《X企业研发中心网络方案设计.doc》由会员分享,可在线阅读,更多相关《X企业研发中心网络方案设计.doc(74页珍藏版)》请在三一办公上搜索。
1、惠州市西威研发中心网络技术设计方案设计单位:广东立沃信息科技有限公司日期:2012年3月18日目录1.网络系统概述12.系统设计依据13.系统设计原则24.系统基本描述35.网络系统规划45.1层次化设计45.2冗余性设计55.3Vlan设计65.4IP规划75.5路由规划95.6双机热备与生成树相结合设计136.无线网络系统规划196.1技术选型196.2无线网络结构206.2.1无线控制器216.2.2无线AP216.2.3POE交换机226.3无线网络规划226.3.1信号覆盖规划226.3.2频率规划236.3.3频率复用246.3.4AP容量规划256.3.5负载均衡257.内网安全
2、267.1BPDU Guard267.2DHCP保护277.3ARP欺骗攻击327.4静态IP地址的威胁与源IP地址欺骗347.5访问控制安全367.6UDLD单向链路检测377.7802.1x认证377.8端口安全387.9思科无线安全解决方案398.产品选型488.1品牌选择488.1.1思科品牌的优势488.1.2思科交换机的优势498.1.3思科一体化无线网络技术优势508.2核心交换机WS-C4507R+E518.2.1概述518.2.2融合528.2.3安全的不间断服务528.2.4可扩展的架构538.2.5产品优势548.3接入层交换机WS-C2960-48TC-L578.3.1
3、产品概述578.3.2重要特性和优势588.3.3适用客户588.4无线控制器AIR-CT2504-50-K9598.4.1产品概述598.4.2产品特性598.4.3Cisco 2500系列无线控制器的优势:608.5无线AP AIR-LAP1041N-E-K9618.5.1提供快速、可靠的连接618.5.2关键任务接入点628.5.3交互式多媒体接入点628.5.4入门级 802.11n 无线638.6POE供电交换机WS-C2960-24PC-L649.产品参数说明659.1核心交换机659.2接入层交换机689.3无线控制器699.4无线AP699.5POE供电交换机70第三部分 网络
4、系统1. 网络系统概述为了实现德赛西威研发大楼信息化办公建设目标,需要在大楼内建立一套先进的计算机网络。该网络采用层次化园区网设计,实现千兆主干交换,百兆到桌面,为新大楼办公人员提供一个先进、可靠、高速、基于标准的数据传输平台,为客户提供信息传输服务;同时要对业务数据进行安全保护,为客户创造一个安全的现代化办公平台。在有线网络基础之上,另外建立一套企业级的无线网络,为大楼无线终端提供无线接入点,对无线接入用户的身份进行认证,控制无线用户的访问权限,有效保护内网数据安全。2. 系统设计依据 综合交换机技术规范(YD/T1123-2001) 以太网交换机技术要求(YD/T1099-2005) 具有
5、路由功能的以太网交换机技术要求(YD/T1255-2003) 以太网交换机设备安全技术要求(YD/T1627-2007) 具有路由功能的以太网交换机设备安全技术要求(YD/T1629-2007) 计算机软件配置管理计划规划(GB/T12504-90) 信息技术开放系统互连命名与编址指导(GB/Z 17976-2000) TCP/IP路由技术(第一卷)(第二版)(Jeff Doyle(CCIE#1919) 路由器安全技术要求(GB/T 18018-1999) 信息技术低层安全模型(GB/T 18231-2000) 信息技术开放系统互连网络层安全协议(GB/T 17963-2000)3. 系统设计
6、原则计算机网络系统设计必须适应客户各项办公需求应用,又可面向未来信息化发展的需要,因此必须是高质量的。在设计网络时,需要遵循以下原则:1) 实用性和先进性采用先进成熟的技术满足德赛西威研发大楼的大规模数据、语音等综合业务需求,兼顾其他相关的管理需求,尽可能采用先进的网络技术以适应更高的数据、语音的传输需要,使整个系统在相当一段时期内保持技术的先进性,以适应未来信息化的发展的需要。2) 安全可靠性为保证各项业务应用,网络必须具有高可靠性,尽量避免系统的单点故障。要对网络结构、网络设备、服务器设备等各个方面进行高可靠性的设计和建设。在采用硬件备份、冗余等可靠性技术的基础上,在网络设计方案中要应用网
