1、商場有線無線一體化 技術(shù)建議書杭州華三通信技術(shù)有限公司2009-6目 錄第1章 建設(shè)需求51.1 總體需求51.2 XX商場無線局域網(wǎng)項(xiàng)目建設(shè)需求6第2章 網(wǎng)絡(luò)設(shè)計(jì)原則72.1 實(shí)用性原則72.2 安全性原則72.3 可靠性原則102.4 成熟和先進(jìn)性原則102.5 規(guī)范性原則112.6 開放性和標(biāo)準(zhǔn)化原則112.7 可擴(kuò)充和擴(kuò)展化原則112.8 可管理性原則11第3章 XX商場網(wǎng)絡(luò)設(shè)計(jì)133.1 總體方案概述133.2 網(wǎng)絡(luò)設(shè)計(jì)思路133.3 網(wǎng)絡(luò)安全設(shè)計(jì)思路143.4 大廈主樓網(wǎng)絡(luò)設(shè)計(jì)163.4.1 核心層設(shè)計(jì)163.4.2 接入層設(shè)計(jì)173.4.3 服務(wù)器區(qū)設(shè)計(jì)173.4.4 無線網(wǎng)絡(luò)設(shè)

2、計(jì)173.4.5 出口設(shè)計(jì)183.4.6 智能管理183.5 VLAN的劃分193.5.1 劃分VLAN的必要性193.5.2 本次工程VLAN劃分203.6 無線AP部署213.6.1 XX商場商場樓層無線部署點(diǎn)規(guī)劃213.6.2 XX商場商場、辦公樓層整體無線部署22第4章 設(shè)計(jì)組網(wǎng)方案特點(diǎn)234.1 網(wǎng)絡(luò)整體設(shè)計(jì)起點(diǎn)高234.2 整網(wǎng)設(shè)備性能高234.3 網(wǎng)絡(luò)設(shè)備的擴(kuò)展性強(qiáng)234.4 整網(wǎng)設(shè)備具有強(qiáng)大的平滑升級能力234.5 實(shí)用、方便的統(tǒng)一管理系統(tǒng)244.6 無線網(wǎng)絡(luò)設(shè)計(jì)特點(diǎn)244.6.1 有線無線一體化接入方案244.6.2 無線采用802.11技術(shù)優(yōu)點(diǎn)244.6.3 無線組網(wǎng)可靠性

3、方案特點(diǎn)254.6.4 無線組網(wǎng)安全管理方案特點(diǎn)274.7 關(guān)于高可靠插卡式防火墻方案優(yōu)勢294.7.1 降低出現(xiàn)單點(diǎn)故障單點(diǎn)瓶頸294.7.2 降低投入成本294.7.3 管理優(yōu)勢304.7.4 優(yōu)異的處理能力30第5章 設(shè)備選型特點(diǎn)315.1 核心路由交換機(jī)的選擇315.1.1 產(chǎn)品概述315.1.2 產(chǎn)品特點(diǎn)325.1.3 產(chǎn)品規(guī)格345.2 接入交換機(jī)的選擇375.2.1 產(chǎn)品簡介375.2.2 產(chǎn)品特點(diǎn)385.2.3 產(chǎn)品規(guī)格405.3 出口路由器的選擇455.3.1 設(shè)備簡介455.3.2 產(chǎn)品特點(diǎn)465.3.3 產(chǎn)品規(guī)格505.4 H3C Secblade FW防火墻模塊插卡53

4、5.4.1 產(chǎn)品簡介535.4.2 典型組網(wǎng)545.4.3 產(chǎn)品特點(diǎn)545.4.4 產(chǎn)品規(guī)格555.5 H3C WX5000系列無線控制器565.5.1 產(chǎn)品簡介565.5.2 產(chǎn)品特點(diǎn)575.5.3 軟件參數(shù)625.6 H3C WA2100/2200系列無線接入點(diǎn)665.6.1 產(chǎn)品簡介665.6.2 產(chǎn)品特點(diǎn)675.6.3 產(chǎn)品規(guī)格70第6章 XX商場網(wǎng)管平臺設(shè)計(jì)776.1 H3C iMC智能管理平臺功能特點(diǎn)786.1.1 系統(tǒng)安全管理796.1.2 資源管理806.1.3 拓?fù)涔芾?16.1.4 故障（告警/事件）管理866.1.5 性能管理916.1.6 設(shè)備管理組件946.2 產(chǎn)品性

5、能指標(biāo)956.3 對相關(guān)技術(shù)規(guī)范的順從性966.4 網(wǎng)絡(luò)管理模式966.5 網(wǎng)管的安全部署96第7章 零售行業(yè)成功案例977.1 H3C分布式無線解決方案力助國美門店977.2 湖北中百集團(tuán)數(shù)據(jù)網(wǎng)絡(luò)99第1章 建設(shè)需求1.1 總體需求建設(shè)內(nèi)容包括：有線無線一體化網(wǎng)絡(luò)建設(shè)要實(shí)現(xiàn)各樓層上網(wǎng)和辦公業(yè)務(wù)系統(tǒng)的聯(lián)網(wǎng)運(yùn)行，同時(shí)實(shí)現(xiàn)部分商場辦公區(qū)域、各層營業(yè)區(qū)域、會議室以及休息區(qū)的WLAN信號覆蓋，為用戶提供穩(wěn)定可靠的無線寬帶網(wǎng)絡(luò)接入服務(wù)。本工程的具體建設(shè)目標(biāo)為：高性能承載網(wǎng)絡(luò)的性能是整個(gè)業(yè)務(wù)系統(tǒng)良好運(yùn)行的基礎(chǔ)，設(shè)計(jì)中必須保障網(wǎng)絡(luò)及設(shè)備的高吞吐能力，保證各種信息（數(shù)據(jù)、語音、圖象）的高質(zhì)量傳輸。高可靠性-在

6、網(wǎng)絡(luò)設(shè)計(jì)中特別是關(guān)鍵節(jié)點(diǎn)的設(shè)計(jì)中，選用高可靠性網(wǎng)絡(luò)產(chǎn)品，關(guān)鍵部件冗余設(shè)計(jì)，最大限度地保證各種業(yè)務(wù)系統(tǒng)在有線/無線網(wǎng)絡(luò)中的高可靠運(yùn)行。標(biāo)準(zhǔn)開放性-支持國際上通用標(biāo)準(zhǔn)的網(wǎng)絡(luò)協(xié)議，有利于保證與其它網(wǎng)絡(luò)(如銀行網(wǎng)絡(luò))之間的平滑連接和互通，以及將來網(wǎng)絡(luò)自身的擴(kuò)展?？晒芾硇院途S護(hù)性-對網(wǎng)絡(luò)實(shí)行集中監(jiān)測、分權(quán)管理，并統(tǒng)一分配資源。選用先進(jìn)的網(wǎng)絡(luò)管理平臺，可以集中對全網(wǎng)網(wǎng)絡(luò)設(shè)備（路由器、各層次以太網(wǎng)交換機(jī)、無線AP）實(shí)施具體到端口的管理能力，并可提供及時(shí)的故障報(bào)警和日志。安全性-制訂統(tǒng)一的安全策略、VLAN策略和過濾機(jī)制，整體考慮網(wǎng)絡(luò)平臺的安全性。保證網(wǎng)絡(luò)訪問的安全性，支持用戶多種接入方式認(rèn)證機(jī)制,包括：基于

7、PPPoE、802.1X、Portal、MAC等認(rèn)證，支持外置的Portal服務(wù)器和外置的AAA服務(wù)器系統(tǒng)。有線無線一體化。利用無線網(wǎng)絡(luò)技術(shù)進(jìn)一步擴(kuò)展網(wǎng)絡(luò)的覆蓋范圍，使用戶能夠隨時(shí)隨地、方便高效地使用網(wǎng)絡(luò)，WLAN網(wǎng)絡(luò)要有超前性和先進(jìn)性，能夠滿足將來的增值業(yè)務(wù)的開展，如無線POS終端、無線條碼掃描、無線多媒體PDA、WiFi移動電話及3G雙模手機(jī)等業(yè)務(wù)。要采用有線、無線一體化組網(wǎng)，包括統(tǒng)一的QoS策略部署，分布式加密，豐富的轉(zhuǎn)發(fā)類型，有線、無線統(tǒng)一網(wǎng)管等功能。安全、認(rèn)證和管理要求。為了阻止非授權(quán)用戶訪問無線網(wǎng)絡(luò)，以及防止對無線局域網(wǎng)數(shù)據(jù)流的非法偵聽，無線網(wǎng)絡(luò)要具有相應(yīng)的安全手段，主要包括：物理

