办公楼网络技术方案设计

有用标准文档有用标准文档澳洋医院办公楼及综合楼网络方案名目\l“_TOC_250019“第一章．概述 3\l“_TOC_250018“建筑群网络建设背景 3\l“_TOC_250017“建网需求分析 3\l“_TOC_250016“一般建网需求 3\l“_TOC_250015“网络安全需求分析和对策 4\l“_TOC_250014“其次章．总体网络设计和网络特点 7\l“_TOC_250013“网络设计的原则 7\l“_TOC_250012“网络拓扑 8\l“_TOC_250011“方案说明 8\l“_TOC_250010“方案特色技术简介 10\l“_TOC_250009“路由规划 10\l“_TOC_250008“IP地址规划 11\l“_TOC_250007“无线方案 12\l“_TOC_250006“无线网络优势 12\l“_TOC_250005“无线局域网总体架构选择 12\l“_TOC_250004“供电问题 13\l“_TOC_250003“频率规划 13\l“_TOC_250002“频率复用 14\l“_TOC_250001“信号掩盖范围掌握 15\l“_TOC_250000“AP防盗设计 15多SSID接入 16AP射频和SSID掌握 16网络设备选型 16出口路由器 16防火墙 16核心交换机 17IPS插卡〔入侵检测〕 17ACG插卡〔流控设备〕 18会聚交换机 18接入交换机 18无线掌握器(AC) 18无线接入点〔AP〕 19网管系统 19第三章．网络设备集中统一治理解决方案 21网络治理概述 21网络治理需求分析 21网络治理总体设计 22第一章．概述建筑群网络建设背景其重要的。因此在信息社会的今日，网络信息系统的建设尤其重要。可扩展、易升级的高效网络系统。实现主干千兆，并且千兆交换到桌面的高效网络系统。是必备的。因此本次组网力争做到下面几个方面：建成较完善的局域网治理信息网络体系。实现局域网内部的牢靠连接，实现网络内部各部门、各人员信息的沟通与资源的共享。器等都集中安装在网络中心.公司网络建成后，利用高效的网管软件、安全策略，可对整个公司网络实施治理和监控。建立高牢靠性的网络系统，保证网络运行不连续。建立高效协同的办公环境，保证各局部的的工作人员可以有良好的沟通环境，使其相互之间的协作更加严密，更利于发挥自己的潜能，为公司制造更多的价值。进展策略掌握，严格掌握内网用户的操作权限，给不同的人员安排不同的权限。依据不同的部门划分不同的VLAN，保证各个部门之间的独立性，掌握各个VALN之间的访问。对网络的性能也做了优化，选用良好的设备，保证系统的高可用性。建网需求分析一般建网需求的建设和业务应用平台建设两个不同的层面营方面相关的内容，主要有以下几方面的特点：1InternetISP接入Internt。从而可以满足企业员工的上网需求，可以满足外网访问公司WEB、FTP、MAIL等效劳器，利于公司做好对外宣传和效劳。2对用户带宽进展掌握的需求，要求设备能对用户的带宽进展掌握，辟如限制为64K、256K、512K、1M、2M、5M、10M3公司网络建成后，利用高效的网管软件、安全策略，可对整个公司网络实施治理和监控。4在当前的网络环境下，如何保障办公网络的安全成为各个公司在组建网时不得不考虑的问题，目前主要攻击手段有DOS、DDOS、IP利用高性能的网络安全防范设备，在网络的出口处屏蔽掉病毒及黑客的攻击，保护内网数据的安全。5随着多种业务的融合，特别是可控组播的需求将随着企业信息化的深入而表达出来。网络安全需求分析和对策随着以网络为核心的信息技术目月异的进展，尤其是Internet/Intranet在全球的快速普及，网络安全问题正日益成为人们关注的头号焦点。对于本企业网络来说，内部信息网络系统的安全涉及到两个方面的问题：如何有效防止来自外网的非法攻击；如何有效防止来自于网络内部，包括治理人员的误操作以及某些恶意的内部攻击；对于后者往往是信息主管的重视程度往往缺乏。首先应当鼓舞公司网络内部的互访，比外部非法入侵还要大。从办公网的网络构造来看，主要存在的危急有以下几点：1数据窃听是一种软件应用，它可以捕获通过某个冲突域的全部网络数据。通常我们利用数据窃听功能进展网络故障的排解或进展流量分析。