办公楼网络技术方案.doc

《办公楼网络技术方案.doc》由会员分享，可在线阅读，更多相关《办公楼网络技术方案.doc（24页珍藏版）》请在三一办公上搜索。

1、xx办公楼及综合楼网络方案目录第一章概述31.1建筑群网络建设背景31.2建网需求分析31.2.1 一般建网需求31.2.2 网络安全需求分析和对策4第二章总体网络设计和网络特点72.1 网络设计的原则72.2 网络拓扑82.3 方案说明82.4方案特色技术简介102.4.1 路由规划102.4.2 IP地址规划112.5无线方案122.5.1无线网络优势122.5.2无线局域网总体架构选择122.5.3供电问题132.5.4频率规划132.5.5频率复用142.5.6信号覆盖范围控制152.5.7 AP防盗设计152.5.8 多SSID接入162.5.9 AP射频和SSID控制162.6网络

2、设备选型162.6.1出口路由器162.6.2 防火墙162.6.3 核心交换机172.6.4 IPS插卡（入侵检测）172.6.5 ACG插卡（流控设备）182.6.6 汇聚交换机182.6.7 接入交换机182.6.8 无线控制器(AC)182.6.9 无线接入点（AP）192.6.10 网管系统19第三章网络设备集中统一管理解决方案213.1 网络管理概述213.2 网络管理需求分析213.3 网络管理总体设计22第一章概述1.1 建筑群网络建设背景 当前，人类社会正处于一个伟大的转折时期，社会信息化的程度已被看作是一个国家现代化水平和综合国力的重要标志。在这个信息时代，各个单位各个部门

3、的信息技术建设是极其重要的。因此在信息社会的今天，网络信息系统的建设尤其重要。网络系统建成后，将为办公大楼提供高效率的办公环境，实现无纸化协同办公。网络系统的设计必须兼顾先进性、高可靠性、容错性、灵活性与安全性，提供一套可监控、易管理、可扩展、易升级的高效网络系统。实现主干千兆，并且千兆交换到桌面的高效网络系统。本次组网是按照下面几点大的目标来考虑的，在一个健全成熟的网络体系中，这几个点是必备的。因此本次组网力争做到下面几个方面：1. 建成较完善的局域网管理信息网络体系。实现局域网内部的可靠连接，实现网络内部各部门、各人员信息的交流与资源的共享。2. 建立高效的网络管理中心，整个公司网络的关键

4、设备,如中心交换机、服务器、路由器等都集中安装在网络中心.公司网络建成后，利用高效的网管软件、安全策略，可对整个公司网络实施管理和监控。3. 建立高可靠性的网络系统，保证网络运行不间断。4建立高效协同的办公环境，保证各部分的的工作人员可以有良好的交流环境，使其相互之间的协作更加紧密，更利于发挥自己的潜能，为公司创造更多的价值。5进行策略控制，严格控制内网用户的操作权限，给不同的人员分配不同的权限。6根据不同的部门划分不同的VLAN，保证各个部门之间的独立性，控制各个VALN之间的访问。经过这样的设计后，建设后的网络是一个高效的、功能完善的、安全的、可管理的网络。对网络的性能也做了优化，选用良好

5、的设备，保证系统的高可用性。1.2 建网需求分析1.2.1 一般建网需求办公网网络在实际的建设过程当中，应当充分考虑到本次组网的多业务以及本企业的特点等应用需求，如：员工对服务器的访问，公网用户对服务器的访问，涉及到基础网络设施的建设和业务应用平台建设两个不同的层面。此处主要分析办公网络基础设施建设和网络运营方面相关的内容，主要有以下几方面的特点：1、 对Internet的访问需求：将根据办公大楼实际需要，选择出口网络的带宽，通过ISP接入Internt。从而可以满足企业员工的上网需求，可以满足外网访问公司WEB、FTP、MAIL等服务器，利于公司做好对外宣传和服务。2、 用户管理的需求：。对

6、用户带宽进行控制的需求，要求设备能对用户的带宽进行控制，辟如限制为64K 、256K、512K、1M、2M、5M、10M等等级。3、 网络管理的需求：整个网络的关键设备,如中心交换机、服务器、路由器等都集中安装在网络中心.公司网络建成后，利用高效的网管软件、安全策略，可对整个公司网络实施管理和监控。 4、 安全管理的需求：1) 在当前的网络环境下，如何保障办公网络的安全成为各个公司在组建网时不得不考虑的问题，目前主要攻击手段有DOS、DDOS、IP欺骗、未授权访问等。2) 利用高性能的网络安全防御设备，在网络的出口处屏蔽掉病毒及黑客的攻击，保护内网数据的安全。5、 组播业务的需求随着多种业务的

