基地园区网络方案建议书

1、XX 集团园区网络技术建议书杭州 xx 通信技术有限公司指导书目录第 1 章 总体建设要求 .3第 2 章 设计原则 .5第 3 章 网络整体方案设计 .73.1总体网络设计描述 .73.2网络结构设计 .73.3网络拓扑图 .93.3.1网络拓扑图（内网） .93.3.2网络拓扑图（外网） .93.3.3网络拓扑图（智能网） .103.4组网描述 .103.4.1网络出口设计 .103.4.2核心层设计 .113.4.3汇聚层设计 .133.4.4接入层设计 .133.4.5用户认证： .143.4.6网络管理系统： .153.5安全设计 .153.5.1安全设计要点 .153.5.2网络边

2、界安全防护 .16第 4 章 有线无线一体化设计 .204.1无线控制器 .204.2无线 AP .214.3 POE 供电 .234.4无线网管运维 .234.5无线用户认证 .244.6方案特点 .25第 5 章 方案优势介绍 .28指导书第1章 总体建设要求根据 XX 园区信息化对计算机网络系统的需求，我们选择采用基于TCP/IP 协议的、以1/10G BASE-X光纤链路为骨干的网络，各楼栋内采用千兆到桌面，要求能兼容IPV4 与 IPV6，通过 VLAN划分不同逻辑区域分别供不同部门的接入使用。在共用主干网络线路的前提下实现各区域的逻辑性隔离，以实现安全、使用以及资源利用最大化。1、

3、 区域划分XX 公司园区网由四栋新建楼宇组成，分别是保障中心、集控大厅、周转宿舍、多功能综合楼；保障中心作为整个园区的网络核心，中心机房部署在三楼，分别通过光缆连接其它楼栋，大楼内设置汇聚交换机，接入交换机对本大楼内的信息点位进行接入。2、 网络拓朴的设计根据业务情况，把园区网络分为3 套网络：内网、外网、智能网，三套网络要求物理隔离；网络主体架构采用星型拓朴结构，计算机网络系统考虑在保障中心三楼机房各设计2台万兆交换机作为XX公司个业务网络的核心交换机，同时必须虚拟化能力，采用双核心设计，把双核心虚拟成一台具有高性能、高可靠、高安全的虚拟交换机；核心交换机通过万兆单光缆连接到保障中心、集控大

4、厅、周转宿舍、多功能综合楼的汇聚机房， 根据信息点位设计一台万兆汇聚交换机，通过千兆单模对本楼层的接入交换机提供接入，楼层设计多台千兆接入交换机对本栋大楼信息点提供千兆桌面接入。3、 网络管理系统基于网络中所涉及的设备较多，需要对设备进行状态检测、设备配置、策略设置等，在网络发生故障时能够及时发现问题，这需要一套功能强大的网络管理软件。方案中选用智能网管软件作为局域网管理平台，能够与方案中设计的网络设备、安全设备、无线、监控良好配合。4、 无线覆盖设计利用无线网络技术进一步扩展网络的覆盖范围，提高网络的用户自适应性，在无线的覆盖范围内实现数据业务和语音业务的无线传输，并且可实现三层漫游，使无线

5、局域网和有线网成为一个整体，提供安全的无线接入。指导书无线要求采用FIT AP组网方式，由无线控制器对集团内所有的无线AP进行统一接入管理， AP供电采用POE远程供电方式；5、 对 IP 地址、 DNS等网络基础资源的规划XX 共有上千个网络点及多个无线 AP，其 IP 地址划分按 C 类协议划分，可以考虑不同楼栋的不同部门上网采用不同的段。6、对安全的考虑方案中对系统安全作如下考虑，在对外连接上采用高性能防火墙，提供充足的千兆端口和处理系能。对于集团上网的各种应用进行行为和流量控制，配置应用控制网关，对集团各种行为进行精细化管理和控制，对上网行为提供事后行为审计能力。7、 综合布线综合布线

