办公楼网络核心技术专业方案

澳洋医院办公楼及综合楼网络方案目录第一章．概述 31.1 建筑群网络建设背景 31.2 建网需求分析 31.2.1一般建网需求 31.2.2网络安全需求分析和对策 4第二章．总体网络设计和网络特点 72.1网络设计的原则 72.2网络拓扑 82.3方案说明 82.4方案特色技术简介 102.4.1路由规划 102.4.2IP地址规划 112.5 无线方案 122.5.1无线网络优势 122.5.2无线局域网总体架构选择 122.5.3供电问题 132.5.4频率规划 132.5.5频率复用 142.5.6信号覆盖范围控制 152.5.7AP防盗设计 152.5.8多SSID接入 162.5.9AP射频和SSID控制 162.6 网络设备选型 162.6.1出口路由器 162.6.2防火墙 162.6.3核心交换机 172.6.4IPS插卡（入侵检测） 172.6.5ACG插卡（流控设备） 182.6.6汇聚交换机 182.6.7接入交换机 182.6.8无线控制器(AC) 182.6.9无线接入点（AP） 192.6.10网管系统 19第三章．网络设备集中统一管理解决方案 213.1网络管理概述 213.2网络管理需求分析 213.3网络管理总体设计 22第一章．概述建筑群网络建设背景目前，人类社会正处于一个伟大转折时期，社会信息化程度已被看作是一个国家现代化水平和综合国力关键标志。在这个信息时代，各个单位各个部门信息技术建设是极其关键。所以在信息社会今天，网络信息系统建设尤其关键。网络系统建成后，将为办公大楼提供高效率办公环境，实现无纸化协同办公。网络系统设计必需兼顾优异性、高可靠性、容错性、灵活性和安全性，提供一套可监控、易管理、可扩展、易升级高效网络系统。实现主干千兆，而且千兆交换到桌面高效网络系统。此次组网是根据下面几点大目标来考虑，在一个健全成熟网络体系中，这多个点是必备。所以此次组网努力争取做到下面多个方面：1.建成较完善局域网管理信息网络体系。实现局域网内部可靠连接，实现网络内部各部门、各人员信息交流和资源共享。2.建立高效网络管理中心，整个企业网络关键设备,如中心交换机、服务器、路由器等全部集中安装在网络中心.企业网络建成后，利用高效网管软件、安全策略，可对整个企业网络实施管理和监控。3.建立高可靠性网络系统，确保网络运行不间断。4．建立高效协同办公环境，确保各部分工作人员能够有良好交流环境，使其相互之间协作愈加紧密，更利于发挥自己潜能，为企业发明更多价值。5．进行策略控制，严格控制内网用户操作权限，给不一样人员分配不一样权限。6．依据不一样部门划分不一样VLAN，确保各个部门之间独立性，控制各个VALN之间访问。经过这么设计后，建设后网络是一个高效、功效完善、安全、可管理网络。对网络性能也做了优化，选择良好设备，确保系统高可用性。建网需求分析1.2.1通常建网需求办公网网络在实际建设过程当中，应该充足考虑到此次组网多业务和本企业特点等应用需求，如：职员对服务器访问，公网用户对服务器访问，包含到基础网络设施建设和业务应用平台建设两个不一样层面。此处关键分析办公网络基础设施建设和网络运行方面相关内容，关键有以下几方面特点：对Internet访问需求：将依据办公大楼实际需要，选择出口网络带宽，经过ISP接入Internt。从而能够满足企业职员上网需求，能够满足外网访问企业WEB、FTP、MAIL等服务器，利于企业做好对外宣传和服务。用户管理需求：。对用户带宽进行控制需求，要求设备能对用户带宽进行控制，辟如限制为64K、256K、512K、1M、2M、5M、10M等等级。网络管理需求：整个网络关键设备,如中心交换机、服务器、路由器等全部集中安装在网络中心.企业网络建成后，利用高效网管软件、安全策略，可对整个企业网络实施管理和监控。安全管理需求：在目前网络环境下，怎样保障办公网络安全成为各个企业在组建网时不得不考虑问题，现在关键攻击手段有DOS、DDOS、IP欺骗、未授权访问等。利用高性能网络安全防御设备，在网络出口处屏蔽掉病毒及黑客攻击，保护内网数据安全。