7、融合，特别是可控组播的需求将随着企业信息化的深入而体现出来。1.2.2 网络安全需求分析和对策随着以网络为核心的信息技术目新月异的发展，尤其是Internet/Intranet在全球的迅速普及，网络安全问题正日益成为人们关注的头号焦点。对于本企业网络来说，内部信息网络系统的安全涉及到两个方面的问题：l 如何有效防止来自外网的非法攻击；l 如何有效防止来自于网络内部，包括管理人员的误操作以及某些恶意的内部攻击；对于后者往往是信息主管的重视程度往往不足。首先应该鼓励公司网络内部的互访，以使资源得到最大限度的共享。但同时安全意识不能丢。一般情况下，内部攻击所造成的危外部入侵要大得多，这是因为内部入侵

8、者不像外部黑客，很少是因为好奇心趋势他们进络攻击行为，其中隐藏着较复杂的与内部有关的动机。他们一般非常熟悉网络内部环境，攻击手段隐秘。如果办公网络内部的重要核心资源不加以有效的保护，那么内部恶性入侵成的危害比外部非法入侵还要大。从办公网的网络结构来看，主要存在的危险有以下几点：1、 数据窃听；数据窃听是一种软件应用，它可以捕获通过某个冲突域的所有网络数据。通常我们利用数据窃听功能进行网络故障的排除或进行流量分析。但黑客可以利用它获取一些非常有用且敏感的信息，比如用户名和密码等。2、 IP欺骗；当位于网络内部或外部的黑客主机模仿成为一台可信赖的计算机时，就称其进行了IP欺骗。黑客可通过两种方式达

9、到上述目的：l 可以使用一个位于可靠网络IP地址范围内的IP地址；l 可以使用一个既可靠又能够访问网络上特定资源的授权外部IP址；3、 拒绝服务(DoS)； 拒绝服务攻击(DoS) 的目的通常并不是进入某个网络或获取其中的信息。这种攻击的主要目的是使某种服务不能被正常使用，而且这种攻击通常是通过破坏网络、操作系统或应用程序,来致使某些服务不能被正常使用 。4、 密码攻击；黑客可以采用几种不同的方法实施密码攻击，包括暴力破解，特洛伊木马方式，IP欺骗与数据窃听方式等。一旦他们拥有了用户的账号和密码，他们就拥有了和该用户完全相同的权利。5、 中间人攻击；进行中间人攻击要求黑客能够访问在网上传输的网

10、络数据。黑客通常是通过使用网络数据窃听以及路由和传输协议进行这种攻击的。这种攻击的主要目的是窃取信息、截获正在传输中的会话以便访问专用网络资源、进行流量分析以获取关于一个网络及其用途的信息、拒绝服务、破坏传输数据以及在网络会话中插入新的信息。6、 应用层攻击； 黑客可以通过几种不同的方法实施应用层攻击。最常用的一种方法是利用服务器上普通软件的常见弱点，包括邮件发送、超文本传输协议(HTTP)以及FTP。利用这些弱点，黑客能够获得合法的帐号，从而得以访问计算机。与应用层攻击相关的一个主要问题是这些攻击经常使用被允许穿越安全设备的端口。应用层攻击永远不可能被完全消除，因为新的易受攻击点总会不断出现

11、，但可以部署更智能的设备减少非法攻击。7、 信任关系利用；指非授权用户利用网络内部的某种信任关系进行攻击的行为。典型的一个例子是公司的周边网络连接，另外一个例子是位于安全设备外侧的系统与位于安全设备内侧的系统之间有信任关系。当外部系统被破坏时，它可以利用这种信任关系攻击内部的系统。8、 未授权访问；未授权访问不是指某种具体的攻击，而是指当今网络中发生的多数攻击。9、 病毒与特洛伊木马； 病毒是指与另一个程序相连的不良软件，专门在用户的工作站上执行某种破坏性功能。特洛伊木马实际上是一种攻击工具，可以获取用户非常有用的信息。 针对上面所述的安全隐患，我们应该采取以下措施：对网络而言，零风险意味着网

12、络几乎关闭，根本不能提供网络服务，这是不可取的。换句话说，网络安全不可能做到零风险。购买了高性能的网络安全产品并不意味着信息主管可以高枕无忧。信息安全并不仅仅局限于通信保密，其实网络信息安全牵扯到方方面问题，是一个极其复杂的工程。要实施一个完整的网络与信息安全体系，至少应包括三个方面的措施：一是企业的规章制度及安全教育等外部软环境，在该方面企业的主要领导扮演重要的角色；二是技术方面的措施，如入侵防御技术，防火墙技术、网络防毒、信息加密存储通信，身份验证，授权等，但只有技术措施并不能保证百分之百的安全；三是审计和管理措施，该方面措施同时包含了技术与社会措施。主要措施有：实时监控企业的安全状态、提

