企业网络信息平台整体解决方案报告书建议书.doc

WORD资料 下载可编辑企业网络信息平台整体解决方案建议书目录第一章 现状和需求分析41.1 项目建设目标4第二章 主网总体设计52.1 网络规划方案5第三章 无线设计93.1 无线应用建设方案93.2 NETGEAR智能无线网络的发展163.3 NETGEAR智能无线网络功能特色203.4 以太网PoE供电交换机24第四章 数据存储安全284.1 数据安全需求28第五章 网络管理设计365.1 智能管理平台36第六章 产品介绍资料396.1 NETGEAR XCM8806高端多业务路由交换机396.1.1 产品概述396.1.2 产品特点406.1.3 产品规格446.1.4 应用案例466.2 NETGEAR GSM7328FS汇聚路由交换机486.2.1 产品概述486.2.3 产品特点486.2.3 产品规格496.3 NETGEAR FSM726V3接入安全交换机536.3.1 产品概述536.3.2 产品特点536.3.3 产品规格546.4 NETGEAR WC7520无线控制器586.4.1 产品概述586.4.2 产品特点586.4.3 产品规格606.5 NETGEAR WNAP320企业级300M无线AP606.5.1 产品概述616.5.2 产品特点616.5.3 产品规格636.6 NETGEAR ReadyNAS3200 IP网络存储656.6.1 产品概述656.6.2 产品特点666.6.3 产品规格68 第一章 现状和需求分析1.1 项目建设目标此次建设为XX企业网络信息化工程。本期工程的目标是建设一个国内先进的企业网络系统，建设目标如下:1、XX企业网络主要用作办公数据的传输，对网络数据传输可靠性、安全性和高效率以及带宽有很高的要求，本方案的总体设计思想是按照信息网络的应用需求，力求为信息所提供一个安全、先进、灵活，高带宽、高可靠性的网络平台。使得能够基于这个平台，实现安全高速的数据共享，尽可能的加快数据传输流程，提高传输效率；并为今后新的业务发展，迅速推出相应的新业务打好良好的基础。为保证多种基于宽带的服务和新型IP技术服务，建立一个可靠、安全、高速的信息网络平台，利于相关服务工作更好的开展.2、XX企业网络主要承载业务是OA、现代物流、财务数据传输等，该网络主要实现业务系统的硬件平台，对各分业务系统进行综合管理，实施有效安全管理，通过计算机网络子系统的建设，提供XX企业内部一个安全、可靠、高效率通信数据传输平台。第二章 主网总体设计XX企业网络系统主要承载业务数据传输等，该网络在部署有线网络同时还需要重点考虑将来扩容和带宽，满足对数据网络接入的需求。XX企业网络主要承载业务数据传输和Internet业务。网络系统总体设计包含网络设计、网络可靠冗余性设计以及产品简介。2.1 网络规划方案2.1.1基础架构XX企业网络由核心区、接入区、无线管理区、DMZ等节点组成，业务流以从核心层到各分节点的纵向流为主，根据业务走向，最适合的网络模型是星型组网。网络拓扑结构如下：在设计中，充分考虑整网的安全性、可靠性和网络性能以及网络易管理、可维护性。整网采用千兆骨干，百兆到桌面的设计思想。核心采用一台高端路由交换机保证证网数据的高速转发(满足今后核心设备冗余扩展功能)。 各楼宇汇聚接入交换机采用光纤连接核心交换机。边界防护及路由转发通过高性能VPN防火墙接入互联网。2.1.2核心区核心区部署一台NETGEAR 8800系列高端路由交换机，高端引擎的处理能力充分保证核心层的处理稳定性，为业务数据的传输提供可靠稳定的核心平台。并可以在其上部署多种安全板卡，以减少增加安全功能对整网性能产生的负面影响。NETGEAR 8800系列6槽和10槽机箱式交换机是在简化网络基础架构基础上，用以建立核心、汇聚和智能边缘模块的解决方案产品。可选的连接模块包括千兆铜缆，千兆光纤，万兆光纤等，同时还可以增加802.3af以太网供电PoE模块。每个I/O业务插槽都能实现双向无阻塞本地交换，充足的带宽可以提供高密度的线速连接。冗余，负载分担的电源模块以及冗余的冷却风扇，有助于建立一个强大的高可用性的硬件系统。NETGEAR的操作系统里众多协议如OSPF，STP里的每一个进程与其他进程都是独立运行来相互保护的，这种使用抢占式多任务处理的方式提高了系统的完整性并从本质上抵御了DoS攻击。NETGEAR XCM8800系列拥有完整的二层/三层/四层聚合的特性集，包括IPv6，还有可选的为关键核心应用的高级核心许可证。这系列机箱式交换机降低了管理的开销、操作的复杂性和建设基础架构的费用，支持广泛的各式应用。中心机房：核心交换机配置48个千兆电口，24个千兆光口，采用多电源设计。2.1.3各楼宇汇聚各楼宇汇聚层设备主要实现楼宇数据的汇聚，同时对各楼宇业务VLAN进行终结，承担各区域数据的转发，减轻核心的压力，这里采用网件的全千兆三层交换机GSM7328FS，千兆的线路处理能力保证各办公区域业务数据的高速处理，三层特性可以将业务终结在汇聚层，减轻核心的压力。