但黑客可以利用它猎取一些格外有用且敏感的信息，比方用户名和密码等。2IP当位于网络内部或外部的黑客主机仿照成为一台可信任的计算机时，就称其进展IP可以使用一个位于牢靠网络IP地址范围内的IP地址；可以使用一个既牢靠又能够访问网络上特定资源的授权外部IP址；3(DoS)；拒绝效劳攻击(DoS)的目的通常并不是进入某个网络或猎取其中的信息。这种攻4IP哄骗与数据窃听方式等。一旦他们拥有了用户的账号和密码，他们就拥有了和该用户完全一样的权利。5进展中间人攻击要求黑客能够访问在网上传输的网络数据。黑客通常是通过使用网络数据窃听以及路由和传输协议进展这种攻击的。这种攻击的主要目的是窃取信息、截获正在传输中的会话以便访问专用网络资源、进展流量分析以猎取关于一6黑客可以通过几种不同的方法实施应用层攻击。最常用的一种方法是利用服()以及FTP。利用这些弱点，黑客能够获得合法的帐号，从而得以访问计算机。与应用层攻击相关的一个主要问题是这些攻击常常使用被允许穿越安全设备的端口。应用层攻击永久不行能被完全消退，由于的易受攻击点总会不断消灭，但可以部署更智能的设备削减非法攻击。7指非授权用户利用网络内部的某种信任关系进展攻击的行为。典型的一个例子是公司的周边网络连接，另外一个例子是位于安全设备外侧的系统与位于安全设备内侧的系统之间有信任关系。当外部系统被破坏时，它可以利用这种信任关系攻击内部的系统。8未授权访问不是指某种具体的攻击，而是指当今网络中发生的多数攻击。9病毒是指与另一个程序相连的不良软件，特地在用户的工作站上执行某种破坏性功能。特洛伊木马实际上是一种攻击工具，可以猎取用户格外有用的信息。针对上面所述的安全隐患，我们应当实行以下措施：对网络而言，零风险意味着网络几乎关闭，根本不能供给网络效劳，这是不行取的。换句话说，网络安全不行能做到零风险。购置了高性能的网络安全产品并不意味着信息主管可以高枕无忧。信息安全并不仅仅局限于通信保密，其实网络信息安全牵扯到方方面问题，是一个极其简单的工程。要实施一个完整的网络与信息安全体系，至少应包括三个方面的措施：一是企业的规章制度及安全教育等外部软环境，在该方面企业的主要领导扮演重要的角色；二是技术方面的措施，如入侵防范技术，防火墙技术、网络防毒、信息加密存储通信，身份验证，授权等，但只有技术措施并不能保证百分之百的安全；三是审计和治理措施，该方面措施同时包含了技术与社会措施。主要措施有：实时监控企业的安全状态、供给应变安全策略的力量，对现有的安全系统实施漏洞检查等，以防患于未然。总之，要实施安全的系统，应三管齐下。为了确保网络确实定安全，仅仅在安全技术上实行种种措施还是不够的，还要有一个有效的网络安全治理体制。网络安全治理制度的核心是围围着用户的账户和口令而开放的。任何一个部门或分系统都应当在该制度下运转，听从统一的安全策略。其次章．总体网络设计和网络特点网络设计的原则QoSInternet对外供给效劳，供给可增值可治理的业务，整网必需具备高性能、高安全性、高牢靠性，可治理、可增值特性以及开放性、兼容性、可扩展性。方案，为企业供给“可治理、可增值、可持续进展”的精品网络。依据我们对办公网络功能要求的理解，在方案的设计中，我们贯穿着以下设计思想：高牢靠性－网络系统的稳定牢靠是应用系统正常运行的关键保证时应便于诊断和排解，充分表达计算机网络的高牢靠性。技术先进性和有用性用的现状和将来进展趋势。高性能―骨干网络性能是整个网络良好运行的根底力量，保证各种信息〔数据、图象〕的高质量传输，才能使网络不成为业务开展的瓶颈。标准开放性它网络设备的互通，及与各种网络平滑连接互通，以及将来网络的扩展。敏捷性及可扩展性的削减对网络架构和现有设备的调整。可治理性平台，具有对设备、端口等的治理、流量统计分析，及可供给故障自动报警。安全性―窃取、篡改或泄漏，使数据具有极高的可信性。兼容性和经济性〔包括工作站、效劳器和微机等设备〕的互连入网，充分利用现有网络资源，发挥高速网络的优划、有步骤地实施，在保证网络整体性能的前提下，充分利用现有设备或做必要的升级。