XX基地园区网络方案建议书

1 29 XX 集团园区网络集团园区网络 技术建议书技术建议书 杭州华三通信技术有限公司杭州华三通信技术有限公司 2 29 目目 录录 第第 1 章章 总体建设要求总体建设要求 3 第第 2 章章 设计原则设计原则 5 第第 3 章章 网络整体方案设计网络整体方案设计 7 3 1 总体网络设计描述 7 3 2 网络结构设计 7 3 3 网络拓扑图 9 3 3 1 网络拓扑图 内网 9 3 3 2 网络拓扑图 外网 9 3 3 3 网络拓扑图 智能网 10 3 4 组网描述 10 3 4 1 网络出口设计 10 3 4 2 核心层设计 11 3 4 3 汇聚层设计 13 3 4 4 接入层设计 13 3 4 5 用户认证 14 3 4 6 网络管理系统 15 3 5 安全设计 15 3 5 1 安全设计要点 15 3 5 2 网络边界安全防护 16 第第 4 章章 有线无线一体化设计有线无线一体化设计 20 4 1 无线控制器 20 4 2 无线 AP 21 4 3 POE 供电 23 4 4 无线网管运维 23 4 5 无线用户认证 24 4 6 方案特点 25 第第 5 章章 方案优势介绍方案优势介绍 28 3 29 第第 1 章章 总体建设要求总体建设要求 根据 XX 园区信息化对计算机网络系统的需求 我们选择采用基于 TCP IP 协议的 以 1 10G BASE X 光纤链路为骨干的网络 各楼栋内采用千兆到桌面 要求能兼容 IPV4 与 IPV6 通过 VLAN 划分不同逻辑区域分别供不同部门的接入使用 在共用主干网络线路的前 提下实现各区域的逻辑性隔离 以实现安全 使用以及资源利用最大化 1 1 区域划分区域划分 XX 公司园区网由四栋新建楼宇组成 分别是保障中心 集控大厅 周转宿舍 多功 能综合楼 保障中心作为整个园区的网络核心 中心机房部署在三楼 分别通过光缆连 接其它楼栋 大楼内设置汇聚交换机 接入交换机对本大楼内的信息点位进行接入 2 2 网络拓朴的设计网络拓朴的设计 根据业务情况 把园区网络分为根据业务情况 把园区网络分为 3 3 套网络 内网 外网 智能网 三套网络要求物套网络 内网 外网 智能网 三套网络要求物 理隔离 理隔离 网络主体架构采用星型拓朴结构 计算机网络系统考虑在保障中心三楼机房各设计 2 台万兆交换机作为 XX 公司个业务网络的核心交换机 同时必须虚拟化能力 采用双核心设 计 把双核心虚拟成一台具有高性能 高可靠 高安全的虚拟交换机 核心交换机通过万兆单光缆连接到保障中心 集控大厅 周转宿舍 多功能综合楼的 汇聚机房 根据信息点位设计一台万兆汇聚交换机 通过千兆单模对本楼层的接入交换机 提供接入 楼层设计多台千兆接入交换机对本栋大楼信息点提供千兆桌面接入 3 3 网络管理系统网络管理系统 基于网络中所涉及的设备较多 需要对设备进行状态检测 设备配置 策略设置等 在网络发生故障时能够及时发现问题 这需要一套功能强大的网络管理软件 方案中选 用智能网管软件作为局域网管理平台 能够与方案中设计的网络设备 安全设备 无线 监控良好配合 4 4 无线覆盖设计无线覆盖设计 利用无线网络技术进一步扩展网络的覆盖范围 提高网络的用户自适应性 在无线的 覆盖范围内实现数据业务和语音业务的无线传输 并且可实现三层漫游 使无线局域网和有 线网成为一个整体 提供安全的无线接入 4 29 无线要求采用 FIT AP 组网方式 由无线控制器对集团内所有的无线 AP 进行统一接入 管理 AP 供电采用 POE 远程供电方式 5 5 对对 IPIP 地址 地址 DNSDNS 等网络基础资源的规划等网络基础资源的规划 XX 共有上千个网络点及多个无线 AP 其 IP 地址划分按 C 类协议划分 可以考虑不 同楼栋的不同部门上网采用不同的 段 6 6 对安全的考虑对安全的考虑 方案中对系统安全作如下考虑 在对外连接上采用高性能防火墙 提供充足的千兆 端口和处理系能 对于集团上网的各种应用进行行为和流量控制 配置应用控制网关 对集团各种行 为进行精细化管理和控制 对上网行为提供事后行为审计能力 7 7 综合布线综合布线 综合布线是本次网络改造的重点 要求做点规范 整洁 美观 方便 耐用 楼栋 之间采用室外光缆进行布放 光缆两端采用光端盒 光端盒必须出可接跳线的耦合器 不能直接出尾纤 光缆必须走地下 