办公楼：汇聚交换机通过千兆光纤链路同核心交换机互连。研发楼：汇聚交换机通过千兆光纤链路同核心交换机互连。2.1.4分级接入区在楼层节点部署百兆接入千兆上行的交换机，主要用来作为各楼层的接入设备。可以在接入层划分VLAN，隔绝广播风暴。并且交换机具备的防ARP攻击的安全特性提高接入层的安全性。在POE接入交换机上连接无线AP，实现无线网络的接入。可针对采用胖瘦AP的方式进行接入。接入交换机满足不同区域信息节点配有16 24 48口接入交换机设备满足多用户安全接入。2.1.5出口区出口区配置一台防火墙和一台上网行为管理网关，防火墙主要针对L2L4等进行访问控制，通俗来说，就是基于MAC地址、VLAN、IP、端口等元素进行网络层的访问控制，比如针对Web服务器，一般只允许80端口与外部通信。在公司出口部署一台上网行为管理网关，能够保证外网数据高速流畅的连接Internet，并保证内部用户的上网行为规范，威胁页面过滤，用户流量控制管理，用户上网信息流量分析及审计 2.1.6VLAN、IP地址划分建议Vlan划分：建议更具不同的业务部门进行VLAN规划，使业务相对独立，这样可以保证在数据安全的同时，又充分限制的接入层的广播，充分利用网络的带宽，提高网络的处理能力。建议根据用户部门不同，划分不同VLAN，VLAN可以选择终结在汇聚或者核心交换机上，在核心上配置路由策略来保证VLAN的互通。例如：服务器区一个或几个VLAN，部门一一个VLAN，部门二一个VLAN，等等。IP地址划分：考虑到现在整个公司已经在使用业务系统，建议服务器IP地址保持不变。其他每个VLAN对应一组地址，VLAN中人数少的话，可考虑采用变长掩码。对于互联地址，建议单独采用一个和大网地址不同的网段地址，例如：172.16.的私网地址。2.1.7路由部署建议规划的网络采用分层设计，网络中各层职能清楚，建议在网络接入数量较少的情况下采用在核心部署静态路由的方式，核心做整体路由转发，随着今后网络的不断发展可以对整网部署OSPF以提高路由效率。第三章 无线设计3.1 无线应用建设方案3.1.1网件背景作为一个商业/企业WLAN网络整体解决方案;无论在不同场地环境下部署的无线AP,还是在不同的需求下的无线应用, 都应是随时可以在网络中心的进行控制和管理; 无论设计采用何种的AP的布放方式,何种网络组网架构, 目的都是以无线终端的接入和安全策略为实现的, 所以我们可以根据实际应用需求和业务实现的轻重缓急, 分阶段或直接部署无线控制器和无线AP; 既可先以FAT(”胖”) AP的网络结构方式部属,也可以通过软件升级的方式,将FAT(”胖”)转换成FIT(”瘦” ) AP与无线控制器(AC)进行对接(仅需一次升级,以后就可通过AP配置界面进行模式互转),无需改变任何有线网络结构和配置;即可实现WLAN网络的大融合。业绩篇 NETGEAR连续10年全球市场销售份额排名前三; NETGEAR连续10年在北美,欧洲地区市场销售份额排名第一 2010年NETGEAR WLAN全球销售较09年增长了25%.（全球四个用户，其中一个为NETGEAR用户） NETGEAR连续6年在中国地区市场销售份额排名前二位; NETGEAR连续三年在中国电信WLAN市场销售份额排名前二; NETGEAR 802.11gn企业级AP,在中国地区商用无线市场2008 2009 2010年发货量排名第一;NETGEAR全球唯一能够提供全线11n产品方案的厂家！ 通常,用于802.11 WiFi组网的产品有无线适配器，无线接入点，无线网桥，无线控制器等产品，而每种产品种又有不同的接口，规格，功能和型号。 常用的802.11 WiFi组网的解决方案有胖AP解决方案，无线控制器和“瘦”AP解决方案，智能无线控制器和可“胖”“瘦”互转AP的解决方案，室外WDS系统方案等。根据覆盖的场合和使用环境的区别，用户可以自行选择适合自己的无线网络解决方案。 而在以上提及的各种产品类别和众多方案选择中，只有NETGEAR公司能够提供以上所有的解决方案和类别的产品。而在全球的无线设备生产厂商里面，也只有NETGEAR公司能够提供完整的802.11n系列产品。这离不开NETGEAR成立15年来一直对无线网络技术的执着和追求，使得今天，我们拥有了世界上最丰富的802.11n无线网络产品家族。而和其它厂家相比，很多厂家都仅仅能专注于一种或者两种的无线网络解决方案，有很多厂家虽然有强大的无线AP但却不能提供合适的适配器，或者他们有强大的无线控制器却不能提供相应标准的瘦AP等等，因此在使用这些产品进行无线网络方案的实施的时候，常常会出现网络设备不兼容或者因为缺乏相关的设备而无法完成测试等尴尬的场面，既影响了方案质量，也导致了方案实施的延误。 因此，NETGEAR在此强烈建议我们的代理商或者用户，在选择部署802.11n标准的无线网络的时候，必须尽可能地使用同一厂家的产品进行方案设计和实施，以减少因为兼容性带来的操作麻烦。