計算機網(wǎng)絡(luò)設(shè)計論文

PAGE目錄第一章 綜述 -1-1.1網(wǎng)絡(luò)建設(shè)的基本原則 -1-1.2設(shè)計總體目標(biāo) -2-1.3國內(nèi)外計算機網(wǎng)絡(luò)現(xiàn)狀及發(fā)展趨勢 -2-1.4無線局域網(wǎng)(WLAN) -5-第二章 系統(tǒng)主要相關(guān)技術(shù) -6-2.1VlAN技術(shù)分析 -6-2.2WLAN無線網(wǎng)絡(luò)的組建 -9-2.3三層交換技術(shù) -11-第三章 計算機網(wǎng)絡(luò)系統(tǒng)設(shè)計規(guī)劃 -14-3.1核心層建設(shè)規(guī)劃設(shè)計 -15-3.2匯聚層建設(shè)規(guī)劃設(shè)計 -17-3.3接入層建設(shè)規(guī)劃設(shè)計 -17-3.4數(shù)據(jù)中心建設(shè)規(guī)劃設(shè)計 -18-3.5網(wǎng)絡(luò)出口建設(shè)規(guī)劃設(shè)計 -19-第四章 無線網(wǎng)絡(luò)設(shè)計規(guī)劃 -20-4.6WLAN無線網(wǎng)絡(luò)規(guī)劃 -20-4.6.1系統(tǒng)設(shè)計方案說明 -23-4.6.2整體網(wǎng)絡(luò)性能評估 -23-4.6.3組網(wǎng)實施步驟 -24-4.6.4AP覆蓋單元 -25-4.6.5具體解決方案 -31-第五章 數(shù)字化網(wǎng)絡(luò)安全與管理平臺設(shè)計規(guī)劃 -40-5.1數(shù)字化園區(qū)網(wǎng)安全建設(shè)規(guī)劃 -40-5.1.1接入安全防護規(guī)劃設(shè)計 -40-5.1.2數(shù)據(jù)中心安全規(guī)劃設(shè)計 -44-5.2數(shù)字化園區(qū)網(wǎng)統(tǒng)一管理平臺建設(shè)規(guī)劃 -44-5.2.1網(wǎng)絡(luò)管理規(guī)劃 -45-5.2.2iMC的特點 -45-第六章 結(jié)論與討論 -53-6.1論文完成的工作 -53-6.2總結(jié) -53-6.3展望 -53-致謝 …………..-54-參考文獻(xiàn). -55-附錄：部分網(wǎng)絡(luò)設(shè)備配置文件 -57-1、 VLAN配置 -57-2、 防火墻配置文件 -59-2.1 ASPF配置 -59-2.2 NAT配置 -60-2.3 核心交換機H3CS10508配置 -60-計算機網(wǎng)絡(luò)方案設(shè)計摘要針對本論文中所做的工作主要包含了新大樓計算機網(wǎng)絡(luò)架構(gòu)設(shè)計，闡述整個新大樓內(nèi)網(wǎng)、外網(wǎng)、固網(wǎng)以及無線局域網(wǎng)（WLAN）的方案設(shè)計、組建、配置等內(nèi)容，同時還對網(wǎng)絡(luò)安全方面的提出了有效的解決方案，最后分析并解決實現(xiàn)中的若干技術(shù)問題。關(guān)鍵詞：VLAN、WLAN、IP寬帶網(wǎng)絡(luò)、三層交換、網(wǎng)絡(luò)安全、服務(wù)器TheDesignOfComputerNetworkInWuhuFirstPeople'sHospitalAbstractThethesismainlytellsthecomputernetworkarchitecturedesignofthenewbuildingattheFirstPeople'sHospitalinWuhu.Italsoexpatiateonhowtodesignandconfiguretheintranet,extranetandwirelesslocalareanetwork(WLAN)inthenewbuilding.Thethesisputsforwardeffectivesolutionsaboutthenetworksecurity,andsometechniqueproblemsindailyworksareanalysedandresolvedintheendingofthethesis.

緒論20世紀(jì)末，隨著計算機科學(xué)的發(fā)展，計算機網(wǎng)絡(luò)技術(shù)在各個行業(yè)中的應(yīng)用越來越廣泛，為廣大用戶提供了更加周到和人性化的服務(wù)。新大樓落成后，隨著網(wǎng)絡(luò)規(guī)模的增大，其應(yīng)用種類和復(fù)雜度也在不斷增加。園區(qū)內(nèi)包括很多不同的部門/用戶群組在同時使用網(wǎng)絡(luò)，網(wǎng)絡(luò)上也承載著各種不同的復(fù)雜應(yīng)用。為保障重要業(yè)務(wù)數(shù)據(jù)的安全傳輸，需要對這些不同部門/群組用戶的訪問權(quán)限進(jìn)行控制、不同業(yè)務(wù)間的網(wǎng)絡(luò)傳輸也需要安全隔離，這種隔離指的是訪問、傳輸、應(yīng)用端到端的隔離。另外計算機網(wǎng)絡(luò)的普及給人們的工作、生活帶來了深遠(yuǎn)的影響，同時，人們的需求也在應(yīng)用過程中不斷提高，擺脫線纜的束縛，創(chuàng)造一個自由移動的空間，因此無線局域網(wǎng)（WLAN）應(yīng)運而生。WLAN通過電磁波在空氣中發(fā)送和接收數(shù)據(jù)，而無須線纜介質(zhì)，與有線網(wǎng)絡(luò)相比，WLAN具有安裝便捷、使用靈活、易于擴展和經(jīng)濟節(jié)約等優(yōu)點。17-綜述1.1網(wǎng)絡(luò)建設(shè)的基本原則為達(dá)到網(wǎng)絡(luò)系統(tǒng)建設(shè)的目標(biāo)，在網(wǎng)絡(luò)設(shè)計構(gòu)建中，我們始終堅持以下建網(wǎng)原則：實用性和先進(jìn)性采用先進(jìn)成熟的技術(shù)滿足各種應(yīng)用系統(tǒng)的需求，兼顧其他相關(guān)的管理需求，保證滿足各種應(yīng)用系統(tǒng)業(yè)務(wù)的同時，又體現(xiàn)出網(wǎng)絡(luò)系統(tǒng)的先進(jìn)性。在網(wǎng)絡(luò)設(shè)計中把先進(jìn)的技術(shù)與現(xiàn)有的成熟技術(shù)、標(biāo)準(zhǔn)和設(shè)備結(jié)合起來，充分考慮到網(wǎng)絡(luò)應(yīng)用的需求和未來的發(fā)展趨勢，盡可能采用先進(jìn)的網(wǎng)絡(luò)技術(shù)以適應(yīng)更高的數(shù)據(jù)、語音、視頻（多媒體）的傳輸需要，使整個系統(tǒng)在相當(dāng)一段時期內(nèi)保持技術(shù)的先進(jìn)性，以適應(yīng)未來信息化的發(fā)展的需要。高可靠性網(wǎng)絡(luò)系統(tǒng)的穩(wěn)定可靠是應(yīng)用系統(tǒng)正常運行的關(guān)鍵保證，對于辦公網(wǎng)絡(luò)來說更是如此，為保證各項業(yè)務(wù)應(yīng)用，網(wǎng)絡(luò)必須具有高可靠性，盡量避免系統(tǒng)的單點故障。要對網(wǎng)絡(luò)結(jié)構(gòu)、網(wǎng)絡(luò)設(shè)備等各個方面進(jìn)行高可靠性的設(shè)計和建設(shè)。在網(wǎng)絡(luò)設(shè)計中特別是關(guān)鍵節(jié)點的設(shè)計中，選用高可靠性網(wǎng)絡(luò)產(chǎn)品，在網(wǎng)絡(luò)設(shè)計上應(yīng)采用硬件備份、冗余等可靠性技術(shù)，合理設(shè)計網(wǎng)絡(luò)冗余拓?fù)浣Y(jié)構(gòu)，制訂可靠的網(wǎng)絡(luò)備份策略，保證網(wǎng)絡(luò)具有故障自愈的能力，最大限度地保證網(wǎng)絡(luò)系統(tǒng)的高效運行。標(biāo)準(zhǔn)性與開放性網(wǎng)上新增設(shè)備應(yīng)該和原有設(shè)備一樣采用國際標(biāo)準(zhǔn)協(xié)議進(jìn)行互連互通，確保本網(wǎng)絡(luò)系統(tǒng)的基礎(chǔ)設(shè)施的作用可以充分的發(fā)揮。在結(jié)構(gòu)上真正實現(xiàn)開放，基于開放式標(biāo)準(zhǔn)，包括各種局域網(wǎng)、廣域網(wǎng)及網(wǎng)管系統(tǒng)等，堅持統(tǒng)一規(guī)范的原則，從而為未來的發(fā)展奠定基礎(chǔ)。網(wǎng)絡(luò)采用國際上通用標(biāo)準(zhǔn)的主流的網(wǎng)絡(luò)協(xié)議，不僅保證與其它網(wǎng)絡(luò)(如公共數(shù)據(jù)網(wǎng)、Internet)之間的平滑連接和互通，還能適應(yīng)未來若干年的網(wǎng)絡(luò)發(fā)展趨勢，便于將來網(wǎng)絡(luò)自身的擴展。高安全性安全體系應(yīng)該是一個多層次、多方面的結(jié)構(gòu)，在總體結(jié)構(gòu)上分為四個層次：網(wǎng)絡(luò)層安全、應(yīng)用層安全、系統(tǒng)層安全和管理層安全。高性能網(wǎng)絡(luò)系統(tǒng)的性能是整個信息系統(tǒng)良好運行的基礎(chǔ)，設(shè)計中必須保障網(wǎng)絡(luò)及設(shè)備的高吞吐能力，保證各種信息（數(shù)據(jù)、語音、圖象）的高質(zhì)量傳輸，力爭實現(xiàn)透明網(wǎng)絡(luò)，網(wǎng)絡(luò)不能成為實施現(xiàn)代化應(yīng)用業(yè)務(wù)的瓶頸。靈活性及可擴展性網(wǎng)絡(luò)系統(tǒng)是一個不斷發(fā)展的系統(tǒng)，網(wǎng)絡(luò)不僅需要保持對以前技術(shù)的兼容性，還必須具有良好的靈活性和可擴展性，具備支持多種應(yīng)用系統(tǒng)的能力，提供技術(shù)升級、設(shè)備更新的靈活性，能夠根據(jù)不斷深入發(fā)展的需要，根據(jù)未來業(yè)務(wù)的增長和變化，平滑的擴充和升級現(xiàn)有的網(wǎng)絡(luò)覆蓋范圍、擴大網(wǎng)絡(luò)容量和提高網(wǎng)絡(luò)的各層次節(jié)點的功能，最大程度的減少對網(wǎng)絡(luò)架構(gòu)和現(xiàn)有設(shè)備的調(diào)整。易操作性和可管理性由于網(wǎng)絡(luò)復(fù)雜性，隨著業(yè)務(wù)的不斷發(fā)展，網(wǎng)絡(luò)管理的任務(wù)必定會日益繁重。所以在網(wǎng)絡(luò)設(shè)計中，必須建立一套全面的網(wǎng)絡(luò)管理解決方案。