7、络管理手段,保证接入网络用户身份的合法性以及安全性;采用相关的软件技术提供较强的管理机制、控制手段和事故监控与网络安全保密等技术措施提高整个网络系统的安全可靠性。3) 灵活性和可扩展性计算机网络系统是一个不断发展的系统,所以它必须具有良好的灵活性和可扩展性,能够根据德赛西威研发大楼信息化不断深入发展的需要,方便灵活的扩展网络覆盖范围、扩大网络容量和提高网络的各层次节点的功能。具备支持多种通信媒体、多种物理接口的能力,提供技术升级、设备更新的灵活性。4) 开放性和互连性具备与多种协议计算机通信网络互连互通的特性,确保本计算机网络系统的基础设施的作用可以充分的发挥。在结构上真正实现开放,基于开放式
8、标准,包括各种局域网、广域网、计算机等,坚持统一规范的原则,从而为未来的发展奠定基础。IP地址设计须遵循客户网络TCP/IP地址编码规范;设备及端口模块、光网卡的选型须满足国内外相关的技术标准,并保证与业界主流的网络设备厂家的设备互联、互通。5) 经济性和投资保护应以较高的性能价格比构建本计算机网络系统,使资金的产出投入比达到最大值。能以较低的成本、较少的人员投入来维持系统运转,提供高效能与高效益。尽可能保留延长已有系统的投资,充分利用以往在资金与技术方面的投入。6) 可管理性由于系统本身具有一定复杂性,随着业务的不断发展,网络管理的任务必定会日益繁重。所以在网络设计中,必须建立一套全面的网络
9、管理解决方案。网络设备必须采用智能化,可管理的设备。通过先进的管理策略、管理工具提高网络的运行性能、可靠性,简化网络的维护工作,从而为办公、管理提供最有力的保障。4. 系统基本描述宗旨:与客户现有网络的融合与优化,与现有的设备进行无缝兼容,包括相关的所有网络协议;网络设备配件可以与现有网络设备模块通用,减少投资成本。本网络技术方案采用典型二层组网架构:核心层,接入层。核心层采用两台核心交换机,保证其中一台设备发生故障不影响整网运行。接入层交换机通过双上行链路至核心交换机,实现链路的冗余备份及负载均衡。接入层交换机具备强大的终端安全特性,有效从设备终端对内网进行安全防护。核心层与原办公大楼两台核
10、心设备进行全连接,四台设备两两相连,实现出口多条链路的冗余性和可靠性,同时能增加出口带宽。在有线网络基础之上,另采用一套企业级的无线网络方案,以方便无线终端用户的接入需求;其中采用一台无线控制器对所有AP进行统一管理控制;通过设备智能管理方式,提供一套高质量的,高智能的无线网络方案。新研发大楼的服务器通过双链路分别与两台核心交换机相连,实现服务器链路的冗余备份和负载均衡。5. 网络系统规划5.1 层次化设计 核心层:核心层的主要功能是尽可能快地交换数据。提供了高可靠性,并且能够快速的适用路由选择和拓扑的变更。提供到核心层资源和接入层设备之间的高速传输服务。 接入层:包括终端用户工作站、IP电话
11、机以及将设备连接到大厦核心层子模块的数据链路层接入交换机。不仅提供网络接入能力,而且还执行重要服务(例如第2层和第3层广播,多播抑制)、访问控制(例如802.1X、数据包过滤)和QOS等。5.2 冗余性设计稳定、可靠的高冗余设计,搭建一个完善的网络平台。核心层高可靠性拓扑设计:新办公楼两台核心交换机与原办公楼两台核心交换机采用全连接形式(Full-Mesh)。设备冗余:双核心设计。硬件冗余:双电源1+1冗余设计。链路聚合:四台核心交换机互联链路均可采用LACP/PAGP技术。链路冗余:蓝色箭头代表业务数据走向;橘黄色链路为冗余链路;可以看出当这些冗余链路发生故障时不会影响办公业务的正常运行。其
