XX企业网络NETGEAR整体解决方案建议书.doc

XXXX企业网络NETGEAR整体解决方案建议书美国网件公司 山东办事处 2011年9月目录第一章 现状和需求分析41.1 项目建设目标4第二章 主网总体设计52.1 网络规划方案5第三章 无线设计93.1 无线应用建设方案93.2 NETGEAR智能无线网络的发展163.3 NETGEAR智能无线网络功能特色203.4 以太网PoE供电交换机24第四章 数据存储安全284.1 数据安全需求28第五章 网络管理设计365.1 智能管理平台36第六章 产品介绍资料396.1 NETGEAR® XCM8806高端多业务路由交换机396.1.1 产品概述396.1.2 产品特点406.1.3 产品规格446.1.4 应用案例466.2 NETGEAR® GSM7328FS汇聚路由交换机486.2.1 产品概述486.2.3 产品特点486.2.3 产品规格496.3 NETGEAR® FSM726V3接入安全交换机536.3.1 产品概述536.3.2 产品特点536.3.3 产品规格546.4 NETGEAR® WC7520无线控制器586.4.1 产品概述586.4.2 产品特点586.4.3 产品规格606.5 NETGEAR® WNAP320企业级300M无线AP606.5.1 产品概述616.5.2 产品特点616.5.3 产品规格636.6 NETGEAR® ReadyNAS3200 IP网络存储656.6.1 产品概述656.6.2 产品特点666.6.3 产品规格68 第一章 现状和需求分析1.1 项目建设目标此次建设为XXXX企业网络信息化工程。本期工程的目标是建设一个国内先进的企业网络系统，建设目标如下:1、XXXX企业网络主要用作办公数据的传输，对网络数据传输可靠性、安全性和高效率以及带宽有很高的要求，本方案的总体设计思想是按照信息网络的应用需求，力求为信息所提供一个安全、先进、灵活，高带宽、高可靠性的网络平台。使得能够基于这个平台，实现安全高速的数据共享，尽可能的加快数据传输流程，提高传输效率；并为今后新的业务发展，迅速推出相应的新业务打好良好的基础。为保证多种基于宽带的服务和新型IP技术服务，建立一个可靠、安全、高速的信息网络平台，利于相关服务工作更好的开展.2、XXXX企业网络主要承载业务是OA、现代物流、财务数据传输等，该网络主要实现业务系统的硬件平台，对各分业务系统进行综合管理，实施有效安全管理，通过计算机网络子系统的建设，提供XXXX企业内部一个安全、可靠、高效率通信数据传输平台。第二章 主网总体设计XXXX企业网络系统主要承载业务数据传输等，该网络在部署有线网络同时还需要重点考虑将来扩容和带宽，满足对数据网络接入的需求。XXXX企业网络主要承载业务数据传输和Internet业务。网络系统总体设计包含网络设计、网络可靠冗余性设计以及产品简介。2.1 网络规划方案2.1.1基础架构XXXX企业网络由核心区、接入区、无线管理区、DMZ等节点组成，业务流以从核心层到各分节点的纵向流为主，根据业务走向，最适合的网络模型是星型组网。网络拓扑结构如下：在设计中，充分考虑整网的安全性、可靠性和网络性能以及网络易管理、可维护性。整网采用千兆骨干，百兆到桌面的设计思想。核心采用一台高端路由交换机保证证网数据的高速转发(满足今后核心设备冗余扩展功能)。 各楼宇汇聚接入交换机采用光纤连接核心交换机。边界防护及路由转发通过高性能VPN防火墙接入互联网。2.1.2核心区核心区部署一台NETGEAR® 8800系列高端路由交换机，高端引擎的处理能力充分保证核心层的处理稳定性，为业务数据的传输提供可靠稳定的核心平台。并可以在其上部署多种安全板卡，以减少增加安全功能对整网性能产生的负面影响。NETGEAR® 8800系列6槽和10槽机箱式交换机是在简化网络基础架构基础上，用以建立核心、汇聚和智能边缘模块的解决方案产品。可选的连接模块包括千兆铜缆，千兆光纤，万兆光纤等，同时还可以增加802.3af以太网供电PoE模块。每个I/O业务插槽都能实现双向无阻塞本地交换，充足的带宽可以提供高密度的线速连接。