写字楼通信网络系统建议方案

1、写字楼通信网络系统建议方案目录TOC o 1-2 h u HYPERLINK l _Toc19005 1 建设目标及范围 PAGEREF _Toc19005 1 HYPERLINK l _Toc27213 2 设计原则 PAGEREF _Toc27213 1 HYPERLINK l _Toc4656 3 总体方案规划 PAGEREF _Toc4656 2 HYPERLINK l _Toc14338 4 详细方案描述 PAGEREF _Toc14338 3 HYPERLINK l _Toc3338 4.1 数据网络-CISCO PAGEREF _Toc3338 4 HYPERLINK l _To

2、c7591 4.2 无线网络-CISCO PAGEREF _Toc7591 17 HYPERLINK l _Toc21287 4.3 UC统一通信系统-AVAYA PAGEREF _Toc21287 44 HYPERLINK l _Toc31057 4.4 呼叫中心系统-AVAYA PAGEREF _Toc31057 114 HYPERLINK l _Toc31941 5 网络安全性设计 PAGEREF _Toc31941 164 HYPERLINK l _Toc29377 6 方案优势及特点 PAGEREF _Toc29377 186建设目标及范围本次系统目标是在XXX在亦庄新建的大楼内配置

3、整套通信网络，来实现行政办公的UC系统、数据网络、无线无线和呼叫中心的融合，UC系统和呼叫中心系统在物理上都基于基于数据网络在同一个语音平台来部署，在逻辑上可以进行隔离，从而保证用户的行政办公网络和语音通信网络能统一管理，又互不影响。设计原则优化人员及业务流程效率提高人员效率网络不会创造价值，只有人才能创造价值。可以说当今世界的“商业关系”是企业的核心资产。 我们为北京XXX设计的统一通讯和呼叫中心融合的解决方案可以帮助您的员工更加高效合作，他们通过使用创新、安全、可靠的通信使他们能够开拓更丰富、更有价值的客户、供应商及合作伙伴关系。按需通信分布式的企业通信，如流动销售队伍、远程办公、代理商、

4、分公司和公司办公室等所有通信对象可以无缝集成到同一通信环境，将可以获得前所未有的通信效率和较低的成本。我们为北京XXX设计的统一通讯的解决方案可以帮助您的员工无论身处何地，都可以使合适技能的人员协同高效协作。业务处理更加智能化人员与业务流程互动，创造更大价值。基于Avaya Software-base的融合通信技术及Avaya全球服务中心所具有的融合通信能力，并结合与多厂商集成的强大组织能力，使我们为北京XXX设计的统一通讯和呼叫中心融合的解决方案将引领整合通信应用和业务应用与业务流程之路，并促使这种全新的统一通讯功能成为现实。充分利用现有资源，拓展企业价值Avaya的解决方案可以充分利用北京

5、XXX企业现有的资源设备，进行有效利用并创造新得价值。从传统通信迁移到IP电话，北京XXX现有的设备能实现部分的保留。同时我们将通过扩展现有资源的能力、充分发挥现有资源的性能、保护投资来使北京XXX企业的价值最大化。最终按照北京XXX企业的需求实现多厂商设备的协同工作、无缝迁移、集成。实现这一切都有赖于Avaya所掌握得先进通信技术，及在通信应用中设计、建设、管理和维护能力及丰富的系统迁移、多厂商系统的融合通信集成经验。与此同时，我们为北京XXX提供的解决方案，给北京XXX提供了灵活多样的选择。其中包括选择新的开放架构技术平台、安全可靠的工业标准解决方案、提供具有开放架构并最终能够方便快速与企

6、业应用集成的软件进行集成。在软件应用上的价值我们通过软件模块的方式实现电话、呼叫中心、消息系统和统一通信上的功能，提供一个具有高互操作性和高成本效益的方案。我们还提供了功能丰富的应用软件与企业通信产品。我们具有最全面的多厂商通信服务能力。服务是使您企业当前资源价值最大化的关键因素。我们可以为用户提供全面的多厂商协作统一通信服务，使您的企业价值最大化，并能够使您将更多的资源集中到企业得核心业务上。 创造新的业务模式 为企业潜在的通信需求进行前瞻性设计，是企业创造新价值和获取重要竞争优势的有效途径。 Avaya一直在开放和实施创新的解决方案，激发新的能力，使北京XXX能够获取更先进的业务流程模式和

7、市场。 未来能帮助北京XXX提供差异化的服务，通过通信驱动流程（communication-enabled processes）或其他解决方案，使企业业务流程能够更智能。基于Avaya独有的智能通讯应用解决方案，可以有效提高北京XXX企业价值、创造企业竞争优势。我们为北京XXX提供的远程解决方案能够使北京XXX远程分支获得与总部相同的通信服务功能。这样将能进一步方便企业拓展新的市场、专家服务，从而为企业开展新的业务、服务提供有力的支持。总体方案规划用户办公大楼共有十三层，其中机房部署在第七层，呼叫中心坐席分布在第五层和第六层，坐席终端采用模拟或者IP分机。其他各层部署行政办公分机，分机采用IP

