惠大高速办公网络方案

HaiY

惠大高速办公及宿舍上网系统

网络方案设计

总体网络方案总体网络设计原则

计算机网络系统设计必须要求按照统一规划、统一标准的原则，总体设计，提供一个技术先进、结构合理、安全可靠的综合网络平台，为网络信息的快速传递和各类应用系统建设提供有力保障。在设计网络时，需要遵循以下原则：

（一）      实用性和先进性

采用先进成熟的技术满足各类业务需求，兼顾其他相关的管理需求，尽可能采用先进的网络技术以适应更高的数据传输需要，使整个系统在相当一段时期内保持技术的先进性，以适应未来信息化的发展的需要。

（二）      安全可靠性

为保证各项业务应用，网络必须具有高可靠性，尽量避免系统的单点故障。要对网络结构、网络设备、服务器设备等各个方面进行高可靠性的设计和建设。在采用硬件备份、冗余等可靠性技术的基础上，采用相关的App技术提供较强的管理机制、控制手段和事故监控与网络安全保密等技术措施提高整个网络系统的安全可靠性。

（三）      灵活性和可扩展性

计算机网络系统是一个不断发展的系统，所以它必须具有良好的灵活性和可扩展性，能够根据会展中心不断深入发展的需要，方便的扩展网络覆盖范围、扩大网络容量和提高网络的各层次节点的功能。具备支撑多种通信媒体、多种物理接口的能力，提供技术升级、设备更新的灵活性。

（四）      开放性和互连性

具备与多种协议计算机通信网络互连互通的特性，确保本计算机网络系统的基础设施的作用可以充分的发挥。在结构上真正实现开放，基于开放式标准，包括各种局域网、广域网、计算机等，坚持统一规范的原则，从而为未来的发展奠定基础。

（五）      经济性和投资保护

应以较高的性能价格比构建本计算机网络系统，使资金的产出投入比达到最大值。能以较低的成本、较少的人员投入来维持系统运转，提供高效能与高效益。尽可能保留延长已有系统的投资，充分利用以往在资金与技术方面的投入。

（六）      可管理性

由于系统本身具有一定复杂性，随着业务的不断发展，网络管理的任务必定会日益繁重。所以网络设备必须采用智能化，可管理的设备提高网络的运行性能、可靠性，简化网络的维护工作，从而为办公、管理提供最有力的保障。

组网方案概述

经过合理规划，针对办公楼、宿舍楼、综合楼网络系统的具体需求，在总体网络设计时采用层次化和模块化设计。

从网络的逻辑结构来看，结合建筑分布情况、网络系统建设的特点，在逻辑上采用三层结构构建：核心层、汇聚层及接入层。在实际物理连接上则直接采用二层结构，以提高网络接入的安全性及效率。（采用二层扁平化的结构，网络结构更清晰、扩展性好、便于管理维护、节省投资成本）

通过应用以太网交换机设备，来构建办公楼、宿舍楼、综合楼网络系统，使得整个网络系统具有先进性、稳定性、安全性等众多特点，完全可以满足实际应用的需要。

网络拓扑图如下：

核心汇聚层

按办公楼、宿舍楼、综合楼网络结构，网络设计呈树形结构。即中心核心汇聚层，周围是接入层。

核心汇聚节点的网络设备需要高速运送整个网络的流量，设备承载的压力较大。 作为本网络的核心汇聚节点，负责各种业务数据流量的转发，是整个网络最核心部分，它的性能、可靠性将极大地影响整个网络的运行情况。根据网络现状及规划，为提高中心节点的可靠性及处理能力，确保网络高效、稳定地运行，大家建议采用S5700-48TP-SI作为汇聚交换机。在办公楼、宿舍楼、综合楼分别设置1套核心汇聚交换机，接入各部门、各楼层接入交换机，起到汇聚流量，业务转发的作用。

S5700-SI标准型千兆以太网交换机系列（以下简称S5700-SI），是HUAWEI企业自主研发的二层/三层千兆以太网交换机，提供灵活的全千兆接入以及万兆上行端口。该系列交换机基于新一代高性能硬件和HUAWEI企业统一的VRP（Versatile Routing Platform）App平台，具有智能iStack堆叠，灵活的以太组网，多样的安全控制，成熟的IPv6特性，轻松的运行维护等特点，广泛应用于企业园区接入和汇聚、数据中心接入等多种应用场景。

