一、概述

1、項(xiàng)目背景

//根據(jù)客戶(hù)實(shí)際情況填寫(xiě)

 2、項(xiàng)目需求分析

//根據(jù)項(xiàng)目實(shí)際需求填寫(xiě)

 3、網(wǎng)絡(luò)建設(shè)目標(biāo)

通過(guò)本次項(xiàng)目，建立一個(gè)設(shè)計(jì)規(guī)范、功能完備、性能優(yōu)良、安全可靠、有良好的擴(kuò)展性與可用性并且具備可管理易維護(hù)的網(wǎng)絡(luò)及系統(tǒng)平臺(tái)，以高效率，高速度，低成本的方式提高工作效率與執(zhí)行效率。本項(xiàng)目中終端接入方式存在有線和無(wú)線；同時(shí)為了簡(jiǎn)化出口的部署，將安全審計(jì)、運(yùn)維管理提供融合的基礎(chǔ)設(shè)施滿(mǎn)足需求。所以信息化建設(shè)中園區(qū)網(wǎng)絡(luò)的核心建設(shè)目標(biāo)主要有以下幾個(gè)方面：

? 網(wǎng)絡(luò)高速穩(wěn)定

? 有線無(wú)線融合

? 安全防護(hù)全面

? 運(yùn)維管理智能

二、設(shè)計(jì)方案

1、網(wǎng)絡(luò)總體設(shè)計(jì)

1.1總體建設(shè)原則

園區(qū)網(wǎng)是企業(yè)、政府、學(xué)校、醫(yī)療等機(jī)構(gòu)各業(yè)常見(jiàn)的內(nèi)部網(wǎng)絡(luò)，組網(wǎng)上需要和廣域網(wǎng)、數(shù)據(jù)中心網(wǎng)絡(luò)相連接，核心是用戶(hù)、訪客、合作伙伴等網(wǎng)絡(luò)接入、數(shù)據(jù)交換和安全隔離等需求的實(shí)現(xiàn)。一般對(duì)于園區(qū)網(wǎng)而言，注重的是網(wǎng)絡(luò)的簡(jiǎn)單可靠、易部署、易維護(hù)。因此在園區(qū)網(wǎng)中，拓?fù)浣Y(jié)構(gòu)通常以星型結(jié)構(gòu)為主，主要的建設(shè)原則有：

實(shí)用性原則：實(shí)用性原則主要體現(xiàn)在以下方面：以現(xiàn)行需求為基礎(chǔ)，適當(dāng)考慮發(fā)展的需要為依據(jù)來(lái)確定系統(tǒng)規(guī)模。選擇成熟、先進(jìn)、維護(hù)量小、使用方便的技術(shù)設(shè)備和措施。創(chuàng)造一個(gè)開(kāi)放的網(wǎng)絡(luò)平臺(tái)。

安全性原則：網(wǎng)絡(luò)系統(tǒng)提供多種有效的安全控制機(jī)制，以防止機(jī)密泄露和影響正常工作。有線無(wú)線網(wǎng)絡(luò)系統(tǒng)應(yīng)提供一套完整的安全防范措施，能夠有效地防止系統(tǒng)外部人員的非法侵入。

可靠性原則：系統(tǒng)設(shè)計(jì)能有效的避免單點(diǎn)失敗，在設(shè)備的選擇和關(guān)鍵設(shè)備的互聯(lián)時(shí)，應(yīng)提供充分的冗余備份，一方面最大限度地減少故障的可能性，另一方面要保證網(wǎng)絡(luò)能在最短時(shí)間內(nèi)修復(fù)。

成熟和先進(jìn)性原則：根據(jù)網(wǎng)絡(luò)應(yīng)用及重要性，設(shè)計(jì)時(shí)將必需使用成熟商用和領(lǐng)先的先進(jìn)技術(shù)，保證網(wǎng)絡(luò)與業(yè)務(wù)的可靠性。

規(guī)范性原則：系統(tǒng)設(shè)計(jì)所采用的技術(shù)和設(shè)備應(yīng)符合國(guó)際通用標(biāo)準(zhǔn)，為系統(tǒng)的擴(kuò)展升級(jí)、與其他系統(tǒng)的互聯(lián)提供良好的基礎(chǔ)。

開(kāi)放性和標(biāo)準(zhǔn)化原則：在設(shè)計(jì)時(shí)，要求提供開(kāi)放性好、標(biāo)準(zhǔn)化程度高的技術(shù)方案；設(shè)備的各種接口滿(mǎn)足開(kāi)放和標(biāo)準(zhǔn)化原則。

可擴(kuò)充和擴(kuò)展化原則：所有系統(tǒng)設(shè)備不但滿(mǎn)足當(dāng)前需要，并在擴(kuò)充模塊后滿(mǎn)足可預(yù)見(jiàn)將來(lái)需求，如帶寬和設(shè)備的擴(kuò)展，應(yīng)用的擴(kuò)展等。保證建設(shè)完成后的系統(tǒng)在向新的技術(shù)升級(jí)時(shí)，能保護(hù)現(xiàn)有的投資。

可管理性原則：整個(gè)系統(tǒng)的設(shè)備應(yīng)易于管理，易于維護(hù)，操作簡(jiǎn)單，易學(xué)，易用，便于進(jìn)行系統(tǒng)配置，在設(shè)備、安全性、數(shù)據(jù)流量、性能等方面得到很好的監(jiān)視和控制，并可以進(jìn)行遠(yuǎn)程管理和故障診斷。

1.2園區(qū)網(wǎng)建設(shè)邏輯結(jié)構(gòu)

