基地園區(qū)網(wǎng)絡(luò)方案建議書(shū)

1、XX 集團(tuán)園區(qū)網(wǎng)絡(luò)技術(shù)建議書(shū)杭州 xx 通信技術(shù)有限公司指導(dǎo)書(shū)目錄第 1 章 總體建設(shè)要求 .3第 2 章 設(shè)計(jì)原則 .5第 3 章 網(wǎng)絡(luò)整體方案設(shè)計(jì) .73.1總體網(wǎng)絡(luò)設(shè)計(jì)描述 .73.2網(wǎng)絡(luò)結(jié)構(gòu)設(shè)計(jì) .73.3網(wǎng)絡(luò)拓?fù)鋱D .93.3.1網(wǎng)絡(luò)拓?fù)鋱D（內(nèi)網(wǎng)） .93.3.2網(wǎng)絡(luò)拓?fù)鋱D（外網(wǎng)） .93.3.3網(wǎng)絡(luò)拓?fù)鋱D（智能網(wǎng)） .103.4組網(wǎng)描述 .103.4.1網(wǎng)絡(luò)出口設(shè)計(jì) .103.4.2核心層設(shè)計(jì) .113.4.3匯聚層設(shè)計(jì) .133.4.4接入層設(shè)計(jì) .133.4.5用戶(hù)認(rèn)證： .143.4.6網(wǎng)絡(luò)管理系統(tǒng)： .153.5安全設(shè)計(jì) .153.5.1安全設(shè)計(jì)要點(diǎn) .153.5.2網(wǎng)絡(luò)邊

2、界安全防護(hù) .16第 4 章 有線無(wú)線一體化設(shè)計(jì) .204.1無(wú)線控制器 .204.2無(wú)線 AP .214.3 POE 供電 .234.4無(wú)線網(wǎng)管運(yùn)維 .234.5無(wú)線用戶(hù)認(rèn)證 .244.6方案特點(diǎn) .25第 5 章 方案優(yōu)勢(shì)介紹 .28指導(dǎo)書(shū)第1章 總體建設(shè)要求根據(jù) XX 園區(qū)信息化對(duì)計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)的需求，我們選擇采用基于TCP/IP 協(xié)議的、以1/10G BASE-X光纖鏈路為骨干的網(wǎng)絡(luò)，各樓棟內(nèi)采用千兆到桌面，要求能兼容IPV4 與 IPV6，通過(guò) VLAN劃分不同邏輯區(qū)域分別供不同部門(mén)的接入使用。在共用主干網(wǎng)絡(luò)線路的前提下實(shí)現(xiàn)各區(qū)域的邏輯性隔離，以實(shí)現(xiàn)安全、使用以及資源利用最大化。1、

3、 區(qū)域劃分XX 公司園區(qū)網(wǎng)由四棟新建樓宇組成，分別是保障中心、集控大廳、周轉(zhuǎn)宿舍、多功能綜合樓；保障中心作為整個(gè)園區(qū)的網(wǎng)絡(luò)核心，中心機(jī)房部署在三樓，分別通過(guò)光纜連接其它樓棟，大樓內(nèi)設(shè)置匯聚交換機(jī)，接入交換機(jī)對(duì)本大樓內(nèi)的信息點(diǎn)位進(jìn)行接入。2、 網(wǎng)絡(luò)拓樸的設(shè)計(jì)根據(jù)業(yè)務(wù)情況，把園區(qū)網(wǎng)絡(luò)分為3 套網(wǎng)絡(luò)：內(nèi)網(wǎng)、外網(wǎng)、智能網(wǎng)，三套網(wǎng)絡(luò)要求物理隔離；網(wǎng)絡(luò)主體架構(gòu)采用星型拓樸結(jié)構(gòu)，計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)考慮在保障中心三樓機(jī)房各設(shè)計(jì)2臺(tái)萬(wàn)兆交換機(jī)作為XX公司個(gè)業(yè)務(wù)網(wǎng)絡(luò)的核心交換機(jī)，同時(shí)必須虛擬化能力，采用雙核心設(shè)計(jì)，把雙核心虛擬成一臺(tái)具有高性能、高可靠、高安全的虛擬交換機(jī)；核心交換機(jī)通過(guò)萬(wàn)兆單光纜連接到保障中心、集控大

4、廳、周轉(zhuǎn)宿舍、多功能綜合樓的匯聚機(jī)房， 根據(jù)信息點(diǎn)位設(shè)計(jì)一臺(tái)萬(wàn)兆匯聚交換機(jī)，通過(guò)千兆單模對(duì)本樓層的接入交換機(jī)提供接入，樓層設(shè)計(jì)多臺(tái)千兆接入交換機(jī)對(duì)本棟大樓信息點(diǎn)提供千兆桌面接入。3、 網(wǎng)絡(luò)管理系統(tǒng)基于網(wǎng)絡(luò)中所涉及的設(shè)備較多，需要對(duì)設(shè)備進(jìn)行狀態(tài)檢測(cè)、設(shè)備配置、策略設(shè)置等，在網(wǎng)絡(luò)發(fā)生故障時(shí)能夠及時(shí)發(fā)現(xiàn)問(wèn)題，這需要一套功能強(qiáng)大的網(wǎng)絡(luò)管理軟件。方案中選用智能網(wǎng)管軟件作為局域網(wǎng)管理平臺(tái)，能夠與方案中設(shè)計(jì)的網(wǎng)絡(luò)設(shè)備、安全設(shè)備、無(wú)線、監(jiān)控良好配合。4、 無(wú)線覆蓋設(shè)計(jì)利用無(wú)線網(wǎng)絡(luò)技術(shù)進(jìn)一步擴(kuò)展網(wǎng)絡(luò)的覆蓋范圍，提高網(wǎng)絡(luò)的用戶(hù)自適應(yīng)性，在無(wú)線的覆蓋范圍內(nèi)實(shí)現(xiàn)數(shù)據(jù)業(yè)務(wù)和語(yǔ)音業(yè)務(wù)的無(wú)線傳輸，并且可實(shí)現(xiàn)三層漫游，使無(wú)線

5、局域網(wǎng)和有線網(wǎng)成為一個(gè)整體，提供安全的無(wú)線接入。指導(dǎo)書(shū)無(wú)線要求采用FIT AP組網(wǎng)方式，由無(wú)線控制器對(duì)集團(tuán)內(nèi)所有的無(wú)線AP進(jìn)行統(tǒng)一接入管理， AP供電采用POE遠(yuǎn)程供電方式；5、 對(duì) IP 地址、 DNS等網(wǎng)絡(luò)基礎(chǔ)資源的規(guī)劃XX 共有上千個(gè)網(wǎng)絡(luò)點(diǎn)及多個(gè)無(wú)線 AP，其 IP 地址劃分按 C 類(lèi)協(xié)議劃分，可以考慮不同樓棟的不同部門(mén)上網(wǎng)采用不同的段。6、對(duì)安全的考慮方案中對(duì)系統(tǒng)安全作如下考慮，在對(duì)外連接上采用高性能防火墻，提供充足的千兆端口和處理系能。對(duì)于集團(tuán)上網(wǎng)的各種應(yīng)用進(jìn)行行為和流量控制，配置應(yīng)用控制網(wǎng)關(guān)，對(duì)集團(tuán)各種行為進(jìn)行精細(xì)化管理和控制，對(duì)上網(wǎng)行為提供事后行為審計(jì)能力。7、 綜合布線綜合布線