8、地址（MAC）過濾、服務(wù)區(qū)標(biāo)識符(SSID)匹配、AES加密，雙向認(rèn)證等方式。靈活性及可擴(kuò)展性-根據(jù)未來業(yè)務(wù)的增長和變化，網(wǎng)絡(luò)應(yīng)可以平滑地?cái)U(kuò)充和升級，最大程度的減少對網(wǎng)絡(luò)架構(gòu)和現(xiàn)有設(shè)備的調(diào)整。無線產(chǎn)品能力要求：具有無委會型號核準(zhǔn)證；支持負(fù)載均衡；漫游切換；支撐QOS能力；良好的售前售后服務(wù)，及時(shí)響應(yīng)用戶的需求。1.2 XX商場無線局域網(wǎng)項(xiàng)目建設(shè)需求XX商場WLAN網(wǎng)絡(luò)是在有線網(wǎng)絡(luò)的基礎(chǔ)之上建設(shè)的，目前大廈已經(jīng)部署有線網(wǎng)，綜合考慮目前的有線網(wǎng)存在的弊端有以下幾點(diǎn)：1. 商場在高峰期，收銀臺前顧客排隊(duì)現(xiàn)象嚴(yán)重，商場對無線收銀的需求迫切。純有線網(wǎng)絡(luò)無法滿足商場提升顧客滿意度的新要求；2. 商場租戶經(jīng)

9、常因改變裝修而需要調(diào)整上網(wǎng)接口，純有線網(wǎng)絡(luò)更改布線非常麻煩，維護(hù)成本高；3. 商場會議室/咖啡館/休息場所提供無線上網(wǎng)服務(wù)的需求已十分普遍，現(xiàn)有網(wǎng)絡(luò)已經(jīng)無法滿足這類新需求；4. 目前的有線網(wǎng)絡(luò)還處于百兆接入層面，對于將來業(yè)務(wù)的擴(kuò)展存在弊端。第2章 網(wǎng)絡(luò)設(shè)計(jì)原則系統(tǒng)建設(shè)的目的在于應(yīng)用。根據(jù)XX商場各種規(guī)范及各種業(yè)務(wù)的需求，結(jié)合部門的應(yīng)用經(jīng)驗(yàn)和發(fā)展要求，在系統(tǒng)設(shè)計(jì)時(shí)，主要應(yīng)遵循以下原則：2.1 實(shí)用性原則實(shí)用性原則主要體現(xiàn)在以下方面：以現(xiàn)行需求為基礎(chǔ)，適當(dāng)考慮發(fā)展的需要為依據(jù)來確定系統(tǒng)規(guī)模。選擇成熟、先進(jìn)、維護(hù)量小、使用方便的技術(shù)設(shè)備和措施。創(chuàng)造一個(gè)開放的網(wǎng)絡(luò)平臺，支持多種業(yè)務(wù)的同時(shí)傳輸，如支持語

10、音、圖象等多媒體業(yè)務(wù)。2.2 安全性原則1) 協(xié)議的安全性在網(wǎng)絡(luò)中運(yùn)行著很多網(wǎng)絡(luò)協(xié)議，包括路由協(xié)議和各種為上層應(yīng)用服務(wù)的廣域網(wǎng)，局域網(wǎng)絡(luò)協(xié)議等，路由器上也存在著很多服務(wù)，有些服務(wù)是網(wǎng)絡(luò)運(yùn)行所必需的，必須打開它，而有些服務(wù)是對網(wǎng)絡(luò)運(yùn)行無關(guān)緊要或無用的，可以關(guān)閉。正是這些網(wǎng)絡(luò)協(xié)議或服務(wù)，確保了網(wǎng)絡(luò)系統(tǒng)的正常運(yùn)行，因此，我們首先應(yīng)確保這些網(wǎng)絡(luò)協(xié)議或服務(wù)的安全性。2) 應(yīng)用服務(wù)協(xié)議的安全對這些路由協(xié)議和各種上層應(yīng)用服務(wù)的協(xié)議，我們應(yīng)區(qū)別對待。首先，對于網(wǎng)絡(luò)運(yùn)行所必需的協(xié)議，如路由協(xié)議等，我們不但應(yīng)正常運(yùn)行，而且必須加以保護(hù)，以防止非法路由器加入或偽造的路由信息，系統(tǒng)如何能夠鑒別出哪些路由信息是可靠的呢

11、，就必須采用一些加密技術(shù)或鄰機(jī)校驗(yàn)方法，以完成認(rèn)證，對于網(wǎng)絡(luò)運(yùn)行無關(guān)緊要或無用的協(xié)議，則應(yīng)嚴(yán)格限制或關(guān)閉，而對網(wǎng)絡(luò)運(yùn)行有危害或本身有安全缺陷的協(xié)議，則應(yīng)關(guān)閉。3) 路由協(xié)議的安全在路由協(xié)議安全性方面，我們可以采用路由器鄰居相互校驗(yàn)，校驗(yàn)方式可以是明碼方式或MD5加密方式，對于OSPF、BGP既可采用MD5校驗(yàn)方式，也可以采用明碼方式。通過明碼或MD5加密方式校驗(yàn)，可以確保只有有效的路由器才能加入到網(wǎng)絡(luò)，從而能夠避免非法的路由器或偽造的路由信息加入到網(wǎng)絡(luò)中，使路由出錯(cuò)，導(dǎo)致網(wǎng)絡(luò)癱瘓。4) SNMP的安全性SNMP是另一種訪問網(wǎng)絡(luò)設(shè)備的方式。使用SNMP，你可以收集網(wǎng)絡(luò)設(shè)備的狀態(tài)，配置網(wǎng)絡(luò)設(shè)備。G

12、et-request、get-next-request消息用來 收集狀態(tài)信息，set-request消息用來配置網(wǎng)絡(luò)設(shè)備。在每臺路由器都要 配置community string，每一個(gè)SNMP消息都有一個(gè)community string來進(jìn) 行校驗(yàn)，每個(gè)網(wǎng)絡(luò)設(shè)備的SNMP代理上可以進(jìn)行配置不同的community string來進(jìn)行讀模式和寫模式的訪問。SNMPv1的community string是采用 明文方式傳輸?shù)?，SNMPv2的community string采用MD5來進(jìn)行加密，同 時(shí)SNMP可以和訪問列表結(jié)合起來，使指定的的IP地址或端口才可以訪問到網(wǎng)管信息。5) 設(shè)備的安全性對網(wǎng)

13、絡(luò)設(shè)備的訪問與配置，主要有以下兩種方式：控制口console的控制和遠(yuǎn)程登錄telnet 的控制。A 控制口console的控制B 遠(yuǎn)程登錄telnet 的控制C 用戶的分級管理6）無線的安全性WLAN利用了不可見的公用媒介進(jìn)行空中信號傳播，安全問題是部署無線的巨大挑戰(zhàn)。無線面臨的安全挑戰(zhàn)， 主要是防止非法AP接入，防止非法用戶接入，防止ARP攻擊，防止AP過載，防止不合理應(yīng)用等。首先，防范未授權(quán)AP IEEE802.11網(wǎng)絡(luò)很容易受到大量網(wǎng)絡(luò)威脅的影響，如未經(jīng)授權(quán)的AP用戶、Ad-hoc網(wǎng)絡(luò)、拒絕服務(wù)型攻擊等。Rouge設(shè)備對于企業(yè)網(wǎng)絡(luò)安全來說是一個(gè)很嚴(yán)重的威脅。這需要無線入侵檢測（WIDS

14、）功能來防范，通過WIDS用于對有惡意的用戶攻擊和入侵無線網(wǎng)絡(luò)進(jìn)行早期檢測，它用于檢測WLAN網(wǎng)絡(luò)中的rogue設(shè)備，上報(bào)管理中心，并對它們采取反制措施，以阻止其工作，最大程度地保護(hù)無線網(wǎng)絡(luò)。其次， 防范非法用戶這主要通過認(rèn)證技術(shù)及加密技術(shù)來保證。通過802.1x認(rèn)證、MAC地址認(rèn)證、Portal認(rèn)證等多種認(rèn)證方式，保證無線用戶身份的安全性， 結(jié)合WEP（64/128）、WPA、WPA2等多種加密方式保證無線用戶的加密安全性。另外，通過用戶身份認(rèn)證結(jié)合AAA服務(wù)器上對用戶組進(jìn)行權(quán)限的配置和修改，實(shí)現(xiàn)精細(xì)的用戶權(quán)限控制，從而大大增強(qiáng)了無線網(wǎng)絡(luò)的可用度，網(wǎng)管人員可以輕松地對不同級別的人進(jìn)行接入權(quán)限