冗余，负载分担的电源模块以及冗余的冷却风扇，有助于建立一个强大的高可用性的硬件系统。NETGEAR的操作系统里众多协议如OSPF，STP里的每一个进程与其他进程都是独立运行来相互保护的，这种使用抢占式多任务处理的方式提高了系统的完整性并从本质上抵御了DoS攻击。NETGEAR XCM8800系列拥有完整的二层/三层/四层聚合的特性集，包括IPv6，还有可选的为关键核心应用的高级核心许可证。这系列机箱式交换机降低了管理的开销、操作的复杂性和建设基础架构的费用，支持广泛的各式应用。中心机房：核心交换机配置48个千兆电口，24个千兆光口，采用多电源设计。2.1.3各楼宇汇聚各楼宇汇聚层设备主要实现楼宇数据的汇聚，同时对各楼宇业务VLAN进行终结，承担各区域数据的转发，减轻核心的压力，这里采用网件的全千兆三层交换机GSM7328FS，千兆的线路处理能力保证各办公区域业务数据的高速处理，三层特性可以将业务终结在汇聚层，减轻核心的压力。办公楼：汇聚交换机通过千兆光纤链路同核心交换机互连。研发楼：汇聚交换机通过千兆光纤链路同核心交换机互连。2.1.4分级接入区在楼层节点部署百兆接入千兆上行的交换机，主要用来作为各楼层的接入设备。可以在接入层划分VLAN，隔绝广播风暴。并且交换机具备的防ARP攻击的安全特性提高接入层的安全性。在POE接入交换机上连接无线AP，实现无线网络的接入。可针对采用胖瘦AP的方式进行接入。接入交换机满足不同区域信息节点配有16 24 48口接入交换机设备满足多用户安全接入。2.1.5出口区出口区配置一台防火墙和一台上网行为管理网关，防火墙主要针对L2L4等进行访问控制，通俗来说，就是基于MAC地址、VLAN、IP、端口等元素进行网络层的访问控制，比如针对Web服务器，一般只允许80端口与外部通信。在公司出口部署一台上网行为管理网关，能够保证外网数据高速流畅的连接Internet，并保证内部用户的上网行为规范，威胁页面过滤，用户流量控制管理，用户上网信息流量分析及审计 2.1.6VLAN、IP地址划分建议Vlan划分：建议更具不同的业务部门进行VLAN规划，使业务相对独立，这样可以保证在数据安全的同时，又充分限制的接入层的广播，充分利用网络的带宽，提高网络的处理能力。建议根据用户部门不同，划分不同VLAN，VLAN可以选择终结在汇聚或者核心交换机上，在核心上配置路由策略来保证VLAN的互通。例如：服务器区一个或几个VLAN，部门一一个VLAN，部门二一个VLAN，等等。IP地址划分：考虑到现在整个公司已经在使用业务系统，建议服务器IP地址保持不变。其他每个VLAN对应一组地址，VLAN中人数少的话，可考虑采用变长掩码。对于互联地址，建议单独采用一个和大网地址不同的网段地址，例如：172.16.×.×的私网地址。2.1.7路由部署建议规划的网络采用分层设计，网络中各层职能清楚，建议在网络接入数量较少的情况下采用在核心部署静态路由的方式，核心做整体路由转发，随着今后网络的不断发展可以对整网部署OSPF以提高路由效率。第三章 无线设计3.1 无线应用建设方案3.1.1网件背景作为一个商业/企业WLAN网络整体解决方案;无论在不同场地环境下部署的无线AP,还是在不同的需求下的无线应用, 都应是随时可以在网络中心的进行控制和管理; 无论设计采用何种的AP的布放方式,何种网络组网架构, 目的都是以无线终端的接入和安全策略为实现的, 所以我们可以根据实际应用需求和业务实现的轻重缓急, 分阶段或直接部署无线控制器和无线AP; 既可先以FAT(”胖”) AP的网络结构方式部属,也可以通过软件升级的方式,将FAT(”胖”)转换成FIT(”瘦” ) AP与无线控制器(AC)进行对接(仅需一次升级,以后就可通过AP配置界面进行模式互转),无需改变任何有线网络结构和配置;即可实现WLAN网络的大融合。业绩篇Ø NETGEAR连续10年全球市场销售份额排名前三;Ø NETGEAR连续10年在北美,欧洲地区市场销售份额排名第一Ø 2010年NETGEAR WLAN全球销售较09年增长了25%.