组播业务需求伴随多个业务融合，尤其是可控组播需求将伴随企业信息化深入而表现出来。1.2.2网络安全需求分析和对策伴随以网络为关键信息技术目新月异发展，尤其是Internet/Intranet在全球快速普及，网络安全问题正日益成为大家关注头号焦点。对于本企业网络来说，内部信息网络系统安全包含到两个方面问题：怎样有效预防来自外网非法攻击；怎样有效预防来自于网络内部，包含管理人员误操作和一些恶意内部攻击；对于后者往往是信息主管重视程度往往不足。首先应该激励企业网络内部互访，以使资源得到最大程度共享。但同时安全意识不能丢。通常情况下，内部攻击所造成危外部入侵要大得多，这是因为内部入侵者不像外部黑客，极少是因为好奇心趋势她们进络攻击行为，其中隐藏着较复杂和内部相关动机。她们通常很熟悉网络内部环境，攻击手段隐秘。假如办公网络内部关键关键资源不加以有效保护，那么内部恶性入侵成危害比外部非法入侵还要大。从办公网网络结构来看，关键存在危险有以下几点：数据窃听；数据窃听是一个软件应用，它能够捕捉经过某个冲突域全部网络数据。通常我们利用数据窃听功效进行网络故障排除或进行流量分析。但黑客能够利用它获取部分很有用且敏感信息，比如用户名和密码等。IP欺骗；当在网络内部或外部黑客主机模拟成为一台可信赖计算机时，就称其进行了IP欺骗。黑客可经过两种方法达成上述目标：能够使用一个在可靠网络IP地址范围内IP地址；能够使用一个既可靠又能够访问网络上特定资源授权外部IP址；拒绝服务(DoS)；拒绝服务攻击(DoS)目标通常并不是进入某个网络或获取其中信息。这种攻击关键目标是使某种服务不能被正常使用，而且这种攻击通常是经过破坏网络、操作系统或应用程序,来致使一些服务不能被正常使用。密码攻击；黑客能够采取多个不一样方法实施密码攻击，包含暴力破解，特洛伊木马方法，IP欺骗和数据窃听方法等。一旦她们拥有了用户账号和密码，她们就拥有了和该用户完全相同权利。中间人攻击；进行中间人攻击要求黑客能够访问在网上传输网络数据。黑客通常是经过使用网络数据窃听和路由和传输协议进行这种攻击。这种攻击关键目标是窃取信息、截获正在传输中会话方便访问专用网络资源、进行流量分析以获取相关一个网络及其用途信息、拒绝服务、破坏传输数据和在网络会话中插入新信息。应用层攻击；黑客能够经过多个不一样方法实施应用层攻击。最常见一个方法是利用服务器上一般软件常见弱点，包含邮件发送、超文本传输协议(HTTP)和FTP。利用这些弱点，黑客能够取得正当帐号，从而得以访问计算机。和应用层攻击相关一个关键问题是这些攻击常常使用被许可穿越安全设备端口。应用层攻击永远不可能被完全消除，因为新易受攻击点总会不停出现，但能够布署更智能设备降低非法攻击。信任关系利用；指非授权用户利用网络内部某种信任关系进行攻击行为。经典一个例子是企业周围网络连接，另外一个例子是在安全设备外侧系统和在安全设备内侧系统之间有信任关系。当外部系统被破坏时，它能够利用这种信任关系攻击内部系统。未授权访问；未授权访问不是指某种具体攻击，而是指当今网络中发生多数攻击。病毒和特洛伊木马；病毒是指和另一个程序相连不良软件，专门在用户工作站上实施某种破坏性功效。特洛伊木马实际上是一个攻击工具，能够获取用户很有用信息。针对上面所述安全隐患，我们应该采取以下方法：对网络而言，零风险意味着网络几乎关闭，根本不能提供网络服务，这是不可取。换句话说，网络安全不可能做到零风险。购置了高性能网络安全产品并不意味着信息主管能够高枕无忧。信息安全并不仅仅局限于通信保密，其实网络信息安全牵扯到方方面问题，是一个极其复杂工程。要实施一个完整网络和信息安全体系，最少应包含三个方面方法：一是企业规章制度及安全教育等外部软环境，在该方面企业关键领导饰演关键角色；二是技术方面方法，如入侵防御技术，防火墙技术、网络防毒、信息加密存放通信，身份验证，授权等，但只有技术方法并不能确保百分之百安全；三是审计和管理方法，该方面方法同时包含了技术和社会方法。关键方法有：实时监控企业安全状态、提供给变安全策略能力，对现有安全系统实施漏洞检验等，以防患于未然。总而言之，要实施安全系统，应三管齐下。为了确保网络绝对安全，仅仅在安全技术上采取种种方法还是不够，还要有一个有效网络安全管理体制。网络安全管理制度关键是围绕着用户账户和口令而展开。任何一个部门或分系统全部应该在该制度下运转，服从统一安全策略。