3.1.2项目需求（XX企业介绍和概况,略）此次无线局域网项目是针对XX企业新建车间建筑楼内的办公区域,进行无线局域网的覆盖，以满足现在和未来可能的数据、语音和视频多方面的网络应用需求。根据目前与XX企业相关人员的沟通和对现场场地环境的勘察和综合分析，方案所设计的无线网络将提供高速、稳定、安全的无线信号覆盖接入,未来覆盖区域可在此基础上轻易扩展到整个建筑内的办公区域、其他建筑内办公区域,以及室外”热点”公共区域等全部厂区的无线覆盖.此次的方案设计将根据无线网络的高速接入和安全特性,设计针对无线覆盖所涉及的全方面,多层次的和应用相关的技术,来介绍如何实现随时随地的网络资源共享访问，提供安全，可靠的无线访问接入控制和管理. 所设计的无线网络平台将是一个多业务,多应用的平台,可以支持数据和语音的同时接入. 3.1.3无线AP部署设计针对此次XX企业预建设的无线局域网，我们随相关领导进行了先期的技术谈论,现场勘察,和预规划设计,由于无线网络将按分期分步骤实施,未来逐步扩展至全厂的设想, 首次需要实现无线覆盖的区域有: 建筑1楼（1至4层）至建筑2楼（1至4层）的相关办公区域，而且需要考虑移动终端实际同时接入的无线网络用户数量, 所以在方案设计中需要考虑到无线设备的性能和无线网络的造价及可扩展性.根据对厂房建筑楼的建筑材料,建筑结构和周边环境的观测和分析,我们建议在指定位置部署无线接入点AP来提供相关区域的无线覆盖.AP摆放位置如下所示: 建筑1楼共四层架构成”I”字型双面楼，考虑到每层房间比较多采用4台WNAP210 11N企业级AP ，合计16台WNAP210；建筑2楼共四层架构成”I”字型双面楼，考虑到每层房间比较多采用4台WNAP210 11N企业级AP ，合计16台WNAP210；建筑1楼一至四层AP示意图(图略)建筑2楼一至四层AP示意图(图略)考虑部署AP位置与网卡接收位置无线信号穿墙能力不超过3堵，包括带机量（15-20台左右）的限定来选着AP类型及数量。NETGEAR全网统一无线架构AP示意图综上所述,预计需无线覆盖的设备数目总计为32台无线AP WNAP210,对相关办公区域进行无线信号覆盖。2台具有以太网供电特性的PoE交换机,提供所有AP的以太网线供电和网络连接；另外考虑到由于现场实际情况可能的变化,可以另外准备2台无线AP,作为实际无线项目实施后,个别区域因受环境的影响,信号不理想的情况的补充方案. (AP数量见下表)楼宇楼层AP数量POE交换机数量建筑1楼1层4台2层4台13层4台4层4台建筑2楼1层4台2层4台13层4台4层4台补充2台合计3423.1.4无线网络方案设备推荐针对办公区域大面积的无线网络实施，我们必须重点考虑无线局域网安全认证/传输的必要性和可靠性。在此，我们在方案设计中可推荐放置一台的NETGEAR WC7520智能无线控制器产品,FAT/FIT一体型无线AP WNDAP210,在基于标准的，开放式的网络架构上提供理想的，广泛的，安全的，可管理的，全局性的无线局域网部属的安全支持。NETGEAR智能无线控制器WC7520单台最大支持50个AP管理,通过3个单位的堆叠，实现同时能够支持多达150个IEEE 802.11n接入点的管理,WC7520控制器提供了集中式的无线管理,分布式的AP部署，综合了无线的灵活性，强大高端的安全性能，丰富的管理应用如二层/三层的快速漫游、captive portal客人访问认证、支持Wi-Fi Voice。最后，WC7520提供了企业级的接入和安全的无线局域网连接。推荐方案配置（参见上图）：1WC7520智能无线控制器 企业级的控制和冗余(N+1) 冗余+堆叠3台,最大可支持 150APs 快速 L2/L3漫游(FRS), VoWi-Fi SVP QoS 负载均衡,速率限制 Radius,LDAP或AD域认证 Web Portal, 802.1x,MAC认证 RF自动调谐,无线”热图” 单台最大管理50APs(起步20-APs) 支持WNDAP350,WNAP210 AP2GS724TP 全千兆802.3af交换机GS724TP/GS748TP GS724TP:24 10/100/1000M 802.3af PoE端口;2个SFP GBIC端口 背板处理性能:48Gbps 最大PoE供电功率:192w3WNAP210/320 802.11N无线AP LAN:1x10/100/1000M RJ45端口(支持PoE) 内置3x3天线阵列 工作频率:2.4GHz 输出功率:最高20dbm(可调) Wi-Fi 802.11b/g/n/WPA2认证 企业级下一代802.11n 无线AP 更高300Mbps无线连接速率 支持802.11b/g/n 支持802.11i,WPA2,802.1x,欺诈AP检测, 多SSID和802.1Q VLAN,最大用户数限制 支持WMM(Qos)特性 支持WDS无线桥接 支持802.3af远程以太网线供电 支持SNMP协议;CLI和WEB配置3.2 NETGEAR智能无线网络的发展3.2.1何为新一代（第三代）智能无线控制器由Wi-Fi联盟为IEEE定义的第一个无线局域网标准802.11b,自1997年诞生以来，发展到今天已经相继发布了802.11g/802.11a等三个版本，而以此为基础的无线网络设备终端和解决方案也经历了不同阶段的发展。