（全球四个用户，其中一个为NETGEAR用户）Ø NETGEAR连续6年在中国地区市场销售份额排名前二位;Ø NETGEAR连续三年在中国电信WLAN市场销售份额排名前二;Ø NETGEAR 802.11gn企业级AP,在中国地区商用无线市场2008 2009 2010年发货量排名第一;NETGEAR全球唯一能够提供全线11n产品方案的厂家！Ø 通常,用于802.11 WiFi组网的产品有无线适配器，无线接入点，无线网桥，无线控制器等产品，而每种产品种又有不同的接口，规格，功能和型号。Ø 常用的802.11 WiFi组网的解决方案有胖AP解决方案，无线控制器和“瘦”AP解决方案，智能无线控制器和可“胖”“瘦”互转AP的解决方案，室外WDS系统方案等。根据覆盖的场合和使用环境的区别，用户可以自行选择适合自己的无线网络解决方案。Ø 而在以上提及的各种产品类别和众多方案选择中，只有NETGEAR公司能够提供以上所有的解决方案和类别的产品。而在全球的无线设备生产厂商里面，也只有NETGEAR公司能够提供完整的802.11n系列产品。这离不开NETGEAR成立15年来一直对无线网络技术的执着和追求，使得今天，我们拥有了世界上最丰富的802.11n无线网络产品家族。而和其它厂家相比，很多厂家都仅仅能专注于一种或者两种的无线网络解决方案，有很多厂家虽然有强大的无线AP但却不能提供合适的适配器，或者他们有强大的无线控制器却不能提供相应标准的瘦AP等等，因此在使用这些产品进行无线网络方案的实施的时候，常常会出现网络设备不兼容或者因为缺乏相关的设备而无法完成测试等尴尬的场面，既影响了方案质量，也导致了方案实施的延误。Ø 因此，NETGEAR在此强烈建议我们的代理商或者用户，在选择部署802.11n标准的无线网络的时候，必须尽可能地使用同一厂家的产品进行方案设计和实施，以减少因为兼容性带来的操作麻烦。3.1.2项目需求（XXXX企业介绍和概况,略）此次无线局域网项目是针对XXXX企业新建车间建筑楼内的办公区域,进行无线局域网的覆盖，以满足现在和未来可能的数据、语音和视频多方面的网络应用需求。根据目前与XXXX企业相关人员的沟通和对现场场地环境的勘察和综合分析，方案所设计的无线网络将提供高速、稳定、安全的无线信号覆盖接入,未来覆盖区域可在此基础上轻易扩展到整个建筑内的办公区域、其他建筑内办公区域,以及室外”热点”公共区域等全部厂区的无线覆盖.此次的方案设计将根据无线网络的高速接入和安全特性,设计针对无线覆盖所涉及的全方面,多层次的和应用相关的技术,来介绍如何实现随时随地的网络资源共享访问，提供安全，可靠的无线访问接入控制和管理. 所设计的无线网络平台将是一个多业务,多应用的平台,可以支持数据和语音的同时接入. 3.1.3无线AP部署设计针对此次XXXX企业预建设的无线局域网，我们随相关领导进行了先期的技术谈论,现场勘察,和预规划设计,由于无线网络将按分期分步骤实施,未来逐步扩展至全厂的设想, 首次需要实现无线覆盖的区域有: 建筑1楼（1至4层）至建筑2楼（1至4层）的相关办公区域，而且需要考虑移动终端实际同时接入的无线网络用户数量, 所以在方案设计中需要考虑到无线设备的性能和无线网络的造价及可扩展性.根据对厂房建筑楼的建筑材料,建筑结构和周边环境的观测和分析,我们建议在指定位置部署无线接入点AP来提供相关区域的无线覆盖.AP摆放位置如下所示: 建筑1楼共四层架构成”I”字型双面楼，考虑到每层房间比较多采用4台WNAP210 11N企业级AP ，合计16台WNAP210；建筑2楼共四层架构成”I”字型双面楼，考虑到每层房间比较多采用4台WNAP210 11N企业级AP ，合计16台WNAP210；建筑1楼一至四层AP示意图(图略)建筑2楼一至四层AP示意图(图略)考虑部署AP位置与网卡接收位置无线信号穿墙能力不超过3堵，包括带机量（15-20台左右）的限定来选着AP类型及数量。NETGEAR全网统一无线架构AP示意图综上所述,预计需无线覆盖的设备数目总计为32台无线AP WNAP210,对相关办公区域进行无线信号覆盖。