|
高速管理局弱电系统 改造建议方案 20xx年xx月xx日
1 概述1.1 工程概况及改造原则本项目系统改造涉及大楼内办公网络、综合布线系统、弱电机房的改造。 方案设计原则: 开放性、标准化原则 不同子系统、不同产品间接口如数据接口、网络接口、系统和应用软件接口,它们之间能达到“互联性”和“互操作性”。 实用原则 系统要考虑技术和成本的适用性。从系统目标和用户需求出发,经过充分论证,选择合适的技术和产品以满足用户需求。 经济原则 在实现先进性和可靠性的前提下,以经济优化的设计达到较高的性价比。在确保用户需求、系统集成要求的前提下充分考虑现有设备的利旧使用。 利旧原则 本次设计充分考虑原有线路、设备的利旧。如原有设备机柜利用、线缆利用等。 1.2 编制依据《综合布线系统工程设计规范》GB50311-2007 《智能建筑工程质量验收规范》GB50339-2003 《电子计算机房设计规范》GB 50174-2008 《智能建筑设计标准》GB 50314-2015 《智能建筑工程质量验收规范》GB50339-2013 《综合布线系统验收标准》GB50312-2007 《安全防范工程技术规范》GB50348-2004 业主需求。 2 改造方案2.1 综合布线系统布线系统是一个综合性信号传输网络,系统承担着各平台、用户终端数据交换、语音、图像等的信号的可靠传输。传输线路的可靠性影响着各系统、各部门信息交换的安全、快速、高效的工作。 原有布线系统集合点即弱电间内线缆繁杂、无序,管理难度大、故障频率高、无有效标记、线缆及设备布放随意,造成布线系统管理难度大、网络系统网络延迟、系统瘫痪、影响办公效率、增加运行及使用风险。 因此,布线系统作为信息传输的神经网络,系统改造为实现各系统数据交换、提高办事效率、降低管理运行成本、提高网络设备扩展性迫在眉睫。 2.1.1 线缆测试与规划为充分利用原有线缆,改造实施期间将本项目所有布线点位进行测试,以保证线缆通讯正常。考虑到原有网线敷设较早,网线为五类或超五类线缆,以达到百兆到桌面即100BASE-TX的标准进行测试。 为保证原有设计点位工作正常,满足现有布线点位需要,以不增加办公室局部交换机为宗旨。 2.1.2 终端点位面板经现场考察及测试,办公室内墙面终端面板、端接网络模块部分已经无法使用,我方建议遇有损坏更换,以达到整个系统百兆到桌面的测试及使用性能。 2.1.3 统一编号布线系统作为各部门、各系统、不同网络、不同设备间的传输线路,由于线缆繁杂、点位较多,没有统一的编号处理,对于后续的整体性管理、检修、维护将带来极大的工作隐患。 因此我方本次改造将整体对各点位进行统一编号。如下: 1.终端面板编号方式: 楼号 — 层号 — 设备类型号 — 层内信息点序号。 2.1.4 新敷设光缆在16楼与监控室南侧机房间新敷设24芯通讯光缆一条。 2.2 计算机网络系统2.2.1 系统概述本网络主要实现相关人员和客户通过有线或无线使用互联网的功能。 由防火墙、路由器、上网行为管理设备、汇聚交换机、接入交换机、AC控制器、无线AP、用户认证系统等设备组成。 无线AP通过网络与接入交换机连接; AC管理器通过GE接口与汇聚交换机连接,管理网络中的AP设备。 2.3 机房改造根据《电子计算机房设计规范》GB 50174-2008(以下简称机房设计规范),本项目核心机房宜采用B类标准进行设计改造,弱电间宜采用C类标准进行设计改造。 2.3.0.1 弱电间弱电间内旧有网线、电话线比较混乱,对其进行整理标记以方便以后故障排除。 2.3.0.2 机房1、 核心机房做线路整理,将旧有机柜内原有较乱线路进行整理。 2、 监控南、北侧机房线路整理,将旧有机柜内较乱线路进行整理。 