XX集團園區網絡技術建議書杭州華三通信技術有限公司目錄TOC\o"1-4"\h\z\u總體建設規定根據XX園區信息化對計算機網絡系統的需求，我們選擇采用基于TCP/IP合同的、以1/10GBASE-X光纖鏈路為骨干的網絡，各樓棟內采用千兆到桌面，規定能兼容IPV4與IPV6，通過VLAN劃分不同邏輯區域分別供不同部門的接入使用。在共用主干網絡線路的前提下實現各區域的邏輯性隔離，以實現安全、使用以及資源運用最大化。區域劃分XX公司園區網由四棟新建樓宇構成，分別是保障中心、集控大廳、周轉宿舍、多功效綜合樓；保障中心作為整個園區的網絡核心，中心機房布署在三樓，分別通過光纜連接其它樓棟，大樓內設立匯聚交換機，接入交換機對本大樓內的信息點位進行接入。網絡拓樸的設計根據業務狀況，把園區網絡分為3套網絡：內網、外網、智能網，三套網絡規定物理隔離；網絡主體架構采用星型拓樸構造，計算機網絡系統考慮在保障中心三樓機房各設計2臺萬兆交換機作為XX公司個業務網絡的核心交換機，同時必須虛擬化能力，采用雙核心設計，把雙核心虛擬成一臺含有高性能、高可靠、高安全的虛擬交換機；核心交換機通過萬兆單光纜連接到保障中心、集控大廳、周轉宿舍、多功效綜合樓的匯聚機房，根據信息點位設計一臺萬兆匯聚交換機，通過千兆單模對本樓層的接入交換機提供接入，樓層設計多臺千兆接入交換機對本棟大樓信息點提供千兆桌面接入。網絡管理系統基于網絡中所涉及的設備較多，需要對設備進行狀態檢測、設備配備、方略設立等，在網絡發生故障時能夠及時發現問題，這需要一套功效強大的網絡管理軟件。方案中選用智能網管軟件作為局域網管理平臺，能夠與方案中設計的網絡設備、安全設備、無線、監控良好配合。無線覆蓋設計運用無線網絡技術進一步擴展網絡的覆蓋范疇，提高網絡的顧客自適應性，在無線的覆蓋范疇內實現數據業務和語音業務的無線傳輸，并且可實現三層漫游，使無線局域網和有線網成為一種整體，提供安全的無線接入。無線規定采用FITAP組網方式，由無線控制器對集團內全部的無線AP進行統一接入管理，AP供電采用POE遠程供電方式；對IP地址、DNS等網絡基礎資源的規劃XX共有上千個網絡點及多個無線AP，其IP地址劃分按C類合同劃分，能夠考慮不同樓棟的不同部門上網采用不同的ＩＰ段。對安全的考慮方案中對系統安全作以下考慮，在對外連接上采用高性能防火墻，提供充足的千兆端口和解決系能。對于集團上網的多個應用進行行為和流量控制，配備應用控制網關，對集團多個行為進行精細化管理和控制，對上網行為提供事后行為審計能力。綜合布線綜合布線是本次網絡改造的重點，規定做點規范、整潔、美觀、方便、耐用，樓棟之間采用室外光纜進行布放，光纜兩端采用光端盒，光端盒必須出可接跳線的耦合器，不能直接出尾纖。光纜必須走地下，不能從空中拉；室內采用六類非屏蔽線纜，除了新教學樓，其它大樓均采用一種弱電機房，全部信息點的網線直接拉到大樓弱電機房，在機房采用配線架集中整合。線纜布放必須采用橋架方式進行布放；XX公司網絡建設的總體目的是建立一種開放的、基于原則的數字化園區系統平臺，運用公司信息交換、資源共享、遠程會議等當代化辦公手段，面對員工及顧客提供個性化、人性化的服務。并可支持將來數據、語音和視頻等多業務在現有網絡技術平臺的融合。計算機網絡系統是整個XX公司信息管理系統的基礎平臺與設施，為確保信息管理系統應用系統的高效、安全、可靠，必須在整個網絡系統建設方案設計中按照國家和行業原則，達成一定的設計、建設原則和目的。建設一種支持數字化、網絡化、自動化的國內先進的基礎網絡平臺，滿足數字化公司建設的需要，也滿足公司信息化建設的長久規定。網絡平臺含有良好的服務質量、較高安全性、便于管理和維護，能夠支持公司的多個辦公和科研應用，也支持移動辦公、信息公布。