1.辦公網(wǎng)絡(luò)建設(shè)背景

某某的新辦公點需建立一套包含有線無線一體化業(yè)網(wǎng)絡(luò)。網(wǎng)絡(luò)承載某某局第一工程有限公司所有IT基礎(chǔ)網(wǎng)絡(luò)接入設(shè)施。對一個企業(yè)的重要性不言而喻。而且隨著用戶對于提高生產(chǎn)率、工作效率提升的重視，傳統(tǒng)的有線組網(wǎng)架構(gòu)在承擔(dān)企業(yè)新應(yīng)用上面臨著巨大的挑戰(zhàn)。

2.某某局第一工程有限公司辦公網(wǎng)絡(luò)建設(shè)分析

1.業(yè)務(wù)分析

有線網(wǎng)絡(luò)及電話線路施工布線到工位。

無線全覆蓋，無縫漫游，實現(xiàn)移動辦公。

提供穩(wěn)定安全互聯(lián)網(wǎng)接入，搭建網(wǎng)絡(luò)機房。

統(tǒng)一運維，所有設(shè)備統(tǒng)一管理，保證有線無線網(wǎng)絡(luò)穩(wěn)定、持續(xù)、安全。

2 .網(wǎng)絡(luò)安全需求

有線網(wǎng)絡(luò)高速穩(wěn)定接入，建設(shè)安全的無線網(wǎng)絡(luò)。

在出口帶寬有線的情況下，流量精細化管控，優(yōu)先保障辦公流量。

有線無線統(tǒng)一權(quán)限管控。分級分權(quán)設(shè)置網(wǎng)絡(luò)權(quán)限，保障內(nèi)網(wǎng)安全。安視交換機邊界安全，實現(xiàn)有線終端的接入安全，禁止未授權(quán)終端接入有線網(wǎng)絡(luò)。

上網(wǎng)行為管理，如員工上班期間的行為管理，禁止使用降低工作效率的應(yīng)用；訪客可以正常訪問，并且，員工不能接入訪客無線網(wǎng)絡(luò)。

對所有的上網(wǎng)行為進行審計，監(jiān)控上網(wǎng)行為。

數(shù)據(jù)安全，數(shù)據(jù)空口加密保證無線傳輸數(shù)據(jù)安全；Wi-Fi安全防釣魚，有效防范黑客釣魚Wi-Fi上網(wǎng)風(fēng)險，有效保障用戶上網(wǎng)接入安全和業(yè)務(wù)數(shù)據(jù)安全。

在出口帶寬有線的情況下，流量精細化管控，優(yōu)先保障辦公流量。用戶認證，內(nèi)部員工和訪客使用不同的安全認證方式，內(nèi)部員工使用賬號密碼接入無線網(wǎng)絡(luò)，并且對賬號和終端進行綁定，實現(xiàn)實名認證上網(wǎng)；訪客使用二維碼審核方式，短信驗證等認證方式便捷接入，實現(xiàn)訪客上網(wǎng)可溯源

3.網(wǎng)絡(luò)設(shè)計原則

在網(wǎng)絡(luò)建設(shè)項目中，我們應(yīng)該遵循以下設(shè)計原則：

?合理性、整體性原則

系統(tǒng)建設(shè)功能必須充分滿足網(wǎng)絡(luò)需求分析，這是首先前提，同時充分考慮已有資源的合理利用，避免出現(xiàn)不必要的設(shè)備資源浪費。

?超前性與實用性結(jié)合

網(wǎng)絡(luò)技術(shù)發(fā)展迅猛，如果設(shè)備缺乏先進性，設(shè)備可能很快落后甚至被淘汰，但也不能過分超前，以避免造成投資的浪費。為此，在網(wǎng)絡(luò)建設(shè)中，需注意超前性與實用性結(jié)合，確保投資有效，使之能真正發(fā)揮出相應(yīng)的作用。

?安全性與可靠性

在企業(yè)網(wǎng)絡(luò)建設(shè)中，安全性是整個網(wǎng)絡(luò)建設(shè)中的重中之重，不僅要考慮傳統(tǒng)的出口邊界安全。也要充要考慮當(dāng)前的發(fā)展形勢，大部分安全事故都是內(nèi)網(wǎng)終端缺乏有效管控導(dǎo)致，網(wǎng)絡(luò)系統(tǒng)設(shè)計需要通過各種技術(shù)確保系統(tǒng)應(yīng)用的安全性。同時，要求系統(tǒng)本身具有高度的可靠性，這樣才能保證網(wǎng)絡(luò)客戶的應(yīng)用。