網(wǎng)絡(luò)設(shè)備必須采用智能化，可管理的設(shè)備，同時采用先進(jìn)的網(wǎng)絡(luò)管理軟件，實現(xiàn)先進(jìn)的管理。最終能夠?qū)崿F(xiàn)監(jiān)控、監(jiān)測整個網(wǎng)絡(luò)的運行情況，合理分配網(wǎng)絡(luò)資源、動態(tài)配置網(wǎng)絡(luò)負(fù)載、可以迅速確定網(wǎng)絡(luò)故障等。通過先進(jìn)的管理策略、管理工具提高網(wǎng)絡(luò)的運行性能、可靠性，簡化網(wǎng)絡(luò)的維護工作，從而為辦公、管理提供最有力的保障。1.2設(shè)計總體目標(biāo)建成后要成為具備建筑智能化、管理信息化、服務(wù)網(wǎng)絡(luò)化、設(shè)備自動化的數(shù)字化功能；集成、診療、辦公自動化、病歷、影像數(shù)字化管理、傳輸?shù)鹊戎T多功能于一體，構(gòu)建系統(tǒng)和服務(wù)的優(yōu)化組合平臺；建立一套集網(wǎng)絡(luò)化、信息化和智能化為一體，以病人為中心，服務(wù)于業(yè)務(wù)工作的數(shù)字化，實現(xiàn)“國內(nèi)領(lǐng)先”的數(shù)字化總體目標(biāo)。1.3國內(nèi)外計算機網(wǎng)絡(luò)現(xiàn)狀及發(fā)展趨勢計算機網(wǎng)絡(luò)是計算機技術(shù)與通信技術(shù)相結(jié)合的產(chǎn)物，它實現(xiàn)了遠(yuǎn)程通信、遠(yuǎn)程信息處理和資源共享等。它自20世紀(jì)60年代產(chǎn)生以來，經(jīng)過半個世紀(jì)特別是最近10多年的迅猛發(fā)展，目前越來越多地被應(yīng)用到經(jīng)濟、軍事、生產(chǎn)、教育、科學(xué)技術(shù)及日常生活等各個領(lǐng)域。在現(xiàn)實的日常生活中，我們時刻都在與網(wǎng)絡(luò)打交道。計算機網(wǎng)絡(luò)的發(fā)展，縮短了人際交往的距離，給人們的日常生活帶來了極大的便利。在計算機發(fā)展的初期，人們曾經(jīng)用“沒有軟件的計算機只不過是一堆廢鐵”來強調(diào)軟件的重要性；而今，隨著計算機技術(shù)的高速發(fā)展，計算機應(yīng)用日益普及，計算機技術(shù)尤其是網(wǎng)絡(luò)技術(shù)正在對人類經(jīng)濟生活、社會生活等各方面產(chǎn)生巨大的影響。電子商務(wù)、網(wǎng)上銀行、遠(yuǎn)程教育等與人們的聯(lián)系越來越緊密。有理由相信，在不遠(yuǎn)的將來，人們將過上真正意義上的數(shù)字化生活。掌握計算機網(wǎng)絡(luò)的基礎(chǔ)知識，已經(jīng)成為人們通向成功所必備的基本素質(zhì)。有人說：“沒有聯(lián)網(wǎng)的計算機只不過是一個無用的信息孤島”、“網(wǎng)絡(luò)就是計算機”，可見計算機網(wǎng)絡(luò)在信息社會中起著舉足輕重的作用，預(yù)示著“以網(wǎng)絡(luò)為中心的計算時代”已經(jīng)到來。所謂計算機網(wǎng)絡(luò)就是利用通信線路和通信設(shè)備將不同地理位置的、具有獨立功能的多臺計算機或共享設(shè)備互聯(lián)起來，配以功能完善的網(wǎng)絡(luò)軟件，使之實現(xiàn)資源共享、信息傳遞和分布式處理的系統(tǒng)。對于用戶來說，計算機網(wǎng)絡(luò)是一個透明的數(shù)據(jù)傳輸機構(gòu)，用戶可以不必考慮網(wǎng)絡(luò)的存在而訪問網(wǎng)絡(luò)中的任何資源。計算機網(wǎng)絡(luò)的出現(xiàn)，使世界變得越來越小，生活節(jié)奏越來越快。它的產(chǎn)生拓寬了計算機的應(yīng)用范圍，為信息化社會的發(fā)展奠定了堅實的技術(shù)基礎(chǔ)。計算機網(wǎng)絡(luò)源于計算機與通信技術(shù)的結(jié)合，它經(jīng)歷了從簡單到復(fù)雜、從單機到多機、從終端與計算機之間通信到計算機與計算機直接通信的發(fā)展時期。早在20世紀(jì)50年代初，以單個計算機為中心的遠(yuǎn)程聯(lián)機系統(tǒng)構(gòu)成，開創(chuàng)了把計算機技術(shù)和通信技術(shù)相結(jié)合的嘗試。這類簡單的“終端——通信線路——面向終端的計算機”系統(tǒng)，構(gòu)成了計算機網(wǎng)絡(luò)的雛形。嚴(yán)格的說，它和現(xiàn)代的計算機網(wǎng)絡(luò)相比，存在根本的區(qū)別。當(dāng)時的系統(tǒng)除了一臺中央計算機外，其余的終端設(shè)備沒有獨立處理數(shù)據(jù)的功能，當(dāng)然還不能算是真正意義上的計算機網(wǎng)絡(luò)。為了區(qū)別以后發(fā)展的多個計算機互聯(lián)的計算機網(wǎng)絡(luò)，稱它為面向終端的計算機網(wǎng)絡(luò)，又稱為第一代計算機網(wǎng)絡(luò)。從20世紀(jì)60年代中期開始，出現(xiàn)了若干個計算機主機通過通信線路互聯(lián)的系統(tǒng)，開創(chuàng)了“計算機——計算機”通信的時代，并呈現(xiàn)出多個中心處理機的特點。20世紀(jì)60年代后期，ARPANET網(wǎng)是由美國國防部高級研究計劃局ARPA（目前稱為DARPA，DefenseAdvancedResearchProjectsAgency）提供經(jīng)費，聯(lián)合計算機公司和大學(xué)共同研制而發(fā)展起來的，主要目標(biāo)是借助通信系統(tǒng)，使網(wǎng)內(nèi)各計算機系統(tǒng)間能夠相互共享資源，它最初投入使用的是一個有4個節(jié)點的實驗性網(wǎng)絡(luò)。ARPANET網(wǎng)的出現(xiàn)，代表著計算機網(wǎng)絡(luò)的興起。人們稱之為第二代計算機網(wǎng)絡(luò)。20世紀(jì)70年代至80年代中期是計算機網(wǎng)絡(luò)發(fā)展最快的階段，通信技術(shù)和計算機技術(shù)互相促進(jìn)，結(jié)合更加緊密。局域網(wǎng)誕生并被推廣使用，網(wǎng)絡(luò)技術(shù)飛速發(fā)展。為了使不同體系結(jié)構(gòu)的網(wǎng)絡(luò)也能相互交換信息，國際標(biāo)準(zhǔn)化組織（ISO）于1978年成立了專門機構(gòu)并制定了世界范圍內(nèi)的網(wǎng)絡(luò)互聯(lián)標(biāo)準(zhǔn)，稱為開放系統(tǒng)互聯(lián)參考模型OSI/RM（OpenSystemsInterconnection/ReferenceModel），簡稱OSI，人們稱之為第三代計算機網(wǎng)絡(luò)。進(jìn)入20世紀(jì)90年代后，局域網(wǎng)技術(shù)發(fā)展成熟，局域網(wǎng)已成為計算機網(wǎng)絡(luò)結(jié)構(gòu)的基本單元。網(wǎng)絡(luò)間互聯(lián)的要求越來越強烈，并出現(xiàn)了光纖及高速網(wǎng)絡(luò)技術(shù)。隨著多媒體、智能化網(wǎng)絡(luò)的出現(xiàn)，整個系統(tǒng)就像一個對用戶透明的大計算機系統(tǒng)，千兆位網(wǎng)絡(luò)傳輸速率可達(dá)1G/s，它是實現(xiàn)多媒體計算機網(wǎng)絡(luò)互聯(lián)的重要技術(shù)基礎(chǔ)。從1983年到1993年10年期間，Internet從一個小型的、實驗型的研究項目，發(fā)展成為世界上最大的計算機網(wǎng)，從而真正實現(xiàn)了資源共享、數(shù)據(jù)通信和分布處理的目標(biāo)。我們把它稱為第四代計算機網(wǎng)絡(luò)未來的計算機網(wǎng)絡(luò)的發(fā)展趨勢將是通信技術(shù)與計算機技術(shù)的進(jìn)一步聚合，并且將改變各自原有的基本特征。人們預(yù)見，未來的信息網(wǎng)絡(luò)將各種功能分成三個層次：1、比特路（Bitways）；2、服務(wù)（Services）；3、應(yīng)用（Applications），這也許是未來計算機網(wǎng)絡(luò)的體系結(jié)構(gòu)?！氨忍芈贰笔秦?fù)責(zé)把二進(jìn)制位流從一個位置傳送到另一個位置的網(wǎng)絡(luò)，例如：使用SDH傳輸網(wǎng)絡(luò)構(gòu)造的ATM網(wǎng)絡(luò)，或與IP協(xié)議接口的Internet?！胺?wù)”提供一組通用或支撐特性，作為計算和通信基礎(chǔ)設(shè)施的一部分用于構(gòu)造其它所有的網(wǎng)絡(luò)應(yīng)用，象音頻或視頻傳送、文件系統(tǒng)管理、打印、電子支付機制、加密和密鑰分發(fā)、可靠數(shù)據(jù)傳遞等都屬于服務(wù)?！皯?yīng)用”是提供給用戶的一組有價值的功能，象電子郵件、電話、數(shù)據(jù)庫訪問、文件傳送、WWW瀏覽和視頻會議系統(tǒng)等都是應(yīng)用的例子。應(yīng)用還可以進(jìn)一步分成兩大類，一類是用戶/服務(wù)器型的，象VOD、WWW等要求立即響應(yīng)的和象FTP等可以適當(dāng)延遲的；另一類是用戶/用戶型的，象電話、視頻會議等要求立即響應(yīng)的和象Email、音頻mail等可以適當(dāng)延遲的。這兩種類型的應(yīng)用都可以是點到點的或是一點到多點的。1.4無線局域網(wǎng)(WLAN)無線局域網(wǎng)(WLAN)采用成熟的以太網(wǎng)技術(shù)，將無線通信從移動通信簡化出來，繞過高速數(shù)據(jù)通信在高速移動和跨區(qū)穿越等3G技術(shù)屏障，優(yōu)先解決用戶無線寬帶接入的需求。WLAN同時也得到了網(wǎng)絡(luò)設(shè)備，手持設(shè)備等供貨商的支持，從目前到未來一年預(yù)計會有大量的支持WLAN的產(chǎn)品和應(yīng)用，這也就是說它將帶來無限商機。作為新一代寬帶接入經(jīng)營者，立足于基于IP寬帶網(wǎng)絡(luò)應(yīng)用，果斷和積極將WLAN作為其發(fā)展方向，一方面揚長避短，發(fā)揮在IP寬帶雄厚的技術(shù)實力，又避開了兼容移動通信網(wǎng)路的顧慮，發(fā)揮先手的優(yōu)勢，從而可以利用這個良好的發(fā)展機遇，成為新一代的移動通信經(jīng)營商。WLAN的優(yōu)勢是投資少，可以實現(xiàn)精確部署，在“熱點”上可以很快實現(xiàn)這種網(wǎng)絡(luò)，目前無線網(wǎng)卡的設(shè)備已大量普及并且售價已經(jīng)能讓消費大眾所能接受，所以許多寬帶運營商已開使以WLAN無線網(wǎng)的形式來經(jīng)營寬帶網(wǎng)業(yè)務(wù)。