15、分配。第三，防范ARP攻擊企業(yè)內(nèi)部普遍存在ARP 攻擊手段，通過偽造IP地址和M無線交換機(jī)地址實(shí)現(xiàn)ARP欺騙，產(chǎn)生大量的ARP通信量使網(wǎng)絡(luò)阻塞或者實(shí)現(xiàn)中間人攻擊，嚴(yán)重的可以使網(wǎng)絡(luò)不可用，危害企業(yè)應(yīng)用。為了防止攻擊者通過ARP報(bào)文實(shí)施“中間人”攻擊，要求無線控制器具有ARP入侵檢測功能，即通過對ARP報(bào)文進(jìn)行合法性檢測，轉(zhuǎn)發(fā)合法的ARP報(bào)文，丟棄非法ARP報(bào)文。從而有效防御ARP欺騙。第四，防范網(wǎng)絡(luò)帶寬濫用在WLAN網(wǎng)絡(luò)中，同一個(gè)無線AP下會同時(shí)接入多個(gè)無線終端，如果部分終端應(yīng)用BT等下載應(yīng)用，將占用所有的無線端口帶寬，導(dǎo)致其它終端不能正常工作。為了避免上述問題，需要網(wǎng)絡(luò)支持智能帶寬限速，可以限

16、制終端使用為固定帶寬，也可以限制所有終端平均分享限定帶寬，從而有效解決帶寬占用的問題。另外，為了避免無線網(wǎng)絡(luò)中部分AP過載，部分AP閑置而影響網(wǎng)絡(luò)使用，需要通過負(fù)載均衡來實(shí)現(xiàn)。智能負(fù)載分擔(dān)方法可以動態(tài)地確定在當(dāng)前時(shí)刻和當(dāng)前位置下哪些AP可以彼此分擔(dān)負(fù)載，通過控制無線客戶端接入的AP，來實(shí)現(xiàn)這些AP間的負(fù)載分擔(dān)。7）設(shè)備防盜由于無線終端不是部署在機(jī)房，自身的防盜問題很重要。傳統(tǒng)胖AP設(shè)備，由于和家用無線路由器功能類似，被盜竊的風(fēng)險(xiǎn)遠(yuǎn)大于瘦AP無線終端，因?yàn)槠浔仨毰浜蠠o線控制器才能使用。在瘦AP組網(wǎng)方案中，無線控制器能夠?qū)崟r(shí)監(jiān)測瘦AP狀態(tài)，一旦出現(xiàn)故障可以隨時(shí)告警。而且，無線網(wǎng)絡(luò)密鑰是在無線控制器

17、上集中管理，即使瘦AP被盜，整個(gè)網(wǎng)絡(luò)的密鑰也不會丟失。同時(shí)，AP無線終端也可能通過良好的產(chǎn)品結(jié)構(gòu)設(shè)計(jì)降低被盜風(fēng)險(xiǎn)。2.3 可靠性原則 為保證各項(xiàng)業(yè)務(wù)應(yīng)用，網(wǎng)絡(luò)必須具有高可靠性，決不能出現(xiàn)單點(diǎn)故障。要對整個(gè)網(wǎng)絡(luò)的機(jī)房布局、結(jié)構(gòu)設(shè)計(jì)、設(shè)備選型、日常維護(hù)等各個(gè)方面進(jìn)行高可靠性的設(shè)計(jì)和建設(shè)。在關(guān)鍵設(shè)備采用硬件備份、冗余等可靠性技術(shù)的基礎(chǔ)上，采用相關(guān)的軟件技術(shù)提供較強(qiáng)的管理機(jī)制、控制手段和事故監(jiān)控與安全保密等技術(shù)措施提高電腦機(jī)房的安全可靠性。針對本網(wǎng)絡(luò)設(shè)計(jì)方案，其可用性設(shè)計(jì)包括網(wǎng)絡(luò)設(shè)備本身的冗余能力、網(wǎng)絡(luò)的冗余設(shè)計(jì)。應(yīng)采用以下一些手段：設(shè)備冗余:對關(guān)鍵設(shè)備進(jìn)行整機(jī)冗余，模塊冗余，支持模板熱拔插、冗余的控

18、制模塊設(shè)計(jì)、冗余電源設(shè)計(jì)、風(fēng)扇冗余設(shè)計(jì)。建議所有模塊和環(huán)境部件應(yīng)具備1+1或1：N熱備份的功能，切換時(shí)間小于3秒，使系統(tǒng)具備99.999%以上的可用性。對非關(guān)鍵設(shè)備進(jìn)行1:N的冷備份。路由冗余：采用合適的動態(tài)路由協(xié)議，實(shí)現(xiàn)路由的冗余，當(dāng)鏈路中斷時(shí)，路由能夠迅速收斂。無線功率自動控制：當(dāng)一臺AP接入用戶過多，或者出現(xiàn)故障的情況，立刻由中央無線控制器自動控制該AP周邊AP加大功率，從而有效地保證用戶仍能高可靠接入無線網(wǎng)絡(luò)。無線終端采用POE供電：傳統(tǒng)AP需要同時(shí)有電源線和網(wǎng)線連接才能工作，而采用了支持POE供電的AP無線終端就無需再部署電源線。從而大幅降低故障點(diǎn)，有效提高系統(tǒng)可靠性。2.4 成熟和

19、先進(jìn)性原則在網(wǎng)絡(luò)結(jié)構(gòu)設(shè)計(jì)、網(wǎng)絡(luò)配置、網(wǎng)絡(luò)管理方式等方面采用國際上先進(jìn)同時(shí)又是成熟、實(shí)用的技術(shù)。設(shè)備廠商和系統(tǒng)集成商應(yīng)有相關(guān)領(lǐng)域的豐富經(jīng)驗(yàn)。2.5 規(guī)范性原則網(wǎng)絡(luò)設(shè)計(jì)所采用的組網(wǎng)技術(shù)和設(shè)備應(yīng)符合國際標(biāo)準(zhǔn)、國家標(biāo)準(zhǔn)和業(yè)界標(biāo)準(zhǔn)，為網(wǎng)絡(luò)的擴(kuò)展升級、與其他網(wǎng)絡(luò)的互聯(lián)提供良好的基礎(chǔ)。2.6 開放性和標(biāo)準(zhǔn)化原則在設(shè)計(jì)時(shí)，要求提供開放性好、標(biāo)準(zhǔn)化程度高的技術(shù)方案；設(shè)備的各種接口滿足開放和標(biāo)準(zhǔn)化原則,如果是不同廠商的產(chǎn)品，必須之間具備可操作性與可管理性。2.7 可擴(kuò)充和擴(kuò)展化原則有充分的機(jī)制方便各網(wǎng)點(diǎn)的擴(kuò)展、業(yè)務(wù)量和業(yè)務(wù)種類的擴(kuò)展，保證建設(shè)完成后的網(wǎng)絡(luò)在向新的技術(shù)升級時(shí)，能保護(hù)現(xiàn)有的投資。網(wǎng)絡(luò)可擴(kuò)展的關(guān)鍵在于能

20、否實(shí)現(xiàn)合理的層次化設(shè)計(jì)，采取層次化的設(shè)計(jì)可以根據(jù)網(wǎng)絡(luò)需求的變化，可在不影響現(xiàn)有網(wǎng)絡(luò)運(yùn)行的狀況下，迅速擴(kuò)展。網(wǎng)絡(luò)的建設(shè)必須具有良好的靈活性與可擴(kuò)展性，能夠根據(jù)今后業(yè)務(wù)不斷深入發(fā)展的需要，擴(kuò)大設(shè)備容量和提高用戶數(shù)量和質(zhì)量的功能。具備支持多種網(wǎng)絡(luò)傳輸、多種物理接口的能力，提供技術(shù)升級、設(shè)備更新的靈活性。在網(wǎng)絡(luò)設(shè)備選型過程中，每個(gè)核心骨干層次設(shè)計(jì)中所采用的設(shè)備本身應(yīng)具有極高的端口密度，層次化設(shè)計(jì)為整個(gè)網(wǎng)絡(luò)的擴(kuò)展奠定了基礎(chǔ)。同時(shí)，我們應(yīng)充分考慮路由協(xié)議的選用，使路由協(xié)議為整個(gè)網(wǎng)絡(luò)的發(fā)展帶來極強(qiáng)的路由擴(kuò)展能力。2.8 可管理性原則 整個(gè)網(wǎng)絡(luò)系統(tǒng)的設(shè)備和服務(wù)器的安全性、數(shù)據(jù)流量、性能等得到很好的監(jiān)視和控制，

21、并可以進(jìn)行遠(yuǎn)程管理和故障診斷。第3章 XX商場網(wǎng)絡(luò)設(shè)計(jì)3.1 總體方案概述XX商場局域網(wǎng)絡(luò)帶寬設(shè)計(jì)原則：本著以用為主的設(shè)計(jì)理念，利用局域網(wǎng)高帶寬的天然優(yōu)勢，結(jié)合網(wǎng)絡(luò)安全第一的設(shè)計(jì)思路，將采用萬兆核心平臺的高帶寬、高穩(wěn)定性網(wǎng)絡(luò)設(shè)計(jì)方案進(jìn)行網(wǎng)絡(luò)部署。為了保障網(wǎng)絡(luò)安全在出口路由器和核心交換機(jī)之間部署帶防毒卡的防火墻來進(jìn)一步保證業(yè)務(wù)系統(tǒng)的安全性。根據(jù)目前XX商場的用戶規(guī)模和網(wǎng)絡(luò)狀況，擬采用無線控制器(AC)+瘦AP（FIT AP）的組網(wǎng)方式，瘦AP實(shí)現(xiàn)無線信號的處理，而用戶管理、加密、漫游、AP管理等功能全部集中到AC進(jìn)行，這樣可以簡化整個(gè)網(wǎng)絡(luò)的管理，提高設(shè)備的工作效率。AP的供電采用以太網(wǎng)供電（Po