6、是本次網(wǎng)絡(luò)改造的重點(diǎn)，要求做點(diǎn)規(guī)范、整潔、美觀、方便、耐用，樓棟之間采用室外光纜進(jìn)行布放，光纜兩端采用光端盒，光端盒必須出可接跳線的耦合器，不能直接出尾纖。光纜必須走地下，不能從空中拉；室內(nèi)采用六類(lèi)非屏蔽線纜，除了新教學(xué)樓，其它大樓均采用一個(gè)弱電機(jī)房， 所有信息點(diǎn)的網(wǎng)線直接拉到大樓弱電機(jī)房，在機(jī)房采用配線架集中整合。線纜布放必須采用橋架方式進(jìn)行布放；XX 公司網(wǎng)絡(luò)建設(shè)的總體目標(biāo)是建立一個(gè)開(kāi)放的、基于標(biāo)準(zhǔn)的數(shù)字化園區(qū)系統(tǒng)平臺(tái)，利用企業(yè)信息交換、 資源共享、 遠(yuǎn)程會(huì)議等現(xiàn)代化辦公手段， 面向員工及用戶(hù)提供個(gè)性化、人性化的服務(wù)。并可支持未來(lái)數(shù)據(jù)、語(yǔ)音和視頻等多業(yè)務(wù)在現(xiàn)有網(wǎng)絡(luò)技術(shù)平臺(tái)的融合。計(jì)算機(jī)網(wǎng)絡(luò)

7、系統(tǒng)是整個(gè) XX公司信息管理系統(tǒng)的基礎(chǔ)平臺(tái)與設(shè)施，為保證信息管理系統(tǒng)應(yīng)用系統(tǒng)的高效、安全、可靠，必須在整個(gè)網(wǎng)絡(luò)系統(tǒng)建設(shè)方案設(shè)計(jì)中按照國(guó)家和行業(yè)標(biāo)準(zhǔn)，達(dá)到一定的設(shè)計(jì)、建設(shè)原則和目標(biāo)。建設(shè)一個(gè)支持?jǐn)?shù)字化、網(wǎng)絡(luò)化、 自動(dòng)化的國(guó)內(nèi)先進(jìn)的基礎(chǔ)網(wǎng)絡(luò)平臺(tái)，滿(mǎn)足數(shù)字化企業(yè)建設(shè)的需要，也滿(mǎn)足企業(yè)信息化建設(shè)的長(zhǎng)期要求。網(wǎng)絡(luò)平臺(tái)具有良好的服務(wù)質(zhì)量、較高安全性、便于管理和維護(hù)，能夠支持企業(yè)的各種辦公和科研應(yīng)用，也支持移動(dòng)辦公、信息發(fā)布。指導(dǎo)書(shū)第2章 設(shè)計(jì)原則在 XX公司網(wǎng)絡(luò)建設(shè)項(xiàng)目中，為節(jié)省用戶(hù)投資，保證業(yè)務(wù)的正常、優(yōu)質(zhì)開(kāi)展，整個(gè)網(wǎng)絡(luò)系統(tǒng)必須總體規(guī)劃，統(tǒng)一標(biāo)準(zhǔn)。為達(dá)到 XX公司網(wǎng)絡(luò)建設(shè)的目標(biāo)要求， 在網(wǎng)絡(luò)設(shè)計(jì)構(gòu)建中，

8、 應(yīng)堅(jiān)持以下建網(wǎng)原則：需求驅(qū)動(dòng)原則： 以實(shí)際應(yīng)用需求為依據(jù)，選擇技術(shù)和設(shè)備。根據(jù)企業(yè)信息化建設(shè)的實(shí)際需求，考慮遠(yuǎn)程辦公與合作，特別是數(shù)據(jù)信息傳輸與數(shù)字視頻業(yè)務(wù)的需要，要充分考慮網(wǎng)絡(luò)系統(tǒng)的服務(wù)質(zhì)量和可靠性。根據(jù)現(xiàn)在的需求和可以預(yù)見(jiàn)的需求增長(zhǎng)情況設(shè)計(jì)網(wǎng)絡(luò)，不追求空洞的技術(shù)先進(jìn)性，避免追求高檔和最新技術(shù)花費(fèi)的巨大代價(jià)。先進(jìn)性原則：企業(yè)信息化需要最新技術(shù)的支撐，特別是網(wǎng)絡(luò)技術(shù)和多媒體計(jì)算機(jī)技術(shù)，必須采用先進(jìn)成熟的技術(shù)，并兼顧未來(lái)發(fā)展趨勢(shì)。本方案所選擇H3C 公司設(shè)備在技術(shù)上具有很強(qiáng)的先進(jìn)性，其性能、技術(shù)體系可保證企業(yè)5-8年的發(fā)展需要，有力的保護(hù)了企業(yè)投資。投資保護(hù)原則： 由于企業(yè)已在網(wǎng)絡(luò)應(yīng)用方面做了

9、大量的投入進(jìn)行信息化建設(shè)，企業(yè)信息化在各部門(mén)或不同的應(yīng)用上對(duì)網(wǎng)絡(luò)的需求不盡相同，原有的很多工作已經(jīng)證明是有效的，這部分軟硬件可以繼續(xù)發(fā)揮作用，從而保護(hù)原有投資，節(jié)省建設(shè)經(jīng)費(fèi)。標(biāo)準(zhǔn)化原則： 從機(jī)房建設(shè)、綜合布線工程規(guī)范、到網(wǎng)絡(luò)技術(shù)標(biāo)準(zhǔn)和網(wǎng)絡(luò)協(xié)議，都有相應(yīng)的國(guó)際標(biāo)準(zhǔn)和國(guó)家標(biāo)準(zhǔn)，所有設(shè)計(jì)與建設(shè)要遵循該原則，從而可以實(shí)現(xiàn)標(biāo)準(zhǔn)化管理，延長(zhǎng)整體項(xiàng)目的生命周期，做到投資保護(hù)。安全性原則： 企業(yè)信息化工作的特殊性，對(duì)網(wǎng)絡(luò)與信息安全提出了很高的要求。由于安全性的要求與投入成正比，并且涉及管理與應(yīng)用的方方面面，是一個(gè)復(fù)雜的系統(tǒng)工程，實(shí)際上沒(méi)有一個(gè)絕對(duì)安全的系統(tǒng)，安全只是相對(duì)而言，所以該原則是充分評(píng)估安全風(fēng)險(xiǎn)，制定

