應(yīng)用層過濾等功能，有效的保證網(wǎng)絡(luò)的安全。采用H3C ASPF（Application Specific Packet Filter）應(yīng)用狀態(tài)檢測技術(shù)，實(shí)時檢測應(yīng)用層連接狀態(tài)，實(shí)現(xiàn)2-7層安全防護(hù)。提供郵件告警、攻擊日志、流日志和網(wǎng)絡(luò)管理監(jiān)控等功能，協(xié)助用戶進(jìn)行網(wǎng)絡(luò)管理。SecBlade FW模塊與基礎(chǔ)網(wǎng)絡(luò)設(shè)備融合，具有即插即用、擴(kuò)展性強(qiáng)的特點(diǎn)，降低了用戶管理難度，減少了維護(hù)成本。上網(wǎng)行為審計(jì)使用H3C SecPath ACG1

13、000，此設(shè)備支持狀態(tài)機(jī)檢測、流量交互檢測技術(shù)，能精確檢測115網(wǎng)盤、電信通、盛大網(wǎng)盤、百度網(wǎng)盤、360云盤、Thunder/Web Thunder（迅雷/Web迅雷）、BitTorrent、eMule（電騾）/eDonkey（電驢）、QQ、MSN、新浪UC、阿里旺旺、新浪微博、騰訊微博、天涯論壇、貓撲論壇、微信等P2P/IM/網(wǎng)絡(luò)游戲/炒股/網(wǎng)絡(luò)視頻/網(wǎng)絡(luò)多媒體等多種主流網(wǎng)絡(luò)應(yīng)用，為應(yīng)用控制及審計(jì)提供有力支撐。采用了DPI/DFI融合識別技術(shù)，相對于傳統(tǒng)的流控產(chǎn)品，控制力度更精細(xì)，控制層面不再局限在主程序，更能深入識別應(yīng)用程序的子功能。例如對新浪微博的控制力度不僅僅是登錄動作，更是深入識別到

14、注銷、發(fā)表、評論、轉(zhuǎn)發(fā)、關(guān)注、搜索等子功能，支持單應(yīng)用高達(dá)12種行為動作控制、超過八百種主流應(yīng)用類別識別、近60種分類URL審計(jì)過濾、桌面及移動終端均可審計(jì)控制，提供最精細(xì)的控制功能。對應(yīng)用協(xié)議特征庫及時更新；支持對協(xié)議特征庫的在線自動/手動升級、本地升級，且升級過程無需重啟系統(tǒng)，不影響系統(tǒng)業(yè)務(wù)運(yùn)行。2.1.2 接入層網(wǎng)絡(luò)安全計(jì)算機(jī)網(wǎng)絡(luò)的接入層是整個園區(qū)網(wǎng)絡(luò)的下聯(lián)邊界，有線網(wǎng)直接和PC、打印機(jī)等終端相連。該區(qū)域常見的安全問題包括ARP攻擊、IP/MAC地址篡改、DHCP服務(wù)器仿冒攻擊等，一般統(tǒng)稱為接入層安全問題。有些接入層安全問題的解決方式較為簡單，雖然針對每一種安全問題都有底層的技術(shù)解決方案

15、，但是對應(yīng)到物理設(shè)備層面都是通過智能安全型接入交換機(jī)進(jìn)行統(tǒng)一解決。本方案在選擇接入層交換機(jī)時，都會采用千兆智能安全型接入設(shè)備。對于無線網(wǎng)絡(luò)安全來說有一下2點(diǎn)：一、內(nèi)部網(wǎng)絡(luò)終端缺乏網(wǎng)絡(luò)用戶識別、準(zhǔn)入機(jī)制師生、外來人員只要將個人PC、PAD、手機(jī)等無線終端連接無線網(wǎng)絡(luò)，就可以上網(wǎng)；其中沒有任何身份的認(rèn)證和安全措施。學(xué)生隨時可以上網(wǎng)，耽誤學(xué)業(yè)，外來人員也可以隨時攻擊網(wǎng)絡(luò)。二、終端用戶無權(quán)限控制如果某些用戶獲得了相關(guān)服務(wù)器的IP地址、應(yīng)用系統(tǒng)的賬號密碼即可登錄到服務(wù)器上，勢必會造成重大網(wǎng)絡(luò)安全隱患，此時網(wǎng)絡(luò)系統(tǒng)應(yīng)提供權(quán)限策略控制功能，解決非法用戶的接入問題。因此建議部署一套終端準(zhǔn)入控制系統(tǒng)來解決此類問

16、題，終端準(zhǔn)入控制系統(tǒng)是集事前認(rèn)證、事中監(jiān)控、事后審計(jì)和業(yè)務(wù)管理為一體的多業(yè)務(wù)安全接入管理平臺。能夠滿足不同應(yīng)用場景的身份識別、權(quán)限控制、安全準(zhǔn)入和桌面管理的需求。2.2核心層設(shè)計(jì)核心層的功能主要是實(shí)現(xiàn)骨干網(wǎng)絡(luò)之間的優(yōu)化傳輸，核心層設(shè)計(jì)任務(wù)的重點(diǎn)通常是冗余能力、可靠性和高速的傳輸。網(wǎng)絡(luò)的控制功能、網(wǎng)絡(luò)的各種應(yīng)用應(yīng)盡量少在核心層上實(shí)施。核心層一直被認(rèn)為是真?zhèn)€網(wǎng)絡(luò)的核心，因此對核心層的設(shè)計(jì)以及網(wǎng)絡(luò)設(shè)備的要求十分嚴(yán)格。H3C S7503E-S產(chǎn)品是杭州華三通信技術(shù)有限公司面向融合業(yè)務(wù)網(wǎng)絡(luò)的高端多業(yè)務(wù)路由交換機(jī)，該產(chǎn)品基于H3C自主知識產(chǎn)權(quán)的Comware V5操作系統(tǒng)，以IRF2（Intelligen

17、t Resilient Framework 2，第二代智能彈性架構(gòu)）技術(shù)為系統(tǒng)基石的虛擬化軟件系統(tǒng)，進(jìn)一步融合MPLS VPN、IPv6、網(wǎng)絡(luò)安全、無線、無源光網(wǎng)絡(luò)等多種網(wǎng)絡(luò)業(yè)務(wù)，提供不間斷轉(zhuǎn)發(fā)、不間斷升級、優(yōu)雅重啟、環(huán)網(wǎng)保護(hù)等多種高可靠技術(shù)，在提高用戶生產(chǎn)效率的同時，保證了網(wǎng)絡(luò)最大正常運(yùn)行時間，從而降低了客戶的總擁有成本（TCO）。2.3匯聚層設(shè)計(jì) 此次匯聚層主要針對雋雅樓，雋雅樓原有的匯聚交換機(jī)處理整個樓宇接入層交換機(jī)轉(zhuǎn)發(fā)來的數(shù)據(jù)，性能的不足導(dǎo)致整個樓宇的網(wǎng)絡(luò)出現(xiàn)了一個帶寬瓶頸。本次匯聚層交換機(jī)設(shè)計(jì)為H3C S5500-28F。H3C S55系列交換機(jī)是H3C公司自主開發(fā)的下一代數(shù)據(jù)中心級

