辦公樓網(wǎng)絡(luò)技術(shù)方案

精選優(yōu)質(zhì)文檔-----傾情為你奉上精選優(yōu)質(zhì)文檔-----傾情為你奉上專心---專注---專業(yè)專心---專注---專業(yè)精選優(yōu)質(zhì)文檔-----傾情為你奉上專心---專注---專業(yè)澳洋醫(yī)院辦公樓及綜合樓網(wǎng)絡(luò)方案目錄第一章．概述建筑群網(wǎng)絡(luò)建設(shè)背景當(dāng)前，人類社會(huì)正處于一個(gè)偉大的轉(zhuǎn)折時(shí)期，社會(huì)信息化的程度已被看作是一個(gè)國(guó)家現(xiàn)代化水平和綜合國(guó)力的重要標(biāo)志。在這個(gè)信息時(shí)代，各個(gè)單位各個(gè)部門的信息技術(shù)建設(shè)是極其重要的。因此在信息社會(huì)的今天，網(wǎng)絡(luò)信息系統(tǒng)的建設(shè)尤其重要。網(wǎng)絡(luò)系統(tǒng)建成后，將為辦公大樓提供高效率的辦公環(huán)境，實(shí)現(xiàn)無(wú)紙化協(xié)同辦公。網(wǎng)絡(luò)系統(tǒng)的設(shè)計(jì)必須兼顧先進(jìn)性、高可靠性、容錯(cuò)性、靈活性與安全性，提供一套可監(jiān)控、易管理、可擴(kuò)展、易升級(jí)的高效網(wǎng)絡(luò)系統(tǒng)。實(shí)現(xiàn)主干千兆，并且千兆交換到桌面的高效網(wǎng)絡(luò)系統(tǒng)。本次組網(wǎng)是按照下面幾點(diǎn)大的目標(biāo)來(lái)考慮的，在一個(gè)健全成熟的網(wǎng)絡(luò)體系中，這幾個(gè)點(diǎn)是必備的。因此本次組網(wǎng)力爭(zhēng)做到下面幾個(gè)方面：1.建成較完善的局域網(wǎng)管理信息網(wǎng)絡(luò)體系。實(shí)現(xiàn)局域網(wǎng)內(nèi)部的可靠連接，實(shí)現(xiàn)網(wǎng)絡(luò)內(nèi)部各部門、各人員信息的交流與資源的共享。2.建立高效的網(wǎng)絡(luò)管理中心，整個(gè)公司網(wǎng)絡(luò)的關(guān)鍵設(shè)備,如中心交換機(jī)、服務(wù)器、路由器等都集中安裝在網(wǎng)絡(luò)中心.公司網(wǎng)絡(luò)建成后，利用高效的網(wǎng)管軟件、安全策略，可對(duì)整個(gè)公司網(wǎng)絡(luò)實(shí)施管理和監(jiān)控。3.建立高可靠性的網(wǎng)絡(luò)系統(tǒng)，保證網(wǎng)絡(luò)運(yùn)行不間斷。4．建立高效協(xié)同的辦公環(huán)境，保證各部分的的工作人員可以有良好的交流環(huán)境，使其相互之間的協(xié)作更加緊密，更利于發(fā)揮自己的潛能，為公司創(chuàng)造更多的價(jià)值。5．進(jìn)行策略控制，嚴(yán)格控制內(nèi)網(wǎng)用戶的操作權(quán)限，給不同的人員分配不同的權(quán)限。6．根據(jù)不同的部門劃分不同的VLAN，保證各個(gè)部門之間的獨(dú)立性，控制各個(gè)VALN之間的訪問(wèn)。經(jīng)過(guò)這樣的設(shè)計(jì)后，建設(shè)后的網(wǎng)絡(luò)是一個(gè)高效的、功能完善的、安全的、可管理的網(wǎng)絡(luò)。對(duì)網(wǎng)絡(luò)的性能也做了優(yōu)化，選用良好的設(shè)備，保證系統(tǒng)的高可用性。建網(wǎng)需求分析1.2.1一般建網(wǎng)需求辦公網(wǎng)網(wǎng)絡(luò)在實(shí)際的建設(shè)過(guò)程當(dāng)中，應(yīng)當(dāng)充分考慮到本次組網(wǎng)的多業(yè)務(wù)以及本企業(yè)的特點(diǎn)等應(yīng)用需求，如：?jiǎn)T工對(duì)服務(wù)器的訪問(wèn)，公網(wǎng)用戶對(duì)服務(wù)器的訪問(wèn)，涉及到基礎(chǔ)網(wǎng)絡(luò)設(shè)施的建設(shè)和業(yè)務(wù)應(yīng)用平臺(tái)建設(shè)兩個(gè)不同的層面。此處主要分析辦公網(wǎng)絡(luò)基礎(chǔ)設(shè)施建設(shè)和網(wǎng)絡(luò)運(yùn)營(yíng)方面相關(guān)的內(nèi)容，主要有以下幾方面的特點(diǎn)：對(duì)Internet的訪問(wèn)需求：將根據(jù)辦公大樓實(shí)際需要，選擇出口網(wǎng)絡(luò)的帶寬，通過(guò)ISP接入Internt。從而可以滿足企業(yè)員工的上網(wǎng)需求，可以滿足外網(wǎng)訪問(wèn)公司W(wǎng)EB、FTP、MAIL等服務(wù)器，利于公司做好對(duì)外宣傳和服務(wù)。用戶管理的需求：。對(duì)用戶帶寬進(jìn)行控制的需求，要求設(shè)備能對(duì)用戶的帶寬進(jìn)行控制，辟如限制為64K、256K、512K、1M、2M、5M、10M等等級(jí)。網(wǎng)絡(luò)管理的需求：整個(gè)網(wǎng)絡(luò)的關(guān)鍵設(shè)備,如中心交換機(jī)、服務(wù)器、路由器等都集中安裝在網(wǎng)絡(luò)中心.公司網(wǎng)絡(luò)建成后，利用高效的網(wǎng)管軟件、安全策略，可對(duì)整個(gè)公司網(wǎng)絡(luò)實(shí)施管理和監(jiān)控。安全管理的需求：在當(dāng)前的網(wǎng)絡(luò)環(huán)境下，如何保障辦公網(wǎng)絡(luò)的安全成為各個(gè)公司在組建網(wǎng)時(shí)不得不考慮的問(wèn)題，目前主要攻擊手段有DOS、DDOS、IP欺騙、未授權(quán)訪問(wèn)等。利用高性能的網(wǎng)絡(luò)安全防御設(shè)備，在網(wǎng)絡(luò)的出口處屏蔽掉病毒及黑客的攻擊，保護(hù)內(nèi)網(wǎng)數(shù)據(jù)的安全。組播業(yè)務(wù)的需求隨著多種業(yè)務(wù)的融合，特別是可控組播的需求將隨著企業(yè)信息化的深入而體現(xiàn)出來(lái)。1.2.2網(wǎng)絡(luò)安全需求分析和對(duì)策隨著以網(wǎng)絡(luò)為核心的信息技術(shù)目新月異的發(fā)展，尤其是Internet/Intranet在全球的迅速普及，網(wǎng)絡(luò)安全問(wèn)題正日益成為人們關(guān)注的頭號(hào)焦點(diǎn)。對(duì)于本企業(yè)網(wǎng)絡(luò)來(lái)說(shuō)，內(nèi)部信息網(wǎng)絡(luò)系統(tǒng)的安全涉及到兩個(gè)方面的問(wèn)題：如何有效防止來(lái)自外網(wǎng)的非法攻擊；如何有效防止來(lái)自于網(wǎng)絡(luò)內(nèi)部，包括管理人員的誤操作以及某些惡意的內(nèi)部攻擊；對(duì)于后者往往是信息主管的重視程度往往不足。首先應(yīng)該鼓勵(lì)公司網(wǎng)絡(luò)內(nèi)部的互訪，以使資源得到最大限度的共享。但同時(shí)安全意識(shí)不能丟。