3 改造配合3.1 业主配合由于此次改造范围大、涉及系统多,我方改造实施时将分楼层、分系统逐步改造。施工过程中势必将影响大楼的正常办公业务,需要业主方的谅解。 同时,业主需提供原有技术图纸,如配电系统图纸、弱电系统图纸等,以及委派专人协调各科室、各楼层人员及物业人员的配合。 3.2 物业公司配合我方改造过程中需物业人员在用电、垃圾清运、电梯、成品保护、防盗等方面配合。 4 系统报价见附表 5 主要设备介绍5.1 AC控制器提供对802.11acAP的管理 WX3500E系列无线控制器在支持对传统802.11a/b/g/nAP管理的同时,还可以与H3C基于802.11ac协议的AP配合组网,从而提供相当于传统802.11a/b/g/n协议数倍的无线接入速率,能够覆盖更大的范围,使无线多媒体应用成为现实。 提供灵活的数据转发方式 传统的无线控制器部署一般采用集中式转发模式,AC可以对报文进行全面控制和安全监管,但所有的无线业务流量需要到AC进行统一处理,核心链路带宽和AC转发能力容易成为瓶颈。特别是AP和AC通过广域网方式进行连接时,AP作为数据接入设备部署在分支机构,而AC部署在总部,所有用户数据由AP发送到AC,再由AC进行集中转发,导致转发效率低下。 WX3500E系列无线控制器可以支持集中式转发和分布式转发,用户根据业务需要和网络实际情况可以灵活设置转发方式。 支持运营级无线用户接入控制和管理 基于用户的接入控制是WX3500E系列无线控制器产品的一大特色,UserProfile(用户配置文件)提供一个配置模板,能够保存预设配置(一系列配置的集合)。用户可以根据不同的应用场景为UserProfile配置不同的内容,比如CAR(CommittedAccessRate,承诺访问速率)策略和QoS(QualityofService,服务质量)策略等。 用户访问设备时,需要先进行身份认证。在认证过程中,认证服务器会将UserProfile名称下发给设备,设备会立即启用UserProfile里配置的具体内容。当用户通过认证访问设备时,设备将通过这些具体内容限制用户的访问行为。当用户下线时,系统会自动禁用UserProfile下的配置项,从而取消UserProfile对用户的限定。因此,UserProfile适用于限制上线用户的访问行为,没有用户上线(可能是没有用户接入、或者用户没有通过认证、或者用户下线)时,UserProfile是预设配置,并不生效。 另外,WX3500E系列无线控制器还支持基于MAC的认证接入控制方式,这种方式不但可以使得客户在AAA服务器上对用户组进行权限的配置和修改,同时支持对具体用户的权限的配置,这种精细的用户权限控制增强了无线网络的可用度,网管人员可以轻松通过该方式对不同级别的人或人群进行接入权限分配。 基于MAC的VLAN同样也是WX3500E系列无线控制器的一大特色,在控制策略上,管理员可以把相同性质的用户(MAC)划分到同一个VLAN,同时在控制器上基于VLAN配置安全策略,这样做既可以简化系统配置,又可以做到用户级粒度的精细管理。 出于安全性或计费等考虑,系统管理员可能希望控制无线用户接入到网络中的位置。WX3500E系列无线控制器支持基于AP位置的用户接入控制。当无线用户接入网络时,可以通过认证服务器向AC下发允许用户接入的AP列表,在AC上进行接入控制,从而达到限制无线用户只能接入到指定位置的AP的目的。 提供高可靠的备份功能 WX3500E系列无线控制器采用机架式系统设计,重要的部件可更换,双电源设计,满足高可靠性的要求。 1+1快速备份 WX3500E系列无线控制器支持毫秒(ms)级业务备份,AP会同时和两台无线控制器建立CAPWAP链路,一台作为主控制器,另外一台作为备份控制器,但只有和主控制器建立的CAPWAP链路处于工作状态。