中小企業(yè)網(wǎng)絡(luò)解決方案報(bào)告書-技術(shù)建議書(模板)

...wd......wd......wd...DOCPROPERTY"Product&ProjectName"ONENETBranch中小企業(yè)網(wǎng)絡(luò)解決方案DOCPROPERTYProductVersionV100R001C00DOCPROPERTYDocumentName技術(shù)建議書文檔版本DOCPROPERTYDocumentVersion01發(fā)布日期DOCPROPERTYReleaseDate2011-10-31非經(jīng)本公司書面許可，任何單位和個(gè)人不得擅自摘抄、復(fù)制本文檔內(nèi)容的局部或全部，并不得以任何形式傳播。和其他華為商標(biāo)均為華為技術(shù)的商標(biāo)。本文檔提及的其他所有商標(biāo)或注冊商標(biāo)，由各自的所有人擁有。您購置的產(chǎn)品、服務(wù)或特性等應(yīng)受華為公司商業(yè)合同和條款的約束，本文檔中描述的全部或局部產(chǎn)品、服務(wù)或特性可能不在您的購置或使用范圍之內(nèi)。除非合同另有約定，華為公司對本文檔內(nèi)容不做任何明示或默示的聲明或保證。由于產(chǎn)品版本升級或其他原因，本文檔內(nèi)容會不定期進(jìn)展更新。除非另有約定，本文檔僅作為使用指導(dǎo)，本文檔中的所有陳述、信息和建議不構(gòu)成任何明示或暗示的擔(dān)保。華為技術(shù)地址：深圳市龍崗區(qū)坂田華為總部辦公樓：518129://huawei客戶服務(wù)郵箱：support@huawei客戶服務(wù)：4008302118目錄TOC\h\z\t"標(biāo)題1,1,標(biāo)題2,2,標(biāo)題3,3,標(biāo)題7,1,標(biāo)題8,2,標(biāo)題9,3,Heading1NoNumber,1"1導(dǎo)言81.1中小企業(yè)解決方案概述81.2中小企業(yè)面臨的困難82微型機(jī)構(gòu)根基網(wǎng)絡(luò)解決方案92.1微型機(jī)構(gòu)根基網(wǎng)絡(luò)設(shè)計(jì)原則92.2微型機(jī)構(gòu)根基網(wǎng)絡(luò)規(guī)劃102.2.1核心層設(shè)計(jì)規(guī)劃102.2.2接入層設(shè)計(jì)規(guī)劃102.2.3出口設(shè)計(jì)規(guī)劃102.2.4安全性設(shè)計(jì)規(guī)劃102.3微型機(jī)構(gòu)根基網(wǎng)絡(luò)業(yè)務(wù)方案102.3.1數(shù)據(jù)業(yè)務(wù)規(guī)劃102.3.2語音業(yè)務(wù)規(guī)劃112.3.3安全業(yè)務(wù)規(guī)劃112.4微型機(jī)構(gòu)根基網(wǎng)絡(luò)技術(shù)方案112.4.1VLAN設(shè)計(jì)112.4.2IP設(shè)計(jì)112.4.3DHCP設(shè)計(jì)112.4.4NAT設(shè)計(jì)122.4.5安全設(shè)計(jì)122.4.6遠(yuǎn)程接入設(shè)計(jì)122.4.7網(wǎng)管設(shè)計(jì)122.5微型機(jī)構(gòu)根基網(wǎng)絡(luò)方案特點(diǎn)123小型機(jī)構(gòu)根基網(wǎng)絡(luò)解決方案133.1小型機(jī)構(gòu)根基網(wǎng)絡(luò)設(shè)計(jì)原則133.2小型機(jī)構(gòu)根基網(wǎng)絡(luò)規(guī)劃143.2.1核心層設(shè)計(jì)規(guī)劃143.2.2接入層設(shè)計(jì)規(guī)劃143.2.3出口設(shè)計(jì)規(guī)劃143.2.4安全性設(shè)計(jì)規(guī)劃143.3小型機(jī)構(gòu)根基網(wǎng)絡(luò)業(yè)務(wù)方案143.3.1數(shù)據(jù)業(yè)務(wù)規(guī)劃143.3.2語音業(yè)務(wù)規(guī)劃153.3.3安全業(yè)務(wù)規(guī)劃153.4小型機(jī)構(gòu)根基網(wǎng)絡(luò)技術(shù)方案153.4.1VLAN設(shè)計(jì)153.4.2IP設(shè)計(jì)153.4.3DHCP設(shè)計(jì)163.4.4NAT設(shè)計(jì)163.4.5安全設(shè)計(jì)163.4.6遠(yuǎn)程接入設(shè)計(jì)163.4.7網(wǎng)管設(shè)計(jì)163.5小型機(jī)構(gòu)根基網(wǎng)絡(luò)方案特點(diǎn)164中小型機(jī)構(gòu)根基網(wǎng)絡(luò)解決方案174.1中小型機(jī)構(gòu)根基網(wǎng)絡(luò)設(shè)計(jì)原則174.2中小型機(jī)構(gòu)根基網(wǎng)絡(luò)規(guī)劃184.2.1核心層設(shè)計(jì)規(guī)劃184.2.2接入層設(shè)計(jì)規(guī)劃184.2.3出口設(shè)計(jì)規(guī)劃184.2.4可靠性設(shè)計(jì)規(guī)劃184.2.5安全性設(shè)計(jì)規(guī)劃184.3中小型機(jī)構(gòu)根基網(wǎng)絡(luò)業(yè)務(wù)方案184.3.1數(shù)據(jù)業(yè)務(wù)規(guī)劃184.3.2語音業(yè)務(wù)規(guī)劃194.3.3安全業(yè)務(wù)規(guī)劃194.4中小型機(jī)構(gòu)根基網(wǎng)絡(luò)技術(shù)方案194.4.1VLAN設(shè)計(jì)194.4.2IP設(shè)計(jì)204.4.3DHCP設(shè)計(jì)204.4.4NAT設(shè)計(jì)204.4.5安全設(shè)計(jì)204.4.6遠(yuǎn)程接入設(shè)計(jì)204.4.7可靠性設(shè)計(jì)204.4.8網(wǎng)管設(shè)計(jì)214.5中小型機(jī)構(gòu)根基網(wǎng)絡(luò)方案特點(diǎn)215中型機(jī)構(gòu)根基網(wǎng)絡(luò)解決方案215.1中型機(jī)構(gòu)根基網(wǎng)絡(luò)設(shè)計(jì)原則215.2中型機(jī)構(gòu)根基網(wǎng)絡(luò)規(guī)劃225.2.1核心層設(shè)計(jì)規(guī)劃225.2.2會聚層設(shè)計(jì)規(guī)劃235.2.3接入層設(shè)計(jì)規(guī)劃235.2.4出口設(shè)計(jì)規(guī)劃235.2.5可靠性設(shè)計(jì)規(guī)劃235.2.6安全性設(shè)計(jì)規(guī)劃235.3中型機(jī)構(gòu)根基網(wǎng)絡(luò)業(yè)務(wù)方案235.3.1數(shù)據(jù)業(yè)務(wù)規(guī)劃235.3.2語音業(yè)務(wù)規(guī)劃245.3.3安全業(yè)務(wù)規(guī)劃245.4中型機(jī)構(gòu)根基網(wǎng)絡(luò)技術(shù)方案245.4.1VLAN設(shè)計(jì)245.4.2IP設(shè)計(jì)245.4.3DHCP設(shè)計(jì)255.4.4NAT設(shè)計(jì)255.4.5安全設(shè)計(jì)255.4.6遠(yuǎn)程接入設(shè)計(jì)255.4.7可靠性設(shè)計(jì)255.4.8網(wǎng)管設(shè)計(jì)265.5中型機(jī)構(gòu)根基網(wǎng)絡(luò)方案特點(diǎn)266中小型機(jī)構(gòu)高級安全解決方案266.1中小型機(jī)構(gòu)高級安全設(shè)計(jì)原則266.2中小型機(jī)構(gòu)高級安全業(yè)務(wù)方案276.2.1園區(qū)用戶接入安全業(yè)務(wù)規(guī)劃276.2.2遠(yuǎn)程分支用戶接入安全業(yè)務(wù)規(guī)劃286.2.3邊界安全業(yè)務(wù)規(guī)劃286.2.4內(nèi)網(wǎng)審計(jì)業(yè)務(wù)規(guī)劃296.3中小型機(jī)構(gòu)高級安全技術(shù)方案296.3.1安全檢查設(shè)計(jì)296.3.2遠(yuǎn)程接入安全設(shè)計(jì)296.3.3防火墻設(shè)計(jì)296.3.4內(nèi)網(wǎng)安全設(shè)計(jì)296.3.5內(nèi)網(wǎng)審計(jì)設(shè)計(jì)306.3.6ARP防攻擊設(shè)計(jì)306.4中小型機(jī)構(gòu)高級安全方案特點(diǎn)307中小型機(jī)構(gòu)高級無線解決方案317.1中小型機(jī)構(gòu)高級無線設(shè)計(jì)原則317.2中小型機(jī)構(gòu)高級無線業(yè)務(wù)方案317.2.1無線用戶接入業(yè)務(wù)規(guī)劃317.2.2無線語音終端用戶接入業(yè)務(wù)規(guī)劃327.2.3有線無線一體化接入業(yè)務(wù)規(guī)劃327.3中小型機(jī)構(gòu)高級無線技術(shù)方案327.3.1WLAN認(rèn)證設(shè)計(jì)327.3.2SSID與VLAN設(shè)計(jì)337.3.3DHCP設(shè)計(jì)337.3.4射頻設(shè)計(jì)347.3.5WMM設(shè)計(jì)347.3.6頻點(diǎn)設(shè)計(jì)357.3.7覆蓋設(shè)計(jì)367.3.8鏈路預(yù)算設(shè)計(jì)377.3.9容量設(shè)計(jì)387.4中小型機(jī)構(gòu)高級無線方案特點(diǎn)388中小型機(jī)構(gòu)高級語音解決方案388.1中小型機(jī)構(gòu)高級語音設(shè)計(jì)原則388.2中小型機(jī)構(gòu)高級語音業(yè)務(wù)方案398.2.1中型機(jī)構(gòu)分布式多分支語音業(yè)務(wù)規(guī)劃398.2.2小型機(jī)構(gòu)分布式多分支語音業(yè)務(wù)規(guī)劃398.3中小型機(jī)構(gòu)高級語音技術(shù)方案408.3.1終端接入設(shè)計(jì)408.3.2網(wǎng)絡(luò)接入設(shè)計(jì)408.3.3號碼規(guī)劃設(shè)計(jì)418.3.4路由設(shè)計(jì)418.3.5語音業(yè)務(wù)設(shè)計(jì)418.3.6語音可靠性設(shè)計(jì)428.3.7語音QoS設(shè)計(jì)428.4中小型機(jī)構(gòu)高級語音方案特點(diǎn)429中小企業(yè)典型應(yīng)用439.1經(jīng)濟(jì)性酒店解決方案439.2經(jīng)濟(jì)型酒店網(wǎng)絡(luò)規(guī)劃449.2.1核心層設(shè)計(jì)規(guī)劃449.2.2會聚層設(shè)計(jì)規(guī)劃459.2.3接入層設(shè)計(jì)規(guī)劃459.2.4出口設(shè)計(jì)規(guī)劃459.2.5可靠性設(shè)計(jì)規(guī)劃459.3經(jīng)濟(jì)型酒店網(wǎng)絡(luò)方案469.3.1經(jīng)濟(jì)型酒店的網(wǎng)絡(luò)部署469.3.2經(jīng)濟(jì)型酒店無線網(wǎng)絡(luò)部署方案479.3.3經(jīng)濟(jì)型酒店安全部署方案499.3.4經(jīng)濟(jì)型酒店IP語音通信方案529.4經(jīng)濟(jì)型酒店網(wǎng)絡(luò)方案特點(diǎn)5310設(shè)備說明5410.1S9300系列5410.2S7700系列5710.3S5700系列5910.4S3700系列6310.5S2700系列6510.6AR系列6710.7防火墻系列6911部署本卷須知71導(dǎo)言中小企業(yè)解決方案概述當(dāng)前我國中小企業(yè)開展迅速，在國民經(jīng)濟(jì)和社會開展中的地位和作用與日增強(qiáng)，據(jù)統(tǒng)計(jì)中小企業(yè)占我國企業(yè)總數(shù)的99%以上，創(chuàng)造的產(chǎn)品和價(jià)值占GDP的60%，中小企業(yè)以其靈活的運(yùn)行機(jī)制和市場適應(yīng)能力成為推動中國經(jīng)濟(jì)社會開展的重要力量。