一般情況下，內(nèi)部攻擊所造成的危外部入侵要大得多，這是因?yàn)閮?nèi)部入侵者不像外部黑客，很少是因?yàn)楹闷嫘内厔?shì)他們進(jìn)絡(luò)攻擊行為，其中隱藏著較復(fù)雜的與內(nèi)部有關(guān)的動(dòng)機(jī)。他們一般非常熟悉網(wǎng)絡(luò)內(nèi)部環(huán)境，攻擊手段隱秘。如果辦公網(wǎng)絡(luò)內(nèi)部的重要核心資源不加以有效的保護(hù)，那么內(nèi)部惡性入侵成的危害比外部非法入侵還要大。從辦公網(wǎng)的網(wǎng)絡(luò)結(jié)構(gòu)來(lái)看，主要存在的危險(xiǎn)有以下幾點(diǎn)：數(shù)據(jù)竊聽；數(shù)據(jù)竊聽是一種軟件應(yīng)用，它可以捕獲通過(guò)某個(gè)沖突域的所有網(wǎng)絡(luò)數(shù)據(jù)。通常我們利用數(shù)據(jù)竊聽功能進(jìn)行網(wǎng)絡(luò)故障的排除或進(jìn)行流量分析。但黑客可以利用它獲取一些非常有用且敏感的信息，比如用戶名和密碼等。IP欺騙；當(dāng)位于網(wǎng)絡(luò)內(nèi)部或外部的黑客主機(jī)模仿成為一臺(tái)可信賴的計(jì)算機(jī)時(shí)，就稱其進(jìn)行了IP欺騙。黑客可通過(guò)兩種方式達(dá)到上述目的：可以使用一個(gè)位于可靠網(wǎng)絡(luò)IP地址范圍內(nèi)的IP地址；可以使用一個(gè)既可靠又能夠訪問(wèn)網(wǎng)絡(luò)上特定資源的授權(quán)外部IP址；拒絕服務(wù)(DoS)；拒絕服務(wù)攻擊(DoS)的目的通常并不是進(jìn)入某個(gè)網(wǎng)絡(luò)或獲取其中的信息。這種攻擊的主要目的是使某種服務(wù)不能被正常使用，而且這種攻擊通常是通過(guò)破壞網(wǎng)絡(luò)、操作系統(tǒng)或應(yīng)用程序,來(lái)致使某些服務(wù)不能被正常使用。密碼攻擊；黑客可以采用幾種不同的方法實(shí)施密碼攻擊，包括暴力破解，特洛伊木馬方式，IP欺騙與數(shù)據(jù)竊聽方式等。一旦他們擁有了用戶的賬號(hào)和密碼，他們就擁有了和該用戶完全相同的權(quán)利。中間人攻擊；進(jìn)行中間人攻擊要求黑客能夠訪問(wèn)在網(wǎng)上傳輸?shù)木W(wǎng)絡(luò)數(shù)據(jù)。黑客通常是通過(guò)使用網(wǎng)絡(luò)數(shù)據(jù)竊聽以及路由和傳輸協(xié)議進(jìn)行這種攻擊的。這種攻擊的主要目的是竊取信息、截獲正在傳輸中的會(huì)話以便訪問(wèn)專用網(wǎng)絡(luò)資源、進(jìn)行流量分析以獲取關(guān)于一個(gè)網(wǎng)絡(luò)及其用途的信息、拒絕服務(wù)、破壞傳輸數(shù)據(jù)以及在網(wǎng)絡(luò)會(huì)話中插入新的信息。應(yīng)用層攻擊；黑客可以通過(guò)幾種不同的方法實(shí)施應(yīng)用層攻擊。最常用的一種方法是利用服務(wù)器上普通軟件的常見弱點(diǎn)，包括郵件發(fā)送、超文本傳輸協(xié)議(HTTP)以及FTP。利用這些弱點(diǎn)，黑客能夠獲得合法的帳號(hào)，從而得以訪問(wèn)計(jì)算機(jī)。與應(yīng)用層攻擊相關(guān)的一個(gè)主要問(wèn)題是這些攻擊經(jīng)常使用被允許穿越安全設(shè)備的端口。應(yīng)用層攻擊永遠(yuǎn)不可能被完全消除，因?yàn)樾碌囊资芄酎c(diǎn)總會(huì)不斷出現(xiàn)，但可以部署更智能的設(shè)備減少非法攻擊。信任關(guān)系利用；指非授權(quán)用戶利用網(wǎng)絡(luò)內(nèi)部的某種信任關(guān)系進(jìn)行攻擊的行為。典型的一個(gè)例子是公司的周邊網(wǎng)絡(luò)連接，另外一個(gè)例子是位于安全設(shè)備外側(cè)的系統(tǒng)與位于安全設(shè)備內(nèi)側(cè)的系統(tǒng)之間有信任關(guān)系。當(dāng)外部系統(tǒng)被破壞時(shí)，它可以利用這種信任關(guān)系攻擊內(nèi)部的系統(tǒng)。未授權(quán)訪問(wèn)；未授權(quán)訪問(wèn)不是指某種具體的攻擊，而是指當(dāng)今網(wǎng)絡(luò)中發(fā)生的多數(shù)攻擊。病毒與特洛伊木馬；病毒是指與另一個(gè)程序相連的不良軟件，專門在用戶的工作站上執(zhí)行某種破壞性功能。特洛伊木馬實(shí)際上是一種攻擊工具，可以獲取用戶非常有用的信息。針對(duì)上面所述的安全隱患，我們應(yīng)該采取以下措施：對(duì)網(wǎng)絡(luò)而言，零風(fēng)險(xiǎn)意味著網(wǎng)絡(luò)幾乎關(guān)閉，根本不能提供網(wǎng)絡(luò)服務(wù)，這是不可取的。換句話說(shuō)，網(wǎng)絡(luò)安全不可能做到零風(fēng)險(xiǎn)。購(gòu)買了高性能的網(wǎng)絡(luò)安全產(chǎn)品并不意味著信息主管可以高枕無(wú)憂。信息安全并不僅僅局限于通信保密，其實(shí)網(wǎng)絡(luò)信息安全牽扯到方方面問(wèn)題，是一個(gè)極其復(fù)雜的工程。要實(shí)施一個(gè)完整的網(wǎng)絡(luò)與信息安全體系，至少應(yīng)包括三個(gè)方面的措施：一是企業(yè)的規(guī)章制度及安全教育等外部軟環(huán)境，在該方面企業(yè)的主要領(lǐng)導(dǎo)扮演重要的角色；二是技術(shù)方面的措施，如入侵防御技術(shù)，防火墻技術(shù)、網(wǎng)絡(luò)防毒、信息加密存儲(chǔ)通信，身份驗(yàn)證，授權(quán)等，但只有技術(shù)措施并不能保證百分之百的安全；三是審計(jì)和管理措施，該方面措施同時(shí)包含了技術(shù)與社會(huì)措施。主要措施有：實(shí)時(shí)監(jiān)控企業(yè)的安全狀態(tài)、提供應(yīng)變安全策略的能力，對(duì)現(xiàn)有的安全系統(tǒng)實(shí)施漏洞檢查等，以防患于未然?？傊?，要實(shí)施安全的系統(tǒng)，應(yīng)三管齊下。為了確保網(wǎng)絡(luò)的絕對(duì)安全，僅僅在安全技術(shù)上采取種種措施還是不夠的，還要有一個(gè)有效的網(wǎng)絡(luò)安全管理體制。網(wǎng)絡(luò)安全管理制度的核心是圍繞著用戶的賬戶和口令而展開的。任何一個(gè)部門或分系統(tǒng)都應(yīng)該在該制度下運(yùn)轉(zhuǎn)，服從統(tǒng)一的安全策略。

