辦公樓網(wǎng)絡(luò)技術(shù)方案

澳洋醫(yī)院辦公樓及綜合樓網(wǎng)絡(luò)方案目錄第一章．概述 31.1 建筑群網(wǎng)絡(luò)建設(shè)背景 31.2 建網(wǎng)需求分析 31.2.1一般建網(wǎng)需求 31.2.2網(wǎng)絡(luò)安全需求分析和對策 4第二章．總體網(wǎng)絡(luò)設(shè)計和網(wǎng)絡(luò)特點 72.1網(wǎng)絡(luò)設(shè)計的原則 72.2網(wǎng)絡(luò)拓?fù)?82.3方案說明 82.4方案特色技術(shù)簡介 102.4.1路由規(guī)劃 102.4.2IP地址規(guī)劃 112.5 無線方案 122.5.1無線網(wǎng)絡(luò)優(yōu)勢 122.5.2無線局域網(wǎng)總體架構(gòu)選擇 122.5.3供電問題 132.5.4頻率規(guī)劃 132.5.5頻率復(fù)用 142.5.6信號覆蓋范圍控制 152.5.7AP防盜設(shè)計 152.5.8多SSID接入 162.5.9AP射頻和SSID控制 162.6 網(wǎng)絡(luò)設(shè)備選型 162.6.1出口路由器 162.6.2防火墻 162.6.3核心交換機 172.6.4IPS插卡（入侵檢測） 172.6.5ACG插卡（流控設(shè)備） 182.6.6匯聚交換機 182.6.7接入交換機 182.6.8無線控制器(AC) 182.6.9無線接入點（AP） 192.6.10網(wǎng)管系統(tǒng) 19第三章．網(wǎng)絡(luò)設(shè)備集中統(tǒng)一管理解決方案 213.1網(wǎng)絡(luò)管理概述 213.2網(wǎng)絡(luò)管理需求分析 213.3網(wǎng)絡(luò)管理總體設(shè)計 22第一章．概述建筑群網(wǎng)絡(luò)建設(shè)背景當(dāng)前，人類社會正處在一個偉大的轉(zhuǎn)折時期，社會信息化的限度已被看作是一個國家現(xiàn)代化水平和綜合國力的重要標(biāo)志。在這個信息時代，各個單位各個部門的信息技術(shù)建設(shè)是極其重要的。因此在信息社會的今天，網(wǎng)絡(luò)信息系統(tǒng)的建設(shè)特別重要。網(wǎng)絡(luò)系統(tǒng)建成后，將為辦公大樓提供高效率的辦公環(huán)境，實現(xiàn)無紙化協(xié)同辦公。網(wǎng)絡(luò)系統(tǒng)的設(shè)計必須兼顧先進(jìn)性、高可靠性、容錯性、靈活性與安全性，提供一套可監(jiān)控、易管理、可擴展、易升級的高效網(wǎng)絡(luò)系統(tǒng)。實現(xiàn)主干千兆，并且千兆互換到桌面的高效網(wǎng)絡(luò)系統(tǒng)。本次組網(wǎng)是按照下面幾點大的目的來考慮的，在一個健全成熟的網(wǎng)絡(luò)體系中，這幾個點是必備的。因此本次組網(wǎng)力爭做到下面幾個方面：1.建成較完善的局域網(wǎng)管理信息網(wǎng)絡(luò)體系。實現(xiàn)局域網(wǎng)內(nèi)部的可靠連接，實現(xiàn)網(wǎng)絡(luò)內(nèi)部各部門、各人員信息的交流與資源的共享。2.建立高效的網(wǎng)絡(luò)管理中心，整個公司網(wǎng)絡(luò)的關(guān)鍵設(shè)備,如中心互換機、服務(wù)器、路由器等都集中安裝在網(wǎng)絡(luò)中心.公司網(wǎng)絡(luò)建成后，運用高效的網(wǎng)管軟件、安全策略，可對整個公司網(wǎng)絡(luò)實行管理和監(jiān)控。3.建立高可靠性的網(wǎng)絡(luò)系統(tǒng)，保證網(wǎng)絡(luò)運營不間斷。4．建立高效協(xié)同的辦公環(huán)境，保證各部分的的工作人員可以有良好的交流環(huán)境，使其互相之間的協(xié)作更加緊密，更利于發(fā)揮自己的潛能，為公司發(fā)明更多的價值。5．進(jìn)行策略控制，嚴(yán)格控制內(nèi)網(wǎng)用戶的操作權(quán)限，給不同的人員分派不同的權(quán)限。6．根據(jù)不同的部門劃分不同的VLAN，保證各個部門之間的獨立性，控制各個VALN之間的訪問。通過這樣的設(shè)計后，建設(shè)后的網(wǎng)絡(luò)是一個高效的、功能完善的、安全的、可管理的網(wǎng)絡(luò)。對網(wǎng)絡(luò)的性能也做了優(yōu)化，選用良好的設(shè)備，保證系統(tǒng)的高可用性。建網(wǎng)需求分析1.2.1一般建網(wǎng)需求辦公網(wǎng)網(wǎng)絡(luò)在實際的建設(shè)過程當(dāng)中，應(yīng)當(dāng)充足考慮到本次組網(wǎng)的多業(yè)務(wù)以及本公司的特點等應(yīng)用需求，如：員工對服務(wù)器的訪問，公網(wǎng)用戶對服務(wù)器的訪問，涉及到基礎(chǔ)網(wǎng)絡(luò)設(shè)施的建設(shè)和業(yè)務(wù)應(yīng)用平臺建設(shè)兩個不同的層面。此處重要分析辦公網(wǎng)絡(luò)基礎(chǔ)設(shè)施建設(shè)和網(wǎng)絡(luò)運營方面相關(guān)的內(nèi)容，重要有以下幾方面的特點：對Internet的訪問需求：將根據(jù)辦公大樓實際需要，選擇出口網(wǎng)絡(luò)的帶寬，通過ISP接入Internt。從而可以滿足公司員工的上網(wǎng)需求，可以滿足外網(wǎng)訪問公司W(wǎng)EB、FTP、MAIL等服務(wù)器，利于公司做好對外宣傳和服務(wù)。用戶管理的需求：。對用戶帶寬進(jìn)行控制的需求，規(guī)定設(shè)備能對用戶的帶寬進(jìn)行控制，辟如限制為64K、256K、512K、1M、2M、5M、10M等等級。網(wǎng)絡(luò)管理的需求：整個網(wǎng)絡(luò)的關(guān)鍵設(shè)備,如中心互換機、服務(wù)器、路由器等都集中安裝在網(wǎng)絡(luò)中心.公司網(wǎng)絡(luò)建成后，運用高效的網(wǎng)管軟件、安全策略，可對整個公司網(wǎng)絡(luò)實行管理和監(jiān)控。