商業(yè)集團網(wǎng)絡(luò)系統(tǒng)設(shè)計方案

1、PAGE 商業(yè)集團網(wǎng)絡(luò)系統(tǒng)設(shè)計方案目 錄 TOC o 1-4 h z u HYPERLINK l _Toc6481641 1.需求分析 PAGEREF _Toc6481641 h 5 HYPERLINK l _Toc6481642 2.建設(shè)最終目標(biāo) PAGEREF _Toc6481642 h 6 HYPERLINK l _Toc6481643 2.1.系統(tǒng)穩(wěn)定、安全可靠 PAGEREF _Toc6481643 h 6 HYPERLINK l _Toc6481644 2.2.提高信息化工作效率 PAGEREF _Toc6481644 h 6 HYPERLINK l _Toc6481645 2.3

2、.提高企業(yè)的綜合競爭力 PAGEREF _Toc6481645 h 6 HYPERLINK l _Toc6481646 2.4.統(tǒng)一的安全管理措施 PAGEREF _Toc6481646 h 6 HYPERLINK l _Toc6481647 3.網(wǎng)絡(luò)建設(shè)原則 PAGEREF _Toc6481647 h 7 HYPERLINK l _Toc6481648 4.網(wǎng)絡(luò)層次化設(shè)計 PAGEREF _Toc6481648 h 8 HYPERLINK l _Toc6481649 5.網(wǎng)絡(luò)詳細(xì)設(shè)計 PAGEREF _Toc6481649 h 9 HYPERLINK l _Toc6481650 5.1.PO

3、S業(yè)務(wù)網(wǎng)設(shè)計 PAGEREF _Toc6481650 h 9 HYPERLINK l _Toc6481651 5.1.1.核心交換機 PAGEREF _Toc6481651 h 9 HYPERLINK l _Toc6481652 5.1.2.匯聚交換機 PAGEREF _Toc6481652 h 10 HYPERLINK l _Toc6481653 5.1.3.接入交換機 PAGEREF _Toc6481653 h 10 HYPERLINK l _Toc6481654 5.1.4.專線路由器 PAGEREF _Toc6481654 h 10 HYPERLINK l _Toc6481655 5.

4、2.智能化專網(wǎng)設(shè)計 PAGEREF _Toc6481655 h 11 HYPERLINK l _Toc6481656 5.2.1.核心交換機 PAGEREF _Toc6481656 h 11 HYPERLINK l _Toc6481657 5.2.2.匯聚交換機 PAGEREF _Toc6481657 h 11 HYPERLINK l _Toc6481658 5.2.3.接入交換機 PAGEREF _Toc6481658 h 12 HYPERLINK l _Toc6481659 5.2.4.出口路由器 PAGEREF _Toc6481659 h 12 HYPERLINK l _Toc64816

5、60 5.2.5.無線業(yè)務(wù)子網(wǎng) PAGEREF _Toc6481660 h 12 HYPERLINK l _Toc6481661 .無線網(wǎng)絡(luò)組成 PAGEREF _Toc6481661 h 13 HYPERLINK l _Toc6481662 .覆蓋解決方案 PAGEREF _Toc6481662 h 14 HYPERLINK l _Toc6481663 .供電問題 PAGEREF _Toc6481663 h 15 HYPERLINK l _Toc6481664 .無線用戶接入認(rèn)證 PAGEREF _Toc6481664 h 15 HYPERLINK l _Toc6481665 5.3.市政通

6、信網(wǎng)設(shè)計（運營商代建，僅供參考） PAGEREF _Toc6481665 h 16 HYPERLINK l _Toc6481666 5.3.1.核心交換機 PAGEREF _Toc6481666 h 16 HYPERLINK l _Toc6481667 5.3.2.接入交換機 PAGEREF _Toc6481667 h 16 HYPERLINK l _Toc6481668 5.4.辦公網(wǎng)設(shè)計 PAGEREF _Toc6481668 h 17 HYPERLINK l _Toc6481669 5.4.1.核心交換機 PAGEREF _Toc6481669 h 17 HYPERLINK l _Toc

7、6481670 5.4.2.接入交換機 PAGEREF _Toc6481670 h 17 HYPERLINK l _Toc6481671 5.5.網(wǎng)絡(luò)可靠性 PAGEREF _Toc6481671 h 17 HYPERLINK l _Toc6481672 5.5.1.網(wǎng)絡(luò)節(jié)點的可靠性 PAGEREF _Toc6481672 h 18 HYPERLINK l _Toc6481673 5.5.2.鏈路可靠性 PAGEREF _Toc6481673 h 18 HYPERLINK l _Toc6481674 5.6.網(wǎng)絡(luò)安全設(shè)計 PAGEREF _Toc6481674 h 18 HYPERLINK l

8、 _Toc6481675 5.6.1.L2-L7層安全防護 PAGEREF _Toc6481675 h 18 HYPERLINK l _Toc6481676 .POS業(yè)務(wù)網(wǎng)安全設(shè)計 PAGEREF _Toc6481676 h 21 HYPERLINK l _Toc6481677 .智能化專網(wǎng)安全設(shè)計 PAGEREF _Toc6481677 h 21 HYPERLINK l _Toc6481678 .市政通信網(wǎng)安全設(shè)計 PAGEREF _Toc6481678 h 21 HYPERLINK l _Toc6481679 .辦公網(wǎng)安全設(shè)計 PAGEREF _Toc6481679 h 21 HYPERL

9、INK l _Toc6481680 5.7.網(wǎng)絡(luò)管理 PAGEREF _Toc6481680 h 21 HYPERLINK l _Toc6481681 5.7.1.智能網(wǎng)絡(luò)管理平臺建議要求 PAGEREF _Toc6481681 h 22 HYPERLINK l _Toc6481682 5.7.2.基礎(chǔ)網(wǎng)絡(luò)管理 PAGEREF _Toc6481682 h 23 HYPERLINK l _Toc6481683 .資源管理 PAGEREF _Toc6481683 h 23 HYPERLINK l _Toc6481684 .拓?fù)涔芾?PAGEREF _Toc6481684 h 23 HYPERLIN

10、K l _Toc6481685 .故障（告警/事件）管理 PAGEREF _Toc6481685 h 24 HYPERLINK l _Toc6481686 .性能管理 PAGEREF _Toc6481686 h 24 HYPERLINK l _Toc6481687 .設(shè)備管理組件 PAGEREF _Toc6481687 h 24 HYPERLINK l _Toc6481688 5.7.3.無線網(wǎng)絡(luò)管理 PAGEREF _Toc6481688 h 25 HYPERLINK l _Toc6481689 .無線有線一體化管理 PAGEREF _Toc6481689 h 25 HYPERLINK l

11、_Toc6481690 .多樣化的拓?fù)涔芾?PAGEREF _Toc6481690 h 25 HYPERLINK l _Toc6481691 .PoE供電管理 PAGEREF _Toc6481691 h 25 HYPERLINK l _Toc6481692 .綠色節(jié)能管理 PAGEREF _Toc6481692 h 25 HYPERLINK l _Toc6481693 .主備AC管理 PAGEREF _Toc6481693 h 25 HYPERLINK l _Toc6481694 .無線入侵檢測和防護 PAGEREF _Toc6481694 h 26 HYPERLINK l _Toc64816

