-網絡小徒集團無線辦公網設計方案

網絡現狀和需求分析

1.1網絡現狀

隨著辦公業務不斷的狀大，網絡小徒集團辦公的信息化業務支撐和管理以及網絡安全成為企業關注的焦點問題。集團網絡建設有辦公網絡系統一套，用于承載辦公OA系統，內網采用萬兆到核心、接入交換機采用千兆到桌面，同時隨著提團規模的不斷擴大，員工日常辦公、開會經常性的需要人員流動，而辦公終端筆記本、ipad等辦公終端也需要跟隨員工流動，因此集團對無線場景化辦公的需求日益增加。

1.2需求分析

從目前網絡整體的現狀看，組網設計比較混亂，組網設備的性能也較低，因此整網可用性較差。尤其當下數據寬帶應用的大興其道，網絡的負載已遠遠不能滿足現今網上業務對網絡和帶寬的需求。

為滿足當前集團辦公大樓無線網業務的發展，并保證未來幾年集團大樓局域網的整體高性能，本次大樓局域網擴容方案的設計將充分從以下幾個方面考慮：

1.2.1高性能

承載網絡的性能是網絡良好運行的基礎，設計中必須保障網絡及設備的高吞吐能力，保證各種信息（數據、語音、高清視頻圖像）的高質量傳輸，力爭實現高品質透明網絡。

1.2.2高可靠

設備的可靠性，網絡中所涉及的網絡設備，采用了電信級的高可靠設計。本次方案設計我們選擇的核心交換機能夠提供高性能的數據轉發，端口支持多樣化，電源支持到N＋1備份，實現電源冗余，保證網絡應用不會出現中斷；出口采用高性能業務網關路由器，支持雙電源，網絡管理實現可視化操作；配套使用高并發的無線控控制器AC加瘦AP的方式組網，實現集團大樓無線全覆蓋，提供高性能的無線網環境；為了集團內部的網絡安全，還需要選擇一款高性能的防火墻，實現內外網的隔離，為內網提供安全可靠的上網環境；因為無線網絡的開放性和人員流動性大的特點，還需要部署一套無線網絡認證系統和終端準入控制系統，嚴格控制無線終端的接入和內網訪問權限；日常網絡使用過程中，無法避免部分員工不合理地使用集團網絡，工作期間訪問和工作無相關的網絡資源，因此需要部署一套上網行為管理系統，對上網用戶行為進行精確控制；同時在網絡結構設計中，我們也采取了多項冗余措施，例如骨干連接相互冗余、負載分擔等。

1.2.3可擴展

網絡帶寬的可擴展性：所選的交換機、路由器、防火墻等產品支持千兆、萬兆端口的帶寬匯聚，在投資和光纜資源允許的情況下，現有建議的網絡設備平臺可以支持一定時期內網絡容量的需要。

1.2.4安全性

方案中采用多種安全策略：

網絡路由信息交換安全策略：包含路由協議的認證，路由信息過濾，多種路由協議信息交換控制等。

網絡服務安全控制：采用H3C iMC智能網管平臺，實現無線認證接入的同時，可以對內網設備實現實時監控和統一化管理，技術為維護人員即不在現場也可以實時了解網絡設備運行情況。

網絡攻擊防范：可通過對網絡訪問連接的監控和分析，發現可能出現的網絡攻擊，如Sync Attack 等，并采取相應的的控制手段保護網絡資源。

網絡系統告警(Syslog)：網絡中采用的設備可對監控到的網絡攻擊和各種非正常訪問發出告警，提醒網絡管理人員及時發現問題并采取相應安全策略。

設備安全：網絡的各種安全策略的實現均基于網絡設備的安全設置，這使得網絡設備本身的安全控制顯得尤其重要，網絡設備本身具有多種訪問控制安全策略。

1.2.5易管理維護

由于采用 TCP/IP 協議這種非面向連接的網絡層互連協議，網絡的管理重點在于網絡的結構化設計。整個網絡的服務提供均建立在層次化方式，也就是當新的用戶接入到網絡之中不會影響網絡的骨干，管理人員只需在相應接入設備做相應的配置即可，因此網絡管理簡單、高效。

組網方案規劃設計

針對網絡小徒集團辦公大樓的具體布線情況和業務信息點布局，新的網絡架構分為兩層結構設計，將網絡匯聚層和接入層合而為一，有別于以往標準的三層網絡架構模型設計，非常符合網絡小徒集團辦公大樓網絡的實際情況，從而大大提高各樓層網絡通訊的效率和整體網絡的數據交換性能，樓層各房間接入交換機通過匯聚分別連接至核心機房的核心交換機，提高整個核心網絡的性能。