第二章．总体网络设计和网络特点2.1网络设计标准早期企业办公网络关键是共用内部系统主机资源，共享简单数据库，多以二层交换为主，极少有三层应用，存在安全、可管理性较差、无业务增值能力等方面问题。现在将要建设是实现内部全方位数据共享，应用三层交换，提供全方面QoS保障服务，使网络安全可靠，从而实现内部管理、信息流动、管理自动化，而且还要经过Internet对外提供服务，提供可增值可管理业务，整网必需含有高性能、高安全性、高可靠性，可管理、可增值特征和开放性、兼容性、可扩展性。基于办公网业务需求深入了解，结合本身产品和技术特点，我们经过完善网络处理方案，为企业提供“可管理、可增值、可连续发展”精品网络。依据我们对办公网络功效要求了解，在方案设计中，我们贯穿着以下设计思想：高可靠性－网络系统稳定可靠是应用系统正常运行关键确保，在网络设计中选择高可靠性网络产品，设备充足考虑冗余、容错能力；合理设计网络架构，制订可靠网络备份策略，确保网络含有故障自愈能力，最大程度地支持系统正常运行。网络设备在出现故障时应便于诊疗和排除，充足表现计算机网络高可靠性。技术优异性和实用性―在确保满足企业业务、应用系统业务同时，要表现出网络系统优异性。在网络设计中要把优异技术和现有成熟技术和标准结合起来，充足考虑网络应用现实状况和未来发展趋势。高性能―骨干网络性能是整个网络良好运行基础，设计中必需保障网络及设备高吞吐能力，确保多种信息（数据、图象）高质量传输，才能使网络不成为业务开展瓶颈。标准开放性―支持国际上通用网络协议、路由协议等开放协议标准，有利于确保和其它网络设备互通，及和多种网络平滑连接互通，和未来网络扩展。灵活性及可扩展性―依据未来业务增加和改变，网络能够平滑地扩充和升级，最大程度降低对网络架构和现有设备调整。可管理性―对网络实施集中监测、分权管理，并统一分配带宽资源。选择优异网络管理平台，含有对设备、端口等管理、流量统计分析，及可提供故障自动报警。安全性―制订统一网络安全策略，整体考虑网络平台安全性。确保关键数据不被非法窃取、篡改或泄漏，使数据含有极高可信性。兼容性和经济性―兼容性，能够最大程度地确保企业办公网络现有多种计算机软、硬件资源可用性和连续性，为不一样现存网络提供互联和升级手段，确保多种计算机系统（包含工作站、服务器和微机等设备）互连入网，充足利用现有网络资源，发挥高速网络优势。经济性，就是在充足利用现有资源情况下，最大程度地降网络系统总体投资，有计划、有步骤地实施，在确保网络整体性能前提下，充足利用现有设备或做必需升级。2.2网络拓扑网络拓扑以下所表示：2.3方案说明1：整网包含两栋大楼，这里我们以A楼和B楼来替换；2：整网包有线网络和无线网络两部分；3：在关键侧，由关键交换机、IMC网管服务器、无线控制器、防火墙、IPS乳清检测（插卡式）、ACG用户行为管理（插卡式）、出口路由器组成；3：关键交换机需双设备冗余，经过IRF2（第二代智能弹性架构）来实现两台设备合二为一功效，确保关键设备即实现冗余，同时也能将设备性能提升一倍以上；4：关键交换机上安装IPS、ACG插卡，确保流量防病毒检测和用户行为管理，首先使内网用户流量避免遭受病毒侵袭，其次可确保内网用户部分行为时刻处于监控范围，比如在网络上发表了某种不良言论、登录了一些网站、使用了哪些上网工具等等，时刻为内网安全做到细致入微保护和监控；5：关键交换机上行连接防火墙，防火墙为网络内部数据提供防护，拒绝一切对内部网络实施攻击，比如DDOS攻击、ARP欺骗、代理服务攻击等等，可为每一等级或某一办公室电脑群设置安全域，可更具要求实现网络、服务器之间隔离，经过防火墙丰富域安全策略及域间策略可做到双保险防护，而且对内网内某部分用户提议攻击进行防御并同时确定其位置；6：防火墙上行为出口路由器，出口路由器为全网用户上网提供统一出口，全部内网用户地址全部有该设备进