某集团设计研发大厦网络系统设计方案

上海智信世创智能系统集成有限公司 中冶建工设计研发大厦网络平台建设项目设计方案_中冶建工集团设计研发大厦建设项目计算机网络系统设计方案_V3.02012年7月4日目 录第一章 项目背景3第二章 设计原则4第三章 用户需求和设计要求63.1 集团计算机网络系统建设目标63.2 计算机网络点位布局：63.3 设计要求：8第四章 详细设计94.1 计算机网络系统拓扑结构94.2 数据交换设计104.3 路由设计144.4 网络管理144.4.1 简单高效的快速业务部署154.4.2 所见即所得的物理拓扑174.4.3 统一的资源管理184.4.4 建议监控参数184.4.5 网络故障及应急方案194.4.6 网络系统可靠性设计194.4.7 网络节点的可靠性204.4.8 链路可靠性20第五章 无线部署方案215.1 WLAN室内传播模型215.2 AP信号链路损耗计算225.3 AP信号穿透损耗235.4 AP室内覆盖规划235.5 安装要求245.6 方案设计内容25第六章 产品选型276.1 S9300核心交换机276.2 S5700汇聚交换机306.3 S2700接入交换机（培训中心接入使用）326.4 AF1520系列安全网关326.5 WS6603无线接入控制器356.6 WS603SN无线AP366.7 24口POE供电交换机39第七章 配置清单40第一章 项目背景中冶建工集团设计研发大厦位于重庆市大渡口区建桥工业园A区，总用地面积24990，总建筑面积80107.1平方米，主体工程包括一幢集工程设计、技术研发、总部办公和配套设施四大功能为一体的总部大厦，共23层，100米高，附属建筑包括会议中心、餐厅等；其他工程包括培训中心（附属生活服务设施）、健身中心、停车场、食堂等。第二章 设计原则中冶设计研发大厦网络系统平台的设计将会遵循以下的原则： 层次化：中冶设计研发大厦网络系统平台的设计将会遵循层次化的原则，使各个级别的设备及服务均能纳入中冶设计研发大厦整体IT管理平台的管理之中。 模块化：中冶设计研发大厦网络系统平台设计必须实现模块化，各个功能模块相对独立，只有如此才能最符合中冶设计研发大厦的IT实际情况。 简单化：网络系统平台设计的简单化直接关系到网络系统平台运行和维护成本，也是网络系统平台稳定运行的保障。只有操作简单方便，才能易于维护，并具备迅速发现和排除故障的能力。 高可靠：系统的可靠性是网络系统平台健壮和稳定的重要因素之一，所以对网络系统平台的高可靠设计必须考虑全面。 高可用性：网络系统平台必须能够达到并超过业务系统对服务级别的要求。通过多层次的冗余设计，以及平台自身的冗余支持，使得整个网络系统平台能够满足业务系统不间断运行的连接需求，同时也兼顾成本。 安全性：需要考虑网络系统平台数据的完整和安全。网络系统平台需要具有支持整套安全体系实施的能力，以确保员工生产、办公安全。 统一性：中冶设计研发大厦网络系统平台的构造、规划和管理都建立在“一个整体”的基础之上。整体的设计和建设都是基于对中冶设计研发大厦的应用、数据流和用户访问的全面理解。 开放性：网络系统平台建设遵循业界公认的标准制定一个高兼容性网络系统架构，确保设备、技术的互通和互操作性，方便快速部署新的产品和技术，以适应业务的快速增长。 扩展性：网络系统平台在功能、容量、覆盖能力等各方面具有易扩展能力，以适应快速的业务发展和变化的业务需求对网络系统平台的要求。 易管理性：网络系统平台采用分层模块化设计，同时配合整体网络/系统管理，优化网络/系统管理和支持维护。 技术的先进性和成熟性：网络系统平台建设必须具有一定的前瞻性，技术上具有总体先进性，同时考虑到网络系统平台的稳定运行需求，技术选择必须考虑成熟性与先进性相结合。第三章 用户需求和设计要求3.1 集团计算机网络系统建设目标中冶建工集团计算机网络系统主要是以管理信息为主体，连接生产、销售、维护、运营子系统，是一个面向集团的日常业务、立足生产、面向社会，辅助领导决策的计算机信息网络系统。3.2 计算机网络点位布局：集团大厦办公局域分布如右图所示:数据中心机房位于大楼三层，集团总部包括，地下负1层至负3层地下区域，1至5层公共区域，17层至23层办公区域；中冶房地产公司6层至7层；中冶设计院8层至11层；12层至16楼层为对外租赁办公区域（暂不做局域网规划）。大楼共有1802个计算机网络信息点位(见下表)，计算机网络接入点1181个,6、10、20层财务网络57个，备份点420个，无线点72个，信息发布点10个，楼宇控制及设备点62个，其中集团公司477个，集团房地产子公司283个，集团设计院子公司465个；无线AP接入点72个（属于集团总部管理）；另外培训中心共有481个计算机网络接入点。