无线局域网技术及其相关的技术和解决方案从诞生起到今天，经历了三个重要的发展阶段。如下图：图:无线网络技术发展三部曲从图上不难看出，无线局域网在经历着一个连接速度从低到高，管理方式从分散到集中的一个演变过程。而在实际的应用中，不同的用户对速度和管理要求的水平都不尽相同。因此如何在产品五花八门的市场里选择一套适合自己的无线网络产品解决方案，将会成为方案讨论的重点。下面，我们将重点向大家介绍无线局域网技术和产品发展的三个阶段，以便让大家结合自己的实际使用要求，找出适合自己的解决方案。 在本章节讨论中，我们着重于讨论，第二代FIT AP解决方案(集中转发无线控制器)和新一代（第三代）FIT AP解决方案(智能分布式转发的无线控制器)的主要区别。第二代FIT(“瘦”)AP和无线控制器的解决方案，当FIT(“瘦”)AP接收到无线终端在空间传播到AP上的数据流的时候，FIT (“瘦”)AP会以加密隧道的方式把数据流传送到无线控制器再集中转发，同时无线控制器承担所有的高级软件管理功能，这些功能包括加密，策略和用户的管理等；控制信令同样通过隧道的方式统一下发到“瘦”AP上并执行。显然这助于无线控制器对WLAN进行集中的管理。但随着无线网络规模的增加，这些汇聚到无线控制器的流量是非常的大的。比如一些用户需要进行大型园区的无线网络部署或者跨园区的无线网络部署，为了提高无线控制器和分布在各地的FIT“瘦”AP之间的通讯带宽，用户不得不付出购买万兆网络适配器或者租用高带宽的电信线路的高昂代价。第三代智能无线控制器可以帮助用户解决因为所有的无线终端的流量都要汇聚到无线控制器进行集中转发的问题。如下图：图：第三代智能无线控制器部署解决方案 第三代智能WLAN解决方案一般由以下设备组成：1） 智能无线控制器（支持11N），2） 可FAT（“胖”）/FIT（“瘦”）转换的AP3） Radius验证用户服务器（可选ACS1000）最后，关键的设备是智能的无线控制器和可“胖”“瘦”转换的无线接入点。第三代的智能WLAN解决方案除了支持第二代无线控制器和“瘦”AP解决方案的所有特性和功能外还具有以下特点：集中分布式转发,更加灵活多样的VOWLAN部署和“胖”“瘦”AP互转等增强功能，其中分布式转发功能则成为支持日前发布的11N无线网络标准的关键技术。从而让产品解决方案更加灵活和跟更加适合大中型和分布式园区的部署。3.2.2新一代(第三代)智能控制器的优势分析通过上面的章节对无线局域网组网结构的简单介绍，现在我们分别对三中常见的无线局域网组网技术的优缺点从网络设计，安装，配置，安全性，策略性和可实现功能几个方面进行对比。如下表： “胖“AP方案无线控制器“瘦”AP方案WC7520智能无线控制器“瘦“AP方案优势 小型无线网络部署 安装简便 部署灵活 建设成本低 产品之间兼容性强 大中型无线网络部署 灵活的组网方式 集中的控制和管理 AP“零”配置 智能的RF管理 强大的漫游功能支持 负载均衡 无线终端定位 统一的认证和计费策略 统一的接入安全控制策略 Qos支持，适合WIFI语音及关键应用 N+1无线控制器冗余 统一的IDS部署 园区和分布式园区高速无线网络部署 优秀的扩展特性，包括可扩展到11N模式 AP“零”配置 “胖”/“瘦”AP互转 智能的RF管理 智能分布式转发 集中的控制和管理 强大的漫游功能支持 负载均衡 快速定位故障点和入侵检测 统一的接入和安全策略控制 优化WIFI语音通讯 低成本应急冗余方案 N+1无线控制器冗余 统一的IDS部署 设备间兼容性增强缺点 面对众多的无线接入点时，缺乏集中的配置管理手段 缺乏智能的RF管理，难以进行RF设置 WLAN容量收到可用信道资源限制 不支持快速漫游 无法统一部署全局的安全和接入策略 缺乏统一的加密和安全控制策略 过于依赖无线控制器工作 WLAN流量君必须经过无线控制器集中转发，容易造成网络瓶颈 不同厂商设备之间兼容性差 高成本的冗余方案 建网成本高 建网成本高在对比表格中，我们不难看到，第一代“胖”AP解决方案虽然安装和部署简单和拥有较低的成本，但却缺乏集中的管理和策略控制，在功能实现上也比较逊色，因此只适合在小规模或对安全策略不敏感的无线局域网络使用，而第二代无线控制器和“瘦”AP解决方案则因拥有集中的管理和统一的安全控制策略和多种定制功能而更加适合在中型或者大型规模的无线局地域网络里面使用，但其对无线控制器的过份依赖而导致的流量集中转发和设备兼容性差的问题又使其存在一定的局限性，减低了无线网络的可扩展。