6、是本次网络改造的重点，要求做点规范、整洁、美观、方便、耐用，楼栋之间采用室外光缆进行布放，光缆两端采用光端盒，光端盒必须出可接跳线的耦合器，不能直接出尾纤。光缆必须走地下，不能从空中拉；室内采用六类非屏蔽线缆，除了新教学楼，其它大楼均采用一个弱电机房， 所有信息点的网线直接拉到大楼弱电机房，在机房采用配线架集中整合。线缆布放必须采用桥架方式进行布放；XX 公司网络建设的总体目标是建立一个开放的、基于标准的数字化园区系统平台，利用企业信息交换、 资源共享、 远程会议等现代化办公手段， 面向员工及用户提供个性化、人性化的服务。并可支持未来数据、语音和视频等多业务在现有网络技术平台的融合。计算机网络

7、系统是整个 XX公司信息管理系统的基础平台与设施，为保证信息管理系统应用系统的高效、安全、可靠，必须在整个网络系统建设方案设计中按照国家和行业标准，达到一定的设计、建设原则和目标。建设一个支持数字化、网络化、 自动化的国内先进的基础网络平台，满足数字化企业建设的需要，也满足企业信息化建设的长期要求。网络平台具有良好的服务质量、较高安全性、便于管理和维护，能够支持企业的各种办公和科研应用，也支持移动办公、信息发布。指导书第2章 设计原则在 XX公司网络建设项目中，为节省用户投资，保证业务的正常、优质开展，整个网络系统必须总体规划，统一标准。为达到 XX公司网络建设的目标要求， 在网络设计构建中，

8、 应坚持以下建网原则：需求驱动原则： 以实际应用需求为依据，选择技术和设备。根据企业信息化建设的实际需求，考虑远程办公与合作，特别是数据信息传输与数字视频业务的需要，要充分考虑网络系统的服务质量和可靠性。根据现在的需求和可以预见的需求增长情况设计网络，不追求空洞的技术先进性，避免追求高档和最新技术花费的巨大代价。先进性原则：企业信息化需要最新技术的支撑，特别是网络技术和多媒体计算机技术，必须采用先进成熟的技术，并兼顾未来发展趋势。本方案所选择H3C 公司设备在技术上具有很强的先进性，其性能、技术体系可保证企业5-8年的发展需要，有力的保护了企业投资。投资保护原则： 由于企业已在网络应用方面做了

9、大量的投入进行信息化建设，企业信息化在各部门或不同的应用上对网络的需求不尽相同，原有的很多工作已经证明是有效的，这部分软硬件可以继续发挥作用，从而保护原有投资，节省建设经费。标准化原则： 从机房建设、综合布线工程规范、到网络技术标准和网络协议，都有相应的国际标准和国家标准，所有设计与建设要遵循该原则，从而可以实现标准化管理，延长整体项目的生命周期，做到投资保护。安全性原则： 企业信息化工作的特殊性，对网络与信息安全提出了很高的要求。由于安全性的要求与投入成正比，并且涉及管理与应用的方方面面，是一个复杂的系统工程，实际上没有一个绝对安全的系统，安全只是相对而言，所以该原则是充分评估安全风险，制定

10、安全策略，采取必要的安全措施。是防止非法访问者通过互联网络对网络节点进行攻击的能力。从网络设备来讲，防止外部攻击主要靠路由器实现，华为路由器在这方面具有独到的优势。华为3COM产品的全部软件及硬件均为公司自行开发研制，具有完全的知识产权。工程原则： 网络系统建设涉及机房与网络配线间环境、通信管道与通信线缆、楼指导书内综合布线系统、电源及其防护、网络交换机与路由器、服务器设备以及相关的软硬件系统，在设计建设时要体现工程原则，做到有工程规划、项目有设计、实施有控制等，实现整个系统的可管理、可维护、可扩展和可升级。健壮性及开放性：它应具有很好的收敛性和可扩展性，同时其网络额外开销是极小的，且受到国际

11、标准的支持，保证不同设备见的互通性。可扩展性： 考虑到今后信息化的进程和逐步演进，网络要建设成完整统一、组网灵活、易扩充的弹性网络平台，能够随着需求变化，充分留有扩充余地。经济性： 应该充分的利用现有的网络资源，充分考虑经济和安全的最佳结合点。设备在保障性能和可靠安全的基础上，应能达到最佳性价比。指导书第3章 网络整体方案设计3.1总体网络设计描述从应用结构上来讲，XX公司网络系统可分为三个大的层次：网络业务应用安全保障系统互联支撑网络互联支撑层是XX 公司管理网的基础，由XX 公司管理中心统一规划、构建及管理，支撑层利用宽带IP 技术，保证网络的互联互通性，提供具有一定QoS的带宽保证， 并

