网络建设建议书

1、网络建设建议书 TOC o 1-5 h z HYPERLINK l bookmark0 o Current Document 概述 3 HYPERLINK l bookmark2 o Current Document 建设原则 3建设目标 设计方案总体设计拓扑 HYPERLINK l bookmark10 o Current Document 设计说明 5 HYPERLINK l bookmark12 o Current Document 互联网出口设计 5 HYPERLINK l bookmark14 o Current Document 核心层设计 7 HYPERLINK l bookma

2、rk16 o Current Document 接入层设计 8 HYPERLINK l bookmark18 o Current Document 无线网络设计 8 HYPERLINK l bookmark20 o Current Document 网络管理设计 10 HYPERLINK l bookmark22 o Current Document 终端认证设计 11概述建设原则智能化系统网络建设遵循以下基本原则：高带宽智能化系统网络是一个规模较大同时相对复杂的网络，为了保障全网的高速转发， 全网的组网设计的无瓶颈性，要求方案设计的阶段就要充分考虑到，同时要求核心交换机具有高性能、高带宽的特

3、点，整网的核心交换要求能够提供无瓶颈的数据交换。可增值性智能化系统网络的建设、使用和维护需要投入大量的人力、 物力，因此网络的增值性是 网络持续发展基础。所以在建设时要充分考虑业务的扩展能力， 能针对不同的用户需求提供 丰富的增值业务。可扩充性考虑到用户数量和业务种类发展的不确定性，要求对于核心交换机与汇聚交换机具有强大的扩展功能，智能化系统网络要建设成完整统一、组网灵活、易扩充的弹性网络平台，能 够随着需求变化，充分留有扩充余地。开放性技术选择必须符合相关国际标准及国内标准，避免个别厂家的私有标准或内部协议，确保网络的开放性和互连互通，满足信息准确、安全、可靠、优良交换传送的需要；开放的接

4、口，支持良好的维护、测量和管理手段，提供网络统一实时监控的遥测、遥控的信息处理功能，实现网络设备的统一管理。安全可靠性设计应充分考虑整个网络的稳定性，支持网络节点的备份和线路保护，提供网络安全防范措施。高速率、低延时：为了保障业务的正常开展，以及与安宁的互联互通，计算机网络需要做到高速率，低延 时；其中办公网络需要做到千兆接入、万兆骨干；成熟、稳定、可靠：计算机网络的稳定性直接关系到正常业务的可用性；在设计中应尽量考虑网络品牌的成熟度，以及整网架构稳定、可靠；灵活、可扩展：随着科技的进步、业务的发展，业务应用对计算机网络的要求可能发生变化；这就需要计算机网络具备灵活，可扩展的特性，满足未来3-

5、5年甚至更长商检内，各种的业务需要；安全、易管理：办公网、安防监控网中，都承载着部分敏感信息的传输，同时办公网还连接着互联网； 这就要求计算机网络本身设计足够安全，而且便于维护、管理；建设目标高可用一一网络作为数据中心的基础设施，网络的高可用直接影响到业务系统的 可用性。网络层的高可用至少包括高可靠、高安全和先进性三个方面：高可靠：应采用高可靠的产品和技术，充分考虑系统的应变能力、容错能力和纠错 能力，确保整个网络基础设施运行稳定、可靠。当今，关键业务应用的可用性与性能要求比任何时候都更为重要。高安全：网络基础设计的安全性，涉及到业务的核心数据安全。应按照端到端访问 安全、网络L2-L7层安全

6、两个维度对安全体系进行设计规划，从局部安全、全局 安全到智能安全，将安全理念渗透到整个数据中心网络中。先进性：建成网络将长期支撑业务发展， 网络是数据的基础支撑平台， 因此数据网 络的建设需要考虑后续的机会成本， 采用主流的、先进的技术和产品（如数据中心 级设备、CEE、FCoE、虚拟化支持等），保证基础支撑平台 510年内不会被淘 汰，从而实现投资的保护。设计方案总体设计拓扑F图为本次网络建设的总体设计拓扑图光纤运营商线路设计说明根据客户需求，内网网络架构采用传统的星型结构，由于本次设备未设计汇聚层，所以采用星型二层架构，即核心层 -接入层。大楼内办公室、楼道、会议室实现无线网络覆盖， 并实