当主控制器异常down机时,备份控制器和主控制器之间的心跳检测机制可以保证在100毫秒(ms)之内检测到主设备的异常,并通知AP将主控制器CAPWAP链路切换,保证控制信号的不间断传送。 N+1备份 当多台WX3500E系列无线控制器部署时,N+1备份方案为可靠性和经济性折中的最好方案。例如其中N台AC各自独立工作,外加一台AC作为备份AC,其中N台AC中的任何一台出现故障,都会切换到备份AC上。而当主AC恢复后,AP将自动回切到主AC上,可保障AP尽量同主AC连接。其中WX3500E每台备份设备最多可以支持4台主设备(即4+1)。 N+N备份 当多台WX3500E系列无线控制器部署时,N+N备份可以实现最灵活的备份方案。AP初次会选择一个最优的控制器进行接入,当链接出现问题的时候,AP会在网络中重新选择一个新的最优控制器重新进行注册接入,进而实现了AP的接入备份,以及AC间负载均担。AP对最优控制器的选择,可以根据控制器负载情况动态计算(AC间动态负载均担)或事先指定控制器优先级等多种方式,十分灵活。实现N+N备份,组网中总AP数量只要小于(总AC数量-1)台控制器能够管理的AP规格即可满足备份的要求。 Portal1+1热备 当多台WX3500E系列无线控制器工作在双机模式时,可以实现Portal认证高可靠。用户通过其中一台AC完成Portal认证。双机将相互同步用户的认证状态等数据。任何一台ACdown时,由于另台AC已经预同步了用户的认证数据,所以可以避免Portal重认证和用户业务中断,满足了电信级可靠性需求。 DHCPServer热备 当多台WX3500E系列无线控制器工作在双机模式时,用户通过其中一台AC获得DHCP地址分配后,AC间将同步地址池信息。一台ACdown机后,当用户IP地址租约到期时,将发起DHCP请求续约。另一台AC用预备份的地址池数据回应续约,避免了为用户重新分配地址和用户业务中断。 支持信道智能切换 无线局域网中,信道是非常稀缺的资源,每个AP只能够工作在非常有限的非重叠信道上,比如对于2.4G网络,只有3个非重叠信道,所以如何智能地为AP分配信道是无线应用的关键。 无线局域网工作的频段存在大量可能的干扰源,如雷达、微波炉,它们在网络中的出现将干扰AP的正常工作。通过信道智能切换功能,可以保证每个AP能够分配到最优的信道,尽可能地减少和避免相邻信道干扰,而且通过实时信道干扰检测,可以让AP实时避开雷达,微波炉等干扰源。 支持智能AP负载分担 802.11协议把无线漫游的决策交给了无线客户端,无线客户端一般会根据AP信号强度(RSSI)选择AP,这很容易导致大量的客户端仅仅因为某个AP信号较强而连接到同一个AP上。由于这些客户端共享无线媒介,导致每个客户端的网络吞吐将大量减少。 智能负载分担方法可以实时地分析无线客户端的位置,动态地确定在当前时刻和当前位置下哪些AP可以彼此分担负载,通过控制无线客户端接入的AP,来实现这些AP间的负载分担。系统不仅支持按照用户在线会话数的负载分担,而且支持按照用户流量负载的分担。 支持7层移动安全检测/防御(wIDS/wIPS) WX3500E系列无线控制器支持的移动安全防御模式有:黑名单、白名单、Rogue防御、畸形报文检测、非法用户下线、基于可预设升级的SignatureMAC层攻击检测与反制(例如:DoS攻击,Flood攻击、中间人攻击)等。配合无线应用控制台内置的海量智能专家知识库,可以获得灵活的无线安全策略判断依据,对于明确的非法攻击源(AP或终端等),实现可视的物理位置跟踪监控和交换机物理端口移除。 通过配合H3C专业核心层防火墙/IPS设备,更可以实现移动园区的7层立体安全防御,满足真正的从无线(802.11)到有线(802.3)端到端安全防护需求。 