第二章．總體網(wǎng)絡(luò)設(shè)計(jì)和網(wǎng)絡(luò)特點(diǎn)2.1網(wǎng)絡(luò)設(shè)計(jì)的原則早期的企業(yè)辦公網(wǎng)絡(luò)主要是共用內(nèi)部系統(tǒng)主機(jī)資源，共享簡(jiǎn)單數(shù)據(jù)庫(kù)，多以二層交換為主，很少有三層應(yīng)用，存在安全、可管理性較差、無(wú)業(yè)務(wù)增值能力等方面的問(wèn)題?，F(xiàn)在將要建設(shè)的是實(shí)現(xiàn)內(nèi)部全方位的數(shù)據(jù)共享，應(yīng)用三層交換，提供全面的QoS保障服務(wù)，使網(wǎng)絡(luò)安全可靠，從而實(shí)現(xiàn)內(nèi)部管理、信息流動(dòng)、管理自動(dòng)化，而且還要通過(guò)Internet對(duì)外提供服務(wù)，提供可增值可管理的業(yè)務(wù)，整網(wǎng)必須具備高性能、高安全性、高可靠性，可管理、可增值特性以及開放性、兼容性、可擴(kuò)展性。基于辦公網(wǎng)業(yè)務(wù)需求的深入理解，結(jié)合自身產(chǎn)品和技術(shù)特點(diǎn)，我們通過(guò)完善的網(wǎng)絡(luò)解決方案，為企業(yè)提供“可管理、可增值、可持續(xù)發(fā)展”的精品網(wǎng)絡(luò)。根據(jù)我們對(duì)辦公網(wǎng)絡(luò)功能要求的理解，在方案的設(shè)計(jì)中，我們貫穿著以下設(shè)計(jì)思想：高可靠性－網(wǎng)絡(luò)系統(tǒng)的穩(wěn)定可靠是應(yīng)用系統(tǒng)正常運(yùn)行的關(guān)鍵保證，在網(wǎng)絡(luò)設(shè)計(jì)中選用高可靠性網(wǎng)絡(luò)產(chǎn)品，設(shè)備充分考慮冗余、容錯(cuò)能力；合理設(shè)計(jì)網(wǎng)絡(luò)架構(gòu)，制訂可靠的網(wǎng)絡(luò)備份策略，保證網(wǎng)絡(luò)具有故障自愈的能力，最大限度地支持系統(tǒng)的正常運(yùn)行。網(wǎng)絡(luò)設(shè)備在出現(xiàn)故障時(shí)應(yīng)便于診斷和排除，充分體現(xiàn)計(jì)算機(jī)網(wǎng)絡(luò)的高可靠性。技術(shù)先進(jìn)性和實(shí)用性―在保證滿足企業(yè)業(yè)務(wù)、應(yīng)用系統(tǒng)業(yè)務(wù)的同時(shí)，要體現(xiàn)出網(wǎng)絡(luò)系統(tǒng)的先進(jìn)性。在網(wǎng)絡(luò)設(shè)計(jì)中要把先進(jìn)的技術(shù)與現(xiàn)有的成熟技術(shù)和標(biāo)準(zhǔn)結(jié)合起來(lái)，充分考慮網(wǎng)絡(luò)應(yīng)用的現(xiàn)狀和未來(lái)發(fā)展趨勢(shì)。高性能―骨干網(wǎng)絡(luò)性能是整個(gè)網(wǎng)絡(luò)良好運(yùn)行的基礎(chǔ)，設(shè)計(jì)中必須保障網(wǎng)絡(luò)及設(shè)備的高吞吐能力，保證各種信息（數(shù)據(jù)、圖象）的高質(zhì)量傳輸，才能使網(wǎng)絡(luò)不成為業(yè)務(wù)開展的瓶頸。標(biāo)準(zhǔn)開放性―支持國(guó)際上通用的網(wǎng)絡(luò)協(xié)議、路由協(xié)議等開放的協(xié)議標(biāo)準(zhǔn)，有利于保證與其它網(wǎng)絡(luò)設(shè)備的互通，及與各種網(wǎng)絡(luò)平滑連接互通，以及將來(lái)網(wǎng)絡(luò)的擴(kuò)展。靈活性及可擴(kuò)展性―根據(jù)未來(lái)業(yè)務(wù)的增長(zhǎng)和變化，網(wǎng)絡(luò)可以平滑地?cái)U(kuò)充和升級(jí)，最大程度的減少對(duì)網(wǎng)絡(luò)架構(gòu)和現(xiàn)有設(shè)備的調(diào)整?？晒芾硇渊D對(duì)網(wǎng)絡(luò)實(shí)行集中監(jiān)測(cè)、分權(quán)管理，并統(tǒng)一分配帶寬資源。選用先進(jìn)的網(wǎng)絡(luò)管理平臺(tái)，具有對(duì)設(shè)備、端口等的管理、流量統(tǒng)計(jì)分析，及可提供故障自動(dòng)報(bào)警。安全性―制訂統(tǒng)一的網(wǎng)絡(luò)安全策略，整體考慮網(wǎng)絡(luò)平臺(tái)的安全性。保證關(guān)鍵數(shù)據(jù)不被非法竊取、篡改或泄漏，使數(shù)據(jù)具有極高的可信性。兼容性和經(jīng)濟(jì)性―兼容性，能夠最大限度地保證企業(yè)辦公網(wǎng)絡(luò)現(xiàn)有各種計(jì)算機(jī)軟、硬件資源的可用性和連續(xù)性，為不同的現(xiàn)存網(wǎng)絡(luò)提供互聯(lián)和升級(jí)的手段，保證各種計(jì)算機(jī)系統(tǒng)（包括工作站、服務(wù)器和微機(jī)等設(shè)備）的互連入網(wǎng)，充分利用現(xiàn)有網(wǎng)絡(luò)資源，發(fā)揮高速網(wǎng)絡(luò)的優(yōu)勢(shì)。經(jīng)濟(jì)性，就是在充分利用現(xiàn)有資源的情況下，最大限度地降網(wǎng)絡(luò)系統(tǒng)的總體投資，有計(jì)劃、有步驟地實(shí)施，在保證網(wǎng)絡(luò)整體性能的前提下，充分利用現(xiàn)有設(shè)備或做必要的升級(jí)。2.2網(wǎng)絡(luò)拓?fù)渚W(wǎng)絡(luò)拓?fù)淙缦滤荆?.3方案說(shuō)明1：整網(wǎng)包含兩棟大樓，這里我們以A樓與B樓來(lái)代替；2：整網(wǎng)包有線網(wǎng)絡(luò)與無(wú)線網(wǎng)絡(luò)兩部分；3：在核心側(cè)，由核心交換機(jī)、IMC網(wǎng)管服務(wù)器、無(wú)線控制器、防火墻、IPS乳清檢測(cè)（插卡式）、ACG用戶行為管理（插卡式）、出口路由器組成；3：核心交換機(jī)需雙設(shè)備冗余，通過(guò)IRF2（第二代智能彈性架構(gòu)）來(lái)實(shí)現(xiàn)兩臺(tái)設(shè)備合二為一的功能，確保核心設(shè)備即實(shí)現(xiàn)冗余，同時(shí)也能將設(shè)備性能提高一倍以上；4：核心交換機(jī)上安裝IPS、ACG插卡，確保流量防病毒檢測(cè)和用戶行為管理，一方面使內(nèi)網(wǎng)用戶的流量避免遭受病毒侵襲，另一方面可確保內(nèi)網(wǎng)用戶的一些行為時(shí)刻處于監(jiān)控范圍，例如在網(wǎng)絡(luò)上發(fā)表了某種不良言論、登錄了某些網(wǎng)站、使用了哪些上網(wǎng)工具等等，時(shí)刻為內(nèi)網(wǎng)安全做到細(xì)致入微的保護(hù)和監(jiān)控；5：核心交換機(jī)上行連接防火墻，防火墻為網(wǎng)絡(luò)內(nèi)部的數(shù)據(jù)提供防護(hù)，拒絕一切對(duì)內(nèi)部網(wǎng)絡(luò)實(shí)施的攻擊，例如DDOS攻擊、ARP欺騙、代理服務(wù)攻擊等等，可為每一級(jí)別或某一辦公室的電腦群設(shè)置安全域，可更具要求實(shí)現(xiàn)網(wǎng)絡(luò)、服務(wù)器之間的隔離，通過(guò)防火墻豐富的域安全策略及域間策略可做到雙保險(xiǎn)防護(hù)，并且對(duì)內(nèi)網(wǎng)內(nèi)某一些用戶發(fā)起的攻擊進(jìn)行防御并同時(shí)確認(rèn)其位置；6：防火墻上行為出口路由器，出口