行统一转换，该设备必需含有高性能、高转发、高密度等特点，首先作为出口设备，需要为全网内全部流量进行统一转发，假如设备性能不高话，会造成流量拥塞或是设备负载而无法正常工作，另外该设备可能需要连接多条运行商出口，所以一定要含有较多接口类型和数量；7：图，在关键层面上，采取双防火墙和双出口路由器进行组网，均采取双归属布署，防火墙和路由器均采取热备，这么可确保一旦一台设备出现故障以后，另外一台备份设备可快速进行切换，负担流量转发功效，这么布署，可使得网络关键更具保障性和冗余能力；8：关键交换机下行连接各级汇聚交换机，全部汇聚交换机均采取双上行方法连接至关键交换机，依据现场环境，我们能够在5-6个楼层中放置一台汇聚交换机，而全部汇聚交换机均采取双上行模式统一汇聚至关键交换机，经过汇聚交换机可将接入层流量在汇聚层经过统一汇聚以后，在分包转发给关键，是网络更有层次感，而且双上行归属使骨干线路实现备份；9：汇聚交换机下行连接各楼层中接入交换机，为了确保桌面用户业务办公效率得到保障，能够提供千兆至桌面布署模式，使用户桌面带宽达成千兆，含有更高带宽确保，而接入交换机则可采取单链路上行至汇聚交换机；10：无线网络布署，则能够采取千兆POE交换机进行统一布署，在各楼层中布署千兆POE交换机，因为现在比较流行无线布署方法为AC+FIT模式，即在关键交换机侧旁挂无线控制器AC,而在接入交换机上接入无线AP,无线AP能够经过壁挂式布署，也能够经过馈线方法引出天线，经过天线去进行无线覆盖，但对于使用效果来说，本企业提议使用壁挂式布署，因为壁挂式布署，可利用11NAP内智能天线去实现无线覆盖效果，智能天线可类似于补光灯一样，用户出现在哪里，信号就出现在哪里，一切以用户地理位置为主，优于11NAP接口为千兆接口，吞吐量达成300M，故上行连接应采取千兆为主，而关键侧AC控制器则会对全网无线AP进行统一管控，全部AP配置全部有AC下发，一旦AP被盗也不会对网络造成任何影响，全部用户信号端配置也全部有AC统一完成配置，无需用户终端再进行配置；11：在关键交换机上在旁挂IMC智能网管服务器，经过网管平台，实现对全网全部网络设备（有线、无线设备、用户）等进行统一管理，平台经过搜集全部现网网络交换机SNMP信息，前提是确保设备网络二层或三层互通，经过搜集信息，在平台上生成一个全网拓扑，各个节点均会出现在平台上，使管理员一目了然，立即某一个节点出现故障或掉线了，会在拓扑中全部能够表现出现，同时，平台也会以短信或邮件形式发送给管理员，使网络故障得到立即处理，降低网络故障所带来经济损失；12：网络建成以后，当然还有一个步骤很关键，那就是怎样对用户进行认证，这里我们给出方案是，对于有线网络用户来说，能够经过H3CEAD方案中802.1X认证，该种认证可对用户使用终端进行全方位检测，包含使用权限、终端类型、终端病毒检测及MAC地址，在各个步骤对用户终端实施统一认证和监控，确保用户终端病毒元素会对全网造成影响，而对于无线用户来说，可采取PORTAL认证方法，该种方法需要用户自行定制页面素材，本企业网络管理平台可将页面信息经过无线方法强制推送给无线用户终端，进行认证，认证页面中可包含用户名和密码栏，也能够不包含，及采取免责条款方法，该方法即在页面中设计一个”我同意“或“可上网”按钮信息，其实，在页面按钮上，经过后台已将用户账号信息嵌入进了页面，可对用户实时进行监控和流量统计；2.4方案特色技术介绍2.4.1路由计划本网络提议使用静态路由加动态路由形式来进行计划，在个接入层至关键层考虑经过静态路由来实现路由可到，而关键层至路由器出口处可考虑经过动态路由来实现。动态路由协议OSPF含有在路由器和高端交换机上自动配置能力，而且其开销较低，功效强，支持网络规模大，尤其适合于大型办公网络。OSPF协议能够使关键设备全部处于工作状态，极大提升网络设备和带宽使用效率。在OSPF划分上有两种方法，一个是全部划入骨干域，一个是划分骨干和分支域。二者区分关键在于是否分区域实施路由归纳。在局域网中通常为了负载均衡而采取OSPF协议，对路由选路和收敛要求不高，所以能够只划分一个区域，即area0，全部设备全部在area0中。