中小企業(yè)網(wǎng)絡(luò)解決方案技術(shù)建議書

1、ONENETBranch中小企業(yè)網(wǎng)絡(luò)解決方案V100R001C00技術(shù)建議書文檔版本01發(fā)布日期2011-10-31華為技術(shù)有限公司版權(quán)所有華為技術(shù)有限公司2011。保留一切權(quán)利。非經(jīng)本公司書面許可，任何單位和個(gè)人不得擅自摘抄、復(fù)制本文檔內(nèi)容的部分或全部，并不得以任何形式傳播。商標(biāo)聲明HliWmP和其他華為商標(biāo)均為華為技術(shù)有限公司的商標(biāo)。本文檔提及的其他所有商標(biāo)或注冊(cè)商標(biāo)，由各自的所有人擁有。注意您購(gòu)買的產(chǎn)品、服務(wù)或特性等應(yīng)受華為公司商業(yè)合同和條款的約束，本文檔中描述的全部或部分產(chǎn)品、服務(wù)或特性可能不在您的購(gòu)買或使用范圍之內(nèi)。除非合同另有約定，華為公司對(duì)本文檔內(nèi)容不做任何明示或默示的聲明或保證

2、。由于產(chǎn)品版本升級(jí)或其他原因，本文檔內(nèi)容會(huì)不定期進(jìn)行更新。除非另有約定，本文檔僅作為使用指導(dǎo)，本文檔中的所有陳述、信息和建議不構(gòu)成任何明示或暗示的擔(dān)保。華為技術(shù)有限公司地址：深圳市龍崗區(qū)坂田華為總部辦公樓郵編：518129網(wǎng)址：客戶服務(wù)郵箱：客戶服務(wù)電話：4008302118目錄1導(dǎo)言錯(cuò)誤!未指定書簽。1.1中小企業(yè)解決方案概述錯(cuò)誤!未指定書簽1.2中小企業(yè)面臨的困難錯(cuò)誤!未指定書簽2微型機(jī)構(gòu)基礎(chǔ)網(wǎng)絡(luò)解決方案錯(cuò)誤!未指定書簽。2.1微型機(jī)構(gòu)基礎(chǔ)網(wǎng)絡(luò)設(shè)計(jì)原則錯(cuò)誤!未指定書簽2.2微型機(jī)構(gòu)基礎(chǔ)網(wǎng)絡(luò)規(guī)劃錯(cuò)誤!未指定書簽2.2.1核心層設(shè)計(jì)規(guī)劃錯(cuò)誤!未指定書簽2.2.2接入層設(shè)計(jì)規(guī)劃錯(cuò)誤!未指定書簽2

3、.2.3出口設(shè)計(jì)規(guī)劃錯(cuò)誤!未指定書簽2.2.4安全性設(shè)計(jì)規(guī)劃錯(cuò)誤!未指定書簽2.3微型機(jī)構(gòu)基礎(chǔ)網(wǎng)絡(luò)業(yè)務(wù)方案錯(cuò)誤!未指定書簽2.3.1數(shù)據(jù)業(yè)務(wù)規(guī)劃錯(cuò)誤!未指定書簽2.3.2語音業(yè)務(wù)規(guī)劃錯(cuò)誤!未指定書簽2.3.3安全業(yè)務(wù)規(guī)劃錯(cuò)誤!未指定書簽2.4微型機(jī)構(gòu)基礎(chǔ)網(wǎng)絡(luò)技術(shù)方案錯(cuò)誤!未定義書簽VLAN設(shè)計(jì)錯(cuò)誤!未指定書簽。IP設(shè)計(jì)錯(cuò)誤!未指定書簽。DHCP設(shè)計(jì)錯(cuò)誤!未指定書簽。NAT設(shè)計(jì)錯(cuò)誤!未指定書簽。安全設(shè)計(jì)錯(cuò)誤!未指定書簽遠(yuǎn)程接入設(shè)計(jì)錯(cuò)誤!未指定書簽網(wǎng)管設(shè)計(jì)錯(cuò)誤!未指定書簽2.5微型機(jī)構(gòu)基礎(chǔ)網(wǎng)絡(luò)方案特點(diǎn)錯(cuò)誤!未指定書簽3小型機(jī)構(gòu)基礎(chǔ)網(wǎng)絡(luò)解決方案錯(cuò)誤!未指定書簽。小型機(jī)構(gòu)基礎(chǔ)網(wǎng)絡(luò)設(shè)計(jì)原則錯(cuò)誤!未指定書

4、簽小型機(jī)構(gòu)基礎(chǔ)網(wǎng)絡(luò)規(guī)劃錯(cuò)誤!未指定書簽核心層設(shè)計(jì)規(guī)劃錯(cuò)誤!未指定書簽接入層設(shè)計(jì)規(guī)劃錯(cuò)誤!未指定書簽出口設(shè)計(jì)規(guī)劃錯(cuò)誤!未指定書簽。3.2.4安全性設(shè)計(jì)規(guī)劃錯(cuò)誤!未指定書簽。3.3小型機(jī)構(gòu)基礎(chǔ)網(wǎng)絡(luò)業(yè)務(wù)方案錯(cuò)誤!未指定書簽。3.3.1數(shù)據(jù)業(yè)務(wù)規(guī)劃錯(cuò)誤!未指定書簽。3.3.2語音業(yè)務(wù)規(guī)劃錯(cuò)誤!未指定書簽。3.3.3安全業(yè)務(wù)規(guī)劃錯(cuò)誤!未指定書簽。3.4小型機(jī)構(gòu)基礎(chǔ)網(wǎng)絡(luò)技術(shù)方案錯(cuò)誤!未指定書簽。VLAN設(shè)計(jì)錯(cuò)誤!未指定書簽。IP設(shè)計(jì)錯(cuò)誤!未指定書簽。DHCP設(shè)計(jì)16NAT設(shè)計(jì)錯(cuò)誤!未指定書簽。安全設(shè)計(jì)錯(cuò)誤!未指定書簽。遠(yuǎn)程接入設(shè)計(jì)錯(cuò)誤!未指定書簽。網(wǎng)管設(shè)計(jì)錯(cuò)誤!未指定書簽。3.5小型機(jī)構(gòu)基礎(chǔ)網(wǎng)絡(luò)方案特點(diǎn)錯(cuò)

5、誤!未指定書簽。中小型機(jī)構(gòu)基礎(chǔ)網(wǎng)絡(luò)解決方案錯(cuò)誤!未指定書簽。中小型機(jī)構(gòu)基礎(chǔ)網(wǎng)絡(luò)設(shè)計(jì)原則錯(cuò)誤!未指定書簽。中小型機(jī)構(gòu)基礎(chǔ)網(wǎng)絡(luò)規(guī)劃錯(cuò)誤!未指定書簽。核心層設(shè)計(jì)規(guī)劃錯(cuò)誤!未指定書簽。接入層設(shè)計(jì)規(guī)劃錯(cuò)誤!未指定書簽。出口設(shè)計(jì)規(guī)劃錯(cuò)誤!未指定書簽?？煽啃栽O(shè)計(jì)規(guī)劃錯(cuò)誤!未指定書簽。安全性設(shè)計(jì)規(guī)劃錯(cuò)誤!未指定書簽。中小型機(jī)構(gòu)基礎(chǔ)網(wǎng)絡(luò)業(yè)務(wù)方案錯(cuò)誤!未指定書簽。數(shù)據(jù)業(yè)務(wù)規(guī)劃錯(cuò)誤!未指定書簽。語音業(yè)務(wù)規(guī)劃錯(cuò)誤!未指定書簽。安全業(yè)務(wù)規(guī)劃錯(cuò)誤!未指定書簽。中小型機(jī)構(gòu)基礎(chǔ)網(wǎng)絡(luò)技術(shù)方案錯(cuò)誤!未指定書簽。VLAN設(shè)計(jì)錯(cuò)誤!未指定書簽。IP設(shè)計(jì)錯(cuò)誤!未指定書簽。DHCP設(shè)計(jì)錯(cuò)誤!未指定書簽。NAT設(shè)計(jì)錯(cuò)誤!未指定書簽。安全設(shè)

6、計(jì)21遠(yuǎn)程接入設(shè)計(jì)錯(cuò)誤!未指定書簽。可靠性設(shè)計(jì)錯(cuò)誤!未指定書簽。網(wǎng)管設(shè)計(jì)錯(cuò)誤!未指定書簽。中小型機(jī)構(gòu)基礎(chǔ)網(wǎng)絡(luò)方案特點(diǎn)錯(cuò)誤!未指定書簽。中型機(jī)構(gòu)基礎(chǔ)網(wǎng)絡(luò)解決方案錯(cuò)誤!未指定書簽。中型機(jī)構(gòu)基礎(chǔ)網(wǎng)絡(luò)設(shè)計(jì)原則錯(cuò)誤!未指定書簽。中型機(jī)構(gòu)基礎(chǔ)網(wǎng)絡(luò)規(guī)劃錯(cuò)誤!未指定書簽。5.2.1核心層設(shè)計(jì)規(guī)劃錯(cuò)誤!未指定書簽。5.2.2匯聚層設(shè)計(jì)規(guī)劃錯(cuò)誤!未指定書簽。接入層設(shè)計(jì)規(guī)劃vi5.2.4出口設(shè)計(jì)規(guī)劃錯(cuò)誤!未指定書簽。5.2.5可靠性設(shè)計(jì)規(guī)劃錯(cuò)誤!未指定書簽。5.2.6安全性設(shè)計(jì)規(guī)劃錯(cuò)誤!未指定書簽。5.3中型機(jī)構(gòu)基礎(chǔ)網(wǎng)絡(luò)業(yè)務(wù)方案錯(cuò)誤!未指定書簽。5.3.1數(shù)據(jù)業(yè)務(wù)規(guī)劃錯(cuò)誤!未指定書簽。5.3.2語音業(yè)務(wù)規(guī)劃錯(cuò)誤!未

