基地园区网络方案建议书

《基地园区网络方案建议书》由会员分享，可在线阅读，更多相关《基地园区网络方案建议书（31页珍藏版）》请在装配图网上搜索。

1、XX 集团园区网络技术建议书杭州华三通信技术有限公司第1章总体建设要求4第2章设计原则8第3章网络整体方案设计103.1 总体网络设计描述 103.2 网络结构设计 103.3 网络拓扑图123.3.1 网络拓扑图（内网）123.3.2 网络拓扑图（外网） 123.3.3 网络拓扑图（智能网）123.4 组网描述123.4.1 网络出口设计 123.4.2 核心层设计133.4.3 汇聚层设计153.4.4 接入层设计153.4.5 用户认证： 163.4.6 网络管理系统： 183.5 安全设计183.5.1 安全设计要点 183.5.2 网络边界安全防护 19第4章有线无线一体化设计244

2、.1 无线控制器244.2 无线 AP254.3 POE 供电264.4 无线网管运维274.5 无线用户认证284.6 方案特点29第5章 方案优势介绍 32第 1章 总体建设要求根据 XX 园区信息化对计算机网络系统的需求，我们选择采用基于 TCP/IP协议的、以1/10G BASE-X 光纤链路为骨干的网络，各楼栋内采用千兆到桌面，要求能兼容IPV4 与 IPV6 ，通过VLAN 划分不同逻辑区域分别供不同部门的接入使用。 在共用主干网络线路的前提下实现各区域的逻辑性隔离，以实现安全、使用以及资源利用最大化。1、 区域划分XX 公司园区网由四栋新建楼宇组成，分别是保障中心、集控大厅、周转

3、宿舍、多功能综合楼；保障中心作为整个园区的网络核心，中心机房部署在三楼，分别通过光缆连接其它楼栋，大楼内设置汇聚交换机，接入交换机对本大楼内的信息点位进行接入。2、 网络拓朴的设计根据业务情况，把园区网络分为 3 套网络：内网、外网、智能网，三套网络要求物理隔离；网络主体架构采用星型拓朴结构， 计算机网络系统考虑在保障中心三楼机房各设计 2 台万兆交换机作为 XX 公司个业务网络的核心交换机， 同时必须虚拟化能力，采用双核心设计，把双核心虚拟成一台具有高性能、高可靠、高安全的虚拟交换机；核心交换机通过万兆单光缆连接到保障中心、 集控大厅、 周转宿舍、 多功能综合楼的汇聚机房， 根据信息点位设计

4、一台万兆汇聚交换机， 通过千兆单模对本楼层的接入交换机提供接入， 楼层设计多台千兆接入交换机对本栋大楼信息点提供千兆桌面接入。3、 网络管理系统基于网络中所涉及的设备较多，需要对设备进行状态检测、设备配置、策略设置等，在网络发生故障时能够及时发现问题，这需要一套功能强大的网络管理软件。方案中选用智能网管软件作为局域网管理平台，能够与方案中设计的网络设备、安全设备、无线、监控良好配合。4、 无线覆盖设计利用无线网络技术进一步扩展网络的覆盖范围，提高网络的用户自适应性，在无线的覆盖范围内实现数据业务和语音业务的无线传输， 并且可实现三层漫游，使无线局域网和有线网成为一个整体，提供安全的无线接入。无

5、线要求采用FIT AP组网方式，由无线控制器对集团内所有的无线AP进行统一接入管理， AP 供电采用 POE 远程供电方式；5、 对 IP 地址、 DNS 等网络基础资源的规划XX共有上千个网络点及多个无线AP,其IP地址划分按C类协议划分，可以考虑不同楼栋的不同部门上网采用不同的IP段。6、 对安全的考虑方案中对系统安全作如下考虑，在对外连接上采用高性能防火墙，提供充足的千兆端口和处理系能。对于集团上网的各种应用进行行为和流量控制，配置应用控制网关，对集团各种行为进行精细化管理和控制，对上网行为提供事后行为审计能力。7、 综合布线综合布线是本次网络改造的重点，要求做点规范、整洁、美观、方便、

6、耐用，楼栋之间采用室外光缆进行布放，光缆两端采用光端盒，光端盒必须出可接跳线的耦合器，不能直接出尾纤。光缆必须走地下，不能从空中拉；室内采用六类非屏蔽线缆， 除了新教学楼， 其它大楼均采用一个弱电机房，所有信息点的网线直接拉到大楼弱电机房，在机房采用配线架集中整合。线缆布放必须采用桥架方式进行布放；XX 公司网络建设的总体目标是建立一个开放的、基于标准的数字化园区系统平台，利用企业信息交换、资源共享、远程会议等现代化办公手段，面向员工及用户提供个性化、人性化的服务。并可支持未来数据、语音和视频等多业务在现有网络技术平台的融合。计算机网络系统是整个XX 公司信息管理系统的基础平台与设施，为保证信