設計原則在XX公司網絡建設項目中，為節省顧客投資，確保業務的正常、優質開展，整個網絡系統必須總體規劃，統一原則。為達成XX公司網絡建設的目的規定，在網絡設計構建中，應堅持下列建網原則：需求驅動原則：以實際應用需求為根據，選擇技術和設備。根據公司信息化建設的實際需求，考慮遠程辦公與合作，特別是數據信息傳輸與數字視頻業務的需要，要充足考慮網絡系統的服務質量和可靠性。根據現在的需求和能夠預見的需求增加狀況設計網絡，不追求空洞的技術先進性，避免追求高檔和最新技術耗費的巨大代價。先進性原則：公司信息化需要最新技術的支撐，特別是網絡技術和多媒體計算機技術，必須采用先進成熟的技術，并兼顧將來發展趨勢。本方案所選擇H3C公司設備在技術上含有很強的先進性，其性能、技術體系可確保公司5-8年的發展需要，有力的保護了公司投資。投資保護原則：由于公司已在網絡應用方面做了大量的投入進行信息化建設，公司信息化在各部門或不同的應用上對網絡的需求不盡相似，原有的諸多工作已經證明是有效的，這部分軟硬件能夠繼續發揮作用，從而保護原有投資，節省建設經費。原則化原則：從機房建設、綜合布線工程規范、到網絡技術原則和網絡合同，都有對應的國際原則和國標，全部設計與建設要遵照該原則，從而能夠實現原則化管理，延長整體項目的生命周期，做到投資保護。安全性原則：公司信息化工作的特殊性，對網絡與信息安全提出了很高的規定。由于安全性的規定與投入成正比，并且涉及管理與應用的方方面面，是一種復雜的系統工程，事實上沒有一種絕對安全的系統，安全只是相對而言，因此該原則是充足評定安全風險，制訂安全方略，采用必要的安全方法。是避免非法訪問者通過互聯網絡對網絡節點進行攻擊的能力。從網絡設備來講，避免外部攻擊重要靠路由器實現，華為路由器在這方面含有獨到的優勢。華為3COM產品的全部軟件及硬件均為公司自行開發研制，含有完全的知識產權。工程原則：網絡系統建設涉及機房與網絡配線間環境、通信管道與通信線纜、樓內綜合布線系統、電源及其防護、網絡交換機與路由器、服務器設備以及有關的軟硬件系統，在設計建設時要體現工程原則，做到有工程規劃、項目有設計、實施有控制等，實現整個系統的可管理、可維護、可擴展和可升級。強健性及開放性：它應含有較好的收斂性和可擴展性，同時其網絡額外開銷是極小的，且受到國際原則的支持，確保不同設備見的互通性?？蓴U展性：考慮到此后信息化的進程和逐步演進，網絡要建設成完整統一、組網靈活、易擴充的彈性網絡平臺，能夠隨著需求變化，充足留有擴充余地。經濟性：應當充足的運用現有的網絡資源，充足考慮經濟和安全的最佳結合點。設備在保障性能和可靠安全的基礎上，應能達成最佳性價比。網絡整體方案設計總體網絡設計描述從應用構造上來講，XX公司網絡系統可分為三個大的層次：互聯支撐網絡互聯支撐網絡安全保障系統網絡業務應用互聯支撐層是XX公司管理網的基礎，由XX公司管理中心統一規劃、構建及管理，支撐層運用寬帶IP技術，確保網絡的互聯互通性，提供含有一定QoS的帶寬確保，并提供各部門、系統網絡間的一定隔離，確?；ピL的安全控制；安全保障系統是指通過認證、加密、授權、綁定控制等技術對XX公司管理網上的顧客訪問及數據實施安全保障的監控系統，他與互聯支撐層相對獨立，由管理中心與各部門單位共同規劃，分布構建，如數據加密等方法建議在顧客網絡處(各部門)實施；業務應用層就是在安全互聯的基礎上實施XX公司管理網的多個應用，由管理中心與各系統單位統一規劃，分別實施。在本方案中，各個網絡系統均采用星型構造，星型構造特點是構造簡樸，時延固定，便于管理和故障排除，接入層單點故障不會影響整個網絡，提高網絡的可靠性。