不能从空中拉 室内采用六类非屏蔽线缆 除了新教学楼 其它大楼均采用一个弱电机房 所有信 息点的网线直接拉到大楼弱电机房 在机房采用配线架集中整合 线缆布放必须采用桥 架方式进行布放 XXXX 公司网络建设的总体目标是建立一个开放的 基于标准的数字化园区系统平台 公司网络建设的总体目标是建立一个开放的 基于标准的数字化园区系统平台 利用企业信息交换 资源共享 远程会议等现代化办公手段 面向员工及用户提供个性利用企业信息交换 资源共享 远程会议等现代化办公手段 面向员工及用户提供个性 化 人性化的服务 并可支持未来数据 语音和视频等多业务在现有网络技术平台的融化 人性化的服务 并可支持未来数据 语音和视频等多业务在现有网络技术平台的融 合 合 计算机网络系统是整个计算机网络系统是整个 XXXX 公司信息管理系统的基础平台与设施 为保证信息管理系公司信息管理系统的基础平台与设施 为保证信息管理系 统应用系统的高效 安全 可靠 必须在整个网络系统建设方案设计中按照国家和行业统应用系统的高效 安全 可靠 必须在整个网络系统建设方案设计中按照国家和行业 标准 达到一定的设计 建设原则和目标 标准 达到一定的设计 建设原则和目标 建设一个支持数字化 网络化 自动化的国内先进的基础网络平台 满足数字化企建设一个支持数字化 网络化 自动化的国内先进的基础网络平台 满足数字化企 业建设的需要 也满足企业信息化建设的长期要求 网络平台具有良好的服务质量 较业建设的需要 也满足企业信息化建设的长期要求 网络平台具有良好的服务质量 较 高安全性 便于管理和维护 能够支持企业的各种办公和科研应用 也支持移动办公 高安全性 便于管理和维护 能够支持企业的各种办公和科研应用 也支持移动办公 信息发布 信息发布 5 29 第第 2 章章 设计原则设计原则 在 XX 公司网络建设项目中 为节省用户投资 保证业务的正常 优质开展 整个网 络系统必须总体规划 统一标准 为达到 XX 公司网络建设的目标要求 在网络设计构建中 应坚持以下建网原则 需求驱动原则 需求驱动原则 以实际应用需求为依据 选择技术和设备 根据企业信息化建设 的实际需求 考虑远程办公与合作 特别是数据信息传输与数字视频业务的需要 要充分考虑网络系统的服务质量和可靠性 根据现在的需求和可以预见的需求增 长情况设计网络 不追求空洞的技术先进性 避免追求高档和最新技术花费的巨 大代价 先进性原则 先进性原则 企业信息化需要最新技术的支撑 特别是网络技术和多媒体计算机 技术 必须采用先进成熟的技术 并兼顾未来发展趋势 本方案所选择 H3C 公司 设备在技术上具有很强的先进性 其性能 技术体系可保证企业 5 8 年的发展需 要 有力的保护了企业投资 投资保护原则 投资保护原则 由于企业已在网络应用方面做了大量的投入进行信息化建设 企 业信息化在各部门或不同的应用上对网络的需求不尽相同 原有的很多工作已经 证明是有效的 这部分软硬件可以继续发挥作用 从而保护原有投资 节省建设 经费 标准化原则 标准化原则 从机房建设 综合布线工程规范 到网络技术标准和网络协议 都 有相应的国际标准和国家标准 所有设计与建设要遵循该原则 从而可以实现标 准化管理 延长整体项目的生命周期 做到投资保护 安全性原则 安全性原则 企业信息化工作的特殊性 对网络与信息安全提出了很高的要求 由于安全性的要求与投入成正比 并且涉及管理与应用的方方面面 是一个复杂 的系统工程 实际上没有一个绝对安全的系统 安全只是相对而言 所以该原则 是充分评估安全风险 制定安全策略 采取必要的安全措施 是防止非法访问者 通过互联网络对网络节点进行攻击的能力 从网络设备来讲 防止外部攻击主要 靠路由器实现 华为路由器在这方面具有独到的优势 华为 3COM 产品的全部软 件及硬件均为公司自行开发研制 具有完全的知识产权 工程原则 工程原则 网络系统建设涉及机房与网络配线间环境 通信管道与通信线缆 楼 6 29 内综合布线系统 电源及其防护 网络交换机与路由器 服务器设备以及相关的 软硬件系统 在设计建设时要体现工程原则 做到有工程规划 项目有设计 实 施有控制等 实现整个系统的可管理 可维护 可扩展和可升级 健壮性及开放性 健壮性及开放性 它应具有很好的收敛性和可扩展性 同时其网络额外开销是极 小的 且受到国际标准的支持 保证不同设备见的互通性 可扩展性 可扩展性 