園區(qū)網(wǎng)是業(yè)務(wù)承載網(wǎng)，滿(mǎn)足用戶(hù)、終端與業(yè)務(wù)系統(tǒng)之間的互聯(lián)，根據(jù)模塊化設(shè)計(jì)的園區(qū)，園區(qū)網(wǎng)分為園區(qū)內(nèi)部網(wǎng)絡(luò)和園區(qū)外部網(wǎng)絡(luò)，外部網(wǎng)絡(luò)主要提供廣域網(wǎng)互聯(lián)、Internet互聯(lián)、合作伙伴、移動(dòng)辦公、分支互聯(lián)以及訪客的接入。園區(qū)內(nèi)部網(wǎng)絡(luò)根據(jù)邏輯功能主要分為五個(gè)模塊和兩個(gè)區(qū)域。參見(jiàn)下圖：

圖2-1 園區(qū)網(wǎng)絡(luò)邏輯結(jié)構(gòu)示意圖

園區(qū)內(nèi)部網(wǎng)絡(luò)根據(jù)邏輯結(jié)構(gòu)從上往下分為五個(gè)層次：

? 園區(qū)出口層：

園區(qū)出口是園區(qū)網(wǎng)絡(luò)到外部公網(wǎng)的邊界，園區(qū)網(wǎng)的內(nèi)部用戶(hù)通過(guò)園區(qū)出口設(shè)備接入到互聯(lián)網(wǎng)、分支機(jī)構(gòu)以及企業(yè)外部用戶(hù)（包括客戶(hù)、合作伙伴、遠(yuǎn)程用戶(hù)、VPN用戶(hù)等）也通過(guò)園區(qū)出口設(shè)備接入到內(nèi)部網(wǎng)絡(luò)。

? 核心層：

核心層負(fù)責(zé)整個(gè)園區(qū)網(wǎng)絡(luò)的高速互聯(lián)。核心層設(shè)計(jì)一般要兼顧網(wǎng)絡(luò)利用率和網(wǎng)絡(luò)可靠性；需要對(duì)網(wǎng)絡(luò)故障具備快速收斂的能力。

? 匯聚層

匯聚層將眾多的接入設(shè)備和大量用戶(hù)經(jīng)過(guò)匯聚后再接入到核心層。匯聚層目的是擴(kuò)展核心層接入用戶(hù)的數(shù)量。匯聚層通常還作為用戶(hù)三層網(wǎng)關(guān)，承擔(dān)L2/L3邊緣設(shè)備的角色，提供用戶(hù)管理、安全管理等各項(xiàng)跟用戶(hù)和業(yè)務(wù)相關(guān)的處理。在網(wǎng)絡(luò)規(guī)模較小的情況下，接入和匯聚可以合并，提供兩層架構(gòu)。

? 接入層

負(fù)責(zé)將各種終端接入到園區(qū)網(wǎng)絡(luò)，通常由以太網(wǎng)交換機(jī)組成。當(dāng)前隨著移動(dòng)終端的普及，無(wú)線接入的需求逐漸旺盛。所以園區(qū)接入層目前需要考慮有線無(wú)線的融合，需要無(wú)線AP、AC甚至物聯(lián)網(wǎng)模塊。

? 終端層

包含園區(qū)內(nèi)的各種終端設(shè)備，例如PC、筆記本電腦、打印機(jī)、傳真、POTS話(huà)機(jī)、手機(jī)、攝像頭等等。

園區(qū)網(wǎng)還有兩個(gè)重要的管理區(qū)域，一個(gè)是運(yùn)維管理區(qū)，另一個(gè)是DMZ區(qū)。

運(yùn)維管理區(qū)：提供對(duì)網(wǎng)絡(luò)、服務(wù)器、應(yīng)用系統(tǒng)進(jìn)行管理的區(qū)域。一般滿(mǎn)足FCAPS模型的網(wǎng)絡(luò)管理，主要包括故障管理、配置管理、性能管理、安全管理等。

DMZ區(qū)：通常公用服務(wù)器部署于該區(qū)域，為外部訪客（非企業(yè)員工）或者遠(yuǎn)程辦公用戶(hù)提供相應(yīng)的訪問(wèn)業(yè)務(wù)（比如Email、Ftp服務(wù)器、DNS等），其安全性受到嚴(yán)格控制。

除了以上模塊外，園區(qū)網(wǎng)絡(luò)還承擔(dān)和數(shù)據(jù)中心互聯(lián)的功能，滿(mǎn)足終端到應(yīng)用之間的訪問(wèn)權(quán)限控制和業(yè)務(wù)的隔離。

1.3園區(qū)網(wǎng)建設(shè)物理拓?fù)?/span>

根據(jù)上述園區(qū)網(wǎng)絡(luò)設(shè)計(jì)的邏輯結(jié)構(gòu)，一般園區(qū)網(wǎng)絡(luò)設(shè)計(jì)的物理拓?fù)淙缦聢D2-2所示。

該物理拓?fù)涞闹饕攸c(diǎn)有：

? 核心層采用雙機(jī)部署，具備高可靠性，滿(mǎn)足園區(qū)業(yè)務(wù)的高速穩(wěn)定互聯(lián)。

? 網(wǎng)絡(luò)采用分層設(shè)計(jì)，包括核心層、匯聚層、接入層（匯聚接入根據(jù)規(guī)模可以合并）。

? 有線無(wú)線一體化設(shè)計(jì)，實(shí)現(xiàn)一體化管理、一體化供電。

? 采用網(wǎng)絡(luò)管理軟件管理全網(wǎng)所有網(wǎng)絡(luò)設(shè)備。

? 智能平臺(tái)同時(shí)可以提供用戶(hù)、終端的接入管理，實(shí)現(xiàn)人、設(shè)備、業(yè)務(wù)的智能運(yùn)維。

圖2-2 園區(qū)網(wǎng)絡(luò)物理拓?fù)浣Y(jié)構(gòu)圖

1.4本次方案設(shè)計(jì)拓?fù)?/span>

// 本小節(jié)需要根據(jù)客戶(hù)具體需求設(shè)計(jì)描述和拓?fù)鋱D

// 以下為示例部分，請(qǐng)跟進(jìn)實(shí)際情況修改

 本次網(wǎng)絡(luò)建設(shè)，用戶(hù)主要需求有：

1、 本次全部新建網(wǎng)絡(luò)（網(wǎng)絡(luò)改造）；有線接入用戶(hù)數(shù)200人；終端接入（打印機(jī)、攝像頭）等100個(gè)，需要信息點(diǎn)500；

