新闻中心 
xxx网络建设方案doc
2024-10-17
浏览次数:
次
返回列表本次项目针对XXX办公网络进行改造建设,以达到加强核心数据安全、网络稳定可靠、员工上网行为审计的目的。
以下一代防火墙(NGAF)作为网关设备,对内网用户进行安全防护。其功能包括:NAT、路由、访问控制ACL、IPSecVPN、DDoS、会话控制、用户认证、流控、双机,URL过滤,邮件安全(不含附件杀毒),IPS入侵防护,僵尸网络检测(含云端沙盒检测),风险分析,威胁情报,Web安全防护(WAF)、Web扫描、网页防篡改,实时漏洞分析、敏感信息防泄漏,DOS/DDOS防护,病毒查杀(AV病毒库)。
上网行为管理设备接入主干网络,对网络内所有用户的上网行为进行统一审计管理,根据用户不同的等级,可划分不同等级的上网行为审计策略。其功能包括:用户身份识别认证(本地认证、第三方认证、透明认证、新用户认证);全面的网络应用识别(应用识别、应用授权、应用控制、WEB应用等);流量控制(根据不同等级、不同时间段精细化流量控制;父子通道、虚拟通道、多线路流控、合理流控);行为审计(邮件传收发加密过滤审计:可审计邮件内容、附件保存、附件内容敏感词过滤等;文件传输审计:HTTP、FTP、Email)
以桌面虚拟化产品代替传统PC,公司所有数据不落本地,全部存储在数据服务器,做准入准出策略,保障数据安全;减少管理员工作负担及运维成本,提升工作效率;满足员工移动办公需求,通过账号密码认证随时随地访问自己办公桌面;减少耗电成本,为公司节省电费。
计算机网络系统设计必须要求按照统一规划、统一标准的原则,总体设计,提供一个技术先进、结构合理、安全可靠的综合网络平台,为网络信息的快速传递和各类应用系统建设提供有力保障。在设计网络时,需要遵循以下原则:
采用先进成熟的技术满足各类业务需求,兼顾其他相关的管理需求,尽可能采用先进的网络技术以适应更高的数据传输需要,使整个系统在相当一段时期内保持技术的先进性,以适应未来信息化的发展的需要。
为保证各项业务应用,网络必须具有高可靠性,尽量避免系统的单点故障。要对网络结构、网络设备、服务器设备等各个方面进行高可靠性的设计和建设。在采用硬件备份、冗余等可靠性技术的基础上,采用相关的软件技术提供较强的管理机制、控制手段和事故监控与网络安全保密等技术措施提高整个网络系统的安全可靠性。
计算机网络系统是一个不断发展的系统,所以它必须具有良好的灵活性和可扩展性,能够根据会展中心不断深入发展的需要,方便的扩展网络覆盖范围、扩大网络容量和提高网络的各层次节点的功能。具备支持多种通信媒体、多种物理接口的能力,提供技术升级、设备更新的灵活性。
具备与多种协议计算机通信网络互连互通的特性,确保本计算机网络系统的基础设施的作用可以充分的发挥。在结构上真正实现开放,基于开放式标准,包括各种局域网、广域网、计算机等,坚持统一规范的原则,从而为未来的发展奠定基础。
应以较高的性能价格比构建本计算机网络系统,使资金的产出投入比达到最大值。能以较低的成本、较少的人员投入来维持系统运转,提供高效能与高效益。尽可能保留延长已有系统的投资,充分利用以往在资金与技术方面的投入。
由于系统本身具有一定复杂性,随着业务的不断发展,网络管理的任务必定会日益繁重。所以网络设备必须采用智能化,可管理的设备提高网络的运行性能、可靠性,简化网络的维护工作,从而为办公、管理提供最有力的保障。
以下一代防火墙做网关,对整体网络用户及服务器进行安全防护;上网行为管理接入主干网络,对网络内用户的上网行为进行统一管理、审计;核心交换机处理网络内所有数据交换、IP及VLAN管理;接入交换机集中对用户数据统一传输管理;桌面云服务器对所有数据集中存储管理,并对客户端进行统一分配、下发、授权;客户端为用户操作端,操作体验与传统PC相似,并可进行移动办公。
缺点:传统型网络架构,常见办公网络拓扑。当网络内公网线路或主干线路设备出现问题时,网络随即中断,业务系统受到影响。