中冶建工集团大厦信息点位表建筑弱电间网络点财务网络备份点无线AP信息发布BA网络备注楼层编号设计研发大厦-3-2-11FD1259422FD23454223FD3201444主机房位于该楼层4FD4405FD511426FD676932427FD77318428FD812547439FD9135554310FD107313224311FD11132554312FD12313FD13314FD14315FD15316FD16317FD1986344320FD207235384321FD2134844322FD2231114323FD2332643小计118157420721062培训中心1F241313236363363643636536366F25363673636836369363610363611FD263636123636133636143636小计4814813.3 设计要求：根据和中冶建工集团科技质量处多次沟通接洽，现对甲方需求和设计要求描述如下：1、中冶研发大楼网络系统结构采用标准的核心层、汇聚层、接入层三层结构；根据各种业务需求合理配置产品，设计研发大厦采用全千兆交换速率。2、为保证系统稳定性和高可用性，避免单点故障，集团核心层设备和子公司汇聚层设备均为双机热备，各楼层网络设备堆叠后均采用链路接入核心和汇聚交换机；3、子公司汇聚交换机放置于三层机房，供各子公司管理自己公司计算机网络和接入各子公司私有业务服务器；4，本集团通过机房主干路由器以多种方式接入各运营商网络，必须合理规划并保证各子公司独享各自外网出口带宽；5、大楼1至23层做无线覆盖，每层配置4个无线AP，每4层的无线AP共16个接入一台带POE供电的交换机，共5台，通过无线主控制器统一管理；6、交换机各端口需根据业务属性和功能划分Vlan；确保整体网络设计的合理性，可靠性及管理的便捷性。7、培训中心有481个计算机网络接入点，该处单独组网，并独立接入外网，和大楼物理隔离；带宽设计上联千兆，接入百兆。第四章 详细设计根据甲方要求以及对用户具体需求的分析之后，我们为中冶建工集团设计研发大厦的计算机网络系统，做了如下设计。4.1 计算机网络系统拓扑结构 集团设计研发大厦拓补图 集团培训中心拓补图我们在中冶设计研发大厦整体网络基础架构平台设计上，本着层次化的设计思想，把整体网络分层标准的三层架构模式，即：核心层、汇聚层、接入层。整体架构层次分明，并且有利于IT管理控制。在层次划分网络后，又以功能性为基准，划分不同的功能区域板块，如：Internet接入区域、业务系统服务器接入区域等。通过网络分层及功能区域划分，确保了整体网络设计的合理性，可靠性及管理的便捷性。在整体网络设计中，包含：网络安全设计、数据交换设计以下分别对此进行详细阐述。4.2 数据交换设计 在中冶设计研发大厦基础网络平台建设设计中，数据交换是整个网络的关键性指标，合理的设计能提高整体网络的数据处理性能，并提供可靠的安全稳定性。 在此方案中我们推荐采用三层架构体系设计：核心层、汇聚层、接入层。接入层：网络的第一级接入，实现二、三层接入、Qos、广播风暴抑制、边界端口、接入安全认证、VLAN、链路捆绑、POE汇聚层：汇聚来自配线间的流量和执行策略，可作为第一跳网关、路由汇总、负载均衡、快速收敛、Qos、保护核心接入数量核心层：网络骨干，高速数据交换、容量大、可靠性高，快速收敛、网络易扩展。 核心层本项目中，使用两台华为S9303交换机作为大楼办公网络的核心设备，提供接入设备的汇聚，和数据的高速转发。两台大楼核心S9303使用千兆以太网互联（两条GE千兆光纤组成Eth-trunk）；两台大楼核心S9303分别通过一条千兆光纤与两台AF1620-UX形成口字型连接；两台大楼核心S9303通过千兆光纤与楼层接入设备形成交叉互联。 汇聚层：汇聚层设备放置于3层计算机网络主机房的各子公司机柜内，由于每个子公司需要放置2台汇聚交换机，为了节约IDF到MDF的光纤链路数量，我们采用交换机堆叠技术，这样IDF内的所有交换机可以看成一台交换机。由于核心到汇聚到接入，我们全程采用光纤链路实现千兆骨干连接，所有设备选择华为5700系列交换机，每台最大支持24口SFP光纤接口。同时最大支持9台设备的堆叠配置，任一设备问题，不影响整体堆叠组的正常运行。我们采用菊花链式堆叠，背板带宽可达12Gbps，能够满足数据包的快速转发。每个堆叠组双光纤链路上连，实现链路层的冗余。 接入层：接入层设备放置于每个最终用户现场，用户终端可以是PC、IPPHONE、POS机等。在接入层设备上，我们推荐采用华为S2700或S5700交换机，通过端口划分到不同的应用VLAN。