8、分机。系统所有服务器和网关等部署在七楼的机房内，在每层的弱点机房放置一台标准机柜放置网络交换机，交换机采用POE供电模式，用于接入所在楼层的IP话机和桌面电脑。如果用户呼叫中心坐席采用模拟或者数字的终端，还必须在第五层和第六层的弱点机房配置相对应的配线架，建议采用壁挂式配线架。用户可通过在远端分支机构配置IP话机的方式来是实现总部和分支机构的通信。无需其他硬件设备。如要保证整个语音通信网络的通讯顺畅，需要用户数据网络预留足够的带宽，按照一路通话占用40K带宽来计算，若要100门办公电话同时通话，需要预留4M带宽共行政办公来使用。方案特点方案中的主要设备都采用独立部署的方式，包括PBX(媒体服务

9、器和媒体网关),IVR等。一台设备出现故障不会影响其他设备的正常运行。其中媒体服务器采用基于光纤的备份方式，主服务器和备份服务器间实时传输系统信息，当切换时不影响用户已存在和正在建立链接的通话。系统配制闪存卡及闪存读取器，用来备份数据。通过快闪卡读取器连接S8730媒体服务器的一个USB口来备份数据。所有的备份都是热备份，切换时无需人工干预，并且可以保留已接续和正在接续的呼叫，实现无缝切换。交换机的配置信息系统会定期自动备份，可以使用备份文件重建系统。如果IVR系统出现故障，在我们设计的方案中还可以通过PBX中的Anouncement功能转到人工座席上，以保证系统的使用。如果CTI系统出现故障

10、，在我们设计的方案中还可以通过PBX内置的ACD功能来接替CTI的路由功能，以保证系统的使用。详细方案描述4.1 数据网络-CISCO4.1.1总体规划本工程采用IP数据网络，并按三层结构组网。分公司及分支机构通过Internet线路VPN至本地局域网，实现语音通信。本工程在大厦七层新设2套CISCO4506核心交换机和2套CISCO3560G-24TS-E汇聚层交换机；在1至6层及8至13层根据信息点数量新设楼层接入交换机，此接入交换机可使用PoE交换机接入IP电话和无线AP。核心交换机通过1台CISCO ASA5520与CISCO3825连接最终接入Internet。同时使用CISCO的无

11、线解决方案，在核心区域新架设1台无线控制器，对在各个楼层的无限接入点进行注册管理，各个楼层根据无线信号的覆盖区域及接入终端的密度布放无线接入点。核心层的2台CISCO4506交换机和汇聚层的2台CISCO3560G-24TS-E采用全网状连接；各楼层CISCO2960交换机与2个汇聚层交换机采用点对点星形连接，构成双归网络，具体分为3层结构：核心层：七层新设2台CISCO4506交换机，通过双绞线与2台CISCO3560G-24TS-E组成网状网络，进行数据交换。4个结点通过千兆端口使用双绞线两两互联形成网状网络，提供链路冗余连接。2台CISCO4506交换机通过千兆接口分别与CISCO AS

12、A5520防火墙内部接口连接，外部接口连接至CISCO3825路由器，接入Internet。防火墙通过对通过安全设备的数据包进行状态监控，并对未经允许的流量进行过滤。汇聚层：在七层的弱电间新设2台CISCO3560G-24TS-E交换机，通过千兆端口使用双绞线与核心层2台CISCO4506交换机两两互联。同时每台CISCO3560G-24TS-E交换机与各楼层接入交换机通过千兆端口使用双绞线互联，形成双归网络，为网络提供链路冗余。接入层：各楼层新设CISCO2960接入交换机，职员的桌面PC通过接入交换机接入网络。同时VoIP电话和无线AP也连接至接入交换机。整个网络系统图如下图所示：本系统主

13、设备的名称、型号、及业务处理能力如下：地点名称型号系统容量转发性能核心交换机CISCO4506WS-X451564Gbps48Mpps汇聚交换机CISCO3560GWS-C3560G-2432Gbps38.7Mpps接入交换机CISCO2960GWS-C2960G-2432Gbps6.5Mpps4.1.2方案描述 网络系统的组网结构符合典型的三层模块化设计模型。按照当前网络技术和应用的发展，网络中各部分所需要承担的功能的不同，把网络分为三个层次：接入层（access layer）汇聚层（distribution layer）核心层（core layer）这种分层方法使网络设计人员可以定义连接用

14、户和服务的构件区块。构件区块包括分布式网络服务和网络职能。最佳管理的园区网通常是按照此分级模型进行设计的。这个模型简化了网络管理并允许可控的发展。如下图所示：接入层网络的接入层是最终用户被许可接入网络的点。该分层能够通过过滤或访问控制列表提供对用户流量的进一步控制；然而，该分层的主要功能是为最终用户提供网络接入。在园区网环境中，接入层的主要功能如下：接入；交换；第二层服务，如基于接口或MAC地址的VLAN成员资格和数据流过滤，在这一层也可以提供安全接入特性。汇聚层汇聚层也叫分布层，网络的汇聚层是网络接入层和核心层之间的分界点。汇聚层也帮助定义和区分网络核心层。该分层提供了边界定义，并在该处对潜