7、息管理系统应用系统的高效、安全、可靠，必须在整个网络系统建设方案设计中按照国家和行业标准，达到一定的设计、建设原则和目标。建设一个支持数字化、网络化、自动化的国内先进的基础网络平台，满足 数字化企业建设的需要，也满足企业信息化建设的长期要求。网络平台具有良 好的服务质量、较高安全性、便于管理和维护，能够支持企业的各种办公和科 研应用，也支持移动办公、信息发布。第2章设计原则在XX公司网络建设项目中，为节省用户投资，保证业务的正常、优质开展, 整个网络系统必须总体规划，统一标准。为达到 XX公司网络建设的目标要求， 在网络设计构建中，应坚持以下建网原则：需求驱动原则：以实际应用需求为依据，选择技

8、术和设备。根据企业信 息化建设的实际需求，考虑远程办公与合作，特别是数据信息传输与数 字视频业务的需要，要充分考虑网络系统的服务质量和可靠性。根据现 在的需求和可以预见的需求增长情况设计网络，不追求空洞的技术先进 性，避免追求高档和最新技术花费的巨大代价。先进性原则：企业信息化需要最新技术的支撑，特别是网络技术和多媒体计算机技术，必须采用先进成熟的技术，并兼顾未来发展趋势。本方案所选择H3c公司设备在技术上具有很强的先进性， 其性能、技术体系 可保证企业5-8年的发展需要，有力的保护了企业投资。投资保护原则：由于企业已在网络应用方面做了大量的投入进行信息化 建设，企业信息化在各部门或不同的应用

9、上对网络的需求不尽相同，原 有的很多工作已经证明是有效的，这部分软硬件可以继续发挥作用，从 而保护原有投资，节省建设经费。标准化原则：从机房建设、综合布线工程规范、到网络技术标准和网络 协议，都有相应的国际标准和国家标准，所有设计与建设要遵循该原则， 从而可以实现标准化管理，延长整体项目的生命周期，做到投资保护 安全性原则：企业信息化工作的特殊性，对网络与信息安全提出了很高 的要求。由于安全性的要求与投入成正比，并且涉及管理与应用的方方 面面，是一个复杂的系统工程，实际上没有一个绝对安全的系统，安全 只是相对而言，所以该原则是充分评估安全风险，制定安全策略，采取 必要的安全措施。是防止非法访问

10、者通过互联网络对网络节点进行攻击 的能力。从网络设备来讲，防止外部攻击主要靠路由器实现，华为路由 器在这方面具有独到的优势。华为3COM产品的全部软件及硬件均为公 司自行开发研制，具有完全的知识产权。工程原则：网络系统建设涉及机房与网络配线间环境、通信管道与通信 线缆、楼内综合布线系统、电源及其防护、网络交换机与路由器、服务 器设备以及相关的软硬件系统，在设计建设时要体现工程原则，做到有 工程规划、项目有设计、实施有控制等，实现整个系统的可管理、可维 护、可扩展和可升级。健壮性及开放性：它应具有很好的收敛性和可扩展性，同时其网络额外 开销是极小的，且受到国际标准的支持，保证不同设备见的互通性。

11、可扩展性：考虑到今后信息化的进程和逐步演进，网络要建设成完整统 一、组网灵活、易扩充的弹性网络平台，能够随着需求变化，充分留有 扩充余地。经济性：应该充分的利用现有的网络资源，充分考虑经济和安全的最佳 结合点。设备在保障性能和可靠安全的基础上，应能达到最佳性价比。第3章网络整体方案设计3.1 总体网络设计描述从应用结构上来讲，XX公司网络系统可分为三个大的层次:互联支撑.是XX公司管理网呆统公司管理中心统一规划、构建QoS及管理，支撑午利用宽带IP技术，保证网络的互联互通性，提供具1一定 互联支撑网络的带宽保证，亦提供各部门、系统网络问的一定隔离，保证互访的安全k空制;安全保障系统是指通过认证

12、、加密、授权、绑定控制等技术对 XX公司管理 网上的用户访问及数据实施安全保障的监控系统，他与互联支撑层相对独立，由 管理中心与各部门单位共同规划，分布构建，如数据加密等措施建议在用户网络 处（各部门）实施；业务应用层就是在安全互联的基础上实施 XX公司管理网的各种应用，由管 理中心与各系统单位统一规划，分别实施。在本方案中，各个网络系统均采用星 型结构，星型结构特点是结构简单，时延固定，便于管理和故障排除，接入层单 点故障不会影响整个网络，提高网络的可靠性。3.2 网络结构设计网络的拓扑结构很大程度上决定了网络的性能，常见的网络拓扑结构主要有 星型结构、网状结构、环形结构等几种，根据 XX集