2、 考慮到本次網(wǎng)絡(luò)規(guī)模和部署情況，本次采用兩層架構(gòu)模型；

3、 無(wú)線網(wǎng)絡(luò)需要提供300的接入終端；

4、 無(wú)線部分區(qū)域采用高密接入，全部放裝；

5、 出口有安全審計(jì)需求；

6、 有線無(wú)線網(wǎng)絡(luò)以及認(rèn)證系統(tǒng)需要提供統(tǒng)一管理平臺(tái)，簡(jiǎn)化運(yùn)維。

根據(jù)以上需求，本次規(guī)劃拓?fù)鋱D如下所示：

圖2-3 本次網(wǎng)絡(luò)建設(shè)物理拓?fù)湓O(shè)計(jì)圖

2、園區(qū)有線網(wǎng)絡(luò)設(shè)計(jì)

2.1 總體設(shè)計(jì)原則

園區(qū)網(wǎng)絡(luò)的核心層交換機(jī)承載著整網(wǎng)的內(nèi)部數(shù)據(jù)交換，主要任務(wù)是把大量來(lái)自接入層的數(shù)據(jù)進(jìn)行匯聚和集中，承擔(dān)路由聚合和訪問(wèn)控制的任務(wù)。作為整個(gè)園區(qū)的核心，除了需要考慮性能外，也需要考慮穩(wěn)定性及可靠性。總體來(lái)講，核心區(qū)域設(shè)計(jì)需要滿(mǎn)足以下幾個(gè)原則：

? 層次化原則：核心層、匯聚層、接入層，每層功能清晰，架構(gòu)穩(wěn)定，易于擴(kuò)展和維護(hù)。

? 模塊化原則：每一個(gè)部門(mén)一個(gè)模塊，部門(mén)內(nèi)部調(diào)整涉及范圍小，定位問(wèn)題也容易。

? 可靠性原則：雙節(jié)點(diǎn)冗余性設(shè)計(jì)，適當(dāng)?shù)娜哂嘈蕴岣呖煽啃浴?/span>

核心層需要采用全連接結(jié)構(gòu)，保持核心層設(shè)備的配置盡量簡(jiǎn)單，并且和業(yè)務(wù)部門(mén)無(wú)關(guān)。核心層設(shè)備需要具有高帶寬、高轉(zhuǎn)發(fā)性能。核心設(shè)備雙機(jī)互聯(lián)，核心匯聚之間建議采用萬(wàn)兆/千兆光纖連接。在兩臺(tái)核心設(shè)備之間我們采用H3C特有的IRF2（多虛一）彈性智能堆疊技術(shù)，使2臺(tái)設(shè)備從邏輯上虛擬成一套設(shè)備。通過(guò)堆疊后不僅提高了設(shè)備的整體性能，也提高了鏈路的高可靠性、增加鏈路帶寬、保證設(shè)備了數(shù)據(jù)的可靠性傳輸。

 2.2 層次化設(shè)計(jì)

整個(gè)網(wǎng)絡(luò)為了便于運(yùn)維，將網(wǎng)絡(luò)按照經(jīng)典的三層結(jié)構(gòu)（接入層、匯聚層、核心層）進(jìn)行部署。通過(guò)分層部署可以使網(wǎng)絡(luò)具有很好的擴(kuò)展性（無(wú)需干擾其它區(qū)域就能根據(jù)需要增加容量），可以提升網(wǎng)絡(luò)的可用性（隔離故障域降低故障對(duì)網(wǎng)絡(luò)的影響），可以簡(jiǎn)化網(wǎng)絡(luò)的管理（拓?fù)浣Y(jié)構(gòu)結(jié)構(gòu)更清晰）。

1）接入層：提供Layer2的網(wǎng)絡(luò)接入，通過(guò)VLAN劃分實(shí)現(xiàn)接入的隔離，接入層完成以下的功能：

? 實(shí)現(xiàn)PC、打印機(jī)等有線終端的高性能接入，本次網(wǎng)絡(luò)采用千兆帶寬接入；

? 各功能分區(qū)的接入層相對(duì)獨(dú)立，連接到對(duì)應(yīng)功能區(qū)的匯聚層；

? 接入層下不能再掛接任何網(wǎng)絡(luò)設(shè)備，包括HUB、SOHO路由器等。

2）匯聚層：作為接入層和核心層的分界層，完成各功能分區(qū)IP地址或路由區(qū)域的匯聚，匯聚層完成以下的功能：

? 不同業(yè)務(wù)功能的匯聚；

? 本功能區(qū)VLAN 間的路由；

? 廣播域或組播域的邊界；

? 在匯聚層實(shí)施功能區(qū)內(nèi)、功能區(qū)之間的安全訪問(wèn)策略。

3）核心層：提供各區(qū)域間的高速三層交換，核心層完成以下的功能：

? 采用萬(wàn)兆光纖與各區(qū)域匯聚設(shè)備形成互聯(lián)，形成萬(wàn)兆骨干網(wǎng)絡(luò)；

? 核心層不進(jìn)行終端、服務(wù)器系統(tǒng)的連接；

? 核心層不實(shí)施影響高速交換性能的ACL等功能。

2.3 安全性設(shè)計(jì)

