基地园区网络方案建议书

XX集团园区网络技术建议书杭州华三通信技术有限公司目录TOC\o"1-4"\h\z\u总体建设规定根据XX园区信息化对计算机网络系统的需求，我们选择采用基于TCP/IP合同的、以1/10GBASE-X光纤链路为骨干的网络，各楼栋内采用千兆到桌面，规定能兼容IPV4与IPV6，通过VLAN划分不同逻辑区域分别供不同部门的接入使用。在共用主干网络线路的前提下实现各区域的逻辑性隔离，以实现安全、使用以及资源运用最大化。区域划分XX公司园区网由四栋新建楼宇构成，分别是保障中心、集控大厅、周转宿舍、多功效综合楼；保障中心作为整个园区的网络核心，中心机房布署在三楼，分别通过光缆连接其它楼栋，大楼内设立汇聚交换机，接入交换机对本大楼内的信息点位进行接入。网络拓朴的设计根据业务状况，把园区网络分为3套网络：内网、外网、智能网，三套网络规定物理隔离；网络主体架构采用星型拓朴构造，计算机网络系统考虑在保障中心三楼机房各设计2台万兆交换机作为XX公司个业务网络的核心交换机，同时必须虚拟化能力，采用双核心设计，把双核心虚拟成一台含有高性能、高可靠、高安全的虚拟交换机；核心交换机通过万兆单光缆连接到保障中心、集控大厅、周转宿舍、多功效综合楼的汇聚机房，根据信息点位设计一台万兆汇聚交换机，通过千兆单模对本楼层的接入交换机提供接入，楼层设计多台千兆接入交换机对本栋大楼信息点提供千兆桌面接入。网络管理系统基于网络中所涉及的设备较多，需要对设备进行状态检测、设备配备、方略设立等，在网络发生故障时能够及时发现问题，这需要一套功效强大的网络管理软件。方案中选用智能网管软件作为局域网管理平台，能够与方案中设计的网络设备、安全设备、无线、监控良好配合。无线覆盖设计运用无线网络技术进一步扩展网络的覆盖范畴，提高网络的顾客自适应性，在无线的覆盖范畴内实现数据业务和语音业务的无线传输，并且可实现三层漫游，使无线局域网和有线网成为一种整体，提供安全的无线接入。无线规定采用FITAP组网方式，由无线控制器对集团内全部的无线AP进行统一接入管理，AP供电采用POE远程供电方式；对IP地址、DNS等网络基础资源的规划XX共有上千个网络点及多个无线AP，其IP地址划分按C类合同划分，能够考虑不同楼栋的不同部门上网采用不同的ＩＰ段。对安全的考虑方案中对系统安全作以下考虑，在对外连接上采用高性能防火墙，提供充足的千兆端口和解决系能。对于集团上网的多个应用进行行为和流量控制，配备应用控制网关，对集团多个行为进行精细化管理和控制，对上网行为提供事后行为审计能力。综合布线综合布线是本次网络改造的重点，规定做点规范、整洁、美观、方便、耐用，楼栋之间采用室外光缆进行布放，光缆两端采用光端盒，光端盒必须出可接跳线的耦合器，不能直接出尾纤。光缆必须走地下，不能从空中拉；室内采用六类非屏蔽线缆，除了新教学楼，其它大楼均采用一种弱电机房，全部信息点的网线直接拉到大楼弱电机房，在机房采用配线架集中整合。线缆布放必须采用桥架方式进行布放；XX公司网络建设的总体目的是建立一种开放的、基于原则的数字化园区系统平台，运用公司信息交换、资源共享、远程会议等当代化办公手段，面对员工及顾客提供个性化、人性化的服务。并可支持将来数据、语音和视频等多业务在现有网络技术平台的融合。计算机网络系统是整个XX公司信息管理系统的基础平台与设施，为确保信息管理系统应用系统的高效、安全、可靠，必须在整个网络系统建设方案设计中按照国家和行业原则，达成一定的设计、建设原则和目的。建设一种支持数字化、网络化、自动化的国内先进的基础网络平台，满足数字化公司建设的需要，也满足公司信息化建设的长久规定。网络平台含有良好的服务质量、较高安全性、便于管理和维护，能够支持公司的多个办公和科研应用，也支持移动办公、信息公布。