13、团园区网的特点，结合性能 和经济方面的考虑，推荐采用 星型结构搭建园区网。根据功能区的不同划分为以下 3层，核心层、汇聚层、接入层名称功能备注核心设备核心层为网络提供骨干组件或高速交换组件，高效速度传输是核心层的目标核心交换机米用基于 CLOS多级交换架构的交换机 S10500控制 和转发物理分离，真正保证大数据 量的无阻塞转发，同时支持多业务 安全插卡，保证整个网络的数据传 输安全汇聚设备汇聚层是核心层和终端用户接入层的分界面，汇聚交换选择S5800万兆交换 机，提供24个千兆光口，4个万兆 光接口，对上通过万兆单模连接到 两台核心，向卜采用多模千兆接入 楼层接入交换机，汇聚层完成网络 访问

14、的策略控制、广播域的定义、 VLAN间的路由、数据包处理、过 滤寻址及其他数据处理的任务。接入设备接入层向本地网段提供用户接入。接入父换机米用 S5110千兆父换机，通过千兆多模接到汇聚交换 机，通过六类网线提供用户千兆接入，主要提供网络分段、广播能力、多播能力、介质访问的安全性、MAC地址的过滤和路由发现等任务3.3 网络拓扑图3.3.1 网络拓扑图（内网）3.3.2 网络拓扑图（外网）3.3.3 网络拓扑图（智能网）3.4 组网描述根据本期工程的需求和建设目标，整个园区网络分为三张网络：内网、外网、 智能网，三张网络的逻辑结构及设备选型类似，要求三张网络物理隔离，独立组 网；网络结构设计上

15、采用三层架构，核心交换机、汇聚交换机、接入交换机，楼间采用万兆单模连接，大楼内的汇聚和接入通过千兆单模光纤连接，千兆到桌面,同时实现园区部分场所的无线无缝覆盖，为园区提供高速、稳定、方便的无线接入平台，保证园区各种应用能够随时随地的开展。3.4.1 网络出口设计三张网络（内网、外网、智能网）的出口分别通过核心交换机接到集团原有相应 网络上，在核心交换机上部署安全插卡（防火墙、入侵防御系统），有效阻止来 自网络中的各种安全威胁，如黑客、木马、病毒、网页篡改等;在外网考虑两个出口， 一个出口为集团外网接入， 另外考虑单独的互联网出口，在互联网出口部署一台高性能出口路由器SR6602-X1， 提供

16、15M 的包转发能力， 4个千兆光口， 4 个千兆电口， 2 个万兆接口， 4 个业务扩展槽位，出口路由器要做NAT转换，SR6602具备400万的并发连接数，完全满足园区用户的上网需要，园区内部全部采用私有地址，通过NAT 后访问互联网，可以很好解决公网地址不足的问题。3.4.2 核心层设计随着园区网信息化的完善，园区的应用越来越多，上网的人也越来越多，业务也遍布办公、 娱乐、生活各个领域， 接入方式不局限于有线，有高带宽的无线接入，所以园区核心交换机需要同时承载多种业务，所有业务都要经过核心交换机处理，建议核心交换机必须满足大容量、高性能、高可靠、高安全及网络扩展的要求，本次三张网络（内网

17、、外网、智能网）核心层均采用双核心设计，核心交换机采用H3c多级交换架构（CLOS）数据中心级交换机S10508-V两台核心通过虚拟化技术IRF2虚拟成一台设备逻辑设备，H3C S1050C中国国内第一款100G 平台交换机，支持未来40GE 和 100GE 以太网标准，采用先进的 CLOS 多级多平面交换架构 ，独立的交换网板卡，控制引擎和交换网板硬件相互独立，最大程度的提高设备可靠性，同时为后续产品带宽的持续升级提供保证；为了满足数据中心级网络高可靠、高可用、虚拟化的要求，S1050林用创新IRF2 （第二代智能弹性架构） 设计，将多台高端设备虚拟化为一台逻辑设备，简化路由协议运行状态与运

18、维管理， 同时大大缩短设备及链路出现故障快速切换， 避免网络震荡。IRF2互联链路采用2*10GE捆绑，保证高可靠及横向互访高带宽。在每台核心交换机S10508配置配置1个控制引擎、3个电源、2个独立的交换引擎、 32 个万兆光口（含4 个万兆单模光模块， 2 个万兆多模光模块） ，用于连接楼栋汇聚（保障中心、集控大厅、周转宿舍、多功能综合楼） ，配置 48 个千兆电接口，便于集团服务器、工作站接入；核心节点到楼层交换机和各大楼汇聚交换机之间通过10GE 链路连接，核心设备支持虚拟化，两台核心可虚拟为一台路由设备，为接入的用户提供缺省网关的冗余，便于后期双核心扩展。IRF2 虚拟化技术核心组网

