基地園區(qū)網(wǎng)絡(luò)方案建議書

XX集團(tuán)園區(qū)網(wǎng)絡(luò)技術(shù)建議書杭州華三通信技術(shù)有限公司目錄TOC\o"1-4"\h\z\u總體建設(shè)規(guī)定根據(jù)XX園區(qū)信息化對計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)的需求，我們選擇采用基于TCP/IP合同的、以1/10GBASE-X光纖鏈路為骨干的網(wǎng)絡(luò)，各樓棟內(nèi)采用千兆到桌面，規(guī)定能兼容IPV4與IPV6，通過VLAN劃分不同邏輯區(qū)域分別供不同部門的接入使用。在共用主干網(wǎng)絡(luò)線路的前提下實(shí)現(xiàn)各區(qū)域的邏輯性隔離，以實(shí)現(xiàn)安全、使用以及資源運(yùn)用最大化。區(qū)域劃分XX公司園區(qū)網(wǎng)由四棟新建樓宇構(gòu)成，分別是保障中心、集控大廳、周轉(zhuǎn)宿舍、多功效綜合樓；保障中心作為整個(gè)園區(qū)的網(wǎng)絡(luò)核心，中心機(jī)房布署在三樓，分別通過光纜連接其它樓棟，大樓內(nèi)設(shè)立匯聚交換機(jī)，接入交換機(jī)對本大樓內(nèi)的信息點(diǎn)位進(jìn)行接入。網(wǎng)絡(luò)拓樸的設(shè)計(jì)根據(jù)業(yè)務(wù)狀況，把園區(qū)網(wǎng)絡(luò)分為3套網(wǎng)絡(luò)：內(nèi)網(wǎng)、外網(wǎng)、智能網(wǎng)，三套網(wǎng)絡(luò)規(guī)定物理隔離；網(wǎng)絡(luò)主體架構(gòu)采用星型拓樸構(gòu)造，計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)考慮在保障中心三樓機(jī)房各設(shè)計(jì)2臺(tái)萬兆交換機(jī)作為XX公司個(gè)業(yè)務(wù)網(wǎng)絡(luò)的核心交換機(jī)，同時(shí)必須虛擬化能力，采用雙核心設(shè)計(jì)，把雙核心虛擬成一臺(tái)含有高性能、高可靠、高安全的虛擬交換機(jī)；核心交換機(jī)通過萬兆單光纜連接到保障中心、集控大廳、周轉(zhuǎn)宿舍、多功效綜合樓的匯聚機(jī)房，根據(jù)信息點(diǎn)位設(shè)計(jì)一臺(tái)萬兆匯聚交換機(jī)，通過千兆單模對本樓層的接入交換機(jī)提供接入，樓層設(shè)計(jì)多臺(tái)千兆接入交換機(jī)對本棟大樓信息點(diǎn)提供千兆桌面接入。網(wǎng)絡(luò)管理系統(tǒng)基于網(wǎng)絡(luò)中所涉及的設(shè)備較多，需要對設(shè)備進(jìn)行狀態(tài)檢測、設(shè)備配備、方略設(shè)立等，在網(wǎng)絡(luò)發(fā)生故障時(shí)能夠及時(shí)發(fā)現(xiàn)問題，這需要一套功效強(qiáng)大的網(wǎng)絡(luò)管理軟件。方案中選用智能網(wǎng)管軟件作為局域網(wǎng)管理平臺(tái)，能夠與方案中設(shè)計(jì)的網(wǎng)絡(luò)設(shè)備、安全設(shè)備、無線、監(jiān)控良好配合。無線覆蓋設(shè)計(jì)運(yùn)用無線網(wǎng)絡(luò)技術(shù)進(jìn)一步擴(kuò)展網(wǎng)絡(luò)的覆蓋范疇，提高網(wǎng)絡(luò)的顧客自適應(yīng)性，在無線的覆蓋范疇內(nèi)實(shí)現(xiàn)數(shù)據(jù)業(yè)務(wù)和語音業(yè)務(wù)的無線傳輸，并且可實(shí)現(xiàn)三層漫游，使無線局域網(wǎng)和有線網(wǎng)成為一種整體，提供安全的無線接入。無線規(guī)定采用FITAP組網(wǎng)方式，由無線控制器對集團(tuán)內(nèi)全部的無線AP進(jìn)行統(tǒng)一接入管理，AP供電采用POE遠(yuǎn)程供電方式；對IP地址、DNS等網(wǎng)絡(luò)基礎(chǔ)資源的規(guī)劃XX共有上千個(gè)網(wǎng)絡(luò)點(diǎn)及多個(gè)無線AP，其IP地址劃分按C類合同劃分，能夠考慮不同樓棟的不同部門上網(wǎng)采用不同的ＩＰ段。對安全的考慮方案中對系統(tǒng)安全作以下考慮，在對外連接上采用高性能防火墻，提供充足的千兆端口和解決系能。對于集團(tuán)上網(wǎng)的多個(gè)應(yīng)用進(jìn)行行為和流量控制，配備應(yīng)用控制網(wǎng)關(guān)，對集團(tuán)多個(gè)行為進(jìn)行精細(xì)化管理和控制，對上網(wǎng)行為提供事后行為審計(jì)能力。綜合布線綜合布線是本次網(wǎng)絡(luò)改造的重點(diǎn)，規(guī)定做點(diǎn)規(guī)范、整潔、美觀、方便、耐用，樓棟之間采用室外光纜進(jìn)行布放，光纜兩端采用光端盒，光端盒必須出可接跳線的耦合器，不能直接出尾纖。光纜必須走地下，不能從空中拉；室內(nèi)采用六類非屏蔽線纜，除了新教學(xué)樓，其它大樓均采用一種弱電機(jī)房，全部信息點(diǎn)的網(wǎng)線直接拉到大樓弱電機(jī)房，在機(jī)房采用配線架集中整合。線纜布放必須采用橋架方式進(jìn)行布放；XX公司網(wǎng)絡(luò)建設(shè)的總體目的是建立一種開放的、基于原則的數(shù)字化園區(qū)系統(tǒng)平臺(tái)，運(yùn)用公司信息交換、資源共享、遠(yuǎn)程會(huì)議等當(dāng)代化辦公手段，面對員工及顧客提供個(gè)性化、人性化的服務(wù)。并可支持將來數(shù)據(jù)、語音和視頻等多業(yè)務(wù)在現(xiàn)有網(wǎng)絡(luò)技術(shù)平臺(tái)的融合。計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)是整個(gè)XX公司信息管理系統(tǒng)的基礎(chǔ)平臺(tái)與設(shè)施，為確保信息管理系統(tǒng)應(yīng)用系統(tǒng)的高效、安全、可靠，必須在整個(gè)網(wǎng)絡(luò)系統(tǒng)建設(shè)方案設(shè)計(jì)中按照國家和行業(yè)原則，達(dá)成一定的設(shè)計(jì)、建設(shè)原則和目的。