中国检测网络改造建议方案

1、中国检测网络改造建议方案本公司非常荣幸有机会参与中国检测集团网络改造项目，我们将尽自己最大的努力为贵公司提供服务。方案一 方案一设计原则本着在原有网络的基础上进行网络改造，利用原有的接入层设备增加一台核心交换机。原有的PIX515e设备已经不能满足现有网络的安全性保证和网络的吞吐，为保证现有网络的安全性，并对上网行为和流量进行监控和管理，建议在原有网络基础上进行安全设备的替换和增加。将原有的PIX515e设备进行升级，并在办公网络中增加一台防火墙，在出口链路上增加流量监控设备以保证带宽的有效利用，杜绝网络中p2p等应用造成的带宽浪费，保证重要业务流量的优先传输。作为有线网络的扩展，无线网络成为

2、企业园区网中重要的组成部分，本次网络整改将购置无线网络设备，因此需要额外添加8台POE交换机设备，为后期无线网络的采购奠定基础。无线网络作为有线网络的重要补充和扩展，同样应满足高速接入，安全的特性，802.11n无线设备可达到300Mbps速度，150Mbps吞吐的高速接入，因此建议使用1000MPOE接入交换机在保证为无线设备供电的基础上保证有线网络的吞吐。经过改造后，网络从原来的扁平化网络变为以4507R模块化交换机为核心，2960系列交换机为接入的二层网络。新的网络在满足终端接入需求的同时，将原有的100M上行链路升级为1000M链路，保证网络的顺畅运行和高速数据传输。4507R系列交换

3、机提供单板520G的背板带宽，同时提供冗余备份的引擎，通过SSO特性随时同步配置和回话状态，保证网络的稳定性，达到99.9999%的可靠性要求。全新的X4624系列光纤接入板卡可提供单槽48G的吞吐，真正达到线速无阻塞转发，同时将原有的以太上联变为光纤上联，提高了链路的稳定性。4507R系列交换机最多可提供5块业务板卡插槽，在充分满足当前接入交换机的前提下为后续的网络发展提供可扩展性。防火墙和流量控制设备建议使用国产厂商产品，在保证安全性，高性能的前提下，国产安全产品更贴近国内企业网络应用的实际，对主要流量和应用的识别，控制，保护较国外厂商设备相比具有明显的优势。根据客户的实际情况，建议使用O

4、pzoon的PA-5500-F20系列高性能防火墙和TMA-500流量管理设备。PA-5500-F20系列防火墙是Opzoon公司的高端企业级防火墙，在保证安全性的同时可以提供1000M的接入速度和高达500M的吞吐，在保证网络安全性的同时保证了数据的高速转发。PA-5500-F20提供最多8个以太接口和2个SFP接口的高密度接入，在同档次防火墙产品中具有明显的优势。先进的ASIC集成硬件防火墙和国内首创的交换架构使PA-5500-F20系列防火墙可以提供高达2G的吞吐的同时克服传统网络处理器架构防火墙随着并发连接数增加性能下降的缺陷。Opzoon独创的TMA系列流量管理设备使用自主研发的IS

5、OS操作系统，能够提供最大30w的并发连接，对网络中常见的p2p应用，实时通信应用，股票，游戏等影响网络带宽的应用进行监控和过滤。先进的QOS管理技术可以对网络中的关键业务进行合理的带宽分配和预留，保证重要业务的优先传输的同时，合理的分配带宽，满足正常的网络接入需求。传统的流量管理设备只能针对IP地址或应用进行监控，Opzoon TMA系列流量管理设备采用先进的图形化界面管理系统，可以针对链路，应用，终端，连接数等对流量进行分钟级别颗粒度的监控，并提供实时的报表，及时对网络的使用状况，应用，流量进行统计和对比，在进行颗粒度细化网络管理的同时，为QOS服务质量的配置提供有力的依据。方案二 根据实