網絡構造設計網絡的拓撲構造很大程度上決定了網絡的性能，常見的網絡拓撲構造重要有星型構造、網狀構造、環形構造等幾個，根據XX集團園區網的特點，結合性能和經濟方面的考慮，推薦采用星型構造搭建園區網。根據功效區的不同劃分為下列3層，核心層、匯聚層、接入層：名稱功效備注核心設備核心層為網絡提供骨干組件或高速交換組件，高效速度傳輸是核心層的目的核心交換機采用基于CLOS多級交換架構的交換機S10500，控制和轉發物理分離，真正確保大數據量的無阻塞轉發，同時支持多業務安全插卡，確保整個網絡的數據傳輸安全匯聚設備匯聚層是核心層和終端顧客接入層的分界面，匯聚交換選擇S5800萬兆交換機，提供24個千兆光口，4個萬兆光接口，對上通過萬兆單模連接到兩臺核心，向下采用多模千兆接入樓層接入交換機，匯聚層完畢網絡訪問的方略控制、廣播域的定義、VLAN間的路由、數據包解決、過濾尋址及其它數據解決的任務。接入設備接入層向本地網段提供顧客接入。接入交換機采用S5110千兆交換機，通過千兆多模接到匯聚交換機，通過六類網線提供顧客千兆接入，重要提供網絡分段、廣播能力、多播能力、介質訪問的安全性、MAC地址的過濾和路由發現等任務網絡拓撲圖網絡拓撲圖（內網）網絡拓撲圖（外網）網絡拓撲圖（智能網）組網描述根據本期工程的需求和建設目的，整個園區網絡分為三張網絡：內網、外網、智能網，三張網絡的邏輯構造及設備選型類似，規定三張網絡物理隔離，獨立組網；網絡構造設計上采用三層架構，核心交換機、匯聚交換機、接入交換機，樓間采用萬兆單模連接，大樓內的匯聚和接入通過千兆單模光纖連接，千兆到桌面，同時實現園區部分場合的無線無縫覆蓋，為園區提供高速、穩定、方便的無線接入平臺，確保園區多個應用能夠隨時隨處的開展。網絡出口設計三張網絡（內網、外網、智能網）的出口分別通過核心交換機接到集團原有對應網絡上，在核心交換機上布署安全插卡（防火墻、入侵防御系統），有效制止來自網絡中的多個安全威脅，如黑客、木馬、病毒、網頁篡改等；在外網考慮兩個出口，一種出口為集團外網接入，另外考慮單獨的互聯網出口，在互聯網出口布署一臺高性能出口路由器SR6602-X1，提供15M的包轉發能力，4個千兆光口，4個千兆電口，2個萬兆接口，4個業務擴展槽位，出口路由器要做NAT轉換，SR6602含有400萬的并發連接數，完全滿足園區顧客的上網需要，園區內部全部采用私有地址，通過NAT后訪問互聯網，能夠較好解決公網地址局限性的問題。核心層設計隨著園區網信息化的完善，園區的應用越來越多，上網的人也越來越多，業務也遍及辦公、娛樂、生活各個領域，接入方式不局限于有線，有高帶寬的無線接入，因此園區核心交換機需要同時承載多個業務，全部業務都要通過核心交換機解決，建議核心交換機必須滿足大容量、高性能、高可靠、高安全及網絡擴展的規定，本次三張網絡（內網、外網、智能網）核心層均采用雙核心設計，核心交換機采用H3C多級交換架構（CLOS）數據中心級交換機S10508-V，兩臺核心通過虛擬化技術IRF2虛擬成一臺設備邏輯設備，H3CS10500是中國國內第一款100G平臺交換機，支持將來40GE和100GE以太網原則，采用先進的CLOS多級多平面交換架構，獨立的交換網板卡，控制引擎和交換網板硬件互相獨立，最大程度的提高設備可靠性，同時為后續產品帶寬的持續升級提供確保；為了滿足數據中心級網絡高可靠、高可用、虛擬化的規定，S10500采用創新IRF2（第二代智能彈性架構）設計，將多臺高端設備虛擬化為一臺邏輯設備，簡化路由合同運行狀態與運維管理，同時大大縮短設備及鏈路出現故障快速切換，避免網絡震蕩。IRF2互聯鏈路采用2*10GE捆綁，確保高可靠及橫向互訪高帶寬。