建設(shè)一種支持?jǐn)?shù)字化、網(wǎng)絡(luò)化、自動(dòng)化的國內(nèi)先進(jìn)的基礎(chǔ)網(wǎng)絡(luò)平臺(tái)，滿足數(shù)字化公司建設(shè)的需要，也滿足公司信息化建設(shè)的長久規(guī)定。網(wǎng)絡(luò)平臺(tái)含有良好的服務(wù)質(zhì)量、較高安全性、便于管理和維護(hù)，能夠支持公司的多個(gè)辦公和科研應(yīng)用，也支持移動(dòng)辦公、信息公布。設(shè)計(jì)原則在XX公司網(wǎng)絡(luò)建設(shè)項(xiàng)目中，為節(jié)省顧客投資，確保業(yè)務(wù)的正常、優(yōu)質(zhì)開展，整個(gè)網(wǎng)絡(luò)系統(tǒng)必須總體規(guī)劃，統(tǒng)一原則。為達(dá)成XX公司網(wǎng)絡(luò)建設(shè)的目的規(guī)定，在網(wǎng)絡(luò)設(shè)計(jì)構(gòu)建中，應(yīng)堅(jiān)持下列建網(wǎng)原則：需求驅(qū)動(dòng)原則：以實(shí)際應(yīng)用需求為根據(jù)，選擇技術(shù)和設(shè)備。根據(jù)公司信息化建設(shè)的實(shí)際需求，考慮遠(yuǎn)程辦公與合作，特別是數(shù)據(jù)信息傳輸與數(shù)字視頻業(yè)務(wù)的需要，要充足考慮網(wǎng)絡(luò)系統(tǒng)的服務(wù)質(zhì)量和可靠性。根據(jù)現(xiàn)在的需求和能夠預(yù)見的需求增加狀況設(shè)計(jì)網(wǎng)絡(luò)，不追求空洞的技術(shù)先進(jìn)性，避免追求高檔和最新技術(shù)耗費(fèi)的巨大代價(jià)。先進(jìn)性原則：公司信息化需要最新技術(shù)的支撐，特別是網(wǎng)絡(luò)技術(shù)和多媒體計(jì)算機(jī)技術(shù)，必須采用先進(jìn)成熟的技術(shù)，并兼顧將來發(fā)展趨勢。本方案所選擇H3C公司設(shè)備在技術(shù)上含有很強(qiáng)的先進(jìn)性，其性能、技術(shù)體系可確保公司5-8年的發(fā)展需要，有力的保護(hù)了公司投資。投資保護(hù)原則：由于公司已在網(wǎng)絡(luò)應(yīng)用方面做了大量的投入進(jìn)行信息化建設(shè)，公司信息化在各部門或不同的應(yīng)用上對網(wǎng)絡(luò)的需求不盡相似，原有的諸多工作已經(jīng)證明是有效的，這部分軟硬件能夠繼續(xù)發(fā)揮作用，從而保護(hù)原有投資，節(jié)省建設(shè)經(jīng)費(fèi)。原則化原則：從機(jī)房建設(shè)、綜合布線工程規(guī)范、到網(wǎng)絡(luò)技術(shù)原則和網(wǎng)絡(luò)合同，都有對應(yīng)的國際原則和國標(biāo)，全部設(shè)計(jì)與建設(shè)要遵照該原則，從而能夠?qū)崿F(xiàn)原則化管理，延長整體項(xiàng)目的生命周期，做到投資保護(hù)。安全性原則：公司信息化工作的特殊性，對網(wǎng)絡(luò)與信息安全提出了很高的規(guī)定。由于安全性的規(guī)定與投入成正比，并且涉及管理與應(yīng)用的方方面面，是一種復(fù)雜的系統(tǒng)工程，事實(shí)上沒有一種絕對安全的系統(tǒng)，安全只是相對而言，因此該原則是充足評定安全風(fēng)險(xiǎn)，制訂安全方略，采用必要的安全方法。是避免非法訪問者通過互聯(lián)網(wǎng)絡(luò)對網(wǎng)絡(luò)節(jié)點(diǎn)進(jìn)行攻擊的能力。從網(wǎng)絡(luò)設(shè)備來講，避免外部攻擊重要靠路由器實(shí)現(xiàn)，華為路由器在這方面含有獨(dú)到的優(yōu)勢。華為3COM產(chǎn)品的全部軟件及硬件均為公司自行開發(fā)研制，含有完全的知識(shí)產(chǎn)權(quán)。工程原則：網(wǎng)絡(luò)系統(tǒng)建設(shè)涉及機(jī)房與網(wǎng)絡(luò)配線間環(huán)境、通信管道與通信線纜、樓內(nèi)綜合布線系統(tǒng)、電源及其防護(hù)、網(wǎng)絡(luò)交換機(jī)與路由器、服務(wù)器設(shè)備以及有關(guān)的軟硬件系統(tǒng)，在設(shè)計(jì)建設(shè)時(shí)要體現(xiàn)工程原則，做到有工程規(guī)劃、項(xiàng)目有設(shè)計(jì)、實(shí)施有控制等，實(shí)現(xiàn)整個(gè)系統(tǒng)的可管理、可維護(hù)、可擴(kuò)展和可升級。強(qiáng)健性及開放性：它應(yīng)含有較好的收斂性和可擴(kuò)展性，同時(shí)其網(wǎng)絡(luò)額外開銷是極小的，且受到國際原則的支持，確保不同設(shè)備見的互通性。可擴(kuò)展性：考慮到此后信息化的進(jìn)程和逐步演進(jìn)，網(wǎng)絡(luò)要建設(shè)成完整統(tǒng)一、組網(wǎng)靈活、易擴(kuò)充的彈性網(wǎng)絡(luò)平臺(tái)，能夠隨著需求變化，充足留有擴(kuò)充余地。經(jīng)濟(jì)性：應(yīng)當(dāng)充足的運(yùn)用現(xiàn)有的網(wǎng)絡(luò)資源，充足考慮經(jīng)濟(jì)和安全的最佳結(jié)合點(diǎn)。設(shè)備在保障性能和可靠安全的基礎(chǔ)上，應(yīng)能達(dá)成最佳性價(jià)比。網(wǎng)絡(luò)整體方案設(shè)計(jì)總體網(wǎng)絡(luò)設(shè)計(jì)描述從應(yīng)用構(gòu)造上來講，XX公司網(wǎng)絡(luò)系統(tǒng)可分為三個(gè)大的層次：互聯(lián)支撐網(wǎng)絡(luò)互聯(lián)支撐網(wǎng)絡(luò)安全保障系統(tǒng)網(wǎng)絡(luò)業(yè)務(wù)應(yīng)用互聯(lián)支撐層是XX公司管理網(wǎng)的基礎(chǔ)，由XX公司管理中心統(tǒng)一規(guī)劃、構(gòu)建及管理，支撐層運(yùn)用寬帶IP技術(shù)，確保網(wǎng)絡(luò)的互聯(lián)互通性，提供含有一定QoS的帶寬確保，并提供各部門、系統(tǒng)網(wǎng)絡(luò)間的一定隔離，確?