網絡拓撲架構

核心層設計：

核心層負責整個網絡的數據交換，同時也是整網的路由交換中心，全網絕大部分第三層的轉發交換都通過核心節點集中進行，為保證核心節點的高可用性，核心節點采用雙擊堆疊部署，同時，各種應用服務器系統、網管系統、上網行為管理等還可通過核心交換機的業務板直接接入。

接入層設計：

本次接入層設計將網絡的匯聚層和接入層合而為一。一方面滿足大樓不能重新布線的苛刻要求，平滑擴容網絡；另外一方面兩層網絡設計非常適合網絡小徒集團辦公大樓實際的辦公情況，能最大程度的改善大樓整體網絡通信的性能，以及減少匯聚層設備的購買從而提供最佳的整網網絡擴容設備投資的性價比。

各樓層各設備間放置一臺接入交換機，向上提供萬兆光纖互聯，對下提供千兆接入，本方案考慮到辦公大樓的無線使用需求，交換機均配置千兆速率的光接口模塊到POE交換機，大大提高整個網絡的數據交換性能。

廣域網出口設計：

集團大樓廣域網出口采用一臺高性能業務網關路由器承擔整體局域網的出口任務，在路由器和核心交換機之間雙機模式部署防火墻，可以實現集團網絡的內外網隔離和安全防護，同時可以提供視化管理，降低運維難度。

無線AP點位圖

為提高網絡小徒集團無線網絡的整體性能和無縫漫游，采用全覆蓋方式部署高密AP節點。

AP點位圖

組網安全性的保障

除了提供MAC地址綁定、IP+MAC地址綁定等等常用特性以外，還在交換機上提供了802.1X認證技術，802.1X認證技術是目前比較通行的認證技術，通過802.1X接入認證，結合認證準入服務器，不但可以記錄用戶的MAC地址，還可以記錄了用戶的IP地址、VLAN ID等，同時還可以監測網絡用戶使用網絡的時間起止段、時長以及流量的大小，可以有效的對整個網絡資源的使用做出統一調度、安排；同時通過802.1X認證，只要帳號、密碼、MAC地址、IP地址和VLAN ID任何一個與接入設備上保存的信息匹配不上，就不允許此報文通過。此功能最大程度上保證了上網用戶的真實性和方便了事后追查

所有設備提供基于硬件的功能豐富的QoS能力，可以從接入層對網絡的流量、業務類型進行QoS策略的設計和規劃以及過濾，對不同的業務提供不同的質量保障，同時也能將一些ping攻擊、icmp攻擊進行過濾，從而從接入層保證網絡的安全。

全網出口部署防火墻，實現內外網的隔離、保護內網安全，還可以及時阻斷外網攻擊，結合防火墻內置的AV病毒庫、IPS病毒庫等安全防護功能模塊，配置對應的安全策略，更加有效的保護內網安全；核心交換機旁掛上網行為管理，可以有效控制網絡資源訪問權限，除此之外還可以事實監控網絡資源訪問情況，當出現惡意流量時，能及時發現并有效處理。

網絡可管理性的保障

根據客戶要求，網管系統提供如下功能：

中文管理操作界面：中文網管界面，方便國內用戶操作和使用。使得網絡管理人員可以更加靈活的選擇語種進行操作。

網絡集中監視：全網設備的統一拓撲視圖；拓撲自動發現，拓撲結構動態刷新；可視化操作方式：拓撲視圖節點直接點擊進入設備操作面板在網絡、設備狀態改變時，改變節點顏色，提示用戶對網絡設備進行定時（輪詢間隔時間可配置）的輪循監視和狀態刷新并表現在網絡視圖上支持拓撲過濾，讓用戶關注所關心的網絡設備情況；支持快速查找拓撲對象，并在導航樹和拓撲視圖中定位該拓撲對象

故障管理：告警實時監視，提供告警聲光提示，支持外接告警箱支持告警過濾，讓用戶關注重要的告警，查詢結果可生成報表；支持告警基級別重新定義，支持告警轉存，保證系統的運行效率和穩定性；支持告警拓撲定位，將顯示的焦點定位到產生選定告警的拓撲對象；支持告警相關性分析，包括屏蔽重復告警、屏蔽閃斷告警、屏蔽root-cause告警等

集群管理：針對大量二層交換機等低端設備的應用環境，iMC網絡管理軟件提供集群管理。

實現對一組設備統一、集中、批量配置管理；實現設備的集中維護管理；網絡拓撲信息自動收集、維護，動態更新；實現方便的軟件升級、配置數據備份、配置數據恢復；

流量性能監控：網絡管理軟件可以統計不同線路的利用情況，不同資源的利用情況，為優化或擴充網絡提供依據。提出了層次化性能監控的概念，針對不同的側重點，提供不同的性能監控工具。

IP地址設計（參考）

??最后分享一份寶典資料，需要的關注后聯系作者獲取??