10、安全策略，采取必要的安全措施。是防止非法訪問(wèn)者通過(guò)互聯(lián)網(wǎng)絡(luò)對(duì)網(wǎng)絡(luò)節(jié)點(diǎn)進(jìn)行攻擊的能力。從網(wǎng)絡(luò)設(shè)備來(lái)講，防止外部攻擊主要靠路由器實(shí)現(xiàn)，華為路由器在這方面具有獨(dú)到的優(yōu)勢(shì)。華為3COM產(chǎn)品的全部軟件及硬件均為公司自行開(kāi)發(fā)研制，具有完全的知識(shí)產(chǎn)權(quán)。工程原則： 網(wǎng)絡(luò)系統(tǒng)建設(shè)涉及機(jī)房與網(wǎng)絡(luò)配線間環(huán)境、通信管道與通信線纜、樓指導(dǎo)書(shū)內(nèi)綜合布線系統(tǒng)、電源及其防護(hù)、網(wǎng)絡(luò)交換機(jī)與路由器、服務(wù)器設(shè)備以及相關(guān)的軟硬件系統(tǒng)，在設(shè)計(jì)建設(shè)時(shí)要體現(xiàn)工程原則，做到有工程規(guī)劃、項(xiàng)目有設(shè)計(jì)、實(shí)施有控制等，實(shí)現(xiàn)整個(gè)系統(tǒng)的可管理、可維護(hù)、可擴(kuò)展和可升級(jí)。健壯性及開(kāi)放性：它應(yīng)具有很好的收斂性和可擴(kuò)展性，同時(shí)其網(wǎng)絡(luò)額外開(kāi)銷(xiāo)是極小的，且受到國(guó)際

11、標(biāo)準(zhǔn)的支持，保證不同設(shè)備見(jiàn)的互通性。可擴(kuò)展性： 考慮到今后信息化的進(jìn)程和逐步演進(jìn)，網(wǎng)絡(luò)要建設(shè)成完整統(tǒng)一、組網(wǎng)靈活、易擴(kuò)充的彈性網(wǎng)絡(luò)平臺(tái)，能夠隨著需求變化，充分留有擴(kuò)充余地。經(jīng)濟(jì)性： 應(yīng)該充分的利用現(xiàn)有的網(wǎng)絡(luò)資源，充分考慮經(jīng)濟(jì)和安全的最佳結(jié)合點(diǎn)。設(shè)備在保障性能和可靠安全的基礎(chǔ)上，應(yīng)能達(dá)到最佳性?xún)r(jià)比。指導(dǎo)書(shū)第3章 網(wǎng)絡(luò)整體方案設(shè)計(jì)3.1總體網(wǎng)絡(luò)設(shè)計(jì)描述從應(yīng)用結(jié)構(gòu)上來(lái)講，XX公司網(wǎng)絡(luò)系統(tǒng)可分為三個(gè)大的層次：網(wǎng)絡(luò)業(yè)務(wù)應(yīng)用安全保障系統(tǒng)互聯(lián)支撐網(wǎng)絡(luò)互聯(lián)支撐層是XX 公司管理網(wǎng)的基礎(chǔ)，由XX 公司管理中心統(tǒng)一規(guī)劃、構(gòu)建及管理，支撐層利用寬帶IP 技術(shù)，保證網(wǎng)絡(luò)的互聯(lián)互通性，提供具有一定QoS的帶寬保證， 并

12、提供各部門(mén)、系統(tǒng)網(wǎng)絡(luò)間的一定隔離，保證互訪的安全控制；安全保障系統(tǒng)是指通過(guò)認(rèn)證、加密、授權(quán)、綁定控制等技術(shù)對(duì)XX公司管理網(wǎng)上的用戶(hù)訪問(wèn)及數(shù)據(jù)實(shí)施安全保障的監(jiān)控系統(tǒng)，他與互聯(lián)支撐層相對(duì)獨(dú)立，由管理中心與各部門(mén)單位共同規(guī)劃，分布構(gòu)建，如數(shù)據(jù)加密等措施建議在用戶(hù)網(wǎng)絡(luò)處( 各部門(mén) ) 實(shí)施；業(yè)務(wù)應(yīng)用層就是在安全互聯(lián)的基礎(chǔ)上實(shí)施XX公司管理網(wǎng)的各種應(yīng)用，由管理中心與各系統(tǒng)單位統(tǒng)一規(guī)劃，分別實(shí)施。在本方案中，各個(gè)網(wǎng)絡(luò)系統(tǒng)均采用星型結(jié)構(gòu)，星型結(jié)構(gòu)特點(diǎn)是結(jié)構(gòu)簡(jiǎn)單，時(shí)延固定，便于管理和故障排除，接入層單點(diǎn)故障不會(huì)影響整個(gè)網(wǎng)絡(luò)，提高網(wǎng)絡(luò)的可靠性。3.2網(wǎng)絡(luò)結(jié)構(gòu)設(shè)計(jì)網(wǎng)絡(luò)的拓?fù)浣Y(jié)構(gòu)很大程度上決定了網(wǎng)絡(luò)的性能，常見(jiàn)的網(wǎng)

13、絡(luò)拓?fù)浣Y(jié)構(gòu)主要有星型結(jié)構(gòu)、網(wǎng)狀結(jié)構(gòu)、環(huán)形結(jié)構(gòu)等幾種， 根據(jù) XX集團(tuán)園區(qū)網(wǎng)的特點(diǎn)，結(jié)合性能和經(jīng)濟(jì)方面的考慮，推薦采用 星型結(jié)構(gòu) 搭建園區(qū)網(wǎng)。根據(jù)功能區(qū)的不同劃分為以下3 層，核心層、匯聚層、接入層：指導(dǎo)書(shū)名稱(chēng)功能備注核心交換機(jī)采用基于CLOS 多級(jí)交核心層為網(wǎng)絡(luò)提供骨干組件或換架構(gòu)的交換機(jī)S10500，控制和轉(zhuǎn)發(fā)物核心設(shè)備高速交換組件，高效速度傳輸是核理分離，真正保證大數(shù)據(jù)量的無(wú)阻塞轉(zhuǎn)心層的目標(biāo)發(fā)，同時(shí)支持多業(yè)務(wù)安全插卡，保證整個(gè)網(wǎng)絡(luò)的數(shù)據(jù)傳輸安全匯聚交換選擇S5800 萬(wàn)兆交換機(jī)，提供 24 個(gè)千兆光口， 4 個(gè)萬(wàn)兆光接口，對(duì)上通過(guò)萬(wàn)兆單模連接到兩臺(tái)核心，向匯聚層是核心層和終端用戶(hù)接匯聚設(shè)備