12、95 .豐富的無線統(tǒng)計報表 PAGEREF _Toc6481695 h 26 HYPERLINK l _Toc6481696 5.7.4.各業(yè)務(wù)網(wǎng)絡(luò)管理設(shè)計 PAGEREF _Toc6481696 h 26 HYPERLINK l _Toc6481697 .POS網(wǎng)絡(luò)網(wǎng)絡(luò)管理 PAGEREF _Toc6481697 h 26 HYPERLINK l _Toc6481698 .智能化專網(wǎng)網(wǎng)絡(luò)管理 PAGEREF _Toc6481698 h 26 HYPERLINK l _Toc6481699 .市政通信網(wǎng)網(wǎng)絡(luò)管理 PAGEREF _Toc6481699 h 26 HYPERLINK l _Toc

13、6481700 .辦公網(wǎng)網(wǎng)絡(luò)管理 PAGEREF _Toc6481700 h 27需求分析xxx項目占地約3.3萬平方米，總建筑面積約23萬平方米，包括一棟4萬平米的國際甲級寫字樓、5萬平米的酒店式公寓和8萬平米的購物中心。其中項目將建成涵蓋時尚服飾、大型影城、精品超市、精品家居、兒童游樂等主力業(yè)態(tài)，集購物、餐飲、文化、娛樂、商務(wù)、生活配套為一體的多層次、區(qū)域級綜合商業(yè)中心。網(wǎng)絡(luò)系統(tǒng)設(shè)計的目標(biāo)是在建設(shè)新網(wǎng)絡(luò)系統(tǒng)，滿足整合數(shù)據(jù)、結(jié)算業(yè)務(wù)、OA平臺，以及滿足無線上網(wǎng)以及未來其他等業(yè)務(wù)對基礎(chǔ)設(shè)施提出的各種新需求，同時能夠方便靈活的引入并利用各種最新技術(shù)。即：一方面，它能適應(yīng)未來大集中系統(tǒng)的需要，滿足

14、不斷發(fā)展變化的業(yè)務(wù)需求；另一方面，它要能兼顧到技術(shù)的發(fā)展趨勢，方便用戶未來靈活便捷地引入各種先進、實用的技術(shù)。網(wǎng)絡(luò)部分設(shè)計階段主要完成的具體工作如下：實現(xiàn)各類業(yè)務(wù)基礎(chǔ)網(wǎng)絡(luò)穩(wěn)定、可靠、高速設(shè)計網(wǎng)絡(luò)安全設(shè)計智能網(wǎng)絡(luò)管理設(shè)計根據(jù)集團現(xiàn)狀及未來業(yè)務(wù)發(fā)展規(guī)劃，網(wǎng)絡(luò)建設(shè)的主要實現(xiàn)如下目標(biāo)：建立全網(wǎng)統(tǒng)一、共享、規(guī)范的網(wǎng)絡(luò)系統(tǒng)體系架構(gòu)，建立滿足未來管理和業(yè)務(wù)發(fā)展要求的全網(wǎng)絡(luò)系統(tǒng)總體架構(gòu)，以滿足系統(tǒng)資源和信息資源整合的需要，規(guī)范和統(tǒng)一新應(yīng)用系統(tǒng)的技術(shù)架構(gòu)和開發(fā)方法，同時逐步調(diào)整現(xiàn)有的系統(tǒng)結(jié)構(gòu)。實現(xiàn)集團統(tǒng)一的網(wǎng)絡(luò)管理平臺，逐步實現(xiàn)各網(wǎng)絡(luò)系統(tǒng)的智能管理、綜合使用，提供高質(zhì)量信息服務(wù)，高效及時的信息交流環(huán)境，通過信息

15、化建設(shè)的實施使計算機系統(tǒng)中的信息得到最大效率使用。 建立集團統(tǒng)一的安全管理平臺，加強系統(tǒng)安全性，建立統(tǒng)一系統(tǒng)安全認(rèn)證體系，充分保障集團主要業(yè)務(wù)系統(tǒng)信息的安全。從網(wǎng)絡(luò)規(guī)劃、操作系統(tǒng)以及業(yè)務(wù)系統(tǒng)等各個層次上統(tǒng)一考慮安全措施，并充分考慮易操作性，這其中包括網(wǎng)絡(luò)的多級安全區(qū)域的規(guī)劃與設(shè)計、各業(yè)務(wù)系統(tǒng)在多級網(wǎng)絡(luò)中的部署與互通、系統(tǒng)運行狀況的監(jiān)控和管理以及防入侵等措施的統(tǒng)一規(guī)劃、設(shè)計與部署。確保系統(tǒng)資源的有效管理和運行，整合系統(tǒng)資源，加強系統(tǒng)資源的有效管理，提高系統(tǒng)資源的利用率，降低系統(tǒng)運行成本，提高系統(tǒng)的可靠性，切實保障關(guān)鍵業(yè)務(wù)的正常運轉(zhuǎn)。建設(shè)最終目標(biāo)系統(tǒng)穩(wěn)定、安全可靠對系統(tǒng)之間的信息交換進行總體上的統(tǒng)

16、一規(guī)劃和設(shè)計，最終實現(xiàn)各子系統(tǒng)之間的互聯(lián)互通，實現(xiàn)信息共享和信息交互，完成信息在不同系統(tǒng)間的傳遞，這就要求網(wǎng)絡(luò)系統(tǒng)的設(shè)計必須達到穩(wěn)定、安全、可靠的要求。提高信息化工作效率建設(shè)一個全數(shù)字化、網(wǎng)絡(luò)化的網(wǎng)絡(luò)系統(tǒng)，通過網(wǎng)絡(luò)技術(shù)標(biāo)準(zhǔn)平臺，避免傳統(tǒng)設(shè)備之間不兼容的問題，提高各種設(shè)備間的通配性，提高設(shè)備的使用效率。提高企業(yè)的綜合競爭力在提高生產(chǎn)質(zhì)量、效率，管理水平的同時，會對企業(yè)的品質(zhì)帶來質(zhì)的提高，使企業(yè)的發(fā)展進入一個良好的循環(huán)上升趨勢。統(tǒng)一的安全管理措施從網(wǎng)絡(luò)規(guī)劃、操作系統(tǒng)以及業(yè)務(wù)系統(tǒng)等各個層次上統(tǒng)一考慮安全措施，并充分考慮易操作性，這其中包括網(wǎng)絡(luò)的多層次安全的規(guī)劃與設(shè)計、系統(tǒng)運行狀況的監(jiān)控和管理以及防攻

17、擊等措施的統(tǒng)一規(guī)劃、設(shè)計與部署。網(wǎng)絡(luò)建設(shè)原則根據(jù)集團網(wǎng)絡(luò)分析結(jié)果、結(jié)合現(xiàn)代網(wǎng)絡(luò)技術(shù)發(fā)展趨勢，我們確定本次網(wǎng)絡(luò)設(shè)計所采用的總的指導(dǎo)原則如下：安全可靠性原則集團網(wǎng)絡(luò)的設(shè)計必須遵循可靠性的原則，設(shè)計中應(yīng)盡最大可能減少因集團網(wǎng)絡(luò)故障而造成的業(yè)務(wù)無法正常進行的現(xiàn)象的發(fā)生（如：因服務(wù)器或網(wǎng)絡(luò)故障造成用戶無法訪問業(yè)務(wù)系統(tǒng)，進而無法進行正常業(yè)務(wù)的現(xiàn)象等）；同時，設(shè)計中還應(yīng)注重信息安全體系的建設(shè)，提高集團網(wǎng)絡(luò)的整體安全性，進一步保證數(shù)據(jù)安全。先進成熟性原則集團網(wǎng)絡(luò)的設(shè)計應(yīng)具有產(chǎn)品和技術(shù)先進性，先進的產(chǎn)品和技術(shù)是未來系統(tǒng)性能的保證。在信息技術(shù)飛速發(fā)展的今天，我們選擇的產(chǎn)品和技術(shù)應(yīng)具有一定的前瞻性，能夠適應(yīng)未來一段