在每臺核心交換機S10508配備配備1個控制引擎、3個電源、2個獨立的交換引擎、32個萬兆光口（含4個萬兆單模光模塊，2個萬兆多模光模塊），用于連接樓棟匯聚（保障中心、集控大廳、周轉宿舍、多功效綜合樓），配備48個千兆電接口，便于集團服務器、工作站接入；核心節點到樓層交換機和各大樓匯聚交換機之間通過10GE鏈路連接，核心設備支持虛擬化，兩臺核心可虛擬為一臺路由設備，為接入的顧客提供缺省網關的冗余，便于后期雙核心擴展。IRF2虛擬化技術——核心組網可靠性：實現兩臺核心交換機S10508-V虛擬成一臺邏輯設備，通過跨設備鏈路捆綁實現核心和接入的點對點互聯，消除二層網絡的環路，這樣就直接避免了在網絡中部暑STP，同時對于核心的兩臺設備虛擬化為一臺邏輯設備之后，網關也將變成一種，無需布署傳統的VRRP合同。在管理層面，通IRF2多虛一之后，管理的設備數量減少二分之一以上，對于本項目，管理點只有核心和接入兩臺設備，網絡管理大幅度簡化。以下圖所示：多級交換（CLOS）架構——核心硬件可靠性：1、轉發任務分擔到多塊交換網板，轉發效率急速提高，性能大幅提高2、主控轉發物理分離，引擎壓力驟減，交換網板互相備份，可靠性更高3、交換網板可熱插拔升級，可擴展性能，滿足久遠需求保障核心節點的高可靠性。數據大集中后整個系統將承載多個業務系統，不同的業務對網絡的帶寬、時延等規定也不同，這就規定核心交換設備業務與性能并重；核心交換機必須采用功效強大的ASIC芯片實現業務的分布式線速解決，從而在為顧客提供有保障的業務特性的同時保障數據報文的線速轉發。匯聚層設計由于XX園區各大樓的信息點位較多，各樓層均考慮了接入交換機，因此在三張網絡（內網、外網、智能網）各大樓出口處設計一臺高性能匯聚交換機S5800-32F：LS-5800-32F-H3S5800-32F匯聚交換機重要完畢各大樓樓層交換機的匯聚，提供360Gbps數據交換能力，含有156Mpps的數據包轉發能力，天然支持全線速分布式轉發，提供24個千兆接口，4個萬兆接口，配備2個單模萬兆上聯至兩臺核心交換機S10508-V，提供1個業務插槽，便于后期接口擴展，接入交換機通過千兆多模連接到匯聚交換機，確保接入交換機的上行帶寬，同時在匯聚層交換機支持流量采集功效，可對對整網的全網流量進行分析。根據業務需要，S5800-32F可擴展16端口光接口板，16端口電接口板，4端口萬兆接口板，無線控制器插卡（可支持128個AP的接入控制能力），滿足將來業務擴展的規定。接入層設計XX園區各大樓樓層的信息點比較多，各樓層單獨考慮接入交換機，接入交換機通過千兆單模接到大樓的匯聚交換機，通過六類網線提供本樓層的千兆接入，通過對XX園區接入需求分析，建議選用H3C的千兆接入交換機LS-S5110-28P：LS-S5110-28PPOE交換機提供256G的交換容量，40Mbps的包轉發能力，提供24個10/100/1000Base-T以太網端口和4個復用的1000Base-XSFP千兆以太網端口，實現千兆到桌面設計，千兆以太網逐步延伸到桌面已經成為最迫切的需要之一，隨著園區多媒體應用的增加，應用在消耗大量帶寬的同時，也在追求終端顧客的滿意度，基于銅纜的千兆以太網能夠將更多的應用從低速鏈路中解放出來，并且為罷工人員工作創新提供了一種嶄新高效能工作平臺。顧客認證：XX園區無線顧客涉及兩部分，內部辦公人員和外來辦事人員，本次三張網絡各配備一套EIA終端智能接入：針對內部顧客，采用MAC地址認證，職工采用分派固定帳號，并可實現終端MAC地址和IP地址等多元素的綁定，避免非法顧客的訪問內部網絡。針對訪客，系統提供臨時接入賬號的訪客管理功效，訪客管理員可創立來賓賬號，或訪客通過自助系統登記有關信息，并申請訪客接入網絡服務。通過后臺管理同意的訪客賬號，并以短信方式告知訪客帳號和密碼，之后可訪問內部網絡，該賬號將在超出保存時長后失效。