设计原则在XX公司网络建设项目中，为节省顾客投资，确保业务的正常、优质开展，整个网络系统必须总体规划，统一原则。为达成XX公司网络建设的目的规定，在网络设计构建中，应坚持下列建网原则：需求驱动原则：以实际应用需求为根据，选择技术和设备。根据公司信息化建设的实际需求，考虑远程办公与合作，特别是数据信息传输与数字视频业务的需要，要充足考虑网络系统的服务质量和可靠性。根据现在的需求和能够预见的需求增加状况设计网络，不追求空洞的技术先进性，避免追求高档和最新技术耗费的巨大代价。先进性原则：公司信息化需要最新技术的支撑，特别是网络技术和多媒体计算机技术，必须采用先进成熟的技术，并兼顾将来发展趋势。本方案所选择H3C公司设备在技术上含有很强的先进性，其性能、技术体系可确保公司5-8年的发展需要，有力的保护了公司投资。投资保护原则：由于公司已在网络应用方面做了大量的投入进行信息化建设，公司信息化在各部门或不同的应用上对网络的需求不尽相似，原有的诸多工作已经证明是有效的，这部分软硬件能够继续发挥作用，从而保护原有投资，节省建设经费。原则化原则：从机房建设、综合布线工程规范、到网络技术原则和网络合同，都有对应的国际原则和国标，全部设计与建设要遵照该原则，从而能够实现原则化管理，延长整体项目的生命周期，做到投资保护。安全性原则：公司信息化工作的特殊性，对网络与信息安全提出了很高的规定。由于安全性的规定与投入成正比，并且涉及管理与应用的方方面面，是一种复杂的系统工程，事实上没有一种绝对安全的系统，安全只是相对而言，因此该原则是充足评定安全风险，制订安全方略，采用必要的安全方法。是避免非法访问者通过互联网络对网络节点进行攻击的能力。从网络设备来讲，避免外部攻击重要靠路由器实现，华为路由器在这方面含有独到的优势。华为3COM产品的全部软件及硬件均为公司自行开发研制，含有完全的知识产权。工程原则：网络系统建设涉及机房与网络配线间环境、通信管道与通信线缆、楼内综合布线系统、电源及其防护、网络交换机与路由器、服务器设备以及有关的软硬件系统，在设计建设时要体现工程原则，做到有工程规划、项目有设计、实施有控制等，实现整个系统的可管理、可维护、可扩展和可升级。强健性及开放性：它应含有较好的收敛性和可扩展性，同时其网络额外开销是极小的，且受到国际原则的支持，确保不同设备见的互通性。可扩展性：考虑到此后信息化的进程和逐步演进，网络要建设成完整统一、组网灵活、易扩充的弹性网络平台，能够随着需求变化，充足留有扩充余地。经济性：应当充足的运用现有的网络资源，充足考虑经济和安全的最佳结合点。设备在保障性能和可靠安全的基础上，应能达成最佳性价比。网络整体方案设计总体网络设计描述从应用构造上来讲，XX公司网络系统可分为三个大的层次：互联支撑网络互联支撑网络安全保障系统网络业务应用互联支撑层是XX公司管理网的基础，由XX公司管理中心统一规划、构建及管理，支撑层运用宽带IP技术，确保网络的互联互通性，提供含有一定QoS的带宽确保，并提供各部门、系统网络间的一定隔离，确保互访的安全控制；安全保障系统是指通过认证、加密、授权、绑定控制等技术对XX公司管理网上的顾客访问及数据实施安全保障的监控系统，他与互联支撑层相对独立，由管理中心与各部门单位共同规划，分布构建，如数据加密等方法建议在顾客网络处(各部门)实施；业务应用层就是在安全互联的基础上实施XX公司管理网的多个应用，由管理中心与各系统单位统一规划，分别实施。在本方案中，各个网络系统均采用星型构造，星型构造特点是构造简朴，时延固定，便于管理和故障排除，接入层单点故障不会影响整个网络，提高网络的可靠性。