隨著信息化時(shí)代的不斷開展，中小企業(yè)追求更高效的溝通和交流管理方式，擴(kuò)大自身的生產(chǎn)運(yùn)營規(guī)模，增強(qiáng)企業(yè)的市場競爭力。這就要求以信息化為平臺，以網(wǎng)絡(luò)為承載媒介，提高企業(yè)的運(yùn)作效率，降低運(yùn)營本錢，而網(wǎng)絡(luò)建設(shè)無疑是其中最根本也是最重要的一個(gè)環(huán)節(jié)。華為公司從經(jīng)濟(jì)角度和企業(yè)規(guī)模角度將中小企業(yè)分為微型機(jī)構(gòu)、小型機(jī)構(gòu)、中小型機(jī)構(gòu)和中型機(jī)構(gòu)四種根基網(wǎng)絡(luò)架構(gòu)，中小企業(yè)可以根據(jù)自身的實(shí)際需要選擇相應(yīng)的網(wǎng)絡(luò)建設(shè)方案。對于安全、無線接入、語音有特殊要求的中小企業(yè)，華為公司提供高級安全解決方案、高級無線解決方案和高級語音解決方案，并提供網(wǎng)絡(luò)管理解決方案，滿足不同層次中小企業(yè)的客戶需求，保證網(wǎng)絡(luò)建設(shè)質(zhì)量的同時(shí)最大程度的節(jié)省企業(yè)的投資本錢。中小企業(yè)面臨的困難中小企業(yè)需要著重解決企業(yè)根基網(wǎng)絡(luò)安全、業(yè)務(wù)部署靈活性和運(yùn)維壓力太大的問題，華為公司針對企業(yè)運(yùn)維痛點(diǎn)提供的解決方案包含用戶NAC〔NetworkAccessControl〕接入安全、園區(qū)邊界安全、分支與遠(yuǎn)程接入、端到端語音部署、端到端無線部署、網(wǎng)絡(luò)TOPO自動發(fā)現(xiàn)、服務(wù)器遠(yuǎn)程監(jiān)控等方案，全面解決中小企業(yè)面臨的根基網(wǎng)絡(luò)安全和運(yùn)維壓力。微型機(jī)構(gòu)根基網(wǎng)絡(luò)解決方案微型機(jī)構(gòu)根基網(wǎng)絡(luò)設(shè)計(jì)原則目前50%以上的企業(yè)屬于微型機(jī)構(gòu)，典型的微型機(jī)構(gòu)是小企業(yè)或大企業(yè)的分支辦公室，這類機(jī)構(gòu)通常為0～50信息點(diǎn)構(gòu)成，因?yàn)槠髽I(yè)員工數(shù)量少，業(yè)務(wù)需求單一，對企業(yè)網(wǎng)絡(luò)有很高的經(jīng)濟(jì)性要求，對通信設(shè)備穩(wěn)定度要求不高，只需要根基網(wǎng)絡(luò)能夠支撐工作根本需要的Email、打印、終端互聯(lián)即可。微型機(jī)構(gòu)根基網(wǎng)絡(luò)場景以低端AR路由器為中心搭建公司網(wǎng)絡(luò)，AR承當(dāng)作為企業(yè)網(wǎng)關(guān)，并支持Web、打印、認(rèn)證、Email等業(yè)務(wù)接入，無線終端和有線終端的混合接入，同時(shí)AR路由器集成簡單防火墻功能，提供邊界安全。企業(yè)可以通過增加低本錢交換機(jī)擴(kuò)展接入范圍，以提升擴(kuò)展性。微型機(jī)構(gòu)根基網(wǎng)絡(luò)規(guī)劃核心層設(shè)計(jì)規(guī)劃核心層用于轉(zhuǎn)發(fā)各部門之間的流量?？紤]到企業(yè)初期建設(shè)本錢，采用AR200路由器作為核心層設(shè)備，與微型企業(yè)內(nèi)部服務(wù)器區(qū)、DMZ〔DemilitarizedZone〕區(qū)、Internet區(qū)和內(nèi)部業(yè)務(wù)區(qū)進(jìn)展互聯(lián)，支撐企業(yè)內(nèi)外部的業(yè)務(wù)流量。接入層設(shè)計(jì)規(guī)劃接入層是最靠近用戶的網(wǎng)絡(luò)，為用戶提供各種接入方式，是終端、邊緣和IP等設(shè)備接入網(wǎng)絡(luò)的第一層。一般都部署二層設(shè)備，有線用戶通過S1700接入AR200，無線用戶通過AR200自帶的WLAN功能進(jìn)展無線接入。出口設(shè)計(jì)規(guī)劃微型機(jī)構(gòu)通過AR獲取公網(wǎng)地址，實(shí)現(xiàn)與WAN/Internet的互訪，可以采用設(shè)置IP靜態(tài)地址或PPP〔Point-to-PointProtocol〕動態(tài)方式獲取公網(wǎng)地址。安全性設(shè)計(jì)規(guī)劃通過AR200集成防火墻功能解決如下安全問題：微型機(jī)構(gòu)內(nèi)、外網(wǎng)之間的訪問控制，實(shí)現(xiàn)微型機(jī)構(gòu)內(nèi)、外網(wǎng)的安全隔離。外派員工與微型機(jī)構(gòu)DMZ區(qū)的訪問控制，實(shí)現(xiàn)外派員工與內(nèi)網(wǎng)的安全隔離。微型機(jī)構(gòu)根基網(wǎng)絡(luò)業(yè)務(wù)方案數(shù)據(jù)業(yè)務(wù)規(guī)劃有線用戶數(shù)據(jù)業(yè)務(wù)：S1700交換機(jī)作為二層接入設(shè)備，通過VLAN劃分用戶。AR路由器作為三層網(wǎng)關(guān)，通過DHCP〔DynamicHostConfigurationProtocol〕方式為有線用戶分配IP地址。企業(yè)可以根據(jù)自身分區(qū)情況，劃分多個(gè)IP地址段。AR上行通過公網(wǎng)地址接入WAN/Internet網(wǎng)絡(luò)，通過AR做NAT，進(jìn)展私網(wǎng)地址到公網(wǎng)地址的轉(zhuǎn)換，實(shí)現(xiàn)有線用戶與WAN/Internet網(wǎng)絡(luò)的互訪。無線用戶數(shù)據(jù)業(yè)務(wù)：AR作為胖AP，無線用戶通過PSK方式接入AR，AR路由器作為三層網(wǎng)關(guān)，通過DHCP方式為無線用戶分配IP地址。AR上行通過公網(wǎng)地址接入WAN/Internet網(wǎng)絡(luò)，通過AR做NAT，進(jìn)展私網(wǎng)地址到公網(wǎng)地址的轉(zhuǎn)換，實(shí)現(xiàn)無線用戶與WAN/Internet網(wǎng)絡(luò)的互訪。外派員工數(shù)據(jù)業(yè)務(wù)：外派員工通過IPSecVPN方式與微型機(jī)構(gòu)建設(shè)隧道，實(shí)現(xiàn)外派員工與微型機(jī)構(gòu)的互訪?？梢栽谕馀蓡T工的電腦中安裝硬件或通過純軟件方式來實(shí)現(xiàn)IPSecVPN功能。服務(wù)器數(shù)據(jù)業(yè)務(wù)：企業(yè)事先規(guī)劃好服務(wù)器區(qū)和DMZ的服務(wù)器地址，服務(wù)器使用靜態(tài)地址，內(nèi)部服務(wù)器區(qū)和DMZ區(qū)的服務(wù)器以AR作為網(wǎng)關(guān)。語音業(yè)務(wù)規(guī)劃考慮到微型機(jī)構(gòu)人數(shù)有限，同城微型機(jī)構(gòu)建議AR作為AG場景應(yīng)用，用戶語音信息到總部注冊，由總部統(tǒng)一分配號碼及管理。異地微型機(jī)構(gòu)建議AR作為PBX〔PrivateBranchExchange〕場景應(yīng)用，用戶語音信息到PBX注冊，接入當(dāng)?shù)豍STN〔PublicSwitchedTelephoneNetwork〕網(wǎng)絡(luò)，具體內(nèi)容請參見REF_Ref309138363\r\h8REF_Ref309138376\h中小型機(jī)構(gòu)高級語音解決方案。安全業(yè)務(wù)規(guī)劃微型機(jī)構(gòu)通常人數(shù)有限，不建議對用戶接入進(jìn)展權(quán)限控制，如企業(yè)有特殊需求，可以采用華為公司NAC方案，具體內(nèi)容請參見REF_Ref309138432\r\h6REF_Ref309138438\h中小型機(jī)構(gòu)高級安全解決方案。微型機(jī)構(gòu)根基網(wǎng)絡(luò)技術(shù)方案VLAN設(shè)計(jì)VLAN是將LAN內(nèi)的設(shè)備邏輯地而不是物理地劃分為一個(gè)個(gè)網(wǎng)段，從而實(shí)現(xiàn)在一個(gè)LAN內(nèi)隔離播送域的技術(shù)。既隔離了播送域，減少了播送風(fēng)暴，又增強(qiáng)了信息的安全性。VLAN通常根據(jù)業(yè)務(wù)需要進(jìn)展規(guī)劃，需要隔離的端口配置不同的VLAN，需要防止播送域過大的地方配置VLAN用于減小播送域。VLAN最好不要跨交換機(jī)，即使跨交換機(jī)，數(shù)目也需要限制。S1700根據(jù)接入位置為不同PC分配不同的VLAN，不同S1700交換機(jī)采用不同的VLAN，防止播送域過大，利于問題及時(shí)定位。IP設(shè)計(jì)IP地址分為動態(tài)IP與靜態(tài)IP的選取，原則上服務(wù)器、特殊終端設(shè)備建議采用靜態(tài)IP。辦公用設(shè)備建議使用DHCP動態(tài)獲取〔如辦公用PC等〕。AR200上行優(yōu)選固定IP地址接入，其次選擇PPP方式接入。AR作為DHCP網(wǎng)關(guān)和DHCPServer，為有線、無線用戶分配私網(wǎng)IP地址。服務(wù)器采用靜態(tài)IP地址接入。DHCP設(shè)計(jì)DHCP部署的根本原則為固定IP地址段和動態(tài)分配IP地址段保持連續(xù)，按照業(yè)務(wù)區(qū)域進(jìn)展DHCP地址的劃分，便于統(tǒng)一管理及問題定位。啟動DHCP安全功能，制止非法DHCPServer的架設(shè)和非法用戶的接入。AR作為DHCP網(wǎng)關(guān)和DHCPServer，為有線、無線用戶分配私網(wǎng)IP地址。有線用戶通過S1700交換機(jī)攜帶VLAN信息，AR終結(jié)VLAN并給有線用戶分配私網(wǎng)IP地址。無線用戶通過PSK方式接入AR，AR終結(jié)無線報(bào)文，作為無線用戶網(wǎng)關(guān)分配私網(wǎng)IP地址。NAT設(shè)計(jì)NAT〔NetworkAddressTranslation〕用于實(shí)現(xiàn)私有網(wǎng)絡(luò)和公有網(wǎng)絡(luò)之間的互訪。微型機(jī)構(gòu)內(nèi)部使用私有IP地址，微型機(jī)構(gòu)出口AR使用公網(wǎng)地址與外界通信，AR需要部署NAT特性，實(shí)現(xiàn)用戶側(cè)私網(wǎng)地址到網(wǎng)絡(luò)側(cè)公網(wǎng)地址的轉(zhuǎn)換，實(shí)現(xiàn)用戶與WAN/Internet的互訪。安全設(shè)計(jì)AR部署防火墻功能，將WAN/Internet區(qū)域劃分為untrust區(qū)域，公用服務(wù)器區(qū)域劃分為DMZ區(qū)，其他區(qū)域劃分為trust區(qū)域。允許trust區(qū)域和DMZ區(qū)域互訪，允許untrust區(qū)域與DMZ區(qū)域互訪，不允許trust區(qū)域和untrust區(qū)域之間的直接互訪?；诎踩紤]，建議AR部署ARP〔AddressResolutionProtocol〕防攻擊功能，以防止非法的ARP報(bào)文對網(wǎng)絡(luò)的攻擊。遠(yuǎn)程接入設(shè)計(jì)微型機(jī)構(gòu)訪問WAN/Internet通過AR的NAT功能實(shí)現(xiàn)。外派員工通過IPSecVPN訪問微型機(jī)構(gòu)。建議采用ESP封裝模式，封裝新的IP報(bào)文頭并對原始數(shù)據(jù)報(bào)文進(jìn)展加密，更為安全。