整体网络兼容方案一的优势,多运营商网络接入,通过应用交付(负载均衡)设备进行链路负载,主干网络设备均以主备模式接入网络,当主干网络设备出现问题后,直接自动切换到备机设备,保障业务不中断。
深信服下一代防火墙(Next-GenerationApplicationFirewall)NGAF是面向应用层设计,能够精确识别用户、应用和内容,具备完整安全防护能力,能够全面替代传统防火墙,并具有强劲应用层处理能力的全新网络安全设备。NGAF解决了传统安全设备在应用识别、访问控制、内容安全防护等方面的不足,同时开启所有功能后性能不会大幅下降。作为传统防火墙的升级替代产品,深信服NGAF不同于工作在L2-L4层的传统防火墙,可以对全网流量进行双向深入数据内容层面的全面透析。在安全策略制定方面,区域别于传统防火墙五元组安全策略,深信服NGAF可对L2-L7层更多的元素(如,用户、应用类型、URL、数据内容等)制定双向的安全访问策略,使安全策略更精细、更有效,且满足业务的合规性;在安全防护能力方面,提升了传统的抗攻击的能力,不仅能防护网络层的攻击,针对来源更广泛、攻击更容易、危害更大的应用层攻击也可以进行防护,实现L2-L7层的安全防护。同时,深信服NGAF采用全新的软硬件架构,减小在多种复杂的安全策略和L2-L7层多功能防护功能全部开启时性能的消耗,实现应用层高性能。
实时提供CPU、内存、磁盘占用率、会话数、在线用户数、网络接口等设备资源信息;提供安全事件信息,包括最近安全事件、服务器安全事件、终端安全事件等,事件信息提供发生事件、源IP、目的IP、攻击类型以及攻击的URL等;提供实时智能模块间联动封锁的源IP以便实现动态智能安全管理;
支持ARP代理、静态ARP绑定,配置DNS及DNS代理、支持DHCP中继、DHCP服务器、DHCP客户端;支持SNMPv1,v2,v3,支持SNMPTrap;支持静态路由、RIPv1/2、OSPF、策略路由;支持链路探测,端口聚合,接口联动;
提供静态的包过滤和动态包过滤功能;支持的应用层报文过滤,包括:应用层协议:FTP、HTTP、SMTP、RTSP、H.323(Q.931,H.245,RTP/RTCP)、SQLNET、MMS、PPTP等;传输层协议:TCP、UDP;
支持多个内部地址映射到同一个公网地址、多个内部地址映射到多个公网地址、内部地址到公网地址一一映射、源地址和目的地址同时转换、外部网络主机访问内部服务器、支持DNS映射功能;可配置支持地址转换的有效时间;支持多种NATALG,包括DNS、FTP、H.323、SIP等
支持AES、DES、3DES、MD5、SHA1、DH、RC4等算法,并且支持扩展国密办SCB2等其他加密算法支持MD5及SHA-1验证算法;支持各种NAT网络环境下的VPN组网;支持第三方标准IPSecVPN进行对接;*总部与分支有多条线路,可在线路间一一进行IPSecVPN隧道建立,并设置主隧道及备份隧道,对主隧道可进行带宽叠加、按包或会话进行流量平均分配,主隧道断开备份隧道自动启用,保证IPSecVPN连接不中断;可为每一分支单独设置不同的多线路策略;单臂部署下同样支持多线路策略;
支持对1000种以上应用、2500种以上应用动作,可以识别P2P、IM、OA办公应用、数据库应用、ERP应用、软件升级应用、木马外联、炒股软件、视频应用、代理软件、网银等协议;支持自定义规则;提供基于应用识别类型、用户名、接口、安全域、IP地址、端口、时间进行应用访问控制列表的制定;
内置超过60万的病毒,木马,间谍软件等恶意软件特征库,并且在不断的持续更新特征内容;支持通过安全云实现虚拟沙盒动态检测技术。可检测未知威胁在沙盒中对注册表、文件系统等的修改,通过云端联动的方式快速更新到各节点设备中,可实现快速统一的防护未知攻击;支持异常流量检测功能,能够区分正常业务流量和潜藏在其中的危险流量。能够有效区分RDP、SSH、IMAP、SMTP、POP3、FTP、DNS、HTTP等WEB服务器上常见应用流量中的危险流量,也能对常规应用运行在非标准端口的为进行预警;