而第三代智能无线控制器解决方案在保留原来的无线控制器解决方案的所有优点的前提下，通过“胖”“瘦”AP互专和集中分布的流量转发两种核心技术大大提高了无线网络解决方案的可扩展性和兼容性，使其在更加适合大型园区和分布式园区部署的基础上，保持了良好的性能价格比。3.3 NETGEAR智能无线网络功能特色3.3.1NETGEAR智能无线控制器的功能特点 AP“零”配置的集中式管理通过NETGEAR 智能无线控制器对AP间实现集中管理和自动配置。通过使用该功能，智能无线控制器可以将其所管理AP的配置文件自动下载到AP上。这样，当在网络中增加新的AP、网络管理者只需在无线控制器上进行统一操作即可轻松完成相应工作,对于更换坏的AP,仅需要直接替换,无需在无线控制器上再配置。这将极大的减轻网络维护人员的管理工作量，并向用户提供即插即用的WLAN解决方案。 智能的分布式数据本地转发基于业界领先的智能分布式WLAN交换特性，NETGEAR智能无线控制器支持分布式架构下的AP本地数据转发的工作模式;凭借着优异的集中管理和分布式体系架构,可以提供无线网络最好的802.11N处理性能。为了快速处理,本地传输是在AP处自动快速交换,当L3层漫游通信时,是在控制器上使用先进的数据控制处理.适时的应用,象VoWi-Fi需求跨IP子网间/跨越VLAN间的漫游; 另外象ProSafe WC7520还可以凭借加密的隧道提供了企业级的快速漫游(FRS),不会影响L2的处理性能.从而为全802.11n网络部署提供了最切实可行的解决方案。 智能射频管理智能的射频管理功能，面对WLAN稀缺的信道资源，能够实时监测周边使用环境，自动的配置所有无线AP射频参数，调整AP的发射功率水平、信道等，尽可能的规避相同或相近频道的干扰，并且这是个持续的过程，保证了每个AP都能在最佳的无线信道上用最合适的发射功率提供服务。智能射频管理还能起到无线网络自愈的作用。当某个AP出现故障时，无线控制器能实时感知该区域的无线覆盖盲区，并立即通知故障AP周围的AP，通过智能射频管理，自动的提高周围AP的发射功率，以达到减少或消除无线覆盖盲区的作用。 负载均衡动态的负载均衡机制避免了多用户连到同一台AP上造成的性能瓶颈。可以根据无线用户数量,无线流量或带宽利用率,以及基于信号强度来智能的将负荷较重AP上的部分用户转移到其他AP上去，使得各个AP上的负载达到一个相对均衡的状态，保证了所有无线用户的使用体验。 全面的端到端安全具备强大的安全特性，在无线用户接入方面可提供基于Web Portal, MAC、802.1X、Guest 临时帐号等多种接入认证方式及严格的用户准入控制策略；当通过内置的portal认证功能时,可以选择2种实现方法，常规模式或者自认证模式。通常我们为企业内部人员,使用常规模式，管理员可以通过WEB图形化界面为某个用户创建一个合法身份帐号，无线客户端输入用户名和密码时，WC7520控制器就会进行portal认证，认证通过后，用户可以进行权限之内的网络访问。另外一种方式,适合用于临时访客的临时性的无线网络访问, 当使用自认证模式时，客人可以通过自己注册身份帐号访问网络，此类帐号一般有访问控制的局限性,比如只能访问互联网或收邮件, WC7520控制器会为此类客人进行portal认证，从而防止客人访问到企业网络中的敏感数据。能够支持客户活动日志。在数据加密方面WC7520可以提供基于802.11i安全特性。内置的非法AP检测可查觉并抑制网络环境中存在的Rogue AP及潜在威胁,区分非法AP的分类（善意的或恶意的）;安全参数的配置还包括:多SSID、802.1Q VLAN 、V 802.1i、ACLs, RADIUS协议等，支持第三方软件执行验证和计费系统。另外,强大的RF信号预定开/关时间，可以根据时间计划开启/关闭无线AP的信号发射,是无线网络在指定的非营业时间完全无法使用。异常流量检测和告警的功能，日志记录、分析、自动备份等功能,可提供更为完善和安全的WLAN网络应用环境; 多种认证数据库支持由于目前许多企业办公室,都会拥有企业自己的Windows AD服务器, LDAP服务器,或第三方的Radius数据库, 作为无线网络的集中统一身份认证中心, WC7520具有基于用户验证的安全特性，可以支持比如RADIUS、LDAP(活动目录),Windows AD和内/部外部AAA服务器等众多功能，WC7520智能无线控制器真正的实现了集中化的接入安全和控制特性. 高可靠的N+1实时备份NETGEAR智能无线控制器支持N+1模式的冗余适时备份功能，WC7520最多支持3+1,或3+2的冗余备份。当一组中的某一台无线控制器损坏/故障时，在其下连接的所有AP将无缝的切换到备份的无线控制器中，被切换的无线控制器下连接的所有客户端将无中断的继续工作和访问。 “永远在线”的智能无线网络核心网络设备的可靠性和投资费用往往是成反比的, 并不是所有用户都舍得在核心层所有设备上投入冗余的方案, 无线控制器管理和监控着所有部属的无线AP和客户端设备.