系統(tǒng)主要相關(guān)技術(shù)2.1VlAN技術(shù)分析VLAN（VirtualLocalAreaNetwork）的中文名為"虛擬局域網(wǎng)"。VLAN是一種將局域網(wǎng)設(shè)備從邏輯上劃分成一個個網(wǎng)段，從而實現(xiàn)虛擬工作組的新興數(shù)據(jù)交換技術(shù)。這一新興技術(shù)主要應(yīng)用于交換機和路由器中，但主流應(yīng)用還是在交換機之中。但又不是所有交換機都具有此功能，只有VLAN協(xié)議的第三層以上交換機才具有此功能，這一點可以查看相應(yīng)交換機的說明書即可得知。VLAN（VirtualLocalAreaNetwork，虛擬局域網(wǎng)）的目的非常的多。通過認(rèn)識VLAN的本質(zhì)，將可以了解到其用處究竟在哪些地方。第一，要知道/30和/30都屬于不同的網(wǎng)段，都必須要通過路由器才能進(jìn)行訪問，凡是不同網(wǎng)段間要互相訪問，都必須通過路由器。第二，VLAN本質(zhì)就是指一個網(wǎng)段，之所以叫做虛擬的局域網(wǎng)，是因為它是在虛擬的路由器的接口下創(chuàng)建的網(wǎng)段。下面，給予說明。比如一個路由器只有一個用于終端連接的端口（當(dāng)然這種情況基本不可能發(fā)生，只不過簡化舉例），這個端口被分配了/24的地址。然而由于公司有兩個部門，一個銷售部，一個企劃部，每個部門要求單獨成為一個子網(wǎng)，有單獨的服務(wù)器。那么當(dāng)然可以劃分為--127/25、28--255/25。但是路由器的物理端口只應(yīng)該可以分配一個IP地址，那怎樣來區(qū)分不同網(wǎng)段了？這就可以在這個物理端口下，創(chuàng)建兩個子接口邏輯接口實現(xiàn)。比如邏輯接口F0/0.1就分配IP地址/25，用于銷售部，而F0/0.2就分配IP地址29/25，用于企劃部。這樣就等于用一個物理端口確實現(xiàn)了兩個邏輯接口的功能，這樣就將原本只能劃分一個網(wǎng)段的情形，擴展到了可以劃分2個或者更多個網(wǎng)段的情形。這些網(wǎng)段因為是在邏輯接口下創(chuàng)建的，所以稱之為虛擬局域網(wǎng)VLAN。這是在路由器的層次上闡述了VLAN的目的。第三，將在交換機的層次上闡述VLAN的目的。在現(xiàn)實中，由于很多原因必須劃分出不同網(wǎng)段。比如就簡單的只有銷售部和企劃部兩個網(wǎng)段。那么可以簡單的將銷售部全部接入一個交換機，然后接入路由器的一個端口，把企劃部全部接入一個交換機，然后接入一個路由器端口。這種情況是LAN.然而正如上面所說，如果路由器就一個用于終端的接口，那么這兩個交換機就必須接入這同一個路由器的接口，這個時候，如果還想保持原來的網(wǎng)段的劃分，那么就必須使用路由器的子接口，創(chuàng)建VLAN.同樣，比如兩個交換機，如果你想要每個交換機上的端口都分別屬于不同的網(wǎng)段，那么你有幾個網(wǎng)段，就提供幾個路由器的接口，這個時候，雖然在路由器的物理接口上可以定義這個接口可以連接哪個網(wǎng)段，但是在交換機的層次上，它并不能區(qū)分哪個端口屬于哪個網(wǎng)段，那么唯一實現(xiàn)能區(qū)分的方法，就是劃分VLAN，使用了VLAN就能區(qū)分出某個交換機端口的終端是屬于哪個網(wǎng)段的。綜上，當(dāng)一個交換機上的所有端口中有至少一個端口屬于不同網(wǎng)段的時候，當(dāng)路由器的一個物理端口要連接2個或者以上的網(wǎng)段的時候，就是VLAN發(fā)揮作用的時候，這就是VLAN的目的。VLAN劃分根據(jù)端口來劃分VLAN許多VLAN廠商都利用交換機的端口來劃分VLAN成員。被設(shè)定的端口都在同一個廣播域中。例如，一個交換機的1，2，3，4，5端口被定義為虛擬網(wǎng)AAA，同一交換機的6，7，8端口組成虛擬網(wǎng)BBB。這樣做允許各端口之間的通訊，并允許共享型網(wǎng)絡(luò)的升級。但是，這種劃分模式將虛擬網(wǎng)限制在了一臺交換機上。第二代端口VLAN技術(shù)允許跨越多個交換機的多個不同端口劃分VLAN，不同交換機上的若干個端口可以組成同一個虛擬網(wǎng)。以交換機端口來劃分網(wǎng)絡(luò)成員，其配置過程簡單明了。因此，從目前來看，這種根據(jù)端口來劃分VLAN的方式仍然是最常用的一種方式。根據(jù)MAC地址劃分VLAN這種劃分VLAN的方法是根據(jù)每個主機的MAC地址來劃分，即對每個MAC地址的主機都配置它屬于哪個組。這種劃分VLAN方法的最大優(yōu)點就是當(dāng)用戶物理位置移動時，即從一個交換機換到其他的交換機時，VLAN不用重新配置，所以，可以認(rèn)為這種根據(jù)MAC地址的劃分方法是基于用戶的VLAN，這種方法的缺點是初始化時，所有的用戶都必須進(jìn)行配置，如果有幾百個甚至上千個用戶的話，配置是非常累的。而且這種劃分的方法也導(dǎo)致了交換機執(zhí)行效率的降低，因為在每一個交換機的端口都可能存在很多個VLAN組的成員，這樣就無法限制廣播包了。另外，對于使用筆記本電腦的用戶來說，他們的網(wǎng)卡可能經(jīng)常更換，這樣，VLAN就必須不停地配置。根據(jù)網(wǎng)絡(luò)層劃分VLAN這種劃分VLAN的方法是根據(jù)每個主機的網(wǎng)絡(luò)層地址或協(xié)議類型(如果支持多協(xié)議)劃分的，雖然這種劃分方法是根據(jù)網(wǎng)絡(luò)地址，比如IP地址，但它不是路由，與網(wǎng)絡(luò)層的路由毫無關(guān)系。這種方法的優(yōu)點是用戶的物理位置改變了，不需要重新配置所屬的VLAN，而且可以根據(jù)協(xié)議類型來劃分VLAN，這對網(wǎng)絡(luò)管理者來說很重要，還有，這種方法不需要附加的幀標(biāo)簽來識別VLAN，這樣可以減少網(wǎng)絡(luò)的通信量。這種方法的缺點是效率低，因為檢查每一個數(shù)據(jù)包的網(wǎng)絡(luò)層地址是需要消耗處理時間的(相對于前面兩種方法)，一般的交換機芯片都可以自動檢查網(wǎng)絡(luò)上數(shù)據(jù)包的以太網(wǎng)幀頭，但要讓芯片能檢查IP幀頭，需要更高的技術(shù)，同時也更費時。當(dāng)然，這與各個廠商的實現(xiàn)方法有關(guān)。根據(jù)IP組播劃分VLANIP組播實際上也是一種VLAN的定義，即認(rèn)為一個組播組就是一個VLAN，這種劃分的方法將VLAN擴大到了廣域網(wǎng)，因此這種方法具有更大的靈活性，而且也很容易通過路由器進(jìn)行擴展，當(dāng)然這種方法不適合局域網(wǎng)，主要是效率不高?；谝?guī)則的VLAN也稱為基于策略的VLAN。這是最靈活的VLAN劃分方法，具有自動配置的能力，能夠把相關(guān)的用戶連成一體，在邏輯劃分上稱為“關(guān)系網(wǎng)絡(luò)”。網(wǎng)絡(luò)管理員只需在網(wǎng)管軟件中確定劃分VLAN的規(guī)則（或?qū)傩裕?，那么?dāng)一個站點加入網(wǎng)絡(luò)中時，將會被“感知”，并被自動地包含進(jìn)正確的VLAN中。同時，對站點的移動和改變也可自動識別和跟蹤。采用這種方法，整個網(wǎng)絡(luò)可以非常方便地通過路由器擴展網(wǎng)絡(luò)規(guī)模。有的產(chǎn)品還支持一個端口上的主機分別屬于不同的VLAN，這在交換機與共享式Hub共存的環(huán)境中顯得尤為重要。自動配置VLAN時，交換機中軟件自動檢查進(jìn)入交換機端口的廣播信息的IP源地址，然后軟件自動將這個端口分配給一個由IP子網(wǎng)映射成的VLAN。按用戶劃分VLAN基于用戶定義、非用戶授權(quán)來劃分VLAN，是指為了適應(yīng)特別的VLAN網(wǎng)絡(luò)，根據(jù)具體的網(wǎng)絡(luò)用戶的特別要求來定義和設(shè)計VLAN，而且可以讓非VLAN群體用戶訪問VLAN，但是需要提供用戶密碼，在得到VLAN管理的認(rèn)證后才可以加入一個VLAN。*以上劃分VLAN的方式中，基于端口的VLAN端口方式建立在物理層上；MAC方式建立在數(shù)據(jù)鏈路層上；網(wǎng)絡(luò)層和IP廣播方式建立在第三層上。2.2WLAN無線網(wǎng)絡(luò)的組建無線局域網(wǎng)可以簡單也可以復(fù)雜，最簡單的網(wǎng)絡(luò)可以只要兩個裝有無線適配卡（wirelessadaptercard）的PC，放在有效距離內(nèi)，這就是所謂的對等（peer-to-peer）網(wǎng)絡(luò)，這類簡單網(wǎng)絡(luò)無需經(jīng)過特殊組合或?qū)Ｈ斯芾?，任何兩個移動式PC之間不需要中央服務(wù)器（centralserver）就可以相互對通。無線網(wǎng)絡(luò)訪問點（AccessPoint，簡稱AP）可增大AD-Hoc網(wǎng)絡(luò)移動室PC之間的有效距離到原來的兩倍。因為訪問點是連接在有線網(wǎng)絡(luò)上，每一個移動式PC都可經(jīng)服務(wù)器與其它移動式PC實現(xiàn)網(wǎng)絡(luò)的互連互通，每個訪問點可容納許多PC，視其數(shù)據(jù)的傳輸實際要求而定，一個訪問點容量可達(dá)15到63個PC。無線網(wǎng)絡(luò)交換機和PC之間有一定的有效距離，在室內(nèi)約為150米，戶外約為500米。在大的場所例如倉庫中或在企業(yè)中，可能需要多個訪問點，網(wǎng)橋的位置需要事先考察決定，使有效范圍覆蓋全場并互相重迭，使每個用戶都不會和網(wǎng)絡(luò)失去聯(lián)絡(luò)。用戶可以在一群訪問點覆蓋的范圍內(nèi)漫游（roam）。訪問點把用戶在不知不覺中從一個訪問點的覆蓋范圍轉(zhuǎn)移到另一個訪問點的覆蓋范圍，確保通訊不會中斷。為了解決覆蓋問題，在設(shè)計網(wǎng)絡(luò)時可用接力器（ExtensionPoint，簡稱EP）來增大網(wǎng)絡(luò)的轉(zhuǎn)接范圍，接力器看起來和功能上都像是訪問點，但接力器并不接在有線網(wǎng)絡(luò)上。接力器望文生義，其作用就是把信號從一個AP傳遞到另一個AP或EP來延伸無線網(wǎng)絡(luò)的覆蓋范圍。EP可串在一起，將訊號從一個AP傳遞到遙遠(yuǎn)的地方。如何規(guī)劃WLAN?據(jù)Gartner報告，現(xiàn)在美國已經(jīng)有1500萬的WLAN用戶，到2006年這一數(shù)目將達(dá)到3100萬，但部署一個能保證性能的WLAN并非易事。