2台具有以太网供电特性的PoE交换机,提供所有AP的以太网线供电和网络连接；另外考虑到由于现场实际情况可能的变化,可以另外准备2台无线AP,作为实际无线项目实施后,个别区域因受环境的影响,信号不理想的情况的补充方案. (AP数量见下表)楼宇楼层AP数量POE交换机数量建筑1楼1层4台2层4台13层4台4层4台建筑2楼1层4台2层4台13层4台4层4台补充2台合计3423.1.4无线网络方案设备推荐针对办公区域大面积的无线网络实施，我们必须重点考虑无线局域网安全认证/传输的必要性和可靠性。在此，我们在方案设计中可推荐放置一台的NETGEAR WC7520智能无线控制器产品,FAT/FIT一体型无线AP WNDAP210,在基于标准的，开放式的网络架构上提供理想的，广泛的，安全的，可管理的，全局性的无线局域网部属的安全支持。NETGEAR智能无线控制器WC7520单台最大支持50个AP管理,通过3个单位的堆叠，实现同时能够支持多达150个IEEE 802.11n接入点的管理,WC7520控制器提供了集中式的无线管理,分布式的AP部署，综合了无线的灵活性，强大高端的安全性能，丰富的管理应用如二层/三层的快速漫游、captive portal客人访问认证、支持Wi-Fi Voice。最后，WC7520提供了企业级的接入和安全的无线局域网连接。推荐方案配置（参见上图）：1WC7520智能无线控制器Ø 企业级的控制和冗余(N+1)Ø 冗余+堆叠3台,最大可支持 150APs Ø 快速 L2/L3漫游(FRS), VoWi-Fi SVP QoSØ 负载均衡,速率限制Ø Radius,LDAP或AD域认证Ø Web Portal, 802.1x,MAC认证Ø RF自动调谐,无线”热图”Ø 单台最大管理50APs(起步20-APs)Ø 支持WNDAP350,WNAP210 AP2GS724TP 全千兆802.3af交换机GS724TP/GS748TPØ GS724TP:24 10/100/1000M 802.3af PoE端口;2个SFP GBIC端口Ø 背板处理性能:48GbpsØ 最大PoE供电功率:192w3WNAP210/320 802.11N无线APØ LAN:1x10/100/1000M RJ45端口(支持PoE)Ø 内置3x3天线阵列Ø 工作频率:2.4GHzØ 输出功率:最高20dbm(可调)Ø Wi-Fi 802.11b/g/n/WPA2认证Ø 企业级下一代802.11n 无线APØ 更高300Mbps无线连接速率Ø 支持802.11b/g/nØ 支持802.11i,WPA2,802.1x,欺诈AP检测,Ø 多SSID和802.1Q VLAN,最大用户数限制Ø 支持WMM(Qos)特性Ø 支持WDS无线桥接Ø 支持802.3af远程以太网线供电Ø 支持SNMP协议;CLI和WEB配置3.2 NETGEAR智能无线网络的发展3.2.1何为新一代（第三代）智能无线控制器由Wi-Fi联盟为IEEE定义的第一个无线局域网标准802.11b,自1997年诞生以来，发展到今天已经相继发布了802.11g/802.11a等三个版本，而以此为基础的无线网络设备终端和解决方案也经历了不同阶段的发展。无线局域网技术及其相关的技术和解决方案从诞生起到今天，经历了三个重要的发展阶段。如下图：图:无线网络技术发展三部曲从图上不难看出，无线局域网在经历着一个连接速度从低到高，管理方式从分散到集中的一个演变过程。而在实际的应用中，不同的用户对速度和管理要求的水平都不尽相同。因此如何在产品五花八门的市场里选择一套适合自己的无线网络产品解决方案，将会成为方案讨论的重点。下面，我们将重点向大家介绍无线局域网技术和产品发展的三个阶段，以便让大家结合自己的实际使用要求，找出适合自己的解决方案。 在本章节讨论中，我们着重于讨论，第二代FIT AP解决方案(集中转发无线控制器)和新一代（第三代）FIT AP解决方案(智能分布式转发的无线控制器)的主要区别。第二代FIT(“瘦”)AP和无线控制器的解决方案，当FIT(“瘦”)AP接收到无线终端在空间传播到AP上的数据流的时候，FIT (“瘦”)AP会以加密隧道的方式把数据流传送到无线控制器再集中转发，同时无线控制器承担所有的高级软件管理功能，这些功能包括加密，策略和用户的管理等；控制信令同样通过隧道的方式统一下发到“瘦”AP上并执行。