集团公司接入层交换机通过千兆光纤接口直接与2台核心设备交叉连接；子公司接入层交换机通过千兆光纤接口直接连接各自的2台与汇聚层设备通过上述双链路连接方式，保证了接入层交换机到汇聚层核心层设备的线路冗余；从而提高整个网络系统的稳定性和高可用性，可完全避免线路的单点故障。 三楼计算机网络中心部署网络管理服务器，通过eSight管理软件实现对整个交换机、防火墙产品的监控。 无线网络通过华为WS6303无线控制器，实现对AP的整体接入控制管理。 设计带宽设计研发大厦办公网络为全千兆交换网，即汇聚层、接入层均为千兆带宽。培训楼为千兆主干，百兆到桌面，即接入交换机上联千兆，接入百兆。 STP和VLAN规划在研发楼网络中，楼层接入层为双线Layer-3上联的构架，综合考虑了STP的设计；楼层交换机做Trunk互联。 VlAN及IP网段规划结合大楼整体构架，我们采用以楼层为单位，针对业务划分多个VLAN ，分隔广播域。IP地址的分配以Vlan为单位，划分不同的IP地址段。保证规划的清晰可行。IP地址的整体划分是网络工程设计中的重要环节，网络必须对IP地址进行统一规划并得到有效实施。IP地址划分的好坏，影响到网络路由协议算法的效率，影响到网络的扩展，影响到网络的管理，也必将影响到网络应用的进一步发展。按照IP地址划分原则，研发楼分配20个C类网段用于办公网络，IP地址可设为192.168.101192.168.120/24；192.168.120.0/24 作为互联地址以及管理地址。最终的IP地址分配将根据甲方要求，由设备厂家网络调试人员做合理规划配置。 SNMP网管协议SNMP网管协议默认的认证字符串是Public/Private。如果保持其默认配置，带来较大风险。网络设备上线前务必首先更改为安全的认证字符串。根据研发大楼的需求，全网网络设备启用SNMP 版本3代理，为网管设备提供丰富的管理信息。推荐研发大楼全网设备均使用SNMP的只读模式。如果计划使用简单网管协议用于读写模式，务必很好地考虑使用此模式的风险，在这种模式下，错误的配置可能使路由器具有很大的安全隐患。访问控制列表限制对设备SNMP的访问，明确哪些网段可以通过指定Community值访问本机的SNMP，防止网络外的非法用户通过SNMP对网络进行探测。 VRRP协议在局域网内，终端用户都设置一条相同的以网关为下一跳的缺省路由。主机发往其他网段的报文将通过缺省路由发往网关，再由网关进行转发，从而实现主机与外部网络的通信。当网关发生故障时，本网段内所有以网关为缺省路由的主机与外部网络的通信将中断。为了避免网络中断，可以通过在主机上设置多个网关，但是一般主机只允许设置一个默认网关，此时需要管理员手动添加。这样大大增加了网络管理的复杂度。为了更好的解决上述网络中断的问题，协议开发者提出了VRRP（Virtual Router Redundancy Protocol，虚拟路由器冗余协议），一种便于管理的、实现网络一个网关故障时，保证用户快速、不间断、透明地切换到另一个网关的协议。VRRP。VRRP协议具体内容在RFC 2338中定义，为业界通用标准。其他厂商的私有协议有类似的做法，比如Cisco的私有协议 HSRP(Hot Standby Route Protocol，热备份路由协议) 。 MSTP协议MSTP（Multiple Spanning Tree Protocol）也称为多生成树协议，在IEEE802.1s中定义。与STP（Spanning Tree Protocol）和RSTP（Rapid Spanning Tree Protocol）相比，MSTP主要引入了“实例（INSTANCE）”的概念。STP/RSTP是基于端口的，而MSTP则是基于实例的。所谓的“实例”是指多个VLAN对应的一个集合，MSTP把一台设备的一个或多个VLAN划分为一个INSTANCE，有着相同INSTANCE配置的设备就组成一个MST域（MST Region），运行独立的生成树（这个内部的生成树称为IST，Internal Spanning-tree）；这个MST region组合就相当于一个大的设备整体，与其他MST Region再进行生成树算法运算，得出一个整体的生成树，称为CST（Common Spanning Tree）。实例0具有特殊的作用，称为CIST，即公共与内部生成树，其他实例则称为MSTI，即多生成树实例。 MSTP+VRRP双核心应用方案VRRPMSTP双核心应用方案，网络扩容，维护方便，用户网关和物理链路的双备份，提高了网络系统的可用性。和其他提高网络可用性的方案相比，该方案可以使用较少的客户投资，获得较高的客户收益。同时，在这个方案的基础上，客户可以组合我司产品提高系统可用性的其他技术，比如管理板热备份，获得更高的系统可用性。 