13、供应变安全策略的能力，对现有的安全系统实施漏洞检查等，以防患于未然。总之，要实施安全的系统，应三管齐下。为了确保网络的绝对安全，仅仅在安全技术上采取种种措施还是不够的，还要有一个有效的网络安全管理体制。网络安全管理制度的核心是围绕着用户的账户和口令而展开的。任何一个部门或分系统都应该在该制度下运转，服从统一的安全策略。第二章总体网络设计和网络特点2.1 网络设计的原则早期的企业办公网络主要是共用内部系统主机资源，共享简单数据库，多以二层交换为主，很少有三层应用，存在安全、可管理性较差、无业务增值能力 等方面的问题。现在将要建设的是实现内部全方位的数据共享，应用三层交换，提供全面的QoS保障服务

14、，使网络安全可靠，从而实现内部管理、信息流动、管理自动化，而且还要通过Internet对外提供服务，提供可增值可管理的业务，整网必须具备高性能、高安全性、高可靠性，可管理、可增值特性以及开放性、兼容性、可扩展性。基于办公网业务需求的深入理解，结合自身产品和技术特点，我们通过完善的网络解决方案，为企业提供“可管理、可增值、可持续发展”的精品网络。根据我们对办公网络功能要求的理解，在方案的设计中，我们贯穿着以下设计思想： 高可靠性网络系统的稳定可靠是应用系统正常运行的关键保证，在网络设计中选用高可靠性网络产品，设备充分考虑冗余、容错能力；合理设计网络架构，制订可靠的网络备份策略，保证网络具有故障自

15、愈的能力，最大限度地支持系统的正常运行。网络设备在出现故障时应便于诊断和排除，充分体现计算机网络的高可靠性。技术先进性和实用性在保证满足企业业务、应用系统业务的同时，要体现出网络系统的先进性。在网络设计中要把先进的技术与现有的成熟技术和标准结合起来，充分考虑网络应用的现状和未来发展趋势。高性能骨干网络性能是整个网络良好运行的基础，设计中必须保障网络及设备的高吞吐能力，保证各种信息（数据、图象）的高质量传输，才能使网络不成为业务开展的瓶颈。标准开放性支持国际上通用的网络协议、路由协议等开放的协议标准，有利于保证与其它网络设备的互通，及与各种网络平滑连接互通，以及将来网络的扩展。灵活性及可扩展性根

16、据未来业务的增长和变化，网络可以平滑地扩充和升级，最大程度的减少对网络架构和现有设备的调整。可管理性对网络实行集中监测、分权管理，并统一分配带宽资源。选用先进的网络管理平台，具有对设备、端口等的管理、流量统计分析，及可提供故障自动报警。安全性制订统一的网络安全策略，整体考虑网络平台的安全性。保证关键数据不被非法窃取、篡改或泄漏，使数据具有极高的可信性。兼容性和经济性兼容性，能够最大限度地保证企业办公网络现有各种计算机软、硬件资源的可用性和连续性，为不同的现存网络提供互联和升级的手段，保证各种计算机系统（包括工作站、服务器和微机等设备）的互连入网，充分利用现有网络资源，发挥高速网络的优势。经济性

17、，就是在充分利用现有资源的情况下，最大限度地降网络系统的总体投资，有计划、有步骤地实施，在保证网络整体性能的前提下，充分利用现有设备或做必要的升级。2.2 网络拓扑网络拓扑如下所示：2.3 方案说明1：整网包含两栋大楼，这里我们以A楼与B楼来代替；2：整网包有线网络与无线网络两部分；3：在核心侧，由核心交换机、IMC网管服务器、无线控制器、防火墙、IPS乳清检测（插卡式）、ACG用户行为管理（插卡式）、出口路由器组成；3：核心交换机需双设备冗余，通过IRF2（第二代智能弹性架构）来实现两台设备合二为一的功能，确保核心设备即实现冗余，同时也能将设备性能提高一倍以上；4：核心交换机上安装IPS、A

18、CG插卡，确保流量防病毒检测和用户行为管理，一方面使内网用户的流量避免遭受病毒侵袭，另一方面可确保内网用户的一些行为时刻处于监控范围，例如在网络上发表了某种不良言论、登录了某些网站、使用了哪些上网工具等等，时刻为内网安全做到细致入微的保护和监控；5：核心交换机上行连接防火墙，防火墙为网络内部的数据提供防护，拒绝一切对内部网络实施的攻击，例如DDOS攻击、ARP欺骗、代理服务攻击等等，可为每一级别或某一办公室的电脑群设置安全域，可更具要求实现网络、服务器之间的隔离，通过防火墙丰富的域安全策略及域间策略可做到双保险防护，并且对内网内某一些用户发起的攻击进行防御并同时确认其位置；6：防火墙上行为出口