万一核心控制器设备损坏,或者和核心交换机之间的主干线路意外中断, 那么对于绝大部分的无线控制器厂商的产品而言,意味的就是无线网络的瘫痪. NETGEAR智能无线控制器具有丰富的灾备方案. “永远在线”就是其中的一种备份方案, 它可以在NETGEAR ”胖”/”瘦”一体型AP里做好预设置, 当AC损坏或到AP之间的链路中断时, NETGEAR AP将自动从”瘦”AP的AC管理模式下,切换到”胖”AP工作模式下, 预设置的内容包括SSID, 和不同SSID对应上连核心/汇聚交换机的802.1Q VLAN; 当AC修复好或链路恢复正常后, NETGEAR将由”胖”AP模式下,自动切换成”瘦”AP被AC统一接管和监控; 快速漫游和WIFI语音NETGEAR WC7520智能无线控制器支持跨VLAN和子网，包括802.11i预认证和快速漫游支持（FRS）的快速机制。快速的无缝的L2/L3漫游完全可以满足视屏、语音以及无线语音通讯等延迟敏感应用需要。WMM and Spectralink SVP QoS 可以支持Wi-Fi语音的优先级别设置, 最小化Wi-Fi语音传输的时延，提高AP的接入终端容量，加速漫游切换时间,尤其语音的漫游,它会比一般的数据移动传输更有保证。 网管软件NETGAER智能无线控制器内置图形化的WEB界面的网络管理，界面友好、功能丰富、操作简单，使网络管理者能在最短的时间内掌握无线网络的基本配置和管理。另外内置的网管功能,还可以提供众多强大的无线网络管理功能，其中包括AP的热图、批量配置、管理和告警等，实现针对无线覆盖空间内的射频扫描、非法接入点监听等安全功能。并对设备提供实时性能数据的查看功能，使用户了解当前网络运行的基本情况和性能状态，从而预防网络事故的发生，预测网络运行状态，有助于用户对网络的管理运营进行合理的规划。3.4 以太网PoE供电交换机PoE (Power Over Ethernet) 以太网供电这项创新的技术，指的是现有的以太网CAT-5布线基础架构在不用作任何改动的情况下就能保证在为如IP电话机、无线局域网接入点AP、安全网络摄像机以及其他一些基于IP的终端传输数据信号的同时，还能为此类设备提供直流供电的能力。PoE技术用一条通用以太网电缆同时传输以太网信号和直流电源，将电源和数据集成在同一有线系统当中，在确保现有结构化布线安全的同时保证了现有网络的正常运作。大部分情况下，802.3af PoE的供电端输出端口在非屏蔽的双绞线上输出4457V的直流电压、350400mA的直流电流，为一般功耗在15.4W以下的设备提供以太网供电。而802.3at PoE供电输出端口,每端口可支持30W,未来可支持60W-100w电力; 典型情况下，一个IP电话机的功耗约为35W，一个无线局域网访问接入点AP的功耗约为612W，一个网络安全摄像机设备的功耗约为1012W。一个典型的PoE以太网供电的连接示意图如下图一所示：3.4.1PoE以太网供电的好处PoE以太网供电为用户带来的好处是显而易见的，将在未来几年内受到用户的大力欢迎。 节约成本。因为它只需要安装和支持一条而不是两条电缆。一个AC电源接口的价格大约为100300美元，许多带电设备，例如视频监视摄像机等，都需要安装在难以部署AC电源的地方。随着与以太网相连的设备的增加，如果无需为数百或数千台设备提供本地电源，将大大降低部署成本，并简化其可管理性。 它易于安装和管理。客户能够自动、安全地在网络上混用原有设备和PoE设备，能够与现有以太网电缆共存。 它安全。因为PoE供电端设备只会为需要供电的设备供电。只有连接了需要供电的设备，以太网电缆才会有电压存在，因而消除了线路上漏电的风险。 它得于网络设备的管理。因为当远端设备与网络相连后，将能够远程控制、重配或重设。更多增强的应用。随着IEEE 802.3af标准的确立，其他大量的应用也将快速涌现出来，包括蓝牙接入点、灯光工作、网络打印机、IP电话机、Web摄像机、无线网桥、门禁读卡机与监测系统等。用户在当前的以太网设备上融合新的供电装置，就可以在现有的网线上提供48v直流电源，降低了网络建设的总成本，并且保护了投资。3.4.2NETGEAR PoE以太网交换机列表交换机型号交换机描述PoE端口PoE功率FS108P8 个10/100M端口的非网管交换机14 端口32WFS108Pv28 个10/100M端口的非网管交换机14 端口60WFS116P16 个10/100M端口的非网管交换机18 端口55WFS726TP24个10/100M端口,2个SFP GBIC组合千兆端口,智能网管交换机1-12端口100WFS728TP24个10/100M端口,2个SFP GBIC组合千兆端口,智能网管交换机1-24端口190WGS108P8个10/100/1000M端口非网管交换机14 端口50WGS110TP8个10/100/1000M端口,2个SFP GBIC千兆端口,智能网管交换机18端口60WGS724TP24 个10/100/1000M端口的智能网管交换机12 4 端口192WGS748TP48个10/100/1000M端口的智能网管交换机1 