中小企业网络解决方案_技术建议书(模板)

《中小企业网络解决方案_技术建议书(模板)》由会员分享，可在线阅读，更多相关《中小企业网络解决方案_技术建议书(模板)（113页珍藏版）》请在装配图网上搜索。

1、ONE NET Branch 中小企业网络解决方案V100R001C00技术建议书文档版本01发布日期2021-10-31华为技术精品文档ONE NET Branch 中小企业网络解决方案技术建议书目 录所有 华为技术 2021。 保存一切权利。非经本公司书面许可，任何单位和个人不得擅自摘抄、复制本文档内容的局部或全部，并不得以任何形式传播。商标声明和其他华为商标均为华为技术的商标。本文档提及的其他所有商标或注册商标，由各自的所有人拥有。注意您购置的产品、效劳或特性等应受华为公司商业合同和条款的约束，本文档中描述的全部或局部产品、效劳或特性可能不在您的购置或使用X围之内。除非合同另有约定，华为

2、公司对本文档内容不做任何明示或默示的声明或保证。由于产品版本升级或其他原因，本文档内容会不定期进展更新。除非另有约定，本文档仅作为使用指导，本文档中的所有陈述、信息和建议不构成任何明示或暗示的担保。华为技术地址：XX市龙岗区坂田华为总部办公楼 ：518129 :/ huawei 客户效劳：supporthuawei 客户效劳 ：4008302118目 录1 导言81.1 中小企业解决方案概述81.2 中小企业面临的困难82 微型机构根底网络解决方案92.1 微型机构根底网络设计原那么92.2 微型机构根底网络规划102.2.1 核心层设计规划102.2.2 接入层设计规划102.2.3 出口设

3、计规划102.2.4 平安性设计规划102.3 微型机构根底网络业务方案102.3.1 数据业务规划102.3.2 语音业务规划112.3.3 平安业务规划112.4 微型机构根底网络技术方案112.4.1 VLAN设计112.4.2 IP设计112.4.3 DHCP设计112.4.4 NAT设计122.4.5 平安设计122.4.6 远程接入设计122.4.7 网管设计122.5 微型机构根底网络方案特点123 小型机构根底网络解决方案133.1 小型机构根底网络设计原那么133.2 小型机构根底网络规划143.2.1 核心层设计规划143.2.2 接入层设计规划143.2.3 出口设计规划

4、143.2.4 平安性设计规划143.3 小型机构根底网络业务方案143.3.1 数据业务规划143.3.2 语音业务规划153.3.3 平安业务规划153.4 小型机构根底网络技术方案153.4.1 VLAN设计153.4.2 IP设计153.4.3 DHCP设计163.4.4 NAT设计163.4.5 平安设计163.4.6 远程接入设计163.4.7 网管设计163.5 小型机构根底网络方案特点164 中小型机构根底网络解决方案174.1 中小型机构根底网络设计原那么174.2 中小型机构根底网络规划184.2.1 核心层设计规划184.2.2 接入层设计规划184.2.3 出口设计规划

5、184.2.4 可靠性设计规划184.2.5 平安性设计规划184.3 中小型机构根底网络业务方案184.3.1 数据业务规划184.3.2 语音业务规划194.3.3 平安业务规划194.4 中小型机构根底网络技术方案194.4.1 VLAN设计194.4.2 IP设计204.4.3 DHCP设计204.4.4 NAT设计204.4.5 平安设计204.4.6 远程接入设计204.4.7 可靠性设计204.4.8 网管设计214.5 中小型机构根底网络方案特点215 中型机构根底网络解决方案215.1 中型机构根底网络设计原那么215.2 中型机构根底网络规划225.2.1 核心层设计规划2

6、25.2.2 会聚层设计规划235.2.3 接入层设计规划235.2.4 出口设计规划235.2.5 可靠性设计规划235.2.6 平安性设计规划235.3 中型机构根底网络业务方案235.3.1 数据业务规划235.3.2 语音业务规划245.3.3 平安业务规划245.4 中型机构根底网络技术方案245.4.1 VLAN设计245.4.2 IP设计245.4.3 DHCP设计255.4.4 NAT设计255.4.5 平安设计255.4.6 远程接入设计255.4.7 可靠性设计255.4.8 网管设计265.5 中型机构根底网络方案特点266 中小型机构高级平安解决方案266.1 中小型机

7、构高级平安设计原那么266.2 中小型机构高级平安业务方案276.2.1 园区用户接入平安业务规划276.2.2 远程分支用户接入平安业务规划286.2.3 边界平安业务规划286.2.4 内网审计业务规划296.3 中小型机构高级平安技术方案296.3.1 平安检查设计296.3.2 远程接入平安设计296.3.3 防火墙设计296.3.4 内网平安设计296.3.5 内网审计设计306.3.6 ARP防攻击设计306.4 中小型机构高级平安方案特点307 中小型机构高级无线解决方案317.1 中小型机构高级无线设计原那么317.2 中小型机构高级无线业务方案317.2.1 无线用户接入业务

8、规划317.2.2 无线语音终端用户接入业务规划327.2.3 有线无线一体化接入业务规划327.3 中小型机构高级无线技术方案327.3.1 WLAN认证设计327.3.2 SSID与VLAN设计337.3.3 DHCP设计337.3.4 射频设计347.3.5 WMM设计347.3.6 频点设计357.3.7 覆盖设计367.3.8 链路预算设计377.3.9 容量设计387.4 中小型机构高级无线方案特点388 中小型机构高级语音解决方案388.1 中小型机构高级语音设计原那么388.2 中小型机构高级语音业务方案398.2.1 中型机构分布式多分支语音业务规划398.2.2 小型机构分

9、布式多分支语音业务规划398.3 中小型机构高级语音技术方案408.3.1 终端接入设计408.3.2 网络接入设计408.3.3 规划设计418.3.4 路由设计418.3.5 语音业务设计418.3.6 语音可靠性设计428.3.7 语音QoS设计428.4 中小型机构高级语音方案特点429 中小企业典型应用439.1 经济性酒店解决方案439.2 经济型酒店网络规划449.2.1 核心层设计规划449.2.2 会聚层设计规划459.2.3 接入层设计规划459.2.4 出口设计规划459.2.5 可靠性设计规划459.3 经济型酒店网络方案469.3.1 经济型酒店的网络部署469.3.