微软“MAPP”计划会员,漏洞特征库:3900+并获得CVE“兼容性认证证书”,能够自动或者手动升级;防护类型包括蠕虫/木马/后门/DoS/DDoS攻击探测/扫描/间谍软件/利用漏洞的攻击/缓冲区溢出攻击/协议异常/IPS逃逸攻击等;防护对象分为保护服务器和保护客户端两大类,便于策略部署;漏洞详细信息显示:漏洞ID、漏洞名称、漏洞描述、攻击对象、危险等级、参考信息、地址等内容;支持自动拦截、记录日志、上传灰度威胁到“云端”;
支持Web攻击特征数3000+;支持Web网站隐藏,包括HTTP响应报文头出错页面的过滤,Web响应报文头可自定义;支持FTP服务应用信息隐藏包括:服务器信息、软件版本信息等;支持OWASP定义10大web安全威胁,保护服务器免受基于Web应用的攻击,如SQL注入防护、XSS攻击防护、CSRF攻击防护;支持Web站点防扫描;可严格控制上传文件类型,支持识别PHP,JSP,ASP脚本编写的Webshell脚本文件上传;支持对常见Web内容管理系统的防护,如dedecms,phpcms,phpwind,discuz,wordpress,joomla等;
支持对常见应用服务器和数据库软件,如HTTP,FTP,SSH,SMTP,IMAP,MySQL,Oracle,MSSQL等的口令暴力破解防护功能;
内置常见敏感信息的特征,如身份证信息、MD5、手机号码、银行卡号、邮箱等,并可自定义具有特殊特征的敏感信息;支持正常访问http连接中非法敏感信息的外泄防护;支持数据库文件敏感信息检测,防止数据库文件被“拖库”、“暴库”;
支持服务器、客户端的漏洞风险评估功能,支持对目标IP进行端口、服务扫描;支持ftp、mysql、oracle、mssql、ssh、RDP、网上邻居NetBIOS、VNC等多种应用的弱口令评估与扫描;支持SQL注入,SQL盲注,跨站脚本攻击(XSS),跨站请求伪造(CSRF),操作系统命令,本地文件包含,远程文件包含,暴力破解,弱密码登录,XPATH注入,LDAP注入,服务器端包含(SSI)等丰富的Web应用服务漏洞检测;风险评估可以实现与FW、IPS、服务器防护模块的智能策略联动,自动生成策略;
支持对经过设备的流量被动进行分析,分析内容包括底层软件漏洞分析,Web应用风险分析,Web不安全配置检测以及服务器弱密码检测,并实时生成分析报告。具备单独的针对服务器安全风险和潜在威胁的特征识别库;
提供基于用户/业务的综合风险报表,统计维度为用户和业务而非IP地址;根据网络风险状况提供优、良、中、差评级;攻击统计提供所有检测攻击数和有效攻击数两个维度;报表内容呈现主动扫描的漏洞分布情况,匹配攻击日志输出已被攻击的漏洞数和发现的所有漏洞数的统计报表;业务安全报表提供攻击分析、漏洞评估、业务系统漏洞详情等信息;用户安全报表提供遭攻击最多的用户详情、异常连接用户详情等信息;安全风险类型汇总基于业务系统遭受攻击类型、业务系统存在最多漏洞类型、用户遭受最多威胁类型进行统计;
网关型网页防篡改,无需在服务器中安装任何插件;支持文件比对、特征码比对、网站元素、数字指纹比对多种比对方式,保证网站安全;全面保护网站的静态网页和动态网页,支持网页的自动发布、篡改检测、应用保护、警告和自动恢复,保证传输、鉴别、地址访问、表单提交、审计等各个环节的安全,完全实时杜绝篡改后的网页被访问的可能性及任何使用Web方式对后台数据库的篡改;支持各级页面模糊框架匹配、精确匹配的方式适用不同的网页类型;支持提供管理员业务操作界面与网管管理界面分离功能,方便业务人员更新网站内容;支持通过替换、重定向等技术手段,防护篡改页面;网站维护管理员必须通过短信认证才可进行网站更新业务操作(选配);支持短信报警、邮件报警、控制台报警等多种篡改报警方式;