19、可靠性 ：实现两台核心交换机S10508-V虚拟成一台逻辑设备，通过跨设备链路捆绑实现核心和接入的点对点互联，消除二层网络的环路，这样就直接避免了在网络中部暑STP,同时对于核心的两台设备虚拟化为一台逻辑设备之后，网关也将变成一个，无需部署传统的 VRRP 协议。 在管理层面，通IRF2 多虚一之后，管理的设备数量减少一半以上，对于本项目，管理点只有核心和接入两台设备，网络管理大幅度简化。如下图所示：多级交换（CLOS）架构一一核心硬件可靠性：1、转发任务分担到多块交换网板，转发效率急速提升，性能大幅提高2、主控转发物理分离，引擎压力骤减，交换网板相互备份，可靠性更高3、交换网板可热插拔升级，

20、可扩展性能，满足长远需求保障核心节点的高可靠性。数据大集中后整个系统将承载多个业务系统，不 同的业务对网络的带宽、时延等要求也不同，这就要求核心交换设备业务与性能并重；核心交换机必须采用功能强大的 ASIC 芯片实现业务的分布式线速处理，从而在为用户提供有保障的业务特性的同时保障数据报文的线速转发。3.4.3 汇聚层设计由于 XX 园区各大楼的信息点位较多，各楼层均考虑了接入交换机，所以在三张网络（内网、外网、智能网）各大楼出口处设计一台高性能汇聚交换机S5800-32F：LS-5800-32F-H3S5800-32H匚聚交换机主要完成各大楼楼层交换机的汇聚，提供360Gbps数据交换能力，具

21、备156Mpps 的数据包转发能力，天然支持全线速分布式转发，提供24 个千兆接口， 4 个万兆接口，配置2 个单模万兆上联至两台核心交换机S10508-V提供1个业务插槽，便于后期接口扩展，接入交换机通过千兆多模连接到汇聚交换机，保证接入交换机的上行带宽，同时在汇聚层交换机支持流量采集功能，可对对整网的全网流量进行分析。根据业务需要，S5800-32FWr展16端口光接口板，16端口电接口板，4端口万兆接口板，无线控制器插卡（可支持128个 AP 的接入控制能力） ，满足未来业务扩展的要求。3.4.4 接入层设计XX 园区各大楼楼层的信息点比较多，各楼层单独考虑接入交换机，接入交换机通过千兆

22、单模接到大楼的汇聚交换机， 通过六类网线提供本楼层的千兆接入，通过对XX园区接入需求分析，建议选用 H3c的千兆接入交换机LS-S5110-28PLS-S5110-28P PO我换机提供256G的交换容量，40Mbps的包转发能力，提供24个10/100/1000Base-T 以太网端口和4个复用的1000Base-X SFPF兆以太网端口，实现千兆到桌面设计， 千兆以太网逐渐延伸到桌面已经成为最迫切的需要之一，随着园区多媒体应用的 增加，应用在消耗大量带宽的同时，也在追求终端用户的满意度，基于铜缆的千 兆以太网可以将更多的应用从低速链路中解放出来，并且为罢工人员工作创新提 供了一个崭新高效能

23、工作平台。3.4.5 用户认证：XX园区无线用户包括两部分，内部办公人员和外来办事人员，本次三张网络各配置一套EIA终端智能接入：针对内部用户，采用 MAC地址认证，职工采用分配固定帐号，并可实现终 端MAC地址和IP地址等多元素的绑定，防止非法用户的访问内部网络。针对访客，系统提供临时接入账号的访客管理功能，访客管理员可创建来宾 账号，或访客通过自助系统登记相关信息，并申请访客接入网络服务。通过后台 管理批准的访客账号，并以短信方式通知访客帐号和密码， 之后可访问内部网络， 该账号将在超过保留时长后失效。当用户接入网络后，可强化对用户接入的管理：基于用户的权限控制策略，可以为不同用户定制不同

24、网络访问权限可以控制用户的上网带宽（QoS）、限制用户同时在线数、禁止用户设置 和使用代理服务器，有效防止个别用户对网络资源的过度占用。支持最大闲置时长限制。可以实现对用户ACL、VLAN的控制，限制用户对内部敏感服务器和外 部非法网站的访问。可以限制用户IP地址分配策略，防止IP地址盗用和冲突。监控用户认 证成功后的IP地址，若有变更则强制要求下线。可以限制用户的接入时段和接入区域，用户只能在允许的时间和地点上 网。可以限制终端用户使用多网卡和拨号网络，禁止修改终端MAC地址，防止内部信息泄露。可以限制用户必须使用专用安全客户端， 并强制自动升级，防止安全客户 端被破解，确保认证客户端的安全