安全管理的需求：在當(dāng)前的網(wǎng)絡(luò)環(huán)境下，如何保障辦公網(wǎng)絡(luò)的安全成為各個公司在組建網(wǎng)時不得不考慮的問題，目前重要襲擊手段有DOS、DDOS、IP欺騙、未授權(quán)訪問等。運用高性能的網(wǎng)絡(luò)安全防御設(shè)備，在網(wǎng)絡(luò)的出口處屏蔽掉病毒及黑客的襲擊，保護(hù)內(nèi)網(wǎng)數(shù)據(jù)的安全。組播業(yè)務(wù)的需求隨著多種業(yè)務(wù)的融合，特別是可控組播的需求將隨著公司信息化的進(jìn)一步而體現(xiàn)出來。1.2.2網(wǎng)絡(luò)安全需求分析和對策隨著以網(wǎng)絡(luò)為核心的信息技術(shù)目新月異的發(fā)展，特別是Internet/Intranet在全球的迅速普及，網(wǎng)絡(luò)安全問題正日益成為人們關(guān)注的頭號焦點。對于本公司網(wǎng)絡(luò)來說，內(nèi)部信息網(wǎng)絡(luò)系統(tǒng)的安全涉及到兩個方面的問題：如何有效防止來自外網(wǎng)的非法襲擊；如何有效防止來自于網(wǎng)絡(luò)內(nèi)部，涉及管理人員的誤操作以及某些惡意的內(nèi)部襲擊；對于后者往往是信息主管的重視限度往往局限性。一方面應(yīng)當(dāng)鼓勵公司網(wǎng)絡(luò)內(nèi)部的互訪，以使資源得到最大限度的共享。但同時安全意識不能丟。一般情況下，內(nèi)部襲擊所導(dǎo)致的危外部入侵要大得多，這是由于內(nèi)部入侵者不像外部黑客，很少是由于好奇心趨勢他們進(jìn)絡(luò)襲擊行為，其中隱藏著較復(fù)雜的與內(nèi)部有關(guān)的動機。他們一般非常熟悉網(wǎng)絡(luò)內(nèi)部環(huán)境，襲擊手段隱秘。假如辦公網(wǎng)絡(luò)內(nèi)部的重要核心資源不加以有效的保護(hù)，那么內(nèi)部惡性入侵成的危害比外部非法入侵還要大。從辦公網(wǎng)的網(wǎng)絡(luò)結(jié)構(gòu)來看，重要存在的危險有以下幾點：數(shù)據(jù)竊聽；數(shù)據(jù)竊聽是一種軟件應(yīng)用，它可以捕獲通過某個沖突域的所有網(wǎng)絡(luò)數(shù)據(jù)。通常我們運用數(shù)據(jù)竊聽功能進(jìn)行網(wǎng)絡(luò)故障的排除或進(jìn)行流量分析。但黑客可以運用它獲取一些非常有用且敏感的信息，比如用戶名和密碼等。IP欺騙；當(dāng)位于網(wǎng)絡(luò)內(nèi)部或外部的黑客主機模仿成為一臺可信賴的計算機時，就稱其進(jìn)行了IP欺騙。黑客可通過兩種方式達(dá)成上述目的：可以使用一個位于可靠網(wǎng)絡(luò)IP地址范圍內(nèi)的IP地址；可以使用一個既可靠又可以訪問網(wǎng)絡(luò)上特定資源的授權(quán)外部IP址；拒絕服務(wù)(DoS)；拒絕服務(wù)襲擊(DoS)的目的通常并不是進(jìn)入某個網(wǎng)絡(luò)或獲取其中的信息。這種襲擊的重要目的是使某種服務(wù)不能被正常使用，并且這種襲擊通常是通過破壞網(wǎng)絡(luò)、操作系統(tǒng)或應(yīng)用程序,來致使某些服務(wù)不能被正常使用。密碼襲擊；黑客可以采用幾種不同的方法實行密碼襲擊，涉及暴力破解，特洛伊木馬方式，IP欺騙與數(shù)據(jù)竊聽方式等。一旦他們擁有了用戶的賬號和密碼，他們就擁有了和該用戶完全相同的權(quán)利。中間人襲擊；進(jìn)行中間人襲擊規(guī)定黑客可以訪問在網(wǎng)上傳輸?shù)木W(wǎng)絡(luò)數(shù)據(jù)。黑客通常是通過使用網(wǎng)絡(luò)數(shù)據(jù)竊聽以及路由和傳輸協(xié)議進(jìn)行這種襲擊的。這種襲擊的重要目的是竊取信息、截獲正在傳輸中的會話以便訪問專用網(wǎng)絡(luò)資源、進(jìn)行流量分析以獲取關(guān)于一個網(wǎng)絡(luò)及其用途的信息、拒絕服務(wù)、破壞傳輸數(shù)據(jù)以及在網(wǎng)絡(luò)會話中插入新的信息。應(yīng)用層襲擊；黑客可以通過幾種不同的方法實行應(yīng)用層襲擊。最常用的一種方法是運用服務(wù)器上普通軟件的常見弱點，涉及郵件發(fā)送、超文本傳輸協(xié)議(HTTP)以及FTP。運用這些弱點，黑客可以獲得合法的帳號，從而得以訪問計算機。與應(yīng)用層襲擊相關(guān)的一個重要問題是這些襲擊經(jīng)常使用被允許穿越安全設(shè)備的端口。應(yīng)用層襲擊永遠(yuǎn)不也許被完全消除，由于新的易受襲擊點總會不斷出現(xiàn)，但可以部署更智能的設(shè)備減少非法襲擊。信任關(guān)系運用；指非授權(quán)用戶運用網(wǎng)絡(luò)內(nèi)部的某種信任關(guān)系進(jìn)行襲擊的行為。典型的一個例子是公司的周邊網(wǎng)絡(luò)連接，此外一個例子是位于安全設(shè)備外側(cè)的系統(tǒng)與位于安全設(shè)備內(nèi)側(cè)的系統(tǒng)之間有信任關(guān)系。當(dāng)外部系統(tǒng)被破壞時，它可以運用這種信任關(guān)系襲擊內(nèi)部的系統(tǒng)。未授權(quán)訪問；未授權(quán)訪問不是指某種具體的襲擊，而是指當(dāng)今網(wǎng)絡(luò)中發(fā)生的多數(shù)襲擊。病毒與特洛伊木馬；病毒是指與另一個程序相連的不良軟件，專門在用戶的工作站上執(zhí)行某種破壞性功能。特洛伊木馬事實上是一種襲擊工具，可以獲取用戶非常有用的信息。針對上面所述的安全隱患，我們應(yīng)當(dāng)采用以下措施：對網(wǎng)絡(luò)而言，零風(fēng)險意味著網(wǎng)絡(luò)幾乎關(guān)閉，主線不能提供網(wǎng)絡(luò)服務(wù)，這是不可取的。換句話說，網(wǎng)絡(luò)安全不也許做到零風(fēng)險。購買了高性能的網(wǎng)絡(luò)安全產(chǎn)品并不意味著信息主管可以高枕無憂。信息安全并不僅僅局限于通信保密，其實網(wǎng)絡(luò)信息安全牽扯到方方面問題，是一個極其復(fù)雜的工程。