12、提供各部门、系统网络间的一定隔离，保证互访的安全控制；安全保障系统是指通过认证、加密、授权、绑定控制等技术对XX公司管理网上的用户访问及数据实施安全保障的监控系统，他与互联支撑层相对独立，由管理中心与各部门单位共同规划，分布构建，如数据加密等措施建议在用户网络处( 各部门 ) 实施；业务应用层就是在安全互联的基础上实施XX公司管理网的各种应用，由管理中心与各系统单位统一规划，分别实施。在本方案中，各个网络系统均采用星型结构，星型结构特点是结构简单，时延固定，便于管理和故障排除，接入层单点故障不会影响整个网络，提高网络的可靠性。3.2网络结构设计网络的拓扑结构很大程度上决定了网络的性能，常见的网

13、络拓扑结构主要有星型结构、网状结构、环形结构等几种， 根据 XX集团园区网的特点，结合性能和经济方面的考虑，推荐采用 星型结构 搭建园区网。根据功能区的不同划分为以下3 层，核心层、汇聚层、接入层：指导书名称功能备注核心交换机采用基于CLOS 多级交核心层为网络提供骨干组件或换架构的交换机S10500，控制和转发物核心设备高速交换组件，高效速度传输是核理分离，真正保证大数据量的无阻塞转心层的目标发，同时支持多业务安全插卡，保证整个网络的数据传输安全汇聚交换选择S5800 万兆交换机，提供 24 个千兆光口， 4 个万兆光接口，对上通过万兆单模连接到两台核心，向汇聚层是核心层和终端用户接汇聚设备

14、下采用多模千兆接入楼层接入交换机，入层的分界面，汇聚层完成网络访问的策略控制、广播域的定义、 VLAN间的路由、数据包处理、过滤寻址及其他数据处理的任务。接入交换机采用S5110 千兆交换机，通过千兆多模接到汇聚交换机，通过六类接入层向本地网段提供用户接网线提供用户千兆接入，主要提供网络分接入设备入。段、广播能力、 多播能力、 介质访问的安全性、 MAC 地址的过滤和路由发现等任务指导书3.3网络拓扑图网络拓扑图（内网）网络拓扑图（外网）指导书网络拓扑图（智能网）3.4组网描述根据本期工程的需求和建设目标，整个园区网络分为三张网络：内网、外网、智能网，三张网络的逻辑结构及设备选型类似，要求三张

15、网络物理隔离，独立组网；网络结构设计上采用三层架构，核心交换机、汇聚交换机、接入交换机，楼间采用万兆单模连接，大楼内的汇聚和接入通过千兆单模光纤连接，千兆到桌面，同时实现园区部分场所的无线无缝覆盖，为园区提供高速、稳定、方便的无线接入平台，保证园区各种应用能够随时随地的开展。网络出口设计三张网络（内网、外网、智能网）的出口分别通过核心交换机接到集团原有相应网络上，在核心交换机上部署安全插卡（防火墙、入侵防御系统） ，有效阻止来自网络中的各种安全威胁，如黑客、木马、病毒、网页篡改等；在外网考虑两个出口，一个出口为集团外网接入，另外考虑单独的互联网出口，在互联网指导书出口部署一台高性能出口路由器S

16、R6602-X1 ，提供 15M 的包转发能力，4 个千兆光口， 4 个千兆电口， 2 个万兆接口， 4 个业务扩展槽位，出口路由器要做NAT 转换， SR6602 具备 400万的并发连接数，完全满足园区用户的上网需要，园区内部全部采用私有地址，通过 NAT 后访问互联网，可以很好解决公网地址不足的问题。核心层设计随着园区网信息化的完善，园区的应用越来越多，上网的人也越来越多，业务也遍布办公、娱乐、生活各个领域，接入方式不局限于有线，有高带宽的无线接入，所以园区核心交换机需要同时承载多种业务，所有业务都要经过核心交换机处理，建议核心交换机必须满足大容量、高性能、高可靠、高安全及网络扩展的要求