2.4.2IP地址计划IP地址合理计划是办公网络设计中关键一环，大型计算机网络必需对IP地址进行统一计划并得到实施。IP地址计划好坏，影响到网络路由协议算法效率，影响到网络性能，影响到网络扩展，影响到网络管理，也必将直接影响到网络应用深入发展。1、IP地址分配标准IP地址空间分配，要和网络拓扑层次结构相适应，既要有效地利用地址空间，又要表现出网络可扩展性和灵活性，同时能满足路由协议要求，方便于网络中路由聚类，降低路由器中路由表长度，降低对路由器CPU、内存消耗，提升路由算法效率，加紧路由改变收敛速度，同时还要考虑到网络地址可管理性。具体分配时要遵照以下标准：唯一性：一个IP网络中不能有两个主机采取相同IP地址；简单性：地址分配应简单易于管理，降低网络扩展复杂性，简化路由表项连续性：连续地址在层次结构网络中易于进行路径叠合，大大缩减路由表，提升路由算法效率可扩展性：地址分配在每一层次上全部要留有余量，在网络规模扩展时能确保地址叠合所需连续性灵活性：地址分配应含有灵活性，以满足多个路由策略优化，充足利用地址空间。主流IP地址计划方案分为纯公网地址、纯私网地址和混合网络地址三种。当办公网网络地址分配或采取混合网络地址接入时，要求办公网能提供网络地址转换功效，对私网地址进行转换。在办公网络IP地址计划问题上，应该统一计划，协调一致,为每个部门分配一个独有地址段，以节省网络设备资源。无线方案2.5.1无线网络优势当今社会无线网络以成为新一代时尚，不管是在机关单位还是在企业、教育、医疗等单位。对无线网络全部有着很大需求。无线现在给大家带来了很大方便，假如一个网络中缺乏了无线网络，就仿佛一个人缺乏一只手一样，工作起来很不方便。无线网络建设在维护费用上相对有线网络来说，无线网络组建轻易，设置和维护比较简单。只需一次投入就能够处理全部问题，其零布线费用是有线网络所不能比拟。在灵活性上，传统有线网络布署要受到布线格局限制，假如建筑物中没有预留线路，布线和调试工程比较大，假如使用无线网络话就能够处理了上述麻烦。在扩展性方面，有线网络扩展性比较弱，假如要增加新用户，而原有布线所预留端口又不够用话，那就要进行从新布署线缆等工作，即使电缆本身不贵，不过改造起来比较麻烦。而无线网络扩展性就比较强，一台AP能够支持多个用户，假如需要新增用户，网络很小改动就能满足用户需求。在无线网络技术在不停发展和改善，其发展前景是良好，不过在很多场所下，有线接入技术并不真比无线网络有更多优势。无线网络是对有线网络一个补充，而不是一个替换。从总体上去分析话,无线是现代网络中一部分是不可分割一部分。2.5.2无线局域网总体架构选择无线局域网技术经过十几年发展，已经历了三代技术及产品发展。第一代无线局域网关键是采取FatAP，每一台AP全部要单独进行配置，费时、费力、费成本；第二代无线局域网融入了无线网关功效但还是不能集中进行管理和配置，其管理性和安全性和对有线网络依靠成为了第一代和第二代WLAN产品发展瓶颈，因为这一代技术AP储存了大量网络和安全配置，包含加密钥匙，Radiusclient安全密码(secret)等，而AP又是分散在建筑物中各个位置，一旦AP配置被盗取读出并修改，其无线网络系统就失去了安全性。另外因为AC或无线网关硬件多数是基于Pentium架构，所以当用户接入数量(IPsessions)增多时，无线网性能会急剧下降，时常会发生掉线或死机情况。在这么环境下，基于无线交换机技术第三代WLAN产品应运而生。第三代无线局域网采取无线交换机和FITAP架构，对传统WLAN设备功效做了重新划分，将密集型无线网络和安全处理功效转移到集中WLAN交换机中实现，同时加入了很多关键新功效，诸如无线网管、AP间自适应、无线安管、RF监测、无缝漫游和Qos。，使得无线局域网网络性能、网络管理和安全管理能力得以大幅提升。下表为FATAP和FITAP两种组网方案对比2.5.3供电问题因为办公大楼无线网中AP设备数量较适中，AP布放位置依据实际覆盖效果而调整，提议采取基于标准802.3af实现对AP供电。