15、在的费力的数据包操作进行处理。在园区网环境中，汇聚层执行最多的功能：VLAN的聚合；部门级或工作组接入；广播域或多点广播域定义；VLAN间路由；介质转换；安全；核心层核心层是园区网的主干。核心层的主要目的是尽可能快速地交换数据。网络的这个分层不应该被牵扯到费力的数据包操作或者任何减慢数据交换的处理。应该避免在核心层中使用像访问控制列表和数据包过滤这类的功能。核心层主要负责以下的工作：提供交换区块间的连接；提供到其他区块的访问；尽可能快地交换数据帧或数据包；分层园区网设计可最有效地利用多种第3层业务，包括分段负载分担和故障恢复。 网络保护的工作内容及采用的技术核心交换机CISCO4506和汇聚交

16、换机CISCO3560G间使用2条千兆双绞线捆绑（GEC）两两相连，是链路带宽达到2Gbps，链路之间做冗余备份和负载均衡，接口配置为路由模式，启动OSPF动态路由协议。汇聚交换机CISCO3560G间使用2条千兆光纤链路捆绑（GEC），使链路带宽达到2G，链路配置成trunk模式，两个汇聚交换机之间启用HSRP冗余热备份协议，链路之间做冗余备份和负载均衡。以上核心层4台交换机在拓扑结构上采用全网状结构（也是环结构），采用OSPF动态路由协议，OSPF协议支持相同成本(equal cost)的负载均衡技术。一旦汇聚层设备连接至核心层设备的某个链路出现中断，OSPF协议更新动态路由表，会通过另一

17、条连接至核心层设备的链路连通，保证网络故障切换后的连通。楼层交换机至汇聚交换机链路：每个楼层接入交换机至汇聚交换机之间链路启用STP协议，配置成TRUNK模式，设置其中一台的交换机有最高的网桥优先级，作为根网桥；另一台次之，作为备份根网桥。通过设置生成树协议端口的cost成本值，阻塞冗余端口，维护一个无环路、稳定、可靠的网络。接入层交换区域的可靠性通过STP实现，当楼层交换机至汇聚交换机的链路或原指配的汇聚节点出现故障时，生成树协议会重新计算，阻塞的冗余端口会启用，形成新的生成树，会自动将把业务端口切换到冗余链路，保证网络故障切换后的连通。为了防止一台汇聚交换机的故障造成以其为缺省网关的用户无

18、法访问其它VLAN的问题，采用HSRP协议，两台三层汇聚交换机，每一个VLAN都有两个可供选择的网关地址，为同一VLAN的每一对网关设置一个虚拟的IP网关地址，VLAN中的用户都将自己的网关地址设置为此虚拟地址，这样任何一台交换机出现故障时，另一台都可以接替它的所有工作，保证网络的正常运行。同时通过对优先级的控制，可以实现交换机的负载均衡，即在正常运转情况下，两台三层交换机各自为接近相当数目的VLAN提供网关服务。当汇聚交换机至汇聚交换机的链路出现故障时，生成树协议会重新计算，楼层交换机至汇聚交换机会通过某个楼层交换机形成新的链路，HSRP协议也可以正常工作。采用的技术1）生成树协议生成树协议

19、是一种二层管理协议，它通过有选择性地阻塞网络冗余链路来达到消除网络二层环路的目的，同时具备链路的备份功能。生成树即SpanningTree，是一种二层算法，采用这种算法的技术消除了网桥的冗余连接，用逻辑的BLOCK使每个节点对外的拓扑都呈树状，避免了因为环路而造成的广播风暴，一旦拓扑发生变化，SpanningTree又重新生成树，保证了网络通讯的可靠。但生成树协议的收敛速度较慢，一般要几十秒时间。Cisco对标准STP协议进行了一些优化，使用Uplinkfast、Backbonefast等技术完成自动切换到冗余链路，并解决spanning tree收敛速度慢的问题。portfast使用port

20、fast技术，交换机的端口不经过侦听、学习两个状态，直接由阻塞状态进入转发状态，这个过程只需1秒的时间。Uplinkfast当交换机的根端口发生故障，冗余端口不经过侦听、学习两个状态，直接由阻塞状态进入转发状态，这个过程只需1秒的时间。如下图所示：Backbonefast交换机通过BPDU得知与它连接的交换机失去到根交换机的连接时，快速将冗余链路激活，使交换机到根交换机的干线连接能很快恢复。如下图所示：2）千兆以太通道技术同时，通过千兆以太通道（Gigabit Ethernet Channel）技术，可以大大提高千兆以太网主干的链路冗余能力和性能。以太通道技术可将多条并行的物理链路在逻辑上合并

21、为一条链路，以增加主干的带宽，采用这一技术，可将多条千兆线路合并得到高速通道。3）VLAN技术对于一个大型的局域网络来说，VLAN的划分是非常重要的功能，它为限制全网范围的广播和多点广播提供了有效的手段。虚拟网络VLAN是对网络系统采用逻辑化而非物理化的管理技术来实现网络安全的策略，其主要协议为 IEEE 802.1q，VLAN可以将通讯量进行有效的分割，从而很好的利用带宽，并可以从逻辑的角度出发将实际的LAN基础结构分割成多个子网，这样减轻了扩容的压力。 VLAN的信息可以通过802.1q中继进行传输。802.1q是一个国际标准，可用于连接多个交换机的干线，汇聚各VLAN的信息，并可跨多个交