可管理性

網(wǎng)絡(luò)管理是一個長期的投資，在網(wǎng)絡(luò)建設(shè)中對網(wǎng)絡(luò)可管理是一項重要的應(yīng)用原則，通過選擇易操作、設(shè)備可視化、界面友好的管理系統(tǒng)，減少日常維護費用。

可擴展性

企業(yè)網(wǎng)絡(luò)不但需要能夠滿足當(dāng)前需要，隨著后續(xù)企業(yè)規(guī)模的擴大、技術(shù)的發(fā)展，未來網(wǎng)絡(luò)需要承載更多的業(yè)務(wù)及提供更多的優(yōu)質(zhì)服務(wù)。所以，網(wǎng)絡(luò)的可擴展性是網(wǎng)絡(luò)建設(shè)中必須提前規(guī)劃的重點。

? ? ? ?3. 辦公網(wǎng)絡(luò)解決方案整體設(shè)計

? ? ? ?3.1?辦公網(wǎng)絡(luò)分層設(shè)計

3.1.1核心層規(guī)劃

核心層交換機的主要目的在于通過高速轉(zhuǎn)發(fā)通信，提供快速、可靠的骨干傳輸結(jié)構(gòu)，因此核心層交換機應(yīng)該具有如下特性：可靠性，高效性，冗余性，容錯性，可管理性，適應(yīng)性，低延時性等。

核心層交換機部署在中心機房中，匯聚各樓宇/區(qū)域之間的用戶流量，提供三層交換機功能，必須能夠提供高速數(shù)據(jù)交換和路由快速收斂，要求具有較高的可靠性、穩(wěn)定性和易擴展性等。

3.1.2接入層規(guī)劃

接入層為用戶提供了在本地網(wǎng)段訪問應(yīng)用系統(tǒng)的能力，主要解決相鄰用戶之間的互訪需求，并且為這些訪問提供足夠的帶寬。在大中型網(wǎng)絡(luò)里接入層還應(yīng)當(dāng)適當(dāng)負責(zé)一些用戶管理功能(如地址認證、用戶認證、計費管理等)，以及用戶信息收集工作(如用戶的IP地址、MAC地址、訪問日志等)。因此接入層交換機往往具有高端口密度和變動大等特性，通常建議使用較為靈活的設(shè)備。

接入層交換機通常是部署在樓層弱電間的機柜里，負責(zé)接入用戶終端的直接高速接入，這里通常部署一些弱三層層設(shè)備即可，除了能夠提供豐富的二層交換機的功能之外，又能提供簡單的三層功能滿足業(yè)務(wù)安全的需要（例如QOS/ACL等），降低網(wǎng)絡(luò)設(shè)備部署成本。考慮到企業(yè)辦公辦公網(wǎng)絡(luò)高速帶寬的需求，接入層交換機需要提供靈活的GE上聯(lián)接口，能夠支持更多的終端接入網(wǎng)絡(luò)，同時上聯(lián)到匯聚交換機。

接入層是直接接入用戶的終端，提供各種接入方式，這里通常部署一些弱三層層設(shè)備即可，除了能夠提供豐富的二層交換機的功能之外，又能提供簡單的三層功能滿足業(yè)務(wù)安全的需要（例如QOS/ACL等），降低網(wǎng)絡(luò)設(shè)備部署成本。接入層交換機一般需要提供高密度的GE接口，能夠支持更多的終端接入有線網(wǎng)絡(luò)。

3.1.3 互聯(lián)網(wǎng)邊界

網(wǎng)絡(luò)邊界防御分為兩個部分：網(wǎng)絡(luò)出口邊界防御、網(wǎng)絡(luò)內(nèi)部邊界防御。企業(yè)辦公出口連接Internet，地域分支接入和應(yīng)用發(fā)布，外部網(wǎng)路尤其Internet網(wǎng)絡(luò)，是各種攻擊行為、病毒傳播、安全事件引入的風(fēng)險點，通過在出口部署高性能防火墻設(shè)備，可以很好的緩解風(fēng)險的傳播，阻擋來自Internet/外部網(wǎng)絡(luò)攻擊行為的發(fā)生。企業(yè)辦公外網(wǎng)出口位置部署的獨立防火墻設(shè)備，需要滿足高性能、高可靠、高安全的要求，是網(wǎng)絡(luò)的第一道安全屏障。