網(wǎng)管設(shè)計(jì)AR和S1700交換機(jī)通過Web網(wǎng)管進(jìn)展配置管理及日常網(wǎng)絡(luò)維護(hù)。微型機(jī)構(gòu)根基網(wǎng)絡(luò)方案特點(diǎn)高性價(jià)比：低投資、高性能、經(jīng)濟(jì)的網(wǎng)絡(luò)。簡易性：構(gòu)造清晰、簡單、安裝便捷，無需配置專職維護(hù)人員。綠色環(huán)保：全方位節(jié)能設(shè)計(jì)、無風(fēng)扇、省電無噪聲。小型機(jī)構(gòu)根基網(wǎng)絡(luò)解決方案小型機(jī)構(gòu)根基網(wǎng)絡(luò)設(shè)計(jì)原則典型的小型機(jī)構(gòu)是小企業(yè)或大企業(yè)的分支辦公室，這類機(jī)構(gòu)通常由50～100信息點(diǎn)構(gòu)成，因?yàn)槠髽I(yè)已經(jīng)到達(dá)一定規(guī)模，較大的業(yè)務(wù)量和員工數(shù)量都要求網(wǎng)絡(luò)具備更高的穩(wěn)定性，可擴(kuò)展性，安全性，同時(shí)畢竟企業(yè)規(guī)模沒有到達(dá)更大的規(guī)模，仍然需要網(wǎng)絡(luò)經(jīng)濟(jì)、簡潔便于維護(hù)。小型機(jī)構(gòu)根基網(wǎng)絡(luò)場景的方案特點(diǎn)以中低端交換機(jī)為中心搭建公司網(wǎng)絡(luò)交換平臺，該交換機(jī)作為中心會聚點(diǎn)，通過其他低端交換機(jī)實(shí)現(xiàn)業(yè)務(wù)和終端的接入，并通過AR作為企業(yè)出口路由器，實(shí)現(xiàn)WAN和Internet互聯(lián)，AR路由器集成簡單防火墻功能，提供邊界安全。小型機(jī)構(gòu)根基網(wǎng)絡(luò)規(guī)劃核心層設(shè)計(jì)規(guī)劃核心層用于轉(zhuǎn)發(fā)各部門之間的流量，采用AR1200路由器作為核心層出口設(shè)備，S3700系列交換時(shí)機(jī)聚內(nèi)部服務(wù)器區(qū)和接入?yún)^(qū)流量，使內(nèi)部服務(wù)器區(qū)、DMZ區(qū)、Internet區(qū)和內(nèi)部業(yè)務(wù)區(qū)進(jìn)展互聯(lián)，支撐內(nèi)外部的業(yè)務(wù)流量。接入層設(shè)計(jì)規(guī)劃接入層是最靠近用戶的網(wǎng)絡(luò)，為用戶提供各種接入方式，是終端、邊緣和IP等設(shè)備接入網(wǎng)絡(luò)的第一層，一般都部署二層設(shè)備。有線用戶通過S2700交換機(jī)接入、S3700交換時(shí)機(jī)聚流量到AR1200進(jìn)展有線接入，無線用戶通過WA600系列胖AP進(jìn)展無線接入。出口設(shè)計(jì)規(guī)劃小型機(jī)構(gòu)通過AR獲取公網(wǎng)地址，實(shí)現(xiàn)與WAN/Internet的互訪，可以采用設(shè)置IP靜態(tài)地址或PPP動態(tài)方式獲取公網(wǎng)地址。安全性設(shè)計(jì)規(guī)劃通過AR1200集成防火墻功能解決如下安全問題：小型機(jī)構(gòu)內(nèi)、外網(wǎng)之間的訪問控制，實(shí)現(xiàn)小型機(jī)構(gòu)內(nèi)、外網(wǎng)的安全隔離。外派員工與小型機(jī)構(gòu)DMZ區(qū)的訪問控制，實(shí)現(xiàn)外派員工與內(nèi)網(wǎng)的安全隔離。小型機(jī)構(gòu)根基網(wǎng)絡(luò)業(yè)務(wù)方案數(shù)據(jù)業(yè)務(wù)規(guī)劃有線用戶數(shù)據(jù)業(yè)務(wù)：S2700交換機(jī)作為二層接入設(shè)備，通過VLAN劃分用戶。S3700交換機(jī)作為會聚交換機(jī)聚合各接入交換機(jī)上送的VLAN流量到AR1200，AR1200通過DHCP方式為有線用戶分配IP地址。企業(yè)可以根據(jù)自身分區(qū)情況，劃分多個(gè)IP地址段。AR1200上行通過公網(wǎng)地址接入WAN/Internet網(wǎng)絡(luò)，通過AR做NAT，進(jìn)展私網(wǎng)地址到公網(wǎng)地址的轉(zhuǎn)換，實(shí)現(xiàn)有線用戶與WAN/Internet網(wǎng)絡(luò)的互訪。無線用戶數(shù)據(jù)業(yè)務(wù)：WA600系列AP作為胖AP，無線用戶通過PSK方式接入WA600系列AP，AR1200作為三層網(wǎng)關(guān)，通過DHCP方式為無線用戶分配IP地址。AR1200上行通過公網(wǎng)地址接入WAN/Internet網(wǎng)絡(luò)，通過AR1200做NAT，進(jìn)展私網(wǎng)地址到公網(wǎng)地址的轉(zhuǎn)換，實(shí)現(xiàn)無線用戶與WAN/Internet網(wǎng)絡(luò)的互訪。外派員工數(shù)據(jù)業(yè)務(wù)：外派員工通過IPSecVPN方式與小型機(jī)構(gòu)建設(shè)隧道，實(shí)現(xiàn)外派員工與小型機(jī)構(gòu)的互訪?？梢栽谕馀蓡T工的電腦中安裝硬件或通過純軟件方式來實(shí)現(xiàn)IPSecVPN功能。服務(wù)器數(shù)據(jù)業(yè)務(wù)：企業(yè)事先規(guī)劃好服務(wù)器區(qū)和DMZ的服務(wù)器地址，服務(wù)器使用靜態(tài)地址，S2700交換機(jī)作為二層接入設(shè)備，通過VLAN劃分服務(wù)器，內(nèi)部服務(wù)器區(qū)和DMZ區(qū)的服務(wù)器以AR1200作為網(wǎng)關(guān)。語音業(yè)務(wù)規(guī)劃基于小型機(jī)構(gòu)人數(shù)規(guī)模，如果總部需要對小型機(jī)構(gòu)進(jìn)展控制，則AR作為AG場景應(yīng)用，用戶語音信息到總部注冊，由總部統(tǒng)一分配號碼及管理，可以由總部提供豐富的語音業(yè)務(wù)，但是會增加總部的負(fù)荷。如果小型機(jī)構(gòu)需要自行進(jìn)展控制，則AR作為PBX場景應(yīng)用，用戶語音信息到AR注冊，由AR統(tǒng)一分配號碼及管理，減輕了總部的負(fù)荷，但是無法使用總部提供的豐富的語音業(yè)務(wù)。具體內(nèi)容請參見REF_Ref309138531\r\h8REF_Ref309138534\h中小型機(jī)構(gòu)高級語音解決方案。安全業(yè)務(wù)規(guī)劃如果需要對用戶的接入安全進(jìn)展控制，則建議部署NAC方案。可以采用在S2700交換機(jī)上部署802.1X認(rèn)證或者在AR上部署Portal認(rèn)證的方式，均可以實(shí)現(xiàn)對用戶接入的安全控制，具體內(nèi)容請參見REF_Ref309138557\r\h6REF_Ref309138560\h中小型機(jī)構(gòu)高級安全解決方案。小型機(jī)構(gòu)根基網(wǎng)絡(luò)技術(shù)方案VLAN設(shè)計(jì)VLAN是將LAN內(nèi)的設(shè)備邏輯地而不是物理地劃分為一個(gè)個(gè)網(wǎng)段，從而實(shí)現(xiàn)在一個(gè)LAN內(nèi)隔離播送域的技術(shù)。VLAN技術(shù)既隔離了播送域，減少了播送風(fēng)暴，又增強(qiáng)了信息的安全性。VLAN通常根據(jù)業(yè)務(wù)需要進(jìn)展規(guī)劃，需要隔離的端口配置不同的VLAN，需要防止播送域過大的地方配置VLAN用于減小播送域。VLAN最好不要跨交換機(jī)，即使跨交換機(jī)，數(shù)目也需要限制。S2700根據(jù)接入位置為不同PC分配不同的VLAN，不同S2700交換機(jī)采用不同的VLAN，防止播送域過大，利于問題及時(shí)定位。S3700交換時(shí)機(jī)聚S2700交換機(jī)的VLAN信息，透傳給AR1200設(shè)備，實(shí)現(xiàn)VLAN的終結(jié)。IP設(shè)計(jì)IP地址分為動態(tài)IP與靜態(tài)IP的選取，原則上服務(wù)器、特殊終端設(shè)備建議采用靜態(tài)IP。辦公用設(shè)備建議使用DHCP動態(tài)獲取如辦公用PC等。AR1200上行優(yōu)選固定IP地址接入，其次選擇PPP方式接入。AR1200作為DHCP網(wǎng)關(guān)和DHCPServer，為有線、無線用戶分配私網(wǎng)IP地址。服務(wù)器采用靜態(tài)IP地址接入。DHCP設(shè)計(jì)DHCP部署根本原則為固定IP地址段和動態(tài)分配IP地址段保持連續(xù)，按照業(yè)務(wù)區(qū)域進(jìn)展DHCP地址的劃分，便于統(tǒng)一管理及問題定位。啟動DHCP安全功能，制止非法DHCPServer的架設(shè)和非法用戶的接入。AR1200作為DHCP網(wǎng)關(guān)和DHCPServer，為有線、無線用戶分配私網(wǎng)IP地址。有線用戶通過S2700交換機(jī)攜帶VLAN信息，S3700交換機(jī)聚合S2700交換機(jī)上送的VLAN流量到AR1200，AR1200終結(jié)VLAN后給有線用戶分配私網(wǎng)IP地址。無線用戶通過PSK方式接入WA600系列AP，WA600系列AP終結(jié)無線報(bào)文，二層透傳無線用戶的DHCP請求報(bào)文，AR1200終結(jié)VLAN后給無線用戶分配私網(wǎng)IP地址。NAT設(shè)計(jì)NAT稱為網(wǎng)絡(luò)地址轉(zhuǎn)換，用于實(shí)現(xiàn)私有網(wǎng)絡(luò)和公有網(wǎng)絡(luò)之間的互訪。小型機(jī)構(gòu)內(nèi)部使用私有IP地址，小型機(jī)構(gòu)出口AR使用公網(wǎng)地址與外界通信，AR需要部署NAT特性，實(shí)現(xiàn)用戶側(cè)私網(wǎng)地址到網(wǎng)絡(luò)側(cè)公網(wǎng)地址的轉(zhuǎn)換，實(shí)現(xiàn)用戶與WAN/Internet的互訪。安全設(shè)計(jì)AR部署防火墻功能，將WAN/Internet區(qū)域劃分為untrust區(qū)域，公用服務(wù)器區(qū)域劃分為DMZ區(qū)，其他區(qū)域劃分為trust區(qū)域。允許trust區(qū)域和DMZ區(qū)域互訪，允許untrust區(qū)域與DMZ區(qū)域互訪，不允許trust區(qū)域和untrust區(qū)域之間直接互訪?；诎踩紤]，建議AR部署ARP防攻擊功能，接入交換機(jī)部署DHCPSnooping功能，以防止非法的ARP報(bào)文對網(wǎng)絡(luò)的攻擊。遠(yuǎn)程接入設(shè)計(jì)小型機(jī)構(gòu)訪問WAN/Internet通過AR的NAT功能實(shí)現(xiàn)。外派員工通過IPSecVPN訪問小型機(jī)構(gòu)。建議采用ESP封裝模式，封裝新的IP報(bào)文頭并對原始數(shù)據(jù)報(bào)文進(jìn)展加密，更為安全。網(wǎng)管設(shè)計(jì)部署eSight網(wǎng)管系統(tǒng)進(jìn)展日常網(wǎng)絡(luò)維護(hù)。小型機(jī)構(gòu)根基網(wǎng)絡(luò)方案特點(diǎn)可擴(kuò)展：低投資、高性能，靈活網(wǎng)絡(luò)架構(gòu)易擴(kuò)展，保護(hù)已有投資。易維護(hù)：扁平網(wǎng)絡(luò)，層次少，簡易網(wǎng)管配置簡單，無需專職網(wǎng)管人員。區(qū)域劃分清晰：部門間物理/邏輯隔離，保證業(yè)務(wù)安全，易排錯(cuò)。綠色節(jié)能：綠色節(jié)能、無噪音。中小型機(jī)構(gòu)根基網(wǎng)絡(luò)解決方案中小型機(jī)構(gòu)根基網(wǎng)絡(luò)設(shè)計(jì)原則中小型機(jī)構(gòu)通常為100～300信息點(diǎn)。