要實行一個完整的網(wǎng)絡(luò)與信息安全體系，至少應(yīng)涉及三個方面的措施：一是公司的規(guī)章制度及安全教育等外部軟環(huán)境，在該方面公司的重要領(lǐng)導(dǎo)扮演重要的角色；二是技術(shù)方面的措施，如入侵防御技術(shù)，防火墻技術(shù)、網(wǎng)絡(luò)防毒、信息加密存儲通信，身份驗證，授權(quán)等，但只有技術(shù)措施并不能保證百分之百的安全；三是審計和管理措施，該方面措施同時包含了技術(shù)與社會措施。重要措施有：實時監(jiān)控公司的安全狀態(tài)、提供應(yīng)變安全策略的能力，對現(xiàn)有的安全系統(tǒng)實行漏洞檢查等，以防患于未然。總之，要實行安全的系統(tǒng)，應(yīng)三管齊下。為了保證網(wǎng)絡(luò)的絕對安全，僅僅在安全技術(shù)上采用種種措施還是不夠的，還要有一個有效的網(wǎng)絡(luò)安全管理體制。網(wǎng)絡(luò)安全管理制度的核心是圍繞著用戶的賬戶和口令而展開的。任何一個部門或分系統(tǒng)都應(yīng)當(dāng)在該制度下運轉(zhuǎn)，服從統(tǒng)一的安全策略。

第二章．總體網(wǎng)絡(luò)設(shè)計和網(wǎng)絡(luò)特點2.1網(wǎng)絡(luò)設(shè)計的原則初期的公司辦公網(wǎng)絡(luò)重要是共用內(nèi)部系統(tǒng)主機資源，共享簡樸數(shù)據(jù)庫，多以二層互換為主，很少有三層應(yīng)用，存在安全、可管理性較差、無業(yè)務(wù)增值能力等方面的問題?，F(xiàn)在將要建設(shè)的是實現(xiàn)內(nèi)部全方位的數(shù)據(jù)共享，應(yīng)用三層互換，提供全面的QoS保障服務(wù)，使網(wǎng)絡(luò)安全可靠，從而實現(xiàn)內(nèi)部管理、信息流動、管理自動化，并且還要通過Internet對外提供服務(wù)，提供可增值可管理的業(yè)務(wù)，整網(wǎng)必須具有高性能、高安全性、高可靠性，可管理、可增值特性以及開放性、兼容性、可擴展性?；谵k公網(wǎng)業(yè)務(wù)需求的進(jìn)一步理解，結(jié)合自身產(chǎn)品和技術(shù)特點，我們通過完善的網(wǎng)絡(luò)解決方案，為公司提供“可管理、可增值、可連續(xù)發(fā)展”的精品網(wǎng)絡(luò)。根據(jù)我們對辦公網(wǎng)絡(luò)功能規(guī)定的理解，在方案的設(shè)計中，我們貫穿著以下設(shè)計思想：高可靠性－網(wǎng)絡(luò)系統(tǒng)的穩(wěn)定可靠是應(yīng)用系統(tǒng)正常運營的關(guān)鍵保證，在網(wǎng)絡(luò)設(shè)計中選用高可靠性網(wǎng)絡(luò)產(chǎn)品，設(shè)備充足考慮冗余、容錯能力；合理設(shè)計網(wǎng)絡(luò)架構(gòu)，制訂可靠的網(wǎng)絡(luò)備份策略，保證網(wǎng)絡(luò)具有故障自愈的能力，最大限度地支持系統(tǒng)的正常運營。網(wǎng)絡(luò)設(shè)備在出現(xiàn)故障時應(yīng)便于診斷和排除，充足體現(xiàn)計算機網(wǎng)絡(luò)的高可靠性。技術(shù)先進(jìn)性和實用性―在保證滿足公司業(yè)務(wù)、應(yīng)用系統(tǒng)業(yè)務(wù)的同時，要體現(xiàn)出網(wǎng)絡(luò)系統(tǒng)的先進(jìn)性。在網(wǎng)絡(luò)設(shè)計中要把先進(jìn)的技術(shù)與現(xiàn)有的成熟技術(shù)和標(biāo)準(zhǔn)結(jié)合起來，充足考慮網(wǎng)絡(luò)應(yīng)用的現(xiàn)狀和未來發(fā)展趨勢。高性能―骨干網(wǎng)絡(luò)性能是整個網(wǎng)絡(luò)良好運營的基礎(chǔ)，設(shè)計中必須保障網(wǎng)絡(luò)及設(shè)備的高吞吐能力，保證各種信息（數(shù)據(jù)、圖象）的高質(zhì)量傳輸，才干使網(wǎng)絡(luò)不成為業(yè)務(wù)開展的瓶頸。標(biāo)準(zhǔn)開放性―支持國際上通用的網(wǎng)絡(luò)協(xié)議、路由協(xié)議等開放的協(xié)議標(biāo)準(zhǔn)，有助于保證與其它網(wǎng)絡(luò)設(shè)備的互通，及與各種網(wǎng)絡(luò)平滑連接互通，以及將來網(wǎng)絡(luò)的擴展。靈活性及可擴展性―根據(jù)未來業(yè)務(wù)的增長和變化，網(wǎng)絡(luò)可以平滑地擴充和升級，最大限度的減少對網(wǎng)絡(luò)架構(gòu)和現(xiàn)有設(shè)備的調(diào)整。可管理性―對網(wǎng)絡(luò)實行集中監(jiān)測、分權(quán)管理，并統(tǒng)一分派帶寬資源。選用先進(jìn)的網(wǎng)絡(luò)管理平臺，具有對設(shè)備、端口等的管理、流量記錄分析，及可提供故障自動報警。安全性―制訂統(tǒng)一的網(wǎng)絡(luò)安全策略，整體考慮網(wǎng)絡(luò)平臺的安全性。保證關(guān)鍵數(shù)據(jù)不被非法竊取、篡改或泄漏，使數(shù)據(jù)具有極高的可信性。兼容性和經(jīng)濟(jì)性―兼容性，可以最大限度地保證公司辦公網(wǎng)絡(luò)現(xiàn)有各種計算機軟、硬件資源的可用性和連續(xù)性，為不同的現(xiàn)存網(wǎng)絡(luò)提供互聯(lián)和升級的手段，保證各種計算機系統(tǒng)（涉及工作站、服務(wù)器和微機等設(shè)備）的互連入網(wǎng)，充足運用現(xiàn)有網(wǎng)絡(luò)資源，發(fā)揮高速網(wǎng)絡(luò)的優(yōu)勢。經(jīng)濟(jì)性，就是在充足運用現(xiàn)有資源的情況下，最大限度地降網(wǎng)絡(luò)系統(tǒng)的總體投資，有計劃、有環(huán)節(jié)地實行，在保證網(wǎng)絡(luò)整體性能的前提下，充足運用現(xiàn)有設(shè)備或做必要的升級。