規(guī)劃WLAN的關(guān)鍵事規(guī)劃接入點，需要有足夠的蜂窩重迭覆蓋以供漫游，并需要足夠的寬帶以供應(yīng)用。如果無線接入點不足，最后可能導(dǎo)致吞吐量出現(xiàn)問題，同時也會使覆蓋區(qū)域零星散落，對用戶的漫游和工作地點造成一定的限制?？紤]移動性需要在做接入點規(guī)劃時需要考慮用戶的移動性需要。一種用戶在整個覆蓋區(qū)域內(nèi)移動時需要一直與WLAN相連接，就像醫(yī)生外出時需要查看病人記錄。另一種用戶需要不時接入WLAN，比如人員在不同大樓會議間歇時需要不時查看電子郵件。第一種需求需要跨越WLAN的無縫漫游，此WLAN需要大接入點密度。而第二種需求屬于間斷性的無線連接，接入點密度可以相對小一些。計算吞吐量在布置WLAN之前需要考慮WLAN最常使用的是哪種通信，是電子郵件和Web通信，或是對速度要求很高的ERP（企業(yè)資源規(guī)劃），還是CAD（計算機輔助設(shè)計）應(yīng)用程序。是需要速度為54Mbps的802.11g，還是只需要速度為11Mbps的802.11b就足夠。不管使用哪一種通信，當(dāng)用戶與接入點的距離過遠(yuǎn)時，網(wǎng)絡(luò)速度都會顯著下降，所以安裝足夠的接入點不僅僅是為了支持所有的用戶，也是達(dá)到用戶需要的連接速度所要求的。WLAN宣稱的速度并不一定準(zhǔn)確對應(yīng)于它的實際速度。與交換式以太網(wǎng)不同，WLAN是一種共享介質(zhì)，它更像是老式以太網(wǎng)的集線器模型，將可用的吞吐量分割為若干份而不是每個接入設(shè)備提供專線速度。這一限制（通過電波傳輸數(shù)據(jù)時還會有50％的損耗）對無線網(wǎng)絡(luò)的吞吐量規(guī)劃而言是一個很大的問題，計算接入點數(shù)目時最好多預(yù)留一些空間。僅僅根據(jù)用戶數(shù)目及其最小寬帶需求來計算接入點數(shù)目是及其冒險的，盡管它可以在一段時間內(nèi)滿足對容量的需求。防止干擾干擾對于某些機構(gòu)可能會是個問題。盡管追蹤入侵微電波，無繩電話和藍(lán)牙設(shè)備并非難事，但更常遇到的是來自網(wǎng)絡(luò)內(nèi)部其它接入點甚至是網(wǎng)絡(luò)外部的干擾。例如：802.11b和802.11g在2.4GHz頻帶內(nèi)提供三個相同的非重迭通道，這使得規(guī)劃密集部署或在相鄰WLAN的干擾下工作變得困難，理想的情況使，2.4GHz環(huán)境中的通道1、6和11永遠(yuǎn)不會與同一通道相鄰，這樣它們就不會相互干擾，但這是不現(xiàn)實的。實際上需要一定量的良性蜂窩覆蓋重迭以允許用戶漫游（20％到30％最佳），但如果站點處的建筑物超過一層，即便是使用高增益天線，建筑物的層與層之間也會有一些滲漏。802.11a的12個非重迭通道可以在很大程度上緩解通道分配帶來的問題。802.11a使用的5.8GHz頻帶幾乎不會造成任何非WLAN干擾，而且用戶也不太可能遇到相鄰802.11a接入點，原因是這一標(biāo)準(zhǔn)還未像802.11g那樣普及，因此以5.8G的802.11a來作傳輸是目前在作WLAN覆蓋時的傳輸首選。覆蓋區(qū)域知道WLAN的射頻信號是怎樣傳播的嗎？信號頻率越低，無線網(wǎng)絡(luò)傳輸速度越慢，有效范圍就越遠(yuǎn)。由于大量射頻信號以較低頻率傳播，同時信噪比的靈敏度因為高速調(diào)制方式而增加，所以速度為11Mbps的2.4GHz802.11b/g信號的傳播距離遠(yuǎn)遠(yuǎn)超過速度為54Mbps/108Mbps的5.8GHz802.11a信號。WLAN的覆蓋范圍除了受不同射頻帶和吞吐量變化而造成的波傳播特征影響之外，還會因為自由空間路徑損耗和衰減而受到限制。自由空間路徑損耗更大程度上是開放或戶外環(huán)境方面的問題，實際上是無線電信號因為波前擴展引起的擴散導(dǎo)致接收天線接收不到這些信號。衰減則在WLAN的室內(nèi)安裝中比較常見，它是振幅下降，或者射頻信號在穿過墻壁、門或其它障礙物時減弱造成的。這就是WLAN在密集建筑物周圍性能不好的原因。當(dāng)面對這種物理上的干擾時，即使彈性比5.8GHz信號好得多的2.4GHz信號，仍然會遇到某些射頻問題。多路徑效應(yīng)也是影響覆蓋范圍的重要因素之一。所謂多路徑效應(yīng)，就是信號被反射并回送的現(xiàn)象。在大多數(shù)情況下，多路徑效應(yīng)使接收到的信號被削弱或是完全抵消。于是有一些本來應(yīng)該充分傳播信號的區(qū)域幾乎或根本沒有射頻信號覆蓋。防止多路徑效應(yīng)的辦法是拆除或重新安置機柜和網(wǎng)絡(luò)設(shè)備機架之類的干擾對象，同時增加接入點密度或功率輸出。5)安全防范點未經(jīng)授權(quán)用戶的接入由于無線信號是在空氣中傳播的，信號可能會傳播到不希望到達(dá)的地方，在信號覆蓋范圍內(nèi)，非法用戶無需任何物理連接就可以獲取無線網(wǎng)絡(luò)的數(shù)據(jù)，因此，必須從多方面防止非法終端接入以及數(shù)據(jù)的泄漏問題。2.3三層交換技術(shù)隨著Internet的發(fā)展，局域網(wǎng)和廣域網(wǎng)技術(shù)得到了廣泛的推廣和應(yīng)用。數(shù)據(jù)交換技術(shù)從簡單的電路交換發(fā)展到二層交換，從二層交換又逐漸發(fā)展到今天較成熟的三層交換，以致發(fā)展到將來的高層交換。三層交換技術(shù)就是：二層交換技術(shù)+三層轉(zhuǎn)發(fā)技術(shù)。它解決了局域網(wǎng)中網(wǎng)段劃分之后，網(wǎng)段中子網(wǎng)必須依賴路由器進(jìn)行管理的局面，解決了傳統(tǒng)路由器低速、復(fù)雜所造成的網(wǎng)絡(luò)瓶頸問題。三層交換（也稱多層交換技術(shù)，或IP交換技術(shù)）是相對于傳統(tǒng)交換概念而提出的。眾所周知，傳統(tǒng)的交換技術(shù)是在OSI網(wǎng)絡(luò)標(biāo)準(zhǔn)模型中的第二層——數(shù)據(jù)鏈路層進(jìn)行操作的，而三層交換技術(shù)是在網(wǎng)絡(luò)模型中的第三層實現(xiàn)了數(shù)據(jù)包的高速轉(zhuǎn)發(fā)。簡單地說，三層交換技術(shù)就是：二層交換技術(shù)+三層轉(zhuǎn)發(fā)技術(shù)。三層交換技術(shù)的出現(xiàn)，解決了局域網(wǎng)中網(wǎng)段劃分之后，網(wǎng)段中子網(wǎng)必須依賴路由器進(jìn)行管理的局面，解決了傳統(tǒng)路由器低速、復(fù)雜所造成的網(wǎng)絡(luò)瓶頸問題。一個具有三層交換功能的設(shè)備，是一個帶有第三層路由功能的第二層交換機，但它是二者的有機結(jié)合，并不是簡單地把路由器設(shè)備的硬件及軟件疊加在局域網(wǎng)交換機上。第三層交換工作在OSI七層網(wǎng)絡(luò)模型中的第三層即網(wǎng)絡(luò)層，是利用第三層協(xié)議中的IP包的報頭信息來對后續(xù)數(shù)據(jù)業(yè)務(wù)流進(jìn)行標(biāo)記，具有同一標(biāo)記的業(yè)務(wù)流的后續(xù)報文被交換到第二層數(shù)據(jù)鏈路層，從而打通源IP地址和目的IP地址之間的一條通路。這條通路經(jīng)過第二層鏈路層。有了這條通路，三層交換機就沒有必要每次將接收到的數(shù)據(jù)包進(jìn)行拆包來判斷路由，而是直接將數(shù)據(jù)包進(jìn)行轉(zhuǎn)發(fā)，將數(shù)據(jù)流進(jìn)行交換。其原理是：假設(shè)兩個使用IP協(xié)議的站點A、B通過第三層交換機進(jìn)行通信，發(fā)送站點A在開始發(fā)送時，把自己的IP地址與B站的IP地址比較，判斷B站是否與自己在同一子網(wǎng)內(nèi)。若目的站B與發(fā)送站A在同一子網(wǎng)內(nèi)，則進(jìn)行二層的轉(zhuǎn)發(fā)。若兩個站點不在同一子網(wǎng)內(nèi)，如發(fā)送站A要與目的站B通信，發(fā)送站A要向“缺省網(wǎng)關(guān)”發(fā)出ARP(地址解析)封包，而“缺省網(wǎng)關(guān)”的IP地址其實是三層交換機的三層交換模塊。當(dāng)發(fā)送站A對“缺省網(wǎng)關(guān)”的IP地址廣播出一個ARP請求時，如果三層交換模塊在以前的通信過程中已經(jīng)知道B站的MAC地址，則向發(fā)送站A回復(fù)B的MAC地址。否則三層交換模塊根據(jù)路由信息向B站廣播一個ARP請求，B站得到此ARP請求后向三層交換模塊回復(fù)其MAC地址，三層交換模塊保存此地址并回復(fù)給發(fā)送站A,同時將B站的MAC地址發(fā)送到二層交換引擎的MAC地址表中。從這以后，當(dāng)A向B發(fā)送的數(shù)據(jù)包便全部交給二層交換處理，信息得以高速交換。由于僅僅在路由過程中才需要三層處理，絕大部分?jǐn)?shù)據(jù)都通過二層交換轉(zhuǎn)發(fā)，因此三層交換機的速度很快，接近二層交換機的速度，同時比相同路由器的價格低很多。計算機網(wǎng)絡(luò)系統(tǒng)設(shè)計規(guī)劃新大樓落成后，隨著網(wǎng)絡(luò)規(guī)模的增大，其應(yīng)用種類和復(fù)雜度也在不斷增加。園區(qū)內(nèi)包括很多不同的部門/用戶群組在同時使用網(wǎng)絡(luò)，網(wǎng)絡(luò)上也承載著各種不同的復(fù)雜應(yīng)用。為保障重要業(yè)務(wù)數(shù)據(jù)的安全傳輸，需要對這些不同部門/群組用戶的訪問權(quán)限進(jìn)行控制、不同業(yè)務(wù)間的網(wǎng)絡(luò)傳輸也需要安全隔離，這種隔離指的是訪問、傳輸、應(yīng)用端到端的隔離。新區(qū)建設(shè)新的網(wǎng)絡(luò)平臺，對整體網(wǎng)絡(luò)系統(tǒng)有以下要求，內(nèi)部網(wǎng)與外部網(wǎng)之間在各種應(yīng)用方面有一定交叉，但是需要實現(xiàn)安全隔離。需求如下：萬兆主干，用戶線速千兆交換到桌面，數(shù)字醫(yī)學(xué)影像千兆光纖到桌面，應(yīng)用服務(wù)器，如HIS、PACS系統(tǒng)等都部署在網(wǎng)絡(luò)數(shù)據(jù)中心，數(shù)據(jù)中心需要有一定的備份容災(zāi)能力和安全防御能力。整個大樓部署WLAN，以增強網(wǎng)絡(luò)的覆蓋范圍和應(yīng)用的靈活性。網(wǎng)內(nèi)所有用戶需要使用認(rèn)證安全接入，并且具有對認(rèn)證用戶進(jìn)行規(guī)范化管理。