14、下采用多模千兆接入樓層接入交換機(jī)，入層的分界面，匯聚層完成網(wǎng)絡(luò)訪問(wèn)的策略控制、廣播域的定義、 VLAN間的路由、數(shù)據(jù)包處理、過(guò)濾尋址及其他數(shù)據(jù)處理的任務(wù)。接入交換機(jī)采用S5110 千兆交換機(jī)，通過(guò)千兆多模接到匯聚交換機(jī)，通過(guò)六類(lèi)接入層向本地網(wǎng)段提供用戶(hù)接網(wǎng)線提供用戶(hù)千兆接入，主要提供網(wǎng)絡(luò)分接入設(shè)備入。段、廣播能力、 多播能力、 介質(zhì)訪問(wèn)的安全性、 MAC 地址的過(guò)濾和路由發(fā)現(xiàn)等任務(wù)指導(dǎo)書(shū)3.3網(wǎng)絡(luò)拓?fù)鋱D網(wǎng)絡(luò)拓?fù)鋱D（內(nèi)網(wǎng)）網(wǎng)絡(luò)拓?fù)鋱D（外網(wǎng)）指導(dǎo)書(shū)網(wǎng)絡(luò)拓?fù)鋱D（智能網(wǎng)）3.4組網(wǎng)描述根據(jù)本期工程的需求和建設(shè)目標(biāo)，整個(gè)園區(qū)網(wǎng)絡(luò)分為三張網(wǎng)絡(luò)：內(nèi)網(wǎng)、外網(wǎng)、智能網(wǎng)，三張網(wǎng)絡(luò)的邏輯結(jié)構(gòu)及設(shè)備選型類(lèi)似，要求三張

15、網(wǎng)絡(luò)物理隔離，獨(dú)立組網(wǎng)；網(wǎng)絡(luò)結(jié)構(gòu)設(shè)計(jì)上采用三層架構(gòu)，核心交換機(jī)、匯聚交換機(jī)、接入交換機(jī)，樓間采用萬(wàn)兆單模連接，大樓內(nèi)的匯聚和接入通過(guò)千兆單模光纖連接，千兆到桌面，同時(shí)實(shí)現(xiàn)園區(qū)部分場(chǎng)所的無(wú)線無(wú)縫覆蓋，為園區(qū)提供高速、穩(wěn)定、方便的無(wú)線接入平臺(tái)，保證園區(qū)各種應(yīng)用能夠隨時(shí)隨地的開(kāi)展。網(wǎng)絡(luò)出口設(shè)計(jì)三張網(wǎng)絡(luò)（內(nèi)網(wǎng)、外網(wǎng)、智能網(wǎng)）的出口分別通過(guò)核心交換機(jī)接到集團(tuán)原有相應(yīng)網(wǎng)絡(luò)上，在核心交換機(jī)上部署安全插卡（防火墻、入侵防御系統(tǒng)） ，有效阻止來(lái)自網(wǎng)絡(luò)中的各種安全威脅，如黑客、木馬、病毒、網(wǎng)頁(yè)篡改等；在外網(wǎng)考慮兩個(gè)出口，一個(gè)出口為集團(tuán)外網(wǎng)接入，另外考慮單獨(dú)的互聯(lián)網(wǎng)出口，在互聯(lián)網(wǎng)指導(dǎo)書(shū)出口部署一臺(tái)高性能出口路由器S

16、R6602-X1 ，提供 15M 的包轉(zhuǎn)發(fā)能力，4 個(gè)千兆光口， 4 個(gè)千兆電口， 2 個(gè)萬(wàn)兆接口， 4 個(gè)業(yè)務(wù)擴(kuò)展槽位，出口路由器要做NAT 轉(zhuǎn)換， SR6602 具備 400萬(wàn)的并發(fā)連接數(shù)，完全滿(mǎn)足園區(qū)用戶(hù)的上網(wǎng)需要，園區(qū)內(nèi)部全部采用私有地址，通過(guò) NAT 后訪問(wèn)互聯(lián)網(wǎng)，可以很好解決公網(wǎng)地址不足的問(wèn)題。核心層設(shè)計(jì)隨著園區(qū)網(wǎng)信息化的完善，園區(qū)的應(yīng)用越來(lái)越多，上網(wǎng)的人也越來(lái)越多，業(yè)務(wù)也遍布辦公、娛樂(lè)、生活各個(gè)領(lǐng)域，接入方式不局限于有線，有高帶寬的無(wú)線接入，所以園區(qū)核心交換機(jī)需要同時(shí)承載多種業(yè)務(wù)，所有業(yè)務(wù)都要經(jīng)過(guò)核心交換機(jī)處理，建議核心交換機(jī)必須滿(mǎn)足大容量、高性能、高可靠、高安全及網(wǎng)絡(luò)擴(kuò)展的要求

17、，本次三張網(wǎng)絡(luò)（內(nèi)網(wǎng)、外網(wǎng)、智能網(wǎng)）核心層均采用雙核心設(shè)計(jì)，核心交換機(jī)采用H3C 多級(jí)交換架構(gòu)（CLOS ）數(shù)據(jù)中心級(jí)交換機(jī)S10508-V ，兩臺(tái)核心通過(guò)虛擬化技術(shù)IRF2 虛擬成一臺(tái)設(shè)備邏輯設(shè)備，H3C S10500 是中國(guó)國(guó)內(nèi)第一款100G 平臺(tái)交換機(jī)，支持未來(lái)40GE和 100GE以太網(wǎng)標(biāo)準(zhǔn)，采用先進(jìn)的CLOS多級(jí)多平面交換架構(gòu)，獨(dú)立的交換網(wǎng)板卡，控制引擎和交換網(wǎng)板硬件相互獨(dú)立，最大程度的提高設(shè)備可靠性，同時(shí)為后續(xù)產(chǎn)品帶寬的持續(xù)升級(jí)提供保證；為了滿(mǎn)足數(shù)據(jù)中心級(jí)網(wǎng)絡(luò)高可靠、高可用、虛擬化的要求，S10500 采用創(chuàng)新IRF2（第二代智能彈性架構(gòu)）設(shè)計(jì)，將多臺(tái)高端設(shè)備虛擬化為一臺(tái)邏輯設(shè)備，

18、簡(jiǎn)化路由協(xié)議運(yùn)行狀態(tài)與運(yùn)維管理，同時(shí)大大縮短設(shè)備及鏈路出現(xiàn)故障快速切換，避免網(wǎng)絡(luò)震蕩。IRF2 互聯(lián)鏈路采用2*10GE 捆綁，保證高可靠及橫向互訪高帶寬。在每臺(tái)核心交換機(jī)S10508 配置配置1 個(gè)控制引擎、 3 個(gè)電源、 2 個(gè)獨(dú)立的交換引擎、32個(gè)萬(wàn)兆光口 （含 4 個(gè)萬(wàn)兆單模光模塊，2 個(gè)萬(wàn)兆多模光模塊） ，用于連接樓棟匯聚（保障中心、集控大廳、周轉(zhuǎn)宿舍、多功能綜合樓），配置 48 個(gè)千兆電接口，便于集團(tuán)服務(wù)器、工作站接入；核心節(jié)點(diǎn)到樓層交換機(jī)和各大樓匯聚交換機(jī)之間通過(guò)10GE 鏈路連接，核心設(shè)備支持虛擬化，兩臺(tái)核心可虛擬為一臺(tái)路由設(shè)備，為接入的用戶(hù)提供缺省網(wǎng)關(guān)的冗余，便于后期雙核心擴(kuò)