18、萬兆以太網(wǎng)交換產(chǎn)品。為數(shù)據(jù)中心提供豐富的服務(wù)器接入方案。也可以用于園區(qū)網(wǎng)的匯聚層或接入層以及中小企業(yè)核心。 S5500系列交換機(jī)支持H3C創(chuàng)新的IRF2（Intelligent Resilient Framework 2，第二代智能彈性架構(gòu)）技術(shù)，用戶可以將多臺S5500交換機(jī)連接，形成一個邏輯上的獨(dú)立實(shí)體，從而構(gòu)建具備高可靠性、易擴(kuò)展性和易管理性的新型智能網(wǎng)絡(luò)。2.4接入層設(shè)計(jì)接入層采用H3C E528/E552系列教育網(wǎng)交換機(jī)是杭州華三通信技術(shù)有限公司長期跟蹤教育行業(yè)用戶需求定制開發(fā)的全千兆的以太網(wǎng)交換機(jī)，不僅可以滿足校園網(wǎng)常見的安全，接入密度的需求，并且針對于IPv6技術(shù)發(fā)展的趨勢以及校

19、園網(wǎng)IPv6部署的落地，提供完善的解決方案，同時支持創(chuàng)新的IRF2（Intelligent Resilient Framework，智能彈性架構(gòu)）技術(shù)，用戶可以將多臺E528/E552交換機(jī)連接，形成一個邏輯上的獨(dú)立實(shí)體，從而為教育行業(yè)構(gòu)建具備高可靠性、易擴(kuò)展性和易管理性的千兆到桌面的新型智能網(wǎng)絡(luò)。采用部署S5110-28P-PWR POE交換機(jī)對大量AP終端的一個接入。H3C S5110系列以太網(wǎng)交換機(jī)是H3C公司自主開發(fā)的綠色節(jié)能全千兆以太網(wǎng)交換機(jī)產(chǎn)品，具備豐富的業(yè)務(wù)特性，廣泛應(yīng)用于企業(yè)網(wǎng)和園區(qū)網(wǎng)的接入。在滿足高性能接入的基礎(chǔ)上，提供更全面的安全接入策略和更強(qiáng)的網(wǎng)絡(luò)管理維護(hù)易用性是千兆接入

20、的理想選擇。H3C S5110系列交換機(jī)支持增強(qiáng)的以太網(wǎng)供電功能（PoE+），PoE供電款型可以提供每端口最大30W的輸出功率，可以為802.11n的無線接入點(diǎn)，可視IP電話，大功率的監(jiān)控?cái)z像頭以及更多的終端設(shè)備提供以太網(wǎng)供電能力。2.5 無線認(rèn)證設(shè)計(jì)由于WLAN網(wǎng)絡(luò)與有線網(wǎng)絡(luò)不同，用戶可以隨時隨地的接入網(wǎng)絡(luò)，故不能像有線網(wǎng)絡(luò)那樣通過網(wǎng)口限制用戶的身份，必須使用一定的認(rèn)證手段。H3C WX3024E支持多種認(rèn)證方式，如MAC地址認(rèn)證、802.1x認(rèn)證和Portal認(rèn)證等。本項(xiàng)目推薦使用Portal認(rèn)證方式。使用Portal方式的優(yōu)點(diǎn)是無需客戶端，用戶做好WLAN連接后，只需打開Web頁面就能夠

21、進(jìn)入Portal認(rèn)證頁面。此時除了能夠方便的認(rèn)證外，還可以推送Web頁面，發(fā)布最新的校園活動信息，并可以向師生推送相應(yīng)的校規(guī)和考試細(xì)則，給學(xué)校帶來便捷的管理。推薦使用H3C IMC的EIA組件，支持多種接入及認(rèn)證方式，適合多種接入組網(wǎng)場景及應(yīng)用場景（1）支持802.1x、VPN接入等多種認(rèn)證接入方式。（2）支持PAP、CHAP、EAP-MD5、EAP-TLS、PEAP等多種身份驗(yàn)證方式，適應(yīng)不同安全要求的應(yīng)用場景。（3）支持用戶與設(shè)備IP地址、接入端口、VLAN、用戶IP地址和MAC地址等硬件信息的綁定認(rèn)證，增強(qiáng)用戶認(rèn)證的安全性，防止帳號盜用和非法接入。（4）支持與Windows域管理器、第三

22、方郵件系統(tǒng)（必須支持LDAP協(xié)議）的統(tǒng)一認(rèn)證，避免用戶記憶多個用戶名和密碼。（5）支持終端準(zhǔn)入控制（EAD）解決方案，確保所有接入網(wǎng)絡(luò)的用戶終端符合企業(yè)的安全策略（6）支持Portal認(rèn)證方式，Portal 客戶端與服務(wù)器之間的通信承載于UDP報(bào)文中的私有協(xié)議。用戶無需下載客戶端軟件，也不需要記憶PORTAL服務(wù)器的IP地址，不管輸入什么網(wǎng)址，都會先強(qiáng)制定向到PORTAL服務(wù)器進(jìn)行認(rèn)證。（7）基于用戶的權(quán)限控制策略，可以為不同用戶定制不同網(wǎng)絡(luò)訪問權(quán)限。（8）可以控制用戶的上網(wǎng)帶寬（QoS；802.1x認(rèn)證支持）、限制用戶同時在線數(shù)、禁止用戶設(shè)置和使用代理服務(wù)器，有效防止個別用戶對網(wǎng)絡(luò)資源的過度

23、占用。（9）支持最大閑置時長限制。（10）可以限制用戶IP地址分配策略，防止IP地址盜用和沖突。（11）可以限制用戶的接入時段和接入?yún)^(qū)域，用戶只能在允許的時間和地點(diǎn)上網(wǎng)。（12）可以限制終端用戶使用多網(wǎng)卡和撥號網(wǎng)絡(luò)，防止內(nèi)部信息泄露。（13）可以限制用戶必須使用專用安全客戶端，并強(qiáng)制自動升級，確保認(rèn)證客戶端的安全性。（14）管理員可以實(shí)時監(jiān)控在線用戶，強(qiáng)制非法用戶下線。（15）支持消息下發(fā)，管理員可以向上網(wǎng)用戶發(fā)布通知消息，如系統(tǒng)升級，網(wǎng)絡(luò)將在10分中后切斷、您的密碼遭惡意試探，請注意保護(hù)密碼安全等。2.5 統(tǒng)一管理設(shè)計(jì)隨著網(wǎng)絡(luò)建設(shè)的不斷深入發(fā)展，除了單純的追求高帶寬、高速率外，安全的網(wǎng)絡(luò)、高