考虑到今后信息化的进程和逐步演进 网络要建设成完整统一 组网 灵活 易扩充的弹性网络平台 能够随着需求变化 充分留有扩充余地 经济性 经济性 应该充分的利用现有的网络资源 充分考虑经济和安全的最佳结合点 设备在保障性能和可靠安全的基础上 应能达到最佳性价比 7 29 第第 3 章章 网络整体方案设计网络整体方案设计 3 1 总体网络设计描述 从应用结构上来讲 XX 公司 网络系统可分为三个大的层次 互联支撑层是 XX 公司管理网的基础 由 XX 公司管理中心统一规划 构建及管理 支 撑层利用宽带 IP 技术 保证网络的互联互通性 提供具有一定 QoS 的带宽保证 并提供各 部门 系统网络间的一定隔离 保证互访的安全控制 安全保障系统是指通过认证 加密 授权 绑定控制等技术对 XX 公司管理网上的用 户访问及数据实施安全保障的监控系统 他与互联支撑层相对独立 由管理中心与各部门单 位共同规划 分布构建 如数据加密等措施建议在用户网络处 各部门 实施 业务应用层就是在安全互联的基础上实施 XX 公司管理网的各种应用 由管理中心与各 系统单位统一规划 分别实施 在本方案中 各个网络系统均采用星型结构 星型结构特 点是结构简单 时延固定 便于管理和故障排除 接入层单点故障不会影响整个网络 提高 网络的可靠性 3 2 网络结构设计 网络的拓扑结构很大程度上决定了网络的性能 常见的网络拓扑结构主要有星型结构 网状结构 环形结构等几种 根据 XX 集团园区网的特点 结合性能和经济方面的考虑 推 荐采用星型结构星型结构搭建园区网 根据功能区的不同划分为以下根据功能区的不同划分为以下 3 3 层 核心层 汇聚层 接入层层 核心层 汇聚层 接入层 互联支撑网络 安全保障系统 网络业务应用 8 29 名称名称功能功能备注备注 核心设备 核心层为网络提供骨干组件或 高速交换组件 高效速度传输是核 心层的目标 核心交换机采用基于 CLOS 多级交 换架构的交换机 S10500 控制和转发物 理分离 真正保证大数据量的无阻塞转 发 同时支持多业务安全插卡 保证整 个网络的数据传输安全 汇聚设备 汇聚层是核心层和终端用户接 入层的分界面 汇聚交换选择 S5800 万兆交换机 提供 24 个千兆光口 4 个万兆光接口 对上通过万兆单模连接到两台核心 向 下采用多模千兆接入楼层接入交换机 汇聚层完成网络访问的策略控制 广播 域的定义 VLAN 间的路由 数据包处 理 过滤寻址及其他数据处理的任务 接入设备 接入层向本地网段提供用户接 入 接入交换机采用 S5110 千兆交换机 通过千兆多模接到汇聚交换机 通过六 类网线提供用户千兆接入 主要提供网 络分段 广播能力 多播能力 介质访 问的安全性 MAC 地址的过滤和路由 发现等任务 9 29 3 3 网络拓扑图 3 3 1 网络拓扑图 内网 3 3 2 网络拓扑图 外网 10 29 3 3 3 网络拓扑图 智能网 3 4 组网描述 根据本期工程的需求和建设目标 整个园区网络分为三张网络 内网 外网 智能网 三张网络的逻辑结构及设备选型类似 要求三张网络物理隔离 独立组网 网络结构设计上采用三层架构 核心交换机 汇聚交换机 接入交换机 楼间采用万兆 单模连接 大楼内的汇聚和接入通过千兆单模光纤连接 千兆到桌面 同时实现园区部分场 所的无线无缝覆盖 为园区提供高速 稳定 方便的无线接入平台 保证园区各种应用能够 随时随地的开展 3 4 1 网络出口设计 三张网络 内网 外网 智能网 的出口分别通过核心交换机接到集团原有相应网络上 在核心交换机上部署安全插卡 防火墙 入侵防御系统 有效阻止来自网络中的各种安全 威胁 如黑客 木马 病毒 网页篡改等 在外网考虑两个出口 一个出口为集团外网接入 另外考虑单独的互联网出口 在互联 11 29 网出口部署一台高性能出口路由器 SR6602 X1 提供 15M 的包转发能力 4 个千兆光口 4 个千兆电口 2 个万兆接口 4 个业务扩展槽位 出口路由器要做 NAT 转换 SR6602 具备 400 万的并发连接数 完全满足园区用户的上网需要 园区内部全部采用私有地址 通过 NAT 后访问互联网 可以很好解决公网地址不足的问题 3 4 2 核心层设计 随着园区网信息化的完善 园区的应用越来越多 上网的人也越来越多 业务也遍布办 公 娱乐 生活各个领域 接入方式不局限于有线 有高带宽的无线接入 