拓扑说明：（1）生成树：用户Vlan为101110为instance 1，根桥在S9306A上，Vlan 111-120为instance 2，根桥在S9306B上。（2）VRRP:vlan101-110的VlanIf地址的master在S9306A上，vlan 111-1200的VlanIf的地址的master在S9306B上。Master的产生通过两种方法：一种通过设置接口的IP地址和VRRP组的网关IP地址一致，在这种情况下，设置成和VRRP组的网关IP地址相同的接口IP地址优先级为最高255，自动成为master，比如VRRP组26就是这种情况。另一种是通过设置接口优先级，高优先级选举为master，比如VRRP组31就是这种情况。同时将VRRP通告时间设置为10秒。4.3 路由设计本项目网络涉及的路由协议包括重庆研发大楼的内部IGP协议对于核心网络IGP的选择，通常有收敛速度快、性能优秀、网络开销小的要求，符合要求的有OSPF、IS-IS等。由于OSPF协议是开放、标准的协议，在涉及到多方产品互联的网络环境下，是常见的选择。本项目研发楼内部核心路由协议采用OSPF路由协议，其中在两台S9303和防火墙组成的口字型网格中实现Area0 。遵循多线路接入、多单位使用的设计原则，由施工方或厂商按照办公大楼各个公司使用需求进行设置。4.4 网络管理鉴于研发楼的整体网络结构的复杂程度，需要提供有效的手段来管理整个网络设备。eSight是华为企业业务企业数通产品线面向企业市场推出的新一代IP+IT统一网络运维解决方案，遵循ITIL规范，实现对企业资源、业务以及用户的统一管理，为企业和合作伙伴提供融合、开放的运维平台。在业界也有广泛好评，因此我们决定选用eSight作为网络的管理软件。产品概述：有线无线设备一体化管理：华为eSight解决方案，可以对网络中的AC、AP、路由器、交换机、防火墙进行统一管理和监控，并支持设备的自动发现和拓扑构成。支持拓扑图中网络分层视图。在视图中，设备的告警由不同的颜色进行标识，当设备产生告警时，拓扑上的告警冒泡图标以不同的颜色区别不同级别的告警来提示用户进行干预。在提供基本的物理拓扑视图、业务拓扑视图、告警、报表等的同时还提供设备位置视图、干扰源定位和排障、无线业务质量评估，AP快速恢复等维护手段，有效降低用户维护成本。4.4.1 简单高效的快速业务部署随着无线应用的增加，常常需要快速开通无线网络以支撑企业业务发展。华为eSight解决方案提供向导式的业务部署配置工具以及提供基于规划表单导入方式，提高部署效率，使用eSight WLAN管理组件，可以将AP部署时间从数天级降低到分钟级，帮助企业客户快速开通业务，为顾客提供更好的服务。通过配置向导，大大简化配置过程位置视图：WLAN设备对于干扰和建筑物中合理部署要求较高，客户可通过eSight位置拓扑图查看当前热点位置及射频信号覆盖范围，并在视图上标识当前 非法AP位置及冲突域。通过虚拟的仿真网络环境来进行日常维护和排障，了解信号强弱，实时调整。使日常维护和排障更加迅速。4.4.2 所见即所得的物理拓扑eSight支持网络拓扑自动发现，通过拓扑叠加技术实现二三层拓扑和链路统一管理，在一张平面拓扑图呈现基于IP协议发现的三层链路和基于LLDP协议发现的二层链路。所见即所得的物理拓扑呈现效果超越一张Visio绘制的网络拓扑，并根据网络调整动态呈现。通过网络拓扑图，你可以快速掌握以下信息：网络状态：网络当前状态是否良好；网络间的连接关系：设备是怎么连接的，快速定位网络连接问题；4.4.3 统一的资源管理在网络级日常维护中我们首先会关注网络中可能的异常，如哪些设备负载过高？哪些告警最经常发生？哪些链路流量过大？ eSight能够统一监控网络中的华为、思科、华三等不同厂商的设备，其特有的Portal技术支持用户灵活呈现最关注的管理信息，对网络各种事件一目了然。4.4.4 建议监控参数1. 防火墙l CPU利用率l CPU常驻进程l 内存利用率l 并发会话数l 每秒新建连接数l 温度l HA状态l 告警信息l 端口流量2. 交换机l CPU利用率l CPU常驻进程l 内存利用率l 线卡模块工作状态l 引擎主备状态l 温度l HSRP状态l 告警信息l 端口状态l 主要端口流量l SPT状态l 路由表动态路由邻居关系4.4.5 网络故障及应急方案在本网络项目中，可能出现的灾难故障主要有两类，即设备故障和链路故障，以下分别对这两类情况进行说明。设备故障。设备故障是指发生网络设备无法正常转发网络流量的情况。下表详细的列出了网络故障点及其对系统运行的影响分析，并提供了容灾恢复方案。设备故障故障点造成的影响容灾恢复方案核心交换机电源故障采用冗余电源，无影响核心层交换机故障会造成跨区域调用数据的用户短暂的中断（小于1S）对故障交换机进行检修，重新连入网络接入层交换机故障连接到故障交换机的数据不可用备件顶替链路故障。