网络构造设计网络的拓扑构造很大程度上决定了网络的性能，常见的网络拓扑构造重要有星型构造、网状构造、环形构造等几个，根据XX集团园区网的特点，结合性能和经济方面的考虑，推荐采用星型构造搭建园区网。根据功效区的不同划分为下列3层，核心层、汇聚层、接入层：名称功效备注核心设备核心层为网络提供骨干组件或高速交换组件，高效速度传输是核心层的目的核心交换机采用基于CLOS多级交换架构的交换机S10500，控制和转发物理分离，真正确保大数据量的无阻塞转发，同时支持多业务安全插卡，确保整个网络的数据传输安全汇聚设备汇聚层是核心层和终端顾客接入层的分界面，汇聚交换选择S5800万兆交换机，提供24个千兆光口，4个万兆光接口，对上通过万兆单模连接到两台核心，向下采用多模千兆接入楼层接入交换机，汇聚层完毕网络访问的方略控制、广播域的定义、VLAN间的路由、数据包解决、过滤寻址及其它数据解决的任务。接入设备接入层向本地网段提供顾客接入。接入交换机采用S5110千兆交换机，通过千兆多模接到汇聚交换机，通过六类网线提供顾客千兆接入，重要提供网络分段、广播能力、多播能力、介质访问的安全性、MAC地址的过滤和路由发现等任务网络拓扑图网络拓扑图（内网）网络拓扑图（外网）网络拓扑图（智能网）组网描述根据本期工程的需求和建设目的，整个园区网络分为三张网络：内网、外网、智能网，三张网络的逻辑构造及设备选型类似，规定三张网络物理隔离，独立组网；网络构造设计上采用三层架构，核心交换机、汇聚交换机、接入交换机，楼间采用万兆单模连接，大楼内的汇聚和接入通过千兆单模光纤连接，千兆到桌面，同时实现园区部分场合的无线无缝覆盖，为园区提供高速、稳定、方便的无线接入平台，确保园区多个应用能够随时随处的开展。网络出口设计三张网络（内网、外网、智能网）的出口分别通过核心交换机接到集团原有对应网络上，在核心交换机上布署安全插卡（防火墙、入侵防御系统），有效制止来自网络中的多个安全威胁，如黑客、木马、病毒、网页篡改等；在外网考虑两个出口，一种出口为集团外网接入，另外考虑单独的互联网出口，在互联网出口布署一台高性能出口路由器SR6602-X1，提供15M的包转发能力，4个千兆光口，4个千兆电口，2个万兆接口，4个业务扩展槽位，出口路由器要做NAT转换，SR6602含有400万的并发连接数，完全满足园区顾客的上网需要，园区内部全部采用私有地址，通过NAT后访问互联网，能够较好解决公网地址局限性的问题。核心层设计随着园区网信息化的完善，园区的应用越来越多，上网的人也越来越多，业务也遍及办公、娱乐、生活各个领域，接入方式不局限于有线，有高带宽的无线接入，因此园区核心交换机需要同时承载多个业务，全部业务都要通过核心交换机解决，建议核心交换机必须满足大容量、高性能、高可靠、高安全及网络扩展的规定，本次三张网络（内网、外网、智能网）核心层均采用双核心设计，核心交换机采用H3C多级交换架构（CLOS）数据中心级交换机S10508-V，两台核心通过虚拟化技术IRF2虚拟成一台设备逻辑设备，H3CS10500是中国国内第一款100G平台交换机，支持将来40GE和100GE以太网原则，采用先进的CLOS多级多平面交换架构，独立的交换网板卡，控制引擎和交换网板硬件互相独立，最大程度的提高设备可靠性，同时为后续产品带宽的持续升级提供确保；为了满足数据中心级网络高可靠、高可用、虚拟化的规定，S10500采用创新IRF2（第二代智能弹性架构）设计，将多台高端设备虚拟化为一台逻辑设备，简化路由合同运行状态与运维管理，同时大大缩短设备及链路出现故障快速切换，避免网络震荡。IRF2互联链路采用2*10GE捆绑，确保高可靠及横向互访高带宽。