18、時間（4-5 年）業(yè)務(wù)需求及技術(shù)發(fā)展變化的需要，減少未來不必要的重復(fù)投資，同時，盡可能兼顧產(chǎn)品和技術(shù)的成熟性，增強集團網(wǎng)絡(luò)的整體穩(wěn)定性。開放與可擴展性原則集團網(wǎng)絡(luò)的設(shè)計應(yīng)選擇開放式標(biāo)準(zhǔn)化設(shè)計的產(chǎn)品或技術(shù)，滿足系統(tǒng)間靈活的信息交互的需要，同時，充分考慮產(chǎn)品可擴展性，滿足不斷發(fā)展變化的業(yè)務(wù)和技術(shù)需求 。統(tǒng)一標(biāo)準(zhǔn)化原則集團網(wǎng)絡(luò)的設(shè)計應(yīng)該堅持標(biāo)準(zhǔn)化的原則，采用業(yè)界公認(rèn)的行業(yè)或技術(shù)標(biāo)準(zhǔn)，降低管理復(fù)雜度，同時，堅持統(tǒng)一化的原則（如：統(tǒng)一Vlan劃分，統(tǒng)一的IP address分配等）應(yīng)盡可能采用統(tǒng)一的標(biāo)準(zhǔn)。經(jīng)濟性原則集團網(wǎng)絡(luò)的設(shè)計必須實用、經(jīng)濟，應(yīng)該盡量利用現(xiàn)有資源，堅持在先進、高性能前提下合理投資，以期

19、在成本最佳的前提下獲得最大的經(jīng)濟效益和社會效益。網(wǎng)絡(luò)層次化設(shè)計網(wǎng)絡(luò)設(shè)計的結(jié)構(gòu)是層次化的，正確理解網(wǎng)絡(luò)層次的劃分和每個層次的主要作用，有助于合理選擇網(wǎng)絡(luò)拓?fù)浜途W(wǎng)絡(luò)技術(shù)。大型網(wǎng)絡(luò)從理論上可以劃分為三個層次，即核心層（Core Layer）、分布層（Distribution Layer）和訪問層（Access Layer）。核心層主要承擔(dān)高速數(shù)據(jù)交換的任務(wù)，同時要為各匯聚節(jié)點提供最佳傳輸通道。匯聚層的主要任務(wù)是把大量來自接入層的訪問路徑進行匯聚和集中，承擔(dān)路由聚合和訪問控制的任務(wù)。這就要求匯聚層設(shè)備必須具備良好的可擴展性，必須使用模塊化的體系結(jié)構(gòu)，可通過增加板卡提高端口密度，以便匯接更多的接入層設(shè)備

20、。接入層的主要任務(wù)是完成用戶的接入，它直接和用戶連接，可能遭受ARP風(fēng)暴、MAC掃描、ICMP風(fēng)暴、帶寬攻擊等等攻擊方式，對安全性的要求很高，另一方面必須提供靈活的用戶管理手段。根據(jù)本次網(wǎng)絡(luò)的建設(shè)規(guī)模，建議部分網(wǎng)絡(luò)建設(shè)主干（核心層與匯聚層之間）網(wǎng)絡(luò)技術(shù)采用萬兆以太網(wǎng)技術(shù)，并且對于數(shù)據(jù)量大的主干鏈路可采用多10GE捆綁方式增加帶寬，核心交換機支持高密度萬兆以太網(wǎng)端口接入能力，以便在今后平滑擴容。隨著千兆到桌面的日益普及，萬兆以太網(wǎng)技術(shù)將會在匯聚層和骨干層得到廣泛的應(yīng)用。網(wǎng)絡(luò)詳細(xì)設(shè)計POS業(yè)務(wù)網(wǎng)設(shè)計POS業(yè)務(wù)網(wǎng)是集團購物中心的重點業(yè)務(wù)網(wǎng)絡(luò)，商戶POS網(wǎng)絡(luò)主要負(fù)責(zé)各商戶營業(yè)結(jié)算數(shù)據(jù)和相關(guān)零售MIS的

21、會員消費或積分等數(shù)據(jù)聯(lián)網(wǎng)。核心交換機核心交換機作為整個網(wǎng)絡(luò)的中心，承擔(dān)著整個網(wǎng)絡(luò)的交換中心，同時也是整網(wǎng)（LAN）的路由中心，全網(wǎng)絕大部分第三層操作(數(shù)據(jù)轉(zhuǎn)發(fā)、服務(wù)器訪問等)都通過核心交換機集中進行，因此必須提供高性能的數(shù)據(jù)轉(zhuǎn)發(fā)和豐富的安全特性。核心交換機不僅僅是一個高速的數(shù)據(jù)轉(zhuǎn)發(fā)中心，還要能夠提供綜合的安全防護平臺。核心交換機必須可以提供全分布式轉(zhuǎn)發(fā)架構(gòu)，提供支持雙引擎、雙電源、無源背板等高可靠性設(shè)計，支持虛擬化技術(shù)，可以將兩臺設(shè)備虛擬化一臺設(shè)備，能夠提供高可靠性組網(wǎng)方式。為了能夠提供高安全性的數(shù)據(jù)轉(zhuǎn)發(fā)平臺，核心交換機需要提供豐富的業(yè)務(wù)插卡模塊，比如防火墻模塊、入侵防御模塊、應(yīng)用控制模塊等，

22、提供融合的網(wǎng)絡(luò)安全解決方案。核心層設(shè)備作為網(wǎng)絡(luò)的骨干，應(yīng)能提供快速的數(shù)據(jù)交換和極高的永續(xù)性。從備份和負(fù)載分擔(dān)角度應(yīng)選用雙核心；從單臺設(shè)備角度應(yīng)選用高性能和高可靠性的高端路由交換設(shè)備，支持主控冗余、電源冗余、風(fēng)扇冗余、交換網(wǎng)板冗余、分布式轉(zhuǎn)發(fā)等特性。并降低核心設(shè)備配置的復(fù)雜度，減少出現(xiàn)運行錯誤的幾率。兩臺核心交換機之間通過多條鏈路捆綁相連，運行虛擬化技術(shù)實現(xiàn)核心設(shè)備間的鏈路備份和負(fù)載分擔(dān)，組成一個高可靠的網(wǎng)絡(luò)核心，核心區(qū)通過千兆光纖連接各接入設(shè)備。POS網(wǎng)的核心設(shè)計如下：采用雙機冗余設(shè)計，單臺配置單引擎，冗余電源，提供萬兆光接口（核心虛擬化互聯(lián)及服務(wù)器匯聚交換機連接使用），千兆光接口（下聯(lián)接入交