12、中冗余链路包括核心出口多链路、服务器双上行链路、接入层交换机双上行链路等。5.3 Vlan设计VLAN是Virtual Local Area Network的缩写,中文名是虚拟局域网。虚拟局域网是对连接到的第二层交换机端口的网络用户的逻辑分段,不受网络用户的物理位置限制而根据用户需求进行网络分段。Vlan隔离的优点:l 增加了网络的连接灵活性借助VLAN技术,能将不同地点、不同网络、不同用户组合在一起,形成一个虚拟的网络环境 ,就像使用本地LAN一样方便、灵活、有效。VLAN可以降低移动或变更工作站地理位置的管理费用,特别是一些业务情况有经常性变动的公司使用了VLAN后, 这部分管理费用大大降
13、低。l 控制网络上的安全VLAN可以提供建立防火墙的机制,防止交换网络的过量广播。使用VLAN,可以将某个交换端口或用户赋于某一个特定的VLAN组,该VLAN组可以在一个交换网中或跨接多个交换机,在一个VLAN中的广播不会送到VLAN之外。同样,相邻的端口不会收到其他VLAN产生的广播。这样可以减少广播流量,释放带宽给用户应用,减少广播的产生。规划的依据包括:l 基于端口的VLAN基于端口的VLAN是划分虚拟局域网最简单也是最有效的方法,这实际上是某些交换端口的集合,网络管理员只需要管理和配置交换端口,而不管交换端口连接什么设备。l 基于MAC地址的VLAN由于只有网卡才分配有MAC地址,因此
14、按MAC地址来划分VLAN实际上是将某些工作站和服务器划属于某个VLAN。 事实上,该VLAN是一些MAC地址的集合。当设备移动时, VLAN能够自动识别。网络管理需要管理和配置设备的MAC地址,显然当网络规模很大,设备很多时,会给管理带来难度。 l 基于第3层的VLAN基于第3层的VLAN是采用在路由器中常用的方法:IP子网和IPX网络号等。其中,局域网交换机允许一个子网扩展到多个局域网交换端口,甚至允许一个端口对应于多个子网。l 基于策略的VLAN基于策略的VLAN是一种比较灵活有效的VLAN划分方法。该方法的核心是采用什么样的策略。目前常用的策略有:按MAC地址, 按IP地址, 按以太网
15、协议类型, 按网络的应用等。结合德赛新研发大楼内业务分类,可以根据不同业务、不同部门、不同应用,进行相应的vlan规划。5.4 IP规划IP地址规划遵从四个原则:唯一性、可扩展性、连续性、实意性。IP地址的规划原则,主要考虑其扩展性和连续性这样才能更好的进行地址汇总减少路由条目。同时扩展性要预留一定量的IP地址这样才能满足企业的后期扩容。在满足上述情况下可以考虑分配地址的实意性。在IP地址注意事项中要明确这些地址的作用和需要的个数,例如:互联地址需要2个地址,使用/30的掩码即可,而如果使用其他范围更大的掩码则会造成IP地址浪费。重新选取一段私有IP地址规划,不可与原办公大楼地址重叠;新选取的
16、IP地址段进行系统划分;近似区域和类似业务注意连续性,以便进行路由汇总,减少路由表条目,缩短路由收敛时间,提高路由协议计算效率;各个区域及区域下子业务都必须进行IP地址预留;按照一套准则进行IP地址前期规划,看到 IP地址,并参照准则,就能定位此IP地址类型。按照先地理位置后业务进行规划:10.0.地区 业务.0/255.255.255.0其中地区占3位,业务占5位。地区包括000到111,共有8位。业务包括00000到11111,共有32位。地区IP地址互联地址0网管地址1一楼用户2二楼用户3三楼用户4无线5(预留)(预留)互联地址业务划分业务IP地址核心交换机1-核心交换机20核心交换机1
17、-接入层交换机11(预留)(预留)网管地址业务划分业务IP地址核心交换机32接入层交换机33(预留)(预留)一楼用户业务划分业务IP地址部门A64部门B65部门C66(预留)(预留)以此类推例如:IP地址10.0.33.1,从第三位为33可以看出地区代码为1,业务代码为1,属于核心交换机的网管地址。根据最后一位1,参照IP规划表,可以知道属于哪一台具体的核心交换机网管地址。5.5 路由规划OSPF(Open Shortest Path First开放式最短路径优先)是一个内部网关协议(Interior Gateway Protocol,简称IGP),用于在单一自治系统(autonomous s