路由器為全網(wǎng)用戶的上網(wǎng)提供統(tǒng)一出口，所有內(nèi)網(wǎng)的用戶地址均有該設(shè)備進(jìn)行統(tǒng)一轉(zhuǎn)換，該設(shè)備必須具有高性能、高轉(zhuǎn)發(fā)、高密度等特點(diǎn)，首先作為出口設(shè)備，需要為全網(wǎng)內(nèi)的所有流量進(jìn)行統(tǒng)一轉(zhuǎn)發(fā)，如果設(shè)備性能不高的話，會(huì)造成流量擁塞或是設(shè)備負(fù)載而無(wú)法正常工作，另外該設(shè)備可能需要連接多條運(yùn)營(yíng)商出口，所以一定要具備較多的接口類型和數(shù)量；7：如圖，在核心層面上，采用雙防火墻與雙出口路由器進(jìn)行組網(wǎng)，均采用雙歸屬部署，防火墻與路由器均采用熱備，這樣可確保一旦一臺(tái)設(shè)備出現(xiàn)故障之后，另外一臺(tái)備份設(shè)備可迅速進(jìn)行切換，負(fù)擔(dān)流量轉(zhuǎn)發(fā)的功能，這樣的部署，可使得網(wǎng)絡(luò)核心更具保障性和冗余能力；8：核心交換機(jī)下行連接各級(jí)匯聚交換機(jī)，所有匯聚交換機(jī)均采用雙上行方式連接至核心交換機(jī)，根據(jù)現(xiàn)場(chǎng)環(huán)境，我們可以在5-6個(gè)樓層中放置一臺(tái)匯聚交換機(jī)，而所有的匯聚交換機(jī)均采用雙上行模式統(tǒng)一匯聚至核心交換機(jī)，通過(guò)匯聚交換機(jī)可將接入層的流量在匯聚層通過(guò)統(tǒng)一匯聚之后，在分包轉(zhuǎn)發(fā)給核心，是網(wǎng)絡(luò)更有層次感，并且雙上行歸屬使的骨干線路實(shí)現(xiàn)備份；9：匯聚交換機(jī)下行連接各樓層中的接入交換機(jī)，為了確保桌面用戶業(yè)務(wù)辦公的效率得到保障，可以提供千兆至桌面的部署模式，使用戶的桌面帶寬達(dá)到千兆，具有更高的帶寬保證，而接入交換機(jī)則可采用單鏈路上行至匯聚交換機(jī)；10：無(wú)線網(wǎng)絡(luò)的部署，則可以采用千兆POE交換機(jī)進(jìn)行統(tǒng)一部署，在各樓層中部署千兆POE交換機(jī)，因?yàn)槟壳氨容^流行的無(wú)線部署方式為AC+FIT模式，即在核心交換機(jī)側(cè)旁掛無(wú)線控制器AC,而在接入交換機(jī)上接入無(wú)線AP,無(wú)線AP可以通過(guò)壁掛式部署，也可以通過(guò)饋線方式引出天線，通過(guò)天線去進(jìn)行無(wú)線覆蓋，但對(duì)于使用效果來(lái)說(shuō)，我司建議使用壁掛式部署，因?yàn)楸趻焓讲渴?，可利?1NAP內(nèi)的智能天線去實(shí)現(xiàn)無(wú)線覆蓋的效果，智能天線可類似于補(bǔ)光燈一樣，用戶出現(xiàn)在哪里，信號(hào)就出現(xiàn)在哪里，一切以用戶的地理位置為主，優(yōu)于11NAP的接口為千兆接口，吞吐量達(dá)到300M，故上行連接應(yīng)采用千兆為主，而核心側(cè)的AC控制器則會(huì)對(duì)全網(wǎng)的無(wú)線AP進(jìn)行統(tǒng)一管控，所有的AP配置均有AC下發(fā)，一旦AP被盜也不會(huì)對(duì)網(wǎng)絡(luò)造成任何影響，所有的用戶信號(hào)端的配置也均有AC統(tǒng)一完成配置，無(wú)需用戶終端再進(jìn)行配置；11：在核心交換機(jī)上在旁掛IMC智能網(wǎng)管服務(wù)器，通過(guò)網(wǎng)管平臺(tái)，實(shí)現(xiàn)對(duì)全網(wǎng)所有網(wǎng)絡(luò)設(shè)備（有線、無(wú)線設(shè)備、用戶）等進(jìn)行統(tǒng)一管理，平臺(tái)通過(guò)收集所有現(xiàn)網(wǎng)網(wǎng)絡(luò)交換機(jī)的SNMP信息，前提是確保設(shè)備網(wǎng)絡(luò)二層或三層互通，通過(guò)收集信息，在平臺(tái)上生成一個(gè)全網(wǎng)的拓?fù)?，各個(gè)節(jié)點(diǎn)均會(huì)出現(xiàn)在平臺(tái)上，使管理員一目了然，及時(shí)某一個(gè)節(jié)點(diǎn)出現(xiàn)故障或掉線了，會(huì)在拓?fù)渲卸寄軌蝮w現(xiàn)出現(xiàn)，同時(shí)，平臺(tái)也會(huì)以短信或者郵件形式發(fā)送給管理員，使網(wǎng)絡(luò)故障得到及時(shí)處理，減少網(wǎng)絡(luò)故障所帶來(lái)的經(jīng)濟(jì)損失；12：網(wǎng)絡(luò)建成之后，當(dāng)然還有一個(gè)環(huán)節(jié)非常重要，那就是如何對(duì)用戶進(jìn)行認(rèn)證，這里我們給出的方案是，對(duì)于有線網(wǎng)絡(luò)用戶來(lái)說(shuō)，可以通過(guò)H3CEAD方案中的802.1X認(rèn)證，該種認(rèn)證可對(duì)用戶的使用終端進(jìn)行全方位的檢測(cè)，包含使用權(quán)限、終端類型、終端病毒檢測(cè)及MAC地址，在各個(gè)環(huán)節(jié)對(duì)用戶終端實(shí)施統(tǒng)一認(rèn)證和監(jiān)控，確保用戶終端的病毒元素會(huì)對(duì)全網(wǎng)造成影響，而對(duì)于無(wú)線用戶來(lái)說(shuō)，可采用PORTAL認(rèn)證方式，該種方式需要客戶自行定制頁(yè)面素材，我司網(wǎng)絡(luò)管理平臺(tái)可將頁(yè)面信息通過(guò)無(wú)線方式強(qiáng)制推送給無(wú)線用戶終端，進(jìn)行認(rèn)證，認(rèn)證頁(yè)面中可包含用戶名和密碼欄，也可以不包含，及采用免責(zé)條款方式，該方式即在頁(yè)面中設(shè)計(jì)一個(gè)”我同意“或者“可上網(wǎng)”按鈕信息，其實(shí)，在頁(yè)面按鈕上，通過(guò)后臺(tái)已將用戶賬號(hào)信息嵌入進(jìn)了頁(yè)面，可對(duì)用戶實(shí)時(shí)進(jìn)行監(jiān)控和流量統(tǒng)計(jì)；2.4方案特色技術(shù)簡(jiǎn)介2.4.1路由規(guī)劃本網(wǎng)絡(luò)建議使用靜態(tài)路由加動(dòng)態(tài)路由的形式來(lái)進(jìn)行規(guī)劃，在個(gè)接入層至核心層考慮通過(guò)靜態(tài)路由來(lái)實(shí)現(xiàn)路由可到，而核心層至路由器出口處可考慮通過(guò)動(dòng)態(tài)路由來(lái)實(shí)現(xiàn)。動(dòng)態(tài)路由協(xié)議OSPF具有在路由器和高端交換機(jī)上自動(dòng)配置的能力，并且其開銷較低，功能強(qiáng)，支持的網(wǎng)絡(luò)規(guī)模大，特別適合于大型的辦公網(wǎng)絡(luò)。OSPF協(xié)議可以使核心設(shè)備都處于工作狀態(tài)，極大的提高網(wǎng)絡(luò)設(shè)備和帶寬的使用效率。在OSPF的劃分上有兩種方式，一種是全部劃入骨干域，一種是劃分骨干和分支域。