園區(qū)網(wǎng)絡(luò)設(shè)計(jì)采用基于業(yè)務(wù)和部門(mén)進(jìn)行模塊化設(shè)計(jì)，不同的部門(mén)是一個(gè)獨(dú)立的網(wǎng)絡(luò)模塊。模塊化設(shè)計(jì)時(shí)，盡量做到各模塊之間松耦合，這樣可以很好的保證統(tǒng)一平臺(tái)的業(yè)務(wù)擴(kuò)展性，擴(kuò)展新的業(yè)務(wù)系統(tǒng)或模塊時(shí)不需要對(duì)核心或其它模塊進(jìn)行改動(dòng)。同時(shí)模塊化設(shè)計(jì)也可以很好的分散風(fēng)險(xiǎn)，在某一模塊（除核心區(qū)外）出現(xiàn)故障時(shí)不會(huì)影響到其它模塊，將統(tǒng)一平臺(tái)的故障影響降到最小。

同時(shí)園區(qū)網(wǎng)絡(luò)安全設(shè)計(jì)需要考慮網(wǎng)絡(luò)內(nèi)部的業(yè)務(wù)隔離、訪問(wèn)控制以及園區(qū)出口的安全策略。本小節(jié)主要關(guān)注園區(qū)網(wǎng)絡(luò)內(nèi)部之間的網(wǎng)絡(luò)訪問(wèn)安全控制。不同部門(mén)通過(guò)VLAN進(jìn)行隔離，在匯聚上通過(guò)ACL進(jìn)行訪問(wèn)權(quán)限的初步控制。出口安全設(shè)計(jì)參見(jiàn)園區(qū)出口設(shè)計(jì)章節(jié)。

2.4 虛擬化設(shè)計(jì)

整個(gè)有線網(wǎng)絡(luò)采用成熟的網(wǎng)絡(luò)架構(gòu)和技術(shù)，包括設(shè)備橫向虛擬化技術(shù)高密萬(wàn)兆骨干設(shè)備、千兆接入設(shè)備等，實(shí)現(xiàn)一張高可用園區(qū)網(wǎng)絡(luò)。

圖2-4 網(wǎng)絡(luò)虛擬化示意圖

整個(gè)網(wǎng)絡(luò)劃分為物理上的三層架構(gòu)（即核心層、匯聚層和接入層），匯聚層和核心層通過(guò)縱向虛擬化技術(shù)虛擬化為一個(gè)層次，所以邏輯上的網(wǎng)絡(luò)架構(gòu)是二層架構(gòu)（即核心層、接入層）。

IRF2.0橫向虛擬化技術(shù)

通過(guò)網(wǎng)絡(luò)設(shè)備N:1虛擬化技術(shù)對(duì)同一層面的設(shè)備進(jìn)行橫向整合，將兩臺(tái)或多臺(tái)設(shè)備虛擬為一臺(tái)設(shè)備，統(tǒng)一轉(zhuǎn)發(fā)、統(tǒng)一管理，并實(shí)現(xiàn)跨設(shè)備的鏈路捆綁。因此不會(huì)引入環(huán)路，無(wú)需部署STP和VRRP等協(xié)議，簡(jiǎn)化網(wǎng)絡(luò)協(xié)議的部署，大大縮短設(shè)備和鏈路收斂時(shí)間（毫秒級(jí)），鏈路負(fù)載分擔(dān)方式工作，利用率大大提升。

實(shí)際組網(wǎng)中，在部署橫向虛擬化整合之后，對(duì)上、下層設(shè)備來(lái)說(shuō)，它們就是一臺(tái)設(shè)備，網(wǎng)絡(luò)從服務(wù)器網(wǎng)卡接入至匯聚、核心交換機(jī)，二層鏈路可實(shí)現(xiàn)端到端捆綁。橫向虛擬化技術(shù)可以部署在核心層、匯聚層和接入層，如下圖所示：

圖2-5 IRF2.0和傳統(tǒng)方式對(duì)比

本次有線網(wǎng)絡(luò)設(shè)計(jì)方案中，采用橫向虛擬化技術(shù)連接，通過(guò)這種方式核心交換機(jī)具有以下優(yōu)點(diǎn)：

1）提高可靠性。橫向虛擬化的高可靠性體現(xiàn)在多個(gè)方面：其一、橫向虛擬化由多臺(tái)成員設(shè)備組成，實(shí)現(xiàn)了設(shè)備的1:N備份；其二、橫向虛擬化虛擬化設(shè)備可實(shí)現(xiàn)跨設(shè)備的鏈路聚合，與上、下層設(shè)備之間的鏈路聚合功能，多條鏈路之間可以互為備份也可以進(jìn)行負(fù)載分擔(dān)，從而進(jìn)一步提高了橫向虛擬化的可靠性；其三、橫向虛擬化的成員設(shè)備切換和鏈路切換時(shí)間均為毫秒級(jí)，相比傳統(tǒng)的MSTP+VRRP協(xié)議的秒~十秒的收劍時(shí)間，網(wǎng)絡(luò)的故障自愈時(shí)間有了數(shù)量級(jí)的提升。

2）提高帶寬。通過(guò)跨設(shè)備鏈路捆綁技術(shù)，可以將傳統(tǒng)的主、備鏈路模式轉(zhuǎn)變成雙活模式，通過(guò)實(shí)現(xiàn)鏈路的負(fù)載分擔(dān)，避免備份鏈路閑置，從而實(shí)現(xiàn)鏈路帶寬的成倍增加。

3）簡(jiǎn)化管理。橫向虛擬化形成之后，用戶(hù)通過(guò)任意成員設(shè)備的任意端口都可以登錄橫向虛擬化系統(tǒng)，對(duì)橫向虛擬化內(nèi)所有成員設(shè)備進(jìn)行統(tǒng)一管理。此外，由于多臺(tái)設(shè)備虛擬為一臺(tái)設(shè)備，此時(shí)的網(wǎng)絡(luò)邏輯拓?fù)浜?jiǎn)化為點(diǎn)到點(diǎn)的直連，消除了傳統(tǒng)的組網(wǎng)環(huán)路，因此可大大簡(jiǎn)化乃至消除MSTP協(xié)議的部署，橫向虛擬化設(shè)備對(duì)外表現(xiàn)為一個(gè)網(wǎng)關(guān)，也無(wú)需部署VRRP協(xié)議。同時(shí)，由于橫向虛擬化進(jìn)行了N：1的橫向整合，網(wǎng)絡(luò)中設(shè)備的數(shù)量將大大減少，路由協(xié)議的鄰居關(guān)系、設(shè)備Loopback地址、網(wǎng)絡(luò)接口互連地址也會(huì)隨之減少，達(dá)到節(jié)省網(wǎng)絡(luò)IP資源并簡(jiǎn)化了網(wǎng)絡(luò)運(yùn)維的目的。