显然这助于无线控制器对WLAN进行集中的管理。但随着无线网络规模的增加，这些汇聚到无线控制器的流量是非常的大的。比如一些用户需要进行大型园区的无线网络部署或者跨园区的无线网络部署，为了提高无线控制器和分布在各地的FIT“瘦”AP之间的通讯带宽，用户不得不付出购买万兆网络适配器或者租用高带宽的电信线路的高昂代价。第三代智能无线控制器可以帮助用户解决因为所有的无线终端的流量都要汇聚到无线控制器进行集中转发的问题。如下图：图：第三代智能无线控制器部署解决方案 第三代智能WLAN解决方案一般由以下设备组成：1） 智能无线控制器（支持11N），2） 可FAT（“胖”）/FIT（“瘦”）转换的AP3） Radius验证用户服务器（可选ACS1000）最后，关键的设备是智能的无线控制器和可“胖”“瘦”转换的无线接入点。第三代的智能WLAN解决方案除了支持第二代无线控制器和“瘦”AP解决方案的所有特性和功能外还具有以下特点：集中分布式转发,更加灵活多样的VOWLAN部署和“胖”“瘦”AP互转等增强功能，其中分布式转发功能则成为支持日前发布的11N无线网络标准的关键技术。从而让产品解决方案更加灵活和跟更加适合大中型和分布式园区的部署。3.2.2新一代(第三代)智能控制器的优势分析通过上面的章节对无线局域网组网结构的简单介绍，现在我们分别对三中常见的无线局域网组网技术的优缺点从网络设计，安装，配置，安全性，策略性和可实现功能几个方面进行对比。如下表：“胖“AP方案无线控制器“瘦”AP方案WC7520智能无线控制器“瘦“AP方案优势Ø 小型无线网络部署Ø 安装简便Ø 部署灵活Ø 建设成本低Ø 产品之间兼容性强Ø 大中型无线网络部署Ø 灵活的组网方式Ø 集中的控制和管理Ø AP“零”配置Ø 智能的RF管理Ø 强大的漫游功能支持Ø 负载均衡Ø 无线终端定位Ø 统一的认证和计费策略Ø 统一的接入安全控制策略Ø Qos支持，适合WIFI语音及关键应用Ø N+1无线控制器冗余Ø 统一的IDS部署Ø 园区和分布式园区高速无线网络部署Ø 优秀的扩展特性，包括可扩展到11N模式Ø AP“零”配置Ø “胖”/“瘦”AP互转Ø 智能的RF管理Ø 智能分布式转发Ø 集中的控制和管理Ø 强大的漫游功能支持Ø 负载均衡Ø 快速定位故障点和入侵检测Ø 统一的接入和安全策略控制Ø 优化WIFI语音通讯Ø 低成本应急冗余方案Ø N+1无线控制器冗余Ø 统一的IDS部署Ø 设备间兼容性增强缺点Ø 面对众多的无线接入点时，缺乏集中的配置管理手段Ø 缺乏智能的RF管理，难以进行RF设置Ø WLAN容量收到可用信道资源限制Ø 不支持快速漫游Ø 无法统一部署全局的安全和接入策略Ø 缺乏统一的加密和安全控制策略Ø 过于依赖无线控制器工作Ø WLAN流量君必须经过无线控制器集中转发，容易造成网络瓶颈Ø 不同厂商设备之间兼容性差Ø 高成本的冗余方案Ø 建网成本高Ø 建网成本高在对比表格中，我们不难看到，第一代“胖”AP解决方案虽然安装和部署简单和拥有较低的成本，但却缺乏集中的管理和策略控制，在功能实现上也比较逊色，因此只适合在小规模或对安全策略不敏感的无线局域网络使用，而第二代无线控制器和“瘦”AP解决方案则因拥有集中的管理和统一的安全控制策略和多种定制功能而更加适合在中型或者大型规模的无线局地域网络里面使用，但其对无线控制器的过份依赖而导致的流量集中转发和设备兼容性差的问题又使其存在一定的局限性，减低了无线网络的可扩展。而第三代智能无线控制器解决方案在保留原来的无线控制器解决方案的所有优点的前提下，通过“胖”“瘦”AP互专和集中分布的流量转发两种核心技术大大提高了无线网络解决方案的可扩展性和兼容性，使其在更加适合大型园区和分布式园区部署的基础上，保持了良好的性能价格比。3.3 NETGEAR智能无线网络功能特色3.3.1NETGEAR智能无线控制器的功能特点Ø AP“零”配置的集中式管理通过NETGEAR 智能无线控制器对AP间实现集中管理和自动配置。通过使用该功能，智能无线控制器可以将其所管理AP的配置文件自动下载到AP上。