支持RealTimeSpectrumGuard(实时频谱保护)模式 RealTimeSpectrumGuard(RTSG)是H3C创新提出的针对无线环境频谱状态的专业监控方案。全系列无线控制器可以和内置射频采集模块的SensorAP,实现深度融合的射频监控和实时频谱防护。 RTSG的控制台融合部署于H3CiMC智能管理中心,通过CAPWAP管理隧道,与SensorAP进行通信和数据采集,实现7X24小时的无线环境质量监控、无线网络能力趋势评估以及非许可干扰告警。通过图形化方式,主动探测和识别所有2.4GHz/5GHz波段的射频干扰源(Wi-Fi或非Wi-Fi),可提供实时FFT图,频谱密度图、光谱图、占空比图、事件光谱图、频道功率、干扰功率等;可自动识别干扰源,确定有问题的无线设备的位置,确保无线网络发挥最佳的性能。结合H3CiAR智能报表组件,可实现全覆盖区内的射频质量历史记录的存储、追溯、回放等,自动生成客户化的趋势、合规和审计报告。 针对用户无线环境监管的不同层次需求,RTSG方案的部署可以灵活采用Localmode或MonitorMode。当工作在LocalMode时,可以在获得有效的频谱防护前提下,保持正常的用户接入和数据包转发。 支持智能无线业务感知(wIAA) WX3500E系列无线控制器支持智能感知无线业务流量,实现基于无线用户状态的弹性策略识别与管理,优化语音及视频业务承载。 支持远程探针分析 WX3500E系列无线控制器支持针对AP的远程探针分析功能。可以对覆盖区内的Wi-Fi报文进行侦听捕获并实时镜像到本地分析设备供网络管理员进行故障排查、优化分析。远程探针分析功能既可以针对工作信道进行无收敛镜像,也可以对所有信道轮询采样,灵活满足无线网络监控运维要求。 内置射频优化引擎(ROE) WX3500E系列无线控制器内置针对AP的射频优化引擎(RFOptimizingEngine),通过基于特征和协议的射频优化,有效提升无线部署中高密度接入、流媒体传输等场景中的应用加速能力和质量保障效果。其中包含:多用户公平调度、混合接入公平、过滤干扰、速率最优、频谱导航、组播增强(IPv4/IPv6)、逐包功率控制和智能带宽保障等。 WX3500E系列无线控制器支持多种认证方式: 802.1x认证:WX3500E系列无线控制器支持TLS、PEAP、TTLS、MD5、SIM卡等多种802.1x的认证方式,同时还支持802.1x本地认证方式,提供对MD5、TLS、PEAP这几种主流认证方式的支持,用户不再需要额外配置AAA服务器。WX3500E系列无线控制器还支持通过802.1x认证后动态授权VLAN和ACL功能,对用户的策略可以事先设定好,用户认证时,系统自动配置客户权限。 MAC地址认证:WX3500E系列无线控制器支持MAC地址认证,对一些手持终端(例如:Wi-FiPhone、手持移动终端等)并不方便采取电脑上的认证方式,MAC地址认证却可以轻松解决该问题,实现在控制器或者AAA服务器上配置好合法的MAC地址,这些MAC地址对应的终端就可以被允许被接入到网络,而事先没有被配置的非法终端则不能接入无线网络,该功能极大地方便了例如无线医疗系统等应用,MAC地址认证可以确保只有医院的PDA工作终端才能接入到无线网络,而拒绝病人的无线PDA使用专用无线网络。 Portal认证:WX3500E系列无线控制器提供内置的Portal认证服务器。该认证方式无需客户端配合,直接通过浏览器WEBPortal页面作为认证通道,当用户认证通过后,可以灵活跳转到指定访问首页并启动相应授权和计费。同时也可以根据策略要求,灵活推送定制Portal页面,达到广告宣传、信息传递的作用,广泛使用在无线校园、无线城市、访客接入等应用场景。 