23、換機），千兆電接口（上聯(lián)出口專線路由器），防火墻功能模塊（整網(wǎng)的L3安全防護）。匯聚交換機服務(wù)器集群網(wǎng)絡(luò)主要負(fù)責(zé)數(shù)據(jù)中心各種業(yè)務(wù)應(yīng)用服務(wù)器的集群互聯(lián)，保障零售業(yè)務(wù)高效穩(wěn)定運行。在服務(wù)器網(wǎng)絡(luò)前配置一臺服務(wù)器匯聚交換機，在網(wǎng)絡(luò)結(jié)構(gòu)中起到承上啟下的作用，因此該設(shè)備需具備千兆下行接入、萬兆上行的能力，鑒于POS網(wǎng)業(yè)務(wù)的重要性，還要求在此交換機上加載入侵防御模塊，保障服務(wù)器前端L4-L7的防護能力。接入交換機考慮到目前業(yè)界主流POS終端模式，POS業(yè)務(wù)網(wǎng)采用百兆接入到終端，根據(jù)接入POS終端數(shù)量的不同分別配置24口或48口的交換機，每臺設(shè)備均通過千兆鏈路上聯(lián)核心交換機。專線路由器專線路由器主要負(fù)責(zé)零售業(yè)

24、務(wù)中顧客POS刷卡交易數(shù)據(jù)，通過統(tǒng)一金融專線出口，保證銀聯(lián)交易的穩(wěn)定準(zhǔn)確和交易結(jié)算費用統(tǒng)一管理。出口上聯(lián)至銀聯(lián)專線和相關(guān)合作銀行，金融業(yè)務(wù)數(shù)據(jù)的穩(wěn)定超過一切，所以出口路由器的設(shè)備選型，既要滿足多種進線接口的要求，而且設(shè)備本身就要具有良好的穩(wěn)定性，以及對關(guān)鍵業(yè)務(wù)的保障能力。專線路由器配置要求：提供關(guān)鍵部件的冗余配置，主控冗余配置，電源冗余配置，最大程度保障設(shè)備的高可靠性，根據(jù)相關(guān)合作機構(gòu)接入線路的不同，設(shè)備要能夠支持E1、以太網(wǎng)光、電接口等不同的端口擴展能力。智能化專網(wǎng)設(shè)計智能化專網(wǎng)除了承載視頻監(jiān)控、BA、門禁、信息發(fā)布等弱電系統(tǒng)業(yè)務(wù)，還承擔(dān)整個集團購物中心的無線業(yè)務(wù)，無線網(wǎng)絡(luò)的建設(shè)主要為來店顧

25、客提供免費的互聯(lián)網(wǎng)訪問，以便提升購物體驗、延長留店時間，同時也為商場后續(xù)的無線營銷業(yè)務(wù)奠定基礎(chǔ)。核心交換機業(yè)務(wù)專網(wǎng)的核心設(shè)計如下：采用多級交換架構(gòu)的設(shè)備，提供雙機冗余設(shè)計，單臺配置單引擎，冗余電源，冗余交換網(wǎng)板，提供萬兆光接口（核心虛擬化互聯(lián)及服務(wù)器匯聚交換機連接使用），千兆光接口（下聯(lián)接入交換機），千兆電接口（上聯(lián)出口路由器），防火墻功能模塊（整網(wǎng)的L3安全防護），應(yīng)用控制功能模塊（上網(wǎng)流量控制及行為審計），無線控制器功能模塊（無線網(wǎng)絡(luò)的集中控制及轉(zhuǎn)發(fā)）。匯聚交換機智能化專網(wǎng)的匯聚交換機一共部署3臺：服務(wù)器集群前端部署1臺，此外，考慮到智能化專網(wǎng)需要同時承載弱電系統(tǒng)和無線業(yè)務(wù)兩個系統(tǒng)，在弱電

26、系統(tǒng)承載網(wǎng)匯聚處和無線業(yè)務(wù)子網(wǎng)匯聚處分別部署1臺，進而實現(xiàn)兩種不同業(yè)務(wù)系統(tǒng)之間數(shù)據(jù)和安全的邏輯隔離。匯聚交換機在網(wǎng)絡(luò)結(jié)構(gòu)中起到承上啟下的作用，因此該設(shè)備需具備千兆下行接入、萬兆上行的能力。服務(wù)器集群網(wǎng)絡(luò)主要負(fù)責(zé)弱電系統(tǒng)各種業(yè)務(wù)應(yīng)用服務(wù)器的集群互聯(lián)，保障弱電系統(tǒng)業(yè)務(wù)高效穩(wěn)定運行。在服務(wù)器網(wǎng)絡(luò)前要求配置一臺服務(wù)器匯聚交換機，提供千兆電接口下行，萬兆光接口上行的接入能力。智能化專網(wǎng)除了承載弱電系統(tǒng)的各種業(yè)務(wù)，還要為來店顧客提供免費的WiFi服務(wù)，對外提供Internet的接入服務(wù)就意味著網(wǎng)絡(luò)安全的風(fēng)險等級大大提升，鑒于網(wǎng)絡(luò)設(shè)計的合理性和安全性方面的考慮，兩種不同業(yè)務(wù)分別設(shè)計各自的匯聚設(shè)備，通過核心交

27、換機的防火墻模塊為各自業(yè)務(wù)部署不同的安全策略，保障智能化專網(wǎng)的安全可靠。弱電系統(tǒng)和無線子網(wǎng)的匯聚交換機均提供千兆光接口下行，萬兆光接口上行的接入能力。接入交換機弱電系統(tǒng)承載網(wǎng)采用百兆接入到終端設(shè)備，根據(jù)接入終端數(shù)量的不同分別配置24口或48口的交換機，每臺設(shè)備均通過千兆鏈路上聯(lián)匯聚交換機。無線業(yè)務(wù)子網(wǎng)采用千兆接入到終端設(shè)備，除了基本的網(wǎng)絡(luò)功能之外，還要能夠提供POE供電功能，每臺設(shè)備均通過千兆鏈路上聯(lián)匯聚交換機。出口路由器出口上聯(lián)至Internet接入線路，購物中心免費開放WiFi服務(wù)后，接入用戶數(shù)量會非常多，設(shè)備負(fù)載能力就要求非常高，所以出口路由的設(shè)備選型，既要滿足多種進線接口的需求，而且設(shè)

28、備本身就要具有良好的穩(wěn)定，以及對關(guān)鍵業(yè)務(wù)的保障能力。專線路由器配置要求：提供關(guān)鍵部件的冗余配置，主控冗余配置，電源冗余配置，最大程度保障設(shè)備的高可靠，根據(jù)接入線路的不同，設(shè)備要能夠支持以太網(wǎng)光、電接口等不同的端口擴展能力。無線業(yè)務(wù)子網(wǎng)無線局域網(wǎng)技術(shù)經(jīng)過十幾年的發(fā)展，已經(jīng)歷了三代技術(shù)及產(chǎn)品的發(fā)展。第一代無線局域網(wǎng)主要是采用Fat AP，每一臺AP都要單獨進行配置，費時、費力、費成本；第二代無線局域網(wǎng)融入了無線網(wǎng)關(guān)功能但還是不能集中進行管理和配置，其管理性和 HYPERLINK /security t _blank 安全性以及對有線 HYPERLINK /elink t _blank 網(wǎng)絡(luò)的依賴成