24、效的網(wǎng)絡(luò)和可運(yùn)營的網(wǎng)絡(luò)成為越來越多的用戶關(guān)注的焦點(diǎn)，網(wǎng)絡(luò)精細(xì)化管理也越來越深入人心，一套好的管理軟件無疑對網(wǎng)絡(luò)的精細(xì)化管理起到至關(guān)重要的作用?；诙嗄甑姆e累和對用戶網(wǎng)絡(luò)的深入理解，H3C智能管理中心平臺（以下簡稱iMC平臺）為用戶提供了實(shí)用、易用的網(wǎng)絡(luò)管理功能，在網(wǎng)絡(luò)資源的集中管理基礎(chǔ)上，實(shí)現(xiàn)拓?fù)?、故障、性能、配置、安全等管理功能，不僅提供功能，更通過流程向?qū)У姆绞礁嬖V用戶如何使用功能滿足業(yè)務(wù)需求，為用戶提供了網(wǎng)絡(luò)精細(xì)化管理最佳的工具軟件。本次配置的IMC智能管理平臺、終端智能接入組件（EIA）和無線管理組件（WSM）實(shí)現(xiàn)對網(wǎng)絡(luò)中的AC、FAT AP、AC、FIT AP、移動終端等無線設(shè)備與有

25、線設(shè)備進(jìn)行一體化集中管理，全網(wǎng)設(shè)備信息和狀態(tài)一目了然。網(wǎng)絡(luò)資源通過多種視圖進(jìn)行查看，視圖內(nèi)分組管理，將規(guī)模巨大的無線接入設(shè)備有效組織，便于用戶維護(hù)。對于設(shè)備數(shù)量較多、分布地域較廣并且又相對較為集中的網(wǎng)絡(luò)，iMC平臺提供分級管理的功能，有利于對整個網(wǎng)絡(luò)進(jìn)行清晰分權(quán)管理和負(fù)載分擔(dān)。iMC平臺除了涵蓋網(wǎng)絡(luò)管理功能外，還是其他業(yè)務(wù)管理組件的承載平臺，共同實(shí)現(xiàn)了管理的深入融合聯(lián)動。3.無線網(wǎng)絡(luò)設(shè)計(jì)3.1無線網(wǎng)絡(luò)覆蓋設(shè)計(jì)無線網(wǎng)絡(luò)部署方案中，無線AP的部署可以歸納為兩大類：AP室內(nèi)和室內(nèi)高密度AP。本次項(xiàng)目的AP覆蓋范圍主要為室內(nèi)覆蓋，室內(nèi)時主要信號進(jìn)行此空間內(nèi)覆蓋，需要考慮到穿越墻壁、地板等障礙物對隔壁空

26、間的覆蓋。根據(jù)項(xiàng)目情況，我們在室內(nèi)推薦采用H3C WA4320無線產(chǎn)品是杭州華三通信技術(shù)有限公司(H3C)自主研發(fā)的新一代基于2-Streams 11ac MIMO技術(shù)的千兆高速無線接入設(shè)備(以下簡稱AP)，可提供相當(dāng)于傳統(tǒng)802.11n網(wǎng)絡(luò)3倍以上的無線接入速率，能夠覆蓋更大的范圍，可提供相當(dāng)于傳統(tǒng)802.11a/b/g網(wǎng)絡(luò)6倍以上的無線接入速率，能夠覆蓋更大的范圍。對于像大型會議室和階梯教室這樣高密度人員的區(qū)域，推薦采用H3C WA4330，4330無線產(chǎn)品采用三頻設(shè)計(jì)，在保留原有雙射頻的同時，增加了一個靈活可變的第三個射頻。當(dāng)實(shí)際接入的終端類型支持5GHz的數(shù)量較多時，可將該射頻配置成5

27、GHz頻段，從而提高5GHz的接入用戶數(shù)量和帶寬能力，反之，2.4GHz終端較多時則可以配置成2.4GHz，組網(wǎng)形式非常靈活。因此，WA4330-ACN的接入速率最高可達(dá)2Gbps，在業(yè)界第一次提供可商用的有線無線雙千兆接入AP產(chǎn)品，非常適合在電子書包場景，高密度接入場景使用。4.4.2漫游切換支持方案無線終端在無線網(wǎng)絡(luò)中移動時，必然要進(jìn)行不同AP之間、所屬不同有線交換機(jī)之間的漫游切換。首先無線終端會通過無線局域網(wǎng)服務(wù)器進(jìn)行第一次的安全接入認(rèn)證，無線交換機(jī)會介入該認(rèn)證過程，并獲得PMK（Pairwise Master Key）。無線終端根據(jù)PMK生成多個通訊用密鑰，開始進(jìn)行加密會話。當(dāng)無線終端

28、發(fā)現(xiàn)需要進(jìn)行切換時，會進(jìn)行如下操作：與無線交換機(jī)進(jìn)行連接的預(yù)建立；無線交換機(jī)與需要建立連接的AP交換通訊用PMK密鑰，并將PMK密鑰傳給無線終端；無線終端發(fā)布更新消息，更新無線交換機(jī)轉(zhuǎn)發(fā)表；原有的數(shù)據(jù)流轉(zhuǎn)換到新的AP上來；切斷原有的數(shù)據(jù)連接。整個L2、L3漫游過程在50ms內(nèi)全部完成，并兼容IEEE 802.11i、IEEE802.11f和IEEE802.11e標(biāo)準(zhǔn)，可良好支持語音、視頻等多媒體業(yè)務(wù)的需求?？紤]到具有語音與視頻的潛在需求，可以通過設(shè)置專門的SSID作為語音/視頻業(yè)務(wù)使用，通過劃分VLAN方式實(shí)現(xiàn)語音終端僅僅與語音網(wǎng)關(guān)進(jìn)行通信，保證語音業(yè)務(wù)與數(shù)據(jù)業(yè)務(wù)隔離開來。4.4.3業(yè)務(wù)QOS

29、支持方案H3C無線產(chǎn)品支持多種服務(wù)質(zhì)量Qos，支持802.11e中的EDCF優(yōu)先級，支持以太網(wǎng)口支持802.1p識別和標(biāo)記。支持優(yōu)先級隊(duì)列及映射、流量限制、流分類。并且能夠?qū)OS策略映射不同SSID/VLAN。圖 STYLEREF 1 s 3SEQ 圖 * ARABIC s 113多媒體業(yè)務(wù)QOS示意4.4.4智能射頻管理方案每個AP上電時，無線控制器會根據(jù)AP的鄰居關(guān)系動態(tài)調(diào)整AP工作的信道和發(fā)射功率，在保證覆蓋的前提下保證AP間的干擾最小。當(dāng)AP覆蓋區(qū)域受到外界強(qiáng)信號干擾時，無線控制器會控制AP自動切換到合適的工作信道以規(guī)避干擾信號。當(dāng)覆蓋區(qū)域內(nèi)的某個AP發(fā)生故障而造成覆蓋黑洞時，無線控

30、制器會自動調(diào)整相鄰的AP的發(fā)射功率以消除黑洞區(qū)域，當(dāng)故障AP恢復(fù)工作后無線控制器可以自動調(diào)整鄰居AP的發(fā)射功率恢復(fù)原始工作狀態(tài)。4.4.5智能負(fù)載均衡方案無線控制器可以設(shè)定AP間對接入用戶進(jìn)行負(fù)載分擔(dān)，負(fù)載分擔(dān)的策略可以是基于AP接入的用戶數(shù)量，AP流量負(fù)載情況當(dāng)無線控制器發(fā)現(xiàn)AP的負(fù)載超過設(shè)定的門限值以后，對于新接入的用戶無線控制器會自動計(jì)算此用戶周圍是否還有負(fù)載較輕的AP可供用戶接入，如果有則AP會拒絕用戶的關(guān)聯(lián)請求，用戶會轉(zhuǎn)而接入其他負(fù)載較輕的AP。H3C公司創(chuàng)新性地支持智能負(fù)載均衡技術(shù)，保證只對處于AP覆蓋重疊區(qū)的無線用戶才啟動AP負(fù)載均衡功能，有效的避免誤均衡的出現(xiàn)。圖 STYLER