；ピL的安全控制；安全保障系統(tǒng)是指通過認(rèn)證、加密、授權(quán)、綁定控制等技術(shù)對XX公司管理網(wǎng)上的顧客訪問及數(shù)據(jù)實(shí)施安全保障的監(jiān)控系統(tǒng)，他與互聯(lián)支撐層相對獨(dú)立，由管理中心與各部門單位共同規(guī)劃，分布構(gòu)建，如數(shù)據(jù)加密等方法建議在顧客網(wǎng)絡(luò)處(各部門)實(shí)施；業(yè)務(wù)應(yīng)用層就是在安全互聯(lián)的基礎(chǔ)上實(shí)施XX公司管理網(wǎng)的多個(gè)應(yīng)用，由管理中心與各系統(tǒng)單位統(tǒng)一規(guī)劃，分別實(shí)施。在本方案中，各個(gè)網(wǎng)絡(luò)系統(tǒng)均采用星型構(gòu)造，星型構(gòu)造特點(diǎn)是構(gòu)造簡樸，時(shí)延固定，便于管理和故障排除，接入層單點(diǎn)故障不會(huì)影響整個(gè)網(wǎng)絡(luò)，提高網(wǎng)絡(luò)的可靠性。網(wǎng)絡(luò)構(gòu)造設(shè)計(jì)網(wǎng)絡(luò)的拓?fù)錁?gòu)造很大程度上決定了網(wǎng)絡(luò)的性能，常見的網(wǎng)絡(luò)拓?fù)錁?gòu)造重要有星型構(gòu)造、網(wǎng)狀構(gòu)造、環(huán)形構(gòu)造等幾個(gè)，根據(jù)XX集團(tuán)園區(qū)網(wǎng)的特點(diǎn)，結(jié)合性能和經(jīng)濟(jì)方面的考慮，推薦采用星型構(gòu)造搭建園區(qū)網(wǎng)。根據(jù)功效區(qū)的不同劃分為下列3層，核心層、匯聚層、接入層：名稱功效備注核心設(shè)備核心層為網(wǎng)絡(luò)提供骨干組件或高速交換組件，高效速度傳輸是核心層的目的核心交換機(jī)采用基于CLOS多級交換架構(gòu)的交換機(jī)S10500，控制和轉(zhuǎn)發(fā)物理分離，真正確保大數(shù)據(jù)量的無阻塞轉(zhuǎn)發(fā)，同時(shí)支持多業(yè)務(wù)安全插卡，確保整個(gè)網(wǎng)絡(luò)的數(shù)據(jù)傳輸安全匯聚設(shè)備匯聚層是核心層和終端顧客接入層的分界面，匯聚交換選擇S5800萬兆交換機(jī)，提供24個(gè)千兆光口，4個(gè)萬兆光接口，對上通過萬兆單模連接到兩臺(tái)核心，向下采用多模千兆接入樓層接入交換機(jī)，匯聚層完畢網(wǎng)絡(luò)訪問的方略控制、廣播域的定義、VLAN間的路由、數(shù)據(jù)包解決、過濾尋址及其它數(shù)據(jù)解決的任務(wù)。接入設(shè)備接入層向本地網(wǎng)段提供顧客接入。接入交換機(jī)采用S5110千兆交換機(jī)，通過千兆多模接到匯聚交換機(jī)，通過六類網(wǎng)線提供顧客千兆接入，重要提供網(wǎng)絡(luò)分段、廣播能力、多播能力、介質(zhì)訪問的安全性、MAC地址的過濾和路由發(fā)現(xiàn)等任務(wù)網(wǎng)絡(luò)拓?fù)鋱D網(wǎng)絡(luò)拓?fù)鋱D（內(nèi)網(wǎng)）網(wǎng)絡(luò)拓?fù)鋱D（外網(wǎng)）網(wǎng)絡(luò)拓?fù)鋱D（智能網(wǎng)）組網(wǎng)描述根據(jù)本期工程的需求和建設(shè)目的，整個(gè)園區(qū)網(wǎng)絡(luò)分為三張網(wǎng)絡(luò)：內(nèi)網(wǎng)、外網(wǎng)、智能網(wǎng)，三張網(wǎng)絡(luò)的邏輯構(gòu)造及設(shè)備選型類似，規(guī)定三張網(wǎng)絡(luò)物理隔離，獨(dú)立組網(wǎng)；網(wǎng)絡(luò)構(gòu)造設(shè)計(jì)上采用三層架構(gòu)，核心交換機(jī)、匯聚交換機(jī)、接入交換機(jī)，樓間采用萬兆單模連接，大樓內(nèi)的匯聚和接入通過千兆單模光纖連接，千兆到桌面，同時(shí)實(shí)現(xiàn)園區(qū)部分場合的無線無縫覆蓋，為園區(qū)提供高速、穩(wěn)定、方便的無線接入平臺(tái)，確保園區(qū)多個(gè)應(yīng)用能夠隨時(shí)隨處的開展。網(wǎng)絡(luò)出口設(shè)計(jì)三張網(wǎng)絡(luò)（內(nèi)網(wǎng)、外網(wǎng)、智能網(wǎng)）的出口分別通過核心交換機(jī)接到集團(tuán)原有對應(yīng)網(wǎng)絡(luò)上，在核心交換機(jī)上布署安全插卡（防火墻、入侵防御系統(tǒng)），有效制止來自網(wǎng)絡(luò)中的多個(gè)安全威脅，如黑客、木馬、病毒、網(wǎng)頁篡改等；在外網(wǎng)考慮兩個(gè)出口，一種出口為集團(tuán)外網(wǎng)接入，另外考慮單獨(dú)的互聯(lián)網(wǎng)出口，在互聯(lián)網(wǎng)出口布署一臺(tái)高性能出口路由器SR6602-X1，提供15M的包轉(zhuǎn)發(fā)能力，4個(gè)千兆光口，4個(gè)千兆電口，2個(gè)萬兆接口，4個(gè)業(yè)務(wù)擴(kuò)展槽位，出口路由器要做NAT轉(zhuǎn)換，SR6602含有400萬的并發(fā)連接數(shù)，完全滿足園區(qū)顧客的上網(wǎng)需要，園區(qū)內(nèi)部全部采用私有地址，通過NAT后訪問互聯(lián)網(wǎng)，能夠較好解決公網(wǎng)地址局限性的問題。