18、ystem,AS)内决策路由。OSPF路由协议是一种典型的链路状态(Link-state)的路由协议,一般用于同一个路由域内。在这里,路由域是指一个自治系统(Autonomous System),即AS,它是指一组通过统一的路由政策或路由协议互相交换路由信息的网络。在这个AS中,所有的OSPF路由器都维护一个相同的描述这个AS结构的数据库,该数据库中存放的是路由域中相应链路的状态信息,OSPF路由器正是通过这个数据库计算出其OSPF路由表的。 作为一种链路状态的路由协议,OSPF将链路状态广播数据LSA(Link State Advertisement)传送给在某一区域内的所有路由器,这一点与
19、距离矢量路由协议不同。运行距离矢量路由协议的路由器是将部分或全部的路由表传递给与其相邻的路由器。OSPF的基本规划:1) 选择合适的私有地址段用于Router-id在每个OSPF路由器上建立环回接口并使用32位掩码的IP地址;环回接口地址在OSPF网络中的发布应该根据实际情况而定;一般情况下不要在OSPF网络中发布,以减少路由表项;如果需要将环回口地址作为管理使用,可以考虑发布;为保证OSPF运行的稳定性,建议在进行网络规划时应该确定网络中各OSPF路由器Router ID的分配方案,并且在相应路由器上进行手工指定2) OSPF区域划分从网络的拓扑结构来看:如果网络的拓扑结构是树状或星型结构,
20、可以考虑使用缺省路由+静态路由的方式。如果网络的拓扑结构是网状并且任意两台三层交换机都有互通的需求,则应该使用OSPF动态路由协议。所以本方案核心区域采用OSPF路由协议。3) 互联vlan交换机互联启用三层链路,单独引用互联vlan。不允许业务vlan通过,有效保证业务数据的安全。4) 被动接口在任何不需要形成OSPF邻居的接口上,配置OSPF被动接口。5) 配置接口bandwidth与物理带宽一致,以确保OSPF Cost能反映真实的链路带宽;6) 配置点对点以太网的OSPF网络类型为点对点,以加快收敛速度;7) 将业务网段发布到OSPF进程;8) 缺省路由引入到OSPF进程;OSPF协议
21、的优点:1) OSPF是真正的LOOP- FREE(无路由自环)路由协议。源自其算法本身的优点。(链路状态及最短路径树算法) 2) OSPF收敛速度快:能够在最短的时间内将路由变化传递到整个自治系统。 3) 提出区域(area)划分的概念,将自治系统划分为不同区域后,通过区域之间的对路由信息的摘要,大大减少了需传递的路由信息数量。也使得路由信息不会随网络规模的扩大而急剧膨胀。 4) 将协议自身的开销控制到最小。 l 用于发现和维护邻居关系的是定期发送的是不含路由信息的hello报文,非常短小。包含路由信息的报文时是触发更新的机制。(有路由变化时才会发送)。但为了增强协议的健壮性,每1800秒全
22、部重发一次。 l 在广播网络中,使用组播地址(而非广播)发送报文,减少对其它不运行ospf 的网络设备的干扰。 l 在各类可以多址访问的网络中(广播,NBMA),通过选举DR,使同网段的路由器之间的路由交换(同步)次数由 O(N*N)次减少为 O (N)次。 l 提出STUB区域的概念,使得STUB区域内不再传播引入的ASE路由。 l 在ABR(区域边界路由器)上支持路由聚合,进一步减少区域间的路由信息传递。 l 在点到点接口类型中,通过配置按需播号属性(OSPF over On Demand Circuits),使得ospf不再定时发送hello报文及定期更新路由信息。只在网络拓扑真正变化时
23、才发送更新信息。 5) 通过严格划分路由的级别(共分四极),提供更可信的路由选择。 6) 良好的安全性,ospf支持基于接口的明文及md5 验证。 7) OSPF适应各种规模的网络,最多可达数千台。工程调测当中,可以根据客户意愿,通过调整不同链路开销值,进行不同数据流分流,相同数据流负载均衡等。自由灵活,贴近客户需求。5.6 双机热备与生成树相结合设计核心交换机采用HSRP(热备份路由器协议),各个楼层交换机与核心交换机采用MSTP(Multiple Spanning Tree Protocol,多生成树协议),将两者结合在一起,才能建立一套高可靠高稳定的网络架构。1) HSRP(热备份路由协