22、wer Over Ethernet，PoE），通過以太網(wǎng)線來匯聚AP的流量，同時(shí)為AP提供電源，這樣可以簡化布線，同時(shí)減少故障點(diǎn)，提高網(wǎng)絡(luò)的可靠性。3.2 網(wǎng)絡(luò)設(shè)計(jì)思路1、 XX商場主樓有線局域網(wǎng)采用兩層接入結(jié)構(gòu)此局域網(wǎng)交換機(jī)在整網(wǎng)配置中建議采用接入、核心兩層組網(wǎng)結(jié)構(gòu)，所謂兩層扁平化體系結(jié)構(gòu)是相對業(yè)務(wù)標(biāo)準(zhǔn)的三層網(wǎng)絡(luò)體系結(jié)構(gòu)而言，去掉中間的匯聚層只保留核心層與接入層兩個(gè)層次來進(jìn)行網(wǎng)絡(luò)體系構(gòu)建。扁平化體系結(jié)構(gòu)具有多、快、好、省的優(yōu)點(diǎn)，“多”是指可以接入較多用戶、提供多種業(yè)務(wù)的特點(diǎn)，“快”是指由于去掉了匯聚層從而網(wǎng)絡(luò)建設(shè)與業(yè)務(wù)部署更快速，“好”是指網(wǎng)絡(luò)層次簡單明了，便于管理和維護(hù)，今后在網(wǎng)絡(luò)規(guī)模擴(kuò)大

23、時(shí)直接把現(xiàn)有的核心層下移或者在兩層體系中間插入?yún)R聚層就可以實(shí)現(xiàn)網(wǎng)絡(luò)的平滑擴(kuò)容，同時(shí)由于網(wǎng)絡(luò)層次的簡單，網(wǎng)絡(luò)穩(wěn)定性增強(qiáng)，單點(diǎn)故障減少，能夠提供一個(gè)穩(wěn)定高效的局域網(wǎng)絡(luò)，“省”是指去掉匯聚層之后網(wǎng)絡(luò)投資得到明顯減少，既能夠滿足用戶業(yè)務(wù)需求，又減少了用戶的投資。2、 局域網(wǎng)交換機(jī)采用最長匹配、逐包轉(zhuǎn)發(fā)機(jī)制目前如“紅色代碼”、“沖擊波”等網(wǎng)絡(luò)病毒在進(jìn)行攻擊時(shí)，基本上都是IP地址在同一個(gè)網(wǎng)段內(nèi)遞減或遞增的方式，而目前大多數(shù)交換機(jī)都是采用逐個(gè)進(jìn)行精確匹配，這樣的話在很短的時(shí)間內(nèi)交換機(jī)CPU的占有率就會達(dá)到飽和，出現(xiàn)宕機(jī)甚至是死機(jī)的現(xiàn)象。而采用最長匹配、逐包轉(zhuǎn)發(fā)的方式，能夠有效的抗擊網(wǎng)絡(luò)“紅色代碼”、“沖擊波

24、”等病毒的攻擊，更加適合大規(guī)模、多業(yè)務(wù)，復(fù)雜流量訪問的網(wǎng)絡(luò)。3.3 網(wǎng)絡(luò)安全設(shè)計(jì)思路1. 網(wǎng)絡(luò)出口安全網(wǎng)絡(luò)出口安全層次結(jié)構(gòu)如圖所示，網(wǎng)絡(luò)安全按照層次劃分是由網(wǎng)絡(luò)協(xié)議（TCP/IP協(xié)議）的2-7層來進(jìn)行劃分的，要完善網(wǎng)絡(luò)出口的安全就必須要對使網(wǎng)絡(luò)協(xié)議的2-7層安全。其中防火墻負(fù)責(zé)對網(wǎng)絡(luò)協(xié)議的2-4層進(jìn)行控制，而入侵防御系統(tǒng)負(fù)責(zé)對網(wǎng)絡(luò)協(xié)議的4-7層進(jìn)行控制。網(wǎng)絡(luò)出口部署的防火墻實(shí)現(xiàn)功能如下：1、網(wǎng)絡(luò)隔離的功能：主要是指能夠?qū)W(wǎng)絡(luò)區(qū)域進(jìn)行分割，對不同區(qū)域之間的流量進(jìn)行控制，是通過網(wǎng)絡(luò)協(xié)議的2-4層實(shí)現(xiàn)的，把可能的安全風(fēng)險(xiǎn)控制在相對獨(dú)立的區(qū)域內(nèi)，避免安全風(fēng)險(xiǎn)的大規(guī)模擴(kuò)散。2、2-4層攻擊防范的能力：由

25、于TCP/IP協(xié)議缺少足夠的安全特性的考慮，帶來了非常大的安全風(fēng)險(xiǎn)，常見的如IP地址竊取、IP地址假冒等，必須能夠提供對這些2-4層的攻擊行為有效的檢測和防范能力的措施。3、流量管理的需求：對于用戶應(yīng)用網(wǎng)絡(luò)，必須提供靈活的流量管理能力，保證關(guān)鍵用戶和關(guān)鍵應(yīng)用的網(wǎng)絡(luò)帶寬，同時(shí)應(yīng)該提供完善的QOS機(jī)制，保證數(shù)據(jù)傳輸?shù)馁|(zhì)量。另外，應(yīng)該能夠?qū)σ恍┏Ｒ姷?-7層協(xié)議，提供細(xì)粒度的控制和過濾能力，比如可以支持WEB和MAIL的過濾能力；4、用戶管理的需求：內(nèi)部網(wǎng)絡(luò)用戶接入Internet，需要對其網(wǎng)絡(luò)應(yīng)用行為進(jìn)行管理。防火墻由于其軟硬件針對工作在L2-L4時(shí)的情況考慮，不具有對數(shù)據(jù)流進(jìn)行綜合、深度監(jiān)測的能

26、力，自然就無法有效識別偽裝成正常業(yè)務(wù)的蠕蟲、攻擊、間諜軟件等非法流量。因此需要專門針對網(wǎng)絡(luò)4-7層進(jìn)行分析并實(shí)時(shí)防御的入侵防御系統(tǒng)，填補(bǔ)防火墻安全層次的不足，完善網(wǎng)絡(luò)傳輸過程中的安全層次，阻擋黑客攻擊、蠕蟲病毒的傳播、保護(hù)內(nèi)部主機(jī)的漏洞不受到影響。2. 服務(wù)器區(qū)安全針對服務(wù)器安全控制通過在核心交換機(jī)上部署防火墻插卡實(shí)現(xiàn)功能如下：1、2-4層攻擊防范的能力：由于TCP/IP協(xié)議缺少足夠的安全特性的考慮，帶來了非常大的安全風(fēng)險(xiǎn)，常見的如IP地址竊取、IP地址假冒等，必須能夠提供對這些2-4層的攻擊行為有效的檢測和防范能力的措施。2、流量管理的需求：對于用戶應(yīng)用網(wǎng)絡(luò)，必須提供靈活的流量管理能力，保證

27、關(guān)鍵用戶和關(guān)鍵應(yīng)用的網(wǎng)絡(luò)帶寬，同時(shí)應(yīng)該提供完善的QOS機(jī)制，保證數(shù)據(jù)傳輸?shù)馁|(zhì)量。3、用戶管理的需求：內(nèi)部網(wǎng)絡(luò)用戶訪問服務(wù)器區(qū)，需要對其網(wǎng)絡(luò)應(yīng)用行為進(jìn)行管理。3.4 大廈主樓網(wǎng)絡(luò)設(shè)計(jì)XX商場主樓網(wǎng)絡(luò)方案圖3.4.1 核心層設(shè)計(jì)辦公樓核心層設(shè)備是XX商場網(wǎng)絡(luò)的核心樞紐，應(yīng)該選擇高性能、高可靠、高擴(kuò)展性的核心路由以太網(wǎng)交換機(jī)，本次方案推薦核心采用1臺S7506E萬兆以太網(wǎng)交換機(jī)。S7506E 交換容量768Gbps，包轉(zhuǎn)發(fā)率492Mpps，高性能的保障了局域網(wǎng)內(nèi)的高速數(shù)據(jù)交換。為了提高可靠性，核心交換機(jī)配置雙主控和雙電源。1、 S7506E共8個(gè)槽位，6個(gè)業(yè)務(wù)槽位，背板交換容量達(dá)到1.6Tbps；2