核心層設(shè)計(jì)隨著園區(qū)網(wǎng)信息化的完善，園區(qū)的應(yīng)用越來越多，上網(wǎng)的人也越來越多，業(yè)務(wù)也遍及辦公、娛樂、生活各個(gè)領(lǐng)域，接入方式不局限于有線，有高帶寬的無線接入，因此園區(qū)核心交換機(jī)需要同時(shí)承載多個(gè)業(yè)務(wù)，全部業(yè)務(wù)都要通過核心交換機(jī)解決，建議核心交換機(jī)必須滿足大容量、高性能、高可靠、高安全及網(wǎng)絡(luò)擴(kuò)展的規(guī)定，本次三張網(wǎng)絡(luò)（內(nèi)網(wǎng)、外網(wǎng)、智能網(wǎng)）核心層均采用雙核心設(shè)計(jì)，核心交換機(jī)采用H3C多級交換架構(gòu)（CLOS）數(shù)據(jù)中心級交換機(jī)S10508-V，兩臺(tái)核心通過虛擬化技術(shù)IRF2虛擬成一臺(tái)設(shè)備邏輯設(shè)備，H3CS10500是中國國內(nèi)第一款100G平臺(tái)交換機(jī)，支持將來40GE和100GE以太網(wǎng)原則，采用先進(jìn)的CLOS多級多平面交換架構(gòu)，獨(dú)立的交換網(wǎng)板卡，控制引擎和交換網(wǎng)板硬件互相獨(dú)立，最大程度的提高設(shè)備可靠性，同時(shí)為后續(xù)產(chǎn)品帶寬的持續(xù)升級提供確保；為了滿足數(shù)據(jù)中心級網(wǎng)絡(luò)高可靠、高可用、虛擬化的規(guī)定，S10500采用創(chuàng)新IRF2（第二代智能彈性架構(gòu)）設(shè)計(jì)，將多臺(tái)高端設(shè)備虛擬化為一臺(tái)邏輯設(shè)備，簡化路由合同運(yùn)行狀態(tài)與運(yùn)維管理，同時(shí)大大縮短設(shè)備及鏈路出現(xiàn)故障快速切換，避免網(wǎng)絡(luò)震蕩。IRF2互聯(lián)鏈路采用2*10GE捆綁，確保高可靠及橫向互訪高帶寬。在每臺(tái)核心交換機(jī)S10508配備配備1個(gè)控制引擎、3個(gè)電源、2個(gè)獨(dú)立的交換引擎、32個(gè)萬兆光口（含4個(gè)萬兆單模光模塊，2個(gè)萬兆多模光模塊），用于連接樓棟匯聚（保障中心、集控大廳、周轉(zhuǎn)宿舍、多功效綜合樓），配備48個(gè)千兆電接口，便于集團(tuán)服務(wù)器、工作站接入；核心節(jié)點(diǎn)到樓層交換機(jī)和各大樓匯聚交換機(jī)之間通過10GE鏈路連接，核心設(shè)備支持虛擬化，兩臺(tái)核心可虛擬為一臺(tái)路由設(shè)備，為接入的顧客提供缺省網(wǎng)關(guān)的冗余，便于后期雙核心擴(kuò)展。IRF2虛擬化技術(shù)——核心組網(wǎng)可靠性：實(shí)現(xiàn)兩臺(tái)核心交換機(jī)S10508-V虛擬成一臺(tái)邏輯設(shè)備，通過跨設(shè)備鏈路捆綁實(shí)現(xiàn)核心和接入的點(diǎn)對點(diǎn)互聯(lián)，消除二層網(wǎng)絡(luò)的環(huán)路，這樣就直接避免了在網(wǎng)絡(luò)中部暑STP，同時(shí)對于核心的兩臺(tái)設(shè)備虛擬化為一臺(tái)邏輯設(shè)備之后，網(wǎng)關(guān)也將變成一種，無需布署傳統(tǒng)的VRRP合同。在管理層面，通IRF2多虛一之后，管理的設(shè)備數(shù)量減少二分之一以上，對于本項(xiàng)目，管理點(diǎn)只有核心和接入兩臺(tái)設(shè)備，網(wǎng)絡(luò)管理大幅度簡化。以下圖所示：多級交換（CLOS）架構(gòu)——核心硬件可靠性：1、轉(zhuǎn)發(fā)任務(wù)分擔(dān)到多塊交換網(wǎng)板，轉(zhuǎn)發(fā)效率急速提高，性能大幅提高2、主控轉(zhuǎn)發(fā)物理分離，引擎壓力驟減，交換網(wǎng)板互相備份，可靠性更高3、交換網(wǎng)板可熱插拔升級，可擴(kuò)展性能，滿足久遠(yuǎn)需求保障核心節(jié)點(diǎn)的高可靠性。數(shù)據(jù)大集中后整個(gè)系統(tǒng)將承載多個(gè)業(yè)務(wù)系統(tǒng)，不同的業(yè)務(wù)對網(wǎng)絡(luò)的帶寬、時(shí)延等規(guī)定也不同，這就規(guī)定核心交換設(shè)備業(yè)務(wù)與性能并重；核心交換機(jī)必須采用功效強(qiáng)大的ASIC芯片實(shí)現(xiàn)業(yè)務(wù)的分布式線速解決，從而在為顧客提供有保障的業(yè)務(wù)特性的同時(shí)保障數(shù)據(jù)報(bào)文的線速轉(zhuǎn)發(fā)。匯聚層設(shè)計(jì)由于XX園區(qū)各大樓的信息點(diǎn)位較多，各樓層均考慮了接入交換機(jī)，因此在三張網(wǎng)絡(luò)（內(nèi)網(wǎng)、外網(wǎng)、智能網(wǎng)）各大樓出口處設(shè)計(jì)一臺(tái)高性能匯聚交換機(jī)S5800-32F：LS-5800-32F-H3S5800-32F匯聚交換機(jī)重要完畢各大樓樓層交換機(jī)的匯聚，提供360Gbps數(shù)據(jù)交換能力，含有156Mpps的數(shù)據(jù)包轉(zhuǎn)發(fā)能力，天然支持全線速分布式轉(zhuǎn)發(fā)，提供24個(gè)千兆接口，4個(gè)萬兆接口，配備2個(gè)單模萬兆上聯(lián)至兩臺(tái)核心交換機(jī)S10508-V，提供1個(gè)業(yè)務(wù)插槽，便于后期接口擴(kuò)展，接入交換機(jī)通過千兆多模連接到匯聚交換機(jī)，確保接入交換機(jī)的上行帶寬，同時(shí)在匯聚層交換機(jī)支持流量采集功效，可對對整網(wǎng)的全網(wǎng)流量進(jìn)行分析。根據(jù)業(yè)務(wù)需要，S5800-32F可擴(kuò)展16端口光接口板，16端口電接口板，4端口萬兆接口板，無線控制器插卡（可支持128個(gè)AP的接入控制能力），滿足將來業(yè)務(wù)擴(kuò)展的規(guī)定。