这样，当在网络中增加新的AP、网络管理者只需在无线控制器上进行统一操作即可轻松完成相应工作,对于更换坏的AP,仅需要直接替换,无需在无线控制器上再配置。这将极大的减轻网络维护人员的管理工作量，并向用户提供即插即用的WLAN解决方案。Ø 智能的分布式数据本地转发基于业界领先的智能分布式WLAN交换特性，NETGEAR智能无线控制器支持分布式架构下的AP本地数据转发的工作模式;凭借着优异的集中管理和分布式体系架构,可以提供无线网络最好的802.11N处理性能。为了快速处理,本地传输是在AP处自动快速交换,当L3层漫游通信时,是在控制器上使用先进的数据控制处理.适时的应用,象VoWi-Fi需求跨IP子网间/跨越VLAN间的漫游; 另外象ProSafe WC7520还可以凭借加密的隧道提供了企业级的快速漫游(FRS),不会影响L2的处理性能.从而为全802.11n网络部署提供了最切实可行的解决方案。Ø 智能射频管理智能的射频管理功能，面对WLAN稀缺的信道资源，能够实时监测周边使用环境，自动的配置所有无线AP射频参数，调整AP的发射功率水平、信道等，尽可能的规避相同或相近频道的干扰，并且这是个持续的过程，保证了每个AP都能在最佳的无线信道上用最合适的发射功率提供服务。智能射频管理还能起到无线网络自愈的作用。当某个AP出现故障时，无线控制器能实时感知该区域的无线覆盖盲区，并立即通知故障AP周围的AP，通过智能射频管理，自动的提高周围AP的发射功率，以达到减少或消除无线覆盖盲区的作用。Ø 负载均衡动态的负载均衡机制避免了多用户连到同一台AP上造成的性能瓶颈。可以根据无线用户数量,无线流量或带宽利用率,以及基于信号强度来智能的将负荷较重AP上的部分用户转移到其他AP上去，使得各个AP上的负载达到一个相对均衡的状态，保证了所有无线用户的使用体验。Ø 全面的端到端安全具备强大的安全特性，在无线用户接入方面可提供基于Web Portal, MAC、802.1X、Guest 临时帐号等多种接入认证方式及严格的用户准入控制策略；当通过内置的portal认证功能时,可以选择2种实现方法，常规模式或者自认证模式。通常我们为企业内部人员,使用常规模式，管理员可以通过WEB图形化界面为某个用户创建一个合法身份帐号，无线客户端输入用户名和密码时，WC7520控制器就会进行portal认证，认证通过后，用户可以进行权限之内的网络访问。另外一种方式,适合用于临时访客的临时性的无线网络访问, 当使用自认证模式时，客人可以通过自己注册身份帐号访问网络，此类帐号一般有访问控制的局限性,比如只能访问互联网或收邮件, WC7520控制器会为此类客人进行portal认证，从而防止客人访问到企业网络中的敏感数据。能够支持客户活动日志。在数据加密方面WC7520可以提供基于802.11i安全特性。内置的非法AP检测可查觉并抑制网络环境中存在的Rogue AP及潜在威胁,区分非法AP的分类（善意的或恶意的）;安全参数的配置还包括:多SSID、802.1Q VLAN 、V 802.1i、ACLs, RADIUS协议等，支持第三方软件执行验证和计费系统。另外,强大的RF信号预定开/关时间，可以根据时间计划开启/关闭无线AP的信号发射,是无线网络在指定的非营业时间完全无法使用。异常流量检测和告警的功能，日志记录、分析、自动备份等功能,可提供更为完善和安全的WLAN网络应用环境;Ø 多种认证数据库支持由于目前许多企业办公室,都会拥有企业自己的Windows AD服务器, LDAP服务器,或第三方的Radius数据库, 作为无线网络的集中统一身份认证中心, WC7520具有基于用户验证的安全特性，可以支持比如RADIUS、LDAP(活动目录),Windows AD和内/部外部AAA服务器等众多功能，WC7520智能无线控制器真正的实现了集中化的接入安全和控制特性.Ø 高可靠的N+1实时备份NETGEAR智能无线控制器支持N+1模式的冗余适时备份功能，WC7520最多支持3+1,或3+2的冗余备份。当一组中的某一台无线控制器损坏/故障时，在其下连接的所有AP将无缝的切换到备份的无线控制器中，被切换的无线控制器下连接的所有客户端将无中断的继续工作和访问。