2.2網(wǎng)絡(luò)拓?fù)渚W(wǎng)絡(luò)拓?fù)淙缦滤荆?.3方案說明1：整網(wǎng)包含兩棟大樓，這里我們以A樓與B樓來代替；2：整網(wǎng)包有線網(wǎng)絡(luò)與無線網(wǎng)絡(luò)兩部分；3：在核心側(cè)，由核心互換機、IMC網(wǎng)管服務(wù)器、無線控制器、防火墻、IPS乳清檢測（插卡式）、ACG用戶行為管理（插卡式）、出口路由器組成；3：核心互換機需雙設(shè)備冗余，通過IRF2（第二代智能彈性架構(gòu)）來實現(xiàn)兩臺設(shè)備合二為一的功能，保證核心設(shè)備即實現(xiàn)冗余，同時也能將設(shè)備性能提高一倍以上；4：核心互換機上安裝IPS、ACG插卡，保證流量防病毒檢測和用戶行為管理，一方面使內(nèi)網(wǎng)用戶的流量避免遭受病毒侵襲，另一方面可保證內(nèi)網(wǎng)用戶的一些行為時刻處在監(jiān)控范圍，例如在網(wǎng)絡(luò)上發(fā)表了某種不良言論、登錄了某些網(wǎng)站、使用了哪些上網(wǎng)工具等等，時刻為內(nèi)網(wǎng)安全做到細(xì)致入微的保護(hù)和監(jiān)控；5：核心互換機上行連接防火墻，防火墻為網(wǎng)絡(luò)內(nèi)部的數(shù)據(jù)提供防護(hù)，拒絕一切對內(nèi)部網(wǎng)絡(luò)實行的襲擊，例如DDOS襲擊、ARP欺騙、代理服務(wù)襲擊等等，可為每一級別或某一辦公室的電腦群設(shè)立安全域，可更具規(guī)定實現(xiàn)網(wǎng)絡(luò)、服務(wù)器之間的隔離，通過防火墻豐富的域安全策略及域間策略可做到雙保險防護(hù)，并且對內(nèi)網(wǎng)內(nèi)某一些用戶發(fā)起的襲擊進(jìn)行防御并同時確認(rèn)其位置；6：防火墻上行為出口路由器，出口路由器為全網(wǎng)用戶的上網(wǎng)提供統(tǒng)一出口，所有內(nèi)網(wǎng)的用戶地址均有該設(shè)備進(jìn)行統(tǒng)一轉(zhuǎn)換，該設(shè)備必須具有高性能、高轉(zhuǎn)發(fā)、高密度等特點，一方面作為出口設(shè)備，需要為全網(wǎng)內(nèi)的所有流量進(jìn)行統(tǒng)一轉(zhuǎn)發(fā)，假如設(shè)備性能不高的話，會導(dǎo)致流量擁塞或是設(shè)備負(fù)載而無法正常工作，此外該設(shè)備也許需要連接多條運營商出口，所以一定要具有較多的接口類型和數(shù)量；7：如圖，在核心層面上，采用雙防火墻與雙出口路由器進(jìn)行組網(wǎng)，均采用雙歸屬部署，防火墻與路由器均采用熱備，這樣可保證一旦一臺設(shè)備出現(xiàn)故障之后，此外一臺備份設(shè)備可迅速進(jìn)行切換，承擔(dān)流量轉(zhuǎn)發(fā)的功能，這樣的部署，可使得網(wǎng)絡(luò)核心更具保障性和冗余能力；8：核心互換機下行連接各級匯聚互換機，所有匯聚互換機均采用雙上行方式連接至核心互換機，根據(jù)現(xiàn)場環(huán)境，我們可以在5-6個樓層中放置一臺匯聚互換機，而所有的匯聚互換機均采用雙上行模式統(tǒng)一匯聚至核心互換機，通過匯聚互換機可將接入層的流量在匯聚層通過統(tǒng)一匯聚之后，在分包轉(zhuǎn)發(fā)給核心，是網(wǎng)絡(luò)更有層次感，并且雙上行歸屬使的骨干線路實現(xiàn)備份；9：匯聚互換機下行連接各樓層中的接入互換機，為了保證桌面用戶業(yè)務(wù)辦公的效率得到保障，可以提供千兆至桌面的部署模式，使用戶的桌面帶寬達(dá)成千兆，具有更高的帶寬保證，而接入互換機則可采用單鏈路上行至匯聚互換機；10：無線網(wǎng)絡(luò)的部署，則可以采用千兆POE互換機進(jìn)行統(tǒng)一部署，在各樓層中部署千兆POE互換機，由于目前比較流行的無線部署方式為AC+FIT模式，即在核心互換機側(cè)旁掛無線控制器AC,而在接入互換機上接入無線AP,無線AP可以通過壁掛式部署，也可以通過饋線方式引出天線，通過天線去進(jìn)行無線覆蓋，但對于使用效果來說，我司建議使用壁掛式部署，由于壁掛式部署，可運用11NAP內(nèi)的智能天線去實現(xiàn)無線覆蓋的效果，智能天線可類似于補光燈同樣，用戶出現(xiàn)在哪里，信號就出現(xiàn)在哪里，一切以用戶的地理位置為主，優(yōu)于11NAP的接口為千兆接口，吞吐量達(dá)成300M，故上行連接應(yīng)采用千兆為主，而核心側(cè)的AC控制器則會對全網(wǎng)的無線AP進(jìn)行統(tǒng)一管控，所有的AP配置均有AC下發(fā)，一旦AP被盜也不會對網(wǎng)絡(luò)導(dǎo)致任何影響，所有的用戶信號端的配置也均有AC統(tǒng)一完畢配置，無需用戶終端再進(jìn)行配置；11：在核心互換機上在旁掛IMC智能網(wǎng)管服務(wù)器，通過網(wǎng)管平臺，實現(xiàn)對全網(wǎng)所有網(wǎng)絡(luò)設(shè)備（有線、無線設(shè)備、用戶）等進(jìn)行統(tǒng)一管理，平臺通過收集所有現(xiàn)網(wǎng)網(wǎng)絡(luò)互換機的SNMP信息，前提是保證設(shè)備網(wǎng)絡(luò)二層或三層互通，通過收集信息，在平臺上生成一個全網(wǎng)的拓?fù)?，各個節(jié)點均會出現(xiàn)在平臺上，使管理員一目了然，及時某一個節(jié)點出現(xiàn)故障或掉線了，會在拓?fù)渲卸伎梢泽w現(xiàn)出現(xiàn)，同時，平臺也會以短信或者郵件形式發(fā)送給管理員，使網(wǎng)絡(luò)故障得到及時解決，減少網(wǎng)絡(luò)故障所帶來的經(jīng)濟(jì)損失；12：網(wǎng)絡(luò)建成之后，當(dāng)然尚有一個環(huán)節(jié)非常重要，那就是如何對用戶進(jìn)行認(rèn)證，這里我們給出的方案是，對于有線網(wǎng)絡(luò)用戶來說，可以通過H3CEAD方案中的802.1X認(rèn)證，該種認(rèn)證可對用戶的使用終端進(jìn)行全方位的檢測，包含使用權(quán)限、終端類型、終端病毒檢測及MAC地址，在各個環(huán)節(jié)對用戶終端實行統(tǒng)一認(rèn)證和監(jiān)控，保證用戶終端的病毒元素會對全網(wǎng)導(dǎo)致影響，而對于無線用戶來說，可采用PORTAL認(rèn)證方式，該種方式需要客戶自行定制頁面素材，我司網(wǎng)絡(luò)管理平臺可將頁面信息通過無線方式強制推送給無線用戶終端，進(jìn)行認(rèn)證，認(rèn)證頁面中可包含用戶名和密碼欄，也可以不包含，及采用免責(zé)條款方式，該方式即在頁面中設(shè)計一個”我批準(zhǔn)“或者“可上網(wǎng)”按鈕信息，其實，在頁面按鈕上，通過后臺已將用戶賬號信息嵌入進(jìn)了頁面，可對用戶實時進(jìn)行監(jiān)控和流量記錄；2.4方案特色技術(shù)簡介2.4.1路由規(guī)劃本網(wǎng)絡(luò)建議使用靜態(tài)路由加動態(tài)路由的形式來進(jìn)行規(guī)劃，在個接入層至核心層考慮通過靜態(tài)路由來實現(xiàn)路由可到，而核心層至路由器出口處可考慮通過動態(tài)路由來實現(xiàn)。