10、2 经济型酒店无线网络部署方案479.3.3 经济型酒店平安部署方案499.3.4 经济型酒店IP语音通信方案529.4 经济型酒店网络方案特点5310 设备说明5410.1 S9300系列5410.2 S7700系列5710.3 S5700系列5910.4 S3700系列6310.5 S2700系列6510.6 AR系列6710.7 防火墙系列6911 部署本卷须知711 导言1.1 中小企业解决方案概述当前我国中小企业开展迅速，在国民经济和社会开展中的地位和作用与日增强，据统计中小企业占我国企业总数的99%以上，创造的产品和价值占GDP的60%，中小企业以其灵活的运行机制和市场适应能力成为

11、推动中国经济社会开展的重要力量。随着信息化时代的不断开展，中小企业追求更高效的沟通和交流管理方式，扩大自身的生产运营规模，增强企业的市场竞争力。这就要求以信息化为平台，以网络为承载媒介，提高企业的运作效率，降低运营本钱，而网络建立无疑是其中最根本也是最重要的一个环节。华为公司从经济角度和企业规模角度将中小企业分为微型机构、小型机构、中小型机构和中型机构四种根底网络架构，中小企业可以根据自身的实际需要选择相应的网络建立方案。对于平安、无线接入、语音有特殊要求的中小企业，华为公司提供高级平安解决方案、高级无线解决方案和高级语音解决方案，并提供网络管理解决方案，满足不同层次中小企业的客户需求，保证网

12、络建立质量的同时最大程度的节省企业的投资本钱。1.2 中小企业面临的困难中小企业需要着重解决企业根底网络平安、业务部署灵活性和运维压力太大的问题，华为公司针对企业运维痛点提供的解决方案包含用户NACNetwork Access Control接入平安、园区边界平安、分支与远程接入、端到端语音部署、端到端无线部署、网络TOPO自动发现、效劳器远程监控等方案，全面解决中小企业面临的根底网络平安和运维压力。2 微型机构根底网络解决方案2.1 微型机构根底网络设计原那么目前50%以上的企业属于微型机构，典型的微型机构是小企业或大企业的分支办公室，这类机构通常为050信息点构成，因为企业员工数量少，业务

13、需求单一，对企业网络有很高的经济性要求，对通信设备稳定度要求不高，只需要根底网络能够支撑工作根本需要的Email、打印、终端互联即可。微型机构根底网络场景以低端AR路由器为中心搭建公司网络，AR承担作为企业网关，并支持Web、打印、认证、Email等业务接入，无线终端和有线终端的混合接入，同时AR路由器集成简单防火墙功能，提供边界平安。企业可以通过增加低本钱交换机扩展接入X围，以提升扩展性。图2-1 微型机构根底网络物理架构2.2 微型机构根底网络规划2.2.1 核心层设计规划核心层用于转发各部门之间的流量。考虑到企业初期建立本钱，采用AR200路由器作为核心层设备，与微型企业内部效劳器区、D

14、MZDemilitarized Zone区、Internet区和内部业务区进展互联，支撑企业内外部的业务流量。2.2.2 接入层设计规划接入层是最靠近用户的网络，为用户提供各种接入方式，是终端、边缘和IP 等设备接入网络的第一层。一般都部署二层设备，有线用户通过S1700接入AR200，无线用户通过AR200自带的WLAN功能进展无线接入。2.2.3 出口设计规划微型机构通过AR获取公网地址，实现与WAN/Internet的互访，可以采用设置IP静态地址或PPPPoint-to-Point Protocol动态方式获取公网地址。2.2.4 平安性设计规划通过AR200集成防火墙功能解决如下平安

15、问题：l 微型机构内、外网之间的访问控制，实现微型机构内、外网的平安隔离。l 外派员工与微型机构DMZ区的访问控制，实现外派员工与内网的平安隔离。2.3 微型机构根底网络业务方案2.3.1 数据业务规划l 有线用户数据业务：S1700交换机作为二层接入设备，通过VLAN划分用户。AR路由器作为三层网关，通过DHCPDynamic Host Configuration Protocol方式为有线用户分配IP地址。企业可以根据自身分区情况，划分多个IP地址段。AR上行通过公网地址接入WAN/Internet网络，通过AR做NAT，进展私网地址到公网地址的转换，实现有线用户与WAN/Internet

16、网络的互访。l 无线用户数据业务：AR作为胖AP，无线用户通过PSK方式接入AR，AR路由器作为三层网关，通过DHCP方式为无线用户分配IP地址。AR上行通过公网地址接入WAN/Internet网络，通过AR做NAT，进展私网地址到公网地址的转换，实现无线用户与WAN/Internet网络的互访。l 外派员工数据业务：外派员工通过IPSec VPN方式与微型机构建立隧道，实现外派员工与微型机构的互访。可以在外派员工的电脑中安装硬件或通过纯软件方式来实现IPSec VPN功能。l 效劳器数据业务：企业事先规划好效劳器区和DMZ的效劳器地址，效劳器使用静态地址，内部效劳器区和DMZ区的效劳器以AR