中小型機(jī)構(gòu)根基網(wǎng)絡(luò)場景的方案特點(diǎn)是期待語音、數(shù)據(jù)、安全、移動業(yè)務(wù)豐富，希望獲得一體化方案、一站式服務(wù)。中小型企業(yè)的組網(wǎng)構(gòu)造和小型企業(yè)類似，但因?yàn)槠髽I(yè)規(guī)模的進(jìn)一步擴(kuò)大，有更強(qiáng)的企業(yè)內(nèi)部互聯(lián)以及企業(yè)出口的要求，對網(wǎng)絡(luò)可靠性、可擴(kuò)展性、安全性有一定的要求。這些要求表達(dá)在設(shè)備上，就是需要功能更強(qiáng)的AR作為企業(yè)出口路由器、需要通過鏈路備份機(jī)制提高可靠性、通過中心交換機(jī)的雙備份以及流量分擔(dān)。中小型機(jī)構(gòu)根基網(wǎng)絡(luò)規(guī)劃核心層設(shè)計(jì)規(guī)劃核心層用于轉(zhuǎn)發(fā)各部門之間的流量，采用AR1200/AR2200路由器作為核心層出口設(shè)備，S5700系列交換時(shí)機(jī)聚內(nèi)部服務(wù)器區(qū)、DMZ區(qū)和接入?yún)^(qū)流量，使內(nèi)部服務(wù)器區(qū)、DMZ區(qū)、Internet區(qū)和內(nèi)部業(yè)務(wù)區(qū)進(jìn)展互聯(lián)，支撐內(nèi)外部的業(yè)務(wù)流量。接入層設(shè)計(jì)規(guī)劃接入層是最靠近用戶的網(wǎng)絡(luò)，為用戶提供各種接入方式，是終端、邊緣和IP等設(shè)備接入網(wǎng)絡(luò)的第一層，一般都部署二層設(shè)備。有線用戶通過S2700交換機(jī)接入，S5700交換時(shí)機(jī)聚S2700交換機(jī)上送的VLAN流量到AR1200/AR2200進(jìn)展有線接入。無線用戶通過WA600系列胖AP進(jìn)展無線接入。出口設(shè)計(jì)規(guī)劃中小型機(jī)構(gòu)通過AR獲取公網(wǎng)地址，實(shí)現(xiàn)與WAN/Internet的互訪，可以采用設(shè)置IP靜態(tài)地址或PPP動態(tài)方式獲取公網(wǎng)地址?？煽啃栽O(shè)計(jì)規(guī)劃AR上行采用WAN和3G鏈路備份方式，以WAN側(cè)鏈路為主用鏈路，3G鏈路平時(shí)不使用，僅作為備份。S5700交換機(jī)采用堆疊技術(shù)，將多臺S5700交換機(jī)虛擬化為1臺設(shè)備，一旦主用S5700交換機(jī)出現(xiàn)故障后，其他交換機(jī)能立即接替其成為主用交換機(jī)。安全性設(shè)計(jì)規(guī)劃通過AR1200/AR2200集成防火墻功能解決如下安全問題：中小型機(jī)構(gòu)內(nèi)、外網(wǎng)之間的訪問控制，實(shí)現(xiàn)中小型機(jī)構(gòu)內(nèi)、外網(wǎng)的安全隔離。外派員工與中小型機(jī)構(gòu)DMZ區(qū)的訪問控制，實(shí)現(xiàn)外派員工與內(nèi)網(wǎng)的安全隔離。中小型機(jī)構(gòu)根基網(wǎng)絡(luò)業(yè)務(wù)方案數(shù)據(jù)業(yè)務(wù)規(guī)劃有線用戶數(shù)據(jù)業(yè)務(wù)：S2700交換機(jī)作為二層接入設(shè)備，通過VLAN劃分用戶。S5700交換機(jī)作為會聚交換機(jī)聚合各接入交換機(jī)的VLAN流量，AR1200/AR2200通過DHCP方式為有線用戶分配IP地址。企業(yè)可以根據(jù)自身分區(qū)情況，劃分多個(gè)IP地址段。AR1200/AR2200上行通過公網(wǎng)地址接入WAN/Internet、3G網(wǎng)絡(luò)，通過AR1200/AR2200做NAT，進(jìn)展私網(wǎng)地址到公網(wǎng)地址的轉(zhuǎn)換，實(shí)現(xiàn)有線用戶與WAN/Internet網(wǎng)絡(luò)的互訪。無線用戶數(shù)據(jù)業(yè)務(wù)：WA600系列AP作為胖AP，無線用戶通過PSK方式接入WA600系列AP，AR1200/AR2200作為三層網(wǎng)關(guān)，通過DHCP方式為無線用戶分配IP地址。AR1200/AR2200上行通過公網(wǎng)地址接入WAN/Internet網(wǎng)絡(luò)，通過AR1200/AR2200做NAT，進(jìn)展私網(wǎng)地址到公網(wǎng)地址的轉(zhuǎn)換，實(shí)現(xiàn)無線用戶與WAN/Internet網(wǎng)絡(luò)的互訪。外派員工數(shù)據(jù)業(yè)務(wù)：外派員工通過IPSecVPN方式與中小型機(jī)構(gòu)建設(shè)隧道，實(shí)現(xiàn)外派員工與中小型機(jī)構(gòu)的互訪?？梢栽谕馀蓡T工的電腦中安裝硬件或通過純軟件方式來實(shí)現(xiàn)IPSecVPN功能。服務(wù)器數(shù)據(jù)業(yè)務(wù)：企業(yè)事先規(guī)劃好服務(wù)器區(qū)和DMZ的服務(wù)器地址，服務(wù)器使用靜態(tài)地址。S2700交換機(jī)作為二層接入設(shè)備，通過VLAN劃分服務(wù)器，內(nèi)部服務(wù)器區(qū)和DMZ區(qū)的服務(wù)器以AR1200/AR2200作為網(wǎng)關(guān)。語音業(yè)務(wù)規(guī)劃基于中小型機(jī)構(gòu)人數(shù)規(guī)模，如果總部需要對中小型機(jī)構(gòu)進(jìn)展控制，則AR作為AG場景應(yīng)用，用戶語音信息到總部注冊，由總部統(tǒng)一分配號碼及管理，可以由總部提供豐富的語音業(yè)務(wù)，但是會增加總部的負(fù)荷。如果中小型需要自行進(jìn)展控制，則AR作為PBX場景應(yīng)用，用戶語音信息到AR注冊，由AR統(tǒng)一分配號碼及管理，減輕了總部的負(fù)荷，但是無法使用總部提供的豐富的語音業(yè)務(wù)。具體內(nèi)容請參見REF_Ref309138588\r\h8REF_Ref309138590\h中小型機(jī)構(gòu)高級語音解決方案。安全業(yè)務(wù)規(guī)劃如果需要對用戶的接入安全進(jìn)展控制，則建議部署NAC方案。可以采用在S27系列交換機(jī)上部署802.1X認(rèn)證或者在AR上部署Portal認(rèn)證的方式，均可以實(shí)現(xiàn)對用戶接入的安全控制，具體內(nèi)容請參見REF_Ref309138605\r\h6REF_Ref309138609\h中小型機(jī)構(gòu)高級安全解決方案。中小型機(jī)構(gòu)根基網(wǎng)絡(luò)技術(shù)方案VLAN設(shè)計(jì)VLAN是將LAN內(nèi)的設(shè)備邏輯地而不是物理地劃分為一個(gè)個(gè)網(wǎng)段，從而實(shí)現(xiàn)在一個(gè)LAN內(nèi)隔離播送域的技術(shù)。VLAN技術(shù)既隔離了播送域，減少了播送風(fēng)暴，又增強(qiáng)了信息的安全性。VLAN通常根據(jù)業(yè)務(wù)需要進(jìn)展規(guī)劃，需要隔離的端口配置不同的VLAN，需要防止播送域過大的地方配置VLAN用于減小播送域。VLAN最好不要跨交換機(jī)，即使跨交換機(jī)數(shù)目也需要限制。S2700根據(jù)接入位置為不同PC分配不同的VLAN，不同S2700交換機(jī)采用不同的VLAN，防止播送域過大，利于問題及時(shí)定位。S5700交換時(shí)機(jī)聚S2700交換機(jī)的VLAN信息，透傳給AR1200/AR2200設(shè)備，實(shí)現(xiàn)VLAN的終結(jié)。IP設(shè)計(jì)IP地址分為動態(tài)IP與靜態(tài)IP的選取，原則上服務(wù)器、特殊終端設(shè)備建議采用靜態(tài)IP。辦公用設(shè)備建議使用DHCP動態(tài)獲取〔如辦公用PC等〕。AR1200/AR2200上行優(yōu)選固定IP地址接入，其次選擇PPP方式接入。AR1200/AR2200作為DHCP網(wǎng)關(guān)和DHCPServer，為有線、無線用戶分配私網(wǎng)IP地址。服務(wù)器采用靜態(tài)IP地址接入。DHCP設(shè)計(jì)DHCP部署根本原則為固定IP地址段和動態(tài)分配IP地址段保持連續(xù)，按照業(yè)務(wù)區(qū)域進(jìn)展DHCP地址的劃分，便于統(tǒng)一管理及問題定位。啟動DHCP安全功能，制止非法DHCPServer的架設(shè)和非法用戶的接入。AR1200/AR2200作為DHCP網(wǎng)關(guān)和DHCPServer，為有線、無線用戶分配私網(wǎng)IP地址。有線用戶通過S2700交換機(jī)攜帶VLAN信息，S5700交換時(shí)機(jī)聚S2700上送的VLAN流量AR1200/AR2200，AR1200/AR2200終結(jié)VLAN并給有線用戶分配私網(wǎng)IP地址。無線用戶通過PSK方式接入WA600系列AP，WA600系列AP終結(jié)無線報(bào)文，二層透傳無線用戶的DHCP請求報(bào)文，AR1200/AR2200終結(jié)VLAN后給無線用戶分配私網(wǎng)IP地址。NAT設(shè)計(jì)NAT稱為網(wǎng)絡(luò)地址轉(zhuǎn)換，用于實(shí)現(xiàn)私有網(wǎng)絡(luò)和公有網(wǎng)絡(luò)之間的互訪。AR部署NAT特性，實(shí)現(xiàn)用戶側(cè)私網(wǎng)地址到網(wǎng)絡(luò)側(cè)公網(wǎng)地址的轉(zhuǎn)換，實(shí)現(xiàn)用戶與WAN/Internet的互訪。在中小型機(jī)構(gòu)根基網(wǎng)絡(luò)場景中，WAN側(cè)和3G側(cè)都需要部署NAT特性，以防止某側(cè)鏈路出現(xiàn)故障后仍能實(shí)現(xiàn)私網(wǎng)地址到公網(wǎng)地址的轉(zhuǎn)換。安全設(shè)計(jì)AR部署防火墻功能，將WAN/Internet區(qū)域、3G區(qū)域劃分為untrust區(qū)域，公用服務(wù)器區(qū)域劃分為DMZ區(qū)，其他區(qū)域劃分為trust區(qū)域。允許trust區(qū)域和DMZ區(qū)域互訪，允許untrust區(qū)域與DMZ區(qū)域互訪，不允許trust區(qū)域和untrust區(qū)域之間直接互訪。基于安全考慮，建議AR部署ARP防攻擊功能，接入交換機(jī)部署DHCPSnooping功能，以防止非法的ARP報(bào)文對網(wǎng)絡(luò)的攻擊。遠(yuǎn)程接入設(shè)計(jì)中小型機(jī)構(gòu)訪問WAN/Internet通過AR的NAT功能實(shí)現(xiàn)。外派員工通過IPSecVPN訪問中小型機(jī)構(gòu)。建議采用ESP封裝模式，封裝新的IP報(bào)文頭并對原始數(shù)據(jù)報(bào)文進(jìn)展加密，更為安全?？煽啃栽O(shè)計(jì)鏈路備份設(shè)計(jì)：AR上行采用WAN和3G鏈路備份方式，以WAN側(cè)鏈路為主用鏈路，3G鏈路平時(shí)不使用，僅作為備份。一旦WAN側(cè)鏈路發(fā)生故障，則AR自動切換到3G鏈路，從3G鏈路獲取公網(wǎng)地址后進(jìn)展NAT轉(zhuǎn)換，實(shí)現(xiàn)中小型機(jī)構(gòu)與網(wǎng)絡(luò)側(cè)的訪問?？紤]到WAN側(cè)鏈路比3G鏈路安全性高，不受天氣影響，WAN鏈路帶寬也優(yōu)于3G鏈路，建議當(dāng)WAN側(cè)鏈路恢復(fù)后，采用AR自動回切功能，將使用的3G鏈路拆掉，重新切換到WAN側(cè)鏈路。設(shè)備備份設(shè)計(jì)：S5700交換機(jī)作為會聚設(shè)備，一旦出現(xiàn)故障將導(dǎo)致所有用戶均無法訪問網(wǎng)絡(luò)側(cè)，在中小型機(jī)構(gòu)中建議S5700交換機(jī)采用堆疊技術(shù)，將多臺S5700交換機(jī)虛擬化為1臺設(shè)備，一旦主用S5700交換機(jī)出現(xiàn)故障后，其他交換機(jī)能立即接替其成為主用交換機(jī)，確保中小型機(jī)構(gòu)網(wǎng)絡(luò)業(yè)務(wù)的正常運(yùn)行。