17、，本次三张网络（内网、外网、智能网）核心层均采用双核心设计，核心交换机采用H3C 多级交换架构（CLOS ）数据中心级交换机S10508-V ，两台核心通过虚拟化技术IRF2 虚拟成一台设备逻辑设备，H3C S10500 是中国国内第一款100G 平台交换机，支持未来40GE和 100GE以太网标准，采用先进的CLOS多级多平面交换架构，独立的交换网板卡，控制引擎和交换网板硬件相互独立，最大程度的提高设备可靠性，同时为后续产品带宽的持续升级提供保证；为了满足数据中心级网络高可靠、高可用、虚拟化的要求，S10500 采用创新IRF2（第二代智能弹性架构）设计，将多台高端设备虚拟化为一台逻辑设备，

18、简化路由协议运行状态与运维管理，同时大大缩短设备及链路出现故障快速切换，避免网络震荡。IRF2 互联链路采用2*10GE 捆绑，保证高可靠及横向互访高带宽。在每台核心交换机S10508 配置配置1 个控制引擎、 3 个电源、 2 个独立的交换引擎、32个万兆光口 （含 4 个万兆单模光模块，2 个万兆多模光模块） ，用于连接楼栋汇聚（保障中心、集控大厅、周转宿舍、多功能综合楼），配置 48 个千兆电接口，便于集团服务器、工作站接入；核心节点到楼层交换机和各大楼汇聚交换机之间通过10GE 链路连接，核心设备支持虚拟化，两台核心可虚拟为一台路由设备，为接入的用户提供缺省网关的冗余，便于后期双核心扩

19、展。IRF2 虚拟化技术核心组网可靠性：实现两台核心交换机S10508-V 虚拟成一台逻辑设备， 通过跨设备链路捆绑实现核心和接入的点对点互联，消除二层网络的环路，这样就直接避免了在网络中部暑STP，同时对于核心的两台设备虚拟化为一台逻辑设备之后，网关也将变成一个，无需部署传统的VRRP协议。指导书在管理层面， 通 IRF2 多虚一之后， 管理的设备数量减少一半以上，对于本项目，管理点只有核心和接入两台设备，网络管理大幅度简化。如下图所示：多级交换（ CLOS）架构核心硬件可靠性：1、转发任务分担到多块交换网板，转发效率急速提升，性能大幅提高2、主控转发物理分离，引擎压力骤减，交换网板相互备份

20、，可靠性更高3、交换网板可热插拔升级，可扩展性能，满足长远需求保障核心节点的高可靠性。数据大集中后整个系统将承载多个业务系统，不同的业务对网络的带宽、时延等要求也不同，这就要求核心交换设备业务与性能并重；核心交换机必须采用功能强大的ASIC 芯片实现业务的分布式线速处理，从而在为用户提供有保障的业务特性的同时保障数据报文的线速转发。指导书汇聚层设计由于 XX 园区各大楼的信息点位较多，各楼层均考虑了接入交换机，所以在三张网络 （内网、外网、智能网）各大楼出口处设计一台高性能汇聚交换机S5800-32F：LS-5800-32F-H3S5800-32F 汇聚交换机主要完成各大楼楼层交换机的汇聚，提

21、供 360Gbps 数据交换能力，具备 156Mpps 的数据包转发能力，天然支持全线速分布式转发，提供24 个千兆接口，4 个万兆接口， 配置 2 个单模万兆上联至两台核心交换机S10508-V ，提供 1 个业务插槽，便于后期接口扩展，接入交换机通过千兆多模连接到汇聚交换机，保证接入交换机的上行带宽，同时在汇聚层交换机支持流量采集功能，可对对整网的全网流量进行分析。根据业务需要，S5800-32F 可扩展 16 端口光接口板，16 端口电接口板， 4 端口万兆接口板，无线控制器插卡（可支持128 个 AP 的接入控制能力） ，满足未来业务扩展的要求。接入层设计XX 园区各大楼楼层的信息点比