链路故障指网络中的光纤连接由于意外中断的情况发生。设备故障故障点造成的影响容灾恢复方案核心互联光纤中断一根采用了冗余连接，无影响恢复光纤连接核心到接入交换机光纤中断采用多线路冗余和动态路由协议，无影响恢复光纤连接4.4.6 网络系统可靠性设计网络作为各种业务的重要承载网络，对其可靠性提出了很高的要求。可以说一旦网络出现中断，将会使整个网络瘫痪，引起严重的后果。网络的可靠性包括组网设备可靠性、网络拓扑组网结构可靠性、网络链路可靠性。4.4.7 网络节点的可靠性网络核心节点设备的可靠是确保整个网络的有效运转的关键所在。要保证网络系统的可靠性，选用具备电信级可靠性的网络设备进行组网，才能使网络具有自动恢复能力、降低人工维护工作，达到电信级的可靠运行。为实现设备的可靠性，考虑了如下内容： 网络中的关键设备，如核心交换机、汇聚交换机具备电信级可靠性。 可靠性指标必须达到99.999%； 网络核心设备采用全分布式体系结构，路由与转发分离； 所有关键器件，如主控板、电源等都采用冗余设计，业务模块支持热插拔； 网络核心设备支持不间断转发，主控板热备份。主备倒换过程不影响业务转发，不丢包。对于本次方案设计中，我们从安全、可靠的角度出发，在核心层都采用冗余电源的设计，核心交换机、接入交换机具备电信级可靠性4.4.8 链路可靠性网络系统楼层接入层到核心层之间布防了2根6芯多模光缆，为接入层到核心层之间的冗余链路提供了足够的光纤链路。第五章 无线部署方案5.1 WLAN室内传播模型 无线局域网室内覆盖的主要特点是：覆盖范围较小，环境变动较大。一般情况下我们选取以下两种适用于WLAN的模型进行分析。由于室内无线环境千差万别，在规划中需根据实际情况选择参考模型与模型系数。 (1) Devasirvatham模型 Devasirvatham模型又称线性路径衰减模型，公式如下： Pl(d,f)dB为室内路径损耗 其中，为自由空间损耗d：传播路径；f：电波频率；a：模型系数 (2) 衰减因子模型 就电波空间传播损耗来说，2.4GHz频段的电磁波有近似的路径传播损耗。公式为： PathLoss(dB) = 46 +10* n*Log D（m） 其中，D为传播路径，n为衰减因子。针对不同的无线环境，衰减因子n的取值有所不同。在自由空间中，路径衰减与距离的平方成正比，即衰减因子为2。在建筑物内，距离对路径损耗的影响将明显大于自由空间。一般来说，对于全开放环境下n的取值为2.02.5；对于半开放环境下n的取值为2.53.0；对于较封闭环境下n的取值为3.03.5。典型路径传播损耗理论计算值如表1。5.2 AP信号链路损耗计算 根据模型，室内路径损耗等于自由空间损耗加上附加损耗因子，且随距离成指数增长。接收电平估算公式如下： PrdB=Pt dB+GtdB_PldB+GrdB 其中：PrdB为最小接收电平，即为AP在不同传输速率下的接收灵敏度； PtdB为最大发射功率； GtdB为发射天线增益； GrdB为接收天线增益； PldB为路径损耗； 我们可以对AP信号极限传播距离作如下理论计算： 假设天线发射和接收增益为零，AP发射功率为16.2dBm时，理论室内传播最大距离如表2所示。5.3 AP信号穿透损耗 现阶段可提供的2.4GHz电磁波对于各种建筑材质的穿透损耗的经验值如下： 隔墙的阻挡（砖墙厚度100mm 300mm）：20-40dB； 楼层的阻挡：30dB以上； 木制家具、门和其他木板隔墙阻挡2-15dB； 厚玻璃（12mm）：10dB（2450MHz） 另外，在衡量墙壁等对于AP信号的穿透损耗时，需考虑AP信号入射角度。一面0.5米厚的墙壁，当AP信号和覆盖区域之间直线连接呈45度角入射时，相当于1米厚的墙壁；在2度角时相当于超过14米厚的墙壁。所以要获取更好的接收效果应尽量使AP信号能够垂直穿过（90度角）墙壁或天花板。5.4 AP室内覆盖规划 在规划WLAN网络时，首先考虑到的是满足AP跟无线网卡信号的交互，以及用户可有效地接入网络，因此如何保证无线信号覆盖范围是AP选点必须要考虑的因素。由于WLAN工作频段较高，灵敏度低（与移动基站/手机相比），信号反射和绕射损耗较大，有几种不同的室内覆盖方案，可供规划人员跟据现场实际情况进行选择参考。 在设计之前一定要进行现场勘测，现场勘测主要了解以下几点： 了解覆盖区域的面积，信号覆盖质量要求，不同的地点有不同的覆盖要求。 考察覆盖区域的现有信号分布情况，了解信号的盲点、热点和信号碰撞区域； 考察覆盖区域建筑物的构成，对信号的阻挡情况； 信号的接入位置与方式； 考察设备可以安装的位置。 