在每台核心交换机S10508配备配备1个控制引擎、3个电源、2个独立的交换引擎、32个万兆光口（含4个万兆单模光模块，2个万兆多模光模块），用于连接楼栋汇聚（保障中心、集控大厅、周转宿舍、多功效综合楼），配备48个千兆电接口，便于集团服务器、工作站接入；核心节点到楼层交换机和各大楼汇聚交换机之间通过10GE链路连接，核心设备支持虚拟化，两台核心可虚拟为一台路由设备，为接入的顾客提供缺省网关的冗余，便于后期双核心扩展。IRF2虚拟化技术——核心组网可靠性：实现两台核心交换机S10508-V虚拟成一台逻辑设备，通过跨设备链路捆绑实现核心和接入的点对点互联，消除二层网络的环路，这样就直接避免了在网络中部暑STP，同时对于核心的两台设备虚拟化为一台逻辑设备之后，网关也将变成一种，无需布署传统的VRRP合同。在管理层面，通IRF2多虚一之后，管理的设备数量减少二分之一以上，对于本项目，管理点只有核心和接入两台设备，网络管理大幅度简化。以下图所示：多级交换（CLOS）架构——核心硬件可靠性：1、转发任务分担到多块交换网板，转发效率急速提高，性能大幅提高2、主控转发物理分离，引擎压力骤减，交换网板互相备份，可靠性更高3、交换网板可热插拔升级，可扩展性能，满足久远需求保障核心节点的高可靠性。数据大集中后整个系统将承载多个业务系统，不同的业务对网络的带宽、时延等规定也不同，这就规定核心交换设备业务与性能并重；核心交换机必须采用功效强大的ASIC芯片实现业务的分布式线速解决，从而在为顾客提供有保障的业务特性的同时保障数据报文的线速转发。汇聚层设计由于XX园区各大楼的信息点位较多，各楼层均考虑了接入交换机，因此在三张网络（内网、外网、智能网）各大楼出口处设计一台高性能汇聚交换机S5800-32F：LS-5800-32F-H3S5800-32F汇聚交换机重要完毕各大楼楼层交换机的汇聚，提供360Gbps数据交换能力，含有156Mpps的数据包转发能力，天然支持全线速分布式转发，提供24个千兆接口，4个万兆接口，配备2个单模万兆上联至两台核心交换机S10508-V，提供1个业务插槽，便于后期接口扩展，接入交换机通过千兆多模连接到汇聚交换机，确保接入交换机的上行带宽，同时在汇聚层交换机支持流量采集功效，可对对整网的全网流量进行分析。根据业务需要，S5800-32F可扩展16端口光接口板，16端口电接口板，4端口万兆接口板，无线控制器插卡（可支持128个AP的接入控制能力），满足将来业务扩展的规定。接入层设计XX园区各大楼楼层的信息点比较多，各楼层单独考虑接入交换机，接入交换机通过千兆单模接到大楼的汇聚交换机，通过六类网线提供本楼层的千兆接入，通过对XX园区接入需求分析，建议选用H3C的千兆接入交换机LS-S5110-28P：LS-S5110-28PPOE交换机提供256G的交换容量，40Mbps的包转发能力，提供24个10/100/1000Base-T以太网端口和4个复用的1000Base-XSFP千兆以太网端口，实现千兆到桌面设计，千兆以太网逐步延伸到桌面已经成为最迫切的需要之一，随着园区多媒体应用的增加，应用在消耗大量带宽的同时，也在追求终端顾客的满意度，基于铜缆的千兆以太网能够将更多的应用从低速链路中解放出来，并且为罢工人员工作创新提供了一种崭新高效能工作平台。顾客认证：XX园区无线顾客涉及两部分，内部办公人员和外来办事人员，本次三张网络各配备一套EIA终端智能接入：针对内部顾客，采用MAC地址认证，职工采用分派固定帐号，并可实现终端MAC地址和IP地址等多元素的绑定，避免非法顾客的访问内部网络。针对访客，系统提供临时接入账号的访客管理功效，访客管理员可创立来宾账号，或访客通过自助系统登记有关信息，并申请访客接入网络服务。通过后台管理同意的访客账号，并以短信方式告知访客帐号和密码，之后可访问内部网络，该账号将在超出保存时长后失效。