19、路由器，出口路由器为全网用户的上网提供统一出口，所有内网的用户地址均有该设备进行统一转换，该设备必须具有高性能、高转发、高密度等特点，首先作为出口设备，需要为全网内的所有流量进行统一转发，如果设备性能不高的话，会造成流量拥塞或是设备负载而无法正常工作，另外该设备可能需要连接多条运营商出口，所以一定要具备较多的接口类型和数量；7：如图，在核心层面上，采用双防火墙与双出口路由器进行组网，均采用双归属部署，防火墙与路由器均采用热备，这样可确保一旦一台设备出现故障之后，另外一台备份设备可迅速进行切换，负担流量转发的功能，这样的部署，可使得网络核心更具保障性和冗余能力；8：核心交换机下行连接各级汇聚交换

20、机，所有汇聚交换机均采用双上行方式连接至核心交换机，根据现场环境，我们可以在5-6个楼层中放置一台汇聚交换机，而所有的汇聚交换机均采用双上行模式统一汇聚至核心交换机，通过汇聚交换机可将接入层的流量在汇聚层通过统一汇聚之后，在分包转发给核心，是网络更有层次感，并且双上行归属使的骨干线路实现备份；9：汇聚交换机下行连接各楼层中的接入交换机，为了确保桌面用户业务办公的效率得到保障，可以提供千兆至桌面的部署模式，使用户的桌面带宽达到千兆，具有更高的带宽保证，而接入交换机则可采用单链路上行至汇聚交换机；10：无线网络的部署，则可以采用千兆POE交换机进行统一部署，在各楼层中部署千兆POE交换机，因为目前

21、比较流行的无线部署方式为AC+FIT模式，即在核心交换机侧旁挂无线控制器AC,而在接入交换机上接入无线AP,无线AP可以通过壁挂式部署，也可以通过馈线方式引出天线，通过天线去进行无线覆盖，但对于使用效果来说，我司建议使用壁挂式部署，因为壁挂式部署，可利用11N AP内的智能天线去实现无线覆盖的效果，智能天线可类似于补光灯一样，用户出现在哪里，信号就出现在哪里，一切以用户的地理位置为主，优于11N AP的接口为千兆接口，吞吐量达到300M，故上行连接应采用千兆为主，而核心侧的AC控制器则会对全网的无线AP进行统一管控，所有的AP配置均有AC下发，一旦AP被盗也不会对网络造成任何影响，所有的用户信

22、号端的配置也均有AC统一完成配置，无需用户终端再进行配置；11：在核心交换机上在旁挂IMC智能网管服务器，通过网管平台，实现对全网所有网络设备（有线、无线设备、用户）等进行统一管理，平台通过收集所有现网网络交换机的SNMP信息，前提是确保设备网络二层或三层互通，通过收集信息，在平台上生成一个全网的拓扑，各个节点均会出现在平台上，使管理员一目了然，及时某一个节点出现故障或掉线了，会在拓扑中都能够体现出现，同时，平台也会以短信或者邮件形式发送给管理员，使网络故障得到及时处理，减少网络故障所带来的经济损失；12：网络建成之后，当然还有一个环节非常重要，那就是如何对用户进行认证，这里我们给出的方案是，

23、对于有线网络用户来说，可以通过H3C EAD方案中的802.1X认证，该种认证可对用户的使用终端进行全方位的检测，包含使用权限、终端类型、终端病毒检测及MAC地址，在各个环节对用户终端实施统一认证和监控，确保用户终端的病毒元素会对全网造成影响，而对于无线用户来说，可采用PORTAL认证方式，该种方式需要客户自行定制页面素材，我司网络管理平台可将页面信息通过无线方式强制推送给无线用户终端，进行认证，认证页面中可包含用户名和密码栏，也可以不包含，及采用免责条款方式，该方式即在页面中设计一个”我同意“或者“可上网”按钮信息，其实，在页面按钮上，通过后台已将用户账号信息嵌入进了页面，可对用户实时进行监

24、控和流量统计；2.4方案特色技术简介2.4.1 路由规划本网络建议使用静态路由加动态路由的形式来进行规划，在个接入层至核心层考虑通过静态路由来实现路由可到，而核心层至路由器出口处可考虑通过动态路由来实现。动态路由协议OSPF具有在路由器和高端交换机上自动配置的能力，并且其开销较低，功能强，支持的网络规模大，特别适合于大型的办公网络。OSPF协议可以使核心设备都处于工作状态，极大的提高网络设备和带宽的使用效率。在OSPF的划分上有两种方式，一种是全部划入骨干域，一种是划分骨干和分支域。两者的区别主要在于是否分区域实行路由归纳。在局域网中一般为了负载均衡而采用OSPF协议，对路由选路和收敛的要求不