S5700-SI支撑MAC地址认证和802.1x认证，实现用户策略（VLAN、QoS、ACL）的动态下发。支撑基于端口粒度的dot1X、MAC认证和混合认证；支撑基于VLANIF接口粒度的Portal认证。

S5700-SI支撑完善的DoS类防攻击、用户类防攻击。其中，DoS类防攻击主要针对交换机本身的攻击，包括SYN Flood、Land、Smurf、ICMP Flood；用户类防攻击涉及DHCP服务器仿冒攻击、IP/MAC欺骗、DHCP request flood、改变 DHCP CHADDR 值等等。

S5700-SI通过建立和维护DHCPSnooping 绑定表，对不符合绑定表项的非法报文直接丢弃。利用DHCP Snooping 的信任端口特性，S5700-SI还可以保证DHCP服务器的合法性。

S5700-SI支撑ARP表项严格学习功能，可以防止因ARP欺骗攻击将交换机ARP表项占满，导致正常用户无法上网。

接入层

接入层的作用是完成用户的接入以及边缘策略（如用户接入安全认证、服务质量等）控制的功能。网络设备主要通过二层交换的方式进行数据传送。根据本网络的需要特点，接入节点的选择可以遵循以下几点：

1）能划分多个VLAN，以满足不同的应用。为保证网络的兼容及标准性，接入层的交换机需要支撑802.1Q协议，支撑基于端口的VLAN划分。同时能支撑同一个VLAN内的端口隔离功能，保证个客户之间数据的私密性。

2）此外，接入层交换机必须有QoS功能，从而为语音、视频等实时性应用提供服务保证；

3）支撑安全认证功能，支撑802.1X认证和集中MAC地址认证功能，能实现对接入的用户实行身份认证功能。

S2700系列企业交换机（以下简称S2700）是HUAWEI企业推出的新一代绿色节能的智能百兆以太接入交换机。它基于新一代交换技术和HUAWEIVRP（Versatile Routing Platform）App平台，能提供简单便利的安装维护手段，同时融合了灵活的网络部署、丰富的QoS和安全控制策略、完备的高可靠机制、绿色环保等先进技术，可满足以太网多业务承载和接入需要，助力企业用户搭建面向未来的IT网络。

S2700-26TP-EI提供24个10/100Base-TX以太网端口，2个10/100/1000Base-T以太网端口，2个复用的千兆Combo SFP端口。采用全新ASIC交换芯片，支撑无风扇设计，在减少机械故障点的同时免除凝露腐蚀和尘土侵害，能有效降低故障率。

支撑丰富的ACL策略控制，特别是支撑基于VLAN下发ACL规则，实现VLAN内多端口的灵活控制和统一资源调度。

支撑多种VLAN划分方式：支撑基于端口、基于MAC地址、基于协议、基于网段划分VLAN，部署安全灵活，尤其适合有移动办公需求的网络场景。

支撑完备的DHCP Snooping功能，通过侦听接入用户的MAC/IP 地址、租期、VLAN ID、接口等信息，防止IP报文伪造、中间人攻击、DHCP服务器私接等常见网络安全威胁，保障网络接入安全。

支撑基于端口的源MAC地址学习限制功能，有效防止攻击者变换源MAC地址发动攻击而产生的泛洪。S2700支撑ARP表限制学习功能，能防止ARP欺骗攻击将交换机ARP表项占满，保障合法用户正常接入。支撑IP Source Check 特性，防止非法IP地址仿冒带来的DOS攻击威胁。

支撑集中式MAC地址认证和802.1x认证功能，支撑IP、MAC、VLAN、端口等用户标识元素的动态或静态绑定，并支撑用户策略（VLAN、ACL）的动态下发。

采用内置防雷的专利技术，高达6KV的防雷能力，能有效抵御感应雷击的过电压。在恶劣的应用环境下，甚至无法实现有效接地的场景，也可以降低设备的雷击损坏率。

功耗低，采用新一代高集成芯片和节能电路设计，均衡散热，支撑空闲端口休眠；无风扇静音设计，无噪音；辐射低，达到家用电器辐射标准，对人体无危害。

边缘层网络出口组网方案

1、为了保障内部网络不受外部的非法攻击和访问，在广域网出口必须配置防火墙。网络系统中需要配置防火墙过滤Internet访问。按照业务需求，办公楼、宿舍楼分别接入100M专线，综合楼接入10M专线，以及收费业务接入30M专线，为了业务安全隔离，分别设置1套防火墙。该防火墙应具备以下功能：

n  本网络规模不大，因此并不需要非常高的数据吞吐容量，但应有多个FE端口。

n 可以有效的识别网络中的BT、Edonkey、Emule等各种P2P模式的应用，并且对这些应用采取限流的控制措施，有效保护网络带宽。

n 提供各种日志功能、流量统计和分析功能、各种事件监控和统计功能、邮件告警功能。

根据应用需要，大家建议可以选用USG2120BSR防火墙。

  