當顧客接入網絡后，可強化對顧客接入的管理：基于顧客的權限控制方略，可覺得不同顧客定制不同網絡訪問權限。能夠控制顧客的上網帶寬（QoS）、限制顧客同時在線數、嚴禁顧客設立和使用代理服務器，有效避免個別顧客對網絡資源的過分占用。支持最大閑置時長限制。能夠實現對顧客ACL、VLAN的控制，限制顧客對內部敏感服務器和外部非法網站的訪問。能夠限制顧客IP地址分派方略，避免IP地址盜用和沖突。監控顧客認證成功后的IP地址，若有變更則強制規定下線。能夠限制顧客的接入時段和接入區域，顧客只能在允許的時間和地點上網。能夠限制終端顧客使用多網卡和撥號網絡，嚴禁修改終端MAC地址，避免內部信息泄露。能夠限制顧客必須使用專用安全客戶端，并強制自動升級，避免安全客戶端被破解，確保認證客戶端的安全性。接入顧客網關配備，提供接入顧客網關IP、MAC地址配備信息。本次在XX集團三張網絡（內網、外網、智能網）各配備一套H3C顧客接入管理EIA，并配備1000顧客的并發認證許可，實現對本網絡內的顧客進行接入認證和控制。網絡管理系統：集團的網絡設備和顧客越來越多，有一套智能管理軟件，能夠大大簡化網絡管理人員的工作量，同時能夠提供網絡管理的工作效率，網絡管理軟件必須含有網絡拓撲、網絡性能、網絡配備、網絡安全、網絡告警、網絡業務的統一管理，同時在其上能夠配備有多個業務管理組件，如本次推薦配備有線無線一體化管理組件，方便管理大規模的無線管理網絡；智能配備中心，能夠方便的管理上百臺設備的軟件、配備變更、收集軟件版本、配備的基線庫，為多臺設備統一批量配備和升級，大大節省管理員的工作量。本次在XX集團三張網絡（內網、外網、智能網）各配備一套H3C智能管理中心IMC，并配備50個節點的管理，實現對本網絡內的設備進行智能管理。安全設計安全設計要點安全是一種系統工程，為了合理的解決網絡安全問題，必須充足分析網絡邏輯構成，網絡中不同部分的功效不同，所關注的安全問題也不同。所謂安全威脅，就是未經授權，對位于服務器、網絡和桌面的數據和資源進行訪問，甚至破壞或者篡改這些數據/資源。從安全威脅的對象來看，能夠分為網絡傳送過程、網絡服務過程和軟件應用過程三類。網絡傳送過程重要針對數據鏈路層和網絡層合同特性中存在的漏洞進行攻擊，如常見的監聽、IP地址欺騙、路由合同攻擊、ICMPSmurf攻擊等；網絡服務過程重要針對TCP/UDP以及居于其上的應用層合同進行，如常見的UDP/TCP欺騙、TCP流量劫持、TCPDoS、FTP反彈、DNS欺騙等等；軟件應用過程則針對位于服務器/主機上的操作系統以及其上的應用程序，甚至是基于Web的軟件系統發起攻擊。從安全威脅的手法來看，蠕蟲、回絕服務、監聽、木馬、病毒…都是常見的攻擊工具。對核心的主機系統和子網，能夠進行網絡資源檢查，并及時發現問題。使用安全掃描軟件，對核心的主機系統和網絡定時進行掃描，能夠檢查出網絡弱點和方略配備上的問題。根據掃描軟件發現的問題，及時更新操作系統補丁，查殺病毒，更新安全方略。定時強制更新顧客口令，并制訂顧客口令規則，嚴禁使用不符合規則的口令。定時檢查文獻系統的訪問權限與否合理，檢查顧客帳號的使用與否正常。網絡邊界安全防護在傳統的數據中心網絡安全布署時，往往是網絡與安全各自為戰，在網絡邊界或核心節點串接安全設備(如FW、IPS、LB等)。隨著數據中心布署的安全設備的種類和數量也越來越多，這將造成數據中心機房布線、空間、能耗、運維管理等成本越來越高。傳統布署方式H3C插卡布署方式本次方案中采用了H3CSecBlade安全插卡可直接插在核心交換機S10508-V的業務槽位，通過交換機背板互連實現流量轉發，共用交換機電源、電扇等基礎部件。