動態(tài)路由協(xié)議OSPF具有在路由器和高端互換機上自動配置的能力，并且其開銷較低，功能強，支持的網(wǎng)絡(luò)規(guī)模大，特別適合于大型的辦公網(wǎng)絡(luò)。OSPF協(xié)議可以使核心設(shè)備都處在工作狀態(tài)，極大的提高網(wǎng)絡(luò)設(shè)備和帶寬的使用效率。在OSPF的劃分上有兩種方式，一種是所有劃入骨干域，一種是劃分骨干和分支域。兩者的區(qū)別重要在于是否分區(qū)域?qū)嵭新酚蓺w納。在局域網(wǎng)中一般為了負(fù)載均衡而采用OSPF協(xié)議，對路由選路和收斂的規(guī)定不高，因此可以只劃分一個區(qū)域，即area0，所有設(shè)備都位于area0中。2.4.2IP地址規(guī)劃IP地址的合理規(guī)劃是辦公網(wǎng)絡(luò)設(shè)計中的重要一環(huán)，大型計算機網(wǎng)絡(luò)必須對IP地址進(jìn)行統(tǒng)一規(guī)劃并得到實行。IP地址規(guī)劃的好壞，影響到網(wǎng)絡(luò)路由協(xié)議算法的效率，影響到網(wǎng)絡(luò)的性能，影響到網(wǎng)絡(luò)的擴展，影響到網(wǎng)絡(luò)的管理，也必將直接影響到網(wǎng)絡(luò)應(yīng)用的進(jìn)一步發(fā)展。1、IP地址分派原則IP地址空間分派，要與網(wǎng)絡(luò)拓?fù)鋵哟谓Y(jié)構(gòu)相適應(yīng)，既要有效地運用地址空間，又要體現(xiàn)出網(wǎng)絡(luò)的可擴展性和靈活性，同時能滿足路由協(xié)議的規(guī)定，以便于網(wǎng)絡(luò)中的路由聚類，減少路由器中路由表的長度，減少對路由器CPU、內(nèi)存的消耗，提高路由算法的效率，加快路由變化的收斂速度，同時還要考慮到網(wǎng)絡(luò)地址的可管理性。具體分派時要遵循以下原則：唯一性：一個IP網(wǎng)絡(luò)中不能有兩個主機采用相同的IP地址；簡樸性：地址分派應(yīng)簡樸易于管理，減少網(wǎng)絡(luò)擴展的復(fù)雜性，簡化路由表項連續(xù)性：連續(xù)地址在層次結(jié)構(gòu)網(wǎng)絡(luò)中易于進(jìn)行途徑疊合，大大縮減路由表，提高路由算法的效率可擴展性：地址分派在每一層次上都要留有余量，在網(wǎng)絡(luò)規(guī)模擴展時能保證地址疊合所需的連續(xù)性靈活性：地址分派應(yīng)具有靈活性，以滿足多種路由策略的優(yōu)化，充足運用地址空間。主流的IP地址規(guī)劃方案分為純公網(wǎng)地址、純私網(wǎng)地址和混合網(wǎng)絡(luò)地址三種。當(dāng)辦公網(wǎng)網(wǎng)絡(luò)地址分派或采用混合網(wǎng)絡(luò)地址接入時，規(guī)定辦公網(wǎng)能提供網(wǎng)絡(luò)地址轉(zhuǎn)換功能，對私網(wǎng)地址進(jìn)行轉(zhuǎn)換。在辦公網(wǎng)絡(luò)IP地址規(guī)劃的問題上，應(yīng)當(dāng)統(tǒng)一規(guī)劃，協(xié)調(diào)一致,為每個部門分派一個獨有的地址段，以節(jié)省網(wǎng)絡(luò)設(shè)備資源。無線方案2.5.1無線網(wǎng)絡(luò)優(yōu)勢當(dāng)今社會無線網(wǎng)絡(luò)以成為新一代的潮流，無論是在機關(guān)單位還是在公司、教育、醫(yī)療等單位。對無線網(wǎng)絡(luò)都有著很大的需求。無線現(xiàn)在給大家?guī)砹撕艽蟮姆奖悖偃缫粋€網(wǎng)絡(luò)中缺少了無線網(wǎng)絡(luò)，就仿佛一個人缺少一只手同樣，工作起來很不方便。無線網(wǎng)絡(luò)建設(shè)在維護(hù)費用上相對有線網(wǎng)絡(luò)來說，無線網(wǎng)絡(luò)組建容易，設(shè)立和維護(hù)比較簡樸。只需一次投入就可以解決所有問題，其零布線費用是有線網(wǎng)絡(luò)所不能比擬的。在靈活性上，傳統(tǒng)的有線網(wǎng)絡(luò)部署要受到布線格局的限制，假如建筑物中沒有預(yù)留的線路，布線以及調(diào)試的工程比較大，假如使用無線網(wǎng)絡(luò)的話就可以解決了上述的麻煩。在擴展性方面，有線網(wǎng)絡(luò)的擴展性比較弱，假如要增長新用戶，而原有布線所預(yù)留的端口又不夠用的話，那就要進(jìn)行從新部署線纜等工作，雖然電纜自身不貴，但是改造起來比較麻煩。而無線網(wǎng)絡(luò)的擴展性就比較強，一臺AP可以支持多個用戶，假如需要新增用戶，網(wǎng)絡(luò)很小的改動就能滿足客戶的需求。在無線網(wǎng)絡(luò)技術(shù)在不斷的發(fā)展與改善，其發(fā)展前景是良好的，但是在很多場合下，有線接入技術(shù)并不真的比無線網(wǎng)絡(luò)有更多的優(yōu)勢。無線網(wǎng)絡(luò)是對有線網(wǎng)絡(luò)的一種補充，而不是一種替代。從總體上去分析的話,無線是現(xiàn)代網(wǎng)絡(luò)中的一部分是不可分割的一部分。2.5.2無線局域網(wǎng)總體架構(gòu)選擇無線局域網(wǎng)技術(shù)通過十幾年的發(fā)展，已經(jīng)歷了三代技術(shù)及產(chǎn)品的發(fā)展。