31、EF 1 s 3SEQ 圖 * ARABIC s 114智能負(fù)載示意圖4.4.6IPV6支持方案為了適應(yīng)下一代IP網(wǎng)絡(luò)的部署要求，H3C公司的FIT AP能夠同時滿足IPv4和IPv6兩種不同網(wǎng)絡(luò)的組網(wǎng)要求（圖示），為了簡化用戶配置這種適應(yīng)能力不需要用戶配置干預(yù)而是自適應(yīng)調(diào)整。圖 STYLEREF 1 s 3SEQ 圖 * ARABIC s 115IPV6支持示意圖作為FIT AP的缺省發(fā)現(xiàn)方式FIT AP會首先作為IPv4節(jié)點(diǎn)發(fā)起無線控制器發(fā)現(xiàn)過程，當(dāng)發(fā)現(xiàn)過程失敗以后，F(xiàn)IT AP會切換到IPv6節(jié)點(diǎn)方式繼續(xù)無線控制器發(fā)現(xiàn)過程。 FIT AP會在以下兩種情況下切換到IPv6模式：FIT AP

32、無法從DHCP server獲取到IPv4網(wǎng)絡(luò)地址FIT AP在IPv4網(wǎng)絡(luò)沒有無線控制器響應(yīng)FIT AP的發(fā)現(xiàn)請求FIT AP在IPv4網(wǎng)絡(luò)中和所有的無線控制器建立連接失敗4. 網(wǎng)絡(luò)部署設(shè)計(jì)IP地址規(guī)劃IP地址的合理規(guī)劃是網(wǎng)絡(luò)設(shè)計(jì)中的重要一環(huán)，網(wǎng)絡(luò)系統(tǒng)為了實(shí)現(xiàn)對網(wǎng)絡(luò)的統(tǒng)一的規(guī)劃和管理，對IP地址進(jìn)行統(tǒng)一規(guī)劃。IP地址規(guī)劃影響到網(wǎng)絡(luò)路由協(xié)議算法的效率、影響到網(wǎng)絡(luò)的性能、擴(kuò)展和網(wǎng)絡(luò)的管理，也影響到網(wǎng)絡(luò)應(yīng)用的進(jìn)一步發(fā)展。IP地址主要分為如下幾類：IP地址空間分配，要與網(wǎng)絡(luò)拓?fù)鋵哟谓Y(jié)構(gòu)相適應(yīng)，既要有效地利用地址空間，又要體現(xiàn)出網(wǎng)絡(luò)的可擴(kuò)展性和靈活性，同時能滿足路由協(xié)議的要求，以便于網(wǎng)絡(luò)中的路由聚類，

33、減少路由器中路由表的長度，減少對路由器CPU、內(nèi)存的消耗，提高路由算法的效率，加快路由變化的收斂速度，同時還要考慮到網(wǎng)絡(luò)地址的可管理性。具體分配時要遵循以下原則：唯一性：一個IP網(wǎng)絡(luò)中不能有兩個主機(jī)采用相同的IP地址；簡單性：地址分配應(yīng)簡單易于管理，降低網(wǎng)絡(luò)擴(kuò)展的復(fù)雜性，簡化路由表項(xiàng)；連續(xù)性：連續(xù)地址在層次結(jié)構(gòu)網(wǎng)絡(luò)中易于進(jìn)行路徑疊合，大大縮減路由表，提高路由算法的效率；建議根據(jù)部門和權(quán)限劃分，為不同的業(yè)務(wù)分配一段連續(xù)的IP地址，便于業(yè)務(wù)的區(qū)分?？蓴U(kuò)展性：地址分配在每一層次上都要留有余量，在網(wǎng)絡(luò)規(guī)模擴(kuò)展時能保證地址的連續(xù)性；靈活性：地址分配應(yīng)具有靈活性，以滿足多種路由策略的優(yōu)化，充分利用地址空間

34、。設(shè)備Loopback地址的分配：各種三層設(shè)備的Loopback地址的使用，在不同的方面都需要它的參與，對于內(nèi)部路由協(xié)議的正常運(yùn)行，整個網(wǎng)絡(luò)的正常運(yùn)行，有著至關(guān)重要的作用。因而對于各個路由器設(shè)備的Loopback的分配和管理，應(yīng)當(dāng)采取統(tǒng)一的專有地址空間。通過為所有的設(shè)備分配一個專有的地址空間，能夠更為有效地進(jìn)行路由器設(shè)備的路由配置和管理，以及方便今后的故障的診斷和排除。Loopback地址分配采用32位掩碼的原則。設(shè)備間互連地址的分配：設(shè)備間互連的IP地址，從業(yè)務(wù)的相關(guān)性上，他們一般不具有全局的功能，而只是提供完成兩個設(shè)備之間的連接。因而從這個角度上講，這部分的地址空間的分配應(yīng)當(dāng)考慮以下的方面

35、：（1）盡可能以分層次的方式分配地址。由于鏈路地址空間不具有全局性，因而并不需要在全網(wǎng)范圍內(nèi)為每個鏈路保持精確路由。而采取分層次的地址分配方式，能夠?qū)㈡溌返刂分鸺墔R總，從而使得這些地址在各路由器的路由表中占有較少的空間。以降低對路由器的要求，并保證路由器的處理效率。（2）提供足夠的預(yù)留空間，以滿足今后新增鏈路的需要。同一區(qū)域內(nèi)的設(shè)備IP地址連續(xù)分配，每個互聯(lián)段分配1個24位掩碼的最小地址段。VLAN設(shè)計(jì)VLAN可以實(shí)現(xiàn)將連接在同一個物理網(wǎng)絡(luò)上面的主機(jī)分組，使它們看起來就像連接在不同的網(wǎng)絡(luò)上一樣?？梢酝ㄟ^VLAN為網(wǎng)絡(luò)分段，各個網(wǎng)段可以共用同一套網(wǎng)絡(luò)設(shè)備，節(jié)約了網(wǎng)絡(luò)硬件的開銷，同時在遷移中所需的