25、高，因此可以只划分一个区域，即area 0，所有设备都位于area 0中。2.4.2 IP地址规划IP地址的合理规划是办公网络设计中的重要一环，大型计算机网络必须对IP地址进行统一规划并得到实施。IP地址规划的好坏，影响到网络路由协议算法的效率，影响到网络的性能，影响到网络的扩展，影响到网络的管理，也必将直接影响到网络应用的进一步发展。1、IP地址分配原则IP地址空间分配，要与网络拓扑层次结构相适应，既要有效地利用地址空间，又要体现出网络的可扩展性和灵活性，同时能满足路由协议的要求，以便于网络中的路由聚类，减少路由器中路由表的长度，减少对路由器CPU、内存的消耗，提高路由算法的效率，加快路由变

26、化的收敛速度，同时还要考虑到网络地址的可管理性。具体分配时要遵循以下原则：唯一性：一个IP网络中不能有两个主机采用相同的IP地址；简单性：地址分配应简单易于管理，降低网络扩展的复杂性，简化路由表项连续性：连续地址在层次结构网络中易于进行路径叠合，大大缩减路由表，提高路由算法的效率可扩展性：地址分配在每一层次上都要留有余量，在网络规模扩展时能保证地址叠合所需的连续性灵活性：地址分配应具有灵活性，以满足多种路由策略的优化，充分利用地址空间。主流的IP地址规划方案分为纯公网地址、纯私网地址和混合网络地址三种。当办公网网络地址分配或采用混合网络地址接入时，要求办公网能提供网络地址转换功能，对私网地址进

27、行转换。在办公网络IP地址规划的问题上，应该统一规划，协调一致,为每个部门分配一个独有的地址段，以节省网络设备资源。2.5 无线方案2.5.1无线网络优势当今社会无线网络以成为新一代的潮流，无论是在机关单位还是在企业、教育、医疗等单位。对无线网络都有着很大的需求。无线现在给大家带来了很大的方便，如果一个网络中缺少了无线网络，就好像一个人缺少一只手一样，工作起来很不方便。无线网络建设在维护费用上相对有线网络来说，无线网络组建容易，设置和维护比较简单。只需一次投入就可以解决所有问题，其零布线费用是有线网络所不能比拟的。在灵活性上，传统的有线网络部署要受到布线格局的限制，如果建筑物中没有预留的线路，

28、布线以及调试的工程比较大，如果使用无线网络的话就可以解决了上述的麻烦。在扩展性方面，有线网络的扩展性比较弱，如果要增加新用户，而原有布线所预留的端口又不够用的话，那就要进行从新部署线缆等工作，虽然电缆本身不贵，但是改造起来比较麻烦。而无线网络的扩展性就比较强，一台AP可以支持多个用户，如果需要新增用户，网络很小的改动就能满足客户的需求。在无线网络技术在不断的发展与改善，其发展前景是良好的，但是在很多场合下，有线接入技术并不真的比无线网络有更多的优势。无线网络是对有线网络的一种补充，而不是一种替代。从总体上去分析的话,无线是现代网络中的一部分是不可分割的一部分。2.5.2无线局域网总体架构选择无

29、线局域网技术经过十几年的发展，已经历了三代技术及产品的发展。第一代无线局域网主要是采用Fat AP，每一台AP都要单独进行配置，费时、费力、费成本；第二代无线局域网融入了无线网关功能但还是不能集中进行管理和配置，其管理性和安全性以及对有线网络的依赖成为了第一代和第二代WLAN产品发展的瓶颈，由于这一代技术的AP储存了大量的网络和安全的配置，包括加密的钥匙，Radius client的安全密码 (secret) 等，而AP又是分散在建筑物中的各个位置，一旦AP的配置被盗取读出并修改，其无线网络系统就失去了安全性。另外由于AC或无线网关的硬件多数是基于Pentium架构的，所以当用户接入数量 (I

30、P sessions)增多时，无线网的性能会急剧下降，时常会发生掉线或死机情况。在这样的环境下，基于无线交换机技术的第三代WLAN产品应运而生。第三代无线局域网采用无线交换机和FIT AP的架构，对传统WLAN设备的功能做了重新划分，将密集型的无线网络和安全处理功能转移到集中的 WLAN 交换机中实现，同时加入了许多重要新功能，诸如无线网管、AP间自适应、无线安管、RF监测、无缝漫游以及Qos。，使得无线局域网的网络性能、网络管理和安全管理能力得以大幅提高。下表为FAT AP与FIT AP两种组网方案对比2.5.3供电问题由于办公大楼无线网中AP设备数量较适中，AP布放位置根据实际覆盖效果而调