17、作为网关。2.3.2 语音业务规划考虑到微型机构人数有限，同城微型机构建议AR作为AG场景应用，用户语音信息到总部注册，由总部统一分配及管理。异地微型机构建议AR作为PBXPrivate Branch Exchange场景应用，用户语音信息到PBX注册，接入当地PSTNPublic Switched Telephone Network网络，具体内容请参见8 中小型机构高级语音解决方案。2.3.3 平安业务规划微型机构通常人数有限，不建议对用户接入进展权限控制，如企业有特殊需求，可以采用华为公司NAC方案，具体内容请参见6 中小型机构高级平安解决方案。2.4 微型机构根底网络技术方案2.4.1

18、VLAN设计VLAN是将LAN内的设备逻辑地而不是物理地划分为一个个网段，从而实现在一个LAN内隔离播送域的技术。既隔离了播送域，减少了播送风暴，又增强了信息的平安性。l VLAN通常根据业务需要进展规划，需要隔离的端口配置不同的VLAN，需要防止播送域过大的地方配置VLAN用于减小播送域。l VLAN最好不要跨交换机，即使跨交换机，数目也需要限制。l S1700根据接入位置为不同PC分配不同的VLAN，不同S1700交换机采用不同的VLAN，防止播送域过大，利于问题及时定位。2.4.2 IP设计l IP地址分为动态IP与静态IP的选取，原那么上效劳器、特殊终端设备建议采用静态IP。办公用设备

19、建议使用DHCP动态获取如办公用PC等。l AR200上行优选固定IP地址接入，其次选择PPP方式接入。AR作为DHCP网关和DHCP Server，为有线、无线用户分配私网IP地址。l 效劳器采用静态IP地址接入。2.4.3 DHCP设计DHCP部署的根本原那么为固定IP地址段和动态分配IP地址段保持连续，按照业务区域进展DHCP地址的划分，便于统一管理及问题定位。启动DHCP平安功能，制止非法DHCP Server的架设和非法用户的接入。AR作为DHCP网关和DHCP Server，为有线、无线用户分配私网IP地址。有线用户通过S1700交换机携带VLAN信息，AR终结VLAN并给有线用户

20、分配私网IP地址。无线用户通过PSK方式接入AR，AR终结无线报文，作为无线用户网关分配私网IP地址。2.4.4 NAT设计NATNetwork Address Translation用于实现私有网络和公有网络之间的互访。微型机构内部使用私有IP地址，微型机构出口AR使用公网地址与外界通信，AR需要部署NAT特性，实现用户侧私网地址到网络侧公网地址的转换，实现用户与WAN/Internet的互访。2.4.5 平安设计AR部署防火墙功能，将WAN/Internet区域划分为untrust区域，公用效劳器区域划分为DMZ区，其他区域划分为trust区域。允许trust区域和DMZ区域互访，允许un

21、trust区域与DMZ区域互访，不允许trust区域和untrust区域之间的直接互访。基于平安考虑，建议AR部署ARPAddress Resolution Protocol防攻击功能，以防止非法的ARP报文对网络的攻击。2.4.6 远程接入设计微型机构访问WAN/Internet通过AR的NAT功能实现。外派员工通过IPSec VPN访问微型机构。建议采用ESP封装模式，封装新的IP报文头并对原始数据报文进展加密，更为平安。2.4.7 网管设计AR和S1700交换机通过Web网管进展配置管理及日常网络维护。2.5 微型机构根底网络方案特点l 高性价比：低投资、高性能、经济的网络。l 简易性：

22、构造清晰、简单、安装便捷，无需配置专职维护人员。l 绿色环保：全方位节能设计、无风扇、省电无噪声。3 小型机构根底网络解决方案3.1 小型机构根底网络设计原那么典型的小型机构是小企业或大企业的分支办公室，这类机构通常由50100信息点构成，因为企业已经到达一定规模，较大的业务量和员工数量都要求网络具备更高的稳定性，可扩展性，平安性，同时毕竟企业规模没有到达更大的规模，仍然需要网络经济、简洁便于维护。小型机构根底网络场景的方案特点以中低端交换机为中心搭建公司网络交换平台，该交换机作为中心会聚点，通过其他低端交换机实现业务和终端的接入，并通过AR作为企业出口路由器，实现WAN和Internet互联

23、，AR路由器集成简单防火墙功能，提供边界平安。图3-1 小型机构根底网络物理架构3.2 小型机构根底网络规划3.2.1 核心层设计规划核心层用于转发各部门之间的流量，采用AR1200路由器作为核心层出口设备，S3700系列交换时机聚内部效劳器区和接入区流量，使内部效劳器区、DMZ区、Internet区和内部业务区进展互联，支撑内外部的业务流量。3.2.2 接入层设计规划接入层是最靠近用户的网络，为用户提供各种接入方式，是终端、边缘和IP 等设备接入网络的第一层，一般都部署二层设备。有线用户通过S2700交换机接入、S3700交换时机聚流量到AR1200进展有线接入，无线用户通过WA600系列胖

24、AP进展无线接入。3.2.3 出口设计规划小型机构通过AR获取公网地址，实现与WAN/Internet的互访，可以采用设置IP静态地址或PPP动态方式获取公网地址。3.2.4 平安性设计规划通过AR1200集成防火墙功能解决如下平安问题：l 小型机构内、外网之间的访问控制，实现小型机构内、外网的平安隔离。l 外派员工与小型机构DMZ区的访问控制，实现外派员工与内网的平安隔离。3.3 小型机构根底网络业务方案3.3.1 数据业务规划l 有线用户数据业务：S2700交换机作为二层接入设备，通过VLAN划分用户。S3700交换机作为会聚交换机聚合各接入交换机上送的VLAN流量到AR1200，AR12