第一代無線局域網(wǎng)重要是采用FatAP，每一臺AP都要單獨進(jìn)行配置，費時、費力、費成本；第二代無線局域網(wǎng)融入了無線網(wǎng)關(guān)功能但還是不能集中進(jìn)行管理和配置，其管理性和安全性以及對有線網(wǎng)絡(luò)的依賴成為了第一代和第二代WLAN產(chǎn)品發(fā)展的瓶頸，由于這一代技術(shù)的AP儲存了大量的網(wǎng)絡(luò)和安全的配置，涉及加密的鑰匙，Radiusclient的安全密碼(secret)等，而AP又是分散在建筑物中的各個位置，一旦AP的配置被盜取讀出并修改，其無線網(wǎng)絡(luò)系統(tǒng)就失去了安全性。此外由于AC或無線網(wǎng)關(guān)的硬件多數(shù)是基于Pentium架構(gòu)的，所以當(dāng)用戶接入數(shù)量(IPsessions)增多時，無線網(wǎng)的性能會急劇下降，時常會發(fā)生掉線或死機情況。在這樣的環(huán)境下，基于無線互換機技術(shù)的第三代WLAN產(chǎn)品應(yīng)運而生。第三代無線局域網(wǎng)采用無線互換機和FITAP的架構(gòu)，對傳統(tǒng)WLAN設(shè)備的功能做了重新劃分，將密集型的無線網(wǎng)絡(luò)和安全解決功能轉(zhuǎn)移到集中的WLAN互換機中實現(xiàn)，同時加入了許多重要新功能，諸如無線網(wǎng)管、AP間自適應(yīng)、無線安管、RF監(jiān)測、無縫漫游以及Qos。，使得無線局域網(wǎng)的網(wǎng)絡(luò)性能、網(wǎng)絡(luò)管理和安全管理能力得以大幅提高。下表為FATAP與FITAP兩種組網(wǎng)方案對比2.5.3供電問題由于辦公大樓無線網(wǎng)中AP設(shè)備數(shù)量較適中，AP布放位置根據(jù)實際覆蓋效果而調(diào)整，建議采用基于標(biāo)準(zhǔn)的802.3af實現(xiàn)對AP的供電。通過POE互換機可以實現(xiàn)以太網(wǎng)線在傳輸數(shù)據(jù)同時給AP供電，供電距離達(dá)100米，滿足實際組網(wǎng)的規(guī)定。以下是三種AP供電方式對比，通過對比得到采用一體化POE供電可以實現(xiàn)管理員遠(yuǎn)程管理和維護(hù)AP射頻卡、服務(wù)SSID、AP設(shè)備自身。避免了維護(hù)人員的平常維護(hù)管理的不便和安全隱患。2.5.4頻率規(guī)劃目前針對WLAN來講，2.4G具有3具不重疊的信道，故網(wǎng)絡(luò)覆蓋時所需要的WLAN網(wǎng)絡(luò)空間都要進(jìn)行2.4G網(wǎng)絡(luò)規(guī)劃，重要考慮2.4G頻率的覆蓋設(shè)計，針對2.4G的頻率的信號衰減模型重要采用如下：PathLoss(dB)=46+10*n*LogD（m），而對于5.8G的信號衰減模型：PathLoss(dB)=32.4+20*lgf[MHz]+20*lgd[KM]+a*d[KM]，以上二信號衰減模型進(jìn)行網(wǎng)絡(luò)的設(shè)計，到具體網(wǎng)絡(luò)實行時要進(jìn)行工勘與優(yōu)化，而對于信道重要采用1、6、11三個信道交錯使用，具體的面覆蓋邏輯示意圖如下：WLAN2.4G信道規(guī)劃示意圖2.5.5頻率復(fù)用針對頻率復(fù)用的設(shè)計與實現(xiàn)重要側(cè)重于重疊區(qū)域，考慮到802.11技術(shù)中目前業(yè)界重要采用DCF的仲裁，這樣會導(dǎo)致從網(wǎng)絡(luò)實行的角度出發(fā)，沒有辦法做到像GSM、3G網(wǎng)絡(luò)的控制力度，從技術(shù)原理的角度出發(fā)，沒有辦法實現(xiàn)很好的頻率復(fù)用，只能被動做些負(fù)載均衡的功能。每個AP具有54Mbps、48Mbps、36Mbps、18Mbps等的覆蓋范圍，對于54Mbps的覆蓋范圍不重疊，對于54Mbps與18Mbps就也許進(jìn)行重疊，可以根據(jù)網(wǎng)絡(luò)側(cè)的負(fù)載功能進(jìn)行實現(xiàn)一定限度的頻率復(fù)用功能，從網(wǎng)絡(luò)規(guī)劃的角度出發(fā)，WLAN基本上、下行無線鏈路復(fù)用的解決問題，由于目前都是DCF方式，而從只能結(jié)合業(yè)務(wù)目的實現(xiàn)網(wǎng)絡(luò)覆蓋效果，具體網(wǎng)絡(luò)使用效果使用負(fù)載均衡功能進(jìn)行實現(xiàn)。負(fù)載均衡的功能實現(xiàn)具體原理如下：根據(jù)負(fù)載均衡的配置擬定負(fù)載均衡的模式、SSID、其他參與負(fù)載均衡的AP的標(biāo)記、用戶數(shù)或流量的閥值等進(jìn)行一定的初始化；擬定本AP的射頻模塊連接的STA用戶數(shù)量和流量；通過UDP協(xié)議以私有方式定期進(jìn)行AP間通訊。先進(jìn)行握手，成功后才進(jìn)行數(shù)據(jù)的互換，獲取參與負(fù)載均衡的AP的負(fù)載信息。當(dāng)有STA要接入時，根據(jù)其工作頻率，比較本AP上該射頻下的負(fù)載和其他AP的指定SSID下的用戶數(shù)或流量，以及負(fù)載均衡的SSID綁定接口的速率集，決定STA能否接入。同時要注意到若用戶數(shù)已達(dá)成AP某個SSID的最大用戶數(shù)，則該AP的SSID不允許再接入STA；2.5.6信號覆蓋范圍控制為了保障無線網(wǎng)絡(luò)的安全，建議在無線網(wǎng)絡(luò)實行時，需要根據(jù)每個區(qū)域?qū)嶋H使用環(huán)境，對AP的發(fā)射功率做相應(yīng)調(diào)整，保證無線信號控制在大樓內(nèi)，從而屏蔽不安全因素。在室內(nèi)覆蓋情況下，選擇AP擺放位置的時候，需遵循以下幾個原則：1、保持信號穿過墻壁和天花板的數(shù)量最小。2.4G信號可以穿透墻壁和天花板，然而，每一面墻壁和天花板都將使AP信號的覆蓋范圍減少1到30米。應(yīng)放置AP與計算機于合適的位置，使墻壁和天花板阻礙信號的途徑最短，損耗最小。2、考慮AP和覆蓋區(qū)域之間直線連接。注意AP的放置位置，要盡量使信號可以垂直的穿過（90度角）墻壁或天花板。3、AP安裝位置需遠(yuǎn)離電子設(shè)備（起碼1~2米），例如微波爐、監(jiān)視器、電機等。2.5.7AP防盜設(shè)計傳統(tǒng)的FATAP組網(wǎng)模式規(guī)定在AP上配置大量的業(yè)務(wù)參數(shù)，同時需要在AP本地保存這些業(yè)務(wù)配置信息，一旦設(shè)備丟失，AP的業(yè)務(wù)配置信息就也許被泄漏，形成網(wǎng)絡(luò)的安全漏洞。