所以园区核心 交换机需要同时承载多种业务 所有业务都要经过核心交换机处理 建议核心交换机必须满 足大容量 高性能 高可靠 高安全及网络扩展的要求 本次三张网络 内网 外网 智能 网 核心层均采用双核心设计 核心交换机采用 H3C 多级交换架构 CLOS 数据中心级交 换机 S10508 V 两台核心通过虚拟化技术 IRF2 虚拟成一台设备逻辑设备 H3C S10500 是 中国国内第一款 100G 平台交换机 支持未来 40GE 和 100GE 以太网标准 采用先进的 CLOSCLOS 多级多平面交换架构多级多平面交换架构 独立的交换网板卡 控制引擎和交换网板硬件相互独立 最大程度的 提高设备可靠性 同时为后续产品带宽的持续升级提供保证 为了满足数据中心级网络高可 靠 高可用 虚拟化的要求 S10500 采用创新 IRF2IRF2 第二代智能弹性架构 第二代智能弹性架构 设计 将多台 高端设备虚拟化为一台逻辑设备 简化路由协议运行状态与运维管理 同时大大缩短设备及 链路出现故障快速切换 避免网络震荡 IRF2 互联链路采用 2 10GE 捆绑 保证高可靠及横 向互访高带宽 在每台核心交换机 S10508 配置配置 1 个控制引擎 3 个电源 2 个独立的交换引擎 32 个万兆光口 含 4 个万兆单模光模块 2 个万兆多模光模块 用于连接楼栋汇聚 保障 中心 集控大厅 周转宿舍 多功能综合楼 配置 48 个千兆电接口 便于集团服务器 工 作站接入 核心节点到楼层交换机和各大楼汇聚交换机之间通过 10GE 链路连接 核心设备 支持虚拟化 两台核心可虚拟为一台路由设备 为接入的用户提供缺省网关的冗余 便于后 期双核心扩展 IRF2IRF2 虚拟化技术虚拟化技术 核心组网可靠性核心组网可靠性 实现两台核心交换机 S10508 V 虚拟成一台逻辑设备 通过跨设备链路捆绑实现核心和 接入的点对点互联 消除二层网络的环路 这样就直接避免了在网络中部暑 STP 同时对于 核心的两台设备虚拟化为一台逻辑设备之后 网关也将变成一个 无需部署传统的 VRRP 协 议 在管理层面 通 IRF2 多虚一之后 管理的设备数量减少一半以上 对于本项目 管理 12 29 点只有核心和接入两台设备 网络管理大幅度简化 如下图所示 多级交换 多级交换 CLOSCLOS 架构 架构 核心硬件可靠性 核心硬件可靠性 1 转发任务分担到多块交换网板 转发效率急速提升 性能大幅提高 2 主控转发物理分离 引擎压力骤减 交换网板相互备份 可靠性更高 3 交换网板可热插拔升级 可扩展性能 满足长远需求 保障核心节点的高可靠性 数据大集中后整个系统将承载多个业务系统 不同的业务对 网络的带宽 时延等要求也不同 这就要求核心交换设备业务与性能并重 核心交换机必须 采用功能强大的 ASIC 芯片实现业务的分布式线速处理 从而在为用户提供有保障的业务特 性的同时保障数据报文的线速转发 13 29 3 4 3 汇聚层设计 由于 XX 园区各大楼的信息点位较多 各楼层均考虑了接入交换机 所以在三张网络 内网 外网 智能网 各大楼出口处设计一台高性能汇聚交换机 S5800 32F LS 5800 32F H3 S5800 32F 汇聚交换机主要完成各大楼楼层交换机的汇聚 提供 360Gbps 数据交换能力 具备 156Mpps 的数据包转发能力 天然支持全线速分布式转发 提供 24 个千兆接口 4 个 万兆接口 配置 2 个单模万兆上联至两台核心交换机 S10508 V 提供 1 个业务插槽 便于 后期接口扩展 接入交换机通过千兆多模连接到汇聚交换机 保证接入交换机的上行带宽 同时在汇聚层交换机支持流量采集功能 可对对整网的全网流量进行分析 根据业务需要 S5800 32F 可扩展 16 端口光接口板 16 端口电接口板 4 端口万兆接 口板 无线控制器插卡 可支持 128 个 AP 的接入控制能力 满足未来业务扩展的要求 3 4 4 接入层设计 XX 园区各大楼楼层的信息点比较多 各楼层单独考虑接入交换机 接入交换机通过千 兆单模接到大楼的汇聚交换机 通过六类网线提供本楼层的千兆接入 通过对 XX 园区接入 需求分析 建议选用 H3C 的千兆接入交换机 LS S5110 28P LS S5110 28P POE 交换机 提供 256G 的交换容量 40Mbps 的包转发能力 提供 24 个 10 