28、、 同時(shí)在S7506E系列交換機(jī)支持各種業(yè)務(wù)的擴(kuò)展，可以支持防火墻插卡、應(yīng)用控制插卡、流量清洗業(yè)務(wù)板卡、無線控制器板卡、IPS（入侵檢測防御系統(tǒng)）插卡、負(fù)載均衡插卡等，對于未來種業(yè)務(wù)的擴(kuò)展都非常方便。3.4.2 接入層設(shè)計(jì)由于新大樓本次布線采用六類線，需要千兆上行。因此接入層交換機(jī)選擇H3C公司三層千兆上行接入交換機(jī)S3100EI，具備豐富的業(yè)務(wù)特性，提供IPv6轉(zhuǎn)發(fā)功能以及最多4個(gè)GE擴(kuò)展接口。通過H3C特有的集群管理功能，用戶能夠簡化對網(wǎng)絡(luò)的管理。S3100EI系列百兆以太網(wǎng)交換機(jī)定位為企業(yè)網(wǎng)和城域網(wǎng)的接入，同時(shí)還可以用于數(shù)據(jù)中心服務(wù)器群的連接。3.4.3 服務(wù)器區(qū)設(shè)計(jì)針對服務(wù)器安全控制通

29、過在核心交換機(jī)上部署防火墻插卡實(shí)現(xiàn)功能如下：1、2-4層攻擊防范的能力：由于TCP/IP協(xié)議缺少足夠的安全特性的考慮，帶來了非常大的安全風(fēng)險(xiǎn)，常見的如IP地址竊取、IP地址假冒等，必須能夠提供對這些2-4層的攻擊行為有效的檢測和防范能力的措施。2、流量管理的需求：對于用戶應(yīng)用網(wǎng)絡(luò)，必須提供靈活的流量管理能力，保證關(guān)鍵用戶和關(guān)鍵應(yīng)用的網(wǎng)絡(luò)帶寬，同時(shí)應(yīng)該提供完善的QOS機(jī)制，保證數(shù)據(jù)傳輸?shù)馁|(zhì)量。3、用戶管理的需求：內(nèi)部網(wǎng)絡(luò)用戶訪問服務(wù)器區(qū)，需要對其網(wǎng)絡(luò)應(yīng)用行為進(jìn)行管理。服務(wù)器包括：管理系統(tǒng)，網(wǎng)管，認(rèn)證，計(jì)費(fèi)等，通過千兆連接到核心交換機(jī)S7506E。3.4.4 無線網(wǎng)絡(luò)設(shè)計(jì)關(guān)于Wlan無線覆蓋，除滿

30、足商場、餐飲等營銷場所無線掃碼、無線POS等需求外，建議對各樓層會議室、閱覽室、共享空間等場同樣所做無線覆蓋。當(dāng)前WiFi終端仍多為802.11g此次推薦應(yīng)用802.11a/b/g技術(shù)，無線局域網(wǎng)(WLAN 802.11a/b/g)技術(shù)已經(jīng)是當(dāng)今應(yīng)用廣泛的無線技術(shù)，它的實(shí)用化程度高，應(yīng)用成熟。802.11a/b/g產(chǎn)品可允許用戶采用單個(gè)PC卡或嵌入式用戶端(embedded-client)方案，無縫連接到所有的802.11網(wǎng)絡(luò)，實(shí)現(xiàn)54Mbps的數(shù)據(jù)傳輸速度，從而能夠滿足網(wǎng)絡(luò)、計(jì)算機(jī)和多媒體設(shè)備制造商們對無線網(wǎng)絡(luò)提出的高速數(shù)據(jù)傳輸需求。802.11a/b/g雙頻解決方案由于能根據(jù)網(wǎng)絡(luò)和用戶環(huán)境

31、動態(tài)的選擇傳輸模式，因此能為用戶提供較佳性能。802.11a/b/g雙頻三模解決方案支持所有的802.11標(biāo)準(zhǔn)，可保證數(shù)據(jù)的可靠傳輸，并極大限度地拓展了應(yīng)用范圍。傳統(tǒng)無線網(wǎng)絡(luò)的部署需要網(wǎng)絡(luò)管理員對網(wǎng)絡(luò)中的每一個(gè)AP進(jìn)行逐一配置，對其進(jìn)行配置的話，工作量巨大，且容易出錯(cuò)。而采用H3C WX5004一體化無線控制器WA2220-AG 雙頻雙模802.11無線接入點(diǎn)的瘦AP架構(gòu)進(jìn)行組網(wǎng)，WX5004作為無線控制器，管理這個(gè)網(wǎng)絡(luò)的射頻、用戶認(rèn)證、漫游，同時(shí)，WX5004還作為千兆PoE交換機(jī)，為所有的先接入點(diǎn)提供上聯(lián)和遠(yuǎn)程供電，網(wǎng)管方面，采用H3C iMC（智能管理中心）實(shí)現(xiàn)對所有的無線控制器、AP的

32、實(shí)時(shí)管理。 在這樣的一個(gè)無線網(wǎng)絡(luò)可以實(shí)現(xiàn)無縫的三層漫游并支持快速漫游，漫游切換時(shí)間小于50ms，滿足對切換時(shí)間要求最苛刻的語音業(yè)務(wù)，例如對無線POS、無線條碼掃描、WiFi手機(jī)的支持。3.4.5 出口設(shè)計(jì)出口部署一臺H3C 多業(yè)務(wù)路由器MSR50-40，連接到Internet。MSR50-40，其性能足以滿足未來35年的業(yè)務(wù)數(shù)據(jù)互聯(lián)。于出口安全考慮，核心交換機(jī)S7506E部署一塊Secblade 防火墻模塊，該板卡吞吐量達(dá)到8Gbps，具備電信級可靠性。為了保證對不同的訪問設(shè)置不同的訪問策略進(jìn)行控制在出口部署防火墻模塊，主要承擔(dān)Internet出口的接入控制和訪問策略，需要承擔(dān)過濾功能。同時(shí)由

33、于部署在互聯(lián)網(wǎng)出口，受到攻擊的可能性更大，S7506E防火墻插卡支持較多的可設(shè)置的策略和過濾規(guī)則，能夠控制Internet用戶對這些對外服務(wù)器的訪問，并通過其日志功能記錄網(wǎng)絡(luò)流量以便日后審計(jì)。此外支持VPN功能，方便出差人員遠(yuǎn)程維護(hù)網(wǎng)站群和領(lǐng)導(dǎo)移動辦公的需求。3.4.6 智能管理1、 管理：部署一臺iMC（智能管理中心）使網(wǎng)絡(luò)設(shè)備實(shí)現(xiàn)智能聯(lián)動，在一個(gè)管理服務(wù)器上可以實(shí)現(xiàn)設(shè)備管理、用戶管理、用戶業(yè)務(wù)管理，可以根據(jù)需要選擇定制組件，后續(xù)增加任何業(yè)務(wù)都可以支持平滑升級，統(tǒng)一界面，統(tǒng)一風(fēng)格，能夠迅速的掌握并熟練應(yīng)用。l 設(shè)備管理：有線設(shè)備、無線設(shè)備、服務(wù)器等統(tǒng)一管理l 用戶管理：可以實(shí)現(xiàn)用戶接入認(rèn)證，

34、安全狀態(tài)檢測，隔離等。l 業(yè)務(wù)管理：可以配合S9512 NTA（網(wǎng)絡(luò)流量分析業(yè)務(wù)板）實(shí)現(xiàn)網(wǎng)流分析、用戶行為審計(jì)等，使網(wǎng)絡(luò)實(shí)現(xiàn)智能可視化。l iMC可以支持EAD（端點(diǎn)準(zhǔn)入防御系統(tǒng)），可以根據(jù)用戶終端的不同的安全狀態(tài)（例如是否符合單位內(nèi)部制定的桌面軟件標(biāo)準(zhǔn)，是否安裝了非法軟件，補(bǔ)丁是否合格、病毒庫是否升級等、是否有異常流量等）進(jìn)行不同的安全策略，例如提醒、監(jiān)控、隔離或者下線等措施，終端軟件可以引導(dǎo)使用人員進(jìn)行升級或者自動升級，徹底實(shí)現(xiàn)網(wǎng)絡(luò)的全天候、智能化自動化監(jiān)管，將網(wǎng)絡(luò)管理員解放出來，再也不用為整天到處救火但是無法徹底解決網(wǎng)絡(luò)病毒，無法及時(shí)保證每個(gè)終端打補(bǔ)丁或者升級病毒庫等情況發(fā)愁。3.5 V