48 端口384WGS724TPS24个10/100/1000M端口，2对组合千兆光纤端口的智能网管交换机;可堆叠1 24 端口192WGS748TPS48个10/100/1000M端口，2对组合千兆光纤端口的智能网管交换机;可堆叠1-48端口384WGSM7228PS24个10/100/1000M端口，4个千兆光纤端口,2个10G SFP+2个10G端口插槽; 全网管交换机;可堆叠1-24端口1-8端口(802.3at)190W240WGSM7252PS48个10/100/1000M端口，4个千兆光纤端口,2个10G SFP+2个10G端口插槽;全网管交换机;可堆叠1-48端口1-8端口(802.3at)380W240W第四章 数据存储安全4.1 数据安全需求随着数据越来越被重视，保护数据的解决方案也就很多，但针对不同行业不同数据对可靠性的要求，我们应该如何来定制最适合的备份与恢复解决方案呢？数据保护需求分析：以一所高校为例，现有的应用及大致需求如下：1、 老校区所有应用系统共十几个，将所有的数据集中存储备份在存储数据中心。2、 老校区需要高速存储系统支持。3、 老校区所有数据需要在本地做全部同步式备份。4、 在另一新校区中建立老校区数据中心的灾难备份中心。5、 据初步统计，众多应用系统中共有oracle服务器3台，sql服务器3台，linux服务器4台6、 据初步统计，大约有5台重要服务器需要做P2V（物理机到虚拟机转换）备份方案，并要求灾难发生时能快速V2P（虚拟机转换到物理机）恢复。7、 老校区本地数据备份到本地另一存储空间，有部分数据需要实现CDP级别备份，剩下所有实现基于时间策略的增量备份即可。几十个应用系统大致涵盖了如下类型的服务器：1、 数据库服务器2、 OA服务器等3、 其他应用服务器4、 邮件服务器5、 校园一卡通系统服务器6、 教学课件资源的存储保护目前，所有的服务器均采用机内硬盘存储，没有为数据提供保护的手段。数据备份等应用依托于单机分散存储的环境运行。整体数据备份保护方案设计在各应用系统服务器数据保护方案建设中，建议配置与NETGEAR有紧密合作的Symantec备份恢复解决方案Bcakup EXEC，在该校园数据中心备份方案中，考虑3台oracel数据库服务器和3台sql数据库服务器及文件被打开执行备份的成功率，主要配置有如下组件：1、 Windows系统主备份服务器2、 Oracle数据库备份Agent3、 SQL数据库备份Agent4、 打开文件备份功能选件在各项Symantec BE备份功能与RALUS for ReadyNAS配合工作下，可以实现下图描述的服务器系统数据备份流程：另外，考虑到部分重要服务器在灾难发生时的恢复问题，建议配置NETGEAR全球领先的P2V及V2P备份恢复解决方案，该方案结合VMware ESX(i)可以对重要服务器实现以下全球领先的方案：1、 裸机恢复解决方案传统的备份机制大都是以数据保护为核心，而忽略了系统及生产服务的保护，当系统发生灾难时，您必须准备好所有的系统设置信息，并且耗费时间重新安装及设定系统，然后才能进行数据的恢复，最后生产才有可能正常运行。实际上我们需要保护的数据有下图所示的各种类型：我们创新的裸机恢复解决方案以快速恢复业务生产为前提，完整保护系统及业务数据，在系统发生灾难时，依据独创的iSCSI远程启动技术，可以将系统及业务直接在ReadyAS存储设备上运行，然后可以在业务运行的情况下将ReadyNAS设备备份的系统及业务数据恢复到原业务主机上。另外，如果原生产主机设备根本就无法开机了，仍然可以采用最新的P2V（物理机到虚拟机转换）将备份在ReadyNAS存储设备的系统及业务数据直接转换为虚拟机平台可以启动的整体数据，保证系统在虚拟机上启动系统并运行业务，如下图所示三种情况下，系统及业务的快速恢复方案。NETGEAR裸机恢复解决方案优势：l 提供系统、应用及数据保护于一体l 提供一个基于主机的数据复制方案l 采用文件数据的完整性和一致性传输的方式l 针对卷进行复制备份l 基于SAN架构，提供LAN-free备份模式l 充分结合Microsoft VSS和专业数据库代理，保证文件系统和数据库安全备份l 创新的基于P2V虚拟机启动和iSCSI远程启动方案l ReadyNAS存储完美支持VMWARE虚拟化认证2、 N+1容灾备份解决方案在如今的网络环境中，大都会有多种类型的服务器存在，提供不同类型的服务，这些服务器的业务都需要实施数据保护措施，而意外的情况永远都无法预料，有可能是硬盘损坏，也可能是硬件主板损坏、也可能是人为操作失误或病毒破坏等、也可能一台服务器出故障、也可能是多台服务器同时出故障。针对这些难以预料的意外情况，是否有最为简单的容灾方案呢？NETGEAR推出最新的N+1容灾备份解决方案，不论出现上述哪种意外情况，也不论有几台设备同时出现故障，都可以通过事先部署的一台容灾服务器从ReadyNAS存储设备上将备份的数据启动起来，以最短的时间保证业务正常运行。