当顾客接入网络后，可强化对顾客接入的管理：基于顾客的权限控制方略，可觉得不同顾客定制不同网络访问权限。能够控制顾客的上网带宽（QoS）、限制顾客同时在线数、严禁顾客设立和使用代理服务器，有效避免个别顾客对网络资源的过分占用。支持最大闲置时长限制。能够实现对顾客ACL、VLAN的控制，限制顾客对内部敏感服务器和外部非法网站的访问。能够限制顾客IP地址分派方略，避免IP地址盗用和冲突。监控顾客认证成功后的IP地址，若有变更则强制规定下线。能够限制顾客的接入时段和接入区域，顾客只能在允许的时间和地点上网。能够限制终端顾客使用多网卡和拨号网络，严禁修改终端MAC地址，避免内部信息泄露。能够限制顾客必须使用专用安全客户端，并强制自动升级，避免安全客户端被破解，确保认证客户端的安全性。接入顾客网关配备，提供接入顾客网关IP、MAC地址配备信息。本次在XX集团三张网络（内网、外网、智能网）各配备一套H3C顾客接入管理EIA，并配备1000顾客的并发认证许可，实现对本网络内的顾客进行接入认证和控制。网络管理系统：集团的网络设备和顾客越来越多，有一套智能管理软件，能够大大简化网络管理人员的工作量，同时能够提供网络管理的工作效率，网络管理软件必须含有网络拓扑、网络性能、网络配备、网络安全、网络告警、网络业务的统一管理，同时在其上能够配备有多个业务管理组件，如本次推荐配备有线无线一体化管理组件，方便管理大规模的无线管理网络；智能配备中心，能够方便的管理上百台设备的软件、配备变更、收集软件版本、配备的基线库，为多台设备统一批量配备和升级，大大节省管理员的工作量。本次在XX集团三张网络（内网、外网、智能网）各配备一套H3C智能管理中心IMC，并配备50个节点的管理，实现对本网络内的设备进行智能管理。安全设计安全设计要点安全是一种系统工程，为了合理的解决网络安全问题，必须充足分析网络逻辑构成，网络中不同部分的功效不同，所关注的安全问题也不同。所谓安全威胁，就是未经授权，对位于服务器、网络和桌面的数据和资源进行访问，甚至破坏或者篡改这些数据/资源。从安全威胁的对象来看，能够分为网络传送过程、网络服务过程和软件应用过程三类。网络传送过程重要针对数据链路层和网络层合同特性中存在的漏洞进行攻击，如常见的监听、IP地址欺骗、路由合同攻击、ICMPSmurf攻击等；网络服务过程重要针对TCP/UDP以及居于其上的应用层合同进行，如常见的UDP/TCP欺骗、TCP流量劫持、TCPDoS、FTP反弹、DNS欺骗等等；软件应用过程则针对位于服务器/主机上的操作系统以及其上的应用程序，甚至是基于Web的软件系统发起攻击。从安全威胁的手法来看，蠕虫、回绝服务、监听、木马、病毒…都是常见的攻击工具。对核心的主机系统和子网，能够进行网络资源检查，并及时发现问题。使用安全扫描软件，对核心的主机系统和网络定时进行扫描，能够检查出网络弱点和方略配备上的问题。根据扫描软件发现的问题，及时更新操作系统补丁，查杀病毒，更新安全方略。定时强制更新顾客口令，并制订顾客口令规则，严禁使用不符合规则的口令。定时检查文献系统的访问权限与否合理，检查顾客帐号的使用与否正常。网络边界安全防护在传统的数据中心网络安全布署时，往往是网络与安全各自为战，在网络边界或核心节点串接安全设备(如FW、IPS、LB等)。随着数据中心布署的安全设备的种类和数量也越来越多，这将造成数据中心机房布线、空间、能耗、运维管理等成本越来越高。传统布署方式H3C插卡布署方式本次方案中采用了H3CSecBlade安全插卡可直接插在核心交换机S10508-V的业务槽位，通过交换机背板互连实现流量转发，共用交换机电源、电扇等基础部件。