经过POE交换机能够实现以太网线在传输数据同时给AP供电，供电距离达100米，满足实际组网要求。以下是三种AP供电方法对比，经过对比得到采取一体化POE供电能够实现管理员远程管理和维护AP射频卡、服务SSID、AP设备本身。避免了维护人员日常维护管理不便和安全隐患。2.5.4频率计划现在针对WLAN来讲，2.4G含有3具不重合信道，故网络覆盖时所需要WLAN网络空间全部要进行2.4G网络计划，关键考虑2.4G频率覆盖设计，针对2.4G频率信号衰减模型关键采取以下：PathLoss(dB)=46+10*n*LogD（m），而对于5.8G信号衰减模型：PathLoss(dB)=32.4+20*lgf[MHz]+20*lgd[KM]+a*d[KM]，以上二信号衰减模型进行网络设计，到具体网络实施时要进行工勘和优化，而对于信道关键采取1、6、11三个信道交错使用，具体面覆盖逻辑示意图以下：WLAN2.4G信道计划示意图2.5.5频率复用针对频率复用设计和实现关键侧重于重合区域，考虑到802.11技术中现在业界关键采取DCF仲裁，这么会造成从网络实施角度出发，没有措施做到像GSM、3G网络控制力度，从技术原理角度出发，没有措施实现很好频率复用，只能被动做些负载均衡功效。每个AP含有54Mbps、48Mbps、36Mbps、18Mbps等覆盖范围，对于54Mbps覆盖范围不重合，对于54Mbps和18Mbps就可能进行重合，能够依据网络侧负载功效进行实现一定程度频率复用功效，从网络计划角度出发，WLAN基础上、下行无线链路复用处理问题，因为现在全部是DCF方法，而从只能结合业务目标实现网络覆盖效果，具体网络使用效果使用负载均衡功效进行实现。负载均衡功效实现具体原理以下：依据负载均衡配置确定负载均衡模式、SSID、其它参与负载均衡AP标识、用户数或流量阀值等进行一定初始化；确定本AP射频模块连接STA用户数量和流量；经过UDP协议以私有方法定时进行AP间通讯。优异行握手，成功后才进行数据交换，获取参与负载均衡AP负载信息。当有STA要接入时，依据其工作频率，比较本AP上该射频下负载和其它AP指定SSID下用户数或流量，和负载均衡SSID绑定接口速率集，决定STA能否接入。同时要注意到若用户数已达成AP某个SSID最大用户数，则该APSSID不许可再接入STA；2.5.6信号覆盖范围控制为了保障无线网络安全，提议在无线网络实施时，需要依据每个区域实际使用环境，对AP发射功率做对应调整，确保无线信号控制在大楼内，从而屏蔽不安全原因。在室内覆盖情况下，选择AP摆放位置时候，需遵照以下多个标准：1、保持信号穿过墙壁和天花板数量最小。2.4G信号能够穿透墙壁和天花板，然而，每一面墙壁和天花板全部将使AP信号覆盖范围降低1到30米。应放置AP和计算机于适宜位置，使墙壁和天花板阻碍信号路径最短，损耗最小。2、考虑AP和覆盖区域之间直线连接。注意AP放置位置，要尽可能使信号能够垂直穿过（90度角）墙壁或天花板。3、AP安装位置需远离电子设备（起码1~2米），比如微波炉、监视器、电机等。2.5.7AP防盗设计传统FATAP组网模式要求在AP上配置大量业务参数，同时需要在AP当地保留这些业务配置信息，一旦设备丢失，AP业务配置信息就可能被泄漏，形成网络安全漏洞。H3CFITAP在设备上不保留业务配置，而是每次开启时候从无线控制器动态加载业务配置，这么能够有效避免设备丢失造成配置泄漏。2.5.8多SSID接入跟据需求，我们提议采取多SSID接入，将办公人员和访客分别使用不一样SSID号。比如：办公人员经过bangong-SSID号访问网络，访客经过fangke-SSID号访问网络。如此，可实现职员和访客分开管理，同时可实现访客上网时间控制。2.5.9AP射频和SSID控制控制上网时间AC能够要求指定区域AP在指定时间开启或关闭某个SSID接入服务节电和降低辐射AC能够要求AP按指定时间打开或关闭AP射频以节省能耗，降低辐射。