6、际网络的状况和网络的规模，以及信息化的发展趋势，现有的100M到桌面的扁平化网络已经不能满足当前的网络需求，且不具备网络发展的可扩展性。本着提高网络性能，保证网络稳定性的宗旨，在合理规划，节省投资的前提下，我们建议对网络设备进行增加和整体架构的改造。改造后的网络应达到以下效果。1000M接入随着语音，视频，数据等业务的发展，传统的100M接入已经不能满足当前的网络需求，1000M到桌面已经成为园区网络的发展趋势，本次整改中建议使用Cisco2960s系列交换机作为接入交换机在提供1000M到桌面的同时，改变过去单纯的二层交换机不能进行安全特性部署的弊端，在接入层进行安全策略的部署保证网络接入的

7、安全性。同时，2960Ss系列交换机可以支持堆叠技术和三层路由功能，通过虚拟化或者路由的配置，可以将多台交换机虚拟成一台或使用三层协议进行接入层设备的部署，方便设备管理的同时避免了二层链路中环路，生成树等对网络稳定性影响的因素。将原有的扁平化网络改造为以支持关键部件冗余的模块化交换机为核心，高性能，稳定的二层交换机为接入的二层网络架构。在扁平化网络中，所有设备之间互通需要通过网关路由设备，大大影响了不同设备间的数据传输速度。同时，在扁平化网络中，所有的VLAN划分，策略，等均要部署在交换机上，对交换机的性能要求极高，当前网络中使用的2960系列交换机属于上一代的交换产品，性能和稳定性已经不能满

8、足当前网络的需求，网络稳定性存在隐患。另一方面，固化交换机不能提供关键部件的冗余，一旦交换机出现问题将会影响整个网络的通信。4507R交换机作为模块化交换机可以作为中小型网络的核心设备。能够提供引擎，电源，风扇等关键部件的冗余，Cisco的SSO技术在保证配置同步的同时还能实时的对回话状态进行同步，保证网络的稳定性。4507R系列可以提供最多5块业务板卡，120个SFP光纤接口的高密度接入，将原有的以太上联变为光纤上联，提高链路稳定性的同时为今后的网络扩展性打下良好的基础。层次化网络可以原有的策略分成部署在核心和接入交换机上，减小交换机的工作压力，使得交换机的性能充分应用，并延长交换机的使用寿

9、命，提高交换机的稳定性。4507R系列交换机使用硬件ASIC转发芯片，实现不同接入交换机间数据的快速转发，提高数据传输的效率。同时作为Cisco终端交换设备，若网络规模继续扩大，可作为汇聚交换机继续使用，充分做到了投资保护。在原有网络的基础上更换喝添加网络安全设备，提升2-7层的安全性，分布，分级的进行安全策略和设备的部署，以保证网络安全为前提，提供高速的，安全的网络接入和业务访问。网络安全被越来越多的企业所重视，当前网络中的网络安全已经从原有的二层安全，三层安全扩展到2-7层的安全策略部署。PA-5500-F20系列防火墙可以提供2-7层的基于应用的过滤和检测，真正实现从链路到应用的安全性保

10、证。在部署防火墙的同时，Cisco2960s系列交换机可以提供原有2960交换机不具备的二层安全特性，将安全策略分层部署，在提高网络整体安全性的同时降低各个设备的负担。先进的流量检测设备带宽和应用的管理是企业网络中重要的部分，现有的网络当中，没有进行带宽，应用和流量管理的设备，实时消息软件，p2p应用等非关键业务的泛滥将会严重影响网络的使用。改造后的网络在网络出口配置TMA-500系列流量检测设备，对网络中的应用，带宽和服务质量进行监控和管理，以保证带宽的充分利用和关键业务的优先传输。Opzoon TMA-500系列流量管理设备使用先进的七层应用检测能够提供主流服务的检测，对严重影响网络使用的