24、议)热备份路由器协议(HSRP)的设计目标是支持特定情况下 IP 流量失败转移不会引起混乱、并允许主机使用单路由器,以及即使在实际第一跳路由器使用失败的情形下仍能维护路由器间的连通性。换句话说,当源主机不能动态知道第一跳路由器的 IP 地址时,HSRP 协议能够保护第一跳路由器不出故障。HSRP:热备份路由器协议(HSRP:Hot Standby Router Protocol),是cisco平台一种特有的技术,是cisco的私有协议。 该协议中含有多种路由器,对应一个虚拟路由器。HSRP 协议只支持一个路由器代表虚拟路由器实现数据包转发过程。终端主机将它们各自的数据包转发到该虚拟路由器上。
25、负责转发数据包的路由器称之为活动路由器(Active Router)。一旦主动路由器出现故障,HSRP 将激活备份路由器(Standby Routers)取代主动路由器。HSRP 协议提供了一种决定使用主动路由器还是备份路由器的机制,并指定一个虚拟的 IP 地址作为网络系统的缺省网关地址。如果主动路由器出现故障,备份路由器(Standby Routers)承接主动路由器的所有任务,并且不会导致主机连通中断现象。HSRP 运行在 UDP 上,采用端口号1985。路由器转发协议数据包的源地址使用的是实际 IP 地址,而并非虚拟地址,正是基于这一点,HSRP 路由器间能相互识别。随着Internet
26、的日益普及,人们对网络的依赖性也越来越强。这同时对网络的稳定性提出了更高的要求,人们自然想到了基于设备的备份结构,就像在服务器中为提高数据的安全性而采用双硬盘结构一样。路由器是整个网络的核心和心脏,如果路由器发生致命性的故障,将导致本地网络的瘫痪,如果是骨干路由器,影响的范围将更大,所造成的损失也是难以估计的。因此,对路由器采用热备份是提高网络可靠性的必然选择。在一个路由器完全不能工作的情况下,它的全部功能便被系统中的另一个备份路由器完全接管,直至出现问题的路由器恢复正常,这就是热备份路由协议(Hot Standby Router Protocol),HSRP-RFC2281技术要解决的问题。
27、 实现HSRP的条件是系统中有多台路由器,它们组成一个“热备份组”,这个组形成一个虚拟路由器。在任一时刻,一个组内只有一个路由器是活动的,并由它来转发数据包,如果活动路由器发生了故障,将选择一个备份路由器来替代活动路由器,但是在本网络内的主机看来,虚拟路由器没有改变。所以主机仍然保持连接,没有受到故障的影响,这样就较好地解决了路由器切换的问题。为了减少网络的数据流量,在设置完活动路由器和备份路由器之后,只有活动路由器和备份路由器定时发送HSRP报文。如果活动路由器失效,备份路由器将接管成为活动路由器。如果备份路由器失效或者变成了活跃路由器,将由另外的路由器被选为备份路由器。在实际的一个特定的局
28、域网中,可能有多个热备份组并存或重叠。每个热备份组模仿一个虚拟路由器工作,它有一个WellknownMAC地址和一个IP地址。该IP地址、组内路由器的接口地址、主机在同一个子网内,但是不能一样。当在一个局域网上有多个热备份组存在时,把主机分布到不同的热备份组,可以使负载得到分担。HSRP协议利用一个优先级方案来决定哪个配置了HSRP协议的路由器成为默认的主动路由器。如果一个路由器的优先级设置的比所有其他路由器的优先级高,则该路由器成为主动路由器。路由器的缺省优先级是100,所以如果只设置一个路由器的优先级高于100,则该路由器将成为主动路由器。通过在设置了HSRP协议的路由器之间广播HSRP优
29、先级,HSRP协议选出当前的主动路由器。当在预先设定的一段时间内主动路由器不能发送hello消息时,优先级最高的备用路由器变为主动路由器。路由器之间的包传输对网络上的所有主机来说都是透明的。配置了HSRP协议的路由器交换以下三种多点广播消息:Hellohello消息通知其他路由器发送路由器的HSRP优先级和状态信息,HSRP路由器默认为每3秒钟发送一个hello消息;Coup当一个备用路由器变为一个主动路由器时发送一个coup消息;Resign当主动路由器要宕机或者当有优先级更高的路由器发送hello消息时,主动路由器发送一个resign消息。在任一时刻,配置了HSRP协议的路由器都将处于以下