支持基于流引擎查毒技术,可以针对HTTP、FTP、SMTP、POP3等协议进行查杀;能实时查杀大量文件型、网络型和混合型等各类病毒;并采用新一代虚拟脱壳和行为判断技术,准确查杀各种变种病毒、未知病毒;内置10万条以上的病毒库,并且可以自动或者手动升级;检测到病毒后支持记录日志、阻断连接;
对用户web行为进行过滤,保护用户免受攻击;支持只过滤HTTPGET、HTTPPOST、HTTPS等应用行为;并进行阻断和记录日志;支持针对上传、下载等操作进行文件过滤;支持自定义文件类型进行过滤;支持基于时间表的策略制定;支持的处理动作包括:阻断和记录日志
支持将多条外网线路虚拟映射到设备上,实现对多线路的分别流控;支持基于应用类型、网站类型、文件类型的带宽划分与分配;支持时间和IP的带宽划分与分配;
支持基于用户名/密码、单点登陆以及基于IP地址、MAC地址、计算机名的识别等多种认证方式;支持AD域结合、Proxy、POP3、web表单等多种单点登陆方式,简化用户操作;*可强制指定用户、指定IP段的用户必须使用单点登录;支持添加到指定本地组、临时账号和不允许新用户认证等新用户认证策略;支持强制AD域认证,指定用户必须用AD域账户登录操作系统,否则禁止上网;认证成功的用户支持页面跳转,包括最近请求页面、管理员制定URL、注销页面等;支持CSV格式文件导入、扫描导入和从外部LDAP服务器上导入等账户导入方式;用户分组支持树形结构,支持父组、子组、组内套组等组织结构;
支持管理员页面、管理后台的短信强认证机制,要求至少提供URL、telnet、ssh三种方式的短信认证
网管管理员具备安全管理员,审计员和系统管理员三种权限,安全管理员默认只允许安全策略和安全日志的查看和编辑权限;审计员默认只开放数据中心日志的查看和编辑权限,不具备设备的管理权限;系统管理员默认具备除安全功能外的其他系统管理权限,不具备设备的日志查看权限;支持SSL加密WEB方式管理设备;支持邮件、短信(可扩展)等告警方式,可提供管理员登录、病毒、IPS、web攻击以及日志存储空间不足等告警设置;提供图形化排障工具,便于管理员排查策略错误等故障;提供路由、网桥、旁路等部署模式的配置引导,提供保护服务器、保护内网用户上网安全、保证内网用户上网带宽、保证遭到攻击及时提醒和保留证据等网关应用场景的配置引导,简化管理员配置;
能够自定义时间段查询DOS攻击、web防护、IPS、病毒、web威胁、网站访问、应用控制、用户登录、系统操作等多种安全日志查询;提供可定义时间内安全趋势分析报表;支持自定义统计指定IP/用户组/用户/应用在指定时间段内的服务器安全风险、终端安全风险等内容,并形成报表;支持将统计/趋势等报表自动发送到指定邮箱;支持导出安全统计/趋势等报表,包括网页、PDF等格式;
支持全网集中管控,提供独立外置数据中心软件,实时汇总收集分支设备的安全日志,并在外置数据中心集中展现全网所有安全设备的安全状态,包括安全等级,攻击趋势,最近有效事件,用户安全,服务器安全情况以及攻击来源,实现数据的实时汇总,统一分析和统一展现;
当访客连接贵公司的网络时,会弹出是否关注本公司微信账号,访客关注后可自动连接上网(安卓系统)。由于腾讯经常性关闭某些应用端口,微信认证方式相对其他认证方式不是很稳定。
当访客需要上网时,连接无线网络后会弹出二维码认证方式,公司有权限人员可以扫一扫客户的二维码,客户就可以连接上网了。
当访客连接贵公司的网络时,提示需要输入手机号。短信认证是目前公共上网场所上网中使用最方便的认证方式,且大多手机号已经实现实名制,可确定客户的唯一身份。同时无线系统抓取用户的手机后,通过关联分析后,可以基于短信进行个性化的内容推送。