融合布署除了簡化機房布線、節省機架空間、簡化管理之外，還含有下列優點：互連帶寬高。SecBlade系列安全插卡采用背板總線與交換機進行互連，背板總線帶寬普通可超出40Gbps，相比傳統的獨立安全設備采用普通千兆以太網接口進行互連，在互連帶寬上有了很大的提高，并且無需增加布線、光纖和光模塊成本。業務接口靈活。SecBlade系列安全插卡上不對外提供業務接口（僅提供配備管理接口），當交換機上插有SecBlade安全插卡時，交換機上原有的全部業務接口均可配備為安全業務接口。此時再也無需緊張安全業務接口不夠而帶來網絡安全布署的局限性。性能平滑擴展。當一臺交換機上的一塊SecBlade安全插卡的性能不夠時，能夠再插入一塊或多塊SecBlade插卡實現性能的平滑疊加。并且全部SecBlade插卡均支持熱插拔，在進行擴展時無需停機中斷現有的業務。本次XX集團園區項目設計在三張網的核心交換機S10508-V上布署多個安全插卡：防火墻（LSQM1FWBSC0）、入侵防御系統（LSQM1IPSSC0），實現網絡安全的一體化防護。數據中心出口安全含有訪問控制、區域隔離、狀態檢測等2-4層安全功效，同時也含有對木馬、病毒、蠕蟲等應用層安全威脅進行檢查、阻斷、告警等4-7層安全防護功效，實現2-7層的立體安全防護功效。LSQM1FWBSC0防火墻插卡LSQM1IPSSC0入侵防御系統插卡如布署防火墻插卡，防火墻插卡設備即使布署在交換機框中，但仍然能夠看作是一種獨立的設備。它通過交換機內部的10GE接口與網絡設備相連，它能夠布署為2層透明設備和三層路由設備。防火墻與交換機之間的三層布署方式與傳統盒式設備類似。虛擬防火墻示意圖如上圖FW三層布署所示，防火墻能夠與宿主交換機直接建立三層連接，也能夠與上游或下游設備建立三層連接，不同連接方式取決于顧客的訪問方略。能夠通過靜態路由和缺省路由實現三層互通，也能夠通過OSPF這樣的路由合同提供動態的路由機制。如果防火墻布署在服務器區域，能夠將防火墻設計為服務器網關設備，這樣全部訪問服務器的三層流量都將通過防火墻設備，這種布署方式能夠提供區域內部服務器之間訪問的安全性。防火墻是網絡系統的核心基礎防護方法，它能夠對整個網絡進行網絡區域分割，提供基于IP地址和TCP/IP服務端口等的訪問控制；對常見的網絡攻擊方式，如回絕服務攻擊（pingofdeath,land,synflooding,pingflooding,teardrop）、端口掃描（portscanning）、IP欺騙(ipspoofing)、IP盜用等進行有效防護；并提供NAT地址轉換、流量限制、顧客認證、IP與MAC綁定等安全增強方法。對于云計算數據中心虛擬機服務網關的選擇上，建議根據不同顧客的安全需求進行辨別看待，不建議將全部網關配備在FW上，以分散FW的壓力，滿足顧客內的安全域隔離，具體設計以下：對于需要FW的業務的顧客，網關布署在vFW上； 對于不需要FW的普通顧客，網關布署在核心交換機上。多顧客安全隔離示意圖無線網工程的總體原則以下：側重實際應用，覆蓋XX園區各大樓內全部區域，為教學、科研、辦公及學習、生活、交流提供切實可用的、穩定的無線網絡環境。采用先進通行的合同原則，即現在無線局域網普遍采用802.11系列原則，無線局域網提供802.11a、802.11b、802.11g、802.11n原則的聯網支持，提供可供實際應用的穩定網絡通訊服務。實現室內無線網絡的合理分布，考慮室內實現無線網絡的不同狀況和特點以及現在辦公人員及外來人員手提電腦/智能終端（手機、平板電腦）顧客數量日益增多的狀況，應采用合理的布網方式滿足現在以及將來發展的需要。在辦公室、會議室采用室內面板式AP布署或者吸頂AP。新建網絡需要實現與現有的無線網和有線網的網絡融合與統一管理。