100 1000Base T 以太网 端口和 4 个复用的 1000Base X SFP 千兆以太网端口 实现千兆到桌面设计 千兆以太网逐 渐延伸到桌面已经成为最迫切的需要之一 随着园区多媒体应用的增加 应用在消耗大量带 宽的同时 也在追求终端用户的满意度 基于铜缆的千兆以太网可以将更多的应用从低速链 路中解放出来 并且为罢工人员工作创新提供了一个崭新高效能工作平台 14 29 3 4 5 用户认证 XX 园区无线用户包括两部分 内部办公人员和外来办事人员 本次三张网络各配置 一套 EIA 终端智能接入 针对内部用户 采用 MAC 地址认证 职工采用分配固定帐号 并可实现终端 MAC 地址和 IP 地址等多元素的绑定 防止非法用户的访问内部网络 针对访客 系统提供临时接入账号的访客管理功能 访客管理员可创建来宾账号 或访 客通过自助系统登记相关信息 并申请访客接入网络服务 通过后台管理批准的访客账号 并以短信方式通知访客帐号和密码 之后可访问内部网络 该账号将在超过保留时长后失效 当用户接入网络后 可强化对用户接入的管理 基于用户的权限控制策略 可以为不同用户定制不同网络访问权限 可以控制用户的上网带宽 QoS 限制用户同时在线数 禁止用户设置和使用代理 服务器 有效防止个别用户对网络资源的过度占用 支持最大闲置时长限制 可以实现对用户 ACL VLAN 的控制 限制用户对内部敏感服务器和外部非法网站 的访问 可以限制用户 IP 地址分配策略 防止 IP 地址盗用和冲突 监控用户认证成功后 15 29 的 IP 地址 若有变更则强制要求下线 可以限制用户的接入时段和接入区域 用户只能在允许的时间和地点上网 可以限制终端用户使用多网卡和拨号网络 禁止修改终端 MAC 地址 防止内部信 息泄露 可以限制用户必须使用专用安全客户端 并强制自动升级 防止安全客户端被破解 确保认证客户端的安全性 接入用户网关配置 提供接入用户网关 IP MAC 地址配置信息 本次在本次在 XX 集团三张网络 内网 外网 智能网 各配置一套集团三张网络 内网 外网 智能网 各配置一套 H3C 用户接入管理用户接入管理 EIA 并配置 并配置 1000 用户的并发认证许可 实现对本网络内的用户进行接入认证和控制 用户的并发认证许可 实现对本网络内的用户进行接入认证和控制 3 4 6 网络管理系统 集团的网络设备和用户越来越多 有一套智能管理软件 可以大大简化网络管理人员的 工作量 同时可以提供网络管理的工作效率 网络管理软件必须具备网络拓扑 网络性能 网络配置 网络安全 网络告警 网络业务的统一管理 同时在其上可以配置有多种业务管 理组件 如本次推荐配置有线无线一体化管理组件 方便管理大规模的无线管理网络 智能 配置中心 可以方便的管理上百台设备的软件 配置变更 收集软件版本 配置的基线库 为多台设备统一批量配置和升级 大大节省管理员的工作量 本次在本次在 XX 集团三张网络 内网 外网 智能网 各配置一套集团三张网络 内网 外网 智能网 各配置一套 H3C 智能管理中心智能管理中心 IMC 并配置 并配置 50 个节点的管理 实现对本网络内的设备进行智能管理 个节点的管理 实现对本网络内的设备进行智能管理 3 5 安全设计 3 5 1 安全设计要点 安全是一个系统工程 为了合理的解决网络安全问题 必须充分分析网络逻辑组成 网 络中不同部分的功能不同 所关注的安全问题也不同 所谓安全威胁 就是未经授权 对位 于服务器 网络和桌面的数据和资源进行访问 甚至破坏或者篡改这些数据 资源 从安全 威胁的对象来看 可以分为网络传送过程 网络服务过程和软件应用过程三类 网络传送过 程主要针对数据链路层和网络层协议特征中存在的漏洞进行攻击 如常见的监听 IP 地址 欺骗 路由协议攻击 ICMP Smurf 攻击等 网络服务过程主要针对 TCP UDP 以及居于其上 16 29 的应用层协议进行 如常见的 UDP TCP 欺骗 TCP 流量劫持 TCP DoS FTP 反弹 DNS 欺骗 等等 软件应用过程则针对位于服务器 主机上的操作系统以及其上的应用程序 甚至是基 于 Web 的软件系统发起攻击 从安全威胁的手法来看 蠕虫 拒绝服务 监听 木马 病 毒 都是常见的攻击工具 对关键的主机系统和子网 能够进行网络资源检查 并及时发现问题 使用安全扫描软 件 对关键的主机系统和网络定期进行扫描 