网络小徒集团无线办公网设计方案
网络现状和需求分析
1.1网络现状
随着办公业务不断的状大,网络小徒集团办公的信息化业务支撑和管理以及网络安全成为企业关注的焦点问题。集团网络建设有办公网络系统一套,用于承载办公OA系统,内网采用万兆到核心、接入交换机采用千兆到桌面,同时随着提团规模的不断扩大,员工日常办公、开会经常性的需要人员流动,而办公终端笔记本、ipad等办公终端也需要跟随员工流动,因此集团对无线场景化办公的需求日益增加。
1.2需求分析
从目前网络整体的现状看,组网设计比较混乱,组网设备的性能也较低,因此整网可用性较差。尤其当下数据宽带应用的大兴其道,网络的负载已远远不能满足现今网上业务对网络和带宽的需求。
为满足当前集团办公大楼无线网业务的发展,并保证未来几年集团大楼局域网的整体高性能,本次大楼局域网扩容方案的设计将充分从以下几个方面考虑:
1.2.1高性能
承载网络的性能是网络良好运行的基础,设计中必须保障网络及设备的高吞吐能力,保证各种信息(数据、语音、高清视频图像)的高质量传输,力争实现高品质透明网络。
1.2.2高可靠
设备的可靠性,网络中所涉及的网络设备,采用了电信级的高可靠设计。本次方案设计我们选择的核心交换机能够提供高性能的数据转发,端口支持多样化,电源支持到N+1备份,实现电源冗余,保证网络应用不会出现中断;出口采用高性能业务网关路由器,支持双电源,网络管理实现可视化操作;配套使用高并发的无线控控制器AC加瘦AP的方式组网,实现集团大楼无线全覆盖,提供高性能的无线网环境;为了集团内部的网络安全,还需要选择一款高性能的防火墙,实现内外网的隔离,为内网提供安全可靠的上网环境;因为无线网络的开放性和人员流动性大的特点,还需要部署一套无线网络认证系统和终端准入控制系统,严格控制无线终端的接入和内网访问权限;日常网络使用过程中,无法避免部分员工不合理地使用集团网络,工作期间访问和工作无相关的网络资源,因此需要部署一套上网行为管理系统,对上网用户行为进行精确控制;同时在网络结构设计中,我们也采取了多项冗余措施,例如骨干连接相互冗余、负载分担等。
1.2.3可扩展
网络带宽的可扩展性:所选的交换机、路由器、防火墙等产品支持千兆、万兆端口的带宽汇聚,在投资和光缆资源允许的情况下,现有建议的网络设备平台可以支持一定时期内网络容量的需要。
1.2.4安全性
方案中采用多种安全策略:
网络路由信息交换安全策略:包含路由协议的认证,路由信息过滤,多种路由协议信息交换控制等。
网络服务安全控制:采用H3C iMC智能网管平台,实现无线认证接入的同时,可以对内网设备实现实时监控和统一化管理,技术为维护人员即不在现场也可以实时了解网络设备运行情况。
网络攻击防范:可通过对网络访问连接的监控和分析,发现可能出现的网络攻击,如Sync Attack 等,并采取相应的的控制手段保护网络资源。
网络系统告警(Syslog):网络中采用的设备可对监控到的网络攻击和各种非正常访问发出告警,提醒网络管理人员及时发现问题并采取相应安全策略。
设备安全:网络的各种安全策略的实现均基于网络设备的安全设置,这使得网络设备本身的安全控制显得尤其重要,网络设备本身具有多种访问控制安全策略。
1.2.5易管理维护
由于采用 TCP/IP 协议这种非面向连接的网络层互连协议,网络的管理重点在于网络的结构化设计。整个网络的服务提供均建立在层次化方式,也就是当新的用户接入到网络之中不会影响网络的骨干,管理人员只需在相应接入设备做相应的配置即可,因此网络管理简单、高效。
组网方案规划设计
针对网络小徒集团办公大楼的具体布线情况和业务信息点布局,新的网络架构分为两层结构设计,将网络汇聚层和接入层合而为一,有别于以往标准的三层网络架构模型设计,非常符合网络小徒集团办公大楼网络的实际情况,从而大大提高各楼层网络通讯的效率和整体网络的数据交换性能,楼层各房间接入交换机通过汇聚分别连接至核心机房的核心交换机,提高整个核心网络的性能。
网络拓扑架构
核心层设计:
核心层负责整个网络的数据交换,同时也是整网的路由交换中心,全网绝大部分第三层的转发交换都通过核心节点集中进行,为保证核心节点的高可用性,核心节点采用双击堆叠部署,同时,各种应用服务器系统、网管系统、上网行为管理等还可通过核心交换机的业务板直接接入。
接入层设计:
本次接入层设计将网络的汇聚层和接入层合而为一。一方面满足大楼不能重新布线的苛刻要求,平滑扩容网络;另外一方面两层网络设计非常适合网络小徒集团办公大楼实际的办公情况,能最大程度的改善大楼整体网络通信的性能,以及减少汇聚层设备的购买从而提供最佳的整网网络扩容设备投资的性价比。
各楼层各设备间放置一台接入交换机,向上提供万兆光纤互联,对下提供千兆接入,本方案考虑到办公大楼的无线使用需求,交换机均配置千兆速率的光接口模块到POE交换机,大大提高整个网络的数据交换性能。
广域网出口设计:
集团大楼广域网出口采用一台高性能业务网关路由器承担整体局域网的出口任务,在路由器和核心交换机之间双机模式部署防火墙,可以实现集团网络的内外网隔离和安全防护,同时可以提供视化管理,降低运维难度。
无线AP点位图
为提高网络小徒集团无线网络的整体性能和无缝漫游,采用全覆盖方式部署高密AP节点。
AP点位图
组网安全性的保障
除了提供MAC地址绑定、IP+MAC地址绑定等等常用特性以外,还在交换机上提供了802.1X认证技术,802.1X认证技术是目前比较通行的认证技术,通过802.1X接入认证,结合认证准入服务器,不但可以记录用户的MAC地址,还可以记录了用户的IP地址、VLAN ID等,同时还可以监测网络用户使用网络的时间起止段、时长以及流量的大小,可以有效的对整个网络资源的使用做出统一调度、安排;同时通过802.1X认证,只要帐号、密码、MAC地址、IP地址和VLAN ID任何一个与接入设备上保存的信息匹配不上,就不允许此报文通过。此功能最大程度上保证了上网用户的真实性和方便了事后追查
所有设备提供基于硬件的功能丰富的QoS能力,可以从接入层对网络的流量、业务类型进行QoS策略的设计和规划以及过滤,对不同的业务提供不同的质量保障,同时也能将一些ping攻击、icmp攻击进行过滤,从而从接入层保证网络的安全。
全网出口部署防火墙,实现内外网的隔离、保护内网安全,还可以及时阻断外网攻击,结合防火墙内置的AV病毒库、IPS病毒库等安全防护功能模块,配置对应的安全策略,更加有效的保护内网安全;核心交换机旁挂上网行为管理,可以有效控制网络资源访问权限,除此之外还可以事实监控网络资源访问情况,当出现恶意流量时,能及时发现并有效处理。
网络可管理性的保障
根据客户要求,网管系统提供如下功能:
中文管理操作界面:中文网管界面,方便国内用户操作和使用。使得网络管理人员可以更加灵活的选择语种进行操作。
网络集中监视:全网设备的统一拓扑视图;拓扑自动发现,拓扑结构动态刷新;可视化操作方式:拓扑视图节点直接点击进入设备操作面板在网络、设备状态改变时,改变节点颜色,提示用户对网络设备进行定时(轮询间隔时间可配置)的轮循监视和状态刷新并表现在网络视图上支持拓扑过滤,让用户关注所关心的网络设备情况;支持快速查找拓扑对象,并在导航树和拓扑视图中定位该拓扑对象
故障管理:告警实时监视,提供告警声光提示,支持外接告警箱支持告警过滤,让用户关注重要的告警,查询结果可生成报表;支持告警基级别重新定义,支持告警转存,保证系统的运行效率和稳定性;支持告警拓扑定位,将显示的焦点定位到产生选定告警的拓扑对象;支持告警相关性分析,包括屏蔽重复告警、屏蔽闪断告警、屏蔽root-cause告警等
集群管理:针对大量二层交换机等低端设备的应用环境,iMC网络管理软件提供集群管理。
实现对一组设备统一、集中、批量配置管理;实现设备的集中维护管理;网络拓扑信息自动收集、维护,动态更新;实现方便的软件升级、配置数据备份、配置数据恢复;
流量性能监控:网络管理软件可以统计不同线路的利用情况,不同资源的利用情况,为优化或扩充网络提供依据。提出了层次化性能监控的概念,针对不同的侧重点,提供不同的性能监控工具。
IP地址设计(参考)
❤❤最后分享一份宝典资料,需要的关注后联系作者获取❤❤