Ø “永远在线”的智能无线网络核心网络设备的可靠性和投资费用往往是成反比的, 并不是所有用户都舍得在核心层所有设备上投入冗余的方案, 无线控制器管理和监控着所有部属的无线AP和客户端设备.万一核心控制器设备损坏,或者和核心交换机之间的主干线路意外中断, 那么对于绝大部分的无线控制器厂商的产品而言,意味的就是无线网络的瘫痪. NETGEAR智能无线控制器具有丰富的灾备方案. “永远在线”就是其中的一种备份方案, 它可以在NETGEAR ”胖”/”瘦”一体型AP里做好预设置, 当AC损坏或到AP之间的链路中断时, NETGEAR AP将自动从”瘦”AP的AC管理模式下,切换到”胖”AP工作模式下, 预设置的内容包括SSID, 和不同SSID对应上连核心/汇聚交换机的802.1Q VLAN; 当AC修复好或链路恢复正常后, NETGEAR将由”胖”AP模式下,自动切换成”瘦”AP被AC统一接管和监控;Ø 快速漫游和WIFI语音NETGEAR WC7520智能无线控制器支持跨VLAN和子网，包括802.11i预认证和快速漫游支持（FRS）的快速机制。快速的无缝的L2/L3漫游完全可以满足视屏、语音以及无线语音通讯等延迟敏感应用需要。WMM and Spectralink SVP QoS 可以支持Wi-Fi语音的优先级别设置, 最小化Wi-Fi语音传输的时延，提高AP的接入终端容量，加速漫游切换时间,尤其语音的漫游,它会比一般的数据移动传输更有保证。Ø 网管软件NETGAER智能无线控制器内置图形化的WEB界面的网络管理，界面友好、功能丰富、操作简单，使网络管理者能在最短的时间内掌握无线网络的基本配置和管理。另外内置的网管功能,还可以提供众多强大的无线网络管理功能，其中包括AP的热图、批量配置、管理和告警等，实现针对无线覆盖空间内的射频扫描、非法接入点监听等安全功能。并对设备提供实时性能数据的查看功能，使用户了解当前网络运行的基本情况和性能状态，从而预防网络事故的发生，预测网络运行状态，有助于用户对网络的管理运营进行合理的规划。3.4 以太网PoE供电交换机PoE (Power Over Ethernet) 以太网供电这项创新的技术，指的是现有的以太网CAT-5布线基础架构在不用作任何改动的情况下就能保证在为如IP电话机、无线局域网接入点AP、安全网络摄像机以及其他一些基于IP的终端传输数据信号的同时，还能为此类设备提供直流供电的能力。PoE技术用一条通用以太网电缆同时传输以太网信号和直流电源，将电源和数据集成在同一有线系统当中，在确保现有结构化布线安全的同时保证了现有网络的正常运作。大部分情况下，802.3af PoE的供电端输出端口在非屏蔽的双绞线上输出4457V的直流电压、350400mA的直流电流，为一般功耗在15.4W以下的设备提供以太网供电。而802.3at PoE供电输出端口,每端口可支持30W,未来可支持60W-100w电力; 典型情况下，一个IP电话机的功耗约为35W，一个无线局域网访问接入点AP的功耗约为612W，一个网络安全摄像机设备的功耗约为1012W。一个典型的PoE以太网供电的连接示意图如下图一所示：3.4.1PoE以太网供电的好处PoE以太网供电为用户带来的好处是显而易见的，将在未来几年内受到用户的大力欢迎。ü 节约成本。因为它只需要安装和支持一条而不是两条电缆。一个AC电源接口的价格大约为100300美元，许多带电设备，例如视频监视摄像机等，都需要安装在难以部署AC电源的地方。随着与以太网相连的设备的增加，如果无需为数百或数千台设备提供本地电源，将大大降低部署成本，并简化其可管理性。ü 它易于安装和管理。客户能够自动、安全地在网络上混用原有设备和PoE设备，能够与现有以太网电缆共存。ü 它安全。因为PoE供电端设备只会为需要供电的设备供电。只有连接了需要供电的设备，以太网电缆才会有电压存在，因而消除了线路上漏电的风险。ü 它得于网络设备的管理。因为当远端设备与网络相连后，将能够远程控制、重配或重设。更多增强的应用。随着IEEE 802.3af标准的确立，其他大量的应用也将快速涌现出来，包括蓝牙接入点、灯光工作、网络打印机、IP电话机、Web摄像机、无线网桥、门禁读卡机与监测系统等。