35、LAN的劃分3.5.1 劃分VLAN的必要性VLAN是建立在各種交換技術(shù)基礎(chǔ)之上的。所謂交換實(shí)質(zhì)上只是物理網(wǎng)絡(luò)上的一個(gè)控制點(diǎn)，它由軟件進(jìn)行管理，所以允許用戶利用軟件功能靈活地配置資源，管理網(wǎng)絡(luò)。利用交換設(shè)備中的虛網(wǎng)功能，不必改變網(wǎng)絡(luò)的物理基礎(chǔ)，即可重新配置網(wǎng)絡(luò)。采用虛網(wǎng)功能，網(wǎng)絡(luò)性能可以獲得較大的改善： 1.虛網(wǎng)技術(shù)能對工作組業(yè)務(wù)進(jìn)行過濾，有效地分割通信量，因而能更好地利用帶寬，提高網(wǎng)絡(luò)總的吞吐量。 2.采用虛網(wǎng)技術(shù)可以將不同樓層或不同房間的設(shè)備組成一個(gè)網(wǎng)段而不用更改布線，因?yàn)樘摼W(wǎng)技術(shù)是從邏輯角度而非物理角度來劃分子網(wǎng)的，所以采用虛網(wǎng)技術(shù)能減輕系統(tǒng)的擴(kuò)容壓力，將遷移費(fèi)用降至最小。 3.采用虛網(wǎng)

36、技術(shù)能有效隔離網(wǎng)絡(luò)設(shè)備，增加網(wǎng)絡(luò)的安全性和保密性。虛擬網(wǎng)絡(luò)的安全策略采用的主要協(xié)議為IEEE802.1Q，此協(xié)議結(jié)合有鑒別和加密技術(shù)以確保整個(gè)網(wǎng)絡(luò)內(nèi)部數(shù)據(jù)的保密性和完整性。 4.虛網(wǎng)技術(shù)能對屬于同一工作組的用戶提供廣播服務(wù)，但與傳統(tǒng)的局域網(wǎng)協(xié)議所不同的是，虛擬局域網(wǎng)能限制廣播的區(qū)域，從而節(jié)省網(wǎng)絡(luò)帶寬。5.虛擬局域網(wǎng)可以建立在不同的物理網(wǎng)絡(luò)上，用封裝的辦法支法支持不同的網(wǎng)絡(luò)協(xié)議絡(luò)協(xié)議，如SNMP、NMP、IPX、TCP/IP、IEEE802.33等，兼容性非常好性非常好。6.虛擬網(wǎng)絡(luò)中的主要應(yīng)用技術(shù)為“虛網(wǎng)中繼”，VLAN Trunking特有技術(shù)的采用也成成為了必然。必然。簡而言之，VLAN

37、Trunking主要是通過一條高速以太網(wǎng)全雙工通道來實(shí)現(xiàn)將一個(gè)LAN Switch端口所劃分的不同VLAN與其它LAN Switch中各自相應(yīng)的VLAN成員進(jìn)行線路復(fù)用連接的技術(shù)。VLAN Trunking技術(shù)的采用，既節(jié)省了信道數(shù)據(jù)量，又提高了可靠性，并便于管理及方便連接，提高了整個(gè)網(wǎng)絡(luò)吞吐量和性能指標(biāo)。其原理如下圖所示：如果采用VLAN trunking 的技術(shù)，則V1、V2、V3均可通過一條全雙工的100Mbps，即200Mbps的速率與上級LAN Switch進(jìn)行互通并經(jīng)過位于樹根部的路由器進(jìn)行路由與其它的VLAN進(jìn)行通訊。VLAN trunking技術(shù)的優(yōu)點(diǎn)在于采用一條高速通道連接，

38、提高了通道的使用效率，如在V2，V3無數(shù)據(jù)量的情況下，V1可以獨(dú)占此100M帶寬；并且可以使得線路的連接變得簡單，從而大大提高可靠性與易維護(hù)性。3.5.2 本次工程VLAN劃分為了滿足日常業(yè)務(wù)及辦公的合理化，XX商場采用按業(yè)務(wù)部門方式劃分，可以更靈活的滿足業(yè)務(wù)應(yīng)用，具體劃分方式如下： 服務(wù)部門：VLAN10 物流部門：VLAN20 信息部門：VLAN30 人力部門：VLAN40 日常事務(wù)性部門：VLAN50 連鎖部門：VLAN60 餐飲：VLAN703.6 無線AP部署3.6.1 XX商場商場樓層無線部署點(diǎn)規(guī)劃以下是商場二樓平面圖（簡圖），用于說明無線AP的部署： 商場二樓簡圖一、該無線AP部

39、署，主要考慮符合樓層的規(guī)劃；二、重點(diǎn)考慮收銀臺區(qū)域的高帶寬、高可靠性；三、使之部署方案更具有實(shí)用性。3.6.2 XX商場商場、辦公樓層整體無線部署樓層AP部署：地下一層：總部署AP數(shù)量為8，收銀臺附近部署集中一點(diǎn)一層：總部署AP數(shù)量10二層：總部署AP數(shù)量12三層：總部署AP數(shù)量12四層：總部署AP數(shù)量13，由于商場存在中空，特在四層中空邊上多部署一臺AP五層：總部署AP數(shù)量14，由于五層營業(yè)結(jié)構(gòu)較復(fù)雜，特增加AP數(shù)量六層：總部署AP數(shù)量14，主要針對無線辦公及會議場所部署。第4章 設(shè)計(jì)組網(wǎng)方案特點(diǎn)4.1 網(wǎng)絡(luò)整體設(shè)計(jì)起點(diǎn)高本次網(wǎng)網(wǎng)絡(luò)設(shè)計(jì)中，基于千兆到桌面和萬兆核心路由交換平臺，這樣的網(wǎng)絡(luò)可以

40、滿足電力局對數(shù)據(jù)的帶寬的充分要求。后期需要升級成萬兆骨干只需要更換板卡而不用更換平臺，有效保護(hù)了用戶投資。4.2 整網(wǎng)設(shè)備性能高 在本次網(wǎng)絡(luò)方案中，辦公樓主核心路由交換機(jī)S7506E采用了交換容量為768Gbps，轉(zhuǎn)發(fā)能力為488Mpps的高性能雙路由交換引擎，是全分布式體系結(jié)構(gòu)設(shè)計(jì)，可進(jìn)行高速路由查找，并通過Crossbar技術(shù)進(jìn)行高速報(bào)文交換，完全滿足本次建設(shè)中所有接入核心路由交換機(jī)的接口數(shù)據(jù)提供線速轉(zhuǎn)發(fā)。4.3 網(wǎng)絡(luò)設(shè)備的擴(kuò)展性強(qiáng)在本次網(wǎng)絡(luò)方案中，選用了機(jī)架插板式交換機(jī)設(shè)備，辦公樓主核心的S7506E萬兆核心路由交換機(jī)，整機(jī)8個(gè)槽位，支持雙主控、雙電源系統(tǒng)，最多可提供6個(gè)業(yè)務(wù)槽位，支持豐

41、富的業(yè)務(wù)板，包括4端口萬兆業(yè)務(wù)板、2端口萬兆業(yè)務(wù)板、24端口千兆業(yè)務(wù)板、48端口千兆業(yè)務(wù)板、48端口百兆業(yè)務(wù)板以及其他多種形式的業(yè)務(wù)板件。4.4 整網(wǎng)設(shè)備具有強(qiáng)大的平滑升級能力先進(jìn)的體系結(jié)構(gòu)是保證核心路由交換機(jī)具備平滑升級能力的關(guān)鍵，本次配置的S7506E核心路由交換機(jī)采用全分布式體系結(jié)構(gòu)設(shè)計(jì)，并通過Crossbar技術(shù)進(jìn)行高速報(bào)文交換，具有強(qiáng)大的硬件平臺升級能力。在背板上預(yù)留大量的總線接口用于以后擴(kuò)容，滿足今后XX商場日益發(fā)展的信息化對核心路由交換機(jī)設(shè)備升級要求，并極大的保護(hù)和節(jié)約用戶投資。4.5 實(shí)用、方便的統(tǒng)一管理系統(tǒng)為了保障今后網(wǎng)絡(luò)維護(hù)、管理的簡便性、實(shí)用性，在本次網(wǎng)絡(luò)構(gòu)建方案中從設(shè)備

42、的選擇到網(wǎng)管系統(tǒng)的選用上都進(jìn)行考慮。本次配置的iMC智能管理中心，通過圖形化界面可以實(shí)現(xiàn)設(shè)備管理、拓?fù)涔芾?、故障管理以及集群管理、日志管理。為網(wǎng)絡(luò)管理員提供方便的管理手段。除提供傳統(tǒng)的網(wǎng)絡(luò)設(shè)備的管理之外，iMC也真正實(shí)現(xiàn)了對用戶、對業(yè)務(wù)的全方位統(tǒng)一管理。大大簡便了網(wǎng)絡(luò)管理人員的工作量，可以直觀的在網(wǎng)絡(luò)拓?fù)湎到y(tǒng)上了解用戶的行為。4.6 無線網(wǎng)絡(luò)設(shè)計(jì)特點(diǎn)4.6.1 有線無線一體化接入方案有線無線一體化接入方案為無線控制器加Fit AP最典型的應(yīng)用，無線控制器作為無線數(shù)據(jù)控制轉(zhuǎn)發(fā)的中心，放在外網(wǎng)的中心機(jī)房，無線接入點(diǎn)則放到辦公樓走廊或者會議室等場所， Fit AP和無線控制器之間既可以在同一個(gè)網(wǎng)段，

