网络建设建议书概述 (3)建设原则 (3)建设目标 (4)设计方案 (4)总体设计拓扑 (4)设计说明 (5)互联网出口设计 (5)核心层设计 (7)接入层设计 (8)无线网络设计 (8)网络管理设计 (10)终端认证设计 (11)概述建设原则智能化系统网络建设遵循以下基本原则：⏹高带宽智能化系统网络是一个规模较大同时相对复杂的网络，为了保障全网的高速转发，全网的组网设计的无瓶颈性，要求方案设计的阶段就要充分考虑到，同时要求核心交换机具有高性能、高带宽的特点，整网的核心交换要求能够提供无瓶颈的数据交换。

⏹可增值性智能化系统网络的建设、使用和维护需要投入大量的人力、物力，因此网络的增值性是网络持续发展基础。

所以在建设时要充分考虑业务的扩展能力，能针对不同的用户需求提供丰富的增值业务。

⏹可扩充性考虑到用户数量和业务种类发展的不确定性，要求对于核心交换机与汇聚交换机具有强大的扩展功能，智能化系统网络要建设成完整统一、组网灵活、易扩充的弹性网络平台，能够随着需求变化，充分留有扩充余地。

⏹开放性技术选择必须符合相关国际标准及国内标准，避免个别厂家的私有标准或内部协议，确保网络的开放性和互连互通，满足信息准确、安全、可靠、优良交换传送的需要；开放的接口，支持良好的维护、测量和管理手段，提供网络统一实时监控的遥测、遥控的信息处理功能，实现网络设备的统一管理。

⏹安全可靠性设计应充分考虑整个网络的稳定性，支持网络节点的备份和线路保护，提供网络安全防范措施。

⏹高速率、低延时：为了保障业务的正常开展，以及与安宁的互联互通，计算机网络需要做到高速率，低延时；其中办公网络需要做到千兆接入、万兆骨干；⏹成熟、稳定、可靠：计算机网络的稳定性直接关系到正常业务的可用性；在设计中应尽量考虑网络品牌的成熟度，以及整网架构稳定、可靠；⏹灵活、可扩展：随着科技的进步、业务的发展，业务应用对计算机网络的要求可能发生变化；这就需要计算机网络具备灵活，可扩展的特性，满足未来3-5年甚至更长商检内，各种的业务需要；⏹安全、易管理：办公网、安防监控网中，都承载着部分敏感信息的传输，同时办公网还连接着互联网；这就要求计算机网络本身设计足够安全，而且便于维护、管理；建设目标◆高可用――网络作为数据中心的基础设施，网络的高可用直接影响到业务系统的可用性。

网络层的高可用至少包括高可靠、高安全和先进性三个方面：◆高可靠：应采用高可靠的产品和技术，充分考虑系统的应变能力、容错能力和纠错能力，确保整个网络基础设施运行稳定、可靠。

当今，关键业务应用的可用性与性能要求比任何时候都更为重要。

◆高安全：网络基础设计的安全性，涉及到业务的核心数据安全。

应按照端到端访问安全、网络L2-L7层安全两个维度对安全体系进行设计规划，从局部安全、全局安全到智能安全，将安全理念渗透到整个数据中心网络中。

◆先进性：建成网络将长期支撑业务发展，网络是数据的基础支撑平台，因此数据网络的建设需要考虑后续的机会成本，采用主流的、先进的技术和产品（如数据中心级设备、CEE、FCoE、虚拟化支持等），保证基础支撑平台5～10年内不会被淘汰，从而实现投资的保护。

设计方案总体设计拓扑下图为本次网络建设的总体设计拓扑图设计说明根据客户需求，内网网络架构采用传统的星型结构，由于本次设备未设计汇聚层，所以采用星型二层架构，即核心层---接入层。

大楼内办公室、楼道、会议室实现无线网络覆盖，并实现无线用户实名制上网。

核心层还作为服务器、无线控制器等设备接入；接入层设备主要有无线POE交换机、办公接入交换机、一卡通设备接入交换机组成，接入层设备采用光纤双链路上行，与核心交换机两两互联，可以避免单点故障和链路故障造成的业务终端。

互联网出口采用满足1200人使用规模设计，并能满足出口带宽为100M的接入要求。

互联网出口设计互联网出口采用一台高性能H3C MSR 5620企业级路由器，作为大楼的互联网访问出口，提供动态和静态的NAT服务，同时，可以限制访问互联网的终端。

提供多样化的VPN技术，包括IPsec、L2TP、GRE、ADVPN、MPLS VPN，以及多种VPN技术的叠加使用；通过精细化识别和精细化控制，实现对应用层业务的限速、带宽保障、过滤等功能，并通过精细化统计指导网络优化，还能对业务智能选路通过非对称链路负载分担、流量智能负载分担和多拓扑动态路由等技术，实现不同场景下充分利用网络链路H3C MSR 5020路由器在路由器后部署一台H3C F1060防火墙安全设备，主可以有效的防范DDoS攻击、病毒入侵、黑客攻击等。

通过访问控制、安全域划分、黑名单、流量监控、邮件过滤、网页过滤、应用层过滤等功能，能够有效的保证网络的安全；可对连接状态过程和异常命令进行检测；同时，还支持多种VPN业务，如L2TP VPN、GRE VPN 、IPSec VPN、SSL VPN、MPLS VPN等，满足多种高性能VPN接入的需求；还提供业界最丰富的NAT特性，满足各大运营商的NAT 需求，为内部员工提供互联网访问业务，也可以为企业提供专线上联接入业务。