  

  

  

  

USG2120BSR

  

USG2120BSR产品采用全新的多核硬件平台，业务处理零延迟，打造更高速的网络；集成有线无线多种接入方式，网络覆盖范围广，灵活部署业务，为业务开展提供了无比广阔的发展空间；融合了交换机、路由器、防火墙等基础功能，更侧重与新业务、新技术的融合，降低“叠加”的设备给企业带来了高昂的维护成本、设备兼容性、设备速率瓶颈等一系列问题。

2、出口业务的转发需要路由器来完成，所以办公楼、宿舍楼、综合楼、收费业务分别设置1套路由器与公网对接，完成业务转发。该路由器应具备以下功能：

n 无阻塞交换，业务转发无瓶颈

n 丰富的功能。支撑各种单播和组播路由协议。支撑GRE/IPSEC/L2TP/MPLS VPN等各种VPN技术。

n 全面NAT应用支撑：提供多对一、多对多、静态网段、双向转换 、Easy IP和DNS映射等NAT应用方式；支撑多种应用协议正确穿越NAT，提供DNS、FTP、H.323、ILS、MSN、NBT、PPTP、SIP等NAT ALG功能。

根据实际应用需要，大家建议采用AR1220路由器。

AR1200系列企业路由器是HUAWEI企业推出的面向中小型办公室或中小型企业分支的多合一路由器，提供包括有线和无线的Internet接入、专线接入、PBX、融合通信及安全等功能，广泛部署于中小型园区网出口、中小型企业总部或分支等场景。

AR1200转发性能600Kpps，固定接口8*FE，2*GE，支撑802.1x、MAC地址认证的端口安全机制，实现Radius、HWTACACS等多种认证方式，提供IPSec VPN、GRE VPN、DSVPN。采用多核CPU和无阻塞交换架构，产品性能业界领先，充分满足企业及分支机构网络未来多元化扩展、不断增长的业务需求。

无线网络覆盖

在办公大楼2层楼梯间设置2个无线AP，接入到二层楼层交换机，实现对办公楼所有办公室进行无线覆盖。

宿舍楼层为5层，在二层，四层楼梯间两边各设置一个无线AP，分别接入邻近楼层交换机，实现对宿舍楼进行无线全覆盖，为了将信号干扰减少到最低，将相邻的无线AP之间的信道错开。

在综合楼设置无线AP，接入到楼层交换机，实现无线覆盖。

建议采用中兴W811N实现无线覆盖。

中兴W811N是一款室内单频AP，2.4G用于无线覆盖。 这款802.11n高性能AP支撑MIMO 2x2，支撑双空间流，支撑高达300 Mbps速率。这款AP具有安装灵活的特点，可以挂墙，也可以吊顶。 W811N基于ZTE统一 CSPApp平台，能够轻松地在瘦AP和胖AP工作模式间切换，并能为您提供一个稳定可靠、可管理的运营级WLAN网络。支撑64/128-bitWEP、WPA-PSK,WPA2-PSK、WPA-Enterprise,WPA2-Enterprise、TKIP,AES/CCMP加密。室内防护IP30。

网络设备清单：

    

序号

    

  

名称及规格

  

  

  

品牌型号

  

  

  

单位

  

  

  

数量

  

  

  

备注

  

    

1

    

  

核心汇聚交换机

  

  

  

HUAWEIS5700-48TP-SI

  

  

  

台

  

  

  

3

  

  

  

办公楼、宿舍楼、综合楼各一台

  

    

2

    

  

楼层交换机

  

  

  

HUAWEIS2700-26TP-EI

  

  

  

台

  

  

  

20

  

  

  

  

    

3

    

  

路由器

  

  

  

HUAWEIAR1220

  

  

  

台

  

  

  

4

  

  

  

  

    

4

    

  

防火墙

  

  

  

HUAWEIUSG2120BSR

  

  

  

台

  

  

  

4

  

  

  

  

    

5

    

  

无线AP

  

  

  

中兴ZXV10 W811N

  

  

  

台

  

  

  

22

  

  

  

办公楼2台，5栋宿舍楼，每层4个

  