11、p2p等流量进行严格的控制，使用先进，直观的图形化界面显示方式基于用户，链路，应用等因素对网络中流量进行实施的监控和管理，保证带宽使用率的同时为QOS服务质量的配置提供有力的依据。TMA-500系列流量管理设备可以提供双向500M的吞吐，在同类产品中首屈一指，去除了传统流量管理设备吞吐小，影响网络传输速度的弊端，在对流量和带宽进行管理的同时保证了数据的高速转发。无线覆盖建议方案设计目的及需求：由于日益增长的终端数量，及无线设备的上网需求增加，现有网络已无法满足正常使用，重做综合布线，施工难度大，工期长，耗资巨大，而且不能满足扩容需要，而无线网络的优点是施工难度小，工期短，可扩容性强，可维护性强

12、，运行稳定，维护费用低等。在现有网络的基础上实现改造，实现有线和无线的网络覆盖，模块化，有线网络和无线网络互补，在信号稳定，网络安全性，施工价格等方面，实现企业网络优势最大化。有线和无线网络的集成对于实现统一的网络控制，可扩展性、安全性和可靠性具有重要的意义。为了支持企业级的无线应用，必须提供覆盖整个系统的无线局域网功能。使用轻型接入点和无线局域网控制器的WLAN可以方便地支持有线、无线局域网的结合，因为控制器功能可以被集成到Cisco交换到路由平台之中。根据产品及当前需求在办公区域部署无线网络，至少需要满足以下几点：1，高稳定性，面对分工复杂的用户群体，无线网络需要有较强的自我优化的功能，持

13、续对无线用户提供稳定的网络服务；2，高性能，高可用性，由于内员工经常走动，无线网络应该具有较高的可靠性和可用性，具有强大的容错功能，以保证各种应用的正常运行。系统具备在线故障恢复能力，网络维护、排错非常简单，关键设备、模块、线路能做到实时备份、均衡负载和自动故障切换；3，高安全性，无线网络需要能够保证网络自身的安全以及无线用户的安全，无线网络系统应该提供多种有效的安全控制机制，以防止机密泄露和影响正常工作。无线网络系统应提供一套完整的安全防范措施，能够有效地防止系统外部人员的非法侵入；4，高易用性，实施简单方便，不影响正常的工作。不破坏楼层结构，保持办公室整洁美观。扩充网络用户方便。移动IP技

14、术可以解决网络设备(例如：笔记本电脑、PDA、智能手机等)在不同网段之间无缝漫游，用户在任何网段中都不用修改自己IP地址并且保持访问权限不变。5，提供高质量的WIFI语音QoS保障。AP所使用的硬件支持无线多媒体扩展（WME）的队列，同时可以将这些射频的队列映射到IP的QoS机制如DSCP和802.1来保证无线的应用可以在有线的网络上获得相应的优先级。当所有的数据、语音和图像的应用共同运行在无线网络环境中时，可以根据不同网络应用的实际需要保证不同重要性的应用具有不同的优先级，从而保证在无线平台上保证关键应用的网络带宽。设计原理：借助“轻量型AP”模式，可以在现有有线网络的基础上建立逻辑独立的无

15、线网络，通常模式下所有无线数据及控制流量均交由无线控制器来处理，因此借用现有校的交换机或路由器组成集中控制管理的覆盖式无线网络。设计原则：无线覆盖设计将遵循按照信号范围最大化原则，在全校全面覆盖的前提下，重点选择部分区域进行更加细腻的覆盖。并且，保证无线网络稳定性并于绝大多数主流无线网卡兼容，同时兼容考虑网络扩容，为今后网络扩容做好预留。建议使用第四代WALN网络设备，支持虚拟化，AP间可同频段部署，不必在考虑传统的蜂窝式架构，部署灵活，易于维护及管理。局部地区可以选择高密度接入AP（例如会议室）。在802.11n标准中客户端最高接入速率可达300Mbps的平滑带宽，完全满足视频、数据及语音的