7、现无线用户实名制上网。核心层还作为服务器、无线控制器等设备接入；接入层设备主 要有无线POE交换机、办公接入交换机、一卡通设备接入交换机组成，接入层设备采用光 纤双链路上行，与核心交换机两两互联，可以避免单点故障和链路故障造成的业务终端。互联网出口采用满足 1200人使用规模设计，并能满足出口带宽为100M的接入要求。互联网出口设计互联网出口采用一台高性能H3C MSR 5620企业级路由器，作为大楼的互联网访问出口,提供动态和静态的 NAT服务，同时，可以限制访问互联网的终端。提供多样化的VPN技术,包括IPsec L2TP、GRE ADVPN MPLS VPN,以及多种 VPN技术的叠加使

8、用；通过精细化 识别和精细化控制， 实现对应用层业务的限速、带宽保障、过滤等功能，并通过精细化统计 指导网络优化，还能对业务智能选路通过非对称链路负载分担、流量智能负载分担和多拓扑动态路由等技术，实现不同场景下充分利用网络链路H3C MSR 5020路由器在路由器后部署一台 H3C F1060防火墙安全设备，主可以有效的防范DDoS攻击、病毒入侵、黑客攻击等。通过访问控制、安全域划分、黑名单、流量监控、邮件过滤、网页过滤、 应用层过滤等功能，能够有效的保证网络的安全；可对连接状态过程和异常命令进行检测；同时，还支持多种 VPN业务，女口 L2TP VPN GRE VPN、IPSec VPN S

9、SL VPN MPLS VPN等， 满足多种高性能 VPN接入的需求；还提供业界最丰富的NAT特性，满足各大运营商的NAT需求，为内部员工提供互联网访问业务，也可以为企业提供专线上联接入业务。还能通过细分安全域可有效的控制和分割安全事件。H3C F1060防火墙在防火墙后部署一台上网行为管理，可以很好的规范内网员工的上网行为，限制员工肆意使用BT、PPLive等P2P工具下载电影等、在线看电视、看电影、听歌等，能对网络中的 P2P/IM带宽滥用、网络游戏、炒股、网络视频、网络多媒体、非法网站访问等行为进行精 细化识别和控制，保障网络关键应用和服务的带宽，对网络流量、用户上网行为进行深入分析与全

10、面的审计，进而帮助用户全面了解网络应用模型和流量趋势，优化其带宽资源，开展各项业务提供有力的支撑。H3C ACG1000上网行为管理核心层设计核心层采用两台高性能的企业级交换机堆叠，使用虚拟化技术，将两台设备虚拟化一台设备，这样可以避免单点故障并提供更高的性能和方便的管理；基于此，核心层采用的是H3C S7500E系列产品是杭州华三通信技术有限公司（以下简称H3C公司）面向融合业务网络的高端多业务路由交换机，该产品基于H3C自主知识产权的 Comware V7/V7 操作系统，以 IRF2 （Intelligent Resilient Framework 2，第二代智能弹性架 构）、IRF3

11、（Intelligent Resilient Framework3，第三代智能弹性架构）技术为系统基石的虚拟 化软件系统，支持云数据中心化所需的TRILL EVB FCoE和MDC （虚多）技术，完全兼容40GE和100GE以太网标准，进一步融合 MPLS VPN IPv6、网络安全、无线、无源光网络 等多种网络业务，提供不间断转发、不间断升级、优雅重启、环网保护等多种高可靠技术， 在提高用户生产效率的同时，保证了网络最大正常运行时间，从而降低了客户的总拥有成本(TCQ)H3C S7500E基于40G, 100G平台设计，符合“限制电子设备有害物质标准(RoHS ”，是绿色环保的路由交换机。接

12、入层设计接入层设备主要分为无线 POE交换机、办公接入交换机、一卡通接入交换机，根据接入层设备的功能和接入设备不同，无线POE交换机采用H3C 5110-28-PWR POE交换机，办公接入交换机采用 H3C 5110-52P、一通接入交换机采用 H3C 5110-10P-PWR POE交换机。H3C 5110系列交换机接口丰富，满足各个接入用户以千兆带宽高速接入应用，同时提 供丰富的安全策略特性，提升了网络对ARP病毒、蠕虫等新兴安全威胁的整体防御能力。H3C 5110系列交换机无线网络设计本次无线网络采用无线控制器 +FIT的方式组网无线控制器采用 H3C WX3510H无线控制器，通过配