NETGEAR N+1容灾备份解决方案优势：l 服务器主机系统及业务数据整机CDP备份到ReadyNAS存储设备l 基于数据块的差异备份，确保快速保证数据变化的一致性l 容灾服务器上部署VMWARE ESX(I)平台l 发生灾难时，快速将备份在ReadyNAS上的数据通过P2V（物理主机到虚拟机）转换为容灾服务器可用数据系统及业务数据的恢复可通过V2P（虚拟机到物理主机）在线实现3、 虚拟化远程容灾解决方案（Replicate特色）对于校园数据网络的业务系统容灾光有本地的N+1有时还不够安全，有一些由不可抗力因素造成的业务系统瘫痪可能会导致本地整个机房都无法运行，势必需要在远程异地构建一个容灾中心，在关键时候将关键业务数据及系统进行接管。通常该需求会受到两个方面的限制：数据量大和网络带宽窄。NETGEAR远程容灾解决方案采用创新的CDP、P2V、块差异备份、数据高压缩及UDP优化处理等技术，保证远程容灾实现的快速安全，并且业务的接管可以通过异地虚拟机来实现。NETGEAR虚拟化远程容灾解决方案优势：l 利用本地CDP和在线P2V（真实机到虚拟机转换）技术，虚拟化容灾解决方案把本地服务器的运行环境（系统、应用、数据和系统配置等）复制到容灾中心。l 基于磁盘块差异备份技术，保证传输的数据量尽可能少l 远程容灾中心的所有业务接管都是采用虚拟机来实现l 在WAN中传输最高压缩比可达4:1，并通过UDP优化处理4、 CDP连续数据保护方案（BE CDP连续保护组件）（BE重复删除组件）CDP（Continuous Data Protection）即连续数据保护方案，可在数据发生任何变化时将数据有效地保护起来，CDP技术将过去只有一次数据镜像、备份或副本的数据保护技术，演进为最新的可以有很多个数据镜像、备份或副本的数据保护技术。该技术方案可以保护不同历史时间点的数据副本，而且在原始数据损坏或丢失时，可以在最短时间内进行任意时间点的数据恢复。NETGEAR CDP连续数据保护方案不仅涵盖了各类灾难保护（包括人为故障、病毒、软件故障、硬件故障等灾难），而且能够针对不同主机服务器、数据库、存储的环境提供全面的数据保护，CDP连续数据保护方案可以将RPO（恢复点目标）和RTO（恢复时间目标）降到最低。NETGEAR CDP连续数据保护方案优势：l 基于SAN网络的文件级别的备份l 基于数据块的差异备份，确保快速保证数据变化的一致性l 配合数据库代理，确保数据库数据实时备份l 通过网络中CDP管理服务器管理不同时间点的副本某网络存储优势：1. Gartner调研：NETGEAR 全球第一名（$5K），全球第四名（$25K） 2. NETGEAR存储在上一年增长45%，有2倍的增幅！被誉为企业首选网络存储厂商。 3. 整体存储市场增长约为20%，很明显我们所做的事情是正确的。 4. ReadyNAS企业级产品有三年的质保，我们有高水平的800客服团队！ 5. NETGEAR存储是整体设备费用，无需增加额外的软件服务费用，这个有别于传统的存储厂商。 6. 在安装、维护和管理这些存储产品时，并不需要特别的培训和技巧（存储专利X-RAID在线自动扩展技术）。 7. 相比传统的大的IT公司提供的方案，客户选择ReadyNAS构建虚拟化、备份、容灾的解决方案是可靠的、可负担得起、并且简单的。 8. 通过了VMware, Hyper-V 和Citrix虚拟化认证，拥有Symantec, Acronis. Storage Craft, Veeam 和VizionCore等合作伙伴的支持，还有hybrid（混合云）和在线归档云能够提供给合作伙伴更多的空间，也能提供给用户更多的备份方案。 9. 我们基于云的备份管理集成了快照和安全的远程备份，并且无需任何软件的安装。 10. 专业研发的存储操作系统能够方便移植多种业务系统的功能模块，更方便为用户提供整体服务。 衡量商业企业用户存储产品优点已经不是架构和容量，是设计软体应用方案及值得依赖的稳定性、可靠性。第五章 网络管理设计5.1 智能管理平台NMS智能管理平台是整个NMS智能管理系统的基础管理平台，NMS的各个业务组件都必须安装在这个公用的平台上才能使用。NMS智能管理平台不仅为系统各业务组件的集成提供了包括统一权限控制、SOA框架、统一操作日志管理、统一License控制、分布式安装等基本功能，而且还为用户提供了网络管理的一些基础功能，其中包括操作员管理、拓扑管理、性能管理、告警管理及操作日志管理等。5.1.1基础网络资源管理基础网络资源管理包含对各厂家网络设备的分类和识别；能够通过自动发现和手工添加方式增加网络设备资源；提供对网络设备资源的查找、修改、删除和批量导入和导出功能；支持对设备访问参数的批量配置和校验；支持对设备状态和详细信息的查看，设备的详细信息不仅包含了设备的基本信息、接口信息、性能数据和告警信息，同时还可以在增加其他组件的情况下显示扩展后的业务信息；支持对设备的管理/去管理，接口的管理/