22、换机间划分VLAN。采用用802.1q技术，每个以太网帧头也要封装一个VLAN ID号以及其它信息以便其它交换机识别它。在网络中配置VLAN可以实现不同部门或不同业务功能的隔离，在一定程度上保证了系统安全性，同时也以限制接入层的大量广播包在骨干网络的泛滥，提高了系统性能和可用性。4）热备份路由协议不同虚拟网或不同子网间的访问需要路由设备，局域网内的工作站或服务器都必须配置自己的默认网关。当默认网关出现故障时，不同虚拟网或不同子网间的访问不能进行。因此为了提高网络系统的可靠性，采用热备份路由协议HSRP。HSRP（热备份路由协议）是为网络接入设备提供三层网关冗余的技术，HSRP协议允许两个或多个

23、配置HSRP协议的网关使用一个虚拟网关的MAC地址和IP地址。因此，当网络在一个网关失效不能工作时，网络中的另一个网关自动接管失效网关，从而实现IP路由容错。在本投标的技术方案中，两个派出所的交换机采用热备份路由协议HSRP，当出现主用网关故障时，快速切换到备份网关上。同时通过对备份优先级的控制，我们可以实现两台派出所汇聚交换机的负载均衡，即在正常运转情况下，每台汇聚交换机各自为一部分VLAN提供网关服务。配置的HSRP网关向接入设备提供虚拟IP和MAC地址，并使用hello包检测HSRP成员状态，确保网关冗余。HSRP设置优先级，确保高优先级网关为激活状态；HSRP优先级策略应与STP的根网

24、桥主备设置一致。5）OSPF动态路由协议OSPF是链路状态路由协议。使用OSPF的路由器通过发送、接收链路状态消息（LSA）构建链路状态数据库，再用最短路径优先算法生成最短路径树，由此得到该路由器的路由表。OSPF路由器知道网络的总体拓扑结构，最短路径树就是到网络各节点的最佳路径。OSPF的网络设计采用层次性结构，通过将网络划分为层次结构的不同区域，可缩短路由表的长度，提高路由的效率。OSPF是国际标准协议，可以使网络在拓扑变化时的快速收敛、网络在故障时的快速恢复，保证网络带宽的充分有效利用、利于网络的灵活扩展。 网络系统的扩展、升级方式本方案采用的CISCO网络设备提供灵活和简单的网络升级、

25、扩容和系统重新配置。CISCO公司的网络产品有很长的生命期，在设计时就很好的考虑到产品的可扩展性、可升级性及用户的投资保护，系统具有方便的扩展功能，需要时，只需增加少量板卡、修改软件就可实现。（1）增加接口和模块1）核心交换机：核心交换机配置WS-X4515引擎，其中含2个千兆光口；WS-X4424-GB-RJ45，24千兆电口模块。剩余4个业务扩展插槽，可以用于以后网络规模扩大后配置各种接口模块或业务模块。CISCO4506可以增加接口模块而不影响本节点的其它业务，所有的接口模块和接口卡都是可热拔插并更换的。2）汇聚交换机CISCO3560G-24有24个10/100/1000以太网端口，还

26、有4个为千兆T/SFP双介质可选端口。SFP光纤接口主要作为远程网络设备间光纤连接，可通过配置千兆光接口收发器实现，目前还剩余4个用于以后网络规模扩大后的扩展，光纤收发器可热插拔而不影响本节点的其它业务。CISCO 3960G-24采用全千兆交换，32G背板带宽，38.7Mpps的包转发率，完全可以作为汇聚层的交换机，通过其千兆接口级联其它楼层接入交换机，以扩展端口。3）接入层交换机CISCO 2960-24有20个10/100以太网端口，2个千兆以太电口。CISCO 2960-24采用全百兆交换，8.8Gps背板带宽，6.6Mpps的包转发率，完全可以作为楼层接入交换机，通过其千兆接口级联汇

27、聚层交换机。（2）增加结点增加交换机节点到网络中，不会影响现有网络的工作状态。可通过光纤远程连接，或通过千兆RJ45接口本地扩展。 产品列表型号描述数量用途CISCO3825-SEC/K93825 Security Bundle,Advanced Security,64F/256D1广域网路由器ASA5520-K8ASA 5520 Appliance with SW, HA, 4GE+1FE, DES1防火墙WS-C4506-ECat4500 E-Series 6-Slot Chassis, fan, no ps2核心交换机PWR-C45-1300ACVCatalyst 4500 1300W

28、AC Power Supply (Data and PoE)2PWR-C45-1300ACV/2Catalyst 4500 1300W AC Power Supply (Data and PoE)2S45ES-12231SGACisco CAT4500 IOS ENTERPRISE SERVICES W/O CRYPTO2WS-X4515Catalyst 4500 Supervisor IV (2 GE),Console(RJ-45)2WS-X4124-RJ45Catalyst 4500 10/100 Module,24-Ports(RJ45)2WS-C3560G-24TS-ECatalyst