25、00通过DHCP方式为有线用户分配IP地址。企业可以根据自身分区情况，划分多个IP地址段。AR1200上行通过公网地址接入WAN/Internet网络，通过AR做NAT，进展私网地址到公网地址的转换，实现有线用户与WAN/Internet网络的互访。l 无线用户数据业务：WA600系列AP作为胖AP，无线用户通过PSK方式接入WA600系列AP，AR1200作为三层网关，通过DHCP方式为无线用户分配IP地址。AR1200上行通过公网地址接入WAN/Internet网络，通过AR1200做NAT，进展私网地址到公网地址的转换，实现无线用户与WAN/Internet网络的互访。l 外派员工数据业

26、务：外派员工通过IPSec VPN方式与小型机构建立隧道，实现外派员工与小型机构的互访。可以在外派员工的电脑中安装硬件或通过纯软件方式来实现IPSec VPN功能。l 效劳器数据业务：企业事先规划好效劳器区和DMZ的效劳器地址，效劳器使用静态地址，S2700交换机作为二层接入设备，通过VLAN划分效劳器，内部效劳器区和DMZ区的效劳器以AR1200作为网关。3.3.2 语音业务规划基于小型机构人数规模，如果总部需要对小型机构进展控制，那么AR作为AG场景应用，用户语音信息到总部注册，由总部统一分配及管理，可以由总部提供丰富的语音业务，但是会增加总部的负荷。如果小型机构需要自行进展控制，那么AR

27、作为PBX场景应用，用户语音信息到AR注册，由AR统一分配及管理，减轻了总部的负荷，但是无法使用总部提供的丰富的语音业务。具体内容请参见8 中小型机构高级语音解决方案。3.3.3 平安业务规划如果需要对用户的接入平安进展控制，那么建议部署NAC方案。可以采用在S2700交换机上部署802.1X认证或者在AR上部署Portal认证的方式，均可以实现对用户接入的平安控制，具体内容请参见6 中小型机构高级平安解决方案。3.4 小型机构根底网络技术方案3.4.1 VLAN设计VLAN是将LAN内的设备逻辑地而不是物理地划分为一个个网段，从而实现在一个LAN内隔离播送域的技术。VLAN技术既隔离了播送域

28、，减少了播送风暴，又增强了信息的平安性。l VLAN通常根据业务需要进展规划，需要隔离的端口配置不同的VLAN，需要防止播送域过大的地方配置VLAN用于减小播送域。 l VLAN最好不要跨交换机，即使跨交换机，数目也需要限制。l S2700根据接入位置为不同PC分配不同的VLAN，不同S2700交换机采用不同的VLAN，防止播送域过大，利于问题及时定位。l S3700交换时机聚S2700交换机的VLAN信息，透传给AR1200设备，实现VLAN的终结。3.4.2 IP设计IP地址分为动态IP与静态IP的选取，原那么上效劳器、特殊终端设备建议采用静态IP。办公用设备建议使用DHCP动态获取如办公

29、用PC等。AR1200上行优选固定IP地址接入，其次选择PPP方式接入。AR1200作为DHCP网关和DHCP Server，为有线、无线用户分配私网IP地址。效劳器采用静态IP地址接入。3.4.3 DHCP设计DHCP部署根本原那么为固定IP地址段和动态分配IP地址段保持连续，按照业务区域进展DHCP地址的划分，便于统一管理及问题定位。启动DHCP平安功能，制止非法DHCP Server的架设和非法用户的接入。AR1200作为DHCP网关和DHCP Server，为有线、无线用户分配私网IP地址。l 有线用户通过S2700交换机携带VLAN信息，S3700交换机聚合S2700交换机上送的VL

30、AN流量到AR1200，AR1200终结VLAN后给有线用户分配私网IP地址。l 无线用户通过PSK方式接入WA600系列AP，WA600系列AP终结无线报文，二层透传无线用户的DHCP请求报文，AR1200终结VLAN后给无线用户分配私网IP地址。3.4.4 NAT设计NAT称为网络地址转换，用于实现私有网络和公有网络之间的互访。小型机构内部使用私有IP地址，小型机构出口AR使用公网地址与外界通信，AR需要部署NAT特性，实现用户侧私网地址到网络侧公网地址的转换，实现用户与WAN/Internet的互访。3.4.5 平安设计AR部署防火墙功能，将WAN/Internet区域划分为untrus

31、t区域，公用效劳器区域划分为DMZ区，其他区域划分为trust区域。允许trust区域和DMZ区域互访，允许untrust区域与DMZ区域互访，不允许trust区域和untrust区域之间直接互访。基于平安考虑，建议AR部署ARP防攻击功能，接入交换机部署DHCP Snooping功能，以防止非法的ARP报文对网络的攻击。3.4.6 远程接入设计小型机构访问WAN/Internet通过AR的NAT功能实现。外派员工通过IPSec VPN访问小型机构。建议采用ESP封装模式，封装新的IP报文头并对原始数据报文进展加密，更为平安。3.4.7 网管设计部署eSight网管系统进展日常网络维护。3.5

32、 小型机构根底网络方案特点l 可扩展：低投资、高性能，灵活网络架构易扩展，保护已有投资。l 易维护：扁平网络，层次少，简易网管配置简单，无需专职网管人员。l 区域划分清晰：部门间物理/逻辑隔离，保证业务平安，易排错。l 绿色节能：绿色节能、无噪音。4 中小型机构根底网络解决方案4.1 中小型机构根底网络设计原那么中小型机构通常为100300信息点。中小型机构根底网络场景的方案特点是期待语音、数据、平安、移动业务丰富，希望获得一体化方案、一站式效劳。中小型企业的组网构造和小型企业类似，但因为企业规模的进一步扩大，有更强的企业内部互联以及企业出口的要求，对网络可靠性、可扩展性、平安性有一定的要求。