30、五种状态之一: InitialHSRP启动时的状态,HSRP还没有运行,一般是在改变配置或端口刚刚启动时进入该状态。 Listen路由器已经得到了虚拟IP地址,但是它既不是活动路由器也不是等待路由器。它一直监听从活动路由器和等待路由器发来的HELLO报文。 Speak在该状态下,路由器定期发送HELLO报文,并且积极参加活动路由器或等待路由器的竞选。 Standby当主动路由器失效时路由器准备接管包传输功能。 Active路由器执行包传输功能。2) MSTP(多生成树协议)多生成树(MST)使用修正的快速生成树(RSTP)协议,叫做多生成树协议(MSTP) MSTP(Multiple Span
31、ning Tree Protocol,多生成树协议)将环路网络修剪成为一个无环的树型网络,避免报文在环路网络中的增生和无限循环,同时还提供了数据转发的多个冗余路径,在数据转发过程中实现VLAN 数据的负载均衡。MSTP 兼容STP 和RSTP,并且可以弥补STP 和RSTP 的缺陷。它既可以快速收敛,也能使不同VLAN 的流量沿各自的路径分发,从而为冗余链路提供了更好的负载分担机制。当网络正常运行,业务数据流大致走向如下图所示。但是由于设备和链路的备份冗余使得网络中出现了物理环路;根据交换机的数据转发原理,那么就会导致数据转发的循环;从而引起广播风暴、MAC转发表不稳定等问题,最终造成网络不可
32、用。引入生成数协议目的是要在一个存在物理链路环路的二层交换网络上,根据生成树算法在链路层上阻塞一些端口的报文收发,生成一个逻辑上没有环路的树状拓扑结构。并在拓扑结构发生变化时能够迅速响应,保证全网的连通性。生成树经历了一段相当长的发展历程,MSTP是最优的选择方案。l 本设计方案采用MSTP(Multiple Spanning Tree Protocol,多生成树协议)。MSTP设置VLAN映射表(即VLAN和生成树的对应关系表),把VLAN和生成树联系起来;通过增加“实例”(将多个VLAN整合到一个集合中)这个概念,将多个VLAN捆绑到一个实例中,以节省通信开销和资源占用率。l MSTP把一
33、个交换网络划分成多个域,每个域内形成多棵生成树,生成树之间彼此独立。l MSTP将环路网络修剪成为一个无环的树型网络,避免报文在环路网络中的增生和无限循环,同时还提供了数据转发的多个冗余路径,在数据转发过程中实现VLAN数据的负载分担。l MSTP兼容STP和RSTP3) HSRP与MSTP结合部署MSTP会通过生成树计算阻塞一条上行链路。HSRP通过双核心维持一个虚拟网关,实际数据通信是由优先级高的核心交换机完成。此时一定要注意,生成树主交换机必须和双机热备主核心交换机配置为同一台。6. 无线网络系统规划6.1 技术选型无线局域网技术经过十几年的发展,已经历了三代技术及产品的发展。第一代无线
34、局域网主要是采用Fat AP(即“胖”AP),每一台AP都要单独进行配置,费时、费力、费成本;第二代无线局域网融入了无线网关功能但还是不能集中进行管理和配置,其管理性和安全性以及对有线网络的依赖成为了第一代和第二代WLAN产品发展的瓶颈,由于这一代技术的AP储存了大量的网络和安全的配置,包括加密的钥匙,Radius client的安全密码 (secret) 等,而AP又是分散在建筑物中的各个位置,一旦AP的配置被盗取读出并修改,其无线网络系统就失去了安全性。另外由于AC或无线网关的硬件多数是基于Pentium架构的,所以当用户接入数量 (IP sessions)增多时,无线网的性能会急剧下降,
35、时常会发生掉线或死机情况。在这样的环境下,基于无线交换机技术的第三代WLAN产品应运而生。第三代无线局域网采用无线交换机和FIT AP(即“瘦”AP)的架构,对传统WLAN设备的功能做了重新划分,将密集型的无线网络和安全处理功能转移到集中的 WLAN 交换机中实现,同时加入了许多重要新功能,诸如无线网管、AP间自适应、无线安管、RF监测、无缝漫游以及Qos。,使得无线局域网的网络性能、网络管理和安全管理能力得以大幅提高。室内无线覆盖将使用大量无线接入点(AP)提供无线网络接入服务,必须有效实现多个AP的统一策略部署和可靠的安全认证机制,因此,采用FIT AP的解决方案,即采用无线控制器结合FI