7、指定書簽。5.3.3安全業(yè)務(wù)規(guī)劃錯(cuò)誤!未指定書簽。5.4中型機(jī)構(gòu)基礎(chǔ)網(wǎng)絡(luò)技術(shù)方案錯(cuò)誤!未指定書簽。VLAN設(shè)計(jì)錯(cuò)誤!未指定書簽。IP設(shè)計(jì)錯(cuò)誤!未指定書簽。DHCP設(shè)計(jì)錯(cuò)誤!未指定書簽。NAT設(shè)計(jì)錯(cuò)誤!未指定書簽。安全設(shè)計(jì)錯(cuò)誤!未指定書簽。遠(yuǎn)程接入設(shè)計(jì)錯(cuò)誤!未指定書簽。可靠性設(shè)計(jì)錯(cuò)誤!未指定書簽。網(wǎng)管設(shè)計(jì)錯(cuò)誤!未指定書簽。5.5中型機(jī)構(gòu)基礎(chǔ)網(wǎng)絡(luò)方案特點(diǎn)錯(cuò)誤!未指定書簽。中小型機(jī)構(gòu)高級(jí)安全解決方案錯(cuò)誤!未指定書簽。中小型機(jī)構(gòu)高級(jí)安全設(shè)計(jì)原則錯(cuò)誤!未指定書簽。中小型機(jī)構(gòu)高級(jí)安全業(yè)務(wù)方案錯(cuò)誤!未指定書簽。園區(qū)用戶接入安全業(yè)務(wù)規(guī)劃錯(cuò)誤!未指定書簽。遠(yuǎn)程分支用戶接入安全業(yè)務(wù)規(guī)劃錯(cuò)誤!未指定書簽。邊界安全業(yè)

8、務(wù)規(guī)劃錯(cuò)誤!未指定書簽。內(nèi)網(wǎng)審計(jì)業(yè)務(wù)規(guī)劃錯(cuò)誤!未指定書簽。中小型機(jī)構(gòu)高級(jí)安全技術(shù)方案錯(cuò)誤!未指定書簽。安全檢查設(shè)計(jì)錯(cuò)誤!未指定書簽。遠(yuǎn)程接入安全設(shè)計(jì)錯(cuò)誤!未指定書簽。防火墻設(shè)計(jì)錯(cuò)誤!未指定書簽。內(nèi)網(wǎng)安全設(shè)計(jì)錯(cuò)誤!未指定書簽。內(nèi)網(wǎng)審計(jì)設(shè)計(jì)錯(cuò)誤!未指定書簽。ARP防攻擊設(shè)計(jì)錯(cuò)誤!未指定書簽。中小型機(jī)構(gòu)高級(jí)安全方案特點(diǎn)錯(cuò)誤!未指定書簽。中小型機(jī)構(gòu)高級(jí)無線解決方案錯(cuò)誤!未指定書簽。中小型機(jī)構(gòu)高級(jí)無線設(shè)計(jì)原則錯(cuò)誤!未指定書簽。中小型機(jī)構(gòu)高級(jí)無線業(yè)務(wù)方案錯(cuò)誤!未指定書簽。7.2.1無線用戶接入業(yè)務(wù)規(guī)劃錯(cuò)誤!未指定書簽。無線語音終端用戶接入業(yè)務(wù)規(guī)劃錯(cuò)誤!未指定書簽。有線無線一體化接入業(yè)務(wù)規(guī)劃錯(cuò)誤!未指定書簽

9、。7.3中小型機(jī)構(gòu)高級(jí)無線技術(shù)方案錯(cuò)誤!未指定書簽。WLAN認(rèn)證設(shè)計(jì)錯(cuò)誤!未指定書簽。SSID與VLAN設(shè)計(jì)錯(cuò)誤!未指定書簽。DHCP設(shè)計(jì)vii射頻設(shè)計(jì)錯(cuò)誤!未指定書簽。WMM設(shè)計(jì)錯(cuò)誤!未指定書簽。頻點(diǎn)設(shè)計(jì)錯(cuò)誤!未指定書簽。覆蓋設(shè)計(jì)錯(cuò)誤!未指定書簽。鏈路預(yù)算設(shè)計(jì)錯(cuò)誤!未指定書簽。容量設(shè)計(jì)錯(cuò)誤!未指定書簽。7.4中小型機(jī)構(gòu)高級(jí)無線方案特點(diǎn)錯(cuò)誤!未指定書簽。中小型機(jī)構(gòu)高級(jí)語音解決方案錯(cuò)誤!未指定書簽。中小型機(jī)構(gòu)高級(jí)語音設(shè)計(jì)原則錯(cuò)誤!未指定書簽。中小型機(jī)構(gòu)高級(jí)語音業(yè)務(wù)方案錯(cuò)誤!未指定書簽。中型機(jī)構(gòu)分布式多分支語音業(yè)務(wù)規(guī)劃錯(cuò)誤!未指定書簽。小型機(jī)構(gòu)分布式多分支語音業(yè)務(wù)規(guī)劃錯(cuò)誤!未指定書簽。中小型機(jī)構(gòu)高

10、級(jí)語音技術(shù)方案錯(cuò)誤!未指定書簽。終端接入設(shè)計(jì)錯(cuò)誤!未指定書簽。網(wǎng)絡(luò)接入設(shè)計(jì)錯(cuò)誤!未指定書簽。號(hào)碼規(guī)劃設(shè)計(jì)41路由設(shè)計(jì)錯(cuò)誤!未指定書簽。語音業(yè)務(wù)設(shè)計(jì)錯(cuò)誤!未指定書簽。語音可靠性設(shè)計(jì)錯(cuò)誤!未指定書簽。8.3.7語音QoS設(shè)計(jì)錯(cuò)誤!未指定書簽。中小型機(jī)構(gòu)高級(jí)語音方案特點(diǎn)錯(cuò)誤!未指定書簽。中小企業(yè)典型應(yīng)用錯(cuò)誤!未指定書簽。經(jīng)濟(jì)性酒店解決方案錯(cuò)誤!未指定書簽。經(jīng)濟(jì)型酒店網(wǎng)絡(luò)規(guī)劃錯(cuò)誤!未指定書簽。核心層設(shè)計(jì)規(guī)劃錯(cuò)誤!未指定書簽。匯聚層設(shè)計(jì)規(guī)劃錯(cuò)誤!未定義書簽。接入層設(shè)計(jì)規(guī)劃錯(cuò)誤!未指定書簽。出口設(shè)計(jì)規(guī)劃錯(cuò)誤!未指定書簽。可靠性設(shè)計(jì)規(guī)劃錯(cuò)誤!未指定書簽。經(jīng)濟(jì)型酒店網(wǎng)絡(luò)方案錯(cuò)誤!未指定書簽。經(jīng)濟(jì)型酒店的網(wǎng)絡(luò)部

11、署錯(cuò)誤!未指定書簽。經(jīng)濟(jì)型酒店無線網(wǎng)絡(luò)部署方案錯(cuò)誤!未指定書簽。經(jīng)濟(jì)型酒店安全部署方案錯(cuò)誤!未指定書簽。9.3.4經(jīng)濟(jì)型酒店IP語音通信方案錯(cuò)誤!未指定書簽。9.4經(jīng)濟(jì)型酒店網(wǎng)絡(luò)方案特點(diǎn)錯(cuò)誤!未指定書簽設(shè)備說明錯(cuò)誤!未指定書簽。S9300系列錯(cuò)誤!未指定書簽。S7700系列錯(cuò)誤!未指定書簽。S5700系列錯(cuò)誤!未指定書簽。S3700系列錯(cuò)誤!未指定書簽。S2700系列錯(cuò)誤!未指定書簽。AR系列錯(cuò)誤!未指定書簽。防火墻系列錯(cuò)誤!未指定書簽部署注意事項(xiàng)錯(cuò)誤!未指定書簽。11導(dǎo)言中小企業(yè)解決方案概述當(dāng)前我國(guó)中小企業(yè)發(fā)展迅速，在國(guó)民經(jīng)濟(jì)和社會(huì)發(fā)展中的地位和作用與日增強(qiáng)，據(jù)統(tǒng)計(jì)中小企業(yè)占我國(guó)企業(yè)總數(shù)的9

12、9%以上，創(chuàng)造的產(chǎn)品和價(jià)值占GDP的60%,中小企業(yè)以其靈活的運(yùn)行機(jī)制和市場(chǎng)適應(yīng)能力成為推動(dòng)中國(guó)經(jīng)濟(jì)社會(huì)發(fā)展的重要力量。隨著信息化時(shí)代的不斷發(fā)展,中小企業(yè)追求更高效的溝通和交流管理方式,擴(kuò)大自身的生產(chǎn)運(yùn)營(yíng)規(guī)模,增強(qiáng)企業(yè)的市場(chǎng)競(jìng)爭(zhēng)力。這就要求以信息化為平臺(tái),以網(wǎng)絡(luò)為承載媒介,提高企業(yè)的運(yùn)作效率,降低運(yùn)營(yíng)成本,而網(wǎng)絡(luò)建設(shè)無疑是其中最基本也是最重要的一個(gè)環(huán)節(jié)。華為公司從經(jīng)濟(jì)角度和企業(yè)規(guī)模角度將中小企業(yè)分為微型機(jī)構(gòu)、小型機(jī)構(gòu)、中小型機(jī)構(gòu)和中型機(jī)構(gòu)四種基礎(chǔ)網(wǎng)絡(luò)架構(gòu),中小企業(yè)可以根據(jù)自身的實(shí)際需要選擇相應(yīng)的網(wǎng)絡(luò)建設(shè)方案。對(duì)于安全、無線接入、語音有特殊要求的中小企業(yè),華為公司提供高級(jí)安全解決方案、高級(jí)無線解

13、決方案和高級(jí)語音解決方案,并提供網(wǎng)絡(luò)管理解決方案,滿足不同層次中小企業(yè)的客戶需求,保證網(wǎng)絡(luò)建設(shè)質(zhì)量的同時(shí)最大程度的節(jié)省企業(yè)的投資成本。中小企業(yè)面臨的困難中小企業(yè)需要著重解決企業(yè)基礎(chǔ)網(wǎng)絡(luò)安全、業(yè)務(wù)部署靈活性和運(yùn)維壓力太大的問題，華為公司針對(duì)企業(yè)運(yùn)維痛點(diǎn)提供的解決方案包含用戶NAC(NetworkAccessControl)接入安全、園區(qū)邊界安全、分支與遠(yuǎn)程接入、端到端語音部署、端到端無線部署、網(wǎng)絡(luò)TOP0自動(dòng)發(fā)現(xiàn)、服務(wù)器遠(yuǎn)程監(jiān)控等方案，全面解決中小企業(yè)面臨的基礎(chǔ)網(wǎng)絡(luò)安全和運(yùn)維壓力。微型機(jī)構(gòu)基礎(chǔ)網(wǎng)絡(luò)解決方案微型機(jī)構(gòu)基礎(chǔ)網(wǎng)絡(luò)設(shè)計(jì)原則目前50%以上的企業(yè)屬于微型機(jī)構(gòu)，典型的微型機(jī)構(gòu)是小企業(yè)或大企業(yè)的分