H3C的FITAP在設(shè)備上不保存業(yè)務(wù)配置，而是每次啟動的時候從無線控制器動態(tài)加載業(yè)務(wù)配置，這樣可以有效避免設(shè)備丟失導(dǎo)致配置泄漏。2.5.8多SSID接入跟據(jù)需求，我們建議采用多SSID接入，將辦公人員與訪客分別使用不同的SSID號。例如：辦公人員通過bangong-SSID號訪問網(wǎng)絡(luò)，訪客通過fangke-SSID號訪問網(wǎng)絡(luò)。如此，可實現(xiàn)員工與訪客分開管理，同時可實現(xiàn)訪客上網(wǎng)時間的控制。2.5.9AP射頻和SSID控制控制上網(wǎng)時間AC可以規(guī)定指定區(qū)域的AP在指定期間啟動或者關(guān)閉某個SSID的接入服務(wù)節(jié)電和減少輻射AC可以規(guī)定AP按指定期間打開或者關(guān)閉AP射頻以節(jié)約能耗，減少輻射。網(wǎng)絡(luò)設(shè)備選型2.6.1出口路由器H3CSR6602-X產(chǎn)品（以下簡稱SR6602-X）是H3C自主研發(fā)面向中高端公司網(wǎng)、校園網(wǎng)用戶的緊湊型綜合業(yè)務(wù)網(wǎng)關(guān)路由器，定位于中大型公司、校園網(wǎng)、網(wǎng)吧的VPN、NAT、IPSec等綜合業(yè)務(wù)網(wǎng)關(guān)使用，同時，也可以應(yīng)用中型縱向網(wǎng)絡(luò)匯聚、高端公司用戶大型分支和運營商可管理高性能CPE市場，配合H3C其他網(wǎng)絡(luò)產(chǎn)品為政府、電力、金融、公共事業(yè)、運營商和大中型公司用戶提供全方位網(wǎng)絡(luò)解決方案。H3CSR6602-X雙萬兆網(wǎng)關(guān)基于業(yè)界領(lǐng)先緊湊型設(shè)計理念，在2U高設(shè)備上不僅集成高密度高速端口，支持FIP-20和FIP-10靈活接口設(shè)計，還實現(xiàn)了可插拔冗余電源和模塊、風(fēng)扇可插拔功能，在保證設(shè)備高可靠性、網(wǎng)絡(luò)配置靈活性的同時保證業(yè)務(wù)模塊的兼容性，最大限度保護(hù)用戶投資。H3CSR6602-X萬兆網(wǎng)關(guān)采用高性能多核解決器作為NAT業(yè)務(wù)解決引擎，多核多線程解決器的應(yīng)用，使SR6602-X萬兆網(wǎng)關(guān)具有高性能和靈活性等特點，從而在并行解決各種復(fù)雜的NAT業(yè)務(wù)同時可以實現(xiàn)數(shù)據(jù)的高速轉(zhuǎn)發(fā)2.6.2防火墻SecPathF1000-S-AI是H3C公司面向大型公司和運營商用戶開發(fā)的新一代電信級防火墻設(shè)備。SecPathF1000-S-AI采用了H3C公司最新的硬件平臺和體系架構(gòu)，實現(xiàn)防火墻性能的跨越式突破，可支持?jǐn)?shù)十個GE接口，能滿足電信級應(yīng)用的需求。SecPathF1000-S-AI支持外部襲擊防范、內(nèi)網(wǎng)安全、流量監(jiān)控、郵件過濾、網(wǎng)頁過濾、應(yīng)用層過濾等功能，可以有效的保證網(wǎng)絡(luò)的安全；采用ASPF（ApplicationSpecificPacketFilter）應(yīng)用狀態(tài)檢測技術(shù)，可對連接狀態(tài)過程和異常命令進(jìn)行檢測；提供多種智能分析和管理手段，支持郵件告警，支持多種日記，提供網(wǎng)絡(luò)管理監(jiān)控，協(xié)助網(wǎng)絡(luò)管理員完畢網(wǎng)絡(luò)的安全管理；支持多種VPN業(yè)務(wù)，如GREVPN、IPSecVPN等，可以構(gòu)建多種形式的VPN；提供基本的路由能力，支持RIP/OSPF/BGP/路由策略及策略路由；支持IPv4/IPv6雙協(xié)議棧；支持豐富的QoS特性。2.6.3核心互換機H3CS7600-X系列互換機產(chǎn)品是杭州華三通信技術(shù)有限公司（以下簡稱H3C公司）面向云計算數(shù)據(jù)中心核心、下一代園區(qū)網(wǎng)核心和城域網(wǎng)匯聚而專門設(shè)計開發(fā)的核心互換產(chǎn)品。采用先進(jìn)的CLOS多級多平面互換架構(gòu)，可以提供連續(xù)的帶寬升級能力，支持?jǐn)?shù)據(jù)中心大二層技術(shù)TRILL、VCF(縱向虛擬化)和MDC（一虛多）技術(shù)，支持EVB和FCOE，并完全兼容40GE和100GE以太網(wǎng)標(biāo)準(zhǔn)。該產(chǎn)品基于H3C自主知識產(chǎn)權(quán)的ComwareV5/V7操作系統(tǒng)，以IRF2（IntelligentResilientFramework2，第二代智能彈性架構(gòu)）技術(shù)為系統(tǒng)基石的虛擬化軟件系統(tǒng)，進(jìn)一步融合MPLSVPN、IPv6、應(yīng)用安全、應(yīng)用優(yōu)化，無線等多種網(wǎng)絡(luò)業(yè)務(wù)，提供不間斷轉(zhuǎn)發(fā)、不間斷升級、優(yōu)雅重啟、環(huán)網(wǎng)保護(hù)等多種高可靠技術(shù)，在提高用戶生產(chǎn)效率的同時，保證了網(wǎng)絡(luò)最大正常運營時間，從而減少了客戶的總擁有成本（TCO）。2.6.4IPS插卡（入侵檢測）H3CSecBladeIPS（IntrusionPreventionSystem）是一款高性能入侵防御模塊，可應(yīng)用于H3CS5800/S76-X/S9500E/S10500/S12500系列互換機和SR6600/SR8800路由器，集成入侵防御/檢測、病毒過濾和帶寬管理等功能，是業(yè)界綜合防護(hù)技術(shù)最領(lǐng)先的入侵防御/檢測系統(tǒng)。通過深達(dá)7層的分析與檢測，實時阻斷網(wǎng)絡(luò)流量中隱藏的病毒、蠕蟲、木馬、間諜軟件、網(wǎng)頁篡改等襲擊和惡意行為，并實現(xiàn)對網(wǎng)絡(luò)基礎(chǔ)設(shè)施、網(wǎng)絡(luò)應(yīng)用和性能的全面保護(hù)。