5.5 安装要求 1、覆盖点勘查 在进行设计、施工之前，必须对室内覆盖系统的站点进行必要的勘查，并且记录如下信息： 建筑物的总体构造及室内空间分布情况。 室内各种墙、隔断等的材料、厚度等情况。 可能安装设备的位置。 可能布线的路径。 终端用户的分布。 天线的安装位置。2、天线安装位置选择 堪点过程中最重要的一点就是确定天线的安装位置，它应该尽量符合以下原则： 尽量靠近需要覆盖的目标区域和人群，比如办公区域，保证良好的覆盖效果。 尽量安装在比较开阔的地点，保证天线的覆盖效率。 天线在目标区域内比较均匀的分布。 考虑到空间损耗和系统特征，设计一个天线的覆盖距离时，如果需要达到11Mbps的传输速率，可以参考以下原则： 开阔空间内，设计覆盖距离尽量不要超过30m。 如果天线目标区域之间有20mm左右薄墙阻隔时，设计覆盖距离尽量不要超过20m。 如果天线与目标区域之间有较多高于1.5m的家具等阻隔时，设计覆盖距离尽量不要超过20m。 如果天线安装在长走廊的一端，设计覆盖距离尽量不要超过20m。 如果天线与目标区域之间有一个拐角时，设计覆盖距离尽量不要超过15m。 如果天线与目标区域之间有多个拐角时，设计覆盖距离尽量不要超过10m。5.6 方案设计内容 重庆研发楼为地下三楼到二十三楼,根据以下计算依据,设置无线AP点 AP信号链路损耗计算 AP信号穿透损耗 研发大厦无线网络系统配置如下：（1）研发大厦一层至五层属于集团公共区域，每层放置4个AP,所有AP汇聚接入位于三层弱电间机柜内的24口POE供电交换机；（2）研发大厦六层至八层属于集团房地产公司，每层放置4个AP,所有AP汇聚接入位于七层弱电间机柜内的24口POE供电交换机；（3）研发大厦九层至十一层属于集团设计院，每层放置4个AP,所有AP汇聚接入位于十层弱电间机柜内的24口POE供电交换机；（4）研发大厦十七层至二十层属于集团办公区域，每层放置4个AP,所有AP汇聚接入位于十八层弱电间机柜内的24口POE供电交换机；（5）研发大厦二十一层至二十三层属于集团办公区域，每层放置4个AP,所有AP汇聚接入位于二十二层弱电间机柜内的24口POE供电交换机； （6）无线AP均使用外形美观且支持POE供电模式瘦AP，所有AP通过主机房无线AP控制器做统一配置和管理。第41页 共41页第六章 产品选型6.1 核心交换机S9300系列交换机提供大容量、高密度、模块化体系架构，提供二、三层线速转发能力，具有强大的IP路由功能，同时支持分布式的IP/MPLS线速转发、完善的QoS保障、有效的安全管理机制和电信级高可靠设计，满足用户对多业务、高可靠、大容量的需求，可广泛应用于IP城域网、大型园区网的交换核心和汇聚中心。产品概述：Quidway S9300系列核心路由交换机（以下简称S9300）是基于新一代的硬件和华为公司统一的VRP（Versatile Routing Platform）平台而推出的下一代以太网汇聚交换机，提供超大容量、高密度、模块化体系架构，提供二、三层线速转发能力，具有强大组播功能，VLAN交换功能，EPON接口，完善的QoS保障、有效的安全管理机制和传输级高可靠设计，满足城域接入网、企业园区网对Multi-Play业务承载和全光接入的组网需求，为运营商和企业网提供强大的网络交换和业务运营能力，支持IP专线、VPN、IPTV、IPv6等多种服务。S9300系列包括S9303、S9306、S9312三款产品形态，均采用前维护设计。三款产品除了外形尺寸、线卡数目、交换容量等指标不同外，其他特性均保持一致。 全业务汇聚平台，实现业务统一承载S9300支持高密度的EPON接口，能实现DSLAM汇聚和xPON的统一接入，满足全光接入的需求；分布式L2/L3 MPLS VPN功能，支持MPLS、VPLS、HVPLS、VLL，支持MPLS TE、MPLS OAM 功能，满足大客户VPN专线、企业VPN等高端用户的接入需求；线速的跨VLAN组播复制能力，实现端口的满负荷复制，满足大容量的IPTV用户接入需求；完善的二、三层组播协议，支持IGMP Snooping，IGMP Filter，IGMP Fast leave，IGMP Proxy，PIM-SM，PIM-DM，可作为组播复制点和控制点。 绿色环保节能，降低设备功耗S9300基于绿色环保理念设计，采用左后风道散热，整机出线能力提高6倍；智能风扇分区调速，可根据单板数量和功耗，灵活调整风扇转速，降低噪声和整机功耗，提高风扇使用寿命；支持智能供电技术，根据负荷调整芯片工作状态，并支持闲置部件的休眠能力，有效降低整机平均功耗；支持小颗粒模块化电源设计，减少用户初期投资，降低设备功耗。 