25、性。接入用户网关配置，提供接入用户网关IP、MAC地址配置信息。本次在XX集团三张网络（内网、外网、智能网）各配置一套 H3c用户接 入管理EIA ,并配置1000用户的并发认证许可，实现对本网络内的用户进行接入 认证和控制。3.4.6 网络管理系统：集团的网络设备和用户越来越多，有一套智能管理软件，可以大大简化网络管理人员的工作量，同时可以提供网络管理的工作效率，网络管理软件必须具备网络拓扑、网络性能、网络配置、网络安全、网络告警、网络业务的统一管理，同时在其上可以配置有多种业务管理组件，如本次推荐配置有线无线一体化管理组件，方便管理大规模的无线管理网络；智能配置中心，可以方便的管理上百台设

26、备的软件、配置变更、收集软件版本、配置的基线库，为多台设备统一批量配置和升级，大大节省管理员的工作量。本次在 XX 集团三张网络（内网、外网、智能网）各配置一套H3C 智能管理中心 IMC ，并配置50个节点的管理，实现对本网络内的设备进行智能管理。3.5 安全设计3.5.1 安全设计要点安全是一个系统工程，为了合理的解决网络安全问题，必须充分分析网络逻辑组成， 网络中不同部分的功能不同， 所关注的安全问题也不同。 所谓安全威胁，就是未经授权，对位于服务器、网络和桌面的数据和资源进行访问，甚至破坏或者篡改这些数据/ 资源。 从安全威胁的对象来看， 可以分为网络传送过程、 网络服务过程和软件应用

27、过程三类。网络传送过程主要针对数据链路层和网络层协议特征中存在的漏洞进行攻击，如常见的监听、 IP 地址欺骗、路由协议攻击、 ICMPSmurf 攻击等；网络服务过程主要针对TCP/UDP 以及居于其上的应用层协议进 行，如常见的 UDP/TCP 欺骗、 TCP 流量劫持、 TCP DoS、 FTP 反弹、 DNS 欺骗等等；软件应用过程则针对位于服务器/ 主机上的操作系统以及其上的应用程序， 甚至是基于 Web 的软件系统发起攻击。 从安全威胁的手法来看， 蠕虫、 拒绝服务、监听、木马、病毒都是常见的攻击工具。对关键的主机系统和子网，能够进行网络资源检查，并及时发现问题。使用安全扫描软件，对

28、关键的主机系统和网络定期进行扫描，可以检查出网络弱点和策略配置上的问题。根据扫描软件发现的问题，及时更新操作系统补丁，查杀病毒，更新安全策略。定期强制更新用户口令，并制定用户口令规则，禁止使用不符合规则的口令。定期检查文件系统的访问权限是否合理，检查用户帐号的使用是否正常。3.5.2 网络边界安全防护在传统的数据中心网络安全部署时，往往是网络与安全各自为战，在网络边界或关键节点串接安全设备（如 FW、 IPS、 LB 等） 。随着数据中心部署的安全设备的种类和数量也越来越多，这将导致数据中心机房布线、空间、能耗、运维管理等成本越来越高。传统部署方式H3C 插卡部署方式本次方案中采用了 H3c

29、SecBlad改全插卡可直接插在核心交换机S10508-V勺业务槽位，通过交换机背板互连实现流量转发，共用交换机电源、风扇等基础部件。融合部署除了简化机房布线、节省机架空间、简化管理之外，还具备以下优点：八、互连带宽高。SecBladeg列安全插卡采用背板总线与交换机进行互连，背 板总线带宽一般可超过40Gbps,相比传统的独立安全设备采用普通千兆以太网接口进行互连，在互连带宽上有了很大的提升，而且无需增加布线、 光纤和光模块成本。业务接口灵活。SecBladeS列安全插卡上不对外提供业务接口（仅提供配置管理接口），当交换机上插有SecBlad孩全插卡时，交换机上原有的所有业务接口均可配置为安

30、全业务接口。此时再也无需担心安全业务接口不 够而带来网络安全部署的局限性。性能平滑扩展。当一台交换机上的一块SecBladeg全插卡的性能不够时，可以再插入一块或多块SecBladef雨卡实现性能的平滑叠加。而且所有 SecBlade南卡均支持热插拔，在进行扩展时无需停机中断现有的业务。本次XX集团园区项目设计在三张网的核心交换机 S10508-Vk部署多种安全 插卡：防火墙（LSQM1FWBSC。、入侵防御系统（LSQM1IPSSC0,实现网络安 全的一体化防护。数据中心出口安全具备访问控制、区域隔离、状态检测等2-4层安全功能，同时也具备对木马、病毒、蠕虫等应用层安全威胁进行检查、 阻断、