16、实时传送。推荐设备介绍：PWA-300产品，针对于高密度用户设计和研发，它们将使无线客户感受到部署汉柏 802.11n网络的好处和收益，其单频工作特性，更使得部署简单，灵活。PWA-300产品能为那些使用语音和视频的用户带来高吞吐量，优质的802.11n服务质量 （QoS）以及其他的802.11n服务，使得客户在使用无线网络时能获得有线网络的性能，让客户的核心和关键应用能够完美的运行在汉柏无线网络上。PWA-300产品为客户提供高性能的802.11n高速无线网，兼容传统的802.11a/b/g各种无线客户端。解决无线客户对WLAN的高带宽要求的瓶颈， 完全满足无线客户端高密度部署的需求。单频部

17、署技术和汉柏无线控制器结合应用，部署时无需耗时对频点进行规划，一插即用，使得大规模部署时，更加灵活简单。PWA-300项目属性规格信息物理参数尺寸250mm( 长)x175mm(宽)x27mm(高)重量1.36KG供电802.3af PoE, 802.3 at 5V DC input输出11.5W to 17W， 可配置环境工作温度: 0 50C 工作湿度: 90% (非冷凝)存放温度: -10 +70C 存放湿度: 95% (非冷凝)物理接口1个10/100/1000 自适应以太电口(RJ-45)2块双频段射频卡支持 802.11n, 802.11a,802.11b, 802.11g的任意组

18、合6个外接天线接口 (反极性 RP-SMA接头)Kensington 磁盘锁定技术兼容1个 RJ45配置接口 console port (管理设备时使用)5 LEDs灯, 监控电源， 以太口连接, 802.11活动等状态无线参数支持标准IEEE 802.11 a/b/g/n, IEEE 802.11i support (AES, WEP, WPA, WPA2),IEEE 802.11e, WMMIEEE802.11a频段:5.180 5.240 GHz; 8 个信道 (34, 36, 38, 40, 42, 44, 46, 48),5.280 5.320 GHz; 4 个信道 (52, 56,

19、 60 and 64), 5.745 -5.825 GHz; 5个信道 (149, 153, 157, 161, and 165), 5500-5700: 11个信道 (100,104, 108, 112, 116, 120, 124, 128, 132, 136, 140)工作信道: 根据使用所在地国家标准配置支持的速率 (Mbps): 54, 48, 36, 24, 18, 12, 9and6 Mbps速率自适应平均传输功率:17 dBm接收灵敏度 (针对最大数据传输速率): -77 dBm at 54 Mbps and -89 dBm at 6 MbpsIEEE802.11b/g频段:硬

20、件支持 2.40-2.50 GHz: 2.4 GHz 2.4835 GHz (美国, 欧洲), 2.4 GHz 2.497 GHz (日本)工作信道:1-11 美/加, 1-13 欧洲， 1-14 日本 3 个非叠加信道平均传输功率:17 d Bm802.11b 数据速率: 11, 5.5, 2 and 1 Mbps 速率自适应802.11g 数据率:54, 48, 36, 24, 18, 12, 11, 9, 6, 5.5, 2, 1 Mbps 速率自适应接收灵敏度:-73 dBm at 54 Mbps and -84 dBm at 1 MbpsIEEE802.11n(可升级)频段:2.40

21、2 to 2.485 GHz, 5.15 to 5.25 GHz, 5.725 to 5.825 GHz工作信道1 through 11 for 2.4 GHz band32 through 160 for 5 GHz band支持的速率 (Mbps):20 MHz: 130, 117, 104, 78, 65, 58.5, 54, 52, 48, 39, 36, 26, 24, 19.5, 18, 13, 12, 11, 9, 6.5, 5.5, 2, 1 Mbps40 MHz: 300, 270, 243, 216, 162, 135, 121.5, 108, 81.5, 81, 54,