兩者的區(qū)別主要在于是否分區(qū)域?qū)嵭新酚蓺w納。在局域網(wǎng)中一般為了負(fù)載均衡而采用OSPF協(xié)議，對(duì)路由選路和收斂的要求不高，因此可以只劃分一個(gè)區(qū)域，即area0，所有設(shè)備都位于area0中。2.4.2IP地址規(guī)劃IP地址的合理規(guī)劃是辦公網(wǎng)絡(luò)設(shè)計(jì)中的重要一環(huán)，大型計(jì)算機(jī)網(wǎng)絡(luò)必須對(duì)IP地址進(jìn)行統(tǒng)一規(guī)劃并得到實(shí)施。IP地址規(guī)劃的好壞，影響到網(wǎng)絡(luò)路由協(xié)議算法的效率，影響到網(wǎng)絡(luò)的性能，影響到網(wǎng)絡(luò)的擴(kuò)展，影響到網(wǎng)絡(luò)的管理，也必將直接影響到網(wǎng)絡(luò)應(yīng)用的進(jìn)一步發(fā)展。1、IP地址分配原則IP地址空間分配，要與網(wǎng)絡(luò)拓?fù)鋵哟谓Y(jié)構(gòu)相適應(yīng)，既要有效地利用地址空間，又要體現(xiàn)出網(wǎng)絡(luò)的可擴(kuò)展性和靈活性，同時(shí)能滿足路由協(xié)議的要求，以便于網(wǎng)絡(luò)中的路由聚類，減少路由器中路由表的長(zhǎng)度，減少對(duì)路由器CPU、內(nèi)存的消耗，提高路由算法的效率，加快路由變化的收斂速度，同時(shí)還要考慮到網(wǎng)絡(luò)地址的可管理性。具體分配時(shí)要遵循以下原則：唯一性：一個(gè)IP網(wǎng)絡(luò)中不能有兩個(gè)主機(jī)采用相同的IP地址；簡(jiǎn)單性：地址分配應(yīng)簡(jiǎn)單易于管理，降低網(wǎng)絡(luò)擴(kuò)展的復(fù)雜性，簡(jiǎn)化路由表項(xiàng)連續(xù)性：連續(xù)地址在層次結(jié)構(gòu)網(wǎng)絡(luò)中易于進(jìn)行路徑疊合，大大縮減路由表，提高路由算法的效率可擴(kuò)展性：地址分配在每一層次上都要留有余量，在網(wǎng)絡(luò)規(guī)模擴(kuò)展時(shí)能保證地址疊合所需的連續(xù)性靈活性：地址分配應(yīng)具有靈活性，以滿足多種路由策略的優(yōu)化，充分利用地址空間。主流的IP地址規(guī)劃方案分為純公網(wǎng)地址、純私網(wǎng)地址和混合網(wǎng)絡(luò)地址三種。當(dāng)辦公網(wǎng)網(wǎng)絡(luò)地址分配或采用混合網(wǎng)絡(luò)地址接入時(shí)，要求辦公網(wǎng)能提供網(wǎng)絡(luò)地址轉(zhuǎn)換功能，對(duì)私網(wǎng)地址進(jìn)行轉(zhuǎn)換。在辦公網(wǎng)絡(luò)IP地址規(guī)劃的問(wèn)題上，應(yīng)該統(tǒng)一規(guī)劃，協(xié)調(diào)一致,為每個(gè)部門分配一個(gè)獨(dú)有的地址段，以節(jié)省網(wǎng)絡(luò)設(shè)備資源。無(wú)線方案2.5.1無(wú)線網(wǎng)絡(luò)優(yōu)勢(shì)當(dāng)今社會(huì)無(wú)線網(wǎng)絡(luò)以成為新一代的潮流，無(wú)論是在機(jī)關(guān)單位還是在企業(yè)、教育、醫(yī)療等單位。對(duì)無(wú)線網(wǎng)絡(luò)都有著很大的需求。無(wú)線現(xiàn)在給大家?guī)?lái)了很大的方便，如果一個(gè)網(wǎng)絡(luò)中缺少了無(wú)線網(wǎng)絡(luò)，就好像一個(gè)人缺少一只手一樣，工作起來(lái)很不方便。無(wú)線網(wǎng)絡(luò)建設(shè)在維護(hù)費(fèi)用上相對(duì)有線網(wǎng)絡(luò)來(lái)說(shuō)，無(wú)線網(wǎng)絡(luò)組建容易，設(shè)置和維護(hù)比較簡(jiǎn)單。只需一次投入就可以解決所有問(wèn)題，其零布線費(fèi)用是有線網(wǎng)絡(luò)所不能比擬的。在靈活性上，傳統(tǒng)的有線網(wǎng)絡(luò)部署要受到布線格局的限制，如果建筑物中沒(méi)有預(yù)留的線路，布線以及調(diào)試的工程比較大，如果使用無(wú)線網(wǎng)絡(luò)的話就可以解決了上述的麻煩。在擴(kuò)展性方面，有線網(wǎng)絡(luò)的擴(kuò)展性比較弱，如果要增加新用戶，而原有布線所預(yù)留的端口又不夠用的話，那就要進(jìn)行從新部署線纜等工作，雖然電纜本身不貴，但是改造起來(lái)比較麻煩。而無(wú)線網(wǎng)絡(luò)的擴(kuò)展性就比較強(qiáng)，一臺(tái)AP可以支持多個(gè)用戶，如果需要新增用戶，網(wǎng)絡(luò)很小的改動(dòng)就能滿足客戶的需求。在無(wú)線網(wǎng)絡(luò)技術(shù)在不斷的發(fā)展與改善，其發(fā)展前景是良好的，但是在很多場(chǎng)合下，有線接入技術(shù)并不真的比無(wú)線網(wǎng)絡(luò)有更多的優(yōu)勢(shì)。無(wú)線網(wǎng)絡(luò)是對(duì)有線網(wǎng)絡(luò)的一種補(bǔ)充，而不是一種替代。從總體上去分析的話,無(wú)線是現(xiàn)代網(wǎng)絡(luò)中的一部分是不可分割的一部分。2.5.2無(wú)線局域網(wǎng)總體架構(gòu)選擇無(wú)線局域網(wǎng)技術(shù)經(jīng)過(guò)十幾年的發(fā)展，已經(jīng)歷了三代技術(shù)及產(chǎn)品的發(fā)展。第一代無(wú)線局域網(wǎng)主要是采用FatAP，每一臺(tái)AP都要單獨(dú)進(jìn)行配置，費(fèi)時(shí)、費(fèi)力、費(fèi)成本；第二代無(wú)線局域網(wǎng)融入了無(wú)線網(wǎng)關(guān)功能但還是不能集中進(jìn)行管理和配置，其管理性和性以及對(duì)有線的依賴成為了第一代和第二代WLAN產(chǎn)品發(fā)展的瓶頸，由于這一代技術(shù)的AP儲(chǔ)存了大量的網(wǎng)絡(luò)和安全的配置，包括加密的鑰匙，Radiusclient的安全密碼(secret)等，而AP又是分散在建筑物中的各個(gè)位置，一旦AP的配置被盜取讀出并修改，其無(wú)線網(wǎng)絡(luò)系統(tǒng)就失去了安全性。另外由于AC或無(wú)線網(wǎng)關(guān)的硬件多數(shù)是基于Pentium架構(gòu)的，所以當(dāng)用戶接入數(shù)量(IPsessions)增多時(shí)，無(wú)線網(wǎng)的性能會(huì)急劇下降，時(shí)常會(huì)發(fā)生掉線或死機(jī)情況。在這樣的環(huán)境下，基于無(wú)線交換機(jī)技術(shù)的第三代WLAN產(chǎn)品應(yīng)運(yùn)而生。第三代無(wú)線局域網(wǎng)采用無(wú)線交換機(jī)和FITAP的架構(gòu)，對(duì)傳統(tǒng)WLAN設(shè)備的功能做了重新劃分，將密集型的無(wú)線網(wǎng)絡(luò)和安全處理功能轉(zhuǎn)移到集中的WLAN交換機(jī)中實(shí)現(xiàn)，同時(shí)加入了許多重要新功能，諸如無(wú)線網(wǎng)管、AP間自適應(yīng)、無(wú)線安管、RF監(jiān)測(cè)、無(wú)縫漫游以及Qos。