网络拓扑网络拓扑如下所示：方案说明1：整网包含两栋大楼，这里我们以A楼与B2：整网包有线网络与无线网络两局部；3IMCIPS〔插卡式、ACG用户行为治理〔插卡式、出口路由器组成；3：核心交换机需双设备冗余，通过IRF2〔其次代智能弹性架构〕来实现两台设备合二为一的功能，确保核心设备即实现冗余，同时也能将设备性能提高一倍以上；4：核心交换机上安装IPS、ACG网安全做到细致入微的保护和监控；5：核心交换机上行连接防火墙，防火墙为网络内部的数据供给防护，拒绝一切对内部网络实施的攻击，例如DDOS攻击、ARP哄骗、代理效劳攻击等等，可为每一级别或某一办安全策略及域间策略可做到双保险防护时确认其位置；6：防火墙上行为出口路由器，出口路由器为全网用户的上网供给统一出口，全部内网的用户地址均有该设备进展统一转换，该设备必需具有高性能、高转发、高密度等特点，首定要具备较多的接口类型和数量；78：核心交换机下行连接各级会聚交换机，全部会聚交换机均承受双上行方式连接至核5-6换机均承受双上行模式统一会聚至核心交换机实现备份；9：会聚交换机下行连接各楼层中的接入交换机，为了确保桌面用户业务办公的效率得证，而接入交换机则可承受单链路上行至会聚交换机；10POEPOE交换机，由于目前比较流行的无线部署方式为AC+FIT模式，即在核心交换机侧旁挂无线掌握器AC,而在接入交换机上接入无线AP,无线AP11NAP补光灯一样，用户消灭在哪里，信号就消灭在哪里，一切以用户的地理位置为主，优于11NAP300MAC器则会对全网的无线APAP配置均有ACAP网络造成任何影响，全部的用户信号端的配置也均有AC统一完成配置，无需用户终端再进展配置；11IMC设备〔SNMP到准时处理，削减网络故障所带来的经济损失；12：们给出的方案是，对于有线网络用户来说，可以通过H3CEAD802.1X认证可对用户的使用终端进展全方位的检测，包含使用权限、终端类型、终端病毒检测及MAC地址，在各个环节对用户终端实施统一认证和监控，确保用户终端的病毒元素会对全网造成影响，而对于无线用户来说，可承受PORTAL认证方式，该种方式需要客户自行定制页面设计一个”我同意“或者“可上网”按钮信息，其实，在页面按钮上，通过后台已将用户账号信息嵌入进了页面，可对用户实时进展监控和流量统计；方案特色技术简介路由规划本网络建议使用静态路由加动态路由的形式来进展规划协议OSPF具有在路由器和高端交换机上自动配置的力量，并且其开销较低，功能强，支持的网络规模大，特别适合于大型的办公网络。OSPF协议可以使核心设备都处于工作状态，极大的提高网络设备和带宽的使用效率。在OSPF的划分上有两种方式，一种是全部划入骨干域，一种是划分骨干和分支域。两者的区分主要在于是否分区域实行路由归纳。在局域网中一般为了负载均衡而承受OSPF协议，对路由选路和收敛的要求不高，因此可以只划分一个区域，即area0，全部设备都位area0IP地址规划IPIP统一规划并得到实施。IP地址规划的好坏，影响到网络路由协议算法的效率，影响到网络1、IPIP地址空间安排，要与网络拓扑层次构造相适应，既要有效地利用地址空间，又要表达少路由器中路由表的长度，削减对路由器CPU、内存的消耗，提高路由算法的效率，加快路由变化的收敛速度，同时还要考虑到网络地址的可治理性。具体安排时要遵循以下原则：唯一性：一个IP网络中不能有两个主机承受一样的IP地址；简洁性：地址安排应简洁易于治理，降低网络扩展的简单性，简化路由表项连续性法的效率需的连续性敏捷性：地址安排应具有敏捷性，以满足多种路由策略的优化，充分利用地址空间。主流的IP当办公网网络地址安排或承受混合网络地址接入时能，对私网地址进展转换。在办公网络IP的地址段，以节约网络设备资源。无线方案无线网络优势当今社会无线网络以成为一代的潮流，无论是在机关单位还是在企业、教育、医疗中缺少了无线网络，就似乎一个人缺少一只手一样，工作起来很不便利。无线网络建设在维护费用上相对有线网络来说，无线网络组建简洁，设置和维护比较简洁。只需一次投入就可以解决全部问题，其零布线费用是有线网络所不能比较的。在敏捷性上，传统的有线网络部署要受到布线格局的限制，假设建筑物中没有预留的线路，布线以及调试的工程比较大，假设使用无线网络的话就可以解决了上述的麻烦。在扩展性方面，有线网络的扩展性比较弱，假设要增加用户，而原有布线所预留的麻烦。而无线网络的扩展性就比较强，一台AP可以支持多个用户，假设需要增用户，网络很小的改动就能满足客户的需求。