SecBladeIPS模塊與基礎(chǔ)網(wǎng)絡(luò)設(shè)備融合，具有即插即用、擴展性強的特點，減少了用戶管理難度，減少了維護(hù)成本。2.6.5ACG插卡（流控設(shè)備）H3CSecBladeACG（ApplicationControlGateway，應(yīng)用控制網(wǎng)關(guān)）是業(yè)界第一款千兆高性能應(yīng)用控制模塊，可應(yīng)用于H3CS76/76-X/S9500E/S10500/S12500系列互換機和SR6600/SR8800路由器，創(chuàng)新性的將應(yīng)用監(jiān)控、審計與網(wǎng)絡(luò)進(jìn)行無縫融合。SecBladeACG能對網(wǎng)絡(luò)中的P2P/IM/VoIP帶寬濫用、網(wǎng)絡(luò)游戲、炒股、多媒體應(yīng)用、非法網(wǎng)站訪問等行為進(jìn)行精細(xì)化辨認(rèn)和控制；同時，根據(jù)對網(wǎng)絡(luò)流量、用戶上網(wǎng)行為進(jìn)行進(jìn)一步分析與全面的事后審計，并具有強大的URL過濾功能，進(jìn)而全面了解網(wǎng)絡(luò)應(yīng)用模型和流量趨勢，大大提高網(wǎng)絡(luò)的業(yè)務(wù)控制能力，幫助用戶優(yōu)化其網(wǎng)絡(luò)資源，為用戶打造一個和諧、有序的網(wǎng)絡(luò)環(huán)境。SecBladeACG模塊與基礎(chǔ)網(wǎng)絡(luò)設(shè)備融合，具有即插即用、擴展性強的特點，減少了用戶管理難度，減少了維護(hù)成本。2.6.6匯聚互換機H3CS5500-EI系列互換機是H3C公司最新開發(fā)的增強型IPv6強三層萬兆以太網(wǎng)互換機產(chǎn)品，具有業(yè)界盒式互換機最先進(jìn)的硬件解決能力和最豐富的業(yè)務(wù)特性。支持最多4個萬兆擴展接口，支持IPv4/IPv6硬件雙棧及線速轉(zhuǎn)發(fā)，使客戶可以從容應(yīng)對即將帶來的IPv6時代；除此以外，其杰出的安全性，可靠性和多業(yè)務(wù)支持能力使其成為大型公司網(wǎng)絡(luò)和園區(qū)網(wǎng)的匯聚，中小公司網(wǎng)核心、以及城域網(wǎng)邊沿設(shè)備的第一選擇。2.6.7接入互換機H3CS5120-EI系列互換機是H3C公司自主開發(fā)的全千兆以太網(wǎng)互換機產(chǎn)品，具有豐富的業(yè)務(wù)特性，提供IPv6轉(zhuǎn)發(fā)功能以及最多4個10GE擴展接口。通過H3C特有的IRF2（智能彈性架構(gòu)）功能，用戶可以簡化對網(wǎng)絡(luò)的管理。S5120-EI系列千兆以太網(wǎng)互換機定位為公司網(wǎng)千兆接入，同時還可以用于數(shù)據(jù)中心服務(wù)器群的連接。2.6.8無線控制器(AC)H3CWX5000是杭州華三通信技術(shù)有限公司(以下簡稱H3C公司)自主研發(fā)的多業(yè)務(wù)無線控制器(AC，AccessController)產(chǎn)品系列。H3CWX5000系列無線控制器具有容量適中、高可靠、業(yè)務(wù)類型豐富等特點，集精細(xì)的用戶控制管理、完善的射頻資源管理、7X24小時無線安全管控、二三層快速漫游、靈活的QoS控制、IPv4&IPv6雙棧等多功能于一體，提供強大的有線、無線一體化接入能力。H3CWX5000系列多業(yè)務(wù)無線控制器涉及H3CWX5004無線控制器，配合H3CFitAP產(chǎn)品系列，可以滿足大型公司園區(qū)WLAN接入、無線城域網(wǎng)覆蓋、熱點覆蓋等無線場景的典型應(yīng)用。2.6.9無線接入點（AP）H3CWA2600系列無線產(chǎn)品是杭州華三通信技術(shù)有限公司(H3C)自主研發(fā)的新一代基于802.11n技術(shù)的超百兆高速無線接入設(shè)備(以下簡稱AP)，可提供相稱于傳統(tǒng)802.11a/b/g網(wǎng)絡(luò)6倍以上的無線接入速率，可以覆蓋更大的范圍。該系列無線產(chǎn)品上行接口采用千兆以太網(wǎng)接口接入，突破了百兆以太網(wǎng)接口的限制，使無線多媒體應(yīng)用成為現(xiàn)實。WA2600系列無線產(chǎn)品支持Fat和Fit兩種工作模式，根據(jù)網(wǎng)絡(luò)規(guī)劃的需要，可以通過命令行靈活地在Fat和Fit兩種工作模式中切換。作為瘦AP(FitAP)時，需要與H3C自主研發(fā)的WX系列無線控制器系列產(chǎn)品配套使用；作為胖AP(FatAP)時，可以獨立進(jìn)行組網(wǎng)。WA2600系列無線產(chǎn)品支持Fat/Fit兩種工作模式的特性，有助于將客戶的無線網(wǎng)絡(luò)由小型網(wǎng)絡(luò)平滑升級到大型網(wǎng)絡(luò)，從而很好保護(hù)用戶的投資。2.6.10網(wǎng)管系統(tǒng)基于數(shù)年的積累和對用戶網(wǎng)絡(luò)的進(jìn)一步理解，H3C智能管理中心（intelligenceManagementCenter，iMC）平臺（以下簡稱iMC平臺）為用戶提供了實用、易用的網(wǎng)絡(luò)管理功能，在網(wǎng)絡(luò)資源的集中管理基礎(chǔ)上，實現(xiàn)拓?fù)?、故障、性能、配置、安全等管理功能，不僅提供功能，更通過流程向?qū)У姆绞礁嬖V用戶如何使用功能滿足業(yè)務(wù)需求，為用戶提供了網(wǎng)絡(luò)精細(xì)化管理最佳的工具軟件。對于設(shè)備數(shù)量較多、分布地區(qū)較廣并且又相對較為集中的網(wǎng)絡(luò)，iMC平臺提供分級管理的功能，有助于對整個網(wǎng)絡(luò)進(jìn)行清楚分權(quán)管理和負(fù)載分擔(dān)。iMC平臺除了涵蓋網(wǎng)絡(luò)管理功能外，還是其他業(yè)務(wù)管理組件的承載平臺，共同實現(xiàn)了管理的進(jìn)一步融合聯(lián)動。

第三章．網(wǎng)絡(luò)設(shè)備集中統(tǒng)一管理解決方案網(wǎng)絡(luò)管理分為兩類。第一類是網(wǎng)絡(luò)應(yīng)用程序、用戶帳號（例如文獻(xiàn)的使用）和存取權(quán)限（許可）的管理。它們都是與軟件