，使得無(wú)線局域網(wǎng)的網(wǎng)絡(luò)性能、網(wǎng)絡(luò)管理和安全管理能力得以大幅提高。下表為FATAP與FITAP兩種組網(wǎng)方案對(duì)比2.5.3供電問(wèn)題由于辦公大樓無(wú)線網(wǎng)中AP設(shè)備數(shù)量較適中，AP布放位置根據(jù)實(shí)際覆蓋效果而調(diào)整，建議采用基于標(biāo)準(zhǔn)的802.3af實(shí)現(xiàn)對(duì)AP的供電。通過(guò)POE交換機(jī)可以實(shí)現(xiàn)以太網(wǎng)線在傳輸數(shù)據(jù)同時(shí)給AP供電，供電距離達(dá)100米，滿足實(shí)際組網(wǎng)的要求。以下是三種AP供電方式對(duì)比，通過(guò)對(duì)比得到采用一體化POE供電可以實(shí)現(xiàn)管理員遠(yuǎn)程管理和維護(hù)AP射頻卡、服務(wù)SSID、AP設(shè)備本身。避免了維護(hù)人員的日常維護(hù)管理的不便和安全隱患。2.5.4頻率規(guī)劃目前針對(duì)WLAN來(lái)講，2.4G具有3具不重疊的信道，故網(wǎng)絡(luò)覆蓋時(shí)所需要的WLAN網(wǎng)絡(luò)空間都要進(jìn)行2.4G網(wǎng)絡(luò)規(guī)劃，主要考慮2.4G頻率的覆蓋設(shè)計(jì)，針對(duì)2.4G的頻率的信號(hào)衰減模型主要采用如下：PathLoss(dB)=46+10*n*LogD（m），而對(duì)于5.8G的信號(hào)衰減模型：PathLoss(dB)=32.4+20*lgf[MHz]+20*lgd[KM]+a*d[KM]，以上二信號(hào)衰減模型進(jìn)行網(wǎng)絡(luò)的設(shè)計(jì)，到具體網(wǎng)絡(luò)實(shí)施時(shí)要進(jìn)行工勘與優(yōu)化，而對(duì)于信道主要采用1、6、11三個(gè)信道交錯(cuò)使用，具體的面覆蓋邏輯示意圖如下：WLAN2.4G信道規(guī)劃示意圖2.5.5頻率復(fù)用針對(duì)頻率復(fù)用的設(shè)計(jì)與實(shí)現(xiàn)主要側(cè)重于重疊區(qū)域，考慮到802.11技術(shù)中目前業(yè)界主要采用DCF的仲裁，這樣會(huì)導(dǎo)致從網(wǎng)絡(luò)實(shí)施的角度出發(fā)，沒(méi)有辦法做到像GSM、3G網(wǎng)絡(luò)的控制力度，從技術(shù)原理的角度出發(fā)，沒(méi)有辦法實(shí)現(xiàn)很好的頻率復(fù)用，只能被動(dòng)做些負(fù)載均衡的功能。每個(gè)AP具有54Mbps、48Mbps、36Mbps、18Mbps等的覆蓋范圍，對(duì)于54Mbps的覆蓋范圍不重疊，對(duì)于54Mbps與18Mbps就可能進(jìn)行重疊，可以根據(jù)網(wǎng)絡(luò)側(cè)的負(fù)載功能進(jìn)行實(shí)現(xiàn)一定程度的頻率復(fù)用功能，從網(wǎng)絡(luò)規(guī)劃的角度出發(fā)，WLAN基本上、下行無(wú)線鏈路復(fù)用的處理問(wèn)題，因?yàn)槟壳岸际荄CF方式，而從只能結(jié)合業(yè)務(wù)目標(biāo)實(shí)現(xiàn)網(wǎng)絡(luò)覆蓋效果，具體網(wǎng)絡(luò)使用效果使用負(fù)載均衡功能進(jìn)行實(shí)現(xiàn)。負(fù)載均衡的功能實(shí)現(xiàn)具體原理如下：根據(jù)負(fù)載均衡的配置確定負(fù)載均衡的模式、SSID、其他參與負(fù)載均衡的AP的標(biāo)識(shí)、用戶數(shù)或流量的閥值等進(jìn)行一定的初始化；確定本AP的射頻模塊連接的STA用戶數(shù)量和流量；通過(guò)UDP協(xié)議以私有方式定時(shí)進(jìn)行AP間通訊。先進(jìn)行握手，成功后才進(jìn)行數(shù)據(jù)的交換，獲取參與負(fù)載均衡的AP的負(fù)載信息。當(dāng)有STA要接入時(shí)，根據(jù)其工作頻率，比較本AP上該射頻下的負(fù)載和其他AP的指定SSID下的用戶數(shù)或流量，以及負(fù)載均衡的SSID綁定接口的速率集，決定STA能否接入。同時(shí)要注意到若用戶數(shù)已達(dá)到AP某個(gè)SSID的最大用戶數(shù)，則該AP的SSID不允許再接入STA；2.5.6信號(hào)覆蓋范圍控制為了保障無(wú)線網(wǎng)絡(luò)的安全，建議在無(wú)線網(wǎng)絡(luò)實(shí)施時(shí)，需要根據(jù)每個(gè)區(qū)域?qū)嶋H使用環(huán)境，對(duì)AP的發(fā)射功率做相應(yīng)調(diào)整，確保無(wú)線信號(hào)控制在大樓內(nèi)，從而屏蔽不安全因素。在室內(nèi)覆蓋情況下，選擇AP擺放位置的時(shí)候，需遵循以下幾個(gè)原則：1、保持信號(hào)穿過(guò)墻壁和天花板的數(shù)量最小。2.4G信號(hào)能夠穿透墻壁和天花板，然而，每一面墻壁和天花板都將使AP信號(hào)的覆蓋范圍減少1到30米。應(yīng)放置AP與計(jì)算機(jī)于合適的位置，使墻壁和天花板阻礙信號(hào)的路徑最短，損耗最小。2、考慮AP和覆蓋區(qū)域之間直線連接。注意AP的放置位置，要盡量使信號(hào)能夠垂直的穿過(guò)（90度角）墻壁或天花板。3、AP安裝位置需遠(yuǎn)離電子設(shè)備（起碼1~2米），例如微波爐、監(jiān)視器、電機(jī)等。2.5.7AP防盜設(shè)計(jì)傳統(tǒng)的FATAP組網(wǎng)模式要求在AP上配置大量的業(yè)務(wù)參數(shù)，同時(shí)需要在AP本地保存這些業(yè)務(wù)配置信息，一旦設(shè)備丟失，AP的業(yè)務(wù)配置信息就可能被泄漏，形成網(wǎng)絡(luò)的安全漏洞。H3C的FITAP在設(shè)備上不保存業(yè)務(wù)配置，而是每次啟動(dòng)的時(shí)候從無(wú)線控制器動(dòng)態(tài)加載業(yè)務(wù)配置，這樣可以有效避免設(shè)備丟失造成配置泄漏。2.5.8多SSID接入跟據(jù)需求，我們建議采用多SSID接入，將辦公人員與訪客分別使用不同的SSID號(hào)。例如：辦公人員通過(guò)bangong-SSID號(hào)訪問(wèn)網(wǎng)絡(luò)，訪客通過(guò)fangke-SSID號(hào)訪問(wèn)網(wǎng)絡(luò)。如此，可實(shí)現(xiàn)員工與訪客分開管理，同時(shí)可實(shí)現(xiàn)訪客上網(wǎng)時(shí)間的控制。2.5.9AP射頻和SSID控制控制上網(wǎng)時(shí)間AC可以要求指定區(qū)域的AP在指定時(shí)間開啟或者關(guān)閉某個(gè)SSID的接入服務(wù)節(jié)電和降低輻射AC可以要求AP按指定時(shí)間打開或者關(guān)閉AP射頻以節(jié)約能耗，降低輻射。