4）強(qiáng)大的網(wǎng)絡(luò)擴(kuò)展能力。通過(guò)增加橫向虛擬化成員設(shè)備，可以輕松自如的擴(kuò)展橫向虛擬化的端口數(shù)、帶寬。因?yàn)楦鞒蓡T設(shè)備都有CPU，能夠獨(dú)立處理協(xié)議報(bào)文、進(jìn)行報(bào)文轉(zhuǎn)發(fā)，所以橫向虛擬化還能夠輕松自如的擴(kuò)展處理能力。

IRF3.1縱向虛擬化設(shè)計(jì)

H3C IRF3.1縱向虛擬化技術(shù)作為一種網(wǎng)絡(luò)設(shè)備虛擬化技術(shù)，具有很強(qiáng)的橫向整合作用，即在不改變網(wǎng)絡(luò)物理拓?fù)溥B接條件下，將網(wǎng)絡(luò)同一層的多臺(tái)設(shè)備橫向整合，從邏輯上簡(jiǎn)化了網(wǎng)絡(luò)架構(gòu)并提升了網(wǎng)絡(luò)整體效率。但是，在大規(guī)模的網(wǎng)絡(luò)要求大容量二層網(wǎng)絡(luò)且要求跨設(shè)備冗余的場(chǎng)景下，接入層為了實(shí)現(xiàn)冗余，需要兩層橫向虛擬化技術(shù)或者類(lèi)似技術(shù)組網(wǎng)。雖然一個(gè)橫向虛擬化堆疊僅為一個(gè)管理點(diǎn)，但不同網(wǎng)絡(luò)層次，特別是接入層仍然有大量的小堆疊（如二臺(tái)設(shè)備組成），此時(shí)這個(gè)網(wǎng)絡(luò)系統(tǒng)的管理點(diǎn)數(shù)量仍相當(dāng)可觀。

縱向虛擬化技術(shù)作為一種縱向堆疊管理技術(shù)，可把原來(lái)兩層橫向虛擬化組網(wǎng)中的接入設(shè)備融合進(jìn)一個(gè)大的堆疊系統(tǒng)，成為一個(gè)邏輯上更大的單一管理系統(tǒng)。這一管理上移的思路帶來(lái)兩個(gè)明顯的優(yōu)點(diǎn)：

（1）有效減少接入層管理設(shè)備數(shù)量，給簡(jiǎn)化網(wǎng)路管理提供了技術(shù)支撐；

（2）可節(jié)省原接入設(shè)備橫向的堆疊線纜，降低系統(tǒng)TCO。

下圖是一個(gè)采用縱向虛擬化的例子。

圖2-5 縱向虛擬化示意圖

本次接入層交換機(jī)和匯聚層交換機(jī)之間部分通過(guò)縱向虛擬化技術(shù)連接，這樣連接的優(yōu)點(diǎn)如下：

1） 縱向虛擬化部署中的多級(jí)冗余和高可靠性。

縱向虛擬化方案不僅支持虛擬接入層的冗余，而且也支持核心（匯聚）層的冗余，能更全面提升系統(tǒng)級(jí)的可靠性。

2）L2/L3流量線速轉(zhuǎn)發(fā)

縱向虛擬化中承擔(dān)CB角色的所有設(shè)備，包括框式設(shè)備和盒式設(shè)備均支持二層、三層流量的線速轉(zhuǎn)發(fā)。既不需要增加額外的板卡，而且L2/L3流量完全線速。

3）PE設(shè)備支持雙模式和保護(hù)用戶(hù)投資

PE設(shè)備支持兩種運(yùn)行模式，即標(biāo)準(zhǔn)交換模式和PE模式。兩者模式可以通過(guò)命令行或者網(wǎng)管進(jìn)行切換。設(shè)備出廠缺省設(shè)置為標(biāo)準(zhǔn)交換模式；當(dāng)和支持縱向虛擬化縱向管理的設(shè)備互連且縱向特性開(kāi)啟的情況下，設(shè)備可自動(dòng)感知切換到PE模式，也就是支持即插即用。雙模式特性使得用戶(hù)可根據(jù)自身網(wǎng)絡(luò)系統(tǒng)建設(shè)組網(wǎng)的需要進(jìn)行選擇，在不犧牲縱向設(shè)備“即插即用”等簡(jiǎn)化管理功能的情況下，很好地保護(hù)了用戶(hù)投資。

4、園區(qū)無(wú)線網(wǎng)絡(luò)設(shè)計(jì)

4.1無(wú)線網(wǎng)絡(luò)架構(gòu)設(shè)計(jì)

本次項(xiàng)目采用先進(jìn)的集中式管理的瘦無(wú)線AP＋集中控制器架構(gòu)，該無(wú)線架構(gòu)具有簡(jiǎn)單而強(qiáng)大的無(wú)線局域網(wǎng)集中式管理功能，AP本身并不存放任何的配置文件，AP的配置是從無(wú)線物聯(lián)網(wǎng)控制引擎上獲取的，通過(guò)無(wú)線控制引擎就可以統(tǒng)一管理整個(gè)無(wú)線網(wǎng)絡(luò)的AP與物聯(lián)網(wǎng)標(biāo)簽。網(wǎng)管人員只需簡(jiǎn)單地配置無(wú)線交換機(jī)，即可實(shí)現(xiàn)開(kāi)通、管理和維護(hù)所有AP設(shè)備以及移動(dòng)終端，包括無(wú)線電波頻譜、無(wú)線安全、接入認(rèn)證、移動(dòng)漫游以及接入用戶(hù)。