接入層設(shè)計(jì)XX園區(qū)各大樓樓層的信息點(diǎn)比較多，各樓層單獨(dú)考慮接入交換機(jī)，接入交換機(jī)通過千兆單模接到大樓的匯聚交換機(jī)，通過六類網(wǎng)線提供本樓層的千兆接入，通過對XX園區(qū)接入需求分析，建議選用H3C的千兆接入交換機(jī)LS-S5110-28P：LS-S5110-28PPOE交換機(jī)提供256G的交換容量，40Mbps的包轉(zhuǎn)發(fā)能力，提供24個(gè)10/100/1000Base-T以太網(wǎng)端口和4個(gè)復(fù)用的1000Base-XSFP千兆以太網(wǎng)端口，實(shí)現(xiàn)千兆到桌面設(shè)計(jì)，千兆以太網(wǎng)逐步延伸到桌面已經(jīng)成為最迫切的需要之一，隨著園區(qū)多媒體應(yīng)用的增加，應(yīng)用在消耗大量帶寬的同時(shí)，也在追求終端顧客的滿意度，基于銅纜的千兆以太網(wǎng)能夠?qū)⒏嗟膽?yīng)用從低速鏈路中解放出來，并且為罷工人員工作創(chuàng)新提供了一種嶄新高效能工作平臺(tái)。顧客認(rèn)證：XX園區(qū)無線顧客涉及兩部分，內(nèi)部辦公人員和外來辦事人員，本次三張網(wǎng)絡(luò)各配備一套EIA終端智能接入：針對內(nèi)部顧客，采用MAC地址認(rèn)證，職工采用分派固定帳號，并可實(shí)現(xiàn)終端MAC地址和IP地址等多元素的綁定，避免非法顧客的訪問內(nèi)部網(wǎng)絡(luò)。針對訪客，系統(tǒng)提供臨時(shí)接入賬號的訪客管理功效，訪客管理員可創(chuàng)立來賓賬號，或訪客通過自助系統(tǒng)登記有關(guān)信息，并申請?jiān)L客接入網(wǎng)絡(luò)服務(wù)。通過后臺(tái)管理同意的訪客賬號，并以短信方式告知訪客帳號和密碼，之后可訪問內(nèi)部網(wǎng)絡(luò)，該賬號將在超出保存時(shí)長后失效。當(dāng)顧客接入網(wǎng)絡(luò)后，可強(qiáng)化對顧客接入的管理：基于顧客的權(quán)限控制方略，可覺得不同顧客定制不同網(wǎng)絡(luò)訪問權(quán)限。能夠控制顧客的上網(wǎng)帶寬（QoS）、限制顧客同時(shí)在線數(shù)、嚴(yán)禁顧客設(shè)立和使用代理服務(wù)器，有效避免個(gè)別顧客對網(wǎng)絡(luò)資源的過分占用。支持最大閑置時(shí)長限制。能夠?qū)崿F(xiàn)對顧客ACL、VLAN的控制，限制顧客對內(nèi)部敏感服務(wù)器和外部非法網(wǎng)站的訪問。能夠限制顧客IP地址分派方略，避免IP地址盜用和沖突。監(jiān)控顧客認(rèn)證成功后的IP地址，若有變更則強(qiáng)制規(guī)定下線。能夠限制顧客的接入時(shí)段和接入?yún)^(qū)域，顧客只能在允許的時(shí)間和地點(diǎn)上網(wǎng)。能夠限制終端顧客使用多網(wǎng)卡和撥號網(wǎng)絡(luò)，嚴(yán)禁修改終端MAC地址，避免內(nèi)部信息泄露。能夠限制顧客必須使用專用安全客戶端，并強(qiáng)制自動(dòng)升級，避免安全客戶端被破解，確保認(rèn)證客戶端的安全性。接入顧客網(wǎng)關(guān)配備，提供接入顧客網(wǎng)關(guān)IP、MAC地址配備信息。本次在XX集團(tuán)三張網(wǎng)絡(luò)（內(nèi)網(wǎng)、外網(wǎng)、智能網(wǎng)）各配備一套H3C顧客接入管理EIA，并配備1000顧客的并發(fā)認(rèn)證許可，實(shí)現(xiàn)對本網(wǎng)絡(luò)內(nèi)的顧客進(jìn)行接入認(rèn)證和控制。網(wǎng)絡(luò)管理系統(tǒng)：集團(tuán)的網(wǎng)絡(luò)設(shè)備和顧客越來越多，有一套智能管理軟件，能夠大大簡化網(wǎng)絡(luò)管理人員的工作量，同時(shí)能夠提供網(wǎng)絡(luò)管理的工作效率，網(wǎng)絡(luò)管理軟件必須含有網(wǎng)絡(luò)拓?fù)洹⒕W(wǎng)絡(luò)性能、網(wǎng)絡(luò)配備、網(wǎng)絡(luò)安全、網(wǎng)絡(luò)告警、網(wǎng)絡(luò)業(yè)務(wù)的統(tǒng)一管理，同時(shí)在其上能夠配備有多個(gè)業(yè)務(wù)管理組件，如本次推薦配備有線無線一體化管理組件，方便管理大規(guī)模的無線管理網(wǎng)絡(luò)；智能配備中心，能夠方便的管理上百臺(tái)設(shè)備的軟件、配備變更、收集軟件版本、配備的基線庫，為多臺(tái)設(shè)備統(tǒng)一批量配備和升級，大大節(jié)省管理員的工作量。本次在XX集團(tuán)三張網(wǎng)絡(luò)（內(nèi)網(wǎng)、外網(wǎng)、智能網(wǎng)）各配備一套H3C智能管理中心IMC，并配備50個(gè)節(jié)點(diǎn)的管理，實(shí)現(xiàn)對本網(wǎng)絡(luò)內(nèi)的設(shè)備進(jìn)行智能管理。安全設(shè)計(jì)安全設(shè)計(jì)要點(diǎn)安全是一種系統(tǒng)工程，為了合理的解決網(wǎng)絡(luò)安全問題，必須充足分析網(wǎng)絡(luò)邏輯構(gòu)成，網(wǎng)絡(luò)中不同部分的功效不同，所關(guān)注的安全問題也不同。所謂安全威脅，就是未經(jīng)授權(quán)，對位于服務(wù)器、網(wǎng)絡(luò)和桌面的數(shù)據(jù)和資源進(jìn)行訪問，甚至破壞或者篡改這些數(shù)據(jù)/資源。從安全威脅的對象來看，能夠分為網(wǎng)絡(luò)傳送過程、網(wǎng)絡(luò)服務(wù)過程和軟件應(yīng)用過程三類。網(wǎng)絡(luò)傳送過程重要針對數(shù)據(jù)鏈路層和網(wǎng)絡(luò)層合同特性中存在的漏洞進(jìn)行攻擊，如常見的監(jiān)聽、IP地址欺騙、路由合同攻擊、ICMPSmurf攻擊等；網(wǎng)絡(luò)服務(wù)過程重要針對TCP/UDP以及居于其上的應(yīng)用層合同進(jìn)行，如常見的UDP/TCP欺騙、TCP流量劫持、TCPDoS、FTP反彈、DNS欺騙等等；軟件應(yīng)用過程則針對位于服務(wù)器/主機(jī)上的操作系統(tǒng)以及其上的應(yīng)用程序，甚至是基于Web的軟件系統(tǒng)發(fā)起攻擊。從安全威脅的手法來看，蠕蟲、回絕服務(wù)、監(jiān)聽、木馬、病毒…都是常見的攻擊工具。對核心的主機(jī)系統(tǒng)和子網(wǎng)，能夠進(jìn)行網(wǎng)絡(luò)資源檢查，并及時(shí)發(fā)現(xiàn)問題。