43、也可以不在同一個(gè)網(wǎng)段，它們之間通過CAPWAP協(xié)議自動建立隧道（該隧道基于UDP，可以穿越三層網(wǎng)絡(luò)），結(jié)合以太網(wǎng)交換機(jī)的接入功能，這樣就非常容易部署企業(yè)級有線無線一體化接入方案。從用戶管理的角度出發(fā)，配合H3C公司的iMC智能管理中心，可以做到有線設(shè)備和無線設(shè)備統(tǒng)一網(wǎng)管、有線用戶和無線用戶統(tǒng)一認(rèn)證平臺，從而真正實(shí)現(xiàn)有線無線一體化。4.6.2 無線采用802.11技術(shù)優(yōu)點(diǎn)無線聯(lián)網(wǎng)技術(shù)是基于IEEE802.11標(biāo)準(zhǔn)（用于無線網(wǎng)絡(luò)的國際標(biāo)準(zhǔn)），該標(biāo)準(zhǔn)主要對網(wǎng)絡(luò)的物理層和訪問層（MAC）進(jìn)行規(guī)定，其中MAC層是重點(diǎn)。在MAC層以下，802.11規(guī)定了三種發(fā)送及接收技術(shù)：擴(kuò)頻(Spread Spectr

44、um)技術(shù)、紅外（Infared）技術(shù)、窄帶（Narrow Band）技術(shù)。而擴(kuò)頻又分為直序（Direct Sequence,DS）擴(kuò)頻和跳頻（Frequeny Hopping，F(xiàn)H）擴(kuò)頻兩種。實(shí)現(xiàn)無線局域網(wǎng)的關(guān)鍵技術(shù)主要有三種：紅外線、跳頻擴(kuò)頻（FHSS）和直接序列擴(kuò)頻（DSSS）。紅外線局域網(wǎng)采用小于1m波長的紅外線作為傳輸媒體，有較強(qiáng)的方向性，受太陽光的干擾大。紅外線支持12Mb/s數(shù)據(jù)速率，適于近距離通信。DSSS局域網(wǎng)可在很寬的頻率范圍內(nèi)進(jìn)行通信，支持12Mb/s數(shù)據(jù)速率，在發(fā)送和接收端都以窄帶方式進(jìn)行，而傳輸過程中則以寬帶方式通信。FHSS局域網(wǎng)支持1Mb/s數(shù)據(jù)速率，共22組跳頻

45、圖案，包括79個(gè)信道，輸出的同步載波經(jīng)調(diào)解后，可獲得發(fā)送端送來的信息。DSSS和FHSS無線局域網(wǎng)都使用無線電波作為媒體，覆蓋范圍大，發(fā)射功率較自然背景的噪聲低，基本避免了信號的偷聽和竊取，使通信非常安全。同時(shí)，無線局域網(wǎng)中的電波不會對人體健康造成傷害，具有抗干擾性、抗噪聲、抗衰減和保密性能好等優(yōu)點(diǎn)。我們知道，擴(kuò)頻技術(shù)利用的是開放的2.4GHz頻段，由于這是個(gè)公用頻段，因此十分擁擠，微波噪聲最大，采取何種發(fā)送和接收方法，會直接影響到微波傳輸?shù)馁|(zhì)量和速率。直序擴(kuò)頻技術(shù)同時(shí)使用整個(gè)頻段，信號被擴(kuò)展多次而無損耗；而跳頻擴(kuò)頻技術(shù)是連續(xù)間斷跳躍使用多個(gè)頻點(diǎn)。當(dāng)跳到某個(gè)頻點(diǎn)時(shí)，判斷是否有干擾，若無，則傳輸

46、信號；若有則依據(jù)算法跳至下一頻段繼續(xù)判斷。正是由于利用了跳頻技術(shù)，使得跳頻的范圍很寬，但是信息在每個(gè)頻率上停留的時(shí)間很短（僅為1/1000秒左右），不僅使得數(shù)據(jù)的抗干擾能力大大提高，而且傳輸更加穩(wěn)定，提高了數(shù)據(jù)的安全性，這就是無線網(wǎng)絡(luò)傳輸?shù)年P(guān)鍵。當(dāng)然，IEEE802.11中還規(guī)定了其他一些重要內(nèi)容，例如CSMA/CA協(xié)議、RTS/CTS協(xié)議、信包重整、多信道漫游等。4.6.3 無線組網(wǎng)可靠性方案特點(diǎn)FIT AP組網(wǎng)最大的優(yōu)點(diǎn)在于AP本身零配置，AP上電后會自動從無線控制器下載軟件版本和配置文件，同時(shí)無線控制器會自動調(diào)節(jié)AP的工作信道以及發(fā)射功率。另外，通過無線控制器的RF掃描探測熱點(diǎn)地區(qū)Rou

47、ge AP，可以及時(shí)排除其他AP存在的干擾，保障AP的穩(wěn)定運(yùn)行。在網(wǎng)絡(luò)管理方面，網(wǎng)管可以只通過管理無線控制器設(shè)備就可以達(dá)到控制AP的效果，極大的減少了無線網(wǎng)絡(luò)后期維護(hù)和管理的工作量。使用無線控制器+FIT AP時(shí)，AP在啟動后會自動通過DHCP方式獲取IP地址，并自動搜尋可關(guān)聯(lián)的無線控制器，在和無線控制器建立CAPWAP隧道之后會自動從無線控制器下載配置文件和更新軟件版本。在AP的接入方面，H3C擁有智能射頻管理，當(dāng)某一個(gè)AP出現(xiàn)故障時(shí)，周圍的其他AP會自動調(diào)整功率，對該部分區(qū)域進(jìn)行重新的信號覆蓋，保證信號的良好覆蓋。而當(dāng)有非法AP進(jìn)入無線網(wǎng)絡(luò)造成信號干擾時(shí)，H3C只能射頻管理系統(tǒng)可以定位出該

48、AP的位置，以便及時(shí)加以排除。FIT AP自動射頻調(diào)整功能示意圖（可用Visio打開）無線控制器可以設(shè)定AP間對接入用戶進(jìn)行負(fù)載分擔(dān)，當(dāng)無線控制器發(fā)現(xiàn)AP的負(fù)載超過設(shè)定的門限值以后，對于新接入的用戶無線控制器會自動計(jì)算此用戶周圍是否還有負(fù)載較輕的AP可供用戶接入，如果有則AP會拒絕用戶的關(guān)聯(lián)請求，用戶會轉(zhuǎn)而接入其他負(fù)載較輕的AP。如圖所示。H3C WLAN智能負(fù)載分擔(dān)H3C公司創(chuàng)新性地支持智能負(fù)載均衡技術(shù)，保證只對處于AP覆蓋重疊區(qū)的無線用戶才啟動AP負(fù)載均衡功能，有效的避免誤均衡的出現(xiàn)。H3C WLAN智能負(fù)載分擔(dān)H3C FIT AP方案還支持無線入侵檢測。當(dāng)有第三方的AP仿冒SSID時(shí)，無

49、線控制器會通過AP的反饋，迅速得到相應(yīng)的信息，并上報(bào)網(wǎng)管，采取相應(yīng)的信息。管理員還可以對該設(shè)備發(fā)起攻擊，使該第三方設(shè)備無法連接上相應(yīng)的用戶。H3C無線入侵檢測示意圖4.6.4 無線組網(wǎng)安全管理方案特點(diǎn)基于標(biāo)準(zhǔn)的SNMP協(xié)議實(shí)現(xiàn)對設(shè)備的管理，iMC中專門的無線局域網(wǎng)管理軟件WSM組件可實(shí)現(xiàn)對WLAN所有網(wǎng)元的管理。網(wǎng)管工作站可以放在網(wǎng)上的任意位置，通過標(biāo)準(zhǔn)的SNMP即可實(shí)現(xiàn)對無線交換機(jī)的管理。無線控制器可以實(shí)現(xiàn)更為強(qiáng)大的管理包括AP的自動拓?fù)浒l(fā)現(xiàn)、自動升級、批量配置、分級管理、分級告警等，并可實(shí)現(xiàn)針對無線覆蓋空間內(nèi)的射頻掃描、非法接入點(diǎn)監(jiān)聽等安全功能。而無線局域網(wǎng)管理軟件WSM可以實(shí)現(xiàn)配置管理整