网络设备选型2.6.1出口路由器H3CSR6602-X产品（以下简称SR6602-X）是H3C自主研发面向中高端企业网、校园网用户紧凑型综合业务网关路由器，定在中大型企业、校园网、网吧VPN、NAT、IPSec等综合业务网关使用，同时，也能够应用中型纵向网络汇聚、高端企业用户大型分支和运行商可管理高性能CPE市场，配合H3C其它网络产品为政府、电力、金融、公共事业、运行商和大中型企业用户提供全方位网络处理方案。H3CSR6602-X双万兆网关基于业界领先紧凑型设计理念，在2U高设备上不仅集成高密度高速端口，支持FIP-20和FIP-10灵活接口设计，还实现了可插拔冗余电源和模块、风扇可插拔功效，在确保设备高可靠性、网络配置灵活性同时确保业务模块兼容性，最大程度保护用户投资。H3CSR6602-X万兆网关采取高性能多核处理器作为NAT业务处理引擎，多核多线程处理器应用，使SR6602-X万兆网关含有高性能和灵活性等特点，从而在并行处理多种复杂NAT业务同时能够实现数据高速转发2.6.2防火墙SecPathF1000-S-AI是H3C企业面向大型企业和运行商用户开发新一代电信级防火墙设备。SecPathF1000-S-AI采取了H3C企业最新硬件平台和体系架构，实现防火墙性能跨越式突破，可支持数十个GE接口，能满足电信级应用需求。SecPathF1000-S-AI支持外部攻击防范、内网安全、流量监控、邮件过滤、网页过滤、应用层过滤等功效，能够有效确保网络安全；采取ASPF（ApplicationSpecificPacketFilter）应用状态检测技术，可对连接状态过程和异常命令进行检测；提供多个智能分析和管理手段，支持邮件告警，支持多个日志，提供网络管理监控，帮助网络管理员完成网络安全管理；支持多个VPN业务，如GREVPN、IPSecVPN等，能够构建多个形式VPN；提供基础路由能力，支持RIP/OSPF/BGP/路由策略及策略路由；支持IPv4/IPv6双协议栈；支持丰富QoS特征。2.6.3关键交换机H3CS7600-X系列交换机产品是杭州华三通信技术（以下简称H3C企业）面向云计算数据中心关键、下一代园区网关键和城域网汇聚而专门设计开发关键交换产品。采取优异CLOS多级多平面交换架构，能够提供连续带宽升级能力，支持数据中心大二层技术TRILL、VCF(纵向虚拟化)和MDC（一虚多）技术，支持EVB和FCOE，并完全兼容40GE和100GE以太网标准。该产品基于H3C自主知识产权ComwareV5/V7操作系统，以IRF2（IntelligentResilientFramework2，第二代智能弹性架构）技术为系统基石虚拟化软件系统，深入融合MPLSVPN、IPv6、应用安全、应用优化，无线等多个网络业务，提供不间断转发、不间断升级、优雅重启、环网保护等多个高可靠技术，在提升用户生产效率同时，确保了网络最大正常运行时间，从而降低了用户总拥有成本（TCO）。2.6.4IPS插卡（入侵检测）H3CSecBladeIPS（IntrusionPreventionSystem）是一款高性能入侵防御模块，可应用于H3CS5800/S76-X/S9500E/S10500/S12500系列交换机和SR6600/SR8800路由器，集成入侵防御/检测、病毒过滤和带宽管理等功效，是业界综合防护技术最领先入侵防御/检测系统。经过深达7层分析和检测，实时阻断网络流量中隐藏病毒、蠕虫、木马、间谍软件、网页篡改等攻击和恶意行为，并实现对网络基础设施、网络应用和性能全方面保护。SecBladeIPS模块和基础网络设备融合，含有即插即用、扩展性强特点，降低了用户管理难度，降低了维护成本。2.6.5ACG插卡（流控设备）H3CSecBladeACG（ApplicationControlGateway，应用控制网关）是业界第一款千兆高性能应用控制模块，可应用于H3CS76/76-X/S9500E/S10500/S12500系列交换机和SR6600/SR8800路由器，创新性将应用监控、审计和网络进行无缝融合。