29、為了第一代和第二代WLAN產(chǎn)品發(fā)展的瓶頸，由于這一代技術(shù)的AP儲存了大量的網(wǎng)絡(luò)和安全的配置，包括加密的鑰匙，Radius client的安全密碼 (secret) 等，而AP又是分散在建筑物中的各個位置，一旦AP的配置被盜取讀出并修改，其無線網(wǎng)絡(luò)系統(tǒng)就失去了安全性。另外由于AC或無線網(wǎng)關(guān)的硬件多數(shù)是基于Pentium架構(gòu)的，所以當(dāng)用戶接入數(shù)量 (IP sessions)增多時，無線網(wǎng)的性能會急劇下降，時常會發(fā)生掉線或死機情況。在這樣的環(huán)境下，基于無線交換機技術(shù)的第三代WLAN產(chǎn)品應(yīng)運而生。第三代無線局域網(wǎng)采用無線交換機和FIT AP的架構(gòu)，對傳統(tǒng)WLAN設(shè)備的功能做了重新劃分，將密集型的無線網(wǎng)

30、絡(luò)和安全處理功能轉(zhuǎn)移到集中的 WLAN 交換機中實現(xiàn)，同時加入了許多重要新功能，諸如無線網(wǎng)管、AP間自適應(yīng)、無線安管、RF監(jiān)測、無縫漫游以及Qos。，使得無線局域網(wǎng)的網(wǎng)絡(luò)性能、網(wǎng)絡(luò)管理和安全管理能力得以大幅提高。下表為FAT AP與FIT AP兩種組網(wǎng)方案對比本次無線覆蓋要求使用FIT AP解決方案實現(xiàn)（FIT AP解決方案包括無線控制器和FIT AP）。無線網(wǎng)絡(luò)組成無線控制器配置要求：在網(wǎng)絡(luò)核心處部署無線控制器，實現(xiàn)全部無線AP的統(tǒng)一管理。核心交換設(shè)備上增加無線控制器插卡，共享交換機高速背板帶寬和可靠冗余。無線控制器采用1+1備份設(shè)計，支持毫秒(ms)級業(yè)務(wù)備份，AP會同時和兩臺無線控制器建

31、立CAPWAP鏈路，一臺作為主控制器，另外一臺作為備份控制器，但只有和主控制器建立的CAPWAP鏈路處于工作狀態(tài)。當(dāng)主控制器異常down機時，備份控制器和主控制器之間的心跳檢測機制可以保證在100毫秒(ms)之內(nèi)檢測到主設(shè)備的異常，并通知AP將主控制器CAPWAP鏈路切換，保證控制信號的不間斷傳送。無線AP配置要求：無線AP采用支持802.11n協(xié)議的設(shè)備配合組網(wǎng)，從而提供相當(dāng)于傳統(tǒng)802.11a/b/g網(wǎng)絡(luò)6倍以上的無線接入速率，能夠覆蓋更大的范圍和更高速率傳輸，使高速無線多媒體應(yīng)用得到有效保證。要求設(shè)備支持硬件智能天線，基于特征和協(xié)議的射頻優(yōu)化，不同距離、不同場景的針對性智能覆蓋，部署更簡

32、便、維護更方便、性能更優(yōu)越。要求設(shè)備體積較小，吸頂安裝也不會影響商場整體的裝修風(fēng)格，無論是吸頂安裝還是部署于天花板之上都要求方便、美觀。使用無線控制器 + FIT AP時，AP在啟動后會自動通過DHCP方式獲取IP地址，并自動搜尋可關(guān)聯(lián)的無線控制器，在和無線控制器建立CAPWAP隧道之后會自動從無線控制器下載配置文件和更新軟件版本。FIT AP組網(wǎng)最大的優(yōu)點在于AP本身零配置，AP上電后會自動從無線控制器下載軟件版本和配置文件，同時無線控制器會自動調(diào)節(jié)AP的工作信道以及發(fā)射功率。覆蓋解決方案在室內(nèi)覆蓋情況下，選擇AP擺放位置的時候，需遵循以下幾個原則：通過將AP部署在樓道天花板上，采用美觀隱形

33、的吸頂天線，實現(xiàn)兩側(cè)商鋪的覆蓋在商場中庭大廳比較空曠地方建議部署兩個以上AP，如果同一空間安裝兩個AP，則可以放在兩個對角上。保持信號穿過墻壁和天花板的數(shù)量最小。2.4G信號能夠穿透墻壁和天花板，然而，每一面墻壁和天花板都將使AP信號的覆蓋范圍減少1到30米。應(yīng)放置AP在合適的拐角和交匯路口，使墻壁和天花板阻礙信號的路徑最短，損耗最小?？紤]AP和覆蓋區(qū)域之間直線連接。注意AP的放置位置，要盡量使信號能夠垂直的穿過（90度角）墻壁或天花板。不同的建筑材料產(chǎn)生不同的傳輸效果。由金屬的框架或門構(gòu)成的建筑物會使WLAN無線信號的傳輸距離變小。放置AP的位置應(yīng)使信號通過干燥的墻壁或敞開的門，避免放置在使

34、信號必須通過金屬材料的位置。AP天線方向可調(diào)，安裝AP的位置應(yīng)確保天線主波束方向正對覆蓋目標(biāo)區(qū)域，保證良好的覆蓋效果。AP安裝位置需遠離電子設(shè)備（起碼12米），例如微波爐、監(jiān)視器、電機等。供電問題通過POE交換機的以太網(wǎng)接口給AP供電，遠程供電以太網(wǎng)接口供電距離達100米，滿足實際組網(wǎng)的要求，同時，根據(jù)集團的購物中心運營時間，通過POE交換機智能控制AP供電時間，晚間非營業(yè)時間切斷供電，節(jié)能環(huán)保減少運營成本，也保證切斷消防明火等安全因素影響。無線用戶接入認(rèn)證商場無線網(wǎng)絡(luò)建成后，對來店顧客提供免費的WiFi服務(wù)，但是上網(wǎng)前需要進行認(rèn)證，滿足公安部82令的相關(guān)要求（互聯(lián)網(wǎng)服務(wù)提供者和聯(lián)網(wǎng)使用單位依

35、照本規(guī)定落實的記錄留存技術(shù)措施，應(yīng)當(dāng)具有至少保存六十天記錄備份的功能），認(rèn)證的用戶名為顧客的手機號碼，配合核心交換機上部署的應(yīng)用控制模塊實現(xiàn)行為審計及記錄的功能。認(rèn)證采用Portal方式，用戶通過移動智能終端（手機、Pad等）或筆記本接入無線網(wǎng)絡(luò)后，訪問任意頁面時本地的Portal網(wǎng)關(guān)將強制重定向到認(rèn)證頁面，認(rèn)證頁面上有“手機號”、“密碼”輸入框，“獲取密碼”按鈕，顧客輸入手機號碼后點擊“獲取密碼”，可以收到動態(tài)密碼短信，輸入密碼進行認(rèn)證，通過后即可訪問Internet。認(rèn)證的頁面可進行自定義設(shè)計，如Logo信息、頁面內(nèi)容、認(rèn)證完成后的跳轉(zhuǎn)鏈接等，接入認(rèn)證軟件需要實現(xiàn)精確的終端識別，要求推送的