網(wǎng)絡(luò)設(shè)備選型2.6.1出口路由器H3CSR6602-X產(chǎn)品（以下簡(jiǎn)稱SR6602-X）是H3C自主研發(fā)面向中高端企業(yè)網(wǎng)、校園網(wǎng)用戶的緊湊型綜合業(yè)務(wù)網(wǎng)關(guān)路由器，定位于中大型企業(yè)、校園網(wǎng)、網(wǎng)吧的VPN、NAT、IPSec等綜合業(yè)務(wù)網(wǎng)關(guān)使用，同時(shí)，也可以應(yīng)用中型縱向網(wǎng)絡(luò)匯聚、高端企業(yè)用戶大型分支和運(yùn)營(yíng)商可管理高性能CPE市場(chǎng)，配合H3C其他網(wǎng)絡(luò)產(chǎn)品為政府、電力、金融、公共事業(yè)、運(yùn)營(yíng)商和大中型企業(yè)用戶提供全方位網(wǎng)絡(luò)解決方案。H3CSR6602-X雙萬(wàn)兆網(wǎng)關(guān)基于業(yè)界領(lǐng)先緊湊型設(shè)計(jì)理念，在2U高設(shè)備上不僅集成高密度高速端口，支持FIP-20和FIP-10靈活接口設(shè)計(jì)，還實(shí)現(xiàn)了可插拔冗余電源和模塊、風(fēng)扇可插拔功能，在保證設(shè)備高可靠性、網(wǎng)絡(luò)配置靈活性的同時(shí)確保業(yè)務(wù)模塊的兼容性，最大限度保護(hù)用戶投資。H3CSR6602-X萬(wàn)兆網(wǎng)關(guān)采用高性能多核處理器作為NAT業(yè)務(wù)處理引擎，多核多線程處理器的應(yīng)用，使SR6602-X萬(wàn)兆網(wǎng)關(guān)具備高性能和靈活性等特點(diǎn)，從而在并行處理各種復(fù)雜的NAT業(yè)務(wù)同時(shí)能夠?qū)崿F(xiàn)數(shù)據(jù)的高速轉(zhuǎn)發(fā)2.6.2防火墻SecPathF1000-S-AI是H3C公司面向大型企業(yè)和運(yùn)營(yíng)商用戶開發(fā)的新一代電信級(jí)防火墻設(shè)備。SecPathF1000-S-AI采用了H3C公司最新的硬件平臺(tái)和體系架構(gòu)，實(shí)現(xiàn)防火墻性能的跨越式突破，可支持?jǐn)?shù)十個(gè)GE接口，能滿足電信級(jí)應(yīng)用的需求。SecPathF1000-S-AI支持外部攻擊防范、內(nèi)網(wǎng)安全、流量監(jiān)控、郵件過(guò)濾、網(wǎng)頁(yè)過(guò)濾、應(yīng)用層過(guò)濾等功能，能夠有效的保證網(wǎng)絡(luò)的安全；采用ASPF（ApplicationSpecificPacketFilter）應(yīng)用狀態(tài)檢測(cè)技術(shù)，可對(duì)連接狀態(tài)過(guò)程和異常命令進(jìn)行檢測(cè)；提供多種智能分析和管理手段，支持郵件告警，支持多種日志，提供網(wǎng)絡(luò)管理監(jiān)控，協(xié)助網(wǎng)絡(luò)管理員完成網(wǎng)絡(luò)的安全管理；支持多種VPN業(yè)務(wù)，如GREVPN、IPSecVPN等，可以構(gòu)建多種形式的VPN；提供基本的路由能力，支持RIP/OSPF/BGP/路由策略及策略路由；支持IPv4/IPv6雙協(xié)議棧；支持豐富的QoS特性。2.6.3核心交換機(jī)H3CS7600-X系列交換機(jī)產(chǎn)品是杭州華三通信技術(shù)有限公司（以下簡(jiǎn)稱H3C公司）面向云計(jì)算數(shù)據(jù)中心核心、下一代園區(qū)網(wǎng)核心和城域網(wǎng)匯聚而專門設(shè)計(jì)開發(fā)的核心交換產(chǎn)品。采用先進(jìn)的CLOS多級(jí)多平面交換架構(gòu)，可以提供持續(xù)的帶寬升級(jí)能力，支持?jǐn)?shù)據(jù)中心大二層技術(shù)TRILL、VCF(縱向虛擬化)和MDC（一虛多）技術(shù)，支持EVB和FCOE，并完全兼容40GE和100GE以太網(wǎng)標(biāo)準(zhǔn)。該產(chǎn)品基于H3C自主知識(shí)產(chǎn)權(quán)的ComwareV5/V7操作系統(tǒng)，以IRF2（IntelligentResilientFramework2，第二代智能彈性架構(gòu)）技術(shù)為系統(tǒng)基石的虛擬化軟件系統(tǒng)，進(jìn)一步融合MPLSVPN、IPv6、應(yīng)用安全、應(yīng)用優(yōu)化，無(wú)線等多種網(wǎng)絡(luò)業(yè)務(wù)，提供不間斷轉(zhuǎn)發(fā)、不間斷升級(jí)、優(yōu)雅重啟、環(huán)網(wǎng)保護(hù)等多種高可靠技術(shù)，在提高用戶生產(chǎn)效率的同時(shí)，保證了網(wǎng)絡(luò)最大正常運(yùn)行時(shí)間，從而降低了客戶的總擁有成本（TCO）。2.6.4IPS插卡（入侵檢測(cè)）H3CSecBladeIPS（IntrusionPreventionSystem）是一款高性能入侵防御模塊，可應(yīng)用于H3CS5800/S76-X/S9500E/S10500/S12500系列交換機(jī)和SR6600/SR8800路由器，集成入侵防御/檢測(cè)、病毒過(guò)濾和帶寬管理等功能，是業(yè)界綜合防護(hù)技術(shù)最領(lǐng)先的入侵防御/檢測(cè)系統(tǒng)。通過(guò)深達(dá)7層的分析與檢測(cè)，實(shí)時(shí)阻斷網(wǎng)絡(luò)流量中隱藏的病毒、蠕蟲、木馬、間諜軟件、網(wǎng)頁(yè)篡改等攻擊和惡意行為，并實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)基礎(chǔ)設(shè)施、網(wǎng)絡(luò)應(yīng)用和性能的全面保護(hù)。SecBladeIPS模塊與基礎(chǔ)網(wǎng)絡(luò)設(shè)備融合，具有即插即用、擴(kuò)展性強(qiáng)的特點(diǎn)，降低了用戶管理難度，減少了維護(hù)成本。2.6.5ACG插卡（流控設(shè)備）H3CSecBladeACG（ApplicationControlGateway，應(yīng)用控制網(wǎng)關(guān)）是業(yè)界第一款千兆高性能應(yīng)用控制模塊，可應(yīng)用于H3CS76/76-X/S9500E/S10500/S12500系列交換機(jī)和SR6600/SR8800路由器，創(chuàng)新性的將應(yīng)用監(jiān)控、審計(jì)與網(wǎng)絡(luò)進(jìn)行無(wú)縫融合。