支持IPv4/IPv6双协议栈(NativeIPv6) WX3500E系列无线控制器支持无线客户的IPV6接入。在隧道起点AP上,由于设备对IPv6感知,所以可以做到IPv6优先级到隧道优先级映射等;在AC侧,同样可以对IPv6报文进行ACL过滤等复杂的控制和过滤。 WX3500E系列无线控制器同样可以部署在IPv6网络中,AC和AP之间自动协商成IPv6隧道。AC和AP完全工作在IPv6状态时,无线控制器仍能正确地感知IPv4,并能处理无线客户的IPv4报文。WX3500E系列无线控制器IPv4/6灵活的适应能力,能满足客户在IPv4到IPv6网络迁移中的各种复杂的应用,既能在IPv6孤岛中给客户提供IPv4的服务,同时也能在IPv4孤岛中让用户轻松通过IPv6协议登录到网络。 针对校园网层出不穷的IPv6伪造报文攻击,WX3500E系列无线控制器支持IPv6SAVI(SourceAddressValidation,源地址有效性验证)技术。通过对地址分配协议的侦听获取用户的IP地址,保证随后的应用中能够使用正确地址上网,且不可伪造他人IP地址,保证了源地址的可靠性。同时,通过IPv6SAVI和Portal技术的结合,进一步保证了所有上网用户报文的真实性和安全性。 提供端到端的QoS WX3500E系列无线控制器基于Comware平台开发,不但对Diff-Serv标准完善支持,同时增加了对IPv6协议的QoS支持。 QoSDiff-Serv模型中主要包括流分类、流量监管(Policing)、队列管理、队列调度(Scheduling)等,完整实现了标准中定义的EF、AF1~AF4、BE等六组PHB及业务,使网络运营商可为用户提供具有不同服务质量等级的服务保证,使Internet真正成为同时承载数据、语音和视频业务的综合网络。 支持快速的二、三层漫游 H3C公司的集中式无线架构不但能方便地实施二层漫游,而且非常有利于跨三层的漫游实现,用FatAP部署的WLAN网络,由于AP之间传递的信息有限,导致垮三层的漫游实现及其麻烦,集中式架构非常容易解决跨三层漫游的问题,WX3500E系列无线控制器支持二、三层漫游,漫游域不受子网的限制。这种优秀的漫游特性,可以让客户在规划无线网络时,无需过多考虑现有网络的规划,更多关注在无线信号的覆盖即可,这种方式简化了前期的网络规划,减少了网络规划成本。 传统模式下,当无线用户终端使用802.1x作为802.11接入认证和密钥交互的手段时,无线用户终端和AP间的交互报文会非常的多。当无线用户终端在两个AP间漫游时,如果无线用户终端在新AP接入的过程完全遵从完整的802.1x的交互过程,势必造成漫游切换的时间过长,对于某些对漫游切换时间敏感的业务(例如语音业务),这样的长切换时间是无法忍受的。WX3500E系列无线控制器采用Keycaching技术完成漫游时用户的快速切换,Keycaching技术在用户的安全接入和快速漫游间做了一个很好的平衡,可以使无线用户终端在两个AP间进行漫游时不必重新进行完整的802.1x认证交互过程,同时又能保证用户身份的识别和密钥使用的连续性;无线用户采用快速漫游方式,单AC内漫游时间不超过50ms,满足了语音业务的苛刻需求。 支持多种分支机构远程接入场景 当AC和AP通过广域网链路进行连接时,用户可以灵活选择集中转发或本地转发模式,提升分支机构局域网打印访问、终端互访等业务性能。 当广域网链路发生故障或AC发生故障时,在线用户不掉线,可以继续访问本地资源,并且可支持AC逃生功能。 当分支机构AP部署于私网内时,AC可以穿越NAT与AP进行通信。
| 
1
发表于 2018-2-27 22:31:00