29、 3560 24 10/100/1000T + 4 SFP + IPS Image2汇聚层交换机WS-C2960-24LT-LCatalyst 2960 24 10/100 (8 PoE)+ 2 1000BT LAN Base Image7楼层接入交换机WS-C2960-24PC-LCatalyst 2960 24 10/100 PoE + 2 T/SFP LAN Base Image5WS-C2960-48PST-LCatalyst 2960 48 10/100 PoE + 2 1000BT +2 SFP LAN Base Image15无线产品列表型号描述数量AIR-WLC4402-50-

30、K94400 Series WLAN Controller for up to 50 Lightweight APs1GLC-T1000BASE-T SFP2WCS-STANDARD-K9WCS Top Level SKU for AP capacity options.1WCS-APLOC-50WCS-Standard-K9 50 AP Location. License Only.1WCS-CD-K9CD With Windows And Linux. No License.1AIR-LOC2710-L-K9New Location Appliance, successor to 2700

31、1AIR-LAP1242AG-C-K9802.11ag LWAPP AP Dual 2.4,5GHz RP-TNC China Cnfg36AIR-ANT49412.4 GHz,2.2 dBi Dipole Antenna Black w/RP-TNC Connect.Qty. 1724.1.3数据网络可选规划 非POE标准版功能设备名称型号描述数量广域网接入边缘路由器多业务路由器CISCO3825-SEC/K93825 Security Bundle,Advanced Security,64F/256D1网络安全网络边界安全防火墙ASA5520-K8ASA 5520 Appliance wi

32、th SW, HA, 4GE+1FE, DES1核心交换机冗余核心交换机核心交换机（6槽）WS-C4506-ECat4500 E-Series 6-Slot Chassis, fan, no ps2电源PWR-C45-1300ACVCatalyst 4500 1300W AC Power Supply (Data and PoE)2热冗余电源PWR-C45-1300ACV/2Catalyst 4500 1300W AC Power Supply (Data and PoE)2交换机操作系统软件S45ES-12231SGACisco CAT4500 IOS ENTERPRISE SERVICES

33、 W/O CRYPTO2交换机引擎（6代）WS-X4515Catalyst 4500 Supervisor IV (2 GE),Console(RJ-45)224百兆双绞线接口卡WS-X4124-RJ45Catalyst 4500 10/100 Module,24-Ports(RJ45)2汇聚层交换机冗余汇聚层交换机24千兆接口三层交换机WS-C3560G-24TS-ECatalyst 3560 24 10/100/1000T + 4 SFP + IPS Image2接入层交换机非PoE接口楼层交换机48百兆接口二层交换机（48个百兆接口+2个千兆口）WS-C2960-48TT-LCataly

34、st 2960 48 10/100 + 2 1000BT LAN Base Image1524百兆接口二层交换机（24个百兆接口+2个千兆口）WS-C2960-24TT-LCatalyst 2960 24 10/100 + 2 1000BT LAN Base Image12以太网跳线超五类双绞线无线设备无线控制器无线控制器（支持50个AP）AIR-WLC4402-50-K94400 Series WLAN Controller for up to 50 Lightweight APs1千兆双绞线收发器GLC-T1000BASE-T SFP2无线控制管理软件无线控制管理软件WCS-STANDAR

35、D-K9WCS Top Level SKU for AP capacity options.1无线控制管理软件许可（50个AP定位许可）WCS-APLOC-50WCS-Standard-K9 50 AP Location. License Only.1无线控制管理软件（CD媒体）WCS-CD-K9CD With Windows And Linux. No License.1无线接入点定位器AP定位器AIR-LOC2710-L-K9New Location Appliance, successor to 27001无线接入点无线接入点AIR-LAP1242AG-C-K9802.11ag LWAP

36、P AP Dual 2.4,5GHz RP-TNC China Cnfg36无线接入点2.4 GHz天线AIR-ANT49412.4 GHz,2.2 dBi Dipole Antenna Black w/RP-TNC Connect.Qty. 172电源注射器AIR-PWRINJ3Power Injector for 1100, 1130AG, 1200 1230AG, 1240AG, 52136AP安装组件AIRLAP-FIPSKITFIPS Kit for LWAPP APs36此版本为是在PoE标准版的基础上将楼层接入交换机更换为非PoE供电的交换机，相应的无线接入点的供电将通过为每台A

37、P增加电源注射器实现。其他未作改动。 POE标准版功能设备名称型号描述数量广域网接入边缘路由器多业务路由器CISCO3825-SEC/K93825 Security Bundle,Advanced Security,64F/256D1网络安全网络边界安全防火墙ASA5520-K8ASA 5520 Appliance with SW, HA, 4GE+1FE, DES1核心交换机冗余核心交换机核心交换机（6槽）WS-C4506-ECat4500 E-Series 6-Slot Chassis, fan, no ps2电源PWR-C45-1300ACVCatalyst 4500 1300W AC

38、Power Supply (Data and PoE)2热冗余电源PWR-C45-1300ACV/2Catalyst 4500 1300W AC Power Supply (Data and PoE)2交换机操作系统软件S45ES-12231SGACisco CAT4500 IOS ENTERPRISE SERVICES W/O CRYPTO2交换机引擎（6代）WS-X4515Catalyst 4500 Supervisor IV (2 GE),Console(RJ-45)224百兆双绞线接口卡WS-X4124-RJ45Catalyst 4500 10/100 Module,24-Ports(