14、支辦公室，這類機(jī)構(gòu)通常為050信息點(diǎn)構(gòu)成，因?yàn)槠髽I(yè)員工數(shù)量少，業(yè)務(wù)需求單一，對(duì)企業(yè)網(wǎng)絡(luò)有很高的經(jīng)濟(jì)性要求，對(duì)通信設(shè)備穩(wěn)定度要求不高，只需要基礎(chǔ)網(wǎng)絡(luò)能夠支撐工作基本需要的Email、打印、終端互聯(lián)即可。微型機(jī)構(gòu)基礎(chǔ)網(wǎng)絡(luò)場(chǎng)景以低端AR路由器為中心搭建公司網(wǎng)絡(luò)，AR承擔(dān)作為企業(yè)網(wǎng)關(guān)，并支持Web、打印、認(rèn)證、Email等業(yè)務(wù)接入，無線終端和有線終端的混合接入，同時(shí)AR路由器集成簡(jiǎn)單防火墻功能，提供邊界安全。企業(yè)可以通過增加低成本交換機(jī)擴(kuò)展接入范圍，以提升擴(kuò)展性。圖2-1微型機(jī)構(gòu)基礎(chǔ)網(wǎng)絡(luò)物理架構(gòu)微型機(jī)構(gòu)基礎(chǔ)網(wǎng)絡(luò)規(guī)劃2.2.1核心層設(shè)計(jì)規(guī)劃核心層用于轉(zhuǎn)發(fā)各部門之間的流量。考慮到企業(yè)初期建設(shè)成本，采用AR

15、200路由器作為核心層設(shè)備，與微型企業(yè)內(nèi)部服務(wù)器區(qū)、DMZ(DemilitarizedZone)區(qū)、Internet區(qū)和內(nèi)部業(yè)務(wù)區(qū)進(jìn)行互聯(lián)，支撐企業(yè)內(nèi)外部的業(yè)務(wù)流量。2.2.2接入層設(shè)計(jì)規(guī)劃接入層是最靠近用戶的網(wǎng)絡(luò)，為用戶提供各種接入方式，是終端、邊緣和IP電話等設(shè)備接入網(wǎng)絡(luò)的第一層。一般都部署二層設(shè)備，有線用戶通過S1700接入AR200，無線用戶通過AR200自帶的WLAN功能進(jìn)行無線接入。2.4.4NAT設(shè)計(jì)出口設(shè)計(jì)規(guī)劃微型機(jī)構(gòu)通過AR獲取公網(wǎng)地址，實(shí)現(xiàn)與WAN/Internet的互訪，可以采用設(shè)置IP靜態(tài)地址或PPP(Point-to-PointProtocol)動(dòng)態(tài)方式獲取公網(wǎng)地址。

16、2.2.4安全性設(shè)計(jì)規(guī)劃通過AR200集成防火墻功能解決如下安全問題：微型機(jī)構(gòu)內(nèi)、外網(wǎng)之間的訪問控制，實(shí)現(xiàn)微型機(jī)構(gòu)內(nèi)、外網(wǎng)的安全隔離。外派員工與微型機(jī)構(gòu)DMZ區(qū)的訪問控制，實(shí)現(xiàn)外派員工與內(nèi)網(wǎng)的安全隔離。微型機(jī)構(gòu)基礎(chǔ)網(wǎng)絡(luò)業(yè)務(wù)方案數(shù)據(jù)業(yè)務(wù)規(guī)劃有線用戶數(shù)據(jù)業(yè)務(wù)：S1700交換機(jī)作為二層接入設(shè)備，通過VLAN劃分用戶。AR路由器作為三層網(wǎng)關(guān)，通過DHCP(DynamicHostConfigurationProtoco1)方式為有線用戶分配IP地址。企業(yè)可以根據(jù)自身分區(qū)情況，劃分多個(gè)IP地址段。AR上行通過公網(wǎng)地址接入WAN/Internet網(wǎng)絡(luò)，通過AR做NAT,進(jìn)行私網(wǎng)地址到公網(wǎng)地址的轉(zhuǎn)換，實(shí)現(xiàn)有線

17、用戶與WAN/Internet網(wǎng)絡(luò)的互訪。無線用戶數(shù)據(jù)業(yè)務(wù)：AR作為胖AP,無線用戶通過PSK方式接入AR，AR路由器作為三層網(wǎng)關(guān)，通過DHCP方式為無線用戶分配IP地址。AR上行通過公網(wǎng)地址接入WAN/Internet網(wǎng)絡(luò)，通過AR做NAT，進(jìn)行私網(wǎng)地址到公網(wǎng)地址的轉(zhuǎn)換，實(shí)現(xiàn)無線用戶與WAN/Internet網(wǎng)絡(luò)的互訪。外派員工數(shù)據(jù)業(yè)務(wù)：外派員工通過IPSecVPN方式與微型機(jī)構(gòu)建立隧道，實(shí)現(xiàn)外派員工與微型機(jī)構(gòu)的互訪?？梢栽谕馀蓡T工的電腦中安裝硬件或通過純軟件方式來實(shí)現(xiàn)IPSecVPN功能。服務(wù)器數(shù)據(jù)業(yè)務(wù)：企業(yè)事先規(guī)劃好服務(wù)器區(qū)和DMZ的服務(wù)器地址，服務(wù)器使用靜態(tài)地址，內(nèi)部服務(wù)器區(qū)和DMZ區(qū)

18、的服務(wù)器以AR作為網(wǎng)關(guān)。語音業(yè)務(wù)規(guī)劃考慮到微型機(jī)構(gòu)人數(shù)有限，同城微型機(jī)構(gòu)建議AR作為AG場(chǎng)景應(yīng)用，用戶語音信息到總部注冊(cè)，由總部統(tǒng)一分配號(hào)碼及管理。異地微型機(jī)構(gòu)建議AR作為PBX(PrivateBranchExchange)場(chǎng)景應(yīng)用，用戶語音信息到PBX注冊(cè)，接入當(dāng)?shù)豍STN(PublicSwitchedTelephoneNetwork)網(wǎng)絡(luò)，具體內(nèi)容請(qǐng)參見錯(cuò)誤!未指定書簽。錯(cuò)誤!未指定書簽。安全業(yè)務(wù)規(guī)劃微型機(jī)構(gòu)通常人數(shù)有限，不建議對(duì)用戶接入進(jìn)行權(quán)限控制，如企業(yè)有特殊需求，可以采用華為公司NAC方案，具體內(nèi)容請(qǐng)參見錯(cuò)誤!未指定書簽。錯(cuò)誤!未指定書簽。微型機(jī)構(gòu)基礎(chǔ)網(wǎng)絡(luò)技術(shù)方案VLAN設(shè)計(jì)VLAN

19、是將LAN內(nèi)的設(shè)備邏輯地而不是物理地劃分為一個(gè)個(gè)網(wǎng)段，從而實(shí)現(xiàn)在一個(gè)LAN內(nèi)隔離廣播域的技術(shù)。既隔離了廣播域，減少了廣播風(fēng)暴，又增強(qiáng)了信息的安全性。VLAN通常根據(jù)業(yè)務(wù)需要進(jìn)行規(guī)劃，需要隔離的端口配置不同的VLAN,需要防止廣播域過大的地方配置VLAN用于減小廣播域。VLAN最好不要跨交換機(jī)，即使跨交換機(jī)，數(shù)目也需要限制。S1700根據(jù)接入位置為不同PC分配不同的VLAN，不同S1700交換機(jī)采用不同的VLAN，避免廣播域過大，利于問題及時(shí)定位。IP設(shè)計(jì)IP地址分為動(dòng)態(tài)IP與靜態(tài)IP的選取，原則上服務(wù)器、特殊終端設(shè)備建議采用靜態(tài)IP。辦公用設(shè)備建議使用DHCP動(dòng)態(tài)獲取(如辦公用PC等)。AR2

20、00上行優(yōu)選固定IP地址接入，其次選擇PPP方式接入。AR作為DHCP網(wǎng)關(guān)和DHCPServer，為有線、無線用戶分配私網(wǎng)IP地址。服務(wù)器采用靜態(tài)IP地址接入。DHCP設(shè)計(jì)DHCP部署的基本原則為固定IP地址段和動(dòng)態(tài)分配IP地址段保持連續(xù)，按照業(yè)務(wù)區(qū)域進(jìn)行DHCP地址的劃分，便于統(tǒng)一管理及問題定位。啟動(dòng)DHCP安全功能，禁止非法DHCPServer的架設(shè)和非法用戶的接入。AR作為DHCP網(wǎng)關(guān)和DHCPServer，為有線、無線用戶分配私網(wǎng)IP地址。有線用戶通過S1700交換機(jī)攜帶VLAN信息，AR終結(jié)VLAN并給有線用戶分配私網(wǎng)IP地址。無線用戶通過PSK方式接入AR,AR終結(jié)無線報(bào)文，作為無

21、線用戶網(wǎng)關(guān)分配私網(wǎng)IP地址。NAT(NetworkAddressTranslation)用于實(shí)現(xiàn)私有網(wǎng)絡(luò)和公有網(wǎng)絡(luò)之間的互訪。微型機(jī)構(gòu)內(nèi)部使用私有IP地址，微型機(jī)構(gòu)出口AR使用公網(wǎng)地址與外界通信，AR需要部署NAT特性，實(shí)現(xiàn)用戶側(cè)私網(wǎng)地址到網(wǎng)絡(luò)側(cè)公網(wǎng)地址的轉(zhuǎn)換，實(shí)現(xiàn)用戶與WAN/Internet的互訪。2.4.5安全設(shè)計(jì)AR部署防火墻功能，將WAN/Internet區(qū)域劃分為untrust區(qū)域，公用服務(wù)器區(qū)域劃分為DMZ區(qū)，其他區(qū)域劃分為trust區(qū)域。允許trust區(qū)域和DMZ區(qū)域互訪，允許untrust區(qū)域與DMZ區(qū)域互訪,不允許trust區(qū)域和untrust區(qū)域之間的直接互訪?；诎踩?/p>