36、工作量也大幅度降低了，從而降低了連網(wǎng)成本。在大型局域網(wǎng)絡(luò)組建中，VLAN技術(shù)是不可缺少的關(guān)鍵技術(shù)，科學(xué)的VLAN設(shè)計(jì)可以為局域網(wǎng)絡(luò)帶來一系列的優(yōu)點(diǎn)：在同一個物理網(wǎng)絡(luò)實(shí)現(xiàn)第二層工作組劃分，實(shí)現(xiàn)不同工作組之間第二層的完全隔離，同時，組員可以處在物理網(wǎng)絡(luò)中的任何位置，不受同一臺設(shè)備限制；隔離廣播，提高效率，避免不相關(guān)的廣播幀在全網(wǎng)擴(kuò)散，浪費(fèi)有效帶寬資源；在局域網(wǎng)系統(tǒng)中，建議基于IEEE 802.1Q標(biāo)準(zhǔn)實(shí)現(xiàn)VLAN。從廣播控制角度出發(fā)，為了保障網(wǎng)絡(luò)的高可用和高性能，按照慣例原則，我們在進(jìn)行具體VLAN規(guī)劃時，同一個廣播域內(nèi)（一個VLAN）的通信主機(jī)一般不超過50臺，最好控制在30臺以內(nèi)，對于主機(jī)數(shù)量

37、超過50的業(yè)務(wù)部門，我們通過二層隔離，三層交換的方式來解決。作為特殊 VLAN 的典型，建議保留VLAN1作為管理VLAN，管理VLAN覆蓋到全網(wǎng)的每一臺交換機(jī)，但在第三層接口上，需要通過控制列表與其他業(yè)務(wù)VLAN進(jìn)行有效的隔離。網(wǎng)管工作站建議另外設(shè)置一個VLAN，例如VLAN ID=4000，VLAN4000與VLAN1在第三層上相通，同時，保證只有部分業(yè)務(wù)VLAN可以訪問VLAN4000，從而實(shí)現(xiàn)網(wǎng)管的分布式監(jiān)控布局。VLAN1和VLAN4000的第三層路由接口處設(shè)置訪問控制列表，只有特定的主機(jī)或者只有網(wǎng)管VLAN可以直接訪問每一臺設(shè)備，其他均在過濾之列。網(wǎng)絡(luò)的VLAN規(guī)劃，在明確其網(wǎng)絡(luò)資

38、源訪問權(quán)限分配的具體要求后，我們可對內(nèi)部網(wǎng)絡(luò)具體劃分不同的權(quán)限、VLAN等其它的安全策略QoS部署QoS方案的設(shè)計(jì)實(shí)施，首先需要考慮選擇合適的技術(shù)框架，也即服務(wù)模型。服務(wù)模型指的是一組端到端的QoS功能，目前有以下三種QoS服務(wù)模型：Best-Effort service盡力服務(wù)Integrated service（Intserv）綜合服務(wù)Differentiated service（Diffserv）區(qū)分服務(wù)Best-Effort service：盡力服務(wù)是最簡單的服務(wù)模型。應(yīng)用程序可以在任何時候，發(fā)出任意數(shù)量的報(bào)文，而且不需要事先獲得批準(zhǔn)，也不需要通知網(wǎng)絡(luò)。網(wǎng)絡(luò)則盡最大的可能性來發(fā)送報(bào)文，

39、但對時延、可靠性等不提供任何保證。盡力服務(wù)是互聯(lián)網(wǎng)的缺省傳輸模式，由于它不區(qū)分具體的業(yè)務(wù)類型，采用先入先出的策略（FIFO）處理，對所有報(bào)文都無區(qū)別的等同對待，實(shí)現(xiàn)起來比較簡單，但由于無法為高優(yōu)先級的實(shí)時業(yè)務(wù)和關(guān)鍵業(yè)務(wù)提供額外保障，盡力服務(wù)模型并不適合用于本次網(wǎng)絡(luò)的建網(wǎng)需求。Integrated service：Intserv是一個綜合服務(wù)模型，它可以滿足多種QoS需求。這種服務(wù)模型在發(fā)送報(bào)文前，需要向網(wǎng)絡(luò)申請?zhí)囟ǖ姆?wù)。這個請求是通過信令（signal）來完成的，應(yīng)用程序首先通知網(wǎng)絡(luò)它自己的流量參數(shù)和需要的特定服務(wù)質(zhì)量請求，包括帶寬、時延等，應(yīng)用程序一般在收到網(wǎng)絡(luò)的確認(rèn)信息，即網(wǎng)絡(luò)已經(jīng)為這個

40、應(yīng)用程序的報(bào)文預(yù)留了資源后，發(fā)送報(bào)文。而應(yīng)用程序發(fā)出的報(bào)文應(yīng)該控制在流量參數(shù)描述的范圍內(nèi)。網(wǎng)絡(luò)在收到應(yīng)用程序的資源請求后，執(zhí)行資源分配檢查（Admission control），即基于應(yīng)用程序的資源申請和網(wǎng)絡(luò)現(xiàn)有的資源情況，判斷是否為應(yīng)用程序分配資源。一旦網(wǎng)絡(luò)確認(rèn)為應(yīng)用程序的報(bào)文分配了資源，則只要應(yīng)用程序的報(bào)文控制在流量參數(shù)描述的范圍內(nèi)，網(wǎng)絡(luò)將承諾滿足應(yīng)用程序的QoS需求。而網(wǎng)絡(luò)將為每個流（flow，由兩端的IP地址、端口號、協(xié)議號確定）維護(hù)一個狀態(tài)，并基于這個狀態(tài)執(zhí)行報(bào)文的分類、流量監(jiān)管（policing）、排隊(duì)及其調(diào)度，來滿足對應(yīng)用程序的承諾，具有面向連接的特性。因此對網(wǎng)絡(luò)設(shè)備的處理能力有

41、較高要求。傳送QoS請求的信令是RSVP（資源預(yù)留協(xié)議），它通知路由器應(yīng)用程序的QoS需求。Differentiated service：Diffserv即區(qū)別服務(wù)模型，它可以滿足不同的QoS需求。與Integrated service不同，它不需要信令，即應(yīng)用程序在發(fā)出報(bào)文前，不需要通知路由器。網(wǎng)絡(luò)不需要為每個流維護(hù)狀態(tài)，它根據(jù)每個報(bào)文指定的QoS，來提供特定的服務(wù)?？梢杂貌煌姆椒▉碇付▓?bào)文的QoS，如IP包的優(yōu)先級位（IP Precedence)、報(bào)文的源地址和目的地址等。網(wǎng)絡(luò)通過這些信息來進(jìn)行報(bào)文的分類、流量整形、流量監(jiān)管和排隊(duì)。通常在配置Differentiated service時

42、，在網(wǎng)絡(luò)邊界的路由器通過報(bào)文的源地址和目的地址等對報(bào)文進(jìn)行分類，對不同的報(bào)文設(shè)置不同的IP優(yōu)先級，而其它路由器只需要用IP優(yōu)先級來進(jìn)行報(bào)文的分類。這三種服務(wù)模型中，只有Intserv與Diffserv這兩種能提供多服務(wù)的QoS保障。從技術(shù)上看，Intserv需要網(wǎng)絡(luò)對每個流均維持一個軟狀態(tài)，因此會導(dǎo)致設(shè)備性能的下降，或?qū)崿F(xiàn)相同的功能需要更高性能的設(shè)備，另外，還需要全網(wǎng)設(shè)備都能提供一致的技術(shù)才能實(shí)現(xiàn)QoS。而Diffserv則沒有這方面的缺陷，且處理效率高，部署及實(shí)施可以分布進(jìn)行，它只是在構(gòu)建網(wǎng)絡(luò)時，需要對網(wǎng)絡(luò)中的設(shè)備設(shè)置相應(yīng)的規(guī)則，會使配置管理比較復(fù)雜?？紤]到Diffserv模式具有處理效率高