在實施無線覆蓋工程時，如無特別闡明，以考慮信號覆蓋范疇為主，單個AP的并發顧客數及每顧客無線上網帶寬也要作為工程的重要因素予以考慮。全部XX集團園區各大樓內部區域采用布署11n，使得XX集團園區的無線接入帶寬達成300M接入帶寬，同時考慮到顧客終端的多樣性，規定AP要向下兼容11a/b/g，重要吸頂安裝為主，兩種應用場景，第一種過道式布署，建議一種AP覆蓋6個左右的辦公室，過道安裝每隔15-20米左右安裝一種AP，對于第二種場景，1-5樓比較空曠的展區，建議每個15-20米安裝一種AP。無線系統須含有對無線AP進行統一控制、管理的軟硬件平臺，軟硬件控制、管理平臺所提供的網元License數量與實際網元數量相匹配并易于擴充運維系統須提供必要的網絡監控、管理、統計、報表功效，提供足夠數量的License授權。無線網系統必須實現與有線網現有認證系統對接，從而實現XX集團有線網與無線網的統一身份認證。有線無線一體化設計XX園區網絡部分樓棟功效區要考慮無線覆蓋，三張網絡（內網、外網、智能網）都有無線覆蓋規定，三張網絡的無線部分分別設計，三張無線網絡的邏輯構造和選型完全一致，每棟樓設計1臺24口POE千兆交換機，POE交換機上通過光纖接到大樓匯聚交換機，下連本樓層的無線AP，同時對AP進行POE供電，采用FITAP解決方案，只需要在保障中心三樓機房放置1臺智能無線控制器(AC)，AC可支持熱備，便于后期雙控制器擴展，兩個無線控制器互為備份，在接入層布署11n300M的智能無線接入點(AP)，即可完畢整網的布署。無線控制器如果僅僅只采用AP本身進行無線覆蓋，即傳統的胖AP模式進行無線覆蓋，采用這樣的布署方式去布署XX園區的無線網絡有極大的缺點。其一、胖AP把全部的配備均配備到AP本身上，如此數量多的AP，使客戶的維護管理工作量大大增加。其二、胖AP無法統一管理控制，AP之間本身就不能無縫融合，那么就會出現當你離開一種區域到另一種區域時必然出現不停重新認證的問題。其三、AP與AP之間無聯系，無法實現智能的負載分擔和均衡。因此，決定采用統一的無線控制器對AP進行統一管理，AC+FITAP（瘦AP）的組網方式。這樣能夠大大減少維護管理工作量，能實現無縫漫游和負載分擔。本次XX園區三張網絡（內網、外網、智能網）分別設計一臺無線控制器WX5510E，提供8個千兆comb口，和2個萬兆接口，整機支持512個AP接入能力，本次每臺配備128個AP接入授權。EWP-WX5510E無線控制器WX5510E采用下列布署方式：集中式控制，在XX園區保障中心三樓核心機房三張網絡布署各1臺無線控制器，集中對XX園區各網絡內AP進行接入控制。無線控制器支持N+1熱備，不存在單點故障，AP分批實施時AC可按需擴容，布署方案靈活；多業務無線控制器WX5510E集精細的顧客控制管理、完善的管理及安全機制、快速漫游、超強的QoS及IPv4&IPv6等多功效于一體，提供強大的WLAN接入控制功效。顧客管理、加密、漫游、AP管理等功效全部集中到無線控制器上進行，減輕了AP負擔，在規模越大的網絡上管理越簡樸，同時無線控制器會自動調節AP的工作信道以及發射功率。這樣能夠簡化整個網絡AP的管理，提高設備的工作效率。無線AP由于無線WLAN采用沖突避免的載波偵聽多路訪問機制當顧客數量多大，顧客接入速度就會受到影響。普通建議每AP按照25～30戶規劃為最佳，如果使用雙頻AP，則每個頻段能規劃25～30個顧客。在覆蓋范疇上：普通來說，AP在室內普通環境下覆蓋30米。在接入速率上：采用11N300M的AP，大大超出了傳統的無線AP接入速率，能夠較好的確保網絡數據的高速傳輸。