36、認(rèn)證頁面能夠良好的自適應(yīng)不同類型的終端。市政通信網(wǎng)設(shè)計（運營商代建，僅供參考）市政通信網(wǎng)主要承載寫字樓接入用戶的Internet訪問。核心交換機市政通信網(wǎng)的核心設(shè)計如下：采用雙機冗余設(shè)計，單臺配置單引擎，冗余電源，提供萬兆光接口（核心虛擬化互聯(lián)），千兆光接口（下聯(lián)接入交換機），千兆電接口（上聯(lián)出口防火墻）。接入交換機市政通信網(wǎng)接入采用百兆接入到終端設(shè)備，根據(jù)接入終端數(shù)量的不同分別配置24口或48口的交換機，每臺設(shè)備均通過千兆鏈路上聯(lián)核心交換機。辦公網(wǎng)設(shè)計辦公網(wǎng)主要承載物業(yè)、商場辦公人員的日常OA，Mail及Internet訪問等業(yè)務(wù)。核心交換機辦公網(wǎng)的核心設(shè)計如下：采用雙機冗余設(shè)計，單臺配置單

37、引擎，冗余電源，提供萬兆光接口（核心虛擬化互聯(lián)使用），千兆光接口（下聯(lián)接入交換機），千兆電接口（上聯(lián)出口防火墻）。接入交換機辦公網(wǎng)接入采用千兆接入到終端設(shè)備，根據(jù)接入終端數(shù)量的不同分別配置24口或48口的交換機，每臺設(shè)備均通過千兆鏈路上聯(lián)核心交換機。網(wǎng)絡(luò)可靠性網(wǎng)絡(luò)作為各種業(yè)務(wù)的重要承載網(wǎng)絡(luò)，對其可靠性提出了很高的要求。可以說一旦網(wǎng)絡(luò)出現(xiàn)中斷，將會使整個網(wǎng)絡(luò)癱瘓，引起嚴(yán)重的后果。網(wǎng)絡(luò)的可靠性包括組網(wǎng)設(shè)備可靠性、網(wǎng)絡(luò)拓?fù)浣M網(wǎng)結(jié)構(gòu)可靠性、網(wǎng)絡(luò)鏈路可靠性。網(wǎng)絡(luò)節(jié)點的可靠性網(wǎng)絡(luò)核心節(jié)點設(shè)備的可靠是確保整個網(wǎng)絡(luò)的有效運轉(zhuǎn)的關(guān)鍵所在。要保證網(wǎng)絡(luò)系統(tǒng)的可靠性，必須要選用具備電信級可靠性的網(wǎng)絡(luò)設(shè)備進行組網(wǎng)，才能

38、使網(wǎng)絡(luò)具有自動恢復(fù)能力、降低人工維護工作，達到電信級的可靠運行。要實現(xiàn)設(shè)備的可靠性，應(yīng)考慮如下內(nèi)容：網(wǎng)絡(luò)中的關(guān)鍵設(shè)備，如核心交換機、匯聚交換機、出口防火墻等，應(yīng)該具備電信級可靠性：可靠性指標(biāo)必須達到99.999%；網(wǎng)絡(luò)核心設(shè)備采用全分布式體系結(jié)構(gòu)，路由與轉(zhuǎn)發(fā)分離；所有關(guān)鍵器件，如主控板、電源等都采用冗余設(shè)計，業(yè)務(wù)模塊支持熱插拔；網(wǎng)絡(luò)核心設(shè)備支持不間斷轉(zhuǎn)發(fā)，主控板熱備份。主備倒換過程不影響業(yè)務(wù)轉(zhuǎn)發(fā)，不丟包。鏈路可靠性作為網(wǎng)絡(luò)系統(tǒng)可靠性的重要要求之一，網(wǎng)絡(luò)設(shè)備一個重要必要的特征是：必須能快速檢測到相鄰設(shè)備之間的通信故障，這樣可以盡快選擇一條替代路徑，使網(wǎng)絡(luò)從故障中快速恢復(fù)。快速檢測相鄰設(shè)備之間通信

39、故障的要求，故障檢測速度很大程度上決定了網(wǎng)絡(luò)的收斂速度。鏈路冗余是網(wǎng)絡(luò)設(shè)計中最常用、也是非常有效的冗余技術(shù)，很多協(xié)議對鏈路冗余也提供了很好的支持，如STP/MSTP、LACP、ECMP等。鏈路捆綁（也稱為鏈路聚合），就是把多個屬性相同的物理鏈路捆綁在一起，邏輯上當(dāng)成一個鏈路。鏈路捆綁能帶來提供了更高的鏈路帶寬，流量可在各個鏈路間實現(xiàn)負(fù)載分擔(dān)，鏈路間互為備份，可提高可用性。跨單板、跨設(shè)備的鏈路捆綁事實上提供了一定程度的單板、設(shè)備間的互為備份功能，較大的提高了網(wǎng)絡(luò)的可用性。網(wǎng)絡(luò)安全設(shè)計網(wǎng)絡(luò)安全是網(wǎng)絡(luò)可靠運行的保證，如何保證網(wǎng)絡(luò)的安全運行是網(wǎng)絡(luò)建設(shè)的重要內(nèi)容。L2-L7層安全防護除了由于系統(tǒng)漏洞造成

40、的應(yīng)用攻擊外，數(shù)據(jù)中心還要面對拒絕服務(wù)攻擊（DoS）和分布式拒絕服務(wù)攻擊（DDoS）的挑戰(zhàn)。DOS/DDOS是一種傳統(tǒng)的網(wǎng)絡(luò)攻擊方式，然而其破壞力卻十分強勁。據(jù)2004 美國CSI/FBI的計算機犯罪和安全調(diào)研分析，DOS和DDOS攻擊已成為對企業(yè)損害最大的犯罪行為，超出其他各種犯罪類型兩倍。DOS/DDoS攻擊大行其道的原因主要是利用了TCP/IP的開放性原則，從任意源地址向任意目標(biāo)地址都可以發(fā)送數(shù)據(jù)包。DOS/DDOS利用看似合理的海量服務(wù)請求來耗盡網(wǎng)絡(luò)和系統(tǒng)的資源，從而使合法用戶無法得到服務(wù)的響應(yīng)。目前網(wǎng)絡(luò)中主要使用防火墻來實施安全分區(qū)和訪問控制。防火墻類似于建筑大廈中用于防止火災(zāi)蔓延的

41、隔斷墻，是一個或一組實施訪問控制策略的系統(tǒng)，它監(jiān)控可信任網(wǎng)絡(luò)和不可信任網(wǎng)絡(luò)之間的訪問通道，以防止一個區(qū)域中出現(xiàn)的危險蔓延到另一個區(qū)域。防火墻作為最主流也是最重要的安全產(chǎn)品，是整網(wǎng)安全解決方案的核心。它可以對整個網(wǎng)絡(luò)進行區(qū)域分割，提供基于IP地址和TCP/IP服務(wù)端口等的訪問控制；對常見的網(wǎng)絡(luò)攻擊，如拒絕服務(wù)攻擊、端口掃描、IP欺騙、IP盜用等進行有效防護；并提供NAT地址轉(zhuǎn)換、流量限制、用戶認(rèn)證、IP與MAC綁定等安全增強措施。防火墻也常常作用于數(shù)據(jù)中心的入口處，基于訪問控制策略提供安全防護。例如：當(dāng)數(shù)據(jù)中心要與外部網(wǎng)絡(luò)連接時，防火墻可以保護數(shù)據(jù)中心內(nèi)的網(wǎng)絡(luò)和數(shù)據(jù)免遭來自外部網(wǎng)絡(luò)的非法訪問（未