22、慮，建議AR部署ARP(AddressResolutionProtocol)防攻擊功能，以防止非法的ARP報(bào)文對(duì)網(wǎng)絡(luò)的攻擊。遠(yuǎn)程接入設(shè)計(jì)微型機(jī)構(gòu)訪問WAN/Internet通過AR的NAT功能實(shí)現(xiàn)。外派員工通過IPSecVPN訪問微型機(jī)構(gòu)。建議采用ESP封裝模式，封裝新的IP報(bào)文頭并對(duì)原始數(shù)據(jù)報(bào)文進(jìn)行加密，更為安全。2.4.7網(wǎng)管設(shè)計(jì)AR和S1700交換機(jī)通過Web網(wǎng)管進(jìn)行配置管理及日常網(wǎng)絡(luò)維護(hù)。微型機(jī)構(gòu)基礎(chǔ)網(wǎng)絡(luò)方案特點(diǎn)高性價(jià)比：低投資、高性能、經(jīng)濟(jì)的網(wǎng)絡(luò)。簡(jiǎn)易性：結(jié)構(gòu)清晰、簡(jiǎn)單、安裝便捷，無需配置專職維護(hù)人員。綠色環(huán)保：全方位節(jié)能設(shè)計(jì)、無風(fēng)扇、省電無噪聲。小型機(jī)構(gòu)基礎(chǔ)網(wǎng)絡(luò)解決方案小型機(jī)構(gòu)基礎(chǔ)

23、網(wǎng)絡(luò)設(shè)計(jì)原則典型的小型機(jī)構(gòu)是小企業(yè)或大企業(yè)的分支辦公室，這類機(jī)構(gòu)通常由50100信息點(diǎn)構(gòu)成，因?yàn)槠髽I(yè)已經(jīng)達(dá)到一定規(guī)模，較大的業(yè)務(wù)量和員工數(shù)量都要求網(wǎng)絡(luò)具備更高的穩(wěn)定性，可擴(kuò)展性，安全性，同時(shí)畢竟企業(yè)規(guī)模沒有達(dá)到更大的規(guī)模，仍然需要網(wǎng)絡(luò)經(jīng)濟(jì)、簡(jiǎn)潔便于維護(hù)。小型機(jī)構(gòu)基礎(chǔ)網(wǎng)絡(luò)場(chǎng)景的方案特點(diǎn)以中低端交換機(jī)為中心搭建公司網(wǎng)絡(luò)交換平臺(tái)，該交換機(jī)作為中心匯聚點(diǎn)，通過其他低端交換機(jī)實(shí)現(xiàn)業(yè)務(wù)和終端的接入，并通過AR作為企業(yè)出口路由器，實(shí)現(xiàn)WAN和Internet互聯(lián)，AR路由器集成簡(jiǎn)單防火墻功能，提供邊界安全。圖3-1小型機(jī)構(gòu)基礎(chǔ)網(wǎng)絡(luò)物理架構(gòu)小型機(jī)構(gòu)基礎(chǔ)網(wǎng)絡(luò)規(guī)劃3.2.1核心層設(shè)計(jì)規(guī)劃核心層用于轉(zhuǎn)發(fā)各部門之間的

24、流量，采用AR1200路由器作為核心層出口設(shè)備，S3700系列交換機(jī)匯聚內(nèi)部服務(wù)器區(qū)和接入?yún)^(qū)流量，使內(nèi)部服務(wù)器區(qū)、DMZ區(qū)、Internet區(qū)和內(nèi)部業(yè)務(wù)區(qū)進(jìn)行互聯(lián)，支撐內(nèi)外部的業(yè)務(wù)流量。3.2.2接入層設(shè)計(jì)規(guī)劃接入層是最靠近用戶的網(wǎng)絡(luò)，為用戶提供各種接入方式，是終端、邊緣和IP電話等設(shè)備接入網(wǎng)絡(luò)的第一層，一般都部署二層設(shè)備。有線用戶通過S2700交換機(jī)接入、S3700交換機(jī)匯聚流量到AR1200進(jìn)行有線接入，無線用戶通過WA600系列胖AP進(jìn)行無線接入。出口設(shè)計(jì)規(guī)劃小型機(jī)構(gòu)通過AR獲取公網(wǎng)地址，實(shí)現(xiàn)與WAN/Internet的互訪，可以采用設(shè)置IP靜態(tài)地址或PPP動(dòng)態(tài)方式獲取公網(wǎng)地址。3.2.

25、4安全性設(shè)計(jì)規(guī)劃通過AR1200集成防火墻功能解決如下安全問題：小型機(jī)構(gòu)內(nèi)、外網(wǎng)之間的訪問控制，實(shí)現(xiàn)小型機(jī)構(gòu)內(nèi)、外網(wǎng)的安全隔離。外派員工與小型機(jī)構(gòu)DMZ區(qū)的訪問控制，實(shí)現(xiàn)外派員工與內(nèi)網(wǎng)的安全隔離。小型機(jī)構(gòu)基礎(chǔ)網(wǎng)絡(luò)業(yè)務(wù)方案數(shù)據(jù)業(yè)務(wù)規(guī)劃有線用戶數(shù)據(jù)業(yè)務(wù)：S2700交換機(jī)作為二層接入設(shè)備，通過VLAN劃分用戶。S3700交換機(jī)作為匯聚交換機(jī)聚合各接入交換機(jī)上送的VLAN流量到AR1200，AR1200通過DHCP方式為有線用戶分配IP地址。企業(yè)可以根據(jù)自身分區(qū)情況，劃分多個(gè)IP地址段。AR1200上行通過公網(wǎng)地址接入WAN/Internet網(wǎng)絡(luò)，通過AR做NAT，進(jìn)行私網(wǎng)地址到公網(wǎng)地址的轉(zhuǎn)換，實(shí)現(xiàn)有

26、線用戶與WAN/Internet網(wǎng)絡(luò)的互訪。無線用戶數(shù)據(jù)業(yè)務(wù)：WA600系列AP作為胖AP，無線用戶通過PSK方式接入WA600系列AP，AR1200作為三層網(wǎng)關(guān)，通過DHCP方式為無線用戶分配IP地址。AR1200上行通過公網(wǎng)地址接入WAN/Internet網(wǎng)絡(luò)，通過AR1200做NAT，進(jìn)行私網(wǎng)地址到公網(wǎng)地址的轉(zhuǎn)換,實(shí)現(xiàn)無線用戶與WAN/Internet網(wǎng)絡(luò)的互訪。外派員工數(shù)據(jù)業(yè)務(wù)：外派員工通過IPSecVPN方式與小型機(jī)構(gòu)建立隧道，實(shí)現(xiàn)外派員工與小型機(jī)構(gòu)的互訪?？梢栽谕馀蓡T工的電腦中安裝硬件或通過純軟件方式來實(shí)現(xiàn)IPSecVPN功能。服務(wù)器數(shù)據(jù)業(yè)務(wù)：企業(yè)事先規(guī)劃好服務(wù)器區(qū)和DMZ的服務(wù)器

27、地址，服務(wù)器使用靜態(tài)地址，S2700交換機(jī)作為二層接入設(shè)備，通過VLAN劃分服務(wù)器，內(nèi)部服務(wù)器區(qū)和DMZ區(qū)的服務(wù)器以AR1200作為網(wǎng)關(guān)。語音業(yè)務(wù)規(guī)劃基于小型機(jī)構(gòu)人數(shù)規(guī)模，如果總部需要對(duì)小型機(jī)構(gòu)進(jìn)行控制，則AR作為AG場(chǎng)景應(yīng)用，用戶語音信息到總部注冊(cè)，由總部統(tǒng)一分配號(hào)碼及管理，可以由總部提供豐富的語音業(yè)務(wù)，但是會(huì)增加總部的負(fù)荷。如果小型機(jī)構(gòu)需要自行進(jìn)行控制，則AR作為PBX場(chǎng)景應(yīng)用，用戶語音信息到AR注冊(cè)，由AR統(tǒng)一分配號(hào)碼及管理，減輕了總部的負(fù)荷，但是無法使用總部提供的豐富的語音業(yè)務(wù)。具體內(nèi)容請(qǐng)參見錯(cuò)誤!未指定書簽。錯(cuò)誤!未指定書簽。安全業(yè)務(wù)規(guī)劃如果需要對(duì)用戶的接入安全進(jìn)行控制，則建議部署N

28、AC方案?？梢圆捎迷赟2700交換機(jī)上部署802.1X認(rèn)證或者在AR上部署Portal認(rèn)證的方式，均可以實(shí)現(xiàn)對(duì)用戶接入的安全控制，具體內(nèi)容請(qǐng)參見錯(cuò)誤!未指定書簽。錯(cuò)誤!未指定書簽。小型機(jī)構(gòu)基礎(chǔ)網(wǎng)絡(luò)技術(shù)方案VLAN設(shè)計(jì)VLAN是將LAN內(nèi)的設(shè)備邏輯地而不是物理地劃分為一個(gè)個(gè)網(wǎng)段，從而實(shí)現(xiàn)在一個(gè)LAN內(nèi)隔離廣播域的技術(shù)。VLAN技術(shù)既隔離了廣播域，減少了廣播風(fēng)暴，又增強(qiáng)了信息的安全性。VLAN通常根據(jù)業(yè)務(wù)需要進(jìn)行規(guī)劃，需要隔離的端口配置不同的VLAN，需要防止廣播域過大的地方配置VLAN用于減小廣播域。VLAN最好不要跨交換機(jī)，即使跨交換機(jī)，數(shù)目也需要限制。S2700根據(jù)接入位置為不同PC分配不同