22、较多，各楼层单独考虑接入交换机，接入交换机通过千兆单模接到大楼的汇聚交换机，通过六类网线提供本楼层的千兆接入，通过对XX 园区接入需求分析，建议选用H3C 的千兆接入交换机LS-S5110-28P ：LS-S5110-28P POE 交换机提供 256G 的交换容量， 40Mbps 的包转发能力，提供24 个 10/100/1000Base-T 以太网端口和 4 个复用的1000Base-X SFP 千兆以太网端口，实现千兆到桌面设计，千兆以太网逐渐延伸到桌面已经成为最迫切的需要之一，随着园区多媒体应用的增加，应用在消耗大量带宽的同时，也在追求终端用户的满意度，基于铜缆的千兆以太网可以将更多的

23、应用从低速链路中指导书解放出来，并且为罢工人员工作创新提供了一个崭新高效能工作平台。用户认证：XX 园区无线用户包括两部分，内部办公人员和外来办事人员，本次三张网络各配置一套 EIA 终端智能接入：针对内部用户，采用MAC地址认证，职工采用分配固定帐号，并可实现终端MAC地址和IP 地址等多元素的绑定，防止非法用户的访问内部网络。针对访客，系统提供临时接入账号的访客管理功能，访客管理员可创建来宾账号，或访客通过自助系统登记相关信息，并申请访客接入网络服务。通过后台管理批准的访客账号，并以短信方式通知访客帐号和密码，之后可访问内部网络，该账号将在超过保留时长后失效。当用户接入网络后，可强化对用户

24、接入的管理：基于用户的权限控制策略，可以为不同用户定制不同网络访问权限。可以控制用户的上网带宽（ QoS）、限制用户同时在线数、禁止用户设置和使用代理服务器，有效防止个别用户对网络资源的过度占用。支持最大闲置时长限制。可以实现对用户 ACL、VLAN 的控制，限制用户对内部敏感服务器和外部非法网站的访问。指导书可以限制用户IP地址分配策略， 防止 IP 地址盗用和冲突。监控用户认证成功后的IP 地址，若有变更则强制要求下线。可以限制用户的接入时段和接入区域，用户只能在允许的时间和地点上网。可以限制终端用户使用多网卡和拨号网络，禁止修改终端MAC地址，防止内部信息泄露。可以限制用户必须使用专用安

25、全客户端，并强制自动升级，防止安全客户端被破解，确保认证客户端的安全性。接入用户网关配置，提供接入用户网关IP 、 MAC地址配置信息。本次在 XX 集团三张网络 （内网、 外网、智能网） 各配置一套H3C 用户接入管理EIA ，并配置 1000 用户的并发认证许可，实现对本网络内的用户进行接入认证和控制。网络管理系统：集团的网络设备和用户越来越多，有一套智能管理软件，可以大大简化网络管理人员的工作量，同时可以提供网络管理的工作效率，网络管理软件必须具备网络拓扑、网络性能、网络配置、网络安全、网络告警、网络业务的统一管理，同时在其上可以配置有多种业务管理组件，如本次推荐配置有线无线一体化管理组

26、件，方便管理大规模的无线管理网络；智能配置中心，可以方便的管理上百台设备的软件、配置变更、收集软件版本、配置的基线库，为多台设备统一批量配置和升级，大大节省管理员的工作量。本次在 XX 集团三张网络 （内网、 外网、智能网） 各配置一套H3C 智能管理中心IMC ，并配置 50 个节点的管理，实现对本网络内的设备进行智能管理。3.5安全设计安全设计要点安全是一个系统工程，为了合理的解决网络安全问题，必须充分分析网络逻辑组成，网络中不同部分的功能不同，所关注的安全问题也不同。所谓安全威胁，就是未经授权，对位于服务器、 网络和桌面的数据和资源进行访问，甚至破坏或者篡改这些数据/ 资源。 从安全威胁

27、的对象来看，可以分为网络传送过程、网络服务过程和软件应用过程三类。网络传送过程指导书主要针对数据链路层和网络层协议特征中存在的漏洞进行攻击，如常见的监听、 IP 地址欺骗、路由协议攻击、ICMP Smurf 攻击等；网络服务过程主要针对TCP/UDP以及居于其上的应用层协议进行，如常见的UDP/TCP欺骗、 TCP流量劫持、 TCP DoS、 FTP 反弹、 DNS欺骗等等；软件应用过程则针对位于服务器/ 主机上的操作系统以及其上的应用程序，甚至是基于Web的软件系统发起攻击。从安全威胁的手法来看，蠕虫、拒绝服务、监听、木马、病毒 都是常见的攻击工具。对关键的主机系统和子网，能够进行网络资源检