43、，部署和實(shí)時方便的特點(diǎn)，我們建議在本項(xiàng)目中，選用Diffserv模式。QoS技術(shù)：不論是Diffserv，還是Intserv，在最終對服務(wù)進(jìn)行保障時，都是通過以下一些成熟技術(shù)來實(shí)現(xiàn)的，H3C公司的數(shù)通設(shè)備都采用平臺軟件COMWARE，支持一系列QoS技術(shù)，主要可以分為以下3類：1）流量調(diào)節(jié)器流量調(diào)節(jié)器是網(wǎng)絡(luò)邊界所需的各種QoS功能，用于對用戶的流量進(jìn)行分類，并控制接入網(wǎng)絡(luò)的用戶流量與協(xié)定相符，同時設(shè)置DSCP。流量調(diào)節(jié)器的功能包括分類、測量、標(biāo)記、丟棄和整形等，如以下技術(shù)：CAR（承諾的接入速率），對用戶流量進(jìn)行監(jiān)管；GTS（通用流量整形），對用戶流量進(jìn)行整形；ISPKeeper，智能流量控制

44、技術(shù)。報(bào)文分類是QoS的基礎(chǔ)，只有區(qū)分了不同的報(bào)文業(yè)務(wù)，才能進(jìn)行分別處理及保障相應(yīng)業(yè)務(wù)的服務(wù)質(zhì)量。一般在網(wǎng)絡(luò)邊界，利用ACL等技術(shù)，根據(jù)物理接口、源地址、目的地址、MAC地址、IP協(xié)議或應(yīng)用程序的端口號等依據(jù)對報(bào)文進(jìn)行分類，并同時設(shè)置報(bào)文IP頭的TOS字段作為報(bào)文的IP優(yōu)先級；在網(wǎng)絡(luò)的內(nèi)部則可使用邊緣設(shè)置好的IP優(yōu)先級作為分類的標(biāo)準(zhǔn)，以提高網(wǎng)絡(luò)的處理效率。約定訪問速率（CAR）是一種帶寬管理機(jī)制，利用令牌桶技術(shù)來實(shí)現(xiàn)帶寬的分配和測量。網(wǎng)絡(luò)管理員可以為不同的業(yè)務(wù)分配不同的帶寬，定義業(yè)務(wù)占用的帶寬超過分配額度時的處理策略，通過限制通過路由器某一端口的流量，很好地保證整個網(wǎng)絡(luò)的QoS。CAR既可用于

45、網(wǎng)絡(luò)的入口也可用于網(wǎng)絡(luò)的出口，可以報(bào)文分類完成的結(jié)果區(qū)分不同的業(yè)務(wù)流。另外，它還可以對報(bào)文的IP優(yōu)先級根據(jù)需要加以重新標(biāo)記。2）擁塞避免和管理當(dāng)報(bào)文到達(dá)網(wǎng)絡(luò)設(shè)備接口的速度大于接口的發(fā)送能力時，即將產(chǎn)生擁塞；擁塞發(fā)生時，一般采用隊(duì)列調(diào)度的技術(shù)來解決，每一種隊(duì)列調(diào)度技術(shù)都用來解決特定的問題，都會對網(wǎng)絡(luò)性能產(chǎn)生特定的影響；目前H3C的路由交換機(jī)可以提供各種隊(duì)列調(diào)度技術(shù)包括FIFO、PQ、CQ、WFQ、RTP實(shí)時隊(duì)列、CBWFQ/LLQ。擁塞避免用來監(jiān)控網(wǎng)絡(luò)負(fù)載，預(yù)見并避免擁塞的發(fā)生，擁塞避免一般通過丟包技術(shù)來實(shí)現(xiàn)；H3C的路由交換機(jī)提供了多種擁塞避免機(jī)制來滿足不同的應(yīng)用，包括尾丟棄、RED、WRED

46、。以最簡單的PQ(優(yōu)先隊(duì)列)為例,PQ對報(bào)文進(jìn)行分類，將所有報(bào)文分成最多至8類，分別屬于PQ的8個隊(duì)列中的一個，然后，按報(bào)文的類別將報(bào)文送入相應(yīng)的隊(duì)列。PQ的8個隊(duì)列分別為高優(yōu)先隊(duì)列、中優(yōu)先隊(duì)列、正常優(yōu)先隊(duì)列和低優(yōu)先隊(duì)列，它們的優(yōu)先級依次降低。在報(bào)文出隊(duì)的時候，PQ首先讓高優(yōu)先隊(duì)列中的報(bào)文出隊(duì)并發(fā)送，直到高優(yōu)先隊(duì)列中的報(bào)文發(fā)送完，然后發(fā)送中優(yōu)先隊(duì)列中的報(bào)文，同樣，直到發(fā)送完，然后是正常優(yōu)先隊(duì)列和低優(yōu)先隊(duì)列。這樣，分類時屬于較高優(yōu)先級隊(duì)列的報(bào)文將會得到優(yōu)先發(fā)送，而較低優(yōu)先級的報(bào)文將會在發(fā)生擁塞時被較高優(yōu)先級的報(bào)文搶先，使得關(guān)鍵業(yè)務(wù)（如ERP）的報(bào)文能夠得到優(yōu)先處理，非關(guān)鍵業(yè)務(wù)（如E-Mail）的

47、報(bào)文在網(wǎng)絡(luò)處理完關(guān)鍵業(yè)務(wù)后的空閑中得到處理，既保證了關(guān)鍵業(yè)務(wù)的優(yōu)先，又充分利用了網(wǎng)絡(luò)資源。COMWARE的擁塞避免和擁塞管理機(jī)制是緊密聯(lián)系在一起的，對于每一種隊(duì)列調(diào)度技術(shù)，都可以采用相應(yīng)的丟包機(jī)制與之配合；擁塞管理和避免是所有路由器及路由交換機(jī)必須提供的功能，以保證關(guān)鍵業(yè)務(wù)的轉(zhuǎn)發(fā)。IP QoS與鏈路層QoS技術(shù)的融合Internet是利用IP技術(shù)在網(wǎng)絡(luò)層將各種二層網(wǎng)絡(luò)連接起來，典型的二層網(wǎng)絡(luò)包括FR、ATM、Ethernet等，因此端到端的IP QoS依賴于每一種二層網(wǎng)絡(luò)的QoS實(shí)現(xiàn)以及其與IP QoS的融合。舉例說明，Ethernet與IP QoS的融合： Ethernet/VLAN網(wǎng)絡(luò)通過