無(wú)線控制引擎+瘦無(wú)線AP的架構(gòu),在實(shí)現(xiàn)對(duì)園區(qū)網(wǎng)絡(luò)進(jìn)行無(wú)縫覆蓋的同時(shí),又能夠?qū)崿F(xiàn)對(duì)無(wú)線網(wǎng)絡(luò)的靈活管理配置,提高網(wǎng)絡(luò)維護(hù)效率。

基于網(wǎng)絡(luò)規(guī)模，在管理AP數(shù)小于32時(shí)，為減輕網(wǎng)絡(luò)建設(shè)成本，無(wú)線控制器可以通過(guò)ICT網(wǎng)關(guān)集成的模式提供；對(duì)于規(guī)模較大的無(wú)線網(wǎng)絡(luò)，無(wú)線控制器仍采用獨(dú)立AC的架構(gòu)。

4.2 無(wú)線性能設(shè)計(jì)

無(wú)線局域網(wǎng)是利用射頻技術(shù)實(shí)現(xiàn)無(wú)線通信的局域網(wǎng)絡(luò)。該技術(shù)產(chǎn)生于20世紀(jì)80年代,WLAN主要是作為傳統(tǒng)布線LAN的延展和替代,它能支持較高數(shù)據(jù)速率(1～300Mbit/s)、采用微蜂窩、微微蜂窩結(jié)構(gòu)的,自主管理的計(jì)算機(jī)局部網(wǎng)絡(luò)。還可以采用無(wú)線電或紅外線作為傳輸媒質(zhì),采用擴(kuò)展頻譜技術(shù),移動(dòng)的終端可通過(guò)無(wú)線接人點(diǎn)來(lái)實(shí)現(xiàn)對(duì)Internet的訪問(wèn)。

無(wú)線局域網(wǎng)有以下常用標(biāo)準(zhǔn):

1) IEEE802.11b

  802.11b(通常又稱(chēng)Wireless Fidelity, WI-FI),是現(xiàn)在最普及的無(wú)線標(biāo)準(zhǔn)之一。設(shè)備工作在2.4GHz的范圍內(nèi),帶寬可以達(dá)到11Mbps。

2) IEEE802.11a

  802.11a標(biāo)準(zhǔn)是一個(gè)獲得正式批準(zhǔn)的無(wú)線以太網(wǎng)標(biāo)準(zhǔn)。它工作在5GHz頻段上,使用正交頻分復(fù)用技術(shù),將5GHz分為多個(gè)重疊的頻率,在每個(gè)子信道上進(jìn)行窄帶調(diào)制和傳輸,以減少信道之間的相互干擾,使帶寬可以達(dá)到54Mbps。

3) IEEE802.11g

  802.11g是一種混合標(biāo)準(zhǔn),能向下兼容傳統(tǒng)的802.11b標(biāo)準(zhǔn)。IEEE802.11g的54Mbps高數(shù)據(jù)吞吐量比802.11b快出5倍,將改善已有的應(yīng)用性能,使高帶寬數(shù)據(jù)應(yīng)用成為可能。802.11g產(chǎn)品可以在同一個(gè)網(wǎng)絡(luò)中與802.11b產(chǎn)品結(jié)合使用。

4) IEEE802.11n

  IEEE802.11n將WLAN的傳輸速率從802.11a和802.11g的54Mbps增加至108Mbps以上,最高速率可達(dá)320Mbps。與以往的802.11標(biāo)準(zhǔn)不同,802.11n協(xié)議為雙頻工作模式(包含2.4GHz和5GHz兩個(gè)工作頻段)。這樣11n保障了以往的802.11a、b、g標(biāo)準(zhǔn)兼容。另外,天線技術(shù)及傳輸技術(shù)使無(wú)線局域網(wǎng)的傳輸距離大大增加,可以達(dá)到幾公里。

5) IEEE802.11ac

IEEE 802.11ac，是一個(gè)802.11無(wú)線局域網(wǎng)（WLAN）通信標(biāo)準(zhǔn)，它通過(guò)5GHz頻帶進(jìn)行通信。理論上，它能夠提供最少1Gbps帶寬進(jìn)行多站式無(wú)線局域網(wǎng)通信。802.11ac是802.11n的繼承者。它采用并擴(kuò)展了源自802.11n的空中接口（air interface）概念，包括：更寬的RF帶寬（提升至160MHz），更多的MIMO空間流（spatial streams）（增加到 8），多用戶(hù)的 MIMO，以及更高階的調(diào)制（modulation）（達(dá)到 256QAM）。

6）IEEE802.11ac WAVE2

802.11ac Wave 2的Wi-Fi規(guī)格由于支援多用戶(hù)多重輸入多重輸出(MU-MIMO)，不僅可讓無(wú)線存取點(diǎn)(AP)射頻頻譜運(yùn)用得更有效率，也能使下行鏈路的訊框同時(shí)傳送到多個(gè)基地臺(tái)，進(jìn)而提供比單用戶(hù)MIMO技術(shù)更高的容量。

本方案為了更好的承載園區(qū)網(wǎng)絡(luò)的無(wú)線業(yè)務(wù)，根據(jù)不同場(chǎng)景的應(yīng)用特點(diǎn)，分別采用了不同的部署方案，并充分考慮了擴(kuò)展性，采用802.11ac wave2的設(shè)備標(biāo)準(zhǔn)，詳細(xì)的設(shè)備選型參見(jiàn)第3章 設(shè)備選型。

4.3 無(wú)線控制引擎AC部署設(shè)計(jì)