用户在当前的以太网设备上融合新的供电装置，就可以在现有的网线上提供48v直流电源，降低了网络建设的总成本，并且保护了投资。3.4.2NETGEAR PoE以太网交换机列表交换机型号交换机描述PoE端口PoE功率FS108P8 个10/100M端口的非网管交换机14 端口32WFS108Pv28 个10/100M端口的非网管交换机14 端口60WFS116P16 个10/100M端口的非网管交换机18 端口55WFS726TP24个10/100M端口,2个SFP GBIC组合千兆端口,智能网管交换机1-12端口100WFS728TP24个10/100M端口,2个SFP GBIC组合千兆端口,智能网管交换机1-24端口190WGS108P8个10/100/1000M端口非网管交换机14 端口50WGS110TP8个10/100/1000M端口,2个SFP GBIC千兆端口,智能网管交换机18端口60WGS724TP24 个10/100/1000M端口的智能网管交换机12 4 端口192WGS748TP48个10/100/1000M端口的智能网管交换机1 48 端口384WGS724TPS24个10/100/1000M端口，2对组合千兆光纤端口的智能网管交换机;可堆叠1 24 端口192WGS748TPS48个10/100/1000M端口，2对组合千兆光纤端口的智能网管交换机;可堆叠1-48端口384WGSM7228PS24个10/100/1000M端口，4个千兆光纤端口,2个10G SFP+2个10G端口插槽; 全网管交换机;可堆叠1-24端口1-8端口(802.3at)190W240WGSM7252PS48个10/100/1000M端口，4个千兆光纤端口,2个10G SFP+2个10G端口插槽;全网管交换机;可堆叠1-48端口1-8端口(802.3at)380W240W第四章 数据存储安全4.1 数据安全需求随着数据越来越被重视，保护数据的解决方案也就很多，但针对不同行业不同数据对可靠性的要求，我们应该如何来定制最适合的备份与恢复解决方案呢？数据保护需求分析：以一所高校为例，现有的应用及大致需求如下：1、 老校区所有应用系统共十几个，将所有的数据集中存储备份在存储数据中心。2、 老校区需要高速存储系统支持。3、 老校区所有数据需要在本地做全部同步式备份。4、 在另一新校区中建立老校区数据中心的灾难备份中心。5、 据初步统计，众多应用系统中共有oracle服务器3台，sql服务器3台，linux服务器4台6、 据初步统计，大约有5台重要服务器需要做P2V（物理机到虚拟机转换）备份方案，并要求灾难发生时能快速V2P（虚拟机转换到物理机）恢复。7、 老校区本地数据备份到本地另一存储空间，有部分数据需要实现CDP级别备份，剩下所有实现基于时间策略的增量备份即可。几十个应用系统大致涵盖了如下类型的服务器：1、 数据库服务器2、 OA服务器等3、 其他应用服务器4、 邮件服务器5、 校园一卡通系统服务器6、 教学课件资源的存储保护目前，所有的服务器均采用机内硬盘存储，没有为数据提供保护的手段。数据备份等应用依托于单机分散存储的环境运行。整体数据备份保护方案设计在各应用系统服务器数据保护方案建设中，建议配置与NETGEAR有紧密合作的Symantec备份恢复解决方案Bcakup EXEC，在该校园数据中心备份方案中，考虑3台oracel数据库服务器和3台sql数据库服务器及文件被打开执行备份的成功率，主要配置有如下组件：1、 Windows系统主备份服务器2、 Oracle数据库备份Agent3、 SQL数据库备份Agent4、 打开文件备份功能选件在各项Symantec BE备份功能与RALUS for ReadyNAS配合工作下，可以实现下图描述的服务器系统数据备份流程：另外，考虑到部分重要服务器在灾难发生时的恢复问题，建议配置NETGEAR全球领先的P2V及V2P备份恢复解决方案，该方案结合VMware ESX(i)可以对重要服务器实现以下全球领先的方案：1、 裸机恢复解决方案传统的备份机制大都是以数据保护为核心，而忽