48、802.1Q中的VLAN ID和3個802.1p位，采用802.1p作為QoS信令，利用基本的IP QoS技術(shù)（如流分類/監(jiān)管/整形、擁塞管理與避免），提供一定的QoS能力。COMWARE提供的IP-Ethernet方向的QoS融合包括：提供將分組的IP Pre或EXP映射到Ethernet幀802.1p位的能力，提供根據(jù)IP Pre或EXP將報(bào)文映射到特定VLAN的能力，各類隊(duì)列機(jī)制增加基于VLAN的流分類等。COMWARE提供的Ethernet- IP方向的QoS融合包括： 對CAR做了擴(kuò)展，增加了基于VLAN ID和802.1p的流分類等。在本次網(wǎng)絡(luò)系統(tǒng)中業(yè)務(wù)眾多，為了保證關(guān)鍵業(yè)務(wù)的高優(yōu)

49、先級運(yùn)行，采用QoS技術(shù)必不可少。QoS旨在針對各種應(yīng)用的不同需求，為其提供不同的服務(wù)質(zhì)量，例如：提供專用帶寬、減少報(bào)文丟失率、降低報(bào)文傳送時延及時延抖動等。DiffServ是目前IP網(wǎng)絡(luò)采用的主流QOS模型，一般用來為一些重要的應(yīng)用提供端到端的QoS。它通過下列技術(shù)來實(shí)現(xiàn)：流量監(jiān)管、流量整形、報(bào)文標(biāo)記、隊(duì)列技術(shù)、擁塞避免技術(shù)等。在網(wǎng)絡(luò)中，在網(wǎng)絡(luò)接入層，按照特定的策略，對報(bào)文進(jìn)行流量監(jiān)管，防止接入用戶過度使用網(wǎng)絡(luò)，同時對報(bào)文進(jìn)行分類，并根據(jù)分類結(jié)果在報(bào)文中打上優(yōu)先級標(biāo)記；在網(wǎng)絡(luò)的骨干層，根據(jù)報(bào)文攜帶的優(yōu)先級標(biāo)記及QoS策略對報(bào)文進(jìn)行隊(duì)列調(diào)度，同時也可以采取一定的擁塞避免措施來減少網(wǎng)絡(luò)擁塞。在某

50、些設(shè)備的輸出接口，可能還要進(jìn)行流量整形，以減少網(wǎng)絡(luò)報(bào)文的丟失。網(wǎng)絡(luò)中QoS的處理流程主要包括：1、在接入層識別業(yè)務(wù)并標(biāo)記DSCP。在LAN接入端，能夠正確識別關(guān)鍵業(yè)務(wù)。針對不同的設(shè)備、不同的應(yīng)用程序需要不同的識別方式。簡單說就是接入層的識別模式。2、在接入層上行口利用PQ保證關(guān)鍵業(yè)務(wù)的優(yōu)先發(fā)送，同時保證合理的帶寬分配。3、核心層在信任DSCP標(biāo)記的基礎(chǔ)上，并利用PQ保證語音、視頻業(yè)務(wù)的優(yōu)先發(fā)送，同時保證合理的帶寬分配。5.本次設(shè)計(jì)所用部分產(chǎn)品介紹5.5.1防火墻插卡介紹H3C SecBlade FW防火墻模塊產(chǎn)品概述H3C SecBlade FW是業(yè)內(nèi)第一款萬兆高性能防火墻模塊，可應(yīng)用于H3C

51、 S5800/S7500E /S9500E/S10500/S12500交換機(jī)以及SR6600/SR8800路由器。SecBlade FW集成防火墻、VPN、內(nèi)容過濾和NAT地址轉(zhuǎn)換等功能，提升了網(wǎng)絡(luò)設(shè)備的安全業(yè)務(wù)能力，為用戶提供全面的安全防護(hù)。H3C SecBlade FW能提供外部攻擊防范、內(nèi)網(wǎng)安全、流量監(jiān)控、URL過濾、應(yīng)用層過濾等功能，有效的保證網(wǎng)絡(luò)的安全。采用H3C ASPF（Application Specific Packet Filter）應(yīng)用狀態(tài)檢測技術(shù)，實(shí)時檢測應(yīng)用層連接狀態(tài)，實(shí)現(xiàn)2-7層安全防護(hù)。提供郵件告警、攻擊日志、流日志和網(wǎng)絡(luò)管理監(jiān)控等功能，協(xié)助用戶進(jìn)行網(wǎng)絡(luò)管理。Se

52、cBlade FW模塊與基礎(chǔ)網(wǎng)絡(luò)設(shè)備融合，具有即插即用、擴(kuò)展性強(qiáng)的特點(diǎn)，降低了用戶管理難度，減少了維護(hù)成本。產(chǎn)品特點(diǎn)業(yè)內(nèi)性能最高采用先進(jìn)的多核硬件結(jié)構(gòu)，提供無以倫比的萬兆線速安全防護(hù)，是業(yè)內(nèi)處理性能最高的防火墻模塊，將網(wǎng)絡(luò)安全防護(hù)提升到萬兆安全新階段。全面的安全防護(hù)支持對DoS/DDoS攻擊、ARP欺騙攻擊、TCP報(bào)文標(biāo)志位不合法攻擊、超大ICMP報(bào)文攻擊、地址/端口掃描、ICMP重定向或不可達(dá)攻擊、Tracert攻擊、帶路由記錄選項(xiàng)IP報(bào)文、Java/ActiveX Blocking和SQL注入攻擊等威脅的防范；可以有效的識別和控制網(wǎng)絡(luò)中的各種P2P應(yīng)用；支持靜態(tài)和動態(tài)黑名單、MAC綁定、安

53、全區(qū)域控制、系統(tǒng)統(tǒng)計(jì)等安全功能。豐富的VPN特性集成IPSec、L2TP、GRE等多種成熟VPN接入技術(shù)，保證移動用戶、合作伙伴和分支機(jī)構(gòu)安全、便捷的遠(yuǎn)程接入。全面NAT應(yīng)用支持提供多對一、多對多、靜態(tài)網(wǎng)段、雙向轉(zhuǎn)換 、Easy IP和DNS映射等多種NAT應(yīng)用方式。提供DNS、FTP、H.323、NBT等NAT ALG功能，支持多種應(yīng)用協(xié)議正確穿越NAT。先進(jìn)的虛擬防火墻支持先進(jìn)的虛擬防火墻技術(shù)，通過在同一臺物理設(shè)備上劃分多個邏輯的防火墻實(shí)例來實(shí)現(xiàn)對用戶多個業(yè)務(wù)獨(dú)立安全策略部署的需求。當(dāng)用戶業(yè)務(wù)劃分發(fā)生變化或者產(chǎn)生新的業(yè)務(wù)部門時，可以通過添加或者減少防火墻實(shí)例的方式十分靈活的解決后續(xù)網(wǎng)絡(luò)擴(kuò)展

54、問題，簡化了網(wǎng)絡(luò)管理的復(fù)雜度。降低運(yùn)營成本直接在H3C交換機(jī)、路由器中增加SecBlade FW模塊，即可擴(kuò)展交換機(jī)、路由器的防火墻功能。通過與交換機(jī)或路由器共用管理平臺，降低了管理難度。并且交換機(jī)的任何端口都可以作為SecBlade FW模塊的端口使用，從而降低用戶成本。高可靠性SecBlade FW業(yè)務(wù)模塊作為業(yè)務(wù)插卡嵌入H3C交換機(jī)或路由器中，降低了單點(diǎn)故障，保證了網(wǎng)絡(luò)的高可靠性。產(chǎn)品規(guī)格5.5.2核心交換機(jī)介紹H3C S7500E系列高端多業(yè)務(wù)路由交換機(jī) 產(chǎn)品概述 H3C S7500E(X)系列產(chǎn)品是杭州華三通信技術(shù)有限公司（以下簡稱H3C公司）面向融合業(yè)務(wù)網(wǎng)絡(luò)的高端多業(yè)務(wù)路由交換機(jī)，