39、RJ45)2汇聚层交换机冗余汇聚层交换机24千兆接口三层交换机WS-C3560G-24TS-ECatalyst 3560 24 10/100/1000T + 4 SFP + IPS Image2接入层交换机PoE接口楼层交换机24百兆接口（8个PoE接口+2个千兆口）WS-C2960-24LT-LCatalyst 2960 24 10/100 (8 PoE)+ 2 1000BT LAN Base Image724百兆接口（24个PoE接口+2个千兆口）WS-C2960-24PC-LCatalyst 2960 24 10/100 PoE + 2 T/SFP LAN Base Image548百兆

40、接口（48个PoE接口+2个千兆口）WS-C2960-48PST-LCatalyst 2960 48 10/100 PoE + 2 1000BT +2 SFP LAN Base Image15以太网跳线超五类双绞线无线设备无线控制器无线控制器（支持50个AP）AIR-WLC4402-50-K94400 Series WLAN Controller for up to 50 Lightweight APs1千兆双绞线收发器GLC-T1000BASE-T SFP2无线控制管理软件无线控制管理软件WCS-STANDARD-K9WCS Top Level SKU for AP capacity opt

41、ions.1无线控制管理软件许可（50个AP定位许可）WCS-APLOC-50WCS-Standard-K9 50 AP Location. License Only.1无线控制管理软件（CD媒体）WCS-CD-K9CD With Windows And Linux. No License.1无线接入点定位器AP定位器AIR-LOC2710-L-K9New Location Appliance, successor to 27001无线接入点无线接入点AIR-LAP1242AG-C-K9802.11ag LWAPP AP Dual 2.4,5GHz RP-TNC China Cnfg36无线接

42、入点2.4 GHz天线AIR-ANT49412.4 GHz,2.2 dBi Dipole Antenna Black w/RP-TNC Connect.Qty. 172AP安装组件AIRLAP-FIPSKITFIPS Kit for LWAPP APs36此版本的总体结构明晰，接入层、汇聚层、核心层分别设置，功能区划独立，这种分层方法使网络设计人员可以定义连接用户和服务的构件区块。广域网接入使用CISCO3825路由器，分支使用CISCO路由器或防火墙，经由VPN实现总部和分支之间安全可靠地互联，并且为远程销售提供IPSEC VPN的接入。在边界路由器后设置CISCO ASA5520防火墙，实

43、现自防御网络的边界安全。通过在楼层弱电间设置二层接入交换机实现客户终端的百兆双绞线网络接入，该分层能够通过过滤或访问控制列表提供对用户流量的进一步控制。我们在七层的弱电间设置汇聚层的三层交换机，此层是接入层和核心层之间的分界点，在此汇聚层的三层设备上配置VLAN的网关，并实现VLAN间路由。接入层网络设备通过2条超五类双绞线千兆级联至两台汇聚层三层交换机，提供设备及链路的冗余，此千兆线路保证了数据传输的带宽。中心机房的核心交换机是本地局域网的主干，主要目的是尽可能地交换数据，并且将交换区块连接至核心区域。两台核心交换机提供了设备冗余，并且与两台汇聚层三层交换机两两互联，通过设备与链路的冗余保证

44、了整个系统的高可用性。无线部分使用了Cisco Aironet 1240AG系列轻量级无线接入点，其为办公机构的理想接入点，它提供了一个高容量、高度安全的WLAN，并且同时支持支持802.11a、802.11b 和802.11g 标准，提供108Mbps 容量，并且适用于多种2.4 和5GHz 天线的连接器。同时设置了思科无线局域网控制器，并提供了系统级无线局域网功能。它们与Cisco 1242系列轻型接入点和思科无线控制系统(WCS)软件共用，可支持关键的无线应用。从语音和数据服务到地点跟踪，WLAN控制器提供了必要的控制能力、可扩展性和可靠性。思科无线定位设备可跟踪无线AP设备。它为重要资

45、产跟踪、IT管理和基于位置的安全技术提供了一个经济有效、高分辨率的定位解决方案。 POE基础版功能设备名称型号描述数量广域网接入边缘路由器多业务路由器CISCO3825-SEC/K93825 Security Bundle,Advanced Security,64F/256D1网络安全网络边界安全防火墙ASA5520-K8ASA 5520 Appliance with SW, HA, 4GE+1FE, DES1核心（汇聚）交换机冗余核心交换机核心交换机（3槽）WS-C4503-ECat4500 E-Series 3-Slot Chassis, fan, no ps2电源PWR-C45-1300

46、ACVCatalyst 4500 1300W AC Power Supply (Data and PoE)2热冗余电源PWR-C45-1300ACV/2Catalyst 4500 1300W AC Power Supply (Data and PoE)2交换机操作系统软件S45ES-12231SGACisco CAT4500 IOS ENTERPRISE SERVICES W/O CRYPTO2交换机引擎（5代）WS-X4516Catalyst 4500 Supervisor V (2 GE),Console(RJ-45)248千兆双绞线接口卡WS-X4548-GB-RJ45Catalyst