28、查，并及时发现问题。使用安全扫描软件，对关键的主机系统和网络定期进行扫描，可以检查出网络弱点和策略配置上的问题。根据扫描软件发现的问题，及时更新操作系统补丁，查杀病毒，更新安全策略。定期强制更新用户口令，并制定用户口令规则，禁止使用不符合规则的口令。定期检查文件系统的访问权限是否合理，检查用户帐号的使用是否正常。网络边界安全防护在传统的数据中心网络安全部署时，往往是网络与安全各自为战，在网络边界或关键节点串接安全设备( 如 FW、 IPS、 LB 等) 。随着数据中心部署的安全设备的种类和数量也越来越多，这将导致数据中心机房布线、空间、能耗、运维管理等成本越来越高。传统部署方式H3C 插卡部署

29、方式本次方案中采用了H3CSecBlade 安全插卡可直接插在核心交换机S10508-V 的业务槽位，通过交换机背板互连实现流量转发，共用交换机电源、风扇等基础部件。融合部署除了简化机房布线、节省机架空间、简化管理之外，还具备以下优点：指导书互连带宽高。 SecBlade 系列安全插卡采用背板总线与交换机进行互连，背板总线带宽一般可超过 40Gbps，相比传统的独立安全设备采用普通千兆以太网接口进行互连，在互连带宽上有了很大的提升，而且无需增加布线、光纤和光模块成本。业务接口灵活。 SecBlade 系列安全插卡上不对外提供业务接口（仅提供配置管理接口），当交换机上插有 SecBlade 安全

30、插卡时，交换机上原有的所有业务接口均可配置为安全业务接口。此时再也无需担心安全业务接口不够而带来网络安全部署的局限性。性能平滑扩展。当一台交换机上的一块SecBlade 安全插卡的性能不够时，可以再插入一块或多块 SecBlade 插卡实现性能的平滑叠加。而且所有 SecBlade 插卡均支持热插拔，在进行扩展时无需停机中断现有的业务。本次 XX 集团园区项目设计在三张网的核心交换机S10508-V 上部署多种安全插卡：防火墙（ LSQM1FWBSC0）、入侵防御系统（LSQM1IPSSC0），实现网络安全的一体化防护。数据中心出口安全具备访问控制、区域隔离、状态检测等2-4 层安全功能，同时

31、也具备对木马、病毒、蠕虫等应用层安全威胁进行检查、阻断、告警等4-7 层安全防护功能，实现2-7 层的立体安全防护功能。LSQM1FWBSC0防火墙插卡LSQM1IPSSC0入侵防御系统插卡如部署防火墙插卡，防火墙插卡设备虽然部署在交换机框中，但仍然可以看作是一个独立的设备。 它通过交换机内部的10GE接口与网络设备相连，它可以部署为2 层透明设备和三层路由设备。防火墙与交换机之间的三层部署方式与传统盒式设备类似。指导书虚拟防火墙示意图如上图 FW三层部署所示， 防火墙可以与宿主交换机直接建立三层连接，也可以与上游或下游设备建立三层连接，不同连接方式取决于用户的访问策略。可以通过静态路由和缺省

32、路由实现三层互通， 也可以通过OSPF这样的路由协议提供动态的路由机制。如果防火墙部署在服务器区域，可以将防火墙设计为服务器网关设备，这样所有访问服务器的三层流量都将经过防火墙设备，这种部署方式可以提供区域内部服务器之间访问的安全性。防火墙是网络系统的核心基础防护措施，它可以对整个网络进行网络区域分割，提供基于 IP 地址和 TCP/IP 服务端口等的访问控制；对常见的网络攻击方式，如拒绝服务攻击 （ pingof death, land, syn flooding, ping flooding, tear drop）、端口扫描（port scanning）、IP 欺骗 (ip spoofin