整網(wǎng)實現(xiàn)智能網(wǎng)絡(luò)管理，將多種管理系統(tǒng)，如設(shè)備管理、用戶管理、業(yè)務(wù)管理、資源管理合為統(tǒng)一平臺。本次采用網(wǎng)絡(luò)虛擬化解決方案很好地解決了這個問題。其把各種用戶共用的一套物理網(wǎng)絡(luò)、客戶端、服務(wù)器資源虛擬出多種邏輯資源，供不同的群組/部門/用戶/業(yè)務(wù)使用，實現(xiàn)根據(jù)業(yè)務(wù)和應(yīng)用劃分訪問權(quán)限和業(yè)務(wù)流向，進(jìn)行安全隔離，同時也能根據(jù)需要提供靈活的互訪控制。具體如下圖所示：圖1網(wǎng)絡(luò)拓?fù)鋱D如圖所示：新區(qū)網(wǎng)絡(luò)建設(shè)采用三層架構(gòu)，分為：核心層、匯聚層、接入層的三層交換技術(shù)，網(wǎng)絡(luò)主干采用萬兆鏈路互聯(lián)，千兆線速到桌面。在核心機房部署兩臺采用多級交換架構(gòu)的高端路由交換機，接入交換機采用三層全千兆接入交換機，通過把VLAN終結(jié)在接入端口，限制廣播域范圍，減少廣播報文對網(wǎng)絡(luò)帶寬的消耗，從接入層開始即可進(jìn)行快速三層交換，利用網(wǎng)絡(luò)中存在的等價多路徑實現(xiàn)業(yè)務(wù)流量的負(fù)載分擔(dān)。整網(wǎng)配置OSPF協(xié)議，具有網(wǎng)絡(luò)故障收斂速度快、易于管理和維護的特點。3.1核心層建設(shè)規(guī)劃設(shè)計核心交換機作為網(wǎng)絡(luò)平臺的核心，不僅要求能提供大容量、無阻塞的數(shù)據(jù)交換，還需具備持續(xù)擴展的能力，支持高密度的萬兆接口、分布式緩存機制、精細(xì)化QoS等。交換架構(gòu)是網(wǎng)絡(luò)設(shè)備的核心，就像人的心臟一樣重要，決定了一臺設(shè)備的容量、性能、擴展性以及QoS等諸多關(guān)鍵屬性?？紤]網(wǎng)絡(luò)的高擴展性及高性能，需采用CLOS交換架構(gòu)的核心交換機作為網(wǎng)絡(luò)核心。根椐業(yè)務(wù)的實際需求，本次我們采用兩臺H3CS10508高性能模塊化核心路由交換機，配置雙電源、雙引擎，采用智能彈性堆疊技術(shù)進(jìn)行均衡熱備作為網(wǎng)絡(luò)核心。每臺配置一塊16端口萬兆以太網(wǎng)光接口模塊和一塊48端口千兆以太網(wǎng)電接口模塊，其中兩個萬兆接口用于核心交換機間的互聯(lián)，其余萬兆接口用于連接匯聚交換機和數(shù)據(jù)中心交換機，根據(jù)實際距離配置萬兆多模（300M內(nèi)）或者萬兆單模（10KM內(nèi)）模塊，千兆電口用于連接管理系統(tǒng)和提供高速互聯(lián)接口。接入交換采用萬兆光纖鏈路與核心交換機進(jìn)行雙歸屬連接，提高網(wǎng)絡(luò)主干速率及鏈路的可靠性。核心交換機之間通過萬兆鏈路連接起來，利用交換機支持的IRF2（第二代智能彈性架構(gòu)）技術(shù)，將兩臺設(shè)備虛擬化為一臺邏輯設(shè)備。這樣核心層在可靠性、分布性和易管理性方面具有強大的優(yōu)勢。通過第二代智能彈性架構(gòu)IRF2可使網(wǎng)絡(luò)資源成倍增加，并可靈活調(diào)整，進(jìn)一步簡化了核心層網(wǎng)絡(luò)配置，大大降低前期投入和后期維護成本。圖2網(wǎng)絡(luò)路由第二代智能彈性架構(gòu)（IRF2）可實現(xiàn)分布式路由、跨設(shè)備鏈路聚合和分布式設(shè)備管理，并且核心設(shè)備和接入設(shè)備采用同一種技術(shù)，可以構(gòu)建出一個具有彈性的數(shù)據(jù)中心基礎(chǔ)網(wǎng)絡(luò)平臺。部署IRF2，除了提高網(wǎng)絡(luò)的可用性，減少單點故障影響，還可以：·分布式處理二三層協(xié)議，提高網(wǎng)絡(luò)處理性能·每組虛擬為一臺設(shè)備，簡化組網(wǎng)，配置管理更高效·虛擬交換組設(shè)備軟件版本同步升級，易于維護·整個虛擬交換組的設(shè)備支持熱插拔，靈活管理·對虛擬交換組來說，實現(xiàn)倍數(shù)級的接入密度和背板交換能力，并提高組網(wǎng)的可靠性核心層部署IRF2后，無需再考慮MSTP、VRRP等協(xié)議，解決了傳統(tǒng)設(shè)備和鏈路只能工作在主/備模式和利用率低于50％的性能瓶頸。3.2匯聚層建設(shè)規(guī)劃設(shè)計匯聚層是核心層和接入層的連接模塊，為各個配線間網(wǎng)絡(luò)設(shè)備提供接入層設(shè)備的集中和核心層鏈路的接入。匯聚來自接入層的節(jié)點，保護核心不受高密度對等關(guān)系的影響。此外，匯聚層還創(chuàng)建故障邊界，在接入層發(fā)生故障時提供邏輯隔離點。負(fù)載平衡、服務(wù)質(zhì)量(QoS)和易于設(shè)置等都是匯聚層的主要考慮因素。本次網(wǎng)絡(luò)設(shè)計的匯聚層需要能提供快速的數(shù)據(jù)交換和極高的永續(xù)性，從設(shè)備考慮，需選用交換性能和可靠性高的高端路由交換設(shè)備，支持雙主控、電源冗余、風(fēng)扇冗余、分布式轉(zhuǎn)發(fā)等特性。本次網(wǎng)絡(luò)設(shè)四個匯聚，每個匯聚配置一臺H3CS10508E-S模塊化路由交換機，H3CS10508E-S具有6個業(yè)務(wù)插槽，可以滿足后期擴容需求，天然支持全線速分布式轉(zhuǎn)發(fā)，配置高性能路由交換引擎和雙電源冗余，每臺配置8個萬兆接口和48個千兆光接口（其中兩臺配置96個千兆光接口），萬兆接口用于連接兩臺核心交換機，千兆光口提供接入交換機高速互聯(lián)。H3CS7500E路由交換機是杭州H3C通信技術(shù)有限公司面向融合業(yè)務(wù)網(wǎng)絡(luò)推出的新一代高端多業(yè)務(wù)路由交換機，采用了全分布式體系架構(gòu)，基于H3C自主知識產(chǎn)權(quán)的ComwareV5操作系統(tǒng)，融合了MPLS、IPv6、網(wǎng)絡(luò)安全、無線、無源光網(wǎng)絡(luò)等多種業(yè)務(wù)，提供不間斷轉(zhuǎn)發(fā)、優(yōu)雅重啟、環(huán)網(wǎng)保護等多種高可靠技術(shù)，在提高用戶生產(chǎn)效率的同時，保證了網(wǎng)絡(luò)最大正常運行時間，從而降低了客戶的總擁有成本（TCO）。3.3接入層建設(shè)規(guī)劃設(shè)計接入層是邊緣設(shè)備、終端站和IP電話接入網(wǎng)絡(luò)的第一層。健壯的接入層提供以下主要特性：鏈路匯聚（以太網(wǎng)通道或802.3ad）高可用特性，提供更高的帶寬利用率，同時降低復(fù)雜性，匯聚的鏈路之間在故障發(fā)生時，正常鏈路可承擔(dān)起所有網(wǎng)絡(luò)流量為滿足辦公網(wǎng)絡(luò)用戶的全千兆接入需求，所以端口必須支持線速轉(zhuǎn)發(fā)，硬件識別和處理各種應(yīng)用業(yè)務(wù)流，所有端口都具有單獨的數(shù)據(jù)包過濾和區(qū)分不同應(yīng)用流的能力，并根據(jù)不同的流進(jìn)行不同的管理和控制使用QoS為關(guān)鍵任務(wù)網(wǎng)絡(luò)流量分發(fā)優(yōu)先級，從而靠近網(wǎng)絡(luò)入口對流量進(jìn)行分類和排隊，提供多樣的隊列調(diào)度滿足高級QoS、更為精細(xì)的流分類、限速粒度和組播服務(wù)，實現(xiàn)網(wǎng)絡(luò)控制和帶寬優(yōu)化安全服務(wù)，通過配置802.1x,、端口安全性、DHCP偵聽、動態(tài)ARP檢查及IP源保護等工具來增加安全性，從而更有效地防止非法網(wǎng)絡(luò)訪問為網(wǎng)絡(luò)提供了更多的智能特性，如基于策略的VLAN、支持基于端口／流／MAC／VLAN鏡像、增強的ACL和端口安全功能等支持EAD（端點準(zhǔn)入防御）功能，配合后臺系統(tǒng)可以將終端防病毒、補丁修復(fù)等終端安全措施與網(wǎng)絡(luò)接入控制、訪問權(quán)限控制等網(wǎng)絡(luò)安全措施整合為一個聯(lián)動的安全體系建議選用H3CS5120全千兆三層交換機，提供24/48個千兆以太網(wǎng)端口，4個千兆SFP端口，采用千兆光纖鏈路與核心交換連接，樓層交換的端口數(shù)將根據(jù)樓層實際信息點數(shù)量進(jìn)行分配。3.4數(shù)據(jù)中心建設(shè)規(guī)劃設(shè)計數(shù)據(jù)中心是在數(shù)據(jù)大集中背景下形成的集成IT應(yīng)用環(huán)境，它是各種IT業(yè)務(wù)和應(yīng)用服務(wù)的提供中心，是數(shù)據(jù)運算/交換/存儲的中心，實現(xiàn)對用戶的數(shù)據(jù)、應(yīng)用程序、物理構(gòu)架的全面或部分進(jìn)行整合和集中管理。為保證數(shù)據(jù)中心的高安全性和快速數(shù)據(jù)交換，數(shù)據(jù)中心接入交換機建議采用H3C公司的S5800-60C數(shù)據(jù)中心級萬兆以太網(wǎng)交換產(chǎn)品，配置2個萬兆端口采用萬兆多模光纖分別與兩臺核心交換機互聯(lián)。H3CS5800-60C交換機單臺設(shè)備可以按需擴展至最多8個全線速轉(zhuǎn)發(fā)的萬兆端口,或提供靈活的千兆接入端口，可以提供16個千兆光接口或者電接口擴展模塊，單臺設(shè)備可以按需擴展至最多84個全線速轉(zhuǎn)發(fā)的千兆端口，滿足數(shù)據(jù)中心對于光電混合配置的要求。針對于數(shù)據(jù)中心大流量數(shù)據(jù)無阻塞傳輸?shù)囊?，H3CS5800-60C可以提供強大的緩存能力，并且支持先進(jìn)的緩存調(diào)度機制可以保證設(shè)備緩存能力有效利用的最大化。支持電源冗余和模塊化風(fēng)扇組件，電源模塊以及風(fēng)扇模塊均可以熱插拔而不影響設(shè)備的正常運行。完全滿足數(shù)據(jù)中心網(wǎng)絡(luò)建設(shè)需求。3.5網(wǎng)絡(luò)出口建設(shè)規(guī)劃設(shè)計為保障網(wǎng)絡(luò)的安全性，需針對INTERNET、醫(yī)保出口分別部署網(wǎng)絡(luò)設(shè)備。建議在INTERNET出口處，部署一臺H3CMSR5040開放多核路由器和一臺UTM200統(tǒng)一威脅管理產(chǎn)品，保證網(wǎng)絡(luò)出口安全和快速NAT轉(zhuǎn)換。MSR50路由器在硬件設(shè)計方面充分地考慮到集成綜合業(yè)務(wù)的需要，采用了先進(jìn)的N-Bus多總線設(shè)計方案，語音、數(shù)據(jù)、交換、安全四大業(yè)務(wù)分別經(jīng)由不同的總線，由專門的協(xié)處理引擎并行完成處理，消除總線和CPU性能瓶頸，大大提高了該路由器集成的多業(yè)務(wù)部署和實施能力?？蓾M足企業(yè)網(wǎng)絡(luò)內(nèi)部多種高質(zhì)量并發(fā)業(yè)務(wù)無縫集成、完美融合。H3CSecPathU200采用高性能的多核、多線程安全平臺，保障全部安全功能開啟時不降低性能，產(chǎn)品具有極高的性價比。在提供傳統(tǒng)防火墻、VPN功能基礎(chǔ)上，同時提供病毒防護、URL過濾、漏洞攻擊防護、垃圾郵件防護、P2P/IM應(yīng)用層流量控制和用戶行為審計等安全功能。支持L2TPVPN、GREVPN、IPSecVPN等遠(yuǎn)程安全接入方式，同時設(shè)備集成硬件加密引擎實現(xiàn)高性能的VPN處理，可以為用戶提供大容量、高性能的安全VPN接入。