47、4500 Enhanced 48-Port 10/100/1000 Base-T (RJ-45)2接入层交换机PoE接口楼层交换机24百兆接口（8个PoE接口+2个千兆口）WS-C2960-24LT-LCatalyst 2960 24 10/100 (8 PoE)+ 2 1000BT LAN Base Image724百兆接口（24个PoE接口+2个千兆口）WS-C2960-24PC-LCatalyst 2960 24 10/100 PoE + 2 T/SFP LAN Base Image548百兆接口（48个PoE接口+2个千兆口）WS-C2960-48PST-LCatalyst 2960

48、48 10/100 PoE + 2 1000BT +2 SFP LAN Base Image15以太网跳线超五类双绞线无线设备无线控制器无线控制器（支持50个AP）AIR-WLC4402-50-K94400 Series WLAN Controller for up to 50 Lightweight APs1千兆双绞线收发器GLC-T1000BASE-T SFP2无线接入点无线接入点AIR-LAP1242AG-C-K9802.11ag LWAPP AP Dual 2.4,5GHz RP-TNC China Cnfg36无线接入点2.4 GHz天线AIR-ANT49412.4 GHz,2.2

49、dBi Dipole Antenna Black w/RP-TNC Connect.Qty. 172AP安装组件AIRLAP-FIPSKITFIPS Kit for LWAPP APs36此版本的在PoE标准版的基础上将汇聚层与核心层合并设置，这种分层方法使网络结构更加紧凑，使用一台设备实现了数据的汇聚与VLAN间的路由。相应的将核心交换设备的处理引擎性能配置升级，以应付处理更多的任务。同时将原来配置的百兆接口板更换为千兆接口板，作为楼层接入设备级联的连接端口同时提供给服务器连接。在楼层弱电间设置的二层接入交换机依旧通过2条超五类双绞线千兆级联至两台核心交换机，提供设备及链路的冗余，保留千兆线

50、路保证数据传输的带宽。无线部分保留了Cisco Aironet 1240AG系列轻量级无线接入点和思科无线局域网控制器，简化了思科无线控制系统(WCS)软件和思科无线定位设备，提供了无线系统基本的应用及管理解决方案。4.2 无线网络-CISCO4.2.1 设计原则根据具体需求和勘测情况，在此次网络建设的规划、设计和实施中遵循以下原则：先进性和实用性并重系统建设要有一定的前瞻性。在无线网络建成后的3-5年之内，不会由于业务量的增加导致对网络结构及主要设备的重大调整。同时要考虑实际的应用水平，避免技术环境过于超前造成投资浪费。兼容性网络采用开放式体系结构，易于扩充，使相对独立的系统易于进行组合和调

51、整。选用的通信协议符合国际标准或工业标准，网络的硬件环境、通信环境、软件环境相互独立，自成平台，使相互间依赖减至最小，同时保证网络的互联，我们设计的无线局域网全部支持从交换机直接通过PoE供电，不必为AP另行配置电源插座。但是假如AP离交换机之间线长超过60M，建议使用墙电电源注射器的方式。Cisco的无线局域网系统满足国际和国内的无线标准， WLAN最大程度的兼容符合Wi-Fi标准的各种无线终端设备，如Intel讯驰系统、国内和台湾、香港生产的通过Wi-Fi认证的无线局域网络终端设备，事实上，几乎今天在市面上知名的品牌均可以兼容。无线辐射根据中国国家无线电管理委员会的规定，在办公室内部署无线

52、网络信号辐射不得超过100mw，以避免2.4GHz和5GHz对人体的影响。同样的原因，在通常情况下，终端使用5mw左右的发射功率，以避免大功率长期辐射对人体的影响。无线接入点即AP随着终端和AP之间的信号的强弱，AP和终端会自动协商根据信号的衰减程度，自动降低传输速率和增大传输功率。思科无线系统在办公室内部署的型号统一都根据国家规定最大为100mw，功率智能调节。实时的射频自动监测无线信号容易受到其他信号的干扰，无线局域网使用的2.4GHz和5GHz频段是开放频段，无需注册即可获得使用，因此下列设备可能造成干扰：微波炉其他大厦区域的无线系统2.4GHz的无绳电话等因此AP实时进行射频的监测，A

53、P后台的控制器能够实时对AP进行控制，控制功率的大小，比如当1个AP实效以后，其他的AP通过自动计算对功率进行增加；出现信号的时候，控制器能够对信号干扰来源进行定位，确定何处的信号干扰，信号干扰的程度如何，并地图方式显示在网管上（需配置WCS及定位器）。传统有线网络在物理安全方面存在一定的优势。有线接口位于建筑物内部，这意味着企业可以利用加密卡和通行证来将未经授权的用户拒之门外。但是在无线网络中，这种物理保护并不存在。无线信号会扩散到物理围墙之外，从而可能将企业的WLAN拓展到某个停车场或者相邻建筑物。为了最大限度地解决这个问题，必须采用正确的RF设计、发射功率控制和先进的定位技术。自动负载均