使用安全掃描軟件，對核心的主機(jī)系統(tǒng)和網(wǎng)絡(luò)定時(shí)進(jìn)行掃描，能夠檢查出網(wǎng)絡(luò)弱點(diǎn)和方略配備上的問題。根據(jù)掃描軟件發(fā)現(xiàn)的問題，及時(shí)更新操作系統(tǒng)補(bǔ)丁，查殺病毒，更新安全方略。定時(shí)強(qiáng)制更新顧客口令，并制訂顧客口令規(guī)則，嚴(yán)禁使用不符合規(guī)則的口令。定時(shí)檢查文獻(xiàn)系統(tǒng)的訪問權(quán)限與否合理，檢查顧客帳號的使用與否正常。網(wǎng)絡(luò)邊界安全防護(hù)在傳統(tǒng)的數(shù)據(jù)中心網(wǎng)絡(luò)安全布署時(shí)，往往是網(wǎng)絡(luò)與安全各自為戰(zhàn)，在網(wǎng)絡(luò)邊界或核心節(jié)點(diǎn)串接安全設(shè)備(如FW、IPS、LB等)。隨著數(shù)據(jù)中心布署的安全設(shè)備的種類和數(shù)量也越來越多，這將造成數(shù)據(jù)中心機(jī)房布線、空間、能耗、運(yùn)維管理等成本越來越高。傳統(tǒng)布署方式H3C插卡布署方式本次方案中采用了H3CSecBlade安全插卡可直接插在核心交換機(jī)S10508-V的業(yè)務(wù)槽位，通過交換機(jī)背板互連實(shí)現(xiàn)流量轉(zhuǎn)發(fā)，共用交換機(jī)電源、電扇等基礎(chǔ)部件。融合布署除了簡化機(jī)房布線、節(jié)省機(jī)架空間、簡化管理之外，還含有下列優(yōu)點(diǎn)：互連帶寬高。SecBlade系列安全插卡采用背板總線與交換機(jī)進(jìn)行互連，背板總線帶寬普通可超出40Gbps，相比傳統(tǒng)的獨(dú)立安全設(shè)備采用普通千兆以太網(wǎng)接口進(jìn)行互連，在互連帶寬上有了很大的提高，并且無需增加布線、光纖和光模塊成本。業(yè)務(wù)接口靈活。SecBlade系列安全插卡上不對外提供業(yè)務(wù)接口（僅提供配備管理接口），當(dāng)交換機(jī)上插有SecBlade安全插卡時(shí)，交換機(jī)上原有的全部業(yè)務(wù)接口均可配備為安全業(yè)務(wù)接口。此時(shí)再也無需緊張安全業(yè)務(wù)接口不夠而帶來網(wǎng)絡(luò)安全布署的局限性。性能平滑擴(kuò)展。當(dāng)一臺(tái)交換機(jī)上的一塊SecBlade安全插卡的性能不夠時(shí)，能夠再插入一塊或多塊SecBlade插卡實(shí)現(xiàn)性能的平滑疊加。并且全部SecBlade插卡均支持熱插拔，在進(jìn)行擴(kuò)展時(shí)無需停機(jī)中斷現(xiàn)有的業(yè)務(wù)。本次XX集團(tuán)園區(qū)項(xiàng)目設(shè)計(jì)在三張網(wǎng)的核心交換機(jī)S10508-V上布署多個(gè)安全插卡：防火墻（LSQM1FWBSC0）、入侵防御系統(tǒng)（LSQM1IPSSC0），實(shí)現(xiàn)網(wǎng)絡(luò)安全的一體化防護(hù)。數(shù)據(jù)中心出口安全含有訪問控制、區(qū)域隔離、狀態(tài)檢測等2-4層安全功效，同時(shí)也含有對木馬、病毒、蠕蟲等應(yīng)用層安全威脅進(jìn)行檢查、阻斷、告警等4-7層安全防護(hù)功效，實(shí)現(xiàn)2-7層的立體安全防護(hù)功效。LSQM1FWBSC0防火墻插卡LSQM1IPSSC0入侵防御系統(tǒng)插卡如布署防火墻插卡，防火墻插卡設(shè)備即使布署在交換機(jī)框中，但仍然能夠看作是一種獨(dú)立的設(shè)備。它通過交換機(jī)內(nèi)部的10GE接口與網(wǎng)絡(luò)設(shè)備相連，它能夠布署為2層透明設(shè)備和三層路由設(shè)備。防火墻與交換機(jī)之間的三層布署方式與傳統(tǒng)盒式設(shè)備類似。虛擬防火墻示意圖如上圖FW三層布署所示，防火墻能夠與宿主交換機(jī)直接建立三層連接，也能夠與上游或下游設(shè)備建立三層連接，不同連接方式取決于顧客的訪問方略。能夠通過靜態(tài)路由和缺省路由實(shí)現(xiàn)三層互通，也能夠通過OSPF這樣的路由合同提供動(dòng)態(tài)的路由機(jī)制。如果防火墻布署在服務(wù)器區(qū)域，能夠?qū)⒎阑饓υO(shè)計(jì)為服務(wù)器網(wǎng)關(guān)設(shè)備，這樣全部訪問服務(wù)器的三層流量都將通過防火墻設(shè)備，這種布署方式能夠提供區(qū)域內(nèi)部服務(wù)器之間訪問的安全性。防火墻是網(wǎng)絡(luò)系統(tǒng)的核心基礎(chǔ)防護(hù)方法，它能夠?qū)φ麄€(gè)網(wǎng)絡(luò)進(jìn)行網(wǎng)絡(luò)區(qū)域分割，提供基于IP地址和TCP/IP服務(wù)端口等的訪問控制；對常見的網(wǎng)絡(luò)攻擊方式，如回絕服務(wù)攻擊（pingofdeath,land,synflooding,pingflooding,teardrop）、端口掃描（portscanning）、IP欺騙(ipspoofing)、IP盜用等進(jìn)行有效防護(hù)；并提供NAT地址轉(zhuǎn)換、流量限制、顧客認(rèn)證、IP與MAC綁定等安全增強(qiáng)方法。對于云計(jì)算數(shù)據(jù)中心虛擬機(jī)服務(wù)網(wǎng)關(guān)的選擇上，建議根據(jù)不同顧客的安全需求進(jìn)行辨別看待，不建議將全部網(wǎng)關(guān)配備在FW上，以分散FW的壓力，滿足顧客內(nèi)的安全域隔離，具體設(shè)計(jì)以下：對于需要FW的業(yè)務(wù)的顧客，網(wǎng)關(guān)布署在vFW上； 對于不需要FW的普通顧客，網(wǎng)關(guān)布署在核心交換機(jī)上。多顧客安全隔離示意圖無線網(wǎng)工程的總體原則以下：側(cè)重實(shí)際應(yīng)用，覆蓋XX園區(qū)各大樓內(nèi)全部區(qū)域，為教學(xué)、科研、辦公及學(xué)習(xí)、生活、交流提供切實(shí)可用的、穩(wěn)定的無線網(wǎng)絡(luò)環(huán)境。