19、展。IRF2 虛擬化技術(shù)核心組網(wǎng)可靠性：實(shí)現(xiàn)兩臺(tái)核心交換機(jī)S10508-V 虛擬成一臺(tái)邏輯設(shè)備， 通過(guò)跨設(shè)備鏈路捆綁實(shí)現(xiàn)核心和接入的點(diǎn)對(duì)點(diǎn)互聯(lián)，消除二層網(wǎng)絡(luò)的環(huán)路，這樣就直接避免了在網(wǎng)絡(luò)中部暑STP，同時(shí)對(duì)于核心的兩臺(tái)設(shè)備虛擬化為一臺(tái)邏輯設(shè)備之后，網(wǎng)關(guān)也將變成一個(gè)，無(wú)需部署傳統(tǒng)的VRRP協(xié)議。指導(dǎo)書(shū)在管理層面， 通 IRF2 多虛一之后， 管理的設(shè)備數(shù)量減少一半以上，對(duì)于本項(xiàng)目，管理點(diǎn)只有核心和接入兩臺(tái)設(shè)備，網(wǎng)絡(luò)管理大幅度簡(jiǎn)化。如下圖所示：多級(jí)交換（ CLOS）架構(gòu)核心硬件可靠性：1、轉(zhuǎn)發(fā)任務(wù)分擔(dān)到多塊交換網(wǎng)板，轉(zhuǎn)發(fā)效率急速提升，性能大幅提高2、主控轉(zhuǎn)發(fā)物理分離，引擎壓力驟減，交換網(wǎng)板相互備份

20、，可靠性更高3、交換網(wǎng)板可熱插拔升級(jí)，可擴(kuò)展性能，滿(mǎn)足長(zhǎng)遠(yuǎn)需求保障核心節(jié)點(diǎn)的高可靠性。數(shù)據(jù)大集中后整個(gè)系統(tǒng)將承載多個(gè)業(yè)務(wù)系統(tǒng)，不同的業(yè)務(wù)對(duì)網(wǎng)絡(luò)的帶寬、時(shí)延等要求也不同，這就要求核心交換設(shè)備業(yè)務(wù)與性能并重；核心交換機(jī)必須采用功能強(qiáng)大的ASIC 芯片實(shí)現(xiàn)業(yè)務(wù)的分布式線速處理，從而在為用戶(hù)提供有保障的業(yè)務(wù)特性的同時(shí)保障數(shù)據(jù)報(bào)文的線速轉(zhuǎn)發(fā)。指導(dǎo)書(shū)匯聚層設(shè)計(jì)由于 XX 園區(qū)各大樓的信息點(diǎn)位較多，各樓層均考慮了接入交換機(jī)，所以在三張網(wǎng)絡(luò) （內(nèi)網(wǎng)、外網(wǎng)、智能網(wǎng)）各大樓出口處設(shè)計(jì)一臺(tái)高性能匯聚交換機(jī)S5800-32F：LS-5800-32F-H3S5800-32F 匯聚交換機(jī)主要完成各大樓樓層交換機(jī)的匯聚，提

21、供 360Gbps 數(shù)據(jù)交換能力，具備 156Mpps 的數(shù)據(jù)包轉(zhuǎn)發(fā)能力，天然支持全線速分布式轉(zhuǎn)發(fā)，提供24 個(gè)千兆接口，4 個(gè)萬(wàn)兆接口， 配置 2 個(gè)單模萬(wàn)兆上聯(lián)至兩臺(tái)核心交換機(jī)S10508-V ，提供 1 個(gè)業(yè)務(wù)插槽，便于后期接口擴(kuò)展，接入交換機(jī)通過(guò)千兆多模連接到匯聚交換機(jī)，保證接入交換機(jī)的上行帶寬，同時(shí)在匯聚層交換機(jī)支持流量采集功能，可對(duì)對(duì)整網(wǎng)的全網(wǎng)流量進(jìn)行分析。根據(jù)業(yè)務(wù)需要，S5800-32F 可擴(kuò)展 16 端口光接口板，16 端口電接口板， 4 端口萬(wàn)兆接口板，無(wú)線控制器插卡（可支持128 個(gè) AP 的接入控制能力） ，滿(mǎn)足未來(lái)業(yè)務(wù)擴(kuò)展的要求。接入層設(shè)計(jì)XX 園區(qū)各大樓樓層的信息點(diǎn)比

22、較多，各樓層單獨(dú)考慮接入交換機(jī)，接入交換機(jī)通過(guò)千兆單模接到大樓的匯聚交換機(jī)，通過(guò)六類(lèi)網(wǎng)線提供本樓層的千兆接入，通過(guò)對(duì)XX 園區(qū)接入需求分析，建議選用H3C 的千兆接入交換機(jī)LS-S5110-28P ：LS-S5110-28P POE 交換機(jī)提供 256G 的交換容量， 40Mbps 的包轉(zhuǎn)發(fā)能力，提供24 個(gè) 10/100/1000Base-T 以太網(wǎng)端口和 4 個(gè)復(fù)用的1000Base-X SFP 千兆以太網(wǎng)端口，實(shí)現(xiàn)千兆到桌面設(shè)計(jì)，千兆以太網(wǎng)逐漸延伸到桌面已經(jīng)成為最迫切的需要之一，隨著園區(qū)多媒體應(yīng)用的增加，應(yīng)用在消耗大量帶寬的同時(shí)，也在追求終端用戶(hù)的滿(mǎn)意度，基于銅纜的千兆以太網(wǎng)可以將更多的

23、應(yīng)用從低速鏈路中指導(dǎo)書(shū)解放出來(lái)，并且為罷工人員工作創(chuàng)新提供了一個(gè)嶄新高效能工作平臺(tái)。用戶(hù)認(rèn)證：XX 園區(qū)無(wú)線用戶(hù)包括兩部分，內(nèi)部辦公人員和外來(lái)辦事人員，本次三張網(wǎng)絡(luò)各配置一套 EIA 終端智能接入：針對(duì)內(nèi)部用戶(hù)，采用MAC地址認(rèn)證，職工采用分配固定帳號(hào)，并可實(shí)現(xiàn)終端MAC地址和IP 地址等多元素的綁定，防止非法用戶(hù)的訪問(wèn)內(nèi)部網(wǎng)絡(luò)。針對(duì)訪客，系統(tǒng)提供臨時(shí)接入賬號(hào)的訪客管理功能，訪客管理員可創(chuàng)建來(lái)賓賬號(hào)，或訪客通過(guò)自助系統(tǒng)登記相關(guān)信息，并申請(qǐng)?jiān)L客接入網(wǎng)絡(luò)服務(wù)。通過(guò)后臺(tái)管理批準(zhǔn)的訪客賬號(hào)，并以短信方式通知訪客帳號(hào)和密碼，之后可訪問(wèn)內(nèi)部網(wǎng)絡(luò)，該賬號(hào)將在超過(guò)保留時(shí)長(zhǎng)后失效。當(dāng)用戶(hù)接入網(wǎng)絡(luò)后，可強(qiáng)化對(duì)用戶(hù)