SecBladeACG能對(duì)網(wǎng)絡(luò)中的P2P/IM/VoIP帶寬濫用、網(wǎng)絡(luò)游戲、炒股、多媒體應(yīng)用、非法網(wǎng)站訪問(wèn)等行為進(jìn)行精細(xì)化識(shí)別和控制；同時(shí)，根據(jù)對(duì)網(wǎng)絡(luò)流量、用戶上網(wǎng)行為進(jìn)行深入分析與全面的事后審計(jì)，并具有強(qiáng)大的URL過(guò)濾功能，進(jìn)而全面了解網(wǎng)絡(luò)應(yīng)用模型和流量趨勢(shì)，大大提升網(wǎng)絡(luò)的業(yè)務(wù)控制能力，幫助用戶優(yōu)化其網(wǎng)絡(luò)資源，為用戶打造一個(gè)和諧、有序的網(wǎng)絡(luò)環(huán)境。SecBladeACG模塊與基礎(chǔ)網(wǎng)絡(luò)設(shè)備融合，具有即插即用、擴(kuò)展性強(qiáng)的特點(diǎn)，降低了用戶管理難度，減少了維護(hù)成本。2.6.6匯聚交換機(jī)H3CS5500-EI系列交換機(jī)是H3C公司最新開發(fā)的增強(qiáng)型IPv6強(qiáng)三層萬(wàn)兆以太網(wǎng)交換機(jī)產(chǎn)品，具備業(yè)界盒式交換機(jī)最先進(jìn)的硬件處理能力和最豐富的業(yè)務(wù)特性。支持最多4個(gè)萬(wàn)兆擴(kuò)展接口，支持IPv4/IPv6硬件雙棧及線速轉(zhuǎn)發(fā)，使客戶能夠從容應(yīng)對(duì)即將帶來(lái)的IPv6時(shí)代；除此以外，其出色的安全性，可靠性和多業(yè)務(wù)支持能力使其成為大型企業(yè)網(wǎng)絡(luò)和園區(qū)網(wǎng)的匯聚，中小企業(yè)網(wǎng)核心、以及城域網(wǎng)邊緣設(shè)備的第一選擇。2.6.7接入交換機(jī)H3CS5120-EI系列交換機(jī)是H3C公司自主開發(fā)的全千兆以太網(wǎng)交換機(jī)產(chǎn)品，具備豐富的業(yè)務(wù)特性，提供IPv6轉(zhuǎn)發(fā)功能以及最多4個(gè)10GE擴(kuò)展接口。通過(guò)H3C特有的IRF2（智能彈性架構(gòu)）功能，用戶能夠簡(jiǎn)化對(duì)網(wǎng)絡(luò)的管理。S5120-EI系列千兆以太網(wǎng)交換機(jī)定位為企業(yè)網(wǎng)千兆接入，同時(shí)還可以用于數(shù)據(jù)中心服務(wù)器群的連接。2.6.8無(wú)線控制器(AC)H3CWX5000是杭州華三通信技術(shù)有限公司(以下簡(jiǎn)稱H3C公司)自主研發(fā)的多業(yè)務(wù)無(wú)線控制器(AC，AccessController)產(chǎn)品系列。H3CWX5000系列無(wú)線控制器具有容量適中、高可靠、業(yè)務(wù)類型豐富等特點(diǎn)，集精細(xì)的用戶控制管理、完善的射頻資源管理、7X24小時(shí)無(wú)線安全管控、二三層快速漫游、靈活的QoS控制、IPv4&IPv6雙棧等多功能于一體，提供強(qiáng)大的有線、無(wú)線一體化接入能力。H3CWX5000系列多業(yè)務(wù)無(wú)線控制器包括H3CWX5004無(wú)線控制器，配合H3CFitAP產(chǎn)品系列，可以滿足大型企業(yè)園區(qū)WLAN接入、無(wú)線城域網(wǎng)覆蓋、熱點(diǎn)覆蓋等無(wú)線場(chǎng)景的典型應(yīng)用。2.6.9無(wú)線接入點(diǎn)（AP）H3CWA2600系列無(wú)線產(chǎn)品是杭州華三通信技術(shù)有限公司(H3C)自主研發(fā)的新一代基于802.11n技術(shù)的超百兆高速無(wú)線接入設(shè)備(以下簡(jiǎn)稱AP)，可提供相當(dāng)于傳統(tǒng)802.11a/b/g網(wǎng)絡(luò)6倍以上的無(wú)線接入速率，能夠覆蓋更大的范圍。該系列無(wú)線產(chǎn)品上行接口采用千兆以太網(wǎng)接口接入，突破了百兆以太網(wǎng)接口的限制，使無(wú)線多媒體應(yīng)用成為現(xiàn)實(shí)。WA2600系列無(wú)線產(chǎn)品支持Fat和Fit兩種工作模式，根據(jù)網(wǎng)絡(luò)規(guī)劃的需要，可以通過(guò)命令行靈活地在Fat和Fit兩種工作模式中切換。作為瘦AP(FitAP)時(shí)，需要與H3C自主研發(fā)的WX系列無(wú)線控制器系列產(chǎn)品配套使用；作為胖AP(FatAP)時(shí)，可以獨(dú)立進(jìn)行組網(wǎng)。WA2600系列無(wú)線產(chǎn)品支持Fat/Fit兩種工作模式的特性，有利于將客戶的無(wú)線網(wǎng)絡(luò)由小型網(wǎng)絡(luò)平滑升級(jí)到大型網(wǎng)絡(luò)，從而很好保護(hù)用戶的投資。2.6.10網(wǎng)管系統(tǒng)基于多年的積累和對(duì)用戶網(wǎng)絡(luò)的深入理解，H3C智能管理中心（intelligenceManagementCenter，iMC）平臺(tái)（以下簡(jiǎn)稱iMC平臺(tái)）為用戶提供了實(shí)用、易用的網(wǎng)絡(luò)管理功能，在網(wǎng)絡(luò)資源的集中管理基礎(chǔ)上，實(shí)現(xiàn)拓?fù)?、故障、性能、配置、安全等管理功能，不僅提供功能，更通過(guò)流程向?qū)У姆绞礁嬖V用戶如何使用功能滿足業(yè)務(wù)需求，為用戶提供了網(wǎng)絡(luò)精細(xì)化管理最佳的工具軟件。對(duì)于設(shè)備數(shù)量較多、分布地域較廣并且又相對(duì)較為集中的網(wǎng)絡(luò)，iMC平臺(tái)提供分級(jí)管理的功能，有利于對(duì)整個(gè)網(wǎng)絡(luò)進(jìn)行清晰分權(quán)管理和負(fù)載分擔(dān)。iMC平臺(tái)除了涵蓋網(wǎng)絡(luò)管理功能外，還是其他業(yè)務(wù)管理組件的承載平臺(tái)，共同實(shí)現(xiàn)了管理的深入融合聯(lián)動(dòng)。

第三章．網(wǎng)絡(luò)設(shè)備集中統(tǒng)一管理解決方案網(wǎng)絡(luò)管理分為兩類。第一類是網(wǎng)絡(luò)應(yīng)用程序、用戶帳號(hào)（例如文件的使用）和存取權(quán)限（許可）的管理。它們都是與軟件有關(guān)的網(wǎng)絡(luò)管理問(wèn)題。這里不作討論。網(wǎng)絡(luò)管理的第二類是由構(gòu)成網(wǎng)絡(luò)的硬件所組成。這一類包括工作站、服務(wù)器、網(wǎng)卡、路由器、交換機(jī)等等。通常情況下這些設(shè)備都離所在的地方很遠(yuǎn)。正是由于這個(gè)原因，如果當(dāng)設(shè)備有問(wèn)題發(fā)生時(shí)網(wǎng)絡(luò)管理員可以自動(dòng)地被通知的話，那么一切事情都好辦。但是網(wǎng)絡(luò)設(shè)備不會(huì)象用戶那樣，當(dāng)有一個(gè)應(yīng)用程序問(wèn)題發(fā)生時(shí)就可以打電話通知你，而當(dāng)設(shè)備擁擠時(shí)它并不能夠通知你。為了解決這個(gè)問(wèn)題，廠商們已經(jīng)在一些設(shè)備中設(shè)立了網(wǎng)絡(luò)管理的功能，這樣就可以遠(yuǎn)程地詢問(wèn)它們的狀態(tài)，同樣能夠讓它們?cè)谟幸环N特定類型的事件發(fā)生時(shí)能夠向你發(fā)出警告。