融合布署除了简化机房布线、节省机架空间、简化管理之外，还含有下列优点：互连带宽高。SecBlade系列安全插卡采用背板总线与交换机进行互连，背板总线带宽普通可超出40Gbps，相比传统的独立安全设备采用普通千兆以太网接口进行互连，在互连带宽上有了很大的提高，并且无需增加布线、光纤和光模块成本。业务接口灵活。SecBlade系列安全插卡上不对外提供业务接口（仅提供配备管理接口），当交换机上插有SecBlade安全插卡时，交换机上原有的全部业务接口均可配备为安全业务接口。此时再也无需紧张安全业务接口不够而带来网络安全布署的局限性。性能平滑扩展。当一台交换机上的一块SecBlade安全插卡的性能不够时，能够再插入一块或多块SecBlade插卡实现性能的平滑叠加。并且全部SecBlade插卡均支持热插拔，在进行扩展时无需停机中断现有的业务。本次XX集团园区项目设计在三张网的核心交换机S10508-V上布署多个安全插卡：防火墙（LSQM1FWBSC0）、入侵防御系统（LSQM1IPSSC0），实现网络安全的一体化防护。数据中心出口安全含有访问控制、区域隔离、状态检测等2-4层安全功效，同时也含有对木马、病毒、蠕虫等应用层安全威胁进行检查、阻断、告警等4-7层安全防护功效，实现2-7层的立体安全防护功效。LSQM1FWBSC0防火墙插卡LSQM1IPSSC0入侵防御系统插卡如布署防火墙插卡，防火墙插卡设备即使布署在交换机框中，但仍然能够看作是一种独立的设备。它通过交换机内部的10GE接口与网络设备相连，它能够布署为2层透明设备和三层路由设备。防火墙与交换机之间的三层布署方式与传统盒式设备类似。虚拟防火墙示意图如上图FW三层布署所示，防火墙能够与宿主交换机直接建立三层连接，也能够与上游或下游设备建立三层连接，不同连接方式取决于顾客的访问方略。能够通过静态路由和缺省路由实现三层互通，也能够通过OSPF这样的路由合同提供动态的路由机制。如果防火墙布署在服务器区域，能够将防火墙设计为服务器网关设备，这样全部访问服务器的三层流量都将通过防火墙设备，这种布署方式能够提供区域内部服务器之间访问的安全性。防火墙是网络系统的核心基础防护方法，它能够对整个网络进行网络区域分割，提供基于IP地址和TCP/IP服务端口等的访问控制；对常见的网络攻击方式，如回绝服务攻击（pingofdeath,land,synflooding,pingflooding,teardrop）、端口扫描（portscanning）、IP欺骗(ipspoofing)、IP盗用等进行有效防护；并提供NAT地址转换、流量限制、顾客认证、IP与MAC绑定等安全增强方法。对于云计算数据中心虚拟机服务网关的选择上，建议根据不同顾客的安全需求进行辨别看待，不建议将全部网关配备在FW上，以分散FW的压力，满足顾客内的安全域隔离，具体设计以下：对于需要FW的业务的顾客，网关布署在vFW上； 对于不需要FW的普通顾客，网关布署在核心交换机上。多顾客安全隔离示意图无线网工程的总体原则以下：侧重实际应用，覆盖XX园区各大楼内全部区域，为教学、科研、办公及学习、生活、交流提供切实可用的、稳定的无线网络环境。采用先进通行的合同原则，即现在无线局域网普遍采用802.11系列原则，无线局域网提供802.11a、802.11b、802.11g、802.11n原则的联网支持，提供可供实际应用的稳定网络通讯服务。实现室内无线网络的合理分布，考虑室内实现无线网络的不同状况和特点以及现在办公人员及外来人员手提电脑/智能终端（手机、平板电脑）顾客数量日益增多的状况，应采用合理的布网方式满足现在以及将来发展的需要。在办公室、会议室采用室内面板式AP布署或者吸顶AP。新建网络需要实现与现有的无线网和有线网的网络融合与统一管理。