采用先進(jìn)通行的合同原則，即現(xiàn)在無線局域網(wǎng)普遍采用802.11系列原則，無線局域網(wǎng)提供802.11a、802.11b、802.11g、802.11n原則的聯(lián)網(wǎng)支持，提供可供實(shí)際應(yīng)用的穩(wěn)定網(wǎng)絡(luò)通訊服務(wù)。實(shí)現(xiàn)室內(nèi)無線網(wǎng)絡(luò)的合理分布，考慮室內(nèi)實(shí)現(xiàn)無線網(wǎng)絡(luò)的不同狀況和特點(diǎn)以及現(xiàn)在辦公人員及外來人員手提電腦/智能終端（手機(jī)、平板電腦）顧客數(shù)量日益增多的狀況，應(yīng)采用合理的布網(wǎng)方式滿足現(xiàn)在以及將來發(fā)展的需要。在辦公室、會(huì)議室采用室內(nèi)面板式AP布署或者吸頂AP。新建網(wǎng)絡(luò)需要實(shí)現(xiàn)與現(xiàn)有的無線網(wǎng)和有線網(wǎng)的網(wǎng)絡(luò)融合與統(tǒng)一管理。在實(shí)施無線覆蓋工程時(shí)，如無特別闡明，以考慮信號覆蓋范疇為主，單個(gè)AP的并發(fā)顧客數(shù)及每顧客無線上網(wǎng)帶寬也要作為工程的重要因素予以考慮。全部XX集團(tuán)園區(qū)各大樓內(nèi)部區(qū)域采用布署11n，使得XX集團(tuán)園區(qū)的無線接入帶寬達(dá)成300M接入帶寬，同時(shí)考慮到顧客終端的多樣性，規(guī)定AP要向下兼容11a/b/g，重要吸頂安裝為主，兩種應(yīng)用場景，第一種過道式布署，建議一種AP覆蓋6個(gè)左右的辦公室，過道安裝每隔15-20米左右安裝一種AP，對于第二種場景，1-5樓比較空曠的展區(qū)，建議每個(gè)15-20米安裝一種AP。無線系統(tǒng)須含有對無線AP進(jìn)行統(tǒng)一控制、管理的軟硬件平臺(tái)，軟硬件控制、管理平臺(tái)所提供的網(wǎng)元License數(shù)量與實(shí)際網(wǎng)元數(shù)量相匹配并易于擴(kuò)充運(yùn)維系統(tǒng)須提供必要的網(wǎng)絡(luò)監(jiān)控、管理、統(tǒng)計(jì)、報(bào)表功效，提供足夠數(shù)量的License授權(quán)。無線網(wǎng)系統(tǒng)必須實(shí)現(xiàn)與有線網(wǎng)現(xiàn)有認(rèn)證系統(tǒng)對接，從而實(shí)現(xiàn)XX集團(tuán)有線網(wǎng)與無線網(wǎng)的統(tǒng)一身份認(rèn)證。有線無線一體化設(shè)計(jì)XX園區(qū)網(wǎng)絡(luò)部分樓棟功效區(qū)要考慮無線覆蓋，三張網(wǎng)絡(luò)（內(nèi)網(wǎng)、外網(wǎng)、智能網(wǎng)）都有無線覆蓋規(guī)定，三張網(wǎng)絡(luò)的無線部分分別設(shè)計(jì)，三張無線網(wǎng)絡(luò)的邏輯構(gòu)造和選型完全一致，每棟樓設(shè)計(jì)1臺(tái)24口POE千兆交換機(jī)，POE交換機(jī)上通過光纖接到大樓匯聚交換機(jī)，下連本樓層的無線AP，同時(shí)對AP進(jìn)行POE供電，采用FITAP解決方案，只需要在保障中心三樓機(jī)房放置1臺(tái)智能無線控制器(AC)，AC可支持熱備，便于后期雙控制器擴(kuò)展，兩個(gè)無線控制器互為備份，在接入層布署11n300M的智能無線接入點(diǎn)(AP)，即可完畢整網(wǎng)的布署。無線控制器如果僅僅只采用AP本身進(jìn)行無線覆蓋，即傳統(tǒng)的胖AP模式進(jìn)行無線覆蓋，采用這樣的布署方式去布署XX園區(qū)的無線網(wǎng)絡(luò)有極大的缺點(diǎn)。其一、胖AP把全部的配備均配備到AP本身上，如此數(shù)量多的AP，使客戶的維護(hù)管理工作量大大增加。其二、胖AP無法統(tǒng)一管理控制，AP之間本身就不能無縫融合，那么就會(huì)出現(xiàn)當(dāng)你離開一種區(qū)域到另一種區(qū)域時(shí)必然出現(xiàn)不停重新認(rèn)證的問題。其三、AP與AP之間無聯(lián)系，無法實(shí)現(xiàn)智能的負(fù)載分擔(dān)和均衡。因此，決定采用統(tǒng)一的無線控制器對AP進(jìn)行統(tǒng)一管理，AC+FITAP（瘦AP）的組網(wǎng)方式。這樣能夠大大減少維護(hù)管理工作量，能實(shí)現(xiàn)無縫漫游和負(fù)載分擔(dān)。本次XX園區(qū)三張網(wǎng)絡(luò)（內(nèi)網(wǎng)、外網(wǎng)、智能網(wǎng)）分別設(shè)計(jì)一臺(tái)無線控制器WX5510E，提供8個(gè)千兆comb口，和2個(gè)萬兆接口，整機(jī)支持512個(gè)AP接入能力，本次每臺(tái)配備128個(gè)AP接入授權(quán)。EWP-WX5510E無線控制器WX5510E采用下列布署方式：集中式控制，在XX園區(qū)保障中心三樓核心機(jī)房三張網(wǎng)絡(luò)布署各1臺(tái)無線控制器，集中對XX園區(qū)各網(wǎng)絡(luò)內(nèi)AP進(jìn)行接入控制。無線控制器支持N+1熱備，不存在單點(diǎn)故障，AP分批實(shí)施時(shí)AC可按需擴(kuò)容，布署方案靈活；多業(yè)務(wù)無線控制器WX5510E集精細(xì)的顧客控制管理、完善的管理及安全機(jī)制、快速漫游、超強(qiáng)的QoS及IPv4&IPv6等多功效于一體，提供強(qiáng)大的WLAN接入控制功效。顧客管理、加密、漫游、AP管理等功效全部集中到無線控制器上進(jìn)行，減輕了AP負(fù)擔(dān)，在規(guī)模越大的網(wǎng)絡(luò)上管理越簡樸，同時(shí)無線控制器會(huì)自動(dòng)調(diào)節(jié)AP的工作信道以及發(fā)射功率。這樣能夠簡化整個(gè)網(wǎng)絡(luò)AP的管理，提高設(shè)備的工作效率。無線AP由于無線WLAN采用沖突避免的載波偵聽多路訪問機(jī)制當(dāng)顧客數(shù)量多大，顧客接入速度就會(huì)受到影響。