传输级高可靠性，提升网络质量S9300所有核心部件均采用冗余设计，主控模块SRU/MCU支持1+1的工作模式，集中监控模块CMU支持1:1的备份工作模式，4个电源模块支持2+2的负荷分担工作模式，风扇模块使用双层备份方案，支持单风扇失效（单风扇出现故障情况下，系统仍可保持正常运行）。S9300支持完善的电信级可靠性技术，适合各种复杂网络环境。支持RRPP环网保护倒换和RRPP多实例功能，不仅提供环形拓扑的毫秒级保护，还可实现主备链路的负载分担，提高链路利用率；支持Smart Link主备链路保护倒换和Smart Link多实例功能，不仅提供树形拓扑的毫秒级保护，还可实现主备链路的负载分担，提高链路利用率。S9300支持硬件级ETH OAM、BFD、MPLS OAM，实现快速故障定位和保护倒换，达到传输级可靠性，提升网络质量，满足用户关键业务的可靠性需求。 超大容量交换平台，弹性可扩展硬件架构作为新一代的路由交换平台，S9300单槽位支持1210GE线速线卡，最大可以支持4.8T的背板容量和2T的交换能力，设备包交换能力可以达到864Mpps，更好地满足IPTV等大带宽业务和IDC机房的接入需求。S9300系列交换机交换容量可以扩展到3.84T，单槽位可扩展支持240G线速能力，后续具备提供24个10GE接口或者2个100GE接口的能力，不仅满足现有业务，还充分考虑未来35年的带宽需求，提供带宽平滑扩展能力。 层次化QoS，满足多业务/多用户的QoS需求S9300支持基于端口、COS和VLAN的流量整形功能，提供基于用户、业务的层次化QoS调度，有效提高IPTV等重要业务的质量，保障高优先级用户的使用体验。S9300支持双速三色和单速双色标记器，层次化的流量监管，提供基于用户组的流量监控以及组内用户间的带宽统计复用，从而提供更精细的带宽管理；支持SR、WRR、SP+WRR、DWRR等调度算法，解决Triple Play和VPN模式下不同业务的服务质量问题。 灵活的VLAN交换功能，丰富的二三层业务特性S9300支持QinQ、增强型灵活QinQ，不仅可以通过内层VLAN添加外层VLAN，还可以根据丰富的流分类策略，包括MAC地址、IP协议、源地址、目的地址、优先级、端口号、Cos值等，灵活标记外层VLAN ，弥补了传统灵活QinQ的不足，并解决了其组网局限，更好地满足了城域接入网不同业务分类和分流的建设需求。S9300支持N：1 VLAN交换、1：1 VLAN交换、2：2 VLAN交换、2：1 VLAN交换、1：2 VLAN交换等灵活的VLAN交换功能，能根据用户需要，灵活地调整VLAN标签的映射策略，提供更加灵活的VLAN规划方案。S9300支持BPDU Tunnel、GRE、VLL、MPLS L3 VPN、VPLS等隧道功能，支撑运营商的管道服务的能力。支持RRPP、STP、RSTP、MSTP等环网技术，提供二层组网的可靠性。支持静态路由，RIPv1/v2，OSPFv2，ISIS，BGPv4等丰富的路由特性，满足不同应用场景的三层接入需求。 独立硬件资源，精细化的主机安全控制S9300支持硬件层次化的CPU过载控制功能，采用独立的CPU硬件队列，保障关键业务的优先转发。即使在网络遭受攻击，设备CPU占用率高的情况下，S9300仍能保障重要业务和关键报文得到及时处理，从而有效防止ARP、DDOS攻击对用户使用体验的影响。S9300还提供ACL过滤、DHCP Snooping、MAC地址限制、MAC地址绑定等业务安全以及命令行分级保护、SSH、SNMPv3等设备访问安全控制。 网络质量分析，提高可网络运营能力S9300支持NQA（Network Quality Analyses）网络质量分析，通过主动在多个设备之间发送指定设置数量的NQA协议报文来实现网络性能的度量，统计抖动，时延，丢包率等网络性能参数，提高网络可运营能力。 IPv6 Ready，实现网络IPv4向IPv6的平滑迁移S9300支持软硬件的IPv6，支持RIPng，OSPFv3，ISISv6，BGP4+，MLD，MLD Snooping，PIMv6，IPv6 multicast VLAN，ICMPv6等单组播IPv6路由协议，S9300还支持6 to 4隧道和IPv6 ACL。6.2 汇聚交换机汇聚层采用华为核心汇聚交换机构建，根据网络的具体情况和位置，推荐部分采用华为5700系列交换机。产品概述Quidway 5700系列全千兆运营级交换机（以下简称5700），是华为公司为满足业务的大带宽接入和以太网多业务承载而推出的新一代全千兆运营级以太网交换机。 5700基于新一代高性能硬件和华为公司统一的VRP（Versatile Routing Platform）软件，具备大容量、高密度千兆端口、高性价比等特性，具备万兆上行，拥有多业务接入能力和良好的扩展性，支持环型拓扑和树型拓扑等运营级组网技术，可满足园区网和驻地网的汇聚层、IDC接入层，以及企业千兆到桌面等多种场合的需求，包转发速率达到96Mpps，背板带宽为256G，足够满足集团公司分公司层，和接入层使用。