每个网络设备终端都有一个MAC地址用于局域网的通信,为了保证用户账号的安全性,当用户第一次使用终端登录成功后,就把用户名和MAC地址绑定起来,实现一对一对应。后续当此用户(MAC)来到本公司自动连接到WLAN网络后,即使没有进行认证,贵公司也能知道该用户的到来,从而给该用户的手机推送相关短信,提升用户粘性和购买转化率。
MAC名单分为白名单和黑名单,白名单即用户第一次登录成功,系统记录的MAC地址,及管理员手动添加的MAC地址。黑名单是无线控制器在检测到一些具有攻击行为的设别以后,把其MAC地址记录下来,从而拒绝使用此MAC地址进行连接的设备,从而达到拒绝非法攻击的设备进行连接的效果。
Portal在英语中是入口的意思。Portal认证通常也称为Web认证,一般将Portal认证网站称为门户网站。未认证用户上网时,设备强制用户登录到特定门户站点,必须在门户站点进行认证,只有认证通过后才可以使用互联网资源。Portal认证支持用户账号存储WAC的本地用户,并且在支持第三方的认证服务器:RADIUS服务器和LDAP服务器。
同时支持Portal认证页面自定义,基于不同的门店进行选择性的页面推送。
保护无线链路数据的私密性,是所有无线网络均需要面对的挑战。与有线网络不同,只要持有适当的接收设备,任何人均可以被动监听帧且加以分析。
为了避免数据沦落到“不对的”人手中,必须对数据进行加密,防止数据被攻击者取得。WLAN提供了一系列的加密协议,只允许拥有密钥的授权用户访问数据,同时确保数据在传输过程中未遭篡改。
加密方式:WAC支持1、临时密钥完整性协议(TKIP);2、计数器模式密码块链消息完整码协议(CCMP)。
NAC提供授权管理功能分为:身份授权、与外部认证服务器结合、数字证书,以保障用户的身份信息管理安全。
同时,管理用户身份信息之后,授权访问含访问控制策略及流量管理功能以保障良好网络的安全性及网络性能。同时,WAC提供实时AD查询和用户名MAC自动绑定功能,进一步加强安全和便利性。
无线入侵检测,即WIDS。802.11网络很容易受到各种网络威胁的影响,如未经授权的AP用户、Ad-hoc网络、拒绝服务型攻击等。Rogue设备对于企业网络安全来说是一个很严重的威胁。WIDS(WirelessIntrusionDetectionSystem)用于对有恶意的用户攻击和入侵无线网络进行早期检测。
同时对于DOS攻击,通过动态黑名单进行隔离。当发现某个终端对系统网络发起恶意攻击,可以把它添加到黑名单中,从而实现隔离。
当部署的AP功率太大会干扰到周围的其他无线设备,同时浪费电能和增加辐射;
当AP功率太小则会造成距离较远的终端接收困难,造成丢包,当丢包到达一定阈值,也即确定了AP的覆盖范围。即太小的功率减小了AP的覆盖范围;
由于无线射频环境是动态变化的,WAC对无线射频环境进行实时监控,如果星空体育 星空体育平台出现变化,就会对AP进行功率调整。同时,支持自动调整和立即调整功能。
自动调整:设置自动调整时间段,在此段时间,收集AP上报的调整信息,每隔一段时间(默认10分钟)进行调整。
立即调整:触发各AP立即上报调整信息,从而马上做出调整,从而改善射频环境。一般用于调整时段外,有立即调整需求的场景:如AP上下线、信道优化
信道优化即信道调整,在2.4GHz频段中,不重叠的信道只有三个:1,6,11。相同信道的干扰会造成同频干扰,重叠的不同信道之间的干扰会造成邻频干扰。信道之间的干扰很容易产生,所以信道调整功能必不可少。
根据AP当前的负载情况及其他条件(如:最大用户数,当前吞吐量等),控制终端的接入,达到无线网络负载均衡,提高网络吞吐量和服务质量的目的。终端请求接入某个AP,WAC根据该AP与邻居AP的负载,决定是否允许新的客户端接入,终端可自动连接其他空闲AP,达到负载分担的效果。
针对干扰的无线网络环境,采用信锐独有的单边加速技术,客户端无需安装任何插件,只需在WAC开启单边加速功能,通过改善TCP算法,无线网络的传输速度就能够提升200%。有效解决无线网络由于干扰导致的无线传输速率低、丢包等网络质量问题。