29、的VLAN，不同S2700交換機(jī)采用不同的VLAN，避免廣播域過大，利于問題及時(shí)定位。S3700交換機(jī)匯聚S2700交換機(jī)的VLAN信息，透?jìng)鹘oAR1200設(shè)備，實(shí)現(xiàn)VLAN的終結(jié)。IP設(shè)計(jì)IP地址分為動(dòng)態(tài)IP與靜態(tài)IP的選取，原則上服務(wù)器、特殊終端設(shè)備建議采用靜態(tài)IP。辦公用設(shè)備建議使用DHCP動(dòng)態(tài)獲取如辦公用PC等。AR1200上行優(yōu)選固定IP地址接入，其次選擇PPP方式接入。AR1200作為DHCP網(wǎng)關(guān)和DHCPServer，為有線、無線用戶分配私網(wǎng)IP地址。服務(wù)器采用靜態(tài)IP地址接入。DHCP設(shè)計(jì)DHCP部署基本原則為固定IP地址段和動(dòng)態(tài)分配IP地址段保持連續(xù)，按照業(yè)務(wù)區(qū)域進(jìn)行DHCP

30、地址的劃分，便于統(tǒng)一管理及問題定位。啟動(dòng)DHCP安全功能，禁止非法DHCPServer的架設(shè)和非法用戶的接入。AR1200作為DHCP網(wǎng)關(guān)和DHCPServer，為有線、無線用戶分配私網(wǎng)IP地址。有線用戶通過S2700交換機(jī)攜帶VLAN信息，S3700交換機(jī)聚合S2700交換機(jī)上送的VLAN流量到AR1200，AR1200終結(jié)VLAN后給有線用戶分配私網(wǎng)IP地址。無線用戶通過PSK方式接入WA600系列AP,WA600系列AP終結(jié)無線報(bào)文，二層透?jìng)鳠o線用戶的DHCP請(qǐng)求報(bào)文,AR1200終結(jié)VLAN后給無線用戶分配私網(wǎng)IP地址。NAT設(shè)計(jì)NAT稱為網(wǎng)絡(luò)地址轉(zhuǎn)換，用于實(shí)現(xiàn)私有網(wǎng)絡(luò)和公有網(wǎng)絡(luò)之間的

31、互訪。小型機(jī)構(gòu)內(nèi)部使用私有IP地址,小型機(jī)構(gòu)出口AR使用公網(wǎng)地址與外界通信，AR需要部署NAT特性，實(shí)現(xiàn)用戶側(cè)私網(wǎng)地址到網(wǎng)絡(luò)側(cè)公網(wǎng)地址的轉(zhuǎn)換，實(shí)現(xiàn)用戶與WAN/Internet的互訪。3.4.5安全設(shè)計(jì)AR部署防火墻功能，將WAN/Internet區(qū)域劃分為untrust區(qū)域，公用服務(wù)器區(qū)域劃分為DMZ區(qū)，其他區(qū)域劃分為trust區(qū)域。允許trust區(qū)域和DMZ區(qū)域互訪，允許untrust區(qū)域與DMZ區(qū)域互訪,不允許trust區(qū)域和untrust區(qū)域之間直接互訪?；诎踩紤]，建議AR部署ARP防攻擊功能，接入交換機(jī)部署DHCPSnooping功能，以防止非法的ARP報(bào)文對(duì)網(wǎng)絡(luò)的攻擊。遠(yuǎn)程接入

32、設(shè)計(jì)小型機(jī)構(gòu)訪問WAN/Internet通過AR的NAT功能實(shí)現(xiàn)。外派員工通過IPSecVPN訪問小型機(jī)構(gòu)。建議采用ESP封裝模式，封裝新的IP報(bào)文頭并對(duì)原始數(shù)據(jù)報(bào)文進(jìn)行加密，更為安全。3.4.7網(wǎng)管設(shè)計(jì)部署eSight網(wǎng)管系統(tǒng)進(jìn)行日常網(wǎng)絡(luò)維護(hù)。小型機(jī)構(gòu)基礎(chǔ)網(wǎng)絡(luò)方案特點(diǎn)可擴(kuò)展：低投資、高性能，靈活網(wǎng)絡(luò)架構(gòu)易擴(kuò)展，保護(hù)已有投資。易維護(hù)：扁平網(wǎng)絡(luò)，層次少，簡(jiǎn)易網(wǎng)管配置簡(jiǎn)單，無需專職網(wǎng)管人員。區(qū)域劃分清晰：部門間物理/邏輯隔離，保證業(yè)務(wù)安全，易排錯(cuò)。綠色節(jié)能：綠色節(jié)能、無噪音。44中小型機(jī)構(gòu)基礎(chǔ)網(wǎng)絡(luò)解決方案中小型機(jī)構(gòu)基礎(chǔ)網(wǎng)絡(luò)設(shè)計(jì)原則中小型機(jī)構(gòu)通常為100300信息點(diǎn)。中小型機(jī)構(gòu)基礎(chǔ)網(wǎng)絡(luò)場(chǎng)景的方案特點(diǎn)

33、是期待語音、數(shù)據(jù)、安全、移動(dòng)業(yè)務(wù)豐富，希望獲得一體化方案、一站式服務(wù)。中小型企業(yè)的組網(wǎng)結(jié)構(gòu)和小型企業(yè)類似，但因?yàn)槠髽I(yè)規(guī)模的進(jìn)一步擴(kuò)大，有更強(qiáng)的企業(yè)內(nèi)部互聯(lián)以及企業(yè)出口的要求，對(duì)網(wǎng)絡(luò)可靠性、可擴(kuò)展性、安全性有一定的要求。這些要求體現(xiàn)在設(shè)備上，就是需要功能更強(qiáng)的AR作為企業(yè)出口路由器、需要通過鏈路備份機(jī)制提高可靠性、通過中心交換機(jī)的雙備份以及流量分擔(dān)。圖4-1中小型機(jī)構(gòu)基礎(chǔ)網(wǎng)絡(luò)物理架構(gòu)中小型機(jī)構(gòu)基礎(chǔ)網(wǎng)絡(luò)規(guī)劃4.2.1核心層設(shè)計(jì)規(guī)劃核心層用于轉(zhuǎn)發(fā)各部門之間的流量，采用AR1200/AR2200路由器作為核心層出口設(shè)備，S5700系列交換機(jī)匯聚內(nèi)部服務(wù)器區(qū)、DMZ區(qū)和接入?yún)^(qū)流量，使內(nèi)部服務(wù)器區(qū)、DMZ

34、區(qū)、Internet區(qū)和內(nèi)部業(yè)務(wù)區(qū)進(jìn)行互聯(lián),支撐內(nèi)外部的業(yè)務(wù)流量。4.2.2接入層設(shè)計(jì)規(guī)劃接入層是最靠近用戶的網(wǎng)絡(luò)，為用戶提供各種接入方式，是終端、邊緣和IP電話等設(shè)備接入網(wǎng)絡(luò)的第一層，一般都部署二層設(shè)備。有線用戶通過S2700交換機(jī)接入,S5700交換機(jī)匯聚S2700交換機(jī)上送的VLAN流量到AR1200/AR2200進(jìn)行有線接入。無線用戶通過WA600系列胖AP進(jìn)行無線接入。出口設(shè)計(jì)規(guī)劃中小型機(jī)構(gòu)通過AR獲取公網(wǎng)地址，實(shí)現(xiàn)與WAN/Internet的互訪，可以采用設(shè)置IP靜態(tài)地址或PPP動(dòng)態(tài)方式獲取公網(wǎng)地址。4.2.4可靠性設(shè)計(jì)規(guī)劃AR上行采用WAN和3G鏈路備份方式，以WAN側(cè)鏈路為主用

35、鏈路，3G鏈路平時(shí)不使用，僅作為備份。S5700交換機(jī)采用堆疊技術(shù)，將多臺(tái)S5700交換機(jī)虛擬化為1臺(tái)設(shè)備，一旦主用S5700交換機(jī)出現(xiàn)故障后，其他交換機(jī)能立即接替其成為主用交換機(jī)。4.2.5安全性設(shè)計(jì)規(guī)劃通過AR1200/AR2200集成防火墻功能解決如下安全問題：中小型機(jī)構(gòu)內(nèi)、外網(wǎng)之間的訪問控制，實(shí)現(xiàn)中小型機(jī)構(gòu)內(nèi)、外網(wǎng)的安全隔離。外派員工與中小型機(jī)構(gòu)DMZ區(qū)的訪問控制，實(shí)現(xiàn)外派員工與內(nèi)網(wǎng)的安全隔離。中小型機(jī)構(gòu)基礎(chǔ)網(wǎng)絡(luò)業(yè)務(wù)方案數(shù)據(jù)業(yè)務(wù)規(guī)劃有線用戶數(shù)據(jù)業(yè)務(wù)：S2700交換機(jī)作為二層接入設(shè)備，通過VLAN劃分用戶。S5700交換機(jī)作為匯聚交換機(jī)聚合各接入交換機(jī)的VLAN流量，AR1200/AR2

36、200通過DHCP方式為有線用戶分配IP地址。企業(yè)可以根據(jù)自身分區(qū)情況，劃分多個(gè)IP地址段。AR1200/AR2200上行通過公網(wǎng)地址接入WAN/Internet、3G網(wǎng)絡(luò)，通過AR1200/AR2200做NAT，進(jìn)行私網(wǎng)地址到公網(wǎng)地址的轉(zhuǎn)換，實(shí)現(xiàn)有線用戶與WAN/Internet網(wǎng)絡(luò)的互訪。無線用戶數(shù)據(jù)業(yè)務(wù)：WA600系列AP作為胖AP,無線用戶通過PSK方式接入WA600系列AP，AR1200/AR2200作為三層網(wǎng)關(guān)，通過DHCP方式為無線用戶分配IP地址。AR1200/AR2200上行通過公網(wǎng)地址接入WAN/Internet網(wǎng)絡(luò)，通過AR1200/AR2200做NAT,進(jìn)行私網(wǎng)地址到公