無線網(wǎng)絡(luò)設(shè)計規(guī)劃4.6WLAN無線網(wǎng)絡(luò)規(guī)劃與有線網(wǎng)絡(luò)相比，WLAN具有安裝便捷、移動性好、使用靈活、易于擴展等優(yōu)點，可以為不易布線的地方和遠(yuǎn)距離的數(shù)據(jù)處理節(jié)點提供強大的網(wǎng)絡(luò)支持。由于WLAN具有上述不可替代的優(yōu)點，因而會迅速地應(yīng)用于需要在移動中聯(lián)網(wǎng)和在網(wǎng)絡(luò)間漫游的場合。但與此同時也給WLAN的優(yōu)化設(shè)計與管理帶來了很多新的問題。WLAN包括無線網(wǎng)卡和接入點（AP）.無線網(wǎng)卡安裝在移動終端上，用來訪問AP。無線網(wǎng)卡帶有發(fā)送器、接收器、天線和提供無線終端接口的硬件。AP是一個橋接的無線基站，放置于固定位置并可連接到有線局域網(wǎng)。AP帶有發(fā)送器、接收器、天線和橋接器，帶有與IEEE802.3有線局域網(wǎng)的接口，可以讓無線終端同有線局域網(wǎng)通信。網(wǎng)絡(luò)結(jié)構(gòu)是進(jìn)行優(yōu)化設(shè)計的基礎(chǔ)。大型WLAN應(yīng)用的網(wǎng)絡(luò)結(jié)構(gòu)以基礎(chǔ)設(shè)施網(wǎng)絡(luò)為主。基礎(chǔ)設(shè)施網(wǎng)絡(luò)提供對其它網(wǎng)絡(luò)的訪問，帶有轉(zhuǎn)發(fā)功能和介質(zhì)訪問控制等功能。在基于這種結(jié)構(gòu)的網(wǎng)絡(luò)中，通信只發(fā)生在無線節(jié)點和AP之間，而不是兩個無線節(jié)點之間直接通信。AP起到了橋接其它無線或有線網(wǎng)絡(luò)的作用。這種網(wǎng)絡(luò)結(jié)構(gòu)典型的使用場景為、辦公室、超市和倉庫。WLAN不同于傳統(tǒng)的有線網(wǎng)絡(luò)，噪聲和干擾、建筑物結(jié)構(gòu)、無線設(shè)備的擺放及其參數(shù)的設(shè)置都對WLAN的信號質(zhì)量和傳輸速度等性能有很大的影響。因此，WLAN的設(shè)計也與有線網(wǎng)絡(luò)不同。WLAN優(yōu)化設(shè)計的目的是：使無線接入設(shè)備覆蓋所有期望覆蓋的區(qū)域，并且具有足夠承擔(dān)預(yù)期負(fù)載的能力。由于環(huán)境的復(fù)雜性，WLAN的設(shè)計必須通過實際的測量才能達(dá)到理想效果。其中，AP的定位和頻率分配是WLAN優(yōu)化設(shè)計的兩個重要方面。根據(jù)與業(yè)主相關(guān)負(fù)責(zé)人員詳細(xì)溝通后對于貴現(xiàn)況及無線上網(wǎng)需求和無線網(wǎng)的運用，我們根據(jù)現(xiàn)場實際的場地狀況及日后相關(guān)需求發(fā)展做了以下的歸納分析:目前工作人員約有二萬五千余人，根據(jù)使用方規(guī)劃最終學(xué)生人數(shù)將達(dá)三萬五千人，由于企業(yè)所有員工皆配備有筆計型PC對于無線上網(wǎng)是有其必需與必要性的故規(guī)劃整個無線互聯(lián)網(wǎng)環(huán)境首要的思路就是如何讓每個員工都能在無線訊號覆概良好并能提供足夠帶寬的上網(wǎng)環(huán)境來做規(guī)劃。初期使用方以辦公大樓及閱覽室為無線覆蓋主要區(qū)域其范圍分布較廣且辦公樓都是采用U型或較為開闊的建筑，基本上屬于分布式的環(huán)境，所以若以一般傳統(tǒng)式的室內(nèi)WLAN系統(tǒng)及傳統(tǒng)式短室內(nèi)距離的WLAN覆蓋方式根本無法滿足學(xué)生所需要的無線上網(wǎng)環(huán)境。根據(jù)企業(yè)的日后發(fā)展方向及未來場地擴展，我們也確定必須對系統(tǒng)的擴充性及整合性做一詳細(xì)的考慮，如所選用的系統(tǒng)必須視可以隨時擴充及必須做到擴充后的無縫結(jié)合。整個辦公樓群基本上每棟都有電信光纜到樓，只有圖書館尚未有接入電信光纜，但使用方考慮到施工對環(huán)境的影響原則上不再采用鋪光纜的方式。方案實施規(guī)劃方向根據(jù)以上實際需求分析我們可以很清楚的得到一些方案實施方向:考慮到上網(wǎng)人數(shù)多且密集我們根據(jù)使用方的預(yù)期要求以五比一的高峰上網(wǎng)比例來規(guī)劃也就是整個無線必須滿足能讓5000個用戶同時上網(wǎng)。就覆蓋信號范圍需求方面一般的室內(nèi)無線WLAN系統(tǒng)不適用于本方案的實施因為本方案屬于分布式無線上網(wǎng)系統(tǒng)的運用其覆蓋方式是屬于大面積覆蓋，適用室外型高性能電信運營級WLAN設(shè)備方能滿足需求而室內(nèi)小面積并不具備所需之性能要求；故我們采用以室外大面積高性能電信運營級WLAN設(shè)備來規(guī)劃整個網(wǎng)絡(luò)架構(gòu)。針對高密度的用戶環(huán)境我們必須采用高帶寬的54Mbps802.11g的產(chǎn)品來規(guī)劃。圖書館尚未有接入電信光纜，但使用方考慮到施工對環(huán)境的影響原則上不再采用鋪光纜的方式。及對于設(shè)備的維護及穩(wěn)定度更加要求故我們采用目前業(yè)界公認(rèn)最穩(wěn)定也是最有效的802.11a5.8GHz無線網(wǎng)橋?qū)拏鞯綀D書館辦公樓。根據(jù)上述及與使用方相關(guān)負(fù)責(zé)人員詳細(xì)溝通后對于企業(yè)現(xiàn)況及無線系統(tǒng)的需求和運用，我們根據(jù)現(xiàn)場實際的場地狀況及日后相關(guān)需求發(fā)展規(guī)劃了一套基于54Mbps的室外無線WLAN局域網(wǎng)接入規(guī)劃，本著“專業(yè)、實效和用戶至上”的原則來設(shè)計?；窘M網(wǎng)架構(gòu)首先利用現(xiàn)有已布設(shè)完成的電信光纜將Internet信號從電信機房引到各出將辦公大樓，再接入AP的以太網(wǎng)供電器經(jīng)過室外以太網(wǎng)再接入ODU-8200PG，然后再通過ODU-8200PG2.4G的802.11b/802.11g的覆蓋發(fā)射出AP覆蓋無線信號(如圖七所示)，在客戶端只要使用一張無線網(wǎng)卡，就可以連上AP，暢游網(wǎng)絡(luò)世界。圖3ODU-8200PG組網(wǎng)示意2.4GHz網(wǎng)橋802.11b54Mbps2.4GHz網(wǎng)橋802.11b54Mbps2.4GHz網(wǎng)橋802.11b54Mbps2.4GHz網(wǎng)橋802.11b54Mbps2.4GHz網(wǎng)橋802.11b54Mbps中國電信機房圖4ODU-8200PG組網(wǎng)示意4.6.1系統(tǒng)設(shè)計方案說明本方案以既有的中國電信已鋪設(shè)的光纜作做為網(wǎng)絡(luò)骨干之基礎(chǔ)再以WLAN無線AP將帶寬經(jīng)RF無線方式傳輸?shù)浇K端設(shè)備(如:PC,無線IAD,無線PDA等...)。整個需要無線覆蓋房間如圖八所示，其中紫色、藍(lán)色、綠色、紅色分別代表四個不同通道(CH1/CH4/CH8/CH11)的無線覆蓋蜂窩，無線AP以4個ODU-8200PG2.4GHz54Mbps作傳輸/覆蓋AP為中心點(如圖八AP1/AP2/AP3/AP4)分別以三個到四個AP組成WDS蜂窩之架設(shè)方式；第一蜂窩為圖八所示之紫色線條示意之AP1/AP2/AP3/AP4(共由四顆ODU-8200PG組成)，第二蜂窩為圖八所示之紅色現(xiàn)線調(diào)示意AP5/AP6/AP7/AP8(共由四顆ODU-8200PG組成)，第三蜂窩為圖八所示之綠色線條示意之AP9/AP10/AP111(共由三顆ODU-8200PG組成)，第四蜂窩為圖八所示之藍(lán)色線條示意之AP12/AP13/AP14/AP15(共由四顆ODU-8200PG組成)，整個無線覆蓋網(wǎng)工共使用15顆ODU-8200PG4.6.2整體網(wǎng)絡(luò)性能評估十五個AP其可提供總帶寬應(yīng)為300Mbps，計算方式如下:因每一AP出口均為54Mbps(實際有效帶寬為20Mbps)故15個AP將提供20Mbps*15=300Mbps的實際帶寬，并可同時提供960個用戶(64*15=960)在線互聯(lián)并發(fā)(每一AP并發(fā)數(shù)為64個用戶)。4.6.3組網(wǎng)實施步驟實際覆蓋宿舍環(huán)境分析與AP架設(shè)位置之選擇實際覆蓋環(huán)境如圖八所示，共需覆蓋大樓如圖八黃色標(biāo)示之建筑物，組網(wǎng)實施方式將分為下面幾個步驟進(jìn)行:各覆蓋蜂窩之遠(yuǎn)端點之安裝實施步驟分述如下:覆蓋蜂窩一之遠(yuǎn)端點:AP-2,AP-3,AP-4因每個AP之覆蓋天線覆蓋之角度為左右120°上下各為15°故各遠(yuǎn)端點必須在中心點覆蓋面120°內(nèi)才能順利接收到中心點所傳過來之訊號。覆蓋蜂窩二之遠(yuǎn)端點:圖八所示之AP-6,AP-7,AP-8因每個AP之覆蓋天線覆蓋之角度為左右120°上下各為15°故各遠(yuǎn)端點必須在中心點覆蓋面120°內(nèi)才能順利接收到中心點所傳過來之訊號。覆蓋蜂窩三之遠(yuǎn)端點:圖八所示之AP-10,AP-11因每個AP之覆蓋天線覆蓋之角度為左右120°上下各為15°故各遠(yuǎn)端點必須在中心點覆蓋面120°內(nèi)才能順利接收到中心點所傳過來之訊號，因AP-10,AP-11主要覆蓋為覆蓋樓三和覆蓋樓四之南面外側(cè)，因該面并無其它相鄰之建筑物可裝社AP故我提供們兩種AP之架設(shè)方式；一為直接將AP裝在覆蓋三和樓四的覆蓋面外側(cè)屋頂角上；一為在南面外側(cè)立抱竿將AP裝設(shè)在抱竿上如圖八AP-10,AP-11。