33、这些要求表达在设备上，就是需要功能更强的AR作为企业出口路由器、需要通过链路备份机制提高可靠性、通过中心交换机的双备份以及流量分担。图4-1 中小型机构根底网络物理架构4.2 中小型机构根底网络规划4.2.1 核心层设计规划核心层用于转发各部门之间的流量，采用AR1200/AR2200路由器作为核心层出口设备，S5700系列交换时机聚内部效劳器区、DMZ区和接入区流量，使内部效劳器区、DMZ区、Internet区和内部业务区进展互联，支撑内外部的业务流量。4.2.2 接入层设计规划接入层是最靠近用户的网络，为用户提供各种接入方式，是终端、边缘和IP 等设备接入网络的第一层，一般都部署二层设备。

34、l 有线用户通过S2700交换机接入，S5700交换时机聚S2700交换机上送的VLAN流量到AR1200/AR2200进展有线接入。l 无线用户通过WA600系列胖AP进展无线接入。4.2.3 出口设计规划中小型机构通过AR获取公网地址，实现与WAN/Internet的互访，可以采用设置IP静态地址或PPP动态方式获取公网地址。4.2.4 可靠性设计规划AR上行采用WAN和3G链路备份方式，以WAN侧链路为主用链路，3G链路平时不使用，仅作为备份。S5700交换机采用堆叠技术，将多台S5700交换机虚拟化为1台设备，一旦主用S5700交换机出现故障后，其他交换机能立即接替其成为主用交换机。4

35、.2.5 平安性设计规划通过AR1200/AR2200集成防火墙功能解决如下平安问题：l 中小型机构内、外网之间的访问控制，实现中小型机构内、外网的平安隔离。l 外派员工与中小型机构DMZ区的访问控制，实现外派员工与内网的平安隔离。4.3 中小型机构根底网络业务方案4.3.1 数据业务规划l 有线用户数据业务：S2700交换机作为二层接入设备，通过VLAN划分用户。S5700交换机作为会聚交换机聚合各接入交换机的VLAN流量，AR1200/AR2200通过DHCP方式为有线用户分配IP地址。企业可以根据自身分区情况，划分多个IP地址段。AR1200/AR2200上行通过公网地址接入WAN/In

36、ternet、3G网络，通过AR1200/AR2200做NAT，进展私网地址到公网地址的转换，实现有线用户与WAN/Internet网络的互访。l 无线用户数据业务：WA600系列AP作为胖AP，无线用户通过PSK方式接入WA600系列AP，AR1200/AR2200作为三层网关，通过DHCP方式为无线用户分配IP地址。AR1200/AR2200上行通过公网地址接入WAN/Internet网络，通过AR1200/AR2200做NAT，进展私网地址到公网地址的转换，实现无线用户与WAN/Internet网络的互访。l 外派员工数据业务：外派员工通过IPSec VPN方式与中小型机构建立隧道，实现

37、外派员工与中小型机构的互访。可以在外派员工的电脑中安装硬件或通过纯软件方式来实现IPSec VPN功能。l 效劳器数据业务：企业事先规划好效劳器区和DMZ的效劳器地址，效劳器使用静态地址。S2700交换机作为二层接入设备，通过VLAN划分效劳器，内部效劳器区和DMZ区的效劳器以AR1200/AR2200作为网关。4.3.2 语音业务规划基于中小型机构人数规模，如果总部需要对中小型机构进展控制，那么AR作为AG场景应用，用户语音信息到总部注册，由总部统一分配及管理，可以由总部提供丰富的语音业务，但是会增加总部的负荷。如果中小型需要自行进展控制，那么AR作为PBX场景应用，用户语音信息到AR注册，

38、由AR统一分配及管理，减轻了总部的负荷，但是无法使用总部提供的丰富的语音业务。具体内容请参见8 中小型机构高级语音解决方案。4.3.3 平安业务规划如果需要对用户的接入平安进展控制，那么建议部署NAC方案。可以采用在S27系列交换机上部署802.1X认证或者在AR上部署Portal认证的方式，均可以实现对用户接入的平安控制，具体内容请参见6 中小型机构高级平安解决方案。4.4 中小型机构根底网络技术方案4.4.1 VLAN设计VLAN是将LAN内的设备逻辑地而不是物理地划分为一个个网段，从而实现在一个LAN内隔离播送域的技术。VLAN技术既隔离了播送域，减少了播送风暴，又增强了信息的平安性。l

39、 VLAN通常根据业务需要进展规划，需要隔离的端口配置不同的VLAN，需要防止播送域过大的地方配置VLAN用于减小播送域。l VLAN最好不要跨交换机，即使跨交换机数目也需要限制。l S2700根据接入位置为不同PC分配不同的VLAN，不同S2700交换机采用不同的VLAN，防止播送域过大，利于问题及时定位。l S5700交换时机聚S2700交换机的VLAN信息，透传给AR1200/AR2200设备，实现VLAN的终结。4.4.2 IP设计IP地址分为动态IP与静态IP的选取，原那么上效劳器、特殊终端设备建议采用静态IP。办公用设备建议使用DHCP动态获取如办公用PC等。AR1200/AR22