24、接入的管理：基于用戶(hù)的權(quán)限控制策略，可以為不同用戶(hù)定制不同網(wǎng)絡(luò)訪問(wèn)權(quán)限?？梢钥刂朴脩?hù)的上網(wǎng)帶寬（ QoS）、限制用戶(hù)同時(shí)在線數(shù)、禁止用戶(hù)設(shè)置和使用代理服務(wù)器，有效防止個(gè)別用戶(hù)對(duì)網(wǎng)絡(luò)資源的過(guò)度占用。支持最大閑置時(shí)長(zhǎng)限制?？梢詫?shí)現(xiàn)對(duì)用戶(hù) ACL、VLAN 的控制，限制用戶(hù)對(duì)內(nèi)部敏感服務(wù)器和外部非法網(wǎng)站的訪問(wèn)。指導(dǎo)書(shū)可以限制用戶(hù)IP地址分配策略， 防止 IP 地址盜用和沖突。監(jiān)控用戶(hù)認(rèn)證成功后的IP 地址，若有變更則強(qiáng)制要求下線?？梢韵拗朴脩?hù)的接入時(shí)段和接入?yún)^(qū)域，用戶(hù)只能在允許的時(shí)間和地點(diǎn)上網(wǎng)。可以限制終端用戶(hù)使用多網(wǎng)卡和撥號(hào)網(wǎng)絡(luò)，禁止修改終端MAC地址，防止內(nèi)部信息泄露?？梢韵拗朴脩?hù)必須使用專(zhuān)用安

25、全客戶(hù)端，并強(qiáng)制自動(dòng)升級(jí)，防止安全客戶(hù)端被破解，確保認(rèn)證客戶(hù)端的安全性。接入用戶(hù)網(wǎng)關(guān)配置，提供接入用戶(hù)網(wǎng)關(guān)IP 、 MAC地址配置信息。本次在 XX 集團(tuán)三張網(wǎng)絡(luò) （內(nèi)網(wǎng)、 外網(wǎng)、智能網(wǎng)） 各配置一套H3C 用戶(hù)接入管理EIA ，并配置 1000 用戶(hù)的并發(fā)認(rèn)證許可，實(shí)現(xiàn)對(duì)本網(wǎng)絡(luò)內(nèi)的用戶(hù)進(jìn)行接入認(rèn)證和控制。網(wǎng)絡(luò)管理系統(tǒng)：集團(tuán)的網(wǎng)絡(luò)設(shè)備和用戶(hù)越來(lái)越多，有一套智能管理軟件，可以大大簡(jiǎn)化網(wǎng)絡(luò)管理人員的工作量，同時(shí)可以提供網(wǎng)絡(luò)管理的工作效率，網(wǎng)絡(luò)管理軟件必須具備網(wǎng)絡(luò)拓?fù)?、網(wǎng)絡(luò)性能、網(wǎng)絡(luò)配置、網(wǎng)絡(luò)安全、網(wǎng)絡(luò)告警、網(wǎng)絡(luò)業(yè)務(wù)的統(tǒng)一管理，同時(shí)在其上可以配置有多種業(yè)務(wù)管理組件，如本次推薦配置有線無(wú)線一體化管理組

26、件，方便管理大規(guī)模的無(wú)線管理網(wǎng)絡(luò)；智能配置中心，可以方便的管理上百臺(tái)設(shè)備的軟件、配置變更、收集軟件版本、配置的基線庫(kù)，為多臺(tái)設(shè)備統(tǒng)一批量配置和升級(jí)，大大節(jié)省管理員的工作量。本次在 XX 集團(tuán)三張網(wǎng)絡(luò) （內(nèi)網(wǎng)、 外網(wǎng)、智能網(wǎng)） 各配置一套H3C 智能管理中心IMC ，并配置 50 個(gè)節(jié)點(diǎn)的管理，實(shí)現(xiàn)對(duì)本網(wǎng)絡(luò)內(nèi)的設(shè)備進(jìn)行智能管理。3.5安全設(shè)計(jì)安全設(shè)計(jì)要點(diǎn)安全是一個(gè)系統(tǒng)工程，為了合理的解決網(wǎng)絡(luò)安全問(wèn)題，必須充分分析網(wǎng)絡(luò)邏輯組成，網(wǎng)絡(luò)中不同部分的功能不同，所關(guān)注的安全問(wèn)題也不同。所謂安全威脅，就是未經(jīng)授權(quán)，對(duì)位于服務(wù)器、 網(wǎng)絡(luò)和桌面的數(shù)據(jù)和資源進(jìn)行訪問(wèn)，甚至破壞或者篡改這些數(shù)據(jù)/ 資源。 從安全威脅

27、的對(duì)象來(lái)看，可以分為網(wǎng)絡(luò)傳送過(guò)程、網(wǎng)絡(luò)服務(wù)過(guò)程和軟件應(yīng)用過(guò)程三類(lèi)。網(wǎng)絡(luò)傳送過(guò)程指導(dǎo)書(shū)主要針對(duì)數(shù)據(jù)鏈路層和網(wǎng)絡(luò)層協(xié)議特征中存在的漏洞進(jìn)行攻擊，如常見(jiàn)的監(jiān)聽(tīng)、 IP 地址欺騙、路由協(xié)議攻擊、ICMP Smurf 攻擊等；網(wǎng)絡(luò)服務(wù)過(guò)程主要針對(duì)TCP/UDP以及居于其上的應(yīng)用層協(xié)議進(jìn)行，如常見(jiàn)的UDP/TCP欺騙、 TCP流量劫持、 TCP DoS、 FTP 反彈、 DNS欺騙等等；軟件應(yīng)用過(guò)程則針對(duì)位于服務(wù)器/ 主機(jī)上的操作系統(tǒng)以及其上的應(yīng)用程序，甚至是基于Web的軟件系統(tǒng)發(fā)起攻擊。從安全威脅的手法來(lái)看，蠕蟲(chóng)、拒絕服務(wù)、監(jiān)聽(tīng)、木馬、病毒 都是常見(jiàn)的攻擊工具。對(duì)關(guān)鍵的主機(jī)系統(tǒng)和子網(wǎng)，能夠進(jìn)行網(wǎng)絡(luò)資源檢

28、查，并及時(shí)發(fā)現(xiàn)問(wèn)題。使用安全掃描軟件，對(duì)關(guān)鍵的主機(jī)系統(tǒng)和網(wǎng)絡(luò)定期進(jìn)行掃描，可以檢查出網(wǎng)絡(luò)弱點(diǎn)和策略配置上的問(wèn)題。根據(jù)掃描軟件發(fā)現(xiàn)的問(wèn)題，及時(shí)更新操作系統(tǒng)補(bǔ)丁，查殺病毒，更新安全策略。定期強(qiáng)制更新用戶(hù)口令，并制定用戶(hù)口令規(guī)則，禁止使用不符合規(guī)則的口令。定期檢查文件系統(tǒng)的訪問(wèn)權(quán)限是否合理，檢查用戶(hù)帳號(hào)的使用是否正常。網(wǎng)絡(luò)邊界安全防護(hù)在傳統(tǒng)的數(shù)據(jù)中心網(wǎng)絡(luò)安全部署時(shí)，往往是網(wǎng)絡(luò)與安全各自為戰(zhàn)，在網(wǎng)絡(luò)邊界或關(guān)鍵節(jié)點(diǎn)串接安全設(shè)備( 如 FW、 IPS、 LB 等) 。隨著數(shù)據(jù)中心部署的安全設(shè)備的種類(lèi)和數(shù)量也越來(lái)越多，這將導(dǎo)致數(shù)據(jù)中心機(jī)房布線、空間、能耗、運(yùn)維管理等成本越來(lái)越高。傳統(tǒng)部署方式H3C 插卡部署