31、 告警等4-7层安全防护功能，实现2-7层的立体安全防护功能。LSQM1FWBSC0防火墙插卡LSQM1IPSSC0入侵防御系统插卡如部署防火墙插卡，防火墙插卡设备虽然部署在交换机框中，但仍然可以看作是一个独立的设备。它通过交换机内部的10GE接口与网络设备相连，它可以部署为2层透明设备和三层路由设备。防火墙与交换机之间的三层部署方式与传 统盒式设备类似。虚拟防火墙示意图如上图FW三层部署所示，防火墙可以与宿主交换机直接建立三层连接，也 可以与上游或下游设备建立三层连接，不同连接方式取决于用户的访问策略。可 以通过静态路由和缺省路由实现三层互通，也可以通过OSPF这样的路由协议提供动态的路由机

32、制。如果防火墙部署在服务器区域，可以将防火墙设计为服务器 网关设备，这样所有访问服务器的三层流量都将经过防火墙设备，这种部署方式 可以提供区域内部服务器之间访问的安全性。防火墙是网络系统的核心基础防护措施，它可以对整个网络进行网络区域分 割，提供基于IP地址和TCP/IP服务端口等的访问控制；对常见的网络攻击方式， 如拒绝月艮务攻击 (ping of death, land, syn flooding, ping flooding, tear drg 端口扫 描(port scanning、IP欺骗(ip spoofing)、IP盗用等进行有效防护；并提供 NAT 地址转换、流量限制、用户认证

33、、IP与MAC绑定等安全增强措施。对于云计算数据中心虚拟机服务网关的选择上，建议根据不同用户的安全需 求进行区分对待，不建议将所有网关配置在FW上，以分散FW的压力，满足用户内的安全域隔离，具体设计如下：对于需要FW的业务的用户，网关部署在 vFW上；对于不需要FW的普通用户，网关部署在核心交换机上多用户安全隔离示意图无线网工程的总体原则如下：侧重实际应用，覆盖XX园区各大楼内所有区域，为教学、科研、办公及 学习、生活、交流提供切实可用的、稳定的无线网络环境。采取先进通行的协议标准，即目前无线局域网普遍采用 802.11系列标准， 无线局域网提供802.11a 802.1化802.11g 80

34、2.11n标准的联网支持，提 供可供实际应用的稳定网络通讯服务。实现室内无线网络的合理分布，考虑室内实现无线网络的不同情况和特点 以及目前办公人员及外来人员手提电脑/智能终端（手机、平板电脑）用 户数量日益增多的情况，应采取合理的布网方式满足现在以及未来发展 的需要。在办公室、会议室采用室内面板式 AP部署或者吸顶AP。新建网络需要实现与现有的无线网和有线网的网络融合与统一管理。在实施无线覆盖工程时，如无特别说明，以考虑信号覆盖范围为主，单个 AP的并发用户数及每用户无线上网带宽也要作为工程的重要因素予以 考虑。所有XX集团园区各大楼内部区域采用部署 11n,使得XX集团园区的无 线接入带宽达

35、到300M接入带宽，同时考虑到用户终端的多样性，要求 AP要向下兼容11a/b/g,主要吸顶安装为主，两种应用场景，第一种过道式部署，建议一个AP覆盖6个左右的办公室，过道安装每隔15-20米 左右安装一个AP,对于第二种场景，1-5楼比较空旷的展区，建议每个15-20米安装一个 AP。无线系统须具备对无线AP进行统一控制、管理的软硬件平台，软硬件控 制、管理平台所提供的网元Licensed量与实际网元数量相匹配并易于扩充运维系统须提供必要的网络监控、管理、统计、 报表功能，提供足够数量 的License授权。无线网系统必须实现与有线网现有认证系统对接，从而实现XX集团有线 网与无线网的统一身

36、份认证。第 4章 有线无线一体化设计XX 园区网络部分楼栋功能区要考虑无线覆盖，三张网络（内网、外网、智能网）都有无线覆盖要求，三张网络的无线部分分别设计，三张无线网络的逻辑结构和选型完全一致，每栋楼设计1 台 24 口 POE 千兆交换机， POE 交换机上通过光纤接到大楼汇聚交换机，下连本楼层的无线AP ，同时对AP 进行 POE 供电，采用 FIT AP 解决方案， 只需要在保障中心三楼机房放置1 台智能无线控制器（AC），AC 可支持热备，便于后期双控制器扩展，两个无线控制器互为备份，在接入层部署11n 300M的智能无线接入点（AP）,即可完成整网的部署。4.1 无线控制器如果仅仅只

37、采用 AP 本身进行无线覆盖，即传统的胖AP 模式进行无线覆盖，采用这样的部署方式去部署XX 园区的无线网络有极大的缺点。其一、胖AP把所有的配置均配置到 AP本身上，如此数量多的 AP,使客户的维护管理工作量大大增加。其二、胖 AP 无法统一管理控制， AP 之间本身就不能无缝融合，那么就会出现当你离开一个区域到另一个区域时必然出现不断重新认证的问题。其三、 AP 与 AP 之间无联系，无法实现智能的负载分担和均衡。因此， 决定采用统一的无线控制器对AP 进行统一管理， AC+FIT AP （瘦AP）的组网方式。这样可以大大减少维护管理工作量，能实现无缝漫游和负载分担。此次 XX 园区三张网