31、整，建议采用基于标准的802.3af实现对AP的供电。通过POE交换机可以实现以太网线在传输数据同时给AP供电，供电距离达100米，满足实际组网的要求。以下是三种AP供电方式对比，通过对比得到采用一体化POE供电可以实现管理员远程管理和维护AP射频卡、服务SSID、AP设备本身。避免了维护人员的日常维护管理的不便和安全隐患。2.5.4频率规划目前针对WLAN来讲，2.4G具有3具不重叠的信道，故网络覆盖时所需要的WLAN网络空间都要进行2.4G网络规划，主要考虑2.4G频率的覆盖设计，针对2.4G的频率的信号衰减模型主要采用如下：PathLoss(dB) = 46 +10* n*Log D（m

32、），而对于5.8G的信号衰减模型：PathLoss(dB) = 32.4+20*lg fMHz+ 20*lgdKM +a * dKM，以上二信号衰减模型进行网络的设计，到具体网络实施时要进行工勘与优化，而对于信道主要采用1、6、11三个信道交错使用，具体的面覆盖逻辑示意图如下：WLAN2.4G信道规划示意图2.5.5频率复用针对频率复用的设计与实现主要侧重于重叠区域，考虑到802.11技术中目前业界主要采用DCF的仲裁，这样会导致从网络实施的角度出发，没有办法做到像GSM、3G网络的控制力度，从技术原理的角度出发，没有办法实现很好的频率复用，只能被动做些负载均衡的功能。每个AP具有54Mbps

33、、48Mbps、36Mbps、18Mbps等的覆盖范围，对于54Mbps的覆盖范围不重叠，对于54Mbps与18Mbps就可能进行重叠，可以根据网络侧的负载功能进行实现一定程度的频率复用功能，从网络规划的角度出发，WLAN基本上、下行无线链路复用的处理问题，因为目前都是DCF方式，而从只能结合业务目标实现网络覆盖效果，具体网络使用效果使用负载均衡功能进行实现。负载均衡的功能实现具体原理如下：1. 根据负载均衡的配置确定负载均衡的模式、SSID、其他参与负载均衡的AP的标识、用户数或流量的阀值等进行一定的初始化；2. 确定本AP的射频模块连接的STA用户数量和流量；3. 通过UDP协议以私有方式

34、定时进行AP间通讯。先进行握手，成功后才进行数据的交换，获取参与负载均衡的AP的负载信息。当有STA要接入时，根据其工作频率，比较本AP上该射频下的负载和其他AP的指定SSID下的用户数或流量，以及负载均衡的SSID绑定接口的速率集，决定STA能否接入。同时要注意到若用户数已达到AP某个SSID的最大用户数，则该AP的SSID不允许再接入STA；2.5.6信号覆盖范围控制为了保障无线网络的安全，建议在无线网络实施时，需要根据每个区域实际使用环境，对AP的发射功率做相应调整，确保无线信号控制在大楼内，从而屏蔽不安全因素。在室内覆盖情况下，选择AP摆放位置的时候，需遵循以下几个原则：1、保持信号穿

35、过墙壁和天花板的数量最小。2.4G信号能够穿透墙壁和天花板，然而，每一面墙壁和天花板都将使AP信号的覆盖范围减少1到30米。应放置AP与计算机于合适的位置，使墙壁和天花板阻碍信号的路径最短，损耗最小。2、考虑AP和覆盖区域之间直线连接。注意AP的放置位置，要尽量使信号能够垂直的穿过（90度角）墙壁或天花板。3、AP安装位置需远离电子设备（起码12米），例如微波炉、监视器、电机等。2.5.7 AP防盗设计传统的FAT AP组网模式要求在AP上配置大量的业务参数，同时需要在AP本地保存这些业务配置信息，一旦设备丢失，AP的业务配置信息就可能被泄漏，形成网络的安全漏洞。H3C的FIT AP在设备上不

36、保存业务配置，而是每次启动的时候从无线控制器动态加载业务配置，这样可以有效避免设备丢失造成配置泄漏。2.5.8 多SSID接入跟据需求，我们建议采用多SSID接入，将办公人员与访客分别使用不同的SSID号。例如：办公人员通过bangong-SSID号访问网络，访客通过fangke-SSID号访问网络。如此，可实现员工与访客分开管理，同时可实现访客上网时间的控制。2.5.9 AP射频和SSID控制p 控制上网时间AC可以要求指定区域的AP在指定时间开启或者关闭某个SSID的接入服务p 节电和降低辐射AC可以要求AP按指定时间打开或者关闭AP射频以节约能耗，降低辐射。2.6 网络设备选型2.6.1