22、48, 40.5, 36, 27.5, 27, 24, 18, 13.5, 12, 11, 9, 6, 5.5, 2, 1 Mbps with速率自适应平均传输功率:2.4n (20 HT): 17 dBm, 2.4n (40 HT): 16 dBm5.0n (20 HT): 18 dBm, 5.0n (40 HT): 16 dBm接收灵敏度 (针对最大数据传输速率):11a: -77 dBm, 11n (5 GHz): 72 dBm, 11g: -77 dBm,11n (2.4 GHz): -74 dBm电源管理输出功率可调， 1dbm递增可关闭其中一个不用的射频卡来节约电能天线规格标准的白

23、色多频全向天线：天线增益： 2.4G 频率增加2.2dBi， 5G频率增加3dBi天线增益不包括在AP传输功率中， RP-SMA接头可选客户端支持支持客户端主动和被动信标搜索支持客户端预认证支持客户端节能模式下的快速转换支持客户端节能模式下的QoS策略安全认证支持Captive portal， 802.1x， 开放性认证和WPA/WPA2等客户体系认证802.1x EAP验证类型EAP-Transport Layer Security(EAP-TLS), Tunneled TLS (EAP-TTLS), Protected EAP (PEAP) MSCHAPv2,Smar tcard/Cer

24、t i f icate, Lightweight EAP (LEAP), EAP-FASTand EAP- MD5, 支持动态的双因素认证， 支持基于用户或会话的单播和广播密钥支持Https， radius和可客户化定制的captive portal加密支持静态和动态40位和128位IEEE 802.11 WEP密钥支持AES-CCMP 加密 （WPA2） ， TKIP （WPA） 和MIC安全策略Radius集成， MAC过滤， 基于用户或ESSID的访问控制多个ESSID或BSSID可使用共享或独立的安全策略非法AP检测和压制汉柏的AP射频卡能自动检测区域内的其他或非法的802.11a/b

25、/g/n AP移动性零丢包漫游零丢包漫游 在汉柏的WLAN中移动时， 能够实现无缝的漫游集中化管理配置管理零配置AP能自动选择工作频率和所需要的电源功率AP能自动发现无线控制器， 并从中下载配系统管理中心或远端通过基于网页的GUI， SNMP或命令行的方式对设备进行访问。 通过串口， SSH， telnet协议或集中管理工具EzRF对AP进行管理。集中化的安全策略管理能够灵活调度安全策略给不同的WLAN和ESSID。智能射频管理汉柏的射频管理能够使AP协同工作， 负载均衡， 动态适应客户端所需要的性能和带宽要求集中化管理AP的信道和输入功率， 提高了无线覆盖的效率和总吞吐量汉柏的同频干扰管理技

26、术能够使所有AP在同一个频点工作， 并能控制同频干扰Qos及应用支持SIP和H.323协议动态交互式支持SIP和H323v1协议和编码Qos支持Over-the-air的资源预留QoS策略能自动识别出各种语音视频协议如SIP,H.323,Cisco SCCP,SVP和Vocera等， 支持基于应用或用户的静态或动态QoS策略。支持电话授权控制， 电话负载均衡以及Wi-Fi Multimedia认证安全标准UL 60950-1CAN/CSA-C22.2 No. 60950-1IEC 60950-1PWA-1000i系列产品是汉柏科技有限公司推出的室内智能无线接入点。利用PWA-1000i系列无线

27、接入点，汉柏诠释了一种新的可能性，即：在分布式企业客户预算敏感的状况下，采用性能不打折扣的方式提供世界级的连通性和处理能力，为客户带来性价比极高的解决方案。业务的运行需要依赖于网络的连通，PWA-1000i系列产品的设计能提供业界最可靠稳定的移动连通性；支持2.4GHz和5GHz两个频段，向下兼容802.11a，802.11b和802.11g，PWA-1000i系列产品是兼容客户传统的802.11a/b/g网络过度到802.11n的理想的解决方案产品；灵活可选的安装方式：天花板吊顶式和墙面挂壁式安装，支持AP物理安全锁定；无需RF信道规划，不用担心将来的维护。PWA-1000i系列产品消除了在