可以检查出网络弱点和策略配置上的问题 根 据扫描软件发现的问题 及时更新操作系统补丁 查杀病毒 更新安全策略 定期强制更新 用户口令 并制定用户口令规则 禁止使用不符合规则的口令 定期检查文件系统的访问权 限是否合理 检查用户帐号的使用是否正常 3 5 2 网络边界安全防护 在传统的数据中心网络安全部署时 往往是网络与安全各自为战 在网络边界或关键节 点串接安全设备 如 FW IPS LB 等 随着数据中心部署的安全设备的种类和数量也越来越 多 这将导致数据中心机房布线 空间 能耗 运维管理等成本越来越高 传统部署方式 H3C 插卡部署方式 本次方案中采用了 H3C SecBlade 安全插卡可直接插在核心交换机 S10508 V 的业务槽位 通过交换机背板互连实现流量转发 共用交换机电源 风扇等基础部件 融合部署除了简化 机房布线 节省机架空间 简化管理之外 还具备以下优点 17 29 互连带宽高 互连带宽高 SecBlade 系列安全插卡采用背板总线与交换机进行互连 背板总线 带宽一般可超过 40Gbps 相比传统的独立安全设备采用普通千兆以太网接口进行 互连 在互连带宽上有了很大的提升 而且无需增加布线 光纤和光模块成本 业务接口灵活 业务接口灵活 SecBlade 系列安全插卡上不对外提供业务接口 仅提供配置管理 接口 当交换机上插有 SecBlade 安全插卡时 交换机上原有的所有业务接口均可 配置为安全业务接口 此时再也无需担心安全业务接口不够而带来网络安全部署的 局限性 性能平滑扩展 性能平滑扩展 当一台交换机上的一块 SecBlade 安全插卡的性能不够时 可以再 插入一块或多块 SecBlade 插卡实现性能的平滑叠加 而且所有 SecBlade 插卡均支 持热插拔 在进行扩展时无需停机中断现有的业务 本次 XX 集团园区项目设计在三张网的核心交换机 S10508 V 上部署多种安全插卡 防火 墙 LSQM1FWBSC0 入侵防御系统 LSQM1IPSSC0 实现网络安全的一体化防护 数据中心 出口安全具备访问控制 区域隔离 状态检测等 2 4 层安全功能 同时也具备对木马 病毒 蠕虫等应用层安全威胁进行检查 阻断 告警等 4 7 层安全防护功能 实现 2 7 层的立体安 全防护功能 LSQM1FWBSC0 防火墙插卡 LSQM1IPSSC0 入侵防御系统插卡 如部署防火墙插卡 防火墙插卡设备虽然部署在交换机框中 但仍然可以看作是一个独 立的设备 它通过交换机内部的 10GE 接口与网络设备相连 它可以部署为 2 层透明设备和 三层路由设备 防火墙与交换机之间的三层部署方式与传统盒式设备类似 18 29 虚拟防火墙示意图 如上图 FW 三层部署所示 防火墙可以与宿主交换机直接建立三层连接 也可以与上游 或下游设备建立三层连接 不同连接方式取决于用户的访问策略 可以通过静态路由和缺省 路由实现三层互通 也可以通过 OSPF 这样的路由协议提供动态的路由机制 如果防火墙部 署在服务器区域 可以将防火墙设计为服务器网关设备 这样所有访问服务器的三层流量都 将经过防火墙设备 这种部署方式可以提供区域内部服务器之间访问的安全性 防火墙是网络系统的核心基础防护措施 它可以对整个网络进行网络区域分割 提供基 于 IP 地址和 TCP IP 服务端口等的访问控制 对常见的网络攻击方式 如拒绝服务攻击 ping of death land syn flooding ping flooding tear drop 端口扫描 port scanning IP 欺骗 ip spoofing IP 盗用等进行有效防护 并提供 NAT 地址转换 流量 限制 用户认证 IP 与 MAC 绑定等安全增强措施 对于云计算数据中心虚拟机服务网关的选择上 建议根据不同用户的安全需求进行区分 对待 不建议将所有网关配置在 FW 上 以分散 FW 的压力 满足用户内的安全域隔离 具体 设计如下 对于需要 FW 的业务的用户 网关部署在 vFW 上 对于不需要 FW 的普通用户 网关部署在核心交换机上 多用户安全隔离示意图 无线网工程的总体原则如下 侧重实际应用 覆盖 XX 园区各大楼内所有区域 为教学 科研 办公及学习 生 19 29 活 交流提供切实可用的 稳定的无线网络环境 采取先进通行的协议标准 即目前无线局域网普遍采用 802 11 系列标准 