網(wǎng)管設(shè)計(jì)部署eSight網(wǎng)管系統(tǒng)進(jìn)展日常網(wǎng)絡(luò)維護(hù)。中小型機(jī)構(gòu)根基網(wǎng)絡(luò)方案特點(diǎn)可擴(kuò)展：低投資、高性能，靈活網(wǎng)絡(luò)架構(gòu)，隨時(shí)擴(kuò)展語音、無線，保護(hù)已有投資。易維護(hù)：通過免費(fèi)網(wǎng)管簡單配置，無需專職網(wǎng)管人員?？煽啃愿撸汉诵臅鄄捎枚询B，AR路由器采用3G鏈路備份，網(wǎng)絡(luò)層次少，維護(hù)簡單，可靠性高。中型機(jī)構(gòu)根基網(wǎng)絡(luò)解決方案中型機(jī)構(gòu)根基網(wǎng)絡(luò)設(shè)計(jì)原則中型機(jī)構(gòu)通常為300～1000信息點(diǎn)。中型機(jī)構(gòu)根基網(wǎng)絡(luò)場景的方案特點(diǎn)是期待語音、數(shù)據(jù)、安全、移動業(yè)務(wù)豐富，希望獲得一體化方案、一站式服務(wù)。并且對網(wǎng)絡(luò)安全要求更高，需要配置專業(yè)的防火墻設(shè)備提升安全性和遠(yuǎn)程接入能力。中型企業(yè)的組網(wǎng)構(gòu)造和中小型企業(yè)類似，但因?yàn)槠髽I(yè)規(guī)模的進(jìn)一步擴(kuò)大，有更強(qiáng)的企業(yè)內(nèi)部互聯(lián)以及企業(yè)出口的要求，對網(wǎng)絡(luò)可靠性、可擴(kuò)展性、安全性的要求更高。這些要求表達(dá)在設(shè)備上，就是需要功能更強(qiáng)的AR作為企業(yè)出口路由器、需要專業(yè)的防火墻設(shè)備、需要通過內(nèi)置AC完成對無線用戶的接入控制管理、通過會聚交換機(jī)的雙備份以及流量分擔(dān)。中型機(jī)構(gòu)根基網(wǎng)絡(luò)規(guī)劃核心層設(shè)計(jì)規(guī)劃核心層用于轉(zhuǎn)發(fā)各部門之間的流量，采用AR3200路由器作為核心層出口設(shè)備，S7700系列交換時(shí)機(jī)聚內(nèi)部服務(wù)器區(qū)、DMZ區(qū)和接入?yún)^(qū)流量，使內(nèi)部服務(wù)器區(qū)、DMZ區(qū)、Internet區(qū)和內(nèi)部業(yè)務(wù)區(qū)進(jìn)展互聯(lián)，支撐內(nèi)外部的業(yè)務(wù)流量。核心層部署專業(yè)防火墻設(shè)備，實(shí)現(xiàn)安全防護(hù)的同時(shí)也作為遠(yuǎn)程接入VPN的網(wǎng)關(guān)，實(shí)現(xiàn)外派員工與中型機(jī)構(gòu)的互訪。會聚層設(shè)計(jì)規(guī)劃會聚層是部門的核心，轉(zhuǎn)發(fā)部門用戶間的“橫向〞流量。同時(shí)提供到核心層的“縱向〞流量。S5700系列交換時(shí)機(jī)聚S2700交換機(jī)上送的業(yè)務(wù)流量，用于支撐該會聚層下各業(yè)務(wù)部門之間的互訪。接入層設(shè)計(jì)規(guī)劃接入層是最靠近用戶的網(wǎng)絡(luò)，為用戶提供各種接入方式，是終端、邊緣和IP等設(shè)備接入網(wǎng)絡(luò)的第一層，一般都部署二層設(shè)備。有線用戶通過S2700交換機(jī)接入；無線用戶通過WA600系列胖AP進(jìn)展無線接入。出口設(shè)計(jì)規(guī)劃中型機(jī)構(gòu)通過AR獲取公網(wǎng)地址，實(shí)現(xiàn)與WAN/Internet的互訪，可以采用設(shè)置IP靜態(tài)地址或PPP動態(tài)方式獲取公網(wǎng)地址。可靠性設(shè)計(jì)規(guī)劃AR上行采用WAN和3G鏈路備份方式，以WAN側(cè)鏈路為主用鏈路，3G鏈路平時(shí)不使用，僅作為備份。S57系列交換機(jī)采用堆疊技術(shù)，將多臺S57系列交換機(jī)虛擬化為1臺設(shè)備，一旦主用S57系列交換機(jī)出現(xiàn)故障后，其他交換機(jī)能立即接替其成為主用交換機(jī)。安全性設(shè)計(jì)規(guī)劃通過E系列專業(yè)防火墻功能解決如下安全問題：中型機(jī)構(gòu)內(nèi)、外網(wǎng)之間的訪問控制，實(shí)現(xiàn)中型機(jī)構(gòu)內(nèi)、外網(wǎng)的安全隔離。外派員工與中型機(jī)構(gòu)DMZ區(qū)的訪問控制，實(shí)現(xiàn)外派員工與內(nèi)網(wǎng)的安全隔離。中型機(jī)構(gòu)根基網(wǎng)絡(luò)業(yè)務(wù)方案數(shù)據(jù)業(yè)務(wù)規(guī)劃有線用戶數(shù)據(jù)業(yè)務(wù)：S2700交換機(jī)作為二層接入設(shè)備，通過VLAN劃分用戶。S5700交換機(jī)作為會聚交換機(jī)聚合S2700上送的VLAN流量，S7700交換機(jī)通過DHCP方式為有線用戶分配IP地址。企業(yè)可以根據(jù)自身分區(qū)情況，劃分多個(gè)IP地址段。S7700交換機(jī)通過靜態(tài)路由與AR3200互通，AR3200上行通過公網(wǎng)地址接入WAN/Internet網(wǎng)絡(luò)，通過AR3200做NAT，進(jìn)展私網(wǎng)地址到公網(wǎng)地址的轉(zhuǎn)換，實(shí)現(xiàn)有線用戶與WAN/Internet網(wǎng)絡(luò)的互訪。無線用戶數(shù)據(jù)業(yè)務(wù)：WA600系列AP作為瘦AP，S7700交換機(jī)內(nèi)置AC板卡，與WA600系列AP建設(shè)CAPWAP隧道，無線用戶通過PSK方式接入S7700交換機(jī)，S7700交換機(jī)作為三層網(wǎng)關(guān)，通過DHCP方式為無線用戶分配IP地址。AR3200上行通過公網(wǎng)地址接入WAN/Internet網(wǎng)絡(luò)，通過AR3200做NAT，進(jìn)展私網(wǎng)地址到公網(wǎng)地址的轉(zhuǎn)換，實(shí)現(xiàn)無線用戶與WAN/Internet網(wǎng)絡(luò)的互訪。具體內(nèi)容請參見REF_Ref309138645\r\h7REF_Ref309138648\h中小型機(jī)構(gòu)高級無線解決方案。外派員工數(shù)據(jù)業(yè)務(wù)：防火墻需要支持NAT穿越，AR3200做NAT轉(zhuǎn)換，實(shí)現(xiàn)IPSecVPN的NAT穿越。外派員工通過IPSecVPN方式與中型機(jī)構(gòu)的防火墻建設(shè)隧道，實(shí)現(xiàn)外派員工與中型機(jī)構(gòu)的互訪?？梢栽谕馀蓡T工的電腦中安裝硬件或通過純軟件方式來實(shí)現(xiàn)IPSecVPN功能。企業(yè)出差用戶也可以通過SSLVPN方式訪問中型機(jī)構(gòu)，可以在防火墻部署SSLVPN功能，實(shí)現(xiàn)外派員工的訪問需求。服務(wù)器數(shù)據(jù)業(yè)務(wù)：企業(yè)事先規(guī)劃好服務(wù)器區(qū)和DMZ的服務(wù)器地址，服務(wù)器使用靜態(tài)地址。S2700交換機(jī)作為二層接入設(shè)備，通過VLAN劃分服務(wù)器，內(nèi)部服務(wù)器區(qū)和DMZ區(qū)的服務(wù)器以S7700交換機(jī)作為網(wǎng)關(guān)。語音業(yè)務(wù)規(guī)劃基于中型機(jī)構(gòu)人數(shù)規(guī)模，建議中型機(jī)構(gòu)自行進(jìn)展控制，AR作為PBX場景應(yīng)用，用戶語音信息到AR注冊，由AR統(tǒng)一分配號碼及管理。具體內(nèi)容請參見REF_Ref309138677\r\h8REF_Ref309138679\h中小型機(jī)構(gòu)高級語音解決方案。安全業(yè)務(wù)規(guī)劃如果需要對用戶的接入安全進(jìn)展控制，則建議部署NAC方案。有線用戶可以采用在S2700交換機(jī)上部署802.1X認(rèn)證或者在S77系列交換機(jī)上部署Portal認(rèn)證的方式，無線用戶可以采用在S77系列交換機(jī)上部署Portal認(rèn)證的方式，均可以實(shí)現(xiàn)對用戶接入的安全控制，具體內(nèi)容請參見REF_Ref309138698\r\h6REF_Ref309138701\h中小型機(jī)構(gòu)高級安全解決方案。中型機(jī)構(gòu)根基網(wǎng)絡(luò)技術(shù)方案VLAN設(shè)計(jì)VLAN是將LAN內(nèi)的設(shè)備邏輯地而不是物理地劃分為一個(gè)個(gè)網(wǎng)段，從而實(shí)現(xiàn)在一個(gè)LAN內(nèi)隔離播送域的技術(shù)。VLAN技術(shù)既隔離了播送域，減少了播送風(fēng)暴，又增強(qiáng)了信息的安全性。VLAN通常根據(jù)業(yè)務(wù)需要進(jìn)展規(guī)劃，需要隔離的端口配置不同的VLAN，需要防止播送域過大的地方配置VLAN用于減小播送域。VLAN最好不要跨交換機(jī)，即使跨交換機(jī)數(shù)目也需要限制。S2700根據(jù)接入位置為不同PC分配不同的VLAN，不同S2700交換機(jī)采用不同的VLAN，防止播送域過大，利于問題及時(shí)定位。S5700交換時(shí)機(jī)聚S2700交換機(jī)的VLAN信息，通過S7700系列交換機(jī)實(shí)現(xiàn)VLAN的終結(jié)。IP設(shè)計(jì)IP地址動態(tài)IP與靜態(tài)IP的選取，原則上服務(wù)器、特殊終端設(shè)備建議采用靜態(tài)IP。辦公用設(shè)備建議使用DHCP動態(tài)獲取〔如辦公用PC等〕。AR3200上行優(yōu)選固定IP地址接入，其次選擇PPP方式接入。S7700作為DHCP網(wǎng)關(guān)和DHCPServer，為有線、無線用戶分配私網(wǎng)IP地址。服務(wù)器采用靜態(tài)IP地址接入。DHCP設(shè)計(jì)DHCP部署根本原則為固定IP地址段和動態(tài)分配IP地址段保持連續(xù)，按照業(yè)務(wù)區(qū)域進(jìn)展DHCP地址的劃分，便于統(tǒng)一管理及問題定位。啟動DHCP安全功能，制止非法DHCPServer的架設(shè)和非法用戶的接入。有線用戶通過S2700交換機(jī)攜帶VLAN信息，S7700交換機(jī)作為DHCP網(wǎng)關(guān)和DHCPServer，S7700交換機(jī)終結(jié)VLAN并給有線用戶分配私網(wǎng)IP地址。無線用戶通過CAPWAP隧道方式接入S7700交換機(jī)。WA600系列AP終結(jié)無線報(bào)文，通過CAPWAP隧道透傳無線用戶的DHCP請求報(bào)文，S7700交換機(jī)終結(jié)該請求報(bào)文，給無線用戶分配私網(wǎng)IP地址。NAT設(shè)計(jì)NAT稱為網(wǎng)絡(luò)地址轉(zhuǎn)換，用于實(shí)現(xiàn)私有網(wǎng)絡(luò)和公有網(wǎng)絡(luò)之間的互訪。AR3200部署NAT特性，實(shí)現(xiàn)用戶側(cè)私網(wǎng)地址到網(wǎng)絡(luò)側(cè)公網(wǎng)地址的轉(zhuǎn)換，實(shí)現(xiàn)用戶與WAN/Internet的互訪。在中型機(jī)構(gòu)根基網(wǎng)絡(luò)場景中，WAN側(cè)和3G側(cè)都需要部署NAT特性，以防止某側(cè)鏈路出現(xiàn)故障后仍能實(shí)現(xiàn)私網(wǎng)地址到公網(wǎng)地址的轉(zhuǎn)換。