36、T AP与无线网络管理系统的架构。6.2 无线网络结构根据实际情况,德赛西威研发大楼进行全面无线网络覆盖,需要部署的无线AP数量不少,管理难度大。因此,本次方案将采用无线控制器+FIT AP架构建设无线网络,并实现整个无线网络的统一集中式管理。无线网络建设以现有局域网络为基础,无线控制器部署在中心机房。全网的无线AP均工作在FIT模式,由控制器集中管理,实现安全策略、无线QoS策略统一下发。无线AP由POE交换机进行远程供电,提高设备部署的灵活性。POE交换机通过千兆链路连接局域网骨干,实现无线网络和有线网络的衔接。整体网络拓扑结构如下图所示:6.2.1 无线控制器根据现场的实际考察,本次网络
37、建设需部署20个无线AP。因此,无线控制器必须可管理20个以上无线AP。根据实际规划,选用适合中小型企业和分支机构提供系统级的无线功能的无线控制器。此处选择思科2500系列无线控制器,思科2500系列无线控制器支持5、15、25或50个无线接入点,具有可扩展性。同时该控制器提供了集中式安全策略、无线入侵防御系统(WIPS)功能、荣获大奖的无线射频管理以及语音和视频服务质量(QOS)。6.2.2 无线AP考虑到德赛西威研发大楼对无线网络有高稳定性和高安全性的需求,因此,在本方案中,无线AP要遵循最高级别的802.11n 性能、覆盖范围和安全性,至少能提供高达54Mbps的无线接入速度。此外,无线
38、AP要具有较高的发射功率,在使用分布式合路部署时,可以灵活方便地对大楼进行覆盖。无线AP统一工作于Fit模式,由无线控制器统一集中管理,减少管理开销。本方案中,在大楼某些办公区,由于某些办公房间为封闭区域。因此,通过在每个房间配置全向天线;AP通过射频线缆连接定向天线,实现对各个区域的无线信号覆盖。6.2.3 POE交换机由于本次无线网中AP设备数量不少,AP布放位置根据实际覆盖效果而调整,在建筑物上较难进行本地供电。因此在本方案中,无线AP全部由POE交换机进行远程供电。POE交换机采用思科2900系列POE供电交换机。具体型号为:WS-C2960-24PC-L供电交换机,配置24个百兆以太
39、网电接口和2个千兆光电复用接口,提供高密度的网络接入服务。其交换容量16Gbps,实现无线业务数据的高转发,提高网络整体性能。WS-C2960-24PC-L供电交换机支持全端口POE供电,可实现无线AP高密度接入。6.3 无线网络规划6.3.1 信号覆盖规划无线覆盖区域包括德赛西威研发大楼三层区域,对无线网络的性能和稳定性要求较高,无线AP高密度部署。为了提高无线信号质量,无线AP采用企业级芯片和优化的无线技术构建,有助于扩展无线覆盖范围,提高系统容量和性能。无线AP通过信号覆盖规划如下所示: 楼层放置点覆盖区域AP数量一楼部门经理左外墙部门经理室及周边1KM部门经理外墙KM部门经理及周边1背
40、景墙前台区域1会议室会议室及周边1改装车库外墙改装车库周边1PMD部门经理外墙PMD部门经理及外墙1二楼左边工作间工作间及周围1左部门经理外墙部门经理及周边1BU总经理室外墙BU总经理室及周边1左办公区左办公区1样机房样机房及周边1右工作间右工作间及周边1右部门经理外墙右部门经理周边1三楼左测试房外墙左测试房及周边1左办公区左办公区1暗房外墙暗房及周边1会议室会议室及ME工作间1PVM Bench TestPVM Bench Test周边1部门经理室外墙部门经理室及周边1右办公区右办公区1总计206.3.2 频率规划目前针对WLAN来讲,2.4G具有3具不重叠的信道,针对5.8G具有5个不重叠
41、信道。根据实际用户端对无线传输协议标准的支持程度,网络覆盖时需要对WLAN网络空间进行2.4G与5.8G频率的双重覆盖,从网络规划的角度出发,主要考虑2.4G与5.8G二个频率的覆盖设计,针对2.4G的频率的信号衰减模型主要采用如下:PathLoss(dB) = 46 +10* n*Log D(m),而对于5.8G的信号衰减模型:PathLoss(dB) = 32.4+20*lg fMHz+ 20*lgdKM +a * dKM,以上二信号衰减模型进行网络的设计,到具体网络实施时要进行工勘与优化,而对于信道主要采用1、6、11三个信道交错使用,具体的面覆盖逻辑示意图如下:6.3.3 频率复用针对