55、該產(chǎn)品基于H3C自主知識產(chǎn)權(quán)的Comware V5操作系統(tǒng)，以IRF2（Intelligent Resilient Framework 2，第二代智能彈性架構(gòu)）技術(shù)為系統(tǒng)基石的虛擬化軟件系統(tǒng)，進(jìn)一步融合MPLS VPN、IPv6、網(wǎng)絡(luò)安全、無線、無源光網(wǎng)絡(luò)等多種網(wǎng)絡(luò)業(yè)務(wù)，提供不間斷轉(zhuǎn)發(fā)、不間斷升級、優(yōu)雅重啟、環(huán)網(wǎng)保護(hù)等多種高可靠技術(shù)，在提高用戶生產(chǎn)效率的同時，保證了網(wǎng)絡(luò)最大正常運(yùn)行時間，從而降低了客戶的總擁有成本（TCO）。H3C S7500E(X)符合“限制電子設(shè)備有害物質(zhì)標(biāo)準(zhǔn)（RoHS）”，是綠色環(huán)保的路由交換機(jī)。 H3C S7500E(X)系列包括S7510E（12槽）、S7508E-X

56、（14槽）、S7506E（8槽）、S7506E-V（垂直8槽）、H3C S7506E-S（8槽）、S7503E（5槽）、7503E-S（3槽）和S7502E(4槽)8款產(chǎn)品，除了7503E-S所有產(chǎn)品均支持冗余主控。H3C S7500E(X)可廣泛應(yīng)用于城域網(wǎng)、數(shù)據(jù)中心、園區(qū)網(wǎng)核心和匯聚等多種網(wǎng)絡(luò)環(huán)境，為用戶提供了有線無線一體化、有源無源一體化的行業(yè)解決方案。產(chǎn)品特點(diǎn) 豐富的業(yè)務(wù)，適應(yīng)融合業(yè)務(wù)網(wǎng)絡(luò)發(fā)展趨勢 基于IRF2（第二代智能彈性架構(gòu)）技術(shù)的虛擬化架構(gòu) H3C S7500E(X)面向數(shù)據(jù)中心技術(shù)的演進(jìn)，推出了IRF2為代表的軟件虛擬化技術(shù)，提供2-4臺主機(jī)的協(xié)同工作、統(tǒng)一管理和不間斷維護(hù)功

57、能；IRF2不僅成為數(shù)據(jù)中心交換設(shè)備高性能、虛擬化的關(guān)鍵技術(shù)，而且對于傳統(tǒng)企業(yè)網(wǎng)應(yīng)用，IRF2所提供的高可靠性和無縫升級、擴(kuò)展能力，也成為H3C用戶增值服務(wù)的重要組成部分；另外H3C 的IRF2虛擬化技術(shù)還可根據(jù)組網(wǎng)的要求支持長距離（80KM）的普通以太網(wǎng)萬兆光纖堆疊。 全面的MPLS、VPLS業(yè)務(wù)能力 H3C S7500E(X)所有產(chǎn)品均支持Multi-VRF特性，可以作為MCE設(shè)備使用；支持三層的MPLS VPN和二層的MPLS VPN（Martini、Kompella）；支持MPLS OAM特性，方便用戶的管理和維護(hù)；與H3C MPLS VPN Manager配合，實(shí)現(xiàn)圖形化的MPLS部

58、署與維護(hù)。 全面支持VPLS，VLL，還支持分層VPLS以及QINQ+VPLS接入方式，提供端到端2層VPN接入方案，支持MPLS/VPLS全線速轉(zhuǎn)發(fā)，滿足VPLS規(guī)模部署要求。 高性能IPv4/IPv6業(yè)務(wù)能力 H3C S7500E(X)支持IPv4/IPv6雙協(xié)議棧,支持多種隧道技術(shù)，支持IPv4/IPv6的組播技術(shù)，為用戶提供完善的IPv4/IPv6解決方案；H3C S7500E(X)采用分布式體系架構(gòu)，實(shí)現(xiàn)IPv4/IPv6業(yè)務(wù)的線速無阻塞轉(zhuǎn)發(fā)；H3C S7500E(X)已經(jīng)通過了信息產(chǎn)業(yè)部的IPv6入網(wǎng)認(rèn)證和IPv6 Ready第二階段認(rèn)證，是成熟商用的IPv6產(chǎn)品。 有線無線一體化

59、，有源無源一體化 H3C S7500E(X)集成的無線控制模塊提供豐富的業(yè)務(wù)能力，包括精細(xì)的用戶控制管理、完善的RF管理及安全機(jī)制、快速漫游、超強(qiáng)的QoS和對IPv6的支持等；無線控制模塊通過與安全策略服務(wù)器的聯(lián)動，實(shí)現(xiàn)對無線接入用戶的端點(diǎn)準(zhǔn)入防御，提高了整網(wǎng)的安全性。 H3C S7500E(X)是業(yè)界最高密度的以太網(wǎng)無源光網(wǎng)絡(luò)（EPON）設(shè)備， 其提供高可靠的EPON系統(tǒng)，采用分布式體系結(jié)構(gòu)、模塊化設(shè)計(jì)，主控板冗余熱備份、無源背板、冗余電源支持雙路供電，具有電信級可靠性。 EAD端點(diǎn)準(zhǔn)入防護(hù)技術(shù) H3C S7500E(X)支持大容量的Portal認(rèn)證功能，可以在數(shù)千用戶的局域網(wǎng)中做為EAD網(wǎng)

60、關(guān)設(shè)備，為全網(wǎng)用戶提供EAD安全認(rèn)證功能；可以在大中型的校園網(wǎng)中擔(dān)任匯聚/核心設(shè)備的同時，為學(xué)生宿舍區(qū)的認(rèn)證計(jì)費(fèi)提供Portal認(rèn)證功能。 全方位的安全保障，抵御多種網(wǎng)絡(luò)安全威脅 三平面安全保障機(jī)制 H3C S7500E(X)提供完善的安全防護(hù)機(jī)制，可從控制、管理、轉(zhuǎn)發(fā)三平面全面保障網(wǎng)絡(luò)的安全：在控制平面，內(nèi)置協(xié)議報(bào)文攻擊識別模塊，防止TCN、ARP等協(xié)議報(bào)文攻擊，OSPF/BGP/IS-IS路由協(xié)議采用MD5驗(yàn)證，防止非法路由更新報(bào)文導(dǎo)致的網(wǎng)絡(luò)癱瘓；在管理平面，SNMPv3網(wǎng)管協(xié)議，SSH V2，基于802.1x、AAA/Radius的用戶身份認(rèn)證以及分級的用戶權(quán)限管理保證了設(shè)備管理的安全性