网络发展日新月异,随着无线网络上新应用的不断出现,无线网络的提速,对无线网络的服务质量也提出了新的要求,例如需要实现无线用户不同等级的流量速率限制。为了支持具有不同用户等级需求的流量速率限制业务,要求网络能够区分出不同的用户等级,进而为之提供相应的服务。传统无线网络的尽力服务不可能识别和区分出网络中的不同用户,所以说传统网络的尽力服务模式已不能满足应用的需要。
WAC平台的QoS在单用户流量限制方面成功实施针对用户为单元的流量限制,提供了丰富的特性集合,并以一种有效而现实的方式来为实现单用户流量限制提供满意的端到端QoS保证,同时还充分考虑到整个网络的性能,考虑承载级QoS架构所需的可扩展性、可靠性、可操作性和可管理性,并为这些问题提供统一解决方案。
802.11网络提供了基于竞争的无线接入服务,但是不同的应用需求对于网络的要求是不同的,而原始的网络不能为不同的应用提供不同质量的接入服务,所以已经不能满足实际应用的需要。IEEE802.11e为基于802.11协议的WLAN体系添加了QoS特性,WAC支持基于IEEE802.11e标准的语音视频应用优先处理能力。保障视频和语音等带宽要求比较高的应用体验。
基于统一的QoS管理架构,能够灵活支持多种主流厂商的芯片硬件,充分利用不同硬件的QoS特性,为用户提供丰富的接入层、汇聚层和骨干层的QoS特性。
AP与AC直连组网,多个AP连接在同一个VLAN内,终端在不同的AP间切换时,始终在一个VLAN子网内,且业务VLAN是跟用户VLAN授权信息一致的,保证业务不中断。
三层漫游也叫跨vlan漫游。随着无线网络的发展,越来越多的人开始使用WLAN。由于AP覆盖范围有限,往往在不同楼层会部署多台AP,同时AP在不同的VLAN内。此时,如果用户在无线网络的覆盖区域内从某一个楼层漫游到另外一个楼层时,就会导致业务中断,严重影响用户体验。
在这样的背景下,三层漫游(跨VLAN漫游)应运而生,它使用户在不同VLAN间漫游时,依旧保持用户的VLAN为初始VLAN,从而保证用户在不同VLAN间漫游而业务不中断。
信锐结合自身的技术优势以及高性能转发平台,采用完全自主的私有隧道协议。通过TCP封装的方式保证WLAN网络性能,提高转发效率。同时,私有协议支持,有效保障用户业务数据的安全性。
1.控制隧道采用TCP通信的方式独立封装。一定程度避免了其他协议由于采用UDP传送报文导致的控制信息丢失而增加额外的信息确认机制造成的性能消耗;
2.数据隧道采用独立设计的头部,额外包含了用户部分授权信息,节省了部分解隧道后用户报文寻路转发效率;
传统WAC/瘦AP架构所采用的单纯集中式转发,要求用户的所有流量均通过WAC进行处理,对WAC性能要求比较高,同时也对WAC和AP之间的网络带宽造成压力。尤其是在802.11n技术逐渐成熟,无线接入点的处理能力越来越强的背景下,单一的集中式转发往往不能满足无线数据高速处理的要求。
为了适应无线网络高带宽化的发展趋势,信锐WAC/瘦AP架构在支持集中转发的同时也支持本地转发技术,以WAC/瘦AP架构为基础,实现无线数据在AP本地的转发,突破了传统集中式转发的性能瓶颈。
热点分析就是对这些无线热点进行统计分析得到报告。WAC可对管理的AP直观的查看实时状态:繁忙、空闲、信号质量等。
信号质量的好坏直接影响用户体验,通过热点分析可以找出信号质量差的无线接入点。
如某个无线接入点信号质量差,从列表中可以得知哪个原因引起的。如果误码率过高,导致有效吞吐量上不去,可以检查该AP的功率设置是否过大或过小;如果信道利用率过高,可以尝试开启信道自动调整功能解决,或者手动设置到其他信道;如果噪声值过高,可以检查该AP周围是否有其他无线设备影响导致,如蓝牙发射器,微波炉,无绳电线、图形化状态显示
通过web界面,管理员可清晰直观的查看基于接入点状态、无线网络状态、在线用户的状态、设备运行状态:
将用户管理、应用流控、射频优化、应用识别、单边加速、图形化管理等组件进行整合,解决因为考虑成本投入,无法构建完善的WLAN的困扰。
针对门店这种用户密度大的场所,传统单台AP承载能力往往捉襟见肘。无线接入点应用最新信锐硬件平台和操作系统,相较于普通无线接入点,接入用户数提升一倍以上。双频AP可以接60多用户。
支持集中转发和本地转发模式,在门店访客数据流建议本地转发模式,可将无线网络的管理流和业务流分开,减少由于集中转发带来的负载压力,有效的节约有线章工程设计
WLAN无线局域网的网络工程设计主要包括:频率规划、覆盖规划、链路预算和容量规划等四个方面。
基于IEEE802.11系列标准的WiFi拥有2.4GHz和5GHz两个频段,其中2.4GHz频段可选信道有14个,每个信道带宽为22MHz,只有3个信道相互之间无干扰,我国选用1、6、11等三个信道;5GHz频段可选信道为27个,我国选用149、153、157、161及165等五个信道。
在WLAN的工程部署中,往往需要多个AP,如果不同的AP工作在相同的频道,就可能形成同频干扰。为保证频道之间不相互干扰,在多个频道同时工作的情况下,就要求两个频道的中心频率间隔不能低于25MHz。为了扩大覆盖范围和提高频谱利用率,WLAN也需要引入蜂窝结构,对于1、6和11三个信道交错使用,具体的覆盖示意图如下:
由于室内传播环境的复杂性,目前还没有成熟的规划工具可以精确的预测出室内覆盖的情况。另外室内覆盖使用的传播模型相对简单,在实际应用的各种场景需要进行适当的修正、调整以便更准确的进行覆盖预测。
根据方案设计和天线布设的原则将模拟信号源架设好,利用场强测试设备进行信号覆盖情况的测试。主要目的:确定该建筑信号传播特点、确定合适的天线、室内系统勘测
通过现场勘测确定站点的基本情况,了解建筑周围的传播环境,以明确选用何种部署方式(室内放装、室内分布)。各区域的用途,帮助工程师确定容量、覆盖和业务质量要求,避免图上作业的局限。站点勘测可以帮助确定AP、天线安装位置,以及走线路由。
根据勘查计划,进行站点无线勘测。勘测过程中需要记录以下信息:周围无线传播环境条件(照片)、建筑空间分割等的现场查看,可能的AP安装位置位置,弱电井可能走线位置。
另外勘测中需要询问各空间的用途,判断话务类型、高峰时间。另外注意电梯、出入口人员移动路线。帮助确定容量、切换区的设置。
覆盖预测过程和无线站址勘测过程是紧密关联的。在网络规划过程中,覆盖预测通常并不是一次就可以达到网络规划目标,需要进行若干次的反复调整。预测的主要内容包括:输入数据采集,预测工作,预测报告。
一般地,在WLAN工程部署中,要求重点覆盖区域内的WLAN信号到达用户终端的电平不低于-75dBm。
Pl[dB]为路径损耗(包括空间传播损耗、馈线传播损耗、墙体/玻璃阻挡损耗);
实际部署中终端天线增益不可知,为方便计算常忽略接收天线增益,而采用如下公式:
AP到天线间的馈线损耗:适用于室内分布式部署,在室外部署时如果馈线过长也需考虑
WLAN信号的空间损耗:适用于所有部署方式,根据电磁波空间衰减公式计算。
根据WLAN覆盖边缘场强的要求,到达终端用户的信号电平不低于-75dBm,500mWAP的输出电平27dBm,天线+9-94=-58dBm,大于-75dBm,
WLAN的AP设备允许多个用户同时接入,但如果接入用户数目过多,会导致用户体验下降,因此建议一般每个单
IP地址是被用来唯一地标识网络中主机及设备位置的一个属性,是IP报文转发及寻址的依据。IP地址也是最重要的网络资源之一。
IP地址的分配及规划,直接关系着网络的建设及维护工作量,同时也会影响电子业务应用的开展。所以,必须对IP规划给予足够的重视。