本項(xiàng)目無(wú)線控制器作為整個(gè)院區(qū)無(wú)線網(wǎng)絡(luò)的管理設(shè)備，通過(guò)2個(gè)千兆鏈路連接到核心交換機(jī)。無(wú)線控制器最大可支持超過(guò)256個(gè)AP的管理，能夠很好的滿(mǎn)足本次全院的無(wú)線覆蓋的需求。控制器最大可支持2Gbps的數(shù)據(jù)處理能力，將保證整個(gè)無(wú)線網(wǎng)絡(luò)平臺(tái)的快速及高效性。

l 高性能備份

無(wú)線控制引擎支持業(yè)務(wù)熱備份，無(wú)線AP會(huì)同時(shí)和兩臺(tái)無(wú)線控制引擎建立VPN鏈路，當(dāng)無(wú)線AP直接連接的控制發(fā)生異常時(shí)，備份控制器進(jìn)行快速鏈路切換，保證業(yè)務(wù)的不間斷運(yùn)行。

l 統(tǒng)一配置

醫(yī)院內(nèi)所有無(wú)線控制引擎的配置需要進(jìn)行統(tǒng)一，當(dāng)為一臺(tái)主無(wú)線控制引擎對(duì)無(wú)線網(wǎng)絡(luò)系統(tǒng)進(jìn)行配置后，其他所有從控制器都從主控制器進(jìn)行同步配置，降低無(wú)線網(wǎng)絡(luò)的維護(hù)管理成本，提高效率。

l Portal 熱備

當(dāng)多臺(tái)無(wú)線控制引擎工作在雙機(jī)模式時(shí)，可以實(shí)現(xiàn)Portal認(rèn)證高可靠。用戶(hù)通過(guò)其中一臺(tái)控制引擎完成Portal認(rèn)證。雙機(jī)將相互同步用戶(hù)的認(rèn)證狀態(tài)等數(shù)據(jù)。任何一臺(tái)控制引擎 down時(shí)，由于另臺(tái)控制引擎已經(jīng)預(yù)同步了用戶(hù)的認(rèn)證數(shù)據(jù)，所以可以避免Portal重認(rèn)證和用戶(hù)業(yè)務(wù)中斷，滿(mǎn)足了電信級(jí)可靠性需求。

l DHCP Server熱備

當(dāng)2臺(tái)無(wú)線控制引擎工作在雙機(jī)模式時(shí)，用戶(hù)通過(guò)其中一臺(tái)控制引擎獲得DHCP地址分配后，控制引擎間將同步地址池信息。一臺(tái)控制引擎 down機(jī)后，當(dāng)用戶(hù)IP地址租約到期時(shí)，將發(fā)起DHCP請(qǐng)求續(xù)約。另一臺(tái)控制引擎用預(yù)備份的地址池?cái)?shù)據(jù)回應(yīng)續(xù)約，避免了為用戶(hù)重新分配地址和用戶(hù)業(yè)務(wù)中斷。

本方案所選無(wú)線控制器可支持H3C最新開(kāi)發(fā)的IRF模型，相比普通級(jí)聯(lián)的IRF模型，星型模型采用二層網(wǎng)絡(luò)（虛擬成一個(gè)中心點(diǎn)）連接多臺(tái)設(shè)備，組網(wǎng)更靈活方便。

4.4 無(wú)線接入設(shè)備AP部署設(shè)計(jì)（醫(yī)療場(chǎng)景可選）

本方案為了更好的承載醫(yī)院無(wú)線業(yè)務(wù)，根據(jù)醫(yī)院院區(qū)場(chǎng)景的應(yīng)用特點(diǎn)，采用了先進(jìn)的分布式無(wú)線部署方案，并充分考慮了擴(kuò)展性，并支持醫(yī)療物聯(lián)網(wǎng)的擴(kuò)展，采用了802.11ac WAVE2 的高性能的無(wú)線物聯(lián)網(wǎng)融合AP進(jìn)行無(wú)線的覆蓋。

針對(duì)醫(yī)院病區(qū)，包括病房、護(hù)士站、走廊、配藥室、隔離病房、會(huì)議室、大套間、醫(yī)生辦公室、雜物間等，功能區(qū)眾多，而且住院病房門(mén)口的衛(wèi)生間成為了Wi-Fi信號(hào)最大的障礙。智能終端原本就已經(jīng)不是很強(qiáng)的Wi-Fi信號(hào)，在穿越兩層墻體后，信號(hào)已經(jīng)衰減了很多，很難支撐正常的智能終端對(duì)信號(hào)的要求。

考慮到病區(qū)的特殊場(chǎng)景，本方案采用AP入室的設(shè)計(jì)方式，使病房?jī)?nèi)的無(wú)線信號(hào)不受任何墻體的阻隔，使信號(hào)達(dá)到最優(yōu)。

本方案無(wú)線AP采用H3C新一代融合物聯(lián)網(wǎng)AP進(jìn)行病區(qū)無(wú)線信號(hào)的覆蓋。

H3C自主研發(fā)的終結(jié)者方案，支持802.11ac Wave2最新技術(shù)標(biāo)準(zhǔn)。終結(jié)者AP方案可廣泛應(yīng)用在醫(yī)療、宿舍、公寓、酒店和小型辦公區(qū)等多房間場(chǎng)景，能夠?qū)崿F(xiàn)每個(gè)房間部署一個(gè)無(wú)線接入點(diǎn)，實(shí)際信號(hào)效果好，有效避免穿墻等因素的影響，同時(shí)每房間獨(dú)立享用單個(gè)接入點(diǎn)千兆帶寬，讓用戶(hù)的體驗(yàn)達(dá)到有線接入一般的高速效果。全部?jī)?nèi)置天線，安裝方式簡(jiǎn)單靈活，支持86盒安裝、壁掛、吸頂?shù)榷喾N安裝方式。