SecBladeACG能对网络中P2P/IM/VoIP带宽滥用、网络游戏、炒股、多媒体应用、非法网站访问等行为进行精细化识别和控制；同时，依据对网络流量、用户上网行为进行深入分析和全方面事后审计，并含有强大URL过滤功效，进而全方面了解网络应用模型和流量趋势，大大提升网络业务控制能力，帮助用户优化其网络资源，为用户打造一个友好、有序网络环境。SecBladeACG模块和基础网络设备融合，含有即插即用、扩展性强特点，降低了用户管理难度，降低了维护成本。2.6.6汇聚交换机H3CS5500-EI系列交换机是H3C企业最新开发增强型IPv6强三层万兆以太网交换机产品，含有业界盒式交换机最优异硬件处理能力和最丰富业务特征。支持最多4个万兆扩展接口，支持IPv4/IPv6硬件双栈及线速转发，使用户能够从容应对立即带来IPv6时代；除此以外，其出色安全性，可靠性和多业务支持能力使其成为大型企业网络和园区网汇聚，中小企业网关键、和城域网边缘设备第一选择。2.6.7接入交换机H3CS5120-EI系列交换机是H3C企业自主开发全千兆以太网交换机产品，含有丰富业务特征，提供IPv6转发功效和最多4个10GE扩展接口。经过H3C特有IRF2（智能弹性架构）功效，用户能够简化对网络管理。S5120-EI系列千兆以太网交换机定位为企业网千兆接入，同时还能够用于数据中心服务器群连接。2.6.8无线控制器(AC)H3CWX5000是杭州华三通信技术(以下简称H3C企业)自主研发多业务无线控制器(AC，AccessController)产品系列。H3CWX5000系列无线控制器含有容量适中、高可靠、业务类型丰富等特点，集精细用户控制管理、完善射频资源管理、7X二十四小时无线安全管控、二三层快速漫游、灵活QoS控制、IPv4&IPv6双栈等多功效于一体，提供强大有线、无线一体化接入能力。H3CWX5000系列多业务无线控制器包含H3CWX5004无线控制器，配合H3CFitAP产品系列，能够满足大型企业园区WLAN接入、无线城域网覆盖、热点覆盖等无线场景经典应用。2.6.9无线接入点（AP）H3CWA2600系列无线产品是杭州华三通信技术(H3C)自主研发新一代基于802.11n技术超百兆高速无线接入设备(以下简称AP)，可提供相当于传统802.11a/b/g网络6倍以上无线接入速率，能够覆盖更大范围。该系列无线产品上行接口采取千兆以太网接口接入，突破了百兆以太网接口限制，使无线多媒体应用成为现实。WA2600系列无线产品支持Fat和Fit两种工作模式，依据网络计划需要，能够经过命令行灵活地在Fat和Fit两种工作模式中切换。作为瘦AP(FitAP)时，需要和H3C自主研发WX系列无线控制器系列产品配套使用；作为胖AP(FatAP)时，能够独立进行组网。WA2600系列无线产品支持Fat/Fit两种工作模式特征，有利于将用户无线网络由小型网络平滑升级到大型网络，从而很好保护用户投资。2.6.10网管系统基于多年积累和对用户网络深入了解，H3C智能管理中心（intelligenceManagementCenter，iMC）平台（以下简称iMC平台）为用户提供了实用、易用网络管理功效，在网络资源集中管理基础上，实现拓扑、故障、性能、配置、安全等管理功效，不仅提供功效，更经过步骤向导方法告诉用户怎样使用功效满足业务需求，为用户提供了网络精细化管理最好工具软件。对于设备数量较多、分布地域较广而且又相对较为集中网络，iMC平台提供分级管理功效，有利于对整个网络进行清楚分权管理和负载分担。iMC平台除了涵盖网络管理功效外，还是其它业务管理组件承载平台，共同实现了管理深入融合联动。

第三章．网络设备集中统一管了处理方案网络管理分为两类。第一类是网络应用程序、用户帐号（比如文件使用）和存取权限（许可）管理。它们全部是和软件相关网络管理问题。这里不作讨论。网络管理第二类是由组成网络硬件所组成。这一类包含工作站、服务器、网卡、路由器、交换机等等。通常情况下这些设备全部离所在地方很远。正是因为这个原因，假如当设备有问题发生时网络管理员能够自动地被通知话，那么一切事情全部好办。不过网络设备不会象用户那样，当有一个应用程序问题发生时就能够打电话通知你，而当设备拥挤时它并不能够通知你。为了处理这个问题，厂商们已经