IP地址空间的分配,要与网络层次结构相适应,既要有效地利用地址空间,又要体现出网络的可扩展性和灵活性,同时能满足路由协议的要求,提高路由算法的效率,加快路由变化的收敛速度。满足这些要求的IP地址分配技术有:可变长子网掩码技术(VLSM?Variable-LengthSubnetMask)和路径叠合(汇聚)技术(RouteSummarization)。
1连续性:IP地址分配要尽量分配连续的IP地址空间;相同的业务和功能尽量分配连续的IP地址空间,有利于路由聚合以及安全控制;
2可扩充性:IP地址分配处理要考虑到连续外,又要能做到具有可扩充性,并为将来的网络扩展预留一定的地址空间;
3IP地址的分配必须采用VLSM技术,保证IP地址的利用率;采用CIDR技术,可减小路由器路由表的大小,加快路由器路由的收敛速度,也可以减小网络中广播的路由信息的大小;
4在公有地址有保证的前提下,尽量使用公有地址,主要包括设备loopback地址、设备间互连地址。
为了利于整个网络的统一管理及各种应用(如不同部门之间共享部分网络资源)的顺利开展。建议在对整个网络的IP地址进行统一规划,并在此前提下,兼顾已有网络,以减少对原有各部门网络的影响。
IP地址的管理和分配采用动态及静态结合的方式。普通用户的IP地址由DHCP服务器动态分配;服务器,设备管理地址等需要固定IP地址,由网络管理部门静态分配。IP地址管理是用户管理的重要内容,也是构件完整的安全架构中不可或缺的一部分,应该在网络设计初期就对网络多种用户的IP地址分配方式进行统一规划。
普通用户建议采用动态获取IP地址的地址分配方式,可以减少IP地址分配的复杂度同时防止IP地址重叠的情况发生。为了防止动态IP地址用户私自配置静态IP地址以及恶意假冒他人IP地址可以启用DHCP+特性,限制用户获取IP地址的方式只能为动态获取,私自配置的静态IP地址将无法正常接入网络。同时为了对用户的身份进行合法性验证可以在网络的接入层对用户的身份进行验证,验证方式可以根据实际情况进行选择,可以采用强制PORTAL认证、802.1x认证等多种认证方式。
重要用户以及特殊用户(比如网管系统)可以配置静态IP地址并在用户接入的网络设备上静态添加用户的IP地址。
在大型网络中,选择适当的路由协议是非常重要的。目前常用的路由协议有多种,如RIP、OSPF、IS-IS、BGP等等。不同的路由协议有各自的特点,分别适用于不同的条件之下。
基于得立得物流的网络现状,支持L3交换的设备不多,为了节省网络设备的系统资源开销,可以使用静态路由的方式。
本次系统设计所推荐采用设备均支持VLAN的划分,同时使用MSTP技术,可以提供多条数据的转发路径,从而实现负载均衡。MSTP在改进SpanningTree的同时,保持了与IEEE802.1DSpanningTree的兼容性。MSTP部署在核心交换机和接入层交换机上,就可以有效保证网络的高可靠性。
VLAN(VirtualLocalAreaNetwork)又称虚拟局域网,是指在交换局域网的基础上,采用网络管理软件构建的可跨越不同网段、不同网络的端到端的逻辑网络。一个VLAN组成一个逻辑子网,即一个逻辑广播域,它可以覆盖多个网络设备,允许处于不同地理位置的网络用户加入到一个逻辑子网中。
一个VLAN就是一个逻辑广播域,通过对VLAN的创建,隔离了广播,缩小了广播范围,可以控制广播风暴的产生。
国家卫生应急队伍建设与管理答案-2024年全国疾控系统“大学习”活动.docx
2024年公需课枣庄市继续教育人社局题库及答案18套题合集(完整版).docx
2024-2025学年小学综合实践活动二年级上册沪科黔科版教学设计合集.docx
六年级上册英语习题Unit 2 Ways to go to school写作方法指导人教PEP.ppt
原创力文档创建于2008年,本站为文档C2C交易模式,即用户上传的文档直接分享给其他用户(可下载、阅读),本站只是中间服务平台,本站所有文档下载所得的收益归上传人所有。原创力文档是网络服务平台方,若您的权利被侵害,请发链接和相关诉求至 电线) ,上传者