38、络（内网、外网、智能网）分别设计一台无线控制器WX5510E,提供8个千兆comb 口，和2个万兆接口，整机支持512个AP接入能 力，本次每台配置128个 AP 接入授权。EWP-WX5510E无线控制器WX5510E 采用下列部署方式： 集中式控制， 在 XX 园区保障中心三楼核心机房三张网络部署各1 台无线控制器，集中对XX 园区各网络内 AP 进行接入控制。无线控制器支持N+1 热备，不存在单点故障， AP 分批实施时AC可按需扩容，部署方案灵活；多业务无线控制器WX5510E 集精细的用户控制管理、完善的管理及安全机制、快速漫游、超强的 QoS 及 IPv4&IPv6 等多功能于一体

39、，提供强大的 WLAN接入控制功能。用户管理、加密、漫游、 AP 管理等功能全部集中到无线控制器上进行，减轻了AP 负担，在规模越大的网络上管理越简单，同时无线控制器会自动调节 AP 的工作信道以及发射功率。 这样可以简化整个网络AP 的管理， 提高设备的工作效率。4.2 无线 AP由于无线 WLAN 采用冲突避免的载波侦听多路访问机制当用户数量多大， 用 户接入速度就会受到影响。一般建议每AP按照2530户规划为最佳，如果使用双频AP,则每个频段能规划2530个用户。在覆盖范围上：一般来说， AP 在室内普通环境下覆盖30米。在接入速率上：采用11N 300M的AP,大大超过了彳统的无线 A

40、P接入速率， 能够很好的保证网络数据的高速传输。针对园区各功能区域的无线场景，建议吸顶放装型 AP EWP-WA2620i-AGN-FIT 和面板 AP EWP-WA2610H-GN-FIT。正对会议室、过道、 咖啡厅等采用放装型AP,对于办公室、接待中心采用面板型 AP。放装 AWA2620面板 AP WA2610H-GN吸顶放装示意图AP内置终端智能感知型天线，直接吸顶安装于天花板即可，无需外接 天线。面板AP安装示意图5步！安装一个 AP只需35分钟。WA2610H-GN采用国际标准的插座安装方法进行设计，和其他开关面板一 样，更换一个面板式AP只需要简单的5个步骤，总耗时不超过5分钟，

41、可以极 大的加快客户部署无线网络的速度。WA2610H-GN之5步安装方法4.3 POE供电H3C接入交换机采用支持POE供电的交换机，可提供最大24 口 POE供电，POE接入交换机通过光纤与各自楼栋汇聚交换机互联。本次选用LS-S5110-28P-PW听为AP的数据接入和远程供电设备，LS-S5110-28P-PW赛供24个 10/100/1000Base-T以太网端口 , 4 个 1000Base-）a太网端口 ,提供 370W POE 输出能力，满足24个千兆电口同时POE供电。LS-S5110-28P-PWR PO改换机PoE交换机在无线部署工程中具有非常明显的优势，具体如下：简化安

42、装，降低成本，不需为每个网络设备单独提供数据和电力线缆。灵活性提高，网络装置可被安装在任何位置，而不需靠近一个已存在的电 源输出口。可靠性增强，有SNMP能力的PoE装置，可实施远程检测和控制，能有 效地处理或修理装置的耗电量和（或）失效故障。交换机通过以太网线来汇聚AP的流量，同时为AP提供电源，这样可以 简化布线，部署美观，同时减少故障点，提高网络的可靠性。根据XX园区实际情况，在每栋楼部署相应的POE交换机对AP进行POE供电。4.4 无线网管运维为了对XX园区网的无线网络、有线网络等设备进行统一有效的管理，能够实时监控网络设备的运行状况，网络拓扑结构的变化等网络问题，所有在本次的XX集

43、团园区无线网络建设中拟配置智能网络管理系统，该智能管理系统平台实 现网络资源、用户和业务的融合管理，提供基本的网络资源管理、拓扑管理、故 障管理、性能管理、用户管理及系统安全管理，更科学合理的规划和管理网络， 实现对包括交换机、无线 AP,无线控制器的统一管理。针对无线运维管理，本次配置三张网各配置一套 H3c WSM无线运维管理， 实现整个园区无线网络的统一管理，对于网络中的 AC、FAT AP、FIT AP、移动 终端、POE交换机等无线设备与有线设备进行一体化集中管理，全网设备信息和 状态一目了然。网络资源通过多种视图进行查看，视图内分组管理，将规模巨大 的无线接入设备有效组织，便于管理