針對園區各功效區域的無線場景，建議吸頂放裝型APEWP-WA2620i-AGN-FIT和面板APEWP-WA2610H-GN-FIT。正對會議室、過道、咖啡廳等采用放裝型AP，對于辦公室、接待中心采用面板型AP。放裝AWA2620面板APWA2610H-GN吸頂放裝示意圖AP內置終端智能感知型天線，直接吸頂安裝于天花板即可，無需外接天線。面板AP安裝示意圖5步！安裝一種AP只需3~5分鐘。WA2610H-GN采用國際原則的插座安裝辦法進行設計，和其它開關面板同樣，更換一種面板式AP只需要簡樸的5個環節，總耗時不超出5分鐘，能夠極大的加緊客戶布署無線網絡的速度。WA2610H-GN之5步安裝辦法POE供電接入交換機采用支持POE供電的交換機，可提供最大24口POE供電，POE接入交換機通過光纖與各自樓棟匯聚交換機互聯。本次選用H3CLS-S5110-28P-PWR作為AP的數據接入和遠程供電設備，LS-S5110-28P-PWR提供24個10/100/1000Base-T以太網端口，4個1000Base-X以太網端口，提供370WPOE輸出能力，滿足24個千兆電口同時POE供電。LS-S5110-28P-PWRPOE交換機PoE交換機在無線布署工程中含有非常明顯的優勢，具體以下：簡化安裝，減少成本，不需為每個網絡設備單獨提供數據和電力線纜。靈活性提高，網絡裝置可被安裝在任何位置，而不需靠近一種已存在的電源輸出口。可靠性增強，有SNMP能力的PoE裝置，可實施遠程檢測和控制，能有效地解決或修理裝置的耗電量和（或）失效故障。交換機通過以太網線來匯聚AP的流量，同時為AP提供電源，這樣能夠簡化布線，布署美觀，同時減少故障點，提高網絡的可靠性。根據XX園區實際狀況，在每棟樓布署對應的POE交換機對AP進行POE供電。無線網管運維為了對XX園區網的無線網絡、有線網絡等設備進行統一有效的管理，能夠實時監控網絡設備的運行狀況，網絡拓撲構造的變化等網絡問題，全部在本次的XX集團園區無線網絡建設中擬配備智能網絡管理系統，該智能管理系統平臺實現網絡資源、顧客和業務的融合管理，提供基本的網絡資源管理、拓撲管理、故障管理、性能管理、顧客管理及系統安全管理，更科學合理的規劃和管理網絡，實現對涉及交換機、無線AP，無線控制器的統一管理。針對無線運維管理，本次配備三張網各配備一套H3CWSM無線運維管理，實現整個園區無線網絡的統一管理，對于網絡中的AC、FATAP、FITAP、移動終端、POE交換機等無線設備與有線設備進行一體化集中管理，全網設備信息和狀態一目了然。網絡資源通過多個視圖進行查看，視圖內分組管理，將規模巨大的無線接入設備有效組織，便于管理員維護。無線顧客認證XX園區無線顧客涉及兩部分，內部辦公人員和外來辦事人員，本次三張網絡各配備一套EIA終端智能接入：針對內部顧客，采用MAC地址認證，職工采用分派固定帳號，并可實現終端MAC地址和IP地址等多元素的綁定，避免非法顧客的訪問內部網絡。針對訪客，系統提供臨時接入賬號的訪客管理功效，訪客管理員可創立來賓賬號，或訪客通過自助系統登記有關信息，并申請訪客接入網絡服務。通過后臺管理同意的訪客賬號，并以短信方式告知訪客帳號和密碼，之后可訪問內部網絡，該賬號將在超出保存時長后失效。當顧客接入網絡后，可強化對顧客接入的管理：基于顧客的權限控制方略，可覺得不同顧客定制不同網絡訪問權限。能夠控制顧客的上網帶寬（QoS）、限制顧客同時在線數、嚴禁顧客設立和使用代理服務器，有效避免個別顧客對網絡資源的過分占用。支持最大閑置時長限制。能夠實現對顧客ACL、VLAN的控制，限制顧客對內部敏感服務器和外部非法網站的訪問。能夠限制顧客IP地址分派方略，避免IP地址盜用和沖突。監控顧客認證成功后的IP地址，若有變更則強制規定下線。能夠限制顧客的