在无线网络技术在不断的进展与改善，其进展前景是良好的，但是在很多场合下，有一种替代。从总体上去分析的话,无线是现代网络中的一局部是不行分割的一局部。无线局域网总体架构选择无线局域网技术经过十几年的进展，已经受了三代技术及产品的进展。第一代无线局域网主要是承受FatAP，每一台AP都要单独进展配置，费时、费力、费本钱；其次代无线局域网融入了无线网关功能但还是不能集中进展治理和配置，其治理性和安全性以及对有线网络的依靠成为了第一代和其次代WLAN产品进展的瓶颈，由于这一代技术的AP储存了大量的网络和安全的配置，包括加密的钥匙，Radiusclient的安全密码(secret)等，而APAP其无线网络系统就失去了安全性。另外由于AC或无线网关的硬件多数是基于Pentium架构的，所以当用户接入数量(IPsessions)增多时，无线网的性能会急剧下降，时常会发生掉线或死机状况。在这样的环境下，基于无线交换机技术的第三代WLANFITAPWLANWLAN交换机中实现，同时参加APRFQos使得无线局域网的网络性能、网络治理和安全治理力量得以大幅提高。下表为FATAPFITAP供电问题由于办公大楼无线网中APAP802.3af实现对AP的供电。通过POE据同时给AP100APPOE供电可以实现治理员远程治理和维护APSSID、AP频率规划WLAN2.4G3WLAN2.4G2.4G2.4GPathLoss(dB)=46+10*n*Logm，而对于5.8G的信号衰减模型：PathLoss(dB)=32.4+20*lgf[MHz]+20*lgd[KM]+a*d[KM]，以上二信号衰减模型进展网络的设计，到具体网络实施时要进展工勘与优化，而对于信道主要承受1、6、11三个信道穿插使用，具体的面掩盖规律示意图如下：WLAN2.4G信道规划示意图频率复用针对频率复用的设计与实现主要侧重于重叠区域，考虑到802.11技术中目前业界主要DCFGSM3G能。每个AP54Mbps、48Mbps、36Mbps、18Mbps54Mbps54Mbps18Mbps程度的频率复用功能，从网络规划的角度动身，WLAN根本上、下行无线链路复用的处理DCF果使用负载均衡功能进展实现。负载均衡的功能实现具体原理如下：依据负载均衡的配置确定负载均衡的模式、SSIDAP的标识、用户数或流量的阀值等进展肯定的初始化；确定本AP的射频模块连接的STA通过UDP协议以私有方式定时进展AP猎取参与负载均衡的APSTA要接入时，依据其工作频率，比较本APAPSSID下的用户数或流量，以及负载均衡的SSID绑定接口的速率集，打算STA时要留意到假设用户数已到达AP某个SSIDAP的SSIDSTA；信号掩盖范围掌握AP在室内掩盖状况下，选择AP摆放位置的时候，需遵循以下几个原则：1、保持信号穿过墙壁和天花板的数量最小。2.4G信号能够穿透墙壁和天花板，然而，每一面墙壁和天花板都将使AP130米。应放置AP的位置，使墙壁和天花板阻碍信号的路径最短，损耗最小。2、考虑AP和掩盖区域之间直线连接。留意AP的放置位置，要尽量使信号能够垂直的穿过〔90〕墙壁或天花板。3、AP安装位置需远离电子设备〔起码1~2米，例如微波炉、监视器、电机等。AP传统的FATAP组网模式要求在APAPAPH3C的FITAP配置，这样可以有效避开设备丧失造成配置泄漏。SSIDSSIDSSID号。bangong-SSIDfangke-SSID可实现员工与访客分开治理，同时可实现访客上网时间的掌握。APSSID掌握上网时间AC可以要求指定区域的APSSID节电和降低辐射AC可以要求APAP网络设备选型出口路由器H3CSR6602-X〔以下简称SR6602-X〕H3C用户的紧凑型综合业务网关路由器，定位于中大型企业、校园网、网吧的VPN、NAT、IPSec商可治理高性能CPE市场，协作H3C其他网络产品为政府、电力、金融、公共事业、运营商和大中型企业用户供给全方位网络解决方案。H3CSR6602-X2UFIP-20FIP-10度保护用户投资。H3CSR6602-XNAT业务处理引擎，多核多线程处理器的应用，使SR6602-X万兆网关具备高性能和敏捷性等特点，从而在并行处理各种简单的NAT防火墙SecPathF1000-S-AIH3C墙设备。