普通建議每AP按照25～30戶規(guī)劃為最佳，如果使用雙頻AP，則每個(gè)頻段能規(guī)劃25～30個(gè)顧客。在覆蓋范疇上：普通來說，AP在室內(nèi)普通環(huán)境下覆蓋30米。在接入速率上：采用11N300M的AP，大大超出了傳統(tǒng)的無線AP接入速率，能夠較好的確保網(wǎng)絡(luò)數(shù)據(jù)的高速傳輸。針對園區(qū)各功效區(qū)域的無線場景，建議吸頂放裝型APEWP-WA2620i-AGN-FIT和面板APEWP-WA2610H-GN-FIT。正對會(huì)議室、過道、咖啡廳等采用放裝型AP，對于辦公室、接待中心采用面板型AP。放裝AWA2620面板APWA2610H-GN吸頂放裝示意圖AP內(nèi)置終端智能感知型天線，直接吸頂安裝于天花板即可，無需外接天線。面板AP安裝示意圖5步！安裝一種AP只需3~5分鐘。WA2610H-GN采用國際原則的插座安裝辦法進(jìn)行設(shè)計(jì)，和其它開關(guān)面板同樣，更換一種面板式AP只需要簡樸的5個(gè)環(huán)節(jié)，總耗時(shí)不超出5分鐘，能夠極大的加緊客戶布署無線網(wǎng)絡(luò)的速度。WA2610H-GN之5步安裝辦法POE供電接入交換機(jī)采用支持POE供電的交換機(jī)，可提供最大24口POE供電，POE接入交換機(jī)通過光纖與各自樓棟匯聚交換機(jī)互聯(lián)。本次選用H3CLS-S5110-28P-PWR作為AP的數(shù)據(jù)接入和遠(yuǎn)程供電設(shè)備，LS-S5110-28P-PWR提供24個(gè)10/100/1000Base-T以太網(wǎng)端口，4個(gè)1000Base-X以太網(wǎng)端口，提供370WPOE輸出能力，滿足24個(gè)千兆電口同時(shí)POE供電。LS-S5110-28P-PWRPOE交換機(jī)PoE交換機(jī)在無線布署工程中含有非常明顯的優(yōu)勢，具體以下：簡化安裝，減少成本，不需為每個(gè)網(wǎng)絡(luò)設(shè)備單獨(dú)提供數(shù)據(jù)和電力線纜。靈活性提高，網(wǎng)絡(luò)裝置可被安裝在任何位置，而不需靠近一種已存在的電源輸出口。可靠性增強(qiáng)，有SNMP能力的PoE裝置，可實(shí)施遠(yuǎn)程檢測和控制，能有效地解決或修理裝置的耗電量和（或）失效故障。交換機(jī)通過以太網(wǎng)線來匯聚AP的流量，同時(shí)為AP提供電源，這樣能夠簡化布線，布署美觀，同時(shí)減少故障點(diǎn)，提高網(wǎng)絡(luò)的可靠性。根據(jù)XX園區(qū)實(shí)際狀況，在每棟樓布署對應(yīng)的POE交換機(jī)對AP進(jìn)行POE供電。無線網(wǎng)管運(yùn)維為了對XX園區(qū)網(wǎng)的無線網(wǎng)絡(luò)、有線網(wǎng)絡(luò)等設(shè)備進(jìn)行統(tǒng)一有效的管理，能夠?qū)崟r(shí)監(jiān)控網(wǎng)絡(luò)設(shè)備的運(yùn)行狀況，網(wǎng)絡(luò)拓?fù)錁?gòu)造的變化等網(wǎng)絡(luò)問題，全部在本次的XX集團(tuán)園區(qū)無線網(wǎng)絡(luò)建設(shè)中擬配備智能網(wǎng)絡(luò)管理系統(tǒng)，該智能管理系統(tǒng)平臺(tái)實(shí)現(xiàn)網(wǎng)絡(luò)資源、顧客和業(yè)務(wù)的融合管理，提供基本的網(wǎng)絡(luò)資源管理、拓?fù)涔芾?、故障管理、性能管理、顧客管理及系統(tǒng)安全管理，更科學(xué)合理的規(guī)劃和管理網(wǎng)絡(luò)，實(shí)現(xiàn)對涉及交換機(jī)、無線AP，無線控制器的統(tǒng)一管理。針對無線運(yùn)維管理，本次配備三張網(wǎng)各配備一套H3CWSM無線運(yùn)維管理，實(shí)現(xiàn)整個(gè)園區(qū)無線網(wǎng)絡(luò)的統(tǒng)一管理，對于網(wǎng)絡(luò)中的AC、FATAP、FITAP、移動(dòng)終端、POE交換機(jī)等無線設(shè)備與有線設(shè)備進(jìn)行一體化集中管理，全網(wǎng)設(shè)備信息和狀態(tài)一目了然。網(wǎng)絡(luò)資源通過多個(gè)視圖進(jìn)行查看，視圖內(nèi)分組管理，將規(guī)模巨大的無線接入設(shè)備有效組織，便于管理員維護(hù)。無線顧客認(rèn)證XX園區(qū)無線顧客涉及兩部分，內(nèi)部辦公人員和外來辦事人員，本次三張網(wǎng)絡(luò)各配備一套EIA終端智能接入：針對內(nèi)部顧客，采用MAC地址認(rèn)證，職工采用分派固定帳號，并可實(shí)現(xiàn)終端MAC地址和IP地址等多元素的綁定，避免非法顧客的訪問內(nèi)部網(wǎng)絡(luò)。針對訪客，系統(tǒng)提供臨時(shí)接入賬號的訪客管理功效，訪客管理員可創(chuàng)立來賓賬號，或訪客通過自助系統(tǒng)登記有關(guān)信息，并申請?jiān)L客接入網(wǎng)絡(luò)服務(wù)。通過后臺(tái)管理同意的訪客賬號，并以短信方式告知訪客帳號和密碼，之后可訪問內(nèi)部網(wǎng)絡(luò)，該賬號將在超出保存時(shí)長后失效。當(dāng)顧客接入網(wǎng)絡(luò)后，可強(qiáng)化對顧客接入的管理：基于顧客的權(quán)限控制方略，可覺得不同顧客定制不同網(wǎng)絡(luò)訪問權(quán)限。能夠控制顧客的上網(wǎng)帶寬（QoS）、限制顧客同時(shí)在線數(shù)、嚴(yán)禁顧客設(shè)立和使用代理服務(wù)器，有效避免個(gè)別顧客對網(wǎng)絡(luò)資源的過分占用。支持最大閑置時(shí)長限制。能夠?qū)崿F(xiàn)對顧客ACL、VLAN的控制，限制顧客對內(nèi)部敏感服務(wù)器和外部非法網(wǎng)站的訪問。能夠限制顧客IP地址分派方略，避免IP地址盜用和沖突。監(jiān)控顧客認(rèn)證成功后的IP地址，若有變更則強(qiáng)制規(guī)定下線。能夠限制顧客的