29、方式本次方案中采用了H3CSecBlade 安全插卡可直接插在核心交換機(jī)S10508-V 的業(yè)務(wù)槽位，通過(guò)交換機(jī)背板互連實(shí)現(xiàn)流量轉(zhuǎn)發(fā)，共用交換機(jī)電源、風(fēng)扇等基礎(chǔ)部件。融合部署除了簡(jiǎn)化機(jī)房布線、節(jié)省機(jī)架空間、簡(jiǎn)化管理之外，還具備以下優(yōu)點(diǎn)：指導(dǎo)書(shū)互連帶寬高。 SecBlade 系列安全插卡采用背板總線與交換機(jī)進(jìn)行互連，背板總線帶寬一般可超過(guò) 40Gbps，相比傳統(tǒng)的獨(dú)立安全設(shè)備采用普通千兆以太網(wǎng)接口進(jìn)行互連，在互連帶寬上有了很大的提升，而且無(wú)需增加布線、光纖和光模塊成本。業(yè)務(wù)接口靈活。 SecBlade 系列安全插卡上不對(duì)外提供業(yè)務(wù)接口（僅提供配置管理接口），當(dāng)交換機(jī)上插有 SecBlade 安全

30、插卡時(shí)，交換機(jī)上原有的所有業(yè)務(wù)接口均可配置為安全業(yè)務(wù)接口。此時(shí)再也無(wú)需擔(dān)心安全業(yè)務(wù)接口不夠而帶來(lái)網(wǎng)絡(luò)安全部署的局限性。性能平滑擴(kuò)展。當(dāng)一臺(tái)交換機(jī)上的一塊SecBlade 安全插卡的性能不夠時(shí)，可以再插入一塊或多塊 SecBlade 插卡實(shí)現(xiàn)性能的平滑疊加。而且所有 SecBlade 插卡均支持熱插拔，在進(jìn)行擴(kuò)展時(shí)無(wú)需停機(jī)中斷現(xiàn)有的業(yè)務(wù)。本次 XX 集團(tuán)園區(qū)項(xiàng)目設(shè)計(jì)在三張網(wǎng)的核心交換機(jī)S10508-V 上部署多種安全插卡：防火墻（ LSQM1FWBSC0）、入侵防御系統(tǒng)（LSQM1IPSSC0），實(shí)現(xiàn)網(wǎng)絡(luò)安全的一體化防護(hù)。數(shù)據(jù)中心出口安全具備訪問(wèn)控制、區(qū)域隔離、狀態(tài)檢測(cè)等2-4 層安全功能，同時(shí)

31、也具備對(duì)木馬、病毒、蠕蟲(chóng)等應(yīng)用層安全威脅進(jìn)行檢查、阻斷、告警等4-7 層安全防護(hù)功能，實(shí)現(xiàn)2-7 層的立體安全防護(hù)功能。LSQM1FWBSC0防火墻插卡LSQM1IPSSC0入侵防御系統(tǒng)插卡如部署防火墻插卡，防火墻插卡設(shè)備雖然部署在交換機(jī)框中，但仍然可以看作是一個(gè)獨(dú)立的設(shè)備。 它通過(guò)交換機(jī)內(nèi)部的10GE接口與網(wǎng)絡(luò)設(shè)備相連，它可以部署為2 層透明設(shè)備和三層路由設(shè)備。防火墻與交換機(jī)之間的三層部署方式與傳統(tǒng)盒式設(shè)備類(lèi)似。指導(dǎo)書(shū)虛擬防火墻示意圖如上圖 FW三層部署所示， 防火墻可以與宿主交換機(jī)直接建立三層連接，也可以與上游或下游設(shè)備建立三層連接，不同連接方式取決于用戶(hù)的訪問(wèn)策略。可以通過(guò)靜態(tài)路由和缺省

32、路由實(shí)現(xiàn)三層互通， 也可以通過(guò)OSPF這樣的路由協(xié)議提供動(dòng)態(tài)的路由機(jī)制。如果防火墻部署在服務(wù)器區(qū)域，可以將防火墻設(shè)計(jì)為服務(wù)器網(wǎng)關(guān)設(shè)備，這樣所有訪問(wèn)服務(wù)器的三層流量都將經(jīng)過(guò)防火墻設(shè)備，這種部署方式可以提供區(qū)域內(nèi)部服務(wù)器之間訪問(wèn)的安全性。防火墻是網(wǎng)絡(luò)系統(tǒng)的核心基礎(chǔ)防護(hù)措施，它可以對(duì)整個(gè)網(wǎng)絡(luò)進(jìn)行網(wǎng)絡(luò)區(qū)域分割，提供基于 IP 地址和 TCP/IP 服務(wù)端口等的訪問(wèn)控制；對(duì)常見(jiàn)的網(wǎng)絡(luò)攻擊方式，如拒絕服務(wù)攻擊 （ pingof death, land, syn flooding, ping flooding, tear drop）、端口掃描（port scanning）、IP 欺騙 (ip spoofin

33、g)、 IP 盜用等進(jìn)行有效防護(hù)；并提供NAT地址轉(zhuǎn)換、流量限制、用戶(hù)認(rèn)證、 IP 與 MAC綁定等安全增強(qiáng)措施。對(duì)于云計(jì)算數(shù)據(jù)中心虛擬機(jī)服務(wù)網(wǎng)關(guān)的選擇上，建議根據(jù)不同用戶(hù)的安全需求進(jìn)行區(qū)分對(duì)待，不建議將所有網(wǎng)關(guān)配置在 FW上，以分散 FW的壓力，滿(mǎn)足用戶(hù)內(nèi)的安全域隔離，具體設(shè)計(jì)如下：對(duì)于需要FW的業(yè)務(wù)的用戶(hù)，網(wǎng)關(guān)部署在vFW上；對(duì)于不需要FW的普通用戶(hù)，網(wǎng)關(guān)部署在核心交換機(jī)上。多用戶(hù)安全隔離示意圖無(wú)線網(wǎng)工程的總體原則如下：側(cè)重實(shí)際應(yīng)用， 覆蓋 XX 園區(qū)各大樓內(nèi)所有區(qū)域，為教學(xué)、 科研、辦公及學(xué)習(xí)、 生活、指導(dǎo)書(shū)交流提供切實(shí)可用的、穩(wěn)定的無(wú)線網(wǎng)絡(luò)環(huán)境。采取先進(jìn)通行的協(xié)議標(biāo)準(zhǔn)，即目前無(wú)線局域網(wǎng)