无线局 域网提供 802 11a 802 11b 802 11g 802 11n 标准的联网支持 提供可供实际 应用的稳定网络通讯服务 实现室内无线网络的合理分布 考虑室内实现无线网络的不同情况和特点以及目前 办公人员及外来人员手提电脑 智能终端 手机 平板电脑 用户数量日益增多的 情况 应采取合理的布网方式满足现在以及未来发展的需要 在办公室 会议室采用室内面板式 AP 部署或者吸顶 AP 新建网络需要实现与现有的无线网和有线网的网络融合与统一管理 在实施无线覆盖工程时 如无特别说明 以考虑信号覆盖范围为主 单个 AP 的并 发用户数及每用户无线上网带宽也要作为工程的重要因素予以考虑 所有 XX 集团园区各大楼内部区域采用部署 11n 使得 XX 集团园区的无线接入带宽 达到 300M 接入带宽 同时考虑到用户终端的多样性 要求 AP 要向下兼容 11a b g 主要吸顶安装为主 两种应用场景 第一种过道式部署 建议一个 AP 覆盖 6 个左右的办公室 过道安装每隔 15 20 米左右安装一个 AP 对于第二种场 景 1 5 楼比较空旷的展区 建议每个 15 20 米安装一个 AP 无线系统须具备对无线 AP 进行统一控制 管理的软硬件平台 软硬件控制 管理 平台所提供的网元 License 数量与实际网元数量相匹配并易于扩充 运维系统须提供必要的网络监控 管理 统计 报表功能 提供足够数量的 License 授权 无线网系统必须实现与有线网现有认证系统对接 从而实现 XX 集团有线网与无线 网的统一身份认证 20 29 第第 4 章章 有线无线一体化设计有线无线一体化设计 XX 园区网络部分楼栋功能区要考虑无线覆盖 三张网络 内网 外网 智能网 都有 无线覆盖要求 三张网络的无线部分分别设计 三张无线网络的逻辑结构和选型完全一致 每栋楼设计 1 台 24 口 POE 千兆交换机 POE 交换机上通过光纤接到大楼汇聚交换机 下连 本楼层的无线 AP 同时对 AP 进行 POE 供电 采用 FIT AP 解决方案 只需要在保障中心三 楼机房放置 1 台智能无线控制器 AC AC 可支持热备 便于后期双控制器扩展 两个无线 控制器互为备份 在接入层部署 11n 300M 的智能无线接入点 AP 即可完成整网的部署 4 1 无线控制器 如果仅仅只采用 AP 本身进行无线覆盖 即传统的胖 AP 模式进行无线覆盖 采用这样的 部署方式去部署 XX 园区的无线网络有极大的缺点 其一 胖 AP 把所有的配置均配置到 AP 本身上 如此数量多的 AP 使客户的维护管理 工作量大大增加 其二 胖 AP 无法统一管理控制 AP 之间本身就不能无缝融合 那么就会出现当你离开 一个区域到另一个区域时必然出现不断重新认证的问题 其三 AP 与 AP 之间无联系 无法实现智能的负载分担和均衡 因此 决定采用统一的无线控制器对 AP 进行统一管理 AC FIT AP 瘦 AP 的组网方 21 29 式 这样可以大大减少维护管理工作量 能实现无缝漫游和负载分担 此次 XX 园区三张网络 内网 外网 智能网 分别设计一台无线控制器 WX5510E 提 供 8 个千兆 comb 口 和 2 个万兆接口 整机支持 512 个 AP 接入能力 本次每台配置 128 个 AP 接入授权 EWP WX5510E 无线控制器 WX5510E 采用下列部署方式 集中式控制 在 XX 园区保障中心三楼核心机 房三张网络部署各 1 台无线控制器 集中对 XX 园区各网络内 AP 进行接入控制 无线控制器 支持 N 1 热备 不存在单点故障 AP 分批实施时 AC 可按需扩容 部署方案灵活 多业务无线控制器 WX5510E 集精细的用户控制管理 完善的管理及安全机制 快速漫游 超强的 QoS 及 IPv4 IPv6 等多功能于一体 提供强大的 WLAN 接入控制功能 用户管理 加 密 漫游 AP 管理等功能全部集中到无线控制器上进行 减轻了 AP 负担 在规模越大的网 络上管理越简单 同时无线控制器会自动调节 AP 的工作信道以及发射功率 这样可以简化 整个网络 AP 的管理 提高设备的工作效率 4 2 无线 AP 由于无线 WLAN 采用冲突避免的载波侦听多路访问机制当用户数量多大 用户接入速度 就会受到影响 一般建议每 AP 按照 25 30 户规划为最佳 如果使用双频 AP 