13、备高性能多核CPU,可以做到无线隧道全尺寸报文线速转发。采用H3C全新一代Comware V7网络操作系统平台(以下简称V7系统)，除支持原系统的精细化用户控制管理、完善的射频资源管理、7X24小时无线安全管控、二三层快速漫游、灵活的QoS控制、IPv4&IPv6双栈等多项功能之外，还支持多核控制平面、新一代无线定位、Bonjour、Hotspot2.0等新兴的无线软件特性。相比传统无线控制器，WX3500H系列支持云计算管理、分层AC IRF等多种灵活的组网方式。H3C WX3510H无线控制器根据大楼内无线网络的需求不同，本次采用两种无线AP,在楼道，办公室等区域采用放装型AP进行无线覆盖

14、，小、中、大会议室采用高密接入型AP进行无线覆盖。放装型AP采用H3C WA4320-ACN-SI无线AP。H3C WA4320系列无线产品是杭州华三通信技术有限公司（H3C）自主研发的新一代基于 2-Streams 11ac MIMO技术的千兆高速无线接 入设备（以下简称AP），可提供相当于传统 802.11 n网络3倍以上的无线接入速率，能够覆盖更大的范围。该 AP全部内置天线，外型小巧美观，安装方式灵活，适用于壁挂、吸顶等多 种安装方式。H3C WA4320-ACN-SI无线 AP高密型AP采用H3C WA5620i-ACN-SI无线AP。该AP是杭州华三通信技术有限公司（H3C）自主研

15、发的新一代基于4-Streams 11ac MIMO技术的超千兆高速无线接入设备，支持802.11ac Wave2最新技术标准，该系列无线产品上行链路采用2.5G以太网接口，突破了千兆以太网接口的限制，使无线多媒体应用成为现实， 并采用双以太网配置，双接口 PoE供电。属于WA5600系列产品，全部内置天线，安装方式灵活，适用于壁挂、吸顶等多种安装方式。WA5620i-ACN提供高速无线接入速率，支持802.11ac 2.4G终端用户接入速率达 800Mbps，802.11ac 5G终端用户接入速率达到1733Mbps。最高提供2.5G超高接入速率。H3CH3C WA5620i-ACN无线 A

16、P网络管理设计由于本次网络建设，所设计网络设备较多，为便于后期维护和管理，部署一套H3C iMC智能管理中心平台，为用户提供了实用、 易用的网络管理功能， 在网络资源的集中管理基础 上，实现拓扑、故障、性能、配置、安全、ACL、报表、IP/MAC、来宾接入等管理功能，不仅提供功能，更通过流程向导的方式告诉用户如何使用功能满足业务需求，为用户提供了网络精细化管理最佳的工具软件。H3C智能管理平台除了涵盖网络管理功能外，还是其他业务管理组件的承载平台，共同实现了管理的深入融合联动。本次无线AP数量也较多，为了方便统一管理，在智能管理中心平台上部署一套 iMC WSM 无线业务管理功能。 WSM无线

17、业务管理组件依托iMC智能管理平台，实现有线无线一体化 的管理，在iMC系统全面的有线网络管理的基础上，为管理员提供无线网络管理能力。管 理员无需重新搭建IT管理平台，即可在原有的有线网络管理系统中增加无线管理功能，与 有线管理平台统一部署，节省用户投入，节约维护成本。H3C无线业务管理组件（WSM） 在下一代业务软件平台 iMC 的基础上进行开发，不仅为管理员提供了灵活的组件选择，同 时符合业界主流的 SOA架构，具备良好的扩展性，能够满足客户网络管理不断发展的需求。基于Web的管理系统，为无线业务管理者提供了简便、友好的管理平台。与iMC智能管理平台及其它组件配合， 还可实现无线设备的面板管理、 故障管理、 性能监控、 软件版本管理、 配置文件管理、 接入用户管理