安全設(shè)計(jì)防火墻E1000E將WAN/Internet區(qū)域、3G區(qū)域劃分為untrust區(qū)域，公用服務(wù)器區(qū)域劃分為DMZ區(qū)，其他區(qū)域劃分為trust區(qū)域。允許trust區(qū)域和DMZ區(qū)域互訪，允許untrust區(qū)域與DMZ區(qū)域互訪，不允許trust區(qū)域和untrust區(qū)域之間直接互訪?；诎踩紤]，建議防火墻部署ARP防攻擊功能，接入交換機(jī)部署DHCPSnooping功能，以防止非法的ARP報(bào)文對網(wǎng)絡(luò)的攻擊。遠(yuǎn)程接入設(shè)計(jì)中型機(jī)構(gòu)訪問WAN/Internet通過AR的NAT功能實(shí)現(xiàn)。外派員工通過IPSecVPN訪問中型機(jī)構(gòu)。建議采用ESP封裝模式，封裝新的IP報(bào)文頭并對原始數(shù)據(jù)報(bào)文進(jìn)展加密，更為安全。外派員工也可以通過SSLVPN訪問中型機(jī)構(gòu)?？煽啃栽O(shè)計(jì)鏈路備份設(shè)計(jì)：AR上行采用WAN和3G鏈路備份方式，以WAN側(cè)鏈路為主用鏈路，3G鏈路平時(shí)不使用，僅作為備份。一旦WAN側(cè)鏈路發(fā)生故障，則AR自動切換到3G鏈路，從3G鏈路獲取公網(wǎng)地址后進(jìn)展NAT轉(zhuǎn)換，實(shí)現(xiàn)中型機(jī)構(gòu)與網(wǎng)絡(luò)側(cè)的訪問?？紤]到WAN側(cè)鏈路比3G鏈路安全性高，不受天氣影響，WAN鏈路帶寬也優(yōu)于3G鏈路，建議當(dāng)WAN側(cè)鏈路恢復(fù)后，采用AR自動回切功能，將使用的3G鏈路拆掉，重新切換到WAN側(cè)鏈路。設(shè)備備份設(shè)計(jì)：S5700交換機(jī)作為會聚設(shè)備，一旦出現(xiàn)故障將導(dǎo)致所有用戶均無法訪問網(wǎng)絡(luò)側(cè)，在中型機(jī)構(gòu)中建議S5700交換機(jī)采用堆疊技術(shù)，將多臺S5700交換機(jī)虛擬化為1臺設(shè)備，一旦主用S5700交換機(jī)出現(xiàn)故障后，其他交換機(jī)能立即接替其成為主用交換機(jī)，確保中型機(jī)構(gòu)網(wǎng)絡(luò)業(yè)務(wù)的正常運(yùn)行。網(wǎng)管設(shè)計(jì)部署eSight網(wǎng)管系統(tǒng)進(jìn)展日常網(wǎng)絡(luò)維護(hù)。中型機(jī)構(gòu)根基網(wǎng)絡(luò)方案特點(diǎn)有線無線一體化：內(nèi)置AC，有線無線統(tǒng)一調(diào)度，節(jié)省投資?？蓴U(kuò)展：低投資、高性能，靈活網(wǎng)絡(luò)架構(gòu)，隨時(shí)擴(kuò)展語音、無線業(yè)務(wù)，保護(hù)已有投資。易維護(hù)：通過網(wǎng)管簡單配置，無需專職網(wǎng)管人員。可靠性高：核心會聚采用堆疊，AR路由器采用3G鏈路備份，網(wǎng)絡(luò)層次少，維護(hù)簡單。中小型機(jī)構(gòu)高級安全解決方案中小型機(jī)構(gòu)高級安全設(shè)計(jì)原則中小企業(yè)通常為100～1000信息點(diǎn)，通過部署高級安全解決方案實(shí)現(xiàn)網(wǎng)絡(luò)安全一體化。該方案特點(diǎn)是通過部署NAC解決方案實(shí)現(xiàn)有線、無線用戶的一體化接入安全控制，包括安全準(zhǔn)入、終端檢查、權(quán)限控制及事后審計(jì)功能，實(shí)現(xiàn)全面的安全控制，確保企業(yè)網(wǎng)絡(luò)的安全性。中小型機(jī)構(gòu)高級安全業(yè)務(wù)方案園區(qū)用戶接入安全業(yè)務(wù)規(guī)劃在中小型及中型園區(qū)中，關(guān)于有線用戶接入認(rèn)證推薦兩種方案：接入層、會聚層動態(tài)授權(quán)方案和核心層Portal方案。接入層動態(tài)授權(quán)方案使用S2700/S3700/S5700系列交換機(jī)作為接入交換機(jī)，S5700或S7700交換機(jī)作為會聚交換機(jī)。接入層使用VLAN劃分用戶的所屬部門，使用802.1x認(rèn)證技術(shù)根據(jù)端口進(jìn)展認(rèn)證；用戶認(rèn)證前統(tǒng)一在GuestVLAN里進(jìn)展授權(quán)，用戶認(rèn)證后，由認(rèn)證服務(wù)器下發(fā)VLAN進(jìn)展部門劃分；核心交換機(jī)作為網(wǎng)關(guān)，使用DHCP動態(tài)分配IP地址，根據(jù)認(rèn)證前后所屬VLAN配置ACL權(quán)限，對用戶部門進(jìn)展權(quán)限限制，并接入內(nèi)網(wǎng)進(jìn)展訪問。會聚層交換機(jī)使用VRRP功能進(jìn)展主備備份，提高網(wǎng)絡(luò)可靠性。核心層Portal方案同樣使用S2700/S3700/S5700系列交換機(jī)作為接入交換機(jī)，S5700或S7700交換機(jī)作為會聚交換機(jī)。接入層交換機(jī)作為二層透傳設(shè)備，為接入用戶劃分VLAN。核心交換機(jī)作為網(wǎng)關(guān)，啟用DHCP動態(tài)分配IP地址，使用華為Portal協(xié)議進(jìn)展網(wǎng)關(guān)認(rèn)證；用戶認(rèn)證前使用Freerule功能為用戶進(jìn)展認(rèn)證前權(quán)限限制，認(rèn)證后用戶的具體權(quán)限由認(rèn)證服務(wù)器以ACL形式進(jìn)展權(quán)限下發(fā)，并接入內(nèi)網(wǎng)進(jìn)展訪問；無線用戶接入認(rèn)證，推薦采用核心層S7700交換機(jī)內(nèi)置AC方式認(rèn)證。使用核心層內(nèi)置AC設(shè)備認(rèn)證的時(shí)候，接入層交換機(jī)下掛AP，采用獨(dú)立模式或集中模式認(rèn)證；接入層交換機(jī)配置二層透傳，透傳AP發(fā)出的報(bào)文，核心層交換機(jī)使用DHCP進(jìn)展IP地址分配，并由內(nèi)置AC進(jìn)展認(rèn)證。遠(yuǎn)程分支用戶接入安全業(yè)務(wù)規(guī)劃分支用戶分為小型分支、中型分支、大型分支企業(yè)。小型分支接入點(diǎn)數(shù)目一般在100個(gè)左右，推薦采用在分支出口路由器AR設(shè)備上啟用Portal認(rèn)證，使用戶在企業(yè)出口強(qiáng)制進(jìn)展認(rèn)證和安全狀態(tài)檢查。如果終端包含語音設(shè)備，還需要在AR設(shè)備上啟用MAC認(rèn)證；小型分支建議AR作為網(wǎng)關(guān)，使用DHCP動態(tài)為接入用戶分配IP地址。此時(shí)認(rèn)證服務(wù)器建議部署在分支，并將數(shù)據(jù)同步到總部服務(wù)器；也可以采用在會聚交換機(jī)設(shè)備上啟用網(wǎng)關(guān)做Portal認(rèn)證，使用戶在網(wǎng)關(guān)進(jìn)展認(rèn)證和安全狀態(tài)檢查。根據(jù)終端設(shè)備類型啟用MAC認(rèn)證。網(wǎng)關(guān)使用DHCP動態(tài)為接入用戶分配IP地址。此時(shí)認(rèn)證服務(wù)器可以部署在總部，分支網(wǎng)絡(luò)與總部網(wǎng)絡(luò)使用通過出口路由器以IPSecVPN方式與總部AR建設(shè)隧道，實(shí)現(xiàn)分支企業(yè)與總部的互訪。企業(yè)中型分支接入點(diǎn)在100以上，1000以下，認(rèn)證服務(wù)器一般根據(jù)分支用戶規(guī)格選擇性的部署在分支內(nèi)部或者使用總部的認(rèn)證服務(wù)器。中型分支網(wǎng)絡(luò)核心層作為網(wǎng)關(guān)動態(tài)分配IP地址。用戶接入方式可同園區(qū)一樣使用在分支接入層交換機(jī)采用802.1x認(rèn)證或MAC認(rèn)證方案或在核心層配置Portal認(rèn)證方案。用戶認(rèn)證后由認(rèn)證服務(wù)器根據(jù)認(rèn)證方式下發(fā)權(quán)限，用戶可接入分支內(nèi)部訪問網(wǎng)絡(luò)，也可通過AR訪問總部網(wǎng)絡(luò)。分支網(wǎng)絡(luò)與總部網(wǎng)絡(luò)使用通過出口路由器以IPSecVPN方式與總部AR建設(shè)隧道，實(shí)現(xiàn)分支企業(yè)與總部的互訪。企業(yè)大型分支接入點(diǎn)在1000以上，在分支網(wǎng)絡(luò)中，認(rèn)證服務(wù)器一般部署在分支內(nèi)部。認(rèn)證方式與中型分支一樣，在此不贅述。邊界安全業(yè)務(wù)規(guī)劃在企業(yè)互聯(lián)網(wǎng)出口部署防火墻及VPN設(shè)備，分支機(jī)構(gòu)及移動辦公用戶分別通過VPN網(wǎng)關(guān)〔AR設(shè)備〕和VPN客戶端安全連入企業(yè)內(nèi)部網(wǎng)絡(luò)。同時(shí)通過防火墻將企業(yè)內(nèi)部網(wǎng)、DMZ、數(shù)據(jù)中心、互聯(lián)網(wǎng)等安全區(qū)域分隔開。在核心交換機(jī)與Internet路由器之間配置兩臺防火墻，兩臺防火墻與核心交換機(jī)以及Internet路由器之間采取全冗余連接，保證系統(tǒng)的可靠性，建議配置兩臺防火墻為雙機(jī)熱備方式，在實(shí)現(xiàn)安全控制同時(shí)保證線路的可靠性，同時(shí)可以與內(nèi)網(wǎng)動態(tài)路由策略組合，實(shí)現(xiàn)流量負(fù)載分擔(dān)。配置防火墻全面安全防范能力，通過防火墻的訪問控制策略，控制來自Internet用戶只能訪問DMZ區(qū)服務(wù)器的特定端口，對內(nèi)部用戶訪問Internet進(jìn)展基于IP地址的控制。VPN網(wǎng)關(guān)部署在園區(qū)邊界，IPSecVPN的方式除為出差員工提供隨時(shí)隨地的接入功能，同時(shí)提供企業(yè)分支和總部的一對一的VPN功能。推薦使用華賽USG統(tǒng)一網(wǎng)關(guān)產(chǎn)品，USG接口類型豐富，接口密度大，提供固定、移動、無線統(tǒng)一接入，提供家庭、企業(yè)、熱點(diǎn)統(tǒng)一接入，最大程度滿足了用戶的多種接入需求，并且支持多種路由交換協(xié)議，可滿足中小型企業(yè)、大中型企業(yè)的分支機(jī)構(gòu)、行業(yè)網(wǎng)的分支機(jī)構(gòu)以及局部電信網(wǎng)絡(luò)的需求。同時(shí)USG擁有強(qiáng)大的安全防護(hù)能力、增強(qiáng)的報(bào)文過濾功能、狀態(tài)檢測安全功能、黑名單過濾惡意主機(jī)、IP和MAC地址綁定、強(qiáng)大的防攻擊功能，并支持VPN特性。內(nèi)網(wǎng)審計(jì)業(yè)務(wù)規(guī)劃園區(qū)用戶上網(wǎng)行為審計(jì)業(yè)務(wù)，推薦使用SINFORAC串行在園區(qū)網(wǎng)中進(jìn)展上網(wǎng)行為管理。實(shí)現(xiàn)對用戶行為的識別、訪問控制和監(jiān)控審計(jì)。SINFORAC可以采用網(wǎng)橋模式，串接在接入層交換機(jī)和會聚層交換機(jī)之間，對所有流經(jīng)AC的數(shù)據(jù)流進(jìn)展審計(jì)，管理和控制。當(dāng)AC出現(xiàn)策略或者設(shè)備故障問題時(shí)，AC將成為一條透明的網(wǎng)線，放行所有的數(shù)據(jù)，不影響組織的正常上網(wǎng)。中小型機(jī)構(gòu)高級安全技術(shù)方案安全檢查設(shè)計(jì)終端必須在安全的狀態(tài)才能接入網(wǎng)絡(luò)，華賽TSM擁有豐富的安全策略，可以實(shí)現(xiàn)對終端的安全檢查。