在实施无线覆盖工程时，如无特别阐明，以考虑信号覆盖范畴为主，单个AP的并发顾客数及每顾客无线上网带宽也要作为工程的重要因素予以考虑。全部XX集团园区各大楼内部区域采用布署11n，使得XX集团园区的无线接入带宽达成300M接入带宽，同时考虑到顾客终端的多样性，规定AP要向下兼容11a/b/g，重要吸顶安装为主，两种应用场景，第一种过道式布署，建议一种AP覆盖6个左右的办公室，过道安装每隔15-20米左右安装一种AP，对于第二种场景，1-5楼比较空旷的展区，建议每个15-20米安装一种AP。无线系统须含有对无线AP进行统一控制、管理的软硬件平台，软硬件控制、管理平台所提供的网元License数量与实际网元数量相匹配并易于扩充运维系统须提供必要的网络监控、管理、统计、报表功效，提供足够数量的License授权。无线网系统必须实现与有线网现有认证系统对接，从而实现XX集团有线网与无线网的统一身份认证。有线无线一体化设计XX园区网络部分楼栋功效区要考虑无线覆盖，三张网络（内网、外网、智能网）都有无线覆盖规定，三张网络的无线部分分别设计，三张无线网络的逻辑构造和选型完全一致，每栋楼设计1台24口POE千兆交换机，POE交换机上通过光纤接到大楼汇聚交换机，下连本楼层的无线AP，同时对AP进行POE供电，采用FITAP解决方案，只需要在保障中心三楼机房放置1台智能无线控制器(AC)，AC可支持热备，便于后期双控制器扩展，两个无线控制器互为备份，在接入层布署11n300M的智能无线接入点(AP)，即可完毕整网的布署。无线控制器如果仅仅只采用AP本身进行无线覆盖，即传统的胖AP模式进行无线覆盖，采用这样的布署方式去布署XX园区的无线网络有极大的缺点。其一、胖AP把全部的配备均配备到AP本身上，如此数量多的AP，使客户的维护管理工作量大大增加。其二、胖AP无法统一管理控制，AP之间本身就不能无缝融合，那么就会出现当你离开一种区域到另一种区域时必然出现不停重新认证的问题。其三、AP与AP之间无联系，无法实现智能的负载分担和均衡。因此，决定采用统一的无线控制器对AP进行统一管理，AC+FITAP（瘦AP）的组网方式。这样能够大大减少维护管理工作量，能实现无缝漫游和负载分担。本次XX园区三张网络（内网、外网、智能网）分别设计一台无线控制器WX5510E，提供8个千兆comb口，和2个万兆接口，整机支持512个AP接入能力，本次每台配备128个AP接入授权。EWP-WX5510E无线控制器WX5510E采用下列布署方式：集中式控制，在XX园区保障中心三楼核心机房三张网络布署各1台无线控制器，集中对XX园区各网络内AP进行接入控制。无线控制器支持N+1热备，不存在单点故障，AP分批实施时AC可按需扩容，布署方案灵活；多业务无线控制器WX5510E集精细的顾客控制管理、完善的管理及安全机制、快速漫游、超强的QoS及IPv4&IPv6等多功效于一体，提供强大的WLAN接入控制功效。顾客管理、加密、漫游、AP管理等功效全部集中到无线控制器上进行，减轻了AP负担，在规模越大的网络上管理越简朴，同时无线控制器会自动调节AP的工作信道以及发射功率。这样能够简化整个网络AP的管理，提高设备的工作效率。无线AP由于无线WLAN采用冲突避免的载波侦听多路访问机制当顾客数量多大，顾客接入速度就会受到影响。普通建议每AP按照25～30户规划为最佳，如果使用双频AP，则每个频段能规划25～30个顾客。在覆盖范畴上：普通来说，AP在室内普通环境下覆盖30米。在接入速率上：采用11N300M的AP，大大超出了传统的无线AP接入速率，能够较好的确保网络数据的高速传输。