37、出口路由器H3C SR6602-X产品（以下简称SR6602-X）是H3C自主研发面向中高端企业网、校园网用户的紧凑型综合业务网关路由器，定位于中大型企业、校园网、网吧的VPN、NAT、IPSec等综合业务网关使用，同时，也可以应用中型纵向网络汇聚、高端企业用户大型分支和运营商可管理高性能CPE市场，配合H3C其他网络产品为政府、电力、金融、公共事业、运营商和大中型企业用户提供全方位网络解决方案。H3C SR6602-X双万兆网关基于业界领先紧凑型设计理念，在2U高设备上不仅集成高密度高速端口，支持FIP-20和FIP-10灵活接口设计，还实现了可插拔冗余电源和模块、风扇可插拔功能，在保证设备

38、高可靠性、网络配置灵活性的同时确保业务模块的兼容性，最大限度保护用户投资。H3C SR6602-X万兆网关采用高性能多核处理器作为NAT业务处理引擎，多核多线程处理器的应用，使SR6602-X万兆网关具备高性能和灵活性等特点，从而在并行处理各种复杂的NAT业务同时能够实现数据的高速转发2.6.2 防火墙SecPath F1000-S-AI是H3C公司面向大型企业和运营商用户开发的新一代电信级防火墙设备。SecPath F1000-S-AI采用了H3C公司最新的硬件平台和体系架构，实现防火墙性能的跨越式突破，可支持数十个GE接口，能满足电信级应用的需求。SecPath F1000-S-AI支持外

39、部攻击防范、内网安全、流量监控、邮件过滤、网页过滤、应用层过滤等功能，能够有效的保证网络的安全；采用ASPF（Application Specific Packet Filter）应用状态检测技术，可对连接状态过程和异常命令进行检测；提供多种智能分析和管理手段，支持邮件告警，支持多种日志，提供网络管理监控，协助网络管理员完成网络的安全管理；支持多种VPN业务，如GRE VPN 、IPSec VPN等，可以构建多种形式的VPN；提供基本的路由能力，支持RIP/OSPF/BGP/路由策略及策略路由；支持IPv4/IPv6双协议栈；支持丰富的QoS特性。2.6.3 核心交换机H3C S7600-X系

40、列交换机产品是杭州华三通信技术有限公司（以下简称H3C公司）面向云计算数据中心核心、下一代园区网核心和城域网汇聚而专门设计开发的核心交换产品。采用先进的CLOS多级多平面交换架构，可以提供持续的带宽升级能力，支持数据中心大二层技术TRILL、VCF(纵向虚拟化)和MDC（一虚多）技术，支持EVB和FCOE，并完全兼容40GE和100GE以太网标准。该产品基于H3C自主知识产权的Comware V5/V7操作系统，以IRF2（Intelligent Resilient Framework 2，第二代智能弹性架构）技术为系统基石的虚拟化软件系统，进一步融合MPLS VPN、IPv6、应用安全、应用

41、优化，无线等多种网络业务，提供不间断转发、不间断升级、优雅重启、环网保护等多种高可靠技术，在提高用户生产效率的同时，保证了网络最大正常运行时间，从而降低了客户的总拥有成本（TCO）。2.6.4 IPS插卡（入侵检测）H3C SecBlade IPS（Intrusion Prevention System）是一款高性能入侵防御模块，可应用于H3C S5800/S76-X/S9500E/S10500/S12500系列交换机和SR6600/SR8800路由器，集成入侵防御/检测、病毒过滤和带宽管理等功能，是业界综合防护技术最领先的入侵防御/检测系统。通过深达7层的分析与检测，实时阻断网络流量中隐藏的

42、病毒、蠕虫、木马、间谍软件、网页篡改等攻击和恶意行为，并实现对网络基础设施、网络应用和性能的全面保护。SecBlade IPS模块与基础网络设备融合，具有即插即用、扩展性强的特点，降低了用户管理难度，减少了维护成本。2.6.5 ACG插卡（流控设备）H3C SecBlade ACG（Application Control Gateway，应用控制网关）是业界第一款千兆高性能应用控制模块，可应用于H3C S76/76-X/S9500E/S10500/S12500系列交换机和SR6600/SR8800路由器，创新性的将应用监控、审计与网络进行无缝融合。SecBlade ACG能对网络中的P2P/I