不但可以對入網(wǎng)終端的安全性〔殺毒軟件安裝、補(bǔ)丁更新、密碼強(qiáng)度、屏保等〕進(jìn)展掃描，在接入網(wǎng)絡(luò)前完成終端安全狀態(tài)的檢查；同時(shí)對終端不安全狀態(tài)能夠與控制設(shè)備進(jìn)展聯(lián)動，當(dāng)發(fā)現(xiàn)不安全終端接入網(wǎng)絡(luò)的時(shí)候，能夠?qū)@些終端實(shí)現(xiàn)一定程度的阻斷，防止這些終端對業(yè)務(wù)系統(tǒng)的危害，并能夠主動幫助這些終端完成安全狀態(tài)的自修復(fù)；對于未能及時(shí)修復(fù)的不安全終端，能夠?qū)ζ溥M(jìn)展權(quán)限限制，防止接入網(wǎng)絡(luò)，引發(fā)網(wǎng)絡(luò)安全問題。遠(yuǎn)程接入安全設(shè)計(jì)分支機(jī)構(gòu)通過IPSecVPN方式訪問總部，建議采用隧道模式，封裝新的IP報(bào)文頭并對原始數(shù)據(jù)報(bào)文進(jìn)展加密，更為安全。機(jī)構(gòu)訪問WAN/Internet則通過AR的NAT功能實(shí)現(xiàn)。外派員工及微型機(jī)構(gòu)用戶使用客戶端，通過IPSecVPN訪問總部。防火墻設(shè)計(jì)為了能夠有效的阻擋來自Internet上的攻擊，保護(hù)企業(yè)在Internet邊界部署的服務(wù)器，使之提供公眾訪問功能的同時(shí)，還能夠保護(hù)這些服務(wù)器的安全。推薦在核心交換機(jī)與Internet路由器之間配置兩臺防火墻，兩臺防火墻與核心交換機(jī)以及Internet路由器之間采取全冗余連接，保證系統(tǒng)的可靠性，建議配置兩臺防火墻為雙機(jī)熱備方式，在實(shí)現(xiàn)安全控制同時(shí)保證線路的可靠性。同時(shí)可以與內(nèi)網(wǎng)動態(tài)路由策略組合，實(shí)現(xiàn)流量負(fù)載分擔(dān)。配置防火墻全面安全防范能力，通過防火墻的訪問控制策略，控制來自Internet用戶只能訪問DMZ區(qū)服務(wù)器的特定端口，對內(nèi)部用戶訪問Internet進(jìn)展基于IP地址的控制。內(nèi)網(wǎng)安全設(shè)計(jì)企業(yè)對于來自Internet的威脅可以通過部署防火墻到達(dá)保護(hù)局域網(wǎng)的內(nèi)部用戶免受蠕蟲、間諜軟件的侵?jǐn)_，實(shí)現(xiàn)安全上網(wǎng)。而對于局域網(wǎng)內(nèi)部計(jì)算機(jī)客戶端的安全威脅，除了使用終端準(zhǔn)入控制技術(shù)，也可以在網(wǎng)絡(luò)設(shè)備上配置相關(guān)防攻擊特性，實(shí)現(xiàn)網(wǎng)絡(luò)安全的保護(hù)。目前對于內(nèi)網(wǎng)威脅，可以考慮在核心層，會聚層，接入層分別部署不同特性。如在接入層部署MFF功能，防止用戶非法互訪；通過在接入層配置MAC限速，防止MAC泛洪；在會聚層配置IPSouceGurad來防止IP欺騙，也可以考慮配置DHCP限速防止DHCP泛洪。內(nèi)網(wǎng)審計(jì)設(shè)計(jì)SINFORAC以串聯(lián)的方式接在路由設(shè)備和交換設(shè)備之間，即防火墻/路由器和交換機(jī)中間。不做NAT和選路，但對所有經(jīng)過的應(yīng)用流量都具有控制功能。AC具有開機(jī)BYPASS、軟件BYPASS和硬件BYPASS功能，當(dāng)AC出現(xiàn)策略或者設(shè)備故障問題時(shí)，AC將成為一條透明的網(wǎng)線，放行所有的數(shù)據(jù)，不影響組織的正常上網(wǎng)。由于網(wǎng)橋模式不需要更改組織的網(wǎng)絡(luò)構(gòu)造，只需一個(gè)IP地址，管理員就可以管理內(nèi)網(wǎng)。ARP防攻擊設(shè)計(jì)由于ARP攻擊利用的是網(wǎng)絡(luò)協(xié)議漏洞，所以可以通過攻擊、病毒、木馬等多種形式發(fā)起，這種攻擊難以從源頭上消滅。最好的方法就是將ARP攻擊限制在盡可能小的范圍內(nèi)，以到達(dá)防御ARP攻擊的目的。ARP攻擊防御可以在網(wǎng)關(guān)層、接入層和終端進(jìn)展，在接入層和終端部署效果最好。在網(wǎng)關(guān)層，部署ARP嚴(yán)格學(xué)習(xí)或部署ARP防IP攻擊功能來阻止ARP仿冒網(wǎng)關(guān)攻擊；在網(wǎng)關(guān)配置APR源抑制功能，來防止APR泛洪攻擊，這局部功能也可以部署在防火墻上。在接入層，可部署DHCPSnooping功能丟棄非法入侵的ARP報(bào)文。同時(shí)在部署TSM認(rèn)證系統(tǒng)的終端PC上啟用TSM的ARP保護(hù)功能，可防止本機(jī)發(fā)起的ARP欺騙攻擊和ARP泛洪攻擊，也可通過IP與MAC的綁定防止主機(jī)遭受ARP攻擊。華為公司提供多種ARP防御方案，針對不同的企業(yè)應(yīng)用和需求，能夠靈活選擇最適合企業(yè)的ARP防御方案；能夠從源頭堵截ARP攻擊，更高效的防御APR攻擊。中小型機(jī)構(gòu)高級安全方案特點(diǎn)接入安全：NAC方案提供完善的接入、檢查、訪問控制和審計(jì)功能，接入更安全。一體化管理：有線無線一體化接入控制，管理更簡單。防范ARP攻擊：網(wǎng)絡(luò)設(shè)備提供完善的ARP攻擊防范措施，TSM客戶端自動實(shí)現(xiàn)IP與MAC綁定，防止主機(jī)中病毒后的主動攻擊行為，確保網(wǎng)絡(luò)安全可靠。中小型機(jī)構(gòu)高級無線解決方案中小型機(jī)構(gòu)高級無線設(shè)計(jì)原則中小型機(jī)構(gòu)和中型機(jī)構(gòu)無線信息點(diǎn)通常含有100～1000信息點(diǎn)，主要場景為咖啡廳、商業(yè)酒店、展廳與證卷大廳、體育場館新聞中心、制造車間、物流運(yùn)輸。該方案特點(diǎn)是支持多種無線終端的安全接入，對無線高優(yōu)先級業(yè)務(wù)進(jìn)展QoS保證，實(shí)現(xiàn)有線無線的一體化應(yīng)用，減少企業(yè)的運(yùn)維本錢。中小型機(jī)構(gòu)高級無線業(yè)務(wù)方案無線用戶接入業(yè)務(wù)規(guī)劃通過PSK方式接入無線網(wǎng)絡(luò)：S7700部署AC板卡，無線用戶通過PSK方式接入S7700，S7700作為三層網(wǎng)關(guān)，通過DHCP方式為無線用戶分配IP地址。通過802.1X方式接入無線網(wǎng)絡(luò)：企業(yè)如果需要對用戶進(jìn)展精細(xì)化控制和管理，則建議在服務(wù)器區(qū)部署AAA服務(wù)器。區(qū)域內(nèi)用戶通過在AC上部署802.1X認(rèn)證方式對接入用戶進(jìn)展身份認(rèn)證，認(rèn)證通過后由AC作為三層網(wǎng)關(guān)并為無線用戶分配IP地址。通過Portal方式接入無線網(wǎng)絡(luò)：對于外來訪客等接入無線網(wǎng)絡(luò)，建議使用Portal方式，Portal認(rèn)證可結(jié)合WLAN終端身份驗(yàn)證來完成WLAN用戶的接入認(rèn)證以及加密。在AC上使能Portal認(rèn)證功能，認(rèn)證通過后可以訪問WAN/Internet網(wǎng)絡(luò)。該方案不需要安裝客戶端軟件，安全性相比于802.1X認(rèn)證較差。無線語音終端用戶接入業(yè)務(wù)規(guī)劃無線語音終端通過MAC認(rèn)證方式接入無線網(wǎng)絡(luò)，AR可以作為PBX設(shè)備對該無線終端進(jìn)展注冊，或者AR作為AG設(shè)備將該無線語音終端的注冊信息送到總部的PBX上進(jìn)展注冊，最終完成語音業(yè)務(wù)。具體內(nèi)容請參見REF_Ref309138471\r\h8REF_Ref309138474\h中小型機(jī)構(gòu)高級語音解決方案。有線無線一體化接入業(yè)務(wù)規(guī)劃中小企業(yè)建議通過一套系統(tǒng)完成有線無線用戶的統(tǒng)一接入，利于網(wǎng)絡(luò)規(guī)劃的同時(shí)也利于統(tǒng)一管理。802.1X認(rèn)證需要安裝客戶端并且部署在不同的接入交換機(jī)上，不利于統(tǒng)一維護(hù)管理。建議通過在網(wǎng)關(guān)設(shè)備上部署統(tǒng)一的Portal認(rèn)證機(jī)制，實(shí)現(xiàn)有線無線的一體化接入。中小型機(jī)構(gòu)高級無線技術(shù)方案WLAN認(rèn)證設(shè)計(jì)相對于簡單的WLAN終端身份驗(yàn)證機(jī)制，用戶身份驗(yàn)證的安全性大大提高。通過提供有限的訪問權(quán)限來驗(yàn)證用戶身份，只有確定用戶身份后才給予完整的網(wǎng)絡(luò)訪問權(quán)限，可有效判別用戶的合法性。WLAN用戶身份驗(yàn)證主要有Portal、PSK、802.1X等幾種認(rèn)證方式：PSK認(rèn)證需要實(shí)現(xiàn)在客戶端和設(shè)備端配置一樣的預(yù)共享密鑰，而具體的認(rèn)證過程實(shí)際上在密鑰協(xié)商過程〔EAPOL-Key密鑰協(xié)商過程〕中完成。Portal認(rèn)證由于認(rèn)證過程中不會協(xié)商WLAN用戶空口所需的加密密鑰，因此Portal認(rèn)證可結(jié)合WLAN終端身份驗(yàn)證來完成WLAN用戶的接入認(rèn)證以及加密。802.1X，支持的認(rèn)證類型有：EAP-TLS、EAP-PEAP、EAP-MD5、EAP-PAP，其中EAP-MD5、EAP-PAP支持本地認(rèn)證。中小企業(yè)中無線用戶接入認(rèn)證部署方式建議如下：認(rèn)證方式優(yōu)點(diǎn)劣勢適用場景802.1x(EAP-TLS、EAP-PEAP)1、安全性高2、PC終端普遍支持1、需安裝客戶端軟件2、采用EAP-TLS認(rèn)證時(shí)網(wǎng)絡(luò)部署難度大企業(yè)，且網(wǎng)絡(luò)中部署了認(rèn)證服務(wù)器。Portal+PSK不需要安裝客戶端軟件安全性較差校園網(wǎng)、企業(yè)訪客用戶等，網(wǎng)絡(luò)中部署了認(rèn)證服務(wù)器。Portal+開放系統(tǒng)認(rèn)證不需要安裝客戶端軟件安全性較差企業(yè)訪客用戶等，網(wǎng)絡(luò)中部署了認(rèn)證服務(wù)器。PSK1、不需安裝客戶端2、網(wǎng)絡(luò)不需部署認(rèn)證服務(wù)器，降低部署本錢安全性較差沒有部署認(rèn)證服務(wù)器的網(wǎng)絡(luò)。SSID與VLAN設(shè)計(jì)中小企業(yè)可以使用一個(gè)SSID，給所有人員提供WLAN接入服務(wù)；如需要劃分不同SSID便于中小企業(yè)管理，則可以使用多個(gè)SSID，多個(gè)SSID可以映射到一樣VLAN或者不同VLAN。業(yè)務(wù)VLAN用于區(qū)分不同的業(yè)務(wù)群體，在WLAN中SSID也可以承當(dāng)相應(yīng)的功能，因此可以綜合考慮VLAN與SSID的映射關(guān)系。SSID:VLAN=1:1，企業(yè)希望員工搜到的WLAN只有一個(gè)SSID，并且給員工分配同一網(wǎng)段的地址，則VLAN只需要規(guī)劃一個(gè)，例如VLAN100。SSID:VLAN=N:1，中小企業(yè)希望員工根據(jù)搜到的多個(gè)SSID進(jìn)展選擇接入，但是希望給員工都分配同一網(wǎng)段的地址，則VLAN也只需要規(guī)劃一個(gè)，例如VLAN100。SSID:VLAN=1:N，中小企業(yè)有多個(gè)胖AP分布在不同區(qū)域，企業(yè)希望員工搜到的WLAN只有一個(gè)SSID，但是希望根據(jù)不同區(qū)域給用戶分不同網(wǎng)段的地址加以區(qū)分，則VLAN需要規(guī)劃多個(gè)，例如VLAN100、VLAN200。SSID:VLAN=N:N，中小企業(yè)希望員工根據(jù)搜到的多個(gè)SSID進(jìn)展選擇接入，并且希望給員工分配不同網(wǎng)段的地址，則VLAN需要規(guī)劃多個(gè)，例如VLAN100，VLAN200。