SecPathF1000-S-AI承受了H3C能的跨越式突破，可支持数十个GESecPathF1000-S-AIASPF〔ApplicationSpecificPacketFilter〕治理手段，支持邮件告警，支持多种日志，供给网络治理监控，帮助网络治理员完成网络的安全治理；支持多种VPN业务，如GREVPN、IPSecVPNVPN；供给根本的路由力量，支持RIP/OSPF/BGP/路由策略及策略路由；支持IPv4/IPv6双协议栈；支持丰富的QoS核心交换机H3CS7600-X〔以下简称H3C〕面对先进的CLOS多级多平面交换架构，可以供给持续的带宽升级力量，支持数据中心大二层TRILL、VCFMDC〔一虚多〕技术，支持EVBFCOE，并完全兼容40GE100GEH3C自主学问产权的ComwareV5/V7操作系统，以IRF2〔IntelligentResilientFramework2，其次代智能弹性架构〕技术为系统基石的虚拟化软件系统，进一步融合MPLSVPN、IPv6、应用安全、应用优化，无线等多种网络业务，供给的同时，保证了网络最大正常运行时间，从而降低了客户的总拥有本钱〔TCO〕。IPS插卡〔入侵检测〕H3CSecBladeIPS〔IntrusionPreventionSystem〕是一款高性能入侵防范模块，可应用于H3CS5800/S76-X/S9500E/S10500/S12500SR6600/SR8800成入侵防范//检测系统。通过深达7层的分析与检测，实时阻断网络流量中隐蔽的病毒、蠕虫、木马、间SecBladeIPS户治理难度，削减了维护本钱。ACG插卡〔流控设备〕H3CSecBladeACG〔ApplicationControlGateway，应用掌握网关〕是业界第一款千兆高性能应用掌握模块，可应用于H3CS76/76-X/S9500E/S10500/S12500SR6600/SR8800路由器，创性的将应用监控、审计与网络进展无缝融合。SecBladeACG能对网络中的P2P/IM/VoIP带宽滥用、网络玩耍、炒股、多媒体应用、非法网站访问等行为URL业务掌握力量，帮助用户优化其网络资源，为用户打造一个和谐、有序的网络环境。SecBladeACG户治理难度，削减了维护本钱。会聚交换机H3CS5500-EI系列交换机是H3C公司最开发的增加型IPv64个万兆扩展接口，支持IPv4/IPv6硬件双栈及线速转发，使客户能够沉着应对马上带来的IPv6时的会聚，中小企业网核心、以及城域网边缘设备的第一选择。接入交换机H3CS5120-EI系列交换机是H3C的业务特性，供给IPv6410GE扩展接口。通过H3C特有的IRF2〔智能弹性架构〕功能，用户能够简化对网络的治理。S5120-EI系列千兆以太网交换机定位为企业网千兆接入，同时还可以用于数据中心效劳器群的连接。无线掌握器(AC)H3CWX5000H3C掌握器(AC，AccessController)产品系列。H3CWX50007X24小时无线安全管控、二三层快速漫游、敏捷的QoS掌握、IPv4&IPv6双栈等多功能于一体，供给强大的有线、无线一体化接入力量。H3CWX5000H3CWX5004H3CFitAP品系列，可以满足大型企业园区WLAN接入、无线城域网掩盖、热点掩盖等无线场景的典型应用。无线接入点〔AP〕H3CWA2600(H3C)自主研发的一代基于802.11nAP)，可供给相当于传统802.11a/b/g网络6WA2600系列无线产品支持FatFitFat和FitAP(FitAP)时，需要与H3C自主研发的WX线掌握器系列产品配套使用；作为胖AP(FatAP)时，可以独立进展组网。WA2600产品支持Fat/Fit型网络，从而很好保护用户的投资。网管系统基于多年的积存和对用户网络的深入理解，H3C〔intelligenceManagementCenter，iMC〕平台〔以下简称iMC〕为用户供给了有用、易用的网络治理功能，在网络资源的集中治理根底上，实现拓扑、故障、性能、配置、安全等治理功能，不络，iMCiMC融合联动。第三章．网络设备集中统一治理解决方案〔例如文件的使用和存取权限〔许可〕的治理。它们都是与软件有关的网络治理问题。这里不作争论。网络治理的其次类是由