37、網(wǎng)地址的轉(zhuǎn)換，實(shí)現(xiàn)無線用戶與WAN/Internet網(wǎng)絡(luò)的互訪。外派員工數(shù)據(jù)業(yè)務(wù)：外派員工通過IPSecVPN方式與中小型機(jī)構(gòu)建立隧道，實(shí)現(xiàn)外派員工與中小型機(jī)構(gòu)的互訪?？梢栽谕馀蓡T工的電腦中安裝硬件或通過純軟件方式來實(shí)現(xiàn)IPSecVPN功能。服務(wù)器數(shù)據(jù)業(yè)務(wù)：企業(yè)事先規(guī)劃好服務(wù)器區(qū)和DMZ的服務(wù)器地址，服務(wù)器使用靜態(tài)地址。S2700交換機(jī)作為二層接入設(shè)備，通過VLAN劃分服務(wù)器，內(nèi)部服務(wù)器區(qū)和DMZ區(qū)的服務(wù)器以AR1200/AR2200作為網(wǎng)關(guān)。語音業(yè)務(wù)規(guī)劃基于中小型機(jī)構(gòu)人數(shù)規(guī)模，如果總部需要對(duì)中小型機(jī)構(gòu)進(jìn)行控制，則AR作為AG場(chǎng)景應(yīng)用，用戶語音信息到總部注冊(cè)，由總部統(tǒng)一分配號(hào)碼及管理，可以由總

38、部提供豐富的語音業(yè)務(wù)，但是會(huì)增加總部的負(fù)荷。如果中小型需要自行進(jìn)行控制，則AR作為PBX場(chǎng)景應(yīng)用，用戶語音信息到AR注冊(cè)，由AR統(tǒng)一分配號(hào)碼及管理，減輕了總部的負(fù)荷，但是無法使用總部提供的豐富的語音業(yè)務(wù)。具體內(nèi)容請(qǐng)參見錯(cuò)誤!未指定書簽。錯(cuò)誤!未指定書簽。安全業(yè)務(wù)規(guī)劃如果需要對(duì)用戶的接入安全進(jìn)行控制，則建議部署NAC方案?？梢圆捎迷赟27系列交換機(jī)上部署802.1X認(rèn)證或者在AR上部署Portal認(rèn)證的方式，均可以實(shí)現(xiàn)對(duì)用戶接入的安全控制，具體內(nèi)容請(qǐng)參見錯(cuò)誤!未指定書簽。錯(cuò)誤!未指定書簽。中小型機(jī)構(gòu)基礎(chǔ)網(wǎng)絡(luò)技術(shù)方案VLAN設(shè)計(jì)VLAN是將LAN內(nèi)的設(shè)備邏輯地而不是物理地劃分為一個(gè)個(gè)網(wǎng)段，從而實(shí)現(xiàn)

39、在一個(gè)LAN內(nèi)隔離廣播域的技術(shù)。VLAN技術(shù)既隔離了廣播域，減少了廣播風(fēng)暴，又增強(qiáng)了信息的安全性。VLAN通常根據(jù)業(yè)務(wù)需要進(jìn)行規(guī)劃，需要隔離的端口配置不同的VLAN,需要防止廣播域過大的地方配置VLAN用于減小廣播域。VLAN最好不要跨交換機(jī)，即使跨交換機(jī)數(shù)目也需要限制。S2700根據(jù)接入位置為不同PC分配不同的VLAN，不同S2700交換機(jī)采用不同的VLAN，避免廣播域過大，利于問題及時(shí)定位。S5700交換機(jī)匯聚S2700交換機(jī)的VLAN信息，透?jìng)鹘oAR1200/AR2200設(shè)備，實(shí)現(xiàn)VLAN的終結(jié)。IP設(shè)計(jì)IP地址分為動(dòng)態(tài)IP與靜態(tài)IP的選取，原則上服務(wù)器、特殊終端設(shè)備建議采用靜態(tài)IP。辦

40、公用設(shè)備建議使用DHCP動(dòng)態(tài)獲?。ㄈ甾k公用PC等）。AR1200/AR2200上行優(yōu)選固定IP地址接入，其次選擇PPP方式接入。AR1200/AR2200作為DHCP網(wǎng)關(guān)和DHCPServer，為有線、無線用戶分配私網(wǎng)IP地址。服務(wù)器采用靜態(tài)IP地址接入。DHCP設(shè)計(jì)DHCP部署基本原則為固定IP地址段和動(dòng)態(tài)分配IP地址段保持連續(xù)，按照業(yè)務(wù)區(qū)域進(jìn)行DHCP地址的劃分，便于統(tǒng)一管理及問題定位。啟動(dòng)DHCP安全功能，禁止非法DHCPServer的架設(shè)和非法用戶的接入。AR1200/AR2200作為DHCP網(wǎng)關(guān)和DHCPServer，為有線、無線用戶分配私網(wǎng)IP地址。有線用戶通過S2700交換機(jī)攜帶

41、VLAN信息,S5700交換機(jī)匯聚S2700上送的VLAN流量AR1200/AR2200,AR1200/AR2200終結(jié)VLAN并給有線用戶分配私網(wǎng)IP地址。無線用戶通過PSK方式接入WA600系列AP,WA600系列AP終結(jié)無線報(bào)文，二層透?jìng)鳠o線用戶的DHCP請(qǐng)求報(bào)文，AR1200/AR2200終結(jié)VLAN后給無線用戶分配私網(wǎng)IP地址。NAT設(shè)計(jì)NAT稱為網(wǎng)絡(luò)地址轉(zhuǎn)換，用于實(shí)現(xiàn)私有網(wǎng)絡(luò)和公有網(wǎng)絡(luò)之間的互訪。AR部署NAT特性，實(shí)現(xiàn)用戶側(cè)私網(wǎng)地址到網(wǎng)絡(luò)側(cè)公網(wǎng)地址的轉(zhuǎn)換，實(shí)現(xiàn)用戶與WAN/Internet的互訪。在中小型機(jī)構(gòu)基礎(chǔ)網(wǎng)絡(luò)場(chǎng)景中，WAN側(cè)和3G側(cè)都需要部署NAT特性，以防止某側(cè)鏈路出現(xiàn)

42、故障后仍能實(shí)現(xiàn)私網(wǎng)地址到公網(wǎng)地址的轉(zhuǎn)換。4.4.5安全設(shè)計(jì)AR部署防火墻功能，將WAN/Internet區(qū)域、3G區(qū)域劃分為untrust區(qū)域，公用服務(wù)器區(qū)域劃分為DMZ區(qū)，其他區(qū)域劃分為trust區(qū)域。允許trust區(qū)域和DMZ區(qū)域互訪，允許untrust區(qū)域與DMZ區(qū)域互訪，不允許trust區(qū)域和untrust區(qū)域之間直接互訪?；诎踩紤]，建議AR部署ARP防攻擊功能，接入交換機(jī)部署DHCPSnooping功能，以防止非法的ARP報(bào)文對(duì)網(wǎng)絡(luò)的攻擊。遠(yuǎn)程接入設(shè)計(jì)中小型機(jī)構(gòu)訪問WAN/Internet通過AR的NAT功能實(shí)現(xiàn)。外派員工通過IPSecVPN訪問中小型機(jī)構(gòu)。建議采用ESP封裝模式

43、，封裝新的IP報(bào)文頭并對(duì)原始數(shù)據(jù)報(bào)文進(jìn)行加密，更為安全?？煽啃栽O(shè)計(jì)鏈路備份設(shè)計(jì)：AR上行采用WAN和3G鏈路備份方式，以WAN側(cè)鏈路為主用鏈路，3G鏈路平時(shí)不使用，僅作為備份。一旦WAN側(cè)鏈路發(fā)生故障，則AR自動(dòng)切換到3G鏈路，從3G鏈路獲取公網(wǎng)地址后進(jìn)行NAT轉(zhuǎn)換，實(shí)現(xiàn)中小型機(jī)構(gòu)與網(wǎng)絡(luò)側(cè)的訪問。考慮到WAN側(cè)鏈路比3G鏈路安全性高，不受天氣影響，WAN鏈路帶寬也優(yōu)于3G鏈路，建議當(dāng)WAN側(cè)鏈路恢復(fù)后，采用AR自動(dòng)回切功能，將使用的3G鏈路拆掉，重新切換到WAN側(cè)鏈路。設(shè)備備份設(shè)計(jì)：S5700交換機(jī)作為匯聚設(shè)備，一旦出現(xiàn)故障將導(dǎo)致所有用戶均無法訪問網(wǎng)絡(luò)側(cè)，在中小型機(jī)構(gòu)中建議S5700交換機(jī)采用

44、堆疊技術(shù)，將多臺(tái)S5700交換機(jī)虛擬化為1臺(tái)設(shè)備，一旦主用S5700交換機(jī)出現(xiàn)故障后，其他交換機(jī)能立即接替其成為主用交換機(jī)，確保中小型機(jī)構(gòu)網(wǎng)絡(luò)業(yè)務(wù)的正常運(yùn)行。4.4.8網(wǎng)管設(shè)計(jì)部署eSight網(wǎng)管系統(tǒng)進(jìn)行日常網(wǎng)絡(luò)維護(hù)。中小型機(jī)構(gòu)基礎(chǔ)網(wǎng)絡(luò)方案特點(diǎn)可擴(kuò)展：低投資、高性能，靈活網(wǎng)絡(luò)架構(gòu)，隨時(shí)擴(kuò)展語音、無線，保護(hù)已有投資易維護(hù)：通過免費(fèi)網(wǎng)管簡(jiǎn)單配置，無需專職網(wǎng)管人員?？煽啃愿撸汉诵膮R聚采用堆疊，AR路由器采用3G鏈路備份，網(wǎng)絡(luò)層次少，維護(hù)簡(jiǎn)單，可靠性高。中型機(jī)構(gòu)基礎(chǔ)網(wǎng)絡(luò)解決方案中型機(jī)構(gòu)基礎(chǔ)網(wǎng)絡(luò)設(shè)計(jì)原則中型機(jī)構(gòu)通常為3001000信息點(diǎn)。中型機(jī)構(gòu)基礎(chǔ)網(wǎng)絡(luò)場(chǎng)景的方案特點(diǎn)是期待語音、數(shù)據(jù)、安全、移動(dòng)業(yè)務(wù)豐富