则每个频段 能规划 25 30 个用户 在覆盖范围上 一般来说 AP 在室内普通环境下覆盖 30 米 在接入速率上 采用 11N 300M 的 AP 大大超过了传统的无线 AP 接入速率 能够很好 的保证网络数据的高速传输 针对园区各功能区域的无线场景 建议吸顶放装型 AP EWP WA2620i AGN FIT 和面板 AP EWP WA2610H GN FIT 正对会议室 过道 咖啡厅等采用放装型 AP 对于办公室 接待中 心采用面板型 AP 22 29 放装 AWA2620 面板 AP WA2610H GN 吸顶放装示意图吸顶放装示意图 AP 内置终端智能感知型天线 直接吸顶安装于天花板即可 无需外接 天线 面板面板 AP 安装示意图安装示意图 5 步 安装一个 AP 只需 3 5 分钟 WA2610H GN 采用国际标准的插座安装方法进行设计 和其他开关面板一样 更换一个 面板式 AP 只需要简单的 5 个步骤 总耗时不超过 5 分钟 可以极大的加快客户部署无线网 络的速度 WA2610H GN 之 5 步安装方法 23 29 4 3 POE 供电 接入交换机采用支持 POE 供电的交换机 可提供最大 24 口 POE 供电 POE 接入交换机 通过光纤与各自楼栋汇聚交换机互联 本次选用 H3C LS S5110 28P PWR 作为 AP 的数据接入 和远程供电设备 LS S5110 28P PWR 提供 24 个 10 100 1000Base T 以太网端口 4 个 1000Base X 以太网端口 提供 370W POE 输出能力 满足 24 个千兆电口同时 POE 供电 LS S5110 28P PWR POE 交换机 PoE 交换机在无线部署工程中具有非常明显的优势 具体如下 简化安装 降低成本 不需为每个网络设备单独提供数据和电力线缆 灵活性提高 网络装置可被安装在任何位置 而不需靠近一个已存在的电源输出口 可靠性增强 有 SNMP 能力的 PoE 装置 可实施远程检测和控制 能有效地处理或 修理装置的耗电量和 或 失效故障 交换机通过以太网线来汇聚 AP 的流量 同时为 AP 提供电源 这样可以简化布线 部署美观 同时减少故障点 提高网络的可靠性 根据 XX 园区实际情况 在每栋楼部署相应的 POE 交换机对 AP 进行 POE 供电 4 4 无线网管运维 为了对 XX 园区网的无线网络 有线网络等设备进行统一有效的管理 能够实时监控网 络设备的运行状况 网络拓扑结构的变化等网络问题 所有在本次的 XX 集团园区无线网络 建设中拟配置智能网络管理系统 该智能管理系统平台实现网络资源 用户和业务的融合管 理 提供基本的网络资源管理 拓扑管理 故障管理 性能管理 用户管理及系统安全管理 更科学合理的规划和管理网络 实现对包括交换机 无线 AP 无线控制器的统一管理 24 29 针对无线运维管理 本次配置三张网各配置一套 H3C WSM 无线运维管理 实现整个园区 无线网络的统一管理 对于网络中的 AC FAT AP FIT AP 移动终端 POE 交换机等无 线设备与有线设备进行一体化集中管理 全网设备信息和状态一目了然 网络资源通过多种 视图进行查看 视图内分组管理 将规模巨大的无线接入设备有效组织 便于管理员维护 4 5 无线用户认证 XX 园区无线用户包括两部分 内部办公人员和外来办事人员 本次三张网络各配置一 套 EIA 终端智能接入 25 29 针对内部用户 采用 MAC 地址认证 职工采用分配固定帐号 并可实现终端 MAC 地址和 IP 地址等多元素的绑定 防止非法用户的访问内部网络 针对访客 系统提供临时接入账号的访客管理功能 访客管理员可创建来宾账号 或访 客通过自助系统登记相关信息 并申请访客接入网络服务 通过后台管理批准的访客账号 并以短信方式通知访客帐号和密码 之后可访问内部网络 该账号将在超过保留时长后失效 当用户接入网络后 可强化对用户接入的管理 基于用户的权限控制策略 可以为不同用户定制不同网络访问权限 可以控制用户的上网带宽 QoS 限制用户同时在线数 禁止用户设置和使用代理 服务器 有效防止个别用户对网络资源的过度占用 支持最大闲置时长限制 可以实现对用户 ACL VLAN 的控制 限制用户对内部敏感服务器和外部非法网站 的访问 可以限制用户 IP 地址分配策略 防止 IP 地址盗用和冲突