42、频率复用的设计与实现主要侧重于重叠区域,考虑到802.11技术中目前业界主要采用DCF的仲裁,这样会导致从网络实施的角度出发,没有办法做到像GSM、3G网络的控制力度,从技术原理的角度出发,没有办法实现很好的频率复用,只能被动做些负载均衡的功能。每个AP具有150Mbps、54Mbps、48Mbps、36Mbps、18Mbps等的覆盖范围,对于54Mbps的覆盖范围不重叠,对于54Mbps与18Mbps就可能进行重叠,可以根据网络侧的负载功能进行实现一定程度的频率复用功能,从网络规划的角度出发,WLAN基本上、下行无线链路复用的处理问题,因为目前都是DCF方式,而从只能结合业务目标实现网络覆盖
43、效果。6.3.4 AP容量规划从业界实现的DCF方式来看,没有一个最大用户数的限制,但业界各个厂商进行实现时都基于一定理解的前提下进行默认限制,目前每个AP单射频最大的用户默认限制为64个用户,从网络规划的角度出发,按每个AP支持30个用户进行网络规划。AP的最大净荷吞吐量为:23Mbps,用户的增加总带带下降量不大, 100kbps/用户,按128用户进行规划;300kbps/用户按64用户进行规划;1Mbps/用户按22用户进行规划; 802.11a/b/g能够接入的并发用户数量根据不同的业务要求下的用户数量,从系统能力的角度出发,可以支持64用户接入。由于802.11a或g物理带宽为54
44、M,除开无线开销,真正可用的带宽为24M,同时,802.11a/b/g采用CSMA/CA技术,接入用户数越多,无线网络的使用效率就越低。因此,建议每个AP接入用户数按30个人来计算。6.3.5 负载均衡AP上支持标准的IAPP协议框架,通过负载均衡的部署,可实现在一个热点内用户平均分配到所部署的所有AP上,达到在一个服务区AP接入用户数何流量的平衡,为用户提供更高的服务质量。具体可部署的负载均衡策略有:对所有AP设置基于用户数的负载均衡功能,AP通过对接入用户数的统计,与设定AP接入用户数量阀值比较,达到阀值后,不允许新的用户接入。对所有AP设置基于流量的负载均衡功能,AP通过对接入用户流量的
45、统计,与设定AP上流量漏桶阀值上沿比较,达到阀值后,不允许新的用户接入,少于阀值下沿,再允许新用户接入。配合网络规划,设置AP群功能,在一个群内的AP通过组播报文实时通报接入用户数量,当发现AP间用户数差值大于设定阀值,接入用户多的AP将部分用户赶下网。7. 内网安全7.1 BPDU Guard对于接入端口而言,可能临时新链接一台交换机在其下,而这可能会引起STP拓扑不必要的变化。要防止此问题,可以在接入端口激活BPDU Guard(BPDU保护)来监控是否有BPDU进入。换句话说,如果在启用了portfast的端口上收到BPDU包,那就说明网络存在问题,比如该端口和一个未经授权的设备建立连接
46、。在这种情况下,BPDU防护特性会将这个端口切换进error-disable(关闭)状态。BPDU防护特性可以对网络中的错误做出响应。想让进入error-disable状态的接口重新启用,必须手动进行配置,在服务提供商的网络环境中,BPDU防护特性也常用与防止某个access端口参与生出树协议。BPDU过滤是通过使用BPDU过滤功能,将能够防止交换机在启用了PortFast特性的接口上发送BPDU。对于配置了PortFast特性的端口,它通常连接到主机设备,因为主机不需要参与STP,所有它将丢弃所接收到的BPDU。通过使用BPDU过滤功能,将能够防止向主机设备发送不必要的BPDU。交换机支持以每个端口或者整个交换机配置BPDU过滤。如果全局配置了BPDU过滤功能,但当某个端口接收到了任何的BPDU,那么交换机将把接口更改回正常的STP操作,也就是它将禁用PortFast和BPDU过滤特性。如果在接口上明确配置了BPDU过滤功能,那么交换机将不发送任何的BPDU,并且将把接收到的所有BPDU都丢弃。注意,如果在链接到其他交换机的端口上配置了BPDU过滤,