28、远程办公室安装AP或重新规划升级网络所带来的RF信道规划问题；PWA-1000i项目属性规格信息物理参数尺寸171mm 宽x 171mm深 x 57mm高重量含内置天线0.45Kg供电802.3af PoE 或802.3 at环境工作温度: 0C 50C 工作湿度: 90% (非冷凝)存放温度: -10+70C 存放湿度: 95% (非冷凝)物理接口1个10/100/1000 自适应以太口(RJ-45)双频段射频卡支持 802.11n, 802.11a,802.11b, 802.11g的任意组合1个 RJ45配置接口 console port (管理设备时使用)2 LED灯, 监控电源，以太口

29、状态, 802.11活动和接收1个USB端口无线参数无线标准IEEE 802.11 a/b/g/n, IEEE 802.11i (AES, WEP, WPA, WPA2), IEEE 802.11e, WMM频率波段802.11bgn: 2.412 to 2.472 GHz, 13 信道802.11an: 5.18 to 5.320 GHz, 8信道; 5.500 to 5.700 GHz, 8信道（不包含5.600 to 5.640 GHz）工作信道802.11bgn：1-11 美/加, 1-13欧洲和日本3个非叠加信道802.11an: 5 GHz 波段: 36 到1655.180 5.2

30、40 GHz; 8 信道(36, 38, 40, 42, 44, 46, 48), 5.280 5.320 GHz; 4 信道(52, 56, 60 和64), 5.745 -5.825 GHz; 5 信道(149, 153, 157, 161, 和165), 5500-5700: 11 信道(100,104, 108, 112, 116, 120, 124, 128, 132, 136, 140)DFS 信道: 52, 56, 60, 64, 100, 104, 108, 112, 116, 120, 124, 128, 132, 136, 140DFS 信道: 5250-5350 MHz

31、和5470-5725 MHz速率802.11b 速率: 11, 5.5, 2 and 1 Mbps速率自适应802.11g and 802.11a 速率: 54, 48, 36, 24, 18, 12, 9, 6, Mbps速率自适应802.11 n+20: 130, 117, 104, 78, 65, 58.5, 54, 52, 48, 39, 36, 26, 24, 19.5, 18, 13, 12, 11, 9, 6.5, 5.5, 2, 1 Mbps802.11n+40: 300, 270, 243, 216, 162, 135, 121.5, 108, 81.5, 81, 54, 4

32、8, 40.5, 36, 27.5, 27, 24, 18, 13.5, 12, 11, 9, 6, 5.5, 2, 1 Mbps速率自适应平均传输功率802.11b 18 dBm, 802.11g 17 dBm2.4n (20HT): 16 dBm, 2.4n (40HT): 16 dBm802.11a 17 dBm 5.0n (20HT): 15 dBm, 5.0n (40HT): 15 dBm接收灵敏度802.11b = -89 dBm802.11g = -74 dBm802.11g(n+20) = -70 dBm802.11g(n+40) = -70 dBm802.11a = -68d

33、Bm802.11a(n+20) = -67 dBm802.11a(n+40) = -67 dBm电源管理可通过软件控制方式关闭其中一个不用的射频卡来节约电能天线规格内置的双频段MIMO全向天线 天线增益：2.4 GHz 4.0 dBi 5 GHz 5.0 dBi（天线增益不包含在平均发射功率里面）波束宽度：水平夹角 = 360，垂直夹角 = 110客户端支持支持客户端主动和被动信标搜索 支持客户端预认证支持客户端节能模式下的快速转换 支持移动电池客户端的节能模式安全认证支持Captive portal，802.1x，开放性认证和WPA/WPA2等认证体系802.1x EAP-Transport Layer Security(EAP-TLS), Tunneled TLS(EAP-TTLS), Protected EAP(PEAP) MSCHAPv2Smartcard/Certificate, Lightweight EAP(LEAP), EAP-FAST和EAP- MD5, 支持动态的双因素认证，支持基于用户或会话的单播和广播密钥支持Https，radius和可客户化定制的capti