设计研发大厦子公司汇聚层交换机采用千兆24口纯光交换机S5700-28C-E1-24S；设计研发大厦接入层全部采用千兆24口或48口电口交换机S5700-28C/52C-SI产品特点 大带宽、高性能5700最大可提供28/52个GE接口、或2个10GE接口，充分满足客户对高密度千兆和万兆上行设备的需求。5700硬件支持二/三层数据包转发能力，所有端口线速转发。5700能够识别和处理四到七层的应用业务流，能根据不同的业务流进行不同的管理和控制。 强大的多业务支持能力5700支持增强型灵活QinQ功能，启动该功能不占用ACL资源。5700能将内层VLAN的CoS值映射到外层VLAN，或者修改外层VLAN的CoS值，可根据业务需要灵活标记QoS等级，满足多业务承载的要求。5700支持可控组播，支持IGMP Snooping/Filter/Fast Leave/Proxy等协议。5700支持线速的跨VLAN组播复制功能，支持捆绑端口的组播负载分担，支持基于Vlan的组播呼叫接纳控制功能（组播CAC），充分满足IPTV运营需求。5700支持MCE 功能，实现了不同VPN用户在同一台设备的隔离，有效解决用户数据安全问题，同时降低用户投资成本。 电信级以太网技术及高可靠性5700不仅支持STP/RSTP/MSTP生成树协议，还支持树型（SmartLink）和环型（RRPP）拓扑等增强型运营级以太网技术，实现毫秒级链路保护倒换，保证高可靠性的网络质量；此外，5700提供Smartlink和 RRPP多实例功能，可实现链路负载分担，进一步提高了链路带宽利用率。5700运营级以太网技术拥有很强的扩展性和兼容能力，能和现网设备混合组网，既保护了用户投资，又为新业务的引入提供了有力的保障。5700支持BFD链路快速检测，能为OSPF、ISIS、VRRP、PIM等协议提供毫秒级检测机制，提高了网络可靠性。5700支持双电源冗余供电，用户可灵活选择单电源工作模式或者双电源工作模式，提高了设备可靠性。 完备的QoS策略和安全机制5700能基于五元组、IP优先级、TOS、DSCP、IP协议类型、ICMP类型、TCP源端口、VLAN、以太网帧协议类型、CoS等信息，实现复杂流分流功能。5700支持基于流的双速三色限速功能，每端口支持8个优先级队列，支持WRR、DRR、SP、WRRSP、DRR+SP多种队列调度算法，有效地保证话音、视频和数据等网络业务质量。5700提供多种用户安全保护功能，支持大ACL表项，支持IP、MAC、端口的组合绑定，支持 MAC地址黑洞、端口隔离、包过滤、MAC地址学习数目限制、动态ARP检测、IP Source Guard等安全技术，支持Radius、HWTACACS+认证、IEEE 802.1X认证、SSH，为网络穿上坚实的保护衣。 完善的维护和管理性5700易于使用和部署，支持丰富的以太OAM特性（802.3ah 和 802.1ag）和多种维护管理模式。5700支持HGMP、SNMP、NTP、SSHv2.0、TACACS+、RMON、多日志主机，基于端口的流量统计，多种配置管理和系统支撑等。5700完善的操作维护功能，让运营商轻松管理网络，从而降低运维费用。6.3 接入交换机根据中冶设计研发大厦培训中心网络的特点以及要求，培训中心接入层网络选择Quidway S2700系列运营级接入交换机。该交换机基于新一代高性能硬件和华为公司统一的VRP（Versatile Routing Platform）软件，可为用户提供丰富灵活的业务特性，有效地提高产品可运营、可管理和业务扩展能力，具备优异的防雷能力和安全特性，支持强大的ACL功能，支持QINQ，支持1：1和N：1 VLAN 交换功能，满足VLAN灵活部署的需求。6.4 NGAF安全网关AF1620-UX系列产品是深信服公司推出的新一代统一安全网关，该防火墙是面向应用层设计，能够精确识别用户、应用和内容，具备完整安全防护能力，能够全面替代传统防火墙，并具有强劲应用层处理能力的全新网络安全设备。NGAF解决了传统安全设备在应用管控、应用可视化、应用内容防护等方面的巨大不足，同时开启所有功能后性能不会大幅下降。NGAF 不但可以提供基础网络安全功能，如状态检测、VPN、抗DDoS、NAT等；还实现了统一的应用安全防护，可以针对一个入侵行为中的各种技术手段进行统一的检测和防护，如应用扫描、漏洞利用、Web入侵、非法访问、蠕虫病毒、带宽滥用、恶意代码等。NGAF可以为不同规模的行业用户的数据中心、广域网边界、互联网边界等场景提供更加精细、更加全面、更高性能的应用内