33、g)、 IP 盗用等进行有效防护；并提供NAT地址转换、流量限制、用户认证、 IP 与 MAC绑定等安全增强措施。对于云计算数据中心虚拟机服务网关的选择上，建议根据不同用户的安全需求进行区分对待，不建议将所有网关配置在 FW上，以分散 FW的压力，满足用户内的安全域隔离，具体设计如下：对于需要FW的业务的用户，网关部署在vFW上；对于不需要FW的普通用户，网关部署在核心交换机上。多用户安全隔离示意图无线网工程的总体原则如下：侧重实际应用， 覆盖 XX 园区各大楼内所有区域，为教学、 科研、办公及学习、 生活、指导书交流提供切实可用的、稳定的无线网络环境。采取先进通行的协议标准，即目前无线局域网

34、普遍采用802.11 系列标准， 无线局域网提供802.11a 、 802.11b 、 802.11g 、 802.11n 标准的联网支持，提供可供实际应用的稳定网络通讯服务。实现室内无线网络的合理分布，考虑室内实现无线网络的不同情况和特点以及目前办公人员及外来人员手提电脑/ 智能终端（手机、平板电脑）用户数量日益增多的情况，应采取合理的布网方式满足现在以及未来发展的需要。在办公室、会议室采用室内面板式AP 部署或者吸顶AP。新建网络需要实现与现有的无线网和有线网的网络融合与统一管理。在实施无线覆盖工程时，如无特别说明， 以考虑信号覆盖范围为主，单个 AP 的并发用户数及每用户无线上网带宽也要

35、作为工程的重要因素予以考虑。所有 XX 集团园区各大楼内部区域采用部署11n，使得 XX 集团园区的无线接入带宽达到 300M接入带宽， 同时考虑到用户终端的多样性，要求 AP 要向下兼容11a/b/g ，主要吸顶安装为主，两种应用场景，第一种过道式部署，建议一个AP覆盖 6 个左右的办公室，过道安装每隔15-20 米左右安装一个AP，对于第二种场景，1-5 楼比较空旷的展区，建议每个15-20 米安装一个AP。无线系统须具备对无线AP进行统一控制、 管理的软硬件平台，软硬件控制、 管理平台所提供的网元License 数量与实际网元数量相匹配并易于扩充运维系统须提供必要的网络监控、管理、统计、

36、报表功能， 提供足够数量的License授权。无线网系统必须实现与有线网现有认证系统对接，从而实现 XX集团有线网与无线网的统一身份认证。指导书第4章 有线无线一体化设计XX园区网络部分楼栋功能区要考虑无线覆盖，三张网络（内网、外网、智能网）都有无线覆盖要求，三张网络的无线部分分别设计，三张无线网络的逻辑结构和选型完全一致，每栋楼设计1 台 24 口 POE千兆交换机， POE交换机上通过光纤接到大楼汇聚交换机，下连本楼层的无线AP，同时对AP 进行 POE供电，采用FIT AP解决方案，只需要在保障中心三楼机房放置 1 台智能无线控制器(AC) ，AC可支持热备，便于后期双控制器扩展，两个无

37、线控制器互为备份，在接入层部署11n 300M 的智能无线接入点(AP) ，即可完成整网的部署。4.1无线控制器如果仅仅只采用AP本身进行无线覆盖，即传统的胖AP模式进行无线覆盖，采用这样的部署方式去部署XX园区的无线网络有极大的缺点。其一、胖 AP 把所有的配置均配置到AP本身上，如此数量多的AP，使客户的维护管理工作量大大增加。其二、胖AP 无法统一管理控制，AP 之间本身就不能无缝融合，那么就会出现当你离开一个区域到另一个区域时必然出现不断重新认证的问题。其三、 AP与 AP之间无联系，无法实现智能的负载分担和均衡。因此，决定采用统一的无线控制器对AP 进行统一管理， AC+FIT AP（瘦 AP）的组网方式。指导书这样可以大大减少维护管理工作量，能实现无缝漫游和负载分担。此次 XX园区三张网络（内网、外网、智能网）分别设计一台无线控制器WX5510E ，提供 8 个千兆comb 口，和 2 个万兆接口，整机支持512 个 AP 接入能力，本次每台配置128个 AP 接入授权。EWP-WX5510E无线控制器WX5510E采用下列部署方式：集中式控制， 在 XX园区保障中心三楼核心机房三张网络部署各1 台无线控制器，集中对XX 园区各网络内AP进行接入控制。无线控制器支持 N+1 热备，不存在单点故障，