40、00上行优选固定IP地址接入，其次选择PPP方式接入。AR1200/AR2200作为DHCP网关和DHCP Server，为有线、无线用户分配私网IP地址。效劳器采用静态IP地址接入。4.4.3 DHCP设计DHCP部署根本原那么为固定IP地址段和动态分配IP地址段保持连续，按照业务区域进展DHCP地址的划分，便于统一管理及问题定位。启动DHCP平安功能，制止非法DHCP Server的架设和非法用户的接入。AR1200/AR2200作为DHCP网关和DHCP Server，为有线、无线用户分配私网IP地址。l 有线用户通过S2700交换机携带VLAN信息，S5700交换时机聚S2700上送的

41、VLAN流量AR1200/AR2200，AR1200/AR2200终结VLAN并给有线用户分配私网IP地址。l 无线用户通过PSK方式接入WA600系列AP，WA600系列AP终结无线报文，二层透传无线用户的DHCP请求报文，AR1200/AR2200终结VLAN后给无线用户分配私网IP地址。4.4.4 NAT设计NAT称为网络地址转换，用于实现私有网络和公有网络之间的互访。AR部署NAT特性，实现用户侧私网地址到网络侧公网地址的转换，实现用户与WAN/Internet的互访。在中小型机构根底网络场景中，WAN侧和3G侧都需要部署NAT特性，以防止某侧链路出现故障后仍能实现私网地址到公网地址的

42、转换。4.4.5 平安设计AR部署防火墙功能，将WAN/Internet区域、3G区域划分为untrust区域，公用效劳器区域划分为DMZ区，其他区域划分为trust区域。允许trust区域和DMZ区域互访，允许untrust区域与DMZ区域互访，不允许trust区域和untrust区域之间直接互访。基于平安考虑，建议AR部署ARP防攻击功能，接入交换机部署DHCP Snooping功能，以防止非法的ARP报文对网络的攻击。4.4.6 远程接入设计l 中小型机构访问WAN/Internet通过AR的NAT功能实现。l 外派员工通过IPSec VPN访问中小型机构。建议采用ESP封装模式，封装新

43、的IP报文头并对原始数据报文进展加密，更为平安。4.4.7 可靠性设计l 链路备份设计：AR上行采用WAN和3G链路备份方式，以WAN侧链路为主用链路，3G链路平时不使用，仅作为备份。一旦WAN侧链路发生故障，那么AR自动切换到3G链路，从3G链路获取公网地址后进展NAT转换，实现中小型机构与网络侧的访问。考虑到WAN侧链路比3G链路平安性高，不受天气影响，WAN链路带宽也优于3G链路，建议当WAN侧链路恢复后，采用AR自动回切功能，将使用的3G链路拆掉，重新切换到WAN侧链路。l 设备备份设计：S5700交换机作为会聚设备，一旦出现故障将导致所有用户均无法访问网络侧，在中小型机构中建议S57

44、00交换机采用堆叠技术，将多台S5700交换机虚拟化为1台设备，一旦主用S5700交换机出现故障后，其他交换机能立即接替其成为主用交换机，确保中小型机构网络业务的正常运行。4.4.8 网管设计部署eSight网管系统进展日常网络维护。4.5 中小型机构根底网络方案特点l 可扩展：低投资、高性能，灵活网络架构，随时扩展语音、无线，保护已有投资。l 易维护：通过免费网管简单配置，无需专职网管人员。l 可靠性高：核心会聚采用堆叠，AR路由器采用3G链路备份，网络层次少，维护简单，可靠性高。5 中型机构根底网络解决方案5.1 中型机构根底网络设计原那么中型机构通常为3001000信息点。中型机构根底网

45、络场景的方案特点是期待语音、数据、平安、移动业务丰富，希望获得一体化方案、一站式效劳。并且对网络平安要求更高，需要配置专业的防火墙设备提升平安性和远程接入能力。中型企业的组网构造和中小型企业类似，但因为企业规模的进一步扩大，有更强的企业内部互联以及企业出口的要求，对网络可靠性、可扩展性、平安性的要求更高。这些要求表达在设备上，就是需要功能更强的AR作为企业出口路由器、需要专业的防火墙设备、需要通过内置AC完成对无线用户的接入控制管理、通过会聚交换机的双备份以及流量分担。图5-1 中型机构根底网络物理架构5.2 中型机构根底网络规划5.2.1 核心层设计规划核心层用于转发各部门之间的流量，采用A

46、R3200路由器作为核心层出口设备，S7700系列交换时机聚内部效劳器区、DMZ区和接入区流量，使内部效劳器区、DMZ区、Internet区和内部业务区进展互联，支撑内外部的业务流量。核心层部署专业防火墙设备，实现平安防护的同时也作为远程接入VPN的网关，实现外派员工与中型机构的互访。5.2.2 会聚层设计规划会聚层是部门的核心，转发部门用户间的“横向流量。同时提供到核心层的“纵向流量。S5700系列交换时机聚S2700交换机上送的业务流量，用于支撑该会聚层下各业务部门之间的互访。5.2.3 接入层设计规划接入层是最靠近用户的网络，为用户提供各种接入方式，是终端、边缘和IP 等设备接入网络的第

47、一层，一般都部署二层设备。有线用户通过S2700交换机接入；无线用户通过WA600系列胖AP进展无线接入。5.2.4 出口设计规划中型机构通过AR获取公网地址，实现与WAN/Internet的互访，可以采用设置IP静态地址或PPP动态方式获取公网地址。5.2.5 可靠性设计规划AR上行采用WAN和3G链路备份方式，以WAN侧链路为主用链路，3G链路平时不使用，仅作为备份。S57系列交换机采用堆叠技术，将多台S57系列交换机虚拟化为1台设备，一旦主用S57系列交换机出现故障后，其他交换机能立即接替其成为主用交换机。5.2.6 平安性设计规划通过E系列专业防火墙功能解决如下平安问题：l 中型机构内