还能通过细分安全域可有效的控制和分割安全事件。

H3C F1060防火墙在防火墙后部署一台上网行为管理，可以很好的规范内网员工的上网行为，限制员工肆意使用BT、PPLive等P2P工具下载电影等、在线看电视、看电影、听歌等，能对网络中的P2P/IM带宽滥用、网络游戏、炒股、网络视频、网络多媒体、非法网站访问等行为进行精细化识别和控制，保障网络关键应用和服务的带宽，对网络流量、用户上网行为进行深入分析与全面的审计，进而帮助用户全面了解网络应用模型和流量趋势，优化其带宽资源，开展各项业务提供有力的支撑。

H3C ACG1000上网行为管理核心层设计核心层采用两台高性能的企业级交换机堆叠，使用虚拟化技术，将两台设备虚拟化一台设备，这样可以避免单点故障并提供更高的性能和方便的管理；基于此，核心层采用的是H3C S7500E系列产品是杭州华三通信技术有限公司（以下简称H3C公司）面向融合业务网络的高端多业务路由交换机，该产品基于H3C自主知识产权的Comware V7/V7操作系统，以IRF2（Intelligent Resilient Framework 2，第二代智能弹性架构）、IRF3（Intelligent Resilient Framework3，第三代智能弹性架构）技术为系统基石的虚拟化软件系统，支持云数据中心化所需的TRILL、EVB、FCoE和MDC（一虚多）技术，完全兼容40GE和100GE以太网标准，进一步融合MPLS VPN、IPv6、网络安全、无线、无源光网络等多种网络业务，提供不间断转发、不间断升级、优雅重启、环网保护等多种高可靠技术，在提高用户生产效率的同时，保证了网络最大正常运行时间，从而降低了客户的总拥有成本（TCO）。

H3C S7500E基于40G，100G平台设计，符合“限制电子设备有害物质标准（RoHS）”，是绿色环保的路由交换机。

接入层设计接入层设备主要分为无线POE交换机、办公接入交换机、一卡通接入交换机，根据接入层设备的功能和接入设备不同，无线POE交换机采用H3C 5110-28-PWR POE 交换机，办公接入交换机采用H3C 5110-52P、一卡通接入交换机采用H3C 5110-10P-PWR POE交换机。

H3C 5110系列交换机接口丰富，满足各个接入用户以千兆带宽高速接入应用，同时提供丰富的安全策略特性，提升了网络对ARP病毒、蠕虫等新兴安全威胁的整体防御能力。

H3C 5110系列交换机无线网络设计本次无线网络采用无线控制器+FIT的方式组网无线控制器采用H3C WX3510H无线控制器，通过配备高性能多核CPU，可以做到无线隧道全尺寸报文线速转发。

采用H3C全新一代Comware V7网络操作系统平台（以下简称V7系统），除支持原系统的精细化用户控制管理、完善的射频资源管理、7X24小时无线安全管控、二三层快速漫游、灵活的QoS控制、IPv4&IPv6双栈等多项功能之外，还支持多核控制平面、新一代无线定位、Bonjour、Hotspot2.0等新兴的无线软件特性。

相比传统无线控制器，WX3500H系列支持云计算管理、分层AC、IRF等多种灵活的组网方式。

H3C WX3510H 无线控制器根据大楼内无线网络的需求不同，本次采用两种无线AP，在楼道，办公室等区域采用放装型AP进行无线覆盖，小、中、大会议室采用高密接入型AP进行无线覆盖。

放装型AP采用H3C WA4320-ACN-SI 无线AP。

H3C WA4320系列无线产品是杭州华三通信技术有限公司(H3C)自主研发的新一代基于2-Streams 11ac MIMO技术的千兆高速无线接入设备(以下简称AP)，可提供相当于传统802.11n网络3倍以上的无线接入速率，能够覆盖更大的范围。

该AP全部内置天线，外型小巧美观，安装方式灵活，适用于壁挂、吸顶等多种安装方式。

H3C WA4320-ACN-SI无线AP高密型AP采用H3C WA5620i-ACN-SI 无线AP。

该AP是杭州华三通信技术有限公司(H3C)自主研发的新一代基于4-Streams 11ac MIMO技术的超千兆高速无线接入设备，支持802.11ac Wave2最新技术标准，该系列无线产品上行链路采用2.5G以太网接口，突破了千兆以太网接口的限制，使无线多媒体应用成为现实，并采用双以太网配置，双接口PoE供电。

属于WA5600系列产品，全部内置天线，安装方式灵活，适用于壁挂、吸顶等多种安装方式。

WA5620i-ACN提供高速无线接入速率，支持802.11ac 2.4G终端用户接入速率达800Mbps，802.11ac 5G终端用户接入速率达到1733Mbps。

最高提供2.5G超高接入速率。

H3C WA5620i-ACN无线AP网络管理设计由于本次网络建设，所设计网络设备较多，为便于后期维护和管理，部署一套H3C iMC 智能管理中心平台，为用户提供了实用、易用的网络管理功能，在网络资源的集中管理基础上，实现拓扑、故障、性能、配置、安全、ACL、报表、IP/MAC、来宾接入等管理功能，不仅提供功能，更通过流程向导的方式告诉用户如何使用功能满足业务需求，为用户提供了网络精细化管理最佳的工具软件。

H3C智能管理平台除了涵盖网络管理功能外，还是其他业务管理组件的承载平台，共同实现了管理的深入融合联动。

本次无线AP数量也较多，为了方便统一管理，在智能管理中心平台上部署一套iMC WSM 无线业务管理功能。

WSM无线业务管理组件依托iMC智能管理平台，实现有线无线一体化的管理，在iMC系统全面的有线网络管理的基础上，为管理员提供无线网络管理能力。