34、普遍采用802.11 系列標(biāo)準(zhǔn)， 無(wú)線局域網(wǎng)提供802.11a 、 802.11b 、 802.11g 、 802.11n 標(biāo)準(zhǔn)的聯(lián)網(wǎng)支持，提供可供實(shí)際應(yīng)用的穩(wěn)定網(wǎng)絡(luò)通訊服務(wù)。實(shí)現(xiàn)室內(nèi)無(wú)線網(wǎng)絡(luò)的合理分布，考慮室內(nèi)實(shí)現(xiàn)無(wú)線網(wǎng)絡(luò)的不同情況和特點(diǎn)以及目前辦公人員及外來(lái)人員手提電腦/ 智能終端（手機(jī)、平板電腦）用戶(hù)數(shù)量日益增多的情況，應(yīng)采取合理的布網(wǎng)方式滿(mǎn)足現(xiàn)在以及未來(lái)發(fā)展的需要。在辦公室、會(huì)議室采用室內(nèi)面板式AP 部署或者吸頂AP。新建網(wǎng)絡(luò)需要實(shí)現(xiàn)與現(xiàn)有的無(wú)線網(wǎng)和有線網(wǎng)的網(wǎng)絡(luò)融合與統(tǒng)一管理。在實(shí)施無(wú)線覆蓋工程時(shí)，如無(wú)特別說(shuō)明， 以考慮信號(hào)覆蓋范圍為主，單個(gè) AP 的并發(fā)用戶(hù)數(shù)及每用戶(hù)無(wú)線上網(wǎng)帶寬也要

35、作為工程的重要因素予以考慮。所有 XX 集團(tuán)園區(qū)各大樓內(nèi)部區(qū)域采用部署11n，使得 XX 集團(tuán)園區(qū)的無(wú)線接入帶寬達(dá)到 300M接入帶寬， 同時(shí)考慮到用戶(hù)終端的多樣性，要求 AP 要向下兼容11a/b/g ，主要吸頂安裝為主，兩種應(yīng)用場(chǎng)景，第一種過(guò)道式部署，建議一個(gè)AP覆蓋 6 個(gè)左右的辦公室，過(guò)道安裝每隔15-20 米左右安裝一個(gè)AP，對(duì)于第二種場(chǎng)景，1-5 樓比較空曠的展區(qū)，建議每個(gè)15-20 米安裝一個(gè)AP。無(wú)線系統(tǒng)須具備對(duì)無(wú)線AP進(jìn)行統(tǒng)一控制、 管理的軟硬件平臺(tái)，軟硬件控制、 管理平臺(tái)所提供的網(wǎng)元License 數(shù)量與實(shí)際網(wǎng)元數(shù)量相匹配并易于擴(kuò)充運(yùn)維系統(tǒng)須提供必要的網(wǎng)絡(luò)監(jiān)控、管理、統(tǒng)計(jì)、

36、報(bào)表功能， 提供足夠數(shù)量的License授權(quán)。無(wú)線網(wǎng)系統(tǒng)必須實(shí)現(xiàn)與有線網(wǎng)現(xiàn)有認(rèn)證系統(tǒng)對(duì)接，從而實(shí)現(xiàn) XX集團(tuán)有線網(wǎng)與無(wú)線網(wǎng)的統(tǒng)一身份認(rèn)證。指導(dǎo)書(shū)第4章 有線無(wú)線一體化設(shè)計(jì)XX園區(qū)網(wǎng)絡(luò)部分樓棟功能區(qū)要考慮無(wú)線覆蓋，三張網(wǎng)絡(luò)（內(nèi)網(wǎng)、外網(wǎng)、智能網(wǎng)）都有無(wú)線覆蓋要求，三張網(wǎng)絡(luò)的無(wú)線部分分別設(shè)計(jì)，三張無(wú)線網(wǎng)絡(luò)的邏輯結(jié)構(gòu)和選型完全一致，每棟樓設(shè)計(jì)1 臺(tái) 24 口 POE千兆交換機(jī)， POE交換機(jī)上通過(guò)光纖接到大樓匯聚交換機(jī)，下連本樓層的無(wú)線AP，同時(shí)對(duì)AP 進(jìn)行 POE供電，采用FIT AP解決方案，只需要在保障中心三樓機(jī)房放置 1 臺(tái)智能無(wú)線控制器(AC) ，AC可支持熱備，便于后期雙控制器擴(kuò)展，兩個(gè)無(wú)

37、線控制器互為備份，在接入層部署11n 300M 的智能無(wú)線接入點(diǎn)(AP) ，即可完成整網(wǎng)的部署。4.1無(wú)線控制器如果僅僅只采用AP本身進(jìn)行無(wú)線覆蓋，即傳統(tǒng)的胖AP模式進(jìn)行無(wú)線覆蓋，采用這樣的部署方式去部署XX園區(qū)的無(wú)線網(wǎng)絡(luò)有極大的缺點(diǎn)。其一、胖 AP 把所有的配置均配置到AP本身上，如此數(shù)量多的AP，使客戶(hù)的維護(hù)管理工作量大大增加。其二、胖AP 無(wú)法統(tǒng)一管理控制，AP 之間本身就不能無(wú)縫融合，那么就會(huì)出現(xiàn)當(dāng)你離開(kāi)一個(gè)區(qū)域到另一個(gè)區(qū)域時(shí)必然出現(xiàn)不斷重新認(rèn)證的問(wèn)題。其三、 AP與 AP之間無(wú)聯(lián)系，無(wú)法實(shí)現(xiàn)智能的負(fù)載分擔(dān)和均衡。因此，決定采用統(tǒng)一的無(wú)線控制器對(duì)AP 進(jìn)行統(tǒng)一管理， AC+FIT AP（瘦 AP）的組網(wǎng)方式。指導(dǎo)書(shū)這樣可以大大減少維護(hù)管理工作量，能實(shí)現(xiàn)無(wú)縫漫游和負(fù)載分擔(dān)。此次 XX園區(qū)三張網(wǎng)絡(luò)（內(nèi)網(wǎng)、外網(wǎng)、智能網(wǎng)）分別設(shè)計(jì)一臺(tái)無(wú)線控制器WX5510E ，提供 8 個(gè)千兆comb 口，和 2 個(gè)萬(wàn)兆接口，整機(jī)支持512 個(gè) AP 接入能力，本次每臺(tái)配置128個(gè) AP 接入授權(quán)。EWP-WX5510E無(wú)線控制器WX5510E采用下列部署方式：集中式控制， 在 XX園區(qū)保障中心三樓核心機(jī)房三張網(wǎng)絡(luò)部署各1 臺(tái)無(wú)線控制器，集中對(duì)XX 園區(qū)各網(wǎng)絡(luò)內(nèi)AP進(jìn)行接入控制。無(wú)線控制器支持 N+1 熱備，不存在單點(diǎn)故障，