覆蓋蜂窩四之遠(yuǎn)端點:圖八所示之AP-13,AP-14,AP-15因每個AP之覆蓋天線覆蓋之角度為左右120°上下各為15°故各遠(yuǎn)端點必須在中心點覆蓋面120°內(nèi)才能順利接收到中心點所傳過來之訊號。4.6.4AP覆蓋單元一)覆蓋設(shè)備ODU-8200PG系列是在-20~70°C溫度下提供超長距離接入的無線局域網(wǎng)覆蓋設(shè)備，ODU-8200PG系列提供了AP/網(wǎng)橋混合模式減少布線成本、及自帶天線，更有利于無線網(wǎng)之建設(shè)。此系統(tǒng)主要用在小區(qū)無線覆蓋/城域無線網(wǎng)覆蓋,并可用于點到點及點到多點射頻方案，以連接多個建筑物間之局網(wǎng)。本系統(tǒng)支持11/54Mbps傳輸率，使用DSSS/OFDM技術(shù)。圖5ODU-8200PG產(chǎn)品外觀特色及益處DSSS/OFDM技術(shù)特色及益處DSSS/OFDM技術(shù)網(wǎng)橋功能(2.4G)可達(dá)10公里傳輸距離及54Mbps傳輸數(shù)率AP功能(2.4G)最高速率54Mbps(802.11g)及11Mbps(802.11b)用戶隔離AP隱藏功能支持無線VLAN功能支持WDS以太網(wǎng)供電采用SNMP簡化管理廣泛操作溫度從-40到70°C防水室外單元支援802.1x認(rèn)證MAC捆綁/MAC認(rèn)證最高并發(fā)數(shù)64個用戶同時支持802.11b/802.11g協(xié)議使用1個中心網(wǎng)橋和多個遠(yuǎn)程室外網(wǎng)橋可以創(chuàng)建一個點對多點鏈路，每個通道遠(yuǎn)程室外網(wǎng)橋的數(shù)量最多可以達(dá)到4個，同一個位置可以配置3到4個不重迭通道。ISP可以創(chuàng)建一個無線網(wǎng)絡(luò)為一些住宅用戶提供因特網(wǎng)的接入，用戶需要使用安裝有無線網(wǎng)卡的臺式機、筆記本計算機。提供11Mbps(802.11b)和54Mbps(802.11g)的數(shù)據(jù)速率，高于E1/T1數(shù)十倍的鏈路速率。支持IAPP漫游協(xié)議及WDSAP/網(wǎng)橋混合模式,可用于搭建一個蜂窩示W(wǎng)LAN網(wǎng)絡(luò)。10/100Base-T以太網(wǎng)接口，適用于10和100Mb/s以太網(wǎng)環(huán)境。高安全性的系統(tǒng)，使用了以下加密措施：64-bitWEP和128-bitRC4AccessControlSystemAddressPassPhrase用戶隔離VLANAPESSID隱藏ANY搜索限制802.1X標(biāo)準(zhǔn)的IP路由設(shè)置，可以將不同IP子網(wǎng)的LAN連接起來，使無線網(wǎng)絡(luò)和有線網(wǎng)絡(luò)容易的進(jìn)行連接。支持VLAN功能，在VLAN環(huán)境下，可以對其進(jìn)行管理。最高支持上網(wǎng)并發(fā)數(shù)為64個用戶(2)、ODU-8200系統(tǒng)技術(shù)指針：規(guī)格設(shè)備接口以太網(wǎng)接口:IEEE802.3100/10BaseT(RJ-45)無線網(wǎng)絡(luò)連接標(biāo)準(zhǔn):IEEE802.11b/802.11g頻率范圍:2400-2484MHz(802.11b/802.11g)傳輸率:802.11b(11Mbps)/802.11g(54Mbps)散射型式:DSSS802.11b(2.4GHz)OFDM802.11g(2.4GHz)頻段:11channels(802.11b/802.11g)調(diào)變:BPSK/QPSK/CCK輸出功率:500mW(0.5W)/1000Mw(1W)協(xié)定安全:WEPEncryption640-bitand128-bit支援802.1x認(rèn)證網(wǎng)絡(luò):SNMP,TCP/IP,IPX/SPX,NetBEUI操作系統(tǒng)支持支援Windows98/2000/NT/XP網(wǎng)絡(luò)架構(gòu)PTP連接(點到點)PTMP連接(點到多點)WDS(AP/網(wǎng)橋混何模式)LED指示燈Power,Act,SignalStrength電力需求輸入:AC100-264V,50-60Hz,21W尺寸ODU-8200(190長×190寬×90高)厘米;2.8公斤操作環(huán)境操作溫度:-20~60°C儲存溫度:-40~80°C濕度范圍:85%,無水珠凝結(jié)下AP的位置首先應(yīng)根據(jù)實際的場景和需求初步進(jìn)行選擇，然后在通過實地測量進(jìn)行調(diào)整。定位需要遵循以下原則：AP的覆蓋區(qū)域之間無間隙，AP之間重迭區(qū)域最小。第一條原則保證所有的區(qū)域都能覆蓋到，而第二條原則是要盡可能減少所需的AP數(shù)量。AP覆蓋區(qū)域的確定需要根據(jù)接收到的信號強度來決定，做法是先設(shè)定一個信號強度閥值，例如為滿足某小區(qū)域的無線終端點播流媒體課件的需求，通過測量得知信噪比SNR＝10dB是能夠保證點播流媒體課件質(zhì)量穩(wěn)定的最低信號強度，所以可將10dB作為閥值，凡是信號強度不低于這個閥值的區(qū)域就確定為AP的覆蓋區(qū)域；然后進(jìn)行實地測量，并記錄，產(chǎn)生AP的覆蓋區(qū)域圖；最后根據(jù)定位原則進(jìn)行調(diào)整，直到滿意為止。由于各個區(qū)域的用戶密度不同，一般情況下用戶密度大的區(qū)域情況更復(fù)雜，所以應(yīng)先在用戶密度高的區(qū)域進(jìn)行AP的布置然后再布置用戶密度低的區(qū)域。在空曠的戶外可用對稱圓形和球形來劃定AP覆蓋區(qū)域；而在規(guī)則的狹長或矩形建筑物內(nèi)可用線形或矩形將AP對稱分布。但是由于室內(nèi)建筑結(jié)構(gòu)的復(fù)雜性，例如金屬防盜門、鋁合金門窗等，應(yīng)當(dāng)在初步選擇AP位置后進(jìn)行仔細(xì)的測量，以確保布置的AP能夠覆蓋所有區(qū)域。在AP的位置已經(jīng)固定，覆蓋范圍也已經(jīng)確定之后，要考慮的是頻率分局的問題。IEEE802.11b/g的工作頻率為2.4GHz。在多個頻道同時工作的情況下，為保證頻道之間的相互干擾最小，可以使用三個互相不重迭的頻道。頻率分配實質(zhì)上也就類似于一個用三種顏色給地圖涂色的問題。另外，WLAN的優(yōu)化設(shè)計不僅是要從覆蓋范圍的角度來考慮，還要考慮其負(fù)載能力，以保證服務(wù)質(zhì)量。以布置天線為例，假設(shè)實際的需求是要保證30個學(xué)生同時點播多媒體課件，一個AP不能滿足要求，需要在同一教室里面布置兩個AP。由于用戶需求是動態(tài)變化的，AP的實際負(fù)載可能會加重或減輕，這些變換可以通過對WLAN監(jiān)視得知。網(wǎng)絡(luò)管理員應(yīng)根據(jù)實際變化對AP的數(shù)量和分布作出調(diào)整。總之，良好的WLAN設(shè)計不僅可以保證較好的服務(wù)質(zhì)量，也可以減少AP的使用數(shù)量從而節(jié)約成本，其前提是事先經(jīng)過充分的實地測量和評估。用戶認(rèn)證管理核心技術(shù)（PPPoE、WEB、DHCP）解決方案

認(rèn)證可稱AAA，包含三個方面：Authentication鑒別、Authorization授權(quán)、Accounting計費。Radius協(xié)議是用來解決AAA的，現(xiàn)在用得最廣，成為事實上的標(biāo)準(zhǔn)。用戶主機與網(wǎng)絡(luò)設(shè)備的通信方式：大致可分PPPoE、DHCP/DHCP+、WEB方式；后面會專門介紹這三種方式。網(wǎng)絡(luò)設(shè)備與AAAServer的通信協(xié)議：采用標(biāo)準(zhǔn)的Radius協(xié)議，為實現(xiàn)增強功能，可采用擴展的Radius協(xié)議，即俗稱Radius+；網(wǎng)絡(luò)設(shè)備與AAAServer通過Radius協(xié)議的認(rèn)證的簡要過程如下：1)網(wǎng)絡(luò)設(shè)備向AAAServer發(fā)出AccessRequest包，其中包含用戶的賬號、密碼、端口號、埠類型等；2)AAAServer向網(wǎng)絡(luò)設(shè)備回送AccessResponse包，其中包含用戶的合法性和用戶的一些設(shè)置，如IP地址，屏蔽，DNSserver，上網(wǎng)帶寬，上網(wǎng)時段等；3)網(wǎng)絡(luò)設(shè)備不斷向AAAServer發(fā)送計費消息包，這些消息包可以反映出上網(wǎng)開始時間，上網(wǎng)結(jié)束時間，輸入輸出流量，SessionID、賬號等；三種認(rèn)證方式在無線寬帶接入中，按用戶與網(wǎng)絡(luò)設(shè)備之間的通信方式，可將認(rèn)證分為以下三種：

（1）PPPoE（包PPPoA、PPTP等）

（2）DHCP/DHCP+

（3）Web認(rèn)證

1、PPPoE認(rèn)證