43、M/VoIP带宽滥用、网络游戏、炒股、多媒体应用、非法网站访问等行为进行精细化识别和控制；同时，根据对网络流量、用户上网行为进行深入分析与全面的事后审计，并具有强大的URL过滤功能，进而全面了解网络应用模型和流量趋势，大大提升网络的业务控制能力，帮助用户优化其网络资源，为用户打造一个和谐、有序的网络环境。SecBlade ACG模块与基础网络设备融合，具有即插即用、扩展性强的特点，降低了用户管理难度，减少了维护成本。2.6.6 汇聚交换机H3C S5500-EI系列交换机是H3C公司最新开发的增强型IPv6强三层万兆以太网交换机产品，具备业界盒式交换机最先进的硬件处理能力和最丰富的业务特性。支

44、持最多4个万兆扩展接口，支持IPv4/IPv6硬件双栈及线速转发，使客户能够从容应对即将带来的IPv6时代；除此以外，其出色的安全性，可靠性和多业务支持能力使其成为大型企业网络和园区网的汇聚，中小企业网核心、以及城域网边缘设备的第一选择。2.6.7 接入交换机H3C S5120-EI系列交换机是H3C公司自主开发的全千兆以太网交换机产品，具备丰富的业务特性，提供IPv6转发功能以及最多4个10GE扩展接口。通过H3C特有的IRF2（智能弹性架构）功能，用户能够简化对网络的管理。S5120-EI系列千兆以太网交换机定位为企业网千兆接入，同时还可以用于数据中心服务器群的连接。2.6.8 无线控制器

45、(AC)H3C WX5000是杭州华三通信技术有限公司(以下简称H3C公司)自主研发的多业务无线控制器(AC，Access Controller)产品系列。H3C WX5000系列无线控制器具有容量适中、高可靠、业务类型丰富等特点，集精细的用户控制管理、完善的射频资源管理、7X24小时无线安全管控、二三层快速漫游、灵活的QoS控制、IPv4&IPv6双栈等多功能于一体，提供强大的有线、无线一体化接入能力。H3C WX5000系列多业务无线控制器包括H3C WX5004无线控制器，配合H3C Fit AP产品系列，可以满足大型企业园区WLAN接入、无线城域网覆盖、热点覆盖等无线场景的典型应用。2

46、.6.9 无线接入点（AP）H3C WA2600系列无线产品是杭州华三通信技术有限公司(H3C)自主研发的新一代基于802.11n技术的超百兆高速无线接入设备(以下简称AP)，可提供相当于传统802.11a/b/g网络6倍以上的无线接入速率，能够覆盖更大的范围。该系列无线产品上行接口采用千兆以太网接口接入，突破了百兆以太网接口的限制，使无线多媒体应用成为现实。WA2600系列无线产品支持Fat和Fit两种工作模式，根据网络规划的需要，可以通过命令行灵活地在Fat和Fit两种工作模式中切换。作为瘦AP(Fit AP)时，需要与H3C自主研发的WX系列无线控制器系列产品配套使用；作为胖AP(Fat

47、 AP)时，可以独立进行组网。WA2600系列无线产品支持Fat/Fit两种工作模式的特性，有利于将客户的无线网络由小型网络平滑升级到大型网络，从而很好保护用户的投资。2.6.10 网管系统基于多年的积累和对用户网络的深入理解，H3C智能管理中心（intelligence Management Center，iMC）平台（以下简称iMC平台）为用户提供了实用、易用的网络管理功能，在网络资源的集中管理基础上，实现拓扑、故障、性能、配置、安全等管理功能，不仅提供功能，更通过流程向导的方式告诉用户如何使用功能满足业务需求，为用户提供了网络精细化管理最佳的工具软件。对于设备数量较多、分布地域较广并且又

48、相对较为集中的网络，iMC平台提供分级管理的功能，有利于对整个网络进行清晰分权管理和负载分担。iMC平台除了涵盖网络管理功能外，还是其他业务管理组件的承载平台，共同实现了管理的深入融合联动。第三章网络设备集中统一管理解决方案网络管理分为两类。第一类是网络应用程序、用户帐号（例如文件的使用）和存取权限（许可）的管理。它们都是与软件有关的网络管理问题。这里不作讨论。网络管理的第二类是由构成网络的硬件所组成。这一类包括工作站、服务器、网卡、路由器、交换机等等。通常情况下这些设备都离所在的地方很远。正是由于这个原因，如果当设备有问题发生时网络管理员可以自动地被通知的话，那么一切事情都好办。但是网络设备不会象用户那样，当有一个应用程序问题发生时就可以打电话通知你，而当设备拥挤时它并不能够通知你。为了解决这个问题，厂商们已经在一些设备中设立了网络管