50、個(gè)WLAN無線網(wǎng)絡(luò)，其具備以下特點(diǎn)：1、零配置安裝：接入點(diǎn)無需準(zhǔn)備預(yù)設(shè)置，AP從無線控制器繼承配置信息?？蓪o線控制器接入中心機(jī)房核心交換機(jī)中，AP無需事先進(jìn)行任何配置，即通過接入層交換機(jī)接入有線網(wǎng)絡(luò)，并自動注冊到無線控制器上，獲得DHCP SERVER分配的IP地址，并自動下載配置文件正常工作，在大規(guī)模AP的項(xiàng)目中大量節(jié)省安裝維護(hù)成本。2、防盜防入侵：敏感配置信息不在本地保存，即使設(shè)備被入侵被盜也不會丟失安全信息。實(shí)際運(yùn)營中很多AP是放置在公共場所，如果密鑰、SSID等安全信息在本地保存的話，一旦失竊對全網(wǎng)安全性造成威脅，AP由于其零配置安裝，一旦掉電不會保存任何信息，避免入侵。3、支持靈活

51、的拓?fù)浣Y(jié)構(gòu)：AP允許多種部署，從而能夠直接或間接連接到管理它的無線局域網(wǎng)控制器。無線控制器與AP之間可以隔離任何路由器或交換機(jī)，只要共同連接進(jìn)有線網(wǎng)絡(luò)，AP就可以自動尋找到S75實(shí)現(xiàn)注冊。4、自動設(shè)置發(fā)射功率和分配射頻信道：自動設(shè)置發(fā)射功率和分配射頻信道，用以優(yōu)化射頻單元大小和滿足各國對射頻信道的要求。當(dāng)有個(gè)別AP故障時(shí)，無線控制器會自動調(diào)大相鄰AP的功率彌補(bǔ)信號盲區(qū)。5、基于身份的組網(wǎng)：根據(jù)用戶名對用戶權(quán)限進(jìn)行區(qū)分，不同于傳統(tǒng)的WLAN網(wǎng)絡(luò)通過接入的有線交換機(jī)端口對用戶權(quán)限進(jìn)行劃分，并且可以對用戶的位置、帶寬以及漫游等歷史數(shù)據(jù)進(jìn)行記錄跟蹤。6、提供增強(qiáng)的安全性和無縫漫游：通過這項(xiàng)基于身份的組

52、網(wǎng)功能，經(jīng)過改進(jìn)的用戶組認(rèn)證接入控制、始終強(qiáng)制的漫游策略以及對帶寬使用的監(jiān)視實(shí)現(xiàn)了無線局域網(wǎng)的增強(qiáng)的安全性，實(shí)現(xiàn)了無縫的用戶移動性和自由性，從而可以進(jìn)行安全連接和漫游，一次認(rèn)證多次接入，免去在不同AP下切換的再次認(rèn)證。7、安全管理：提供入侵檢測功能，專用 AP 可以不斷地掃描空域，以便對要求更高安全性的環(huán)境提供全天候保護(hù)。一旦無線網(wǎng)絡(luò)中有非法接入點(diǎn)接入，AP將上報(bào)相應(yīng)的告警給無線控制器，并通過網(wǎng)管軟件顯示。4.7 關(guān)于高可靠插卡式防火墻方案優(yōu)勢4.7.1 降低出現(xiàn)單點(diǎn)故障單點(diǎn)瓶頸Bypass特性：在校園網(wǎng)絡(luò)中可靠性是至關(guān)重要的因素，傳統(tǒng)防火墻沒有網(wǎng)絡(luò)設(shè)備的高可靠性保證技術(shù)（如冗余引擎、機(jī)箱溫控

53、、風(fēng)扇轉(zhuǎn)速檢測、鏈路故障檢測、路由快速收斂等），因此實(shí)際部署中容易形成單點(diǎn)故障，采用SecBlade防火墻插卡后防火墻可以利用交換機(jī)的各種高可靠性技術(shù)來提高自身的可靠性，并且還能夠?qū)崿F(xiàn)bypass的功能，在防火墻故障的時(shí)候直接短接，跳過防火墻，收斂時(shí)間在100ms內(nèi)，保證網(wǎng)絡(luò)轉(zhuǎn)發(fā)照常進(jìn)行。以太網(wǎng)OAM：利用核心交換機(jī)成熟的OAM技術(shù)，可以實(shí)現(xiàn)VCT雙絞線連通性檢測、DLDP單通鏈路檢測、GR等增強(qiáng)的可靠性特性，大大加強(qiáng)了防火墻的可靠性。減少連接故障：從連接方式方面，SecBlade采用內(nèi)置板卡的方式，避免了傳統(tǒng)機(jī)架防火墻復(fù)雜的網(wǎng)線連接方式，避免了網(wǎng)線連接產(chǎn)生的接觸不良和端點(diǎn)故障。減少了網(wǎng)絡(luò)中的

54、單點(diǎn)故障。供電和功耗：供電方面，SecBlade采用交換機(jī)內(nèi)置電源，具有電源冗余，可靠性更高，并且SecBlade的功耗及其設(shè)計(jì)也很獨(dú)到，溫度適應(yīng)力比較好而且穩(wěn)定性非常高。SecBlade的單板的功耗低于100W。模塊設(shè)計(jì)采用業(yè)界最新的多核網(wǎng)絡(luò)處理器設(shè)計(jì)，穩(wěn)定性及其功能方面都比較優(yōu)秀。熱插拔：防火墻接口卡支持熱插拔，擴(kuò)展性能不需要中斷業(yè)務(wù)，大大提高了網(wǎng)絡(luò)的靈活性。4.7.2 降低投入成本 硬件成本降低：該項(xiàng)目同時(shí)需要交換機(jī)和防火墻，如果將防火墻作為交換機(jī)業(yè)務(wù)插卡方式部署，可以讓防火墻共享交換機(jī)背板和電源，實(shí)現(xiàn)節(jié)省了防火墻的電源、溫控、風(fēng)扇等多方面硬件成本。端口擴(kuò)展成本降低：傳統(tǒng)機(jī)架防火墻端口通

55、常在8個(gè)GE口，而在實(shí)際應(yīng)用中8個(gè)接口未必能滿足要求，而SecBlade部署后，交換機(jī)每個(gè)端口都可以具備防火墻功能，在本項(xiàng)目中S9512最大可以支持576個(gè)物理接口，可以將S9500產(chǎn)品看作具有576個(gè)千兆物理接口的高端防火墻，極大的節(jié)省了防火墻端口投入成本。虛擬防火墻：由于SecBlade支持256個(gè)虛擬防火墻，而每個(gè)虛擬防火墻可以獨(dú)立進(jìn)行配置，好比在網(wǎng)絡(luò)中部署了256個(gè)獨(dú)立的小型防火墻，可以為不同的業(yè)務(wù)分配不同虛擬防火墻實(shí)例，極大的節(jié)省了防火墻投入。 并且這些虛擬防火墻可以集中管理配置。4.7.3 管理優(yōu)勢圖形界面和命令行結(jié)合：該防火墻模塊提供了圖形管理界面。不同虛擬防火墻實(shí)例的使用者也不

56、同，使用習(xí)慣和技術(shù)水平也不同，有的用戶習(xí)慣使用圖形化配置，有的用戶習(xí)慣使用命令行配置，在SecBlade上可以統(tǒng)一提供。單獨(dú)管理和統(tǒng)一管理結(jié)合：為了將SecBlade的管理和高端交換機(jī)的接口單板的管理一體化，SecBlade的單板可以通過高端交換機(jī)的主控板實(shí)現(xiàn)對接口板的統(tǒng)一管理，SecBlade的狀態(tài)等可以基于主控板統(tǒng)一顯示給用戶；另外，用戶完全可以象配置接口板一樣，在主控板的串口上直接透明地對SecBlade的接口板進(jìn)行配置。這樣完全透明的管理給用戶統(tǒng)一的接口，使得管理方便簡單。如果交換機(jī)和防火墻由不同業(yè)務(wù)部門管理，則在防火墻也可以用自身提供千兆接口進(jìn)行帶外網(wǎng)管或者集中網(wǎng)管，而不經(jīng)過交換機(jī)。

57、4.7.4 優(yōu)異的處理能力多核技術(shù)提升防火墻和VPN性能：Secblade采用多核多線程技術(shù)，提供非常高的性能，8G的吞吐量，支持總共2,000,000個(gè)連接，每秒500,000連接響應(yīng)，實(shí)現(xiàn)安全和性能的完美結(jié)合。支持3DES加密2G線速吞吐量和5000條IPsec隧道。無阻塞交換：傳統(tǒng)千兆防火墻單端口的吞吐量為1G，當(dāng)核心業(yè)務(wù)流量高于1G時(shí)，會產(chǎn)品瓶頸，而SecBlade FW采用交換機(jī)背板進(jìn)行數(shù)據(jù)交換，S7500E交換機(jī)背板支持1.8T的背板帶寬，SecBlade FW支持8G吞吐量，故完全可以提供整體轉(zhuǎn)發(fā)性能，避免單點(diǎn)性能瓶頸。第5章 設(shè)備選型特點(diǎn)5.1 核心路由交換機(jī)的選擇核心建議建議使用