通過PPPoE（Point-to-PointProtocoloverEthernet）協(xié)議，服務(wù)提供商可以在無線以太網(wǎng)上實現(xiàn)PPP協(xié)議的主要功能，包括采用各種靈活的方式管理用戶。(說明:PPPoE（Point-to-PointProtocoloverEthernet）協(xié)議允許通過一個連接客戶的簡單以太網(wǎng)橋啟動一個PPP對話。)PPPoE的建立需要兩個階段，分別是搜尋階段（Discoverystage）和點對點對話階段（PPPSessionstage）。當(dāng)一臺主機希望啟動一個PPPoE對話，它首先必須完成搜尋階段以確定對端的以太網(wǎng)MAC地址，并建立一個PPPoE的對話號（SESSION_ID）。在PPP協(xié)議定義了一個端對端的關(guān)系時，搜尋階段是一個客戶-服務(wù)器的關(guān)系。在搜尋階段的進(jìn)程中，主機（客戶端）搜尋并發(fā)現(xiàn)一個網(wǎng)絡(luò)設(shè)備（服務(wù)器端）。在網(wǎng)絡(luò)拓?fù)渲校鳈C能與之通信的可能有不只一個網(wǎng)絡(luò)設(shè)備。在搜尋階段，主機可以發(fā)現(xiàn)所有的網(wǎng)絡(luò)設(shè)備但只能選擇一個。當(dāng)搜索階段順利完成，主機和網(wǎng)絡(luò)設(shè)備將擁有能夠建立PPPoE的所有信息。搜索階段將在點對點對話建立之前一直存在。一旦點對點對話建立，主機和網(wǎng)絡(luò)設(shè)備都必須為點對點對話階段虛擬接口提供資源。PPPoE一般用于卡號用戶，卡號用戶的賬號和密碼是通過PPPoE拔號軟件輸入的，費用也從輸入的賬號上扣。PPPoE認(rèn)證主要利用PPP的一些屬性，與它類似的認(rèn)證方式還有PPPoA、PPTP、L2TP等。相比之下，PPPoE應(yīng)用最普遍。2、DHCP認(rèn)證DHCP的認(rèn)證過程如下：用戶主機上電，發(fā)出DHCPRequst廣播包；該包到達(dá)網(wǎng)絡(luò)設(shè)備，網(wǎng)絡(luò)設(shè)備得到用戶的VlanID，根據(jù)VlanID查表得到用戶的認(rèn)證賬號。將認(rèn)證賬號送到RadiusServer認(rèn)證。Radiusserver返回認(rèn)證回應(yīng)。用戶上internet，有流量流經(jīng)網(wǎng)絡(luò)設(shè)備。網(wǎng)絡(luò)設(shè)備檢測到用戶的上網(wǎng)流量，向Radiusserver發(fā)計費開始的消息包。關(guān)機時，用戶主機會發(fā)出DHCPRelease包；該包達(dá)到網(wǎng)絡(luò)設(shè)備，網(wǎng)絡(luò)設(shè)備將向Radiusserver發(fā)一個終止計費的消息包，該包同時也包含了用戶的流量。計費結(jié)束。DHCP認(rèn)證適合固定用戶。3、Web認(rèn)證認(rèn)證步驟如下：用戶機器上電啟動，系統(tǒng)程序根據(jù)配置，通過DHCP由ISN做DHCP-Relay，向DHCPServer要IP地址（私網(wǎng)或公網(wǎng)）；ISN為該用戶構(gòu)造對應(yīng)表項信息（基于端口號、IP），添加用戶ACL服務(wù)策略（讓用戶只能訪問portalserver和一些內(nèi)部服務(wù)器，個別外部服務(wù)器如DNS）；Portalserver向用戶提供認(rèn)證頁面。在該頁面中，用戶輸入賬號和口令，并單擊"login"按鈕。也可不輸入由賬號和口令，直接單擊"Login"按鈕；該按鈕啟動portalserver上的Java程序，該程序?qū)⒂脩粜畔ⅲ↖P地址，賬號和口令）送給網(wǎng)絡(luò)中心設(shè)備ISN；ISN8850利用IP地址將收到用戶的信息，對用戶的合法性進(jìn)行檢查。便于以后的合法性檢查。如果用輸入了賬號，則認(rèn)為是卡號用戶，使用用戶輸入的賬號和口令到Radiusserver對用戶進(jìn)行認(rèn)證。如果用戶未輸入賬號，則認(rèn)為用戶是固定用戶，網(wǎng)絡(luò)設(shè)備利用VlanID（或PVCID）查用戶表得到用戶的賬號和口令。將賬號送到Radiusserver進(jìn)行認(rèn)證；RadiusServer返回認(rèn)證結(jié)果給網(wǎng)絡(luò)設(shè)備；認(rèn)證通過后，修改該用戶的ACL，用戶可以訪問外部因特網(wǎng)或特定的網(wǎng)絡(luò)服務(wù)。用戶離開網(wǎng)絡(luò)前，連接到portalserver上，單擊"斷開網(wǎng)絡(luò)"按鈕。系統(tǒng)停止計費，刪除用記的ACL和轉(zhuǎn)發(fā)信息，限制用戶不能訪問外部網(wǎng)絡(luò)。在以上過程中，要注意檢測用戶非正常離開網(wǎng)絡(luò)的情況，如用戶主機死機，網(wǎng)絡(luò)斷掉，直接關(guān)機等。4.6.5具體解決方案根據(jù)以上客觀的分析我們做出以下必須在規(guī)劃無線WLAN網(wǎng)時應(yīng)解決的問題:有效的覆蓋區(qū)域考慮移動性需要達(dá)到用戶需要的連接速度要求防止干擾安全性議題網(wǎng)絡(luò)優(yōu)化用戶計費考慮移動性需要/有效的覆蓋區(qū)域規(guī)劃WLAN的關(guān)鍵事規(guī)劃接入點，需要有足夠的蜂窩重迭覆蓋以供漫游，并需要足夠的寬帶以供應(yīng)用。如果無線接入點不足，最后可能導(dǎo)致吞吐量出現(xiàn)問題，同時也會使覆蓋區(qū)域零星散落，對用戶的漫游和工作地點造成一定的限制.有線、無線間的無縫連接，讓帶有WLAN的PC/PDA輕松移動上網(wǎng)、視頻信號在PC與PC間順暢傳輸，這種可能性已經(jīng)成為現(xiàn)實的應(yīng)用。在未來10年內(nèi)，IBMPervasiveComputing部門的戰(zhàn)略總監(jiān)LatinaConnelly表示，無線網(wǎng)絡(luò)將集成到多種網(wǎng)絡(luò)、設(shè)備和服務(wù)中去，到時，如果你要設(shè)置一個Wi-Fi網(wǎng)，就不再需要購買額外的Wi-Fi兼容硬件了。未來的網(wǎng)絡(luò)將是普通適用和無線的，電視與掌上計算機(PDA)的區(qū)別可能只是屏幕大小不同了。解決方案:建造WLAN無縫接入蜂窩網(wǎng)根據(jù)以上分析采用無線城科技的室外型無線AP/網(wǎng)橋/天線一體型ODU-8200PG來解決這樣的問題及需求,其主要利用該機型具備了WDS(WDS蜂窩網(wǎng)架構(gòu)如圖一所示),及AP漫游技術(shù)并運用其全球最先進(jìn)的54Mbps802.11gDFDM功率放大器使該產(chǎn)品能提供業(yè)界覆蓋最廣穿透力最強的室外WLAN覆蓋AP，并提供AP隱藏及用戶隔離技術(shù)及無線VLAN畫分等先進(jìn)安全性功能；可提供解決移動計算機的漫游及不固定地點上網(wǎng)，將開辟一個全新的寬帶網(wǎng)運用的領(lǐng)域，這得益于Wi-Fi與新型WDS蜂窩資料網(wǎng)的融合。Wi-Fi網(wǎng)間自如切換，這可用戶節(jié)省了大量成本。且速度更快的寬帶網(wǎng)接入將Wi-Fi的無線技術(shù)與運營商相結(jié)合，將催生出一個很大的市場，不少運營商意識到了這一點，即將有更多的服務(wù)推出。目前一種多模手機(PDA/GSM/GPRS/WLAN或PDA/CDMA/GPRS/WLAN)如我700型(PDA/GSM/WLAN)智能手機及WP-5200WiFi手機，它可以在Wi-FiWLAN蜂窩網(wǎng)、或傳統(tǒng)數(shù)據(jù)上進(jìn)行通話。2.4GHz網(wǎng)橋802.11b54Mbps2.4GHz網(wǎng)橋802.11b54Mbps2.4GHz網(wǎng)橋802.11b54Mbps2.4GHzAP覆蓋接入802.11b11Mbps802.11g54Mbps2.4GHzAP覆蓋接入802.11b11Mbps802.11g54Mbps2.4GHzAP覆蓋接入802.11b11Mbps802.11g54Mbps2.4GHzAP覆蓋接入802.11b11Mbps802.11g54Mbps2.4GHzAP覆蓋接入802.11b11Mbps802.11g54Mbps圖6WLAN無縫接入蜂窩網(wǎng)示意圖此外，集成Wi-Fi功能的電話，在一些特殊領(lǐng)域的應(yīng)用也有了新進(jìn)展。比如，在的急救中心，帶有Wi-Fi功能的手機/座機(圖二)、PDA(圖三)等與的信息系統(tǒng)進(jìn)行緊密的集成，這樣護士的活動空間更大了，但不至于當(dāng)輸液管里的生理鹽水不多時找不到她。未來，將應(yīng)用更多的移動終端，以最大化地提高工作效率。Wi-Fi將成為越來越多設(shè)備的標(biāo)準(zhǔn)功能，比如電冰箱、游戲機、打印機等。由于移動網(wǎng)絡(luò)可以找到用戶的位置，這樣，在一個偌大的辦公室或其它環(huán)境，移動人員就可以在最近的打印機打印數(shù)據(jù)了。圖7WP-5200WiFi手機/IAD圖8700型PDA/GSM/WLAN達(dá)到用戶需要的連接速度要求無線城科技所生產(chǎn)的ODU-8200PG同時支持802.11b/802.11g兩種傳輸覆蓋方式,提供2.4G頻段的802.11b/g橋接功能最高可提供54M的傳輸速率及5公里的傳輸距離(網(wǎng)橋功能可支持點對點,及點對多點方式進(jìn)行橋接;并支持WDS網(wǎng)橋/AP混合模式以供組建成WLAN蜂窩組網(wǎng))最高連結(jié)速率達(dá)54M。防止干擾無線城科技所生產(chǎn)的ODU-8200PG同時支持802.11b/802.11g兩種傳輸覆蓋方式，2.4G頻段的802.11b/g其可提供3個不重迭頻段，并提供WDS功能可讓最多五個AP同時在一個地方用同一頻段來進(jìn)行蜂窩狀覆蓋使得頻段資源更有效利用,并在一些需要長距離跨區(qū)傳輸配上ODU-9500室外5.8G頻段的802.11a網(wǎng)橋來進(jìn)尋行傳輸(ODU-9500可提供12個不重迭頻段,以供解決日益嚴(yán)重的干擾問題)。安全性保證作為一家研究無線網(wǎng)絡(luò)產(chǎn)品及應(yīng)用技術(shù)的專業(yè)性公司，針對現(xiàn)有的無線網(wǎng)絡(luò)安全性能進(jìn)行了全面周到的分析和研究，在提供給您全面、先進(jìn)的無線產(chǎn)品和配套方案的同時，還為您制定了一系列的無線安全技術(shù)解決方案，從傳統(tǒng)的WEP加密到新一代的IEEE802.11i，從MAC地址限制到IEEE802.1x安全認(rèn)證技術(shù)，WiFi-City全面先進(jìn)的安全技術(shù)能夠針對不同的應(yīng)用環(huán)境提出相應(yīng)的方案，無論是大型企業(yè)或者是運營商，都能最大程度上滿足用戶不同級別的安全需求。在結(jié)合了各種安全措施和認(rèn)證手段后的無線網(wǎng)絡(luò)，具有強大的安全性能，能夠有效地防止攻擊，保護網(wǎng)絡(luò)數(shù)據(jù)的傳輸安全，各種先進(jìn)的加密措施保障有效數(shù)據(jù)不被非法盜取。WiFi-City先進(jìn)的AP隱藏技術(shù)及無線用戶隔離VLAN無線網(wǎng)絡(luò)安全技術(shù)使用戶不必再為無線的安全問題而擔(dān)憂，WiFi-City的全套安全方案使您可以毫無顧慮地在無線網(wǎng)絡(luò)世界暢游。無線網(wǎng)絡(luò)安全防范措施-無線網(wǎng)絡(luò)安全技術(shù)應(yīng)用方案WiFi-City針對無線網(wǎng)絡(luò)的各個環(huán)節(jié)制定出了一系列安全方案，有效防止非法終端接入、虛假的AP、中途數(shù)據(jù)截取等安全問題，同時靈活地結(jié)合了WEP、VPN、IEEE802.1x等多種網(wǎng)絡(luò)安全技術(shù)手段，進(jìn)一步加強了無線網(wǎng)絡(luò)的安全性能。完備的技術(shù)解決方案，為您構(gòu)建安全的無線網(wǎng)絡(luò)提供最大的便利。安全防范點1：未經(jīng)授權(quán)用戶的接入對應(yīng)措施：使用各種先