45、，希望獲得一體化方案、一站式服務(wù)。并且對(duì)網(wǎng)絡(luò)安全要求更高，需要配置專業(yè)的防火墻設(shè)備提升安全性和遠(yuǎn)程接入能力。中型企業(yè)的組網(wǎng)結(jié)構(gòu)和中小型企業(yè)類似，但因?yàn)槠髽I(yè)規(guī)模的進(jìn)一步擴(kuò)大，有更強(qiáng)的企業(yè)內(nèi)部互聯(lián)以及企業(yè)出口的要求，對(duì)網(wǎng)絡(luò)可靠性、可擴(kuò)展性、安全性的要求更高。這些要求體現(xiàn)在設(shè)備上，就是需要功能更強(qiáng)的AR作為企業(yè)出口路由器、需要專業(yè)的防火墻設(shè)備、需要通過內(nèi)置AC5.2.6安全性設(shè)計(jì)規(guī)劃5.2.6安全性設(shè)計(jì)規(guī)劃完成對(duì)無線用戶的接入控制管理、通過匯聚交換機(jī)的雙備份以及流量分圖5-1中型機(jī)構(gòu)基礎(chǔ)網(wǎng)絡(luò)物理架構(gòu)中型機(jī)構(gòu)基礎(chǔ)網(wǎng)絡(luò)規(guī)劃5.2.1核心層設(shè)計(jì)規(guī)劃核心層用于轉(zhuǎn)發(fā)各部門之間的流量，采用AR3200路由器作為

46、核心層出口設(shè)備，S7700系列交換機(jī)匯聚內(nèi)部服務(wù)器區(qū)、DMZ區(qū)和接入?yún)^(qū)流量，使內(nèi)部服務(wù)器區(qū)、DMZ區(qū)、Internet區(qū)和內(nèi)部業(yè)務(wù)區(qū)進(jìn)行互聯(lián)，支撐內(nèi)外部的業(yè)務(wù)流量。核心層部署專業(yè)防火墻設(shè)備，實(shí)現(xiàn)安全防護(hù)的同時(shí)也作為遠(yuǎn)程接入VPN的網(wǎng)關(guān)，實(shí)現(xiàn)外派員工與中型機(jī)構(gòu)的互訪。5.2.2匯聚層設(shè)計(jì)規(guī)劃匯聚層是部門的核心，轉(zhuǎn)發(fā)部門用戶間的“橫向”流量。同時(shí)提供到核心層的“縱向”流量。S5700系列交換機(jī)匯聚S2700交換機(jī)上送的業(yè)務(wù)流量，用于支撐該匯聚層下各業(yè)務(wù)部門之間的互訪。5.2.3接入層設(shè)計(jì)規(guī)劃接入層是最靠近用戶的網(wǎng)絡(luò)，為用戶提供各種接入方式，是終端、邊緣和IP電話等設(shè)備接入網(wǎng)絡(luò)的第一層，一般都部署二

47、層設(shè)備。有線用戶通過S2700交換機(jī)接入;無線用戶通過WA600系列胖AP進(jìn)行無線接入。出口設(shè)計(jì)規(guī)劃中型機(jī)構(gòu)通過AR獲取公網(wǎng)地址，實(shí)現(xiàn)與WAN/Internet的互訪，可以采用設(shè)置IP靜態(tài)地址或PPP動(dòng)態(tài)方式獲取公網(wǎng)地址。5.2.5可靠性設(shè)計(jì)規(guī)劃AR上行采用WAN和3G鏈路備份方式，以WAN側(cè)鏈路為主用鏈路，3G鏈路平時(shí)不使用，僅作為備份。S57系列交換機(jī)采用堆疊技術(shù)，將多臺(tái)S57系列交換機(jī)虛擬化為1臺(tái)設(shè)備，一旦主用S57系列交換機(jī)出現(xiàn)故障后，其他交換機(jī)能立即接替其成為主用交換機(jī)。通過E系列專業(yè)防火墻功能解決如下安全問題：5.3.3安全業(yè)務(wù)規(guī)劃5.3.3安全業(yè)務(wù)規(guī)劃中型機(jī)構(gòu)內(nèi)、外網(wǎng)之間的訪問控

48、制，實(shí)現(xiàn)中型機(jī)構(gòu)內(nèi)、外網(wǎng)的安全隔離。外派員工與中型機(jī)構(gòu)DMZ區(qū)的訪問控制，實(shí)現(xiàn)外派員工與內(nèi)網(wǎng)的安全隔離。中型機(jī)構(gòu)基礎(chǔ)網(wǎng)絡(luò)業(yè)務(wù)方案數(shù)據(jù)業(yè)務(wù)規(guī)劃有線用戶數(shù)據(jù)業(yè)務(wù)：S2700交換機(jī)作為二層接入設(shè)備，通過VLAN劃分用戶。S5700交換機(jī)作為匯聚交換機(jī)聚合S2700上送的VLAN流量，S7700交換機(jī)通過DHCP方式為有線用戶分配IP地址。企業(yè)可以根據(jù)自身分區(qū)情況，劃分多個(gè)IP地址段。S7700交換機(jī)通過靜態(tài)路由與AR3200互通，AR3200上行通過公網(wǎng)地址接入WAN/Internet網(wǎng)絡(luò)，通過AR3200做NAT，進(jìn)行私網(wǎng)地址到公網(wǎng)地址的轉(zhuǎn)換，實(shí)現(xiàn)有線用戶與WAN/Internet網(wǎng)絡(luò)的互訪。無線

49、用戶數(shù)據(jù)業(yè)務(wù)：WA600系列AP作為瘦AP，S7700交換機(jī)內(nèi)置AC板卡，與WA600系列AP建立CAPWAP隧道，無線用戶通過PSK方式接入S7700交換機(jī)，S7700交換機(jī)作為三層網(wǎng)關(guān)，通過DHCP方式為無線用戶分配IP地址。AR3200上行通過公網(wǎng)地址接入WAN/Internet網(wǎng)絡(luò)，通過AR3200做NAT,進(jìn)行私網(wǎng)地址到公網(wǎng)地址的轉(zhuǎn)換，實(shí)現(xiàn)無線用戶與WAN/Internet網(wǎng)絡(luò)的互訪。具體內(nèi)容請(qǐng)參見錯(cuò)誤!未指定書簽。錯(cuò)誤!未指定書簽。外派員工數(shù)據(jù)業(yè)務(wù)：防火墻需要支持NAT穿越，AR3200做NAT轉(zhuǎn)換，實(shí)現(xiàn)IPSecVPN的NAT穿越。外派員工通過IPSecVPN方式與中型機(jī)構(gòu)的防火

50、墻建立隧道，實(shí)現(xiàn)外派員工與中型機(jī)構(gòu)的互訪?？梢栽谕馀蓡T工的電腦中安裝硬件或通過純軟件方式來實(shí)現(xiàn)IPSecVPN功能。企業(yè)出差用戶也可以通過SSLVPN方式訪問中型機(jī)構(gòu)，可以在防火墻部署SSLVPN功能，實(shí)現(xiàn)外派員工的訪問需求。服務(wù)器數(shù)據(jù)業(yè)務(wù)：企業(yè)事先規(guī)劃好服務(wù)器區(qū)和DMZ的服務(wù)器地址，服務(wù)器使用靜態(tài)地址。S2700交換機(jī)作為二層接入設(shè)備，通過VLAN劃分服務(wù)器，內(nèi)部服務(wù)器區(qū)和DMZ區(qū)的服務(wù)器以S7700交換機(jī)作為網(wǎng)關(guān)。語音業(yè)務(wù)規(guī)劃基于中型機(jī)構(gòu)人數(shù)規(guī)模，建議中型機(jī)構(gòu)自行進(jìn)行控制，AR作為PBX場(chǎng)景應(yīng)用，用戶語音信息到AR注冊(cè)，由AR統(tǒng)一分配號(hào)碼及管理。具體內(nèi)容請(qǐng)參見錯(cuò)誤!未指定書簽。錯(cuò)誤!未指定

51、書簽。如果需要對(duì)用戶的接入安全進(jìn)行控制，則建議部署NAC方案。有線用戶可以采用在S2700交換機(jī)上部署802.1X認(rèn)證或者在S77系列交換機(jī)上部署Portal認(rèn)證的方式，無線用戶可以采用在S77系列交換機(jī)上部署Portal認(rèn)證的方式，均可以實(shí)現(xiàn)對(duì)用戶接入的安全控制，具體內(nèi)容請(qǐng)參見錯(cuò)誤!未指定書簽。錯(cuò)誤!未指定書簽。中型機(jī)構(gòu)基礎(chǔ)網(wǎng)絡(luò)技術(shù)方案VLAN設(shè)計(jì)VLAN是將LAN內(nèi)的設(shè)備邏輯地而不是物理地劃分為一個(gè)個(gè)網(wǎng)段，從而實(shí)現(xiàn)在一個(gè)LAN內(nèi)隔離廣播域的技術(shù)。VLAN技術(shù)既隔離了廣播域，減少了廣播風(fēng)暴，又增強(qiáng)了信息的安全性。VLAN通常根據(jù)業(yè)務(wù)需要進(jìn)行規(guī)劃，需要隔離的端口配置不同的VLAN,需要防止廣播

52、域過大的地方配置VLAN用于減小廣播域。VLAN最好不要跨交換機(jī)，即使跨交換機(jī)數(shù)目也需要限制。S2700根據(jù)接入位置為不同PC分配不同的VLAN，不同S2700交換機(jī)采用不同的VLAN，避免廣播域過大，利于問題及時(shí)定位。S5700交換機(jī)匯聚S2700交換機(jī)的VLAN信息，通過S7700系列交換機(jī)實(shí)現(xiàn)VLAN的終結(jié)。IP設(shè)計(jì)IP地址動(dòng)態(tài)IP與靜態(tài)IP的選取，原則上服務(wù)器、特殊終端設(shè)備建議采用靜態(tài)IP。辦公用設(shè)備建議使用DHCP動(dòng)態(tài)獲取（如辦公用PC等）。AR3200上行優(yōu)選固定IP地址接入，其次選擇PPP方式接入。S7700作為DHCP網(wǎng)關(guān)和DHCPServer，為有線、無線用戶分配私網(wǎng)IP地址