針對(duì)公共空間和大型會(huì)議室、大型辦公室等場(chǎng)景，選用放裝型物聯(lián)網(wǎng)AP進(jìn)行無(wú)線覆蓋，H3C新一代基于終端感知型硬件智能天線技術(shù)專(zhuān)用于室內(nèi)精細(xì)化覆蓋并支持多種物聯(lián)網(wǎng)擴(kuò)展方式的超千兆高速無(wú)線接入設(shè)備(以下簡(jiǎn)稱(chēng)AP)，支持最新802.11ac wave2協(xié)議，可提供相當(dāng)于傳統(tǒng)802.11n網(wǎng)絡(luò)3倍以上的無(wú)線接入速率，能夠?qū)崿F(xiàn)天線入室覆蓋，取得最佳的覆蓋效果。能夠在設(shè)備上采用通用外置模塊增加多種物聯(lián)網(wǎng)無(wú)線方式的接入。該系列無(wú)線產(chǎn)品上行鏈路采用雙千兆以太網(wǎng)接口，突破了千兆速率的限制，使無(wú)線多媒體應(yīng)用成為現(xiàn)實(shí)，開(kāi)啟萬(wàn)物互聯(lián)新時(shí)代。通過(guò)外置模塊擴(kuò)展的方式可支持RFID、ZigBee、Bluetooth、ANT等標(biāo)準(zhǔn)T300系列接口模塊的任意組合，T300系列模塊可通過(guò)RJ45的方式串接部署。T300為專(zhuān)用的物聯(lián)網(wǎng)系列模塊，可根據(jù)用戶(hù)實(shí)際業(yè)務(wù)需求擴(kuò)展任意制式的物聯(lián)網(wǎng)業(yè)務(wù)，通過(guò)串接的模式解決業(yè)務(wù)多樣化及并發(fā)的需求。

為方便統(tǒng)一管理，提高設(shè)備的安全性，本次無(wú)線供電設(shè)計(jì)采用PoE供電的方式對(duì)無(wú)線AP進(jìn)行遠(yuǎn)程供電。采用PoE方式即通過(guò)網(wǎng)線對(duì)AP進(jìn)行供電，PoE供電方式具備以下幾點(diǎn)優(yōu)勢(shì)：首先，安全性更高，通過(guò)網(wǎng)線進(jìn)行供電可以避免本地電源的使用，有效減少?gòu)?qiáng)電部署，提高全院的用電安全；另外，通過(guò)PoE供電可以實(shí)現(xiàn)對(duì)AP供電的管理，實(shí)現(xiàn)AP的定時(shí)開(kāi)關(guān)，一方面提高無(wú)線網(wǎng)絡(luò)的安全性（不必要使用時(shí)可關(guān)閉無(wú)線網(wǎng)絡(luò)），另一方面，還可以日常費(fèi)用（不必要使用時(shí)，關(guān)閉AP節(jié)省用電）。

方案采用終結(jié)者本體AP為病區(qū)的分體AP進(jìn)行供電，并提供本體接入范圍內(nèi)的AP的智能管理、無(wú)縫漫游等功能。擁有26個(gè)千兆PoE供電口，2個(gè)萬(wàn)兆光口上行。

4.4 無(wú)線接入設(shè)備AP部署設(shè)計(jì)（政府、教育場(chǎng)景可選）

AP設(shè)備部署要求

本方案采用痩AP架構(gòu)，采用針對(duì)學(xué)校各種場(chǎng)景的方案，所有無(wú)線AP設(shè)備均采用PoE交換機(jī)遠(yuǎn)程供電。AP設(shè)計(jì)的關(guān)鍵特性如下：

? 全網(wǎng)采用支持802.11ac協(xié)議的無(wú)線產(chǎn)品

? 引入和逐步普及先進(jìn)的802.11ac、802.11ac Wave2

? 用戶(hù)認(rèn)證能與現(xiàn)有接入認(rèn)證系統(tǒng)對(duì)接，利用其中的用戶(hù)組屬性及屬性組合進(jìn)行用戶(hù)策略的下發(fā)與控制；

? 安全性高。支持無(wú)線IDS/IPS、用戶(hù)數(shù)據(jù)加密、能自動(dòng)發(fā)現(xiàn)和防范多種針對(duì)無(wú)線網(wǎng)絡(luò)和終端的無(wú)線攻擊行為，能實(shí)現(xiàn)對(duì)非法無(wú)線設(shè)備的自動(dòng)發(fā)現(xiàn)、分類(lèi)和壓制功能，支持無(wú)線SAVI；

? 無(wú)線網(wǎng)絡(luò)系統(tǒng)兼容性好，可用性高，能支持多種主流硬件平臺(tái)和操作系統(tǒng)；

? 無(wú)線控制設(shè)備或無(wú)線交換機(jī)可支持冗余；

? 實(shí)現(xiàn)二三層無(wú)縫漫游；

? 支持頻譜檢測(cè)分析；

? 支持Native IPv6；

? 良好的管理性。比如可方便查詢(xún)用戶(hù)的使用情況，至少可根據(jù)時(shí)間和IP地址兩要素快速查詢(xún)是哪個(gè)賬號(hào)在什么地點(diǎn)使用的。

? 管理策略、用戶(hù)使用習(xí)慣的一致性；

? 充分考慮有線網(wǎng)的情況，實(shí)現(xiàn)有線無(wú)線一體化；

? 具備物聯(lián)網(wǎng)擴(kuò)展能力，物聯(lián)網(wǎng)和WLAN網(wǎng)絡(luò)合二為一，統(tǒng)一管理；

? 網(wǎng)管產(chǎn)品支持開(kāi)放的接口，廠商具有本地化的研發(fā)能力，能夠結(jié)合實(shí)際應(yīng)用需求定制開(kāi)發(fā)相關(guān)功能。

無(wú)線覆蓋范圍設(shè)計(jì)

根據(jù)目前的實(shí)際狀況，客戶(hù)要求本次建設(shè)全部覆蓋，無(wú)線建設(shè)及基于業(yè)務(wù)需求考慮如下：