    

6

    

  

以太网光端机

  

  

  

诺龙OTS-ET100-SM

  

  

  

对

  

  

  

20

  

  

  

  

网络组网优势说明

1、采用树型、分层结构设计，网络层次清晰。

2、采用高性能、高可靠、高扩展性设备构建网络平台。

3、出口防火墙USG2120BSR支撑完善的VPN技术，安全性高。

4、完善的QOS保障机制及智能交换技术保证网络高效、实用。

5、设备成熟、可靠，网上大规模应用。

6、设备管理、维护方便。

网络技术规划IP地址规划IP地址规划原则

IP地址是被用来唯一地标识网络中主机及设备位置的一个属性，是IP报文转发及寻址的依据。IP地址也是最重要的网络资源之一。

IP地址的分配及规划，直接关系着网络的建设及维护工作量，同时也会影响电子业务应用的开展。所以，必须对IP规划给予足够的重视。

IP地址空间的分配，要与网络层次结构相适应，既要有效地利用地址空间，又要体现出网络的可扩展性和灵活性，同时能满足路由协议的要求，提高路由算法的效率，加快路由变化的收敛速度。满足这些要求的IP地址分配技术有：可变长子网掩码技术(VLSM¾Variable-LengthSubnetMask)和路径叠合（汇聚）技术(RouteSummarization)。

总的来说，IP地址规划应该遵循以下原则：

1 连续性：IP地址分配要尽量分配连续的IP地址空间；相同的业务和功能尽量分配连续的IP地址空间，有利于路由聚合以及安全控制；

2可扩充性：IP地址分配处理要考虑到连续外，又要能做到具有可扩充性，并为将来的网络扩展预留一定的地址空间；

3 IP地址的分配必须采用VLSM技术，保证IP地址的利用率；采用CIDR技术，可减小路由器路由表的大小，加快路由器路由的收敛速度，也可以减小网络中广播的路由信息的大小；

4在公有地址有保证的前提下，尽量使用公有地址，主要包括设备loopback地址、设备间互连地址。

为了利于整个网络的统一管理及各种应用（如不同部门之间共享部分网络资源）的顺利开展。建议在对整个网络的IP地址进行统一规划，并在此前提下，兼顾已有网络，以减少对原有各部门网络的影响。

路由协议规划

在大型网络中，选择适当的路由协议是非常重要的。目前常用的路由协议有多种，如RIP、OSPF、IS-IS、BGP等等。不同的路由协议有各自的特点，分别适用于不同的条件之下。

在本网络中由于网络规模较小，支撑L3交换的设备不多，为了节省网络设备的系统资源开销，可以使用静态路由的方式。

VLAN规划

本次系统设计所推荐采用设备均支撑VLAN的划分，同时使用MSTP技术，可以提供多条数据的转发路径，从而实现负载均衡。MSTP在改进Spanning Tree的同时，保持了与IEEE 802.1D Spanning Tree的兼容性。MSTP部署在核心交换机和接入层交换机上，就可以有效保证网络的高可靠性。

VLAN（Virtual LocalArea Network）又称虚拟局域网，是指在交换局域网的基础上，采用网络管理App构建的可跨越不同网段、不同网络的端到端的逻辑网络。一个VLAN组成一个逻辑子网，即一个逻辑广播域，它可以覆盖多个网络设备，允许处于不同地理位置的网络用户加入到一个逻辑子网中。

使用VLAN优点

1、控制广播风暴

一个VLAN就是一个逻辑广播域，通过对VLAN的创建，隔离了广播，缩小了广播范围，可以控制广播风暴的产生。

2、提高网络整体安全性

通过路由访问列表和MAC地址分配等VLAN划分原则，可以控制用户访问权限和逻辑网段大小，将不同用户群划分在不同VLAN，从而提高交换式网络的整体性能和安全性。

3、网络管理简单、直观

对于交换式以太网，如果对某些用户重新进行网段分配，需要网络管理员对网络系统的物理结构重新进行调整，甚至需要追加网络设备，增大网络管理的工作量。而对于采用VLAN技术的网络来说，一个VLAN可以根据部门职能、对象组或者应用将不同地理位置的网络用户划分为一个逻辑网段。在不改动网络物理连接的情况下可以任意地将工作站在工作组或子网之间移动。利用虚拟网络技术，减轻了网络管理和维护工作的负担，降低了网络维护费用。在一个交换网络中，VLAN提供了网段和机构的弹性组合机制。