53、。服務(wù)器采用靜態(tài)IP地址接入。DHCP設(shè)計(jì)DHCP部署基本原則為固定IP地址段和動(dòng)態(tài)分配IP地址段保持連續(xù)，按照業(yè)務(wù)區(qū)域進(jìn)行DHCP地址的劃分，便于統(tǒng)一管理及問題定位。啟動(dòng)DHCP安全功能，禁止非法DHCPServer的架設(shè)和非法用戶的接入。有線用戶通過S2700交換機(jī)攜帶VLAN信息，S7700交換機(jī)作為DHCP網(wǎng)關(guān)和DHCPServer，S7700交換機(jī)終結(jié)VLAN并給有線用戶分配私網(wǎng)IP地址。無線用戶通過CAPWAP隧道方式接入S7700交換機(jī)。WA600系列AP終結(jié)無線報(bào)文，通過CAPWAP隧道透?jìng)鳠o線用戶的DHCP請(qǐng)求報(bào)文，S7700交換機(jī)終結(jié)該請(qǐng)求報(bào)文，給無線用戶分配私網(wǎng)IP地址。

54、5.4.8網(wǎng)管設(shè)計(jì)5.4.8網(wǎng)管設(shè)計(jì)NAT設(shè)計(jì)NAT稱為網(wǎng)絡(luò)地址轉(zhuǎn)換，用于實(shí)現(xiàn)私有網(wǎng)絡(luò)和公有網(wǎng)絡(luò)之間的互訪。AR3200部署NAT特性，實(shí)現(xiàn)用戶側(cè)私網(wǎng)地址到網(wǎng)絡(luò)側(cè)公網(wǎng)地址的轉(zhuǎn)換，實(shí)現(xiàn)用戶與WAN/Internet的互訪。在中型機(jī)構(gòu)基礎(chǔ)網(wǎng)絡(luò)場(chǎng)景中，WAN側(cè)和3G側(cè)都需要部署NAT特性，以防止某側(cè)鏈路出現(xiàn)故障后仍能實(shí)現(xiàn)私網(wǎng)地址到公網(wǎng)地址的轉(zhuǎn)換。5.4.5安全設(shè)計(jì)防火墻E1000E將WAN/Internet區(qū)域、3G區(qū)域劃分為untrust區(qū)域，公用服務(wù)器區(qū)域劃分為DMZ區(qū)，其他區(qū)域劃分為trust區(qū)域。允許trust區(qū)域和DMZ區(qū)域互訪，允許untrust區(qū)域與DMZ區(qū)域互訪,不允許trust區(qū)域

55、和untrust區(qū)域之間直接互訪?；诎踩紤]，建議防火墻部署ARP防攻擊功能，接入交換機(jī)部署DHCPSnooping功能，以防止非法的ARP報(bào)文對(duì)網(wǎng)絡(luò)的攻擊。5.4.6遠(yuǎn)程接入設(shè)計(jì)中型機(jī)構(gòu)訪問WAN/Internet通過AR的NAT功能實(shí)現(xiàn)。外派員工通過IPSecVPN訪問中型機(jī)構(gòu)。建議采用ESP封裝模式，封裝新的IP報(bào)文頭并對(duì)原始數(shù)據(jù)報(bào)文進(jìn)行加密，更為安全。外派員工也可以通過SSLVPN訪問中型機(jī)構(gòu)?？煽啃栽O(shè)計(jì)鏈路備份設(shè)計(jì)：AR上行采用WAN和3G鏈路備份方式，以WAN側(cè)鏈路為主用鏈路，3G鏈路平時(shí)不使用，僅作為備份。一旦WAN側(cè)鏈路發(fā)生故障，則AR自動(dòng)切換到3G鏈路，從3G鏈路獲取公網(wǎng)地

56、址后進(jìn)行NAT轉(zhuǎn)換，實(shí)現(xiàn)中型機(jī)構(gòu)與網(wǎng)絡(luò)側(cè)的訪問?？紤]到WAN側(cè)鏈路比3G鏈路安全性高，不受天氣影響，WAN鏈路帶寬也優(yōu)于3G鏈路，建議當(dāng)WAN側(cè)鏈路恢復(fù)后，采用AR自動(dòng)回切功能，將使用的3G鏈路拆掉，重新切換到WAN側(cè)鏈路。設(shè)備備份設(shè)計(jì)：S5700交換機(jī)作為匯聚設(shè)備，一旦出現(xiàn)故障將導(dǎo)致所有用戶均無法訪問網(wǎng)絡(luò)側(cè)，在中型機(jī)構(gòu)中建議S5700交換機(jī)采用堆疊技術(shù)，將多臺(tái)S5700交換機(jī)虛擬化為1臺(tái)設(shè)備，一旦主用S5700交換機(jī)出現(xiàn)故障后，其他交換機(jī)能立即接替其成為主用交換機(jī)，確保中型機(jī)構(gòu)網(wǎng)絡(luò)業(yè)務(wù)的正常運(yùn)行。部署eSight網(wǎng)管系統(tǒng)進(jìn)行日常網(wǎng)絡(luò)維護(hù)。中型機(jī)構(gòu)基礎(chǔ)網(wǎng)絡(luò)方案特點(diǎn)有線無線一體化：內(nèi)置AC,有線

57、無線統(tǒng)一調(diào)度，節(jié)省投資。可擴(kuò)展：低投資、高性能，靈活網(wǎng)絡(luò)架構(gòu)，隨時(shí)擴(kuò)展語音、無線業(yè)務(wù)，保護(hù)已有投資。易維護(hù)：通過網(wǎng)管簡(jiǎn)單配置，無需專職網(wǎng)管人員。可靠性高：核心匯聚采用堆疊，AR路由器采用3G鏈路備份，網(wǎng)絡(luò)層次少，維護(hù)簡(jiǎn)單。6中小型機(jī)構(gòu)高級(jí)安全解決方案中小型機(jī)構(gòu)高級(jí)安全設(shè)計(jì)原則中小企業(yè)通常為1001000信息點(diǎn)，通過部署高級(jí)安全解決方案實(shí)現(xiàn)網(wǎng)絡(luò)安全一體化。該方案特點(diǎn)是通過部署NAC解決方案實(shí)現(xiàn)有線、無線用戶的一體化接入安全控制，包括安全準(zhǔn)入、終端檢查、權(quán)限控制及事后審計(jì)功能，實(shí)現(xiàn)全面的安全控制，確保企業(yè)網(wǎng)絡(luò)的安全性。圖6-1中小型機(jī)構(gòu)高級(jí)安全物理架構(gòu)中小型機(jī)構(gòu)高級(jí)安全業(yè)務(wù)方案園區(qū)用戶接入安全業(yè)務(wù)

58、規(guī)劃在中小型及中型園區(qū)中，關(guān)于有線用戶接入認(rèn)證推薦兩種方案：接入層、匯聚層動(dòng)態(tài)授權(quán)方案和核心層Portal方案。接入層動(dòng)態(tài)授權(quán)方案使用S2700/S3700/S5700系列交換機(jī)作為接入交換機(jī)，S5700或S7700交換機(jī)作為匯聚交換機(jī)。接入層使用VLAN劃分用戶的所屬部門，使用802.1x認(rèn)證技術(shù)根據(jù)端口進(jìn)行認(rèn)證；用戶認(rèn)證前統(tǒng)一在GuestVLAN里進(jìn)行授權(quán)，用戶認(rèn)證后，由認(rèn)證服務(wù)器下發(fā)VLAN進(jìn)行部門劃分；核心交換機(jī)作為網(wǎng)關(guān)，使用DHCP動(dòng)態(tài)分配IP地址，根據(jù)認(rèn)證前后所屬VLAN配置ACL權(quán)限，對(duì)用戶部門進(jìn)行權(quán)限限制，并接入內(nèi)網(wǎng)進(jìn)行訪問。匯聚層交換機(jī)使用VRRP功能進(jìn)行主備備份，提高網(wǎng)絡(luò)可

59、靠性。核心層Portal方案同樣使用S2700/S3700/S5700系列交換機(jī)作為接入交換機(jī)，S5700或S7700交換機(jī)作為匯聚交換機(jī)。接入層交換機(jī)作為二層透?jìng)髟O(shè)備，為接入用戶劃分VLAN。核心交換機(jī)作為網(wǎng)關(guān)，啟用DHCP動(dòng)態(tài)分配IP地址，使用華為Portal協(xié)議進(jìn)行網(wǎng)關(guān)認(rèn)證；用戶認(rèn)證前使用Freerule功能為用戶進(jìn)行認(rèn)證前權(quán)限限制，認(rèn)證后用戶的具體權(quán)限由認(rèn)證服務(wù)器以ACL形式進(jìn)行權(quán)限下發(fā)，并接入內(nèi)網(wǎng)進(jìn)行訪問；無線用戶接入認(rèn)證，推薦采用核心層S7700交換機(jī)內(nèi)置AC方式認(rèn)證。使用核心層內(nèi)置AC設(shè)備認(rèn)證的時(shí)候，接入層交換機(jī)下掛AP,采用獨(dú)立模式或集中模式認(rèn)證；接入層交換機(jī)配置二層透?jìng)?，透?jìng)?/p>

60、AP發(fā)出的報(bào)文，核心層交換機(jī)使用DHCP進(jìn)行IP地址分配，并由內(nèi)置AC進(jìn)行認(rèn)證。遠(yuǎn)程分支用戶接入安全業(yè)務(wù)規(guī)劃分支用戶分為小型分支、中型分支、大型分支企業(yè)。小型分支接入點(diǎn)數(shù)目一般在100個(gè)左右，推薦采用在分支出口路由器AR設(shè)備上啟用Portal認(rèn)證，使用戶在企業(yè)出口強(qiáng)制進(jìn)行認(rèn)證和安全狀態(tài)檢查。如果終端包含語音設(shè)備，還需要在AR設(shè)備上啟用MAC認(rèn)證；小型分支建議AR作為網(wǎng)關(guān)，使用DHCP動(dòng)態(tài)為接入用戶分配IP地址。此時(shí)認(rèn)證服務(wù)器建議部署在分支，并將數(shù)據(jù)同步到總部服務(wù)器；也可以采用在匯聚交換機(jī)設(shè)備上啟用網(wǎng)關(guān)做Portal認(rèn)證，使用戶在網(wǎng)關(guān)進(jìn)行認(rèn)證和安全狀態(tài)檢查。根據(jù)終端設(shè)備類型啟用MAC認(rèn)證。網(wǎng)關(guān)使