42、授權(quán)或未驗證的訪問）或惡意攻擊。此外，各種蠕蟲、間諜軟件、網(wǎng)絡(luò)釣魚等應(yīng)用層威脅和EMAIL、移動代碼結(jié)合，形成復(fù)合型威脅，使威脅更加危險和難以抵御。這些威脅直接攻擊IDC核心服務(wù)器和應(yīng)用，給業(yè)務(wù)帶來了重大損失；攻擊終端用戶計算機，給用戶帶來信息風(fēng)險甚至財產(chǎn)損失；對網(wǎng)絡(luò)基礎(chǔ)設(shè)施進行DoS/DDoS攻擊，造成基礎(chǔ)設(shè)施的癱瘓；更有甚者，像電驢、BT等P2P應(yīng)用和MSN、QQ等即時通信軟件的普及，寶貴的帶寬資源被業(yè)務(wù)無關(guān)流量浪費，形成巨大的資源損失。面對這些問題，傳統(tǒng)解決方案最大的問題是，防火墻工作在TCP/IP 34層上，根本就“看”不到這些威脅的存在，而IDS作為一個旁路設(shè)備，對這些威脅又“看而不

43、阻”，因此我們需要一個全新的安全解決方案。入侵防護系統(tǒng) (IPS) 傾向于提供主動防護，其設(shè)計宗旨是預(yù)先對入侵活動和攻擊性網(wǎng)絡(luò)流量進行攔截，避免其造成損失，而不是簡單地在惡意流量傳送時或傳送后才發(fā)出警報。IPS 是通過直接嵌入到網(wǎng)絡(luò)流量中實現(xiàn)這一功能的，即通過一個網(wǎng)絡(luò)端口接收來自外部系統(tǒng)的流量，經(jīng)過檢查確認(rèn)其中不包含異常活動或可疑內(nèi)容后，再通過另外一個端口將它傳送到內(nèi)部系統(tǒng)中。這樣一來，有問題的數(shù)據(jù)包，以及所有來自同一數(shù)據(jù)流的后續(xù)數(shù)據(jù)包，都能在 IPS 設(shè)備中被清除掉。IPS可以針對應(yīng)用流量做深度分析與檢測能力，同時配合以精心研究的攻擊特征知識庫和用戶規(guī)則，即可以有效檢測并實時阻斷隱藏在海量網(wǎng)

44、絡(luò)流量中的病毒、攻擊與濫用行為，也可以對分布在網(wǎng)絡(luò)中的各種流量進行有效管理，從而達到對網(wǎng)絡(luò)上應(yīng)用的保護、網(wǎng)絡(luò)基礎(chǔ)設(shè)施的保護和網(wǎng)絡(luò)性能的保護。目前網(wǎng)絡(luò)各種應(yīng)用越來越豐富，但是對于一個網(wǎng)絡(luò)的管理員而言，非法的、未受控的應(yīng)用，會擠占合法應(yīng)用帶寬，同時影響企業(yè)員工的整體生產(chǎn)率，這些應(yīng)用必須被識別并加以控制。比如在企業(yè)網(wǎng)、校園網(wǎng)中，P2P下載、娛樂類應(yīng)用占用了大量的帶寬，對這些機構(gòu)正常的業(yè)務(wù)影響極大；另一方面，企業(yè)員工或高校學(xué)生，把工作或?qū)W習(xí)時間消耗在一些不必要甚至非法的網(wǎng)絡(luò)活動上，大大影響了工作和學(xué)習(xí)效率。通過應(yīng)用識別技術(shù)，可把各種應(yīng)用及其行為置于明確的可管理的前提下，并通過阻斷、限流等手段實現(xiàn)應(yīng)用控

45、制。核心交換機是網(wǎng)絡(luò)數(shù)據(jù)轉(zhuǎn)發(fā)的中心節(jié)點，網(wǎng)絡(luò)中幾乎所有的流量都要流經(jīng)核心交換機進行轉(zhuǎn)發(fā)。因此核心交換機是對網(wǎng)絡(luò)中流量進行過濾和控制的最佳位置。網(wǎng)絡(luò)系統(tǒng)中L2-L4層基礎(chǔ)網(wǎng)絡(luò)安全防護是通過防火墻模塊來實現(xiàn)的。防火墻模塊將核心交換機的高速交換技術(shù)和安全網(wǎng)絡(luò)技術(shù)融合在一塊，不僅保留了核心交換機線速轉(zhuǎn)發(fā)的特性，還可以根據(jù)用戶對安全防護的考慮，將防火墻技術(shù)融入到VLAN技術(shù)中，實現(xiàn)對網(wǎng)絡(luò)內(nèi)部多個安全區(qū)域的保護。在部署了防火墻模塊后，核心交換機的所有端口都具備了防火墻功能，能夠大大提高防火墻策略部署的靈活性，并能夠節(jié)省防火墻端口投入成本。防火墻模塊對內(nèi)網(wǎng)各個VLAN之間的訪問進行精細(xì)化的控制。同時配合交換

46、機的端口隔離特性，實現(xiàn)對同一VLAN內(nèi)終端之間的訪問限制。防火墻模塊支持虛擬防火墻，而每個虛擬防火墻可以獨立進行配置，好比在網(wǎng)絡(luò)中部署了多個個獨立的小型防火墻，可以為不同部門分配各自的虛擬防火墻，各臺虛擬防火墻的安全策略互不影響，并且這些虛擬防火墻可以集中管理配置，簡化整網(wǎng)絡(luò)結(jié)構(gòu)。利用虛擬防火墻功能，為某個各個部門包括數(shù)據(jù)中心區(qū)提供不同的安全服務(wù)，管理員可以限制網(wǎng)絡(luò)中不同部門之間的流量，做到更加細(xì)粒度的安全管理。防火墻模塊可以對需要保護的區(qū)域進行策略定制，支持所有報文的安全檢測，同時防火墻模塊支持多安全區(qū)域的設(shè)置，對于需要防火墻隔離或保護的區(qū)域，用戶可以將安全區(qū)域綁定到其中的一個虛擬防火墻上，

47、這樣就可以通過下發(fā)相應(yīng)的安全策略來對內(nèi)部網(wǎng)絡(luò)中的不同區(qū)域進行訪問控制。POS業(yè)務(wù)網(wǎng)安全設(shè)計POS的安全設(shè)計要求如下：在核心交換機上部署防火墻插卡，在服務(wù)器匯聚交換機上部署入侵防御插卡。智能化專網(wǎng)安全設(shè)計智能化專網(wǎng)的安全設(shè)計要求如下：在核心交換機上部署防火墻插卡，應(yīng)用控制插卡。市政通信網(wǎng)安全設(shè)計市政通信網(wǎng)的安全設(shè)計要求如下：在網(wǎng)絡(luò)出口處部署一臺防火墻。辦公網(wǎng)安全設(shè)計辦公網(wǎng)的安全設(shè)計要求如下：在網(wǎng)絡(luò)出口處部署一臺防火墻，并加載入侵防御特性，實現(xiàn)辦公網(wǎng)L2-L7的全面安全防護，在防火墻與核心之間部署一臺應(yīng)用控制網(wǎng)關(guān)，實現(xiàn)流量控制及行為審計功能。網(wǎng)絡(luò)管理隨著網(wǎng)絡(luò)建設(shè)的不斷深入發(fā)展，除了單純的追求高帶寬