针对园区各功效区域的无线场景，建议吸顶放装型APEWP-WA2620i-AGN-FIT和面板APEWP-WA2610H-GN-FIT。正对会议室、过道、咖啡厅等采用放装型AP，对于办公室、接待中心采用面板型AP。放装AWA2620面板APWA2610H-GN吸顶放装示意图AP内置终端智能感知型天线，直接吸顶安装于天花板即可，无需外接天线。面板AP安装示意图5步！安装一种AP只需3~5分钟。WA2610H-GN采用国际原则的插座安装办法进行设计，和其它开关面板同样，更换一种面板式AP只需要简朴的5个环节，总耗时不超出5分钟，能够极大的加紧客户布署无线网络的速度。WA2610H-GN之5步安装办法POE供电接入交换机采用支持POE供电的交换机，可提供最大24口POE供电，POE接入交换机通过光纤与各自楼栋汇聚交换机互联。本次选用H3CLS-S5110-28P-PWR作为AP的数据接入和远程供电设备，LS-S5110-28P-PWR提供24个10/100/1000Base-T以太网端口，4个1000Base-X以太网端口，提供370WPOE输出能力，满足24个千兆电口同时POE供电。LS-S5110-28P-PWRPOE交换机PoE交换机在无线布署工程中含有非常明显的优势，具体以下：简化安装，减少成本，不需为每个网络设备单独提供数据和电力线缆。灵活性提高，网络装置可被安装在任何位置，而不需靠近一种已存在的电源输出口。可靠性增强，有SNMP能力的PoE装置，可实施远程检测和控制，能有效地解决或修理装置的耗电量和（或）失效故障。交换机通过以太网线来汇聚AP的流量，同时为AP提供电源，这样能够简化布线，布署美观，同时减少故障点，提高网络的可靠性。根据XX园区实际状况，在每栋楼布署对应的POE交换机对AP进行POE供电。无线网管运维为了对XX园区网的无线网络、有线网络等设备进行统一有效的管理，能够实时监控网络设备的运行状况，网络拓扑构造的变化等网络问题，全部在本次的XX集团园区无线网络建设中拟配备智能网络管理系统，该智能管理系统平台实现网络资源、顾客和业务的融合管理，提供基本的网络资源管理、拓扑管理、故障管理、性能管理、顾客管理及系统安全管理，更科学合理的规划和管理网络，实现对涉及交换机、无线AP，无线控制器的统一管理。针对无线运维管理，本次配备三张网各配备一套H3CWSM无线运维管理，实现整个园区无线网络的统一管理，对于网络中的AC、FATAP、FITAP、移动终端、POE交换机等无线设备与有线设备进行一体化集中管理，全网设备信息和状态一目了然。网络资源通过多个视图进行查看，视图内分组管理，将规模巨大的无线接入设备有效组织，便于管理员维护。无线顾客认证XX园区无线顾客涉及两部分，内部办公人员和外来办事人员，本次三张网络各配备一套EIA终端智能接入：针对内部顾客，采用MAC地址认证，职工采用分派固定帐号，并可实现终端MAC地址和IP地址等多元素的绑定，避免非法顾客的访问内部网络。针对访客，系统提供临时接入账号的访客管理功效，访客管理员可创立来宾账号，或访客通过自助系统登记有关信息，并申请访客接入网络服务。通过后台管理同意的访客账号，并以短信方式告知访客帐号和密码，之后可访问内部网络，该账号将在超出保存时长后失效。当顾客接入网络后，可强化对顾客接入的管理：基于顾客的权限控制方略，可觉得不同顾客定制不同网络访问权限。能够控制顾客的上网带宽（QoS）、限制顾客同时在线数、严禁顾客设立和使用代理服务器，有效避免个别顾客对网络资源的过分占用。支持最大闲置时长限制。能够实现对顾客ACL、VLAN的控制，限制顾客对内部敏感服务器和外部非法网站的访问。能够限制顾客IP地址分派方略，避免IP地址盗用和冲突。监控顾客认证成功后的IP地址，若有变更则强制规定下线。能够限制顾客的