48、、外网之间的访问控制，实现中型机构内、外网的平安隔离。l 外派员工与中型机构DMZ区的访问控制，实现外派员工与内网的平安隔离。5.3 中型机构根底网络业务方案5.3.1 数据业务规划l 有线用户数据业务：S2700交换机作为二层接入设备，通过VLAN划分用户。S5700交换机作为会聚交换机聚合S2700上送的VLAN流量，S7700交换机通过DHCP方式为有线用户分配IP地址。企业可以根据自身分区情况，划分多个IP地址段。S7700交换机通过静态路由与AR3200互通，AR3200上行通过公网地址接入WAN/Internet网络，通过AR3200做NAT，进展私网地址到公网地址的转换，实现有线

49、用户与WAN/Internet网络的互访。l 无线用户数据业务：WA600系列AP作为瘦AP，S7700交换机内置AC板卡，与WA600系列AP建立CAPWAP隧道，无线用户通过PSK方式接入S7700交换机，S7700交换机作为三层网关，通过DHCP方式为无线用户分配IP地址。AR3200上行通过公网地址接入WAN/Internet网络，通过AR3200做NAT，进展私网地址到公网地址的转换，实现无线用户与WAN/Internet网络的互访。具体内容请参见7 中小型机构高级无线解决方案。l 外派员工数据业务：防火墙需要支持NAT穿越，AR3200做NAT转换，实现IPSec VPN的NAT穿

50、越。外派员工通过IPSec VPN方式与中型机构的防火墙建立隧道，实现外派员工与中型机构的互访。可以在外派员工的电脑中安装硬件或通过纯软件方式来实现IPSec VPN功能。企业出差用户也可以通过SSL VPN方式访问中型机构，可以在防火墙部署SSL VPN功能，实现外派员工的访问需求。l 效劳器数据业务：企业事先规划好效劳器区和DMZ的效劳器地址，效劳器使用静态地址。S2700交换机作为二层接入设备，通过VLAN划分效劳器，内部效劳器区和DMZ区的效劳器以S7700交换机作为网关。5.3.2 语音业务规划基于中型机构人数规模，建议中型机构自行进展控制，AR作为PBX场景应用，用户语音信息到AR

51、注册，由AR统一分配及管理。具体内容请参见8 中小型机构高级语音解决方案。5.3.3 平安业务规划如果需要对用户的接入平安进展控制，那么建议部署NAC方案。有线用户可以采用在S2700交换机上部署802.1X认证或者在S77系列交换机上部署Portal认证的方式，无线用户可以采用在S77系列交换机上部署Portal认证的方式，均可以实现对用户接入的平安控制，具体内容请参见6 中小型机构高级平安解决方案。5.4 中型机构根底网络技术方案5.4.1 VLAN设计VLAN是将LAN内的设备逻辑地而不是物理地划分为一个个网段，从而实现在一个LAN内隔离播送域的技术。VLAN技术既隔离了播送域，减少了播

52、送风暴，又增强了信息的平安性。l VLAN通常根据业务需要进展规划，需要隔离的端口配置不同的VLAN，需要防止播送域过大的地方配置VLAN用于减小播送域。l VLAN最好不要跨交换机，即使跨交换机数目也需要限制。l S2700根据接入位置为不同PC分配不同的VLAN，不同S2700交换机采用不同的VLAN，防止播送域过大，利于问题及时定位。l S5700交换时机聚S2700交换机的VLAN信息，通过S7700系列交换机实现VLAN的终结。5.4.2 IP设计IP地址动态IP与静态IP的选取，原那么上效劳器、特殊终端设备建议采用静态IP。办公用设备建议使用DHCP动态获取如办公用PC等。AR32

53、00上行优选固定IP地址接入，其次选择PPP方式接入。S7700作为DHCP网关和DHCP Server，为有线、无线用户分配私网IP地址。效劳器采用静态IP地址接入。5.4.3 DHCP设计DHCP部署根本原那么为固定IP地址段和动态分配IP地址段保持连续，按照业务区域进展DHCP地址的划分，便于统一管理及问题定位。启动DHCP平安功能，制止非法DHCP Server的架设和非法用户的接入。有线用户通过S2700交换机携带VLAN信息，S7700交换机作为DHCP网关和DHCP Server，S7700交换机终结VLAN并给有线用户分配私网IP地址。无线用户通过CAPWAP隧道方式接入S77

54、00交换机。WA600系列AP终结无线报文，通过CAPWAP隧道透传无线用户的DHCP请求报文，S7700交换机终结该请求报文，给无线用户分配私网IP地址。5.4.4 NAT设计NAT称为网络地址转换，用于实现私有网络和公有网络之间的互访。AR3200部署NAT特性，实现用户侧私网地址到网络侧公网地址的转换，实现用户与WAN/Internet的互访。在中型机构根底网络场景中，WAN侧和3G侧都需要部署NAT特性，以防止某侧链路出现故障后仍能实现私网地址到公网地址的转换。5.4.5 平安设计防火墙E1000E将WAN/Internet区域、3G区域划分为untrust区域，公用效劳器区域划分为D

55、MZ区，其他区域划分为trust区域。允许trust区域和DMZ区域互访，允许untrust区域与DMZ区域互访，不允许trust区域和untrust区域之间直接互访。基于平安考虑，建议防火墙部署ARP防攻击功能，接入交换机部署DHCP Snooping功能，以防止非法的ARP报文对网络的攻击。5.4.6 远程接入设计中型机构访问WAN/Internet通过AR的NAT功能实现。外派员工通过IPSec VPN访问中型机构。建议采用ESP封装模式，封装新的IP报文头并对原始数据报文进展加密，更为平安。外派员工也可以通过SSL VPN访问中型机构。5.4.7 可靠性设计l 链路备份设计：AR上行采