54、衡有线网络在本质上具有确定性第二层（以太网）和第三层（IP）交换机和路由器都是便于理解、可以预测的。但是，用户在无线网络中的体验则依赖于无线信号的传播和建筑物的其他特性。这些特性可能会迅速发生变化，从而影响连接速度和错误率。一个位于城区的办公场所的RF环境在早上10点和3点时是完全不同的。在早上10点，有数以百计的用户在移动使用网络。而在早上3点，办公室的大门紧锁，没有人在办公，而且附近的办公室和咖啡厅也不会产生RF干扰。更多的情况下，在同一时间，大家从各自的办公室汇聚到会议厅，特别是当人数比较多，超出了1个AP的承受范围，那么带宽会慢的无法工作；为了保障带宽，如果在AP设置了限制，那么后来的

55、人员无法得到无线连接服务，因为在无线网络控制器的模式，可以对AP自动的负载均衡，将终端分别发送到不同的AP，自动计算和对终端的流量进行均衡，比如，当这个AP的利用率到了80%，那么控制器自动将用户引导到另外的空闲的相邻AP上面，而在我们的设计中，所有的AP部署已经考虑了人员的位置和可能的集中的情况，完全可以智能的处理动态的负载变化。例如会议室开会的时候，那个区域对AP的使用率会非常高，满负荷以后可能就无法继续使用网络了，但是有了控制器，它能控制AP的覆盖范围，一个AP满负荷了，会有其他的AP过来支援。自动频道管理和跨IP域漫游无线局域网802.11b标准使用3个不重复的频道，1、6、11，为了

56、实现自动漫游，需要对频道的管理。思科无线系统由于采用了后台集中控制的方式，能够当AP布放后，通过实时射频监测，然后自动对频道进行分配，并地图方式显示在网管上（需配置WCS及定位器）。无线局域网的AP如果处于不同的子网，在漫游的过程中，需要处理三层的漫游，在后台保持用户的DHCP得来的IP租用，认证的会话密钥等，控制器可以自动完成三层无线漫游。安全性无线网络支持最多的安全特性，采用集中认证，对每个数据包进行加密。通过对射频的实时监测，发现并定位恶意的AP，恶意AP是未经授权的人员通过自己设置一个AP，吸引无线终端连接到恶意AP从而非法获得数据的黑客方法。对恶意AP的扫描配合采用安全无线认证协议，

57、能够解决AP和无线之间的相互信任问题。目前无线局域网领域标准主要有思科和微软等公司，能够支持最多的安全保障和扩展的端口安全管理。地理化图形管理界面网络管理界面全部图形化，能够输入办公区的平面图，并且能够进行微调，能够输入障碍物等信息，在网管上面可以操作全部的无线功能。在AP上无需任何配置。4.2.2 详细方案 CISCO无线网络架构为了全面地满足用户的RF管理需求，我们设计了一个集中、简便的WLAN架构。它的核心组件是 “分离MAC”架构，即将对802.11数据和管理协议的处理，以及接入点功能分别部署于一个轻型接入点和一个集中WLAN控制器（如图1所示）。更加特别的是，对时间敏感的活动例如信标

58、处理、与客户端的握手、介质访问控制（MAC）层加密和RF监控都是由接入点处理的。其他活动都由WLAN控制器处理，它需要具备整个系统的可见度。这包括802.11管理协议、帧转换和桥接功能，以及对于用户移动、安全、QoS和可能更加重要的是实时RF管理的系统级策略。图1 典型的分离MAC架构无线局域网控制器具备的实时RF管理对于轻型无线解决方案具有重要的意义。它是思科产品的一项独有特色。思科无线局域网控制器可以利用动态算法，创建一个完全自行配置、优化和治愈的环境，让思科WLAN适用于提供安全、可靠的业务应用。这是通过执行下列RRM功能实现的：无线资源监控动态信道分配干扰检测和避免动态发射功率控制覆盖

59、盲区检测和纠正客户端和网络负载均衡无线资源监控RF网络的管理需要充分了解影响无线空间的因素。思科轻型接入点采用了独特的设计，不仅能够提供服务，还可以同时监控所有信道。这源自于思科在它的分离MAC架构中对802.11 MAC层所开展的、广泛的开发工作。除了提供服务以外，思科轻型接入点还可以同时扫描所在国家允许的所有有效的802.11a/b/g信道，以及在其他地区有效的信道。这可以提供最高限度的保护系统将发现可能从其他国家进口的恶意接入点，或者某个知道怎样更改所在国家规定操作方式的黑客。这些黑客能够让恶意设备位于带外，从而躲过大部分WLAN入侵检测系统（IDS）的扫描。思科轻型接入点可以在不超过6

60、0ms的时间里进行“信道外”扫描，以监听这些信道。在此期间搜集到的分组将被发送到思科无线局域网控制器。后者将对这些分组进行分析，以发现恶意接入点（无论服务集标识符SSID是否被广播）、恶意客户端、临时客户端和干扰接入点。动态信道分配802.11 MAC功能需要采用一种基于二进制指数退避的冲突避免机制，即带有冲突检测的载波侦听多路存取（CSMA/CA）。802.11 MAC层由一个四路交换协议定义：Request to Send (RTS) Clear to Send (CTS)Data ACK当某个基站需要发送信息时，它会将其提供给介质。如果介质是闲置的，接入点将会允许该基站发送它的数据。否则