? ? ?4.1 統(tǒng)一運維設(shè)計

? ? ?4.1.1網(wǎng)絡(luò)運維管理設(shè)計

????運維與企業(yè)IT息息相關(guān)，在企業(yè)信息化網(wǎng)絡(luò)建設(shè)中，通過成熟可靠的第三方運維工具，可以大幅度提升運維效率，減輕IT運維工作量，幫助企業(yè)IT工作事半功倍。隨著客戶網(wǎng)絡(luò)上部署的業(yè)務(wù)應(yīng)用越來越多，這給日常運維網(wǎng)絡(luò)的IT工作人員而言，不僅維護工作繁瑣，而且工作量也大。運維工作量包括監(jiān)控性能、查看資源、統(tǒng)一配置、故障告警。

????通過NAC控制器可以實現(xiàn)有線網(wǎng)、無線網(wǎng)，在統(tǒng)一平臺上進行運維，在保障運維效率的同時，降低企業(yè)用戶的前期投入成本。

? ? ?4.1.2 可視化管控

????針對企業(yè)辦公網(wǎng)絡(luò)場景，運維管理系統(tǒng)提供精準(zhǔn)到設(shè)備界面可視化管控，無論設(shè)備是部署在公網(wǎng)、私網(wǎng)，只需網(wǎng)絡(luò)可達都能夠通過NAC控制器統(tǒng)一納管。同時設(shè)備的所有配置（ACL、IP、Qos、DHCP、虛擬化等配置）操作均可在Web界面可視化完成。

4.1.3 網(wǎng)絡(luò)質(zhì)量分析

網(wǎng)絡(luò)使用情況，是每個網(wǎng)絡(luò)管理員日常都需要查看的。例如：設(shè)備在線情況、設(shè)備芯片資源使用情況、網(wǎng)絡(luò)質(zhì)量，讓管理員可視化時刻看到網(wǎng)絡(luò)運行情況。

? ? ? ? ?4.2 無線運維管理設(shè)計

? ? ? ? ?建設(shè)后的全院無線網(wǎng)絡(luò)應(yīng)具備良好的監(jiān)控管理功能，實現(xiàn)統(tǒng)一的網(wǎng)絡(luò)管理。力求降低復(fù)雜程度，提升網(wǎng)絡(luò)管理的效率。

? ? ? ? ?4.2.1.高度集中管理設(shè)計

?AP安裝前無需對設(shè)備進行任何配置，部署完成后由網(wǎng)絡(luò)控制器統(tǒng)一下發(fā)配置，極大的減少實施和維護的工作量及成本。設(shè)備后期維護中，通過統(tǒng)一管理平臺內(nèi)置的圖形化熱點分析界面，可有效查找到問題點，輕松完成維護工作。

?通過對部署在覆蓋目標(biāo)的AP進行分組管理，比如按照建筑物劃分管理組，方便IT管理員管理運維。同時，IT管理員可在控制器上可統(tǒng)一查看所有AP的運行情況（如AP接入用戶、AP帶寬使用情況、設(shè)備利用率、AP在線情況等），當(dāng)AP設(shè)備出現(xiàn)異常或故障時，會出現(xiàn)告警事件，幫助IT管理員及時排除問題。同時支持交換機和物聯(lián)網(wǎng)的統(tǒng)一管理，真正實現(xiàn)高度集中管理。

4.2.2.分權(quán)分級管理設(shè)計

為方便后期網(wǎng)絡(luò)專人管理，支持配置多個管理員角色，可靈活的、精細的控制每個管理員的管理權(quán)限，方便網(wǎng)絡(luò)的維護管理。區(qū)分超級管理員和分權(quán)管理員，不同的普通管理員可以是不同的管理權(quán)限，可保障網(wǎng)絡(luò)故障的快速鎖定和高效運維。

4.2.3. AP零配置上線

所有無線AP的配置統(tǒng)一在網(wǎng)絡(luò)控制器上配置，部署簡單，配置簡易，實現(xiàn)用戶零學(xué)習(xí)成本。配置支持自動以及手工備份和還原，雙重保證無線AP的24小時不間斷運行。

? ? ? ?4.2.4.可視化熱點地圖

由于無線設(shè)備大量部署在分散樓層，運維人員將面臨著復(fù)雜的設(shè)備管理問題。因此，需要強大的可視化的熱點地圖，通過地圖展示可有效地幫助網(wǎng)絡(luò)管理人員快速地分析和掌握設(shè)備的實時運行狀態(tài)和負載情況。該特性以地圖式的展現(xiàn)方式，分層管理設(shè)備，以掌握設(shè)備的實時運行狀態(tài)。

熱點圖還提供人流密度分析、用戶位置的搜索快速定位、安全事件等機制，幫助網(wǎng)管更好地管理無線網(wǎng)絡(luò)，服務(wù)于企業(yè)辦公員工。