56、用WAN和3G链路备份方式，以WAN侧链路为主用链路，3G链路平时不使用，仅作为备份。一旦WAN侧链路发生故障，那么AR自动切换到3G链路，从3G链路获取公网地址后进展NAT转换，实现中型机构与网络侧的访问。考虑到WAN侧链路比3G链路平安性高，不受天气影响，WAN链路带宽也优于3G链路，建议当WAN侧链路恢复后，采用AR自动回切功能，将使用的3G链路拆掉，重新切换到WAN侧链路。l 设备备份设计：S5700交换机作为会聚设备，一旦出现故障将导致所有用户均无法访问网络侧，在中型机构中建议S5700交换机采用堆叠技术，将多台S5700交换机虚拟化为1台设备，一旦主用S5700交换机出现故障后，其

57、他交换机能立即接替其成为主用交换机，确保中型机构网络业务的正常运行。5.4.8 网管设计部署eSight网管系统进展日常网络维护。5.5 中型机构根底网络方案特点l 有线无线一体化：内置AC，有线无线统一调度，节省投资。l 可扩展：低投资、高性能，灵活网络架构，随时扩展语音、无线业务，保护已有投资。l 易维护：通过网管简单配置，无需专职网管人员。l 可靠性高：核心会聚采用堆叠，AR路由器采用3G链路备份，网络层次少，维护简单。6 中小型机构高级平安解决方案6.1 中小型机构高级平安设计原那么中小企业通常为1001000信息点，通过部署高级平安解决方案实现网络平安一体化。该方案特点是通过部署NA

58、C解决方案实现有线、无线用户的一体化接入平安控制，包括平安准入、终端检查、权限控制及事后审计功能，实现全面的平安控制，确保企业网络的平安性。图6-1 中小型机构高级平安物理架构6.2 中小型机构高级平安业务方案6.2.1 园区用户接入平安业务规划在中小型及中型园区中，关于有线用户接入认证推荐两种方案：接入层、会聚层动态授权方案和核心层Portal方案。接入层动态授权方案使用S2700/S3700/S5700系列交换机作为接入交换机，S5700或S7700交换机作为会聚交换机。接入层使用VLAN划分用户的所属部门，使用802.1x认证技术根据端口进展认证；用户认证前统一在Guest VLAN里进

59、展授权，用户认证后，由认证效劳器下发VLAN进展部门划分；核心交换机作为网关，使用DHCP动态分配IP地址，根据认证前后所属VLAN配置ACL权限，对用户部门进展权限限制，并接入内网进展访问。会聚层交换机使用VRRP功能进展主备备份，提高网络可靠性。核心层Portal方案同样使用S2700/S3700/S5700系列交换机作为接入交换机，S5700或S7700交换机作为会聚交换机。接入层交换机作为二层透传设备，为接入用户划分VLAN。核心交换机作为网关，启用DHCP动态分配IP地址，使用华为Portal协议进展网关认证；用户认证前使用Freerule功能为用户进展认证前权限限制，认证后用户的具

60、体权限由认证效劳器以ACL形式进展权限下发，并接入内网进展访问；无线用户接入认证，推荐采用核心层S7700交换机内置AC方式认证。使用核心层内置AC设备认证的时候，接入层交换机下挂AP，采用独立模式或集中模式认证；接入层交换机配置二层透传，透传AP发出的报文，核心层交换机使用DHCP进展IP地址分配，并由内置AC进展认证。6.2.2 远程分支用户接入平安业务规划分支用户分为小型分支、中型分支、大型分支企业。小型分支接入点数目一般在100个左右，推荐采用在分支出口路由器AR设备上启用Portal认证，使用户在企业出口强制进展认证和平安状态检查。如果终端包含语音设备，还需要在AR设备上启用MAC认

61、证；小型分支建议AR作为网关，使用DHCP动态为接入用户分配IP地址。此时认证效劳器建议部署在分支，并将数据同步到总部效劳器；也可以采用在会聚交换机设备上启用网关做Portal认证，使用户在网关进展认证和平安状态检查。根据终端设备类型启用MAC认证。网关使用DHCP动态为接入用户分配IP地址。此时认证效劳器可以部署在总部，分支网络与总部网络使用通过出口路由器以IPSec VPN方式与总部AR建立隧道，实现分支企业与总部的互访。企业中型分支接入点在100以上，1000以下，认证效劳器一般根据分支用户规格选择性的部署在分支内部或者使用总部的认证效劳器。中型分支网络核心层作为网关动态分配IP地址。用

62、户接入方式可同园区一样使用在分支接入层交换机采用802.1x认证或MAC认证方案或在核心层配置Portal认证方案。用户认证后由认证效劳器根据认证方式下发权限，用户可接入分支内部访问网络，也可通过AR访问总部网络。分支网络与总部网络使用通过出口路由器以IPSec VPN方式与总部AR建立隧道，实现分支企业与总部的互访。企业大型分支接入点在1000以上，在分支网络中，认证效劳器一般部署在分支内部。认证方式与中型分支一样，在此不赘述。6.2.3 边界平安业务规划在企业互联网出口部署防火墙及VPN设备，分支机构及移动办公用户分别通过VPN网关AR设备和VPN客户端平安连入企业内部网络。同时通过防火墙将企业内部网、DMZ、数据中心、互联网等平安区域分隔开。在核心交换机与Internet路由器之间配置两台防火墙，两台防火墙与核心交换机以及Internet路由器之间采取全冗