48、、高速率外，安全的網(wǎng)絡(luò)、高效的網(wǎng)絡(luò)和可運營的網(wǎng)絡(luò)成為越來越多的用戶關(guān)注的焦點，網(wǎng)絡(luò)精細(xì)化管理也越來越深入人心，一套好的管理系統(tǒng)無疑對網(wǎng)絡(luò)的精細(xì)化管理起到至關(guān)重要的作用。隨著網(wǎng)絡(luò)的建設(shè)推進，其作用已經(jīng)不僅是簡單的互連互通，通信、計算、應(yīng)用和技術(shù)的融合，促使網(wǎng)絡(luò)成為承載業(yè)務(wù)的平臺，網(wǎng)絡(luò)運行的安全、穩(wěn)定、高效直接決定集團核心業(yè)務(wù)能否順利開展。同時，網(wǎng)絡(luò)的運營和管理也從“網(wǎng)絡(luò)資源運營”向“信息服務(wù)和流程服務(wù)”、從“粗放的規(guī)模運營和管理”向“精確管理和精益運營”轉(zhuǎn)變。這些都對集團網(wǎng)絡(luò)管理和運營提出了新的挑戰(zhàn)。為了解決大規(guī)模網(wǎng)絡(luò)以及多業(yè)務(wù)管理帶來的問題，集團網(wǎng)絡(luò)管理系統(tǒng)部署智能網(wǎng)絡(luò)管理中心， 智能網(wǎng)絡(luò)管理

49、平臺以業(yè)務(wù)管理和業(yè)務(wù)流程模型為核心，采用面向服務(wù)（SOA）的設(shè)計思想，按需裝配的組件化結(jié)構(gòu)，為集團提供網(wǎng)絡(luò)業(yè)務(wù)、資源和用戶的融合管理解決方案，幫助集團實現(xiàn)網(wǎng)絡(luò)業(yè)務(wù)的端到端管理。通過智能網(wǎng)管平臺能夠靈活組織功能組件，形成直接面向集團需求的業(yè)務(wù)流解決方案，從根本上解決多業(yè)務(wù)融合管理的復(fù)雜性。智能網(wǎng)絡(luò)管理平臺建議要求智能網(wǎng)絡(luò)管理平臺以業(yè)務(wù)融合和業(yè)務(wù)流為主旨思想，實現(xiàn)用戶、資源和業(yè)務(wù)三大網(wǎng)絡(luò)要素的融合管理，其主要建議要求有：面向服務(wù)的架構(gòu)采用Web Service 技術(shù)框架，通過松耦合、分布式、易擴展的開放管理平臺，提升業(yè)務(wù)融合能力；以資源虛擬化屏蔽底層設(shè)備差異，通過面向服務(wù)的接口和調(diào)度框架，實現(xiàn)以業(yè)

50、務(wù)流程為中心的端到端管理?；A(chǔ)資源管理基于策略的全網(wǎng)QoS、ACL、VLAN、QinQ等資源的統(tǒng)一部署、管理和調(diào)配；實現(xiàn)集群HGMP管理，IPv6設(shè)備管理，路由器、交換機、安全、語音、存儲、SOHO等公司全線產(chǎn)品的網(wǎng)元管理以及桌面和網(wǎng)絡(luò)資產(chǎn)的統(tǒng)一管理；為業(yè)務(wù)融合、資源調(diào)度和自動化協(xié)同響應(yīng)提供必要手段。身份與接入管理支持LAN、WLAN、VPN認(rèn)證接入，實現(xiàn)接入業(yè)務(wù)的統(tǒng)一、集中管理；支持智能卡、證書、RSA一次性密碼等強認(rèn)證功能，支持多種方式的端點準(zhǔn)入控制和基于身份的網(wǎng)絡(luò)服務(wù)，實現(xiàn)用戶與資源和業(yè)務(wù)的融合管理。端點準(zhǔn)入安全管理在身份接入基礎(chǔ)上，支持終端安全的準(zhǔn)入控制，實現(xiàn)下線、隔離、提醒、監(jiān)控等多

51、種控制方式，支持安全狀態(tài)評估、網(wǎng)絡(luò)中安全威脅定位、安全事件感知及保護措施執(zhí)行等，預(yù)防終端補丁、防病毒、ARP攻擊、異常流量、黑白軟件安裝和運行等因素可能帶來的安全威脅，從端點接入上保證每一個接入網(wǎng)絡(luò)的終端的安全，從而保證網(wǎng)絡(luò)安全。VPN管理封裝不同VPN業(yè)務(wù)底層協(xié)議，實現(xiàn)對MPLS VPN、IPSec+L2TP VPN、SSL VPN的統(tǒng)一管理，融合端點安全、用戶接入和應(yīng)用分析，實現(xiàn)從VPN業(yè)務(wù)部署、用戶接入到業(yè)務(wù)監(jiān)視的全流程管理。網(wǎng)絡(luò)智能分析通過故障根源分析、SLA分析等基于規(guī)則和策略的深度分析，直觀展示網(wǎng)絡(luò)運行狀態(tài)，快速定位故障源，協(xié)助優(yōu)化網(wǎng)絡(luò)結(jié)構(gòu) ；通過流量異常檢測、網(wǎng)絡(luò)安全事件的集中管

52、理和基于資源管理平臺的協(xié)同響應(yīng)，提高風(fēng)險識別的準(zhǔn)確度、快速響應(yīng)安全威脅。安全策略中心通過識別網(wǎng)絡(luò)中的安全威脅，并安全威脅的危害程度，執(zhí)行安全策略，調(diào)配資源，實現(xiàn)整網(wǎng)安全、穩(wěn)定運行?；A(chǔ)網(wǎng)絡(luò)管理網(wǎng)絡(luò)管理系統(tǒng)實現(xiàn)網(wǎng)絡(luò)資源、用戶和業(yè)務(wù)的融合管理，提供基本的網(wǎng)絡(luò)資源管理、拓?fù)涔芾?、故障管理、性能管理、用戶管理及系統(tǒng)安全管理，基于B/S架構(gòu)，可以靈活擴展組件，形成多種解決方案。網(wǎng)絡(luò)管理系統(tǒng)基本功能包括：資源管理網(wǎng)絡(luò)管理系統(tǒng)將資源管理與拓?fù)涔芾碜鳛檎w共同為用戶提供網(wǎng)絡(luò)資源的管理。通過資源管理可以實現(xiàn)：網(wǎng)絡(luò)手工管理網(wǎng)絡(luò)視圖管理網(wǎng)絡(luò)設(shè)備的管理設(shè)備及業(yè)務(wù)管理系統(tǒng)的集成管理設(shè)備分組權(quán)限管理拓?fù)涔芾砭W(wǎng)絡(luò)管理系統(tǒng)拓?fù)涔芾韽木W(wǎng)絡(luò)拓?fù)涞慕鉀Q直觀的提供給用戶對整個網(wǎng)絡(luò)及網(wǎng)絡(luò)設(shè)備資源的管理。拓?fù)涔芾戆ǎ和負(fù)渥詣影l(fā)現(xiàn) 支持自定義拓?fù)渥詣幼R別各種網(wǎng)絡(luò)設(shè)備和主機的類型設(shè)備狀態(tài)、連接狀態(tài)、告警狀態(tài)等信息在拓?fù)鋱D上的直觀顯示拓?fù)淠芴峁┰O(shè)備管理便捷入口故障（告警/事件）管理故障管理，即告警/事件管理，是網(wǎng)絡(luò)管理系統(tǒng)核心模塊，包括： 告警發(fā)現(xiàn)和上報告警深度關(guān)聯(lián)分析與統(tǒng)計實時告警性能管理網(wǎng)絡(luò)管理系統(tǒng)提供豐富的性能管理功能，同時以直觀的方式顯示