44、员维护。4.5 无线用户认证XX园区无线用户包括两部分，内部办公人员和外来办事人员，本次三张网 络各配置一套EIA终端智能接入：针对内部用户，采用 MAC地址认证，职工采用分配固定帐号，并可实现终 端MAC地址和IP地址等多元素的绑定，防止非法用户的访问内部网络。针对访客，系统提供临时接入账号的访客管理功能，访客管理员可创建来宾 账号，或访客通过自助系统登记相关信息，并申请访客接入网络服务。通过后台 管理批准的访客账号，并以短信方式通知访客帐号和密码， 之后可访问内部网络， 该账号将在超过保留时长后失效。当用户接入网络后，可强化对用户接入的管理：基于用户的权限控制策略，可以为不同用户定制不同网

45、络访问权限可以控制用户的上网带宽（QoS）、限制用户同时在线数、禁止用户设置 和使用代理服务器，有效防止个别用户对网络资源的过度占用。支持最大闲置时长限制。可以实现对用户ACL、VLAN的控制，限制用户对内部敏感服务器和外 部非法网站的访问。可以限制用户IP地址分配策略，防止IP地址盗用和冲突。监控用户认 证成功后的IP地址，若有变更则强制要求下线。可以限制用户的接入时段和接入区域，用户只能在允许的时间和地点上网。可以限制终端用户使用多网卡和拨号网络， 禁止修改终端MAC地址，防 止内部信息泄露。可以限制用户必须使用专用安全客户端， 并强制自动升级，防止安全客户 端被破解，确保认证客户端的安全

46、性。接入用户网关配置，提供接入用户网关IP、MAC地址配置信息。4.6 方案特点非法无线入侵检测：监视射频环境的非法AP和用户，防止其接入网络；位置检查：无线控制器可以记录每个用户登陆的 AP位置；每用户的安全策略：提供基于用户身份的所有服务，以使用户在漫游时具有诸如虚拟专用组成员资格、访问控制列表（ACL）、认证、漫游策略和历史、位置跟踪、带宽使用以及其他授权等内容。还可告知管理人员哪些用户已连接、他们 位于何处、他们曾经位于何处、他们正在使用哪些服务以及他们曾经使用过哪些 服务。网络自愈：蜂窝式组网中，AP是连续分布，相邻AP之间共同覆盖一部分区 域，如果单个AP故障，无线交换机可自动调整

47、周边 AP到最大射频功率，尽最大 可能弥补单个AP故障留下的信号盲区；射频管理：AP射频扫描可测量信号强度和使用量；无线交换机的软件可动态 地调整AP的流量负载、功率、射频覆盖区域和信道分配，以使覆盖范围和容量 最大化。支持IPv4和IPv6双栈，为用户提供和有线网近乎同等的应用承载：无线交换机支持MLD Snooping,配合现有IPv6有线网络，实现IPv6组 播业务；AP和无线控制器之间可以建立基于IPv6地址的隧道，多个无线控制器之 间可以建立基于IPv6地址的隧道；支持IPv6管理特性。智能负载均衡：无线控制器可以设定AP间对接入用户进行负载分担，负载 分担的策略可以是基于 AP接入

48、的用户数量，AP流量负载情况；无线入侵检测： 非法设备是未经网络管理者许可部署的无线设备或者是发起无线攻击的设备，无线控制器可以指定AP 工作在两种工作模式：模式一、 AP 负责监听空口所有信道的信息， 但不负责用户报文的转发。 模式二、 AP 在为用户转发数据的同时定期切换到其他信道监听信息；第 5章方案优势介绍上面介绍了我公司针对 XX 集团园区网的设计思路，下面我们总结一下方案的优势：优势1:本次XX集团园区网推荐的网络产品为 H3C,根据12年IDC的报告，H3C 路由器、交换机、无线产品市场占有率排名第一。优势2: CLOS多级交换架构，控制引擎和交换引擎物理分离，两个平面独立工作，

49、真正保证大数据流量下的无阻塞转发，本次核心路由器和核心交换机均采用CLOS 硬件架构优势3： 虚拟化就是把多台物理设备通过虚拟化技术虚拟成一台逻辑设备，使得这一台逻辑设备具有更高的性能、稳定性和可靠性，本次推荐的核心交换机S10508-V汇聚交换机 S5800-32F接入交换机S5110-28P匀支持虚拟化技术，保证 XX 集团园区网的可靠组网。优势 4： 随着移动互联网的发展，智能终端越来越普及， H3C 的 BYOD 解决方案可以采用多种方式对各种终端进行识别、对不同的终端采用不同的控制策略、同时可以实现无感知认证和一次认证、多次登录。优势 5： 提供一体化的管理，通过H3C 的智能管理平台可以非常方便的实现有线无线用户的一体化管理，如一体化的用户、一体化的认证等。优势 6： 本次 XX 集团园区网建设网络设备推荐的 H3C 品牌具有众多的企业、集XX 集团园区网稳定、高效运行提供了很好的保证。