中小企業(yè)可以根據(jù)自身業(yè)務(wù)需要，從上述四種方式中任選其一，完成企業(yè)VLAN的規(guī)劃部署。DHCP設(shè)計(jì)DHCP部署根本原則為固定IP地址段和動態(tài)分配IP地址段保持連續(xù)，按照業(yè)務(wù)區(qū)域進(jìn)展DHCP地址的劃分，便于統(tǒng)一管理及問題定位。啟動DHCP安全功能，制止非法DHCPServer的架設(shè)和非法用戶的接入。無線用戶通過CAPWAP隧道方式接入S7700交換機(jī)。AP終結(jié)無線報(bào)文，通過CAPWAP隧道透傳無線用戶的DHCP請求報(bào)文，S7700交換機(jī)終結(jié)該請求報(bào)文，給無線用戶分配私網(wǎng)IP地址。射頻設(shè)計(jì)射頻信道選擇：對于無線局域網(wǎng)，信道是非常稀缺的資源，例如對于2.4G網(wǎng)絡(luò)，只有３個(gè)非重疊信道，智能的分配信道是無線應(yīng)用的關(guān)鍵。同時(shí)，無線局域網(wǎng)工作的頻段存在大量可能的干擾源，如雷達(dá)、微波等，它們將干擾AP的正常工作。通過信道調(diào)整功能，可以保證每個(gè)AP能夠分配到最優(yōu)的信道，盡可能地減少和防止相鄰信道干擾。動態(tài)信道調(diào)整能夠?qū)崿F(xiàn)通信的持續(xù)進(jìn)展，為網(wǎng)絡(luò)的可靠傳輸提供保證。AP支持手動和自動兩種方式設(shè)置工作信道。設(shè)置為自動方式后，一旦檢測到信道沖突AP具有信道自動調(diào)整功能，建議AP采用自動設(shè)置工作信道方式，防止手動設(shè)置后一旦信道沖突將導(dǎo)致無法切換信道的問題。射頻功率選擇：傳統(tǒng)的射頻功率控制方法只是靜態(tài)地將發(fā)射功率設(shè)置為最大值，單純地追求信號覆蓋范圍，但是功率過大可能導(dǎo)致對其他無線設(shè)備造成不必要的干擾。因此，需要選擇一個(gè)能平衡覆蓋范圍和系統(tǒng)容量的最正確功率。AP支持手動和自動兩種方式設(shè)置射頻功率。一旦檢測到?jīng)_突后會進(jìn)展功率調(diào)整，實(shí)現(xiàn)動態(tài)的分配合理的功率。射頻速率選擇：802.11在開展的過程中出現(xiàn)了不同的標(biāo)準(zhǔn)：802.11a/b/d/e/f/g/h/i/j/k/n/p/r/s/t/u。其中802.11a、802.11b、802.11g、802.11n這些屬于物理層標(biāo)準(zhǔn)，即我們所謂的射頻類型。不同的物理層標(biāo)準(zhǔn)，決定了射頻在單位時(shí)間內(nèi)可以裝載不同容量的數(shù)據(jù)，即射頻的速率。我們可配置射頻的速率模式為指定或自動，指定的速率或自動模式時(shí)的最大速率必須在射頻類型支持的速率集內(nèi)。目前AP一般支持多種射頻類型，推薦中小企業(yè)選擇802.11g或802.11n模式，其中802.11g模式最大射頻速率為54M，802.11n最大射頻速率理論可以到達(dá)600M。射頻補(bǔ)盲：當(dāng)某些AP下線或故障時(shí)，就需要調(diào)大周圍鄰居的功率進(jìn)展補(bǔ)盲。當(dāng)一臺AP下線或出現(xiàn)故障時(shí)，鄰居AP檢測到信道功率后自動調(diào)節(jié)AP的發(fā)射功率，增強(qiáng)AP的下行信號，從而到達(dá)補(bǔ)盲的效果。建議AP使能射頻補(bǔ)盲功能。WMM設(shè)計(jì)WMM按照優(yōu)先級從高到低的順序分為AC-VO〔語音流〕、AC-VI〔視頻流〕、AC-BE〔盡力而為流〕、AC-BK〔背景流〕四個(gè)優(yōu)先級隊(duì)列，保證越高優(yōu)先級隊(duì)列中的報(bào)文，搶占信道的能力越高。基于上述因?yàn)闃I(yè)務(wù)層面不同而產(chǎn)生的不同應(yīng)用需求，我們推薦根據(jù)需要在不同AP上制定不同的WMM策略，某些AP提高語音和視頻的優(yōu)先級，某些AP提高數(shù)據(jù)轉(zhuǎn)發(fā)的優(yōu)先級。頻點(diǎn)設(shè)計(jì)基于IEEE802.11系列標(biāo)準(zhǔn)的WiFi擁有2.4GHz和5GHz兩個(gè)頻段，其中2.4GHz頻段可選信道有14個(gè)，每個(gè)信道帶寬為22MHz，只有3個(gè)信道相互之間無干擾，我國選用1、6、11等三個(gè)信道；5GHz頻段可選信道為24個(gè)，我國選用149、153、157、161及165等五個(gè)信道。需要注意的是，不同的國家或地區(qū)使用的信道或頻段是不同的，在實(shí)際規(guī)劃中需要事先了解具體要求。在WLAN的工程部署中，往往需要多個(gè)AP，如果不同的AP工作在一樣的頻道，就可能形成同頻干擾。為保證頻道之間不相互干擾，在多個(gè)頻道同時(shí)工作的情況下，就要求兩個(gè)頻道的中心頻率間隔不能低于25MHz。為了擴(kuò)大覆蓋范圍和提高頻譜利用率，WLAN也需要引入蜂窩構(gòu)造，對于1、6和11三個(gè)信道交織使用，具體的覆蓋示意圖如下〔1：代表信道1、2：代表信道6、3：代表信道11〕：覆蓋設(shè)計(jì)通過現(xiàn)場勘測確定站點(diǎn)的根本情況，了解建筑周圍的傳播環(huán)境，以明確選用何種部署方式〔室內(nèi)放裝、室內(nèi)分布和室外覆蓋〕、各區(qū)域的用途，幫助工程師確定容量、覆蓋和業(yè)務(wù)質(zhì)量要求，防止圖上作業(yè)的局限。站點(diǎn)勘測可以幫助確定AP、天線安裝位置，以及走線路由。根據(jù)勘查方案，進(jìn)展站點(diǎn)無線勘測?？睖y過程中需要記錄以下信息：周圍無線傳播環(huán)境條件〔照片〕、建筑空間分割等的現(xiàn)場查看、可能的AP安裝位置、弱電井可能走線位置。另外勘測中需要詢問各空間的用途，判斷話務(wù)類型、頂峰時(shí)間。另外注意電梯、出入口人員移動路線。幫助確定容量、切換區(qū)的設(shè)置。覆蓋預(yù)測過程和無線站址勘測過程是嚴(yán)密關(guān)聯(lián)的。在網(wǎng)絡(luò)規(guī)劃過程中，覆蓋預(yù)測通常并不是一次就可以到達(dá)網(wǎng)絡(luò)規(guī)劃目標(biāo)，需要進(jìn)展假設(shè)干次的反復(fù)調(diào)整。預(yù)測的主要內(nèi)容包括：輸入數(shù)據(jù)采集，預(yù)測工作，預(yù)測報(bào)告。鏈路預(yù)算設(shè)計(jì)鏈路預(yù)算〔linkbudget〕，是在一個(gè)\o"通信系統(tǒng)"通信系統(tǒng)中對發(fā)送段、通信鏈路、傳播環(huán)境〔大氣、\o"同軸電纜"同軸電纜、\o"波導(dǎo)"波導(dǎo)、\o"光纖"光纖等〕和接收端中所有\(zhòng)o"增益"增益和\o"衰減"衰減的核算。其通常用來估算信號能成功從發(fā)射端傳送到接收端之間的最遠(yuǎn)距離。WLAN鏈路預(yù)算一般經(jīng)過以下步驟：確定邊緣場強(qiáng)：一般地，在WLAN工程部署中，要求重點(diǎn)覆蓋區(qū)域內(nèi)的WLAN信號到達(dá)用戶終端的信號強(qiáng)度不低于－75dBm。分析傳輸模型，確定空間傳播損耗公式：對接收電平的估算通常采用如下公式：其中：Pr[dB]為最小接收電平，即為AP在不同傳輸速率下的接收靈敏度；Pt[dB]為最大發(fā)射功率；Gt[dB]為發(fā)射天線增益；Gr[dB]為接收天線增益；Pl[dB]為路徑損耗〔包括空間傳播損耗、饋線傳播損耗、墻體/玻璃阻擋損耗〕。確定空間傳播損耗：實(shí)際部署中終端天線增益不可知，為方便計(jì)算常忽略接收天線增益，而采用如下公式：到達(dá)用戶端的信號電平＝AP發(fā)射功率＋AP天線增益－路徑損耗路徑損耗包括：AP到天線間的饋線損耗：適用于室內(nèi)分布式部署，在室外部署時(shí)如果饋線過長也需考慮。WLAN信號的空間損耗：適用于所有部署方式，根據(jù)電磁波空間衰減公式計(jì)算?？臻g損耗＝92.4+20lgf+20lgd〔f：GHz，d：km〕由公式推算可知：空間傳輸距離(m)10020030040050060010002.4GHz信號的空間衰減(dBm)808689.5929495.51005.8GHz信號的空間衰減(dBm)87.693.697.199.6101.6103.1107.6墻體/玻璃阻擋：適用于所有部署方式，一般根據(jù)經(jīng)歷值判定。2.4GHz電磁波對于各種建筑材質(zhì)的穿透損耗的經(jīng)歷值如下：鋼筋混凝土墻20-30dB；木制家具、門和其它木板隔墻阻擋2-15dB；厚玻璃〔12mm〕10dB。根據(jù)公式計(jì)算覆蓋距離，判斷是否滿足覆蓋要求：為便于理解鏈路估算的過程，這里給出一個(gè)室外場地覆蓋的預(yù)算案例。根據(jù)WLAN覆蓋邊緣場強(qiáng)的要求，到達(dá)終端用戶的信號電平不低于－75dBm，500mWAP的輸出電平27dBm，天線增益9dBi，距離AP500m時(shí)信號的衰減量94dBm，可知：27+9-94＝-58dBm，大于-75dBm，因此在正常情況下，AP可以為500M處用戶可以提供滿速率接入。容量設(shè)計(jì)WLAN的AP設(shè)備允許多個(gè)用戶同時(shí)接入，但如果接入用戶數(shù)目過多，會導(dǎo)致用戶體驗(yàn)下降，因此建議一般每個(gè)AP接入的用戶數(shù)量控制在20～30之間為宜。中小型機(jī)構(gòu)高級無線方案特點(diǎn)全新的802.11n網(wǎng)絡(luò)，完全兼容原有的802.11a/b/g用戶接入。支持最大600M帶寬，當(dāng)前300M帶寬。核心交換機(jī)一體化集成的AC配合多種類AP滿足各種場景的覆蓋需求。交換機(jī)提供PoE功能，為AP供電。中小型機(jī)構(gòu)高級語音解決方案中小型機(jī)構(gòu)高級語音設(shè)計(jì)原則中小型機(jī)構(gòu)通常含有100～1000信息點(diǎn)，對IP語音提供豐富業(yè)務(wù)，低資費(fèi)的特點(diǎn)感興趣。目前大多數(shù)企業(yè)的各分支機(jī)構(gòu)之間的通信都是通過PSTN網(wǎng)絡(luò)實(shí)現(xiàn)的，巨額話費(fèi)已經(jīng)成為許多企業(yè)的沉重負(fù)擔(dān)。因此經(jīng)濟(jì)實(shí)惠的網(wǎng)絡(luò)解決方案已經(jīng)成為許多企業(yè)的迫切需求。VoIP則是這一問題的最正確解決方案。與普通相比，IP的優(yōu)勢是非常明顯的，因?yàn)镮P將網(wǎng)絡(luò)整合到數(shù)據(jù)網(wǎng)絡(luò)中，省去了龐大的PSTN長途話費(fèi)開支，可以顯著降低企業(yè)網(wǎng)絡(luò)的運(yùn)營本錢。華為語音解決方案包含一系列智能、簡便、安全和綜合化的產(chǎn)品、服務(wù)專為中小型企業(yè)設(shè)計(jì)，能夠幫助企業(yè)控制本錢、對競爭壓力做出迅速反響并提升經(jīng)營效率。這一行業(yè)領(lǐng)先的解決方案能夠統(tǒng)一企業(yè)中所有通信及商業(yè)過程，為企業(yè)增加強(qiáng)勢支持和完全可管理的IP語音及數(shù)據(jù)網(wǎng)絡(luò)服務(wù)，使企業(yè)能夠?qū)Ｗ⒂谄髽I(yè)的核心競爭力，增強(qiáng)經(jīng)營能力，壯大企業(yè)開展。中小型機(jī)構(gòu)高級語音業(yè)務(wù)方案中型機(jī)構(gòu)分布式多分支語音業(yè)務(wù)規(guī)劃中大型機(jī)構(gòu)分布式多分支呼叫控制部署：總部以及各個(gè)分支的出口語音設(shè)備分別部署IPPBX。總部采用SoftCo設(shè)備充當(dāng)IPPBX，可以提供豐富的補(bǔ)充業(yè)務(wù)；分支采用AR設(shè)備，既充當(dāng)出口路由器，又充當(dāng)分支IPPBX功能。各分支和總部的語音用戶在本地完成用戶注冊和呼叫控制，總部IPPBX為各個(gè)分支互通提供呼叫路由，形成總部為